信息安全管理制度精品多篇

信息安全管理論文 篇一

摘 要：數據庫系統是管理信息系統（MIS）的基礎，管理信息系統能否正常運行，數據庫的安全起着極其重要的作用，數據庫安全體現在系統擁有的和產生的數據或信息要完整有效，使用要合法， 更不能被破壞或泄漏。具體地包括：用戶識別、訪問權限控制、加密、審計與追蹤、備份與恢復。

關鍵詞：管理信息系統（MIS）；數據庫

一 、完善用戶識別

用戶身份的正確識別與檢驗是MIS安全的門戶。爲了有效可靠地管理用戶權限，保證系統的安全，需要一套可靠完善的身份鑑別機制。

（1）在MIS的數據庫中創建一個用戶表，爲每個用戶分配一個唯一的用戶編碼和一個唯一的用戶密碼，並且用戶的密碼只能由用戶自己管理。當用戶要登錄數據庫管理系統時，必須提供正確的用戶編碼和密碼方能進人該系統。

（2）我們還可以利用數據濾網功能，也就是過濾功能。在用戶登錄界面，對用戶輸人的用戶標識和密碼先進行過濾，把單引號、分號、、％ 等“危險字符”全部過濾掉，再進行數據語句的構造，可大大降低攻擊者成功的概率。

（3）我們可以通過限制用戶輸入數據的長度，例如限制用戶輸入數據的字符最多不能超過8位，這樣就可以大大降低系統被攻擊的風險，增加了入侵者插入有害代碼的難度，確保了系統的安全。

（4）設置數據庫系統口令，數據庫系統口令也是是身份鑑別、保證系統安全的最常見、最方便的一種方法。它是登錄訪問數據庫系統所需的口令。應用程序要存取數據庫表，必須先登錄數據庫，應用程序憑藉用戶提供的正確口令就能順利登錄數據庫。所有的口令值不要嵌入程序，應隱蔽到某一數據庫中，這樣就避免了修改的麻煩，有了數據庫口令，就可以阻止有害侵入，增加了系統的安全性。

二 、訪問權限控制

訪問權限控制是數據庫系統在利用角色管理數據庫安全性方面採取的基本措施。

通過驗證用戶名稱和口令。防止非數據庫系統用戶註冊到數據庫，對數據庫進行非法存取操作。

授予用戶一定的權限，限制用戶操縱數據庫的權力；授予用戶對數據庫實體的存取執行權限。阻止用戶訪問非授權數據，提供數據庫實體存取審計機制。使數據庫管理員可以監視數據庫中數據的存取情況和系統資源的使用情況，採用視圖機制限制存取基表的行和列集合。對所有客戶端按工作性質分類。分別授予不同的用戶角色。對不同的用戶角色。根據其使用的數據源。分別授予不同的數據庫對象存取權限。

三、數據加密

在MIS中，爲了防止非法用戶進入系統、竊取機密信息或非授權用戶越權操作數據，必須對數據進行加密處理。

對MIS中的數據庫加密處理有三種基本方式：

（1） 文件加密：將涉及重要信息的文件進行加密，進入MIS應用系統時解密，在退出應用系統時再進行加密。

（2）記錄加密：與文件加密類似，但加密的單位是記錄而不是文件。

（3）字段加密：即直接對數據庫的最小單位一字段進行加密，加密算法是加密的核心， 目前可應用的國際公認的密碼算法主要有：DES(數據加密標準)、RSA（公鑰密碼體制)、劉氏高強度公開加密算法等。

除此之外還有硬性加密，硬加密指的是用物理方法進行加密，如在存放在文件的磁盤上用激光打孔進行加密等。

通過數據庫加密有效地防止了通過瀏覽數據庫表的方式獲得用戶登錄信息。

四 、審計與追蹤

數據審計的目的在於：當數據被竊取或破壞時，能及時發現和補救，即及時發現問題的原因， 爲維護數據的完整性提供保障。數據審計可 在MIS的多個層次上實現，其中在操作系統和數據庫系統上實現時，系統開銷較大，而在功能層、用戶層等層次上採取適當的審計措施則較好。

