第一篇:企业信息化中的电子文件信息安全
企业信息化中的电子文件信息安全
大二 图书情报档案系 09120968 潘晓玉婷 摘要:本文论述了在企业信息化过程中电子文件信息安全保护的重要性,分析了现代企业中对于文件管理的现状,及威胁企业信息安全的因素。从对内和对外的两个角度论述如何在技术上和制度上做到企业信息安全管理,关键字:企业信息安全 电子文件 内部安全管理 信息保护技术措施
公司电子文件信息安全的重要性
Abstract---This paper discuss the importance of the information security of electronic document in the process of enterprise informatization and makes analysis on file management status in modern enterprises as well as the factors which causes the enterprise information security threats.The author tries to conduct the method of enterprise information security management technically and systematically.Keyboard——Enterprise Information Securityelectronic document Internal Security ManagementInformation Protection TechnologyMeasuresImportance of information security about the company
数据是公司的一项重要资产,其中电子信息系统在企业政府和各组织中得到了广泛的应用,对于企业来说,电子信息的安全性机密性关系着整个企业的收益与运作。我曾经加入过书友会,每月会受到一个公司的购书目录,但是有一天我和其他几个报名此书友会的同学却受到了其他新成立的书友会的邀请,据我猜测有两种可能性:1是书友会的联盟,客户信息共享2公司客户信息暴露 客户信息暴露会让竞争对手带走大量收益,使企业造成损失,企业的信息安全关系到业务的风险、收益和机会。
所以企业中电子文件的信息安全是很重要的一个环节,企业应树立保护企业内部信息的重要意识,做好信息化安全工作
常见的企业信息安全威胁因素
病毒木马、黑客攻击、局域网内部ARP、溢出攻击、内部人员故意泄密、内部人员无意泄密、数据信息存储设备故障、自然灾害等等。因此我把它们分为两大类讨论1对内部2对外部
那么企业中的信息化安全该如何实现呢
企业内部安全管理尤为重要 electronic document
在电子文件产生、处理传递、利用与保存的整个生命周期内都离不开人的活动,人的意识具有信息安全的决定性。刻意窃取公司资料,外部人士用网络,病毒攻击等技术手段,内部管理人士只需存储设备就可以轻易完成,所以资料的管理者的安排至关重要。重要电子文件应由可信任管理者实行集中统一管理,先确立内部安全,树立安全意识和保密意识。防内相对比防外更为重要。
涉密文档直接或间接的泄漏与破坏大都是在各种各样不设防的情况下,相关人员进行涉密文档的操作过程中发生的;越是内部人员越疏于防范也就越容易发生涉密文档失泄密事件。从而导致大量的涉密、核心文档有意/无意的泄漏和流失往往是不为人知的,就像蚂蝗一样不断的侵蚀着涉密资产和核心竞争力。一旦到了事情败露,带来的巨大损失早已是无法挽救和弥补的!那么什么样的产品才能真正起到对重要资料的完全保护?怎样才能最大程度保障企业的核心电子信息资产安全
