地理信息安全的重要性篇1

随着信息化进程的持续深入和互联网的快速发展，信息技术在有效支撑政府部门深化管理能力、提升公共服务水平的同时，其所带来的安全隐患也在日益显现。闻名全球的美国政府“维基泄密”、伊朗核设施遭“震网”病毒袭击等安全事件充分说明由于政府部门信息事关国计民生，其重要性和高度敏感性使得政府部门信息系统已成为国内外敌对势力、敌对分子进行网络渗透、数据窃取和攻击破坏等活动的重点目标。如何保障信息化建设成果以及如何防范物联网、云计算、社交网络、三网融合等新兴IT技术发展所带来的新的安全风险已经成为各级政府部门信息化建设与发展过程中的重要课题。

2信息安全保障要求

面对日益严峻的信息安全形势，网络信息安全问题越来越引起我国政府的高度重视。从1994年开始，国家相继制定了一系列的法律、法规和条例，以切实做好全国信息安全保障工作。1994年，《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）颁布，条例规定“计算机信息系统实行安全等级保护”。2003年，中共中央办公厅、国务院办公厅转发《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发〔2003〕27号），把信息安全提到了关乎国家安全的高度，并提出了“加快信息安全人才培养，增强全民信息安全意识”的指导精神。2004年9月公安部会同国家保密局、国家密码管理局和国务院信息办联合出台了《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号），明确了信息安全等级保护制度的原则和基本内容，并陆续出台了信息安全等级保护管理办法、基本要求、实施指南等一系列等级保护政策、规范和标准。同年，中共中央保密委员会下发《关于加强信息安全保障工作中保密管理的若干意见》（中保委发〔2004〕7号），同样出台了相关管理办法、技术要求、管理规范、测评指南、方案设计指南等保密标准，用于指导信息系统的建设、使用和管理。

当前，信息安全已成为国家安全的重要组成部分。各级政府在不断完善信息安全规章制度的同时，每年以多种形式重申和强化信息安全工作要点，部署专项安全保密措施，监督检查信息安全落实情况，并把培养信息安全人才作为发展和建设我国信息安全保障体系必备的基础和先决条件。

3信息安全人才队伍建设现状

(1)信息安全人员数量

从事信息安全管理工作人员较少，主要开展基于区域边界、网络传输和计算环境的安全管理，在主机、应用和数据方面较为缺乏，对于重要信息系统所需配备的系统管理员、安全管理员和安全审计员，普遍存在根据业务需要临时任命现象。

(2)信息安全人员结构

信息安全人员多数为其他岗位人员兼任且非信息安全专业，是在进入岗位后根据职能要求逐步熟悉、掌握信息安全技术知识，虽然具备了一定的信息安全技术与管理能力，但普遍存在安全知识零散、管理不成体系等先天性不足。在当今飞速发展的信息安全领域，非专职信息安全人员在忙于众多事务管理的同时难以持续关注、跟踪最新的信息安全技术发展趋势和国家、行业的政策、规范、标准等最新要求及实施情况，缺乏知识储备和经验积累，造成缺乏懂技术、会管理和熟悉业务的信息安全人才。

4面临的信息安全隐患

由于相对固化的信息安全人力数量、知识结构和运行机制，管理部门难以有效承接来自政府主管部门的信息安全保障要求，信息安全隐患逐渐显现。

(1)信息系统建设缺乏总体安全规划

信息系统建设的承建主体多数为政府业务管理部门或技术支撑部门，在信息系统规划中他们更多的是注重业务应用功能的实现和不同信息技术的实现方式，而对系统信息安全缺乏全盘考虑和统一规划，导致信息系统在建设过程中没有充分考虑网络、主机、数据和应用的安全策略、安全技术措施以及信息安全管理要求，仅在系统竣工前或安全测评阶段，根据相应的检查指标需要，临时、被动地针对信息系统实施一定的安全防护措施，造成了安全建设与信息系统建设相分离。虽然达到了某阶段要求，但是安全措施比较零散，缺乏体系和相互关联，甚至实施的安全措施治标不治本，安全隐患重重。事实上，缺乏真正来自业务管理目标的信息安全需求，临时建立的信息安全策略也在信息系统变更、优化和升级中因缺乏动态的改进和完善而逐步缺失，使信息系统基本处于不设防状态。

(2)信息安全技术应用滞后

在信息技术广泛应用和新兴IT技术快速发展的同时，信息安全技术也发展得越来越专业。信息安全产品也根据不同的专业领域划分为主机安全、网络安全、应用安全、数据安全等多个类别，涉及防火墙、恶意代码防护、入侵检测、安全隔离与信息交换、网站防护、加密机、数字证书、安全审计等专业技术。了解、熟悉并且科学合理地使用这些专业化安全产品需要信息安全管理人员既要熟悉业务应用和系统信息技术实现方式，又要了解当前系统面临的安全风险和所需的信息安全技术与管理需求。然而，当前信息安全人员知识结构和业务涉及面不具备这些基本要求，造成信息安全技术应用滞后或部分处于缺失状态。

(3)信息安全产品未能充分发挥作用

当前，信息安全已经从传统的网络层上升到应用层，并已深入到业务行为关联和信息内容语义范畴，越来越多的信息安全技术已经和应用相结合。防火墙的访问控制、入侵检测的预警判断、网闸的数据传输控制以及安全审计信息的合规性判断均来自业务应用需要和明确的策略要求，信息安全产品更多的是面向应用层面的信息安全控制。但是多数信息系统在软件开发时缺乏明确的安全需求，在系统运行中对访问主体的授权认证、数据传输、应用服务端口等缺乏相应的安全控制措施。应用安全需求说不清造成了信息安全产品安全策略权限开放过大或无安全控制，安全告警无法有效判断。所以，信息安全产品未能充分发挥其应有的作用，部分产品形同虚设。

(4)难以规范执行保密技术管理

信息化进程不断深入的同时，保密工作也越来越依赖于信息技术，保密管理已超越了传统的范围、内容、方法和要求，在高技术窃密频发的情况下，保密技术防护手段已成为保密管理工作的重要环节。但是信息技术人员由于缺乏保密培训、经验积累以及保密工作环境氛围的熏陶，难以满足保密管理工作的规范性和强制性要求。

(5)信息安全意识薄弱

人是信息安全工作的核心因素，其知识结构和应用水平将直接影响信息安全保障工作。由于信息安全管理人员的专业性不强，在日常安全管理活动中，缺乏开展面向网络用户的信息安全宣传、引导和培训以及即时、足够的安全提示，造成用户信息安全意识淡薄。由于安全意识淡薄和缺乏识别潜在的安全风险，用户在实际工作中容易产生违规操作，引发信息安全问题或失泄密事件。

5存在问题分析

(1)信息安全组织架构不健全，缺乏人才培养

信息安全是在信息化进程中逐步发展起来的，信息安全技术也是随着信息技术从无到有，从简单到复杂。但是，在信息技术快速发展与信息安全知识快速更新的情况下，由于信息安全组织架构不健全，未能完成信息安全人才的培养与储备，造成当前信息安全人才与实际信息安全工作技能要求的脱节以及部分领域信息安全人才的缺失，信息安全保障工作难以落地。

(2)缺乏激励机制，信息安全工作价值得不到体现

由于缺乏有效的激励机制与人才评价机制，信息安全保障工作的后台性使信息安全管理人员的工作绩效得不到完整的体现，在实际工作中甚至遇到其他业务管理人员的不理解或不配合，造成真正的人才反而受到的评价不高，挫伤了人才的积极性。

