信息系统安全概述

信息系统安全概述（共8篇）

篇1：信息系统安全概述

中型仓库管理信息系统一、概述：

(1)对象描述

天津市某大型企业拥有一个中型仓库，其主要功能是提供公司生产部门的原料储存和供给以及提供采购部门的需要的订单数量，保障生产的正常运行，同时尽量减少库存积压，减少库存数量，是企业的库存费用尽量低一些，使企业能很好地运用剩余资金来做其他的运作。这个仓储部门下设一个仓储部经理，其下有三个分部门，分别是仓管科、装卸科和叉车科，其中仓管科下设三个组，分别为验货组、库管组和帐管组；叉车科又设有车辆管理组和叉车司机组两个部门。三个部门需要共同合作来完成任务。

（2）宏观目标

随着信息处理量的快速增加，工作量越来越多，这要求企业各方面的工作更全面、先进、高效。经济和科学技术发展加速，各企业的竞争归根结底就是技术和管理的竞争，企业为了争取获得利益最大化，必须拥有一套完善的管理系统来管理企业，以适应时代潮流和发展的需要。库存数据库管理系统是一个为适应当前各个行业对库存信息管理的迫切需求而设计开发的软件，能很好的使库存管理合理化和系统化。因此该企业需要开发一个界面友好，易于操作的较为完善的库存管理系统来管理货品，这对于整个企业的所有物资的管理和查询等自动化处理变得十分重要。

（3）需求分析

此系统设计主要针对中型仓库中商品的货物的储存和传送，数量和形状变化进行信息管理，主要目标是在于降低库存成本，减少库存资金占用的同时，保证商品货物按计划流动，保证生产的正常运行，从而使商品满足顾客和市场的需求，库存控制就是要权衡库存费用（包括商品价格、订货费用、短缺等），使总费用最低。仓库管理系统的职能大体上包括订单管理、入库管理和出库管理。针对仓库的实际需要，设定不同的仓库管理系统的功能，实现物资信息的登记、入库登记、出库登记、余额查询等任务。管理者可以通过相应的模块，对仓库里的物资的基本情况进行修改、删除和查询，对物资的入库和出库进行管理，对出入库的物资进行查询，并能生成相应的报表，对使用该系统的用户进行修改、添加等，对物资余额进行查询等其他系统管理功能。设计实现的管理系统能够正确有效地完成仓库管理的日常工作，并能够根据需要进行灵活的查询。系统与数据库管理系统紧密结合，为仓库管理提供了功能较为强大的数据安全功能。

篇2：信息系统安全概述

信息安全即保证信息的安全性，保护信息资源免受各种类型的威胁、干扰和破坏，是任何国家、政府、部门、行业都十分重视的问题，是一个不容忽视的国家安全战略。本文首先分析了《信息安全发展概述》课程的主要特点及存在的问题;其次将课程的教学目标分为三个层次：第一个层次是知识结构的建立，第二个层次是应用技能的训练，第三个层次是信息安全素质的培养，在上述教学目标的牵引下，对课程的内容设置进行了探索;最后，针对课程的教学方法、教学手段、实验环节等方面进行了实践性探索，着力培养军校学员的实践能力、创新能力和综合素质。对同类课程的教学有一定的参考价值。

《信息安全发展概述》是本科信息研究与安全专业的一门专业基础课程，也是一门综合性和实践性都非常强的课程。对培养学员信息安危意识、信息对抗能力，为他们今后从事信息安全领域的相关工作起着重要的作用。该课程内容全面、更新快，并具有理论与实践相结合的特点，再加上计划课时有限，因此，课程教学难度大，学员有时有畏难情绪。根据本人多年来的教学实践经验和学员反馈信息，在教学过程中，对其理论教学方法、实践教学环节等多方面进行了一些深入地思考和探索。

一、课程特点及现状分析

(一)课程主要特点：时间紧、任务重

《信息安全发展概述》课程涉及计算机网络、密码学、法规制度等多个学科领域的知识内容，涵盖的内容较广泛。同时，随着社会信息化和政府上网工程的不断发展，信息安全新技术、新理论和新知识的实际应用周期大大缩短，如何在有限的教学时间内完成课程的教学任务，即一方面授课教员要讲清基本知识和原理，提高学员对信息安全的认识;另一方面，授课教员要知识渊博，不断地查阅最新资料和文献，并将这些新知识有机的融合进本课程的教学中，提高学员将理论与实践相结合的能力，最终使学员能利用所学的基本知识和原理解决在学习生活过程中所遇到的安全问题，以增强学员的学习兴趣，使他们感到学有所用，这也是课程的教学目的之所在。

(二)课程现状分析：重理论轻实践

《信息安全发展概述》课程往往以理论讲授为主，整个教学过程对实践的重视程度还不够，因此学员有重理论轻实践的倾向。很多学员虽然理解了有关信息安全的设计思想或流程，比如常用的加密技术、攻击者的`攻击手段以及整个攻击流程等，但是在编程实现的过程中，总会遇到这样或那样的问题，从而不能达到预期的效果，究其原因，还是学员真正动手的机会比较少，实践能力较弱。

