前言:我们精心挑选了数篇优质信息安全管理论文文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
1.1岗位人员安全意识薄弱
岗位人员随便下载安装个人需要的软件程序,往往会在安装软件的过程中直接将一些安装程序中附带的插件也装在了操作系统中,如果是恶性插件,必然会造成系统的不稳定,严重者甚至会造成信息安全事件的发生,这些事件的发生很大程度上就是因为岗位人员安全意识薄弱所造成的。安全意识薄弱的因素有很多,一是相关技术部门没有长期的进行图书馆信息安全意识的思想灌输;二是岗位人员本身对信息安全意识重视不够。
1.2人员安全管理制度不完善,执行力不高
制度的制定给予管理提供依据,无制度便无章可循,相关工作就会混乱无章。虽然多数高职院校图书馆在人员安全管理方面都制定了相关的管理制度,但制度的内容不够完善,很多细节问题不够全面,甚至只是“白纸黑字”而已,形同虚设,而且执行起来也不够彻底,执行力不高。这大多数高职院校尤其是民办性质的高职院校图书馆都普通存在这样的现象。
2人员安全管理策略
要解决人员安全管理不当带来的信息安全问题,必须要比较全面地完善人员安全方面的管理制度,提高执行力。具体策略如下:
2.1技术人员岗位分工协作
对于技术人员充足的高职院校图书馆,可以将技术人员划分为三个岗位:硬件安全人员、软件安全人员和网络数据人员。根据图书馆的实际情况出发,将这三类技术人员进行分工协作,日常工作中完成各自岗位上的职责。具体划分可以参考附表。
2.2岗位人员安全管理
2.2.1岗位人员的聘用审核
大多数图书馆都会每年进行一次岗位人员的招聘,因此,每年岗位人员的聘用必须经过严格的政审并且考核其业务能力,尤其是安全保密方面的能力。对于信息安全意识强的,工作业务能力高的,要择优录取。严格的聘用审核可以将一些毫无信息安全意识的聘用人员扼杀在图书馆外。
2.2.2岗位人员工作机使用限制
保障图书馆数字信息的全面安全与岗位人员是否正确使用工作机有很大的关系,不法黑客就是利用非技术人员乱下载乱安装插件的陋习造成的系统漏洞进行系统的攻击。根据各馆的实际工作需要,可以对工作机的使用作必要的使用说明,例如可以这样限制:①不得随意下载安装存在安全隐患的插件或其他与图书馆工作无关的软件,例如:证券软件、视频软件等。②不得随意浏览不安全不健康的网页;③如有需要安装工作需要的软件,须联系技术人员为其下载安全;④遇到信息管理系统客户端无法正常使用的情况,不要自行卸载或重装,须联系技术人员解决问题;⑤其他的一些使用原则。
2.2.3岗位人员安全意识培训
信息安全意识对于信息至上的图书馆而言是非常重要的,如果岗位人员都安全意识高,完全可以避免很多信息安全事件的发生。安全培训可以根据图书馆制定信息安全培训制度与培训计划,有针对性地有重点地定时对不同岗位的工作人员进行培训。例如:X馆在每个学期末的全馆学期工作总结会议上,信息技术部主任都会对全馆的工作人员进行迫切高度强调信息安全意识的重要性。
2.2.4岗位人员功能账号统一管理
图书馆信息管理系统包括编目、流通、期刊、系统管理、检索、采访等几个子功能系统,不同岗位的工作人员拥有相应的子系统功能账号。为了保证数字信息的安全,岗位人员功能账号的使用必须统一由相关部门(信息技术部)分配管理,提出有效的管理分配原则,例如:一个岗位人员只能拥有该岗位的功能账号,不得拥有其他岗位的功能账号;对于某些岗位人员有业务工作需求,需要其他岗位的功能账号,可以设置多个公共功能账号提供使用,需求者必须向信息技术部门提出申请;新进的岗位人员需向信息技术部相关工作人员申请账号;岗位人员需要修改账号或密码,必须向技术部相关工作人员提出需求给予修改。
