第一篇:信息系统安全中的行为和政策问题
信息系统安全中的行为和政策问题:内部威胁
Merrill Warkentin和Robert Willison
欧洲信息系统杂志(2009)18,101-105.DOI:10.1057/ejis.2009.12 现代全球经济﹑政治格局﹑技术基础设施与社会文化的发展都导致了组织中的日益增加的动态与混乱的环境,这支持了信息系统在商业﹑政府和其他领域的应用。因为我们的协会(经济﹑政策﹑军事﹑合法﹑社会)是日益全球化和内部链接的,由于我们更多的依赖于自动化的控制系统来为我们提供能源和服务,也因为我们建立了基于网络的机制来协调全球化互动,所以我们需要向我们的系统和进程介绍易损性弱点。越来越多的对网络空间的依赖扩大了我们的易损性—隔离不再是一个选项了。对于我们所依赖的信息系统,我们需要对它的各种各样的威胁进行理解和分析,与这种理解和分析的需要相比,之前所讲的现象在任何方面都不是那么要紧和富有挑战性了。
安全威胁有多种来源和成因。在Loch等人的分类学中,信息系统的安全威胁被分类为四种因素—外部原因(人为因素和非人为因素)和内部原因(人为因素和非人为因素)。那些以工程和计算机科学为中心的研究主要是关于外部威胁的,现在已经有很多的人工制品被开发出来保护组织的边界(例如:入侵检测系统﹑防火墙﹑防恶意破坏软件等等)。在管理信息系统的研究传统中,一直都采取很大的努力来调查信息系统安全威胁中的人为犯罪,特别是针对那些在企业组织中的人(在防火墙后,就类似这样)。在Loch等人的框架中,威胁的来源是以人的意图为特征的(目的性的VS偶然性的)。行为研究协会的许多关注是在信息系统安全政策上的,这些政策不被员工所服从。有些行为是基于目的的﹑有意的﹑恶意违规的(就像破坏活动﹑数据窃取﹑数据破坏等等),还有的行为是无意的和偶然的,包括忘记修改密码,在离开工作地之前没有下线,粗心地丢弃了一些敏感信息而不是将它粉碎。Warkentin在1995年扩展了分类学来包括了低级的和高级的威胁,后者是一个有目的性的个体或者是一个寻找模糊弱点和造成巨大经济损失的组织,组织是通过坚持入侵来获得最大化长远效益,从而给经济带来严重损失。
那些来自于人们目的性行为的风险是相当危险的,尤其是在现在这样充满黑客﹑间谍﹑恐怖分子和犯罪团伙的世界,犯罪团伙是为了达到他们的目标,会合作起来全球袭击我们的信息资产。许多恶意的个体希望造成破坏和损失,为了政治原因或是军事目的,有的恶意个体会窃取贸易秘密和法人所有权信息,有的会窃取财政信息来实施诈骗,有的会是身份盗用者,除了这些还有一些其他的犯罪行为。另一种风险是由恶意软件的新级别引起的,这种新级别使得软件更隐蔽和更有效,能够使软件穿透最新的边界防护。这些风险包括病毒﹑蠕虫﹑木马程序﹑隐匿技术和分散的僵尸网络袭击。
但是,最大的威胁是内部威胁--组织中作为防火墙信用代理人的成员(IM和Baskerville,2005年;Stantan等人,2005年;Willison,2006年;Willison和Backhouse,2006年)。这个员工和其他委托人用有效的用户名和密码来定期地和组织内的信息财产相互作用。员工能够对信息系统的机密性﹑完整性和有效性造成损害,通过一些故意的行为(使员工不高兴或者进行间谍活动),或者他们可能会介绍风险性通过对安全政策的被动不服从﹑怠惰﹑马虎﹑低训练或者是缺少动力去有活力地保护完整性和一些敏感信息的私密性,这些敏感信息一般来自于组织和它的合作伙伴﹑委托人﹑顾客和其他。这被叫做“末端安全问题”(Warkentin等人,2004年)因为个体员工是信息系统及其网络作业的末端。