緒論：寫作既是個人情感的抒發(fā)，也是對學術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇信息安全管理論文范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

2基層稅務(wù)信息安全管理的難題

2.1基層稅務(wù)信息安全管理存在的風險

信息技術(shù)飛速發(fā)展，尤其是大數(shù)據(jù)時代的到來，基層稅務(wù)信息安全技術(shù)管理風險與日俱增。科學技術(shù)水平日新月異，移動互聯(lián)網(wǎng)、虛擬化、云技術(shù)、大數(shù)據(jù)應(yīng)用等新技術(shù)層出不強。此類技術(shù)的應(yīng)用對于專業(yè)技術(shù)的要求較高，安全保障措施也較為嚴密，但現(xiàn)有的稅務(wù)信息安全管理的軟硬件、制度、頂層設(shè)計、稅務(wù)人員素質(zhì)、社會要求等方面無法適應(yīng)其方便、快捷、高效的特點，使得稅務(wù)信息暴露在數(shù)據(jù)的海洋，極易造成信息被盜取、被非法病毒所侵入，稅務(wù)信息安全技術(shù)管理必然風險激增。改革不斷深化，尤其是簡政放權(quán)要求逐步提高，基層稅務(wù)信息安全行政管理風險突飛猛進。全面深化改革的推進，行政管理被要求回歸理性簡政放權(quán)，實現(xiàn)由權(quán)力管制到權(quán)利治理，基層稅務(wù)部門必然面臨著工作重心后移及執(zhí)法風險加大的交匯壓力，后續(xù)管理將成為稅務(wù)部門工作的一種常態(tài)。稅務(wù)管理信息化是保證后續(xù)管理科學、有效、規(guī)范進行的基本方式且根本保障，而稅務(wù)信息安全管理是稅務(wù)管理信息化的基礎(chǔ)，是故稅務(wù)信息安全管理必然成為稅收征收與管理過程的基礎(chǔ)和支撐。稅務(wù)管理信息化下稅務(wù)信息不論是頻率還是數(shù)量均不斷提高，數(shù)量和質(zhì)量相生相克，前者的增多必然導致后者的下降，稅務(wù)信息安全行政管理風險驟升。依法治稅加強，尤其是納稅人權(quán)利意識的覺醒，基層稅務(wù)信息安全管理涉紛風險不斷提高。隨著經(jīng)濟、社會以及文化的不斷發(fā)展，納稅人權(quán)利意識在不斷覺醒，私權(quán)保護、正當程序、公平正義成為了普遍訴求。納稅人信息是稅務(wù)信息安全管理的重要內(nèi)容之一，包含著巨大的商業(yè)價值，稅務(wù)機關(guān)在采集、保管和使用納稅人信息過程中往往由于安全措施不到位而導致納稅人權(quán)利受到損害事件時有發(fā)生，甚至誘發(fā)違法犯罪。近些年來，由于稅務(wù)信息安全管理不善帶來的稅務(wù)糾紛呈水漲船高之勢，納稅人訴諸法律途徑的越來越多，基層稅務(wù)部門涉議、涉訴風險不斷提高。

2.2基層稅務(wù)信息安全管理面臨的困境

2.2.1稅務(wù)信息安全管理意識淡薄

稅務(wù)管理信息化在我國方興未艾，關(guān)于稅務(wù)信息安全的理解、保護方法、風險防范手段等社會所知甚微。就稅務(wù)部門而言，大部分基層稅務(wù)工作人員對于稅務(wù)信息安全管理是什么、稅務(wù)信息安全管理意義是什么、怎樣實現(xiàn)稅務(wù)信息安全管理等內(nèi)容的認識與理解存在偏差，主觀地認為稅務(wù)信息安全與稅務(wù)部門的核心業(yè)務(wù)無關(guān)，是一種簡單的信息存儲與傳輸，意義不大。甚至是一提到稅務(wù)信息安全，不少人就當然的認為是病毒和黑客，而往往忽視內(nèi)部人員的過錯或故意行為等因素。就納稅人而言，大部分納稅人抱有這樣的態(tài)度，就是只要按照法定規(guī)定和法定程序上繳完稅，其他的就與自己沒有多大干系，稅務(wù)信息安全管理也是如此，因而往往不配合稅務(wù)信息的收集等工作。由于少數(shù)人的安全意識淡薄和管理不善，會影響整個稅務(wù)信息系統(tǒng)的安全性。

2.2.2稅務(wù)信息安全管理方式滯后

整體上看，基層稅務(wù)信息安全管理還主要是依靠單一的技術(shù)方法，稅務(wù)信息保密措施少、身份認證未得到全面應(yīng)用、缺少路由安全和防止入侵的技術(shù)措施，難以適應(yīng)稅務(wù)信息安全管理的要求。首先，稅務(wù)信息技術(shù)管理方式賴以生存的硬件設(shè)施可靠性、穩(wěn)定性不足，缺少日常維護及安全配套措施。其次，稅務(wù)信息技術(shù)管理核心之處的軟件設(shè)施開放性強，比如，內(nèi)部網(wǎng)路終端信息共享范圍廣、操作系統(tǒng)主要是國外研發(fā)的，內(nèi)外網(wǎng)機器存在混用現(xiàn)象，極大增加了稅務(wù)信息安全風險。最后，采集數(shù)據(jù)分散，不能形成有效共享，普遍存在“信息孤島”現(xiàn)象；業(yè)務(wù)信息不能通過計算機有效流轉(zhuǎn)，自動化管理過程隔離；尤其是信息缺乏高效的數(shù)據(jù)監(jiān)控措施，沒有形成科學的內(nèi)、外監(jiān)督體系，不斷遭受黑客攻擊，還出現(xiàn)數(shù)據(jù)丟失的現(xiàn)象等。

2.2.3稅務(wù)信息安全管理制度不完善

稅務(wù)信息采集、整理、貯存、傳輸、反饋及應(yīng)用等過程中安全管理的理念并未得到貫徹，稅務(wù)信息安全管理制度還不全面、缺乏體系性、可操作性也不強。具體來講，一是缺乏強有力的稅務(wù)信息安全管理領(lǐng)導制度。一般而言，基層稅務(wù)信息安全管理主要是由稅務(wù)信息中心實施，與其他內(nèi)設(shè)機構(gòu)之間是并列關(guān)系，信息安全管理無法滲透到稅收征管的其他環(huán)節(jié)。二是缺乏科學的稅務(wù)信息安全事故預防、報告及處理制度，各基層稅務(wù)部門普遍缺失完備的信息安全事故報告程序與預防處理方案，稅務(wù)信息安全事故的預防、處理沒有可持續(xù)的制度支撐。三是缺乏規(guī)范的稅務(wù)信息安全管理考核制度，基層稅務(wù)信息安全崗位與責任相適應(yīng)的考核標準，機制不規(guī)范，致使信息安全管理深度與力度得不到有效落實。此外，信息安全責任制度還需進一步細化和完善。

2.2.4信息安全風險管理機制存在缺陷

稅務(wù)信息化下，稅務(wù)信息安全風險有來自基礎(chǔ)設(shè)施毀損的風險，有技術(shù)應(yīng)用帶來的風險，有人為操作引發(fā)的風險，可謂無處不在、無時不有。但目前基層稅務(wù)機關(guān)并沒有形成體系化的稅務(wù)信息安全風險識別、評估、控制等管理機制。就稅務(wù)信息安全風險識別而言，稅務(wù)信息并未被確定成為一種資產(chǎn)，因而缺乏稅務(wù)信息必要的分類管理。同時，這種安全風險識別僅局限于技術(shù)硬件故障或錯誤、技術(shù)軟件故障或錯誤、技術(shù)淘汰等技術(shù)層面，而對于其他層面的信息安全威脅鮮有涉及。就稅務(wù)信息安全風險評估而言，由于專業(yè)技術(shù)和人才的缺乏，加之評估頻率與方法不當，很難真正分析出信息安全風險的高低，影響到控制措施的選擇。就稅務(wù)信息安全風險控制而言，由于識別與評估分析中的不健全，使得風險控制策略選擇失去了可信基礎(chǔ)，致使避免、轉(zhuǎn)移、緩解及接受等風險控制策略無從選擇。

3基層稅務(wù)信息安全管理的應(yīng)對

3.1加大信息安全管理教育培訓，更新稅務(wù)信息安全管理理念

應(yīng)當認識到，稅務(wù)信息安全管理既是國家信息安全管理的有機構(gòu)成，也是基層稅務(wù)工作的重要組成部分，它涵蓋稅收信息的采集、整理、存儲、傳輸、反饋、開發(fā)及應(yīng)用等全過程，不僅可以加強稅收收入的規(guī)劃性，有效發(fā)揮稅收促進生產(chǎn)，調(diào)節(jié)、監(jiān)督經(jīng)濟的作用，還能衡量稅收分配是否合理，稅負負擔是否平衡，保障納稅人的權(quán)利。因此，基層稅務(wù)部門要摒棄稅務(wù)信息安全管理不重要的觀念，提高對稅務(wù)信息安全的認識，充分了解稅務(wù)信息安全管理的內(nèi)容、作用及方法，以此更新稅務(wù)信息安全管理理念。稅務(wù)信息安全管理意識之所以淡薄，原因在于信息安全管理教育與培訓少，稅務(wù)信息安全管理專業(yè)人才匱乏。對此，一方面要靈活多樣地培訓學習形式，綜合平衡信息安全相關(guān)項目，提高稅務(wù)工作人員的信息安全意識與能力水平；另一方面，要建立稅務(wù)信息安全管理培訓機制，通過組織開展多層次、多方位的信息安全培訓，提高安全員信息安全防范技能，培養(yǎng)稅務(wù)信息安全管理骨干。此外，稅收普法宣傳教育中還要強化納稅人信息安全意識。

