信息安全與管理精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全與管理主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全與管理范文

一、檔案的創新管理

1、健全檔案管理制度

檔案管理應有章可循，規范操作，因此，一套完善且行之有效的檔案管理制度尤為重要。檔案管理制度要體現合理性、科學性，以便更好地發揮其規范引導作用。作為檔案管理人員要強化檔案管理意識，遵守檔案管理制度，嚴格檔案管理程序，及時、準確地收集檔案資料，努力做到檔案信息收集齊全完整、內容真實可靠。對于新信息要及時補充調整。同時要完善檔案管理硬件設備，確保檔案工作有效落實。

2、加強對檔案管理人員培訓，提升專業化管理水平

檔案管理部門應有針對性地培養一支素質較高的檔案管理人員隊伍，加強檔案管理人員的業務培訓，讓管理人員學習相關理論知識和現代化管理方法，摒棄傳統的陳舊管理模式，更新理念，提高業務要求標準。要充分認識到檔案管理工作的重要性，并且不斷改進工作方式和工作方法，創新工作模式，提高工作效率，努力做好檔案服務創新工作，探索檔案服務創新之路，把檔案管理提高到一個新的臺階。

3、建立電子檔案，完善檔案現代化管理

隨著辦公系統信息化與網絡技術的普及，檔案的管理模式也在逐步現代化，無紙化辦公將變為現實，檔案歸檔形式必須更新，傳統的以紙質為載體的檔案管理方式將發生根本的變革。因此，檔案管理工作必須從傳統模式向信息化管理模式過渡。采用更為科學、先進的辦公軟件進行檔案信息的存儲和利用，將傳統的紙質載體檔案轉化為電子檔案，并通過計算機信息系統管理轉化為可以自動檢索、數據信息分析的技術。縮微攝影技術和數碼影像技術的應用可以使照片、影像等檔案資料更完整、安全的保存。在后期檔案使用時可以直接檢索、統計和查閱，同時可以實現遠程檔案信息傳遞，提高工作效率。電子檔案還具有占地小、容量大、投入少、管理簡便、查閱方便等優點。

4、建立檔案網頁，開展網上在線服務

建立檔案網頁，開展網上在線服務是對傳統工作模式的新的突破，是科技發展給辦公自動化帶來的變革，同時也給檔案管理工作提出新的挑戰。網絡傳輸作為一種信息傳播方式具有無比的優越性。一是傳播速度快，二是傳播范圍廣，三是傳播不走樣，四是傳播成本低。因此，使用互聯網開展的網上檔案服務已成為為社會和單位提供檔案利用服務的一種更加便捷的形式。隨著局域網的普及，檔案部門可制作自己的網頁，組織上網數據和信息，實現檔案信息的現代化管理。通過網上服務，電子文件通過下載和上傳就可以完成。傳統檔案管理存在重保管輕利用的問題，而檔案網頁不僅方便檔案的檢索等常規服務，更有利于電子信息的資源共享和宣傳利用，實現檔案的真正價值。此外，現代生活中，人們更注重信息的時效性，而開展網上在線服務通過信息系統及網絡及時準確的獲得多方信息，更好的滿足了人們的需求。網頁還可提供信息咨詢、文件閱覽等服務，具有覆蓋面廣、信息全、利用率高等優點。檔案網頁適應新形勢的要求，有利于轉變工作職能，提高工作效率。

二、檔案的信息安全管理

不同于其他信息，檔案具有較強的保密性和利用限制性，而在對電子檔案及檔案網頁進行常規操作、信息傳輸、資料存貯的過程中以及在電子檔案的收集整理、歸檔利用過程中，都難免產生錯誤操作、信息丟失、病毒侵入、黑客侵犯等問題，這些都對檔案的信息安全保障工作提出了更高的要求。加強檔案的保密工作，提高檔案信息的安全性成為檔案管理部門需要面臨的一項重要工作。

1、人員安全

檔案信息在操作過程中最有可能發生的安全問題就是人為的泄密。因此，必須培養一支有較高素質和較強法律意識的專業檔案管理人才隊伍。檔案管理人員必須認識到檔案信息安全的重要性，嚴防保密信息的泄露，使信息安全問題發生的幾率降到最小。檔案管理人員要認真學習《檔案法》、《保密法》，樹立保密意識。應根據檔案管理人員的職權崗位給予不同的使用及管理權限。檔案管理人員要牢記系統密碼并熟練掌握查殺病毒、資料備份等相關安全措施的操作方法。工作人員還要做好操作記錄，清晰記錄每一次查詢、收錄、整理等檔案管理的時間、參與人員等信息。要分工明確、責任到人、規范操作。遇到檔案管理人員調職、離職等情況時要注意加強管理，防止信息外流。

2、操作安全

操作安全是檔案安全的重要環節。在檔案信息操作過程中要樹立安全意識，如確保收集信息的準確性，按時查殺病毒，避免檔案信息被病毒感染、篡改。要養成信息備份的習慣，避免操作失誤造成的信息資料丟失的情況，帶來不可挽回的損失。在對影像、錄音等資料進行收集時要注意提取原件，并確保內容未遭到過破壞、篡改。絕密檔案的調閱、銷毀應經相關領導審批通過后嚴格按規定手續辦理，完善的安全應急機制也是十分重要的，當意外發生時要及時采取措施，有效應對，將損失降到最低。在管理過程中要主動接受保密部門對工作的監督指導，做好對文件的安全保障工作。

3、信息設備安全環境

設備安全是保證檔案信息安全的基本條件，無論是紙質檔案還是電子檔案都應在充分安全的環境下進行保存，檔案室、電腦房等檔案管理環境必須專人管理并建立嚴格的門禁制度，出入時要進行詳細登記，以避免閑雜人等進入。還應做好信息設備環境的防火、防盜工作，避免水災、火災等外力破壞或盜竊等不法行為對檔案安全帶來的威脅。

第2篇：信息安全與管理范文

關鍵詞： 信息安全 信息管理與信息系統專業 專業特色教學

1.前言

伴隨著計算機和因特網為代表的信息技術的迅猛發展，我國信息化水平有了很大提高，在信息安全方面的發展也很迅速。信息安全問題在信息化發展過程中日益凸顯出來，因為信息一旦受到安全威脅，不僅會使信息系統癱瘓，而且會造成企業巨大的經濟損失，甚至會危及公眾個人隱私信息和國家政治、經濟、國防等信息的安全性。目前，我國的信息安全產品市場規模已經超7億人民幣，專門從事信息安全產品生產的企業已過1000家［1］。

信息管理與信息系統專業是管理科學與工程學科的一個重要組成部分，是由信息技術、管理科學和系統科學交叉形成的前沿學科，它運用管理學、運籌學、系統科學和經濟學的知識和方法，通過以計算機為基礎的信息系統來實現各種管理活動和信息處理業務。該專業培養的人才在信息化建設中主要負責信息系統運行管理和伴隨企業成長而不斷更新信息系統的使命，人才的就業崗位歸屬于各種組織（企業）的信息中心或管理行政部門［2］。信息化的發展引發了信息管理與信息系統專業的發展，同樣帶來的信息安全問題也進入了管理學科的研究范圍。在管理學科專業中開設信息安全課程，也是學科建設的需要［3］。但是就目前在專業設置方面提出的信息安全課程內容框架基本上都是針對計算機學科下的信息安全專業而設置的［4－6］，信息管理與信息系統專業不等同于計算機專業，最大區別在于更加強調各種信息安全技術和方法在實際管理問題中的應用。另一方面，同經濟管理類專業相比，該專業更加強調使用計算機工具，用工程化的思想來實現信息化的管理。因此，在信息管理與信息系統專業中開設信息安全課程，要具有專業針對性并結合專業特色展開課程內容的教授和課程實驗的設置。

2.我國信息安全教育現狀

2.1信息安全人才缺乏。

2000年武漢大學創建了全國第一個信息安全本科專業，我國從此開始了信息安全本科生的培養。但是由于我國信息化產業的快速發展，對信息安全人才的需求遠遠不能得到滿足。在2006年10月27日的第二屆“全國信息安全學科專業建設與發展研討會”上，許多專家呼吁要加大信息安全人才的培養［7］。信息安全是一個以信息安全學為核心，以信息技術學、信息工程學和信息管理學為支撐，以國家和社會各領域信息安全防護為應用方向的跨學科的交叉性學科群體系［8］。當前我國對信息安全人才的需求主要分布在政府、工商、電信、銀行、軍隊、公安、交通、教育與科研、信息產業和一般企業。從人才需求分布看，不僅是計算機學科中需要設置信息安全專業，其他的交叉學科同樣需要設置信息安全相關課程。