(我们有时会说最好的网络作业安全问题--最脆弱的连接—是在键盘与椅子之间。)内部的人经常会通过他们的终端直接接近整个网络工作,这样会造成一个主要的威胁。在50个国家开展的一个对近1400家公司进行的全球性调查中,研究者发现意识和个人问题保持了“最严峻的挑战是传递成功的信息安全主动权”(Ernst和Young,2008年)。尽管社会工程提供了对付黑客的最少的抵抗路径,在这项调查中只有19%的响应者是进行员工的社会工程测试,但是85%声明开展网络安全的定期测试。内部威胁被重复说明是对信息安全的最大威胁,但是在仓促中用不断增长经验的边界控制来保护边界的时候,这个威胁经常被忽略。加深对训练﹑雇佣人员的注重,促使员工安心地工作将产生很大的报酬给实行了这种策略的组织。
大量的方法和观点已经被用来调查企业的信息系统安全管理。这个特殊事件的焦点是集中在私人电脑用户﹑工作团体﹑或者组织和它的进程,之所以包括进程是因为它与信息系统安全的追求相关。组织特有地开发和实施一些计划﹑政策﹑协议和规程来保证信息资源的安全,伴随着用户训练项目和利用统治结构来宣传对安全政策和规程的服从(Warkentin和Johnston,2008年)。与这些努力相违背的是那些意图做一些电脑犯罪的不诚实的员工,这就像那些粗心的或是无动机的员工,因为一些突然的和粗心的操作而不能维持系统的安全。是什么原因让一些私人用户和团体来服从安全政策,而让另一些人突然地或者是有目的地违反安全规则和程序?什么激励因素和抑制条件是对保证服从或是对阻止类似于电脑犯罪﹑黑客﹑间谍或破坏活动等故意的行为是有效的?怎样才能够使服从安全政策和程序获得成功?不服从的原因是什么?在组织环境中有什么因素能够促使一个员工进行电脑犯罪?我们该怎样来理解这些违法者的犯罪行为?这些研究疑问促使我们来计划这个特殊的问题。
研究者调查了关于安全政策服从和不服从的多种前情,毫无疑问地,理论根据是熟悉的一个例子—技术采用模型﹑组织行为﹑社会影响等等。我们相信,尽管这些是(将会继续成为)了解个人动机的富有成效的领域,我们必须吸收新的探索计算机指令系统的道路。我们应该开扩我们的眼界和吸收新的理论基础和新的方法论途径。我们可以学习其他认知的和行为的科学,包括犯罪判断﹑教育﹑道德和其他。
服从问题很显然是跟那些诚实员工的行为有关,他们不管什么原因,可能或不可能遵守一个组织的安全政策。然而,我们不能忘记在组织环境中的信息系统安全,那就会有一个其他形式的行为值得我们考虑—违法者的行为。有趣的是,这个研究领域没有从信息系统安全协会获得太多关注。但是有焦点是关于违法者有潜力去打开未来研究的初始领域。传统地来说,信息系统安全对策被分成了四类,包括威慑﹑阻止﹑侦测与恢复(Forcht,1994年;Parker,1998年;Straub和Welke,1998年)。服从研究因此包括了试图去促进“阻止”的措施。员工行为导致密码使用将成为一个显著的例子。如果一个人服从或不服从政策,他或她的行为是与技术系统相联系的,这会造成“阻止”电脑滥用。然而,由于对违法者行为的关注,我们是有可能从这个控制领域移开的。但是这要依赖于运用适当的理论去应对适当的问题。因为这样的目标,信息系统安全研究者不必去重新改变方向。相异理论现有的体系使得我们对违法者的行为有所了解,不仅是在犯罪中,更重要的是在犯罪过程之前。如果这些“适当的”理论能够从中得到,那么就存在可能去进一步了解第二种行为形式和扩大安全保卫的范围,这种保卫范围将超越传统的威慑﹑阻止﹑侦测和恢复级别(Straub和Welke,1998年)。
