資訊保安管理論文 篇一
摘 要:資料庫系統是管理資訊系統(MIS)的基礎,管理資訊系統能否正常執行,資料庫的安全起著極其重要的作用,資料庫安全體現在系統擁有的和產生的資料或資訊要完整有效,使用要合法, 更不能被破壞或洩漏。具體地包括:使用者識別、訪問許可權控制、加密、審計與追蹤、備份與恢復。
關鍵詞:管理資訊系統(MIS);資料庫
一 、完善使用者識別
使用者身份的正確識別與檢驗是MIS安全的門戶。為了有效可靠地管理使用者許可權,保證系統的安全,需要一套可靠完善的身份鑑別機制。
(1)在MIS的資料庫中建立一個使用者表,為每個使用者分配一個唯一的使用者編碼和一個唯一的使用者密碼,並且使用者的密碼只能由使用者自己管理。當用戶要登入資料庫管理系統時,必須提供正確的使用者編碼和密碼方能進人該系統。
(2)我們還可以利用資料濾網功能,也就是過濾功能。在使用者登入介面,對使用者輸人的使用者標識和密碼先進行過濾,把單引號、分號、、% 等“危險字元”全部過濾掉,再進行資料語句的構造,可大大降低攻擊者成功的概率。
(3)我們可以通過限制使用者輸入資料的長度,例如限制使用者輸入資料的字元最多不能超過8位,這樣就可以大大降低系統被攻擊的風險,增加了入侵者插入有害程式碼的難度,確保了系統的安全。
(4)設定資料庫系統口令,資料庫系統口令也是是身份鑑別、保證系統安全的最常見、最方便的一種方法。它是登入訪問資料庫系統所需的口令。應用程式要存取資料庫表,必須先登入資料庫,應用程式憑藉使用者提供的正確口令就能順利登入資料庫。所有的口令值不要嵌入程式,應隱蔽到某一資料庫中,這樣就避免了修改的麻煩,有了資料庫口令,就可以阻止有害侵入,增加了系統的安全性。
二 、訪問許可權控制
訪問許可權控制是資料庫系統在利用角色管理資料庫安全性方面採取的基本措施。
通過驗證使用者名稱稱和口令。防止非資料庫系統使用者註冊到資料庫,對資料庫進行非法存取操作。
授予使用者一定的許可權,限制使用者操縱資料庫的權力;授予使用者對資料庫實體的存取執行許可權。阻止使用者訪問非授權資料,提供資料庫實體存取審計機制。使資料庫管理員可以監視資料庫中資料的存取情況和系統資源的使用情況,採用檢視機制限制存取基表的行和列集合。對所有客戶端按工作性質分類。分別授予不同的使用者角色。對不同的使用者角色。根據其使用的資料來源。分別授予不同的資料庫物件存取許可權。
三、資料加密
在MIS中,為了防止非法使用者進入系統、竊取機密資訊或非授權使用者越權操作資料,必須對資料進行加密處理。
對MIS中的資料庫加密處理有三種基本方式:
(1) 檔案加密:將涉及重要資訊的檔案進行加密,進入MIS應用系統時解密,在退出應用系統時再進行加密。
(2)記錄加密:與檔案加密類似,但加密的單位是記錄而不是檔案。
(3)欄位加密:即直接對資料庫的最小單位一欄位進行加密,加密演算法是加密的核心, 目前可應用的國際公認的密碼演算法主要有:DES(資料加密標準)、RSA(公鑰密碼體制)、劉氏高強度公開加密演算法等。
除此之外還有硬性加密,硬加密指的是用物理方法進行加密,如在存放在檔案的磁碟上用鐳射打孔進行加密等。
通過資料庫加密有效地防止了通過瀏覽資料庫表的方式獲得使用者登入資訊。
四 、審計與追蹤
資料審計的目的在於:當資料被竊取或破壞時,能及時發現和補救,即及時發現問題的原因, 為維護資料的完整性提供保障。資料審計可 在MIS的多個層次上實現,其中在作業系統和資料庫系統上實現時,系統開銷較大,而在功能層、使用者層等層次上採取適當的審計措施則較好。
應用系統常用的審計措施有:
(1)取軌執行法:該方法要求對資料的操作由兩個使用者在不同的工作站上完成,一個使用者的操作必須經過另一個使用者的稽核通過後方能生效。
(2)軌跡法;該方法對應用系統中的一切操作都記錄在案,並由專人定期檢查,從而監督系統執行情況。
五 、備份與恢復
資料庫可以通過使用者識別、訪問許可權限制、資料加密等保護措施使得管理資訊系統健康執行,但難保百無一疏,而且現實中還存在其他很多原因造成資料的丟失,比如誤刪除,硬體老化,不可抗力,系統抵禦能力差等等方面,所以加強對資料的備份工作至關重要。
備份工作有幾點因素需要考慮,比如:
1、備份週期。(根據資料的重要程度,可以選擇不同的時間進行備份,以便清晰明瞭)。
2、使用靜態備份還是動態備份,(動態備份也即允許資料庫執行時進行備份)。
3、僅使用全備份還是共同使用全備份和增量備份。
4、使用什麼介質(硬碟,光碟等)。
5、使用人工備份還是設計好的自動備份程式。
6、檢驗備份完整性的週期。
7、備份儲存的空間是否防竊、防磁干擾、防火。
8、是否指定其他人實行備份,備份者是否享有必要的登入號和口令。
9、在負責備份和恢復的主要人員缺席的情況下,是否有其他人能代替。
其次我們還要注意務必使計算機網路資料備份自動化,以減少系統管理員的工作量。使資料備份工作制度化,科學化。做好介質管理工作,防止讀寫操作的錯誤。
對資料儲存,形成分門別類的介質儲存,使資料的儲存更細緻、科學。介質自動清洗輪轉,提高介質的安全性和使用壽命。還要以備份伺服器形成備份中心,對各種平臺的應用系統及其他資訊資料進行集中的備份。
另外系統管理員還可以在任意一臺工作站上管理、監控、配置備份系統,實現分佈處理、集中管理。
最後維護人員要儘量地恢復損壞的整個檔案系統和各類資料。備份系統還應考慮網路頻寬對備份效能的影響、備份伺服器的平臺選擇及安全性、備份系統容量的適度冗餘、備份系統良好的擴充套件性等。
結語:
以上只是論述了資料庫在管理資訊系統中安全的幾個重要方面和體現,還有其他一些方面沒有專門提到。這些管理不到位。雖然不會導致系統癱瘓。但也會造成系統部分功能的暫時性終止。例如如果回退段數量不夠或剩餘空間不夠。都可以造成有些大的資料提交不成功。因此,對於資料庫系統的安全問題馬虎不得。
參考文獻:
[1]李寧,陳彬.MIS系統許可權管理中的安全性問題探討[J].教育週刊,20xx(11).
[2]薩師煊,王珊.《資料庫系統概論》(第三版)[M].教育出版社,20xx.
[3]林志斌.資料庫安全性若干問題的探討[J].微型機與應用,20xx(03)
[4]王裙嘲。網路管理資訊系統安全對策探索管理資訊系統[J].計算機教育,20xx(05)
資訊保安管理論文 篇二
1 部隊資訊保安保密風險管理現狀
當前,我國部隊在安全保險風險管理上有所提升,部隊的風險意識也在不斷的增強,現在很多部隊已經建立了一定的保密體系,也將資訊保安保密風險納入該體系當中,但是在管理上仍存在一定的問題。資訊保安風險管理沒有獨立出來,沒有專門的功能性部門和專業的評估人員,在很大程度上,造成了風險管理的實效,導致部隊資訊洩密的現象時有發生。在整個運作過程中,也缺少配套的基礎設施及技術支援,管理理念落後,風險評估能力較低,存在致險因子“盲點”。從一般意義上來講,我國部隊的資訊保安保密風險所產生的原因在於資訊化條件下x客的攻擊、資訊不對稱下的國之間的博弈、不可預期事件的發生等。在很大程度上,完善的資訊風險管理能夠有效地規避該風險的發生。然而,由於我國的資訊保安體制尚處於初級及不斷完善的階段,資訊保安保密銷售管理技術還極為落戶,資訊保安保密風險管理水平較低家。因此,優化資訊保安保密風險管理,降低風險管理給部隊造成的巨大資訊保安保密損失,是當前部隊及相關學術研究面臨的重要課題[2]。
