时间:2023-02-28 15:53:49
序论:在您撰写信息安全管理论文时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
根据上文针对当前档案信息安全管理的基本现状和实践之中存在的主要问题等进行综合性的研究,可以明确今后工作的难点和重点。下文将针对档案信息安全管理和相关加密处理技术措施等进行综合性的分析,旨在更好的实现技术的改革,更好的促进工作向前发展。
1.1加强电子档案的同步管理
首先应当加强针对电子档案的专项的同步式管理,加强管理手段和相关政策制定的健全程度。在实践的档案和相关技术文件收集过程之中还应当加强对档案的存储和管理,对于一些原件,也应当进行妥善的保管,虽然电子档案的相关技术当前发展相当先进,但是需要注意的是网络环境并不是非常的安全,所以如果出现有电子档案受到破坏的情况,则会带来巨大的损失。所以,还应当加强档案信息安全管理的同步管理控制,同步的建设相关措施,严格的进行项目的审核与研究,同时还应当在技术的发展过程之中增强资金的投入力度,依靠技术的支持,依靠规范化的管理和运行,这样可以在最大程度之上降低网络环境不安全性所带来的不良影响,使得档案信息安全管理和保密技术的发展真正意义上发挥出应有的效应。所以,还应当加强对档案信息安全管理工作的分析。需要注意的是当前档案信息安全管理是相关项目建设的重点和难点,在实践的工作之中应当结合传统工作的经验,认真的进行归纳和总结,并且树立起良好的工作意识和思想观念,最鲶使得档案信息安全管理的发展进入到一个崭新的阶段之中。不断的加强对原始数据信息的积累,实现档案信息安全管理工作的改进和相关项目的完善。对于相关技术文件,还应当进行一定程度上的修改和补充,常见的诸如工作档案以及人事档案等等,在存储的过程之中应当严格的遵循方便后期修改的基本原则,而对于一些合同性的文件,则应当保证其存储格式的科学性,保证后期查阅资料的方便与快捷,这一点是当前档案信息安全管理的基本原则。
1.2健全档案信息安全管理相关制度和规定
除了上述分析到的电子档案的同步管理之外,在实践之中还应当充分的结合现有的资源情况制定出健全并且完善的档案信息安全管理控制制度,以保证工作的开展可以真正意义上达到有章可循的标准。需要注意的是网络环境的完善需要实现制度和法规的健全,所以还应当建立起一个完善的信息控制系统,对其中的各个子系统以及资源等进行全面的完善,同时还应当保证相关政策和制度的制定可以充分的符合当前网络环境的基本状况,保证工作幵展的健全程度和制度制定的完善程度,构建出一个和谐的网络技术环境。最后还需要注意的是针对档案信息安全管理相关制度和政策的完善还应当加强信息技术、信息人才以及相关投资方面的建设,在当前的环境之下,网络是一个相对开放的平台,所以应当加强其中相关条例的制定。在实践的工作幵展过程之中不仅应当结合当前工作的基本趋势,提出计算机信息系统保密技术的防范措施,同时还应当对今后的管理方案和管理的政策等进行研究,旨在更好的促进实践工作的改革。而在信息技术的安全层面之中也应当保证政策制度的制定者可以结合安全管理的现状,制定出可行的措施方案,只有这样才能够真正意义上建设出安全的、和谐的、可靠的、稳定的网络技术环境。
1.3加强档案信息安全管理中的保密工作
加强保密工作是真正意义上促进档案信息安全管理水准持续改进的关键点。在实践的网络工作过程之中不少档案是可以进行浏览的,常见的诸如个人简历以及人事档案等等,但针对公司项目档案或保密档案等应当充分的结合我国保密法之中的相关规定,进行有效的加密,因此应对档案进行分门别类,进行专项的技术管理,同时还应当设置工作的标准化方案,以保证档案信息安全管理的基本的保密性。此外针对档案的保密程度也应当进行严格的而划分,一些较为贵重的档案资料应当避免进入到网络之内,最后,结合档案信息安全管理的保密程度不同,还可以釆取不同的安全标准化协议,以达到最佳的控制和管理的效果。
2结束语
1.1岗位人员安全意识薄弱
