信息安全总结
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全总结范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全总结范文第1篇
一、我院信息网络安全工作开展情况
(一)概况:我院信息化建设起步晚,基础薄弱。在院领导的重视支持下,自2013年开始信息化建设得以快速发展。目前医院设立单独中心机房,配备有服务器、存储、核心交换机、防火墙、UPS、VPN、IPS等专用设备。工作人员为4人,负责全院信息网络建设,信息系统维护、软硬件设备维护等工作。相继建设运行的系统有:HIS系统、LIS系统、体检系统、电子病历等业务。
(二)关键信息基础设施情况:我院关键信息基础设施主要是业务类系统,负责全院医疗业务流程管理和质量管理、医院日常办公管理。医院网站为托管模式,与我院内网完全分离,制定较为严格的管理及访问规则,保证网站安全运行。
(三)医院网络安全主要工作情况:
(1)加强制度建设和培训宣传。我院近两年完善了信息网络管理及安全建设相关的管理制度、应急预案,制定了网络及安全管理岗位职责、工作流程,开展了全员参与的信息网络安全培训,通过不断的宣传和督促,让员工树立信息网络安全意识,主动参与网络安全防护、防止信息泄露,确保医院信息网络运行安全。
(2)健全组织,强化责任。信息管理作为医院管理的重要工作之一,院领导十分重视。医院调整了信息化建设领导小组,由院长任组长,相关人员为成员。领导小组下设工作小组,由相关职能科室负责人、信息技术专业人员为成员。明确了包括医院信息规划、信息网络建设、信息网络安全、网络应急、人员培训等方面的职能职责。为了进一步落实各级主管部门强调加强网络安全建设的要求,医院成立了医院网络安全管理小组并明确责任。对照国家及上级有关部门的要求,不断完善医院信息网络系统功能,不断提升信息系统安全性与稳定性,满足日益增加的信息网络技术服务需求。
(3)加强信息科管理。科室内经常性对信息网络安全工作加以强调,尽量安排人员参加每一次信息网络安全知识培训。落实机房中心设备定期巡查制度,及时排除隐患。信息科组织专人到科室开展信息网络安全巡查,提醒和纠正员工在日常操作中不规范行为,减少隐患。对医院重要数据库数据采用每日备份,和定期拷贝备份的方式,确保数据安全。
(4)多种防护措施保证信息网络安全。一是业务用局域网与互联网物理隔离。同时连接的有医保专网、新农和专网,与互联网一样通过防火墙设备进入。二是访问公网的计算机均为固定IP,并绑定计算机,且与内网隔离。防止外来计算机的进入,带来安全隐患。财务管理软件系统的计算机连接财政专网与内网完全隔离。三是今年购置了一台新IPS设备,严把入口,局域内网分区域分段管理,限制访问权限,避免病毒全网传播。四是院内局域网中客户端均实行域控管理,对客户端系统安装均为本科专人管理预防病毒感染和威胁。五是重点部位重点管理,机房不准无关人员进入,系统数据库均设置复杂密码,专人保管。六是定期监控局域网内计算机是否异常,通过限制局域网内计算机使用U盘来防止病毒在网内传播。七是服务器区关闭非必须端口,提升防护能力。八是对办公使用的外网计算机,安装了免费防病毒软件。
二、主要存在的问题
尽管采取了一定的防范措施和手段,我们依然感觉到网络发展之快,和现实工作对网络的依赖程度之高,给我们的网络管理带来了很大压力,特别是随着业务的扩展和增加,以及上级各部门的工作通过互联网完成的趋势要求,网络及数据安全问题的压力陡增。通过自查及整改后防护有所好转,但仍然存在一些问题,主要表现在:
(一)随着互联网+医疗的推进,未来将会多系统通过互联网进入,对医院局域网将带来很大威胁,存在一定的安全隐患。医院的业务系统独成一体,在医院内部应用,通过内部局域网的管理和控制,基本可以保证安全与稳定。但随着各部门要求医院实时上报相关数据,虽然大部分专线来完成数据传输,但也有通过公共互联网进行上报如网上预约、线上线下支付等,对医院的管理和安全防护带来压力。医院目前的安全防护设备相对较少,仅靠人力被动处理,抵御能力有限。
(二)信息安全需要一定经费投入,对医院来说有压力。医院也通过购置相关设备对医院的信息安全进行一定的管理,但这些设备需要不断的更新,需要费用不断投入,而且因为价格过高而没有单独购置主要系统(操作系统、数据库系统、网络杀毒)的正版软件,对安全来说没有保障。
(三)安全防护本身就是一个难题,涉及的点面较多,普通应用人员对网络威胁的辨别能力和防范意识不高,也容易产生隐患。而目前医院网络管理专业技术人员缺乏也是安全防护隐患存在的一个因素。
三、下一步工作措施及建议
通过本次的自查,我们将进行下一步整改,通过对制度的完善,加强培训,增购设备等,使我院信息网络安全进一步强化。下一步我们仍然会对照各级部门对信息网络安全的要求,利用有限的资金做好安全防护,逐步达到信息安全管理工作的各项要求。
(一)加强信息安全组织管理。完善信息管理组织的职能,坚持定期开展专题工作会议,安排部署信息网络建设及安全等各项工作。巡查常态化,通过督促检查,提升员工安全防护意识。
(二)根据实际落实和变化情况,修订完善细化各类规章制度,通过网络宣传、现场指导培训、集中培训等多种方式提高大家在网络环境中的安全意识。辨识虚拟环境中的不安全因素。
(三)进行严格的访问权限设置,降低安全风险,严令禁止内网用户使用移动介质访问,杜绝病毒网内传播蔓延。
信息安全总结范文第2篇
【**】**号《关于印发四师卫生信息化建设安全风险防范应对专项检查工作方案的通知》后,我院领导高度重视,立即召开相关科室负责人会议,深入学习和认真贯彻落实文件精神,充分认识到开展网络与信息安全自查工作的重要性和必要性,对自查工作做了详细部署,由院长负责安排、协调相关检查部门、监督检查项目,由医务科负责具体检查和自查工作,根据互联网安全和院内局域网安全的相应特点,就自查中发现的问题认真做好相关记录,及时整改,完善,逐项排查,消除安全隐患,现将我院信息安全工作情况汇报如下。信息安全工作情况:
一、网络安全管理:我院的网络分为互联网和院内局域网,两网络实现物理隔离,以确保两网能够独立、安全、高效运行。
重点抓好“三大安全”排查。
1.硬件安全,包括防雷、防火、防盗和UPS电源连接等。医院HIS服务器机房严格按照机房标准建设,工作人员坚持每天巡查,排除安全隐患。X光室、检验室都有UPS电源保护,可以保证短时间断电情况下,设备运行正常,不至于因突然断电致设备损坏。
2.网络安全:包括网络结构、密码管理、IP管理、互联网行为管理等;网络结构包括网络结构合理,网络连接的稳定性,网络设备(交换机、路由器、光纤收发器等)的稳定性。HIS系统的操作员每人有自己的登录名和密码,并分配相应的操作员权限,不得使用其他人的操作账户,账户施行“谁使用、谁管理、谁负责”的管理制度。疾病预防控制(含免疫规划等)信息系统、妇幼健康信息系统都有专人负责操作,并签订安全承诺书。互联网和院内局域网均施行固定IP地址,由医院统一分配、管理,不允许私自添加新IP。
二、数据库安全管理:我院目前运行的数据库为HIS数据库,是医院诊疗、划价、收费、查询、统计等各项业务能够正常进行的基础,为确保医院各项业务正常、高效运行,数据库安全管理是极为有必要的。
数据库容灾备份是数据库安全管理中极为重要的一部分,是数据库有效、安全运行的最后保障,也是保障数据库信息能够长期保存的有效措施。我院采用的备份类型为完全备份,系统管理员手动将数据库中数据备份到移动硬盘上。
