发布时间:2023-03-01 16:24:58
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全培训总结样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
摘 要 企业信息化程度发展到一定水平,从防火墙、入侵检测等安全硬件到文档防泄密、行为管理等安全软件,技术上都比较成熟且大部分企业都已实施部分安全项目。但实施安全项目之后并不是高枕无忧,管理是否到位及企业员工安全意识成为企业信息安全的短板,如何从管理角度提高企业的信息安全水平,已成为一个重要的课题。
关键词 信息安全;管理;意识
中图分类号TP39 文献标识码A 文章编号 1674-6708(2012)70-0171-02
从安全软硬件出发,大多安全实施厂家已有较成熟的方案,一旦项目实施完成后,企业往往容易忽略人员意识、IT审计、后续管理等因素对信息安全的影响。本文就如何解决企业信息安全短板,从管理角度进行探讨。
1 管理安全的含义和IT审计的特点
从大的方面来说,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。直接反映到企业来说,就是要通过实施一整套适当的控制措施实现企业各业务系统正常运行,确保安全目标的实现。本文从管理角度探讨企业的信息安全,可以简称为管理安全,它是指建立并有效落实企业规章制度、安全管理规定等,来保证系统安全生存与运行。
企业安全管理的规章制度是否运行有效直接关系到企业安全目标能否保障,在此管理过程中需要引入IT审计。IT审计重点内容之一就是发现信息系统的潜在风险,可以说企业信息中心对潜在的IT风险是比较重视的。IT审计相对技术而言,更多侧重于管理,比如在安全策略方面更侧重于访问授权的控制,以及定期核查是否按相关信息化制度办事,还有就是有无进行过适当的渗透去检验系统的可靠性等。实施IT审计能够提高企业信息系统的安全性,能够客观评价信息系统安全现状。
2 从管理角度看企业中存在的主要信息安全威胁
1)企业日常信息化管理中,会碰到以下一些现象,如:明知计算机病毒无孔不入,却不安装杀毒软件;个人认证的物品(如员工门禁卡)随意借用他人;进入门禁系统之后,对他人尾随不理不问;移动存储介质外借他人,却不知可能造成感染病毒或泄密;打印服务器、扫描服务器等公用电脑临时存放许多信息却不删除。
从上述现象中可以得知,企业员工信息安全意识淡薄会产生较多安全漏洞。据《2011年度中国企业员工信息安全意识调查报告》显示,30%的受访者从来没有接受过信息安全培训,只有30%的企业会进行定期的信息安全培训[1];
2)企业信息安全项目做的深度是与企业信息化发展水平相关的,一般企业会根据本身的信息化水平发展程度分步骤进行。企业初始阶段会通过封USB端口,不配置光驱等形式防止电子文档传播至外界。现阶段已有部分企业关注电子文档防泄密的软件,同时配以相应的制度,从一定程度上能达到预期的效果。项目实施后往往会发现效果难以保持,因为企业缺少相关的信息安全审计人员,在审计工作不到位的情况下,安全软件的审计功能无法体现其价值;
3)企业通过安全软件对电子文档进行管理,在实物管理方面缺乏措施。办公室文印区域是企业信息泄密的源头之一,外单位人员进入企业进行交流时,通常会经过办公室文印区域,员工打印文件后如不及时拿取,容易将技术资料留在在打印机上,给有心之人获取,容易造成泄密。计算机、笔记本等办公设备故障外移送修,送修前未经过审核批准,不对硬盘做处理,上述这些日常办公现象存在着信息安全漏洞[2]。
3 信息安全短板的对策措施——强管理
尽管企业防火墙、防毒墙等安全硬件设施或安全软件都较齐全,但是采取恰当的管理措施也能有效的提高信息安全水平,最终有效地保护企业信息资产。本文总结了以下几种管理方法并加以说明。
1)提高员工安全意识,关键是做好培训。一方面企业信息中心要组织好讲师及培训素材。培训素材可结合生活中的信息安全案例或者通过动画情景介绍等较生动的方式,寓教于乐,让每个企业员工明白数据等无形资产的重要性,理解数据信息安全是企业的生存发展壮大的法宝。在培训方式上,可采用循序渐进的培训方式,不急于求全,可从最基本的启用标准的计算机密码(如大小写字母+数字)、离开座位时使用屏保等开始培养。后续可陆续完善公司规章制度,同时认真落实,要让员工真正懂得防止泄密的办法;
2)通过IT审计严把信息安全管理关。企业做好IT审计,从以下几方面入手:一方面是人才培养,企业审计部门需要引入类似IT审计师的角色,尽管现阶段大部分中小企业未能做到这一点,但可参照国际上通用的认证培训——国际信息系统审计师,把企业信息管理人员送出外培,提高兼职型IT审计人员的技术水平及能力;另一方面是IT审计人员职责要明确,从实践上看,IT审计人员工作内容包括查看企业人员是否按照已有的规章制度进行审批手续、定期将审计报表反馈给高层,监督整改落实的情况及效果验证,使企业自上而下重视信息安全管理;
3)让安全软件的审计功能发挥作用。市场上的电子文档防泄密系统提供日志审计功能。日志系统主要用来跟踪和记录用户对受控文件的操作、记录管理员设定的策略和操作。企业系统管理员要对文件日志、部门日志、计算机日志、申请审批日志等进行定期检查,同时发挥IT审计人员的监督作用,才可让安全软件的审计记录发挥作用;
4)利用刷卡认证方式管理文档输出。办公类信息安全管理方面,涉及到各类业务系统的账户管理、文档输出管理、存储设备管理等。现有企业一般是通过制度约束,但效果不明显,这里结合新的管理方式对文档输出管理进行说明。一般我们不会一直等在打印机旁,没有把打印好的资料及时拿走。而所打印的资料大多是技术图纸、商务合同、计划等资料,让人不经意地看到相关内容及敏感信息。要减少因遗忘而将已输出的文档滞留在文印设备上,可结合IC刷卡认证的方式,企业通过为文印设备配备一些读卡器,只有当刷员工卡时,文档才从文印设备输出,员工可即刻拿走。
