時間:2023-06-06 09:31:11
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全事件報告,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
[關鍵詞]數據安全;文檔管理;保密
[中圖分類號]F270 [文獻標識碼]A [文章編號]1005-6432(2012)6-0065-02
1 企業的核心數據面臨內外兩方面的安全保密隱患
1.1 缺乏統一管理
組織里某人或某些人起草的重要文件缺乏集中統一管理:企業員工的離職,電腦的丟失,有意或無意的刪除操作,或病毒的侵襲造成文件丟失。傳統上,像含有機密財務數據的投融資報告,月度、季度、年度銷售分析報告,財務分析報告,商業往來文件和合同,重要內部會議的會議紀要等。這些對一個組織來講非常重要的文件大多是由組織里的某個人或某些人撰寫,保留在個人的電腦里,容易由于有意或者無意的原因造成文件丟失。
1.2 缺乏有效加密
很多企業在文檔和核心數據資產的加密方面意識不強,并且沒有有效的加密手段:文件在員工的電腦里可以輕松地通過電子郵箱、移動存儲設備、通信工具、打印設備等將文檔原文直接拷貝出來,最終導致信息的泄露。
2 加強文檔數據管理的手段
2.1 建立組織級文檔保護機制
一個組織中最難管理的是人員,要管理好企業的核心文檔首先要管理好這些文檔的管理者。建立一套合理而健全的機制,是具有關鍵意義的做法。組織內信息安全制度的建立,往往比購買設備、提高技術還重要。國外信息安全管理的經驗表明,大多數的攻擊來自系統內部,并且外部可利用內部進行攻擊。而對內部攻擊的防范比對外部攻擊的防范更困難。防范內部的安全攻擊,管理措施(行政的和法律的)顯得更為重要。建立并執行一整套科學、合理、嚴密的管理制度,從每一個環節堵塞電子文檔信息安全的漏洞,這些環節包括從電子文件形成、處理、傳輸、收集、積累、整理、歸檔,到電子檔案的保管、提供利用的全過程,即要進行全過程管理,任何一個環節疏于管理,都有可能導致電子文檔信息的丟失或失真。加強對電子文件制作人員和管理人員的管理;電子文件制作過程要職責分明;電子文件形成后要及時積累;建立和執行科學的歸檔制度;制定和嚴格執行電子文檔的鑒定、保管制度和標準;加強對電子文檔利用活動的管理;建立電子文檔管理的記錄系統等。
2.2 利用數據安全保護軟件加強文檔管理
(1)加強訪問控制
訪問控制是網絡環境下電子文檔信息安全防范和保護的主要措施和手段,它的主要任務是保證包括電子文檔信息在內的網絡資源不被非法訪問和非法使用。具體措施包括:入網訪問控制,控制組織內的用戶是否用戶能夠登錄到服務器并獲取網絡資源,控制準許用戶的訪問時間和準入范圍;權限控制,控制用戶允許訪問哪些目錄、子目錄、文件和其他資源;指定用戶對這些文件、目錄、設備能夠執行哪些操作,如只讀、改寫、創建、刪除、查找、存取控制等,而最基本的控制是防止電子文檔的拷貝篡改和打印;
(2)數據加密
信息加密的目的是保護網內的數據、文件、口令和控制信息的傳輸,確保不宜公開的電子文檔的非公開性。在多數情況下,信息加密是保證電子文檔機密性的唯一方法。如果有權使用受控文件的內部人士將受控文件通過郵件,聊天工具,U盤等任何方式傳遞給第三者,第三者打開文件看到的是亂碼,確保信息不被泄露。
(3)文檔備份
由于網絡的不安全性,導致電子文檔信息易丟失或失真,給信息安全帶來嚴重威脅。盡管可以采取各種各樣的技術和方法來保證網絡的安全,但客觀地說,任何一個網絡都不能確保萬無一失,信息丟失和失真的現象難免不會發生。如果建立備份與恢復系統,即使信息丟失和失真,也能夠做到有備無患,只要啟動該系統,丟失或失真的信息就會重新恢復原來的面貌。
(4)事后跟蹤
企業在加強管控的同時還應注意文檔泄露后的跟蹤管理。應該準備好正常的事件報告和分類程序,這類程序用來報告可能對機構的財產安全造成影響的不同種類的事件和弱點,所有的員工、合同方和第三方用戶都應該知曉這套報告程序。他們需要盡可能快地將文檔泄露事件和弱點報告給指定的聯系方。組織應明確信息安全事故報告的方式、報告的內容、報告的受理部門,即安全事件應在被發現之后盡快由適當的受理途徑進行通報。應當盡可能快速地通過適當管理渠道來報告安全事故。組織的普通員工通常是安全事件的最早發現者,如果安全事件能及時發現并報告相應的主管部門,作出及時的處理,能使組織的經濟損失及聲譽損失降到最低。為及時發現安全事件,組織應建立正式的報告程序,分別對安全事故的報告作出明確規定。應當讓所有員工和第三方的簽約人都了解報告程序并鼓勵他們在安全事件發生的第一時間就盡快報告。還應當建立起事故反應機制,以便在接到事故報告時,有關部門能及時采取措施。應當建立適當的反饋機制,確保在處理完事故之后,使員工能夠知道所報告事故的處理結果。同時可以用這些事故來提高用戶的安全意識,使他們了解發生了什么情況、對這種情況怎樣做出反應并且將來如何避免這些事故。針對不同的類型的安全事件,作出相應的應急計劃,規定事件處理步驟。
3 結 論
企業核心文檔的安全保密工作關系到企業的核心競爭力和可持續發展水平,加強保密工作、建立有效的防范機制、提高員工的保密意識、利用系統手段進行文檔管理是全面提高保密管理能力的有效途徑。
參考文獻:
[1] 陳運.信息安全概要[J].數據通信.2001(3):36-38.
