司法局网络信息安全管理制度(精选8篇)
1.司法局网络信息安全管理制度 篇一
网络信息安全管理制度
1、建立健全上网用户日志保存制度。我们将为连入校园网的部门和用户建立详细的日志保存服务,保存期达半年之久。如若超出了日志的保存时间,网络会自动覆盖超出的存量。
2、建立论坛信息安全巡查制度。中心会设立专门的网络管理员对论坛中的信息进行经常性的安全巡杳。校园网上的单位和用户必须对所提供的信息负责。不得利用计算机网络从事危害国家安全、煽动民族分裂、破坏民族团结以及泄露国家机密等犯罪活动;不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息。
3、在校园网上不允许进行任何干扰网络用户、破坏网络服务和破坏网络设备以及私自更改网络配置等活动;不允许在网络上散布计算机病毒、使用网络进入未经授权使用的计算机和不以真实身份使用网络资源;不得利用网络侵犯他人的正当权益。
4、网络中心和各入网部门定期对相应的网络用户进行有关的信息安全和网络安全教育并对上网信息进行审查。凡涉及国家机密的信息严禁上网。
5、校园网上所有用户有义务向网络管理员和有关部门报告违反本管理制度的行为。
6、校园网的有关工作人员和用户必须接受并配合国家有关部门进行的监督检查。
7、建立案件报告和案件调查协助配合制度。对于违反本制度的入网部门和用户,网络中心将拟案件报,并协助配合党办、校办、宣传部和保卫处等上级单位进行调查。依照情节轻重对其采取如下处罚措施:警告、停止网络连接直至诉诸法律。
景德镇高等专科学校网络中心
2002年月29日
2.司法局网络信息安全管理制度 篇二
在我们国家, 政府部门对信息系统的安全性也非常的重视, 在国家技术监督局和其他主管部门的指导下, 我们国家与国际标准接轨的, 关于信息安全与网络安全方面的技术标准和产品标准已经陆续出台, 并早在1997年就建立了全国信息技术、安全技术委员会。网络安全问题除了引起了政府机关、国家安全部门、金融机构等的重视, 一般的企事业单位甚至个人也都日益关注这些网络安全问题。
一、网络安全威胁的起因
为什么会存在这么多的网络安全, 网络安全威胁的起因包括:
1. 技术上存在缺陷。
互联网使用的通讯协议是TCP/IP, TCP/IP在最初的设计时, 主要考虑的是如何实现网络连接, 并没有充分考虑到网络的安全问题, 而TCP/IP协议是完全公开的, 这就导致入侵者可以利用TCP/IP协议的漏洞对网络进行攻击。另外计算机使用的操作系统, 比如说目前仍普遍使用的微软windows操作系统在设计上也存在安全漏洞, 用户经常需要更新、下载它的安全补丁, 以修补它的安全漏洞。其他的技术缺陷还包括应用程序的编写对安全性考虑不足, 网络通讯设备包括路由器、交换机存在安全的缺陷等等, 这些技术上的缺陷都容易被入侵者利用, 从而构成安全威胁。
2. 思想上不重视。
由于企业的负责人、网络管理员思想上不重视或者疏忽, 没有正视黑客入侵所造成的严重后果, 没有投入必要的人力、物力和财力来加强网络的安全性, 没有采取有效的安全策略和安全机制, 缺乏先进的网络安全技术、工具、手段和产品等等, 这也导致了网络的安全防范能力差。
二、网络安全问题可能导致的后果
在现代网络信息社会环境下, 由于存在各种各样的安全威胁, 比如病毒、误操作、设备故障和黑客攻击等, 从而可能会造成重要数据文件的丢失。安全问题具体的后果包括:
1.企业的资料被有意篡改、网站的页面被丑化或者修改。比如说, 在被攻击的网站首页上贴上谣言、黄色图片或反动言论, 从而造成法律上和政治上的严重后果。
2.破坏计算机的硬件系统, 比如说磁盘系统, 从而造成文件永久丢失。
3.使得商业机密或技术成果泄露或者被散播。
4.安全问题还可能使得服务被迫停止, 并给客户层带来服务质量低劣的印象, 使得企业形象被破坏, 从而造成恶劣影响和难以挽回的损失。
三、网络攻击的主要方式
互联网技术在飞速发展的同时, 黑客技术也在飞速发展, 网络世界的安全性不断地在受到挑战。对于黑客来说, 要进入普通人的电脑非常容易。只果你要上网, 就免不了遇到病毒和黑客。那么黑客们有哪些常用攻击手段呢?