总之,企业信息安全是一个多点因素的难题,涉及技术、管理、应用等方面,随着企业信息化的发展,各类信息系统及软件资产不断增多,从管理角度保障信息安全,增强企业员工安全意识,成为企业成长的重中之重。
参考文献
信息安全防护要考虑不同层次的问题。例如网络平台就需要拥有网络节点之间的相互认证以及访问控制;应用平台则需要有针对各个用户的认证以及访问控制,这就需要保证每一个数据的传输的完整性和保密性,当然也需要保证应用系统的可靠性和可用性。一般电力企业主要采用的措施有:
1.1信息安全等级保护
信息安全等级保护是对信息和信息载体按照重要性等级分级别进行保护的一种工作,工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。要积极参与信息安全等级定级评定,及时在当地公安机关进行备案,然后根据对应等级要求,组织好评测,然后开展针对性的防护,从而提供全面的保障。
1.2网络分区和隔离
运用网络设备和网络安全设备将企业网络划分为若干个区域,通过在不同区域实施特定的安全策略实现对区域的防护,保证网络及基础设置稳定正常,保障业务信息安全。
1.3终端安全防护
需要部署(实施)防病毒系统、上网行为管理、主机补丁管理等终端安全防护措施。通过这些安全措施使网络内的终端可以防御各种恶意代码和病毒;可以对互联网访问行为监管,为网络的安全防护管理提供安全保障;可以自动下发操作系统补丁,提高终端的安全性。
2.构建信息安全防护体系
电力企业应充分利用已经成熟的信息安全理论成果,在此基础上在设计出具有可操作性,能兼顾整体性,并且能融合策略、组织、技术以及运行为一体化的信息安全保障体系,从而保障信息安全。
2.1建立科学合理的信息安全策略体系
信息安全策略体系包括信息安全策略、信息安全操作流程、信息安全标准以及规范和多方面的细则,所涉及的基本要素包括信息管理和信息技术这两方面,其覆盖了信息系统的网络层面、物理层面、系统层面以及应用层面这四大层面。
2.2建设先进可靠的信息安全技术防护体系
结合电力企业的特点,在企业内部形成分区、分域、分级、分层的网络环境,然后充分运用防火墙、病毒过滤、入侵防护、单向物理隔离、拒绝服务防护和认证授权等技术进行区域边界防护。通过统一规划,解决系统之间、系统内部网段间边界不清晰,访问控制措施薄弱的问题,对不同等级保护的业务系统分级防护,避免安全要求低的业务系统的威胁影响到安全要求高的业务系统,实现全方位的技术安全防护。同时,还要结合信息机房物流防护、网络准入控制、补丁管理、PKI基础设施、病毒防护、数据库安全防护、终端安全管理和电子文档安全防护等细化的措施,形成覆盖企业全领域的技术防护体系。
2.3设置责权统一的信息安全组织体系
在企业内部设置网络与信息安全领导机构和工作机构,按照“谁主管谁负责,谁运营谁负责”原则,实行统一领导、分级管理。信息安全领导机构由决策层组成,工作机构由各部门管理成员组成。工作机构一般设置在信息管理部门,包含安全管理员、系统管理员、网络管理员和应用管理员,并分配相关安全责任,使信息安全在组织内得以有效管理。
2.4构建全面完善的信息安全管理体系
对于电力企业的信息安全防范来说,单纯的使用技术手段是远远不够的,只有配合管理才能提供有效运营的保障。
2.4.1用制度保证信息安全
企业要建立从指导性到具体性的安全管理框架体系。安全方针是信息安全指导性文件,指明信息安全的发展方向,为信息安全提供管理指导和支持;安全管理办法是对信息安全各方面内容进行管理的方法总述;安全管理流程是在信息安全管理办法的基础上描述各控制流程;安全规范和操作手册则是为用户提供详细使用文档。人是信息安全最活跃的因素,人的行为会直接影响到信息安全保障。所以需要通过加强人员信息安全培训、建立惩罚机制、加大关键岗位员工安全防范力度、加强离岗或调动人员的信息安全审查等措施实现企业工作人员的规范管理,明确员工信息安全责任和义务,避免人为风险。
2.4.3建设时就考虑信息安全
在网络和应用系统建设时,就从生命周期的各阶段统筹考虑信息安全,遵照信息安全和信息化建设“三同步”原则,即“同步规划、同步建设、同步投入运行”。
2.4.4实施信息安全运行保障
主要是以资产管理为基础,风险管理为核心,事件管理为主线,辅以有效的管理、监视与响应功能,构建动态的可信安全运行保障。同时,还需要不断完善应急预案,做好预案演练,可以对信息安全事件进行及时的应急响应和处置。
3.总结
关键词:校园网络、安全维护、病毒防治
前言
目前,许许多多的中职院校都已建成了校园网,教师和学生都很享受着校园网所带来的从备课到发表论坛的种种方便。但是,随着计算机技术迅速发展的同时,计算机病毒也呈现出高速增长的态势,并且传播能力及破坏性越来越强,近年来,网络化病毒开始大肆侵袭,网络已成为计算机病毒快速、方便地传播的第一途径。在当前教育教学深化改革的攻坚时期,校园网络信息的安全维护正在逐渐成为各大院校计算机信息化管理研究的热门课题。
一、校园网络信息安全当前的危机
近几年,全球信息网络安全呈现出一些新特点,主要体现为:网络威胁形式多样,经济利益成为网络攻击的最大驱动力;网络攻击呈现出组织严密化、行为趋利化、目标直接化的趋势。网络欺骗手段进一步升级,黑客不光利用电子邮件和网站进行诈骗,具有“网络钓鱼”性质的病毒也开始出现,勒索软件、网络游戏、网络银行盗号木马等被广泛使用,都充分说明了经济利益已成为网络攻击的最大驱动力。然而,校园网中的计算机数量较多,但使用者的防毒水平参差不齐,管理措施的不到位,都造成校园网中计算机病毒常常肆意横行,干扰系统的正常运行,也造成计算机运行速度变慢、频繁死机,软件不能正常使用等现象,甚至造成数据被破坏、网络及服务器瘫痪等问题,严重影响正常的教学、科研等工作。 可见病毒防范已成为校园网日常管理中的一项非常重要的内容,必须从管理、技术和应急措施三方面互相配合,才能确保校园网的正常工作。