6信息安全人才队伍建设发展探索

随着新兴IT技术的快速发展，信息安全的内涵及其外延不断地深化和扩大，信息安全成为一个动态的、发展的、全局性、长期性和战略性的问题。传统的单兵作战不仅不能解决信息安全问题，反而蕴藏了更大的安全风险和隐患。信息安全保障工作需要建立一支懂技术、会管理、熟悉业务应用的信息安全人才队伍，并构建相应的信息安全保障体系(如图)。

信息安全保障体系

(1)建立健全信息安全组织架构，培养高层次信息安全人才

信息安全是建立在信息化和业务的基础上，涉及网络、主机、应用、数据等多方面，管理要素多、专业性强，组织开展信息安全保障工作需要建立一套完整的信息安全组织架构体系。在组织架构中应成立专职的信息安全主管部门，负责编制信息安全规划，指导信息安全建设，制定信息安全总体策略，监督检查信息安全管理与技术防护情况。各业务部门应配备兼职或专职信息安全员，负责本部门业务应用中的信息安全保障工作。同时还应根据不同岗位要求着力培养信息安全人才，特别是懂业务、经验丰富的高层次技术与管理人才。

(2)构建信息安全治理体系，优化信息安全人才队伍

在建立、完善信息安全组织架构体系，理顺业务关系的同时，构建信息安全治理体系成为确保各项规范、标准和制度落地的重要保障。信息安全治理体系包括安全管理体系和安全技术体系。安全管理体系明确了各部门在信息安全规划、建设、运行维护和改进完善等阶段的工作任务、要求和责任。安全技术体系根据信息安全涉及的不同环节从网络、主机、数据、应用等方面实施相应的安全技术措施。应针对不同岗位要求选择合适的人员，同时，在确保合规性的基础上，根据需求，引入外部力量提供专业化的安全技术支撑，弥补现有人力数量与结构的不足。

(3)充分体现工作价值，激发工作积极性

信息安全特别是保密安全需要实施准军事化的管理，信息安全管理人员需要高度责任心和政治敏感性。客观、全面地评价工作绩效，充分体现信息安全管理人员的工作价值，落实奖惩措施，激发工作积极性，是信息安全人才队伍建设发展的重要保证。

7总结

随着信息化进程的加快，信息安全已成为维护国家安全、社会稳定、促进信息化建设发展，构建和谐社会的重要保障。信息安全人才是实施信息安全工作的必备条件，建立并完善信息安全人才队伍建设意义重大。

参考文献

[1]GB/T22239-2008《信息安全技术信息系统安全等级保护基本要求》[S].

[2]GB/T25058-2010《信息安全技术信息系统安全等级保护实施指南》[S].

[3]BMB20-2007《涉及国家秘密的信息系统分级保护管理规范》[S].

地理信息安全的重要性篇2

(一)基层央行的信息安全工作的内容

央行作为国家政府和大众认可的组织机构有着其他任何银行不具有的功能，央行调控其他社会上各个银行的借贷比例，调控市场上的资金数量，而且具有发行资金货币的功能，为保证其他银行的正常运营和管理，所有银行都需要向中央银行定期缴纳存款保证金，在其他各个银行发生资金危机时候可以向央行借贷资金。基层央行是央行在各个地方的分支机构，具有执行和监管央行工作实施情况的基本功能。

(二)基层央行的信息安全管理工作开展的意义

在日常的生活和工作过程中，并不是人人都是理财管理专家，社会大众对于劳动得到的财富的管理和控制远远不够，在这样的情况下银行就成为人们储存各种财富资金的主要地方。大众把自己的资金存入银行，银行拥有这些资金可以用于社会生产制造，为大众和社会发展创造收益，银行定期向大众返还利息，因此，银行的信息安全管理工作也是大众最关心的问题。基层央行作为信息安全管理的基层支持者，信息安全管理工作的效率决定了社会大众的财产安全，同时也决定了社会财务的安全，这对于社会发展和社会财务的管理有着重要的意义，尤其是社会财富的安全，基层央行必须要保证信息的安全，银行的工作人员要遵守自己的职业规定和职业道德，不泄露他人的银行信息和资金信息。做好信息安全工作对于维持社会稳定，保证社会财富的安全性，提高社会管理职能和效率都有非常重要的实际价值和意义。

二、基层央行信息安全管理工作存在的问题

基层央行的信息安全管理工作的效率和成果一直是社会和政府关注的重点，也是大众最关注的银行管理问题。尽管随着科学技术的发展和进步，基层央行的信息安全管理的技术和方法都已经得到了相当大的改善，但是不可否认的是，在这个过程中基层央行的信息安全管理工作仍然还存在着很多的问题，这些问题的存在给基层央行的信息安全管理带来了一定的影响，同时也给大众的资金、财产安全带来了威胁，以下主要针对基层央行信息安全管理存在的问题展开详细的分析和研究。

(一)基层央行信息安全管理工作人员的信息安全管理意识有待提高

基层央行的信息安全管理的工作人员是保证基层央行所有信息安全最直接的工作人员，所有的信息安全管理工作都必须要由他们来掌控，但是结合当下的实际基层央行的信息安全管理工作现状可以看出，基层央行的信息安全管理工作人员在银行信息管理和信息安全方面没有认真端正自己的思想，管理意识不够强，在实际的工作中并没有采取应有的严谨工作态度，实际上这主要是由于银行的管理疏忽造成的。如果银行能够加强对这些信息安全管理工作人员的监管力度，提升他们的工作能力和个人素质，这样的问题就可以避免，但是如果基层央行在管理过程中意识不到这个问题的严重性，这些信息安全管理的工作人员就很有可能会由于自身的原因导致银行的安全信息泄露，给银行和银行客户的安全造成严重的后果。

(二)基层央行的信息安全管理配备的科学技术人员不够科学、合理

实际上基层央行的信息安全管理需要的不仅仅是人工操作，更需要的是科学技术人员的配合，因为在实际的基层央行信息安全管理过程中需要用到很多的电子设备，大多数银行以及客户信息都需要通过这些设备智能化地存储和记忆，因此这些设备的研发和操作人员就是整个基层央行信息安全管理工作的核心，这些技术人员的分配以及工作效率都会影响到实际的基层央行信息安全管理工作的开展效率。从目前的基层央行信息安全管理工作现状可以看出，在实际的安全管理过程中存在的两个比较严重的问题:一是基层央行这样的科学技术人员非常欠缺，在某种程度上影响了基层央行的信息安全管理工作的顺利开展;二是基层央行的信息安全管理的方法和技术不到位，导致了在实际的安全管理操作过程中经常会出现失误，给基层央行的信息安全管理工作带来了非常大的影响。

(三)基层央行的信息安全管理制度

不完善管理制度是管理工作开展的基本条件，同时也是央行信息安全管理工作开展的必备条件。在实际的央行管理过程中，严格的管理制度是保障基层央行信息安全管理工作正常开展的根本。但是从目前的发展现状可以清楚地看出，基层央行的信息安全管理制度还不够完善，这在根本上影响了基层央行的信息安全管理工作的开展。从基本的制度设置和实施方面来说，造成这一问题的主要原因:一是基层央行的管理工作和管理意识不够达标，最终影响了制度的制定和实施，从而也影响了基层央行的信息安全管理工作的开展;二是制度制定者对于基层央行的信息安全管理工作的内容以及工作的重要性没有一个科学合理的认识，最终影响了基层央行的安全管理和信息管理。因此制度的完善和执行情况必须要得到相关部门的重视，只有这样才能使得基层央行的信息安全管理工作效率有所保证。

