信息安全机制范文

信息安全机制范文（精选12篇）

信息安全机制 第1篇

随着信息技术的快速发展及其广泛应用,不论是政府、军队还是企业,各组织对信息系统的依赖程度愈来愈高,信息安全问题逐渐成为信息系统的焦点、难点问题。近年来信息安全领域出现了一些新情况,组织的内部人员(或假冒内部人员身份)和提供IT技术支持的第三方人员,利用职务之便,违规操作导致的安全问题日益频繁和突出。据统计,在2008年就有超过85%的安全威胁、70%的泄密犯罪来自于网络内部[1]。一些传统的安全手段(如防病毒、防黑客、防蠕虫防后门等)已很难完全满足信息安全的需求,对IT系统内部进行控制,正日益引起人们的重视。2002年美国紧急出台的《萨班斯-奥克斯利法案(2002 Sarbanes-Oxley Act)》,2006年底生效的巴赛尔新资本协定(Basel II)等等,都强调了IT系统内部控制的必要性,我国的法律也针对信息安全审计制定出《企业内部控制规范》。如何在系统出现故障和安全事故时,帮助调查者了解事故真相,深入挖掘事件背后的信息,重建事件过程,直至完整的分析定位事件的根源,信息系统安全审计提供了一条有效的解决途径。目前,对信息安全审计的定位已经从概念阶段向实现阶段过渡[2]。

解决信息安全问题需要法律(包括各组织具体的规章制度)、管理与技术三管齐下。本文侧重技术的层面,在简要介绍信息安全审计内涵的基础上,通过建立审计日志数据库、收集审计证据以及进行审计证据的管理等,探讨在信息系统中实现安全审计的技术方法。

1 信息系统安全审计的目的及要求

审计(Audit)是指检查、验证目标的准确性和完整性,用以检查和防止虚假数据和欺骗行为,以及是否符合既定的标准、标杆和其它审计原则。以往的审计概念主要用于财务系统,而随着信息技术的发展,大部份的企业、机构和组织的财务系统都运行在信息系统上面,所以信息手段成为财务审计的一种技术的同时,财务审计也间接带动了通用信息系统的审计,审计已开始包括其他信息系统,如有关环境审计和信息技术审计。信息安全审计成为企业内控、信息系统治理、安全风险控制等不可或缺的关键手段。美国信息系统审计的权威专家Ron Weber将“信息安全审计”定义为“收集并评估证据,以决定一个计算机系统是否有效做到保护资产、维护数据完整、完成目标,同时最经济的使用资源”[3]。

信息系统安全审计,是指在信息系统中实现安全审计机制。信息系统安全审计的主要目的,一是检测和威慑非法进入系统的行为。无论是合法用户,还是非法用户,一旦登录系统,其登录的时间和地址、对系统数据的访问、注销时间等信息,通过建立审计日志,实时记录这些信息,留下非法用户使用系统的证据。另一个目的是识别出用户对系统的误用,以便事后追查、分析和数据恢复。

根据TCSEC(美国可信计算机系统评测标准)和ITSEC(欧洲委员会信息技术安全评估和认证标准)[4],审计机制应该至少记录以下类型的事件:用户标识和认证、客体访问、客体、授权用户进行的会影响系统安全的操作以及其他安全相关事件。对于每个被记录下来的事件,审计记录中需要包括事件时间、用户、事件类型、事件数据和事件的成功/失败情况。对于标识和认证事件其事件源(终端ID、源地址等)必须被记录下来,而对于访问和删除对象的事件需要记录对象的名称。

审计数据应该具有完整性,也就是说系统运行期间的所有与安全相关的事件都应该被记录下来。审计数据的保密性不言而喻,应该使用技术和管理方法予以保证,对安全性有较高要求的系统可以引入审计员的角色来进行管理。此外还需要采取安全措施,以防止因存储介质溢出或损坏等原因而造成审计数据丢失。

2 建立审计记录

用户登录系统、使用系统数据,以及如何使用、使用的时间等等,都与系统的安全直接相关,在审计中都必须予以记录。这些用来记录安全相关事件的信息被有效地组织成信息块,称作审计记录[4]。审计记录是系统安全审计的基础,如何收集、保存审计记录,是系统实现安全审计需要首先解决的问题。在信息系统的设计中,可以通过建立数据库表结构,在事件发生的适当时机捕捉并记录事件的有关信息。

2.1 审计记录数据库表结构

审计记录数据库记录系统安全相关事件信息,内容包括什么人、在什么时间和地点、做了什么事情,亦即事件涉及的用户名、事件时间及地点、访问的对象、对数据的操作情况等。由于每天都要记录系统安全相关的事件,审计记录也叫审计日志,它是审计的重要依据,又称为审计证据。建立审计日志数据库表如表1所示。

2.2 收集审计证据

在C/S架构的应用系统中,用户通过系统客户端直接连接数据库,可由客户端直接获取操作用户信息完成审计证据收集。在B/S架构的应用系统中,用户通过应用服务器连接数据库,在系统的应用层可以检测到用户登录、访问(包括添加、修改、删除等操作)系统数据和注销系统等信息,因此可以在这些事件发生时,由应用系统收集事件的相关信息,并将该信息写入日志数据库,实现审计证据的收集。本文主要介绍B/S架构下实现证据收集的方法。

首先建立一个公共的方法AffairRecord (MyUser UserInfo, string AffairInfo),在系统检测到安全事件时,该方法记录事件信息到审计日志数据库。其中参数UserInfo为用户的相关信息,参数AffairInfo记录事件的相关内容。

2.2.1 登录事件记录

用户登陆成功后,系统自动产生LoggedIn事件。在该事件的处理程序中调用AffairRecord方法记录用户登录地址及用户相关信息。程序代码如下:

在该事件处理程序中,首先从Login1控件(用户登录时使用的控件)得到用户名,再根据用户名从系统的用户数据库得到该用户的信息mm并保存到Session中,最后将用户登陆信息及Ip地址添加到审计日志数据库。

2.2.2 注销事件记录

用户注销后,系统自动产生LoggedOut事件。在该事件的处理程序中调用AffairRecord方法记录注销事件。程序代码如下:

首先通过Session得到用户信息mm,然后调用AffairRecord方法将用户注销信息添加到审计日志数据库完成用户注销信息记录。

2.2.3 访问数据事件记录

在用户访问数据记录时,系统同样会在完成访问操作后自动产生事件,在这些事件的处理程序中调用AffairRecord方法,将用户访问数据的信息写入审计日志数据库实现事件的记录。以删除数据为例,假设用户通过GridView1数据控件删除系统数据,在数据被成功删除后,系统自动产生GridView1_RowDeleted事件。在该事件的处理程序中,调用公共方法 AffairRecord将相应删除信息保存到日志数据库中。程序代码如下:

其中,用户的有关信息从Session中获取。

3 审计日志的管理与维护

审计日志是系统安全审计的重要依据,必须妥善保存和管理。审计日志的管理提供日志查询、删除、访问控制、备份与恢复等功能。审计日志存储在单独的数据库表中,系统能够方便实现上述功能。

提供查询功能是审计的基本要求。在系统出现故障紧急情况时,需要查询审计日志以帮助了解分析故障原因,正常情况下系统管理员或审计员也可能需要查看审计日志以了解系统运行情况。提供的查询方式应该灵活多样,能够按用户、数据对象、时间、地址等方式,或其组合方式。

随着系统的运行,审计日志在不断地自动增长,经过一定时间的积累,审计日志的数据量可能会超过系统存储空间,审计数据存储介质溢出,这就需要对日志进行及时的清理,删除不必要的日志记录。当然也可采用循环滚动存储的方式自动覆盖旧的日志记录,其不足之处是有覆盖有效信息的风险,应尽可能多的为日志记录分配存储空间。

审计数据是特别重要的数据,应该使用技术和管理方法保证其保密性和完整性。对审计数据的访问必须加以控制,只有经过授权的用户才能进行访问。根据系统的使用频度、实时性要求等具体情况,制定切实可行的备份恢复策略,对数据进行适时备份。

4 结束语

本文探讨了在B/S架构的信息系统中实现审计日志记录、存储和管理的方法,实现了信息审计安全机制,能够为信息安全管理提供技术支持。由于审计日志包括对系统合法、非法访问以及使用的所有信息,信息量非常大,为更加有效发挥审计记录在系统安全性方面的作用,还需要对日志信息进行分析过滤。可以根据信息系统具体的情况,定义各类事件的审计阈值,通过分析统计,将超过阈值的操作事件定义为危险事件,进行报警或对用户行为实施干预,保证系统的安全性。

摘要：审计是一种基本而且重要的安全机制,其目的是检测和威慑非法进入系统的行为和识别用户对系统的误用。在简要介绍信息安全审计的基础上,通过建立审计日志数据库、收集审计证据以及进行审计日志的管理等,探讨实现信息系统审计的技术方法。

关键词：信息安全,审计,数据库

参考文献

[1]吉大正元.如何解决安全审计信息的安全性[EB/OL].[2009-06-26].http://netsecurity.51cto.com/art/200906/131880.htm.

[2]吕明.浅谈面向业务的信息安全审计系统[EB/OL].[2008-03-31].http://netsecurity.51cto.com/art/200803/68449.htm.

[3]叶子.浅谈信息安全审计概念的由来[EB/OL].[2008-09-23].http://netsecurity.51cto.com/art/200809/90365_1.htm.

高校安全信息管理机制分析论文 第2篇

随着高校信息化建设的不断发展，教师与学生的工作与生活也发生了一系列的变化，高校的安全信息管理一方面为信息化建设奠定坚实的基础，另一方面保障了高校的长期稳定发展，因此，加强对高校安全信息管理机制研究，对高校新时期的发展有着重要的实践意义。

一、高校安全信息概述

安全信息指的是在生产过程中与安全直接相关的各种信息的总和，其包括警示信息、上级命令等多个方面。近年来，我国计算机信息技术得到了极大提升，在人们的日常生活与工作中发挥着不可替代的作用。与此同时，安全信息管理工作也面临着新的挑战。高校作为人才培养的重要基地，同时也是科研成果的集中地。高校学生与教师整体素质较高，且思维活跃、有深度，因此加强对高校安全信息管理显得尤为重要，这不仅是构建和谐校园的需要，更是保障社会稳定的需要。近年来，校园安全事故频发，校园火灾、学生跳楼、学生自杀等事件引起了全社会的广泛关注，不仅为涉事学校与学生带来了严重的伤害与损失，而且造成了不良的社会影响。目前高校师生的安全问题已经成为高校亟待解决的重要问题，加强对高校安全信息的管理已刻不容缓。

二、高校安全信息的基本类型

高校安全信息的管理主要指安全信息管理部门采用多种途径对高校中涉及的政治、文化等方面的信息进行搜集、分析，其主要包括决策指令型、状态型、棘手型、反馈型四种类型。

(一)决策指令型

决策指令型安全信息是高校安全信息管理的重要组成部分，其主要来源于学校行政管理部门以及主管部门，涉及到与高校安全工作相关的各项法律、规范以及会议精神等。此类信息由政府部门或高校主管部门负责传递，对高校安全信息管理具有重要指导性作用，且具有强制性，要求高校必须严格按照上级的指导要求落实工作，并接受政府与上级主管部门的核查。高校领导以及安全部门工作人员要对接收的信息进行准确理解与把握，并落实到安全信息管理工作的方方面面。

(二)状态型

状态型安全信息是指发生于高校内部或社会中涉及政治、文化、教育等方面的比较敏感的话题，它是未经过滤的原始信息，能直接体现最初状态。它对时效性要求较高，这类安全信息一旦超过了一定的时效，将很有可能成为无用信息。状态型安全信息能够对高校的发展现状进行鲜明的呈现，并对高校的未来发展做出有效的评估，能够及时发现学校在发展过程中可能存在的潜在威胁，对高校的安全及稳定发展有着重要的意义。因此，高校安全信息管理部门要对状态型安全信息给予高度关注，充分利用状态型安全信息，将其及时反映到上级管理部门，为上级领导的决策提供必要的参考依据。

(三)棘手型

棘手型安全信息多是在高校安全管理的具体工作中产生的，主要包括教职工与学生在学校生活中遇到的各方面的难题，不仅涉及到教学中遇到的矛盾与困难，而且包括了教职工与学生在日常生活中遭遇的困难，如学校的食堂安全问题、学生的住宿问题以及各项活动安排等，这些问题与师生的正常工作与生活密切相关，是每天都必须面临的问题，因此必须认真处理好棘手型安全信息问题，确保学校教学工作的有序开展，保障师生的人身安全。