二、管理的改进方略
各大院校应根据学校实际建立病毒防治制度和病毒防治组织,将病毒防治工作落到实处。 然后,建立快速、有效的病毒应急体系,网络病毒不断发展的今天,病毒疫情更加呈现出突发性强、涉及范围广和破坏力高的特点。为了有效降低病毒的危害性,提高对病毒的防治能力,学校的病毒防治组织要注意国家计算机病毒应急处理中心的病毒疫情,以便在爆发病毒疫情时,及时做好预防工作,减少病毒造成的危害。加强网络安全培训:学校根据病毒防治制度,建立二级安全培训课程,采用分级培训,普通网络用户,通过一级安全培训提高安全防范意识,掌握基本的病毒防治技术。网络管理员通过二级培训全面了解掌握针对校园网系统的病毒防治技术和管理方法。建立病毒事故分析制度:对发生的病毒事故,要认真分析原因,找到病毒突破防治制度和防护技术的原因,及时提高病毒防治技术,并对调整后的病毒防治技术进行重新评估。建立系统恢复方案:系统恢复方案是为应急处理服务的,当发生病毒侵害造成网络及服务器瘫痪时,为尽量将病毒造成的损失减少到最低,要尽快恢复系统。系统恢复方案主要包括应急处理时必须到位的技术人员,技术人员在系统恢复中的岗位角色,系统恢复的操作步骤等。
病毒预防是指在病毒尚未入侵或刚刚入侵还未发作时,就进行拦截阻击或立即报警。要做到这一点,首先要清楚病毒的传播途径和寄生场所,然后对可能的传播途径严加防守,对可能的寄生场所实时监控,达到封锁病毒入口,杜绝病毒载体的目的。
数据备份能够有效的降低病毒的破坏性,还可以使受到病毒攻击的关键数据得以恢复。对于应用系统来说没有比数据备份更安全的措施了。网络是一个开放的环境,随时都可能受到硬件、软件、人为或客观因素造成的计算机系统拒绝服务。网络安全具有相对性。数据备份应当是动态备份,如可以采用raid或定时静态备份。进行备份时,为确保数据安全,应使备份数据与主机相分离,将重要数据备份到远程客户机上。
二、技术的防范建议
另外,除了采取必要的病毒防治措施外,我们日常工作中还需要培养良好的技术防范意识:
1:及时为WINDOWS打补丁,方法:打开IE――/工具(T)/――/ Win dows Update(U) / ――并按步骤更新原因:为WINDOWS打补丁是很很重要的,因为许多病毒都是根据WINDOWS的漏洞写出来的。 当然360的修复漏洞更方便,不过刚刚看到有网友说有时候不能及时检查出漏洞,不知道大家有没有遇到过。
2:不浏览不安全的网站,把“INTERNET 安全性 属性”的安全级别调高级。方法:双击IE右下方的小地球,按一下默认级别,向上移动滑块,然后确定。原因:禁止网页使用的控件,它就不能在你背后搞小动作了。说明:有些网页是要使用正常的控件的,比如听歌的看电影的网页等等,这时你得把‘INTERNET 安全性属性’调回中级。
3:下载后和安装软件前一定要杀毒,不明白那是什么东西不要打开他。原因:或许你下载的网站不会放病毒的软件,但不排除它可能被人入侵,然后被放置带病毒的软件,总之安全第一。说明:下载后安装前杀是个好习惯。下载软件最好去官方。华军的软件还经常有捆绑什么的,特别烦。
4:经常更新毒库杀毒。原因:病毒的发展是会不停止的,更新毒库才能杀新的病毒。 所以说啊,不是说装完了个杀毒软件就万事大吉了,不更新病毒库等于没装。
5:不要安装太多的IE的辅佐工具。原因:IE的辅佐工具之间可能有冲突,而且会占用一定的内存。说明:所谓请神容易送神难,在按‘确定’前一定要想清楚。
6:不需要安装太多的杀毒软件。原因:杀毒软件之间也可能有冲突,而且会占用较多的内存。说明:一般来说要‘求精不求多’,通常安装三样功能:防病毒、防火墙、防木马。
7:对电脑认识有一定水平的人可以对电脑的进行手动捡查方法:系统盘中的Autoexec.bat windows中的Msconfig.exe 和注册表中Run启动项说明(如果发现新的加载项目那你就得小心点了)。
8:重要文档不要放在系统盘中,而且要备份好。
9:有能力的可以为系统盘做一个映象文件。如果碰到新的病毒,连杀毒软件也没能为力,只得还原映象了。总结:及时打补丁,经常升毒库杀毒,不要打开不明的连接,上不安全的网站要调高级别,时常查看启动项,不要打开或安装来历不明的文件,做好备份。建个系统盘映象。
四、总结与展望
总之,没有安全保证的校园网络就像没有刹车的车子跑在高速公路上。互联网络的飞速发展,对校园网络中师生的工作和学习已经产生了深远的影响,网络在我们的生活中已经无处不在。但在享受高科技带来的便捷同时,我们需要清醒的认识到,网络安全问题的日益严重也越来越成为现代教育信息化的巨大阻碍。校园网络安全的重要性,已经提升到了必须要统一管理和严密防范的高度。我们校园计算机信息技术人员,只有很好的解决了网络安全问题,才能使未来校园网络的应用才能健康、高速的发展。■
参考文献
1、《计算机网络应用教程》 王洪、魏惠琴等著
2、《计算机网络安全技术》 蔡立军 编
3、《计算机病毒防治百事通》 陈立新 编
1、硬件建设方面
(1)数据中心机房硬件建设
完成中心机房的改装,对机房进行了全面规划设置。机房是网络疏通的纽带,是设备正常工作的保障,是全新信息化的枢纽。机房设置的优劣直接关系到机房内整个信息系统是否能稳定可靠地运行,因此网络信息管理部为了保证各类信息通讯畅通无阻。全面启用服务器、交换机、UPS,对机房设备机柜、交换机、配线架、路由器等进行合理地布局,满足了计算机、服务器等各种微机电子设备对温度、湿度、洁净度、电磁场强度、噪音干扰、安全保安、防漏、电源质量、振动和接地等的要求。对整个机房和服务器进行了定期检查记录,并形成机制。提高了机房管理、应急处理方法。