(四)基层央行的信息安全管理系统应急措施不完善

基层央行的信息安全管理应急系统主要是为了保证在发生突发的央行安全信息泄露或者重大信息安全问题时，及时对这些问题进行处理，挽救过失，并将对社会和大众的影响和损失降到最低的一个系统。可以说，应急系统是保证央行信息安全管理的最重要系统，但是结合当下的实际情况看，基层央行信息安全管理系统的应急措施并不能满足实际的需求，而且还有可能会在关键时刻失去原有的功能和作用。因此在实际的应用和发展过程中，必须要着重提升其功能和使用效率，使之能够更好地为央行的信息安全管理工作服务，更好地为保证社会安全和大众资金安全服务。

(五)对基层央行的信息安全管理的监管不到位

基层央行作为社会和大众财富的集中地，社会和大众应对其工作具有较强的监管能力，但是在实际的应用过程中，社会大众并没有行使其基本的权力，没有对基层央行的工作，尤其是基层央行的信息安全管理工作进行监管。社会相关部门尽管对基层央行的工作进行了监管和控制，但是在监管的过程中并没有按照实际的监管要求对这些基层央行的管理工作内容和执行情况进行监管，并且过于注重形式，没有实际的工作。因此对基层央行信息安全的管理应是基层央行在未来的工作中必须要解决和完善的地方。

三、提升基层银行信息安全管理工作效率的方法和措施

通过以上对基层央行信息安全管理过程中存在的问题的分析和讨论可以看出，基层央行信息安全管理工作确实存在很多问题，解决这些问题不仅是社会发展的需求，同时也是大众对于其财产安全管理的需求。以下主要针对提升基层央行的信息安全管理效率的方法和措施展开详细的分析和研究。

(一)提升基层央行信息安全管理工作人员的安全管理意识

提升基层央行信息安全管理工作人员的安全管理意识需要央行提高自己的管理意识、危机意识和安全意识。基层央行的管理者需要在实际管理工作中做到:严格要求基层央行的信息安全管理工作者，使得他们在实际的工作过程中严格要求自己，严格按照工作要求和工作制度标准开展工作，这样就可以有效避免由于工作人员的操作失误给整个基层央行的信息安全管理工作带来影响;另外就是基层央行在对信息安全管理工作者进行工作考核时必须要按照严格的要求，将其对信息安全管理工作的态度以及工作状况加入到实际的考核中去，这样不仅可以激励员工更加积极地对待工作，而且也可以提升工作效率;最重要的就是基层央行在招聘这些信息安全管理工作人员时，应该要提升对这些人员的要求和资格审查，这是从根本上提升基层央行信息安全管理工作安全性和工作效率的最佳措施。总的来说，提升基层央行信息安全管理工作人员的安全管理意识是基层央行在管理过程中的基本需求，同时也是最重要的管理目标之一。

(二)提升基层央行信息安全管理的科学技术人员配备的科学化和合理化

基层央行信息安全管理的科技人员配备的合理化和科学化是保证银行的各项科学技术工作更好地发展和完善的基础。最基本的条件之一就是必须要保证这些科学技术人员的配备能够满足实际的信息安全管理需要，保证当信息安全管理工作人员需要这些技术人员的配合和帮助时，技术人员能够以最快的速度达到，对存在的问题进行处理和解决，这是对基层央行技术人员配备的基本要求。

(三)完善基层央行的信息安全管理制度、提升管理制度的执行效率

完善基层央行信息安全管理制度要求基层央行在制度制定过程中，按照实际的信息安全管理需求设定相关制度，并以适合央行实际管理及信息安全，提升央行信息的安全性为基本要求和标准，提升管理制度的执行效率。

(四)提高基层央行的信息安全管理系统的应急处理能力和监管

提高基层央行应对紧急情况的信息安全管理系统问题要求基层央行的员工必须要对自己的工作内容非常熟悉，在发生紧急情况时候能够及时找到问题产生的原因，并及时采取措施，尤其是在发生恶性的信息泄露和信息安全问题时，能够及时进行处理。提高基层央行信息安全管理系统应急处理能力要求基层央行定期地对自己的员工进行培训，使他们能够对自己的工作流程和工作内容充分地了解，央行也可以通过提升对这些工作人员的要求来达到相应的目标，但是总的来说，提升基层央行信息安全管理系统的应急处理能力是基层央行必须要改善和提升的一个问题。与此同时，加强对基层央行的监管力度对于保证基层央行信息安全管理的规范性和科学性具有非常重要的意义。

四、小结

地理信息安全的重要性篇3

〔关键词〕图书馆；网络信息安全管理；模型

DOI：10.3969/j.issn.1008-0821.2014.02.016

〔中图分类号〕G250.7〔文献标识码〕A〔文章编号〕1008-0821（2014）02-0076-06

借助于网络高新技术的发展，新的信息资源形态和使用方式，给图书馆读者带来便利的同时也必然存在许多隐患。计算机网络分布的广域性、开放性和信息资源的共享性，为信息的窃取、盗用、非法的增删、修改及种种扰乱破坏，提供了极为方便且难以控制的可乘之机，图书馆信息服务的权益及监督得不到有效的保障；同时，由于计算机网络的脆弱性，图书馆的网络系统本身经常处于黑客的攻击之中，一旦图书馆网络出现故障，轻则信息服务得不到有效保障、数据丢失，重则整个图书馆处于瘫痪境地。因此，在信息化时代，图书馆信息安全显得尤为重要，构建图书馆网络信息安全管理模型来保证网络信息安全，使其高效运行是图书馆现代化建设中一项迫在眉睫的重要任务。

1信息安全管理概述信息安全管理，是指实施和维护信息安全的原则、规划、标准和内容的综合，包括信息安全策略、信息风险评估、信息技术控制和信息安全意识等。这些内容在一个信息安全治理框架下相互协调、相互说明，从而为组织提供全面的信息安全规划。它结合技术、程序和人员，以培养信息安全文化为目的，最终实现信息资产风险的最小化。为对信息安全内容有一个全面深入的了解，本文从信息安全原则、信息安全规划、信息安全标准和信息安全内容4个方面进行详细的论述，从而为图书馆网络信息安全管理模型的构建提供理论上的指导。

1.1ISA信息安全原则为保护组织的信息资产免遭威胁，Tudor提出了一个全面灵活的信息安全架构方法（InformationSecurityArchitecture，简称ISA），这种方法提出5个关键性的信息安全原则（见表1）[1]。这些原则，可以了解组织工作的风险环境并对其实行评估和控制，从而减少这种风险；强调遵守国家信息安全法规的重要性，确保组织的机密信息受到国家的保护；涵盖信息安全技术与过程，满足组织信息安全的需要。表1ISA信息安全原则

原则含义或目标1安全组织和基础设施确定角色、职责和执行赞助。2安全政策、标准和程序制定政策、标准和程序。3安全规划风险管理纳入安全规划。4安全文化意识和培训通过用户培训提高安全意识。建立用户、管理和第三方之间的信任。5监控规范监控内外部的信息安全。

1.2CMM信息安全规划为给组织提供一整套信息资产免受未经授权的访问、修改或销毁的信息安全整体规划，McCarthy和Campbell构建了能力成熟度模型（CapabilityMaturityModel，简称CMM）[2]。该模型包括7个信息安全规划内容（见表2），目标是从战略层面开始并用战略水平去指导技术等方面的工作，在评估当前信息安全风险的基础上构建合适的解决方案以减轻风险，并在实践过程中对各解决方案集成应用与监控。表2CMM信息安全规划

规划含义或目标1安全领导安全赞助、安全策略以及投资回报。2安全规划安全规划程序、资源和技能。3安全政策安全政策、标准和程序。4安全管理安全操作、监控和隐私。5用户管理用户安全管理和意识。6信息资产安全应用程序的安全、数据库/元数据的安全、主机安全、内外部网络安全、杀毒及系统开发。7技术保护与持续性物理和环境控制与持续规划控制。