三、软件管理:目前我院在运行的软件主要分为三类:HIS系统、常用办公软件和杀毒软件。
HIS系统是我院日常业务中最主要的软件,是保障医院诊疗活动正常进行的基础,自20**年上线以来,运行很稳定,未出现过重大安全问题,并根据业务需要,不断更新充实。对于新入职的员工,上岗前会进行一次培训,常用办公软件均由医院信息系统管理人员统一安装,维护。杀毒软件是保障电脑系统防病毒、防木马、防篡改、防瘫痪、防攻击、防泄密的有效工具。所有电脑,均安装了杀毒软件(瑞星杀毒软件、360安全卫士等),以保证杀毒软件的防御能力始终保持在很高的水平。
信息安全总结范文第3篇
通过开展信息系统安全检查,掌握全局信息安全总体态势,发现存在的主要问题和薄弱环节,推动局及下属事业单位进一步健全信息安全管理制度、完善信息安全保障技术措施、提高信息安全防护能力。
二、检查范围和内容
对局机关及下属事业单位信息安全工作进行全面检查。
检查内容包括:局机关和下属事业单位自行运行维护管理以及委托其他机构运行维护管理的办公系统、业务系统、网站系统以及部分终端设备等,检点为公共服务业务系统和门户网站。详细内容参见《2012年度市地震局机关信息系统安全自查情况报告表》。
涉及国家秘密的信息系统保密检查工作,按照国家保密管理规定执行。
三、检查原则
坚持“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则,统筹安排、突出重点、明确责任、注重实效。
局机关各处(室)信息系统安全检查,由办公室牵头组织实施。
下属事业单位信息安全检查工作由台、中心自行组织开展。
四、检查形式及时间安排
信息系统安全检查以自查为主。局机关及下属事业单位应于7月2日至7月6日完成本年度信息安全自查,应按照《2012年度市地震局机关信息系统安全自查情况报告表》逐项检查,并核对准确度。局办公室应于7月10日前完成《2012年度市地震局信息系统安全检查工作报告》的撰写和报送市信安办工作。自查结束后,要尽快消除自查中发现的安全隐患,时刻绷紧信息安全这根弦,全面迎接7月中旬市政府信息系统安全检查小组的抽查。
五、工作要求
(一)局及下属事业单位应将信息系统安全检查列入重要议事日程,切实加强组织领导,完善检查工作机制,落实检查工作经费,确保检查工作顺利开展。
(二)请局办公室于7月10日前,将自查工作总结(纸质文档和电子光盘)报送市信安办(纸质材料需盖章)。
信息安全总结范文第4篇
【关键词】船岸网络;信息安全;航运企业
0引言
一些航運企业已开始实施“数字化+互联网”战略,船舶运营参数及管理量化指标被转移至信息更加透明的互联网平台,船舶所有人可以通过互联网平台随时随地查看船舶动态。航运企业将船舶全权委托给第三方船舶管理公司管理,并通过互联网平台监控船舶动态。这种管理模式带来一个全新的课题:船岸网络信息化程度越高,信息系统遭受攻击导致数据泄露的风险越大。近年来已发生多起船员个人信息泄露导致的诈骗案件。这些个人信息泄露的源头是船舶管理公司的信息系统。信息泄露会给个人造成损失,而信息系统遭受病毒攻击则会给航运企业造成巨大损失。因此,信息安全对航运企业而言极为重要。
1船岸网络管理现状