應用系統常用的審計措施有：

（1）取軌運行法：該方法要求對數據的操作由兩個用戶在不同的工作站上完成，一個用戶的操作必須經過另一個用戶的審覈通過後方能生效。

（2）軌跡法；該方法對應用系統中的一切操作都記錄在案，並由專人定期檢查，從而監督系統運行情況。

五 、備份與恢復

數據庫可以通過用戶識別、訪問權限限制、數據加密等保護措施使得管理信息系統健康運行，但難保百無一疏，而且現實中還存在其他很多原因造成數據的丟失，比如誤刪除，硬件老化，不可抗力，系統抵禦能力差等等方面，所以加強對數據的備份工作至關重要。

備份工作有幾點因素需要考慮，比如：

1、備份週期。(根據數據的重要程度，可以選擇不同的時間進行備份，以便清晰明瞭)。

2、使用靜態備份還是動態備份，(動態備份也即允許數據庫運行時進行備份)。

3、僅使用全備份還是共同使用全備份和增量備份。

4、使用什麼介質(硬盤，光盤等)。

5、使用人工備份還是設計好的自動備份程序。

6、檢驗備份完整性的週期。

7、備份存儲的空間是否防竊、防磁干擾、防火。

8、是否指定其他人實行備份，備份者是否享有必要的登錄號和口令。

9、在負責備份和恢復的主要人員缺席的情況下，是否有其他人能代替。

其次我們還要注意務必使計算機網絡數據備份自動化，以減少系統管理員的工作量。使數據備份工作制度化，科學化。做好介質管理工作，防止讀寫操作的錯誤。

對數據存儲，形成分門別類的介質存儲，使數據的保存更細緻、科學。介質自動清洗輪轉，提高介質的安全性和使用壽命。還要以備份服務器形成備份中心，對各種平臺的應用系統及其他信息數據進行集中的備份。

另外系統管理員還可以在任意一臺工作站上管理、監控、配置備份系統，實現分佈處理、集中管理。

最後維護人員要儘量地恢復損壞的整個文件系統和各類數據。備份系統還應考慮網絡帶寬對備份性能的影響、備份服務器的平臺選擇及安全性、備份系統容量的適度冗餘、備份系統良好的擴展性等。

結語：

以上只是論述了數據庫在管理信息系統中安全的幾個重要方面和體現，還有其他一些方面沒有專門提到。這些管理不到位。雖然不會導致系統癱瘓。但也會造成系統部分功能的暫時性終止。例如如果回退段數量不夠或剩餘空間不夠。都可以造成有些大的數據提交不成功。因此，對於數據庫系統的安全問題馬虎不得。

參考文獻：

[1]李寧，陳彬．MIS系統權限管理中的安全性問題探討[J].教育週刊，20xx（11）.

[2]薩師煊，王珊．《數據庫系統概論》(第三版)[M].教育出版社，20xx.

[3]林志斌．數據庫安全性若干問題的探討[J].微型機與應用，20xx(03)

[4]王裙嘲。網絡管理信息系統安全對策探索管理信息系統[J].計算機教育，20xx(05)

信息安全管理論文 篇二

1 部隊信息安全保密風險管理現狀

當前，我國部隊在安全保險風險管理上有所提升，部隊的風險意識也在不斷的增強，現在很多部隊已經建立了一定的保密體系，也將信息安全保密風險納入該體系當中，但是在管理上仍存在一定的問題。信息安全風險管理沒有獨立出來，沒有專門的功能性部門和專業的評估人員，在很大程度上，造成了風險管理的實效，導致部隊信息泄密的現象時有發生。在整個運作過程中，也缺少配套的基礎設施及技術支持，管理理念落後，風險評估能力較低，存在致險因子“盲點”。從一般意義上來講，我國部隊的信息安全保密風險所產生的原因在於信息化條件下x客的攻擊、信息不對稱下的國之間的博弈、不可預期事件的發生等。在很大程度上，完善的信息風險管理能夠有效地規避該風險的發生。然而，由於我國的信息安全體制尚處於初級及不斷完善的階段，信息安全保密銷售管理技術還極爲落戶，信息安全保密風險管理水平較低家。因此，優化信息安全保密風險管理，降低風險管理給部隊造成的巨大信息安全保密損失，是當前部隊及相關學術研究面臨的重要課題[2]。