二、教学目标及内容的探索

(一)教学目标探索

在教学实施过程中，《信息安全发展概述》的教学目标分为三个层次，第一个层次是知识结构的建立，使学员在了解信息安全的发展现状及发展趋势的基础上，理解信息安全的基本要求，包括信息安全的定义、信息安全的标准以及信息安全体系，掌握信息安全原理;第二个层次是应用技能的训练，使学员熟练掌握信息安全具体实现技术与实际应用;第三个层次是信息安全素质的培养，使学员具有较强的信息安危意识，能够将所学理论知识应用到实践中，解决学习或生活中遇到的安全问题。最终需要达到两个目的：一是为学员揭开信息安全的神秘面纱;二是增强学员信息安危意识，培养学员的信息对抗能力，使学员不仅会用计算机，还要用好计算机。

(二)教学内容探索

在上述教学目标的牵引下，在内容安排上，以信息安全原理及应用为主线，确定了两大模块来组织《信息安全发展概述》教学的知识体系，一个模块是黑攻击技术;另一个模块是防御技术。同时，围绕这两大模块分成若干相对独立的专题来组织教学内容，突出基本概念和基本原理，同时体现新理论、新技术、新算法在实际中的应用。在黑攻击技术这个模块，按照黑的攻击步骤分为五部分：网络扫描、网络监听、网络入侵、网络后门以及网络隐身。其中，网络扫描、网络监听是攻击者的信息收集阶段，在网络这个没有硝烟的战场上，在攻击者入侵之前都会想方设法搜集尽可能多的信息，网络入侵即攻击者对目标主机或服务器实施攻击，常见的攻击方式有缓冲区溢出攻击、木马、拒绝服务攻击、病毒等。网络后门即攻击者入侵成功后，为了保持对该主机或服务器的长久控制，攻击者为自己开辟的秘密通道。网络隐身是攻击者为了逃避法律责任而想出的方法和手段，比如用代理主机进行攻击、IP欺骗等。在防御技术这个模块，考虑到当前的热点领域和发展方向，分为加密技术、数字签名技术、身份认证技术、VPN技术、防火墙及入侵检测六部分。其中，加密技术是电子商务采取的主要安全保密措施，是最常用的安全保密手段，常用的加密技术分为对称加密(如DES、AES、3DES、IDEA等)和非对称加密(RSA)。数字签名技术是只有信息的发送者才能产生的别人无法伪造的一段数字串，这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

三、课程教学探索

(一)理论教学探索

教育学著名的建构主义学习理论认为：学习不是由教师把知识简单地传递给学生，而是由学生自己建构知识的过程，这种建构是无法由他人来代替的。换句话说，教师是建构的帮助者、促进者，而不是知识的提供者和灌输者。

(二)教学方法探索

好的教学方法是保证教学质量的前提。为了培养学员的信心和兴趣，必须从学员已掌握的知识入手，循序渐进、巧妙引导，才会收到事半功倍的效果。例如：在讲授木马的时候，如果采用传统的教学方法进行讲授，由于该方法在传授知识的时候，将知识本身和知识发现的过程割裂开来，没有将知识和知识中蕴含的思想、思维和技巧同步传递给学员，导致大多数学员学了某一个知识或原理，却不能转换为自己的知识，不知道原理的具体应用和作用。

(三)教学手段探索

教学手段的灵活多样化是提高教学质量的根本。《信息安全发展概述》这门课程比较抽象，学员在刚接触的时候很难入手，但可以通过将一些抽象概念生活化，从而使课程内容简单化，一方面可以使学员易于理解，另一方面可以开发学员的智力潜能，从而调动学员学习兴趣、激发他们强大的学习动力。例如，在讲缓冲区溢出攻击时，为了让学员对缓冲区溢出有个更直观、更形象地认识，加深学员对缓冲区溢出攻击的理解，从生活中找到与之类似的实例进行类比：身份认证系统是网络安全体系的重要组成部分，它是保护网络系统安全的第一道关卡。

(四)实验教学探索

《信息安全发展概述》课程不仅是一门实践性很强的课程，同时也是一门应用型很强的专业技术课，实验教学环节举足轻重。通过参考一些国内外著名高等院校的经验与模式，为了培养学员的创新能力、动手能力，提高学员的综合素质.

四、结束语

篇3：企业信息安全概述及防范

1 企业信息安全风险分析

计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要, 如果这些信息系统及网络系统遭到破坏, 造成数据损坏, 信息泄漏, 不能正常运行等问题, 则将对企业的生产管理以及经济效益等造成不可估量的损失, 信息技术在提高生产效率和管理水平的同时, 也带来了不同以往的安全风险和问题。

信息安全风险和信息化应用情况密切相关, 和采用的信息技术也密切相关, 公司信息系统面临的主要风险存在于如下几个方面。

计算机病毒的威胁:在企业信息安全问题中, 计算机病毒发生的频率高, 影响的面宽, 并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞, 系统数据和文件系统破坏, 系统无法提供服务甚至破坏后无法恢复, 特别是系统中多年积累的重要数据的丢失, 损失是灾难性的。

在目前的局域网建成, 广域网联通的条件下, 计算机病毒的传播更加迅速, 单台计算机感染病毒, 在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度, 感染和破坏规模与网络尚未联通之时相比, 高出几个数量级。

网络安全问题:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统, 营销系统, 电子商务系统, ERP, CRM, 远程教育培训系统等, 通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商, 企业内部职工可以通过互联网方便地浏览网络查阅、获取信息, 即时聊天、发送电子邮件等。

如何加强网络的安全防护, 保护企业内部网上的信息系统和信息资源的安全保证对信息网络的合法使用, 是目前一个热门的安全课题, 也是当前企业面临的一个非常突出的安全问题。