3.2綜合內(nèi)外部控制手段，實現(xiàn)稅務(wù)信息安全管理方式多元化

稅務(wù)信息安全管理是一個系統(tǒng)工程，涉及信息技術(shù)體系、信息風險管理及組織管理框架等諸多方面，面對終端規(guī)模大、地域分布廣、技術(shù)類型多的現(xiàn)實，單純的依靠外部技術(shù)手段無法實現(xiàn)稅務(wù)信息安全管理，需要內(nèi)部控制措施予以協(xié)同，多元化的管理方法才能更好地、更有效地保障稅務(wù)工作人員完成信息安全管理工作。首先，完善稅務(wù)信息安全技術(shù)手段，做好信息安全防護體系建設(shè)和運行管理。不論是采取何種技術(shù)手段進行稅務(wù)信息管理，都要建立完備的病毒防范、身份鑒別與訪問控制、入侵檢測及信息加密等信息安全管理技術(shù)體系，定時檢查并更新硬件設(shè)備以確保其可靠性與穩(wěn)定性。其次，要克服“唯技術(shù)論”的傾向，稅務(wù)部門要建立統(tǒng)一的信息安全保障中心，保證稅務(wù)信息安全集中和集成管理，努力形成完整的數(shù)據(jù)安全與備份體系。最后，完善稅務(wù)信息安全管理內(nèi)部控制手段，以減輕由于內(nèi)部人員道德風險、系統(tǒng)資源風險所造成的信息危害。主要是采用人機聯(lián)控的控制方式，通過實施一系列的控制活動和保護措施，以實現(xiàn)對與稅務(wù)信息安全相關(guān)的人與物的管理，并最大限度地保障稅務(wù)信息安全。

3.3完善稅務(wù)信息安全管理框架，健全稅務(wù)信息安全管理制度

借鑒信息安全管理一般理論，完整的稅務(wù)信息安全管理框架包括定義稅務(wù)信息安全政策、定義稅務(wù)信息安全管理范圍、進行稅務(wù)信息安全風險評估、確定管理目標和選擇管理措施、準備稅務(wù)信息安全適用性聲明、建立相關(guān)文檔、文檔的嚴格管理及安全事件記錄回饋。針對目前稅務(wù)信息安全管理框架的不完善，稅務(wù)部門應(yīng)嚴格按照信息安全管理框架，制定完善的信息安全規(guī)章、明確管理范圍、風險、目標、措施等予以完善。與此同時，還要健全稅務(wù)信息安全管理相關(guān)制度。一是建議基層稅務(wù)機關(guān)應(yīng)成立信息安全領(lǐng)導小組，各區(qū)局、科室、所都應(yīng)明確專人負責稅務(wù)信息安全的管理，以健全稅務(wù)信息安全管理領(lǐng)導制度；二是建議明確安全事故預防任務(wù)、報告時限與程序、處理方法與措施，以健全稅務(wù)信息安全事故預防、報告及處理制度；三是建議制定規(guī)范、可行的信息安全管理考核機制，明確規(guī)定每個稅務(wù)工作人員在信息安全方面應(yīng)承擔的責任、保密要求以及違約責任，以健全稅務(wù)信息安全管理責任制度。總之，就是要建立安全管理機構(gòu)，確定安全管理人員，建立安全管理制度，建立責任和監(jiān)督機制，切實保障稅務(wù)信息安全管理有效開展。

篇（2）

論文摘要：隨著信息化時代的到來，作為生產(chǎn)信息產(chǎn)品的統(tǒng)計部門，具有著實現(xiàn)統(tǒng)計跨越式發(fā)展的極大優(yōu)勢。統(tǒng)計工作信息化的實現(xiàn)大大地促進了政府管理模式和統(tǒng)計制度方法的改革，使這些領(lǐng)域?qū)崿F(xiàn)了突破性和跨越式發(fā)展。

隨著信息化時代的到來，作為生產(chǎn)信息產(chǎn)品的統(tǒng)計部門，具有著實現(xiàn)統(tǒng)計跨越式發(fā)展的極大優(yōu)勢。緣何此說，其一、具有社會經(jīng)濟內(nèi)涵的數(shù)據(jù)是統(tǒng)計工作成果的特征，而數(shù)字科學也是信息產(chǎn)業(yè)的基礎(chǔ)和核心，“數(shù)字”把二者聯(lián)系的如此之近，更何況統(tǒng)計信息也是信息產(chǎn)品的一部分；其二、計算機、應(yīng)用軟件、網(wǎng)絡(luò)等是具有代表性的信息產(chǎn)業(yè)產(chǎn)品，而統(tǒng)計用戶是這些產(chǎn)品最穩(wěn)定的用戶之一，統(tǒng)計工作為這些技術(shù)領(lǐng)域的發(fā)展不斷提供著新的市場需求；其三、信息產(chǎn)業(yè)發(fā)展的基礎(chǔ)是具有完善的標準體系，而統(tǒng)計工作的全過程、構(gòu)成統(tǒng)計報表制度的諸因素無一不是建立在統(tǒng)一的標準體系之上；其四、統(tǒng)計自身也是生產(chǎn)信息產(chǎn)品的部門，信息產(chǎn)業(yè)發(fā)展的總趨勢必將帶動統(tǒng)計事業(yè)的不斷前進，而統(tǒng)計信息產(chǎn)品的逐步升級也將促進信息產(chǎn)業(yè)的不斷發(fā)展。統(tǒng)計工作全部在網(wǎng)絡(luò)環(huán)境下運行，實現(xiàn)統(tǒng)計政務(wù)電子化、統(tǒng)計工作流程電子化、統(tǒng)計辦公電子化，統(tǒng)計生產(chǎn)力實現(xiàn)跨越式發(fā)展。

1統(tǒng)計政務(wù)電子化

統(tǒng)計政務(wù)是政府行政管理的一個組成內(nèi)容，它包括統(tǒng)計工作人員的資格認定、統(tǒng)計調(diào)查單位登記備案、部門統(tǒng)計調(diào)查項目和涉外統(tǒng)計調(diào)查項目的審批備案等，統(tǒng)計政務(wù)電子化是電子政務(wù)的一個組成部分。根據(jù)這些統(tǒng)計政務(wù)項目的性質(zhì)，應(yīng)把統(tǒng)計調(diào)查單位登記備案、部門統(tǒng)計調(diào)查項目和涉外統(tǒng)計調(diào)查項目的審批備案等政府統(tǒng)計機構(gòu)審批備案事項納入電子政務(wù)的范圍。在實現(xiàn)形式上，統(tǒng)計調(diào)查單位登記備案可以納入一個地區(qū)電子政務(wù)總流程，而部門統(tǒng)計調(diào)查項目和涉外統(tǒng)計調(diào)查項目的審批備案可以通過網(wǎng)絡(luò)報批。統(tǒng)計調(diào)查單位登記納入一個地區(qū)電子政務(wù)總流程將是統(tǒng)計政務(wù)邁出的重要一步。

電子政務(wù)就是在現(xiàn)代網(wǎng)絡(luò)環(huán)境下，運用計算機通信技術(shù)，構(gòu)建一個政府辦公平臺，使用戶只要持有一臺電腦，即可在任何方便的時間和方便的地點獲得政府的信息和服務(wù)。這種減少環(huán)節(jié)、提高實效、方便用戶的政府對社會辦公系統(tǒng)是對傳統(tǒng)辦公模式的根本變革。

企業(yè)辦理一項政府審批事項曾經(jīng)歷了多點多次式(即企業(yè)要多次光顧多個衙門，才可獲取多種批準證書)到多次一點式(即企業(yè)要多次光顧一個大廳可以獲取多種批準證書)。而未來網(wǎng)絡(luò)登記和審批模式則達到一次一點式(即政府各部門的登記審批以及備案手續(xù)均在網(wǎng)上進行，只需一次光顧一個大廳即可獲取所有審批證件)。網(wǎng)絡(luò)登記和審批模式至少可以實現(xiàn)四個方面的目標：一是規(guī)范政府行為，促使政府各部門依法行政。網(wǎng)上審批和登記內(nèi)容必須是具有法律依據(jù)或政府批準的行政審批事項，除此之外企業(yè)將不予辦理報批；二是有利于增加政府行政透明度，做到政務(wù)公開，利于社會公眾對政府的有效監(jiān)督，促進政府部門的勤政廉政建設(shè)；三是減少企業(yè)申報程序中的重復工作量，避免技術(shù)性差錯；四是可以實現(xiàn)政府各部門之間的信息資源共享。總之，這種政務(wù)辦公模式將促進政府由單一管理型向服務(wù)管理型轉(zhuǎn)變，促進政府真正成為廉潔高效的政府；同時也促使企業(yè)和生產(chǎn)經(jīng)營者通過依法辦理登記報批，對政府依法履行義務(wù)，依法經(jīng)營納稅。