(四)反馈型

反馈型安全信息主要指高校安全管理部门对学校内部或社会中过于敏感话题的态度与看法，这些信息关系着学校的声誉与长期发展，同时也关系着学校师生的安全，因此，高校的信息管理部门要对反馈型信息给予高度关注，通过多种途径搜集信息，获取有效的安全信息资源，并对这些信息进行综合分析，做出总结，为学校安全信息管理工作的科学决策提供保障，使安全管理落实到学校管理的各个环节。

三、高校安全信息管理存在的问题

(一)高校安全信息管理滞后

当前，我国高校正致力于信息化建设，在现代互联网信息技术的支持下，高校的信息化建设不断加快，信息平台逐步趋于完善，相应的技术层面问题也得到了有效的解决。然而从当前的高校安全信息管理来看，我国高校安全信息资源流程还缺乏一定的规范性，从信息的获取到存储再到信息的有效利用，都不够完善，这在一定程度上限制了高校安全信息管理的有效性。因此，学校要充分把握安全信息管理的各个环节，避免主观臆断，以客观、公正的态度对安全信息进行分析，确保信息的真实性与实效性。

(二)高校校园安全预警机制缺乏

作为高校安全管理工作极为重要的组成部分，预警机制的建立对学校的健康稳定发展以及师生的安全都有着极其重要的意义，它贯穿着信息收集与整理、计划制定、决策实施等安全信息管理的全程。而我国大部分高校的安全预警机制并不完善，例如信息渠道不够畅通，在对安全信息进行分析与判断的过程中往往带有一定的片面性与主观性，甚至导致整个决策方案出现失误。部分高校尽管建立了校园安全预警机制，然而对安全信息的分析能力有所欠缺，降低了安全信息管理的有效性。

(三)高校安全管理部门信息交流不畅

高校安全信息的收集、整理、分析以及利用需要完善的系统化流程作为支撑，这是高校安全信息实现有效管理的基础。然而大部分高校的安全管理部门并未建立信息交流与共享机制，各个部门各自为政，很难实现各类安全信息的有机整合与处理，这就使信息的价值大大降低，其在安全管理决策中的作用也难以发挥。

四、高校安全信息管理机制

高校的安全信息管理由多个环节组成，每个环节都是安全信息管理中不可或缺的重要组成部分，具体包括安全信息获取途径、安全信息存储条件、安全信息沟通反馈、安全信息有效利用等。

(一)安全信息的有效获取

作为高校安全信息管理机制的首要环节，安全信息的获取不仅是安全信息管理的`必要基础，而且是信息管理与决策的重要依据，因此，必须通过多种途径实现对安全信息的有效获取。首先，学校安全部门要针对安全信息管理制定出相应的管理制度，并选出合适的信息收集人员，收集安全信息主要涉及到学校后勤部门、学生部门以及教学部门等，并将信息及时反馈到安全管理部门，为高校的安全管理工作提供有效的参考。另外，在现代互联网信息技术的支持下，学校可以为教师与学生建立一个完善的安全问题交流平台，并设定专门的信息管理人员对这些安全信息以及师生感兴趣的话题进行收集，对这些信息做出科学分析，认真解决与师生利益相关的各类安全问题。

(二)安全信息的存储机制

高校安全信息管理工作的有效实施与安全信息存储联系尤为密切，只有将安全信息进行有效的存储，才能够为安全信息管理工作打下坚实基础。首先，高校要建立完善的安全信息管理系统，这其中不仅包括对安全信息的收集，而且要强调对信息的存储与科学利用，在安全信息系统的支持下，高校安全管理机构能够实现对安全信息的有效管理与控制，充分发挥其在高校安全管理中的作用。另外，要建立安全信息数据库。通常情况下，在收集安全信息的过程中采用了多种渠道，这些安全信息相对零散，必须对这些信息进行汇总，通过安全信息管理人员的筛选与整理，将有价值的安全信息进行汇集，建立数据库，对这些信息进行储存，以便为高校的安全管理提供参考。

(三)安全信息的沟通机制

获取安全信息后，需要针对这些信息建立有效的交流与沟通机制，确保安全信息管理的科学性。学校安全管理部门可以创建一个网络平台，通过该平台实现对安全信息的发布与反馈，需要注意的是要确保信息的真实性与透明度，这不仅是对大学生权利的尊重，同时也是学校可持续发展的内在要求。如果缺乏有效的信息沟通、交流机制，高校将很难掌握其运行过程存在的安全问题，进而引发一系列安全事件的发生。因此，要充分利用网络平台，准确把握师生在日常工作、学习与生活的安全诉求，进而给予良好的解决，同时将与学校相关的各种安全信息通过网络传递到师生，确保高校正常教学工作的有序进行。另外，近年来微博、博客作为一种新型的交流、沟通工具，在高校师生的沟通交流中发挥着巨大的作用，学校安全管理机构可开通微博，通过微博系统发布师生关注的各类安全信息，这一方面有利于信息的传播，使更多人能够了解安全信息，另一方面能够使广大师生提高警惕，树立安全意识，为高校的安全信息管理工作降低难度。

(四)安全信息的科学利用

完善信息预警机制 第3篇

2011年，天津市农村工作委员会及时组织有关部门编制了《蔬菜产销信息监测预警工作实施方案》，建设内容概括为蔬菜“1233”信息工程即建设一套蔬菜产销信息监测预警平台、建立两项制度、实现三个互动、提供三个信息服务产品等。建立的《天津农产品市场监测预警平台》，现有15个农业部定点市场和4个基地价格信息，目前该平台正在试运行。

编发了《涉农区县经济社会分析报告》12期，供市领导决策参考。

种种市场信息监测分析工作的开展，为天津市农产品流通起到保驾护航的作用。

▲开展定点市场管理工作

经过积极组织申报，经农业部批准，2012年1月中旬在杭州授予北辰区老板娘国际农副水产食品城、金元宝滨海农产品交易市场有限公司为第十五批“农业部定点市场”，至此，天津市共有农业部定点市场15个。另外，围绕前一段时期蔬菜价格波动，组织召开了以蔬菜产销衔接为主题的农业部定点市场总经理联席会议，为稳定蔬菜价格、保证市场供应发挥了作用。

▲“天农网”建设取得了新进展

加强了“天农网”网站信息更新力度。随时掌握机关工作最新动态，力求将最新信息及时上传到“天农网”；召开会议，组织机关处室和有关部门加强信息组织上网；对全国农交会、天津首届农博会和信息技术博览会三次重大展览活动进行现场网络直播；结合政务网测评，对“天农网”有关栏目和内容的改造升级。

2012年，天津农业市场信息工作的指导思想可概括为“123” ，即一个围绕、两个结合、三方面工作：紧紧围绕全市农村工作会议上确定的农业农村工作总体目标，结合设施农业提升工程和农业科技创新工程等委里重点工作，理顺业务、聚合资源、突出服务、狠抓落实，认真抓好农产品市场体系建设、全力推进农业农村信息化和抓好新一轮“菜篮子”工程建设协调等三方面工作，切实履行好职责，使农业市场信息工作在推进现代农业发展和新农村建设中作出更大的贡献。

▲完成好农业农村综合信息服务示范工程

这是列入天津市2012年20项民心工程的内容，由市农委和市经信委共同承担。主要任务是建设一个综合信息服务平台，开展农产品市场、农业科技、农业气象、医疗卫生、文化共享、教育培训等6类信息服务；按照“五个一标准”在全市有农业区县的行政村建设农村综合信息服务站500个。通过政府引导、市场运作的方式，在有农业区县的医院、农业合作组织、龙头企业、农资经营网点、种植养殖大户、设施农业基地等场所建设农村公共信息服务点1500个。尽快制定出实施方案并部署落实，确保按时完成。

▲开展好农产品市场监测预警工作

抓好区县农产品市场热点快速报送工作，及时捕捉市场热点，掌握价格和交易动态，在第一时间发现苗头性、突发性和趋势性的问题，以便积极应对、掌握主动、为领导决策提供及时情况；继续做好定点市场联席会议制度，围绕市场热点问题讨论会商；建设好农产品市场信息监测预警系统，完善功能和内容，确保信息及时按要求采集上传。

▲维护建设好“天农网” ，抓好两类信息服务

研究制定“天农网”政务信息管理办法，完善机制，不断增加上网信息量。及时更新版面、增加功能、补充栏目，提高“天农网”在政府系统网站绩效评估中的位次。

继续办好服务信息产品：继续办好《天津涉农区县经济社会分析报告》，继续编发《农产品市场价格分析》简报。组织协调好为“三农”服务的信息品牌：“12316”三农服务热线继续为农服务；编发《农民致富信息》刊物；维护与气象局合作的天津电视台公共频道《气象万千》栏目等。

构建三维一体的网络信息安全机制 第4篇

今年10月份“网络空间国际会议”在匈牙利闭幕，“网络空间”继伦敦会议后，再一次作为全球焦点被世界多国研究讨论，会议最终呼吁各国在构建安全的网络空间方面进行合作。由此可见网络空间的安全问题已成为世界多个国家普遍存在且需全球协作的共性问题。互联网自诞生之日起就将世界联系成为一体，经过30多年的发展，网络技术在促进经济繁荣、科技进步、思想传播等方面改变着人们的生产和生活方式，并逐渐的渗透到人类生存的各个环节中，各国政府也高度依赖由网络联结的政务、电力、交通、能源、通信、航空、金融、传媒、军事等“关键基础设施”，实施经济治理和社会管理，网络已成为国家政治、经济和军事的战略支点。但与此协同的安全问题却没有跟上网络发展的步伐，在日益普及的网络应用空间中，安全问题已成为21世纪世界面临的严重挑战。

我国互联网起步较晚，但发展速度十分惊人。据2012年7月中国互联网信息中心发布的数据显示，我国的网民数量已达到5.38亿，其中低学历人群增长较为明显;互联网普及率为39.9%，其中农村人口占到51.8%;IPv6地址数达12499块/32，跃居全球第三。同时，根据国家互联网应急中心的数据，2011年境外有近4.7万个IP地址作为木马或僵尸网络控制服务器，控制我国境内近890万台主机，近3000个政府网站被篡改。日益庞大的网络空间和终端用户的低安全性造成我国网络空间的安全问题更显突出。

2 技术、管理、法规安全机制主要内容

网络与信息安全机制的研究从网络产生时就一直没有间断过, 它与网络技术的发展息息相关。当前网络与信息的安全机制主要有:加密机制、安全认证机制、访问控制机制、完整性机制、不可否认机制、公证机制和路由控制机制等。结合安全机制产生的网络信息安全服务也基本涵盖了应用领域的各个方面[1]。但是这些防范技术总是很难和安全管理有效的结合, 或者说是用技术实现管理的执行力不强。究其原因, 我觉得是在技术和管理之间缺少一个强有力的约束框架, 为此我们在网络信息安全“技术+管理”的模式中, 独立出一个法规标准, 提出了技术、管理、法规三维一体的网络信息安全体系, 以技术为基础, 用法规作保障, 实现网络空间的自主管理。如图一所示:

(1) 技术机制：网络与信息安全机制采取在国家网络空间尽远端保护，中间处保障，核心端强调可生存性的三级安全防护措施。1) 尽远端保护采取常规的安全措施，划分明确的网络空间边界，利用加密、认证、访问控制等技术手段，在网络空间边界上阻止非法入侵，达到信息安全的目的。在尽远端保护中要着力解决两个难题：一是网络空间边界不像陆、海、空、天等实体一样，有清晰明确的边界线，这就需要安全防护措施能够根据自主识别动态变化的敌我双方边界，合理有效的实施安全防护;二是网络和信息领域的攻击手段和技术发展很快，各种保护措施需保证跟的上敌对方的发展速度，及时地调整安全防护机制。2) 中间处安全保障采取以入侵检测技术为核心，以恢复技术为后盾的入侵检测恢复机制。该机制融合保护、检测、响应、恢复四大技术，通过对网络流量或主机运行状态的检测来发现对网络空间攻击及破坏行为，实现对网络信息空间状态的动态检测，并对各种恶意的入侵行为做出响应。在实施入侵检测机制时，要能够快速有效的分辨出攻击行为，以便后续响应措施的实施，另外还要能够及时的恢复网络和信息到攻击前的正常状态。3) 核心端生存性技术是指在国家网络空间核心处受到攻击或意外事故发生时，在限定时间内恢复到正常状态的能力。这里主要关注的是“容忍”技术，即入侵或故障发生时，网络空间仍可以正常工作，在后续的时间内逐渐的排除故障，确保核心端数据的完整性、机密性和可用性[2][3]。容忍概念的提出到现在经历了从容忍错误到容忍入侵的过渡，但是目前应用还很少，特别是国内，理论研究多而实际项目少，在下一步的网络信息安全技术中，应加大发展力度。4) 安全防护设备信息融合机制。当前存在有防火墙、入侵检测、漏洞扫描等各自独立的安全防护设备，彼此间信息不能共享。而在现实中，各个安全防护设备的信息可以互相利用，甚至有时候还可以成为对方的核心数据。因此，要建立防护设备信息融合机制，将攻击信息有效整合起来, 实现信息的充分利用。

