信息安全管理论文 篇一
摘 要:数据库系统是管理信息系统(MIS)的基础,管理信息系统能否正常运行,数据库的安全起着极其重要的作用,数据库安全体现在系统拥有的和产生的数据或信息要完整有效,使用要合法, 更不能被破坏或泄漏。具体地包括:用户识别、访问权限控制、加密、审计与追踪、备份与恢复。
关键词:管理信息系统(MIS);数据库
一 、完善用户识别
用户身份的正确识别与检验是MIS安全的门户。为了有效可靠地管理用户权限,保证系统的安全,需要一套可靠完善的身份鉴别机制。
(1)在MIS的数据库中创建一个用户表,为每个用户分配一个唯一的用户编码和一个唯一的用户密码,并且用户的密码只能由用户自己管理。当用户要登录数据库管理系统时,必须提供正确的用户编码和密码方能进人该系统。
(2)我们还可以利用数据滤网功能,也就是过滤功能。在用户登录界面,对用户输人的用户标识和密码先进行过滤,把单引号、分号、、% 等“危险字符”全部过滤掉,再进行数据语句的构造,可大大降低攻击者成功的概率。
(3)我们可以通过限制用户输入数据的长度,例如限制用户输入数据的字符最多不能超过8位,这样就可以大大降低系统被攻击的风险,增加了入侵者插入有害代码的难度,确保了系统的安全。
(4)设置数据库系统口令,数据库系统口令也是是身份鉴别、保证系统安全的最常见、最方便的一种方法。它是登录访问数据库系统所需的口令。应用程序要存取数据库表,必须先登录数据库,应用程序凭借用户提供的正确口令就能顺利登录数据库。所有的口令值不要嵌入程序,应隐蔽到某一数据库中,这样就避免了修改的麻烦,有了数据库口令,就可以阻止有害侵入,增加了系统的安全性。
二 、访问权限控制
访问权限控制是数据库系统在利用角色管理数据库安全性方面采取的基本措施。
通过验证用户名称和口令。防止非数据库系统用户注册到数据库,对数据库进行非法存取操作。
授予用户一定的权限,限制用户操纵数据库的权力;授予用户对数据库实体的存取执行权限。阻止用户访问非授权数据,提供数据库实体存取审计机制。使数据库管理员可以监视数据库中数据的存取情况和系统资源的使用情况,采用视图机制限制存取基表的行和列集合。对所有客户端按工作性质分类。分别授予不同的用户角色。对不同的用户角色。根据其使用的数据源。分别授予不同的数据库对象存取权限。
三、数据加密
在MIS中,为了防止非法用户进入系统、窃取机密信息或非授权用户越权操作数据,必须对数据进行加密处理。
对MIS中的数据库加密处理有三种基本方式:
(1) 文件加密:将涉及重要信息的文件进行加密,进入MIS应用系统时解密,在退出应用系统时再进行加密。
(2)记录加密:与文件加密类似,但加密的单位是记录而不是文件。
(3)字段加密:即直接对数据库的最小单位一字段进行加密,加密算法是加密的核心, 目前可应用的国际公认的密码算法主要有:DES(数据加密标准)、RSA(公钥密码体制)、刘氏高强度公开加密算法等。
除此之外还有硬性加密,硬加密指的是用物理方法进行加密,如在存放在文件的磁盘上用激光打孔进行加密等。
通过数据库加密有效地防止了通过浏览数据库表的方式获得用户登录信息。
四 、审计与追踪
数据审计的目的在于:当数据被窃取或破坏时,能及时发现和补救,即及时发现问题的原因, 为维护数据的完整性提供保障。数据审计可 在MIS的多个层次上实现,其中在操作系统和数据库系统上实现时,系统开销较大,而在功能层、用户层等层次上采取适当的审计措施则较好。
应用系统常用的审计措施有:
(1)取轨运行法:该方法要求对数据的操作由两个用户在不同的工作站上完成,一个用户的操作必须经过另一个用户的审核通过后方能生效。