例如上海夏尔软件有限公司专注于提供信息资产安全内控解决方案。夏尔公司认为,信息资产安全内控解决方案至少需要包含下列四个方面的内容:(一)、集中统一管理
信息资产安全内控解决方案应该做到让这些以电子文件形式表现的信息资产变成“企业”信息资产,而不是“个人”信息资产;由组织里某人或某些人起草的重要文件要集中统一管理;防止由于人员的离职,电脑的丢失,有意或无意的删除操作,或病毒的侵袭造成文件丢失。
传统上,像含有机密财务数据的投融资报告,月度,季度,年度销售分析报告,财务分析报告,商业往来文件和合同,重要内部会议的会议纪要等。这些对一个组织来讲非常重要的文件大多是由组织里的某个人或某些人撰写,保留在个人的电脑里,容易由于有意或者无意的原因造成文件丢失。
(二)、即时可用
信息资产安全内控解决方案至少应该做到需要使用时,调阅出来的信息是信息生成时的状态;防止由于计算机技术的局限性,信息在储存过程中可能因为磁盘位错或磁盘故障造成数据丢失,病毒传播造成数据损坏。
(三)、利用过程有严密的受控保护机制
信息资产的安全内控解决方案应做到信息资产在内部使用过程中的安全防扩散;需要做到“看得见、拿不出去;拿出去了,也不能用”,这个方面主要包括:
1、可以对从内网拷贝到外网使用的文件根据文件内容做过滤,也就是说,组织能够控制含有哪些内容的文件可以从内网拷贝到外网使用,含有哪些文件内容的文件不能从内网拷贝到外网使用。
2、如果有权使用受控文件的内部人士将受控文件通过邮件,聊天工具,U盘等任何方式传递给第三者,第三者打开文件看到的是乱码,确保信息不被泄露。
3、今天大多数组织信息系统,系统管理员有最高权限,这是一个极大的信息安全漏洞,系统管理员可以不留痕迹地复制和删除全部文件,以及查看任何文件。夏尔的信息安全内控解决方案可以由文件的所有人来设置权限,决定谁可以查看这个文件,在该工作环境中系统管理员也同样是受限制的。
(四)、严密安全防护机制下还需要易用
信息资产安全内控解决方案还需要做到在将信息资产严密保护的同时,能够让组织内有权限的人非常便利的访问这些信息资产,我们希望提高工作效率和达到组织内的知识传递,就必须让这些以电子文件形式存在的信息资产能方便的共享和访问,不能因噎废食!
夏尔公司是以iFile软硬一体设备为中心的信息资产安全内控整体解决方案,该方案实现了组织内的电子文件集中管理、内外网基于文件内容的摆渡、文件防扩散、以文件的所有者为导向的权限控制以及基于资源管理器易用操作的模式。在完成了上述一、三、四点的要求的同时,软硬一体的底层存储通过采用 CAS 存储架构,实现对磁盘位错或者磁盘故障造成的信息资产损坏自动修复,由于底层为专用的嵌入式系统,对于计算机病毒有天然的防护。软硬一体的解决方案使组织基本可以做到“零”实施。(企业内部信息管理安全需要注意以外,对外安全更需要先进的技术手段和严密的措施,电子文件内容信息的保护是一个复杂的系统过程,技术措施主要有几个方面:
企业重要电子文件的加密
密码技术是信息安全技术中的核心技术,利用密码技术保护企业信息安全是十分有必要的,但是据资料统计,现在各行业企业密码技术的利用率在文件上不是
很普遍,企业应树立意识及时进行周密的保护才能使企业不造成损失。
据有关权威部门统计数据显示,随着各行业在生产、管理上信息化程度日益增高,计算机泄密行为也呈上升趋势。而计算机泄密最大的特点就是较之一般侵占案件,其手段更隐蔽、危害也更大。一个恶意的机密泄露事件往往会给企业造成难以估量的后果:轻则需要投入巨额资金进行补救,重则会将一个企业置之死地。权威数据显示,几乎所有的中国企业对电子文档都没有任何防护措施,企业对于信息有保护措施的不到3%。一些机密性的资料,电子文档轻易就可以的通过电子邮件和移动硬盘泄密到网络外部。