2.3读者用户安全管理
图书馆的信息是为读者用户服务的,信息访问量最大的群体就是读者用户,读者用户是否安全访问也直接影响着信息管理系统的信息安全。因此,图书馆有必要采取有效措施,制定确实可行的读者用户安全访问管理制度,确保读者用户访问图书馆信息的安全。可以通过以下方式提高读者的信息安全意识:①每年新生入学,图书馆可以通过开展新生入馆教育的形式对新生读者进行信息安全意识的提高,通过用户安全培训,提高用户安全意识,使其自觉遵守安全制度。②通过网络宣传、现场海报宣传,小册子派发宣传、讲座演讲宣传等形式对读者长期进行信息安全意识的宣传,提升读者的信息素养,让读者掌握简单有效的病毒攻击防护技巧。
3结束语
1.1不具备健全的信息化系统
一个供电企业想要正常的运营下去就需要使用大量的信息,通过收集信息、处理信息、传送信息、执行信息来实现对整个供电企业的有效控制。但是,随着信息化程度的不断提高,信通部门人员配置跟不上快速增长的业务需求。这些供电企业只是将信息作为一种口头形式,在实际执行上,无法贯彻落实。所以,供电企业需要设置相应的管理机构,并且通过这些管理机构来完善信息化系统建设。
1.2网络病毒威胁着网络信息的安全管理
计算机网络系统网络病毒直接影响到所有的网络用户信息的安全,也影响着供电企业的网络信息安全。
1.3供电企业安全意识较为薄弱
供电企业一般将自己的关注点聚集在网络的利用效率上,同时,在使用计算机网络进行日常工作学习的过程中,也只关注其运行效率的高低,而对其信息的安全性的保护管理却缺乏足够的重视。在网络运行的过程中,如果出现问题,也没有足够的实力以及专业的人员去处理,造成网络信息系统的安全性受到很大的威胁。
1.4供电企业的网络信息安全面临着非常多的风险
(1)供电企业内部的影响。在供电企业的发展中,计算机网络技术已经受到了广泛的使用,使供电企业内部重要数据大部分需要在网络上进行传输。这样一来就为非法用户窃取供电企业信息提供了温床,导致供电企业内部信息出现混乱现象,使其难以维持一个正常的经营秩序。(2)网络安全结构设置不科学。网络安全结构设置不科学,主要表现如下:核心交换系统安排不科学,没有分级处理网络用户,导致全部用户具有相同的信息处理地位,这样一来,不管是何人都可以对供电企业形成相应的威胁和影响。
1.5缺乏上网行为管理监控
网络用户通过Internet访问娱乐网站、浏览购物网站、过度使用聊天工具、滥用p2p下载工具,引发不明的网络攻击、带来网络病毒、频频收到垃圾邮件、造成网络堵塞等。没有设置防火墙的电网会和容易收到病毒以及其他恶性软件的破坏,造成数据的损失。目前大部分电网还没有很好的设置防火墙,没有做好网络应用控制故纵以及带宽流量管理工作,存在很大的隐患,时刻威胁着网络的正常运行。
2电力系统网络安全的相关维护技术
2.1防病毒侵入技术
供电企业设置防病毒侵入系统可以有效的阻止病毒的进入,防止病毒破坏电力系统的信息资料。防病毒侵入技术具体是从计算机上下载相应的杀毒软件,同时需要按照相应的服务器,定期的维护防病毒系统,为其有效正常地运行提供切实的保障。除此之外,在供电企业的网关处还要安装网关防病毒系统,指的是在电力系统的所有信息系统中去安装一种全面防护的防病毒软件,通过这个软件去管理和处理各个环节,与此同时,建立科学合理的安全管理制度。借此有效的防御、检测、治理计算机病毒的侵入。并且还要做好防病毒系统的升级工作,有利于及时的检测和处理即将侵入信息管理系统的病毒。