(2)轨迹法;该方法对应用系统中的一切操作都记录在案,并由专人定期检查,从而监督系统运行情况。
五 、备份与恢复
数据库可以通过用户识别、访问权限限制、数据加密等保护措施使得管理信息系统健康运行,但难保百无一疏,而且现实中还存在其他很多原因造成数据的丢失,比如误删除,硬件老化,不可抗力,系统抵御能力差等等方面,所以加强对数据的备份工作至关重要。
备份工作有几点因素需要考虑,比如:
1、备份周期。(根据数据的重要程度,可以选择不同的时间进行备份,以便清晰明了)。
2、使用静态备份还是动态备份,(动态备份也即允许数据库运行时进行备份)。
3、仅使用全备份还是共同使用全备份和增量备份。
4、使用什么介质(硬盘,光盘等)。
5、使用人工备份还是设计好的自动备份程序。
6、检验备份完整性的周期。
7、备份存储的空间是否防窃、防磁干扰、防火。
8、是否指定其他人实行备份,备份者是否享有必要的登录号和口令。
9、在负责备份和恢复的主要人员缺席的情况下,是否有其他人能代替。
其次我们还要注意务必使计算机网络数据备份自动化,以减少系统管理员的工作量。使数据备份工作制度化,科学化。做好介质管理工作,防止读写操作的错误。
对数据存储,形成分门别类的介质存储,使数据的保存更细致、科学。介质自动清洗轮转,提高介质的安全性和使用寿命。还要以备份服务器形成备份中心,对各种平台的应用系统及其他信息数据进行集中的备份。
另外系统管理员还可以在任意一台工作站上管理、监控、配置备份系统,实现分布处理、集中管理。
最后维护人员要尽量地恢复损坏的整个文件系统和各类数据。备份系统还应考虑网络带宽对备份性能的影响、备份服务器的平台选择及安全性、备份系统容量的适度冗余、备份系统良好的扩展性等。
结语:
以上只是论述了数据库在管理信息系统中安全的几个重要方面和体现,还有其他一些方面没有专门提到。这些管理不到位。虽然不会导致系统瘫痪。但也会造成系统部分功能的暂时性终止。例如如果回退段数量不够或剩余空间不够。都可以造成有些大的数据提交不成功。因此,对于数据库系统的安全问题马虎不得。
参考文献:
[1]李宁,陈彬.MIS系统权限管理中的安全性问题探讨[J].教育周刊,20xx(11).
[2]萨师煊,王珊.《数据库系统概论》(第三版)[M].教育出版社,20xx.
[3]林志斌.数据库安全性若干问题的探讨[J].微型机与应用,20xx(03)
[4]王裙嘲。网络管理信息系统安全对策探索管理信息系统[J].计算机教育,20xx(05)
信息安全管理论文 篇二
1 部队信息安全保密风险管理现状
当前,我国部队在安全保险风险管理上有所提升,部队的风险意识也在不断的增强,现在很多部队已经建立了一定的保密体系,也将信息安全保密风险纳入该体系当中,但是在管理上仍存在一定的问题。信息安全风险管理没有独立出来,没有专门的功能性部门和专业的评估人员,在很大程度上,造成了风险管理的实效,导致部队信息泄密的现象时有发生。在整个运作过程中,也缺少配套的基础设施及技术支持,管理理念落后,风险评估能力较低,存在致险因子“盲点”。从一般意义上来讲,我国部队的信息安全保密风险所产生的原因在于信息化条件下x客的攻击、信息不对称下的国之间的博弈、不可预期事件的发生等。在很大程度上,完善的信息风险管理能够有效地规避该风险的发生。然而,由于我国的信息安全体制尚处于初级及不断完善的阶段,信息安全保密销售管理技术还极为落户,信息安全保密风险管理水平较低家。因此,优化信息安全保密风险管理,降低风险管理给部队造成的巨大信息安全保密损失,是当前部队及相关学术研究面临的重要课题[2]。