2.2信息管理與信息系統專業中開設信息安全課程的必要性。

信息管理與信息系統專業旨在培養企事業、政府的技術部門、經濟部門或管理部門中從事信息系統的分析、設計、開發、利用和維護的應用型技術人才和從事信息化項目和信息資源開發利用的應用型管理人才。而信息安全問題具體涉及信息基礎建設、網絡與系統的構造、信息系統與業務應用系統的開發、信息安全的法律法規、安全管理體系等。不難發現，信息安全問題存在于信息技術的各個層次中。可以說，信息安全課程是研究信息、信息系統及信息系統應用領域的一門應用學科。因此，培養信息管理與信息系統專業的學生有必要學習信息安全知識，并需要將信息安全思想同信息系統有效結合并應用。

3.信息管理與信息系統專業中信息安全教學探索與實踐

3.1針對專業特色，整合教學內容。

信息安全主要包括系統安全和數據安全兩方面，所用技術有密碼學、訪問控制、防火墻技術、病毒查殺技術、身份認證技術、數字簽名技術等，這也構成了對應的課程內容。在眾多技術中密碼技術是信息安全的核心。數論知識是密碼學技術中必不可少的關鍵技術，在信息加密處理、公開加密算法的編寫、密鑰管理中都有不可或缺的應用。而數論基礎知識對信息管理與信息系統專業的學生來說，具有較大難度。如果在課程開始就教授數論知識，會讓學生倍感枯燥，難以調動學生學習的興趣和主動性。

根據該專業側重于信息管理與信息系統設計實現的專業特點，按照循序漸進、注重實際應用的原則，整合已有的信息安全教材，組織教學內容。在介紹密碼學原理之前，首先給學生介紹密碼學的發展歷史，讓其了解現代信息安全與密碼的發展情況，同時體會到信息安全與密碼學、數論知識密不可分。對數論部分內容作合理選擇，在教授公鑰加密體制時選擇對應的數論知識進行介紹，如在重點講解RSA加密算法時，選擇運用到的數論知識――同余式、歐拉定理、模運算法則、大整數分解方法、相關免疫函數密碼、素性測試算法進行詳細介紹。結合信息系統開發和設計的實際應用，將訪問控制、防火墻技術、病毒查殺技術、身份認證技術等技術同具體的信息系統相結合，讓學生深刻感受到信息安全技術應用到信息系統中的重要性。

3.2理論驗證和工程訓練相結合，設置課程實驗。

實驗教學作為教學過程中的重要環節，不但有助于學生對理論知識的理解和應用，而且可以提高學生的動手能力和對知識的運用能力。信息安全的基礎是各種信息技術，在這個領域中，工程應用占了相當大的比重，因此在本專業中的信息安全課程的實驗部分需要加大面向工程應用的實驗設置。

實驗教學主要分為基礎驗證實驗和綜合設計實驗兩個層次。基礎驗證實驗主要是對課程教授內容中的基本原理進行設計實現，使學生能對所學內容全面掌握并加深理解。鑒于信息管理與信息系統專業的學生具有一定的編程基礎，基礎驗證實驗主要要求學生對具有代表性的古典加密算法（如Playfair密碼和Vigenere密碼）和形成現代密碼體制的經典數學方法（如輾轉相除法求最大公約數，解同余方程等）用計算機高級語言實現，同時驗證防火墻技術和數字簽名技術在信息系統中的應用。綜合設計實驗要求學生能運用已學的先行課程知識，結合本門課程，采用工程化的思想，設計出一個完整的具有實際運用意義的信息系統，如設計實現基于Web的考試報名系統，并選擇加密算法對用戶密碼進行管理，對用戶報名照片添加本系統專有數字簽名水印，同時學生可以自由選擇和應用已有的信息安全知識自行設計系統的延伸功能。基礎驗證實驗和綜合設計實驗在總實驗學時中的比例是3∶7。實踐證明，綜合設計實驗有助于加強學生動手能力和創新能力的培養，同時鍛煉了學生的思維和操作能力，激發了學生的學習興趣，使學生充分發揮了學習主動性。

3.3多項指標構成課程考核評價結果。

學生得到的課程成績將不再僅僅是考試成績，而是由多項指標構成。包括：第一，學生在基礎實驗過程中獨立完成的情況。第二，在綜合實驗中允許學生分組，讓學生提高與他人協調工作能力的同時，注重發揮自己在團隊里作用，綜合實驗成績按照學生在團隊中相對應的工作及其完成情況決定。第三，學生需要完成課程認識報告，是對本課程學習情況的總結，選擇所學內容中感興趣的方面做深入研究形成報告的主要內容。第四，課程結束后的考試成績。由這四部分構成學生最終的綜合成績，使學生不再拘泥于學習課本知識，更加注重動手實踐能力，將課本所學應用到實際信息系統工程中去。同時以小組為單位，更加鍛煉組織協調及與人溝通的能力。

4.總結

本文針對信息管理與信息系統專業特點和信息安全課程教學內容，根據目前我國信息安全課程教育現狀，對在該專業下設置信息安全課程方式進行探討。教學實踐證明，整合教學資源，具有專業特色的實驗設置和多項指標構成的評價體系，更加能夠提高學生的學習興趣和主動性，加深學生對信息系統工程化思想的理解，鍛煉團隊學習工作能力，從而大幅度地提高教學質量。當然，信息安全是一門跨學科、涉及面廣的綜合性學科，如何更好地結合本專業的其他基礎課程及所涉及的交叉學科課程，同時兼顧專業特色，更好地提高教學質量，還需要我們繼續努力。

參考文獻：

［1］禹金云，羅一新.我國信息安全的現狀及對策研究［J］.中國安全科學學報，2006(1).

［2］劉秋生.信息管理與信息系統專業建設探討［J］.中國管理信息化，2007(7).

［3］王英.管理學科信息安全教學研究［J］.信息安全與通信保密，2008(1).

［4］馬建峰，李鳳華.信息安全學科建設與人才培養現狀問題與對策 ［J］.計算機教育，2005(1).

［5］林柏鋼.信息安全專業寬口徑培養模式探討［J］.北京電子科技學院學報，2006(1).

［6］呂欣.關于信息安全人才培養和學科建設的思考［J］.北京電子科技學院學報，2006(1).

第3篇：信息安全與管理范文

關鍵字：校園；網絡；管理；信息；安全；保障

目前，校園網絡信息安全性的問題逐漸得到高級技工學校的關注,學校在不斷的完善校園網絡的管理以及信息安全保障的政策。校園網絡作為高級技工學校信息化建設的重點,確保網絡信息安全的完整性、保密性、可控性、可用性、不可否認性成為了學校保障網絡信息安全的重點工作。

一、校園網絡信息安全的特征

校園網絡信息安全需要具有完整性，確保信息在傳輸以及存儲的過程中可能被惡意的篡改，應該確保網絡信息的正確以及有效，避免被非授權人將信息的完整性破壞；校園網絡信息安全需要具有保密性，通過密碼技術對重要的信息采取保護措施或進行加密處理，避免重要信息的泄漏、丟失等，確保合法用戶能夠安全的使用信息；校園網絡信息安全需要具有可控性，使授權機構能夠控制信息的內容以及具備監控和管理傳播流向和方式的能力；校園網絡信息安全需要具有可用性，確保授權用戶能夠進入系統進行信息的訪問，防止非授權者惡意訪問系統，竊取、泄漏、破壞校園網絡的信息安全。與此同時，還應該防止網絡病毒引發的系統癱瘓，造成服務器拒絕用戶使用或被入侵者所用；校園網絡信息安全需要具有不可否認性，也可以稱之為不可抵賴性，當信息傳輸結束以后,信息傳輸雙方不能抵賴自身的行為，比如否認接收過對方的信息，通過信息源的證據，雙方就無法對完成的操作進行抵賴，能夠有效的防止發送方否認已經傳輸過的信息。

二、校園網絡管理和信息安全保障的必要性

隨著計算機網絡的不斷發展,強化學校網絡安全管理的建設,不僅能夠提升學校整體的形象，還是學校發展成為信息化的必然趨勢。網絡安全對于校園整體形象和未來發展趨勢都有影響。校園網絡信息安全對于學生來說，能夠促進學生的全面發展，還能提高學校的整體經濟效益。目前，學校的網絡中儲存了大量的文獻信息,網絡信息安全對于高級技校的教育工作有著重要的意義，教師進行教學越來越依賴計算機網絡，如果網絡的安全出現問題，信息資源被惡意篡改、丟失、刪除、破壞等，對于學校來說是無法彌補的經濟以及資源損失。因此，校園網絡管理和信息安全保障對于高校來說十分重要，建設校園網絡的過程中，應該重視網絡運行的安全問題，引進先進的網絡技術，嚴格按照網絡安全管理規范，及時解決網絡系統可能出現的問題，確保校園網絡能夠安全、可靠、正常的運行。