信息传递的安全不容忽视:随着办公自动化, 财务管理系统, 各个企业相关业务系统等生产, 经营方面的重要系统投入在线运行, 越来越多的重要数据和机密信息都通过企业的内部局域网来传输。

网络中传输的这些信息面临着各种安全风险, 例如被非法用户截取从而泄露企业机密;被非法篡改, 造成数据混乱, 信息错误从而造成工作失误。

用户身份认证和信息系统的访问控制急需加强:企业中的信息系统一般为特定范围的用户使用, 信息系统中包含的信息和数据, 也只对一定范围的用户开放, 没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能, 在系统中建立用户, 设置权限, 管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单, 不能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理, 企业的一个员工要使用到好几个系统时, 在每个应用系统中都要建立用户账号, 口令和设置权限, 用户自己都记不住众多的账号和口令, 使用起来非常不方便, 更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务, 是我们开发建设应用系统时必须考虑的一个共性的安全问题。

2 解决信息安全问题的基本原则

企业要建立完整的信息安全防护体系, 必须根据企业实际情况, , 结合信息系统建设和应用的步伐, 统筹规划, 分步实施。

2.1 做好安全风险的评估

进行安全系统的建设, 首先必须全面进行信息安全风险评估, 找出问题, 确定需求, 制定策略, 再来实施, 实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定, 应尽量采用成熟的技术和产品, 不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行, 才能真正发挥信息安全防护系统和设备的作用。

2.2 采用信息安全新技术, 建立信息安全防护体系

企业信息安全面临的问题很多, 我们可以根据安全需求的轻重缓急, 解决相关安全问题的信息安全技术的成熟度综合考虑, 分步实施。技术成熟的, 能快速见效的安全系统先实施。

2.3 根据信息安全策略, 出台管理制度, 提高安全管理水平

信息安全的管理包括了法律法规的规定, 责任的分化, 策略的规划, 政策的制订, 流程的制作, 操作的审议等等。虽然信息安全“七分管理, 三分技术”的说法不是很精确, 但管理的作用可见一斑。

3 解决信息安全问题的思路和方法

企业的信息安全管理要从以下几个方面入手, 相辅相成、互相配合。

3.1 从技术手段入手保证网络的安全

网络安全指由于网络信息系统基于网络运行和网络间的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上, 在承认不可能有绝对安全的网络系统的前提下, 努力探讨如何加强网络安全防范性能, 如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能, 降低安全风险, 及时准确地掌握网络信息系统的安全问题及薄弱环节, 及早发现安全漏洞、攻击行为并针对性地做出预防处理。在攻击发生过程中, 尽早发现, 及时阻断。在攻击发生后, 尽快恢复并找出原因。

保证网络安全的技术手段包括:过滤、信息分析监控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有:网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦测与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不可否认性及可控性等安全, 技术手段包括加密、数字签名、身份认证、安全协议 (set、ssl) 及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁, 主要表现在舆论宣传方面。主要有:黄色、反动信息泛滥, 敌对的意识形态信息涌入, 互联网被利用作为串联工具等。其技术手段包括:信息过滤、设置网关、监测、控管等, 同时要强有力的管理措施配合, 才可取得良好的效果。

3.2 建立、健全企业息安全管理制度

任何一个信息系统的安全, 在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段, 都围绕这一策略来选择和使用, 如果在安全管理策略上出了问题, 相当于没有安全系统。同时, 从大角度来看, 网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域, 技术手段和相关安全工具只是辅助手段, 离开完善的管理制度与措施, 是没法发挥应有的作用并建设良好的网络信息安全空间的。

国家在信息安全方面发布了一系列的法律法规和技术标准, 对信息网络安全进行了明确的规定, 并有专门的部门负责信息安全的管理和执法。企业首先必须遵守国家发布的这些法律法规和技术标准, 企业也必须依据这些法律法规, 来建立自己的管理标准, 技术体系, 指导信息安全工作。学习信息安全管理国际标准, 提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进, 在信息安全领域的研究起步比我们更早, 取得了很多的成果和经验, 我们可以充分利用国际标准来指导我们的工作, 提高水平, 少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作, 为此必须各单位建立一个信息安全工作的组织体系和常设机构, 明确领导, 设立专责人长期负责信息安全的管理工作和技术工作, 长能保证信息安全工作长期的, 有效的开展, 才能取得好的成绩。

3.3 充分利用企业网络条件, 提供全面, 及时和快捷的信息安全服务

很多企业通过广域网联通了系统内的多个二级单位, 各单位的局域网全部建成, 在这种良好的网络条件下, 作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息发布与技术支持平台, 发布安全公告, 安全法规和技术标准, 提供信息安全设备选型、安全软件下载, 搜集安全问题, 解答用户疑问, 提供在线的信息安全教育培训, 并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间, 空间和地域的限制, 是信息安全管理和服务的重要方式。

3.4 定期评估, 不断的发展、改进、完善

企业的信息化应用是随着企业的发展而不断发展的, 信息技术更是日新月异的发展的, 安全防护软件系统由于技术复杂, 在研制开发过程中不可避免的会出现这样或者那样的问题, 这势必决定了安全防护系统和设备不可能百分百的防御各种已知的, 未知的信息安全威胁。安全的需求也是逐步变化的, 新的安全问题也不断产生, 原来建设的防护系统可能不满足新形势下的安全需求, 这些都决定了信息安全是一个动态过程, 需要定期对信息网络安全状况进行评估, 改进安全方案, 调整安全策略。