(2) 管理机制：网络信息安全常说的一句话是“三分技术，七分管理”。的确是这样，再完美的防范技术，如果没有很好的执行和落实，到最后也发挥不了作用。这里我们提出的管理机制，不仅有网络空间维护人员的管理，还有对众多网络空间使用人员的管理。1) 末端宣传教育机制。加大网络空间安全意识的宣传力度，普及安全使用网络的基础知识，在一些机关或企事业单位，适当的开展网络信息安全的培训，提升我国众多网民安全防护意识和安全使用网络的能力。网络空间安全意识作为一种机制，要形成常态化，并通过法规制度，提升各级单位的重视程度。现在的信息技术是先进的，但也需要会使用先进技术的网民，这样才能在末端接入处提高网络空间的安全，从根本上解决隐患。2) 中段管理人员的归口负责，把零散的“点”的管理转向系统性、有序的“面”的管理。早在1997年我国就成立了信息技术和安全技术委员会，各级各类的安全部门也相应成立，但这些安全管理人员信息分散，彼此间没有统一协调的部署和指挥，在面临突发情况时很难有效整合。因此，对管理人员要建立系统组织机构，做到分工明确，职责清晰，建立健全网络应急处理的协调机制。3) 国家安全一票否决制。在网络空间, 处理一些具有安全隐患问题时，采取一票否决制, 即只要有危害国家信息安全的潜在风险因素，就直接否决。其主要针对于应用国外的网络设备或软硬件商品。如同美国在通信设备中拒绝使用华为和中兴设备;禁止华为收购美国3Com的理由是一样。在技术含量高的网络空间产业的竞争，一般的反倾销、反补贴等贸易救济措施抑制效果有限，且还要受到世界贸易组织争端解决机制制约。相比之下，合理的使用一票否决制，可有效将存在潜在威胁的企业或商品挡在国门之外。

(3) 法规机制：安全技术领域需要有各类标准，安全管理需要有行为规范，维护网络空间主权需要有法律，处理安全事故责任需要有依据，在网络信息空间新领域里要重视标准和法规制度的建设，及时更新修改，有效保障管理措施。1) 尽快制定发布我国《国家网络安全战略》，将网络空间安全问题上升为国家战略问题进行通盘考虑和研究。在国家战略背景下，逐步建立各类安全技术的评判标准和网络信息安全体系构建标准，指导网络空间安全建设。要加强与世界其他国家的沟通交流与合作，特别是先进发达国家，吸取经验教训，指导科学合理的战略规划[5]。2) 结合当前的网络安全技术建立各级各类人员的行为规范，大力加快信息安全相关法规建设，通过法律法规来明确各自的义务、权益、责任和处事流程，并制定相关的处罚措施，让管理能有章可循，有据可查。积极参与制定国际网络冲突行为准则，在国际网络空间事务中发挥话语权的作用，为捍卫我国在网络空间的主权提供有力依据。3) 紧跟时代，注重技术标准的建设。使国家网络空间相关人员能够参与到国际信息安全技术标准建设中去，通过对其他先进国家的学习，加快自身技术研究的发展，在国际网络空间标准制定中发挥一定的作用，从而更好的指导本国网络安全的基础建设。

3 结语

综上所述，在网络空间信息安全的范畴内，技术是基础、法规是依据，管理是重心。随着网络技术的不断发展，网络空间的安全防范技术也需不断革新，这里提出的可生存性就是一个新的发展方向;而法规制度虽然是网络行为的评判标准，但它自身建设也必须根据安全防范的新技术时时更新、积极建设，才能为管理提供有效依据;管理要以法规为依据，通过运用各种技术手段来维护网络信息的安全，特别是全国性组织机构的建立，有效整合资源，总体发挥合力。

参考文献

[1]彭新光, 吴兴兴.计算机网络安全技术与应用.科学出版社, 2005

[2]赖积保, 王慧强, 王健等.系统可生存性研究综述[J].计算机科学, 2007, 34 (3) :237-239, 275.

[3]张鸿志, 张玉清, 李学干等.网络可生存性研究进展[J].计算机工程, 2005, 31 (20) :3-5.

[4]Major Russell J.Smith.Developing an Air Campaign Strategy.http://www.airpower.maxwell.af.mil, 1986.

信息安全管理责任及监督检查机制 第5篇

信息安全管理责任

为了本平台的正常运行和健康发展，落实计算机安全责任，明确计算机安全防患内容，确保计算机安全万无一失，进一步加网络信息技术防范和行政监管力度，实现系统的规范、统一、有序管理，根据《计算机网络安全管理条例》的要求，特签订计算机网络信息安全管理责任状。特制定安全目标责任书：

1、牢固树立“安全就是稳定，安全就是投入，安全就是福利”的思想。严格遵守国家制定的有关计算机信息系统安全的法律、法规，认真贯彻执行《网络安全管理条例》。并建立检查记录。

2、严格计算机电源管理。开机前检查是有自然或人为损坏，防止短路，使用中注意检查有无过载现象。

3、严格计算机硬件管理。不能频繁搬动，不能经常抽插接口，不可卸掉外壳，不能拆装箱内配件。

4、严格计算机软件管理。系统软件和应用软件都在行政部，未经管理员同意，不能随便装卸系统和软件。

5、严禁登录不健康网站，严禁传播不健康信息，严禁工作时间炒股、聊天、游戏、听歌曲看影视。

6、未经许可不可移动、装拆计算机以外的其它供电网络、办公、照明等配套设备。

7、专机专人，未经管理员允许，不准其他人搬动、装拆、使用。

8、严格计算机清洁卫生，严防酸碱盐油质品腐蚀。

9、正确按安全程序开关闭机器。

10、严格门窗管理。离开时必须关机关灯关电源，必须关窗，锁门防盗。

11、严格防水管理。注意窗、门、房顶渗水。

12、自觉作好相关使用记录，自觉接受安全检查，主动听取安全管理意见，接受行政管理人员登记、检查监督意见。

13、无视纪律，管理疏忽，使用不当，致使硬件和软件损坏，按购买时合同价赔偿，回收使用权或调整岗位，并对所造成的损失，承担一切责任。

信息安全监督检查机制

为保证平台信息网络的安全正常运行，规范管理，特制定监督检查检查机制，各部门和维护网络管理人员必须以高度的责任感认真执行此项制度。

1、公司应当自觉遵守《中华人民共和国计算机信息系统安全保护条例》和有关网络法规，严禁利用计算机从事违法犯罪行为。

2、网络管理员应当对单位的网络使用情况监督、检查，坚决杜绝访问境内外反动、黄色网站，不阅览、传播各类反动、黄色信息；每天要不定期地检查相关网络信息，并做好网络安全运行记录。

3、要对非法入侵安全审计和追踪，尤其是对重要的文件、数据和邮件，作为责任追查的依据。由于防火墙虽然能够起到一定的作用，但不可能防止所有的入侵，因此应加强安全审计和事后追踪的力度，对入侵者起到威慑作用和追查作用。

4、要建立防火墙入侵检测机制，保护数据服务器不受攻击，同时建立紧急恢复机制，能以最快的速度恢复系统正常运行。

5、各级网络管理员应当保证本部门计算机内日志文件及其他重要数据的完整性、真实性，并做好备份工作，配合各类安全检查。

6、一旦发现平台网络受到攻击，公司网管人员要及时向安全领导小组汇报，同时做好系统保护工作和记录。

构建统计信息质量长效机制 第6篇

【摘要】 构建教育机制,从思想奠定良好的基础;构建惩治机制,从措施加大打击的力度;构建制度机制,从管理堵塞工作的漏洞,建立“教育、惩治、制度”三位一体的长效机制,能够有效保证和提高统计信息质量。

【关键词】 统计信息质量;教育机制;惩治机制;制度机制

随着社会主义市场经济的日臻完善,社会各界对统计信息的需求量越来越大,对统计信息质量的要求也越来越高。国家高度重视统计信息质量工作,从制定法规、完善制度等方面提高统计信息质量,效果颇为明显。由于利益的驱使、社会经济的复杂性、统计方法制度本身的局限、统计人员自身的素质以及工作责任心的差异等原因,统计信息失真问题依然十分严重。提高统计信息质量,必须前移防范关口,构建“教育—惩治—制度”三位一体的长效机制,从源头抑制统计信息失真现象的发生。

一、构建教育机制,从思想上预防信息失真

端正价值观念,构建教育机制,使组织或个人在思想上不想统计信息失真,这是提高统计信息质量的首要任务。

1.以全体社会成员为对象,加强政治思想和法纪教育

要以世界观、人生观、价值观教育为重点,并与职业道德、法律法规紧密结合,着力提高人的素养,增强公民意识,坚决抵制本位主义、极端个人主义思想的侵蚀,自觉保持和弘扬高尚的道德风范。要充分利用电视、网络等平台,把统计工作的重要性、统计失真的危害性以及统计违法犯罪的严重后果公之于全社会,形成强大的社会舆论力量,营造人人关心统计信息质量、抵御统计信息失真的良好氛围,筑牢统计违法犯罪的外围防线。

2.以领导干部为重点,开展统计专题教育

要着力加强领导干部对统计工作必要性、重要性的教育,促进正确的政绩观、权力观和地位观的树立,使其客观、公正地对待统计信息,自觉地把统计工作放在重要位置,更好地为人民群众服务。要将《统计违法违纪行为处分规定》列入普法和反腐倡廉教育的重要内容,积极开展多种形式的学习和培训活动,杜绝“官出数字,数字出官”的负面现象发生。要坚持实事求是的思想,以科学发展观指导统计各项工作,促进统计工作不断创新。要坚持以人为本思想,积极关心统计人员的工作环境和生存状态,支持和帮助统计人员做好统计工作。要利用发生在一些地区或部门数据造假的案例,采取以案释法、以案说法等形式,有针对性地做好重点预防宣传和反面警示教育,促其惜权、慎权,在思想上筑起抵制统计信息失真的内在防线。

3.以统计人员为核心,加强职业道德教育和业务知识培训

要着力细化统计人员职业道德规范,提升个人修养,树立职业道德操守。要培养正确的信息质量观,在质量上求精,在方法上求活,在技术上求新,防止绝对求准、机械求全、盲目求细,摒弃僵化的工作模式,把统计工作做细做实,为提高统计数据质量提供基础性保障。要定期进行业务培训,确保统计工作的连续性和统计人员业务知识的及时更新,培养造就一支思想好、素质高、技能过硬的统计队伍,使教育机制的作用得以充分发挥。

二、构建惩治机制,从措施上打击信息失真

构建惩治机制,加大打击力度,使其在行动上不敢信息失真,这是提高统计信息质量的关键环节。

1.增强统计立法力度

根据形势发展需要,修订和完善统计工作中所涉及的有关法律,界定统计违法犯罪的内涵和外延,确定相应的责任、预防对策和处置措施,增强法律的可操作性,保证法律的前瞻性。要依法开展统计调查、依法履行为被调查者保密的义务,增强《统计法》的震慑力,克服统计工作中的“人治”思想,使统计工作切实纳入法制轨道。

2.加大违法惩处力度

严格执行《统计法》、《统计违法违纪行为处分规定》,依法惩处统计违法违规现象。

(1)在打击对象上。对政府、统计机构或者有关部门、单位的负责人、统计人员、企业事业单位或者其他组织、个体工商户自行修改、伪造和篡改统计资料;编造虚假统计数据;未经批准擅自变更统计调查制度的内容;未按统计调查制度的规定报送有关资料;违法公布统计资料;泄露国家秘密和统计调查对象的商业秘密、个人信息;拒绝、阻碍统计调查、统计检查;转移、隐匿、篡改、毁弃或者拒绝提供原始记录和凭证、统计台账、统计调查表及其他相关证明和资料;违反国家有关规定,造成统计资料毁损、灭失等现象,要依法进行严肃查处,轻者给予批评教育、警告、记过、通报、撤职、罚款处理,重者追究其刑事责任。