[2] 同志敏.信息安全的內容和實現[J].軟件世界. 2002 (1):17-19.
[3] 吳江.信息安全的三個重要領域[J].數據通信,2001(3):19-21.
―網御神州SecFox-UMS產品點評
在國內,SOC(安全運營中心)產品在信息安全市場上一直是個存在爭議的角色。由于安全廠商和服務提供商的理解存在差異,市場上有著許多以SOC命名卻又功能各異的產品。它們有著一些共同點,例如大多包含集中管理配置、日志信息收集、安全事件分析告警等模塊,提供了一個以資產為核心的集中管理平臺。但由于這類產品大多以安全事件為關鍵要素,用戶能看到的只是一宗宗獨立的事件報告,和業務沒有任何關聯。也就是說,如果遭到某種類型的攻擊,管理者可以從設備的運行狀況中有所了解,而此時業務的健康程度卻無從知曉。
安全不是用戶的最終目的,它存在的價值在于保證網絡基礎架構能夠正常工作;而健康的網絡,又是用戶業務正常開展的基礎。缺乏業務視角,是傳統SOC產品的致命短板,也是其無法吸引用戶關注的根本原因。近日,網御神州推出的SecFox-UMS統一安全管理產品,就以用戶最關心的業務狀況為核心,在信息收集、建模等環節注重了對業務的分析,為用戶提供了以業務健康為主的統一管理功能。
由于增加了對操作系統、數據庫、中間件、應用及業務系統等角色的關注,SecFox-UMS在審計監聽模式上也有所拓展,加入了HTTP、FTP、JDBC等應用層協議。某些極端情況下,設備或應用沒有提供任何監聽手段。這個時候,SecFox-UMS還提供了一個硬件采集設備,采用旁路抓包的方式捕獲、解析原始操作和行為,再送到管理中心進行分析,保證了信息審計監聽的全面性。除此之外,SecFox-UMS還可以對包括機房環境、網絡及安全基礎設施在內的IT資源進行監控,某種程度上可以替代機房環境監控與網管系統,降低了用戶監管方面的成本與復雜性。
加入業務元素后的SecFox-UMS,與近段時間比較熱門的ADN(應用交付)概念有了自然而然的聯系。同樣是針對業務,現有ADN解決方案大多基于防火墻、IPS、流量控制等產品構建,SecFox-UMS的出現,在安全管理平臺領域提供了相應的選擇。從某種意義上看,“安全”與“管理”的結合才是完美的信息安全整體解決方案,跨越了業務與基礎架構間的鴻溝。
傳統的安全管理與業務到底有多大契合度,是很多用戶比較關心的問題。為此,筆者請網御神州SOC事業部產品總監葉蓬針對一個實際案例進行了分析:一個用戶的遠程分支機構通過廣域網與總部的數據中心相連接,VPN中有VoIP、文件共享等多種流量。針對業務不同的優先級,用戶在兩端路由器上都做了相應的QoS設置。那么當鏈路帶寬成為瓶頸,路由器開始丟棄報文的時候,SecFox-UMS能否甄別出不同業務的健康差別?據葉蓬介紹,在這個案例中,路由器的丟包告警與業務服務器的狀態日志都會是用戶業務設定的關鍵因素,SecFox-UMS有能力根據搜集處理的信息,將處于正常狀態、風險狀態和不穩定狀態的業務鑒別開來。另一方面,該產品也可以定位影響業務健康的原因,為用戶排障提供參考。
關鍵詞:反恐反暴;安防建設;安全穩定
2015年11月13日晚,法國巴黎發生一系列恐怖襲擊事件,死亡人數超過百人,震驚全球。該事件僅僅是2015年全球各地區暴力恐怖襲擊事件的“冰山一角”,此后,各國對暴力恐怖襲擊事件的關注度再一次提升。在復雜莫辨的國際斗爭環境之下,伴隨著國內同期社會體制改革轉型,社會焦點矛盾沖突多發,整體安全形勢日益嚴峻,高校安全維穩工作壓力長期存在。進入“十三五”新時期,深入推進高校各項改革發展,校園安全管理的內涵和外延都在不斷擴大,呈現出社會化、多元化的綜合性特征,矛盾和風險遞增。
1 學校安全維穩工作面臨的主要問題
1.1 校園安全防控體系有待進一步完善
相對校內外社會形勢與安全環境的發展要求,當前校園安全防控體系存在宏觀上系統設計不科學、不健全,微觀上各部門職責分工尚有交叉與漏洞,安全責任難以具體落實到位,安全隱患無法及時排查整改,綜合治理能力與管理力度不足等問題。
1.2 校園安全文化建設有待進一步加強
近幾年,隨著全國范圍內“平安校園”創建活動的開展與推進,本著“以人為本”,構建“和諧校園”為目標,在全國校園內開展系統化的安全教育宣傳工作。但就每年的校園意外傷害與安全事故統計中仍可發現,師生員工不同程度上存在法律意識淡漠、安全知識欠缺、自我防護意識薄弱、處理應急事件能力不足等問題。我們應推進校園安全文化建設,全面提高師生全員的安全意識、法律知識、逃生能力,進而提升個人的安全防控能力。
1.3 技術防御水平有待進一步提升