3PROTECT信息安全标准在Eloff.J.H和Eloff.M所主持研究的“PROTECT”项目，是政策、风险、目标、技术、执行、合规性和团队的英文首字母的缩写，对信息安全管理及标准进行了综合的介绍[3]。“PROTECT”项目涉及各种集成控制的方法，在确保组织的有效性和效率的基础上尽量减少风险，目的是全方面解决信息安全的问题。为实现项目目标，该项目提出了7个信息安全标准（见表3），确保信息安全规划从技术术和人文角度得到有效的实施和管理。

1.4ISO/IEC17799和ISO/IEC27001信息安全内容国家标准组织（ISO）指出信息安全技术是实现信息安全管理的关键点，通过技术对信息系统进行安全性控制，是信息安全管理的重要内容。为了更好地实现信息安全控制，ISO提出了11个具体的信息安全控制内容（见表4），这些内容已成为国际上通用的信息安全内容的重要标准，即通常所说的ISO/IEC17799[4]。而ISO/IEC27001是ISO/IEC17799的第二部分，提出了包括操作、监控、审查、维护和提高等一系列持续改进信息安全管理系统的方法与过程[5]。表42图书馆网络信息安全内容的选取与管理模型的构建前文所述的信息安全管理的原则、规划、标准及内容是基于整个信息社会行业而言的，具有一定概括性且4个方面之间存在着重复性，为了构建出更具针对性的图书馆网络信息安全管理模型，笔者根据图书馆的特性对信息安全管理的原则、规划、标准和内容进行选取与整合，构建出符合图书馆应用要求的信息安全管理模型。

2.1图书馆网络信息安全内容的选取图书馆网络信息是对外开放并以支持教学和科研为目的。在这种情况下，网络信息安全是指读者未经授权无权使用、移动、修改和破坏图书馆信息。在对图书馆信息采取安全保护措施时必须确保其具有以下属性：①保密性：确保图书馆隐私信息的安全。此类信息必须严格控制读者访问量，只能授权一定级别的读者访问；同时，有权限访问图书馆隐私信息的读者也不能向公众透露相关的隐私信息。②完整性：确保图书馆信息是准确、完整并具有持久性。因此，图书馆信息安全管理要确保图书馆信息内容不是残缺不全的、失踪的、腐朽的、任意放置的，外借、故意或意外变化不会边缘化，在盗窃或破坏中具有安全性。③可用性：读者在授权时间内能无限制地访问并获取图书馆信息。图书馆必须有一个安全稳定的信息管理（网络）系统来支撑图书馆的运行，确保图书馆信息能及时传递而不会被延误。在维护图书馆信息安全的同时确保图书馆信息的保密性、完整性及可用性不缺失，这就要求在构建图书馆网络信息安全管理模型时对信息安全内容的确定带有一定的甄别性，不能将信息行业安全管理的所有原则、规划、标准及内容全部应用于图书馆安全管理。根据图书馆信息的特性，本文从管理、运行与操作、人员、建筑与技术及安全文化5个维度对图书馆信息安全的内容进行了选取，这5个维度的具体内容在图书馆网络信息安全管理模型中将会详细论述。

2.2图书馆网络信息安全管理模型的构建图书馆网络信息安全管理目标是为图书馆网络信息安全保护提供整体性方案，结合管理、运作流程、人文、建筑与文化氛围来保证图书馆信息安全管理达到一个合理水平，从而保证图书馆信息风险最小化。为实现这一目标，AbasheAtikuMaidabino和Zainab在满足图书馆信息的特性上，将DaVeiga和Eloff构建的“房屋模型”[6]加以简化与融合，构建出图书馆网络信息安全管理模型[7]，见图1。该模型将所有信息安全因素集合，确保图书馆信息能够得到充分保护，同时为图书馆提供一个全面的方法和工具来实施和评估信息安全管理。模型内容主要集中于5个维度：（1）管理维度：正确的领导，政策与程序到位；（2）流程和操作维度：包括实施过程、政策；（3）人员维度：读者/馆员信息安全意识和图书馆信息安全项目培训；（4）建筑和技术维度：支持馆藏信息安全项目；（5）安全文化维度：将图书馆馆藏信息安全理念有意识地植入馆员日常工作中[8]。图1图书馆网络信息安全管理模型

管理维度是指一组角色的规定，信息安全政策制定与管理由负责制定目标和政策的安全管理团队成员行使，从而确保目标和政策的实现，信息风险的评估与管理。图书馆的安全管理团队由图书馆各部门高级管理人员和安全部门的人员组成。这些成员应具备必要的信息应用和安全管理方面的经验和知识，这些成员被授权管理时能够遵守信息安全政策。信息安全管理责任是模型中管理维度的重要部分，这就要求图书馆应规划与制定精确的信息安全管理策略，明确风险管理的目标和方向。信息安全风险评估在图书馆各级安全规划风险设置中处于优先级别。馆藏信息定期风险评估规则的编制涉及图书馆资产类型、收藏价值、识别可能出现风险的威胁、漏洞和成本分析等详细的情况。信息安全漏洞可以通过会议、问卷、观察和报告来确定。通过信息安全漏洞的监测和风险评估过程的完善可以降低图书馆信息安全的风险，并能缓解图书馆的一些过度的承诺。管理维度强调要为图书馆信息管理、记录、维护、审查、更新风险管理政策和程序编写报告，通过快讯、交互式网页及其他内部刊物在馆员与读者之间广泛宣传馆藏信息安全管理的必要性，将信息安全意识植入馆员与读者脑袋。这一维度有利于为图书馆提供良好的馆藏安全管理信息。流程与操作维度是指信息安全管理团队为图书馆各相关部门制定信息安全管理运行方案的过程。分别是：（a）采访部：参与接收，标记并建立可用于识别丢失、错放地方和费用的库存清单，以便于图书馆备份和恢复；（b）流通部：创建手工或计算机系统对图书馆纸质信息进行丢失、被盗、错位、滥用、损坏等方面进行盘点，通过访问控制和信息的记录与跟踪，确保图书馆信息安全系统的修理与维护；（c）编目、技术部：通过图书馆OPAC系统对馆藏信息集合进行处理，应用图书馆识别标记建立和验证馆藏信息所有权，标识未经处理的信息并进行访问控制；（d）特藏部：对有价值的馆藏信息载体进行保护与保存，授权访问与监控。人员维度是指读者和执行安全管理政策与程序的馆员的安全意识。它规定图书馆需要阐明信息安全管理人员的角色和责任，对馆员进行有效的安全意识培训，帮助他们获得处理安全事件、准备可靠实用安全报告的知识。建筑与技术维度涉及信息安全管理所需要的建筑与技术氛围。建筑氛围是指信息安全管理措施应与图书馆建筑的物理结构和藏书空间融为一体：控制图书馆出入口；需要ID卡身份识别进入图书馆特别是特别馆藏区域；制定保安巡逻图书馆的时间表。技术氛围包括技术实践和嵌入到馆藏安全应用规划中的各种程序。它强调使用电子安全系统等技术设备来处理馆藏应用过程，控制安全漏洞，并在图书馆出入口点安装安全系统。这就意味着图书馆需要安装电子反盗窃设备、可视化相机、烟感探测及出入口、阅览区报警系统等安全设备。这将有助于防止图书馆藏书的丢失和对阅读区、参考咨询区及书库进行可行性监控和读者流量的检测。安全文化维度作为图书馆网络信息安全管理模型构成基础的安全文化，包括读者和馆员对图书馆信息重要性的态度、信息保护存在的安全漏洞、信息相关事件的意识、阻碍或限制信息安全管理系统有效性的意识。意识是一个看不见但可以通过行为来证明的元素，如（a）图书馆馆员的馆藏信息安全政策和管理过程的认识水平；（b）馆员对安全政策和程序重要性的态度；（c）安全漏洞和安全验收责任的意识[9]。图书馆网络信息安全管理模型中的安全文化是一种安全责任相互共享的文化，安全人员能够相互提供信息和工具来应对各种安全情况。这种态度与意识能够确保图书馆信息安全治理、管理和运行的有效性。图书馆网络信息安全管理系统在权重一致的5个维度的相互作用下，在馆藏信息得到安全管理的同时还能确保其在保密性、完整性和可用性上维持在一个合理的水平。