(2)在打击力量上。要发动广大民众参与,紧紧依靠各级纪检监察机关、人民政府统计机构、人力资源和社会保障部门,形成社会合力,进行综合治理;建立健全统计执法机构,配备专职统计执法人员,保证必要的办案经费。理顺工作关系,明确各相关部门的职能分工,做到各司其职,各尽其责。在打击方式上,要针对统计违法的特点,主要以奖励的手段拓宽案件来源渠道,加大统计违法案件的“曝光”力度和惩处力度,真正做到有法可依、执法必严、违法必究,使统计人员不愿也不敢统计信息失真。

(3)在整治工作上。要认真研究和查找统计工作中存在的漏洞,督促有关部门建章立制,改进管理,从根本上防范和减少统计违法违纪行为的发生。加强统计监督力度,建立系统严密的权力监督机制,赋予统计监督机构独立的监督职能,行使独立的监督权力。健全统计监督机构,配足懂行、素质较高的统计监督人员,将监督贯穿于统计工作的全过程,使统计的监督和制约得到真正的保障和落实。充分利用信息化技术,逐步建立起网络环境下的统计质量监控工作模式,形成政府、部门、企业、城市、乡村纵横交错,相互配合的统计工作网络,使统计信息、统计违法行为暴露在“阳光”之下,接受信息运用者和社会公众的检验,确保统计信息的真实性、统计分析和统计结论的公允性,有效督促政府、地方、部门求真务实,打消潜在违法者的侥幸心理,从而减少现实的统计犯罪,提高监督的实效性。

三、构建制度机制,从管理上遏制信息失真

构建制度机制,在制度的制定、执行和完善的动态过程中堵塞管理漏洞,使统计工作不能信息失真,这是提高统计信息质量的有效保证。

1.在统计制度的制定中

要根据社会经济发展的需要,建立起适合我国市场经济特点的现代统计制度。要高度重视制度建设对规范统计管理、堵塞工作漏洞的重要性,把制度的制定贯穿于统计工作的各个领域和各个环节。要在认真梳理原有制度的基础上进行调整、充实和更新,使其更加科学、合理和可行。要努力健全统计数据失真易发、多发的重点部门、重要岗位、重点环节的内部管理制度,避免给统计违法犯罪分子可乘之机,有效抑制统计违法行为的发生。

2.在统计制度的执行中

要贯彻落实科学发展观,坚持以人为本,把人民群众的根本利益放在第一位,把统计工作的重点从主要为政府、领导提供数据转移到关注民生上来。要把为应对金融危机提供优质服务,作为当前统计部门的最大实际,协调好管理和服务、统计与会计、统计内部与外部的关系,正确处理好公开与保密、局部利益与全局利益、眼前利益和长远利益的关系。要深入基层,广泛开展调查研究,及时收集、反映中央方针政策的贯彻落实情况,反映各地应对国际金融危机的重大举措,反映经济社会运行中的热点、难点问题以及老百姓关心的问题,正确分析和判断形势,提供更加及时的政策建议,当好党和政府的参谋助手。要重点抓好统计设计、统计调查、统计整理等关键部门的制度建设,明确各部门和从业人员的责任,规范统计行为,严防工作疏漏。要把统计信息的质量与统计干部和职员的年度考核、绩效工资挂钩,调动统计人员的积极性和创造性。要从事后质量抽查转移到“检防结合”、“预防为主”上来,实行全程、全域和全员的统计信息质量管理,全面提高统计信息质量。

3.在统计制度的完善中

要改革统计管理体制,实行统计机构垂直领导,维护统计部门的独立性,从根本上避免各级政府部门对统计数字的行政干预。要进一步完善组织制度,健全岗位责任制、岗位工资制、干部考核和群众评价制度,建立科学合理的定量评价体系。要进一步完善统计工作制度和专业统计制度,规范统计核算程序,严格报送规定。要建立科学的统计调查方法制度,不断改进统计核算方法,广泛应用抽样调查,完善统计指标体系,及时有效地反映我国在经济体制转变过程中出现的新情况、新问题,为社会各方研究提供翔实的数据信息。

要强化内部监督,健全统计信息质量管理体系和统计数据质量控制机制,建立规范的统计数据发布系统,采用统一的统计信息披露方式,进一步扩大政府信息公开范围,继续开通“国家统计数据库”在线查询服务,提高统计数据质量公信度,加快实现信息公开工作的数据电子化、流程标准化、办公网络化,更好地发挥服务社会公众的作用。要建立民众广泛参与预防机制,畅通举报渠道,健全投诉举报和保护举报人制度,发挥广大群众的监督作用,使统计造假分子无处藏身。

提高统计信息质量是一项长期而艰巨的复杂系统工程,涉及到社会各领域、各个环节,需要全社会民众的共同参与、政府职能部门作用的发挥和统计从业人员职业操守的遵从。通过构建“教育—惩治—制度”三位一体的长效机制,能够使各级领导干部和统计人员思想上不愿统计信息失真,行动上不敢统计信息失真,工作上不能统计信息失真,从而有效地防治统计违法行为的发生,保障统计信息的准确性、及时性和实效性,更好地发挥统计在了解国情国力、指导国民经济和社会事业又好又快发展中的重要作用。

参考文献

[1]顾爱军.论统计失真的危害及对策[J].辽宁经济.2002(9)

[2]国家统计局政法司.中华人民共和国统计法[DB/OL].2009

信息安全机制 第7篇

关键词：XBRL GL,信息安全风险,防范机制,会计数字版权管理语言

一、XBRL GL概述

(一) XBRL GL的涵义

XBRL GL(XBRL for Global Ledger)是XML(e Xtensible Markup Language,可扩展标记语言)在会计分类账层面的应用,是XBRL格式的财务报告的进一步深入。XBRLGL分类标准是就如何表示企业经营业务信息和明细会计信息而制定的协议,由一组分类标准组成,包括核心(Core)、拓展交易事项BUS、多种货币MUC等,采用模块化形式构建。其中核心(Core)分类标准是基础框架,其它分类标准由使用方自行选择,以插件形式添加到特设调配模板(Palette schema),以拓展核心分类标准的基本概念,保证其适应各区域、各行业需求的灵活性。遵循这一协议,各软件系统就可无缝连接,彼此之间交换和共享经济交易和分类账层面的会计数据。

(二) XBRL GL的功用

推出XBRL GL的初衷是为跨国企业可以迅速从子公司获取会计信息,并直接进行数据合并和报表编制,提升企业管理水平。由于XBRL GL分类标准是针对财务报告的来源数据及其结构进行规范,实现报表来源数据的便捷共享和再利用,便于企业报告实现流程化编制;便于不同类型的信息使用者采集、加工组合成满足自身需求的报表或决策所需信息;便于基于XBRL的软件系统联结至多种XBRL财务报告分类标准,以编制不同格式和内容的财务报告,满足按多种公认会计原则提供会计信息的需求,解决同样的财务报告来源数据在不同会计准则之间的转换。因此,XBRL GL将支持一种会计国际化和财务报告全球化的新的应用模式。同时,也为网上在线实时披露财务信息,为审计监管部门跟踪XBRL格式的财务报告的审计线索,实现持续审计奠定基础。然而,与XBRL格式的财务报告不同,XBRL格式的会计交易层面的明细信息,除了包含生成对外财务、税务等报告的来源数据以外,还包含生成企业内部管理会计信息的来源数据。XBRL GL利用标签表达数据的财务含义,实现在企业经济交易事项和分类账层面的明细信息的语义级共享,从而方便了各类会计信息使用者对信息的搜索、分类、归集和使用。XBRL GL能够使分类账信息与交易事项中的会计信息建立关联,使得用户可从企业报告各项目的数据“下钻”至相关明细信息。

(三) XBRL GL带来的挑战

对于会计信息提供企业来说,XBRLGL的应用,将增大企业信息泄露的风险和成本。因为,对不同类型的会计信息使用者(如企业高层管理者、企业员工、审计、税务等),提供者具有不同程度的信息公开义务,如果没有充分的控制信息使用权限的运作机制,将制约XBRLGL在会计领域更进一步深入的应用。本文重点分析企业应用XBRLGL将产生的新的信息安全风险,并将数字版权管理的概念和机制引入到对XBRL分类账和经济交易层面的数据(实例文档)的安全管理中,以便在充分利用XBRLGL支持会计国际化和财务报告全球化的新的应用模式的同时,降低会计信息提供者应用XBRLGL的信息风险和成本(本文不讨论其他成本和风险)。

二、企业信息系统数据关联关系及数据安全控制机制分析

(一) 企业集成数据库中会计交易层面数据的关联关系分析

企业会计信息的使用者涉及到投资者、债权人、审计、税务等政府监管部门,以及企业高层管理者、企业员工、财务分析师等多种类型,同时还有竞争对手。企业会计信息的提供者有义务根据会计法规、制度以及不同信息使用部门的要求提供相应的会计信息,也有义务保守企业的商业机密,防止“过度提供”,以及信息泄露。本文通过例举一笔经济交易事项,分析其在业务与财务一体化的企业管理信息系统中所涉及到的主要数据存储表及表之间的关联关系,这些数据表或表中的数据对不同的会计信息使用者有不同的使用权限。(1)案例背景。举例说明:2008年8月8日用赊销方式销售薄钢板10吨给A公司,单价100000元(不含税),增值税税率17%,从薄钢板成品库发货。这笔销售事项涉及到企业的销售、仓储、会计等多个部门的业务流程,在ERP系统中(例如用友U8.6),通过操作销售管理、库存管理、存货核算、应收管理、总账管理等子系统的功能模块,将生成销售发票、发货单、销售出库单等业务单据,会计系统依据共享的业务单据自动生成记账凭证。其中主营业务成本由系统根据初始设置的成本单价自动计算填入。

(2)案例分析。目前的企业管理信息系统都采用成熟的关系数据库管理系统管理数据资源。在业务与财务一体化的系统中实现了业务与财务、财务会计与管理会计的数据集成。以上经济交易事项的业务单据将涉及到企业集成的数据库中销售发票、发货单、销售出库单、产品(存货)库存表等数据表的操作和改变,同时还关联到客户档案、产品(存货)档案、仓库档案、销售人员档案等数据表的操作。由销售发票和销售出库单生成的2张记账凭证涉及到5个会计分类账户的数据变化,在电子账中,会计分类账主要通过会计科目表、记账凭证表、科目余额表保存数据。以上交易事项的会计分类账涉及的数据表关系可用(图1)例示。(图1)中的箭头表示关联关系,即通过会计科目码可以将分类账的信息进行关联;通过客户码可以将应收账款分类账与客户明细信息进行关联;通过外部凭证类和外部凭证号可以将记账凭证与业务单据进行关联等。这些代码体系可以看成是企业报告各项目数据“下钻”至相关明细信息的链接指针。从某个角度讲,依据关系数据库理论设计的企业数据库,可以看成是对企业信息系统管理的所有对象(实体)进行统一编码后,由各个实体的主码和外码相互关联的数据表的集合。如对企业的产品统一编码后,通过产品代码可以关联到产品档案、产品库存、产品标准成本、产品销售明细分类账等数据表。

(二) 企业信息系统中数据安全控制机制分析

由于数据库中信息资源的安全性是至关重要的,任何一个数据库管理系统及其应用系统都设置了非常严密的安全控制机制。一般用户要操作数据库中的数据,通过应用程序提供其身份,至少要经过三层认证过程:身份验证(是否有与数据库服务器的“连接权”)、合法用户验证(是否有具体数据库的“访问权”)、操作许可验证(是否有对某数据或对象所要进行的操作的“操作权”)。还可以对数据库文件采用加密和备份等技术,以防数据被窃取和丢失。企业信息系统的数据安全控制机制可用(图2)表示。在企业业务与财务集成的数据库中,主要有二类核心的基础数据源表:一类保存企业经营管理的基础数据,如客户档案、职员档案、固定资产档案、产品档案、会计科目表等;另一类保存企业经营活动的业务数据,包括经济交易业务的会计记录数据,如(图1)所示。无论是对内的管理会计报表还是对外的财务报表、税务报表等都是通过应用软件从两类核心数据源表中提取数据加工而成,不同类型的信息使用者对这些表中数据有不同的使用权限。如企业高层管理者有最高的使用权,可以使用全部数据表中数据;企业员工根据其岗位和职责,对部分内部数据有使用权(如销售人员可以读取、修改其所管辖的客户资料);外部审计师对财务报告涉及的来源数据都有读取权(如可以查阅但不能修改应收账款所有客户的资料);税务部门有对税务报表涉及的来源数据有读取权(如可以查阅但不能修改与应交税金相关的企业收入和支出等明细信息)等。一般情况下,这些不同权限的会计信息使用者通过企业信息系统的“系统管理模块”进行上机操作权限的设置与控制。