實現(xiàn)登記審批網(wǎng)絡(luò)化的五個前提條件：一是政府要確定一個部門，賦予其網(wǎng)絡(luò)辦公總策劃、總協(xié)調(diào)的職能，促使政府各職能部門消除部門利益，形成政府辦公“一盤棋”的格局；二是要有電子政務(wù)的統(tǒng)一標準，例如：統(tǒng)一的企業(yè)(單位)編碼(即企業(yè)(單位)身份號)、統(tǒng)一的登記注冊類型、統(tǒng)一的國民經(jīng)濟行業(yè)分類標準等等，避免用戶在使用公共信息中由于標準不統(tǒng)一而造成的混亂；三是要有一個科學的、可以實現(xiàn)政府各部門服務(wù)管理職能程序的、方便企業(yè)操作的電子政務(wù)辦公流程，例如北京西城區(qū)政府“一站式”服務(wù)大廳的新辦企業(yè)審批項目流程是這樣的：企業(yè)名稱預先登記領(lǐng)取工商注冊登記表辦理前置審批開據(jù)房產(chǎn)證、入資、驗資企業(yè)審批、發(fā)法人執(zhí)照或營業(yè)執(zhí)照刻章審批開設(shè)銀行賬戶辦理機構(gòu)代碼登記辦理國稅登記辦理地稅登記辦理統(tǒng)計登記辦理社會保險登記辦理戶外廣告審批辦理旅店業(yè)審定價辦理商委糧食審批辦理科技企業(yè)認證當?shù)毓ど趟鶄浒浮?隨著政府職能的轉(zhuǎn)變，以上部分政府審批登記項目可以逐步移交給行業(yè)協(xié)會，發(fā)揮中介組織規(guī)范企業(yè)市場行為的作用。)科學的運行流程一環(huán)扣一環(huán)相互聯(lián)系相互制約，相同信息只取一次，避免重復和差錯。四是建立完善的網(wǎng)絡(luò)安全系統(tǒng)。網(wǎng)絡(luò)安全一直是困擾電子政務(wù)的難點問題之一，包括建立網(wǎng)絡(luò)防毒、安全認證、信息資源分級分層使用的安全體系，這些在技術(shù)上都應(yīng)得到解決。五是要統(tǒng)一電子操作系統(tǒng)，要編制一個科學統(tǒng)一的流程軟件。而以上五個方面都是建立在政府是一個有機的工作整體的基礎(chǔ)上，其工作出發(fā)點統(tǒng)一在服務(wù)基層，依法行政上。統(tǒng)計登記是政府統(tǒng)計部門依法行政的一項主要內(nèi)容，是政府統(tǒng)計掌握調(diào)查對象，建立統(tǒng)計渠道的重要途徑，隨著政府登記審批電子系統(tǒng)的建立，統(tǒng)計登記網(wǎng)絡(luò)化將得以實現(xiàn)。

2統(tǒng)計工作流程信息化

統(tǒng)計工作流程的信息化是統(tǒng)計系統(tǒng)內(nèi)部實現(xiàn)的，它是指統(tǒng)計信息產(chǎn)品生產(chǎn)的全過程的電子化，即統(tǒng)計基礎(chǔ)數(shù)據(jù)的采集統(tǒng)計數(shù)據(jù)的加工處理統(tǒng)計數(shù)據(jù)質(zhì)量控制統(tǒng)計初級產(chǎn)品的開發(fā)統(tǒng)計信息產(chǎn)品的統(tǒng)計信息資源管理等統(tǒng)計工作的全過程。

統(tǒng)計數(shù)據(jù)采集實現(xiàn)由以統(tǒng)計報表、軟磁盤為主轉(zhuǎn)變?yōu)橐跃W(wǎng)絡(luò)傳輸為主。加強各級政府統(tǒng)計部門和基層企業(yè)的計算機網(wǎng)絡(luò)化水平，加強統(tǒng)計信息網(wǎng)絡(luò)安全建設(shè)，國家、省(直轄市)和地(市)級政府統(tǒng)計局之間、限額以上統(tǒng)計調(diào)查企業(yè)(單位)與各級政府統(tǒng)計局之間應(yīng)具備網(wǎng)絡(luò)快速傳遞的硬件和設(shè)施水平；實現(xiàn)政府統(tǒng)計局對企業(yè)、上級政府統(tǒng)計部門與下一級政府統(tǒng)計部門之間統(tǒng)計制度、統(tǒng)計培訓、電子程序的網(wǎng)絡(luò)傳遞；實現(xiàn)基層企業(yè)(單位)統(tǒng)計數(shù)據(jù)信息的網(wǎng)上直報。最大限度地減少統(tǒng)計報送環(huán)節(jié)，解決基層統(tǒng)計人員力量不足的矛盾。

統(tǒng)計數(shù)據(jù)處理應(yīng)用程序由專業(yè)各自開發(fā)轉(zhuǎn)變?yōu)榧薪y(tǒng)一研制。統(tǒng)一數(shù)據(jù)處理操作平臺、應(yīng)用軟件、文件格式；統(tǒng)一實行統(tǒng)計“一套表”制度，統(tǒng)一單位屬性標識代碼、統(tǒng)計指標代碼；統(tǒng)一數(shù)據(jù)處理和審核程序；實現(xiàn)準確、高效、方便的數(shù)據(jù)處理模式。

篇（3）

二、檔案信息安全管理的現(xiàn)狀分析

近年來隨著計算機網(wǎng)絡(luò)技術(shù)的發(fā)展，我國的檔案管理模式基本上分為兩種：實體檔案信息管理和電子檔案信息管理。下面針對不同的檔案信息管理模式，對其現(xiàn)狀和存在的問題進行分析。

1.實體檔案信息管理

實體檔案信息管理是長期以來一直沿用的管理方法。實體檔案信息管理需要大量的檔案館庫做支撐，但是我國目前的檔案館庫多是20世紀80年代的建筑，特別是在經(jīng)濟發(fā)展相對緩慢、生活貧困的地區(qū)，其中不少檔案館庫及設(shè)施在漫長的歲月演變中變得破敗不堪，檔案庫房的功能大大減弱，這對檔案信息的存放和保管構(gòu)成了嚴重的威脅。不僅檔案館庫等建筑設(shè)施的狀況影響檔案信息的安全，在檔案信息管理中同樣存在嚴重的安全漏洞。主要表現(xiàn)在以下幾方面：首先，字跡不清晰。受到歷史條件的制約，以前很多紙質(zhì)檔案書寫所用的材料不符合規(guī)范，形成大量的鉛筆、圓珠筆字跡，再加上時間久遠，檔案保護不當，造成檔案字跡模糊不清晰。其次，檔案信息保護環(huán)境不良。在檔案存放和保管過程中，由于存放環(huán)境的惡劣導致檔案的破壞屢見不鮮。最后，檔案的自然損壞嚴重。檔案信息的自然損壞主要是歷史原因所致，由于存放時間比較久遠，記錄檔案信息的載體經(jīng)過漫長的時期發(fā)生了不同程度的損壞，導致所記錄的檔案信息隨之發(fā)生損壞。

2.電子檔案信息管理

隨著經(jīng)濟發(fā)展水平的不斷提高，特別是計算機、互聯(lián)網(wǎng)和信息技術(shù)的出現(xiàn)和應(yīng)用，為檔案信息管理提供了新的管理手段和方法。電子檔案信息管理不僅保證了檔案管理的高效性，還節(jié)省了檔案信息管理的經(jīng)濟成本。但是由于受到技術(shù)發(fā)展水平的限制，電子檔案信息管理受到網(wǎng)絡(luò)黑客的攻擊和威脅，電子檔案信息管理工作同樣面臨嚴峻的安全問題，主要存在以下兩方面問題。

(1)檔案信息在查詢利用過程中面臨安全威脅

由于目前經(jīng)濟發(fā)展水平的限制，電子檔案信息管理并沒有形成統(tǒng)一的機制。因此導致電子檔案信息系統(tǒng)平臺不一致，在管理上無法達到統(tǒng)一規(guī)范，造成電子檔案信息管理網(wǎng)絡(luò)環(huán)境不穩(wěn)定，極易遭受網(wǎng)絡(luò)攻擊。目前并沒有專門為電子檔案信息管理建立的安全可靠的局域網(wǎng)，也沒有針對檔案信息安全管理的完善的法律法規(guī)，這種管理上的不到位致使電子檔案信息在利用的過程中受到網(wǎng)絡(luò)環(huán)境的影響和損害。

(2)電子檔案信息管理系統(tǒng)功能不夠強大

電子檔案信息是一種重要的信息資源，一個單位檔案信息的失竊可能會給一個企業(yè)帶來巨大的經(jīng)濟損失，一個國家的檔案信息泄漏，嚴重的會引發(fā)國與國之間的矛盾或戰(zhàn)爭。盡管國家對電子檔案信息管理十分重視，并且出臺了涉及國家秘密的信息系統(tǒng)審批管理相關(guān)法律法規(guī)，但是由于受到各種條件的限制，不少地區(qū)的電子檔案信息管理系統(tǒng)功能并不能達到國家相關(guān)規(guī)定的要求，從而使檔案信息安全面臨極大風險。具體到系統(tǒng)的登錄權(quán)限、身份識別、數(shù)字認證、指紋識別等功能都有待進一步的完善和提高。