其一,校園內日常安保監督工作主要依靠監控平臺。對于每個校園逾千部的視頻監控網點做到定期維護檢查和升級改造,對于不同的校區之間能夠建立聯網互通的安防平臺。其二,技防系統的建設和應用重點局限于視頻監控部分,交通監管、報警機制、智能評估、數據分析、應急指揮等功能應用有待拓展,安全管理信息系統應用有待開發。
1.4 物防設施條件有待進一步改善
第一,針對當前校園安全問題,特別是新形勢下反恐反暴安保要求,保衛人員配套裝備設施需要與時俱進。第二,針對校園內部人口密集區域,如食堂和宿舍樓宇的安保力量與安防設施有待加強。
2 學校安全工作的具體措施
2.1 以總體國家安全觀為指導,樹立政治安全、文化安全、科技安全、信息安全、生態安全、社會安全“六位一體”的校園安全整體防控理念
充分利用各大宣傳教育平臺,如校園官方微博與微信公眾號進行師生互動,校內LED公告欄信息平臺,教學樓與宿舍樓宇宣傳欄,各類組織生活會等形式,宣傳學校安全教育文化,使廣大師生先重視,再學習,后受益。
2.2 以體制機制創新為動力,建立學校統一領導,綜治綜合協調,部門監督管理,單位主體責任,師生員工全員參與,校地協調聯動的校園安全立體防控格局
學校分管領導作為安全工作第一負責人,落實各部門職責分工與單位主體責任,包括日常對校內全體師生員工進行思想政治教育、心理健康教育、法制宣傳教育、道德操行管理、安全培訓演練、應急處理訓練以及安全事件發生時的安全風險評估工作、糾紛事故調動處理環節、安全隱患排查整改驗收、安全崗位責任落實制度。充分調動師生員工的主觀能動性,激勵全員參與校園治安防控體系建設,建立健全學生糾察隊與志愿消防隊等群眾性組織,做到群防群治,共同監督管理,維護校園安全。
2.3 以校園突出安全問題為導向,建立預防、預警、管理、控制、打擊相結合的校園安全立體防控機制
預防機制在日常校園安全工作中穿行師生校園安全宣傳教育與應急演練、安保隊伍安全培訓、路面與樓宇巡查防控、門禁與重點部位值勤值守、安全隱患定期檢查與及時整改、提升技防水平與物防設備。預警機制在發生安全事件時及時啟動安全檢查與網絡巡查、進行安全穩定形勢分析與情報信息會商、評估重大決策風險、解決矛盾沖突與利益訴求,兼以輿論監控機制,必要時提供法律援助與救濟救助。管理機制突出表現為車輛進出、外來人口、大型群眾性活動、重點場所與危險品管理等方面的協調管理力度。控制機制需要在安全事件發生之后能夠做到指揮部快速反應、應急指揮、迅速調配安保力量,及時高效地解決問題。打擊機制在安全事件方面上輕則進行批評教育,重則追究其法律責任。
2.4 以信息技術為引領,提升校園安全防控能力和綜合管理水平
在科技飛速發展的時代,以校園綜合防治信息技術平臺為依托,提高校園安全整體的防控水平和應急管理能力。充分利用校內報警機制、GIS與GPS系統、視頻監控系統、信息系統、廣播通訊系統、車輛管理系統、樓宇門禁系統、門崗控制系統、消防控制系統等方面建立起全面化的校園安全管理體系,提升校園安全防控的綜合管理水平。
3 校園反恐應急處置預案
3.1 適用范圍
針對校園內部可能發生的,以制造校園恐慌和社會動亂,危害公共安全或者脅迫政府機關為目的,采取恐嚇、破壞、暴力等手段,造成或者意圖造成人身傷害、公共設施損毀、重大財產損失、校園或社會秩序混亂等嚴重社會危害的行為,如汽車沖撞,刀斧砍殺,縱火焚燒,劫持人質,爆炸襲擊,槍擊,公共場所投放、化學毒劑、生物試劑、輻射源等,以及煽動、資助或者以其他方式協助實施上述活動的行為。
3.2 指導方針
貫徹落實上級有關校園反恐的工作部署,堅持“預防為主,單位負責,突出重點,保障安全”的防范方針和“第一時間反應,第一時間到位,有效控制,高效處置”的應急處置原則,切實提高校園反恐應急處置能力,保障師生員工生命財產安全和校園安定穩定。
3.3 啟動反恐應急響應機制
學校安保部門接到校園報警險情后,應迅速報告反恐應急指揮部門及學校辦公室,通知反恐領導小組成員單位負責人到指揮部集合,聯絡屬地反恐機構和公安機關,校內做好應急準備。各門崗立即疏散校門口車輛和人員,關閉校園大門,執械上崗,接應公安人員,把持住車輛通道,防止施暴分子外逃。安保部門服從指揮,有條件時制伏施暴分子,無條件時等待公安人員。組織剩余力量,組成應急隊伍,聽候指揮,準備增援,互通信息,協同防范。校醫院醫護人員待命,隨時準備搶救傷員。待施暴分子被制伏后,保護現場,解除安保預警,恢復校園秩序。切實做到一旦校園發生突發事件,能夠立即啟動相應預案,及時組織并妥善處理好有關工作,確保突發事件報告及時、有效處置。完善應急搶險、救援隊伍,構建“統一指揮、職責明確、運轉有序、反應迅速、信息暢通、處置有力”的應急處置體系。
參考文獻:
[1] 白濤,許中華.高校危機管理對策初探[J].華南理工大學學報(社會科學版),2005(3).
[2] 劉燕燕.高校治安保衛工作的難點及對策[J].惠州學院學報,2007(6).
