發布時間:2023-03-01 16:24:58
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全培訓總結樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
摘 要 企業信息化程度發展到一定水平,從防火墻、入侵檢測等安全硬件到文檔防泄密、行為管理等安全軟件,技術上都比較成熟且大部分企業都已實施部分安全項目。但實施安全項目之后并不是高枕無憂,管理是否到位及企業員工安全意識成為企業信息安全的短板,如何從管理角度提高企業的信息安全水平,已成為一個重要的課題。
關鍵詞 信息安全;管理;意識
中圖分類號TP39 文獻標識碼A 文章編號 1674-6708(2012)70-0171-02
從安全軟硬件出發,大多安全實施廠家已有較成熟的方案,一旦項目實施完成后,企業往往容易忽略人員意識、IT審計、后續管理等因素對信息安全的影響。本文就如何解決企業信息安全短板,從管理角度進行探討。
1 管理安全的含義和IT審計的特點
從大的方面來說,信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。直接反映到企業來說,就是要通過實施一整套適當的控制措施實現企業各業務系統正常運行,確保安全目標的實現。本文從管理角度探討企業的信息安全,可以簡稱為管理安全,它是指建立并有效落實企業規章制度、安全管理規定等,來保證系統安全生存與運行。
企業安全管理的規章制度是否運行有效直接關系到企業安全目標能否保障,在此管理過程中需要引入IT審計。IT審計重點內容之一就是發現信息系統的潛在風險,可以說企業信息中心對潛在的IT風險是比較重視的。IT審計相對技術而言,更多側重于管理,比如在安全策略方面更側重于訪問授權的控制,以及定期核查是否按相關信息化制度辦事,還有就是有無進行過適當的滲透去檢驗系統的可靠性等。實施IT審計能夠提高企業信息系統的安全性,能夠客觀評價信息系統安全現狀。
2 從管理角度看企業中存在的主要信息安全威脅
1)企業日常信息化管理中,會碰到以下一些現象,如:明知計算機病毒無孔不入,卻不安裝殺毒軟件;個人認證的物品(如員工門禁卡)隨意借用他人;進入門禁系統之后,對他人尾隨不理不問;移動存儲介質外借他人,卻不知可能造成感染病毒或泄密;打印服務器、掃描服務器等公用電腦臨時存放許多信息卻不刪除。
從上述現象中可以得知,企業員工信息安全意識淡薄會產生較多安全漏洞。據《2011年度中國企業員工信息安全意識調查報告》顯示,30%的受訪者從來沒有接受過信息安全培訓,只有30%的企業會進行定期的信息安全培訓[1];
2)企業信息安全項目做的深度是與企業信息化發展水平相關的,一般企業會根據本身的信息化水平發展程度分步驟進行。企業初始階段會通過封USB端口,不配置光驅等形式防止電子文檔傳播至外界。現階段已有部分企業關注電子文檔防泄密的軟件,同時配以相應的制度,從一定程度上能達到預期的效果。項目實施后往往會發現效果難以保持,因為企業缺少相關的信息安全審計人員,在審計工作不到位的情況下,安全軟件的審計功能無法體現其價值;
3)企業通過安全軟件對電子文檔進行管理,在實物管理方面缺乏措施。辦公室文印區域是企業信息泄密的源頭之一,外單位人員進入企業進行交流時,通常會經過辦公室文印區域,員工打印文件后如不及時拿取,容易將技術資料留在在打印機上,給有心之人獲取,容易造成泄密。計算機、筆記本等辦公設備故障外移送修,送修前未經過審核批準,不對硬盤做處理,上述這些日常辦公現象存在著信息安全漏洞[2]。
3 信息安全短板的對策措施——強管理
盡管企業防火墻、防毒墻等安全硬件設施或安全軟件都較齊全,但是采取恰當的管理措施也能有效的提高信息安全水平,最終有效地保護企業信息資產。本文總結了以下幾種管理方法并加以說明。
1)提高員工安全意識,關鍵是做好培訓。一方面企業信息中心要組織好講師及培訓素材。培訓素材可結合生活中的信息安全案例或者通過動畫情景介紹等較生動的方式,寓教于樂,讓每個企業員工明白數據等無形資產的重要性,理解數據信息安全是企業的生存發展壯大的法寶。在培訓方式上,可采用循序漸進的培訓方式,不急于求全,可從最基本的啟用標準的計算機密碼(如大小寫字母+數字)、離開座位時使用屏保等開始培養。后續可陸續完善公司規章制度,同時認真落實,要讓員工真正懂得防止泄密的辦法;
2)通過IT審計嚴把信息安全管理關。企業做好IT審計,從以下幾方面入手:一方面是人才培養,企業審計部門需要引入類似IT審計師的角色,盡管現階段大部分中小企業未能做到這一點,但可參照國際上通用的認證培訓——國際信息系統審計師,把企業信息管理人員送出外培,提高兼職型IT審計人員的技術水平及能力;另一方面是IT審計人員職責要明確,從實踐上看,IT審計人員工作內容包括查看企業人員是否按照已有的規章制度進行審批手續、定期將審計報表反饋給高層,監督整改落實的情況及效果驗證,使企業自上而下重視信息安全管理;
3)讓安全軟件的審計功能發揮作用。市場上的電子文檔防泄密系統提供日志審計功能。日志系統主要用來跟蹤和記錄用戶對受控文件的操作、記錄管理員設定的策略和操作。企業系統管理員要對文件日志、部門日志、計算機日志、申請審批日志等進行定期檢查,同時發揮IT審計人員的監督作用,才可讓安全軟件的審計記錄發揮作用;
4)利用刷卡認證方式管理文檔輸出。辦公類信息安全管理方面,涉及到各類業務系統的賬戶管理、文檔輸出管理、存儲設備管理等。現有企業一般是通過制度約束,但效果不明顯,這里結合新的管理方式對文檔輸出管理進行說明。一般我們不會一直等在打印機旁,沒有把打印好的資料及時拿走。而所打印的資料大多是技術圖紙、商務合同、計劃等資料,讓人不經意地看到相關內容及敏感信息。要減少因遺忘而將已輸出的文檔滯留在文印設備上,可結合IC刷卡認證的方式,企業通過為文印設備配備一些讀卡器,只有當刷員工卡時,文檔才從文印設備輸出,員工可即刻拿走。
總之,企業信息安全是一個多點因素的難題,涉及技術、管理、應用等方面,隨著企業信息化的發展,各類信息系統及軟件資產不斷增多,從管理角度保障信息安全,增強企業員工安全意識,成為企業成長的重中之重。
參考文獻
信息安全防護要考慮不同層次的問題。例如網絡平臺就需要擁有網絡節點之間的相互認證以及訪問控制;應用平臺則需要有針對各個用戶的認證以及訪問控制,這就需要保證每一個數據的傳輸的完整性和保密性,當然也需要保證應用系統的可靠性和可用性。一般電力企業主要采用的措施有:
1.1信息安全等級保護
信息安全等級保護是對信息和信息載體按照重要性等級分級別進行保護的一種工作,工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。要積極參與信息安全等級定級評定,及時在當地公安機關進行備案,然后根據對應等級要求,組織好評測,然后開展針對性的防護,從而提供全面的保障。
1.2網絡分區和隔離
運用網絡設備和網絡安全設備將企業網絡劃分為若干個區域,通過在不同區域實施特定的安全策略實現對區域的防護,保證網絡及基礎設置穩定正常,保障業務信息安全。
1.3終端安全防護
需要部署(實施)防病毒系統、上網行為管理、主機補丁管理等終端安全防護措施。通過這些安全措施使網絡內的終端可以防御各種惡意代碼和病毒;可以對互聯網訪問行為監管,為網絡的安全防護管理提供安全保障;可以自動下發操作系統補丁,提高終端的安全性。
2.構建信息安全防護體系
電力企業應充分利用已經成熟的信息安全理論成果,在此基礎上在設計出具有可操作性,能兼顧整體性,并且能融合策略、組織、技術以及運行為一體化的信息安全保障體系,從而保障信息安全。
2.1建立科學合理的信息安全策略體系
信息安全策略體系包括信息安全策略、信息安全操作流程、信息安全標準以及規范和多方面的細則,所涉及的基本要素包括信息管理和信息技術這兩方面,其覆蓋了信息系統的網絡層面、物理層面、系統層面以及應用層面這四大層面。
2.2建設先進可靠的信息安全技術防護體系
結合電力企業的特點,在企業內部形成分區、分域、分級、分層的網絡環境,然后充分運用防火墻、病毒過濾、入侵防護、單向物理隔離、拒絕服務防護和認證授權等技術進行區域邊界防護。通過統一規劃,解決系統之間、系統內部網段間邊界不清晰,訪問控制措施薄弱的問題,對不同等級保護的業務系統分級防護,避免安全要求低的業務系統的威脅影響到安全要求高的業務系統,實現全方位的技術安全防護。同時,還要結合信息機房物流防護、網絡準入控制、補丁管理、PKI基礎設施、病毒防護、數據庫安全防護、終端安全管理和電子文檔安全防護等細化的措施,形成覆蓋企業全領域的技術防護體系。
2.3設置責權統一的信息安全組織體系
在企業內部設置網絡與信息安全領導機構和工作機構,按照“誰主管誰負責,誰運營誰負責”原則,實行統一領導、分級管理。信息安全領導機構由決策層組成,工作機構由各部門管理成員組成。工作機構一般設置在信息管理部門,包含安全管理員、系統管理員、網絡管理員和應用管理員,并分配相關安全責任,使信息安全在組織內得以有效管理。
2.4構建全面完善的信息安全管理體系
對于電力企業的信息安全防范來說,單純的使用技術手段是遠遠不夠的,只有配合管理才能提供有效運營的保障。
2.4.1用制度保證信息安全
企業要建立從指導性到具體性的安全管理框架體系。安全方針是信息安全指導性文件,指明信息安全的發展方向,為信息安全提供管理指導和支持;安全管理辦法是對信息安全各方面內容進行管理的方法總述;安全管理流程是在信息安全管理辦法的基礎上描述各控制流程;安全規范和操作手冊則是為用戶提供詳細使用文檔。人是信息安全最活躍的因素,人的行為會直接影響到信息安全保障。所以需要通過加強人員信息安全培訓、建立懲罰機制、加大關鍵崗位員工安全防范力度、加強離崗或調動人員的信息安全審查等措施實現企業工作人員的規范管理,明確員工信息安全責任和義務,避免人為風險。
2.4.3建設時就考慮信息安全
在網絡和應用系統建設時,就從生命周期的各階段統籌考慮信息安全,遵照信息安全和信息化建設“三同步”原則,即“同步規劃、同步建設、同步投入運行”。
2.4.4實施信息安全運行保障
主要是以資產管理為基礎,風險管理為核心,事件管理為主線,輔以有效的管理、監視與響應功能,構建動態的可信安全運行保障。同時,還需要不斷完善應急預案,做好預案演練,可以對信息安全事件進行及時的應急響應和處置。
3.總結
關鍵詞:校園網絡、安全維護、病毒防治
前言
目前,許許多多的中職院校都已建成了校園網,教師和學生都很享受著校園網所帶來的從備課到發表論壇的種種方便。但是,隨著計算機技術迅速發展的同時,計算機病毒也呈現出高速增長的態勢,并且傳播能力及破壞性越來越強,近年來,網絡化病毒開始大肆侵襲,網絡已成為計算機病毒快速、方便地傳播的第一途徑。在當前教育教學深化改革的攻堅時期,校園網絡信息的安全維護正在逐漸成為各大院校計算機信息化管理研究的熱門課題。
一、校園網絡信息安全當前的危機
近幾年,全球信息網絡安全呈現出一些新特點,主要體現為:網絡威脅形式多樣,經濟利益成為網絡攻擊的最大驅動力;網絡攻擊呈現出組織嚴密化、行為趨利化、目標直接化的趨勢。網絡欺騙手段進一步升級,黑客不光利用電子郵件和網站進行詐騙,具有“網絡釣魚”性質的病毒也開始出現,勒索軟件、網絡游戲、網絡銀行盜號木馬等被廣泛使用,都充分說明了經濟利益已成為網絡攻擊的最大驅動力。然而,校園網中的計算機數量較多,但使用者的防毒水平參差不齊,管理措施的不到位,都造成校園網中計算機病毒常常肆意橫行,干擾系統的正常運行,也造成計算機運行速度變慢、頻繁死機,軟件不能正常使用等現象,甚至造成數據被破壞、網絡及服務器癱瘓等問題,嚴重影響正常的教學、科研等工作。 可見病毒防范已成為校園網日常管理中的一項非常重要的內容,必須從管理、技術和應急措施三方面互相配合,才能確保校園網的正常工作。
二、管理的改進方略
各大院校應根據學校實際建立病毒防治制度和病毒防治組織,將病毒防治工作落到實處。 然后,建立快速、有效的病毒應急體系,網絡病毒不斷發展的今天,病毒疫情更加呈現出突發性強、涉及范圍廣和破壞力高的特點。為了有效降低病毒的危害性,提高對病毒的防治能力,學校的病毒防治組織要注意國家計算機病毒應急處理中心的病毒疫情,以便在爆發病毒疫情時,及時做好預防工作,減少病毒造成的危害。加強網絡安全培訓:學校根據病毒防治制度,建立二級安全培訓課程,采用分級培訓,普通網絡用戶,通過一級安全培訓提高安全防范意識,掌握基本的病毒防治技術。網絡管理員通過二級培訓全面了解掌握針對校園網系統的病毒防治技術和管理方法。建立病毒事故分析制度:對發生的病毒事故,要認真分析原因,找到病毒突破防治制度和防護技術的原因,及時提高病毒防治技術,并對調整后的病毒防治技術進行重新評估。建立系統恢復方案:系統恢復方案是為應急處理服務的,當發生病毒侵害造成網絡及服務器癱瘓時,為盡量將病毒造成的損失減少到最低,要盡快恢復系統。系統恢復方案主要包括應急處理時必須到位的技術人員,技術人員在系統恢復中的崗位角色,系統恢復的操作步驟等。