日前,SearchSecurity网站针对358名企业信息化负责人进行了一项关于企业信息安全的调查。调查的结果显示,目前企业机密泄露30%~40%是由电子文件的泄露造成的,而《财富》排名前一千家的公司,每次电子文档泄露造成的损失约为400万元美金。
我认为,加密系统应主要针对公司的存储设备,移动存储介质和便携电脑一样,丢失难以避免,因此企业也必须实施好移动存储介质的技术防范措施。移动存储介质的技术防范措施主要是加密,使盗窃者无法打开移动存储介质中的涉密文件。
目前国内部分主机监控审计产品都能实现移动存储介质的加密存储。强制要求在使用前必须进行存储介质的认证,没有通过认证的移动存储介质在涉密信息系统中只能读,不能写,只有通过认证的移动存储介质才能进行正常读写,而且自动实现移动存储介质中文件的加密。携带认证的存储介质出差时,必须输入正确的密码才能够打开加密的文件,因此能较好地保证移动存储介质中涉密文件的安全。
虽然国内在USB接口的移动存储介质强制加密上具有较好的解决方案,但对于光盘(CD/DVD)的强制加密却没有较好的解决方案。这里建议企业可以从行政上强制规定,禁止使用光盘来存储涉密信息,以防止涉密信息的丢失。
此外对于公司信息安全系统还应应用一些高端软件及应用技术如:
1、防火墙/VPN2、入侵检测防范
3、网络行为监控(内容过滤)系统
4、无线接入安全管理
5、企业内部网络安全机制
6、操作系统以及应用系统的安全设置
7、补丁更新、漏洞扫描机制
8、垃圾邮件过滤系统
9、企业防病毒系统
10、网络监控系统
11、安全审计、日志审核机制
网络安全管理制度。
除了从技术上保证企业电子信息安全以外,对于企业网络安全制度也是很重要的一点,总结书上并结合企业管理实际,对于网络安全制度提出以下几点建议:
1、建立网络安全管理制度,明确网络安全管理的职责
2、完善网络安全设置各方面的技术文档,按照技术文档进行设定安全策略以及安全方案。在涉及网络安全的变更管理、事件管理、配置管理中都必须有文档记录
3、确定网络安全管理的具体责任人。
4、提高公司各层面用户的网络安全意识。
随着企业信息化不断完善,企业的信息化中的电子文件安全管理越来越完善,应用技术越来越普及,企业在管理中对于安全机制的应用应大大增加以保护企业安全,并且应加以强有力的管理体制,如果安全管理体制不够完善,及时再先进的技术也避免不了人为的疏忽与漏洞,企业人员也应及时树立好安全保密意识,保证企业运作的有序进行。
文中议论方面尚缺少实践,可能经验不足导致角度不周全,在今后的学习中会逐渐完善。
参考文献:电子文件管理学 金波
信息资产安全内控解决方案—夏尔
企业安全机制管理论
第二篇:文件 电子稿
获得荣誉
1990年以来,该镇农村经济总收入位次由全市乡镇第二名升为第一名。全镇获得的荣誉称号主要有: 首届中国乡镇投资环境100强、国家农业示范基地、中国板栗之乡、山东省双文明明星乡镇、山东省农村经济前200名乡镇、山东省小康乡镇、山东省中心镇、山东省乡镇企业示范区、齐鲁乡镇之星、山东省旅游强乡镇、潍坊市农村工作模范乡镇、潍坊市村镇建设新型乡镇、潍坊市拥军优属模范单位、潍坊市乡镇企业十强乡镇、潍坊市农村工作先进乡镇、潍坊市先进科普示范基地、潍坊市先进基层党组织、潍坊市小城镇建设先进镇、潍坊市科技兴农先进单位。
第一产业
1947年春,昌城实行土地改革,1949年粮食亩产仅59公斤左右,总产仅354万公斤。1978年粮食亩产达到329.5公斤,总产达到2538.4万公斤。