2.2防火墙系统技术
防火墙系统指的是准许那些被信任的网络信息顺利通过,阻止那些非信任网络信息通过。防火墙系统技术通过固定的信息集合的检查点,在这个固定的检查点来统一的、强制的检查和拦截网络信息。限制非法指令,保护自身存储的信息。电力系统是在不同的环节实现管理、生产、计算以及销售的,所以,整合全部的信息需要使用两段不一致的信息渠道。之后通过筛选以及过滤,对信息的出入进行有效的控制,组织具有破坏作用的信息,使被信任的网络信息顺利通过,同时还要设置相应的访问权限,为信息资源的安全提供切实的保障。
2.3信息备份技术
在传输电力系统的所有信息之前,需要进行相应的等级备份工作。等级划分需要按照数据的重要程度来排列。并且统一管理备份信息,定期的检查备份信息,为备份信息的准确性以及可用性提供切实的保障。借此避免当电力系统信息出现故障时,因为数据丢失给供电企业造成巨大的损失。
2.4虚拟局域网网络安全技术
虚拟局域网技术就是指将局域网技术分成几个不同的方面,使各个虚拟局域网技术都可以有效的满足计算机实际工作的需要。因为在每个工作站上都存在局域网技术网段,每一个虚拟局域网网络安全技术中的的信息不能很好的实现跟其他虚拟局域网网络安全技术的顺利交换。虚拟局域网网络安全技术可以有效地控制信息的流动,有利于网络控制更加的简单化,为网络信息的安全性提供切实的保障。
3维护电力系统网络安全的管理工作
3.1强调安全制度建设的重要性
如果一个供电企业不具备完善的制度,就没有办法准确的确定信息安全,也就无法正确的衡量信息的合法性以及安全性,同时也无法形成针对性强的安全防护系统。所以,供电企业需要全面分析实际情况,在充分分析相关的网络信息安全制度的前提下,按照供电企业的实际情况,为供电企业制定健全的、完善的、具有很强指导意义的安全制度。与此同时,要不断的具体化、形象化安全制度,使其得到最大程度的贯彻落实。供电企业需要颁布相应的条文,连接供电企业的网络信息安全管理和法律两个主体,有效的惩治危害供电企业网络信息安全的因素,保证供电企业网络信息的安全性。
3.2设置专门的安全管理
部门设置专门的安全管理部门,通过这个部门来管理供电企业的信息安全,并且研究分析供电企业的相关资料,结合实际情况,设置适合供电企业实际情况的网络安全管理系统,同时还要不断升级和完善网络安全管理系统。除此之外,还要设置特定的岗位,分级任务。按照不同等级来划分系统的任务,并将任务下达到相关人员的手中。对这些人员进行垂直管理,不断协调和配合部门内所有人员,为网络安全管理系统安全有序地开展下去。
3.3网络信息安全的意识和相应的措施
人类的意识决定着人类的行动,如果供电企业想要提升网络信息的安全性,具体的做法如下,供电企业需要经过有效的学习以及培训工作,使供电企业的信息管理部门形成正确的、科学的网络信息安全意识。让供电企业的员工熟练的掌握安全防护意识,提升挖掘问题的能力,提升工作的积极性以及创新性。第二步,通过对供电企业的人员进行网络信息安全技能培训。让他们熟练掌握操作统计网络信息的设备的正确使用,在这个前提下有效的管理供电企业内部网系统的网络信息的安全性。
4结束语