3图书馆网络信息安全管理模型应用方案目前，在图书馆的计算机网络上有馆藏书目信息、读者信息、各种电子文献数据库、光盘数据库检索系统、图书管理系统、特藏数据库等内容[10]。这些电子资源信息如果受到破坏，那么损失将会非常惨重，很可能会造成整个图书馆系统瘫痪。就目前的状况来看，图书馆所面临的网络信息安全问题主要有黑客攻击、计算机病毒、网络物理设备安全隐患、网络设备配置安全与人员造成的安全隐患等方面。为了预防与应对上述隐患对图书馆可能会带来的网络信息安全故障，图书馆应按照网络信息管理模型5维度的要求，建立起科学、规范、有效的网络信息安全管理流程（见图2），将网络信息安全隐患处理于萌芽之中。图2图书馆网络信息安全管理流程

应用图书馆网络信息安全模型处理网络信息安全故障，其管理流程可分为3个阶段：故障初排阶段、故障处理阶段与评估阶段。在故障初排阶段，图书馆工作人员或读者在应用图书馆的过程中，如果发现信息安全故障，应及时进行隐患初排并上报技术部，由技术部工作人员对该事件进行了解，并请求技术部主管上报给以馆领导为主的信息安全管理团队；在故障处理阶段，技术部工作人员根据事件了解进行安全故障检查并调查影响范围，从而形成第一次进程报告，并将其上报给馆领导，由馆领导进行资源调度后，技术部应急抢修；技术部附上应急抢修进程报告上报给馆领导形成第二次进程报告，然后结案、审核并归档；在评估阶段，各部门对此次信息安全故障事件进行评估总结。图书馆网络信息安全管理模型是以人为核心的信息安全保障体系，它强调的不是技术问题，而是管理的问题。图书馆网络信息安全在以馆领导为核心的安全管理团队的领导下，在工作人员、读者的共同配合下，依靠科学的管理流程，定能将图书馆网络信息安全管理达到一个全新的层次。

4结束语构建一个适应计算机网络普遍应用的图书馆网络信息安全管理模型，不仅是适应新形势的需要，也是图书馆信息数字化建设的重要组成部分。随着图书馆社交网络应用的普及，图书馆信息将面临更大的开放性和更多的安全方面的挑战。图书馆网络信息安全管理模型是一个包括技术、管理、人员和安全文化等多个环节整体性很强的体系，不能孤立或静止地看待和解决问题，网络信息安全性的提高依赖于不断的技术进步和应用，依赖于管理的逐步完善和人员素质的全面提升。相关人员应根据网络信息的特点和需求，进行有针对性的系统设计，不断地改进和完善网络技术的安全工作，更好地推动图书馆网络事业健康发展。

参考文献

[1]J.K.Tudor.InformationSecurityArchitecture—Anintegratedapproachtosecurityinanorganization[M].BocaRaton，FL：Auerbach.

[2]McCarthyM.P，CampbellS.SecurityTransformation[M].McGraw-Hill：NewYork.

[3]EloffJ.H，EloffM.IntegratedInformationSecurityArchitecture[J].ComputerFraudandSecurity，2005，（11）：10-16.

[4]ISO/IEC17799（BS7799-1）.Informationtechnology，Securitytechniques[S].Codeofpracticeforinformationsecuritymanagement，Britain.

[5]ISO/IEC27001（BS7799-2）.Informationtechnology，Securitytechniques[S].Codeofpracticeforinformationsecuritymanagement，Britain.

[6]A.DaVeiga，J.H.Eloff.AnInformationSecurityGovernanceFramework[J].InformationSystemsManagenment，2007，（4）：361-372.

[7]AbasheMaidabino，A.N.Zainab.Aholisticapproachtocollectionsecurityimplementationinuniversitylibraries[J].LibraryCollection，Acquisitions&TechnicalServices，2012，（36）：107-120.

[8]SiponeM.T.Fivedimensionsofinformationsecurityawareness[J].ComputerandSociety，2000，（6）：24-29.

地理信息安全的重要性篇4

通过开展信息安全检查工作，进一步落实信息安全责任，增强全员信息安全意识，认真查找突出问题和薄弱环节，全面排查安全隐患和安全漏洞，有针对性地采取管理和技术防护措施，促进安全防范水平和安全可控能力提升，预防和减少重大信息安全事件的发生，切实保障信息安全。

二、检查范围

信息安全检查的范围包括县市区卫生局和市直医疗卫生单位。涉及国家秘密的信息系统安全检查，按照国家保密管理规定和标准执行。

三、检查内容

（一）信息安全管理情况

按照国家信息安全政策和标准规范要求，信息安全管理规章制度的建立健全及落实情况。重点检查信息安全主管领导、信息管理机构和工作人员履职情况，信息安全责任制落实及事故责任追究情况，人员、资产、采购、外包服务等日常安全管理情况，信息安全经费保障情况等。

（二）技术防护情况

网络与信息系统防病毒、防攻击、防篡改、防瘫痪、防泄密等技术措施及有效性。重点检查事关国家安全和社会稳定，对部门或行业正常生产生活具有较大影响的重要网络与信息系统的安全防护情况，包括技术防护体系建立情况；网络边界防护措施，不同网络或信息系统之间安全隔离措施，互联网接入安全防护措施，无线局域网安全防护策略等；服务器、网络设备、安全设备等安全策略配置及有效性，应用系统安全功能配置及有效性；终端计算机、移动存储介质安全防护措施；重要数据传输、存储的安全防护措施等。

（三）应急工作情况

按照国家网络与信息安全事件应急预案要求，建立健全信息安全应急工作机制。重点检查信息安全事件应急预案制订、修订情况，应急预案演练情况；应急技术支撑队伍、灾难备份与恢复措施建设情况，重大信息安全事件处置及查处情况等。

（四）安全教育培训情况

重点检查信息安全和保密形势宣传教育、领导干部和各级人员信息安全技能培训、信息安全管理和技术人员专业培训情况等。

（五）安全问题整改情况

重点检查以往信息安全检查中发现问题的整改情况，包括整改措施、整改效果及复查情况，以及类似问题的排查情况等，分析安全威胁和安全风险，进一步评估总体安全状况。

四、检查方式

按照“谁主管谁负责、谁运行谁负责”的原则，信息安全检查工作以各县市区卫生局和市直医疗卫生单位组织自查为主。同时，市卫生局将会组织专业技术队伍对部分重点单位和重要系统进行安全抽查。

（一）安全自查

各县市区卫生局和市直医疗卫生单位统筹组织安排本地和本单位的信息安全自查工作，制定信息安全检查实施方案，印发检查部署文件，明确自查范围、责任单位、工作安排及工作要求等相关内容，并认真组织实施。自查工作完成后，各县、市（区）卫生局和市直医疗卫生单位要对本地卫生系统和本单位检查情况进行全面汇总、总结，填写检查结果统计表，认真梳理存在的主要问题，分析评估安全风险，撰写检查总结报告。