關鍵詞:商業銀行;電子商務;風險管理
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
論文摘要:隨著商業銀行網上業務的不斷發展,電子商務安全風險管理策略成為理論與實踐中必須重視的課題。剖析現階段電子商務安全網風險策略的薄弱點,發展商業銀行電子商務安全風險管理策略,應借鑒成熟的傳統金融風險度量中的一些方法改變電子商務安全管理對資產進行粗略的優先級別排序,用系統管理思想構建商業銀行電子商務安全管理框架,并將商務安全風險納入風險管理范疇。
商業銀行從事金融業務面臨著市場風險、信用風險、以及操作風險等,而電子商務的出現則加劇了上述各類風險發生的可能性以及風險發生之后的破壞程度。2004年以來,我國面臨的網絡仿冒威脅正在逐漸加大,仿冒對象主要是金融網站和電子商務網站。2005年上半年共收到網絡安全事件報告65679件,超過2004年全年案件數,商業銀行電子商務安全風險管理策略已成為理論與實踐中必須重視的課題。
一、信息安全管理的歷史演進與現階段的特點
信息安全管理的策略大體遵循事件驅動(技術和管理脫節)-逐漸標準化(技術和管理逐漸結合)——安全風險管理(引入了風險分析)的發展路徑。
(一)以事件驅動的初級階段時期
19世紀70年代安全主要是指物理設備和環境的安全,人與計算機之間的交互主要局限在大型計算機上的啞終端,安全問題只涉及能訪問終端的少數人。安全管理策略處于初級階段,由事件驅動,沒有形成規范的管理流程。在此階段的前期,只重視技術手段。后期開始重視管理手段,但是技術和管理之間脫節。許多組織對信息安全制定了相應的規章和制度,但組織的信息安全管理基本上還處在一種靜態、局部、少數人負責、突擊式、事后糾正式的管理方式。
(二)標準化時期
企業開始將安全問題作為整體考慮,形成一套較為完整的安全管理策略,其中包括了安全管理的技術手段和管理制度(或稱運作管理)。幾乎所有從事電子商務的企業都擁有自己的安全策略,內容也包括了技術手段、安全管理制度、人員安全教育等等,基本上形成體系,技術和管理手段綜合統一,但是安全風險分析還存在不足之處。
(三)安全風險管理策略時期
隨著電子商務安全管理發展到一個比較高的層次,安全管理策略也演進到安全風險管理階段。主要特點如下:
1.安全風險管理成為主流趨勢;在安全管理策略的演進過程中,技術和管理手段綜合統一、又融入了風險管理的分析、防范策略,從而安全管理進入了安全風險管理時期。西方商業銀行已對安全風險管理形成共識。如安氏公司(is—One),認為信息安全問題最終將歸結為風險管理問題,風險管理方法是建立良性的安全技術和管理體系的依據和基礎。
2.安全風險管理的國際標準和各國的規范逐漸形成并趨于完善。國際上關于安全風險管理的標準有巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》、英國標準協會制訂的BS7799等。各國也日益重視安全風險管理,制定了許多規范。例如美國貨幣監理署(OCC)的《電子銀行最終規則》、香港金融管理局的《電子銀行服務的安全風險管理》等。中國銀行業監督管理委員也于2006年頒布了《電子銀行業務管理辦法》,對國內企業的電子商務安全風險管理給出了指導意見。
3.利用外部專業化機構對金融機構的安全性評估已成為大部分國家的選擇。電子銀行面臨的安全和技術風險,在相當程度上取決于采用的信息技術的先進程度,系統的設計開發水平,以及相關設施設備及其供應商的選擇等;銀行依靠傳統的風險管理機制已很難識別、監測、控制和管理相關風險。同樣,監管機構也難以完全依靠自身的力量對電子銀行的安全性進行準確評價和監控。因此,大部分國家都采用了依靠外部專業化機構定期對電子銀行安全性進行評估的辦法,加強對電子銀行安全性和技術風險的管理和監管。
4.在許多國家信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。業界的IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作,從經濟學的角度出發分析風險,充分衡量保持安全的代價和收益之間的關系,尋求用最小的代價實現最大的效用,在風險分析中也形成一套較為成熟的模式。
二、我國商業銀行電子商務安全風險管理策略的薄弱點
(一)系統管理思想缺乏
目前的電子商務安全風險管理策略,在全局上缺乏系統論理論的指導,在實際操作中受到多種多樣的安全攻擊時會不可避免地出現安全漏洞,無法形成一張全面有序的安全網絡。
實踐中被采用的安全風險管理策略,以及作為指導意見的規則規范,如《信息安全管理實務準則》(IS017799)、《信息技術安全性評估準則》(GB/T18336.1)、巴塞爾銀行監管委員會的《電子銀行業務風險管理原則》,盡管提出了比較全面的安全風險管理方案,層次上也比較清晰,但是還不足以作為一個風險防范系統。實踐中,電子商務組織是一個復雜的系統組織,電子商務的安全風險管理體系和過程也是個復雜的系統。系統論、控制論的思想在電子商務安全風險管理中是不可或缺的。
(二)風險分析的模型與方法不成熟,定量分析不足
電子商務模式自身的發展歷史也不過20幾年,在風險分析的定量技術上并不成熟;如BS7799中推薦的電子商務安全風險管理中實施風險評估時,往往將威脅發生的可能性定性劃分為幾個級別,將威脅所造成的影響也定性劃分為1~5級,實質上是將一些按照概率發生的事件定義為不連續的幾個級別,在操作上易行,但造成了度量的不精確。在進行監控和審計之后,也存在無法量化、對比的問題。