(2)电脑硬件资源管理
按集团各部门、各分公司需求,规划采购电脑及其相关设备的技术参数,并实施安装调试。同时对集团老旧电脑及相关设备定期巡检维护、维修和升级。通过信息化手段,提高硬件的使用效率,降低办公耗材消耗。
2、软件建设方面
(1)多箭齐发,树立达生集团品牌形象,全面加强企业门户网站建设。为了提高企业知名度,彰显公司实力,我们通过搜索引擎、广告宣传等多种途径加强对公司及网站的推广。
(2)建成内网工作平台。
建成OA内网工作平台,通过OA内网,及时各部室工作动态、领导工作安排等信息,所有的内部文件也均通过OA内网来进行传输,既丰富了内部信息交流手段,提高了信息共享能力,降低了办公消耗,想要跑,先学走,由此可见,信息技术由OA的建立开始功能逐步完善,由简入繁。
(3)完成托管型呼叫中心建设
在传统电话服务的基础上,400电话服务的开通,让传统方式对咨询电话监
控和管理不力的问题迎刃而解。
3、安全体系建设
(1)信息安全自查
安全自查,可以有效的发现我公司信息系统安全建设的不足与漏洞,我们将对这些问题进行归纳总结,提出整改意见,并以次指导今后的信息安全建设工作。
(2)安全管理建设
为防止计算机病毒在局域网内扩散,降低因病毒造成的安全风险,为了加强对计算机病毒的预防和治理,保护计算机信息系统安全,保障计算机的正常快速反应,我们对市场现有的网络版防毒软件逐一调研,选择了适合本公司的瑞星网络版杀毒软件,有效地保证了局域网络间的数据快速准确传送。定期巡检使用情况和升级至最新版。同时,加强信息安全教育,防止因人为原因造成泄密事件。
(3)创新企业网安全管理模式
为防止个别员工电脑感染病毒及木马云,危害整个局域网络的安全,我们网络信息管理部对集团每台电脑进行安全排查时都逐一登记使用人和对应的MAC地址及IP,倘若发现被监控的电脑终端异常、IP数据及流量过大,阻塞网络,影响到其他员工办公,信息部第一时间对照绑定的MAC地址及IP,以确定终端电脑位置,可以快速10秒之内掌握问题终端电脑,为排除网络故障及稳定集团办公环境,做到精准执行。从根本上防止了因为网络阻塞而导致办公受到影响。
(4)故障管理
形成标准故障处理流程和程序,对故障的监控、排除、报告、总结等方面进行管理加强。
4、网络信息化培训及网络安全培训
(1)对信息化管理中高层,网络信息化知识与技能培训,解析管理信息化的误区和正确方法。
(2)网络信息管理部门内部业务和知识模块培训,各种突发、疑难情况处理培训培训。
5、部门管理
(1)充分发动部门每个员工,贡献自己所掌握的企业知识,积少成多,聚沙成塔。充分利用知识成果,提高工作效率,减少重复劳动。依据知识库和技能知识需求安排学习培训计划,随时自我充电,成为学习型团队。
(2)建立IT服务管理体系
1)完善网络管理制度,推出计算机管理制度、信息管理制度IT软硬件采购制度、电脑报损制度、电脑维修单制度、机房管理制度等集团相应制度,加强管理力度,制定办公室设备使用手册,常见故障问题检查及处理流程。
2)量化信息服务指标,故障维修时间,规定不同类型故障问题处理时间,量化考核工作质量。故障评估,正常寿命和常见故障,以及故障次数的正常校准线。
3)提高信息服务水平,定期进行网络运行状况的意见反馈调查,不断学习职业技能,注重积累,工作态度方面做到认真、仔细、热情、周到、增强责任心。树立良好部门形象。
4)十年树木,百年树人,培养人才是长远之计,我会矢志不渝地指引和指导员工职业生涯规划,培养和提升本部门员工综合能力素质;组织部门内部员工培训,提高部门员工技能和业务能力。
今年一年,我部虽然顺利圆满完成了集团分交任务,但由于部门成立时间短,难免存在问题。
首先,由于部门员工比较年轻,经验不足,应变能力不强,对一些工作协调和处理的不够妥当。
其次,对市场调研还不够精准,今后需加强与相关单位的紧密沟通与互访,增强市场预期,更有针对性的工作,开拓思路,勇于创新,将信息化建设推向更高的台阶,使公司的信息化建设走在同行业的前沿,为公司的快速发展奠定基石。
再次,一些项目型系统开发的延期,暴露出了我们缺乏项目管理方面的经验。接下来的工作我们需要有清晰的工作流程、责任更加明确、有序地去运作,还需要制定并逐步完善一些相关的开发规范。
工业控制系统(ICS)是综合运用信息技术、电子技术、通信技术和计算机技术等,对现场设备进行检测控制,实现工业技术生产过程自动化的应用系统。ICS在冶金、电力、石化、水处理、铁路、食品加工等行业,以及军工的航空、航天、船舶、舰艇、潜艇等领域的自动化生产管理系统中都得到了广泛地应用。
1 工业控制系统安全现状
与传统信息系统安全需求不同,ICS设计需要兼顾应用场景与控制管理等多方面因素,并且优先考虑系统的高可用性和业务连续性。鉴于ICS的特定设计理念,缺乏有效的工业安全防御和数据通信保密措施是很多ICS所面临的共同问题。
传统的ICS多为车间/厂区局域网ICS,系统特点包括专有网络、专有操作系统、无以太网络、没有因特网的链接。从网络安全角度,系统是安全的。
现今的ICS开始与互联网或办公网直接/间接互联,形成从控制网到信息网的大系统ICS,系统特点包括以太网无处不在、无线设备、远程配置和监控、Windows和Linux等流行操作系统。从网络安全角度,系统存在巨大安全隐患,很容易被黑客攻击。
2 工业控制系统安全漏洞及风险分析