三、檔案信息安全管理措施探析

1.增強檔案實體管理

檔案實體管理是一種重要的管理形式，針對檔案實體管理中出現(xiàn)的問題，應(yīng)著力發(fā)揮國家的財政支撐作用，對不符合標準的館庫及時進行修整，對庫房的防護功能定期進行檢查和確認，確保檔案信息管理硬件環(huán)境的安全。

2.營造電子檔案網(wǎng)絡(luò)安全環(huán)境

眾所周知，檔案信息具有嚴格的保密性，是十分重要的信息資源。這就要求我們一定要營造一個安全的電子檔案網(wǎng)絡(luò)環(huán)境。首先對于網(wǎng)絡(luò)應(yīng)用的硬件和軟件系統(tǒng)要進行有效的保護，防止網(wǎng)絡(luò)黑客及病毒的襲擊是不容忽視的，要不斷研究和升級防范網(wǎng)絡(luò)黑客攻擊的技術(shù)，將檔案信息的安全隱患降到最低。其次還要對電子檔案的網(wǎng)絡(luò)系統(tǒng)功能進行完善和升級，對網(wǎng)絡(luò)系統(tǒng)的登入采用先進的指紋識別技術(shù)，進行嚴格的身份驗證，從而建立強大的網(wǎng)絡(luò)系統(tǒng)。

3.加強行政保護

檔案信息來源于社會生活和社會生產(chǎn)，為國家經(jīng)濟建設(shè)和經(jīng)濟活動的開展提供必要的信息支持。隨著國家經(jīng)濟建設(shè)的不斷發(fā)展，檔案信息的發(fā)展與傳播步伐也越來越快，并逐漸對社會生活的各個領(lǐng)域產(chǎn)生不可估量的影響和作用。首先國家要重視并宣傳檔案信息的重要性，使人們普遍樹立檔案信息的保密意識，其次還要采取一定的行政手段，制定相關(guān)的法律法規(guī)，約束和規(guī)范檔案信息安全管理，特別要對電子檔案網(wǎng)絡(luò)安全管理系統(tǒng)制定嚴格的規(guī)范，從而在制度保障的前提下建立強大的檔案信息安全系統(tǒng)。

篇（4）

2信息技術(shù)在道路安全管理中的應(yīng)用

如果說對氣象、交通、緊急事件信息的采集是實施道路安全管理的基礎(chǔ)，那么對這些信息的高效及時就是道路安全管理的重中之重。在道路交通運營過程中，交通狀況處于不斷的變化中，不良的天氣氣候因素（大風、雨雪、霧霾等）會對道路運行安全造成很大的影響，容易引發(fā)車輛拋錨、追尾等突發(fā)緊急事故，從而降低道路交通的通行能力。所以，道路運行網(wǎng)絡(luò)系統(tǒng)，需要將相關(guān)的信息及時準確的出來，為駕駛員行車路線的選擇提供有力的依據(jù)。為了能夠保證信息系統(tǒng)能夠發(fā)揮對道路安全管理的作用，要求道路網(wǎng)絡(luò)信息系統(tǒng)具備一定的功能，具體的功能要求體現(xiàn)在以下幾個方面：

（1）能夠及時準確的氣象信息；

（2）能夠為用戶提供有關(guān)道路中路面、隧道、橋涵等狀態(tài)信息，還包括各種設(shè)備的檢修情況；

（3）具備道路使用信息的功能，能夠提供道路運行狀態(tài)，包括堵塞、關(guān)閉、事故、施工或通暢，為駕駛員線路選擇提供依據(jù)；

（4）具備道路限速信息功能；

（5）具備警告信息的能力，包括違章警告、擁擠警告、排隊警告、施工警告、事故警告、環(huán)境警告等；

（6）對限速原因、限速值等信息的供功能。信息技術(shù)主要包括圖形式可變信息板、移動通訊、文字式可變信息板、交通廣播、車載系統(tǒng)、路旁無線電等。各種信息方式都具有各自的優(yōu)缺點，如車載系統(tǒng)具有信息量大、針對性強、信息及時等優(yōu)點，但同時也具有投資大、技術(shù)要求高等缺陷。再如可變限速標志能夠加強駕駛員對限速的重視，并了解限速原因，但缺點在于其的信息較為單一。在道路交通安全管理過程中，需要根據(jù)不同信息對象，選擇不同的信息技術(shù)。信息對象主要包括駕駛員、交通救援部門、交通管理部門等。

3道路安全管理總信息技術(shù)發(fā)展方向

隨著科技水平的進步，越來越多先進的信息技術(shù)應(yīng)用到道路安全管理中，同時信息通信技術(shù)、傳感技術(shù)、人工智能技術(shù)等也得到了長足的進步。基于此，道路安全管理工作中信息技術(shù)發(fā)展前景主要表現(xiàn)在以下幾個方面：

（1）信息技術(shù)整體性能提升。特別是傳感器技術(shù)的發(fā)展，強化了檢測器各項功能。一方面，根據(jù)電磁場變化原理，開發(fā)功能更加強大的車輛檢測器，改進信號處理裝置以及探頭，提高檢測器的使用壽命；另一方面，基于超聲波、微波等電磁感應(yīng)原理，提高檢測器的抗干擾能力，提高檢測器的安裝、維護簡單性。

（2）系統(tǒng)化、機電一體化發(fā)展前景。以信息技術(shù)為基礎(chǔ)，充分利用科學計算方法以及人工智能技術(shù)，使道路安全管理信息化技術(shù)向著更加智能化、系統(tǒng)化的方向發(fā)展。如感應(yīng)線圈智能交通流量檢測儀、遙感微波檢測器、紅外線定位攝像系統(tǒng)等的開發(fā)與研究。

（3）在現(xiàn)有的信息技術(shù)基礎(chǔ)上，加強對新技術(shù)的開發(fā)，包括用新的計算機圖像處理技術(shù)，代替?zhèn)鹘y(tǒng)的視頻監(jiān)測技術(shù)，實現(xiàn)對更多車輛運行參數(shù)的在線監(jiān)測，提高交通監(jiān)控圖像識別的準確性與實時性。

篇（5）

1.1數(shù)據(jù)采集

安全信息涵蓋了水利工程的基本信息、危險特性、安全生產(chǎn)管理機構(gòu)、安全生產(chǎn)責任人、安全生產(chǎn)管理人員、特種作業(yè)人員、特種設(shè)備作業(yè)人員、危險設(shè)備、許可證照、安全風險較大作業(yè)、職業(yè)病危害情況、安全生產(chǎn)投入、安全生產(chǎn)標準化建設(shè)、安全生產(chǎn)獲獎情況、行政處罰情況、安全生產(chǎn)事故信息、安全生產(chǎn)管理資料信息等。在采集手段上可采用2種手段：

1）基于互聯(lián)網(wǎng)的網(wǎng)頁填報；

2）基于移動3G信號的移動終端采集系統(tǒng)。

1.2監(jiān)督管理

監(jiān)督管理貫穿工程開工到驗收的全過程，主要分為工程概況、參建單位、建設(shè)程序、工程進度、工程重量、施工安全、工程驗收、質(zhì)量安全監(jiān)督、公眾留言等9個環(huán)節(jié)。

1.3巡查管理

通過安全巡查管理平臺，推送基層巡查員巡查任務(wù)；基層巡查員通過手持GPRS指紋巡查終端，接收巡查信息。巡查終端將通過指紋識別身份信息和巡查軌跡上傳到巡查管理平臺，管理者可根據(jù)基層巡查員的任務(wù)軌跡，保質(zhì)保量地開展水利安全監(jiān)督工作。同時借助巡查終端，可將巡查發(fā)現(xiàn)的問題和實時照片上傳到管理平臺，輔助管理者遠程指揮和科學決策。

1.4安全事故管理

將水利安全生產(chǎn)事故處理流程化、常態(tài)化和科學化，通過數(shù)據(jù)傷亡人數(shù)和影響程度，自動判斷事故等級，及時啟動相應(yīng)等級的數(shù)據(jù)處理方案，并按照預定流程開展數(shù)據(jù)處理工作，同時對整個數(shù)據(jù)處理進行登記備案，確保數(shù)據(jù)處理及時、合理、規(guī)范。3數(shù)據(jù)庫設(shè)計水利安全監(jiān)督管理系統(tǒng)數(shù)據(jù)庫由屬性、空間和多媒體等數(shù)據(jù)庫組成。其中在存儲設(shè)計上實現(xiàn)屬性、空間和影音圖等信息的分開獨立存儲和管理，以松耦合的方式關(guān)聯(lián)，最大化方便屬性、多媒體數(shù)據(jù)的擴展及與空間庫關(guān)系的維護。數(shù)據(jù)庫內(nèi)容上充分利用遼寧省第一次水利普查成果，包括屬性和空間數(shù)據(jù)，并以各類工程管理單位的注冊機構(gòu)碼為唯一識別標識碼。通過數(shù)據(jù)采集系統(tǒng)，補充獲取在建或已建工程的安全生產(chǎn)信息及相關(guān)音像文件。