1. 口令攻击。
口令攻击就是通过窃取口令的方式进行破坏的活动, 口令攻击是比较常用的一种攻击方式。在现实生活中, 由于用户名和密码被盗造成损失的例子有很多, 一旦用户名和密码被盗, 入侵者还可以冒用此用户的名义对系统进行进一步的破坏和攻击, 从而给用户本身或者整个系统造成非常大的损失。
就目前的黑客技术来说, 用户名和密码的盗取对黑客不再是有难度的事情, 黑客盗取口令的方法有很多。比如说, 有的黑客通过FTP、TFTP和Telnet等工具, 可以搜集用户账户资料、获得口令文件, 然后对口令文件进行解密来获得口令。或者如果用户的口令设置缺乏安全性, 可能被轻易地被“字典攻击”猜到用户的口令。“字典攻击”就是通过编写一个应用程序, 根据一定的规律, 由应用程序自动反复地去尝试口令, 强行破解用户口令。“字典攻击”要求黑客要有足够的耐心和时间, 但对那些口令安全系数极低的用户, 只要短短的几分钟, 甚至数十秒就可以被破解。
2. 软件攻击。
软件攻击有时又叫漏洞攻击, 许多系统包括计算机系统、网络系统都有这样那样的安全漏洞 (B u g) 和后门 (backdoor) 。特别是计算机系统, 在安装好操作系统后, 出现漏洞和缺陷的可能性是最大的, 这些漏洞需要厂商发布补丁 (patch) 程序来进行修补。各个硬件厂商和软件厂商, 包括微软在内, 都在不断地发布自己的补丁, 这要求用户及时的去下载这些补丁, 进行系统更新操作。如果系统管理人员没有对网络和操作系统的漏洞及时打补丁, 入侵者就可以很容易利用这些公开的漏洞, 侵入系统, 从而对整个网络带来灾难性的后果。
软件攻击除了利用系统的漏洞外, 还可以利用一些后门程序。后门, 就是秘密入口。比如说, 在程序开发阶段, 程序员可能会设置一些后门, 以便于测试、修改和增强模块功能。正常情况下, 程序开放完成后需要去掉各个模块的后门, 不过有时由于疏忽或者其他原因, 比如说如保留后门便于日后访问、测试或维护, 后门没有去掉, 一些别有用心的人就会利用专门的扫描工具发现并利用这些后门, 然后进入系统并发动攻击。
3. 窃听攻击。
网络窃听是最直接的获取数据的手段, 如果在共享的网络通道上, 用没有加密的明文传输敏感数据, 这些信息很可能被窃听和监视。窃听者可以采用如Sniffer等网络协议分析工具, 非常容易地在信息传输过程中获取所有信息的内容, 这些信息包括账号、密码等重要信息。一旦, 入侵者监听到用户传输的口令, 就可以利用口令入侵到系统中。比如说, 政府部门内部的普通工作人员, 如果通过内部网络窃听手段, 获取了领导的账号和密码, 从而可以利用这些密码, 查阅只能由领导查阅的秘密文件等。这类方法有一定的局限性, 但危害性较大, 监听者往往能够获得其所在网段的所有用户账号和口令, 对内部网络安全威胁巨大, 因为内网数据往往是密级非常高的, 如果被非法窃听而导致信息泄露, 将对国家造成非常大的损失。
4. 欺诈攻击。
欺诈攻击是利用假冒方式骗取连接和信息资源、损害企业的声誉和利益的方式。比如说, 黑客在被攻击主机上启动一个可执行程序, 该程序显示一个伪造的登录界面。当用户在这个伪装的界面上键入登录信息后, 黑客程序会将用户输入的信息传送到攻击者主机, 然后关闭界面给出提示错误, 要求用户重新登录。此后, 才会出现真正的登录界面, 这就是欺诈攻击的一种方式。
再比如说, 黑客可以制作自己的网页, 一旦用户点击了假冒链接地址, 进入到这个网页后, 如果用户此时输入银行账号、密码、验证码后, 该假冒网页会提示验证码错误, 随后再转向正常的网页, 这样, 黑客就巧妙地从中获取了用户的机密信息。
5. 病毒攻击。
计算机病毒实际上是一段可执行程序, 为什么称之为病毒, 主要是因为它和现实世界的病毒一样具有传染性、潜伏性和破坏性。在越来越依赖网络的今天, 由于病毒导致的系统破坏将带来巨大的损失。
计算机病毒对计算机的影响是灾难性的。从20世纪80年代起, 计算机使用者就开始和计算机病毒斗争, 特别是随着近年互联网的发展、网络应用的普及、人们对计算机的依赖程度的不断提高, 这一切为病毒的传播提供了方便的渠道, 同时也使计算机病毒的种类迅速增加, 扩散速度大大加快, 受感染的范围越来越广, 病毒的破坏性也越来越严重。以前病毒的传播方式主要是单机之间通过软盘介质传染, 而现在病毒可以更迅速地通过网络共享文件、电子邮件及互联网在全世界范围内传播。
6. 拒绝服务攻击。
拒绝服务 (denial-of-service) 攻击, 简称Do S攻击, 是通过向攻击目标施加超强力的服务要求, 要求被攻击目标提供超出它能力范围的服务, 从而引起的攻击目标对正常服务的拒绝或服务性能大大降低。简单的说拒绝服务攻击就是想办法将被攻击的计算机资源或网络带宽资源耗尽, 导致网络或系统不胜负荷以至于瘫痪, 而停止提供正常的服务。
Do S攻击由于可以通过使用一些公开的软件和工具进行攻击, 因而它的发动较为简单, “拒绝服务”的攻击方式是:用户发送许多要求确认的信息到服务器, 使服务器里充斥着这种大量要求回复的无用信息, 所有的信息都有需回复的虚假地址, 而当服务器试图回传时, 却无法找到用户。服务器于是暂时等候, 然后再切断连接。服务器切断连接时, 黑客再度传送新一批需要确认的信息, 这个过程周而复始, 最终导致服务器资源耗尽而瘫痪。
四、网络安全的主要防范措施
网络安全防范的目的是保护以网络为代表的系统资源不受攻击影响、同时要发现可疑的行为、对可能影响安全的事件作出反应。网络系统安全的最终目标是要保证数据和信息的安全性, 也就是说, 网络自身的安全是为数据和信息安全服务的。网络安全不单是单点的安全, 而是整个系统的安全, 需要专业的安全产品与网络产品紧密配合才能达到。网络安全的防范措施包括:
1. 安装防火墙。
最常用的网络安全技术就是采用防火墙, 防火墙所处的位置和功能很象是建筑上所说的防火墙, 防火墙是安装在计算机网络上, 防止内部的网络系统被人恶意破坏的一个网络安全产品。防火墙通常是防范外部入侵的第一道防线, 使用了防火墙后, 可以有效地挡住外来的攻击, 对进出的数据进行监视。
2. 防止内部破坏。
有了防火墙可以防范外部的攻击, 这还不能完全有效地保障内网的安全, 因为很多不安全因素来自内部非授权人员对涉密信息的非法访问和恶意窃取, 因此在网络内部, 也必须要有强有力的身份鉴别、访问控制、权限管理以及涉密文件的保密存储和传输等措施, 才能有效地保障内部涉密信息的安全性。