船岸网络技术的发展非常迅速,特别是海上卫星通信服务商提供的海上高速网络在资费下降后极大地提高了船舶与管理方、服务供应商、租船人和船舶所有人/经营人之间的信息交换频率。海上高速网络的普及给信息安全带来更大的隐患。网络没有物理界限,任何具有网络攻防知识并熟悉船舶扁平化网络架构的人或组织都可以通过Shodan搜索引擎获得相关信息,对船岸网络实施远程攻击。通过对卫星通信服务商IP地址段批量扫描发现:众多安装VSAT、FBB设备的船舶未加安全措施就向公网开放了21/80/445/3389等弱口令TCP、UDP端口;供应商为节约成本、方便远程维护管理,将Cobham、KVHCommBox、Inmarsat、Marlink等产品内建的管理后台映射到外网;绝大部分船舶没有配置专业的硬件防火墙,岸基管理人员缺乏专业技能,最终导致船舶网络安全得不到保障。
要做好船岸网络安全工作,首先要了解船岸网络设备运行机制和原理。船舶内网GPS、ECDIS、主机监控系统服务器等多网卡设备既通过串口总线和CANBUS、MODBUS等协议控制舵机、智能电站及压载水调平系统等设备,又通过网卡和SNMP、NMEA等协议进行网络通信,从而形成了一个可以网络远程控制的船舶物联网。由于某些船用通信协议存在设计缺陷,例如NMEA0183协议通过明文传输,缺乏加密、身份认证和校验机制,为实施网络攻击制造了机会――攻击者只需远程更改一两个字符就可以命令船舶转向。
2常见的网络攻击方式
广义上对船岸网络的攻击主要有两类:(1)无目标的攻击。岸基或船舶内网操作系统和第三方软件漏洞是潜在受攻击目标之一,攻击者利用0day漏洞进行广撒网式的无差别化攻击,近几年马士基航运集团和中远海运集运北美公司遭遇的网络攻击属于此类。(2)有针对性的攻击。攻击者将某船岸信息系统设定为渗透目标,利用专门开发的绕过技术和工具躲避网络防御机制(如震网病毒事件),实施多步骤攻击,其破坏程度较无目标的攻击更大。
有针对性攻击又分为以下6种类型:
(1)主动攻击。攻击者主动攻击网络安全防线。主动攻击的方式为修改或创建错误的数据流,主要攻击形式有假冒、重放、篡改消息和使网络拒绝服务等。
(2)被动攻击。攻击者监视相关信息流以获得某些信息。被动攻击基于网络跟踪通信链路或系统,用秘密抓取数据的木马程序代替系统部件。
(3)物理攻击。未被授权者在物理上接入网络、系统或设备,以达到修改、收集信息或使网络拒绝访问的目的。
(4)内部攻击。被授权修改信息安全处理系统,或具有直接访问信息安全处理系统权力的内部人员,主动传播非法获取的信息。
(5)边界攻击。网络边界由路由器、防火墙、入侵检测系统(IDS)、虚拟专用网(VPN、DMZ)和被屏蔽的子网等硬件和软件组成。硬件的操作系统与其他软件一样存在安全漏洞,攻击者可利用操作系统漏洞,绕过已知安全协议达到攻击的目的。
(6)持续性威胁。商业间谍组织可能会通过“钓鱼手法”进行攻击。如以“某某船公司2020中期战略企划书”为关键词投放电子诱饵,通过文档追踪工具进行精准定位,诱骗受害人打开附件或点击邮件链接从而入侵或破坏其信息系统。
3船岸网络中易受攻击的系统
船岸网络中易受攻击的系统有综合船桥和电子海图系统、配载仪和船舶维修保养系统、主机遥控和能效系统、保安限制区域闭路电视监控系统和各重点舱室门禁系统、乘员服务和管理系统、面向船员娱乐的公共网络系统、船岸网络通信系统、计算机操作系统及常用软件等。
4船舶网络安全配置建议
(1)禁用公网IP,使用URA系统远程管理。
(2)修改系统默认密码并使用高强度密码。
(3)将船岸网络操作系统和第三方软件补丁、病毒特征库升级至最新版本。
(4)对工控网络、办公网络、娱乐网络实施网络隔离和访问控制。
(5)通过策略制定公用电脑进程白名单,禁用USB接口。
(6)向船员普及网络安全风险防范知识。
(7)要求设备供应商提供必要的网络安全事件应对措施。
(8)不过度依赖远程网络监控技术,增加现场勘查频率。
5网络攻击事件的处置步骤
(1)风险识别。定义相关人员的岗位和职责,确保在日常管理中能够及时发现可疑风险。
(2)事件预防。制定风险控制流程和应急计划,降低网络风险,防范网络攻击。