2 部隊信息安全保密風險管理運行過程中存在的問題

2.1 管理技術與管理理念落後

隨着科技的進步，在信息技術的推動下，使我國在信息安全保密風險管理技術方面得到了一定程度的提高，但是很多部隊由於技術成本及人才結構等方面的缺陷，使其在引入和應用先進管理技術上出現困境。基於技術的落後，部隊在信息安全上缺少對保密風險的管理，嚴重製約了其部隊信息的安全性及保密性，加大了部隊及國家的安全風險。而且在落後的管理技術下，造成部隊信息安全保密決策的失誤，不僅不能有效防範和降低風險，而且還造成巨大的物力、人力的損失甚至是生命[3]。另外，很對部隊在管理理念上也相對落後，只注重對人員的管理收益，忽視管理等軟環境的建設，特備是下風險管理理念存在着諸多的不足。部隊在管理理念上重人力輕管理的意識形態，極大地制約了部隊對信息安全保密管理體系的建構。

2.2 缺失有效的風險動態評估機制

信息安全保密風險雖然客觀存在於部隊的整體運作過程中，但是具有一定的不可見性、不可提前預知性和滯後性，因此，這就要求部隊對其進行有效的評估，科學地進行決策判斷。但是，當前我國大多部隊內部缺少對信息安全保密風險的評估手段與機制，對風險的評價上相對落後，而且信息安全保密風險具有一定的隨機性，對方部隊的管理管理都會引發信息安全風險，面對這樣的情況，部隊應及時採取相關措施加以應對。但是，當前我國部隊在評價風險時除了沒有科學的、現金的評估預測方法還缺少一定的動態運作機制，導致部隊信息安全保密風險評估能力的低下，造成了風險的頻發，嚴重阻礙了其發展的規模及速度。

2.3 信息安全保密風險意識淡薄，缺少綜合素質較高的管理隊伍

由於信息安全保密管理研究與應用在我國起步較晚，還沒有形成系統的、完善的發展規模體系，而且很多部隊對其沒有足夠的瞭解，導致其內部成員信息安全保密風險意識淡薄，缺少相關管理人員。很多部隊沒有專門的信息安全保密風險管理部門及管理團隊，信息安全保密風險管理方面的活動主要由部隊的銷售部門及財務部門來完成，缺少專業的人才，導致信息安全保密風險管理隊伍能力上的有限。這種現象致使信息安全保密風險管理比較混亂，缺少管理力度，甚至是流於形式，起不到任何的作用。另外，很多部隊將信息安全保密風險管理置於內部管理體制之外，沒有將信息安全保密風險管理作爲戰略發展佈局的重要組成部分，更沒有相關的監督及考覈機制，導致管理人員對此項工作的積極性不高，嚴重阻礙了部隊風險管理的水平的提高[4]。

3 建立健全部隊信息安全保密風險管理運行機制的對策

建立健全部隊信息安全保密風險管理體系部隊信息安全保密風險管理水平低下，最主要的原因在於沒有完善的信息安

信息安全管理論文 篇三

摘要

針對飛機航空管制信息安全管理工作中存在的管制人員信息安全管理意識不夠強，航管信息安全管理工作重點不突出，航管部門信息安全防範體系不健全，航管信息安全管理法規制度不完善等問題，深入探討了相應的對策措施，以便於爲航管信息安全管理工作提供具體對策措施，爲提升航空管制信息安全管理效益提供依據。

關鍵詞

航空管制；信息系統；信息安全；對策

前言

隨着信息技術尤其是人工智能技術的飛速發展，不論是民用航空，還是軍隊航空管制信息系統在功能、可靠性、實用性、智能化程度等方面都得到了極大的提升。同時，因網絡設施設備和信息技術的不完備性以及人爲因素的影響，又使得航空管制信息安全面臨着嚴峻的挑戰。可見，深入研究飛機航空管制信息安全管理對策是十分必要的。