不是所有的信息安全问题可以一次解决, 人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的, 不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备, 也仅仅是满足某一些方面的安全需求, 不是企业有某一方面的信息安全需求, 市场上就有对应的成熟产品, 因此不是所有的安全问题都可以找到有效的解决方案。

4 结语

企业信息安全是一项复杂的系统工程, 涉及技术、设备、管理和制度等多方面的因素, 安全解决方案的制定需要从整体上进行把握。信息安全解决方案是综合各种计算机网络信息系统安全技术, 将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来, 形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重, 安全技术必须结合安全措施, 并加强计算机立法和执法的力度, 建立备份和恢复机制, 制定相应的安全标准。信息安全是一个伴随着企业信息化应用发展而发展的永恒课题。

摘要：该文对企业信息安全所面临的风险进行了深入探讨, 并提出了对应的解决安全问题的思路和方法。

关键词：信息安全,险防范

参考文献

[1]ISO27001 (BS7799) 　信息安全管理体系标准.

篇4：统计信息系统构建概述

【关键词】统计;信息系统;构建

众所周知, 各项事业的发展离不开统计数据, 只有通过建立计算机技术为主的统计数据库和先进的网络通讯系统, 实现对数据进行加工、整理和数据转换、资源共享, 才能更好地发挥统计资源优势, 为各级党政领导部门进行宏观决策, 提供及时、准确的统计信息。所以，统计信息系统的构建就显得非常重要。

1.统计信息系统体系的建立

1.1建立统计工作管理体系

在当前条件下, 企业的所有制形式, 由单一的国有、集体发展到包括私营、个体、股份制等多种形式并存的市场经济体制, 企业的组织结构也日益多样化, 如集团、总公司、公司、子公司等等,这就要求企业必须建立起强有力的统计工作管理体系。一是组织体系确定各级统计工作责任部门、统计负责人、统计员。对于集团公司尚应建立统计工作领导小组, 统筹本单位的统计工作。领导小组组长应由行政一把手担任, 以加强统计管理力度。二是各级职责应明文规定。三是制定统计工作质量标准。四是加强统计考核,明确奖惩条文, 并严格执行。

1.2建立统计指标体系

首先应满足领导层对企业决策、发展、改革的需求, 生产经营管理的需求, 还应满足上报统计报表、统计调查数据的需求。指标分类, 应能反映企业的生产经营特征。通常应包括完成工作量指标、产品产量指标、成本指标、合同管理指标, 销售指标、销售收人指标、利润指标、库存指标、消耗指标、采购指标、工业增加值指标、内外信息、固定资产等。

1.3确定报表格式、种类

报表格式的确立, 如国家有标准报表格式, 应采用国家标准报表格式, 如企业需求指标, 其格式由企业自行设计。报表的格式设计, 应明确、简洁、适用, 报表分类应适合企业运行体制, 能够达到需求目的, 还应满足电子统计平台程序文件编制的需要。

2.建设信息系统必须要先确定统计流程

2.1建设统计管理信息系统要具备5个前提条件

一是企业要确定一个部门, 赋予其信息化总策划、总协调的职能, 促使各职能部门消除部门利益, 形成办公“一盘棋” 的格局。 二是要有统计分类的统一标准, 例如：统一的单位编码（即单位身份号） 、分类标准等, 避免用户在使用公共信息中, 由于标准不统一而造成的混乱。三是要有一个科学的、可以实现服务管理职能程序的、方便用户操作的信息化处理流程。四是建立完善的網络安全系统。网络安全一直是企业信息化的难点问题之一, 包括建立网络防毒、安全认证、信息资源分级分层使用的安全体系, 这些在技术上都应得到解决。五是要统一操作系统, 要编制一个科学统一的统计软件。

2.2统计工作流程的建立

统计工作流程是在统计系统内部实现的, 它是指统计工作的信息化处理的全过程。即统计基础数据的采集→统计数据的加工处理→统计数据质量控制→统计数据安全控制→统计信息资源管理等统计工作的全过程。实现从人工作业向建立完整的统计管理信息系统跨越, 是一次飞跃。统计数据采集的实现, 由以统计报表、软磁盘为主, 转变为以网络传输为主实现信息的网上直报才可最大限度地减少统计报送环节, 加快数据传输速度, 解决统计人员力量不足的矛盾。统计数据处理的应角程序, 应由专业人员根据企业生产特征和要求进行编制、试运行。并做到统一数据处理操作平台、统一文件格式 统一实行统计“ 一套表”制度, 统一单位属性标识代码、统计指标代码 统一数据处理和审核程序 实现准确、高效、方便的数据处理模式。统计卜管理信息系统的开发利用, 由传统的单一模式转变为现代多元模式, 可做到路径清晰, 便捷通畅。

3.电子统计平台中数据的安全性

统计工作关系到企业商业秘密, 必须有相应的策略和措施来保证统计数据的安全可靠。一方面利用计算机防火墙技术, 另一方面应设置一定权限, 不同的使用者（用户〕扮演着不同的角色, 有不同的权限和不同的业务处理流程。一般来讲, 本部门的使用者, 只可填报和查阅本部门申报的报表, 其它部门的报表不仅看不到内容, 而且根本不知道其它部门要报什么样的报表。总部领导层和总部统计工作职能部门, 才可查阅综合报表。报表的查阅, 应确定人员、密码, 这才能够保证数据的安全性。