(3)事件发现。检查已确认的网络攻击事件,评估损失并制定后续恢复方案。(4)事件恢复。制定计划使系统恢复正常运行。
(5)免疫措施。制定措施避免类似网络攻击事件再次发生。
6网络信息安全团队岗位职责
航运企业应设立信息安全官(CISO)岗位,其职责为:建立船岸网络安全团队并管理成员,牵头制定全面的船舶网络安全应急保护计划(CSP),以持续保障船岸网络安全。团队成员岗位职责如下:
(1)对船舶VSAT/FBB设备端口映射及防火墙规则进行审核、分发、监控,熟悉Infinity、XchangeBox等通信管理系统的后台设置,监控船岸网络的可疑流量。
(2)对船岸内网信息设备和办公电脑软硬件及时更新维护,熟悉GTMailPlus、SkyfileMail、Super-Hub、RYDEX、AmosConnect等软件操作知识。
(3)定期优化单船拓扑结构和更新船岸网络病毒特征库和漏洞补丁库,不断完善船岸网络信息事故应急预案。
(4)收集供应商技术文件并集中存储,向设备和服務供应商提交并跟踪审核通导信息类设备保修工单(如KVH、Marlink、GEE、OneNet等)。
(5)跟踪记录新造船FBB、铱星移动通信系统、VSAT和船载物联网设备安装调试情况,审核通信类费用凭证。
(6)具备防火墙、路由器、入侵检测系统、交换机的丰富知识,MacOS、Windows、Linux等3大操作系统及域控、数据库的基础知识,并能熟练使用SQL、CrystalReports提取分析数据。
(7)参与船岸网络的设计开发和信息系统的迭代开发,提出必要的安全策略规范要求。
(8)具备妥善监控并处理网络安全事件的能力和独立撰写网络安全事件调查报告的能力,并提出改进措施。
7船岸网络信息安全管理目标
船岸网络信息安全问题从根本上说是人的问题,如何在制度上让人遵守规则,如何在技术上减少或避免人为恶意攻击,这是船岸网络信息安全组织架构设计的目标。船岸网络信息安全组织架构设计的总体目标可定义为:针对船岸网络和信息安全需要,构建系统的网络安全技术和信息防护策略及措施,通过制度管理和技术防范来规范员工行为,达到网络和信息资产安全可控的目的,最终达到“外人进不来、进来看不到、看到拿不走、拿走用不了、操作可追溯”的目的。首席信息安全总监的基本职责是建立船岸网络和信息安全团队并确保团队成员各司其职。团队成员既包括企业内部的计算机安全专家,也包括企业外部的资深律师、会计师、技术专家等。
8经验交流
网络信息安全对于大部分人而言比较陌生。在实践中,大部分航运企业由总裁办(行政事务部)或保密部门负责网络信息安全,而网络信息安全职能又隶属话语权不高的IT部门,最终导致企业网络信息安全工作进展迟滞,制度实施缓慢。因此,建议由公司领导牵头,技术保障部门负责具体实施。有条件的航运公司应该定期针对船岸网络信息系统进行安全演习并配置网络信息安全设备,以便当船岸网络信息系统被攻击时,能够迅速作出应急反应,尽快恢复网络系统,尽可能挽回损失。此外,在员工手册、船员上船协议中应该赋予航运公司相关职能部门通过技术手段来防止内部威胁的权力,打击隐蔽性较强的涉及船岸网络的职务犯罪。
以某航运企业为例,2018年初由公司领导牵头与某船级社联合成立了船岸网络信息安全专项课题组,针对公司船岸网络的特殊性制定了一套通用船舶网络安全管理体系,并在超大型集装箱船试行《船舶网络信息安全实施指南(征求意见稿)》和相关配套制度,如《船舶网络信息资产管理办法》《船舶VSAT、局域网及防火墙设置规范》《船舶网络信息安全员岗位职责》《船员网络信息安全应知手册》等。此外,还对试点船舶就域控服务器(解决内网信息审计问题)、KMS激活服务器(解决操作系统、办公软件授权问题)、自建CA授权机构颁发数字证书(解决SHA256数据加密问题)、某开源局域网远程管理软件以及等级保护一体机硬件部署(解决病毒库、补丁库离线升级问题)等项目进行技术验证,为下一步推广应用船岸网络信息安全课题研究成果奠定了良好基础。