(三)忽視與原有的傳統風險管理策略的結合
本質上,電子商務的安全風險無非是新興的商業模式對傳統的風險的改變,以及產生的在傳統風險控制領域暫時無法明晰的新風險;現有管理策略只從信息技術的角度、或者從偏重技術的角度看待問題,站在金融領域本身來分析研究較少。這種狀況導致了對電子商務安全風險管理的研究無法立足于一個比較高的層次;忽略了風險的整體性,只進行偏信息和技術的研究,導致了現有的電子商務安全風險管理策略與金融機構原有的傳統業務風險管理策略存在差距。對于商業銀行而言,傳統金融業務的風險控制與電子商務的技術風險控制,兩個方面存在脫節,同樣屬于商業銀行的風險,存在著不同的管理策略,導致多頭管理、資源浪費、機構之間的扯皮,乃至缺位管理。
(四)風險管理策略無法依賴外部的信息安全管理行業
在發達國家,信息系統審計(Is Audit)作為一種信息技術服務被廣泛提供,許多知名的咨詢公司都提供類似的信息審計服務。IT風險分析師也成為一種職業,專門從事電子商務的安全風險工作。商業銀行采用依靠外部專業化機構定期對電子銀行的安全性進行評估的辦法,提高對電子銀行安全性和技術風險的管理和監管。而國內初步建立了國家信息安全組織保障體系,制定和引進了一批重要的信息安全管理標準、法律法規,風險評估工作得到了一定重視,但與發達國家成熟完善的外部信息安全管理行業仍有很大差距。
(五)風險管理策略中商業銀行的內部風險控制能力薄弱
我國商業銀行目前均建立起統一的風險管理部門;但風險控制部門的職能、權限與花旗銀行等體制較為先進的銀行相比仍然存在較大差距,風險控制實質上仍然分散在各個子部門;風險的評估、防范與控制實質上完全依靠商業銀行的電子交易部門;風險管理部門、內審稽核部門實質上無法控制電子商務安全風險。例如,風險管理部門接受了電子交易部的風險控制報告,表面上履行的內控審核的流程,但審核作用有限,無法完成電子商務安全風險管理中的監控與審計環節。
三、商業銀行的電子商務安全風險管理策略的改進建議
(一)基于系統的思想構建商業銀行電子商務安全風險管理策略框架
利用系統理論作為總體的指導思想,將電子商務安全風險管理策略本身當作一個開放的自適應系統。將商業銀行電子商務安全風險管理中的各個環節組成循環上升的系統。
在商業銀行電子商務安全風險控制的流程中,經過信息安全的風險評估、資產識別和選擇、實施控制降低風險的措施、將風險控制在可接受的范圍內,然后進行監控和審計;尤其重要的是把監控和審計所得到的內容作為新一輪風險分析輸入,從而開始新一輪的風險管理過程。商業銀行電子商務安全風險管理的各個步驟為動態的循環系統。每完成一個循環,安全風險管理的有效性就上一個臺階,商業銀行的安全管理水平變得到了提高。
(二)電子商務安全風險管理中定量分析中的改進思路
商業銀行可以借鑒成熟的傳統金融風險度量中的一些方法來改變電子商務安全風險管理中對資產進行粗略的優先級別排序的方法。實踐中,商業銀行對操作風險的管理與對電子商務安全風險管理有其相似之處。巴塞爾委員會對商業銀行的操作風險的內部計量法中規定,商業銀行內部估計風險敞口指標、損失事件發生的概率、風險損失,巴塞爾委員會制定資本要求的轉換系數;在度量損失的分布時,主要利用統計和精算技術。商業銀行應通過數據庫將威脅發生的頻率、威脅所造成的影響等精確記錄下來,利用現有的度量方法進行精確的風險定量分析的嘗試。
(三)將商業銀行電子商務安全風險納入商業銀行總體風險管理范疇
另外,新型的量子計算也給數學密碼體制帶來了前所未有的潛在威脅。1994年PeterShor發現了第一個具體的量子算法'Shor量子分解算法的時間復雜度為D(刀2(109開)(10皿。朗)),它在設想的量子計算機上可以用輸入的多項式時間分解大數質因子,因此它給RsA等公鑰密碼系統的安全性提出了嚴峻的挑戰。1996年Grover發現了非結構化數據庫源于聯想網御神州專家新論搜索的Gmver迭代算,量子Grover搜索算法的時間復雜度為D(/Ⅳ),它有可能解決經典上所謂的NP完全問題。
2007年11月,加拿大D—wave公司宣稱研制成功28量子位的量子計算機系統;2008年12月,又宣稱成功研制了128量子位的量子處理器。業內科學家們預測,到2020年左右量子計算機將進入實用階段。假如1024個量子位以上的量子計算機研究取得實質性突破,那么256bit甚至512bit的對稱算法將不安全,RSA,ECC等非對稱密碼體制也將不安全。目前的私鑰密碼體制,公鑰密碼體制等都將面臨更新換代的“困境”。因此,研究可以抵抗量子計算等高性能計算攻擊的新型密碼技術體制勢在必行。
根據Shannon信息論原理,如果隨機密鑰的高速在線分發問題能夠有效解決,那么利用一次一密亂碼本(OTP)就可以解決數據傳輸的完全保密問題。但是隨機密鑰的高速在線分發面臨著一系列技術難題或者瓶頸(因為為了確保密鑰安全,需要采用復雜的加密手段和安全協議,限制了密鑰分發的速率;另外,密鑰的安全性也得不到完備性證明)。而量子通信系統可以解決隨機密鑰的高速在線保密分發問題,為0TP的廣泛應用提供了技術可能性,進而可以解決數據傳輸的完全保密問題。基于這樣一個亮點,量子保密通信特別是量子密鑰分發技術(QKD)得到了許多國家的高度關注并得到了快速發展。