2 部队信息安全保密风险管理运行过程中存在的问题
2.1 管理技术与管理理念落后
随着科技的进步,在信息技术的推动下,使我国在信息安全保密风险管理技术方面得到了一定程度的提高,但是很多部队由于技术成本及人才结构等方面的缺陷,使其在引入和应用先进管理技术上出现困境。基于技术的落后,部队在信息安全上缺少对保密风险的管理,严重制约了其部队信息的安全性及保密性,加大了部队及国家的安全风险。而且在落后的管理技术下,造成部队信息安全保密决策的失误,不仅不能有效防范和降低风险,而且还造成巨大的物力、人力的损失甚至是生命[3]。另外,很对部队在管理理念上也相对落后,只注重对人员的管理收益,忽视管理等软环境的建设,特备是下风险管理理念存在着诸多的不足。部队在管理理念上重人力轻管理的意识形态,极大地制约了部队对信息安全保密管理体系的建构。
2.2 缺失有效的风险动态评估机制
信息安全保密风险虽然客观存在于部队的整体运作过程中,但是具有一定的不可见性、不可提前预知性和滞后性,因此,这就要求部队对其进行有效的评估,科学地进行决策判断。但是,当前我国大多部队内部缺少对信息安全保密风险的评估手段与机制,对风险的评价上相对落后,而且信息安全保密风险具有一定的随机性,对方部队的管理管理都会引发信息安全风险,面对这样的情况,部队应及时采取相关措施加以应对。但是,当前我国部队在评价风险时除了没有科学的、现金的评估预测方法还缺少一定的动态运作机制,导致部队信息安全保密风险评估能力的低下,造成了风险的频发,严重阻碍了其发展的规模及速度。
2.3 信息安全保密风险意识淡薄,缺少综合素质较高的管理队伍
由于信息安全保密管理研究与应用在我国起步较晚,还没有形成系统的、完善的发展规模体系,而且很多部队对其没有足够的了解,导致其内部成员信息安全保密风险意识淡薄,缺少相关管理人员。很多部队没有专门的信息安全保密风险管理部门及管理团队,信息安全保密风险管理方面的活动主要由部队的销售部门及财务部门来完成,缺少专业的人才,导致信息安全保密风险管理队伍能力上的有限。这种现象致使信息安全保密风险管理比较混乱,缺少管理力度,甚至是流于形式,起不到任何的作用。另外,很多部队将信息安全保密风险管理置于内部管理体制之外,没有将信息安全保密风险管理作为战略发展布局的重要组成部分,更没有相关的监督及考核机制,导致管理人员对此项工作的积极性不高,严重阻碍了部队风险管理的水平的提高[4]。
3 建立健全部队信息安全保密风险管理运行机制的对策
建立健全部队信息安全保密风险管理体系部队信息安全保密风险管理水平低下,最主要的原因在于没有完善的信息安
信息安全管理论文 篇三
摘要
针对飞机航空管制信息安全管理工作中存在的管制人员信息安全管理意识不够强,航管信息安全管理工作重点不突出,航管部门信息安全防范体系不健全,航管信息安全管理法规制度不完善等问题,深入探讨了相应的对策措施,以便于为航管信息安全管理工作提供具体对策措施,为提升航空管制信息安全管理效益提供依据。
关键词
航空管制;信息系统;信息安全;对策
前言
随着信息技术尤其是人工智能技术的飞速发展,不论是民用航空,还是军队航空管制信息系统在功能、可靠性、实用性、智能化程度等方面都得到了极大的提升。同时,因网络设施设备和信息技术的不完备性以及人为因素的影响,又使得航空管制信息安全面临着严峻的挑战。可见,深入研究飞机航空管制信息安全管理对策是十分必要的。
1、强化航空管制信息安全管理意识