信息安全总结范文第5篇
随着世界互联网技术在全球经济、文化等领域的飞速发展,计算机网络技术已经得到了广泛的应用,网络以其实用性、高效性、便捷性深入渗透到各行各业中并逐渐改善行业的产业结构、经营模式、管理方式。近年来,网络信息化已经应用到广播电视台的制作、播出、传播、发射等各个环节,使广播电视台的节目质量、管理效率、影响范围向新的高度迈进。但网络开放性的特点使信息安全面临较多的安全隐患,如何防止因网络信息安全风险导致播出中断、数据泄露、财务损失等严重后果成为了广播电视台面临的新难题。为了提高廣播电视行业对网络信息安全风险的认识,本文构建了广播电视网络信息安全风险指标体系,并运用系统动力学建立风险的因果关系图,分析各个风险之间的相关关系。
袁爱军从企业所面临的网络信息安全问题出发,提出了操作系统安全风险、管理安全风险、应用安全风险及网络结构安全风险四个主要风险,并对风险因素进行全面、系统的分析[1]。李兰瑛等结合某校园网络系统的特点识别相关风险并运用灰色评估法在风险评价方面的优势建立信息系统风险多层灰色评估模型,分析了网络信息系统的风险灰色综合评估过程[2]。袁亮首先详细分析了信息安全的概念和特点,结合企业控制信息安全所面临的问题包括安全问题、管理问题和成本问题提出风险管理对策和建议[3]。吉岚等详细研究了各高校信息安全风险的特点以及高校网络安全技术的应用效果,提出了通过系统的运用网络安全技术保障高校网络信息安全的措施,最后以赤峰学院为例加以验证[4]。
通过对广播电视网络信息安全风险研究成果进行梳理,发现学者们更倾向于对某一个风险阶段或者单一风险因素进行研究,忽略了网络信息安全的系统性以及风险因素的交叉关联性。梳理学者在系统动力学理论、网络信息安全管理的研究成果,结合开化县广播电视台网络信息安全现状归纳出研究较为集中和具有代表性的广播电视网络信息安全风险因素,并发挥了系统动力学在风险演化方面的优势。最终形成集“网络攻击风险”、“技术安全风险”、“管理风险”、“外部环境风险”的“广播电视网络信息安全风险因素系统”,然后建立风险因素系统动力学因果关系图,识别出了风险之间的相关性,为后续广播电视网络信息安全风险的研究奠定了基础。
1开化广播电视台网络信息现状
开化广播电视台目前共有4个自办节目,其中三套电视节目,分别是图文频道、国家公园频道、综合频道,一套广播节目为动听早班车电台。开化广播电视台逐步建立网络化、信息化系统,到目前为止已基本实现全台网络化管理。开化广播电视网络信息系统分为三类,第一类是外网系统,例如以开化新闻网为代表的门户网站;第二类是与广播电视政务及监测监控等相关的专用业务系统,例如广播电视办公网、广播电视发射台信号监听监测网、广播电视监测网等;第三类是制作业务系统,例如广播电视制播网。
2广播电视网络信息安全风险评价指标体系的分析与构建
2.1广播电视网络信息安全风险的识别依据
本文基于国内外学者对网络信息安全风险指标研究的基础上,结合广播电视台网络信息安全现状,筛选出对广播电视网络信息安全影响较大的风险因素,并设置风险产生的后果包括数据损坏、播出中断、敏感数据泄露、财务损失和名誉损失。通过邀请5位专家(开化广播电视台3位,网络风险领域专家2位)对风险因素与产生的后果关联度进行评价,最终筛选出与风险后果高度关联的12个风险因素。
2.2广播电视网络信息安全的特征和风险构建原则
2.2.1广播电视网络信息安全的特征