病毒預防是指在病毒尚未入侵或剛剛入侵還未發作時,就進行攔截阻擊或立即報警。要做到這一點,首先要清楚病毒的傳播途徑和寄生場所,然后對可能的傳播途徑嚴加防守,對可能的寄生場所實時監控,達到封鎖病毒入口,杜絕病毒載體的目的。
數據備份能夠有效的降低病毒的破壞性,還可以使受到病毒攻擊的關鍵數據得以恢復。對于應用系統來說沒有比數據備份更安全的措施了。網絡是一個開放的環境,隨時都可能受到硬件、軟件、人為或客觀因素造成的計算機系統拒絕服務。網絡安全具有相對性。數據備份應當是動態備份,如可以采用raid或定時靜態備份。進行備份時,為確保數據安全,應使備份數據與主機相分離,將重要數據備份到遠程客戶機上。
二、技術的防范建議
另外,除了采取必要的病毒防治措施外,我們日常工作中還需要培養良好的技術防范意識:
1:及時為WINDOWS打補丁,方法:打開IE――/工具(T)/――/ Win dows Update(U) / ――并按步驟更新原因:為WINDOWS打補丁是很很重要的,因為許多病毒都是根據WINDOWS的漏洞寫出來的。 當然360的修復漏洞更方便,不過剛剛看到有網友說有時候不能及時檢查出漏洞,不知道大家有沒有遇到過。
2:不瀏覽不安全的網站,把“INTERNET 安全性 屬性”的安全級別調高級。方法:雙擊IE右下方的小地球,按一下默認級別,向上移動滑塊,然后確定。原因:禁止網頁使用的控件,它就不能在你背后搞小動作了。說明:有些網頁是要使用正常的控件的,比如聽歌的看電影的網頁等等,這時你得把‘INTERNET 安全性屬性’調回中級。
3:下載后和安裝軟件前一定要殺毒,不明白那是什么東西不要打開他。原因:或許你下載的網站不會放病毒的軟件,但不排除它可能被人入侵,然后被放置帶病毒的軟件,總之安全第一。說明:下載后安裝前殺是個好習慣。下載軟件最好去官方。華軍的軟件還經常有捆綁什么的,特別煩。
4:經常更新毒庫殺毒。原因:病毒的發展是會不停止的,更新毒庫才能殺新的病毒。 所以說啊,不是說裝完了個殺毒軟件就萬事大吉了,不更新病毒庫等于沒裝。
5:不要安裝太多的IE的輔佐工具。原因:IE的輔佐工具之間可能有沖突,而且會占用一定的內存。說明:所謂請神容易送神難,在按‘確定’前一定要想清楚。
6:不需要安裝太多的殺毒軟件。原因:殺毒軟件之間也可能有沖突,而且會占用較多的內存。說明:一般來說要‘求精不求多’,通常安裝三樣功能:防病毒、防火墻、防木馬。
7:對電腦認識有一定水平的人可以對電腦的進行手動撿查方法:系統盤中的Autoexec.bat windows中的Msconfig.exe 和注冊表中Run啟動項說明(如果發現新的加載項目那你就得小心點了)。
8:重要文檔不要放在系統盤中,而且要備份好。
9:有能力的可以為系統盤做一個映象文件。如果碰到新的病毒,連殺毒軟件也沒能為力,只得還原映象了。總結:及時打補丁,經常升毒庫殺毒,不要打開不明的連接,上不安全的網站要調高級別,時常查看啟動項,不要打開或安裝來歷不明的文件,做好備份。建個系統盤映象。
四、總結與展望
總之,沒有安全保證的校園網絡就像沒有剎車的車子跑在高速公路上。互聯網絡的飛速發展,對校園網絡中師生的工作和學習已經產生了深遠的影響,網絡在我們的生活中已經無處不在。但在享受高科技帶來的便捷同時,我們需要清醒的認識到,網絡安全問題的日益嚴重也越來越成為現代教育信息化的巨大阻礙。校園網絡安全的重要性,已經提升到了必須要統一管理和嚴密防范的高度。我們校園計算機信息技術人員,只有很好的解決了網絡安全問題,才能使未來校園網絡的應用才能健康、高速的發展。■
參考文獻
1、《計算機網絡應用教程》 王洪、魏惠琴等著
2、《計算機網絡安全技術》 蔡立軍 編
3、《計算機病毒防治百事通》 陳立新 編
1、硬件建設方面
(1)數據中心機房硬件建設
完成中心機房的改裝,對機房進行了全面規劃設置。機房是網絡疏通的紐帶,是設備正常工作的保障,是全新信息化的樞紐。機房設置的優劣直接關系到機房內整個信息系統是否能穩定可靠地運行,因此網絡信息管理部為了保證各類信息通訊暢通無阻。全面啟用服務器、交換機、UPS,對機房設備機柜、交換機、配線架、路由器等進行合理地布局,滿足了計算機、服務器等各種微機電子設備對溫度、濕度、潔凈度、電磁場強度、噪音干擾、安全保安、防漏、電源質量、振動和接地等的要求。對整個機房和服務器進行了定期檢查記錄,并形成機制。提高了機房管理、應急處理方法。
(2)電腦硬件資源管理
按集團各部門、各分公司需求,規劃采購電腦及其相關設備的技術參數,并實施安裝調試。同時對集團老舊電腦及相關設備定期巡檢維護、維修和升級。通過信息化手段,提高硬件的使用效率,降低辦公耗材消耗。
2、軟件建設方面
(1)多箭齊發,樹立達生集團品牌形象,全面加強企業門戶網站建設。為了提高企業知名度,彰顯公司實力,我們通過搜索引擎、廣告宣傳等多種途徑加強對公司及網站的推廣。
(2)建成內網工作平臺。
建成OA內網工作平臺,通過OA內網,及時各部室工作動態、領導工作安排等信息,所有的內部文件也均通過OA內網來進行傳輸,既豐富了內部信息交流手段,提高了信息共享能力,降低了辦公消耗,想要跑,先學走,由此可見,信息技術由OA的建立開始功能逐步完善,由簡入繁。
(3)完成托管型呼叫中心建設
在傳統電話服務的基礎上,400電話服務的開通,讓傳統方式對咨詢電話監
控和管理不力的問題迎刃而解。
3、安全體系建設
(1)信息安全自查
安全自查,可以有效的發現我公司信息系統安全建設的不足與漏洞,我們將對這些問題進行歸納總結,提出整改意見,并以次指導今后的信息安全建設工作。
(2)安全管理建設
為防止計算機病毒在局域網內擴散,降低因病毒造成的安全風險,為了加強對計算機病毒的預防和治理,保護計算機信息系統安全,保障計算機的正常快速反應,我們對市場現有的網絡版防毒軟件逐一調研,選擇了適合本公司的瑞星網絡版殺毒軟件,有效地保證了局域網絡間的數據快速準確傳送。定期巡檢使用情況和升級至最新版。同時,加強信息安全教育,防止因人為原因造成泄密事件。
(3)創新企業網安全管理模式