3. 口令保护。
口令攻击是常见的一种网络攻击方式, 黑客可以通过破解用户口令入侵用户系统, 因此必须非常注意对口令的保护, 特别是在设置口令时不能简单了事, 密码设置不要容易被别人猜出, 重要的密码最好定期更换等等。
除了在设定口令时要注意口令安全, 还有一种动态口令方式来保护口令的安全, 动态口令认证是针对, 静态口令身份认证机制的安全弱点, 提出的一种新的身份认证机制。在这种机制下, 认证客户端和认证服务器都基于用户密钥和当前时间, 通过特定的密码算法, 生成该用户的当前登录口令, 用于身份认证。由于当前登录口令是和当前时间相关的, 而且登录口令只是一次有效, 用户在登录时口令是随时变化的, 因此很好地解决了口令的泄露问题, 保证了用户的身份真实性和不可抵赖性。
4. 数据加密。
在互联网出现后, 特别是随着电子商务应用的普及, 企业的许多数据要经过互联网传输, 传输过程中间极有可能出现数据被窃取和被篡改的危险, 因此跨越互联网传输的数据都必须经过加密, 保证数据不被窃取。除了跨越互联网传输的数据需要加密外, 以往发生的数据泄露事件中, 内部数据泄露也比较多, 因此网络内部的数据也应该采用一定的加密措施。
加密技术的主要目标是确保数据的机密性、真实性、完整性, 通过加密措施, 使非法窃听者即使截获部分信息也无法理解这些信息, 另外通过校验技术, 可以使数据被篡改后还有机制去恢复被篡改的内容。
总之, 网络安全防范是一个动态的概念, 不可能做到一劳永逸, 重要的是要建立一个网络安全防范体系。网络安全是一个广泛而复杂的课题, 各种类型的企业对网络安全有不同的需求, 必须进行具体的分析才能制定出适合企业自身要求的、总体网络安全解决方案。
摘要:在互联网络飞速发展的今天, 由于技术上的缺陷以及思想上不购重视等原因, 在现代网络信息社会环境下, 存在着各种各样的安全威胁。这些威胁可能会造成重要数据文件的丢失, 甚至给政府、银行证券以及企业的网络信息系统带来了极大的损失和危害。网络攻击的主要方式包括口令攻击、软件攻击、窃听攻击、欺诈攻击、病毒攻击以及拒绝服务攻击等, 而网络安全的防范措施则包括安装防火墙、防止内部破坏、口令保护和数据加密等多种方式。网络安全防范是一个动态的概念, 重要的是要建立一个网络安全防范体系。
关键词:网络安全,信息安全,网络攻击,安全防范
参考文献
[1]马翔:网络安全的策略和解决方案研究.中国科技信息, 2007 (22)
[2]黄梯云:管理信息系统, 北京:高等教育出版社, 2005.3
3.电力企业网络信息安全管理探究 篇三
【关键词】电力企业;网络信息;安全管理
【中图分类号】TU714 【文献标识码】A 【文章编号】1672—5158(2012)08—0144-02
随着网络和计算机技术的不断发展,人们越来越离不开网络,网络不但给用户带来便利,还带来了信息安全问题。本文分析了电力企业网络信息安全管理存在的问题,并提出了相应的完善措施。
一、电力企业网络信息安全管理存在的问题
(一)电脑病毒的威胁
对所有的电脑用户来说,不得不面临的主要问题就是电脑病毒的威胁,电力企业也是如此,计算机病毒会从各种渠道传播到计算机中,使电力企业的网络系统出现问题。电脑病毒不但会影响计算机的运算速度,还会破坏计算机的硬件和软件,并且电脑病毒的感染速度极快,只要计算机连接一个含有电脑病毒的移动存储设备,就可以使计算机感染电脑病毒,并且企业网络环境的变化也会导致计算机感染病毒。
(二)信息的安全问题
在网络信息的存储和传递中,不可避免都会出现相应的网络安全问题。在电力企业存储信息的时候,通过介入外部的互联网,会导致企业内部一些商业机密被网络黑客盗取,从而给企业带来相应的损失。在信息的传输过程中,也会造成企业内部信息被非法截取,使得商业机密泄露,除此之外,一些黑客人员还会运用非法手段来篡改企业的信息,使得企业的数据出现错误,造成信息混乱,给企业员工的工作带来巨大的影响。因此,如果不有效的解决电力企业的信息安全问题,就会给企业带来严重的损失和破坏,严重的甚至会危机国家和社会的财产安全。
(三)管理人员素质风险
现今,许多企业存在重技术、轻管理的情况,没有完善的安全管理制度,并且管理人员普遍信息安全意识不强,这也就在一定程度上提高了网络风险,并且企业网络管理员配备不当也是造成企业信息安全问题的主要原因。除此之外,对于电力企业来说,来自内部的风险是非常主要的安全风险,特别是网络管理人员,不经意间泄露的重要信息,都将可能成为导致系统受攻击的最致命的安全威胁。
(四)设备本身与系统软件存在漏洞
由于电力企业的信息化发展较为缓慢,所以这就很可能造成电力企业很多设备和软件存在安全漏洞,给电力企业带来许多不良的安全问题。电力企业信息网络的操作系统、数据库存在安全漏洞,并且信息存储的介质受到损坏,就会造成大量的信息泄露或者丢失。除此之外,由于计算机设备工作时产生的辐射电磁波也会使电力企业网络信息存在安全问题,一些电力企业没有按照相关的要求及时的升级和修复防范软件,这就给网络信息安全带来一定的威胁。
二、完善电力企业网络信息安全管理的措施
(一)提高企业内全体员工的安全意识
目前,造成电力企业网络信息存在安全问题的其中一个主要问题就是用户的安全意识淡薄,对网络信息的安全不够重视,并且缺乏相应的防范措施。这些问题主要是因为电力企业网络信息管理不完善,缺乏相应的安全管理责任制,因此,必须提高用户的安全意识,使他们自觉的修补计算机的操作系统和安全漏洞,并且及时的升级防毒软件和防火墙,掌握安全评估的基本方法,对安全操作和维护技术的合理运用,使电力企业的网络信息处于安全的环境当中,只有这样才可以做好电力企业网络信息安全管理,减少网络的威胁。
(二)进行网络安全风险评估
电力企业想要从根本上解决网络安全问题,除了要从技术上面考虑以外,还应该做好网络安全风险评估工作。网络的安全离不开各种安全技术的实施,现在市面上有各种安全技术产品,想要选择合适的安全技术产品,首先应该进行可行性的分析,对电力企业存在的网络信息风险进行分析,并且对收益与付出进行比较,了解安全技术产品在电力企业中使用的效率,看下哪一个产品更加适合电力企业降低网络信息安全的需求。对电力企业来说,弄清楚网络信息存在的风险,并且评估这种风险带来的威胁和影响,只有这样才可以制定相应的安全管理策略,从而有效的提高电力企业网络信息的安全。