目前,QKD作為一個物理上安全的保密體制,其實用化已是一個明顯的趨勢。2004年,華東師范大學在國內首次實現了QKD原理樣機吼2005年,瑞士IDQmntique公司和美國MagQ公司都推出了商用QKD系統產品。2005年,美國BBN公司在DAPAR的資助下構建了6節點的實驗網絡。
2008年,歐盟sECoQc組建了7節點的演示網絡。2009年。中國建設了8節點的“最子政務網”。可以說,國內外對量子密鑰分發技術的研究已經進入了工程實現的關鍵時期,目前已經沒有產品化的技術障礙,其應用基本上取決于市場。目前世界上最好的實驗記錄是:無中繼通信距離l87km,在線分發密鑰的速率lMb/s以上。
1技術原理和特色
根據量子力學原理,微觀世界遵循Hd‘規berg測不準原理和量子不可精確克隆定理。量子態測不準并且不能精確復制,這意味著,通過竊聽將不能得到確定的有效信息,也不能進行重復測量。更重要的是,任何針對量子信號的竊聽都將不可避免地留下痕跡,這為在線檢測竊聽提供了可能。量子態測不準導致的直接結果是任何人都不可能進行精確測量,從這個角度來分析,量子信道是“絕對安全”的;但是這種“絕對安全”是無意義的,因為從中得不到有效信息。合法通信雙方為了提取在量子信道中傳輸的量子信息,必須依賴附加的條件,即必須借助經典信道進行輔助信息的交互,比如竊聽檢測所需要的交互信息必須通過可信輔助信道來傳送,這也決定了量子通信與經典保密通信之間的互補關系。
量子信息是經典信息在功能和性能上的擴展,量子通信系統具有經典通信系統所具有的功能以及經典通信系統所不具有的新功能(比如在線竊聽檢測)。如果采用一組正交態對0和l進行編碼和通信,那么通信雙方能夠進行確定測量,因此完全可以實現經典通信系統的數據傳輸功能。當然,這種應用與經典通信系統相比較并沒有特殊的優越性,因此在大多數情況下,量子通信是指基于量子測不準條件下的量子保密通信。
1.1量子密鑰分發
QKD基于Heisenberg測不準原理和量子不可克隆定理,其完全保密特性得到了證明。因此,至少在理論上,基于量子密鑰的oTP能夠解決通信數據的完全保密傳輸問題又因為這種綜合應用具有體制上的簡潔性、理想的完全保密性和簡單的軟硬件實現性能等,代表了密碼系統發展和升級換代的一個趨勢。
如果QKD在密鑰分發速率方面取得了重大突破,比如達到50Mb/s,甚至達到1Gb/s以上,那么基于量子密鑰的oTP就能夠實現保密語音通信、一些重要數據的實時保密通信等,并且這種應用不存在所使用密鑰或者密碼算法可能存在安全漏洞的隱患。這種系統應用無疑對現在的保密通信體制是一個極大的挑戰!當然,尋找QKD在現代保密通信系統中的應用切入點是當務之急。
1.2量子身份識別量子身份識別是基于量子態身份信息的物理安全的身份
識別方案。量子身份識別信息是量子態,具有唯一性和不可復制性,這從根本上消除了身份信息被假冒或者事后否認的可能性。在量子計算條件下,如何利用量子態身份的唯一性和不可復制特性實現完全保密的量子身份識別具有非常重要的意義。一方面,這種方案不需要事先共享短密鑰,可以增加系統的可用性另一方面,量子身份識別信息基于量子態,具有唯一性和不可復制性,可以從根本上解決其安全問題。
但是,由于量子身份的重復使用等技術難題導致量子身份識別研究進展緩慢。
1.3量子保密通信體制
研究表明。QKD并不是量子保密通信的必要條件,因為人們已經發現不依賴共享密鑰的量子保密直接通信方案110J,這也可能意味著未來的量子保密通信體制的安全性將可能不再依賴共享密鑰。但是,這并不影響QKD在一定時期內得到廣泛應用。量子保密通信在同時解決竊聽檢測、身份識別和信息保護等問題的條件下,將形成一個完備的保密通信體制。量子保密通信不依賴復雜的數據加密算法(當然,信息的本地存儲保護等依然需要安全的數據加密算法),量子系統設備不,因此量子系統具有通用性,所有用戶的系統配置和功能可以做到完全一致,不存在系統分級和使用多種密碼算法等技術問題,因此可以說不存在互聯互通的技術障礙,它能使任何擁有量子保密通信終端的用戶之間實現完全保密的通信,這是目前的保密通信系統所不具有的功能。這種性能在保密通信中具有非常重要的作用。對于量子糾纏系統來說,由于糾纏粒子之間存在不受空間限制的關聯性,并且可以實現隱形傳態,似乎利用這種現象可以突破經典通信的距離極限,但這是不可能的。因為糾纏粒子之間的通信依然依賴經典信息交互,即在進行基于糾纏的測量之后還必須通過可信經典信道進行相關測量信息交互之后,才能實現兩個糾纏粒子之間的通信,這也是量子糾纏不能實現超光速通信的一個關鍵原因。因此,在目前的量子通信模型下,量子通信在深水、深空通信中并沒有明顯的技術優勢,也很難突破經典通信的水下和深空通信的距離和速率極限。毋庸置疑,探索如何在新型的通信模型下突破經典通信的極限,無論是對于理論創新還是對于國防軍事通信安全等都是非常有意義的。
2基礎研究與應用趨勢
在QKD技術快速發展并日趨成熟的今天,量子保密通信體制還處于初級階段,量子保密通信系統由于系統自身的不穩定性會造成一定的長期誤碼率(比如量子信號的調制解調過程和單光子探測器暗計數等都會引入一定的誤碼,這些誤碼在理論上無法與非法侵入所引起的誤碼進行區分),如何克服這些誤碼的影響還有待于進一步解決。另外,QKD的應用研究和量子保密通信基礎理論研究依然是量子保密通信體制研究的重點,其發展趨勢可以概括為:
(1)高速量子密鑰分發系統與應用研究。對基于單光子實驗方案進行改進和完善,提高系統的穩定性和效率,并進行QKD系統產品的研發。對基于量子糾纏、隱形傳態等量子特性的實驗方案進行深入研究,研究如何設計性能穩定的QKD系統并在通信距離和通信效率上取得突破。
(2)量子保密通信基礎理論。研究新的量子密鑰分發、量子保密直接通信、量子身份識別、量子比特承諾協議等,完善量子保密通信體制理論研究量子保密通信網絡的基本架構、工作原理和實現方案等:研究任意節點之間的互聯互通機理以及針對量子保密通信網絡的專用路由技術研究量子保密通信網絡與光纖通信網絡之間互聯互通技術。
目前,量子保密通信的實際應用進程直接取決于市場需求和量子技術的發展。量子保密通信系統的關鍵技術主要包括:量子態的制備、分發和探測技術;量子系統穩定性和抗干擾解決途徑;與光纖網絡的兼容性等。
隨著單光子制備、量子存儲和探測技術以及光纖傳輸等相關技術的進一步發展,量子保密通信將在國家重要領域內的通信保密中扮演一個非常重要的角色。短期內,QKD可以從根本上解決密鑰的高速在線分發問題,為oTP的廣泛使用提供一種可行的技術途徑。基于景子密鑰的oTP可以用于保密電話網、保密數據網等,實現各種數據的一次一密加密,確保數據的完全保密傳輸。中長期內,能夠同時解決竊聽檢測、身份識別和信息保護的量子保密通信技術,可以提供一個完善的通信保密解決方案。
3應對策略探討
為了積極應對QKD和量子保密通信技術可能帶來的影響,并為相關技術發展創造良好的氛圍,促進量子保密通信技術的應用推廣,及時采取科學的應對策略非常必要。根據對國內外量子通信研究現狀和趨勢的綜合調研分析,結合國內的實際情況,以下對策或策略具有一定的代表性和較大的參考價值。
(1)信息安全形勢嚴峻,積極進行技術儲備,有備無惠。近幾年,一些典型的經典密碼算法不斷被破譯或被發現存在致命漏洞,網絡計算和量子計算等高性能計算技術快速發展給經典密碼算法帶來前所未有的沖擊和挑戰,經典通信保密體制面臨更新換代的抉擇。而量子保密通信技術代表了一個實際可行的新型技術方向,代表了未來信息安全市場的一個新方向。在積極探索量子保密通信體制的同時,尋求量子技術與經典技術的“融合”,促進這種新型保密通信系統的應用具有十分重要的現實意義。
(2)潛在資源需要整合,潛在市場需要發掘和培育。最子保密通信技術在保密傳輸方面有著十分明顯的技術優勢。其中短期應用前景十分明確,長期推廣應用趨勢不可逆轉。但是,量子保密通信是一個綜合交叉技術學科,系統核心技術需要多學科專業人才聯合進行技術攻關,但是目前國內相關研究主力依然集中在高校,基本上還處在“單兵作戰”的狀態,還不能形成具有核心競爭力的產品研發平臺。
美國MagiQ公司的副總裁AndrewHammond估計QKD短期市場份額將達到20億美元,在不久的未來其市場份額將達到10億美元/年。在今后幾年內,國內的市場份額派工流程與安全知識庫緊密相關,在故障處理時從安全知識庫中提供專家經驗和歷史資料進行參考,在派工處理完畢后的反饋又放入安全知識庫中作為下次事件的歷史資料。安全知識庫包括安全知識文章、漏洞庫,補丁庫、事故案例庫等。
3.1報告報表網絡安全管理系統具有強大的事件分析報告和安全趨勢
報告系統。能夠收集和整理所有的安全事件報告,整理分析,產生針對不同閱讀者的專業安全報表。安全報表能夠將一段時期內的整體安全狀況、攻擊來源、攻擊方式、攻擊目標、最多的和最少的攻擊排序、IP子網攻擊、IP子網攻擊目標、設備類型、事件警告類型、事件狀況類型和事件的嚴重性等等做出專業的分析報告。
3.2趨勢分析趨勢分析指依據網絡安全指標策略體系,將多源安全事
件經編碼格式標準化、歸并關聯等處理后,進行安全指標映射與態勢數據生成,并借助多種可定制可視化視角而展現出來的網絡總體安全狀態和發展趨勢。經過對安全事件、審計日志和一些輔助信息的分析,能夠生成實時態勢報表、態勢告警、態勢預案等安全態勢分析報告,對總體的安全建設提供有價值的指導意見。安全態勢分析需要綜合眾多最新的信息安全管理技術,具有極大的理論價值和實用價值。
摘 要 本文簡述了辦公自動化的概念、特征及發展趨勢,也說明了當前企業實現辦公自動化過程中出現的問題及防治對策。
關鍵詞 辦公自動化 特征 趨勢 問題 對策
一、前言
辦公自動化系統是由計算機技術、通訊技術等高新技術所支撐的輔助辦公的自動化手段,其主要包括:電子信箱、視聽、電子顯示屏、文字處理、共用信息庫、日常事務、網站管理等若干部分。它主要完成各類電子數據處理,對各類信息實施有效管理,輔助決策者做出正確迅速的決定或幫助其快捷迅速完成工作等功能。
辦公自動化是辦公人員利用現代科學技術的最新成果,借助先進的辦公設備,實現辦公科學化、自動化、電子化。其目的是最大限度提高辦公效率和改進辦公質量,改善辦公環境和條件,輔助決策,減少或避免各種差錯,縮短辦公處理周期,通過科學的管理方法,借助于先進技術,提高管理和決策的科學化水平,從而實現辦公業務自動化。
二、辦公自動化系統的基本特征
(一)交互性
一般的數據處理是單一的控制流,有事先確定的輸入輸出,無需人的干預;辦公自動化系統則往往需要根據不同的輸入調動不同的控制,因而人機對話,人的干預是必不可少的。
(二)協同性
辦公活動通常是有組織的分層次的群體活動。因此,辦公自動化系統應支持一個組織機構內的所有工作人員能夠進行協同工作,以完成一項共同的任務。
(三)多學科交叉