岗位人员随便下载安装个人需要的软件程序,往往会在安装软件的过程中直接将一些安装程序中附带的插件也装在了操作系统中,如果是恶性插件,必然会造成系统的不稳定,严重者甚至会造成信息安全事件的发生,这些事件的发生很大程度上就是因为岗位人员安全意识薄弱所造成的。安全意识薄弱的因素有很多,一是相关技术部门没有长期的进行图书馆信息安全意识的思想灌输;二是岗位人员本身对信息安全意识重视不够。
1.2人员安全管理制度不完善,执行力不高
制度的制定给予管理提供依据,无制度便无章可循,相关工作就会混乱无章。虽然多数高职院校图书馆在人员安全管理方面都制定了相关的管理制度,但制度的内容不够完善,很多细节问题不够全面,甚至只是“白纸黑字”而已,形同虚设,而且执行起来也不够彻底,执行力不高。这大多数高职院校尤其是民办性质的高职院校图书馆都普通存在这样的现象。
2人员安全管理策略
要解决人员安全管理不当带来的信息安全问题,必须要比较全面地完善人员安全方面的管理制度,提高执行力。具体策略如下:
2.1技术人员岗位分工协作
对于技术人员充足的高职院校图书馆,可以将技术人员划分为三个岗位:硬件安全人员、软件安全人员和网络数据人员。根据图书馆的实际情况出发,将这三类技术人员进行分工协作,日常工作中完成各自岗位上的职责。具体划分可以参考附表。
2.2岗位人员安全管理
2.2.1岗位人员的聘用审核
大多数图书馆都会每年进行一次岗位人员的招聘,因此,每年岗位人员的聘用必须经过严格的政审并且考核其业务能力,尤其是安全保密方面的能力。对于信息安全意识强的,工作业务能力高的,要择优录取。严格的聘用审核可以将一些毫无信息安全意识的聘用人员扼杀在图书馆外。
2.2.2岗位人员工作机使用限制
保障图书馆数字信息的全面安全与岗位人员是否正确使用工作机有很大的关系,不法黑客就是利用非技术人员乱下载乱安装插件的陋习造成的系统漏洞进行系统的攻击。根据各馆的实际工作需要,可以对工作机的使用作必要的使用说明,例如可以这样限制:①不得随意下载安装存在安全隐患的插件或其他与图书馆工作无关的软件,例如:证券软件、视频软件等。②不得随意浏览不安全不健康的网页;③如有需要安装工作需要的软件,须联系技术人员为其下载安全;④遇到信息管理系统客户端无法正常使用的情况,不要自行卸载或重装,须联系技术人员解决问题;⑤其他的一些使用原则。
2.2.3岗位人员安全意识培训
信息安全意识对于信息至上的图书馆而言是非常重要的,如果岗位人员都安全意识高,完全可以避免很多信息安全事件的发生。安全培训可以根据图书馆制定信息安全培训制度与培训计划,有针对性地有重点地定时对不同岗位的工作人员进行培训。例如:X馆在每个学期末的全馆学期工作总结会议上,信息技术部主任都会对全馆的工作人员进行迫切高度强调信息安全意识的重要性。
2.2.4岗位人员功能账号统一管理
图书馆信息管理系统包括编目、流通、期刊、系统管理、检索、采访等几个子功能系统,不同岗位的工作人员拥有相应的子系统功能账号。为了保证数字信息的安全,岗位人员功能账号的使用必须统一由相关部门(信息技术部)分配管理,提出有效的管理分配原则,例如:一个岗位人员只能拥有该岗位的功能账号,不得拥有其他岗位的功能账号;对于某些岗位人员有业务工作需求,需要其他岗位的功能账号,可以设置多个公共功能账号提供使用,需求者必须向信息技术部门提出申请;新进的岗位人员需向信息技术部相关工作人员申请账号;岗位人员需要修改账号或密码,必须向技术部相关工作人员提出需求给予修改。
2.3读者用户安全管理
图书馆的信息是为读者用户服务的,信息访问量最大的群体就是读者用户,读者用户是否安全访问也直接影响着信息管理系统的信息安全。因此,图书馆有必要采取有效措施,制定确实可行的读者用户安全访问管理制度,确保读者用户访问图书馆信息的安全。可以通过以下方式提高读者的信息安全意识:①每年新生入学,图书馆可以通过开展新生入馆教育的形式对新生读者进行信息安全意识的提高,通过用户安全培训,提高用户安全意识,使其自觉遵守安全制度。②通过网络宣传、现场海报宣传,小册子派发宣传、讲座演讲宣传等形式对读者长期进行信息安全意识的宣传,提升读者的信息素养,让读者掌握简单有效的病毒攻击防护技巧。
3结束语
1.1不具备健全的信息化系统