(三)完善网络防病毒体系
由于计算机病毒会广泛的传播,并且对网络用户的数据具有严重的破坏力,随着网络技术的不断发展,计算机病毒给网络用户带来的损失也越来越大,严重影响了电力企业网络系统的运行。因此,为了使电力企业免受病毒的侵害,作为网络管理人员应该建立从主机到服务器的完善的防病毒体系,建立健全的网络信息管理制定,以此来有效的提高电力企业网络信息的安全管理。
(四)建立企业网络信息安全文化
作为电力企业网络管理人员,应该建立企业网络信息安全文化,重点掌握企业信息安全的整体策略和目标,安全体系的建立和网络信息安全管理制度的制订。负责信息安全运行和维护的技术人员,应该对信息安全管理有一个充分的了解,并且掌握安全评估的基本方法,能够合理的运用安全操作和维护技术,提高安全管理人员的综合素质,使他们具备承担安全职责的能力,只有这样才可以降低电力企业网络信息安全风险,使电力企业免遭黑客和病毒的入侵,确保网络信息的安全。
(五)开展电力企业内部的全员信息安全教育和培训活动
在电力企业发展中,信息安全不但是整个信息网络部门的事情,还是企业内所有员工的职责,因此,为了提高电力企业网络信息安全管理的力度,就应该对企业内所有的员工进行信息安全教育,并开展相应的培训活动,以此来有效的避免由于失误造成企业内部出现安全风险。电力企业应该做好宣传工作,提高企业内所有员工对网络信息安全的认识,向每一位员工普及网络安全操作流程,使他们掌握基本的安全管理策略。除此之外,主管部门和各级管理人员,应该清楚掌握信息安全体系的构成情况,建立相应的管理责任制,每个部门每个员工都应该从自己做起,完善自己所用计算机的病毒软件和防火墙,防止网络病毒有机可乘。
三、结束语
综上所述,想要提高电力企业网络信息安全管理,首先应该提高企业内全体员工的安全意识,建立企业网络信息安全文化,并且完善网络防病毒体系和进行网络安全风险评估,开展电力企业内部的全员信息安全教育和培训活动,只有这样才可以确保电力企业的网络信息安全,避免網络安全风险的产生。
参考文献
[1]林世溪,林小迪.电力企业网络信息安全防护体系的建立[J].华东电力,2010,(05)
[2]朱琳娜,盛海港.网络信息安全管理在电力企业中的应用[J].中国电力教育,2010,(s2)
[3]汪洁,易予江.电力企业信息网络安全分析与对策[J].电力信息化,2008,(10)
[4]香柱平.有关电力企业信息中心网络安全及防护措施的探讨[J].中小企业管理与科技(下旬刊),2010,(05)
4.网络与信息安全管理制度 篇四
1.在网站的服务器及工作站上均安装了防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。
2.做好网站访问日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。
3.交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。
4.网站信息服务系统建立了实时备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。
5.关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。
6.服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。
7.网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。
8.电信机房标准建设,内有必备的独立UPS不间断电源、定期检查灭火器。9.机房配务有软、硬件防火墙,并有工作人员24小时值班。信息安全保密管理制度 2.1 管理人员行为规范
尊重并保护用户的个人隐私,除了在与用户签署的隐私政策和相关服务条款以及其它公布的准则规定的情况下,未经用户允许管理人员人得随意公布用户相关信息(身份、联系电话等)
所有用户信息将得到本平台管理系统的安全保存,并在与用户的签署的协议时间内承诺并保证保护用户信息的安全。
严格遵守用户账号使用登录和操作权限管理制度对用户信息专人管理、严格保密、未经授权不得向它人泄露。
2.2 信息监控制度
一、网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址)
二、相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;
三、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理;
A、违反宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的; D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。
2.3 组织结构:
设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,审核批准后发布、坚持做到来源不明的不发、未经过上级部门批准的不发、内容有问题的不发、的三不发制度。
对网站管理实行责任制对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。因疏于管理而导致网络安全事故和信息管理事故的,将追究该单位网络工作主管领导、信息监控人员、网络管理员的责任,视事故严重程度给予相关责任人以行政处罚。用户信息安全管理制度
3.1 信息安全内部人员保密管理制度:
1、相关内部人员不得对外泄露需要保密的信息;
2、内部人员不得发布、传播国家法律禁止的内容;
3、建立信息发布审核机制,信息发布之前经过相关人员审核;
4、对相关管理人员设定网站管理权限,不得越权管理网站信息;
5、一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6、对有毒有害的信息进行过滤、用户信息进行保密。
3.2 登陆用户信息安全管理制度:
1、登记注册表应由专人负责保管,未经授权不得复制、透露给第三方;