辦公自動化系統的建立和發展是相關的現代科學技術交叉融合的結果,是以計算機科學、信息科學、行為科學、管理科學、系統工程學和現代通信技術等作為支撐平臺的。
(四)網絡化
現代辦公自動化系統是基于計算機網絡的,包括局域網(LAN)、因特網(Internet)、內聯網(Intranet)和外聯網(Extranet)等。
(五)對象的多樣性
對于事物處理型辦公自動化系統,應用對象的需求相對比較一致,表現在有通用的商品化應用軟件。而在信息管理型辦公自動化系統和決策支持型辦公自動化系統層次,則呈現出應用對象多樣性的特征,表現在商品化OAS應用軟件的行業性和專業性。
三、辦公自動化的發展趨勢
隨著三大核心支柱技術:網絡通訊技術計算機技術和數據庫技術的成熟,世界上的OA已進入了新的層次,在新的層次中系統有四個新的特點:
1.集成化。軟硬件及網絡產品的集成,人與系統的集成,單一辦公系統同社會公眾信息系統的集成,組成了“無逢集成”的開放式系統。
2.智能化。面向日常事務處理,輔助人們完成智能性勞動。
3.多媒體化。包括對數字文字圖象聲音和動畫的綜合處理。
4.運用電子數據交換。通過數據通訊網,在計算機間進行交換和自動化處理。
辦公自動化的趨勢,要求企業使用由綜合數據庫系統所提供的信息中,針對所需做出決策的課題,構造或選用決策數字模式,結合有關內部和外部的條件,由計算機執行決策程序,作出相應的決策。
四、目前企業辦公自動化的現狀及問題
(一)目前企業辦公自動化的現狀
我國的辦公自動化建設經歷了一個較長的發展階段,目前企業的辦公自動化根據發展程度可以劃分為以下四類:
1.起步較慢,還停留在使用沒有聯網的計算機,使用MSoffice系列wps系列應用軟件以提高個人辦公效率。
2.已經建立了自己的intranet網絡,但沒有好的應用系統支持協同工作,仍然是個人辦公。網絡處于閑置狀態,企業的投資沒有產生應有的效益。
3.已經建立了自己的intranet網絡,企業內部員工通過電子郵件交流信息,實現了有限的協同工作,但產生的效益不明顯。
4.已經建立了自己的intranet網絡:使用經二次開發的通用辦公自動化系統;能較好地支持信息共享和協同工作,與外界聯系的信息渠道暢通;通過internet,宣傳企業的產品技術服務;intranet網絡已經對企業的經營產生了積極的效益。現在正著手開發或已經在使用針對業務定制的綜合辦公自動化系統,實現科學的管理和決策,增強企業的競爭能力,使企業不斷發展壯大。
(二)企業實現辦公自動化面臨的問題
隨著計算機技術的發展,辦公自動化系統從最初的漢字輸入問題處理排版編輯查詢檢索等單機應用軟件逐漸發展成為現代化的網絡辦公系統,通過聯網將單項辦公業務系統聯成一個辦公系統。再通過遠程網絡將多個系統聯結成更大范圍的辦公自動化系統。建立企業內部網(intranet),企業外部網(extranet),已經成為辦公自動化發展的必然趨勢。目前,在實現辦公自動化的進程中還有以下問題需要注意:
1.效率。辦公人員大都非計算機專業人員,他們的計算機知識尤其是計算機操作系統及硬件知識的缺乏,導致辦公效率的降低,也造成系統管理員工作量的增大,如系統維護、防毒治毒、軟件升級。計算機技術的發展可謂一日千里,軟硬件的升級換代將更加頻繁,這就意味著系統后期成本居高不下。
2.安全性。人們對信息的價值有了更深的認識,因而對信息的存儲和保密也就更加重視,而今,病毒的破壞黑客的入侵都將對系統信息以致命的打擊。防止重要部門的重要信息被竊或流失已成為工作中的當務之急。
五、企業實現辦公自動化的對策措施
(一)建立嚴格的使用權限和層次分明的管理制度
從保密和安全的角度,對進入辦公系統的用戶,采取按部門職務,進行優先等級和功能模塊的設定。企業最高領導有權進入所有的模塊,能查看到所有文檔,但為了防止誤操作,封掉了有些不會用到的修改功能。企業最高領導有權簽發查閱人事資料等與本部門有關的工作。無密碼就進入不了系統,有密碼無權限時,進入了系統,也只是告訴你無權使用;有密碼有權限無功能,重要操作不顯示操作鈕。可見信息化部門要把握好角色權限和密碼的設定,這樣,辦公自動化系統的寶貴數據才能高枕無憂。要建立辦公自動化管理制度和考核辦法,明確單位的責任領導責任部門和直接責任人的工作職責和任務,制定相應的獎懲措施,推行一套融管理監督激勵相一致的有效機制。
(二)牢固樹立信息安全意識
1.要牢固樹立網絡安全意識。要樹立保密意識,高度重視網絡安全工作,不得將內部的計算機設備和網絡接入網絡,不準在網上傳輸和存放信息。各單位主要責任人為網絡安全的第一責任人,信息員為具體責任人,各司其職,將工作落到實處。
2.要做好計算機信息網絡技術安全管理工作。信息化部門要加強技術及管理知識的學習,經常對各單位網絡進行檢查,對存在的問題及時指出及時糾正,務必確保安全。建立安全事件報告制度,各單位一旦發現網絡安全事件,必須在第一時間向信息化部門報告。
3.要加強網絡設備的管理,凡安裝維護連接和設置,均由信息化部門統一負責,嚴禁隨意更換改變其物理的位置形態性能,嚴禁改變其連接關系運行狀態和系統的設置。
(三)要提高辦公人員計算機能力
辦公系統在初始啟動時,大量的資料需要輸入,許多表結構需要進行設置。信息化部門的工作人員要從用戶的角度出發,提高辦公人員的計算機操作能力與基本維護能力。通過系統的培訓使辦公人員能夠熟練的操作辦公自動化系統,保證了辦公自動化系統的良性運行。
(四)勤維護,常保養,使辦公自動化系統處于最佳的運行狀態中