（二）安全抽查

1．抽查任务

市卫生局将组织专业技术队伍对部分县市区卫生局和市直医疗卫生单位进行抽查，抽查单位和时间另行通知。

2．抽点内容

(1)现场抽查内容。重点检查被抽查单位自查工作组织开展情况，2012年安全检查发现问题的整改情况，网络架构、安全区域划分的合理性，网络边界防护措施的完备性，服务器、网络设备、安全设备等的安全策略配置、应用系统安全功能配置及其有效性，重要数据传输、存储等安全防护措施。专业技术队伍应对重要设备和应用系统进行安全技术检测，深入挖掘安全漏洞，采用人工方式对安全漏洞的可利用性进行验证，帮助排查安全隐患，分析评估安全风险。

(2)外部检测内容。通过互联网对被抽查的网站系统、业务系统等安全风险状况进行外部检测，包括安全漏洞、网页篡改、恶意代码情况以及近年来安全检查中发现问题的整改情况等，验证被抽查系统安全防护措施的有效性。

五、时间安排

（一）自查时间安排

自查工作自本工作方案印发之日起启动，2013年9月23日结束。

（二）抽查时间安排

市卫生局牵头组织的抽查工作自9月23日起启动，9月30日前完成。

六、信息报送

（一）请各县市区卫生局和市直医疗卫生单位于2013年9月23日前向市卫生局上报检查总结报告，以及《地方／行业信息安全检查结果统计汇总表》（卫生局填报本地区卫生系统汇总后数据，医疗卫生单位填写本单位数据）、《信息安全检查结果统计表》和《政府部门信息安全管理工作自评估表（试行）》等相关材料。

（二）报送方式。报送材料纸质版至市卫生局办公室，电子版请通过省卫生厅集群办公OA系统发送至市卫生局。如填报内容，请按照保密要求通过机要方式传送。

（三）在自查中发现重大安全隐患或出现因检查工作导致的跨地区、跨部门或跨行业安全问题时，应及时向市卫生局和本地信息化管理部门报告。

七、有关工作要求

（一）加强领导，落实责任

各县市区卫生局和市直医疗卫生单位要把信息安全检查工作列入重要议事日程，加强组织领导，明确检查责任，建立并落实信息安全检查工作责任制，明确检查工作负责人、检查机构和检查人员，安排并落实检查工作经费，保证检查工作顺利进行。

（二）注重源头，深入检查

各县市区卫生局和市直医疗卫生单位要全面细致开展检查工作，注重采用技术检测等手段，深入查找安全问题和隐患。认真统计与填报数据，确保检查工作不走过场、不漏环节、不留死角。要高度重视检查中发现的苗头性、趋势性问题，全面系统地分析研究解决，从源头上遏制和消除安全隐患。

（三）即查即改，确保成效

各县市区卫生局和市直医疗卫生单位对检查中发现的问题要及时整改，因条件不具备暂时不能整改的问题应采取临时防范措施，保证系统安全正常运行。各县市区卫生局应及时把检查中发现的问题通报给相关单位，督促相关单位组织风险研判、并落实整改措施，对于逾期未进行整改的单位将予以通报。

（四）密切配合，加强指导

各县市区卫生局应加强与同级信息化主管部门的沟通合作，组织专业技术队伍对检查工作进行技术咨询和指导，不断提高检查

工作的科学性和规范性。承担抽查任务的专业技术队伍和被抽查

单位应加强沟通，做好配合工作，保障信息安全抽查工作的顺利

开展。

地理信息安全的重要性篇5

关键词信息链；信道；安全策略；容灾；访问控制

1引言

随着信息论、控制论的不断演化，通信、计算机、系统工程和人工智能等多种技术发展与融合，人们在信息的获取、传输、存储、处理与施用等方面的能力空前提高，信息技术革命与人们的生活息息相关。尤其是在信息极度膨胀的当今社会，人们对信息的依赖程度越来越紧密，因此对信息系统中的数据的可靠和信息的安全要求也越来越高，越来越迫切。本文着重对以计算机、网络传输等为载体的信息链作简要阐述，对如何保证其安全提供一些方法。

2基本概念

质量、能量和信息是物质的三大基本属性，是普遍存在于客观世界和人的意识活动中的。所谓信息是指事物存在的方式或运动状态以及这种方式或运动状态的直接或间接表述。信息具有时效性、寄载性、共享性、可计量性和可控性等特征[1]。

其中信息的可计量性已由信息论奠基人、美国数学家c.eshannon和控制论的鼻祖维纳在上个世纪以概率论为工具从数学上证明了平均信息量，即信息熵h(x)

h(x)=∑p(xi)h(xi)(i=1，2，，n)

由一组xi(i=1，2，，n)事件组成的集合为信源，每个事件出现的概率分别是p(x1)、p(x2)、p(x3)、p(xn)且

∑p(xi)=1(i=1，2，，n)。

定义h(xi)=-p(xi)(i=1，2，，n)，h(xi)称为这一事件xi的平均信息量。

信息的可控性体现了信息的可操作性，同时也增加了信息的复杂性。为了更有效地将信息系统应用到不同的任务和需求中去，应运而生了各种信息技术，如信息的搜索技术、信息的传输技术、信息的存储技术、信息的处理技术、信息的施用技术等。这些技术广泛运用于信息的整个生命周期中，存在于信源、信道、信宿等几个重要环节。

信源是信息的发源地，信息的获取和产生主要依赖于信源；而信道是信息传递的物理通道或媒介，是衔接信息与信宿的桥梁；信宿是信息传输的终点或目的地，是信息的接受者或利用者，是信息的归宿。信源产生消息，而信宿接受消息，信道用于传递消息，因此信息系统产生了信息链。信息链以其网络化、智能化、并行化、集成化、多媒体化为显著特征，每个环节的信息链中各子系统的侧重点不同。而信息在信息链中快速传递与广泛共享大大加强了需求各方对信息的搜集、传递、处理和施用的能力[2]。

图1信息系统的流程框图为了使信息系统内的资源少受或不受自然和人为等有害因素的威胁和危害，必须对信息系统中信息链的各个环节采取有效的安全策略加以保护，使其能够正常、稳定、可靠、高效、安全地运转。信息系统的流程图可参见图1。

3信息链中的数据安全策略

以网络与计算机为载体的信息系统中信息的发生、收集可以采用自动数据采集与人工采集录用相结合的方法，使具有某些特征的数据进入该系统中，并通过网络等传输媒质将数据送至数据中心，再分发到信息处理系统中，通常是高性能的计算机平台进行加工处理，然后将其运算结果发送到数据中心或需要施用数据的部门中去。

上述系统中存在着信息链，存在着若干个模块或子系统。每个模块或子系统又由更小粒度的模块或子系统构成，同时它们之间存在着复杂的关系，有若干个输入/输出、信息传输、信息存储、信息处理等模块。因此，需要建立多级安全模型，把系统中所有的主体和客体分别设置需要的登记和范畴，并按照确定的规则设置访问监督器。每当信息链中的一个主体要访问一个客体时，访问监督器根据该主体的安全属性和其要访问客体的安全属性，按照规则进行检查，看其是否具有访问权限。

建立安全的信息防护体系时，必须考虑到危及信息安全的各种因素，它包括信息系统自身存在的脆弱性和来自系统内、外部的各种各样的威胁。

以计算机系统和网络为特征的信息系统存在着固有的弱点和脆弱性，如果利用这些弱点，信息系统中的具有重要价值的信息可以被不留痕迹地窃取，非法访问可以造成系统内信息受到侵害，其脆弱性主要表现在：