人为因素对于航管信息安全管理会产生重要影响。信息安全防范意识薄弱的最根本原因就在于忽视了信息安全的重要性。注重航管信息安全管理,必须强化信息安全意识。一是在强化各级领导信息安全意识的同时,必须不断提高航管人员的信息安全防范意识。信息安全管理强调的是“三分技术,七分管理”,应该把“重技术的同时更重管理”作为航管信息安全管理的基本原则。强化信息安全意识,应通过信息安全教育,不断提升航空管制人员的信息安全知识水平,启发信息安全自觉,使全体航空管制人员都能够充分意识到航空管制信息安全的重要性和实施信息安全管理必要性。二是强化航管信息安全意识,必须重视航管人员信息技术素质的培养。信息技术与人工智能技术将不断应用于未来航空管制的业务流程中,航管人员必须具备驾驭航管新装备和新技术的能力,同时,通过不断学习和丰富信息技术与人工智能技术知识,在强化安全意识的同时,提升自身的信息技术技能,为航管信息安全管理工作顺利开展打下坚实的技术知识基础。三是注重航管信息安全管理观念创新。航管信息安全关系到航管业务是否顺利开展,关系到飞机的飞行安全,必须在航管信息安全管理目标、安全管理业务、安全管理技术等方面转变观念,将航管信息安全管理的目标落实到航管中心的安全建设上,将安全管理业务与航管业务流程相结合,注重各个业务环节上的信息安全,确保实现航空管制信息安全管理的精细化,同时,创新安全管理技术,为提升航管信息管理工作效益提供技术支撑平台。
2、抓住航管信息安全管理的主要矛盾
要抓好航管信息安全管理工作,必须明确航管信息安全管理的重点和难点,以便对症下药,高效解决航管信息安全管理工作中存在的主要矛盾和重点问题。航管信息安全管理的目的是为了使航管信息在完整性、可用性、可控性、保密性和信息行为的不可否认性等方面对航管信息实施的防御、检测、抑制、恢复和管理工作。航管信息管理的重点在于航空管制信息系统,其中包括航管系统层、网络层和应用层的安全管理。航管系统层的安全管理包括硬件和软件,其中软件是航管信息安全管理的重点。就硬件系统而言,硬件的安全属于物理安全,其防范重点主要在于防电磁辐射、电子干扰以及固化的嵌入式软件的安全。就应用软件而言,航管信息系统本身是可以修改的,容易受到病毒的攻击,因此,做好防“病毒”、防病毒、软件恢复,提升操作系统的安全性是航管信息安全管理的重点。同时,还应注重网络层安全管理。网络层的安全主要体现在以下几个方面:网络安全报警、网络入侵恢复、网络数据保护、密钥安全管理、内部认证机制等。网络层的安全管理应将关注点放在路由器等各处子网的出入口设备上,从软件角度,应研发嵌入式操作系统,运用数字签名加密技术,以把好网络层安全关。
3、完善航管部门信息安全防范体系
要实现对航管信息的有效管控,必须建立健全航管信息安全管理机构。在充分调研的基础上,充分论证航管信息安全管理机构设置的合理性和可行性,合理区分航管信息安全管理职能,将信息安全管理职能与业务流程和信息流程相结合,使航管信息安全管理机构能够充分发挥其作用。加强对航管信息安全管理工作的统一规划、统一部署与监督检查,密切跟踪信息技术与人工智能技术的发展前沿,航管关键仪器设备尽量采用国产装备,尤其是采用那些具有自主关键技术和知识产权的核心装备,比如:国产嵌入式操作系统、路由器、防火墙和加密系统等网络关键部件。加强对网络的规范化管理,通过建立一系列完整的航管信息安全标准和航管信息系统综合评估体系,对航管信息的获取、传输和共享使用以及资源共享程度、权限等方面,有针对性地制定可靠的安全措施,着力解决国防信息系统、商业通信和公用网络相联而造成的信息安全问题。