最近的一篇论文(Willison,2009)说明了这一点。尽管内部威胁的研究越来越多,目前存在一个缺乏对员工的不满情绪的问题的深入了解以及这在激发某种形式的计算机犯罪方面如何扮演了一个重要角色。为了解决这个问题, Willison(2009)利用一套理论称为组织公平,它分析不同组织现象如何能够影响员工对公平的认知。有人认为,通过应用程序的这个理论,一个更好的理解提供了动态的不满情绪。这使得实施措施能够阻止形成,但也消散,预先存在的不满情绪。重要的是,人们的不满暂时解决之前,行为发生威慑通过。因此,通过应用程序的组织公平,这提供了组织可能扩大范围的安全措施。尽管公司可能采用在很大程度上控制来阻止员工计算机犯罪,为什么不减轻的不满情绪,从而阻止初始元素犯罪行为? 在术语总额的安全威胁是减轻在管理系统安全,就必须确定组所有可能的威胁,然后应用一个公式(seeWarkentin,1995),为每个产品summates威胁的伤害是预期,应该这种威胁发生,并且其发生的概率。例如,一个毁灭性的自然灾害可能会消灭一个数据中心,但其发生的几率在一个特定的位置可能较低,而不准确的数据条目的概率可能更高,但潜在的损失是很低的。重要的是,预期的值的总成本的一个恶意攻击从知情人可以有一个更大的金融冲击比无数次的行为、疏忽、遗漏或监督由善意的,但不够训练或很差的员工有热情。事实上,什么使刑事内幕威胁如此危险的是,这些个体犯罪在上下文的工作场所的环境提供他们目标训练和暴露在非常的技能和知识(知识的会计程序,知识的安全缺陷,资历和权威、计算机软件技能等)。这使他们能够执行他们的犯罪行为。帕克(1998)主张考虑网络罪犯来说,他们的技能、知识、资源、权力和动机。不诚实的员工经常有这些属性在丰度,当这样的一个威胁,在执行金融后果可能是毁灭性的。放置一个更大的研究强调罪犯会因此似乎是一项有价值的事业。所以越来越重视个人谁犯前款罪的,而不是对个人仅仅小幅违规,将会有更大的金融冲击。这是主要的动机分析法理学的增加净通过新眼镜的社会学和犯罪学研究,包括越轨行为的研究,组织公平研究、代理理论、心理学理论、组织行为、感知组织的支持,和其他理论和方法为研究人类行为。我们相信这个呼吁研究代表了对未来可行的议程。
这个特殊的问题包括六个文件,所有这些考虑信息系统安全之间的关系和行为的员工为执行这个函数。这种性质的研究是及时的,而嘴唇服务付费的重要性是安全、问题引发了对学术研究的质量在这个地区。Siponen等。(2008年),例如,回顾了文献信息系统安全为1990-2004年期间,包括三个主要信息系统安全期刊和相关论文发现在前20信息系统期刊。覆盖1280篇论文和分析方面的理论、方法和主题,结果发人深省。理论的应用的一个关键元素被良好的研究,然而没有理论是在1043年的论文引用。按照方法用于实证研究,论文的比例,进行了现场研究(0.07%),调查(5.31%)、案例研究(2.65%),和行动研究(0.07%)被证明同样缺乏。最后,尽管需要考虑更多的社会方面的信息事业系统安全长期以来被公认,主题安全教育和安全意识只占两个和7个文件分别。这些数字告诉相比其他信息事业的成熟系统不同学科。一些信息系统的研究已经指出,作为一门学科的成熟,应用程序的理论和实证研究的数量会增(Farhoomand 1987;Farhoomand&Drury,1999;Vessey等,2002)。这是伴随着移动从技术或更多的组织或管理焦点(Culnan,1987;Vessey等,2002)。同样的,然而,不能说对信息系统安全。
我们的第一篇文章,通过Herath和Rao,专注于问题的最终用户“遵守信息安全政策。更具体地说,他们进步和测试一个集成模型,利用通用威慑理论、保护动机理论、组织承诺和分解理论计划的行为。与312年员工调查从78年组织反应,研究探讨了打算遵守信息安全政策。作为一个为数不多的在这一领域的实证研究,提出影响未来的搜索关键学术研究和信息系统安全从业人员。