1990年以来,全镇实行农业结构调整。共建冬暖式大棚5000多个,小拱棚1500个,主要种植韭菜、黄瓜、豆荚、芹菜、葡萄、西红柿、茄子等蔬菜瓜果。2000年,与诸城市园艺一场合作,采取“反租倒包”的形式,建立了6000亩无公害蔬菜生产基地,产品全部出口,亩收入高达2000多元。
该镇重视植树造林,保护生态环境。近几年,共投资500多万元,建设苗木繁育基地5000余亩,成材林5760亩,立木蓄积量2.3万立方米,全镇林木覆盖率达30%以上。农田全部实现林网化,促进了农作物的增产增收,取得了较大的社会效益、生态效益和经济效益。
2000年底,全镇实现农村经济总收入29.9亿元,其中种植业2.4亿元,林果业2400多万元,畜收业4.3亿元。
第三篇:信息安全文件管理制度
信息安全文件管理制度
第一章 总则
第一条 为规范信息中心信息安全文件的制定、发布、评审和修订活动,特制定本制度。
第二条 本制度适用中心与信息安全有关的所有制度。
第二章 信息安全文件制定
第三条 中心安全管理小组负责制定中心层的信息安全文件,主要包括:信息安全文件体系、安全管理制度和规定、安全组织机构和人员职责、中心层面用户协议。
第四条 各部门信息安全组织遵照中心下发的信息安全文件,结合本部门系统实际情况,制定和细化成适用于本部门的具体管理办法、实施细则和操作规程等,不得与中心的规章制度相抵触,并须报中心信息安全管理部门备案。
第五条 中心信息安全文件中不得出现中心的涉密信息。
第六条 对中心信息安全文件进行汇编时,必须保留各信息安全文件的版本控制信息和密级标识。
第三章 信息安全文件发布
第七条 信息安全文件必须以正式文件的形式发布施行。
第八条 中心信息安全文件由中心安全管理小组制订,中心信息安全领导小组审批、发布。
第九条 信息安全文件发布后,如有必要,信息安全工作小组应召集相关人员学习信息安全文件,详细讲解规章制度的内容并解答疑问。
第十条 信息安全文件修订后需要以正式文件的形式重新发布施行,修订后的策略也需经管理部门审批。
第十一条 签署发布的规章制度必须标明该规章制度的施行日期。
第四章 信息安全文件修改与废止 第十二条 必须定期对信息安全文件进行评审,对其中不适用的或欠缺的条款,及时进行修改和补充。对已不适用的信息安全制度或规定应及时废止。
第十三条 当现行信息安全文件有下列情形之一时,必须及时修改:(1)当发生重大安全事件,暴露出信息安全文件存在漏洞和缺陷时;(2)组织机构或信息系统进行重大调整和变更后;(3)同一个事项在两个规章制度中规定不一致;(4)与上级部门的信息安全文件相抵触;(5)其它需要修改信息安全文件的情形。
第十四条 当现行信息安全文件有下列情形之一时,必须及时予以废止:(1)因有关信息安全制度或规定废止,使该信息安全制度或规定失去依据,或与上级部门的信息安全文件相抵触;
(2)因已规定的事项已经执行完毕,没有存在必要;(3)已被新的规章制度所替代。
第十五条 中心信息安全文件的修改与废止须经中心信息安全领导组织审批确认,中心信息安全管理部门备案。
第五章 信息安全文件的评审
第十六条 信息安全文件发布实施后,各部门应就信息安全文件制度或规定的贯彻执行,执行中存在的问题以及对规章制度修改或废止的意见建议等情况进行检查、监督,并将意见和建议及时反馈给安全管理小组。
第十七条 为保障各项信息安全管理制度的贯彻落实,中心信息安全管理部门必须定期检查信息安全文件的落实情况,信息安全管理制度的落实情况检查是信息安全检查工作的重要内容。
第十八条 信息安全检查工作结束后,在起草检查报告时,必须通报信息安全文件的落实情况,对执行不力的行为必须提出整改意见,限期纠改,并继续追踪其落实情况。
第十九条 信息安全文件的贯彻落实情况,必须作为重要的考核项目,纳入考评体系。