2 部隊資訊保安保密風險管理執行過程中存在的問題
2.1 管理技術與管理理念落後
隨著科技的進步,在資訊科技的推動下,使我國在資訊保安保密風險管理技術方面得到了一定程度的提高,但是很多部隊由於技術成本及人才結構等方面的缺陷,使其在引入和應用先進管理技術上出現困境。基於技術的落後,部隊在資訊保安上缺少對保密風險的管理,嚴重製約了其部隊資訊的安全性及保密性,加大了部隊及國家的安全風險。而且在落後的管理技術下,造成部隊資訊保安保密決策的失誤,不僅不能有效防範和降低風險,而且還造成巨大的物力、人力的損失甚至是生命[3]。另外,很對部隊在管理理念上也相對落後,只注重對人員的管理收益,忽視管理等軟環境的建設,特備是下風險管理理念存在著諸多的不足。部隊在管理理念上重人力輕管理的意識形態,極大地制約了部隊對資訊保安保密管理體系的建構。
2.2 缺失有效的風險動態評估機制
資訊保安保密風險雖然客觀存在於部隊的整體運作過程中,但是具有一定的不可見性、不可提前預知性和滯後性,因此,這就要求部隊對其進行有效的評估,科學地進行決策判斷。但是,當前我國大多部隊內部缺少對資訊保安保密風險的評估手段與機制,對風險的評價上相對落後,而且資訊保安保密風險具有一定的隨機性,對方部隊的管理管理都會引發資訊保安風險,面對這樣的情況,部隊應及時採取相關措施加以應對。但是,當前我國部隊在評價風險時除了沒有科學的、現金的評估預測方法還缺少一定的動態運作機制,導致部隊資訊保安保密風險評估能力的低下,造成了風險的頻發,嚴重阻礙了其發展的規模及速度。
2.3 資訊保安保密風險意識淡薄,缺少綜合素質較高的管理隊伍
由於資訊保安保密管理研究與應用在我國起步較晚,還沒有形成系統的、完善的發展規模體系,而且很多部隊對其沒有足夠的瞭解,導致其內部成員資訊保安保密風險意識淡薄,缺少相關管理人員。很多部隊沒有專門的資訊保安保密風險管理部門及管理團隊,資訊保安保密風險管理方面的活動主要由部隊的銷售部門及財務部門來完成,缺少專業的人才,導致資訊保安保密風險管理隊伍能力上的有限。這種現象致使資訊保安保密風險管理比較混亂,缺少管理力度,甚至是流於形式,起不到任何的作用。另外,很多部隊將資訊保安保密風險管理置於內部管理體制之外,沒有將資訊保安保密風險管理作為戰略發展佈局的重要組成部分,更沒有相關的監督及考核機制,導致管理人員對此項工作的積極性不高,嚴重阻礙了部隊風險管理的水平的提高[4]。
3 建立健全部隊資訊保安保密風險管理執行機制的對策
建立健全部隊資訊保安保密風險管理體系部隊資訊保安保密風險管理水平低下,最主要的原因在於沒有完善的資訊安
資訊保安管理論文 篇三
摘要
針對飛機航空管制資訊保安管理工作中存在的管制人員資訊保安管理意識不夠強,航管資訊保安管理工作重點不突出,航管部門資訊安全防範體系不健全,航管資訊保安管理法規制度不完善等問題,深入探討了相應的對策措施,以便於為航管資訊保安管理工作提供具體對策措施,為提升航空管制資訊保安管理效益提供依據。
關鍵詞
航空管制;資訊系統;資訊保安;對策
前言
隨著資訊科技尤其是人工智慧技術的飛速發展,不論是民用航空,還是軍隊航空管制資訊系統在功能、可靠性、實用性、智慧化程度等方面都得到了極大的提升。同時,因網路設施裝置和資訊科技的不完備性以及人為因素的影響,又使得航空管制資訊安全面臨著嚴峻的挑戰。可見,深入研究飛機航空管制資訊保安管理對策是十分必要的。