為防止個別員工電腦感染病毒及木馬云,危害整個局域網絡的安全,我們網絡信息管理部對集團每臺電腦進行安全排查時都逐一登記使用人和對應的MAC地址及IP,倘若發現被監控的電腦終端異常、IP數據及流量過大,阻塞網絡,影響到其他員工辦公,信息部第一時間對照綁定的MAC地址及IP,以確定終端電腦位置,可以快速10秒之內掌握問題終端電腦,為排除網絡故障及穩定集團辦公環境,做到精準執行。從根本上防止了因為網絡阻塞而導致辦公受到影響。
(4)故障管理
形成標準故障處理流程和程序,對故障的監控、排除、報告、總結等方面進行管理加強。
4、網絡信息化培訓及網絡安全培訓
(1)對信息化管理中高層,網絡信息化知識與技能培訓,解析管理信息化的誤區和正確方法。
(2)網絡信息管理部門內部業務和知識模塊培訓,各種突發、疑難情況處理培訓培訓。
5、部門管理
(1)充分發動部門每個員工,貢獻自己所掌握的企業知識,積少成多,聚沙成塔。充分利用知識成果,提高工作效率,減少重復勞動。依據知識庫和技能知識需求安排學習培訓計劃,隨時自我充電,成為學習型團隊。
(2)建立IT服務管理體系
1)完善網絡管理制度,推出計算機管理制度、信息管理制度IT軟硬件采購制度、電腦報損制度、電腦維修單制度、機房管理制度等集團相應制度,加強管理力度,制定辦公室設備使用手冊,常見故障問題檢查及處理流程。
2)量化信息服務指標,故障維修時間,規定不同類型故障問題處理時間,量化考核工作質量。故障評估,正常壽命和常見故障,以及故障次數的正常校準線。
3)提高信息服務水平,定期進行網絡運行狀況的意見反饋調查,不斷學習職業技能,注重積累,工作態度方面做到認真、仔細、熱情、周到、增強責任心。樹立良好部門形象。
4)十年樹木,百年樹人,培養人才是長遠之計,我會矢志不渝地指引和指導員工職業生涯規劃,培養和提升本部門員工綜合能力素質;組織部門內部員工培訓,提高部門員工技能和業務能力。
今年一年,我部雖然順利圓滿完成了集團分交任務,但由于部門成立時間短,難免存在問題。
首先,由于部門員工比較年輕,經驗不足,應變能力不強,對一些工作協調和處理的不夠妥當。
其次,對市場調研還不夠精準,今后需加強與相關單位的緊密溝通與互訪,增強市場預期,更有針對性的工作,開拓思路,勇于創新,將信息化建設推向更高的臺階,使公司的信息化建設走在同行業的前沿,為公司的快速發展奠定基石。
再次,一些項目型系統開發的延期,暴露出了我們缺乏項目管理方面的經驗。接下來的工作我們需要有清晰的工作流程、責任更加明確、有序地去運作,還需要制定并逐步完善一些相關的開發規范。
工業控制系統(ICS)是綜合運用信息技術、電子技術、通信技術和計算機技術等,對現場設備進行檢測控制,實現工業技術生產過程自動化的應用系統。ICS在冶金、電力、石化、水處理、鐵路、食品加工等行業,以及軍工的航空、航天、船舶、艦艇、潛艇等領域的自動化生產管理系統中都得到了廣泛地應用。
1 工業控制系統安全現狀
與傳統信息系統安全需求不同,ICS設計需要兼顧應用場景與控制管理等多方面因素,并且優先考慮系統的高可用性和業務連續性。鑒于ICS的特定設計理念,缺乏有效的工業安全防御和數據通信保密措施是很多ICS所面臨的共同問題。
傳統的ICS多為車間/廠區局域網ICS,系統特點包括專有網絡、專有操作系統、無以太網絡、沒有因特網的鏈接。從網絡安全角度,系統是安全的。
現今的ICS開始與互聯網或辦公網直接/間接互聯,形成從控制網到信息網的大系統ICS,系統特點包括以太網無處不在、無線設備、遠程配置和監控、Windows和Linux等流行操作系統。從網絡安全角度,系統存在巨大安全隱患,很容易被黑客攻擊。
2 工業控制系統安全漏洞及風險分析
隨著工業信息化進程的快速推進,物聯網技術開始在工控領域廣泛應用,實現了系統間的協同和信息分享,極大地提高了企業的綜合效益。與此同時,暴露在互聯網等公共網絡中的工業控制系統也必將面臨病毒、木馬、黑客入侵、拒絕服務等傳統的信息安全威脅,而且由于工業控制系統多被應用在電力、交通、石油化工、核工業等國家重要行業中,其安全事故造成的社會影響和經濟損失會更為嚴重。
2.1工業控制系統安全漏洞
工業控制系統安全漏洞包括:策略與規則漏洞、平臺漏洞、網絡漏洞。
2.1.1 策略與規則漏洞
缺乏工業控制系統的安全策略、缺乏工業控制系統的安全培訓與意識培養、缺乏工業控制系統設備安全部署的實施方法、缺乏工業控制系統的安全審計、缺乏針對工業控制系統的配置變更管理。
2.1.2 平臺漏洞
平臺漏洞包括:平臺配置漏洞、平臺硬件漏洞、平臺軟件漏洞、惡意軟件攻擊。
(1)平臺配置漏洞
包括關鍵配置信息未備份、關鍵信息未加密存儲、沒有采用口令或口令不滿足長度和復雜度要求、口令泄露等。
(2)平臺硬件漏洞
包括關鍵系統缺乏物理防護、未授權的用戶能夠物理訪問設備、對工業控制系統不安全的遠程訪問。
(3)平臺軟件漏洞
包括拒絕服務攻擊(DOS攻擊)、采用不安全的工控協議、采用明文傳輸、未安裝入侵檢測系統與防護軟件等。
(4)惡意軟件攻擊
包括未安裝防病毒軟件等。
2.1.3 網絡漏洞
(1)網絡配置漏洞
包括有缺陷的網絡安全架構、口令在傳輸過程中未加密、未采取細粒度的訪問控制策略、安全設備配置不當。
(2)網絡硬件漏洞
包括網絡設備的物理防護不充分、未采取有效的措施保護物理端口、關鍵網絡設備未備份。
(3)網絡邊界漏洞
包括未定義網絡安全邊界、未部署防火墻或配置不當、未采取信息流向控制措施。
2.2 工業控制系統安全風險分析
電力故障、自然災害、軟硬件故障、黑客攻擊、惡意代碼都會對ICS系統產生影響。其中,電力故障、自然災害和軟/硬件故障,屬于信息安全范疇之外,而非法操作、惡意代碼和黑客攻擊作為信息安全威脅的主要形式,往往很難被發現或控制,對ICS網絡安全運行的威脅和影響也最大。
(1)利用USB協議漏洞在U盤中植入惡意代碼
U盤內部結構:U盤由芯片控制器和閃存兩部分組成,芯片控制器負責與PC的通訊和識別,閃存用來做數據存儲;閃存中有一部分區域用來存放U盤的固件,控制軟硬件交互,固件無法通過普通手段進行讀取。
USB協議漏洞:USB設備設計標準并不是USB設備具備唯一的物理特性進行身份驗證,而是允許一個USB設備具有多個輸入輸出設備的特征。
這樣就可以通過U盤固件逆向重新編程,將U盤進行偽裝,偽裝成一個USB鍵盤,并通過虛擬鍵盤輸入集成到U盤固件中的惡意代碼而進行攻擊。
(2)利用組態軟件數據庫漏洞進行攻擊
ICS系統采用的組態軟件,缺乏安全防護措施,往往公開訪問其實時數據庫的途徑,以方便用戶進行二次開發,從而可利用此漏洞,遠程/本地訪問數據庫,獲取全部數據庫變量,選取關鍵數據進行訪問并篡改,從而達到攻擊目的。