①完整性。指广播电视网络网络信息在传输、交换、存储和处理过程保持完整的特性,即保持网络信息原样性,网络信息可以正常的生成,保障广播电视节目的播出。
②保密性。指网络信息在没有授权的情况下不泄露给第三方或给其特供可以利用的信息的过程,即完全避免有用信息泄漏给非授权个人或实体,有用的网络信息只能被已授权的个人或实体使用。
③可用性。网络信息的可用性是指网络信息可以被已授权的个人或实体访问和使用,在网络系统正常运营时能够储存可用信息,当网络系统遭受攻击或病毒入侵时能够快速恢复可用信息并再次使用的特征。
④可审查性。指广播电视网络信息交互过程中,可以确认信息参与者的身份,以及参与者所提供的信息的真实同一性,并将信息存储并记录,使信息有相关的记录可以查询。
⑤可控性。网络信息可控性是指在广播电视网络系统中任何信息的生成、传播、输出和具体内容可以在一定范围内被管理控制的特性。
2.2.2广播电视网络信息安全风险指标体系构建原则
广播电视网络信息安全风险指标体系的构建不要遵循。广播电视网络信息安全风险指标的构建基于以下原则:
①科学性原则。风险指标体系的构建要客观真实的反映出广播电视网络信息系统的实际情况,风险指标的选取必须要有正确性、全面性和可靠性,尽量防止人为因素的倾向性,从而建立科学合理的风险指标体系。
②系统性原则。广播电视网络信息安全风险不是每个单一风险的简单叠加,选取风险指标时需考虑风险之间的相互关联性和传递性。风险指标要包含广播电视网络信息安全所涉及的各个方面,不仅要有影响到广播电视播出安全的直接风险因素,还要有从侧面导致播出隐患的间接风险因素。因此,要合理构造广播电视网络信息安全风险指标体系层次结构,层次之间每层上层指标都要有相应的下层指标与其相对应。
②实用性原则。所选风险指标要有可操作性,应与广播电视网络信息安全密切相关,并能够正确反映广播电视台在网络化建设过程中所遇到的问题和不足。
2.3广播电视网络信息安全风险指标体系的构建内容
本文依据广播电视网络信息安全的特点构建风险指标体系,拟将广播电视网络信息安全风险指标体系分为三级指标层。一级指标层为广播电视网络信息安全总体风险组成,二级指标层分别由网络攻击风险、技术安全风险、管理风险、外部环境风险构成,三级指标层由影响各二级指标的风险因素组成,如表2所示。
2.3.1網络风险
主要是由黑客进行网络攻击和网络病毒传播带来的风险,由于广播电视影响范围广、传播速度快的特点容易成为黑客组织攻击的目标,目前黑客不仅仅是个人行为,而是已经形成组织严密的黑色产业。一旦广播电视网络受到黑客攻击或病毒入侵会导致播出中断、网络信息泄露、篡改播出内容等严重后果,甚至会造成不良的社会影响。
2.3.2技术安全风险
开化广播电视台目前计算机所用的操作系统大部分比较落后,没有及时更换最新系统,使系统漏洞增加,加大了网络攻击风险发生的可能性。同时系统的硬件配置仅仅以满足当前需要为主要目标,未考虑与其他系统的兼容性,硬件配置良莠不齐,不能满足网络系统整体的安全防范能力。此外,部分设备存在老化现象,系统内的核心设备、数据存储设备等不能完成备份,可能会导致设备故障从而影响广播电视台节目的安全播出。因此技术安全风险由系统漏洞、硬件配置低和设备故障因素组成。
2.3.3管理风险
管理风险是由人员素质、管理不规范、操作流程不完善和应急预案缺陷带来的风险。目前广播电视台缺乏有效的管理体系和管理部门,不能规范的管理网络系统中各安全控制组件,没有及时更新网络化管理操作流程,人员缺少网络安全意识,安全防护水平较低不能有效的保护网络信息安全,没有建立完善的应急预案,当风险发生时不能快速降低风险损失,这些因素都会加大管理风险发生的概率。
2.3.4外部环境风险