一个供电企业想要正常的运营下去就需要使用大量的信息,通过收集信息、处理信息、传送信息、执行信息来实现对整个供电企业的有效控制。但是,随着信息化程度的不断提高,信通部门人员配置跟不上快速增长的业务需求。这些供电企业只是将信息作为一种口头形式,在实际执行上,无法贯彻落实。所以,供电企业需要设置相应的管理机构,并且通过这些管理机构来完善信息化系统建设。
1.2网络病毒威胁着网络信息的安全管理
计算机网络系统网络病毒直接影响到所有的网络用户信息的安全,也影响着供电企业的网络信息安全。
1.3供电企业安全意识较为薄弱
供电企业一般将自己的关注点聚集在网络的利用效率上,同时,在使用计算机网络进行日常工作学习的过程中,也只关注其运行效率的高低,而对其信息的安全性的保护管理却缺乏足够的重视。在网络运行的过程中,如果出现问题,也没有足够的实力以及专业的人员去处理,造成网络信息系统的安全性受到很大的威胁。
1.4供电企业的网络信息安全面临着非常多的风险
(1)供电企业内部的影响。在供电企业的发展中,计算机网络技术已经受到了广泛的使用,使供电企业内部重要数据大部分需要在网络上进行传输。这样一来就为非法用户窃取供电企业信息提供了温床,导致供电企业内部信息出现混乱现象,使其难以维持一个正常的经营秩序。(2)网络安全结构设置不科学。网络安全结构设置不科学,主要表现如下:核心交换系统安排不科学,没有分级处理网络用户,导致全部用户具有相同的信息处理地位,这样一来,不管是何人都可以对供电企业形成相应的威胁和影响。
1.5缺乏上网行为管理监控
网络用户通过Internet访问娱乐网站、浏览购物网站、过度使用聊天工具、滥用p2p下载工具,引发不明的网络攻击、带来网络病毒、频频收到垃圾邮件、造成网络堵塞等。没有设置防火墙的电网会和容易收到病毒以及其他恶性软件的破坏,造成数据的损失。目前大部分电网还没有很好的设置防火墙,没有做好网络应用控制故纵以及带宽流量管理工作,存在很大的隐患,时刻威胁着网络的正常运行。
2电力系统网络安全的相关维护技术
2.1防病毒侵入技术
供电企业设置防病毒侵入系统可以有效的阻止病毒的进入,防止病毒破坏电力系统的信息资料。防病毒侵入技术具体是从计算机上下载相应的杀毒软件,同时需要按照相应的服务器,定期的维护防病毒系统,为其有效正常地运行提供切实的保障。除此之外,在供电企业的网关处还要安装网关防病毒系统,指的是在电力系统的所有信息系统中去安装一种全面防护的防病毒软件,通过这个软件去管理和处理各个环节,与此同时,建立科学合理的安全管理制度。借此有效的防御、检测、治理计算机病毒的侵入。并且还要做好防病毒系统的升级工作,有利于及时的检测和处理即将侵入信息管理系统的病毒。
2.2防火墙系统技术
防火墙系统指的是准许那些被信任的网络信息顺利通过,阻止那些非信任网络信息通过。防火墙系统技术通过固定的信息集合的检查点,在这个固定的检查点来统一的、强制的检查和拦截网络信息。限制非法指令,保护自身存储的信息。电力系统是在不同的环节实现管理、生产、计算以及销售的,所以,整合全部的信息需要使用两段不一致的信息渠道。之后通过筛选以及过滤,对信息的出入进行有效的控制,组织具有破坏作用的信息,使被信任的网络信息顺利通过,同时还要设置相应的访问权限,为信息资源的安全提供切实的保障。
2.3信息备份技术
在传输电力系统的所有信息之前,需要进行相应的等级备份工作。等级划分需要按照数据的重要程度来排列。并且统一管理备份信息,定期的检查备份信息,为备份信息的准确性以及可用性提供切实的保障。借此避免当电力系统信息出现故障时,因为数据丢失给供电企业造成巨大的损失。
2.4虚拟局域网网络安全技术
虚拟局域网技术就是指将局域网技术分成几个不同的方面,使各个虚拟局域网技术都可以有效的满足计算机实际工作的需要。因为在每个工作站上都存在局域网技术网段,每一个虚拟局域网网络安全技术中的的信息不能很好的实现跟其他虚拟局域网网络安全技术的顺利交换。虚拟局域网网络安全技术可以有效地控制信息的流动,有利于网络控制更加的简单化,为网络信息的安全性提供切实的保障。
3维护电力系统网络安全的管理工作
3.1强调安全制度建设的重要性