第二十条 为信息安全文件落实做出显著成绩的部门或个人,应给予表彰和奖励;对违反规章制度造成严重后果的部门或个人,应追究当事人、相关单位及主管领导的责任。
第六章
附则
第二十一条
本办法由中心信息领导委员会负责解释并督促执行。
第二十二条 各单位可根据本办法制定实施细则,报省中心备案。
第二十三条 本办法自印发之日起执行。
第四篇:信息安全管理体系作业文件
信息安全管理体系作业文件 Token管理规定
产品运输保密方法管理规定 介质销毁办法
保安业务管理规定
信息中心主机房管理制度 信息中心信息安全处罚规定 信息中心密码管理规定
信息安全人员考察与保密规定 信息开发岗位工作标准 信息系统访问权限说明 信息销毁制度(档案室)
可移动媒体使用与处置管理规定 各部门微机专责人工作标准 复印室管理规定
工程师室和电子间管理规定 数据加密管理规定
文件审批表
机房安全管理规定
档案室信息安全职责
法律法规与符合性评估规定 生产经营持续性管理战略计划 监视系统管理规定
系统分析员岗位工作标准 经营部信息事故处理规定 经营部信息安全岗位职责规定 经营部计算机机房管理规定 经营部访问权限说明 网站信息发布管理规定
网络中间设备安全配置管理规定 网络通信岗位工作标准 计算机硬件管理维护规定 财务管理系统访问权限说明 远程工作控制规定
第五篇:发改委信息安全专项文件
发改办高技[2008]2494号
国家发展改革委办公厅关于组织实施2009年
信息安全专项有关事项的通知
教育部、公安部、工业和信息化部、国家标准化管理委员会,中科院,国家密码局,国家保密局办公厅(室),各省、自治区、直辖市、计划单列市发展改革委:
为了贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)和《国家信息安全“十一五”规划》(国信安[2007]2号)的工作部署,进一步提高我国信息安全产业的竞争力,提升信息安全专业化服务水平,增强信息系统的自主可控能力,保障国民经济和社会信息化的健康快速发展,国家发展改革委决定组织实施2009年信息安全专项。现将有关事项通知如下:
一、2009年信息安全专项重点
专项按照优化产业结构,提高完善产品性能和功能,培育专业化服务,推动标准化建设,扶持骨干重点企业,提升产业竞争力,以及重要信息系统自主可控能力的指导原则,重点支持:
(一)为国家信息化建设及国家信息安全基础设施提供支撑的信息安全产品产业化
1、重点支持基于国产可信计算芯片的安全应用产品,以及基于自主密码技术的高性能集成应用产品的产业化;
2、重点支持移动存储介质保密管理、恶意代码防治、电子文档安全管理、网络数字版权保护、电子数据取证、安全保密检查等产品,移动终端、桌面终端安全防护等计算机安全保护产品,以及面向无线网络的安全管理与安全应用产品的产业化;
3、重点支持安全操作系统、安全数据库、安全中间件、安全服务器、安全接入设备、安全存储、容灾备份软件、安全办公软件等产品的产业化;
4、重点支持高性能专用安全芯片和专用安全设备,以及适用于新一代网络环境的具有高性能、多安全功能的软硬件集成化产品的产业化。
(二)为基础信息网络和重要信息系统安全运行提供技术支持的信息安全专业化服务
重点支持基于介质的数据恢复,容灾备份,面向国家信息基础设施和金融、电力、交通等重要信息系统的应急响应,支撑国家信息安全监管政策的安全测评与检查,针对信息安全事件的信息发布与咨询,以及包括对信息系统安全监控管理的托管服务。
(三)面向国家电子政务建设的安全标准体系及重要信息安全产品的关键标准 重点支持面向国家电子政务建设和重要信息安全产品的,有关信息安全等级保护、风险评估、涉密信息系统安全保密、应急与灾备、安全服务等方面的关键标准研究。
(四)采用自主信息化装备的信息系统示范工程