三、XBRL GL应用的信息安全风险及防范

(一) XBRL应用的信息安全风险

XBRL格式的会计交易层面的数据存储与运行机制将会带来的信息安全风险。(1)XBRL格式下的数据存储与运行机制。与XBRL格式的财务报告一样,XBRL GL也由技术规范、分类标准、实例文档、样式单组成。XBRL GL的实例文档作为存储企业会计交易事项层面的数据文件又分经济交易或事项的信息元素集、会计簿记系统信息元素集两个层次。从XBRL GL设计的目的来看,如果能够将经济交易或事项中的原始数据直接转换成XBRL格式存储,则能满足各类信息使用者的需求。那么,如何将企业集成数据库中存储的会计交易层面的明细信息转换成XBRL GL格式,笔者认为,从应用需求来看可以采用二种转换方式:静态(也称定时)转换和动态(实时)转换。静态转换指根据编制各类报表的要求,定时将各类报表所需的来源数据转换成XBRL GL实例文档,如(图3)所示;动态转换指实时将经济交易或事项过程中的明细信息转换成XBRL格式存储,如(图4)所示。(2)XBRL GL带来的信息安全风险。无论是静态还是动态的转换方式,XBRL GL的应用都将使企业遭遇新的信息安全风险:首先是XBRLGL实例文档是一种XML格式的字符文件,其中的数据都是带财务含义的,而XBRL没有提供描述和保障不同类型的信息使用者对XBRL实例文档有不同的使用权限的存取控制机制,因此在便于各类信息使用者搜索、采集、分析和使用信息的同时,也带来越权使用的风险;其二是XBRL GL分类标准的“粒度”难以把握,太粗不便于信息的归类、汇总、分析和使用,太细则容易泄露信息;其三是语义网环境下,企业信息系统的数据安全控制机制对XBRL GL实例文档不便发挥作用,对数据库访问的三层认证(身份、合法用户、操作许可)机制发生变化,带来用户及其权限管理的风险;其四是要实现报表项目的“下钻”,需要将经济交易或事项的原始数据转换成XBRL格式,在此基础上通过软件工具转换成XBRL格式的会计分类账明细信息,通过(图1)可以看出这些底层的明细信息元素包含了更多的内部管理数据,如果不区分对内和对外的XBRL GL实例文档,则增大了信息泄露风险。

(二) XBRL GL的信息安全风险防范机制设计思路:

会计数字版权管理数字版权管理技术(DRM,Digital Right Management)最初源于保护歌曲、电子书籍、软件等数字产品的知识产权,由于这些产品的电子化特征,使得必须有某种独特技术对其加以保护,从而保证产权人利益。(1)解决思路。数字版权管理从技术手段看是加密方法和密钥管理,从解决思路本质上讲,是许可证管理(License Management)。简单来讲,由数字产品的提供者在商品上加上许可证;许可证授权中心发放许可证;需要使用数字产品的客户去授权中心获取许可证,从而使用数字产品。而许可证管理的描述语言和实现方案可以是多样的,对不同的使用领域,信息使用描述的侧重点又有所不同。因此,可以将DRM的概念引入到会计信息发布领域。将XBRLGL实例文档当成一种数字产品,对其实行许可证管理,设计一种会计数字版权管理语言(ADRML,Accounting Digital Right Management Language),主要描述并实现不同权限的信息使用者只能根据权限对XBRLGL实例文档有限使用信息,保证企业XBRLGL实例文档的安全。(2)会计数字版权许可证的语言框架。由于会计数字信息的使用者类型是有限可分类的,并且会计数字产品的提供者可以根据不同类型的使用者对会计数字产品加上不同类型的许可证,即会计数字版权管理不需要设置许可证发放中心,各类信息使用者可以从提供者处获得相应的许可证。这样可以按照会计信息使用的特点来设计许可证语言(License Language),以实现会计信息的有权使用。然后根据这些特点设计会计数字版权管理语言的语法(Syntax)、语义(Semantic)和语用(Pragmatic)及其实现机制。一个许可证,包含:该许可证的名称(L);该许可证的授权人(licensor此处变量α表示);被授权人(licensee此处用变量β表示);被授权的作品(work此处变量ω表示作品)。用公式形式化地描述出设计的会计数字版权许可证(License)语言的框架如下:license L:licensorαgrants licenseeβworkω;With permitted actions{ρ1,ρ2,ρ3…,ρn};And obligated actions{ο1,ο2,ο3…,οm}。上面的公式可以用自然语言理解为:一个名为L的许可证,它描述了:会计信息提供者(授权人α)将对XBRLGL格式的实例文档数据(操作对象ω)允许进行的操作(动作序列{ρ1,ρ2,ρ3…,ρn})以及必须进行的操作{ο1,ο2,ο3…,οm}的权限赋予给会计信息使用者(被授权人β)。(3)会计数字版权管理技术的执行机制。在理解了许可证的概念,并能对会计数字版权许可证语言进行形式化描述之后,可以进一步将这一概念应用到具体的会计信息权限描述领域,继而用BNF(巴科斯范式)的方式,给出所设计语言ADRML的语法,以便于用数学逻辑的方法验证语言的特性和正确性,以及计算机实现。对XBRLGL的实例文档进行信息安全控制是通过会计数字版权管理语言(ADRML)的解释与执行机制完成的。通过(图3)和(图4)可以看到:企业会计交易层面的数据,包括交易或事项的原始数据以及会计分录数据,通过企业信息系统采集、输入处理后,存储在数据库表中;会计信息提供者应用XBRLGL转换工具,根据企业的XBRLGL分类标准,从数据库表中读出数据贴上标签转换成信息元素,组织成XBRLGL实例文档。在此基础上,会计信息提供者可以再运用ADRML工具软件按照不同类型用户的使用权限,给XBRL GL实例文档加上许可证。即企业数据库中的表描述并保存了会计分类账与经济交易的数据;XBRL GL分类标准提供描述表中信息元素的语义;ADRML提供描述表中信息元素的存取权限信息。ADRML的解释和执行机制最主要是对XBRLGL实例文档加上的许可证(语句)进行解释并进行相应的信息存取权限控制处理,包括对信息使用者的身份识别、合法用户识别、操作权限管理等。

四、结论

XBRL作为XML在财务报告领域的衍生应用以及一种在互联网上披露企业财务报告的国际标准和技术,目前已成功的应用在对财务报告层面的信息资源的再利用上。而XBRL GL的解决方案是企业仅提供标准的生成财务报告的“原材料”,由基于XBRL的软件系统按照各国会计准则的规范自动生成不同会计准则的财务报告。XBRL GL给会计信息资源的开发和利用,为会计信息使用者打开了方便之门,将成为XBRL进一步应用的发展方向。然而,如果不解决其信息安全风险控制机制将会制约其发展。

参考文献

[1]欧阳电平、向玲玲:《论信息化背景下新会计准则的实施与XBRL》,《财会通讯》2008年第7期。

[2]潘琰、林琳:《网络财务报告的基础:XBRL分类账》,《财经论丛》2006年第1期。

信息安全机制 第8篇

一、网络信息安全目前面临的主要难题

要研究网络信息安全, 就不得不提到“黑客”。“黑客”一般是指对计算机科学技术、编制代码程序和设计方面具有高度理解的人。在信息安全里, “黑客”指研究计算机安全系统的人员。黑客技术, 概括地说, 就是发现计算机硬件与软件系统和网络的缺陷和问题, 针对这些缺陷和问题实施攻击的技术, 我国网络信息安全目前面临的主要难题就在于此, 具体表现为以下几个方面:

(一) 互联网新业务的种类不断翻新, 给网络信息安全带来更多隐患。

大量网络新业务、新应用、新产品纷纷投向市场, 而投向市场之前却未经过缜密的安全评测。例如网络游戏、聊天、网上购物、网上银行等这些领域的新业务, 开发运营和使用人员均没有充分考虑过信息安全问题。

(二) 计算机病毒在网络信息安全中防不胜防。

例如, 木马病毒就是打入敌方内部, 里应外合完成黑客盗窃或入侵行动。最典型的就是黑客把一个想完成某一目的的程序安插在用户在运行的程序中, 以篡改该用户正常程序的代码。只要触发该入侵程序, 它便会被激活去完成某个特定命令, 黑客便可随时进行入侵工作, 达到其目的。

(三) 计算机系统漏洞一直影响网络信息安全。

漏洞是在计算机硬件、软件、协议的具体实现或系统安全的方式方法上存在的缺陷。这些缺陷的存在使攻击者能够在未授权的情况下访问或破坏系统。虽然计算机及网络安全等各个领域的开发商也都在不停地修复、完善自身, 但大量的系统漏洞还是不可避免地出现了, 计算机网络信息安全也受到了相应的威胁。

(四) 人为失误与网络管理缺陷在网络信息安全中也不容忽视。

据估计, 国内电子商务、金融证券等各个站点的网络负责人和管理人大都没有受过正规的网络安全培训, 绝大部分从事信息产业的公司和个人在信息安全方面都不会投入相应的人力和物力, 还有很多重要站点的管理人员都是网络新手, 这些新手不但网络信息安全意识淡薄, 而且在运用一些操作系统时也漏洞百出, 很多服务器的漏洞可以使入侵者获取系统的超级管理权限。

二、构建三维一体的网络信息安全治理机制的策略

(一) 健全网络信息安全法律法规。

网络信息安全治理机制的研究与网络发展一直并驾齐驱, 当前网络信息安全的机制已经有很多, 比如认证机制、加密机制、完整性机制、公证机制、路由控制机制等。与信息安全机制相配合的网络信息安全服务也很大程度上覆盖了信息网络应用的各个领域。这些防范机制与服务通过计算机技术充分地表现出来, 但这些技术却很难和网络信息安全管理有效的结合, 也可以说是用技术实现管理的可行性不强。分析其原因, 是在技术和管理之间缺少一个强有力的法律法规的约束体, 因此建立技术上过硬、管理上过严、法律上够全的三维一体网络信息安全体系势在必行。中国首个信息保护国家标准———《信息安全技术公共及商用服务信息系统个人信息保护指南》已于2013年2月1日起实施, 标志着中国个人信息保护工作进入新阶段。但网络信息安全制约因素繁多、路径复杂、覆盖面广, 而现行的法律法规结构单一, 可操作性较差。一是由于网络技术性较强的原因, 保护信息安全的产品和技术就显得尤为重要, 所以必须制定一系列的网络安全产品和系统评估标准。二是我国在网络安全监管中缺少科学的规划和设计, 例如, 现存法律法规有事前审批、许可制度, 有事后处罚制度, 却鲜少提及信息安全事件发生中的动态监控和处理, 没能形成集安全预警、事中监控、紧急响应、数据恢复等为一体的完整的法律法规体系。因此, 网络信息安全法律法规要规范网络信息安全的技术标准, 对技术产品的生产销售和运营进行积极引导, 促使其良性发展。要时刻坚持“规范制度、技管并重”的建设思路, 尤其是在我国网络信息建设的核心技术还受制于人, 各方技术发展相对滞后的阶段, 通过严格制度, 促进管理与技术高度融合, 使法律法规具备与信息化发展水平相匹配的“快速变轨”能力, 这样才能在很大程度上弥补网络信息安全上存在的“漏洞”和“缺陷”。

(二) 加强网络信息安全技术防护手段。

要保护网络信息安全, 在法律法规逐步健全的同时, 加强网络信息安全技术防护手段非常重要。

1. 技术角度。

真正有效地解决网络信息安全问题, 一是需防患于未然, 人们认为的一般网络安全技术基本的“老三样”:防火墙、杀毒和入侵检测, 随着网络安全与网络攻击的激烈博弈, 已不能完全达到网络安全预警的期望值, 各种应急机制必须随时启动。二是网络主管人员要充分考虑到网络信息数据泄露、篡改的各种人为途径, 包括外部攻击者、内部运维及开发人员的各种可能, 正视黑客入侵造成的严重后果, 引进先进的网络安全技术、工具、手段和产品, 逐一侦破, 真正做到全方位保护网络信息安全。