如果一个供电企业不具备完善的制度,就没有办法准确的确定信息安全,也就无法正确的衡量信息的合法性以及安全性,同时也无法形成针对性强的安全防护系统。所以,供电企业需要全面分析实际情况,在充分分析相关的网络信息安全制度的前提下,按照供电企业的实际情况,为供电企业制定健全的、完善的、具有很强指导意义的安全制度。与此同时,要不断的具体化、形象化安全制度,使其得到最大程度的贯彻落实。供电企业需要颁布相应的条文,连接供电企业的网络信息安全管理和法律两个主体,有效的惩治危害供电企业网络信息安全的因素,保证供电企业网络信息的安全性。
3.2设置专门的安全管理
部门设置专门的安全管理部门,通过这个部门来管理供电企业的信息安全,并且研究分析供电企业的相关资料,结合实际情况,设置适合供电企业实际情况的网络安全管理系统,同时还要不断升级和完善网络安全管理系统。除此之外,还要设置特定的岗位,分级任务。按照不同等级来划分系统的任务,并将任务下达到相关人员的手中。对这些人员进行垂直管理,不断协调和配合部门内所有人员,为网络安全管理系统安全有序地开展下去。
3.3网络信息安全的意识和相应的措施
人类的意识决定着人类的行动,如果供电企业想要提升网络信息的安全性,具体的做法如下,供电企业需要经过有效的学习以及培训工作,使供电企业的信息管理部门形成正确的、科学的网络信息安全意识。让供电企业的员工熟练的掌握安全防护意识,提升挖掘问题的能力,提升工作的积极性以及创新性。第二步,通过对供电企业的人员进行网络信息安全技能培训。让他们熟练掌握操作统计网络信息的设备的正确使用,在这个前提下有效的管理供电企业内部网系统的网络信息的安全性。
4结束语
税务信息是国家税务决策、税收计划制定与调整的重要依据,是税务机关税收征管工作的必要支撑,也是纳税人信息权利的核心内容,因而其安全管理具有重要意义。税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段,而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况,为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面,可了解纳税人的经济活动状况,并掌握国民经济发展变化情况,鉴定税收政策与经济发展需要是否相适应,以便迅速做出明智的决策,有效地发挥税收调节经济的作用。换言之,如果税务信息安全无法得到保障的话,既无法实现税收为国家筹集财政收入的职能,也将使国家以税收进行宏观调控经济的政策大打折扣,影响经济与社会的发展。税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分,正确、及时、安全的税务信息是把握财政发展和税务管理客观规律的钥匙,有利于实现税务管理科学化、现代化,使税务管理工作从经验走向科学,以适应社会和经济形势发展对税务管理的要求;有利于提高税务管理水平和税务管理效率,做到努力开发税源,尽力足额征收,增加税收收入;有利于提高税务管理队伍的素质,强化信息意识,掌握信息技术,开展税务管理工作,适应社会主义市场经济体制下的税务管理需要。税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言,税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中,不论是纳税人提供的纳税申报资料,还是税务机关依法定职权收集的信息,不可避免的会涉及到纳税人的商业秘密(客户资料、销购价格、专利技术等),正常生产经营信息(生产经营范围、工商税务登记证件号等),个人隐私(个人及家庭身份信息、社会关系等),涉税负面信息(欠税记录、税务处罚信息等),一旦这些信息的泄露不仅会对企业的正常经营带来严重影响,而且还会给个人和家庭生活带来恶性干扰,甚至还有可能引起诈骗和金融犯罪。因此,税务信息安全管理是纳税人权利的重要保障。
2基层税务信息安全管理的难题