1、強化航空管制資訊保安管理意識
人為因素對於航管資訊保安管理會產生重要影響。資訊安全防範意識薄弱的最根本原因就在於忽視了資訊保安的重要性。注重航管資訊保安管理,必須強化資訊保安意識。一是在強化各級領導資訊保安意識的同時,必須不斷提高航管人員的資訊安全防範意識。資訊保安管理強調的是“三分技術,七分管理”,應該把“重技術的同時更重管理”作為航管資訊保安管理的基本原則。強化資訊保安意識,應通過資訊保安教育,不斷提升航空管制人員的資訊保安知識水平,啟發資訊保安自覺,使全體航空管制人員都能夠充分意識到航空管制資訊保安的重要性和實施資訊保安管理必要性。二是強化航管資訊保安意識,必須重視航管人員資訊科技素質的培養。資訊科技與人工智慧技術將不斷應用於未來航空管制的業務流程中,航管人員必須具備駕馭航管新裝備和新技術的能力,同時,通過不斷學習和豐富資訊科技與人工智慧技術知識,在強化安全意識的同時,提升自身的資訊科技技能,為航管資訊保安管理工作順利開展打下堅實的技術知識基礎。三是注重航管資訊保安管理觀念創新。航管資訊保安關係到航管業務是否順利開展,關係到飛機的飛行安全,必須在航管資訊保安管理目標、安全管理業務、安全管理技術等方面轉變觀念,將航管資訊保安管理的目標落實到航管中心的安全建設上,將安全管理業務與航管業務流程相結合,注重各個業務環節上的資訊保安,確保實現航空管制資訊保安管理的精細化,同時,創新安全管理技術,為提升航管資訊管理工作效益提供技術支撐平臺。
2、抓住航管資訊保安管理的主要矛盾
要抓好航管資訊保安管理工作,必須明確航管資訊保安管理的重點和難點,以便對症下藥,高效解決航管資訊保安管理工作中存在的主要矛盾和重點問題。航管資訊保安管理的目的是為了使航管資訊在完整性、可用性、可控性、保密性和資訊行為的不可否認性等方面對航管資訊實施的防禦、檢測、抑制、恢復和管理工作。航管資訊管理的重點在於航空管制資訊系統,其中包括航管系統層、網路層和應用層的安全管理。航管系統層的安全管理包括硬體和軟體,其中軟體是航管資訊保安管理的重點。就硬體系統而言,硬體的安全屬於物理安全,其防範重點主要在於防電磁輻射、電子干擾以及固化的嵌入式軟體的安全。就應用軟體而言,航管資訊系統本身是可以修改的,容易受到病毒的攻擊,因此,做好防“病毒”、防病毒、軟體恢復,提升作業系統的安全性是航管資訊保安管理的重點。同時,還應注重網路層安全管理。網路層的安全主要體現在以下幾個方面:網路安全報警、網路入侵恢復、網路資料保護、金鑰安全管理、內部認證機制等。網路層的安全管理應將關注點放在路由器等各處子網的出入口裝置上,從軟體角度,應研發嵌入式作業系統,運用數字簽名加密技術,以把好網路層安全關。
3、完善航管部門資訊安全防範體系
要實現對航管資訊的有效管控,必須建立健全航管資訊保安管理機構。在充分調研的基礎上,充分論證航管資訊保安管理機構設定的合理性和可行性,合理區分航管資訊保安管理職能,將資訊保安管理職能與業務流程和資訊流程相結合,使航管資訊保安管理機構能夠充分發揮其作用。加強對航管資訊保安管理工作的統一規劃、統一部署與監督檢查,密切跟蹤資訊科技與人工智慧技術的發展前沿,航管關鍵儀器裝置儘量採用國產裝備,尤其是採用那些具有自主關鍵技術和智慧財產權的核心裝備,比如:國產嵌入式作業系統、路由器、防火牆和加密系統等網路關鍵部件。加強對網路的規範化管理,通過建立一系列完整的航管資訊保安標準和航管資訊系統綜合評估體系,對航管資訊的獲取、傳輸和共享使用以及資源共享程度、許可權等方面,有針對性地制定可靠的安全措施,著力解決國防資訊系統、商業通訊和公用網路相聯而造成的資訊保安問題。