4.系统的总体设计

分析工作流程, 构建总体框架, 确定报表的上报和查阅的安全、保密措施, 初步设计出具有个性化、人性化而且美观的操作界面, 划分模块、制定接口标准等。主要功能:系统管理、部门设置、用户设置、报表设计、流程设计等。

总之，除上面之外，我们自身也应该提高认识水平, 转变思想观念, 加快统计信息系统建设的步伐。随着抽样调查为主的新的统计调查体系的建立和实施,各种普查、抽样调查相继展开以及统计范围扩大, 报表的增加,计算机数据处理的工作任务日益繁重。特别是计算机应用和网络通信的迅速发展, 我们统计部门不加快统计信息系统建设, 将难以适应统计事业发展的需要。从统计部门内部讲, 按统计流程设置的内设机构, 也必须以信息共享作为基础, 才能充分发挥机构设置的优势, 发挥统计工作的整体功能。■

【参考文献】

［１］邵建利.计算机在统计中的应用［M］.上海财经大学学报.2000.

［２］张泽厚,袁卫.统计学前沿发展建设［M］.中国统计.2003.

［３］马玉敏.加快统计信息系统建设［M］.内蒙古统计.2002.

篇5：信息系统安全概述

地理信息系统(GIS)技术在地震中的应用概述

地理信息系统(GIS)是一门综合的技术,它涉及地理学、测绘学、计算机科学与技术等许多学科,其具有其他技术手段所不具备的空间数据管理及分析功能.目前GIS已在测绘、城市规划、水利、土木、环境保护、土地利用与规划等众多领域得到了广泛的`应用,其在地震领域中的应用其应用领域包括地震分析、预测、预报、抗震、减灾、灾害预测、辅助决策厦应急指挥等各个方面.本文简要概述了GIS在地震中四个方面的应用,即地震监测预测、震后应急救援、灾害调查评估、灾后重建,之后总结及展望了GIS在地震中的应用及发展趋势.

作 者：林志彬 作者单位：厦门市地震勘测研究中心,福建,厦门,361000刊 名：科技信息英文刊名：SCIENCE & TECHNOLOGY INFORMATION年，卷(期)：“”(29)分类号：关键词：地震 GIS 地理信息系统 监测 评估

篇6：信息系统安全概述

摘 要:介绍了电力企业信息化的应用情况,通过对电力企业网络与重要信息系统安全大检查,找出了一些主要弱点,分析了问题的成因,提出了一系列切实可行的建议和方法。

关键词:电力企业信息化;网络与重要信息系统;安全检查;安全管理

0引言

随着信息技术日新月异的发展,近些年来,电力企业在信息化应用方面的要求也在逐步提高,信息网络覆盖面也越来越大,网络的利用率稳步提高;利用计算机网络技术与各重要业务系统相结合,可以实现无纸办公,大大地提高了工作效率,如外门户网站系统、内部门户网站系统、办公自动化系统、营销管理系统、配网管理系统、财务管理系统、生产管理系统等。然而,信息化技术带来便利的同时,各种网络与信息系统安全问题也逐渐暴露出来,下面针对共性问题做一些探讨。开展网络与重要信息系统安全大检查网络与信息安全检查具体内容包括:基础网络与服务器、对外门户网站、数据中心、内部办公系统、营销管理系统、财务资金管理系统等重点业务系统的现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况。信息安全管理保障检查点序号检查内容检查项1安全规章制度2安全组织与人

3资产管理4安全运维管理5信息数据安全6应急响应合计 根据检查情况得出主要弱点 2.1 安全管理保障检查

2.1.1 安全规章制度主要弱点(1)未制订信息安全审计管理规定。(2)未制订应用系统开发安全管理规定。(3)部分单位未制订关键资产的操作审批流程。(4)操作系统、数据库、设备的操作与配置管理不完善。信息安全技术保障检查点序号检查内容检查项1服务器操作系统数据库中间件应用系统2网络设备3安全设备4网站5终端合计 自查内容和数量统计序号类别检查数量1网络及安全设备2操作系统3数据库4中间件5网站6应用系统7终端

(5)未制订移动存储介质管理规定。(6)未制订信息安全风险评估规范及实施指南。

2.1.2 安全组织与人员管理主要弱点(1)没有与信息管理和技术人员签订保密协议。(2)未制订信息安全的培训计划,未定期开展信息安全技术培训。(3)部分单位未配备专职信息安全管理人员。(4)信息技术人员身兼多职:操作系统、数据库、网络管理等。

2.1.3 资产管理主要弱点(1)没有对资产变更进行安全审计。(2)没有磁盘、光盘、U盘和移动硬盘等存储介质的销

(3)未对设备或应用系统进行上线前的安全测试。2.1.安全运维管理主要弱点(1)未对主机、网络设备、安全设备、应用系统、数据库进行定期日志审计。(2)未对主机、网络、应用系统、数据库的用户与密码进行定期安全审计。(3)未对终端接入网络进行准入控制,没有非法外联控制措施。(4)未定期对主机、网络、应用系统、数据库、终端进行漏洞扫描。(5)没有用于系统和设备上线测试的网络测试区域。(6)没有对网络流量进行监控。