税务信息是国家税务决策、税收计划制定与调整的重要依据,是税务机关税收征管工作的必要支撑,也是纳税人信息权利的核心内容,因而其安全管理具有重要意义。税务信息安全管理有利于维护并促进国家职能的实现。税收是实现国家宏观调控职能的重要手段,而这一手段必须借助和运用税务信息才能达到。因为税务信息管理一方面能使信息正确地反映经济税源和税收进度情况,为制定国民经济和社会发展计划及调整国民经济结构提供可靠依据。另一方面,可了解纳税人的经济活动状况,并掌握国民经济发展变化情况,鉴定税收政策与经济发展需要是否相适应,以便迅速做出明智的决策,有效地发挥税收调节经济的作用。换言之,如果税务信息安全无法得到保障的话,既无法实现税收为国家筹集财政收入的职能,也将使国家以税收进行宏观调控经济的政策大打折扣,影响经济与社会的发展。税务信息安全管理有利于税务机关税收征管的现代化。税务信息安全管理是税收征管的组成部分,正确、及时、安全的税务信息是把握财政发展和税务管理客观规律的钥匙,有利于实现税务管理科学化、现代化,使税务管理工作从经验走向科学,以适应社会和经济形势发展对税务管理的要求;有利于提高税务管理水平和税务管理效率,做到努力开发税源,尽力足额征收,增加税收收入;有利于提高税务管理队伍的素质,强化信息意识,掌握信息技术,开展税务管理工作,适应社会主义市场经济体制下的税务管理需要。税务信息安全管理有利于纳税人权利的保障。从纳税人角度而言,税收是纳税人根据法律的规定及程序向税务机关提供纳税申报资料并缴纳税款的过程。在此过程中,不论是纳税人提供的纳税申报资料,还是税务机关依法定职权收集的信息,不可避免的会涉及到纳税人的商业秘密(客户资料、销购价格、专利技术等),正常生产经营信息(生产经营范围、工商税务登记证件号等),个人隐私(个人及家庭身份信息、社会关系等),涉税负面信息(欠税记录、税务处罚信息等),一旦这些信息的泄露不仅会对企业的正常经营带来严重影响,而且还会给个人和家庭生活带来恶性干扰,甚至还有可能引起诈骗和金融犯罪。因此,税务信息安全管理是纳税人权利的重要保障。
2基层税务信息安全管理的难题
2.1基层税务信息安全管理存在的风险
信息技术飞速发展,尤其是大数据时代的到来,基层税务信息安全技术管理风险与日俱增。科学技术水平日新月异,移动互联网、虚拟化、云技术、大数据应用等新技术层出不强。此类技术的应用对于专业技术的要求较高,安全保障措施也较为严密,但现有的税务信息安全管理的软硬件、制度、顶层设计、税务人员素质、社会要求等方面无法适应其方便、快捷、高效的特点,使得税务信息暴露在数据的海洋,极易造成信息被盗取、被非法病毒所侵入,税务信息安全技术管理必然风险激增。改革不断深化,尤其是简政放权要求逐步提高,基层税务信息安全行政管理风险突飞猛进。全面深化改革的推进,行政管理被要求回归理性简政放权,实现由权力管制到权利治理,基层税务部门必然面临着工作重心后移及执法风险加大的交汇压力,后续管理将成为税务部门工作的一种常态。税务管理信息化是保证后续管理科学、有效、规范进行的基本方式且根本保障,而税务信息安全管理是税务管理信息化的基础,是故税务信息安全管理必然成为税收征收与管理过程的基础和支撑。税务管理信息化下税务信息不论是频率还是数量均不断提高,数量和质量相生相克,前者的增多必然导致后者的下降,税务信息安全行政管理风险骤升。依法治税加强,尤其是纳税人权利意识的觉醒,基层税务信息安全管理涉纷风险不断提高。随着经济、社会以及文化的不断发展,纳税人权利意识在不断觉醒,私权保护、正当程序、公平正义成为了普遍诉求。纳税人信息是税务信息安全管理的重要内容之一,包含着巨大的商业价值,税务机关在采集、保管和使用纳税人信息过程中往往由于安全措施不到位而导致纳税人权利受到损害事件时有发生,甚至诱发违法犯罪。近些年来,由于税务信息安全管理不善带来的税务纠纷呈水涨船高之势,纳税人诉诸法律途径的越来越多,基层税务部门涉议、涉诉风险不断提高。