1、強化航空管制信息安全管理意識

人爲因素對於航管信息安全管理會產生重要影響。信息安全防範意識薄弱的最根本原因就在於忽視了信息安全的重要性。注重航管信息安全管理，必須強化信息安全意識。一是在強化各級領導信息安全意識的同時，必須不斷提高航管人員的信息安全防範意識。信息安全管理強調的是“三分技術，七分管理”，應該把“重技術的同時更重管理”作爲航管信息安全管理的基本原則。強化信息安全意識，應通過信息安全教育，不斷提升航空管制人員的信息安全知識水平，啓發信息安全自覺，使全體航空管制人員都能夠充分意識到航空管制信息安全的重要性和實施信息安全管理必要性。二是強化航管信息安全意識，必須重視航管人員信息技術素質的培養。信息技術與人工智能技術將不斷應用於未來航空管制的業務流程中，航管人員必須具備駕馭航管新裝備和新技術的能力，同時，通過不斷學習和豐富信息技術與人工智能技術知識，在強化安全意識的同時，提升自身的信息技術技能，爲航管信息安全管理工作順利開展打下堅實的技術知識基礎。三是注重航管信息安全管理觀念創新。航管信息安全關係到航管業務是否順利開展，關係到飛機的飛行安全，必須在航管信息安全管理目標、安全管理業務、安全管理技術等方面轉變觀念，將航管信息安全管理的目標落實到航管中心的安全建設上，將安全管理業務與航管業務流程相結合，注重各個業務環節上的信息安全，確保實現航空管制信息安全管理的精細化，同時，創新安全管理技術，爲提升航管信息管理工作效益提供技術支撐平臺。

2、抓住航管信息安全管理的主要矛盾

要抓好航管信息安全管理工作，必須明確航管信息安全管理的重點和難點，以便對症下藥，高效解決航管信息安全管理工作中存在的主要矛盾和重點問題。航管信息安全管理的目的是爲了使航管信息在完整性、可用性、可控性、保密性和信息行爲的不可否認性等方面對航管信息實施的防禦、檢測、抑制、恢復和管理工作。航管信息管理的重點在於航空管制信息系統，其中包括航管系統層、網絡層和應用層的安全管理。航管系統層的安全管理包括硬件和軟件，其中軟件是航管信息安全管理的重點。就硬件系統而言，硬件的安全屬於物理安全，其防範重點主要在於防電磁輻射、電子干擾以及固化的嵌入式軟件的安全。就應用軟件而言，航管信息系統本身是可以修改的，容易受到病毒的攻擊，因此，做好防“病毒”、防病毒、軟件恢復，提升操作系統的安全性是航管信息安全管理的重點。同時，還應注重網絡層安全管理。網絡層的安全主要體現在以下幾個方面：網絡安全報警、網絡入侵恢復、網絡數據保護、密鑰安全管理、內部認證機制等。網絡層的安全管理應將關注點放在路由器等各處子網的出入口設備上，從軟件角度，應研發嵌入式操作系統，運用數字簽名加密技術，以把好網絡層安全關。