2.1.5 信息数据安全主要弱点(1)未对重要数据采取存储加密或传输加密措施。(2)多数未对信息技术数据、资料的登记、使用、报废进行统一管理。

2.1.6 应急响应管理主要弱点(1)未制订完整的单项应急预案。(2)未制订网络与信息安全应急预案培训与演练计划。(3)没有定期开展应急培训和演练。

2.2 安全技术保障检查

2.2.1 操作系统主要弱点(1)未对登陆密码的长度和更换时间做出系统配置限制。(2)未做登陆源IP或MAC地址以及用户捆绑。(3)没有关闭不必要的端口,没有停止不必要的服务。(4)没有定期进行安全漏洞检测和加固。(5)部分W indows操作系统的服务器管理员的默认帐号名没有修改。

2.2.2 数据库主要弱点(1)未定期审核数据库用户的权,并及时调整。(2)MS SQLServer数据库中未去掉危险的存储服务。(3)没有数据库备份操作规程。

2.2.3 中间件主要弱点没有对中间件管理操作进行登陆源限制。

2.2.4 应用系统主要弱点(1)没有进行上线前的安全检查。(2)没有采用安全加密的方式登录。(3)登陆管理后台时,多数未做登陆源限制。(4)没有定期进行安全检查。

2.2.5 设备主要弱点(1)未做登陆源限制。(2)未采用安全加密的方式登陆。(3)未启用日志审计或日志保存时间小于3个月。

2.2.6 网站(内、外)主要弱点(1)部分网站没有备份和冗余能力。(2)部分网站没有部署防篡改系统。(3)多数未对登陆网站管理后台的登陆源做出限制。(4)大部分网站存在SQL注入的隐患。(5)大部分网站没有文件上传过滤功能。(6)部分网站没有日志审计功能。(7)部分网站没有部署入侵检测系统。

2.2.7 终端主要弱点

(1)大部分未设置超时锁屏功能。(2)没有定期进行安全漏洞扫描。(3)没有修改默认的系统管理员名。(4)没有定期修改系统管理员密码。(5)未关闭不必要的端口。3 加强网络与重要信息系统安全管理的建议通过检查,识别企业的信息资,进行风险评估,假定这些风险成为现实时企业所承受的灾难和损失,通过降低风险、避免风险、接受风险等多种风险管理方式,采取整改措施制定企业信息安全策略。

(2)3.1 开展网络与信息系统安全等级保护定级工作信息安全等级保护制度开始向多种行业推进,应逐渐认识到,只有良好的安全管理才能有效地解决定级过程中所发现的安全问题,并且为后续的信息安全提供长时间的保障。电力企业根据《信息安全等级保护管理办法》、《电力行业信息系统等级保护定级工作指导意见》实施信息安全等级保护工作,综合考虑信息系统的业务类型、业务重要性及物理位置差异等各种因素,全面分析业务信息安全被破坏时及系统服务安全被破坏时所侵害的客体以及对相应客体的侵害程度,将信息系统分为不同安全保护等级。开展信息安全等级保护工作有利于加强和规范信息安全等级保护管理,提高信息安全保障能力和水平,保障和促进信息化建设健康发展。

(3)3.2 开展网络与信息安全综合防护工作及应急预案(1)严格落实机房管理制度,严格控制机房人员出入;禁止无关人员进入机房,禁止无关设备接入内部网络和系统。(2)各企业应统一互联网出口通道,内部网络的其他个人计算机不得通过任何方式私自与互联网建立网络通道;对网络关键点进行

监控,并对策略进行优化,重点关注端口扫描、网站漏洞攻击、邮件发送等事件;加强防火墙、链路优化器、IDS及DNS等设备的日志管理与安全审计,做好配置定时备份;加强接入环节管理,有效使用防火墙和入侵检测设备;关闭或删除不必要的应用、服务、端口和链接。(3)严格执行信息安全“五禁止”规定。禁止将涉密信息系统接入互联网等公共信息网络;禁止在涉密计算机与非涉密计算机之间交叉使用U盘等移动存储设备;禁止在没有防护措施的情况下将公共信息网络上的数据拷贝到涉密信息系统;禁止涉密计算机、涉密移动存储设备与非涉密计算机、非涉密移动存储设备混用;禁止使用具有无线互联功能的设备处理涉密信息。(4)加强重要管理信息系统的安全监控和管理。企业内外网站按照有关要求加强系统防护措施,在系统方面关闭不必要的进程和端口,消除程序代码方面的漏洞,消除程序代码中的SQL注入和跨站漏洞等代码漏洞,加强网站发布信息的审核,加强监控,发现网站被攻击或被篡改的,马上启动应急预案恢复网站系统;对重要应用系统(包括营销管理系统、财务管理系统等),要加强日常监控和运维管理,及时做好数据的备份工作。(5)加强终端设备的管理,有条件的可实施防病毒、域和桌面管理及PKI/CA管理。对管理信息系统的用户、口令、补丁等进行仔细的检查,杜绝弱口令,及时更新和升级。(6)加强企业员工及网络管理人员安,通过多种形式进行信息安全宣传和教育,明白违规操作产生的危害,规范日常计算机使用操作行为,提高信息安全意识。(7)有针对性地制订网络与信息安全应急单项预案,并落实责任到人。应急预案编制完成后,要组织开展应急演练工作。通过演练,总结经验,对预案进行修改与完善,切实提高应急处置能力。

(4)4 结束语

(5)网络与重要信息系统安全管理是一项任重道远的工作,是系统的、全局的管理问题,网络上的任何一个漏洞都会导致全网的安全问题,应该用系统工程的观点、方法,遵循整体安全性原则,制订安全体系结构,才能真正做到整个系统的安全。