三、校園網絡管理和信息安全保障的現狀

3.1校園網絡的安全受到威脅

目前，高級技工院校為了提高網絡的安全性,通常會配置網絡防火墻系統。然而防護墻是利用靜態技術只能起到防范的作用,并且防護的范圍不夠全面，防護的效果也不是十分明顯。為了采取更加有效的防護措施，高校需要采用動態防護技術，比如入侵檢測技術。如今病毒的傳播方式多種多樣，具有很強的破壞能力，并且傳播速度很快,一旦校園的某臺計算機被病毒入侵,主機系統就會受到影響，導致整個校園的網絡都會癱瘓。

3.2不重視校園網絡的管理

大部分的高級技工院校對于網絡管理問題，普遍是“重設備,輕管理”的理念，僅重視設備的購買,而忽視了對設備的管理。學校錯誤認為安裝防火墻、電腦管家以及殺毒軟件，就能起到信息安全防護的作用，其實信息安全還包含其他方面，安全防護設備在校園網絡中雖然得到了普遍應用，然而對于軟件的實踐應用只能解決一部分的信息安全問題。學校應該重視安全設備安裝后的管理問題，通過制定相關的管理規則，使用戶能夠合理的使用校園網絡，從而確保網絡信息的安全。

3.3用戶的校園網絡安全意識不夠高

高級技工學校用戶普遍缺乏網絡安全意識，需要不斷提高網絡安全意識，才能從根本上保障校園網絡信息的安全。對于學校來說，校園網絡用戶在網絡信息管理和保障中起到十分關鍵的作用，用戶的實踐操作行為直接影響信息的安全。目前，大部分校園網絡用戶,進行口令的選取時,忽視自身操作的規范性，導致校園網絡被惡意入侵。

四、校園網絡管理和信息安全保障的實踐策略

4.1完善校園網絡的訪問權限設置

校園網絡為了保證信息的安全需要設置網絡權限，通常校園網絡只提供給本校師生使用，這樣就能有效的減少不良信息傳播的途徑，避免病毒通過其他途徑破壞系統，從而保障校園網絡信息的安全。訪問權限設置能夠控制用戶的非法訪問，檢測用戶登陸的服務器以及用戶查看過的信息，使用戶的賬號能夠受到監管，避免用戶信息被盜用，導致信息的泄漏。

4.2重要信息及時做好備份

校園網絡如果遭受到病毒的侵害，計算機系統就會受到損害，導致用戶的重要信息泄漏、丟失等，造成用戶的損失。因此，學校網絡的數據庫需要及時進行重要信息的備份，確保用戶的重要信息能夠通過備份系統找回，避免給用戶造成不便。

4.3監控校園網絡的日志

做好校園網絡日志的監控工作是高級技工學校的重點工作，對于保障信息安全起到了重要的作用。安全設備雖然能夠保障信息的安全，但是不能僅僅停留在表面，作為校園網絡的管理人員，應該不斷提高自身的素質，進行安全設備性能、用途等多方面的深入研究，從而更好的管理校園網絡的信息。監控校園網絡信息安全的對象有防火墻、檢測系統、服務器等，由于防護核心思想的差異，綜合使用監控設備能夠有效的進行用戶訪問時間的跟蹤，了解用戶的登陸地點，登陸設備、登陸時間等，這些信息有助于學校管理和保障信息安全，了解校園網絡日志的具體來源和途徑，從而提高校園網絡的安全性。

4.4建立校園網絡管理相關的制度

高級技工學校應該制定相關的政策，強化用戶對信息安全防護的意識，提高自身的網絡素養。制定完善的制度管理體系，使用用戶能夠嚴格按照相關規定約束自身的行為，避免由于自身錯誤的操作，造成校園網絡信息的泄密、丟失等。由于校園網絡使用的用戶普遍為在校學生,因此學校可以結合學生的實際情況，設立網絡相關的選修課程,提高學生的網絡安全意識。與此同時，校園網絡使用的用戶還包括教師，學校應該對教師展開定期的培訓，提高教師的綜合素質，從而做到言傳身教。通過不斷提高校園網絡用戶的整體素質，網絡不良信息的傳播才能得到有效的控制，避免惡意入侵的非法用戶危害校園網絡的安全。

五、結語

綜上所述，校園網絡是一把雙刃劍,雖然為學生和教師的學習和教學工作帶來了方便，然而隨著網絡技術的不斷發展，信息安全的問題接踵而至，為了有效確保校園網絡信息的安全，學校需要不斷的完善校園網絡的訪問權限設置，對重要的信息及時做好備份，監控校園網絡的日志，建立校園網絡管理相關的制度，從而提高校園網絡用戶的綜合素質，提高校園網絡的安全性。

參考文獻

[1]楊梅,甘露,張林濤.校園網絡管理和信息安全保障實踐探討[J].玉林師范學院學報,2013,01:112-116.

[2]王平,趙仕偉,趙義平.淺談校園網絡管理與信息安全保障對策研究[J].網友世界,2014,06:5.

[3]徐喆.高校網絡安全存在的問題與對策研究[D].燕山大學,2012.

第4篇：信息安全與管理范文

【關鍵詞】網絡信息安全 防火墻 數據加密 內部網

一、網絡信息安全的脆弱性

在因特網上，除了電子郵件、新聞論壇等文本信息的交流與傳播之外，網絡電話、網絡傳真、靜態及視頻等通信技術都在不斷地發展與完善。在信息化社會中，網絡信息系統將在政治、軍事、經濟、交通、文教等方面發揮越來越大的作用。網絡信息系統都依靠計算機網絡接收和處理信息，實現相互間的聯系和對目標的管理、控制。以網絡方式獲得信息和交流信息已成為現代信息社會的一個重要特征。網絡正在逐步改變人們的工作和生活方式。面對這種現實，政府有關部門和企業不得不重視網絡安全的問題。

二、網絡安全的主要技術

（一）防火墻技術

1.防火墻的技術實現

通常是基于“包過濾”技術，而進行包過濾的標準通常就是根據安全策略制定的。包過濾的標準一般是靠網絡管理員在防火墻設備的訪問控制清單中設定。訪問控制一般基于的標準有：包的源地址、包的目的地址、連接請求的方向、數據包協議以及服務請求的類型等。

防火墻還可以利用服務器軟件實現。一般都具有加密、解密和壓縮、解壓等功能，這些技術增加了信息在互聯網上的安全性。現在，防火墻技術的研究已經成為網絡信息安全技術的主導研究方向。

2.防火墻的特性

（1）所有從內到外和從外到內的數據包都要經過防火墻；

（2）只有安全策略允許的數據包才能通過防火墻；

（3）防火墻本身應具有預防侵入的功能，防火墻主要用來保護安全網絡免受來自不安全的侵入。

（二）數據加密技術

1.常用的數據加密技術

目前最常用的加密技術有對稱加密技術和非對稱加密技術。對稱加密技術是指同時運用一個密鑰進行加密和解密，非對稱加密技術就是加密和解密所用的密鑰不一樣，它有一對密鑰，分別稱為“公鑰”和“私鑰”。

2.數據加密技術的發展現狀

在網絡傳輸中，加密技術是一種效率高而又靈活的安全手段，值得在企業網絡中加以推廣。加密算法有多種。現在金融系統和商界普遍使用的算法是美國的數據加密標準DES。近幾年來我國對加密算法的研究主要集中在密碼強度分析和實用化研究上。

（三）訪問控制

1.身份驗證

身份驗證主要包括驗證依據、驗證系統和安全要求。

2.存取控制

存取控制規定何種主體對何種客體具有何種操作權力。存取控制是網絡安全理論的重要方面，主要包括人員限制、數據標識、權限控制、類型控制和風險分析。

三、常見網絡攻擊方法

網絡中的安全漏洞無處不在。即便舊的安全漏洞補上了，新的安全漏洞又將不斷涌現。網絡攻擊正是利用這些存在的漏洞和安全缺陷對系統和資源進行攻擊。

網絡攻擊的常見方法：

1.口令入侵

2.放置特洛伊木馬程序

特洛伊木馬程序可以直接侵入用戶的電腦并進行破壞，它常被偽裝成工具程序或者游戲等誘使用戶打開帶有特洛伊木馬程序的郵件附件或，一旦用戶打開了這些郵件的附件或者執行了這些程序之后，它們就可以在windows啟動時悄悄執行的程序。