同时,还应认真研究应对网络信息安全隐患的防范措施,加强对网络安全的监控,研发分布式和局部性信息系统,以降低航管信息安全的风险。可见,航管信息安全管理离不开航管部门信息安全防范体系功能的发挥,只有这样,才能系统地解决航管信息安全问题。信息安全管理是对航空管理活动构成影响的各种信息尤其是涉密信息的管理与控制。完善航管部门信息安全管理体系,必须做好以下安全管理工作:一是加强信息安全教育。要组织全体航空管制人员进行以航空管制保密常识为主要内容的信息安全教育,使航空管制人员能够牢固树立“保信息就是保飞行安全”的观念。二是实行保密信息的封锁。制定电子设备保密管理规定,切断与外界不必要的通信联络和沟通。所有航空管制人员不得以任何形式向外界泄露涉及航空管制以及飞行安全的秘密。三是掌握航空管制信息的动态。各级管理者应随时了解和掌握航空管制信息的动态,经常检查和反思可能存在的信息安全漏洞。四是要严防航空管制信息的失控。应加强对航空管制设施设备以及相应的网络设施设备的管控,航空管制设施设备必须实行专人专管,严格登记和使用手续。
4、健全航管信息安全管理法规制度
健全航管信息安全管理法规制度,必须做到有法可依,有法必依,必须认真研究航管信息安全管理的特点与规律,使安全管理法规制度成为开展航管信息安全管理工作的准绳和依据。受信息技术和人工智能技术的影响,目前,计算机网络与信息系统的发展十分迅速,单一依靠技术措施来实现航管信息系统的安全是难以做到的,因此,除了应加强技术攻关以外,还应在行政管理和法规制度方面,加强对航管信息安全的管理。针对航管信息安全管理需求,一方面,要建立航管信息安全评估和航管信息系统质量认证体系。从信息基础设施建设,到网络规划和方案,均要通过安全管理部门的行政审批和技术审核,以确保从物理层面做到对信息的隔离。在基础设施建设和设备采购过程中,要有安全管理部门和质量管理部门的指导,只有通过信息安全质量认证,才能通过验收并投入使用。在网络运行和航管信息系统使用过程中,要接受安全管理部门的监督和检查。制定一系列航管信息安全规章制度和措施并确保落实到位。另一方面,要细化航管信息安全规章制度。应根据航管信息安全管理的特点,尽快制定信息安全规章制度,以提升信息安全管理的可操作性。对于航管管制人员赋予信息安全职责,对于那些认真履行职责,确保航管信息安全的人员应给予表彰奖励,对于那些玩忽职守,置航管信息安全于不顾的人员,造成航管信息安全事故的人员,应进行依法惩治。航空管制信息安全管理法规制度的建立健全还应注重其适用性和有效性。法规制度建立健全的目的是为了航空管制信息管理工作提供法规依据。如果在制定法规制度时,脱离了当前和今后一个阶段航空管制工作的实际,则这样的法规制度将无法起到其应有的作用,应在充分调研的基础上,充分考虑航空管制业务工作的特殊性和保密性,从航空管制信息管理机构设置的优化,到信息管理流程的设计,从人员信息安全意识的强化,到信息管理系统等技术平台的建设等整个信息安全管理工作中,注重法规制度的有效性,确保航空管制信息安全管理工作能够配套适用性强的信息安全管理法规作为依据,实现航空管制信息管理工作有法可依,以提升航空管制信息安全管理工作的效益。
5、结语
航管信息安全管理工作是航管业务的基础性工作,只有确保航管信息安全,才能有效保障飞机的飞行安全。要牢固树立航管信息管理的综合安全观,强化航管人员的信息安全意识,密切关注信息技术和人工智能技术在信息网络和信息系统方面的应用,综合运用先进的技术手段和严格的行政管理措施,确保航管信息安全,为飞机飞行安全提供可靠保障。