2.2基层税务信息安全管理面临的困境
2.2.1税务信息安全管理意识淡薄
税务管理信息化在我国方兴未艾,关于税务信息安全的理解、保护方法、风险防范手段等社会所知甚微。就税务部门而言,大部分基层税务工作人员对于税务信息安全管理是什么、税务信息安全管理意义是什么、怎样实现税务信息安全管理等内容的认识与理解存在偏差,主观地认为税务信息安全与税务部门的核心业务无关,是一种简单的信息存储与传输,意义不大。甚至是一提到税务信息安全,不少人就当然的认为是病毒和黑客,而往往忽视内部人员的过错或故意行为等因素。就纳税人而言,大部分纳税人抱有这样的态度,就是只要按照法定规定和法定程序上缴完税,其他的就与自己没有多大干系,税务信息安全管理也是如此,因而往往不配合税务信息的收集等工作。由于少数人的安全意识淡薄和管理不善,会影响整个税务信息系统的安全性。
2.2.2税务信息安全管理方式滞后
整体上看,基层税务信息安全管理还主要是依靠单一的技术方法,税务信息保密措施少、身份认证未得到全面应用、缺少路由安全和防止入侵的技术措施,难以适应税务信息安全管理的要求。首先,税务信息技术管理方式赖以生存的硬件设施可靠性、稳定性不足,缺少日常维护及安全配套措施。其次,税务信息技术管理核心之处的软件设施开放性强,比如,内部网路终端信息共享范围广、操作系统主要是国外研发的,内外网机器存在混用现象,极大增加了税务信息安全风险。最后,采集数据分散,不能形成有效共享,普遍存在“信息孤岛”现象;业务信息不能通过计算机有效流转,自动化管理过程隔离;尤其是信息缺乏高效的数据监控措施,没有形成科学的内、外监督体系,不断遭受黑客攻击,还出现数据丢失的现象等。
2.2.3税务信息安全管理制度不完善
税务信息采集、整理、贮存、传输、反馈及应用等过程中安全管理的理念并未得到贯彻,税务信息安全管理制度还不全面、缺乏体系性、可操作性也不强。具体来讲,一是缺乏强有力的税务信息安全管理领导制度。一般而言,基层税务信息安全管理主要是由税务信息中心实施,与其他内设机构之间是并列关系,信息安全管理无法渗透到税收征管的其他环节。二是缺乏科学的税务信息安全事故预防、报告及处理制度,各基层税务部门普遍缺失完备的信息安全事故报告程序与预防处理方案,税务信息安全事故的预防、处理没有可持续的制度支撑。三是缺乏规范的税务信息安全管理考核制度,基层税务信息安全岗位与责任相适应的考核标准,机制不规范,致使信息安全管理深度与力度得不到有效落实。此外,信息安全责任制度还需进一步细化和完善。
2.2.4信息安全风险管理机制存在缺陷
税务信息化下,税务信息安全风险有来自基础设施毁损的风险,有技术应用带来的风险,有人为操作引发的风险,可谓无处不在、无时不有。但目前基层税务机关并没有形成体系化的税务信息安全风险识别、评估、控制等管理机制。就税务信息安全风险识别而言,税务信息并未被确定成为一种资产,因而缺乏税务信息必要的分类管理。同时,这种安全风险识别仅局限于技术硬件故障或错误、技术软件故障或错误、技术淘汰等技术层面,而对于其他层面的信息安全威胁鲜有涉及。就税务信息安全风险评估而言,由于专业技术和人才的缺乏,加之评估频率与方法不当,很难真正分析出信息安全风险的高低,影响到控制措施的选择。就税务信息安全风险控制而言,由于识别与评估分析中的不健全,使得风险控制策略选择失去了可信基础,致使避免、转移、缓解及接受等风险控制策略无从选择。