3.WWW的欺騙技術

在網上用戶可以利用IE等瀏覽器進行WEB站點的訪問，但一般的用戶恐怕不會想到有這些問題存在：正在訪問的網頁已經被黑客篡改過，網頁上的信息是虛假的！

4.電子郵件攻擊

電子郵件是互聯網上運用得十分廣泛的一種通訊方式。攻擊者可以使用一些郵件或CGI程序向目的郵箱發送大量內容重復、無用的垃圾郵件，從而使目的郵箱被撐爆而無法使用。

5.網絡監聽

網絡監聽是主機的一種工作模式，在這種模式下，主機可以接收到本網段在同一條物理通道上傳輸的所有信息，而不管這些信息的發送方和接收方是誰。但監聽者往往能夠獲得其所在網段的所有用戶帳號及口令。

6.安全漏洞攻擊

許多系統都有這樣那樣的安全漏洞（Bugs）。其中一些是操作系統或應用軟件本身具有的。由于很多系統在不檢查程序與緩沖之間變化的情況，就任意接受任意長度的數據輸入，把溢出的數據放在堆棧里，系統還照常執行命令。若攻擊者特別配置一串準備用作攻擊的字符，他甚至可以訪問根目錄，從而擁有對整個網絡的絕對控制權。

四、網絡攻擊應對策略

1.提高安全意識

不要隨意打開來歷不明的電子郵件及文件，不要隨便運行別人給你的程序；盡量避免從Internet下載不知名的軟件；密碼設置盡可能使用字母數字混排；及時下載安裝系統補丁程序；

2.使用防毒、防黑等防火墻軟件

3.設置服務器，隱藏自己的IP地址

4.將防毒、防黑當成日常例性工作

5.提高警惕

第5篇：信息安全與管理范文

關鍵詞：鐵路網絡；信息；安全風險；管理措施

 

目前，我國已經進入信息網絡技術普及的時代中，在信息技術應用越來越廣泛、作用越來越強大的同時，鐵路運輸組織、服務、管理、建設等多方面的發展逐漸依賴于信息技術與網絡技術，目前鐵路生產與管理已經進入智能化、管控一體化的管理模式中，因此，信息與網絡的安全性對鐵路發展有著至關重要的影響。但是隨著信息化越來越強烈，存在的風險越來越多，這對鐵路發展無疑是一種嚴重的威脅，下面對控制網絡與信息安全風險提出了幾點參考建議。

一、信息安全管理體系結構

信息安全風險管理體系結構模型主要由技術、管理以及系統生命周期三大要素組成的三維模型。而信息安全是由信息安全技術與信息安全管理共同參與保護工作而實現的，信息安全技術的保護作用在于對信息安全保護采取的有效技術措施，而信息安全管理的作用主要在于對信息安全技術實施與運行過程中進行科學管理，促使信息安全技術發揮最大作用。隨著信息安全風險越來越多，需要不斷提高信息安全技術實施與運行能力，更重要的是加強信息安全管理，從政策、法律、技術、人員等方面進行全面管理，為保證信息安全采取有效的應對措施。

1、技術要素

在技術要素中主要含有環境、系統、網絡、應用四個技術方面。鐵路信息系統建設過程中，環境安全是保護信息系統安全的基礎與屏障，對于機房環境安全要求非常嚴格，從機房建設過程開始就需要對機房地址、周邊環境等方面進行考慮，特別是對防火、防雷擊、防滲水、防鼠害等多種對機房安全有影響的因素全部考慮在內，同時還要加強對機房維護與管理等方面工作的考慮。值班人員管理、設備管理、電源管理、機房詢問控制以及機房保密等方面中都會存在安全風險，因此需要對其采取相應的管理措施，來降低風險發生幾率，保障信息安全。

系統主要是由硬件、軟件以及數據組成，加強系統安全，首先要確保硬件安全、軟件安全以及數據安全，一旦發生安全風險，就會使數據遭到破壞、更改、泄露等風險出現，因此，需要加強對其安全保護，保證數據安全、促使系統正常運行。網絡是數據傳輸、分析、處理等方面的重要渠道，要對網絡安全加以重視，網絡安全是可以保證信息安全的基礎，因此，需要對其加強管理，要從結構、訪問、審計、設備、代碼、病毒等方面進行全面加強防范措施。應用系統是實現信息權限管理的重要技術，具有賦予、變更、撤銷等重要信息應用功能，因此，加強應用系統安全管理有一定的必要性。首先要完善專用用戶登錄識別功能；其次要提高訪問控制功能；再次需要對重要信息進行加密保管；還要保證數據完整性，加強密碼技術功能應用；最后要對資源進行合理控制，限制使用額度。

2、管理要素

信息安全風險管理效果與鐵路內部組織結構、管理制度以及人員管理有著直接的關系，沒有完善的組織結構，相應的管理制度，會使內部管理混亂，進而發生信息安全管理不得當，同時技術人員的技術水平以及個人素質等因素都會造成信息泄露、丟失等風險存在。因此，必須建立完善的組織結構，鐵路信息系統的安全要在組織結構方面得到安全保證。鐵路信息安全管理應建立由上級領導層、中級管理層、下級執行層三個層面的管理組織機構，并制定完善的管理制度，落實到實際工作中，加強技術人員的培訓，以提高技術人員專業水平以及綜合素質為目的，優化整個信息安全管理部門，促使鐵路信息安全風險管理得到保證。

3、系統生命周期要素分析

設計階段的安全風險管理過程應對設計方案中所提供的安全功能符合性進行判斷，作為采購過程風險控制的依據。應詳細評估設計方案中對系統可能面臨威脅的描述，將使用的具體設備、軟件等資產及其安全功能需求列表。基于設計階段的資產列表、安全措施，實施階段應對規劃階段的安全威脅進行進一步細分，同時評估安全措施的實現程度，從而確定安全措施能否抵御現有威脅、脆弱性的影響。運行維護階段的風險評估應采取定期和非定期兩種方式；當組織的業務流程、系統狀況發生重大變更時，也應進行風險評估。

二、采取措施建議

在信息系統規劃、設計階段，應對信息系統的安全需求進行分析，同步規劃、設計信息系統的安全等級和保護措施，建立安全環境，從源頭上保障信息安全。對已定級的信息系統，應嚴格按照等保要求進行區域劃分、邊界防護、訪問控制、安全審計及安全管理。構建一個全路信息系統可視化管理平臺，對網絡、計算機設備、應用系統部署、操作用戶及角色、運維狀態等關鍵信息進行全局監控，提高對系統中安全問題及其隱患的發現、分析和防范能力。建立全路統一的身份認證與授權機制，對各信息系統的用戶進行統一管理，確保信息在產生、存儲、傳輸、處理過程中的保密性、完整性、抗抵賴性和可用性。

鐵路網絡與信息安全風險管理，不僅僅是從加強技術或者管理任意一方面就可以實現的，而是需要對信息技術與安全管理相結合，共同完善信息安全風險管理。加強對信息技術內部結構的保護，從硬件、軟件、數據、加密手段、權限管理手段等多方面進行安全防護，控制系統安全風險發生，同時還需要加強信息外部管理，從建設、人員、操作、管理等方面進行管理，保證鐵路網絡與信息安全，降低風險發生，為鐵路發展提供信息安全保障。

 

參考文獻：

第6篇：信息安全與管理范文

關鍵詞:獨立學院 校園網 網絡安全 信息安全

中圖分類號:G64 文獻標識碼:A

文章編號:1004-4914(2010)05-108-02

獨立學院是近幾年發展起來的一種新的高等教育院校,雖然這些院校成立的時間不是很長,但是其發展速度卻很快。獨立學院除了校園和基本教學設施以外,其校園網也發展起來了。目前,獨立學院在盡情享受校園網所帶來的方便與高效的同時,也面臨著信息安全的嚴峻考驗,校園網信息安全問題已經成為當前各獨立學院網絡建設中不可忽視的首要問題。信息安全是獨立學院信息化建設的根本保證,通過制定獨立學院校園網信息安全策略,來保障校園網的數據安全具有現實的緊迫性和重要性。構建以安全意識為核心、以安全技術為支撐、以安全服務為落實、以安全管理為重要手段的安全防范體系是校園信息安全的保障。{1}

一、獨立學院校園網信息安全的現狀

隨著獨立學院校園網絡的不斷擴建和升級,網絡規模日益龐大,校園網絡中的信息安全隱患也越來越多。目前高校校園網信息安全存在的問題具體體現在以下幾個方面:

1.計算機信息系統比較脆弱,網絡與信息系統的應急處理能力不強,防護水平不高。

2.高水平的信息安全技術人才和管理人才缺乏,關鍵技術整體上還比較落后,安全保障預警和檢測方面的工作基本沒有開展,保護、應急和恢復等方面的工作還不夠深入與完善。

3.信息安全管理制度和標準缺乏權威性。

4.因資金等原因造成一些信息系統安全保障的必要設施短缺。

5.信息安全管理觀念薄弱,相關人員特別是一些負責人員的信息安全意識不強。

6.信息安全保障管理機構和組織隊伍不健全,制約著信息安全保障工作的進一步開展,也制約著信息安全保障能力的進一步提升。{2}

二、獨立學院校園網信息安全急待解決的問題

許多獨立學院校園網是從局域網發展來的,由于意識與資金方面的原因,他們在安全方面往往沒有太多的設置,包括一些獨立學院在內,常常只是在內部網與互聯網之間放一個防火墻就了事了,有的甚至什么也不放,直接就面對互聯網,這就給病毒、黑客提供了充分施展身手的空間。而病毒泛濫、黑客攻擊、信息丟失、服務被拒絕等,這些安全隱患發生任何一事對整個網絡都將是致命性的。{3}因此,校園網的網絡安全需求是全方位的,具體來說,包括以下幾個部分:

1.網絡病毒的防范。在網絡中,病毒已從存儲介質(軟、硬、光盤)的感染發展為網絡通信和電子郵件的感染上來。其傳播速度極快、破壞力更強,據統計,一個新病毒從一臺計算機出發僅六個小時就能感染全球互聯網機器。網絡一旦被病毒侵入而發作,將會對重要數據的安全、網絡環境的正常運行帶來嚴重的危害。所以,防止計算機病毒是計算機網絡安全工作的重要環節。

2.網絡安全隔離。為了各行業間、部門之間加強業務聯系,以及信息化建設都需要網絡和網絡之間互聯,交流信息、信息共享,這給學校的工作帶來極大的便利,同時也給有意、無意的黑客或破壞者帶來了充分的施展空間。所以網絡之間進行有效的安全隔離是必須的。

3.網絡監控措施。網間隔離起邊緣區保護作用,無法防備內部不滿者攻擊行為。往往內部來的攻擊比外部攻擊更具有致命性。在不影響網絡的正常運行的情況下,增加內部網絡監控機制可以做到最大限度的網絡資源保護。從網絡監控中得到統計信息來確定網絡安全規范及安全風險評估。

4.網絡安全漏洞。校園網擁有Www、郵件、數據庫等服務器,還有重要的教學服務器,對于非專業人員來說,無法確切了解和解決每個服務器系統和整個網絡的安全缺陷及安全漏洞。因此,需要借助第三方軟件來解決此安全隱患、并提出相應的安全解決方案。

5.數據備份和恢復。數據是整個網絡的核心,其安全性非常重要。設備可以替換,數據一旦被破壞或丟失,其損失幾乎可以用災難來衡量。所以,做一套完整的數據備份和恢復措施是校園網迫切需要的。

6.有害信息過濾。許多校園網經過多年的建設,已發展成為較復雜的網絡,網絡中的應用較多,電腦數量達到幾千臺;校園內不僅電教室、電子閱覽室、辦公室的電腦能上網,學生宿舍和家屬樓的電腦電信寬帶也能上網。對于這種大、中型的校園網絡,要實施網絡有害信息的過濾,必須采用一套完整的網絡管理和信息過濾相結合的系統,實現對整個校園內電腦訪問互聯網進行有害信息過濾管理。

7.網絡安全服務。許多學校缺少網絡管理人員,日常網絡的維護量大,特別在網絡安全方面暫時沒有配備專職專業的系統安全管理員,同時在網絡規劃建設初期時,對整體的網絡安全考慮較少,投資有限。因此,為確保整個網絡的安全有效運行,有必要對整個網絡進行全面的安全性分析和研究,制定出一套滿足網絡實際安全需要的,切實可行的安全管理和設備配備方案。如將網絡的日常安全維護和設備配備外包給專業的網絡安全服務和設備提供商,可以在短時間內實現對網絡安全的要求,同時解決專業人士缺乏的現狀,并且在由網絡安全專業公司提供服務的同時,培養自己的隊伍,最終完成自己對學校網絡的安全管理。{4}

三、構建獨立學院校園網信息安全管理體系

安全管理是安全防范體系中具體落實的手段,它貫穿于整個網絡安全防范體系中。獨立學院校園網的安全管理應當保障計算機網絡設備和配套設施的安全,保障信息的安全及運行環境的安全。校園網的所有工作人員及用戶必須遵守《中國教育和科研計算機網絡安全管理》協議,接受并配合國家有關部門及學校依法進行的監督檢查。整體而言,高校應加強安全管理工作,增強學生的安全意識,并逐步建立健全安全管理規章制度。

1.落實安全職責。在校辦及各系部配備專職的信息安全管理人員,落實建立信息安全責任制度和工作章程,負責并保證組織內部的信息安全。管理人員必須做到及時進行漏洞修補、軟件定期升級和安全系統定期巡檢,保證對網絡的監控和管理。

2.制定科學的信息安全策略。信息安全策略是指在一個特定環境中,為保證提供一定級別的安全保護所必須遵守的規則。它包括嚴格的管理、先進的技術和相關的法律。信息安全策略決定采用何種方式和手段來保證網絡系統的安全。即首先清楚自己需要什么,制定恰當的滿足需求的策略方案,然后才考慮技術上如何實施。

3.集中進行監控和管理。嚴格規范上網場所的管理,集中進行監控和管理。上網用戶不但要通過統一的校級身份認證系統確認,而且合法用戶的上網行為也要受到統一的監控。上網行為的日志文件要集中保存在中心服務器上,掃描日志文件確保其準確性和安全性。

4.重要數據的及時備份與恢復。在實際的網絡運行環境中,數據備份與恢復是非常重要的。盡管從預防、防護、加密、檢測等方面加強了安全措施,但任何人也不能保證網絡系統不會出現安全故障。因此,應該對重要數據進行備份,保障數據的完整性。與此同時,還必須充分考慮遭遇火災和系統硬件故障時的數據恢復,在數據容量較大時需考慮采用磁帶介質備份和異地備份,并重點對應用區域中的關鍵服務器提供數據備份和恢復機制。

5.使用規范的網絡協議。要建立一個安全有效的校園網必須使用規范的網絡協議,只有使用規范的網絡協議才能有效地進行網絡通信,便于以后的擴展和維護。

6.加強信息安全教育,構建良好的校園文化氛圍。我們應利用多種形式進行信息安全教育:其一是利用行政手段,通過各種會議進行信息安全教育;其二是利用教育手段,通過信息安全學術研討會、安全知識競賽、安全知識講座等進行信息安全教育;其三是利用學校傳播媒介、輿論工具等手段,通過校刊、校報、校園網絡、廣播、宣傳欄等進行信息安全教育。信息安全是高校實現教育信息化的頭等大事,除先進的安全技術、完善的安全管理外,良好的校園文化氛圍也是保證高校信息安全工作順利開展的前提。

參考文獻:

1.李欣.高校校園網絡安全探索[J].中國現代教育裝備,2007(1):45～47

2.高愛乃.基于校園網的信息安全系統[J].中國科技信息,2006(9):191、196

3.王紹卜.企業信息安全研究與策略[J].商場現代化,2006(465):87―88

4.李秀英,蔡自興.淺析網絡信息安全技術[J].企業技術開發,2006(1):6―8

5.彭紹平.關于我國網絡信息安全的思考[J].圖書館工作與研究,2007(4):84―86

第7篇：信息安全與管理范文

關鍵詞：民航空管網絡；信息安全；管理體系

隨著我國經濟的快速發展，信息技術和計算機管理計術在企業的日常管理中得到了廣泛的應用，信息技術與經濟發展相結合是未來的發展趨勢，當前國內各空管局已經開始引入空管網絡系統來提高管理效率和管理質量，其核心技術主要包含信息網絡、電子、計算機技術以及管理學等方面的物質成果。出于民航管理系統的特殊地位，民航企業和相關管理部門對系統運行的穩定性和安全性有著十分嚴格的要求。民航空管業務的運行工作，需要安全、穩定、快速的信息網絡對航班的飛行信息和管理信息進行實時的傳遞，信息網絡也是下達管制指令、管理飛行活動的核心通道，許多航空安全事故的發生都是由于信息傳遞不通暢所致。