同样,Myyry, Siponen, Pahnila, Vartiainen,Vance也检查合规,但是而不是关注意图,他们解决道德推理理论如何可能提供一些深入的违规行为的原因。因此,一个理论模型,解释了不符合道德推理和价值观的基础上提出了。基于道德发展理论的认知由Kohlberg理论动机类型由施瓦茨,随后的火电厂模型很大程度上是由作者的实验研究结果。
Carol Hsu检测了财政组织中的成员怎样说明安全保证进程的实施,也就是英国标准7799的第二部分。通过用一个解释性的个案研究方法论,Hsu吸收了框架分析的概念来鉴定管理者们对不同群体的解释,这些不同团体是类似于检定小组和其他的员工。通过这些解释,每个团体分派不同的含义给检定进程,检定进程可以影响到涉及相关安全操作的决定。Hsu因此提出管理者首先需要认识到框架的不一致性,才能相对进行调整来保证一致性和获得全部的安全效益。
Boss, Kirsch, Angermeier, Shingler, and Boss 建立了一种模型来解释员工的信息安全预防行为。他们的发现是基于一个普查,在普查中有提到当个人察觉到安全政策是强制的,他们将会很主动的去做安全预防。而且,如果他们认为坚固的管理是在评估他们的行为,他们将会更加有可能去服从。他们还注意了情感淡漠和电脑自我效能是信息安全行为的重要决定因素。个别员工可能会对安全政策的遵守无视,但是与管理者沟通过后也许会改变他们的观点。此外,他们的研究说明了针对员工行为的奖励措施在安全环境下是不起作用的,就像它在其他领域中一样。
在我们下一篇文章中,我们提出了一个有趣的项目,是与安全鉴定中的密码使用有关的。Zhang, Luo, Akkaladevi, and Ziegelmayer分析了从有经验认知的观点中来恢复多种密码的问题。在这项研究中,作者认识到用户经常危及密码的保密性来改善可记忆性。使用者控制的密码越多,就越难回想起来。原稿调查了干扰缓和措施对提高多样密码恢复的使用情况,并说明一系列的还原法可能会提高个人的回想认识过程。在我们最后的文章里,Lee和Larson通过对小型和中型企业(服务器信息块)高管们的调查了解了组织中抗恶意软件的使用。应用保护推动理论,作者调查了服务器信息块的高管们,然后证明了威胁和顶部评价成功地预测了他们对抗恶意软件的使用意图,这个意图直接导致了组织的采用。他们还决定了社会影响和采用决策中的预算问题。最后,卖主支持是对抗恶意软件采用的一个关键的促进因素,尤其是在信息技术集中的行业。
所以多样的原因﹑动机﹑抑制因子和政策服从因素和电脑犯罪在文章中被分析。这些因素的特征在于三个方面(1)与信仰和意图相关的安全和政策服从(包括道德和伦理原因),就像Herath ﹑Rao ﹑ Myyry﹑Siponen﹑Pahnila﹑ Vartiainen 和Vance分析的那样。(2)分析领悟与感觉属性,包括认识过程,就像Hsu的论文 和Zhang﹑ Luo﹑ Akkaladevi和 Ziegelmayer 的论文所分析的那样。(3)关注激励的影响(或者缺少这些),包括漠视﹑敬畏和信心特征,加上在Boss﹑ Kirsch﹑Angermeier﹑Shingler﹑和Boss的论文和Lee和Larson 的论文中提到的应对行为。综合地说,手稿最精彩的部分提供了关于重要研究领域的一个有启发性的观点。