3基层税务信息安全管理的应对
3.1加大信息安全管理教育培训,更新税务信息安全管理理念
应当认识到,税务信息安全管理既是国家信息安全管理的有机构成,也是基层税务工作的重要组成部分,它涵盖税收信息的采集、整理、存储、传输、反馈、开发及应用等全过程,不仅可以加强税收收入的规划性,有效发挥税收促进生产,调节、监督经济的作用,还能衡量税收分配是否合理,税负负担是否平衡,保障纳税人的权利。因此,基层税务部门要摒弃税务信息安全管理不重要的观念,提高对税务信息安全的认识,充分了解税务信息安全管理的内容、作用及方法,以此更新税务信息安全管理理念。税务信息安全管理意识之所以淡薄,原因在于信息安全管理教育与培训少,税务信息安全管理专业人才匮乏。对此,一方面要灵活多样地培训学习形式,综合平衡信息安全相关项目,提高税务工作人员的信息安全意识与能力水平;另一方面,要建立税务信息安全管理培训机制,通过组织开展多层次、多方位的信息安全培训,提高安全员信息安全防范技能,培养税务信息安全管理骨干。此外,税收普法宣传教育中还要强化纳税人信息安全意识。
3.2综合内外部控制手段,实现税务信息安全管理方式多元化
税务信息安全管理是一个系统工程,涉及信息技术体系、信息风险管理及组织管理框架等诸多方面,面对终端规模大、地域分布广、技术类型多的现实,单纯的依靠外部技术手段无法实现税务信息安全管理,需要内部控制措施予以协同,多元化的管理方法才能更好地、更有效地保障税务工作人员完成信息安全管理工作。首先,完善税务信息安全技术手段,做好信息安全防护体系建设和运行管理。不论是采取何种技术手段进行税务信息管理,都要建立完备的病毒防范、身份鉴别与访问控制、入侵检测及信息加密等信息安全管理技术体系,定时检查并更新硬件设备以确保其可靠性与稳定性。其次,要克服“唯技术论”的倾向,税务部门要建立统一的信息安全保障中心,保证税务信息安全集中和集成管理,努力形成完整的数据安全与备份体系。最后,完善税务信息安全管理内部控制手段,以减轻由于内部人员道德风险、系统资源风险所造成的信息危害。主要是采用人机联控的控制方式,通过实施一系列的控制活动和保护措施,以实现对与税务信息安全相关的人与物的管理,并最大限度地保障税务信息安全。
3.3完善税务信息安全管理框架,健全税务信息安全管理制度
借鉴信息安全管理一般理论,完整的税务信息安全管理框架包括定义税务信息安全政策、定义税务信息安全管理范围、进行税务信息安全风险评估、确定管理目标和选择管理措施、准备税务信息安全适用性声明、建立相关文档、文档的严格管理及安全事件记录回馈。针对目前税务信息安全管理框架的不完善,税务部门应严格按照信息安全管理框架,制定完善的信息安全规章、明确管理范围、风险、目标、措施等予以完善。与此同时,还要健全税务信息安全管理相关制度。一是建议基层税务机关应成立信息安全领导小组,各区局、科室、所都应明确专人负责税务信息安全的管理,以健全税务信息安全管理领导制度;二是建议明确安全事故预防任务、报告时限与程序、处理方法与措施,以健全税务信息安全事故预防、报告及处理制度;三是建议制定规范、可行的信息安全管理考核机制,明确规定每个税务工作人员在信息安全方面应承担的责任、保密要求以及违约责任,以健全税务信息安全管理责任制度。总之,就是要建立安全管理机构,确定安全管理人员,建立安全管理制度,建立责任和监督机制,切实保障税务信息安全管理有效开展。
3.4实施税务信息分类管理,健全税务信息安全风险管理机制