2. 管理角度。

各政府机关、企事业单位负责人应投入必要的人力、物力和财力, 加强网络信息安全管理人员的责任意识和安全意识, 进行网络信息技术培训, 保证所有的网络信息安全管理人员掌握先进、过硬的信息安全管理技术。制定有效的安全策略和安全管理制度, 例如, 对能接触到系统的人员, 先设定其职责, 按职责分配给其访问系统的最低权限, 超级管理员严格管理内部用户账号和密码, 如想访问系统必须通过精密的身份确认, 对调动、离职人员及时收回其权限, 防止冒用或盗用合法账号和密码等等。

三、结语

总之, 网络信息安全已与全社会的利益息息相关, 不仅要从技术、管理、法律法规等方面入手解决, 同时也要借鉴国外先进经验, 取长补短。自觉增强网络信息安全防范意识, 时刻与网络信息违法犯罪作斗争, 为营造一个安全、干净的网络空间而努力。

摘要：随着网络应用在各行各业的高度渗透, 网络信息安全已成为影响我国经济发展、国家安全和社会稳定的重要因素, 基于此, 本文对我国网络信息安全的制约因素进行了分析研究, 提出建立以技术为基础, 用法规作保障, 实现网络空间的全方位自主信息管理模式。

关键词：网络信息安全,治理机制,三维一体

参考文献

[1]崔宜明.保障网络信息安全的必要手段分析[J].计算机光盘软件与应用, 2013, 4:172

[2]张术平.刍议计算机网络信息安全及防护策略[J].电脑知识与技术, 2014:1922

[3]杨飞.网络信息安全管理浅析[J].山东工业技术, 2014, 10:136

区域信息安全协调机制助力抗震救灾 第9篇

“十二五”期间, 人民银行西藏辖区已初步建立全方位、多层次的信息安全协调机制, 金融信息安全保障水平得到了进一步提升。

一是建立健全了安全事件报告及跨部门处置、风险提示机制, 有序开展信息安全检查、等级保护、风险评估、应急管理等工作, 逐步形成了规范、有效的行业内信息安全管理框架。联合公安、通信、电力等部门建立了跨行业协调和应急处置机制。

二是每年召集银行业金融机构举办一至两次金融信息安全联席会, 向金融机构传达和落实人民银行总行及相关主管部门对信息安全工作的指示和安排;通报金融业信息安全工作重点和工作成果;研究分析当前金融业信息安全形势及存在的突出问题;促进金融机构开展信息安全风险防控方面的合作;提高从业人员信息安全保障工作认识。

三是积极推动人民银行系统西南五省 (市、区) 应急协调机制建设, 2013年底人行拉萨中支参与制定《西南五省 (市、区) 人民银行信息安全应急协调管理办法》, 每年定期参加西南五省 (市、区) 应急协调联席会议, 实现了西南五省 (市、区) 辖区内金融行业安全提示、管理标准、检查规范、应急联动等成果的广泛共享。

在“4.25”尼泊尔地震应急处置工作中, 人行拉萨中支充分发挥西藏自治区金融业信息安全协调机制的作用和效力, 联合各成员单位成功组织开展抗震救灾工作, 充分检验并提高了西藏自治区各协调单位和金融机构共同处置金融业信息安全风险的能力。

(一) “快速反应, 应急机动”是信息安全协调工作的根本要求

在重大灾难发生时, 时间就是生命, 速度就是效率。反应的速度很大程度上决定着工作的效率, 甚至影响救灾的成败。地震发生后, 设在科技部门的信息安全协调领导小组办公室立即启动突发事件一级响应机制, 全面部署抗震救灾工作。地震发生1小时内立即启动电力、通信事件专项预案, 与西藏自治区电力、通信等职能部门及时联系, 了解最新救援进展, 协调电力局、通信运营商确保在条件允许的前提下, 优先恢复电力供应, 保障网络通信畅通。

(二) “指挥有力, 措施得当”是信息安全协调工作的有力保障

启动一级应急响应机制后, 立即采取多种举措部署抗震救灾具体工作, 包括组织商业银行成立应急救援小组, 积极协调自治区电力、通信运营商等单位调配发电机、应急车辆, 联系就近的人民银行日喀则中心支行做好发电机油料储备供应准备等。在得知路被阻断, 外援无法进入灾区的消息后, 积极指导人行樟木口岸中支开展自救工作, 措施包括:借助UPS、发电机等设备优先保障夜间用电、手机充电, 确保人身安全;与樟木镇抗震救灾指挥部和通信、电力部门保持密切沟通, 以便及时了解第一手信息;统计本行电子设备受损程度, 尤其是机房受损情况;及时了解灾区各金融机构的IT系统受损情况, 以便于实现应急救灾资源的统筹考虑。

(三) “信息共享, 注重协同”是信息安全协调工作的必备前提

抗震救灾工作本身是一项系统工程, 在不同阶段应该有所侧重。在地震发生后的初期, 信息共享和工作协同无疑是重中之重。地震期间, 人行拉萨中支与西藏自治区电力、通信、银行等成员单位保持密切沟通, 建立微信群平台, 倡导成员单位发布第一手信息, 为抗震救灾建言献策, 既方便各单位及时了解灾区动态, 也为下一步工作的协同开展提供决策依据。同时, 通过编辑《应急信息》专报、建立微信群、拨打电话等方式, 将抗震救灾进展情况第一时间上报总行和兄弟行, 便于各级领导及时了解抗震救灾最新进展。

“4.25地震”是对西藏自治区信息安全协调机制应急工作的一次全面梳理和审视, 也是对人行拉萨中支科技应急人才队伍的一次实战和检验。实践证明, 人行拉萨中支在信息安全协调机制建设工作中所做的努力和工作是卓有成效的。但是, 在本次地震抢险过程中, 仍然存在一些问题需在今后的工作中加以解决。

(一) 应急通信手段不足须引起重视

“4.25地震”发生后, 樟木镇瞬间变为断水、断电、断交通、断通信的“孤岛”, 樟木镇各金融机构一时间全部处于失联状态, 无法与外界联系。最终, 人行樟木口岸中支利用尼泊尔手机信号与外界取得联系, 报送出震后第一条人员平安的消息。在地震、泥石流等极端自然灾害发生时, 保持通信的畅通至关重要, 这是树立信心、战胜灾害的重要法宝, 特别是对于西藏这样地广人稀、通信设施薄弱的地区。因此, 能够24小时保持畅通的通信工具 (如卫星电话等) 显得尤为重要。

(二) 应急资源协调保障工作须进一步加强

发生地震、泥石流等重大自然灾害时, 短时间内急需大量物资, 包括救灾专用设备、医疗设备、通信设备和生活用品等, 这就导致对应急资源的需求具有时效性、不确定性、弱经济性和非常规性特点。从信息安全协调角度来看, 应急资源包括且不限于应急发电车、UPS、网络设备、台式机等, 这些应急设备如何快速运输, 平时如何维护, 费用如何结算, 以及权责分工、适用范围等问题, 都需要与各成员单位协调磋商并通过签订合理的应急资源保障协议加以落实。西藏特殊的自然环境因素, 使得应急资源协调保障工作面临更加艰巨的挑战。

(三) 区域信息安全协调机制建设有待完善

人民银行当前制定的区域性金融业信息安全协调工作预案, 主要针对网络通信类、电力供应类、网络攻击类、网络犯罪类、公共突发类等事件, 并对各类事件的处理流程作出具体说明。当发生地震、泥石流等重大自然灾害时, 金融机构将面临复杂多变的局面, 采用现有处理单一事件的应急流程, 显得非常机械, 可操作性也不强。因此, 有必要对现有信息安全协调工作预案作进一步梳理完善, 增加自然灾害类突发事件的应急处置流程。

随着金融信息化步伐的不断加快, 以及互联网金融的蓬勃发展, 当代社会对金融业信息安全提出了更高的要求。结合西藏特殊区情, 研究、探索重大自然灾害等事件下区域性金融业信息安全协调机制及工作预案, 将是下一步工作努力的重点和方向。这将为完善信息安全协调机制建设, 提高区域金融业协同应急处置保障能力打下坚实的基础。

参考文献

[1]邢诒俊, 吴刚, 龙天威.建立区域性金融业信息安全协调工作机制[J].金融科技时代, 2011 (12) :44-45.

信息安全机制 第10篇

智慧城市是运用物联网、云计算、大数据等新一代信息技术,促进城市规划、建设、管理和服务智慧化的一种新模式。建设智慧城市是主动适应经济发展新常态,实现城市集约、智能、绿色、低碳发展的战略选择。

近年来,我国智慧城市得到了快速发展。在政策方面,国家及相关部委出来了一系列文件推进智慧城市建设,并从宏观上指导智慧城市信息安全建设。2014年,中共中央、国务院印发了《国家新型城镇化规划(2014—2020年)》,其中在“推进智慧城市建设”的篇章中着重指出“增强城市要害信息系统和关键信息资源的安全保障能力”。2014年8月,国家发展改革委、工业和信息化部、财政部等八部委联合发布了《关于印发促进智慧城市健康发展的指导意见的通知》(发改高技[2014]1770号),提出了“可管可控,确保安全”的智慧城市发展原则,为我国智慧城市信息安全建设指明了方向[1]。2015年,国家标准委、中央网信办、国家发展改革委等联合发布了《关于开展智慧城市标准体系和评价指标体系建设及应用实施的指导意见》,指出在智慧城市评价指标体系总体框架下,分别从四个方面“网络安全管理,监测、预警与应急,信息系统安全可控,要害数据安全”来加强网络安全能力建设。

与此同时,智慧城市信息安全面临着严峻的挑战。在智慧城市建设和运行中,由于采用了物联网、大数据、云计算、移动互联网等新技术和新应用,这就给智慧城市带来了更多复杂性、不确定性的信息安全问题。如何更好地解决智慧城市建设和运行中的信息安全问题,是促进智慧城市健康发展的重要课题。

2 智慧城市信息安全面临的风险

当前我国智慧城市信息安全在顶层设计、标准规范、技术产品、应急响应和法律法规等五个方面还存在一定的安全风险。

2.1 信息安全顶层设计规划能力需要提高

智慧城市顶层设计规划的科学性、合理性直接关系到智慧城市建设的成效。与智慧城市具体应用业务系统相比,智慧城市信息安全顶层设计中还存在重视程度不够、不完善、重硬件轻软件等情况[2]。众多周知,智慧城市的核心价值在于实现了重要信息资源的高度集聚和共享,而信息资源越集聚,其面临的信息安全风险就越大。特别是与智慧城市相关的物联网、云计算、大数据、移动互联网的应用带来了新的更复杂的信息安全问题。因此,需要本着“可管可控、确保安全”的原则,切实强化信息安全顶层设计,统筹业务系统和信息安全的同步设计规划,从源头加强信息安全建设。

2.2 信息安全标准规范不完善

目前,国际标准化组织(ISO)、国际电信联盟(ITU)、国际电工委员会(IEC)等国际标准化组织均开展了智慧城市标准化的研究工作,在智慧城市信息安全标准化方面还处于探索阶段。全国信息技术标准化技术委员会、全国信息安全标准化技术委员会等标准化机构正在研究制定智慧城市信息安全的相关标准,初步形成了智慧信息安全标准体系,已正式立项《信息安全技术智慧城市建设信息安全保障指南》、《信息安全技术智慧城市信息与服务公共支撑平台安全要求》等五项国家智慧城市标准[3]。但从整体上来看,智慧城市信息安全标准尚处于探索制定阶段,标准体系还很不完善。

2.3 自主可控的信息安全技术产品支撑能力需要提高

智慧城市建设需要大量的软硬件支撑。众所周知,全球IT行业的巨头如微软、英特尔、IBM、思科、甲骨文等公司在我国的信息化建设进程中一直扮演着重要的角色。我国信息网络基础设施自主可控的程度低,特别是通用处理器、操作系统、大型数据库等严重依赖国外IT巨头,数据安全面临着严重威胁[4]。智慧城市建设需要大量的信息网络软硬件产品,如果大量使用国外的设备和软件,这将给我国的信息安全带来巨大的安全隐患,因此,我国自主可控的信息安全技术产品支撑能力亟需得到提高。

2.4 信息安全应急响应能力需通过实战不断检验提高

随着我国信息安全保障工作的不断发展,信息安全应急响应工作不断向前推进,信息安全预案体系逐步建立,但是仍然存在可操作性、针对性不强的问题[5,6]。例如,有些信息安全预案存在模式化、雷同化的倾向,难以高效地运用到实际的应急处置工作中。另外,现有的信息安全预案不同程度上都缺乏必要的实战演练,无法验证预案的可操作性、合理性和有效性,这势必会影响智慧城市信息安全的应急响应能力。