2網(wǎng)絡(luò)與信息安全設(shè)計

2.1網(wǎng)絡(luò)安全

依托遼寧省防汛骨干網(wǎng)和防火墻技術(shù)，將系統(tǒng)的所有服務(wù)器都布設(shè)在水利廳信息中心機房，并用防火墻隔離。只允許安全的網(wǎng)絡(luò)協(xié)議（如HTTP協(xié)議等）通過，其他如FTP，Telnet協(xié)議限制執(zhí)行。同時用ISAPI將對系統(tǒng)具有訪問選線的用戶的IP地址限制在某一范圍內(nèi)。

2.2Web服務(wù)器安全

采用Web服務(wù)器IISS10，對允許訪問的用戶、組、IP地址或域主機名進行授權(quán)，實現(xiàn)網(wǎng)絡(luò)訪問控制，同時與WindowsServer結(jié)合，控制用戶訪問權(quán)限。

2.3數(shù)據(jù)庫安全

利用數(shù)據(jù)庫管理系統(tǒng)提供的強大安全功能，如數(shù)據(jù)庫賬號、數(shù)據(jù)庫視圖、賬號操作權(quán)限等對訪問機型控制。具體如下：1）使用身份認證，使SQLServer的登錄安全與操作系統(tǒng)安全性高度集成，保證系統(tǒng)用戶的登錄安全；2）創(chuàng)建預定義的數(shù)據(jù)視圖，使用戶只能訪問需要觀察的視圖；3）利用存儲過程。從安全的角度來看，存儲過程只存取安全表的實體，用戶程序訪問的只是存儲過程，而不是數(shù)據(jù)表，從而保證了數(shù)據(jù)庫的安全。

2.4通信安全

系統(tǒng)用2種不同的加密手段實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)通信安全性的設(shè)計：

1）采用安全協(xié)議加密客戶端和Web服務(wù)器之間傳輸?shù)男畔ⅲ?/p>

2）通過專門的加密算法實現(xiàn)客戶端與數(shù)據(jù)庫服務(wù)器之間重要數(shù)據(jù)的加密傳輸。

篇（6）

工作電力安全生產(chǎn)管理信息系統(tǒng)的重點在于對設(shè)備的全生命周期進行有效管理，這使得對數(shù)據(jù)儲存及數(shù)據(jù)傳輸設(shè)計工作擁有高標準、高要求的特點。

1、數(shù)據(jù)儲存的具體設(shè)計

CIM模型包含邏輯包20個，設(shè)備資源類定義300有余，對電力系統(tǒng)應(yīng)用進行了全方位的統(tǒng)一描述，作用是為電網(wǎng)設(shè)備數(shù)據(jù)提供儲存空間。電力公司的信息整合工作以國際通用的IEC61970標準為主體標準依據(jù)，以國際通用的IEC61968標準為主要參照標準。其中，IEC61970系列標準也可以被叫做EMS-API系列標準，此系列標準由CIM與GIS兩部分組成。CIM的作用是為能量管理系統(tǒng)信息提供綜合邏輯框架圖。CIM具有描繪能量管理系統(tǒng)中所有主要對象的功能，使得它被很多應(yīng)用程序所需要，具有很強的應(yīng)用價值。電力公司基礎(chǔ)數(shù)據(jù)模型的建立離不開CIM功能上的支持。由于CIM并不具有業(yè)務(wù)流程數(shù)據(jù)的功能，所以包括缺陷管理數(shù)據(jù)、缺陷圖片數(shù)據(jù)及缺陷細分類型數(shù)據(jù)等要以表格的方式在Oracle數(shù)據(jù)庫折嬌陜西省地方電力（集團）有限公司神木供電分公司719300中進行存儲。

2、電力安全管理信息系統(tǒng)的接口

設(shè)計電力安全管理信息系統(tǒng)的接口需要分別提供對CIM模型、GIS系統(tǒng)及普通數(shù)據(jù)庫的接口。由于電力安全管理信息系統(tǒng)接口需要集成大量其他系統(tǒng)，所以在設(shè)計上比較復雜。采取數(shù)據(jù)總線加適配器模式可以很好的解決這一問題。數(shù)據(jù)總線加適配器模式具有傳遞格式統(tǒng)一的特點，可以明顯提高對不同系統(tǒng)數(shù)據(jù)進行集成的便捷性，同時也為以后的系統(tǒng)擴展工作提供了方便。

二、電力安全生產(chǎn)管理信息系統(tǒng)實現(xiàn)

（一）系統(tǒng)實現(xiàn)的開發(fā)環(huán)境

電力安全生產(chǎn)管理信息系統(tǒng)作為WEB項目中的一種，它的開發(fā)以JAVA技術(shù)為基礎(chǔ)。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)需要對以下軟件進行運用：利用Dreamweaver8.0軟件進行網(wǎng)頁制作；以Tomcat5.5作為JAVA集成開發(fā)環(huán)境；以O(shè)racle10g或CIMserver作為數(shù)據(jù)庫系統(tǒng)軟件；以EOS或Eclipse作為系統(tǒng)開發(fā)平臺。電力安全生產(chǎn)管理信息系統(tǒng)的開發(fā)也對計算機系統(tǒng)配置提出了高要求，具體要求如下：操作系統(tǒng)需要Window2003及以上版本；2G以上的中央處理器內(nèi)存；2~4G的內(nèi)存條容量及200G以上的硬盤空間。同時，WEB服務(wù)器版本為浪潮NP370D。

（二）電力安全生產(chǎn)管理信息系統(tǒng)界面的實現(xiàn)

在對電力安全生產(chǎn)管理信息系統(tǒng)界面進行設(shè)計時要確保做到以下幾點：首先，應(yīng)力求做到系統(tǒng)界面的簡潔感和美感的統(tǒng)一，使系統(tǒng)界面實現(xiàn)便捷性和可操作性；其次，在對菜單進行設(shè)計時，要做到手動和自動化的完美統(tǒng)一；在對登陸界面的設(shè)計時應(yīng)添加合理的操作權(quán)限，使不同部門的工作人員只能對其職能范圍內(nèi)的內(nèi)容進行瀏覽和操作；要最大限度的保證系統(tǒng)信息的準確性和可靠性，提高操作安全度，保證企業(yè)重要內(nèi)部機密不被泄露。

（三）電力安全生產(chǎn)管理信息系統(tǒng)功能模塊的實現(xiàn)

電力安全生產(chǎn)管理信息系統(tǒng)由十余個模塊共同組成，其功能異常龐大，具備極強的實用性。由于電力安全生產(chǎn)管理信息系統(tǒng)對于電力生產(chǎn)管理來說具有非凡的重要意義，所以要盡最大可能的確保電力安全生產(chǎn)管理信息系統(tǒng)的安全和可靠，同時也要讓系統(tǒng)能夠在今后繼續(xù)實現(xiàn)功能的拓展。在對數(shù)據(jù)庫進行實際操作時，要充分借鑒其他軟件系統(tǒng)的長處，對數(shù)據(jù)庫采取統(tǒng)一的操作。同時，要充分考慮到數(shù)據(jù)庫內(nèi)的數(shù)據(jù)具有可變動的特征，應(yīng)采取單一配置文件保存的方式對各類操作碼及屬性進行保存，以防止數(shù)據(jù)出現(xiàn)混亂與丟失。

篇（7）

2檔案管理工作者信息安全素質(zhì)現(xiàn)狀

2.1信息化管理意識欠缺

檔案管理者對于檔案信息化的認識比較淺,不能夠?qū)㈦娮游募鳛槲覈囊豁棏?zhàn)略信息資源,不能夠?qū)n案信息網(wǎng)絡(luò)安全有較深的意識,在自己的日常工作中就不能夠去有意識的進行預防,積極的應(yīng)對,這是導致信息化管理意識比較緩慢的主要原因。

2.2信息化管理專業(yè)基礎(chǔ)知識相對薄弱

信息技術(shù)的日新月異,已經(jīng)掌握的技能方法如果不及時更新就會很快過時。檔案工作者不是信息技術(shù)專業(yè)人員,信息安全意識的缺乏使他們雖然意識到自身信息安全技能的不足,但由于缺乏強制性的提升專業(yè)水平的制度要求和定期的培訓機制,使他們的信息安全能力與實際工作要求的差距越來越大。對于老的檔案管理者雖然掌握了檔案管理知識,但是缺乏信息技術(shù)能力,不少掌握信息技術(shù)的年輕檔案工作者有的雖然掌握信息技術(shù),但是又缺乏檔案管理知識,而有的年輕的檔案管理者由于在待遇、職稱、前景等問題上的偏差認識而主動改行從事其他工作,使得整體信息技術(shù)水平偏低的檔案部門更加缺乏掌握信息技術(shù)的人才。