我们要谢谢很多的评论者,他们保证了严密的选拔过程,并且通过这三个阶段的修正来帮助我们找到改进每一份手稿的机会。因为这个过程,项目成果被极大的改进了。在这个过程中,我们还要感谢Richard Baskerville的领导,感谢EJIS员工的支持。
第二篇:信息系统安全
数字签名过程 “发送报文时,发送方用一个哈希函数从报文文本中生成报文摘要,然后用自己的私人密钥对这个摘要进行加密,这个加密后的摘要将作为报文的数字签名和报文一起发送给接收方,接收方首先用与发送方一样的哈希函数从接收到的原始报文中计算出报文摘要,接着再用发送方的公用密钥来对报文附加的数字签名进行解密,如果这两个摘要相同、那么接收方就能确认该数字签名是发送方的。
数字签名有两种功效:一是能确定消息确实是由发送方签名并发出来的,因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。因为数字签名的特点是它代表了文件的特征,文件如果发生改变,数字签名的值也将发生变化。不同的文件将得到不同的数字签名。一次数字签名涉及到一个哈希函数、发送者的公钥、发送者的私钥。”这报文鉴别的描述!数字签名没有那么复杂。数字签名: 发送方用自己的密钥对报文X进行E运算,生成不可读取的密文Esk,然后将Esx传送给接收方,接收方为了核实签名,用发送方的密钥进行D运算,还原报文。
口令攻击的主要方法
1、社会工程学(social Engineering),通过人际交往这一非技术手段以欺骗、套取的方式来获得口令。避免此类攻击的对策是加强用户意识。
2、猜测攻击。首先使用口令猜测程序进行攻击。口令猜测程序往往根据用户定义口令的习惯猜测用户口令,像名字缩写、生日、宠物名、部门名等。在详细了解用户的社会背景之后,黑客可以列举出几百种可能的口令,并在很短的时间内就可以完成猜测攻击。
3、字典攻击。如果猜测攻击不成功,入侵者会继续扩大攻击范围,对所有英文单词进行尝试,程序将按序取出一个又一个的单词,进行一次又一次尝试,直到成功。据有的传媒报导,对于一个有8万个英文单词的集合来说,入侵者不到一分半钟就可试完。所以,如果用户的口令不太长或是单词、短语,那么很快就会被破译出来。
4、穷举攻击。如果字典攻击仍然不能够成功,入侵者会采取穷举攻击。一般从长度为1的口令开始,按长度递增进行尝试攻击。由于人们往往偏爱简单易记的口令,穷举攻击的成功率很高。如果每千分之一秒检查一个口令,那么86%的口令可以在一周内破译出来。
5、混合攻击,结合了字典攻击和穷举攻击,先字典攻击,再暴力攻击。
避免以上四类攻击的对策是加强口令策略。
6、直接破解系统口令文件。所有的攻击都不能够奏效,入侵者会寻找目标主机的安全漏洞和薄弱环节,饲机偷走存放系统口令的文件,然后破译加密的口令,以便冒充合法用户访问这台主机。
7:网络嗅探(sniffer),通过嗅探器在局域网内嗅探明文传输的口令字符串。避免此类攻击的对策是网络传输采用加密传输的方式进行。
8:键盘记录,在目标系统中安装键盘记录后门,记录操作员输入的口令字符串,如很多间谍软件,木马等都可能会盗取你的口述。
9:其他攻击方式,中间人攻击、重放攻击、生日攻击、时间攻击。
避免以上几类攻击的对策是加强用户安全意识,采用安全的密码系统,注意系统安全,避免感染间谍软件、木马等恶意程序。
第三篇:信息系统安全管理办法
1.0
目的为保证集团计算机信息系统的平安,防止信息泄密,特制定本管理办
法。
2.0
适用范围
本规定适用于本集团的全体员工;适用于本公司所有办公用计算机、网
络布线和网络连接设备。
3.0
职责
集团人力行政中心统一负责管理和维护集团各公司的计算机、打印机、电脑网络等办公自动化设备及各类软件,并对计算机系统平安保密工作进行指导、协调和监督检查;各部门主管负责本部门办公设备和信息系统的平安保密工作,应指定专人经常进行信息的平安情况检查;定期查、杀病毒,确保系统平安运行。