2.5 信息安全法律法规不健全

我国已经出台了多个与互联网相关的法律法规,包括《促进大数据发展行动纲要》、《电信和互联网用户个人信息保护规定》等。现行的信息安全相关的法律法规不够健全,还不能有效支撑智慧城市的建设与运行。与智慧城市紧密相关的《中华人民共和国网络安全法》还尚未出台,针对大数据、云计算等新技术新应用的信息安全法律法规还不健全。因此,我国应加快信息安全立法进程,借鉴学习国际上智慧城市成功的立法实践,尽快制定符合我国实际的智慧城市法律法规,确保信息安全。

3 智慧城市信息安全保障机制

提高智慧城市的信息安全保障能力是智慧城市建设的重要任务。本文分别从加强智慧城市信息安全顶层设计规划、制定完善信息安全标准规范、加快自主可控的信息安全技术产品研发、提高信息安全应急响应能力和健全信息安全法律法规体系等五个方面出发,设计相应的信息安全保障机制和应对策略,为提高智慧城市信息安全保障能力提供参考,如图1所示。

3.1 加强智慧城市信息安全顶层设计规划

智慧城市建设是一个应用多样化、动态演化的复杂巨系统,顶层设计的优劣直接关系到智慧城市的建设水平。智慧城市信息安全顶层设计至关重要,直接关系到智慧城市能否安全可靠运行。智慧城市顶层设计要做到业务应用系统与信息安全规划同步、建设同步和管理同步。在保障好智慧业务应用系统的同时,切实解决好信息共享和隐私保护的矛盾问题。规划设计好智慧城市信息安全的管理体系、技术体系和运维体系,构建智慧城市主动防御、全面防御和纵深防御体系,提高智慧城市信息安全顶层设计水平。

3.2 制定完善信息安全标准规范

我国信息安全标准已经正式发布和在研的有将近300项,但针对智慧城市信息安全标准的仅有一些物联网、大数据、云安全等方面的标准,远未形成完善的智慧城市信息安全标准规范体系。下一步应加快制定智慧城市信息安全标准规范,特别是从智慧城市信息基础设施、相关安全产品、数据共享安全、安全运行维护、信息安全评价指标体系等方面进一步完善标准规范体系,提高智慧城市的信息安全保障水平。

3.3 加快自主可控的信息安全技术产品研发

目前,国外IT巨头公司在我国信息技术行业占有着技术产品优势,在市场上处于垄断地位。这种情况下,如果仅仅依靠市场的自由竞争,我国的自主开发的软硬件信息技术产品很难得到大规模的推广应用。因此,着眼于维护我国信息安全的国家利益,充分发挥我国的制度和政策优势,加大自主可控技术和产品的研发力度,通过典型示范应用带动的方式,逐步推动我国自主可控的信息安全技术产品的推广应用,力争尽早摆脱关键技术产品受制于人的局面,形成自主可控的信息安全技术和产品产业化链条。

3.4 提高信息安全应急响应能力

按照“积极预防、及时发现、快速响应、力保恢复”的方针,针对智慧城市建设与运行的特点,建立“协同指挥、立体联动”的工作运行机制,构建操作性强、效率高、全生命周期的信息安全应急响应体系。制定智慧城市信息安全应急预案,定期组织相关人员进行信息安全应急知识培训,积极开展应急演练,根据实践不断调整优化应急预案,不断提高信息安全应急响应能力。

3.5 健全信息安全法律法规体系

信息安全法律法规是支撑智慧城市建设和运行的重要保障。现有的法律法规在一定程度上对智慧城市信息安全起到了一定的保障作用。但是与美国、韩国等发达国家相比,我国还没有形成完善的信息安全法律法规体系。下一步,我国应继续加强信息安全立法工作,特别是与智慧城市紧密关联的物联网、云计算、大数据方面的立法工作,尽早论证出台《中华人民共和国网络安全法》、《中华人民共和国网络安全审查制度》等法律法规,为我国智慧城市建设和运行提供坚强的法律保障。

4 结束语

信息安全是智慧城市建设和运行中需要面临的重要问题,是智慧城市安全可靠运行的前提和保障。从顶层设计、标准规范、技术产品、应急响应和法律法规等五个方面对智慧城市面临的信息安全风险进行了分析,并分别从五个方面设计了信息安全保障机制,为提高智慧城市信息安全保障能力提供了参考。

参考文献

[1]罗力.新兴信息技术背景下我国智慧城市信息安全风险和保障研究[J].城市观察,2016,(3):129-136.

[2]宋瓂,李斌,班晓芳,等.关于我国智慧城市信息安全的现状与思考[J].中国信息安全,2016,(2):107-111.

[3]王惠莅,范科峰,上官晓丽.智慧城市网络安全标准化研究及进展[J].信息安全研究,2016,2(5):442-446.

[4]陈左宁,王广益,胡苏太,等.大数据安全与自主可控[J].科学通报,2015,60(5):427-432.

[5]张新刚,于波,王保平,等.河南省智慧城市创建的路径选择[J].电脑知识与技术,2016,12(16):34-35.

论信息时代高校图书管理机制 第11篇

关键词：图书馆；图书管理；信息资源

中图分类号：G25 文献标识码：A 文章编号：1006-4117（2011）04-0243-01

科学技术的发展，使得大量新兴学科应运而生，高校图书馆的管理工作要适应高校学科建设和发展的需要，就必须对高校图书管理的工作机制进行精心设计和多方面的改进，以确保高校图书馆的服务保障能力有所提高。

一、信息时代高校图书管理面临的挑战

（一）图书储藏资源的传统优势丧失

就一些传统的高校图书馆而言，特别是一些历史悠久的名校图书馆。由于其藏书量极其丰富，并保存和延续了中华民族的大批优秀文化遗产。一直以其数量多、质量高、专业精深引以为傲，更是令一般的公共图书馆望尘莫及。然而在信息时代的今天，这样的传统优势已然被彻底打破。图书管理工作也从过去的以书本为单元，逐步转变成了以信息为单元。图书馆也就好像一个信息的集散地与加工厂。图书管理的优劣评价标准亦同步发生着变化。从传统的评价标准逐渐转化成了对其网上获取资源、开发信息、提供服务等能力的评价。

（二）信息资源相对落后

信息时代总是伴随着信息交易量的爆炸式增长。这就要求图书管理员将高校师生当作是客户，是其服务的对象。为他们提供最大化的客户价值。二者的关系虽说是一种知识产业链条上的知识生产服务与消费的关系，但是本质上其实也就是商品买卖的关系。因而图书管理人员特别是高层的管理人员更应该转变观念，树立全新的经营、客户服务和商品经济意识。将图书馆业作为提供知识服务的产业来看待。这样才能使图书馆的管理工作起到良好收效。也更能顺应时代的发展。

二、改进高校图书管理的对策

（一）设立图书馆管理人员培训中心。

建立图书管理人员培训中心，是为了更好的适应图书管理现代化的挑战。同时也能更进一步提高图书管理人员的理论知识水品、专业技能和实际工作能力。通过这种对在职人员的短期培训及学习的方式，可达到提高图书管理人员服务质量的目的。任何岗位，只有积极学习现代化的理论知识掌握好现代化的信息技术。才能与时俱进，成功体现岗位价值。图书管理员亦然，只有在做好本职工作的同时，不断积累学习新的知识。才能更好的服务于高校的教学、科研工作。

（二）拓宽图书流通渠道，提供充足图书资源

传递文献信息是高校图书馆的一大基本职能，要使这一职能得到充分体现。就要求我们对高校图书馆的藏书切实做到从质量和数量来进行评估。首先，由于各专业的专家学者对于本专业的科研工作和现状及发展方向都十分了解，并且他们具备优质的信息收集渠道和良好收集处理信息的能力。所以他们选购的图书往往最具专业水准，也最符合学生要求。基于这一点，图书馆可在选购图书的时候邀请各专家学者进行参与。其次，应当建立一个大众选书的平台。需要什么样的书，在这一点上。最有发言权的应该是读者。因此这样的平台就能很大程度上的满足他们的需求，从而丰富读者生活、拓宽其视野。从某种意义上来说，也就实现了我们图书管理的创新改进。

（三）利用现代网络技术，实现图书馆之间的资源共享

信息技术的高速发展，势必伴随着文献数量的急剧增长。高校图书资源的未来发展趋势也逐步倾向于实现文献资源的共建共享。这一点在传统封闭式的图书管理机制中很大程度上是被限制的。当今图书管理的另一重要趋势还体现在大力使用网络信息服务功能上。在图书资料室的整体化优势下，进行网络图书资料管理的优化和协调，就能促使网络信息资源成为图书资料管理服务的有机组成部分。通过这种图书资源的共享，便可将单一的图书馆藏书有限转变成为不同馆藏间的图书共享。大大提高了图书的利用率。

三、信息时代高校图书管理机制的创新

随着时代发展，信息化全面来袭。图书馆也必将迎来新的发展空间。高校图书馆现有的管理制度。不可避免存在这样那样的弊病：定位不清、内部机制不灵活、工作效益不高等。只有不断创新高校图书馆的管理制度，才可能激发出图书馆员工的工作积极性与创作性，也才能使图书管理更好的服务于高校的各个方面。

（一）建立读者客户数据库

我们都知道，知识的价值与需求一直都是成正比的。伴随着广大师生对知识信息需求的高速增长，知识信息的价值含量只会越来越高。这就对图书管理人员提出了更高的要求。他们需学会运用现代的管理技术和经营理念来有效组织调配馆内的人力资源。协调指挥好图书业务的各类流程。只有了解了不同师生客户的需求、爱好和兴趣。对其进行科学恰当的分类管理。才能最大限度的挖掘出客户价值，为不同类型用户提供特色优质的服务。

（二）建立竞争机制

良性的竞争是成长进步的源动力，图书馆引进竞争机制可以非常直观的让馆际、官员之间看到与别人的水平差距。进而通过对比唤起广大馆员的积极性。将现代化的技术应用于图书馆，使得图书馆工作不再局限于以往单一的文献管理。而是将图书馆工作者变身为兼通信息技术和信息服务的“信息专家”，他们必须非常熟悉市场需求，并能熟练掌握信息技术，以提供最好的信息服务。在这样的转变下他们的个人价值亦得到了充分的体现，同时也有效的避免了人力资源的浪费。

四、结束语

创新是信息时代的显著标志，在这个时代背景下一直在不断产生新思想、新理念、新技术、新知识。对于图书管理，其本质也是在于创新二字。在这个知识经济全球化趋势以及网络迅速发展的当代，整个社会都在向着全球一体化的方向发展。高校图书管理也自然不免受到其冲击和影响。只有创新，才可适应时代的需求。因而面对这样一体化、开放的大环境。高校图书管理需要不断扩大视野，努力规划。在不断的探索创新中寻找到自己应有的位置和发展的空间。高校图书管理工作只有與时俱进，才能更好的为学校的科研和学生的学习提供帮助，也才能在这个信息时代的今天，充分的发挥其应有的作用。

作者单位：河南省信息管理学校

参考文献：

[1]戴艳敏.图书管理现代化浅议[J].杭州教育学院学报,2002,1.