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简政放权要求逐步提高,基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进,行政管理被要求回归理性简政放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行政管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
3.4实施税务信息分类管理,健全税务信息安全风险管理机制
[关键词]移动电子商务信息安全自组网隐私法律
移动电子商务(M-Commerce),是通过手机、PDA(个人数字助理)、呼机等移动通信设备与因特网有机结合所进行的电子商务活动。移动电子商务能提供以下服务:PIM(个人信息服务)、银行业务、交易、购物、基于位置的服务、娱乐等。
移动电子商务因其快捷方便、无所不在的特点,已经成为电子商务发展的新方向。因为只有移动电子商务才能在任何地方、任何时间,真正解决做生意的问题。
但是对于任何通过无线网路(如:GSM网路)进行金融交易的用户,安全和隐私问题无疑是其关注的焦点。由于移动电子商务的特殊性,移动电子商务的安全问题尤其显得重要。尤其对于有线电子商务用户来说,通常认为物理线缆能带来更好的安全性,从而排斥使用移动电子商务。移动电子商务是一个系统工程,本文从技术、安全、隐私和法制等方面讨论了移动商务的展所面临的种种问题,并指出这些问题的有效解决是建设健康、安全的移动电子商务的重要保证。
一、移动通信新技术的驱动
1.无线应用协议(WAP)
无线应用协议WAP是无线通信和互联网技术发展的产物,它不仅为无线设备提供丰富的互联网资源,也提供了开发各种无线网路应用的途径。1998年,WAP论坛公布了WAP1.0版本,制定了一套专门为移动互联网而设计的应用协议,具有良好的开放性和互通性。随着移动通信网传输速率的显著提高,WAP论坛于2001年颁布了WAP2.0版本,该版本增加了对HTTP、TLS和TCP等互联网协议的支持,WAP的工作大大简化。WAP2.0模式有利于实现电子商务所需的端到端安全性,可以提供TLS隧道。
2.移动IP技术
移动IP技术,是指移动用户可在跨网络随意移动和漫游中,使用基于TCP/IP协议的网络时,不用修改计算机原来的IP地址,同时,也不必中断正在进行的通信。移动IP通过AAA(Authentication,Authorization,Accounting)机制,实现网络全方位的安全移动或者漫游功能。移动IP在一定程度上能够很好地支持移动商务的应用。
3.第三代(3G)移动通信系统
第三代移动通信系统,简称3G,是指将无线通信与互联网等多媒体通信结合的移动通信系统。它能够处理图像、话音、视频流等多种媒体形式,提供包括网页浏览、电话会议、电子商务等多种信息服务。与2G相比,3G产品可提供数据速率高达2Mbps的多媒体业务。在我国,以TD-SCDMA技术为基础的3G基础设施和产品的建设和研制发展迅速,我国发展3G的条件已经基本具备。由于3G带来的高速率、移动性和高安全性等特点,必然会给移动电子商务的应用带来巨大商机。
4.无线局域网(WLAN)技术
美国电子电器工程师协会IEEE在1991年就启动了WLAN标准工作组,称为IEEE802.11,并在1997年产生了WLAN标准-IEEE802.11,后来又相继推出了IEEE802.11a,IEEE802.11b和IEEE802.11g等一系列新的标准。802.11WLAN标准自公布之日起,安全问题一直是其被关注的焦点问题。802.11b采用了基于RC4算法的有线对等保密(WEP)机制,为网络业务流提供安全保障,但其加密和认证机制都存在安全漏洞。802.11i是2004年6月批准的WLAN标准,其目的是解决802.11标准中存在的安全问题。802.11i应用TKIP(Temporalkeyintegrityprotocol)加密算法和基于AES高级加密标准的CBC-MACProtocol(CCMP)。其中TKIP仍然采用RC4作为其加密算法,可以向后兼容802.11a/b/g等硬件设备。中国宽带无线IP标准工作组制订了WLAN国家标准GB15629.11,定义了无线局域网鉴别与保密基础结构WAPI,大大减少了WLAN中的安全隐患。