随着工业信息化进程的快速推进,物联网技术开始在工控领域广泛应用,实现了系统间的协同和信息分享,极大地提高了企业的综合效益。与此同时,暴露在互联网等公共网络中的工业控制系统也必将面临病毒、木马、黑客入侵、拒绝服务等传统的信息安全威胁,而且由于工业控制系统多被应用在电力、交通、石油化工、核工业等国家重要行业中,其安全事故造成的社会影响和经济损失会更为严重。
2.1工业控制系统安全漏洞
工业控制系统安全漏洞包括:策略与规则漏洞、平台漏洞、网络漏洞。
2.1.1 策略与规则漏洞
缺乏工业控制系统的安全策略、缺乏工业控制系统的安全培训与意识培养、缺乏工业控制系统设备安全部署的实施方法、缺乏工业控制系统的安全审计、缺乏针对工业控制系统的配置变更管理。
2.1.2 平台漏洞
平台漏洞包括:平台配置漏洞、平台硬件漏洞、平台软件漏洞、恶意软件攻击。
(1)平台配置漏洞
包括关键配置信息未备份、关键信息未加密存储、没有采用口令或口令不满足长度和复杂度要求、口令泄露等。
(2)平台硬件漏洞
包括关键系统缺乏物理防护、未授权的用户能够物理访问设备、对工业控制系统不安全的远程访问。
(3)平台软件漏洞
包括拒绝服务攻击(DOS攻击)、采用不安全的工控协议、采用明文传输、未安装入侵检测系统与防护软件等。
(4)恶意软件攻击
包括未安装防病毒软件等。
2.1.3 网络漏洞
(1)网络配置漏洞
包括有缺陷的网络安全架构、口令在传输过程中未加密、未采取细粒度的访问控制策略、安全设备配置不当。
(2)网络硬件漏洞
包括网络设备的物理防护不充分、未采取有效的措施保护物理端口、关键网络设备未备份。
(3)网络边界漏洞
包括未定义网络安全边界、未部署防火墙或配置不当、未采取信息流向控制措施。
2.2 工业控制系统安全风险分析
电力故障、自然灾害、软硬件故障、黑客攻击、恶意代码都会对ICS系统产生影响。其中,电力故障、自然灾害和软/硬件故障,属于信息安全范畴之外,而非法操作、恶意代码和黑客攻击作为信息安全威胁的主要形式,往往很难被发现或控制,对ICS网络安全运行的威胁和影响也最大。
(1)利用USB协议漏洞在U盘中植入恶意代码
U盘内部结构:U盘由芯片控制器和闪存两部分组成,芯片控制器负责与PC的通讯和识别,闪存用来做数据存储;闪存中有一部分区域用来存放U盘的固件,控制软硬件交互,固件无法通过普通手段进行读取。
USB协议漏洞:USB设备设计标准并不是USB设备具备唯一的物理特性进行身份验证,而是允许一个USB设备具有多个输入输出设备的特征。
这样就可以通过U盘固件逆向重新编程,将U盘进行伪装,伪装成一个USB键盘,并通过虚拟键盘输入集成到U盘固件中的恶意代码而进行攻击。
(2)利用组态软件数据库漏洞进行攻击
ICS系统采用的组态软件,缺乏安全防护措施,往往公开访问其实时数据库的途径,以方便用户进行二次开发,从而可利用此漏洞,远程/本地访问数据库,获取全部数据库变量,选取关键数据进行访问并篡改,从而达到攻击目的。
2.3 工业控制系统信息安全风险总结
病毒:可引起工控设备或网络故障,破坏生产过程数据或影响网络正常服务,如蠕虫病毒等。
缓冲区溢出攻击:利用设计漏洞进行的攻击。
拒绝服务攻击:恶意造成拒绝服务,造成目标系统无法正常工作或瘫痪,或造成网络阻塞。
网络嗅探:可捕获主机所在网络的所有数据包,一旦被恶意利用,获取了目标主机的关键信息则可对目标主机实施进一步攻击。
IP欺骗:可通过技术手段利用TCP/IP协议缺陷,伪装成被信任主机,使用被信任主机的源地址与目标主机进行会话,在目标主机不知的情况下实施欺骗行为。
口令破解:攻击者若通过一定手段取得用户口令,提升权限进入目标系统,对目标主机进行完全控制。
3 工业控制系统安全检查
3.1 检查对象
包括工艺、工程分析、控制系统信息安全后果分析、安全防护能力分析等。
3.2 检测方式
包括访谈、现场测试、离线测试、测试床或另外搭建测试环境测试。
3.3 检测内容
应包括信息流转过程中遇到的一切链路、设备(硬件程序、模块组件)、人员等。
管理检查需要准备的资料:信息安全相关管理制度和安全策略;设备保密管理制度;系统运行管理制度、产品供应商(或者商)、系统集成商等提供的资质证明、授权证明、合格证书等。
技术检查需要准备的资料:招标合同技术规格书;详细设备清单;设备配置及使用说明;网络拓扑图;输入输出端口信息;DNC服务器配置及使用说明;设备的连接说明、功能说明、操作手册。
运维检查需要准备的资料:运行维护管理制度、访问控制端口设置情况记录、运行维护报告、应急预案方案、应急演练记录。
3.4 检测重点
重点检查输入输出端口使用、设备安全配置、运维安全措施的落实情况,同时检查资产管理情况,访问控制策略、备份及应急管理等方面。
4 结束语
通过上面的分析与研究,工业控制系统还存在许多的漏洞和安全风险,只有充分认识到这些漏洞,才能利用信息安全手段不断的处置这些漏洞,使风险降到最低。同时我们应该认识到,工业控制系统信息安全技术是一门不断深入发展的技术,随着工业控制系统广泛应用和不断发展,其信息安全必将面临更加严峻的挑战,随之信息安全技术的研究也必将快速推进。
台湾的媒体实习申请
相对于大陆的自我寻找加学校随机安排相结合模式,台湾高校学生的媒体实习一般由学生向学院提出实习计划和实习意向等,然后由学院助教一一与学生意向中的媒体及相关部门联系,确定实习接收。当然也可能出现学生第一意向单位不同意接收的情况,则助教与学生协商后,继续联系第二意向单位甚至第三意向单位,直至最终确定。这种学院负责制的实习,保证了学生公平实习的机会,避免了盲目实习的情况。更重要的是蕴含其中的民主精神——由学生自己提出实习意向,决定何时实习及实习单位等。
而笔者实习的缘起则有别于上述程序,当时正值台湾中华电视公司①(以下简称“华视”)推出“产学合作实习计划”项目之际,笔者即经由学院推荐,华视面试录取。