一、民航空管網絡信息安全管理的發展現狀

為了提高民航空管的管理效率，根據國內外優秀空管管理經驗，必須加強民航空管的信息化建設，建立功能全面的空管信息網絡。信息網絡主要包含雷達設備、地面監測設備、地空通信設備以及自動化設備等，通過不同類型的前端裝置進行數據的采集工作，其中數據庫以及數據傳輸網絡是所采集數據進行交互傳遞的核心通道，所建立的空管系統已經實現信息資源的集中管理以及數據采集裝置的全覆蓋。民航空管網絡可以將飛機的實時飛行信息進行采集和存檔，并將相關信息傳送給計算機，對信息進行處理，將處理結果上傳給管理人員，為技術分析人員、管制員以及飛行員提供技術支持和數據支持。然而當前國內還沒有針對民航空管網絡進行專門的安全性建設，造成許多民航空管信息系統長期存在信息安全漏洞，信息防火墻建設還處于空白階段。在管理方面，缺乏專門的硬件設計和軟件管理人員，空管網絡一旦出現問題，通常需要由設備供應商來進行維護和修理，造成空管信息系統的失效，空管運行工作得不到有力的保障。

二、構建我國民航空管網絡與信息管理體系

由于民航空管系統具有工作量繁復、技術難度大以及信息網絡覆蓋面廣等特點，這就需要民航企業根據自身的特點來建立起一個與空管網絡相適應的信息安全管理體系，信息安全管理體系的建設需要從以下幾個方面出發。

（一）完善信息安全管理機制，保障資源配給

空管網絡信息十分復雜，建設網絡安全管理體系，需要對空管網絡系統進行深入的研究，深入理解系統中每一部分的運行機制和作用。在管理方面，從制度上給予充分的保障，民航空管部門可以組建一支專門的安全管理隊伍。在人員選拔方面，需要重點起用專門的網絡信息技術人員，不僅要具備扎實的IT功底也要具有過硬的管理經驗，熟知管理學的一般規律。網絡信息管理技術團隊要專注于信息安全管理體系的構建和相關技術的研發，可以與相關企業、科研單位以及學校開展合作，共享研發資金和研發成果，引進國外先進的信息安全管理系統，并在原有模型上進行有針對性的優化與改良。將豐富的軟硬件資源投入到重要功能的補充上，在資金和人才上給予充分的保障。

（二）評估現有資源，量化安全管理標準

信息安全管理系統的建設與完善需要輔之以先進的管理手段和邏輯分析手段，對開發工作和建設流程進行量化資源評估，對信息網絡操作管理、信息局域網安全性能、數據庫防火墻設置、信息傳播渠道以及信息采集前端布置進行量化考核，明確建設過程所有的技術指標，與國際民航的相關標準相結合，引入國外安全管理規范，制定準確的安全警告觸發標準，增強安全管理系統的靈活性、機動性和可靠性。

（三）重視技術研發，及時升級換代

當前我國正處于信息技術發展的黃金時代，更新換代十分快速，安全問題的具體表現也處于不斷變化之中。新形勢下，信息安全管理系統不僅要識別出現安全問題的部位，也要給出安全隱患出現的原因以及安全問題的解決方案。防火墻技術作為一種主要防御技術，是目前有效提高民航空管網絡安全性的技術手段。面對網絡安全問題日益突出的形式，對于防火墻的識別性能和隔離性能也提出了更高的要求，這就要求管理人員對管理系統進行規范化操作。另外，研發人員要不斷地對信息安全管理體系進行優化與升級，及時補修管理系統中存在的漏洞，提高信息網絡的安全性。結束語民航空管系統不是固定不變的系統，隨著相關設備以及前端硬件和升級，技術人員需要對空管系統進行不斷的調整，以適應相關硬件的變化，信息化管理是民航空管發展的重要趨勢，信息安全管理對于民航空管工作有著十分重要的意義，需要業內研發人員對其進行持續不斷的研究，為我國民航事業的進步作出貢獻。

作者:李雅靜 單位:中國民用航空西北地區空中交通管理局青海分局

參考文獻：

[1]許婷.民航空管中計算機網絡信息安全分析[J].硅谷.2014(20)

第8篇：信息安全與管理范文

〔關鍵詞〕圖書館；網絡信息安全管理；模型

doi：10.3969/j.issn.1008-0821.2014.02.016

〔中圖分類號〕g250.7 〔文獻標識碼〕a 〔文章編號〕1008-0821（2014）02-0076-06

借助于網絡高新技術的發展，新的信息資源形態和使用方式，給圖書館讀者帶來便利的同時也必然存在許多隱患。計算機網絡分布的廣域性、開放性和信息資源的共享性，為信息的竊取、盜用、非法的增刪、修改及種種擾亂破壞，提供了極為方便且難以控制的可乘之機，圖書館信息服務的權益及監督得不到有效的保障；同時，由于計算機網絡的脆弱性，圖書館的網絡系統本身經常處于黑客的攻擊之中，一旦圖書館網絡出現故障，輕則信息服務得不到有效保障、數據丟失，重則整個圖書館處于癱瘓境地。因此，在信息化時代，圖書館信息安全顯得尤為重要，構建圖書館網絡信息安全管理模型來保證網絡信息安全，使其高效運行是圖書館現代化建設中一項迫在眉睫的重要任務。

1 信息安全管理概述信息安全管理，是指實施和維護信息安全的原則、規劃、標準和內容的綜合，包括信息安全策略、信息風險評估、信息技術控制和信息安全意識等。這些內容在一個信息安全治理框架下相互協調、相互說明，從而為組織提供全面的信息安全規劃。它結合技術、程序和人員，以培養信息安全文化為目的，最終實現信息資產風險的最小化。為對信息安全內容有一個全面深入的了解，本文從信息安全原則、信息安全規劃、信息安全標準和信息安全內容4個方面進行詳細的論述，從而為圖書館網絡信息安全管理模型的構建提供理論上的指導。

1.1 isa信息安全原則為保護組織的信息資產免遭威脅，tudor提出了一個全面靈活的信息安全架構方法（information security architecture，簡稱isa），這種方法提出5個關鍵性的信息安全原則（見表1）[1]。這些原則，可以了解組織工作的風險環境并對其實行評估和控制，從而減少這種風險；強調遵守國家信息安全法規的重要性，確保組織的機密信息受到國家的保護；涵蓋信息安全技術與過程，滿足組織信息安全的需要。表1 isa信息安全原則

原 則含義或目標1安全組織和基礎設施確定角色、職責和執行贊助。2安全政策、標準和程序制定政策、標準和程序。3安全規劃風險管理納入安全規劃。4安全文化意識和培訓通過用戶培訓提高安全意識。建立用戶、管理和第三方之間的信任。5監控規范監控內外部的信息安全。

1.2 cmm信息安全規劃為給組織提供一整套信息資產免受未經授權的訪問、修改或銷毀的信息安全整體規劃，mccarthy和 campbell構建了能力成熟度模型（capability maturity model，簡稱cmm）[2]。該模型包括7個信息安全規劃內容（見表2），目標是從戰略層面開始并用戰略水平去指導技術等方面的工作，在評估當前信息安全風險的基礎上構建合適的解決方案以減輕風險，并在實踐過程中對各解決方案集成應用與監控。表2 cmm信息安全規劃

規 劃含義或目標1安全領導安全贊助、安全策略以及投資回報。2安全規劃安全規劃程序、資源和技能。3安全政策安全政策、標準和程序。4安全管理安全操作、監控和隱私。5用戶管理用戶安全管理和意識。6信息資產安全應用程序的安全、數據庫/元數據的安全、主機安全、內外部網絡安全、殺毒及系統開發。7技術保護與持續性物理和環境控制與持續規劃控制。

3 protect信息安全標準在eloff.j.h和eloff.m所主持研究的“protect”項目，是政策、風險、目標、技術、執行、合規性和團隊的英文首字母的縮寫，對信息安全管理及標準進行了綜合的介紹[3]。“protect”項目涉及各種集成控制的方法，在確保組織的有效性和效率的基礎上盡量減少風險，目的是全方面解決信息安全的問題。為實現項目目標，該項目提出了7個信息安全標準（見表3），確保信息安全規劃從技術術和人文角度得到有效的實施和管理。

1.4 iso/iec 17799和iso/iec 27001信息安全內容國家標準組織（iso）指出信息安全技術是實現信息安全管理的關鍵點，通過技術對信息系統進行安全性控制，是信息安全管理的重要內容。

了更好地實現信息安全控制，iso提出了11個具體的信息安全控制內容（見表4），這些內容已成為國際上通用的信息安全內容的重要標準，即通常所說的iso/iec17799[4]。而iso/iec 27001是iso/iec 17799的第二部分，提出了包括操作、監控、審查、維護和提高等一系列持續改進信息安全管理系統的方法與過程[5]。表4 2 圖書館網絡信息安全內容的選取與管理模型的構建 前文所述的信息安全管理的原則、規劃、標準及內容是基于整個信息社會行業而言的，具有一定概括性且4個方面之間存在著重復性，為了構建出更具針對性的圖書館網絡信息安全管理模型，筆者根據圖書館的特性對信息安全管理的原則、規劃、標準和內容進行選取與整合，構建出符合圖書館應用要求的信息安全管理模型。

