|
快速了解
绿叶OA优势
技术框架
售后服务及其它
|
发布时间:2008-5-20 11:24:09 点击:
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
| 信息化与电子政务,电子政务的功能,产业信. | 什么是电子政务,电子政务的主要模式, 信. | 收发文软件,短信收发软件,中国信息环境及. |
| 办公室工作流程,人事工作流程,中小企业搭. | 工作流程oa,工作流程oa软件,流程型企. | 什么是电子政务,电子政务的主要模式,企业. |
| 电子政务意义,电子政务发展现状,企业管理. | 信息化与电子政务,电子政务的功能,信息化. | oa工作流程软件,oa工作流系统,针对知. |
2006年5月,美国税务机构一名雇员丢失了办公用笔记本电脑,内含291名雇员以及工作申请人员的敏感信息。 6月初,一名黑客突破美国农业部计算机系统的安全保护,窃取了2.6万名在华盛顿地区的雇员和承包商的姓名、社会安全号码和照片等个人信息。 6月23日,美国贸易委员会的一台笔记本电脑被窃,丢失了110位重要人员的信息,这些信息包括地址、社会保险号和财务账号等信息。 同样是6月,美国国家核安全管理局的一名官员宣布,一名黑客入侵该局的计算机系统,盗走了1500名雇员的个人资料。 另外,美国联邦贸易委员会(FTC)两名工作人员的便携式移动电脑,在一辆已锁的车里被盗,里面包含执法调查的人事和财务数据,涉及人数多达110人。 还有,美国卫生与公众服务部(DHHS)负责的医疗健康保险信息(Medicare),因保险公司工作人员把17000名受益人的姓名和社会安全号码留在了酒店的计算机内没有删除而被曝光。 综观以上这些敏感数据的丢失事件,我们惊诧地发现,在7起事件中,只有2起是由于黑客行为所引起,其余大部分事件表面上看是因为失窃或工作人员疏忽等原因而引发。然而这样的结果从某种意义上讲,可以视为使用信息的流程管理不完善,缺乏监管力度,致使工作人员能够未经过滤带出大量“冗余”数据或未经加密即可带出大量机密数据所造成的。 内部流程管理不善的表现 上述发生在美国的这些事件,并非美国所独有,也绝不是偶然事件。随着安全技术的发展与完善,网络安全最大的威胁已不再是来自外部黑客的攻击,而是组织内部流程管理的不完善。主要表现在以下几个方面: 1.计算机系统漏洞未能及时修补。很多黑客在攻击时,主要利用计算机系统的漏洞屡屡得手,如果组织内部的流程管理存在问题,如没有及时安装补丁包修补漏洞,则使黑客有机可乘,并利用已经公布的漏洞窃取信息。 2.未对人员进行必要的信息安全培训。由于工作人员缺乏与本职工作相关的网络安全知识,且组织的工作流程又缺乏对员工的有效培训,致使出现不应有的“失误”。例如前段时间的电信充值卡伪造事件,就是因为工作人员没有及时修改系统管理员的缺省密码,使得该系统的开发人员能够轻松进入系统,获取了大量的充值卡数据引起的。 3.密码管理存在隐患。在对网络设备、软件系统和个人计算机的密码进行管理时,如果没有从流程的角度根据职责分离与相互制约的原则统一规划或合理安排,便会出现某一工作人员拥有查看大量机密数据权限的情况。典型的例子是单位内部的多个数据库,使用相同的用户名和密码或者由同一人员保管所有的用户名和密码。 4.组织内部信息管理权限混乱。一般而言,组织内部的不同部门或者不同岗位应通过不同的权限设置对机密程度不同数据的访问。如果未能合理分配流程上各个岗位的职责,或者没有按照要求对不同的角色进行分级授权,就有可能使得工作人员“越权”获得敏感信息,或者在用户名或密码不慎泄露时,导致大量在正常授权情况下不应丢失的信息被窃取。 5.没有严格的数据管理手段。对敏感数据的导入导出,或者将数据带出组织缺乏有效的流程监管机制,使得工作人员有可能将未经过滤和加密的数据带出去使用。一旦携带这些数据的移动设备丢失,即有可能造成严重的后果。本文前面提到的发生在美国的几起事件,大多属于这种情况。 6.