篇7：信息系统安全概述

摘要：随着科技的进步，企业办公信息化、智能化程度显著提升，随之而来的信息安全问题日益突出。企业经营考虑信息化设备创造的利益时，需兼顾互联网开放性造成的风险。针对以上问题，国家严格规范信息系统等级保护工作流程，根据系统的重要性和影响范围划分定级，按照系统级别的不同实施区别化管理。此外，依照信息系统等级保护工作的“三同步”原则（同步规划、同步设计、同步投入运行），在信息系统应用建设的各环节进行标准化管理，规范了信息系统事件的定级、测评、备案、安全整改以及职责等工作标准，同时，明确了检查考核、管理与技术措施，促进供电企业信息专业能力不断提升，充分调动公司各专业的积极性和协调性，有效提高公司信息系统安全管理水平和保护能力。

关键词：信息安全；等级保护；信息系统管理背景简介

通常情况下，企业信息系统管理普遍存在以下问题：（1）信息系统规划阶段侧重于系统功能应用，未提出信息系统安全保护；（2）信息系统设计阶段缺少安全方案的同步设计；（3）信息系统上线运行阶段，未建立安全性测试机制，投运前缺少系统软件恶意代码检测、源代码后门审查、漏洞查找、渗透测试、运行环境测试和等级测评等安全性测评环节。针对以上问题，信息安全等级保护在企业信息系统管理工作中发挥至关重要的作用。信息安全等级保护工作包括定级、备案、安全建设与整改、信息安全等级测评以及信息安全检查五个阶段，覆盖信息系统规划—设计—开发—测试—实施—应用上线与上架—运维的整个生命周期[1]。信息安全等级保护工作的管理思路

根据目前信息系统管理的暴露的缺点，公司将信息系统安全建设作为安全等级保护工作的重点，围绕信息系统应用建设的各个阶段，结合等级保护要求，实现信息系统建设过程的安全管理，有效降低了信息系统上线后的安全隐患，保障了信息系统的安全稳定运行。

2.1 规划阶段

信息系统规划初期，通过建立合理的信息系统安全管理体系、工作要求和工作流程，结合公司实际情况，将系统测评费用纳入其中。

2.2 设计阶段

系统设计阶段，公司要求系统建设部门提交信息系统的安全防护总体方案。对于需要开展安全方案设计的信息系统，在系统定级后，系统建设项目负责部门应组织系统运维单位和系统开发实施单位，根据系统安全防护等级，遵照相关行业信息安全等级保护基本要求和公司信息安全防护总体方案等，制定系统安全防护方案。

2.3 开发阶段

各系统建设部门是信息系统的用户方，必须严格要求系统开发部门遵守相应原则，如使用正版的操作系统、配置强口令、信息系统测试合格正式书等，从而保证系统投运时的实用性和效率。

2.4 测试阶段

系统建设部门组织定级系统，通过具有国家资质的测评机构对系

统进行安全测评，并在当地公安机关网监部门进行定级和备案工作。

2.5 实施阶段和应用上线

各级信息通信职能管理部门，督促检查本单位及下属单位等级保护工作，同时，要求各系统建设部门在信息系统实施阶段，确保系统完成测评整改工作。

2.6 运维阶段

根据“谁主管谁负责，谁运行谁负责”的工作原则，各系统主管部门合理分配部门人员的管理和运维工作，制定所管辖区域的系统安全隐患整改、数据备份以及其他相关安全加固措施。信息系统管理的工作机制

通过信息系统等级保护方案，公司要在系统应用建设全过程中加入安全防护机制，规范信息系统事件的定级、测评、备案、安全整改以及职责等工作标准。此外，为进一步促进等级保护工作的有效执行，公司明确了相应的检查考核管理措施，完善信息系统安全工作的全面管理。

3.1 考评机制

建立相关考评机制。由信息化职能管理部门负责对公司信息专业工作进行标准化管理考评、考核工作，即检查各相关单位网络与信息安全工作的开展情况，并根据上级部门的实时反馈进行整改，从公司信息系统正常运行到信息内外网安全，实施监督和管控，纳入各单位年度绩效指标考核。

3.2 协同机制

成立信息化领导小组及办公室，开展协同控制工作。建立关于信息安全工作的协调机制，明确公司各部门网络与信息安全工作职责，具体负责组织开展信息系统安全等级保护工作，协调、督导信息系统建设部门进行定级、备案、等级测评和安全整改等工作。另外，针对信息系统测评和评估所发现的问题，责任单位制定完善的安全整改方案并认真落实。

3.3 例会机制

例会机制主要通过信息系统等级保护集中工作实现，定期召开信息专业网络安全会议，通过会议通报各单位存在的问题和下一步改进措施。结语

本文提出了一种基于等级保护的信息系统管理工作思路。一方面，从信息系统全生命周期着手，在系统应用建设的各环节加入安全管理工作；另一方面，完善信息系统管理工作机制，通过建立合理的考评机制、协同机制和例会机制，优化系统管理手段。根据以上管理思路，不仅在工作流程上对信息系统进行了安全防护加固，而且制定了相应的管理手段，促进企业信息系统管理工作水平的提升。

参考文献

篇8：光缆传输资源管理信息系统概述

1 系统总体介绍

通过该平台的实施, 为运营商提供一套完善科学的光缆传输资源管理体系, 该体系以光缆资源信息数据库, 基础设施数据库为依托, 以巡检计划为手段, 以信息管理平台为支撑, 代维公司为保障从而实现光缆传输资源管理体系。