业务部之公共服务部实习经历
笔者申请的是业务部的实习岗位,华视对业务部的实习工作描述如下:1.业务项目企划制作;2.客户提案技巧及简报能力;3.AGB尼尔森收视调查使用及分析;4.实际客户及广告商拜访;5.专题采访及制作;6.非线剪辑、过音及串带。经过协商后,笔者实际进入的是公共服务部——业务部下设的一个部门。
实际上,业务部相当于大陆媒体的广告部,主要是售卖台内广告时段,公共服务部则主要做媒体集中采购案——这是很有台湾特色的一个部门,涉及到两岸媒体的体制问题:在大陆,绝大多数媒体都是“事业单位,企业化管理”,所有权归国有,其主要盈利模式是靠广告;但是台湾的媒体开放私有,因此华视的后缀是“公司”,他们会像公司一样进行商业活动来增加营收。因此,公共服务部其实是做公部门服务,举凡采购、活动、公关等活动都属于其业务范畴。华视的公共服务部共7个人,每个人都有自己负责的案件和主要面向的公部门,但是遇到比较大的案件时,也会两三个人合作共同负责,业务分工比较灵活。
在两个月的实习中,笔者共到岗121个小时,不仅要完成日常的工作任务,如政府媒体采购案之媒体资料整理,每日报纸相关报道存档,宣传影片审查,采购公告及标案分类及总结等,还会做一些特定服务部门如国民健康局关注议题及宣导方式调查总结等,并提出该部门的媒体宣导案策划案。此外,台湾媒体主管对实习生相对比较重视,他们会根据实习生的实习计划有针对性地安排培训。笔者在这两个月中,曾参加过数次内部培训课程,包括网络安全培训、office2010、office2013使用技能培训等;主管还特地安排笔者到尼尔森上课,学习arianna媒体收视率监测软件的使用,到广告拍摄片场全程跟踪广告拍摄,到录音公司体验广告声音录制过程,以及到节目组跟综艺节目的拍摄。在此过程中,笔者深入接触了媒体内容制作的后台,增长了见识,也积累了很多实用的技术。
台湾媒体印象
1.简单而不落后
初入华视,笔者被其低调和略显陈旧的外观和设施所惊讶。于1995年12月启用的华视大楼高不到10层(地下3层),各楼层的办公室简单朴实,与大陆很多媒体的奢华办公场所简直不可同日而语。但是这并不表示他们的落后,华视的摄影棚及虚拟影像中心都采用了较先进的技术,制作的节目也都有较大的影响力,这也是很多台湾媒体的普遍特征。
2.氛围轻松,工作却不轻松
办公室的氛围很轻松,两边各有一台电视,员工可随时开启电视观看节目。员工的着装也很休闲,除非外出拜访客户,平日都是随意穿着。同事间闲暇时常嬉笑打闹,休息日还会一起约健身运动等。另外,每天下午的饮料是必不可少的,手摇冰文化深入到了台湾的每一个角落。在轻松的氛围之中,他们的工作却不轻松。在刚进入公共服务部的前两个星期,笔者经历了同事们的炼狱式加班。当时正应对一个大的标案,几乎所有人都是加班到晚上12点以后才回家,甚至还有通宵加班第二天小睡一会继续工作的情况。而这种情况并不少见,每逢时限较短而数目较大的标案时,部门就会出现连续加班的情况。
3.内部培训频繁且实用
华视每两周都会有一次公司内部员工培训,课程组织部门要求各部门同事尽量参加但并不强制。培训的内容实际且实用,包括笔者参加过的网络安全培训——告诉我们在互联网使用中如何保护隐私、保护账号和个人信息安全,从而更好地维护公司机密和信息安全;office2010使用课程、office2013使用课程——讲解office日常办公软件word、excel、powerpoint等的使用技巧,提高办公效率;以及奥美公关公司提供的公关活动策划技巧培训等。这些课程都是根据同事们的实际需求而设置的,对于提高自身的技能和工作效率很有帮助,只要有时间,员工都会尽量参加。
4.台湾媒体乱象
实习期间,因为工作要求整理了台湾几乎所有媒体的资料,并每日阅读几份报纸,收看实时新闻节目。耳濡目染一段时间之后,笔者对台湾的媒体现状及其风格也有了总体的印象。
从媒体本身来说,台湾可以说是世界上媒体密度最高的地区之一。从数量上来看,共30多家全台性报纸、100多家电视台、60多份杂志(根据媒介资料整理情况),但是除了比较有影响力的前几名的媒体之外,大部分媒体实力都比较单薄。其中,《中国时报》、《联合报》、《自由时报》、《苹果日报》为台湾四大报。尼尔森2012年第三季媒体调查中,《苹果日报》阅读率居全台报纸第一。而电视台当中,东森、台视、中视、TVBS等是目前比较有影响力的媒体。杂志当中,月发行数量达到10万册以上的主要有《天下杂志》、《商业周刊》、《管理杂志》、《财讯》等财经杂志,《壹周刊》、《时报周刊》、《TVBS周刊》 等新闻娱乐类杂志,以及《空中英语教室》、《大家说英语》等语言学习类杂志。
从内容上来看,台湾媒体的娱乐化倾向严重,尤其是新闻媒体的娱乐化。台湾的新闻报道给我的总体印象,用几个词形容就是娱乐化、浮躁、喧哗和聚微。浮躁和喧哗是娱乐化的衍生特质,台湾的电视新闻总是无休止地播放政治人物、演艺圈艺人的八卦和各种杀人案件,在形式上则善用花哨的字幕、标注、精彩模拟画面等,主持人的语速很快,语调相对高亢,与大陆严肃、正规的新闻报道相去甚远。报纸则善用大标题、图片等博取眼球,比如在报道财税政策不合理,导致每年多收一部分税收时,有报纸用十份便当来等量这些多收的费用,并切实画了整整十份便当。聚微则是台湾媒体的报道内容倾向于细微的琐事,而很少有国际视野和全局观念,甚至中学生因和女明星陈妍希同名而获赠签名专辑的事,也能成为各大媒体大幅报道的热点。
另外一方面,台湾媒体对政府及其公务人员的监督和问责十分严格,不得不说为社会做出了积极贡献。这种无所不在的监督,让公务人员更加自律,其监督力度、监督热忱和监督方式都很值得大陆媒体学习借鉴。
注释:
关键词:基层银行;信息系统安全;规划设计;实施