同時,還應認真研究應對網路資訊保安隱患的防範措施,加強對網路安全的監控,研發分散式和區域性性資訊系統,以降低航管資訊保安的風險。可見,航管資訊保安管理離不開航管部門資訊安全防範體系功能的發揮,只有這樣,才能系統地解決航管資訊保安問題。資訊保安管理是對航空管理活動構成影響的各種資訊尤其是涉密資訊的管理與控制。完善航管部門資訊保安管理體系,必須做好以下安全管理工作:一是加強資訊保安教育。要組織全體航空管制人員進行以航空管制保密常識為主要內容的資訊保安教育,使航空管制人員能夠牢固樹立“保資訊就是保飛行安全”的觀念。二是實行保密資訊的封鎖。制定電子裝置保密管理規定,切斷與外界不必要的通訊聯絡和溝通。所有航空管制人員不得以任何形式向外界洩露涉及航空管制以及飛行安全的祕密。三是掌握航空管制資訊的動態。各級管理者應隨時瞭解和掌握航空管制資訊的動態,經常檢查和反思可能存在的資訊保安漏洞。四是要嚴防航空管制資訊的失控。應加強對航空管制設施裝置以及相應的網路設施裝置的管控,航空管制設施裝置必須實行專人專管,嚴格登記和使用手續。
4、健全航管資訊保安管理法規制度
健全航管資訊保安管理法規制度,必須做到有法可依,有法必依,必須認真研究航管資訊保安管理的特點與規律,使安全管理法規制度成為開展航管資訊保安管理工作的準繩和依據。受資訊科技和人工智慧技術的影響,目前,計算機網路與資訊系統的發展十分迅速,單一依靠技術措施來實現航管資訊系統的安全是難以做到的,因此,除了應加強技術攻關以外,還應在行政管理和法規制度方面,加強對航管資訊保安的管理。針對航管資訊保安管理需求,一方面,要建立航管資訊保安評估和航管資訊系統質量認證體系。從資訊基礎設施建設,到網路規劃和方案,均要通過安全管理部門的行政審批和技術稽核,以確保從物理層面做到對資訊的隔離。在基礎設施建設和裝置採購過程中,要有安全管理部門和質量管理部門的指導,只有通過資訊保安質量認證,才能通過驗收並投入使用。在網路執行和航管資訊系統使用過程中,要接受安全管理部門的監督和檢查。制定一系列航管資訊保安規章制度和措施並確保落實到位。另一方面,要細化航管資訊保安規章制度。應根據航管資訊保安管理的特點,儘快制定資訊保安規章制度,以提升資訊保安管理的可操作性。對於航管管制人員賦予資訊保安職責,對於那些認真履行職責,確保航管資訊保安的人員應給予表彰獎勵,對於那些玩忽職守,置航管資訊保安於不顧的人員,造成航管資訊保安事故的人員,應進行依法懲治。航空管制資訊保安管理法規制度的建立健全還應注重其適用性和有效性。法規制度建立健全的目的是為了航空管制資訊管理工作提供法規依據。如果在制定法規制度時,脫離了當前和今後一個階段航空管制工作的實際,則這樣的法規制度將無法起到其應有的作用,應在充分調研的基礎上,充分考慮航空管制業務工作的特殊性和保密性,從航空管制資訊管理機構設定的優化,到資訊管理流程的設計,從人員資訊保安意識的強化,到資訊管理系統等技術平臺的建設等整個資訊保安管理工作中,注重法規制度的有效性,確保航空管制資訊保安管理工作能夠配套適用性強的資訊保安管理法規作為依據,實現航空管制資訊管理工作有法可依,以提升航空管制資訊保安管理工作的效益。
5、結語
航管資訊保安管理工作是航管業務的基礎性工作,只有確保航管資訊保安,才能有效保障飛機的飛行安全。要牢固樹立航管資訊管理的綜合安全觀,強化航管人員的資訊保安意識,密切關注資訊科技和人工智慧技術在資訊網路和資訊系統方面的應用,綜合運用先進的技術手段和嚴格的行政管理措施,確保航管資訊保安,為飛機飛行安全提供可靠保障。