1.1 系统总体框架

主要分为业务框架和技术框架, 为简化实施和部署难度以及提高系统易用性和效率, 系统采用目前主流的B/S结构, 数据集中存储, 分布使用, 配合目前GIS应用中最前沿的WebGIS技术做到基础数据统一、空间地理数据统一、空间数据分析统一, 在数据三统一的前提下, 基础数据的一致性、监管的有效性。

其中应用层和存储层提供技术支撑和管理支撑相关业务支持逻辑。

存储层的主要功能是将数据服务层提供的相关数据进行数据整理和数据预处理后, 将合法有效的结构化数据存放于基础设施数据库中, 并对数据进行空间分析整理, 将数据之间的空间逻辑结构保存于SDE空间数据库引擎中, 供WebGIS和空间分析使用。

应用层包含光缆资源管理系统的所有业务逻辑, 系统的主要功能由应用层提供, 其中包含基础信息管理、故障管理、统计报表、基础字典、WebGIS、空间数据、安全管理、系统管理等八个功能模块。

访问层的主要功能是将应用层提供的业务直接展现给最终用户, 提供人机交互接口, 用户可以通过访问层操作相关业务数据;通过手机终端查询部件的基本信息和设计文档等。

系统技术框架服务于系统业务, 对应的也分为四层, 分别是存储层、业务层、服务层、展现层。

存储层负责存储与系统相关的各种数据, 使用DBMS、SDE等技术, 负责将服务层提供的各种数据进行合法性检测、数据清理、格式化、空间信息分离等操作, 并根据数据的不同性质分别将处理后的数据保存于DBMS和SDE中。

业务层负责主要的业务实现和对各种功能的实现提供业务支撑, 技术上包括三个部分业务处理中间件、SDE空间分析、WebGIS内核。业务层的核心是业务处理中间件, SDE空间分析引擎处理过的数据。WebGIS内核主要负责地图数据、空间数据、SDE分析过的数据进行处理, 为展示层提供支持。服务层主要对核心业务和GIS服务封装统一服务接口。展现层相对简单, 对业务层处理过的数据最终在浏览器和手机终端中进行展示服务。

1.2 系统部署

光缆资源管理系统采用集中部署。可部署于联通机房, 平台设置地图服务器、应用/WEB服务器、数据库和SDE服务器、短信网关/接口服务器等。市公司与县区局之间分别通过自身的专用的互联网专线方式接入平台, 平台网络接入配置相关防火墙、路由器、核心交换机等网络设备保障平台网络安全。

2 系统主要功能介绍

光缆资源管理系统分为七大模块:基础信息管理模块、基础数据字典模块、系统管理模块、GIS应用模块、故障管理模块、手机端应用、统计报表模块。

2.1 基础信息管理模块

基础信息管理是对部件的基本信息和设计文档等资料的管理, 主要分为部件查询、部件管理、文档资料管理三部分。

(1) 部件查询。部件信息查询, 查询条件包含部件编码、部件类型、路由、局向、是否割接、是否备用、行政区域、建设时间, 维护及管理责任人等, 并对查询结果统计和导出。

(2) 部件管理。部件管理主要是对这些基本部件的日常维护 (增加、删除、编辑) 。部件按其管理类型分为光缆管理、光纤管理、接头管理、电杆管理、ODF架管理、光交接箱管理、人井管理、标石管理等八类。

(3) 文档资料管理。主要管理部件的设计图纸、工程施工数据, 设备厂商说明书等文档资料。支持格式为CAD, JPG, Excle, Word等。

2.2 基础数据字典

在本系统中为了方便录入和查询提供七种字典分别是局站字典、局向字典、路由字典、部件类型、故障类型、故障级别、行政区域。

2.3 故障管理

故障管理主要是故障工单管理系统, 由线路巡检人员通过该平台上报故障信息, 通过工单系统快速的给设备维护人员下达故障维护工单并短信通知该设备维护责任人员。故障管理分为提交故障、发送故障工单、短信通知三个功能见图1。

2.4 系统管理

系统管理模块提供整个系统的管理、维护以及诊断, 通过这个模块, 可以对整个系统中的各个功能模块、系统运行情况进行诊断以及管理。系统管理分为五个模块分别是部门管理、人员管理、权限管理、角色管理、日志管理。

2.5 统计报表

统计报表分为两大类, 部件统计、故障统计。

2.6 GIS应用

地理信息系统 (Geographic Information Systems, 简称GIS) 是指在计算机软、硬件支持下, 对现实客观世界的各类与地理信息有关的资源及描述这些资源特性的属性数据进行采集、储存、管理、运算、分析、查询、统计等功能的技术系统。在本系统中GIS应用分为查询部件、查询文档资料、查询部件故障、修改部件信息四个模块。

2.7 手机客户端应用

通过在手机端输入查询条件快速的查询部件, 包含故障级别, 故障类型, 故障内容, 处理时限、申告人、设备编号, 处理人 (责任人) , 受理人 (当前登录用户) 等信息。

3 系统应用的意义

随着电信行业的不断发展, 运营商对于辖区内光缆传输资源的统一利用和管理, 优化光缆传输资源, 同时大力推进驻地网“光进铜退”工程。光纤资源管理系统的应用将实现:

(1) 有效监督检查电信基础资源建设情况;

(2) 准确高效的统计资源;

(3) 及时掌握许昌基础通信资源数据。