3提高檔案工作者信息安全素質(zhì)的對策

3.1提升檔案管理者的工作敏銳性,增加責任感

信息化時代大環(huán)境下,有很多的新領(lǐng)域和載體出現(xiàn),在檔案界引起了一些改變,同時也是提升了對檔案管理人員的素質(zhì)要求,我們要對檔案管理工作的基礎(chǔ)性有一個比較深刻的認識,將工作的重點置于服務(wù)和管理上,通過轉(zhuǎn)變工作的著力點來提升管理能力和服務(wù)效率,改善觀念,將檔案管理的綜合功能較好的發(fā)揮出來,對現(xiàn)有的領(lǐng)域進行拓展,變更服務(wù)模式,迎合現(xiàn)代檔案需求,不斷的開創(chuàng)進取,讓檔案管理可以為經(jīng)濟發(fā)展和社會發(fā)展提供幫助。

3.2提升檔案管理人員的專業(yè)素質(zhì)和水平

為檔案工作者進行信息安全素質(zhì)培養(yǎng)。對新入的檔案工作者以及現(xiàn)有的檔案管理者進行培訓,針對他們的不同薄弱環(huán)節(jié)進行加強,增加檔案管理知識,提升檔案管理水平。根據(jù)不同崗位來進行任務(wù)的分配,根據(jù)檔案人員自身的差異性來編排培訓時間和內(nèi)容,對培訓結(jié)果進行考核。檔案工作者在具備了一定的信息安全技術(shù)之后,需要對自己所需要承擔的社會責任以及義務(wù)有明確的認識,能夠知法、懂法、遵法,自覺的對違法行為進行監(jiān)督管理,對知識產(chǎn)權(quán)和隱私給予保障,使用信息安全技術(shù)來提升檔案管理效率和安全性。

3.3對檔案信息管理制度進行強化

現(xiàn)在我國已經(jīng)存在一些信息安全標準以及相關(guān)規(guī)定,可是這些規(guī)定尚處于初期,并不完善,存在很多的問題,還有很多的內(nèi)容需要在探索中完善,這些標準和規(guī)定中涉及到檔案信息管理者的信息安全素質(zhì)的要求和內(nèi)容,這也就導致了實際的問題還無法獲得解決,因此無法將我國檔案管理者信息安全素質(zhì)差的現(xiàn)狀給扭轉(zhuǎn)過來。因此需要將檔案信息管理制度進行強化,對現(xiàn)有的內(nèi)容和標準進行完善,對檔案管理工作者進行標準制定,結(jié)合當前的檔案管理工作,選用優(yōu)秀的檔案管理人員,引入優(yōu)秀的檔案管理人才,提升檔案隊伍的整體水平。還有就是對檔案管理工作者的專業(yè)技術(shù)職務(wù)進行考核,將信息素質(zhì)作為考核的項目之一,督促檔案工作者能夠自主的進行檔案信息管理內(nèi)容的學習,根據(jù)崗位差異來具體的調(diào)整制度,方便其執(zhí)行。

篇（8）

1企業(yè)信息安全現(xiàn)狀

近幾年，隨著行業(yè)信息化建設(shè)逐步深入，伴隨著OA辦公自動化、ERP、卷煙生產(chǎn)經(jīng)營決策管理和MES生產(chǎn)制造執(zhí)行等系統(tǒng)相繼投入使用，與生產(chǎn)經(jīng)營息息相關(guān)的關(guān)鍵業(yè)務(wù)對信息系統(tǒng)的依賴程度越來越高，企業(yè)也逐步認識到信息安全的重要性，企業(yè)員工的安全意識也都得到逐步提高。行業(yè)也相繼出臺了煙草行業(yè)信息安全保障體系建設(shè)指南和各類信息安全制度，并通過這幾年信息安全檢查工作，促進企業(yè)的信息安全水平得到了進一步提高。由于企業(yè)信息安全意識不斷提高，企業(yè)不斷加大信息安全方面的投入，如建立標準化的機房、購買與部署各類信息安全軟件和設(shè)備等。但是木馬、病毒、垃圾郵件、間諜軟件、惡意軟件、僵尸網(wǎng)絡(luò)等也隨著計算機技術(shù)的發(fā)展不斷更新，攻擊手段也越發(fā)隱蔽和多樣化。企業(yè)不僅要應(yīng)對外部的攻擊，也要應(yīng)對來自于企業(yè)內(nèi)部的信息安全威脅，安全形勢不容樂觀。企業(yè)的信息安全已不僅僅是技術(shù)問題，還需要借助管理手段來保障。企業(yè)如果不能正確樹立信息風險導向意識，一味注重“技術(shù)”的作用，忽略“管理”的重要性，就很難發(fā)揮信息安全技術(shù)的作用，無法把企業(yè)的各項信息安全措施落到實處，企業(yè)的信息安全也就無從談起。只有切實發(fā)揮管理作用，企業(yè)的信息安全才能得到有效保障。

2企業(yè)信息安全體系架構(gòu)

在談到信息安全時，大多數(shù)剛接觸的人都比較疑惑，都說保障信息安全十分重要，那到底什么是信息安全呢？下面就簡單介紹一下信息安全的概念以及企業(yè)的信息安全體系架構(gòu)。2.1信息。對企業(yè)來說，信息是一種無形資產(chǎn)，具有一定商業(yè)價值，以電子、影像、話語等多種形式存在，必須進行保護。2.2信息安全。主要是指防止信息泄露、被篡改、被損壞或被非法辨識與控制，避免造成不良影響或者資產(chǎn)損失。2.3企業(yè)信息安全體系架構(gòu)。在保障企業(yè)信息安全過程中，信息安全技術(shù)是保障信息安全的重要手段。通過上文對企業(yè)信息安全現(xiàn)狀的分析，不難看出企業(yè)信息安全體系主要分為技術(shù)、管理兩個重要體系，進一步細分則涉及安全運維方面。2.3.1信息安全技術(shù)體系作用。主要是指通過部署信息安全產(chǎn)品，合理制定安全策略，實現(xiàn)防止信息泄露、被篡改、被損壞等安全目標。信息安全產(chǎn)品主要是指實現(xiàn)信息安全的工具平臺，如防火墻類產(chǎn)品、防攻擊類產(chǎn)品、殺毒軟件類產(chǎn)品和密碼類產(chǎn)品等，而信息安全技術(shù)則是指實現(xiàn)信息安全產(chǎn)品的技術(shù)基礎(chǔ)。2.3.2信息安全管理體系作用。完善信息安全組織機構(gòu)、制度，細化職責分工，制定執(zhí)行標準，確保日常管理、檢查等制度有效執(zhí)行，最大程度發(fā)揮信息安全技術(shù)體系作用，確保信息安全相關(guān)保護措施有效執(zhí)行。通過上文簡單介紹，對信息安全以及信息安全系統(tǒng)有了大概了解。可以看出單純借助技術(shù)或管理無法保障企業(yè)信息安全，因此，建立企業(yè)信息安全管理體系的重要性也就不言而喻。

3信息安全管理體系概念

3.1信息安全管理。運用技術(shù)、管理手段，做好信息安全工作整體規(guī)劃、組織、協(xié)調(diào)與控制，確保實現(xiàn)信息安全目標。3.2管理體系。體系是指相互關(guān)聯(lián)和相互作用的一組要素，而管理體系則是建立方針和目標并實現(xiàn)這些目標的體系。3.3信息安全管理體系（ISMS）。在一定組織范圍內(nèi)建立、完成信息安全方針和目標，采取或運用方法的體系。作為管理活動最終結(jié)果，包含方針、原則、目標、方法、過程、核查表等眾多要素。3.4建立信息安全管理體系的目的。作為企業(yè)總管理體系的一個子體系，目的是建立、實施、運行、監(jiān)視、評審、保持和改進信息安全。3.5信息安全管理體系涉及的要素。3.5.1信息安全組織機構(gòu)。明確職責分工，確保信息安全工作組織與落實。3.5.2信息安全管理體系文件。編制信息安全管理體系的方針、過程、程序和其他必需的文件等。3.5.3資源。提供體系運轉(zhuǎn)所需的資金、設(shè)備與人員等。

4信息安全管理體系機構(gòu)設(shè)置以及作用

在建立企業(yè)的信息安全管理體系之前，如果沒有設(shè)置相應(yīng)的信息安全組織機構(gòu)，那么建立體系所需要的資源（資金、人員等）就無法得到保障，企業(yè)的信息安全制度和策略也就無法貫徹落實，企業(yè)的信息安全管理體系就形同虛設(shè)起不到任何作用。因此，企業(yè)在建立信息安全管理體系前必須建立健全信息安全組織機構(gòu)，機構(gòu)設(shè)置可以根據(jù)職責分為三個層次。4.1信息安全決策機構(gòu)。信息安全決策機構(gòu)處于安全組織機構(gòu)的第一個層次，是本單位信息安全工作的最高管理機構(gòu)。應(yīng)以單位主要領(lǐng)導負責，對信息安全規(guī)劃、信息安全策略和信息安全建設(shè)方案等進行審批，并為企業(yè)信息安全工作提供各類必要資源。4.2管理機構(gòu)。處于安全組織機構(gòu)的第二個層次，在決策機構(gòu)的領(lǐng)導下，主要負責企業(yè)日常信息安全的管理、監(jiān)督以及安全教育與培訓等工作，此類工作大部分都由企業(yè)的信息化部門承擔。4.3執(zhí)行機構(gòu)。處于信息安全組織機構(gòu)的第三個層次，在管理機構(gòu)的領(lǐng)導下，負責保證信息安全技術(shù)體系的有效運行及日常維護，通過具體技術(shù)手段落實安全策略，消除安全風險，以及發(fā)生安全事件后的具體響應(yīng)和處理，執(zhí)行機構(gòu)人員可以由信息中心技術(shù)人員與各部門專職或兼職信息安全員組成。