2.3 工業控制系統信息安全風險總結
病毒:可引起工控設備或網絡故障,破壞生產過程數據或影響網絡正常服務,如蠕蟲病毒等。
緩沖區溢出攻擊:利用設計漏洞進行的攻擊。
拒絕服務攻擊:惡意造成拒絕服務,造成目標系統無法正常工作或癱瘓,或造成網絡阻塞。
網絡嗅探:可捕獲主機所在網絡的所有數據包,一旦被惡意利用,獲取了目標主機的關鍵信息則可對目標主機實施進一步攻擊。
IP欺騙:可通過技術手段利用TCP/IP協議缺陷,偽裝成被信任主機,使用被信任主機的源地址與目標主機進行會話,在目標主機不知的情況下實施欺騙行為。
口令破解:攻擊者若通過一定手段取得用戶口令,提升權限進入目標系統,對目標主機進行完全控制。
3 工業控制系統安全檢查
3.1 檢查對象
包括工藝、工程分析、控制系統信息安全后果分析、安全防護能力分析等。
3.2 檢測方式
包括訪談、現場測試、離線測試、測試床或另外搭建測試環境測試。
3.3 檢測內容
應包括信息流轉過程中遇到的一切鏈路、設備(硬件程序、模塊組件)、人員等。
管理檢查需要準備的資料:信息安全相關管理制度和安全策略;設備保密管理制度;系統運行管理制度、產品供應商(或者商)、系統集成商等提供的資質證明、授權證明、合格證書等。
技術檢查需要準備的資料:招標合同技術規格書;詳細設備清單;設備配置及使用說明;網絡拓撲圖;輸入輸出端口信息;DNC服務器配置及使用說明;設備的連接說明、功能說明、操作手冊。
運維檢查需要準備的資料:運行維護管理制度、訪問控制端口設置情況記錄、運行維護報告、應急預案方案、應急演練記錄。
3.4 檢測重點
重點檢查輸入輸出端口使用、設備安全配置、運維安全措施的落實情況,同時檢查資產管理情況,訪問控制策略、備份及應急管理等方面。
4 結束語
通過上面的分析與研究,工業控制系統還存在許多的漏洞和安全風險,只有充分認識到這些漏洞,才能利用信息安全手段不斷的處置這些漏洞,使風險降到最低。同時我們應該認識到,工業控制系統信息安全技術是一門不斷深入發展的技術,隨著工業控制系統廣泛應用和不斷發展,其信息安全必將面臨更加嚴峻的挑戰,隨之信息安全技術的研究也必將快速推進。
臺灣的媒體實習申請
相對于大陸的自我尋找加學校隨機安排相結合模式,臺灣高校學生的媒體實習一般由學生向學院提出實習計劃和實習意向等,然后由學院助教一一與學生意向中的媒體及相關部門聯系,確定實習接收。當然也可能出現學生第一意向單位不同意接收的情況,則助教與學生協商后,繼續聯系第二意向單位甚至第三意向單位,直至最終確定。這種學院負責制的實習,保證了學生公平實習的機會,避免了盲目實習的情況。更重要的是蘊含其中的民主精神——由學生自己提出實習意向,決定何時實習及實習單位等。
而筆者實習的緣起則有別于上述程序,當時正值臺灣中華電視公司①(以下簡稱“華視”)推出“產學合作實習計劃”項目之際,筆者即經由學院推薦,華視面試錄取。
業務部之公共服務部實習經歷
筆者申請的是業務部的實習崗位,華視對業務部的實習工作描述如下:1.業務項目企劃制作;2.客戶提案技巧及簡報能力;3.AGB尼爾森收視調查使用及分析;4.實際客戶及廣告商拜訪;5.專題采訪及制作;6.非線剪輯、過音及串帶。經過協商后,筆者實際進入的是公共服務部——業務部下設的一個部門。
實際上,業務部相當于大陸媒體的廣告部,主要是售賣臺內廣告時段,公共服務部則主要做媒體集中采購案——這是很有臺灣特色的一個部門,涉及到兩岸媒體的體制問題:在大陸,絕大多數媒體都是“事業單位,企業化管理”,所有權歸國有,其主要盈利模式是靠廣告;但是臺灣的媒體開放私有,因此華視的后綴是“公司”,他們會像公司一樣進行商業活動來增加營收。因此,公共服務部其實是做公部門服務,舉凡采購、活動、公關等活動都屬于其業務范疇。華視的公共服務部共7個人,每個人都有自己負責的案件和主要面向的公部門,但是遇到比較大的案件時,也會兩三個人合作共同負責,業務分工比較靈活。
在兩個月的實習中,筆者共到崗121個小時,不僅要完成日常的工作任務,如政府媒體采購案之媒體資料整理,每日報紙相關報道存檔,宣傳影片審查,采購公告及標案分類及總結等,還會做一些特定服務部門如國民健康局關注議題及宣導方式調查總結等,并提出該部門的媒體宣導案策劃案。此外,臺灣媒體主管對實習生相對比較重視,他們會根據實習生的實習計劃有針對性地安排培訓。筆者在這兩個月中,曾參加過數次內部培訓課程,包括網絡安全培訓、office2010、office2013使用技能培訓等;主管還特地安排筆者到尼爾森上課,學習arianna媒體收視率監測軟件的使用,到廣告拍攝片場全程跟蹤廣告拍攝,到錄音公司體驗廣告聲音錄制過程,以及到節目組跟綜藝節目的拍攝。在此過程中,筆者深入接觸了媒體內容制作的后臺,增長了見識,也積累了很多實用的技術。
臺灣媒體印象
1.簡單而不落后
初入華視,筆者被其低調和略顯陳舊的外觀和設施所驚訝。于1995年12月啟用的華視大樓高不到10層(地下3層),各樓層的辦公室簡單樸實,與大陸很多媒體的奢華辦公場所簡直不可同日而語。但是這并不表示他們的落后,華視的攝影棚及虛擬影像中心都采用了較先進的技術,制作的節目也都有較大的影響力,這也是很多臺灣媒體的普遍特征。
2.氛圍輕松,工作卻不輕松
辦公室的氛圍很輕松,兩邊各有一臺電視,員工可隨時開啟電視觀看節目。員工的著裝也很休閑,除非外出拜訪客戶,平日都是隨意穿著。同事間閑暇時常嬉笑打鬧,休息日還會一起約健身運動等。另外,每天下午的飲料是必不可少的,手搖冰文化深入到了臺灣的每一個角落。在輕松的氛圍之中,他們的工作卻不輕松。在剛進入公共服務部的前兩個星期,筆者經歷了同事們的煉獄式加班。當時正應對一個大的標案,幾乎所有人都是加班到晚上12點以后才回家,甚至還有通宵加班第二天小睡一會繼續工作的情況。而這種情況并不少見,每逢時限較短而數目較大的標案時,部門就會出現連續加班的情況。
3.內部培訓頻繁且實用
華視每兩周都會有一次公司內部員工培訓,課程組織部門要求各部門同事盡量參加但并不強制。培訓的內容實際且實用,包括筆者參加過的網絡安全培訓——告訴我們在互聯網使用中如何保護隱私、保護賬號和個人信息安全,從而更好地維護公司機密和信息安全;office2010使用課程、office2013使用課程——講解office日常辦公軟件word、excel、powerpoint等的使用技巧,提高辦公效率;以及奧美公關公司提供的公關活動策劃技巧培訓等。這些課程都是根據同事們的實際需求而設置的,對于提高自身的技能和工作效率很有幫助,只要有時間,員工都會盡量參加。