2.1 圖書館網絡信息安全內容的選取圖書館網絡信息是對外開放并以支持教學和科研為目的。在這種情況下，網絡信息安全是指讀者未經授權無權使用、移動、修改和破壞圖書館信息。在對圖書館信息采取安全保護措施時必須確保其具有以下屬性：①保密性：確保圖書館隱私信息的安全。此類信息必須嚴格控制讀者訪問量，只能授權一定級別的讀者訪問；同時，有權限訪問圖書館隱私信息的讀者也不能向公眾透露相關的隱私信息。②完整性：確保圖書館信息是準確、完整并具有持久性。因此，圖書館信息安全管理要確保圖書館信息內容不是殘缺不全的、失蹤的、腐朽的、任意放置的，外借、故意或意外變化不會邊緣化，在盜竊或破壞中具有安全性。③可用性：讀者在授權時間內能無限制地訪問并獲取圖書館信息。圖書館必須有一個安全穩定的信息管理（網絡）系統來支撐圖書館的運行，確保圖書館信息能及時傳遞而不會被延誤。在維護圖書館信息安全的同時確保圖書館信息的保密性、完整性及可用性不缺失，這就要求在構建圖書館網絡信息安全管理模型時對信息安全內容的確定帶有一定的甄別性，不能將信息行業安全管理的所有原則、規劃、標準及內容全部應用于圖書館安全管理。根據圖書館信息的特性，本文從管理、運行與操作、人員、建筑與技術及安全文化5個維度對圖書館信息安全的內容進行了選取，這5個維度的具體內容在圖書館網絡信息安全管理模型中將會詳細論述。

2.2 圖書館網絡信息安全管理模型的構建圖書館網絡信息安全管理目標是為圖書館網絡信息安全保護提供整體性方案，結合管理、運作流程、人文、建筑與文化氛圍來保證圖書館信息安全管理達到一個合理水平，從而保證圖書館信息風險最小化。為實現這一目標，abashe atiku maidabino和zainab在滿足圖書館信息的特性上，將da veiga和eloff構建的“房屋模型”[6]加以簡化與融合，構建出圖書館網絡信息安全管理模型[7]，見圖1。該模型將所有信息安全因素集合，確保圖書館信息能夠得到充分保護，同時為圖書館提供一個全面的方法和工具來實施和評估信息安全管理。模型內容主要集中于5個維度：（1）管理維度：正確的領導，政策與程序到位；（2）流程和操作維度：包括實施過程、政策；（3）人員維度：讀者/館員信息安全意識和圖書館信息安全項目培訓；（4）建筑和技術維度：支持館藏信息安全項目；（5）安全文化維度：將圖書館館藏信息安全理念有意識地植入館員日常工作中[8]。圖1 圖書館網絡信息安全管理模型

管理維度是指一組角色的規定，信息安全政策制定與管理由負責制定目標和政策的安全管理團隊成員行使，從而確保目標和政策的實現，信息風險的評估與管理。圖書館的安全管理團隊由圖書館各部門高級管理人員和安全部門的人員組成。這些成員應具備必要的信息應用和安全管理方面的經驗和知識，這些成員被授權管理時能夠遵守信息安全政策。信息安全管理責任是模型中管理維度的重要部分，這就要求圖書館應規劃與制定精確的信息安全管理策略，明確風險管理的目標和方向。信息安全風險評估在圖書館各級安全規劃風險設置中處于優先級別。館藏信息定期風險評估規則的編制涉及圖書館資產類型、收藏價值、識別可能出現風險的威脅、漏洞和成本分析等詳細的情況。信息安全漏洞可以通過會議、問卷、觀察和報告來確定。通過信息安全漏洞的監測和風險評估過程的完善可以降低圖書館信息安全的風險，并能緩解圖書館的一些過度的承諾。管理維度強調要為圖書館信息管理、記錄、維護、審查、更新風險管理政策和程序編寫報告，通過快訊、交互式網頁及其他內部刊物在館員與讀者之間

廣泛宣傳館藏信息安全管理的必要性，將信息安全意識植入館員與讀者腦袋。這一維度有利于為圖書館提供良好的館藏安全管理信息。流程與操作維度是指信息安全管理團隊為圖書館各相關部門制定信息安全管理運行方案的過程。分別是：（a）采訪部：參與接收，標記并建立可用于識別丟失、錯放地方和費用的庫存清單，以便于圖書館備份和恢復；（b）流通部：創建手工或計算機系統對圖書館紙質信息進行丟失、被盜、錯位、濫用、損壞等方面進行盤點，通過訪問控制和信息的記錄與跟蹤，確保圖書館信息安全系統的修理與維護；（c）編目、技術部：通過圖書館opac系統對館藏信息集合進行處理，應用圖書館識別標記建立和驗證館藏信息所有權，標識未經處理的信息并進行訪問控制；（d）特藏部：對有價值的館藏信息載體進行保護與保存，授權訪問與監控。人員維度是指讀者和執行安全管理政策與程序的館員的安全意識。它規定圖書館需要闡明信息安全管理人員的角色和責任，對館員進行有效的安全意識培訓，幫助他們獲得處理安全事件、準備可靠實用安全報告的知識。建筑與技術維度涉及信息安全管理所需要的建筑與技術氛圍。建筑氛圍是指信息安全管理措施應與圖書館建筑的物理結構和藏書空間融為一體：控制圖書館出入口；需要id卡身份識別進入圖書館特別是特別館藏區域；制定保安巡邏圖書館的時間表。技術氛圍包括技術實踐和嵌入到館藏安全應用規劃中的各種程序。它強調使用電子安全系統等技術設備來處理館藏應用過程，控制安全漏洞，并在圖書館出入口點安裝安全系統。這就意味著圖書館需要安裝電子反盜竊設備、可視化相機、煙感探測及出入口、閱覽區報警系統等安全設備。這將有助于防止圖書館藏書的丟失和對閱讀區、參考咨詢區及書庫進行可行性監控和讀者流量的檢測。安全文化維度作為圖書館網絡信息安全管理模型構成基礎的安全文化，包括讀者和館員對圖書館信息重要性的態度、信息保護存在的安全漏洞、信息相關事件的意識、阻礙或限制信息安全管理系統有效性的意識。意識是一個看不見但可以通過行為來證明的元素，如（a）圖書館館員的館藏信息安全政策和管理過程的認識水平；（b）館員對安全政策和程序重要性的態度；（c）安全漏洞和安全驗收責任的意識[9]。圖書館網絡信息安全管理模型中的安全文化是一種安全責任相互共享的文化，安全人員能夠相互提供信息和工具來應對各種安全情況。這種態度與意識能夠確保圖書館信息安全治理、管理和運行的有效性。圖書館網絡信息安全管理系統在權重一致的5個維度的相互作用下，在館藏信息得到安全管理的同時還能確保其在保密性、完整性和可用性上維持在一個合理的水平。

3 圖書館網絡信息安全管理模型應用方案目前，在圖書館的計算機網絡上有館藏書目信息、讀者信息、各種電子文獻數據庫、光盤數據庫檢索系統、圖書管理系統、特藏數據庫等內容[10]。這些電子資源信息如果受到破壞，那么損失將會非常慘重，很可能會造成整個圖書館系統癱瘓。就目前的狀況來看，圖書館所面臨的網絡信息安全問題主要有黑客攻擊、計算機病毒、網絡物理設備安全隱患、網絡設備配置安全與人員造成的安全隱患等方面。為了預防與應對上述隱患對圖書館可能會帶來的網絡信息安全故障，圖書館應按照網絡信息管理模型5維度的要求，建立起科學、規范、有效的網絡信息安全管理流程（見圖2），將網絡信息安全隱患處理于萌芽之中。圖2 圖書館網絡信息安全管理流程

應用圖書館網絡信息安全模型處理網絡信息安全故障，其管理流程可分為3個階段：故障初排階段、故障處理階段與評估階段。在故障初排階段，圖書館工作人員或讀者在應用圖書館的過程中，如果發現信息安全故障，應及時進行隱患初排并上報技術部，由技術部工作人員對該事件進行了解，并請求技術部主管上報給以館領導為主的信息安全管理團隊；在故障處理階段，技術部工作人員根據事件了解進行安全故障檢查并調查影響范圍，從而形成第一次進程報告，并將其上報給館領導，由館領導進行資源調度后，技術部應急搶修；技術部附上應急搶修進程報告上報給館領導形成第二次進程報告，然后結案、審核并歸檔；在評估階段，各部門對此次信息安全故障事件進行評估總結。圖書館網絡信息安全管理模型是以人為核心的信息安全保障體系，它強調的不是技術問題，而是管理的問題。圖書館網絡信息安全在以館領導為核心的安全管理團隊的