在电子政务和银行、证券、电力、电网等重要领域,重点支持采用自主信息化装备,按照信息安全等级保护要求组织建设的信息系统示范工程,以加快推进我国自主产品在重要信息系统中的广泛应用,为提升我国重要信息系统的安全保障能力积累经验。
二、申报要求
(一)请项目主管部门根据投资体制改革精神和《国家高技术产业发展项目管理暂行办法》的有关规定,结合本单位、本地区实际情况,认真做好项目组织和备案工作,组织编写项目资金申请报告并协调落实项目建设资金、环保等相关建设条件,同时汇总相关申请材料并报我委。
(二)项目主管部门应对报送的材料(如资金申请报告、银行贷款承诺、自有资金证明、销售许可证明等)进行认真核实,并负责对其真实性予以确认。
(三)为加强项目管理工作,本次专项信息安全产品产业化、服务和标准类项目采取纸质材料申报和网上申报并行的组织实施方式。请项目主管部门在报送项目纸质申报材料前,先登陆国家发展改革委高技术产业发展项目管理系统http://ndrc.jhgl.org/xxhc,履行相关网上申报手续,纸质审申报材料的具体报送地点将在网上申报系统首页另行通知。
项目纸质申报材料包括:项目资金申请报告(达到可行性研究报告深度)、项目简表和项目汇总表,上述材料一式三份。项目所需的项目备案文件和自有资金情况、投资及信贷承诺等证明资料须用原件,并单独装订。纸质材料和网上申报的项目信息原则上应完全一致(请认真审核网上申报材料不能含有涉密内容,如却有不便通过网上申报的文件材料,可在申报纸质材料时予以补充),未履行网上申报手续的项目将不予受理。
(四)申报信息安全产品产业化的项目,项目承担单位原则上应为企业法人。申报项目应具备以下条件:(1)按规定在当地政府备案;(2)已落实项目建设资金;(3)采用的科技成果应具有我国自主知识产权,知识产权归属明晰;(4)项目申报单位必须具有较强的技术开发和项目实施能力,具备较好的资信等级,资产负债率在合理范围内;(5)申报产业化的产品应具有公安部门出具的销售许可证明,如是密码类的产品应具有国家密码局出具的销售许可证明。资金申请报告的具体编制要求请详见附件一。
(五)申报信息安全服务的项目,项目承担单位应为企业或事业法人。申报项目应具备以下条件:(1)按规定在当地政府备案;(2)已落实项目建设资金;(3)具有较强的技术开发和项目实施能力,具备较好的资信等级,资产负债率在合理范围内。资金申请报告具体编制要求请详见附件二。
(六)申报信息安全标准的项目,项目承担单位可为企业或事业法人。申报的项目应属于国家信息安全标准“十一五”规划的重点领域,并已列入国家信息安全标准制修订计划。资金申请报告具体编制要求请详见附件三。
(七)申报示范工程的项目,项目承担单位为中央或地方政府部门,银行、证券、电力、电网等企业。申报项目应具备以下条件:(1)符合本领域信息化建设的总体思路;(2)已落实项目建设资金;(3)全部采用自主信息化装备开展工程建设。申报材料的具体编制要求请详见附件四。
(八)2009年信息安全专项项目分为两批申报,第一批项目申报日期截止至2008年12月3日,第二批项目申报日期截至2009年3月6日。在经我委组织专家对申报项目进行初选后,第一批项目在2008年12月中旬组织现场答辩,第二批项目在2009年3月下旬组织现场答辩。具体项目答辩名单、答辩时间和地点,将在专家初 4 选后另行通知。
附件:
一、信息安全产品产业化项目资金申请报告编制要点
二、信息安全专业化服务项目资金申请报告编制要点
三、信息安全标准项目资金申请报告编制要点
四、示范工程项目资金申请报告编制要点
五、信息安全项目及承担单位基本情况简表
六、信息安全项目汇总表
国家发展和改革委员会办公厅 二〇〇八年十一月十四日
点击咨询 