4.0
具体管理方法
4.1
设备平安管理
4.1.1
非设备维护人员,不得私自拆装计算机设备,不得私自变更网络设备的连接,对非法操作造成的财产损失和网络重大故障的有关人员,要追究
责任。
严禁带电拔插计算机上的所有连线和设备〔键盘、鼠标、打印机、软件
狗等〕,以防止损坏设备。
4.1.3
除不可抗拒的原因外,禁止非法开、关机,关机后再次启动电脑的间隔
时间不得低于1分钟。
对外来软盘、u盘等介质应先杀毒,以消除可能带有的病毒。
严禁在开机状态下移动计算机主机等设备。
4.1.6
未经人力行政中心IT部门登记,不得将外来的笔记本电脑等设备私自接
入公司网络。
4.2
软件平安管理
4.2.1
计算机上使用的系统软件由集团人力行政中心有关技术人员进行安装,各部门使用的自购或开发的软件必须由集团人力行政中心技术员检查确认平安问题并建立软件档案前方可使用。
计算机使用人员应遵守如下规定:
〔1〕不得随意修改计算机和网络上的配置参数、程序及信息资源;
〔2〕未经防病毒检查和平安性检查,不得随意拷入外来程序及数据;
〔3〕不得私自从因特网上下载非工作必需的软件,以免影响其他人上网的速度。
〔4〕不得安装与工作无关的软件,严禁办公时间在电脑上玩游戏、上网浏览色情网站或下载游戏软件,工作时间不得上网聊天或进入交友网站。
4.3
信息平安管理
4.3.1
各计算机用户负责妥善处理本人使用的计算机上的信息,未经许可不得
随意拷贝、打印保密信息。
4.3.2不得向网络输入有害程序和信息或利用网络查询、传播各种违法信息。
4.3.3向网站发布信息必须按相关规定审批前方可发布。
4.3.4需长期保存的文件不得放置在电脑C盘,应放在D、E等盘,并及时备份〔建议采用光盘或U盘的方式,尽量不使用软盘方式〕,以免由于系统出错格式化造成文档丧失,如因硬盘损坏等原因造成信息丧失的后果由当事人及部门主管负责。
任何部门或个人发现计算机信息系统泄密和存在不平安因素,应及时报
告集团人力行政中心IT部门采取措施补救。
5.0
违反本管理方法按?奖惩制度?处理。
6.0
本管理方法解释权归属集团人力行政中心。如原有规定与本管理方法有冲突,以本管理方法为准。
7.0
本管理方法自2021年1月1日起执行。
第四篇:信息系统安全工作总结
2011年信息系统安全工作总结
为确保公司信息系统持续安全稳定运行,我中心把此项工作列入重要议事日程,明确主管领导、责任部门和相关人员,制定相应规章制度,确保了我中心公司信息系统持续安全稳定运行。现将2011年工作汇报如下:
一、安全管理制度落实情况
1、成立了信息安全管理机构。明确信息安全工作由中心信息安全领导小组负责,该领导小组由中心工会主席XX任组长,由中心安全部XX为信息专责,各系统使用人为成员。明确由中心信息中心负责具体公司信息系统安全维护日常工作。健全的机构、明晰的人员分工为公司信息系统安全运行奠定了坚实的基础。
2、建立了信息安全责任制。按责任规定:中心信息安全领导小组对信息安全负首责,主管领导负总责,管理人员负主责,具体使用人员负主责。
3、制定了计算机外网和公司网分离使用的相关保密管理制度。规定外网使用人员负责本台电脑信息管护工作,公司网使用人员负责内网保密管理,规定双网间不得相互搭接,严禁泄密。
二、安全防范措施落实情况
1、公司网计算机按照公司管理规定,经过了保密技术检查,没有同互联网相连接,并安装了防火墙,实行了物理隔离。同时安装了金山杀毒软件,加强了防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的功能。