4.臺灣媒體亂象
實習期間,因為工作要求整理了臺灣幾乎所有媒體的資料,并每日閱讀幾份報紙,收看實時新聞節目。耳濡目染一段時間之后,筆者對臺灣的媒體現狀及其風格也有了總體的印象。
從媒體本身來說,臺灣可以說是世界上媒體密度最高的地區之一。從數量上來看,共30多家全臺性報紙、100多家電視臺、60多份雜志(根據媒介資料整理情況),但是除了比較有影響力的前幾名的媒體之外,大部分媒體實力都比較單薄。其中,《中國時報》、《聯合報》、《自由時報》、《蘋果日報》為臺灣四大報。尼爾森2012年第三季媒體調查中,《蘋果日報》閱讀率居全臺報紙第一。而電視臺當中,東森、臺視、中視、TVBS等是目前比較有影響力的媒體。雜志當中,月發行數量達到10萬冊以上的主要有《天下雜志》、《商業周刊》、《管理雜志》、《財訊》等財經雜志,《壹周刊》、《時報周刊》、《TVBS周刊》 等新聞娛樂類雜志,以及《空中英語教室》、《大家說英語》等語言學習類雜志。
從內容上來看,臺灣媒體的娛樂化傾向嚴重,尤其是新聞媒體的娛樂化。臺灣的新聞報道給我的總體印象,用幾個詞形容就是娛樂化、浮躁、喧嘩和聚微。浮躁和喧嘩是娛樂化的衍生特質,臺灣的電視新聞總是無休止地播放政治人物、演藝圈藝人的八卦和各種殺人案件,在形式上則善用花哨的字幕、標注、精彩模擬畫面等,主持人的語速很快,語調相對高亢,與大陸嚴肅、正規的新聞報道相去甚遠。報紙則善用大標題、圖片等博取眼球,比如在報道財稅政策不合理,導致每年多收一部分稅收時,有報紙用十份便當來等量這些多收的費用,并切實畫了整整十份便當。聚微則是臺灣媒體的報道內容傾向于細微的瑣事,而很少有國際視野和全局觀念,甚至中學生因和女明星陳妍希同名而獲贈簽名專輯的事,也能成為各大媒體大幅報道的熱點。
另外一方面,臺灣媒體對政府及其公務人員的監督和問責十分嚴格,不得不說為社會做出了積極貢獻。這種無所不在的監督,讓公務人員更加自律,其監督力度、監督熱忱和監督方式都很值得大陸媒體學習借鑒。
注釋:
關鍵詞:基層銀行;信息系統安全;規劃設計;實施
中圖分類號:TP311.52
1 基層銀行的信息系統遇到的主要安全威脅
由于銀行的信息系統建設一直在不斷地向縱深處發展,銀行已經全面地進入了其業務的系統整合與數據集中的全新發展階段。這種集約化經營數據不斷集中的趨勢,從一方面來講是適應銀行業務不斷發展的要求,但是從另一方面來講,卻使銀行信息系統的安全風險也集中起來,增加了安全的隱患。具體來講基層銀行信息系統的安全隱患主要包括互聯網風險和外部機構風險以及不信任網絡風險和結構內部風險,同時還包括災難性的風險等五種安全隱患。
2 基層銀行的信息系統安全規劃設計與實施的主要原則和等級劃分
2.1 基層銀行的信息系統安全規劃設計與實施的主要原則
銀行的信息系統安全是一個涉及到規劃與管理以及技術等很多因素的具有系統性的工程,其屬于一種不斷持續發展和動態發展的進程。對于基層銀行的信息系統安全規劃設計與實施來說。技術是實現安全保障的主體性因素,而管理是具備安全保障的靈魂性因素。在安全規劃與設計中,只有把具有科學性與合理性的管理貫徹落實在信息安全的維護之中,才能夠實現網絡安全在穩定性與長期性方面的保證。而銀行信息系統安全的具體原則主要包括了明確責任與安全保護并舉,依照標準和自行保護同時進行,同步建設與動態調整相互促進,指導監督和重點保護齊頭并進四條原則。
2.2 關于基層銀行的信息系統安全等級的介紹
銀行信息系統的安全等級具體指的是對于國家級別的秘密信息和法人以及替他組織和公民專有的信息與公開的信息,同時還包括存儲和傳輸以及處理此類信息涉及到的信息系統的等級,對這些等級實施安全保護,對信息系統里面使用到的信息安全類產品進行一定安全等級的管理,對于信息系統里面出現的信息安全類事件需要分等級地進行回應和處置。依據信息系統和信息對于國家的安全和經濟建設以及社會生活所起作用的重要性,在其遭到破壞以后就國家安全和社會秩序以及公共利益和公民,還包括法人以及其他各種組織在合法權益方面的危害性來講,針對相關信息保密程度和完整程度以及實用性要求和信息系統所要達到的基本性安全保護的水準等因素,筆者總結出信息系統安全保護的五個等級:第一個等級是自主保護,第二個等級是指導保護,第三個等級是監督保護,第四個等級是強制保護,第五個等級是專控保護。
2.3 銀行信息系統安全等級的評估
在對銀行信息系統安全等級考量需要考慮到以下幾個因素:第一個因素是安全系統的類型,也就是信息系統安全利益的主體。第二個因素是信息系統所要處理業務信息的類別。第三個因素是信息系統服務的范圍,主要包括了其服務的對象與服務網絡所涉及到的范圍。第四個因素是信息系統業務依賴的程度,也就是手工作業可以替代信息系統進行業務處理的程度。
3 基層銀行的信息系統安全設計規劃和實施的主要內容
3.1 基層銀行信息系統的安全體系和特點
基層銀行信息的安全體系主要包含安全管理的體系與安全技術的體系,這兩者對于銀行信息系統安全維護來說,是兩個不能分割的部分,通常情況下的技術與管理需要相互之間提供一定的支撐,以此來確保兩種功能的有效實現。對安全管理的體系進行構建,其主要是出于信息系統里面各種角色的管理。以一種管理體系文檔化的形式,監督和控制各種角色的種種活動,主要是在系統通常運行的維護工作過程中,主要涉及到各種政策和制度以及規范和流程,同時還包括日志方面的監督與控制。這種安全管理體系的組成部分通常分為五個部分,主要是安全管理的組織與人員的安全管理,系統建設的安全管理,系統運維的安全管理以及安全審計的管理。就安全技術的體系來講,其主要功能是對信息系統提供技術安全類的機制設施,其實現形式是信息系統里面部署相應的軟件與硬件,同時對其以正確的形式配置系統的安全功能,以此來實現。安全技術的體系組成部分也是五個部分,主要包括基礎設施的安全和網絡安全以及主機安全和應用安全,同時還有數據的安全。
3.2 基層銀行的信息系統安全建設的方法論
依據國家標準的ISO17799/ISO27001中的信息安全維護的管理標準建立起信息安全的管理體系,其具體內容主要包括以下幾個方面:
(1)計劃,也就是建立ISMS,對于ISMS的相關政策和控制的措施以及過程與流程實施和操作等。
(2)執行,其主要是指實施和執行ISMS,對ISMS政策與控制措施以及過程和流程的實施和操作等。