中图分类号:TP311.52
1 基层银行的信息系统遇到的主要安全威胁
由于银行的信息系统建设一直在不断地向纵深处发展,银行已经全面地进入了其业务的系统整合与数据集中的全新发展阶段。这种集约化经营数据不断集中的趋势,从一方面来讲是适应银行业务不断发展的要求,但是从另一方面来讲,却使银行信息系统的安全风险也集中起来,增加了安全的隐患。具体来讲基层银行信息系统的安全隐患主要包括互联网风险和外部机构风险以及不信任网络风险和结构内部风险,同时还包括灾难性的风险等五种安全隐患。
2 基层银行的信息系统安全规划设计与实施的主要原则和等级划分
2.1 基层银行的信息系统安全规划设计与实施的主要原则
银行的信息系统安全是一个涉及到规划与管理以及技术等很多因素的具有系统性的工程,其属于一种不断持续发展和动态发展的进程。对于基层银行的信息系统安全规划设计与实施来说。技术是实现安全保障的主体性因素,而管理是具备安全保障的灵魂性因素。在安全规划与设计中,只有把具有科学性与合理性的管理贯彻落实在信息安全的维护之中,才能够实现网络安全在稳定性与长期性方面的保证。而银行信息系统安全的具体原则主要包括了明确责任与安全保护并举,依照标准和自行保护同时进行,同步建设与动态调整相互促进,指导监督和重点保护齐头并进四条原则。
2.2 关于基层银行的信息系统安全等级的介绍
银行信息系统的安全等级具体指的是对于国家级别的秘密信息和法人以及替他组织和公民专有的信息与公开的信息,同时还包括存储和传输以及处理此类信息涉及到的信息系统的等级,对这些等级实施安全保护,对信息系统里面使用到的信息安全类产品进行一定安全等级的管理,对于信息系统里面出现的信息安全类事件需要分等级地进行回应和处置。依据信息系统和信息对于国家的安全和经济建设以及社会生活所起作用的重要性,在其遭到破坏以后就国家安全和社会秩序以及公共利益和公民,还包括法人以及其他各种组织在合法权益方面的危害性来讲,针对相关信息保密程度和完整程度以及实用性要求和信息系统所要达到的基本性安全保护的水准等因素,笔者总结出信息系统安全保护的五个等级:第一个等级是自主保护,第二个等级是指导保护,第三个等级是监督保护,第四个等级是强制保护,第五个等级是专控保护。
2.3 银行信息系统安全等级的评估
在对银行信息系统安全等级考量需要考虑到以下几个因素:第一个因素是安全系统的类型,也就是信息系统安全利益的主体。第二个因素是信息系统所要处理业务信息的类别。第三个因素是信息系统服务的范围,主要包括了其服务的对象与服务网络所涉及到的范围。第四个因素是信息系统业务依赖的程度,也就是手工作业可以替代信息系统进行业务处理的程度。
3 基层银行的信息系统安全设计规划和实施的主要内容
3.1 基层银行信息系统的安全体系和特点
基层银行信息的安全体系主要包含安全管理的体系与安全技术的体系,这两者对于银行信息系统安全维护来说,是两个不能分割的部分,通常情况下的技术与管理需要相互之间提供一定的支撑,以此来确保两种功能的有效实现。对安全管理的体系进行构建,其主要是出于信息系统里面各种角色的管理。以一种管理体系文档化的形式,监督和控制各种角色的种种活动,主要是在系统通常运行的维护工作过程中,主要涉及到各种政策和制度以及规范和流程,同时还包括日志方面的监督与控制。这种安全管理体系的组成部分通常分为五个部分,主要是安全管理的组织与人员的安全管理,系统建设的安全管理,系统运维的安全管理以及安全审计的管理。就安全技术的体系来讲,其主要功能是对信息系统提供技术安全类的机制设施,其实现形式是信息系统里面部署相应的软件与硬件,同时对其以正确的形式配置系统的安全功能,以此来实现。安全技术的体系组成部分也是五个部分,主要包括基础设施的安全和网络安全以及主机安全和应用安全,同时还有数据的安全。
3.2 基层银行的信息系统安全建设的方法论
依据国家标准的ISO17799/ISO27001中的信息安全维护的管理标准建立起信息安全的管理体系,其具体内容主要包括以下几个方面:
(1)计划,也就是建立ISMS,对于ISMS的相关政策和控制的措施以及过程与流程实施和操作等。
(2)执行,其主要是指实施和执行ISMS,对ISMS政策与控制措施以及过程和流程的实施和操作等。
(3)查核,其主要是指监督和审查ISMS,依照ISMS政策和目标及其实际的经验,用来评鉴和测量其过程的绩效,同时把评鉴与测量的结果回馈给相应的管理层,让其审查。
(4)行动,其主要指的是维持和改进ISMS,依照内部的ISMS稽核和管理层的审查以及其他相应信息的结果采取对应的校正和预防性措施,以便实现信息安全的管理系统的持续性改进。
3.3 基层银行的信息系统安全规划实施的主要内容
基层银行的信息系统安全规划实施的主要内容包括以下几个方面:
(1)信息安全的组织建设。其主要是指在组织的内部建立起跨部门式信息安全的协调与沟通的机制,为的是实现组织内的信息安全管理,同时能够识别和外部组织有关连的一类风险,对信息安全的职责进行定义与分配,对于信息安全的工作进行定期评审。另外需要建立起专门负责信息安全的管理委员会,不断地推动信息安全的规划与实施,主要出发点是组织架构层面,此机构主要负责以下事项:对信息系统的安全保障的体系建设进行有力推动;周期性地评估与识别信息系统的安全保障体系;对商业秘密与技术秘密进行保护,对企业的利益进行维护;制定出合适的信息系统安全性发展策略,以此来提高银行抵御风险的能力。