領導下，在工作人員、讀者的共同配合下，依靠科學的管理流程，定能將圖書館網絡信息安全管理達到一個全新的層次。 　4 結束語構建一個適應計算機網絡普遍應用的圖書館網絡信息安全管理模型，不僅是適應新形勢的需要，也是圖書館信息數字化建設的重要組成部分。隨著圖書館社交網絡應用的普及，圖書館信息將面臨更大的開放性和更多的安全方面的挑戰。圖書館網絡信息安全管理模型是一個包括技術、管理、人員和安全文化等多個環節整體性很強的體系，不能孤立或靜止地看待和解決問題，網絡信息安全性的提高依賴于不斷的技術進步和應用，依賴于管理的逐步完善和人員素質的全面提升。相關人員應根據網絡信息的特點和需求，進行有針對性的系統設計，不斷地改進和完善網絡技術的安全工作，更好地推動圖書館網絡事業健康發展。

參考文獻

[1]j.k.tudor.information security architecture—an integrated approach to security in an organization[m].boca raton，fl：auerbach.

[2]mccarthy m.p，campbell s.security transformation[m].mcgraw-hill：new york.

[3]eloff j.h，eloff m.integrated information security architecture[j].computer fraud and security，2005，（11）：10-16.

[4]iso/iec 17799（bs 7799-1）.information technology，security techniques[s].code of practice for information security management，britain.

[5]iso/iec 27001（bs 7799-2）.information technology，security techniques[s].code of practice for information security management，britain.

[6]a.da veiga，j.h.eloff.an information security governance framework[j].information systems managenment，2007，（4）：361-372.

[7]abashe maidabino，a.n.zainab.a holistic approach to collection security implementation in university libraries[j].library collection，acquisitions & technical services，2012，（36）：107-120.

[8]sipone m.t.five dimensions of information security awareness[j].computer and society，2000，（6）：24-29.

[9]holt g.e.theft by library staff[j].the bottom line：managing library finances，2007，（2）：85-92.

第9篇：信息安全與管理范文

關鍵字：電子信息；信息安全；安全管理；措施

隨著國民經濟水平的提高，人們日益增長的物質文化需求給電子信息產業帶來了前所未有的挑戰，一時之間全球化、信息化的發展日趨明顯。無論在哪個行業，以計算機網絡為基礎的電子信息技術開始進入我們的生活。

1 電子信息安全管理的定義

首先我們來看什么是電子信息。電子信息工程是一門應用計算機等現代化技術進行電子信息控制和信息處理的學科，主要研究信息的獲取與處理，電子設備與信息系統的設計、開發、應用和集成。那么信息安全則是用來如何保證這些信息在存儲和傳遞的過程中保護信息的保密性、真實性和完整性。總體來說，電子信息安全管理就是信息安全技術和信息安全管理的統稱。

2 信息時代背景下，電子信息安全管理的重要性

（一）全面維系網絡秩序

隨著當前社會經濟的發展進程的不斷加快，互聯網時代已經全面到來，人們的事件溝通和傳遞也從面對面交談變成了電腦、手機的信息交流，因此人們愿意將更多的信息在網上進行展示和溝通，電子信息使用的面積不斷擴大，網絡的安全性也被提到日程上來，網絡黑客、病毒已成為威脅電子信息安全管理的主要因素。 要想更好的發展電子信息產業，就要在當前信息時代背景下，做好電子信息安全管理，只有這樣才能夠全面建立維系網絡安全的秩序，從而不斷地實踐網絡和電子信息技術安全管理能力，為新形勢下的電子信息安全管理提供更多的實用價值。

（二）促進社會經濟的穩定性發展和建設

電子信息安全管理是為了適應當前的社會經濟發展的要求而產生的，因為電子信息安全管理不僅能夠提升網絡運營中的安全保障，還能將有效的投資進一步的付諸于實踐中。特別是在企業運行中，只有更好的執行電子信息安全管理，明確相關的職責、條例，才能不斷提升企業的工作效率，促進公司組織結構的優化，從而創造更多的經濟價值。以便更好地服務于社會，推動社會在變革創新中的總體經濟發展。

（三）提升國民對電子信息安全管理的認識

隨著互聯網技術的高速發展，要想全面開展電子信息安全管理，需要全民一起的努力，只有大家積極的學習電子安全管理的相關知識，才能在運用中避免錯誤，不給黑客等具有威脅性的組織任何機會。因此，具體到日常的使用電腦中，企業的工作人員要及時的更新殺毒軟件，養成良好的用電腦習慣，做好實時監控，加強理論學習，提升安全管理意識。

3 信息時代電子信息安全管理存在的問題

電子信息的快速發展對社會的進步有著重要的作用，不僅提高了信息處理的效率，還讓工作中各個部門之間有了更有效的配合。但在高速發展的電子信息產業發展的同時，我們也應該看到電子信息安全管理存在的一些問題。

（一）未形成相關的制度體系

目前，我國在信息安全管理方面還沒有一套完整的法律法規。政府部門在監管的時候也無法可依，導致管理漏洞和不到位現象層出不窮，造成資源和財產的損失，因此相關部門要盡快制度明確的法律法規，為電子信息安全做好應有的保障。

（二）安全管理的局限性

電子信息產業的高速運行，讓它的發展有著自己的軌跡，但是在電子信息安全管理方面的發展卻有著不容忽視的局限性。各個行業都存在自己的電子信息工作中不斷創新，卻沒有一個統一的體系，在安全管理中十分散亂。再加上沒有相應的制度，在管理中會出現交叉和不夠完善的狀態出現，這都會對管理帶來一些不好的影響。同時管理和維護中設備更新的不夠及時，或者是網格管理維護人員技術不到位，防范意識差等等也會對安全管理帶來局限性。

4 信息時代背景下，電子信息安全管理的主要措施

針對電子信息安全管理工作中出現的問題，我們應該積極做好應對措施，通過一系列的手段，加大電子信息安全管理工作。

（一）建立電子信息安全管理的思想意識

在電子信息安全管理中，首先要給相關人員建立安全管理的意識，在對社會各個方面進行電子信息安全管理時，只有認識到各種網絡安全威脅，做到意識先行，才能在日常工作中指導實踐落到實處，從而進行有效和科學的開展信息安全管理工作。

（二）建立企業專門的電子信息安全管理部門

為了更好的解決企業的網絡威脅問題，企業內部應主動建立電子信息安全管理部門，做好網情監控，針對企業內部的網絡狀況進行全面的檢查和維護管理。從而保護企業資源，提高工作效率。與此同時，還要肩負起制定本企業電子信息安全管理條例的責任，嚴格按照內部管理制度和計算機使用要求開展工作，對后臺權限等問題進行控制，促進企業在良性的軌道中前行發展。

（三）實施企業內部的紙質檔案管理和電子信息安全管理相互結合

具體到企業內部實際信息安全管理中，在原有紙質檔案管理的基礎上，應運用先進的技術，與電子信息安全管理相結合，開展內部員工的電子檔案。電子檔案可以快速提取所要查詢的內容，在保障紙質檔案完整性留存的基礎上，電子檔案更有針對性，可反復查詢，提高了檔案管理人員的工作效率。但我們在實施的過程中也要注重這方面的電子信息安全管理工作，做好加密工作，防止黑客盜取資料內容，避免信息丟失等現象。

（四）提升電子信息安全管理人員的自身素質

因為電子信息安全管理的本身具有較多的技術要求和理論要求，因此對相關操作人員各個層面上的要求也十分重要。電子信息安全管理人員不但要及時排查有可能的安全隱患，還在在發現問題是及時處理，避免危險進一步擴大。隨著科技的不斷發展，電子信息安全人員還要做到與時俱進，及時補充當前最新的技g，加強學習，發揮主觀能動性，不斷提升個人素質，從而全面做好電子信息安全管理工作。

5 結語

綜上所述，電子信息安全管理工作是一個系統完善的工程，需要各方面的統一協調和配合，并且是一項長期而又艱巨的任務，需要相關人員不斷的探索和實踐。只有這樣才能在紛繁復雜的網絡環境中，建立安全可靠的管理系統，為現代化社會發展貢獻更大的力量。

參考文獻