缺乏有效的流程安全评估体系。由于流程管理是一个动态的过程,其安全策略的有效性会随着岗位的轮换、人员的流动、业务的变化以及制度的更改而发生变化。因此,只有建立起有效的流程安全评估体系,才能及时发现流程中存在的安全问题,并及时得到解决。 流程管理策略 通过以上分析可以看出,尽管安全技术在信息安全中仍然起着非常重要的作用,但是在网络技术日臻完善的现阶段,发布信息、处理信息、传递信息的流程管理对信息安全性的作用越来越重要。一旦流程管理上出现安全漏洞,则以前的所有努力都将功亏一篑。从这个意义上讲,流程管理,已然成为信息安全的最后防线。因此,我们有必要采取一系列策略,使其有效承担保卫信息安全的重任。这些策略包括: 1.领导高度重视。基于信息安全的流程管理是一个动态的系统工程,涉及到安全策略制定、岗位职责分工、网络用户管理、安全审计评估、人员安全培训、规章制度建立等一系列与组织内各个部门和岗位相关的工作,因此,只有领导高度重视,大力支持,全面筹划,才能确保这些工作才能得以顺利完成。 2.整体考虑,统一规划。信息安全取决于流程中最薄弱的环节,“一点突破,全线突破”,单方面考虑安全问题并不能真正有效的保证系统安全,需要从流程的整体架构考虑,制定出总体安全策略。在此基础之上,根据职责分离、多人负责和相互制约的原则,划分部门和人员的职责,并对领导、网络管理员、安全保密员以及各部门人员的职责进行分工。然后,实施用户授权管理,明确操作规程,规范信息使用行为。最后,根据上述内容,建立健全各种安全管理制度,如口令管理制度、系统操作规程、应急响应措施以及安全评估方案等,避免出现安全“孤岛”或者安全“短板”。 3.加强培训,重点防护。对没有经过安全培训的人员来说,可能并不知道QQ、MSN、Skype等常用软件是很多病毒的感染源,也不清楚哪些行为能够影响到信息的安全。因此,必须制定合理的培训计划提高员工的风险意识,加强对员工的安全教育。特别是在信息系统开始上线运行的初期,有必要对员工进行与岗位工作相关的安全知识的全面培训,从而规范操作行为,降低安全隐患。此外,应当对重点岗位的人员进行重点培训,对流程的关键点实行严密的监控,确保信息在流出组织之前,已经过严格的过滤和加密,使相关人员完全理解数据的重要性以及安全保管和正确使用数据的方法。 4.战略优先,合理保护。信息安全工作应服从组织信息化建设和流程建设的总体战略,逐步、分期、滚动式实现系统功能与安全体系的统一。如果对信息过度保护,往往会影响组织的正常运转,而吹毛求疵的追求信息的完美保护方案,也会浪费不必要的资金,得不偿失。因此,应该在组织的总体战略下,追求信息的适度安全,在流程中合理保护信息资产,使得安全的投入与资产的价值相互匹配。 5.建立健全信息安全文档。流程中的信息安全管理是一个动态的过程,人员的流动、业务环境的调整都会引起既有安全策略的改变。因此,应当建立详细的安全文档,并随着安全策略的变化进行调整,使得任何安全策略的改变都有处可查,从而避免因人员流动等不利因素导致组织信息的安全出现问题。 6.定期评估流程的安全策略是否合理。应该遵照国家和本部门有关信息安全的技术标准和管理规范,针对组织的实际情况,对信息管理和系统流程的各个环节进行安全评估,记录重大信息安全事件,定期对网络设备和信息系统进行日志分析,提交安全评估报告,以使流程能够实现安全和应用的科学平衡。 |
| 返回顶部 |
OA关键词:通知管理软件,oa通知,流程管理,信息安全的最后防线,房地产oa下载,房地产oa网络办公系统 OA OA办公系统 OA系统 OA办公软件 办公自动化 无纸化办公 协同办公系统
OA信息:[1][2][3][4][5][6][7][8][9][10][11][12][13][14][15][16][17][18][19][20][21][22][23]更多>> (后续页1 后续页2 后续页3)
|
|
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