二、移动电子商务面临的安全威胁
尽管移动电子商务给工作效率的提高带来了诸多优势(如:减少了服务时间,降低了成本和增加了收入),但安全问题仍是移动商务推广应用的瓶颈。有线网络安全的技术手段不完全适用于无线设备,由于无线设备的内存和计算能力有限而不能承载大部分的病毒扫描和入侵检测的程序。例如:目前还没有有效抵制手机病毒的防护软件。
1.网络本身的威胁
无线通信网络可以不像有线网络那样受地理环境和通信电缆的限制就可以实现开放性的通信。无线信道是一个开放性的信道,它给无线用户带来通信自由和灵活性的同时,也带来了诸多不安全因素:如通信内容容易被窃听、通信双方的身份容易被假冒,以及通信内容容易被篡改等。在无线通信过程中,所有通信内容(如:通话信息,身份信息,数据信息等)都是通过无线信道开放传送的。任何拥有一定频率接收设备的人均可以获取无线信道上传输的内容。这对于无线用户的信息安全、个人安全和个人隐私都构成了潜在的威胁。
2.无线adhoc应用的威胁
除了互联网在线应用带来的威胁外,无线装置给其移动性和通信媒体带来了新的安全问题。考虑无线装置可以组成adhoc网路。Adhoc网络和传统的移动网络有着许多不同,其中一个主要的区别就是AdHoc网络不依赖于任何固定的网络设施,而是通过移动节点间的相互协作来进行网络互联。由于其网络的结构特点,使得AdHoc网络的安全问题尤为突出。Adhoc网路的一个重要特点是网络决策是分散的,网络协议依赖于所有参与者之间的协作。敌手可以基于该种假设的信任关系入侵协作的节点。
3.网路漫游的威胁
无线网路中的攻击者不需要寻找攻击目标,攻击目标会漫游到攻击者所在的小区。在终端用户不知情的情况下,信息可能被窃取和篡改。服务也可被经意或不经意地拒绝。交易会中途打断而没有重新认证的机制。由刷新引起连接的重新建立会给系统引入风险,没有再认证机制的交易和连接的重新建立是危险的。连接一旦建立,使用SSL和WTLS的多数站点不需要进行重新认证和重新检查证书。攻击者可以利用该漏洞来获利。
4.物理安全
无线设备另一个特有的威胁就是容易丢失和被窃。因为没有建筑、门锁和看管保证的物理边界安全和其小的体积,无线设备很容易丢失和被盗窃。对个人来说,移动设备的丢失意味着别人将会看到电话上的数字证书,以及其他一些重要数据。利用存储的数据,拿到无线设备的人就可以访问企业内部网络,包括Email服务器和文件系统。目前手持移动设备最大的问题就是缺少对特定用户的实体认证机制。
三、移动商务面临的隐私和法律问题
1.垃圾短信息
在移动通信给人们带来便利和效率的同时,也带来了很多烦恼,遍地而来的垃圾短信广告打扰着我们的生活。在移动用户进行商业交易时,会把手机号码留给对方。通过街头的社会调查时,也往往需要被调查者填入手机号码。甚至有的用户把手机号码公布在网上。这些都是公司获取手机号码的渠道。垃圾短信使得人们对移动商务充满恐惧,而不敢在网络上使用自己的移动设备从事商务活动。目前,还没有相关的法律法规来规范短信广告,运营商还只是在技术层面来限制垃圾短信的群发。目前,信息产业部正在起草手机短信的规章制度,相信不久的将来会还手机短信一片绿色的空间。
2.定位新业务的隐私威胁
定位是移动业务的新应用,其技术包括:全球定位系统,该种技术利用24颗GPS卫星来精确(误差在几米之内)定位地面上的人和车辆;基于手机的定位技术TOA,该技术根据从GPS返回响应信号的时间信息定位手机所处的位置。定位在受到欢迎的同时,也暴露了其不利的一面——隐私问题。移动酒吧就是一个典型的例子,当你在路上时,这种服务可以在你的PDA上列出离你最近的5个酒吧的位置和其特色。或者当你途经一个商店时,会自动向你的手机发送广告信息。定位服务在给我们带来便利的同时,也影响到了个人隐私。利用这种技术,执法部门和政府可以监听信道上的数据,并能够跟踪一个人的物理位置。
3.移动商务的法律保障
电子商务的迅猛发展推动了相关的立法工作。2005年4月1日,中国首部真正意义上的信息化法律《电子签名法》正式实施,电子签名与传统的手写签名和盖章将具有同等的法律效力,标志着我国电子商务向诚信发展迈出了第一步。《电子签名法》立法的重要目的是为了促进电子商务和电子政务的发展,增强交易的安全性。