3、完善航管部門信息安全防範體系

要實現對航管信息的有效管控，必須建立健全航管信息安全管理機構。在充分調研的基礎上，充分論證航管信息安全管理機構設置的合理性和可行性，合理區分航管信息安全管理職能，將信息安全管理職能與業務流程和信息流程相結合，使航管信息安全管理機構能夠充分發揮其作用。加強對航管信息安全管理工作的統一規劃、統一部署與監督檢查，密切跟蹤信息技術與人工智能技術的發展前沿，航管關鍵儀器設備儘量採用國產裝備，尤其是採用那些具有自主關鍵技術和知識產權的核心裝備，比如：國產嵌入式操作系統、路由器、防火牆和加密系統等網絡關鍵部件。加強對網絡的規範化管理，通過建立一系列完整的航管信息安全標準和航管信息系統綜合評估體系，對航管信息的獲取、傳輸和共享使用以及資源共享程度、權限等方面，有針對性地制定可靠的安全措施，着力解決國防信息系統、商業通信和公用網絡相聯而造成的信息安全問題。同時，還應認真研究應對網絡信息安全隱患的防範措施，加強對網絡安全的監控，研發分佈式和局部性信息系統，以降低航管信息安全的風險。可見，航管信息安全管理離不開航管部門信息安全防範體系功能的發揮，只有這樣，才能系統地解決航管信息安全問題。信息安全管理是對航空管理活動構成影響的各種信息尤其是涉密信息的管理與控制。完善航管部門信息安全管理體系，必須做好以下安全管理工作：一是加強信息安全教育。要組織全體航空管制人員進行以航空管制保密常識爲主要內容的信息安全教育，使航空管制人員能夠牢固樹立“保信息就是保飛行安全”的觀念。二是實行保密信息的封鎖。制定電子設備保密管理規定，切斷與外界不必要的通信聯絡和溝通。所有航空管制人員不得以任何形式向外界泄露涉及航空管制以及飛行安全的祕密。三是掌握航空管制信息的動態。各級管理者應隨時瞭解和掌握航空管制信息的動態，經常檢查和反思可能存在的信息安全漏洞。四是要嚴防航空管制信息的失控。應加強對航空管制設施設備以及相應的網絡設施設備的管控，航空管制設施設備必須實行專人專管，嚴格登記和使用手續。

4、健全航管信息安全管理法規制度

健全航管信息安全管理法規制度，必須做到有法可依，有法必依，必須認真研究航管信息安全管理的特點與規律，使安全管理法規制度成爲開展航管信息安全管理工作的準繩和依據。受信息技術和人工智能技術的影響，目前，計算機網絡與信息系統的發展十分迅速，單一依靠技術措施來實現航管信息系統的安全是難以做到的，因此，除了應加強技術攻關以外，還應在行政管理和法規制度方面，加強對航管信息安全的管理。針對航管信息安全管理需求，一方面，要建立航管信息安全評估和航管信息系統質量認證體系。從信息基礎設施建設，到網絡規劃和方案，均要通過安全管理部門的行政審批和技術審覈，以確保從物理層面做到對信息的隔離。在基礎設施建設和設備採購過程中，要有安全管理部門和質量管理部門的指導，只有通過信息安全質量認證，才能通過驗收並投入使用。在網絡運行和航管信息系統使用過程中，要接受安全管理部門的監督和檢查。制定一系列航管信息安全規章制度和措施並確保落實到位。另一方面，要細化航管信息安全規章制度。應根據航管信息安全管理的特點，儘快制定信息安全規章制度，以提升信息安全管理的可操作性。對於航管管制人員賦予信息安全職責，對於那些認真履行職責，確保航管信息安全的人員應給予表彰獎勵，對於那些玩忽職守，置航管信息安全於不顧的人員，造成航管信息安全事故的人員，應進行依法懲治。航空管制信息安全管理法規制度的建立健全還應注重其適用性和有效性。法規制度建立健全的目的是爲了航空管制信息管理工作提供法規依據。如果在制定法規制度時，脫離了當前和今後一個階段航空管制工作的實際，則這樣的法規制度將無法起到其應有的作用，應在充分調研的基礎上，充分考慮航空管制業務工作的特殊性和保密性，從航空管制信息管理機構設置的優化，到信息管理流程的設計，從人員信息安全意識的強化，到信息管理系統等技術平臺的建設等整個信息安全管理工作中，注重法規制度的有效性，確保航空管制信息安全管理工作能夠配套適用性強的信息安全管理法規作爲依據，實現航空管制信息管理工作有法可依，以提升航空管制信息安全管理工作的效益。

5、結語

航管信息安全管理工作是航管業務的基礎性工作，只有確保航管信息安全，纔能有效保障飛機的飛行安全。要牢固樹立航管信息管理的綜合安全觀，強化航管人員的信息安全意識，密切關注信息技術和人工智能技術在信息網絡和信息系統方面的應用，綜合運用先進的技術手段和嚴格的行政管理措施，確保航管信息安全，爲飛機飛行安全提供可靠保障。