外部环境风险是由自然灾害、人为破坏和系统规模膨胀带来的风险。自然灾害如雷电、供水、火灾、地震等发生后会破坏网络设施从引发风险。人为破坏包括对网络设施的损毁、对网络信息系统的恶意攻击等行为,系统规模膨胀是指随着广播电视网络化进程的发展,网络规模不断扩大,各个系统之间节点互联互通、一旦关键节点出故障会影响到整个网络系统的运行,发生播出故障的几率不断加大。
3基于系统动力学的广播电视网络信息安全风险模型
3.1系统动力学理论
系统动力学是一门分析研究信息反馈系统的学科,也是基于系统论、信息论和控制论来认识系统问题并解决系统问题的综合性学科[5]。系统动力学中,通过因果反馈关系建立各级风险指标之间的关系,识别出可能引发不同风险的相同风险因素以及所造成的风险后果,有利于管理者制定理想的风险管理流程,并直观的了解风险的演化过程和控制情况。并且根据广播电视台网络化的发展情况可以在系统动力学模型中增加新的风险因素,不断优化风险管理模型。
3.2广播电视网络信息安全风险因果反馈图
应用系统动力学软件Vensim建立广播电视网络信息安全风险因果反馈模型,如图1所示。广播电视网络信息安全风险类型主要为网络攻击风险、技术安全风险、管理风险和外部环境风险。通过图1可以直观的发现引发多项风险的因素主要有以下五种:一是人员素质,广播电视台人员素质的提高,不仅有效的提高管理效率,也可以提升人员对于网络信息安全的认识,从而降低管理风险的可能。二是管理不规范,形成系统的管理体系并建立相关网络信息安全部门,统一管理网络软硬件设施和网络信息安全防护可以有效的降低管理风险和技术安全风险。三是网络攻击和网络病毒,提高网络安全防护等级,确实防止网络风险和技术安全风险的发生。第四是自然灾害和人为破坏,提高相应的预防措施可防止因设备故障导致播出中断事故的发生。第五是系统漏洞,完善广播电视台计算机操作系统,对系统不断调整和升级,从而减少网络攻击和网络病毒等网络风险和技术安全风险。
运用系统动力学风险因果反馈图模型,加强对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种主要风险点进行有效控制和防范,就会增强广播电视台对网络风险、技术安全风险、管理风险和外部环境风险的管理控制,从而增强单位防控风险的能力。
4研究结论
本文在研究网络信息安全的概念、理论等的基础上,结合广播电视网络信息安全现状建立了广播电视网络信息安全风险指标体系,总结分析了养老社区项目社会效益评价常用方法,取得如下研究成果:
①在网络信息安全风险研究的基础上筛选出对广播电视网络信息安全影响较大的风险因素,并系统地建立了广播电视网络信息安全风险指标体系,主要由网络风险、管理风险、技术安全风险和外部环境风险以及相应三级风险构成。
②利用系统动力学在风险演化和管理方面的优势,构建广播电视网络信息安全风险因果反馈模型,分析了风险因素之间的相关关系,提出需对人员素质、管理不规范、网络攻击和网络病毒、自然灾害和人为破坏、系统漏洞这五种风险因素重点防控。
③目前用于广播电视网络信息安全风险研究较少,本文只建立了风险指标体系,仍需要对风险演化方面做进一步深入研究。
参考文献:
[1]袁爱军.国内企业网络信息安全风险分析[J].中国石油和化工标准与质量,2011,31(10):279.
[2]李兰瑛,李晓芸.一种基于层次模型的网络信息安全风险灰色评估方法[J].科学技术与工程,2010,10(02):540-545.
[3]袁亮.网络时代下企业信息安全风险和控制[J].中国管理信息化,2015,18(17):72-73.
[4]吉岚,辛欣.高校网络信息安全风险分析及对策探讨——以赤峰学院为例[J].赤峰学院学报(自然科学版),2016,32(20):200-202.