参考文献:
[1]A.F.SalamL.Lyer:P.Palviaetal.Trustine-municationofTheACM,48(2),2005,73-77
(1)内网网络结构不健全。
现阶段,我国的供电企业内网网络结构不够健全,未能达成建立在供电企业内部网络信息化的理想状态。中部市、县级供电公司因为条件有限,信息安全工作相对投入较少,安全隐患较大,各种安全保障措施较为薄弱,未能建立一个健全的内网网络系统。但随着各类信息系统不断上线投运,财务、营销、生产各专业都有相关的信息系统投入应用,相对薄弱的网络系统必将成为整个信息管理模式的最短板。
(2)存在于网络信息化机构漏洞较多。
目前在我国供电企业中,网络信息化管理并未建立一个完整系统的体系,供电网络的各类系统对于关键流程流转、数据存储等都非常的重要,不能出现丝毫的问题,但是所承载网络平台的可靠性却不高,安全管理漏洞也较多,使得信息管理发展极不平衡。信息化作为一项系统的工程,未能有专门的部门来负责执行和管理。网络信息安全作为我国供电企业安全文化的重要组成部分,针对现今我国供电企业网络安全管理的现状来看,计算机病毒,黑客攻击造成的关键保密数据外泄是目前最具威胁性的网络安全隐患。各种计算机准入技术,可移动存储介质加密技术的应用,给企业信息网络安全带来了一定的保障。但是目前供电企业信息管理工作不可回避的事实是:操作系统正版化程度严重不足。随着在企业内被广泛使用的XP操作系统停止更新,针对操作系统的攻击将变得更加频繁。一旦有计算机网络病毒的出现,就会对企业内部计算机进行大规模的传播,给目前相对公开化的网络一个有机可乘的机会,对计算机系统进行恶意破坏,导致计算机系统崩溃。不法分力趁机窃取国家供电企业的相关文件,篡改供电系统相关数据,对国家供电系统进行毁灭性的攻击,甚至致使整个供电系统出现大面积瘫痪。
(3)职工安全防范意识不够。
想要保证我国网络信息的安全,就必须要提高供电企业员工的综合素质,目前国内供电企业职员的安全防范意识不强,水平参差不齐,多数为年轻职员,实际操作的能力较低,缺少应对突发事件应对措施知识的积累。且多数老龄职工难以对网络信息完全掌握,跟不上信息化更新状态,与新型网络技术相脱轨。
2网络信息安全管理在供电企业中的应用
造成供电企业的信息安全的威胁主要来自两个方面,一方面是国家供电企业本身设备上的信息安全威胁,另一方面就是外界网络恶意的攻击其中以外界攻击的方式存在的较多。现阶段我国供电企业的相关部门都在使用计算机对网络安全进行监督和管理,难以保证所有计算机完全处在安全状态。一般情况下某台计算机泄露重要文件或者遭到黑客的恶意攻击都是很难察觉的,这就需要加强我国供电企业进行安全的管理,建立病毒防护体系,及时更新网络防病毒软件,针对性地引进远程协助设备,提高警报设备的水平。供电企业的信息系统一个较为庞大且繁杂的系统,在这个系统中存在信息安全风险也是必然的。在这种情况下就要最大程度地降低存在的风险,对经历的风险进行剖析,制定针对性的风险评估政策,确立供电企业信息系统安全是以制定针对性风险评估政策为前提的,根据信息安全工作的紧迫需求做好全面的风险评估至关重要。“掌握核心技术”不只是一句简单的广告词语,还是国家和各个企业都应该一直贯彻落实的方针政策。为了避免外界对我国供电企业信息技术的操控,国家相关部门就必须实行自主研发信息安全管理体系,有效地运用高科技网络技术促使安全策略、安全服务和安全机制的相结合,大力开发信息网络,促进科技管理水平的快速提高,以保证我国供电信息管理的安全。
3结语
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保证服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,最后制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好文档的登记、存档和解密等环节的工作。
4结束语