2、检测信息系统无安全漏洞,载有涉密内容的移动存储设备(包括软盘、硬盘、光盘等)没有带离办公地点,没有出现涉密内容在Internet相连的计算机系统中存储、处理、传输。
三、应急响应机制建设情况
1、按照要求制定了应急机构及应急预案等,做到了责任落实、人员到位、措施得力,并在中心内进行了广泛的宣传贯彻和培训,明确了应急技术支援队伍。
2、坚持和涉密计算机系统定点维修单位取得密切联系,并商定在中心涉密计算机出现问题等应急技术时给予最大程度的支持。
3、严格文件的收发,完善了清点、编号、签收制度,并要求办公室文员在每天下班前进行系统检查维护。
四、信息技术产品和服务国产化情况
计算机的保密系统、公文处理软件、信息安全产品、服务器、路由器、交换机等皆符合相关技术要求。
五、安全教育培训情况
1、派专人参加了公司组织的网络系统安全和保密知识培训、安全技能培训等,并安排专人负责本中心的网络安全管理和信息安全工作。
2、中心信息安全领导小组多次组织全中心职工学习了计算机的基本操作技能和信息安 全常识等内容。
总之,在2011年里我单位没有出现违反信息安全规定行为和造成泄密事故、信息、安全事故的情况发生。
六、存在的不足和整改措施
1、对信息安全投入力量有限。由于办公费用紧张,对信息系统安全投入不足,硬件措施不能完全达到标准。
2、人员培训力度需要进一步加强。2011年在人员培训上也下了不少工夫,使用内网职工对于信息安全重要性的认识需要进一步提升,特别是岗位发生变化后,需要进行上岗前的培训,合格后方能进行相关工作,以进一步确保信息安全。
在以后的信息安全工作中,我们将结合实际,主要在以下几个方面进行整改。
1、针对信息安全意识需进一步提升问题,进一步加大力度对计算机安全知识的培训教育,提高做好安全工作的主动性和自觉性。
2、针对设备维护、及时更新问题,加大对线路、系统等及时维护和保养,同时针对信息技术的快速发展的特点,加大更新力度。
3、针对信息安全工作水平不高问题。继续努力,在落实责任制上下功夫,坚持执行“谁主管谁负责,谁分管谁负责,谁维护谁负责,谁使用谁负责”的责任制方针,将上级的信息安全精神落实到实处,力争把信息安全的管护提高到现代化水平,促进中心计算机信息系统安全的防范和保密工作的顺利进行。
4、针对工作机制不够完善问题。要坚持以制度为根本,在进一步完善信息安全制度的同时,安排专人,完善设施,密切监测,加大奖惩力度,随时随地解决可能发生的信息系统安全事故,确保此项工作稳定运行。
第五篇:信息系统安全自查报告
信息系统安全自查报告
一、自查情况
1、安全制度落实情况: 目前我院已制定了<网络安全管理制度>、<计算机信息系统安全保密管理制度>、<涉密人员管理制度>等制度并严格执行。信息管护人员负责信息系统安全管理,密码管理,且规定严禁外泄。
2、安全防范措施落实情况:(1)计算机经过了信息系统安全技术检查,并安装了防火墙,同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面的有效性。(2)禁止使用来历不明或未经杀毒的一切移动存储介质。(3)在安装杀毒软件时采用国家主管部门批准的查毒杀毒软件适时查毒和杀毒,不使用来历不明、未经杀毒的软件、软盘、光盘、u盘等载体,不访问非法网站,自觉严格控制和阻断病毒来源。在单位外的u盘,不得携带到单位内使用。(4)安装了准入准出管理系统,对内部网络中出现的内部用户未通过允许私自联到外部网络的行为进行检查。对外来终端接入医院网络必须进行健康度审查,直至符合相关要求后,经管理员审核才能接入医院网络。