2、只允许用户的单一登录;即单一用户名只对应单一口令
3、对登陆用户信息阅读与发布按需要设置权限。用户可自主改变登录密码,以保护用户信息的隐私权;
4、对用户在网站上的行为进行有效监控,保证内部信息安全;
5、规定用户不得传播、发布国家法律禁止的内容。
6、针对用户发布信息建立审核机制,设定信息开关,所有信息一律师事务所审核后再开放显示。
7、除用户授权外,系统管理员不得对用户信息进行复制、删改;
8、定期将用户信息备份并保存,以防用户误操作,丢失原有信息;
9、加强对用户的网络制度、法律法规的宣传;并组织集中学习与培训,加强用户相关的法律意识,提高用户的自我束约能力。
10、固定用户不得传播、发布国家法律禁止的内容。
5.28-信息网络安全管理制度 篇五
1.北京三得电子技术有限公司信息网络(包括内网、外网)由技术部统一管理。
2.凡需联接网络的用户,必须填写《计算机入网申请表》,经部门负责人、分管领导同意后,由技术部安排和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。
计算机用户加入信息网络,必须由技术部网络管理员安排接入网络,分配计算机名、IP地址、帐号和使用权限,并记录归档。
3.入网用户必须对所分配的帐号和密码负责,严格按要求做好密码或口令的保密和更换工作,不得泄密。登录时必须使用自己的帐号。口令长度不得小于6位,必须是字母数字混合。
4.任何人不得未经批准擅自接入或更改计算机名、地址、帐号和使用权限。业务系统岗位变动时,应及时重新设置该岗帐号和工作口令。
5.凡需联接互联网的用户,必需填写《计算机入网申请表》,经公司分管领导或部门负责人同意后,由技术部安排
和监控、检查,已接入互联网的用户应妥善保管其计算机所分配帐号和密码,并对其安全负责。不得利用互联网做任何与其工作无关的事情,若因此造成病毒感染,其本人应付全部责任。
6.入网计算机必须有防病毒和安全保密措施,确因工作需要与外公司通过各种存储媒体及网络通讯等方式进行数据交换,必须进行病毒检查。因违反规定造成电子数据失密或病毒感染,由违反人承担相应责任,同时应追究其所在部门负责人的领导责任。
7.所有办公电脑都应安装杀毒软件,并定期升级病毒码及杀毒引擎,按时查杀病毒。未经技术部同意,不得以任何理由删除或换用其他杀毒软件(防火墙),发现病毒应及时向技术部汇报,由系统管理员统一清除病毒。
8.入网用户不得从事下列危害网络安全的活动:(1)未经允许,对网络及其功能进行删除、修改或增加;
(2)未经允许,对网络中存储、处理或传输的数据和应用程序进行删除、修改或增加;
(3)使用的系统软件和应用软件、关键数据、重要技术文档未经主管领导批准,不得擅自拷贝提供给外公司或个人,如因非法拷贝而引起的问题,由拷贝人承担全部责任。
9.入网用户必须遵守国家的有关法律法规和规定,如有
违反,技术部将停止其入网使用权,并追究其相应的责任。
10.用户必须做好防火、防潮、防雷、防盗、防尘和防泄密等防范措施,重要文件和资料须做好备份。
二、计算机使用管理制度
1.使用计算机必须经过培训学习后才能上岗。开启、关闭计算机应按照正确步骤进行,严禁直接人为的非法关机。主机和键盘旁不要放置水杯等盛满液体的容器。
2.不得私自拆装计算机和安装来历不明的软件。计算机发生故障不能工作时,不得擅自维修,应及时向系统管理员报告,由系统管理员或专业技术人员负责维护。
3.严禁私自带外设接入互联网。严禁将计算机中存储的软件和其它信息文档擅自拷贝给他人使用。也不得擅自修改、移动或删除计算机文件和系统设置。
4.不准使用来历不明的光盘、软盘。工作软盘、光盘应妥善保管,不得乱放乱用。
5.计算机系统中要求设置密码的地方都应设置个人密码并妥善保存,不可透露给无关人员。由于不设置个人密码或密码保密不力而发生问题的,由本人负全责。
6.计算机一般要求专人专用。多人共用的计算机,要求设置各自的登录用户名及密码,不可越权使用。办公计算机不得用于业务以外的用途,与本工作无关的人员不得使用计算机。
7.对计算机保存的重要资料必须经常做好异机备份,以防系统崩溃而丢失。8.所有办公电脑都应安装全省统一的趋势防病毒系统,并定期升级病毒码及杀毒引擎,未经技术部同意,不得以任何理由删除系统内的防病毒软件,以保证电脑及网络安全。
9.计算机操作人员应采取措施做好电脑防尘、防盗、防潮、防触电、防鼠咬等工作。
三、计算机病毒防范制度
1.信息网络管理员负责计算机病毒防范工作,并及时升级病毒库和杀毒引擎,定期进行病毒检测。
2.电脑操作员在工作中发现计算机有被病毒感染的迹象或因计算机病毒引起的计算机信息系统瘫痪、程序和数据严重破坏等重大事故时,应及时向系统管理员报告,并保护现场。
3.所有办公电脑都必须安装防病毒软件,任何人不得以任何理由关闭或删除系统内的病毒防火墙,以免电脑系统感染病毒,影响网络安全和日常工作。
4.载入办公网络电脑的软件系统安装前应进行病毒检测,禁止运行未经病毒检测的软件。
5.禁止在办公电脑上安装游戏软件、上色情网站以及使用QQ等即时通讯软件。
6.经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。7.任何部门和个人不得制作和传播计算机病毒,不得发布虚假的计算机病毒疫情。
8.各部门及电脑操作员在计算机病毒防治工作中应当履行下列职责:(1)不得故意输入计算机病毒;
(2)不得向他人提供含有计算机病毒的文件、软件、媒体;
(3)对在互联网上接收到来历不明的电子邮件,不要打开其附件,防止受到计算机病毒的攻击;
(4)从互联网上直接下载的软件和浏览器插件要有可靠来源,因其可能有破坏性程序,必须对此严加防范;
(5)及时检测、清除计算机信息系统中的病毒,无法清除的,应当迅速采取隔离、控制措施,保护现场和相关数据,并及时向系统管理员报告。
四、计算机软件管理制度
1.核心业务软件使用统一软件,各部门不得自行设计、开发、购买。办公类计算机软件由技术部统一配置或采购,数量较大的软件项目采购应采取招标或议标方式,并经公司决策层批准。
2.购置的计算机软件由技术部登记,填写《计算机软件档案卡》,每个软件
一卡;并且必须采购正版软件,不得购买盗版软件。
3.购置的软件技术资料应归档保管。
4.需要安装业务系统和OA系统的,须经主管领导批准同意,其它软件安装须经技术部同意。软件的安装与删除由系统管理员操作。