5信息安全管理體系的建立

ISO/IEC27001:2005標準的“建立ISMS”章節(jié)中，已明確了信息安全管理體系建立的10項強制性要求和步驟。企業(yè)應(yīng)結(jié)合自身實際情況，遵照這些內(nèi)容和步驟，建立自己的信息安全管理體系，并形成相應(yīng)的體系文件。5.1建立的步驟。（1）結(jié)合企業(yè)實際，明確體系邊界與范圍，并編制體系范圍文件。（2）明確體系策略，構(gòu)建目標框架、風險評價的準則等，形成方針文件。（3）確定風險評估方法。（4）識別信息安全風險，主要包括信息安全資產(chǎn)、責任、威脅以及造成的后果等。（5）進行安全風險分析評價，編制評估報告，確定信息安全資產(chǎn)保護清單。（6）明確安全保護措施，編制風險處理計劃。（7）制定工作目標、措施。（8）管理者審核、批準所有殘余風險。（9）經(jīng)管理層授權(quán)實施和運行安全體系。（10）準備適用性聲明。以上步驟解釋不詳盡之處，參看ISO/IEC27001:20054.2.1章節(jié)中A-J部分。5.2信息安全管理體系涉及的文件。文件作為體系的主要元素，必須與ISO/IEC27001:2005標準保持一致，同時也要結(jié)合企業(yè)實際，確保員工遵照要求嚴格執(zhí)行。而且也要符合企業(yè)的實際情況和信息安全需要。在實際工作中，企業(yè)員工應(yīng)按照文件要求嚴格執(zhí)行。5.2.1體系文件類型主要涉及方針、程序與記錄三類。方針類主要是指管理體系方針與信息安全方針，涵蓋硬件、網(wǎng)絡(luò)、軟件、訪問控制等；程序類主要是指“過程文件”，涉及輸入、處理與輸出三個環(huán)節(jié)，結(jié)果常以“記錄”形式出現(xiàn)；記錄類主要是記錄程序文件結(jié)果，常以是表格形式出現(xiàn)。至于適用性聲明文件，企業(yè)應(yīng)結(jié)合自身情況，參照ISO/IEC27001:2005標準的附錄A，有選擇性地作出聲明，并形成聲明文件。5.2.2體系必須具備的文件。主要包括方針、風險評估、處理、文件控制、記錄控制、內(nèi)部審核、糾正與預防、控制措施有效性測量、管理評審與適用性聲明等。5.2.3任意性文件。企業(yè)可以針對自身業(yè)務(wù)、管理與信息系統(tǒng)等情況，制定自己獨有的信息方針、程序類文件。5.2.4文件的符合性。文件必須符合相關(guān)法律法規(guī)、ISO/IEC27001:2005標準以及企業(yè)實際要求，保證與企業(yè)其他體系文件協(xié)調(diào)一致，避免沖突，同時在文字描述準確且無二義。

6體系實施與運行

主要包括策略控制措施、過程和程序，涉及制定和實施風險處理計劃、選擇控制措施與驗證有效性、安全教育培訓、運行管理、資源管理以及安全事件應(yīng)急處理等。

7體系的監(jiān)視與評審

主要指對照策略、目標與實際運行情況，監(jiān)控與評審運行狀態(tài)，主要涉及有效性評審、控制措施測試驗證、風險評估、內(nèi)部審核、管理評審等環(huán)節(jié)，并根據(jù)評審結(jié)果編制與完善安全計劃。

8體系的保持和改進

主要是依據(jù)監(jiān)視與評審結(jié)果，有針對性地持續(xù)改進。主要包括改進措施、制定完善措施、整改總結(jié)等，同時需相關(guān)方進行溝通，確保達到預計改進標準。

篇（9）

2服務(wù)器及服務(wù)器操作系統(tǒng)安全

隨著醫(yī)院業(yè)務(wù)對IT系統(tǒng)的依賴不斷增大，用戶對于醫(yī)院系統(tǒng)的可用性要求也不斷上升。一旦某一臺服務(wù)器由于軟件、硬件或人為原因發(fā)生問題時，系統(tǒng)必須維持正常運行。因此，應(yīng)采用雙機熱備份的方式實現(xiàn)系統(tǒng)集群，提高系統(tǒng)可用性。服務(wù)器以主從或互備方式工作，通過心跳線偵查另一臺服務(wù)器的工作情況，一旦某臺機器發(fā)生故障，另外一臺立即自動接管，

變成工作主機，平時某臺機器需要重啟時，管理員可以在節(jié)點間任意切換，整個過程只要幾秒鐘，將系統(tǒng)中斷的影響降到最低。此外，還可以采用第三臺服務(wù)器做集群的備份服務(wù)器。在制度上，建立服務(wù)器管理制度及防護措施，如：安全審計、入侵檢測（IDS）、防病毒、定期檢查運行情況、定期重啟等。

3網(wǎng)絡(luò)安全

惡意攻擊是醫(yī)院計算機網(wǎng)絡(luò)所面臨的最大威脅，敵手的攻擊和計算機犯罪就屬于這一類。此類攻擊又可以分為以下兩種：一種是主動攻擊，它以各種方式有選擇地破壞信息的有效性和完整性；另一類是被動攻擊，它是在不影響網(wǎng)絡(luò)正常工作的情況下，進行截獲、竊取、破譯以獲得重要機密信急。這兩種攻擊均可對計算機網(wǎng)絡(luò)造成極大的危害，并導致機密數(shù)據(jù)的泄漏。網(wǎng)絡(luò)黑客和計算機病毒對企業(yè)網(wǎng)絡(luò)(內(nèi)聯(lián)網(wǎng))和公網(wǎng)安全構(gòu)成巨大威脅，每年企業(yè)和網(wǎng)絡(luò)運營商都要花費大量的人力和物力用于這方而的網(wǎng)絡(luò)安全防范，因此防范人為的惡意攻擊將是醫(yī)院網(wǎng)絡(luò)安全工作的重點。

醫(yī)院網(wǎng)絡(luò)信息安全是一個整體的問題，系統(tǒng)網(wǎng)絡(luò)所產(chǎn)生數(shù)據(jù)是醫(yī)院賴以生存的寶貴財富，一旦數(shù)據(jù)丟失或出現(xiàn)其他問題，都會給醫(yī)院建設(shè)帶來不可估量巨大的損失。所以必須高度重視，必須要從管理與技術(shù)相結(jié)合的高度，制定與時俱進的整體管理策略，并切實認真地實施這些策略，才能達到提高網(wǎng)絡(luò)信息系統(tǒng)安全性的目的。

4數(shù)據(jù)庫安全

在醫(yī)院信息系統(tǒng)的后臺，數(shù)據(jù)信息是整個系統(tǒng)的靈魂，其安全性至關(guān)重要，而數(shù)據(jù)庫管理系統(tǒng)是保證數(shù)據(jù)能有效保存、查詢、分析等的基礎(chǔ)；數(shù)據(jù)被安全存儲、合法地訪問數(shù)據(jù)庫以及跟蹤監(jiān)視數(shù)據(jù)庫，都必須具有數(shù)據(jù)有效訪問權(quán)限，所以應(yīng)該實現(xiàn)：數(shù)據(jù)庫管理系統(tǒng)提供的用戶名、口令識別，試圖、使用權(quán)限控制、審計、數(shù)據(jù)加密等管理措施；數(shù)據(jù)庫權(quán)限的劃分清晰，如登錄權(quán)限、資源管理權(quán)限和數(shù)據(jù)庫管理權(quán)限；數(shù)據(jù)表的建立、數(shù)據(jù)查詢、存儲過程的執(zhí)行等的權(quán)限必須清晰；建立用戶審計，記錄每次操作的用戶的詳細情況；建立系統(tǒng)審計，記錄系統(tǒng)級命令和數(shù)據(jù)庫服務(wù)器本身的使用情況。

醫(yī)院如何開展信息安全工作，應(yīng)該本著從實際出發(fā)的精神，先進行風險評估，研究信息系統(tǒng)存在的漏洞缺陷、面臨的風險與威脅，對于可能發(fā)現(xiàn)的漏洞、風險，制定相應(yīng)的策略:首先在技術(shù)上，確定操作系統(tǒng)類型、安全級別，以選擇合適的安全的服務(wù)器系統(tǒng)和相關(guān)的安全硬件；再確定適當?shù)木W(wǎng)絡(luò)系統(tǒng)，從安全角度予以驗證；選擇合適的應(yīng)用系統(tǒng)，特別要強調(diào)應(yīng)用系統(tǒng)的身份認證與授權(quán)。在行為上，對網(wǎng)絡(luò)行為、各種操作進行實時的監(jiān)控，對各種行為規(guī)范進行分類管理，規(guī)定行為規(guī)范的范圍和期限，對不同類型、不同敏感度的信息，規(guī)定合適的管理制度和使用方法，限制一些不安全的行為。在管理上，制定各項安全制度，并定期檢查、督促落實；確定醫(yī)院的安全領(lǐng)導小組，合理分配職責，做到責任到人。

當然，還要意識到信息安全工作的開展有可能會影響到系統(tǒng)使用的方便性，畢竟，安全和方便是矛盾的統(tǒng)一體，要安全就不會很方便，相關(guān)工作效率必定降低，要方便則安全得不到保證，因此必須權(quán)衡估量。

參考文獻：

[1]王淑容，劉平.醫(yī)院管理信息系統(tǒng)的設(shè)計與實現(xiàn).四川輕化工學院學報.2002.