①电磁辐射泄漏；

②存储媒质失控；

③数据可访问性；

④磁性介质的剩余磁效应；

⑤通信和网络的弱点等。

而对信息安全的主要威胁是非人为因素造成的和人为因素造成的两种。因此我们必须考虑信息系统的健壮性、完整性、可靠性和保密性等。

信息链中的系统安全遵循“木桶原理”，任何一个子系统或模块出现问题，则会殃及全系统的安全。为了保证数据的有效、可靠、完整、安全，必须对系统进行分层安全设计[3]。根据该思想我们可将系统的安全策略分为环境安全策略、子系统内部安全策略和子系统间的安全策略等。

3.1环境安全策略

系统面临的安全威胁来自多方面，有信息的泄漏，如击键窥探、电磁泄漏窥探、内存空间窥探、磁盘缓存窥探等等，有信息的伪造与篡改，有资源的窃取，有系统遭受蓄意破坏等。为保证系统安全必须首要考虑环境安全，采取有效措施，统筹兼顾，做到：

①物理实体的选址考虑；

②应急措施与路径冗余；

③防电磁辐射泄漏；

④媒质的安全如介质的保存、保护与备份等；

⑤防止线路截获，如线路的短路、断路，并联盗窃，感应窃取以及通信干扰等。

3.2系统内部安全策略

信息系统内部常用的安全策略有：

①信息系统容灾技术；

②安全操作系统及访问控制技术；

③数据备份与加密技术等。

3.2.1容灾基本概念

在考虑信息系统容灾策略时，比较合理的做法是：按照数据的重要性及其所处的地位进行级别的划分，按照划分结果对数据采用不同的备份方法。划分时一般要考虑几个因素：

bwo（backupwindowobjective）：备份窗口目标，主要是指创建备份数据时所耗费的时间；

rpo（recoverypointobjective）：即数据恢复点目标，主要指的是系统所能容忍的数据丢失量，针对的是数据丢失；

rto(recoverytimeobjective)：即恢复时间目标，指的是能够忍受的服务停止的最长时间，也就是从灾难发生到系统恢复服务所需要的最短时间，针对的是服务丢失。rpo和rto之间没有必然的联系。

图2容灾系统的七层架构

容灾系统的每一个层次采用不同的容灾方法，具有不同的数据恢复能力，即rto与rpo的差别。图3容灾系统处理能力与代价而当恢复策略转向更高层时，cost参数将呈指数增长。图3说明了这种关系。因此在选择容灾方案时应该根据实际情况在三个参数之间综合考虑。目前大多数企业的容灾系统处于share中的第2层，仅有少数系统具有“零数据丢失”的能力。

3.2.2信息系统容灾策略

除了环境安全策略外需要考虑的是信息系统的数据容灾技术。它包括本地容灾策略、异地容灾策略、系统管理和系统恢复策略等[3]。

3.2.2.1本地容灾系统

本地容灾的主要手段是容错，容错的基本思想是在系统体系结构上精心设计，利用外加资源的冗余技术来达到掩蔽故障的影响，从而自动地恢复系统或达到安全停机的目的。容错是依靠外加资源的方法来换取可靠性的，附加资源的方法很多，主要的有附加硬件，附加信息，附加时间和附加软件[4]。

硬件冗余是指通过硬件的重复使用而提高可靠性的方式，包括：硬件堆积冗余，待命存储冗余，及混合冗余等。时间冗余是通过消耗时间资源来达到容错目的的，例如：程序卷回，指令复执等。信息冗余是靠增加信息的多余度来提高可靠性的，附加的信息应具有如下功能：当代码中某些信息位发生错误（包括附加位本身的错误）时能及时发现错误或恢复原来的信息，一般来说，附加的信息位越多，其检错纠错能力越强[5]。软件冗余包括两个方向：研究无错软件，研究容错软件。

3.2.2.2异地容灾系统

异地容灾是指在相隔较远的异地，建立两套或多套功能相同的it系统，当主系统因意外停止工作时，备用系统可以接替工作，保证系统的不间断运行。异地容灾中涉及的一个重要概念是数据复制，数据复制的主要目的是确保异地间各个系统关键数据和状态参数的一致。它可分为同步复制和异步复制。

同步复制的工作过程如下：当主系统主机向本地的存储设备发送一个i/o请求时，这个请求同时被传送到备份系统的存储设备中，等到两个存储设备都处理完成后，才向主系统主机返回确认信号。这样确保两个存储设备中数据的一致性。但是，当两个系统距离较远或者通讯效率不够时，向容灾系统发送i/o请求，会造成主系统明显的延迟，甚至会使主机无法正常工作。

异步复制是指主系统内主机与存储设备间的i/o处理与数据复制过程无关，即主机无须等待远端存储设备完成数据复制就开始下一次i/o操作。这样主系统与备份系统之间数据复制的通讯效率高，不会影响到主系统内部的处理能力，但是这样可能产生两系统中数据不一致问题。

管理软件主要用于广域网范围的远程故障切换和故障诊断。当故障发生时，确保快速的反应和迅速的业务接管。在管理软件的控制下，广域网范围的高可用能力与本地系统的高可用能力形成一个整体，实现多级的故障切换和恢复机制，确保系统在各个范围的可靠与安全。

3.2.2.3容灾系统运行过程

一个完整的容灾系统工作过程如下：在正常情况下，主系统和备份系统都处于运行状态，但业务处理程序只在主系统中进行；而数据的任何修改，都会同步地复制到备份系统。当主系统的某些部件发生故障，冗余部件将接替工作，直到损坏部件修复，在整个过程中，系统不受影响正常运行。当自然灾难发生，主系统瘫痪时，备份系统将启动业务应用系统，保证业务的正常运行。主系统修复后，将备份系统的当前数据复制回主系统，然后将应用系统切回到主系统，备份系统重新回到备份状态；或者主系统修复后，作为备份系统使用，而备份系统作为主系统。这样能够很好应付各种软硬件故障、人为或自然灾害对计算机处理系统的影响，保护业务系统的不间断运行。

3.2.3安全操作系统及访问控制技术

操作系统的安全与健壮是信息系统安全可靠的基础，只有这样它才能对整个计算机信息系统的硬件和软件资源进行有效的控制与管理，并为所管理的资源提供相应的安全保护。设计一个安全操作系统通常采用下列关键技术：

①隔离性设计；

②核心设计；

③结构设计。

一个安全操作系统必须保证系统控制和管理数据的存取、程序的运行、i/o设备的正常运转时以最小的负载对系统效率的影响，对系统中的数据库也可以采用安全策略，如安全管理策略、存储控制策略、库内加密、整个数据库加密、硬件加密等方法，来实现数据库的安全与保密。

为了有效地管理所属资源，实施访问控制是行之有效的措施之一。访问控制是对处理状态下的信息进行保护，是系统安全机制的核心之一，它保护被访问的客体，并对访问权限进行确定、授予和实施，在保证系统安全的前提下，最大限度地共享资源。一般访问控制机制应遵循下列原则：

①最小特权原则；

②对存取访问的监督检查原则；

③实体权限的实效性原则；

④访问控制的可靠性原则；

⑤存取权分离原则；

⑥最小共享存取原则；

⑦设计的安全性原则；

⑧用户的承受能力与经济性原则等。

访问控制可以保护系统信息，保证重要信息的机密性，维护系统信息的完整性，减少病毒感染的机会，延缓病毒的传染时间。

3.2.4系统备份与数据加密策略

备份技术与故障恢复技术是信息系统安全的重要组成部分，是确保信息系统在遇到各种不测事件、遭到破坏时能尽快投入再使用的保证。备份技术包括全系统备份技术和部分系统备份技术，备份方式有全量备份、增量备份和差分备份等，另外对系统数据加密和加密数据备份，以确保数据的安全。