对接入互联网的终端计算机采取控制措施,包括实名接入认证、IP地址与MAC地址绑定等,定期对终端计算机进行安全审计;规范化使用终端软硬件,不得擅自更改软硬件配置,不得擅自安装软件,严禁在计算机上安装非法盗版软件;监控系统开启服务与程序情况,关闭不必要的服务、端口、来宾组等,防止恶意程序后台运行,防止安装过多应用软件及病毒、木马程序的自运行;加强网络访问控制,防止计算机进行违规互联,防止信息因共享等方式进行违规流转,防止木马、病毒在信息系统内大规模爆发。(5)安装了防病毒系统、威肋预警系统,服务器安装支持统一管理的防病毒软件,及时更新软件版本和病毒库;整改配备威胁管理平台和杀软,主机与网络的防范产品统一管理,且必须与终端杀毒软件属不同的安全库;定期(如每半年年)进行系统漏洞扫描,并根据扫描发现的漏洞开展整改工作,应定期(如每月)对恶意代码查杀结果进行分析,对于查杀发现的病毒及其传播、感染方式进行通告,并出具分析报告,及时更新操作系统的安全补丁,更新前应对补丁进行测试,确认其不影响操作系统的业务性能后,再安装系统安全补丁。(6)安装了数据库审计系统(防统方)软件,审计范围覆盖到服务器上的每个操作系统用户和数据库用户;审计内容包括重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件;审计记录包括事件的日期、时间、类型、主体标识、客体标识和结果等;保护审计记录,避免受到未预期的删除、修改或覆盖等;对医院数据库几张重要的表格(统方)采取相应的安全措施,降低国家省里卫计委三令五声的统方信息泄露事件。整改配备数据库审计系统(反统方),对重要客户端的审计和审计报表计记录的保护。部署数据库审计系统,赋予安全管理员审计系统管理权限,其中系统管理员无审计系统日志访问权限,安全管理员无数据库系统管理权限;(7)安装了网闸隔离设备,医院内网与外网原本是物理上隔离,因部份数据需要内外网进行交互,采用专用三机统的安全网闸来实现内外网数据交互,保障安全。
3、应急响应机制建设情况:(1)制定了初步应急预案,并处于不断完善阶段。(2)对信息系统数据进行定期备份,以降低或消除各种灾难对正常工作的影响。
4、信息技术产品应用情况: 使用防火墙、安全网闸与入侵检测系统,有效保护信息系统安全。
5、信息安全教育培训情况:(1)我院不断加强对计算机使用者的安全培训工作,强化每一个使用者安全使用网络的能力,提高安全防范意识,对每台入网计算机的使用者、ip地址进行登记造册。(2)组织人员参加网络安全员培训。增强内部人员的信息安全防护意识,有效提高信息安全防护能力。
二、信息安全检查发现的主要问题及整改情况
1、目前存在的问题:(1)规章制度体系初步建立,但还不够完善,未能覆盖信息系统安全的所有方面。(2)不少信息系统使用人员安全意识不强,在管理上缺乏主动性和自觉性。(3)网络安全技术管理人员配备较少,信息系统安全方面投入的力量有限。
2、整改措施:(1)再次检查规章制度各个环节的安全策略与安全制度,并对其中不完善部分进行重新修订与修改,切实增强信息安全制度的落实工作,不定期对安全制度执行情况进行检查。(2)继续加强人员的安全意识教育,提高人员安全工作的主动性和自觉性。(3)加大对线路、系统等的及时维护和保养,加大更新力度。提高安全工作的现代化水平,便于进一步加强对计算机信息系统安全的防范和信息系统安全工作。
三、对信息安全检查工作的意见和建议
1、加强信息网络安全技术人员培训,使安全技术人员及时更新信息网络安全管理知识。
2、加强人员的信息安全意识,不断地加强信息系统安全管理和技术防范水平。
3、增加安全管理的经费。
点击咨询 