(3)查核,其主要是指監督和審查ISMS,依照ISMS政策和目標及其實際的經驗,用來評鑒和測量其過程的績效,同時把評鑒與測量的結果回饋給相應的管理層,讓其審查。
(4)行動,其主要指的是維持和改進ISMS,依照內部的ISMS稽核和管理層的審查以及其他相應信息的結果采取對應的校正和預防性措施,以便實現信息安全的管理系統的持續性改進。
3.3 基層銀行的信息系統安全規劃實施的主要內容
基層銀行的信息系統安全規劃實施的主要內容包括以下幾個方面:
(1)信息安全的組織建設。其主要是指在組織的內部建立起跨部門式信息安全的協調與溝通的機制,為的是實現組織內的信息安全管理,同時能夠識別和外部組織有關連的一類風險,對信息安全的職責進行定義與分配,對于信息安全的工作進行定期評審。另外需要建立起專門負責信息安全的管理委員會,不斷地推動信息安全的規劃與實施,主要出發點是組織架構層面,此機構主要負責以下事項:對信息系統的安全保障的體系建設進行有力推動;周期性地評估與識別信息系統的安全保障體系;對商業秘密與技術秘密進行保護,對企業的利益進行維護;制定出合適的信息系統安全性發展策略,以此來提高銀行抵御風險的能力。
(2)對于從業人員的安全管理。其主要是指對全體員工要加強安全防范的意識培養,加強與信息安全相關的管理知識的宣傳與普及,對各項安全管理的制度要積極地落實,集合全體員工的力量促進銀行信息的安全保障。人員的安全管理實現形式主要是教育和培訓,期培訓的方式主要分為三種,其一是涉及到管理層的安全意識的教育,此舉主要是針對管理層安全意識的教育和培訓,幫助其了解國家信息安全的政策,同時提高其認識,進而能夠指導好安全建設的工作。其二是技術人員的安全技能類培訓,此舉主要是讓其學習更多的安全管理的理論性與技術性知識,以便其可以有效地掌握相關安全管理的理念,掌握好安全產品的操作與維護以及對于安全事件的處理能力,對信息系統安全進行較好的維護。其三是普通員工安全意識的培養,此舉針對的是廣大的信息系統的用戶,對其進行安全培訓,以此來增強其安全防范的意識,發揮集體的力量來維護系統安全。
(3)對于系統建設的管理,其主要是指信息安全要針對信息系統的集成項目和軟件開發的項目,對這些項目進行相應的安全需求的分析與規劃,對于系統的開發需要對輸入的數據驗證和處理過程信息的完整性以及輸出數據進行確認,此舉是為了預防應用系統的信息丟失和錯誤以及未授權信息的修改與誤用。其主要的保護手段是加密。
(4)對于系統運維的管理,其主要是指對信息系統日常操作與維護的管理要加強。逐步地建立與完善相關文檔化操作的流程和相應規范變更的管理流程。同時實行職責分離和分離開發以及測試和生產環境,對于第三方的服務交付需要提出相應的要求,以便確保其所提供服務符合相關協議要求。在系統的規劃方面,需要對未來容量與性能要求進行考慮,同時還要對相關項目建設進行驗收,驗收時要依照具體標準。對于數據備份的策略制定方面,需要確保相關信息的實用性與完整性。此外還包括對于移動介質使用和處置方式的控制與管理。在與外部的組織進行信息交換時要確保其安全性能。此外還包括對于系統運行的監控與管理系統的日志記錄工作和審核工作等。
(5)對于安全審計的管理,其主要的措施是建立起相關信息安全事故的報告流程和確保運用有效和持久的手段進行安全事故的管理。為了對信息系統符合相關法律規定進行確定,需要定期地進行相關信息安全的檢查工作和及時地發現安全隱患,同時要堅持改進。
(6)有關基礎設施的安全,其主要指的是機房環境與設備實體安全的保護,以防基礎設施出現非法使用和物理性破壞以及被偷盜的情況發生,并且要保障這些設備正常運行時需要的電源和溫度以及濕度和防水,同時還包括防塵等。技術設施的安全規劃主要包括以下內容:中心機房與及其基礎的設施的環境建設需要做好,具有防雷電的完整設施,同時還包括防電磁干擾的設施完備。主機房的電源需要設置雙回路的備份機制等。
(7)對于信息系統中涉及到的網絡安全問題。網絡安全主要是以硬件和軟件等形式實現數據和語音以及圖像和傳真網絡傳輸時的安全保障,對安全域與安全區間的網絡通訊私密性與完整性以及可靠性要進行提高。網絡安全規劃的主要內容包括:建立與完善網絡防火墻的安全體系建設,對安全區域實行隔離,對網絡安全的策略進行強化,監控和審計網絡的訪問,以防內部信息出現外泄情形。其具體措施包括以下幾個方面:其一是對IIPS入侵的檢測系統進行建立和完善,以特定檢測技術來識別各種惡意攻擊行為,同時及時的對其攻擊行為進行阻斷,以確保網絡的安全;其二是運用VLAN對網絡進行劃分,對于不同的網絡安全區域進行隔離;其三是以物理級和網絡級以及系統級等認證手段對網絡用戶的訪問權限實時控制,以便確認出使用者權限及其身份。其四是對于網絡日志進行管理的記錄,以此來保證網絡安全具有審計性。其五是以SSL的安全聯結機制來保證外部WEB的鏈接安全,比如說網上銀行等。
(8)基層銀行安全信息系統規劃中涉及到主機的安全,主機系統安全的目標是對主機平臺的系統優質高效的運行進行保障,以防主機系統會遭受到外部與內部破壞或者濫用,同時避免與降低因為主機系統問題而造成的影響,主要針對的是業務系統,另外還需要對訪問的控制與安全審計進行協助應用。其主要規劃內容包括對主機系統的安全管理進行完善,對賬戶系統的管理要嚴格化,對系統服務要實現有效控制,對系統安全配置進行優化。
4 結束語
通過上述分析,我們可以看到現帶信息技術給人們生活帶便利的同時,也給基層銀行信息系統的安全設計規劃和實施帶來了挑戰,本文提出了一些相應的舉措,但是還遠遠不夠,還需要在安全實踐中不斷摸索,不斷改進,不斷適應新的銀行信息風險,保障銀行信息系統的安全運行。
參考文獻:
[1]邱安生.商業銀行信息系統安全保障體系的設計和實現[D].電子科技大學,2011.
[2]傅志勇.國家開發銀行企業銀行信息系統安全解決方案設計與實現[D].山東大學,2008.
[3]趙立洋.商業銀行信息系統安全審計問題研究[D].天津財經大學,2009.
[4]龍延軍.國家開發銀行信息系統安全總體方案設計[D].四川大學,2004.
[5]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京工業大學,2012.
[6]劉嘉.基于綜合判定分析的信息系統安全檢驗技術研究[D].北京郵電大學,2011.
[7]楊峰.商業銀行IT風險識別與評估研究[D].電子科技大學,2012.