信息安全机制 第12篇

本文研究不同用户访问地理信息共享平台的安全性,并制定相应的策略尤为重要。在此提出了分两个等级来进行安全访问的方式:第一、低级安全访问模型,主要是根据不同的数据图层来进行访问;第二、高级安全访问模型,主要是结合Arc SDE与Oracle一起来进行访问,并在此基础上提出了基于角色管理的元组级标记的多级安全访问控制模型。

1 ArcSDE及多级安全介绍

用户在访问地理信息共享平台时,首先通过应用程序客户端提交对数据操作的请求,然后请求会通过Web服务器处理,接着通过GIS软件(比如ArcGIS Server)来进行处理空间数据,再通过数据库引擎——中间件Arc SDE来访问空间数据库(如Oracle等)。本课题是以ARCGIS的系列产品作为实例系统来进行论述的,所以介绍并分析用户访问共享平台中涉及到的Arc SDE数据库引擎及多级安全访问控制模型等相关知识很重要。

1.1 Arc SDE数据引擎

1.1.1 ArcSDE工作原理

依据空间数据管理的方式来看,Arc SDE可看成是一种连续的空间数据模型,从而可用关系数据库系统(RDBMS)来管理空间地理数据。Arc SDE的主要功能有:(1)将应用程序中的空间信息导入到关系数据库中,并交给它来管理;(2)从关系数据库中读取空间信息,并转换为地理信息系统的应用程序能够处理的数据格式。所以Arc SDE是空间数据进出数据库的桥梁。采用中间件技术虽然多点麻烦,但它能很好地解决了地理信息共享平台与空间数据库访问安全模式的限制问题。下面来介绍Arc SDE工作原理,如图1所示。

(1)对于客户应用是最终用户使用的软件,比如Arc Info等。

(2)服务器端包括Arc SDE应用服务器、SQL引擎以及RDBMS。Arc SDE通过SQL引擎执行空间数据的搜索,将搜索的结果在服务器端缓存并发回给客户端来显示。

Arc SDE还提供了一种直接访问数据库的连接方式。它是由客户端接口直接把请求转换成SQL命令发送到RDBMS上,并解释返回空间及属性数据,最终显示在客户端。

1.1.2 ArcSDE数据存储与管理

空间数据经过Arc SDE的转换,RDBMS利用关系表来存储带有空间及属性数据的空间信息。属性数据存储在业务表(Business-table,B表)中,其中每一个实体对应表中的一个元组。空间数据存储在特征表(Feature-table,F表)中,索引数据存储在索引表(Index-table)中。而在关系数据库管理系统中,比如:ORACLE,它可以把空间数据存储在一张关系表中,所以可以利用关系数据库来实现连续的、无缝的数据存储。

Arc SDE所创建、管理并访问的表被记录下来的所有空间数据列的行为及属性的相关信息,叫做空间元数据。下面介绍一下常用的元数据层表(layer-table)。

Arc SDE通过层表来管理图层,同时对客户端调用空间数据的操作做出响应。在层表中Layer-ID列是每个图层的标识,即是层表的主键列;Table-name列用来指向每个图层B表指针;Spatial-column列表示B表与F表进行关联的列,也是空间列名。当用户要将图层数据存入空间数据库的时候,SDE就会在数据库中创建相对应的B表、F表及索引表,并将数据存入表格中,最终是在层表中生成一条描述空间图层信息的记录;当用户要操作数据库中的图层时,Arc SDE根据Table-name列值找到图层B表,根据Spatial-column列值找到对应的F表,然后进行相应的运算,最终将结果返回给客户端,从而让用户看见。在整个数据请求过程中,对用户可见的表只有层表。

1.2 多级安全访问控制模型

1.2.1 BLP模型

BLP模型是由Bell D.E.和La Padula L.J.在1973年提出的一种典型的多级安全的模拟军事访问控制模型。它的出发点是维护整个系统的保密性,从而有效地防止信息泄露。它的核心思想是解决多级安全(Multilevel Security,MLS)问题的基础。BLP通过制定主体对客体的访问规则和操作权限管理来保证系统的安全性,BLP模型中基本控制方式有两种:

(1)强制存取控制(MAC):是通过主体(用户)和客体(数据对象)安全级匹配规则来确定该主体是否被准许存取该客体。在多级安全模型中,MAC主要是使用“安全级”来操作的,其中主体和客体均可定义一定的安全级,安全级是由分层密级和非分层范畴构成的。分层密级简称密级,一般分为普通(U)、秘密(C)、机密(S)、绝密(TS)等,它们是线性有序的,通常按密级高低升序排列。其排列顺序规定为:普通<秘密<机密<绝密。非分层范畴是一个类别的集合,每一个类别实际上是一个名称,因而非分层范畴是一系列名称的集合,它们彼此独立,并且无序。例如{建筑物图层,管线图层},它们组成了一个非分层范畴。

多级安全模型的读写规则:(1)读规则,若主体安全级的密级大于或等于客体安全级的密级,且主体的非分层范畴包含客体的非分层范畴时,则此主体才能读该客体。这就是“向下读规则”。(2)写规则,若主体安全级的密级小于或等于客体安全级的密级,且主体的非分层范畴包含于客体的非分层范畴时,则该主体才能写该客体。这就是“向上写规则”。

(2)自主存取控制(DAC):在BLP模型访问控制策略中,对于主体拥有的客体,有权控制自己及别人对客体有哪些访问权限。

1.2.2 多实例的多级安全模型

多级安全数据库分级有:数据项级、属性级、记录级以及表级。这样在一个关系表中包含了多种安全级的数据,我们称这种关系为多级关系。而多实例是指在同一张数据库关系表中,多个相同主键的元组可以同时存在。由于多实例的数据出现,导致了需要对原来的关系数据库模型进行重新定义,也就产生了多实例的多级安全模型。下面对关系模式、关系实例下个定义。

定义1关系模式定义:R(A1,C1,A2,C2……An,Cn,TC),Ai∈Di;其中,Ai表示数据属性,Di表示Ai的值域,Ci是表示属性Ai相关联的安全级,Ci定义在[Li,Hi]上,Hi≥Li;TC为元组的安全级,其中Li表示系统的低安全级,Hi表示系统的高安全级。在一个多级关系中,两个或多个元组具有同一个主键,我们称之为多实例,而原来的主键被称之为外观键(Apparent primary Key,AK),A1表示主键,这里的主键和一般关系数据库中的主键是不一样的,在此可以允许主键值重复出现。

定义2关系实例定义:多级关系实例用r(A1,C1,……,An,Cn,TC)表示,是不同元组(a1,c1,……an,cn,tc)的集合,其中:ai∈Di(Di为属性值域)ci∈[Li,Hi];或者ai=null,ci∈[Li,Hi]Unull,tc≥lub{ci|ci≠null;i=1……n},其中lub表示最小上界。

多级实例分实体多级实例及元素多级实例。实体多级实例是由具有相同的主键属性值但主键属性安全级不同的元组组成,这样用户就认为他们之间所描述的实体是不同的。而元素多级实例是由主键属性值相同且安全级相同,但其它某些属性的值及其安全级不同的元组组成,从而反映了不同安全级用户对于同一实体在非主键属性上的不同看法。

2 低级访问模型的建立

本文所讲的低级安全访问模型,主要是根据不同的数据图层来进行安全访问的,并以ARCGIS的系列产品作为实例系统来进行论述的,Arc GIS Server是用于发布企业级GIS应用程序的综合平台。对于它开发的地理信息共享平台,将为各单位及各部门中各种类型的用户提供信息资源共享,但是对某些敏感的、保密的、特殊的数据图层,有些单位和用户是不能共享的,甚至不能读取的,并且共享平台项目中的大量资源信息是Arc GIS Server利用数据图层的形式来发布的。因此建立一套安全的访问平台的控制机制很重要,而本文的访问机制的实现是利用了微软NET 3.5框架的知识。

本文为了实现用户及角色的动态创建及相关操作,NET3.5提供了Membership类和Roles类来专门负责,使用Membership类可以添加验证、创建、删除和查找用户,改变密码以及用户相关的许多其他操作;使用Roles类可以添加和删除角色,给用户获取角色,改变用户的角色。

Arc GIS Server发布的地图可以有多个图层,而图层是最小的数据组织单元,其类型也是相对稳定。不同的图层显示不同的实体集合的空间地理信息。通过NET3.5提供的User.Is In Role()方式,可以方便地判断登录用户所属哪个角色,根据不同的角色,来隐藏某些敏感的、特殊的图层。在开发的地理信息共享平台中,通过遍历地图中所有的地图服务,找到需要移除的图层ID,利用Arc GIS Server API中IMap Functionality接口中的SetLayerVisibility(layerId,false)方法,负责隐藏不需要的图层。达到不同权限的用户获取到相应所属角色图层的目的,保证了用户访问的安全性,从而建立起了低级安全访问模型。

3 高级访问控制模型的建立

3.1 数据模型的建立

通过分析多级安全访问控制模型,以及根据ArcSDE存储管理的方式,在多实例的多级安全数据模型的基础上提出一种元组级标记(Tuple-level-tags)数据模型,称之为基于角色管理的元组级标记的多级安全访问控制模型,来表示空间数据在关系数据库Oracle中的存储。如表1所示元组级数据模型。

所表示的符号名称及意义和多级实例的多级安全模型中是一样的,可以把它当成是多级安全模型中的一个特殊情况:即Ci=TC(2≤i≤n),此模型定义中没有“上写”数据流,这样可以保证高安全级数据信息的完整性,研究的地理信息共平台中密级取值集合为{非密(U),秘密(C),机密(S),绝密(TS)},从而本论文所描述的高级访问控制模型就构建起来了。

3.2 访问控制策略的构建

本文所研究是在地理信息共享平台上面的安全访问的机制,根据基于角色管理的元组级标记的多级安全访问控制模型的读写策略,我们主要从安全级划分与非分层范畴的定义来考虑。

(1)安全级划分原则

根据此控制模型核心是要强制访问控制,以及主体及客体的安全级是用集合有序对形式表示:如<机密,{交通线路图层}>,根据多级系统安全级是由分层的密级和非分层的范畴组成,对于地理信息共享平台中所采集的小区空间数据中,保密级可以划分为无密(U)<秘密(C)<机密(S)<绝密(TS),非分层的范畴可以表示为集合{建筑物图层,管线图层,交通路线图层,绿化图层}中的一个子集。

(2)非分层范畴比较原则

地理信息共享平台通过ArcSDE把空间数据保存到Oracle数据库中,数据层次是:地图—图层—空间实体,用户所见的地图由图层构成,如在采集一个小区的空间数据时,地图构成可由交通线路图层、建筑物图层、绿化区图层及管线图层等叠加构成。每一图层经过Arc SDE引擎处理后对应着数据库中的二维表,而图层里的每个实体对应表中的一个元组。应用程序是通过ArcSDE里的层表来管理空间数据的,用户只能看见层表。因此基于角色管理的方式,可以把主体安全级中的非分层范畴用该主体所属角色权限访问的表范畴表示,客体的非分层范畴用该图层表所表示的信息范畴来表示,这样平台在设计时变得简单些,根据元组级标记的多级安全访问控制模型,仅仅需要直接进行保密级别的判断就可以。对于一个角色可以访问多个数据库对象(如元组、表、视图等),这样某一主体可以很容易地实现访问绿化图层和建筑物图层。地理信息共享平台处理用户访问的流程图如图2所示:首先用户发出访问地理信息共享平台的请求,然后通过系统的身份认证,如果失败,经过审计就结束请求。接着对用户进行权限的认证,如果失败,同样结束。紧接着经过基于角色管理的元组级标记的多级安全访问控制策略的检查,如果失败,也是结束,否则用户就可以进行空间数据的存取操作,当用户存取完想要的数据之后,最终结束用户的请求。

(3)读写策略制定

通过上面的讨论,依据BLP模型所讲的读写策略。在此用λ(s),λ(o)分别表示主体和客体的安全级标记,它由密级和非分层范畴构成。若主体能读客体,则有λ(s)≥λ(o);若主体能够写客体,则有λ(o)≥λ(s)。这样保证了“下读上写”的规则,数据仅仅在同级之间或者从低级向高级流动。依据元组级标记数据模型,在此对BLP模型的写策略进行改进,规定写只能在同安全级间进行,不能“向上写”,从而制定了它的读写策略。

4 结语

地理信息共享平台是为政府、企业进行数据共享和数据交换的公共平台,所以研究其访问安全性至关重要,本文采用分两个等级的方式来进行处理,并提出了基于角色管理的元组级标记的多级安全访问控制模型。然而还存在许多不足之处,应该从多层次多角度来考虑安全访问,比如可以深入研究一下信息在网络传输及访问过程中的加解密方面的问题;还有此访问控制模型还存在信息泄露、数据冗余度大以及隐通道问题,这些都是以后需要改进地方。

摘要：本文阐述了地理信息共享平台的概念,分析了它与一般信息系统的不同特点。发现在空间信息资源获取、采集、管理、共享以及应用的过程中,应统筹考虑信息安全。地理信息共享平台要实现政府及企业中的各部门、各层次之间的空间信息资源的交流和共享,所以研究不同用户访问地理信息共享平台的安全性,并制定相应的策略尤为重要。

关键词：地理信息共享平台,多级安全,ArcSDE

参考文献

[1]李军,彭凯等著.政务地理空间信息资源管理与共享服务应用[M].北京大学出版社.2009.

[2]潘瑜春,钟耳顺,梁军.基于空间数据库技术的地籍管理系统研究[J].地理研究.2003.

[3]桂润堂,钟霞,薛重生.基于ArcSDE空间数据库引擎技术的应用研究[J].微机发展.2003.

[4]余莉,何隆华.基于ArcSDE的矿产数据库管理系统开发[J].计算机应用.2009.

[5]张成才,孙喜梅,黄慧.SDE的实体—关系模型空间数据管理方式研究[J].计算机工程与应用.2003.