5.软件一经安装使用,未经领导批准或技术部同意,任何人不得将其卸载、删除。
6.软件不得随意借入非信息部门人员使用,不得借入非本公司人员使用。7.加强对计算机软件使用权限的管理。因业务需要开通使用权限,需经部门负责人同意,由系统管理员设置相应权限。
五、计算机设备管理制度
计算机设备管理是指计算机主机设备、网络通信设备和外围设备的采购、领用、维修和报废等的管理。计算机设备管理由技术部负责。
(一)设备采购
1.各部门因业务需要配制计算机设备,应先填写《计算机设备需求申请表》,经领导批准后,由技术部汇同有关部门按规定统一采购。
2.在购置设备前应首先考虑调移、升级现有计算机设备,现有设备无法满足需求的情况下再组织采购。
3.计算机设备选型必须综合考虑可靠性、耐用性、适用性和经济性,尽可能选用重点知名品牌和性价比高的产品。
4.采购计算机配件单一品种超过一千元以上的应报请主管领导批准。一次采购设备单一品种价值超过一万元以上的,必须比质比价,按办公用品集中采购的有关规定执行。
5.对新购置的设备,由系统管理员安装、测试、验收合格后交由使用部门使用,并通知有关部门做好财产登记。
(二)设备领用
1.计算机设备使用须履行领用手续,由使用人填写《计算机设备使用登记表》,由系统管理员建立设备管理档案。
2.对闲置不用的计算机设备,使用部门应将设备退回技术部统一保管或调移
其它部门使用,并办理财产转移手续。
3.计算机设备的配件领用、更换由技术部系统管理员统一配置。
(三)设备维修
1.非系统管理员或专业维修人员不得擅自维修计算机及其他设备。2.系统管理员在接到设备故障报告后,一般应在一个工作日内完成修复,需延长维修时间的应向使用部门说明原因。
3.系统管理员不能维修时,应及时与供应商或产品维修中心联系,派专业技术人员维修。
4.设备维护应做好记录,并建立管理档案。
(四)设备报废
1.对性能不稳定、陈旧换代、寿命终结或难于满足业务需求的设备,如无法通过升级、维修使其胜任工作,应作设备报废处理。
2.报废设备由使用部门提出申请,填写《设备报废申请表》,由系统管理员提出鉴定意见和有关部门审查后,报领导审批。
3.设备报废应做好登记并通知有关部门核销。
六、信息系统维护管理制度
1.本制度所指系统包括:各业务应用系统、计算机操作系统、数据库系统、通讯系统、邮件系统等信息系统。
2.系统管理员每月至少一次定期对各信息系统进行检查是否正常运行,并填写《系统维护登记表》。
3.要定期核实各系统功能是否达到公司业务需求,如有不符,应报告上级领导并做好需求方案。
4.对各信息系统进行升级的时候,须谨慎、严格地执行升级步骤。升级前应该分析系统升级维护的风险,进行严格的测试,并选择在非业务操作时间进行系统升级维护工作。
5.当系统升级失败时,应及时卸载升级维护操作,利用备份恢复重要数据,并检查系统上原有数据能否正常操作。
6.建立系统故障防范与应急处理服务体系、系统应急预案和系统故障等级分
类。发生故障时,应及时、快速处理或上报,并对故障处理情况进行记录,为系统应急处理积累经验。
7.对日常系统业务数据要进行备份,并检查备份的完整性。8.对系统数据要进行严密的保护,不得随意做删除和复制等操作。9.对系统的安装、维护、改动、升级、卸载等操作,必须填写系统维护日志。
八、技术档案管理制度
信息技术档案建档对象为:计算机软件、设备资料、数据、技术资料、采购合同、施工图纸和文件等。
1.技术档案管理应专人负责,严格执行保密制度。对有关资料要及时立卷归档,做好档案的管理和服务。
2.技术部管理的所有服务器、路由器的用户名和密码口令、网络系统配置参数为秘密资料,由系统管理员掌握,必须妥善归档保存,不得泄露。
3.技术部提供借用的软件、技术资料仅限本市烟草商业系统员工使用,不得转借他人。涉及系统安全和网络安全的重要技术档案只限于在技术部内部查询。
4.员工借用软件、技术资料等档案时,须办理借用手续,并在使用完后及时归还。档案管理员必须对借出的档案进行跟踪管理,对逾期不还的要及时催还。
6.做好网络信息安全管理 篇六
对个人而言,要设置较为复杂口令,提高使用计算机安全意识,保护个人的重要隐私和机密数据。
个人用户要及时升级杀毒软件,有效防止病毒入侵,保证计算机运行安全。
另外,为了防止突发事件,防止计算机数据丢失,个人用户要对重要的数据进行复制备份,在计算机遇到攻击瘫痪以后,保证数据资料不会丢失,避免受到不必要的损失。
综上所述,随着计算机网络技术的发展,网络信息安全管理问题不容忽视。
在实际运行过程中,计算机网络信息安全是一个动态的过程,需要建立一个完善的网络安全防范体系,针对用户不同需求,采用不同的防范措施,避免泄露用户的隐私和信息。
参考文献:
[1]王晓甜.如何做好网络信息化时代信息安全保密工作[J].科技创新导报,,05:206.
7.浅析网络信息的安全管理 篇七
关键词:信息化,网络与信息,安全管理
0前言
随着互联网技术的不断发展, 网络技术已经应用在社会政治、经济、文化、生产等各个领域, 互联网网络已经成为信息传播、流通、交换和存储的重要平台。 信息化建设为经济发展和社会进步带来了前所未有的机遇。 信息化建设过程中, 计算机网络和信息系统与生产、管理、 业务的关系越来越紧密, 如何保证网络信息系统安全可靠的运行, 已经成为信息化建设的重要工作之一。
1网络与网络安全隐患概述
网络安全是指对网络进行管理和控制, 并采取一定的技术措施, 从而确保在一个网络环境里信息数据的机密化、完整性及可使用性受到有效的保护。 网络安全的主要目标就是要稳妥地确保经由网络传达的信息总能够在到达目的地时没有任何增加、改变、丢失或被他人非法读取。 网络安全目前已发展成为一个跨学科的综合性学科, 它包括通信技术、网络技术、计算机软件、硬件设计技术、密码学、网络安全与计算机安全技术等, 网络安全是在攻击与防范这一对矛盾相互作用的过程中发展起来的。
目前网络的安全漏洞主要来自以下几个方面:
1.1自然因素
1.1.1软件漏洞
任何的系统软件和应用软件都不能是百分之百的无缺陷和无漏洞的, 而这些缺陷和漏洞恰恰是非法用户、黑客进行窃取机密信息和破坏信息的首选途径。 针对固有的安全漏洞进行攻击。
1.1.2病毒攻击