篇（10）

1.1標簽自身的訪問缺陷

由于標簽的成本有限，標簽自身很難具備保證安全的能力，這就使整個系統(tǒng)面臨了很大的安全問題。非法用戶能夠利用合法的閱讀器或是自己構(gòu)建一個閱讀器與標簽直接進行通信。進而輕松獲取標簽里面的數(shù)據(jù)。對于讀寫標簽，還能夠被非法用戶篡改標簽內(nèi)數(shù)據(jù)。

1.2通信鏈路上的安全問題

RFID的信息通信鏈路是無線通信鏈路。與傳統(tǒng)的有線連接的端到端傳輸不同，無線傳輸相當于廣播，信號本身就是開放式的。信號覆蓋區(qū)域內(nèi)的非法用戶可以很方便的進行各種操作如下：（1）非法截取竊聽通信信息數(shù)據(jù)；（2）業(yè)務(wù)拒絕式攻擊，通過發(fā)射大量干擾信號來堵塞區(qū)域內(nèi)通信鏈路，使閱讀器不斷接收處理垃圾數(shù)據(jù)，而無法接收處理標簽發(fā)送過來的正常數(shù)據(jù)；（3）利用冒名代替正常的標簽向閱讀器發(fā)送虛假數(shù)據(jù)，使得閱讀器處理的都是非法用戶的數(shù)據(jù)，真實數(shù)據(jù)則被隱藏起來。

1.3閱讀器內(nèi)在的安全風險在閱讀器中，只有提供一些簡單的數(shù)據(jù)篩選，時間過濾和管理功能，對外只提供用戶對應(yīng)的業(yè)務(wù)接口，沒有用于提升安全性能的相應(yīng)接口。

1.4后端系統(tǒng)的脆弱性

除了前端標簽，閱讀器以及標簽閱讀器之間存在的風險，后端系統(tǒng)同時存在安全問題，例如后端數(shù)據(jù)的儲存安全，后端系統(tǒng)訪問安全，后端系統(tǒng)與其他系統(tǒng)的交互安全等。根據(jù)上述的RFID缺陷問題，容易引發(fā)的攻擊方式可分為：主動攻擊和被動攻擊。主動攻擊：對獲取到的標簽，在實驗室環(huán)境下通過物理手段去除標簽芯片的外部封裝，使用微探針進行敏感信號獲取，從而進行重構(gòu)標簽的復雜性攻擊；通過軟件手段，利用微處理器上的通用通信接口，不斷掃描，探詢標簽與讀寫器間的安全認證協(xié)議與加密算法以及對應(yīng)存在的弱點，進行篡改標簽內(nèi)容的攻擊；通過發(fā)送大量干擾廣播以阻塞信道或使用其他手段，使區(qū)域內(nèi)工作環(huán)境異常，閱讀器無法正常工作，進行業(yè)務(wù)拒絕式攻擊等。被動攻擊：采用竊聽技術(shù)，通過分析正常工作下微處理器產(chǎn)生的各種電磁信號，獲得標簽和識讀器之間或與其他RFID設(shè)備之間的通信信息（由于接收到閱讀器傳來的密碼不正確時標簽的能耗會上升，功率消耗模式可被加以分析以確定何時標簽接收了正確和不正確的密碼位）。

2RFID安全認證與讀寫安全設(shè)計實現(xiàn)

RFID的安全認證主要提供對信息來源方的鑒別、保證信息的完整和不可否認等功能，而這三種功能都需要通過數(shù)字簽名實現(xiàn)。數(shù)字簽名的基本過程為：發(fā)送方將明文用相關(guān)算法獲得數(shù)字摘要，用簽名私鑰對摘要進行加密得到數(shù)字簽名，發(fā)送方將明文與數(shù)字簽名一起使用對稱加密發(fā)送給接收方；接收方先使用秘鑰解密，然后使用發(fā)送方公鑰解密數(shù)字簽名，則驗證發(fā)送方真實身份并得出數(shù)字摘要；接收方將明文采用同樣算法計算出新的數(shù)字摘要，對比兩個數(shù)字摘要，相同則證明內(nèi)容未被篡改。該密鑰系統(tǒng)既能發(fā)揮對稱加密算法加密效率高、速度快，安全性好的優(yōu)點；又能發(fā)揮非對稱加密算法密鑰管理方便、安全性高、可實現(xiàn)數(shù)字簽名的優(yōu)點；各取所長，使得RFID系統(tǒng)更安全、快速，運行代價更低。

篇（11）

1.1管理制度完善、健全的規(guī)章管理制度是醫(yī)院網(wǎng)絡(luò)系統(tǒng)得以正常運行的保障。使用方法與管理制度的制定，要立足于實際，確保其科學合理，像操作使用醫(yī)療信息系統(tǒng)制度、維護運行醫(yī)院網(wǎng)絡(luò)制度、存儲備份醫(yī)療資源數(shù)據(jù)制度等，此外，還要對人員的信息安全意識不斷提高，使得醫(yī)院網(wǎng)絡(luò)安全管理有據(jù)可依，有章可循。

1.2安全策略醫(yī)院一定要從實際出發(fā)，出善的安全管理策略，為信息網(wǎng)絡(luò)系統(tǒng)高效、正常、安全地運行創(chuàng)造可靠的保障。為了保障服務(wù)器能夠高效、可靠、穩(wěn)定地正常運行，實施雙機熱備、雙機容錯的處理方案非常有必要，關(guān)于非常重要的設(shè)備，對主機系統(tǒng)供電盡可能使用UPS，一方面有利于供電電壓保持穩(wěn)定，同時對于突發(fā)事件防控具有顯著的作用；針對主干網(wǎng)絡(luò)鏈路，網(wǎng)絡(luò)架構(gòu)設(shè)計，構(gòu)建冗余模式非常必要，在主干網(wǎng)絡(luò)某條線路出現(xiàn)故障的時候，通過冗余線路，依然可以正常傳輸網(wǎng)絡(luò)的信息數(shù)據(jù)；同時要對業(yè)務(wù)內(nèi)網(wǎng)和網(wǎng)絡(luò)外網(wǎng)實施物理隔離，防止互聯(lián)網(wǎng)同醫(yī)療業(yè)務(wù)網(wǎng)之間出現(xiàn)混搭，有效控制醫(yī)療業(yè)務(wù)數(shù)據(jù)利用互聯(lián)網(wǎng)這個途徑對外泄漏，防止外部網(wǎng)成為非法用戶利用的工具，進入到醫(yī)院信息系統(tǒng)或服務(wù)器，展開非法操作；為了防止醫(yī)院的業(yè)務(wù)信息發(fā)生丟失或遭到破壞，非常有必要構(gòu)建數(shù)據(jù)與系統(tǒng)備份容災(zāi)系統(tǒng)，這樣即便存儲設(shè)備或機房發(fā)生故障，也能保證信息系統(tǒng)運行較快恢復正常運行；在權(quán)限方面實行分級管理，防止發(fā)生越權(quán)訪問的情況、防止數(shù)據(jù)被修改，針對數(shù)據(jù)庫建立專項的審計日志，實時審計關(guān)鍵數(shù)據(jù)，能夠?qū)崿F(xiàn)跟蹤預警。

1.3技術(shù)手段網(wǎng)絡(luò)安全問題日益多樣化，而且越來越復雜，所以依靠技術(shù)手段對網(wǎng)絡(luò)安全防范，也要注意防御措施的多層次性與多樣性，對以往被動防護的局面轉(zhuǎn)換，提高預防的主動性。因為醫(yī)院在網(wǎng)絡(luò)架構(gòu)上實行外網(wǎng)與內(nèi)網(wǎng)相隔離，內(nèi)網(wǎng)上對在安全要求上，內(nèi)網(wǎng)的要求相對而言更高，安裝的殺毒軟件最好為網(wǎng)絡(luò)版，并成立管理控制中心，能夠修復漏洞、對整個網(wǎng)絡(luò)進行體檢、修復危險項、查殺病毒等；將防火墻網(wǎng)關(guān)設(shè)立在外網(wǎng)和內(nèi)網(wǎng)之間，對非法用戶、不安全的服務(wù)予以過濾，能夠及時探測、報警網(wǎng)絡(luò)攻擊行為等，對惡意入侵有效防控；還可以通過對專業(yè)的入侵檢測系統(tǒng)部署，對防火墻存在的缺陷有效彌補，將眾多關(guān)鍵點在網(wǎng)絡(luò)中設(shè)置，利用檢測安全日志、行為、審計數(shù)據(jù)或別的網(wǎng)絡(luò)信息，對網(wǎng)絡(luò)安全問題及時掌握，并做好應(yīng)對；也可以對安全掃描技術(shù)，掃描網(wǎng)絡(luò)中存在的不安全因素。