信息化建設是將具體辦公業務與計算機信息平臺相結合,充分發揮信息技術高效、穩定、安全的特性,提升辦公效率的重要手段。辦公信息化能夠有效節約人力成本、優化辦公流程,同時,國家管理層能夠根據實時數據,進行數據分析,為政府制定相應政策提供更為科學和有效的數據。因此,無論是從辦公信息化的具體應用單位和機構分析,還是國家管理角度來看,辦公信息化建設都有著重要的意義。總之,辦公環境的信息化、自動化、“無紙化”建設是未來辦公環境發展的大趨勢。
二、計算機辦公系統常見問題分析
(一)辦公系統操作人員計算機應用水平欠缺。信息技術在辦公“無紙化”和自動化方面發揮著越來越重要的作用,從通用性質的Office類辦公軟件到獨具業務特色辦公軟件的應用,無論是在辦公效率,還是辦公資源的利用率方面都有了很大的提升。在信息技術應用過程中,往往容易出現一些常見的應用問題,操作人員應用水平欠缺是辦公系統應用過程中較為突出的問題,主要表現在對于辦公系統操作的生疏性以及不合理性。生疏性是缺乏基本的計算機操作能力,對于計算機工作流程不了解造成的,這種情況在一些年長的工作人員中表現比較突出;不合理性主要是不能按照規范的操作步驟進行相關工作的展開,造成軟硬件的損壞和不完整性。
(二)辦公系統維護的缺失。辦公系統維護的缺失也是信息技術應用時容易出現的問題,辦公系統穩定持久運行需要提供一定的軟硬件環境,而一些辦公人員往往缺乏必要的系統維護知識,造成了辦公數據丟失、辦公系統運行環境的不穩定,嚴重的甚至造成計算機硬件的損害,進而導致后續工作不可持續性。辦公系統維護主要體現在兩個方面,即系統運行環境的維護以及軟件維護。系統運行環境的維護包括定期清理不必要的系統垃圾,對于系統漏洞進行及時的更新打補丁、系統的定期備份修復等內容,而軟件維護則更側重于保障辦公軟件各類組件的完整性、辦公數據的定期備份還原,軟件的升級等方面的內容。辦公系統維護工作的缺失,使得硬件的使用壽命和軟件運行的穩定性方面都出現了諸多的問題。
(三)具體的辦公業務引起的一些問題。辦公系統常見問題除了必要的計算機基礎知識以外,具體的辦公業務也容易引起一些問題。各個單位都有自身的具體業務,不同單位業務的差異性非常明顯,而專業的計算機維護人員往往僅僅局限于對于計算機運行環境保障,一旦出現了具體業務辦公的邏輯錯誤,系統維護人員便不能發揮應有的作用,需要具有一定業務基礎的工作人員進行相應問題的解決。這種現象尤其在一些特殊行業表現非常明顯,如,醫療衛生、金融、審計系統等。可見,辦公系統常見問題不僅僅局限于技術性的問題,還包括具體業務問題。
(四)計算機信息安全問題。信息安全問題也是辦公系統容易出現的問題。信息安全包括數據完整性和數據安全性兩方面的內容。信息安全問題往往給行業帶來巨大的損失,尤其是一些的機構,如銀行辦公系統,通常都對計算機安全操作有著較高的要求。一些辦公人員往往意識不到信息安全的重要性,不能有效運用防火墻技術、殺毒軟件等安全措施進行系統保護,一旦造成數據丟失或者數據破壞,容易給工作造成嚴重影響。可見,計算機信息安全問題也是計算機辦公常見的問題。
三、計算機辦公系統常見問題的解決策略
(一)提升辦公人員計算機應用水平。計算機辦公系統常見問題的解決,首先應加強辦公人員的計算機應用水平。一方面,應努力提升辦公人員的計算機理論水平,使其能夠形成一定的計算機系統規范運用意識,并能夠熟知基礎的計算機辦公流程;另一方面,應提升辦公人員的軟件操作能力,通過培訓、實際操作等形式,加強辦公軟件運用的熟練度,努力克服辦公人員對于信息平臺運用的陌生感,樹立計算機應用的自信心,實現辦公人員對于計算機辦公系統熟練、科學、有效的運用,進一步提升辦公自動化水平。總之,提升辦公人員計算機應用水平是解決計算機辦公問題最為重要的內容之一。
(二)提升計算機辦公系統的維護水平。掌握必要的計算機維護技能也是應對辦公信息化問題的重要方面。隨著辦公自動化水平的不斷提升,一些業務性較強的辦公軟件的運行往往需要一定的運行環境,如對數據庫的要求、對于系統組件(如windows操作系統的.netframework組件)的要求、網絡環境的要求等。因此,辦公人員應具備一定的系統維護能力,能夠進行操作系統和軟件數據定期的備份、冗余數據的清理、系統補丁的安裝以及辦公軟件的升級維護等工作,一旦出現了系統癱瘓等問題能夠有效進行解決。需要提及的是,一些系統補丁、系統漏洞的修復和系統垃圾清理工作,應作為辦公軟件系統的日常維護工作及時展開,從而有效保障系統運行的穩定性和持續性。
(三)提升計算機信息安全意識和安全操作水平。為了應對信息安全帶來的辦公系統問題,提升辦公人員的安全意識以及安全操作水平非常重要。通過定期的安全培訓,使得辦公人員能夠意識到信息安全的重要性,能夠了解基本的路由器、防火墻技術、交換機以及安全軟件的理論知識;同時還應在辦公人員安全操作方面進行加強,確保辦公系統數據在傳輸、操作以及備份時的可靠性,隔離不安全的軟件數據,不必要的系統端口進行關閉等。當然,一些有條件的機構和單位還可以加強與信息安全機構的合作,通過定期的系統安全監測、維護保障辦公軟硬件系統的安全穩定性。
(四)加強辦公人員業務理論的學習。一些辦公軟件的應用問題還可能是由于具體業務知識的欠缺導致的。因此,除了必要的計算機理論和軟件操作能力的加強,還應不斷提升辦公人員具體的業務理論水平,使得辦公人員能夠將具體的理論業務工作步驟,同計算機數字化處理環節相對應,對于一些由于業務產生的邏輯錯誤,能夠準確判斷、分析,并進行有效的改正。可見,利用計算機解決具體業務問題方面,應努力提升辦公人員業務理論水平,對于業務處理過程的電子化、信息化能夠有一定的認識,切實保障計算機辦公效率的提升。
(五)根據工作需求制定相應的計算機管理操作規范。除了上述的解決策略以外,辦公人員應根據實際工作經驗制定相應的計算機管理操作規范。一方面,后續的工作人員能夠根據操作管理規范較快的熟知辦公軟件的應用操作,減少由于“熟悉”軟件的過程造成的時間和精力的浪費;另一方面,計算機管理操作規范是根據辦公人員長期的工作經驗和工作需求制定的,是較為科學和合理的操作行為的總結,能夠將不必要的辦公應用問題盡可能減少,對于避免辦公系統的常見錯誤也是非常有效的。因此,加強相應管理規范內容的制定,也是應對辦公系統問題的有效措施。
四、結語
由于辦公人員計算機操作水平等因素的限制,使得辦公人員在進行計算機辦公系統應用時,出現了一些問題。本文就常見的一些辦公系統應用時的問題進行分析,并給出相應的解決思路,為提升辦公人員計算機辦公應用水平,充分發揮信息技術高效、安全等特性給出一定參考。
作者:孫小梅 單位:平泉縣黃土梁子中心衛生
參考文獻:
[1]王煜.計算機辦公系統常見問題和解決對策[J].中國科技信息,2014,8:128~129
[2]李波.計算機辦公系統的若干問題及解決策略[J].計算機光盤軟件與應用,2014,9:118~120