计算机病毒是一段特殊的程序, 除了与其他程序一样, 可以存储和运行以外, 还有感染性、潜伏性、可触发性、破坏性、衍生性等特征。 它一般隐藏在合法程序中, 当计算机运行时, 就会抢夺系统控制权, 对计算机系统进行干扰和破坏。
1.2人为因素
1.2.1操作失误
操作员或用户安全意识不强, 配置不当造成的安全漏洞。 这种情况在计算机网络使用初期较常见, 随着网络管理制度的建立和对使用人员的培训, 此种情况逐渐减少。
1.2.2恶意攻击
在信息安全技术中, 恶意攻击定义为:有计划地窃听、偷窃、或损坏信息, 或拒绝其他授权用户的访问, 这是计算机网络所面临的最大威胁。
1.2.3网络安全制度不健全
网络安全制度的不完善, 及有效的网络安全制度的运行和管理的缺失, 管理不到位, 都可以引发网络的管理漏洞。
2网络安全系统安全建设的主要目标
2.1网络和系统实体的安全性、抗攻击性
通过一定的安全防范措施, 保证各种相关的网络和主题系统具有相当的抗攻击性, 能够检测并及时对各种攻击行为作出响应。
2.2整体系统运行状态的可控性
能够对整个网络和系统的相关状况进行实时监控, 对应用服务, 数据和资源的使用进行监控。 对网络故障、操作错误、应用程序错误、 硬件故障、计算机病毒所产生的潜在威胁加以控制。
2.3信息的安全性、保密性和可靠性
通过对信息使用的授权, 及信息的传输和传播过程中进行控制、 跟踪, 确保信息在存储或传输的过程中保持不被修改, 不被破坏、不丢失。
2.4安全系统的可管理性
建立各种安全管理的制度, 规范员工的行为, 通过各种培训全面提高网络管理工作人员的技术素质。
3网络安全管理策略探讨
3.1网络安全的管理
3.1.1防火墙
防火墙是一项协助确保信息安全的设备, 会依照特定的规则, 允许或是限制传输的数据通过。 防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。 防火墙作为使用最多, 效率最高的网络安全产品, 其优势在整个网络安全中的地位将是无可替代的。
3.1.2与因特网接入处增设网络入侵检测系统
入侵检测系统是实时网络违规自动识别和响应系统, 它位于有敏感数据需要保护的网络上或网络上任何有风险存在的地方, 通过实时截获网络数据流, 能够识别、记录入侵或破坏性代码流, 寻找网络违规模式和未授权的网络访问, 一经发现入侵检测系统根据系统安全策略做出反应, 包括实时报警、自动阻断通信连接或执行用户自定义安全策略等。
3.1.3病毒防御
计算机病毒对计算机网络影响是灾难性的。 计算机使用者和计算机病毒斗争, 创造了形形色色的病毒产品和方案。 选购杀毒软件, 明确需求。 做到经常更新, 以快速检测到可能入侵计算机的新病毒或者变种, 才能有效提升企业的信息安全水平。
当然, 对于网络安全的防御目前比较成熟的技术相当多, 例如其他诸如身份认证、数字签名等技术。
3.2网络服务器安全管理
3.2.1定期对网络服务器进行安全检查
由于网络服务器是对外开放的, 容易受到病毒的攻击, 所以应为服务器建立例行安全审核机制, 利用漏洞扫描工具, 加大对服务器的安全管理和检查。
3.2.2定期做好数据备份
网络的核心是数据, 数据一旦遭到破坏, 后果不堪设想。 应建立数据的备份方案, 而且随着网络的更新不断地调整备份方案, 对服务器数据定期进行备份。
3.3数据库安全管理
数据库的安全问题越来越成为网络安全管理的一个关键问题。 它对安全的需求范围更广, 除了对计算机、外部设备、联机网络和通信设备进行物理保护外, 还必须采取其它安全措施有效地防止非法访问或盗用敏感数据, 保证数据的完整性和一致性。
4小结
网络环境里的安全从根本上也可以说是一种能够识别和消除不安全因素的能力。 做好安全管理控制, 时刻关注新的管理技术与安全防御技术, 对于已经出现的安全问题用最快、最有效的方法加以解决, 对于目前还未出现的安全问题进行预见, 是对网络安全管理最行之有效的基本措施。
参考文献
[1]刘天华, 孙阳, 朱宏峰.网络安全[M].科学出版社, 2010.
[2]王群.计算机网络安全技术[M].清华大学出版社, 2008.
[3]李洋, 段洋, 叶天斌, 译.信息安全完全参考手册[M].清华大学出版社, 2014.
8.数字图书馆网络信息安全管理初探 篇八
摘要:数字图书馆网络信息安全实践证明,安全问题不仅是技术问题,更是管理问题,单靠技术不能从真正意义上解决由个人问题所引发的网络信息安全事故或安全隐患。目前,大多数研究者较多地注重技术性问题,但涉及到以人为对象的安全管理研究极少,致使管理存在认识误区、制度缺失或制度执行不力等。因此,对于搞好数字图书馆网络信息安全管理建设的问题除技术外,还应该强化图书馆群体用户的安全意识;完善安全管理制度并强化制度的落实;提升图书馆计算机专业技术人员的责任意识和技能技术。
中图分类号:G250文献标识码:A文章编号:1003-1588(2012)02-0075-02
1序言
目前,国内数字图书馆在网络信息安全应用研究方面(即数据安全、系统安全、知识产权维护和网络安全等)绝大多数都侧重于技术,在网络信息安全实践中,往往过多重视技术方面的问题,认为所有的网络信息安全问题依赖先进的技术手段都能得以解决;其实不然,即使我们采用最先进的技术手段,安全管理缺失,网络信息安全事故依然频繁发生。因此,网络信息安全不仅是技术问题, 更是人的问题,即管理问题。数字图书馆的安全保障不仅需要技术的支撑,更需要以人为对象的安全管理的落实。安全管理包括:安全意识、相应的规章制度和馆员的责任感等。只有安全技术与管理的有机结合,数字图书馆才能在实现资源共享的同时,最大限度地减少网络信息安全事故的发生,并将网络信息安全事故的影响与损失降到最低。
2管理技术在数字图书馆安全保障中的作用
数字图书馆安全保障是指保护计算机网络系统的硬件、软件及系统中的数据,使其不因自然灾害和人为无意或恶意等原因,而导致各种资源的破坏、更改、丢失或者泄密,从而保障网络服务不中断,图书馆工作正常持续进行。数字图书馆基于Internet网络化信息检索、信息加工和信息服务,使图书馆读者服务范围和内容得以延伸和扩展。但其网络系统具有的分布广域性、结构开放性、资源共享性和公用性等特点,以及数字化信息的共享和易于扩散等特性,造成安全不稳定因素增多,风险增大。而数字图书馆要做到既要使网络信息系统为满足多元化读者服务需要,又要使信息在传递和使用过程中更为安全,就必须采取技术、管理等综合措施来保障网络信息安全。先进的安全技术是实现网络信息安全的重要手段,数字图书馆要确保其网络上信息的保密性、完整性和可用性;确保在出现突发故障时能快速提供应急故障的响应手段,快速重组被破坏了的文件或应用,并能有效地防御恶意攻击和破坏,实现对非法入侵的审计与跟踪等,这些就必须依靠技术手段来实现。严格有效的安全管理是实现网络信息安全的根本,它较好地解决了技术无法涉及到的由人的问题所引发的安全事故或隐患,并在其有效管控下使技术得以较好地实施。