3.3系统间的安全策略

由于自身的安全缺陷和网络的开放性使得信息系统的安全面临极大的挑战，人们不断研发新的技术改善其弱点，在系统间也同样面临类似问题。在信息传输过程中，通讯双方必须有身份验证机制才能保证彼此的信任，否则通讯就失去了真实性。

为了保证系统间的安全机制，实现信息传递过程中的机密性、完整性、抗否认性、可用性等，其安全信息传输系统必须具备下列安全功能：

①身份及信息验证；

②网络的访问控制；

③通信信息的加密；

④鉴别技术；

⑤安全审计技术等。

系统间的安全策略可以采用加密技术，如链路-链路加密和端-端加密等方式；也可以采用防火墙技术，如基于分组过滤的防火墙、基于服务的防火墙、基于vpn的防火墙等；还可以采用智能卡技术。另外系统间还必须十分注重抵御日益猖獗的计算机病毒，注意管理预防与技术防范相结合。

4结束语

目前信息系统中的数据安全非常重要，除了制度上的保障外，技术保障是基础。信息系统中的数据安全策略着重研究信息系统间、信息系统内部以及数据链的诸多环节的容错、容灾、访问控制等问题。对于信息系统的设计必须考虑安全性原则、整体性原则、投资保护原则、实用性原则等，既要保证系统内部的稳定性、安全性，也要保证系统间的友善性和互联、互通、互操作性，避免有价值信息的泄漏，避免己方受到外界的恶意攻击。

参考文献

[1]赵战生，冯登国，戴英侠，等．信息安全技术浅谈[m]．北京：科学出版社，1999

[2]顾锦旗，胡苏太，朱平．实用网络存储技术[m]．上海：上海交通大学出版社，2002

[3]贾晶，陈元，王丽娜．信息系统的安全与保密[m]．北京：清华大学出版社，2002

地理信息安全的重要性篇6

关键词：企业信息安全问题对策

引言

随着企业商业机密泄露事件的不断发生和网络环境的日益恶化，企业信息安全问题逐渐被提上议事日程，信息安全建设正在成为越来越多企业的首要头等大事。企业信息安全工作事关企业核心竞争力的高低，关系到企业的长远、健康发展。每一个企业及其管理者都要从观念和行动上重视信息安全建设，查找其中存在的隐患与问题，借鉴先进经验措施进行改进，保护好企业的信息资源，促进自身发展。

一、企业信息安全概述

信息安全是一门设计网络技术、计算机科学、信息安全技术和通信技术等多专业的综合性学科，它是指由硬软件、基础设施、物理环境、数据等因素组成的信息系统受到保护，不收到恶意的、偶然的原因而遭到更改、破坏或者泄露，系统连续正常可靠地运行，信息服务不中断，最终实现业务的连续性。信息安全要实现信息的完整性、真实性、保密性、未授权拷贝和所寄生系统的安全性。企业信息安全主要包括企业实体安全、信息资产安全、运行安全和人员安全等内容，其对企业的发展壮大具有非常重要的现实意义。做好信息安全工作企业稳定发展的前提基础。

二、企业信息安全隐患与问题分析

1.网络安全隐患长期存在。互联网的快速发展方便了信息的传递，提升了企业各项管理事项的处理速度与效率，但是网络的联通性也给企业信息安全带来了一定的安全隐患。企业广域网上的用户繁杂，很难进行统一有序的管理，着就使得企业信息资源和信息系统的安全性难以得到有效的保证，这是当前企业信息安全面临的一个主要问题，也是当前的一个热门安全课题。

2.计算机病毒、黑客的危害与攻击。病毒是计算机系统的头号大敌，企业息息系统一旦感染病毒，就有可能造成网络通信故障，破坏系统数据和文件信息，导致系统中的重要数据资料丢失或者损坏，给公司带来灾难性的破坏。黑客通常会通过信息炸弹、密码破解、后门程序和网络监听等手段侵入计算机系统，占用系统资源，破坏或者盗窃系统中的重要秘密信息。

3.企业信息安全管理规章制度缺失。有关企业信息安全方面的规章制度还不够完善，因为相关安全手段和技术还没达到标准化和成熟阶段，现有的法规也不能很好地被贯彻执行，这就导致企业较难制定出能够满足实际需要的科学合理的安全策略来保护自身的信息安全。另外，企业自身的信息安全责任制度也不到位。当前，人们对企业信息安全的认识有一个误区，即信息安全是企业信息技术部门的任务，和其它部门及工作人员没有直接的关系。其实，每一个员工都是信息安全工作的参与者。

4.企业员工信息安全意识不足。事实表明，在众多的信息安全事件中，企业内部员工有意或者无意的信息泄露是发生最多的一种安全事件。企业员工信息安全意识差，或者因为自身利益而丢弃了职业道德与操守，都会给企业带来不必要的经济损失。另外，信息安全管理人员素质低下，如基本信息安全保护常识掌握不到位、用户口令设置不合理等都会给企业带来信息安全隐患。

三、做好企业信息安全工作的几点建议

1.做好网络安全管理工作。首先，加强网络安全审计和日志管理。企业信息安全管理者应该充分利用好入侵检测系统和网络防火墙的审计功能，做好网络审计和日志管理工作，禁止任何人删除或者修改审计记录，严格管理好审计数据信息。其次，加强网络管理制度建设。企业领导要提高信息安全意识，制定必要的安全管理制度，加强网络信息运行环境与基础设施管理与建设。再次，完善企业内网统一认证系统。这是确保网络信息安全的重要措施之一，它可以实现网络信息安全系统的机密、访问控制服务、不可否认服务和身份鉴别服务等。

2.优化网络安全防护体系。企业应该完善企业安全信息管理组织体系，制定安全信息管理规范，详细说明各种信息安全策略，落实信息安全措施。安全防护体系的建立与优化不是一劳永逸的，企业必须根据实际安全问题与漏洞，随时进行系统更新，以确保网络信息安全。此外，还要建立健全防病毒管理制度。不随便往企业内网主机中拷贝互联网上下载的数据资料，禁止在计算机上随便使用来路不明的移动存储设备。企业信息安全管理人员应该掌握基本的预防及处理病毒常识，在电脑上安装防病毒系统。

3.建立健全企业信息安全管理各项规章制度。做好信息安全工作首先要明确安全事故责任，并将其纳入员工个人业绩考核和企业安全生产考核范围内。加强安全信息管理一把手建设，保证信息安全工作责权清晰，按照“谁主管谁负责、谁使用谁负责”的原则，将责任落实到个人。其次，要完善数据安全管理制度。确保数据存储介质安全；对数据信息的操作要经过主管部门负责人的审批，并且确保所有操作工作都在两人以上的场合、在第三方的监督之下进行；定期对重要数据信息进行备份，且将其存储在异地。

4.提高信息安全管理人员综合素质。企业信息安全管理人员安全技术能力和管理能力的高低直接决定着企业信息安全指数的高低，所以，在强化管理人员信息安全意识的同时，还要对其进行必要的信息安全管理理论与技术培训。同时，企业还应该与外部专业技术企业建立长期有效的外部技术支持网络，以便准确、快速地对自身的信息安全事故进行处理，在最短时间内排出突发事故的发生，将企业的损失与风险降低到最低限。

四、结语

随着企业信息化程度的不断提高和市场竞争的日益激烈化，信息资源将成为一种决定企业成败的重要战略资源。因此，企业要想取的长远发展，永远立于不败之地，就应该重视信息安全管理工作，在制度、技术、员工素质等多方面来保护企业信息的安全性。

参考文献：