目前,我国安全技术的应用研究取得显著成果,不少新兴产品和技术逐渐发展成熟,并被不断地应用在图书馆安全防御体系中。囿于篇幅,本文在此就不予赘述。然而以人为对象的安全管理应用研究,却滞后于技术发展的步伐,管理的瓶颈大大削弱了安全技术产品所本应产生的防护效果,导致疏于管理所引发的安全事故和安全隐患频繁发生,这对图书馆网络信息资源、网络系统的危害也远远大于其它方面造成的危害。可见,仅仅依靠安全技术措施进行防护,防护效果常常不尽如人意。数字图书馆要做到对行为可控、资源可管、事件可查、运行环境可靠,不仅仅取决于安全技术手段,还取决于严格有效的安全管理。只有安全技术手段与严格有效的安全管理有机结合,数字图书馆才能真正保障网络信息系统安全、健康运行,确保重要信息(书目数据、读者个人信息、有偿资源等)不被非法读取、复制、修改、假冒、否认、丢失,甚至毁灭,保证有偿资源不被非法使用。
3数字图书馆网络信息安全管理措施
3.1强化图书馆工作人员及读者的安全责任意识
安全意识的提升对于数字图书馆网络信息安全来说十分重要。在网络信息安全管理过程中,安全意识起着至关重要的作用。尽管数字图书馆的网络设置了多道关卡防止病毒、黑客的入侵以及破坏性行为的发生,但无论多么完善的安全设备都无法完全抵御人为因素所造成的危害。为此,图书馆工作人员,特别是相关技术人员应从思想上高度重视网络信息安全的重要性,充分认识到数字图书馆Internet/ Intranet服务模式所面临的安全问题,减少认识上的模糊性、笼统性及误区,克服麻痹和侥幸心理,以全新的安全管理理念和高度的责任心做好图书馆计算机网络系统和数据资源的安全工作。
另外,我们还要看到员工自身网络安全知识的不足,关于这点,不同岗位的员工有不同的提高途径。安全管理技术人员,他们具有很高的权限,可直接操作关键设备。因此,他们自身应加强相关法律法规和政策的学习,严格遵守馆内各项安全操作规则,积极主动深入地研究和掌握安全管理新技术,并有针对性地进行系统与数据恢复的演练,做到心中有数。同时,图书馆应经常派遣他们参加国内外网络信息安全方面的技术培训,充实他们的网络知识、管理知识,做好网络信息安全的防毒、防黑等技术工作。针对业务服务工作人员,图书馆应通过组织定期或不定期的安全知识教育与安全技能的培训,提高其自我防范意识和能力,使他们自觉遵守馆内上网管理规定。如在工作机上不随意安装外挂程序或不明软件,不随意打开不明邮件,不浏览非法网站。同时,保管好自己的用户名和密码,做好保密工作,对操作系统要定期进行安全检查、扫描和补漏,定期更改系统登录密码等。一些工作人员对制定的安全措施不落实,认为配备最优秀的网络安全产品,就可以高枕无忧了。图书馆应加大检查力度,对相关技术人员可能因安全知识和管理知识不足而导致出现的操作失误、组织管理失误和维护失误的问题进行预防,加大系统安全教育技能培训的投入。
高宏:数字图书馆网络信息安全管理初探
对于读者安全意识薄弱或网络安全知识贫瘠出现的不规范、不负责的操作行为,图书馆应开展多层次、多方位网络信息安全宣传工作。如:发放有关网络安全知识的宣传手册;在电子阅览登机页面温馨提示读者如何安全进行网络操作;设立有问必答网络宣传栏,使读者和安全管理人员有效交流,从而让读者能够更安全的操作网络,图书馆相关工作人员也能及时了解读者的需求并改进工作。
3.2健全安全管理规章制度,强化制度的落实
制定全面、细致、严格、有效的安全管理规章制度并加以落实,是数字图书馆安全保障的有力手段,要做到用制度规范行为, 按职责实施管理,从制度上防范安全问题的发生。首先,从自身实际出发,引进行业先进的安全管理经验和理论,并根据国家、行业相关法律法规,改革、创新现有的图书馆安全管理规章制度。所谓的制度就是在一定范围内“要求成员共同遵守的,按一定程序办事的规程”,科学、细致的安全管理制度,将有利于促使图书馆安全管理工作的责任明确化与具体化。通过强化制度,更有利于调动全体馆员工作主动性、积极性、创造性,更能体现人文关怀的柔性管理,促进管理制度与人性化结合,使制度的建立更科学、更合理、更规范、更“人本位”。其次,把制度确定的各项要求落到实处,图书馆工作人员应对各自的责任和义务等有准确的认知,只有对制度内容等准确认知,才能将责任认识转化为行为准则,最终上升为自觉行为。另外,承担安全管理主管责任的分管领导,应定期督查馆内各项规章制度执行情况,奖罚分明,不合适宜的制度及时修正。
总之,再好的制度单一运行是不能完善地解决网络信息安全问题的。数字图书馆要真正预防和减少来自内外的安全威胁,最大程度地保护网络,最大限度挽回网络信息系统损失,使其安全运行,还需将技术、制度、管理主体(人)的责任相统一,三管齐下。同时,加快网络安全管理人才的引进与培养,最大限度为图书馆的各项业务工作以及信息服务提供保障。
参考文献
[1]许晋军,倪波.网络信息安全研究[J].现代图书情报技术,2008(1).
[2]刘超.数字图书馆的信息安全分析[J].现代情报,2009(6).
[3]郭洪刚,刘克胜.入侵检测技术及其脆弱性分析[J].信息安全技术,2004(5).
[4]韩毅,李融等.数字高校图书馆的安全威胁和控制措施[J].高校图书馆数字化技术平台,2004(2).
[5]王以群等.网络信息安全中的人因失误分析[J].情报学科,2007(11).
(编校:杨金霞)
【司法局网络信息安全管理制度】推荐阅读:
司法局安全管理制度06-21
司法局2021年度信息公开工作报告09-14
上海法院网络司法拍卖实施细则06-20
国家司法考试信息网07-11
中国司法审查制度08-30
司法考试改革制度07-25
俄罗斯司法制度10-17
论公司法人格否认制度06-18
基层司法行政管理平台08-21
WTO与行政行为司法审查制度06-22