(2)对于从业人员的安全管理。其主要是指对全体员工要加强安全防范的意识培养,加强与信息安全相关的管理知识的宣传与普及,对各项安全管理的制度要积极地落实,集合全体员工的力量促进银行信息的安全保障。人员的安全管理实现形式主要是教育和培训,期培训的方式主要分为三种,其一是涉及到管理层的安全意识的教育,此举主要是针对管理层安全意识的教育和培训,帮助其了解国家信息安全的政策,同时提高其认识,进而能够指导好安全建设的工作。其二是技术人员的安全技能类培训,此举主要是让其学习更多的安全管理的理论性与技术性知识,以便其可以有效地掌握相关安全管理的理念,掌握好安全产品的操作与维护以及对于安全事件的处理能力,对信息系统安全进行较好的维护。其三是普通员工安全意识的培养,此举针对的是广大的信息系统的用户,对其进行安全培训,以此来增强其安全防范的意识,发挥集体的力量来维护系统安全。
(3)对于系统建设的管理,其主要是指信息安全要针对信息系统的集成项目和软件开发的项目,对这些项目进行相应的安全需求的分析与规划,对于系统的开发需要对输入的数据验证和处理过程信息的完整性以及输出数据进行确认,此举是为了预防应用系统的信息丢失和错误以及未授权信息的修改与误用。其主要的保护手段是加密。
(4)对于系统运维的管理,其主要是指对信息系统日常操作与维护的管理要加强。逐步地建立与完善相关文档化操作的流程和相应规范变更的管理流程。同时实行职责分离和分离开发以及测试和生产环境,对于第三方的服务交付需要提出相应的要求,以便确保其所提供服务符合相关协议要求。在系统的规划方面,需要对未来容量与性能要求进行考虑,同时还要对相关项目建设进行验收,验收时要依照具体标准。对于数据备份的策略制定方面,需要确保相关信息的实用性与完整性。此外还包括对于移动介质使用和处置方式的控制与管理。在与外部的组织进行信息交换时要确保其安全性能。此外还包括对于系统运行的监控与管理系统的日志记录工作和审核工作等。
(5)对于安全审计的管理,其主要的措施是建立起相关信息安全事故的报告流程和确保运用有效和持久的手段进行安全事故的管理。为了对信息系统符合相关法律规定进行确定,需要定期地进行相关信息安全的检查工作和及时地发现安全隐患,同时要坚持改进。
(6)有关基础设施的安全,其主要指的是机房环境与设备实体安全的保护,以防基础设施出现非法使用和物理性破坏以及被偷盗的情况发生,并且要保障这些设备正常运行时需要的电源和温度以及湿度和防水,同时还包括防尘等。技术设施的安全规划主要包括以下内容:中心机房与及其基础的设施的环境建设需要做好,具有防雷电的完整设施,同时还包括防电磁干扰的设施完备。主机房的电源需要设置双回路的备份机制等。
(7)对于信息系统中涉及到的网络安全问题。网络安全主要是以硬件和软件等形式实现数据和语音以及图像和传真网络传输时的安全保障,对安全域与安全区间的网络通讯私密性与完整性以及可靠性要进行提高。网络安全规划的主要内容包括:建立与完善网络防火墙的安全体系建设,对安全区域实行隔离,对网络安全的策略进行强化,监控和审计网络的访问,以防内部信息出现外泄情形。其具体措施包括以下几个方面:其一是对IIPS入侵的检测系统进行建立和完善,以特定检测技术来识别各种恶意攻击行为,同时及时的对其攻击行为进行阻断,以确保网络的安全;其二是运用VLAN对网络进行划分,对于不同的网络安全区域进行隔离;其三是以物理级和网络级以及系统级等认证手段对网络用户的访问权限实时控制,以便确认出使用者权限及其身份。其四是对于网络日志进行管理的记录,以此来保证网络安全具有审计性。其五是以SSL的安全联结机制来保证外部WEB的链接安全,比如说网上银行等。
(8)基层银行安全信息系统规划中涉及到主机的安全,主机系统安全的目标是对主机平台的系统优质高效的运行进行保障,以防主机系统会遭受到外部与内部破坏或者滥用,同时避免与降低因为主机系统问题而造成的影响,主要针对的是业务系统,另外还需要对访问的控制与安全审计进行协助应用。其主要规划内容包括对主机系统的安全管理进行完善,对账户系统的管理要严格化,对系统服务要实现有效控制,对系统安全配置进行优化。
4 结束语
通过上述分析,我们可以看到现带信息技术给人们生活带便利的同时,也给基层银行信息系统的安全设计规划和实施带来了挑战,本文提出了一些相应的举措,但是还远远不够,还需要在安全实践中不断摸索,不断改进,不断适应新的银行信息风险,保障银行信息系统的安全运行。
参考文献:
[1]邱安生.商业银行信息系统安全保障体系的设计和实现[D].电子科技大学,2011.
[2]傅志勇.国家开发银行企业银行信息系统安全解决方案设计与实现[D].山东大学,2008.
[3]赵立洋.商业银行信息系统安全审计问题研究[D].天津财经大学,2009.
[4]龙延军.国家开发银行信息系统安全总体方案设计[D].四川大学,2004.
[5]高朝勤.信息系统等级保护中的多级安全技术研究[D].北京工业大学,2012.
[6]刘嘉.基于综合判定分析的信息系统安全检验技术研究[D].北京邮电大学,2011.
[7]杨峰.商业银行IT风险识别与评估研究[D].电子科技大学,2012.
信息化建设是将具体办公业务与计算机信息平台相结合,充分发挥信息技术高效、稳定、安全的特性,提升办公效率的重要手段。办公信息化能够有效节约人力成本、优化办公流程,同时,国家管理层能够根据实时数据,进行数据分析,为政府制定相应政策提供更为科学和有效的数据。因此,无论是从办公信息化的具体应用单位和机构分析,还是国家管理角度来看,办公信息化建设都有着重要的意义。总之,办公环境的信息化、自动化、“无纸化”建设是未来办公环境发展的大趋势。
二、计算机办公系统常见问题分析
(一)办公系统操作人员计算机应用水平欠缺。信息技术在办公“无纸化”和自动化方面发挥着越来越重要的作用,从通用性质的Office类办公软件到独具业务特色办公软件的应用,无论是在办公效率,还是办公资源的利用率方面都有了很大的提升。在信息技术应用过程中,往往容易出现一些常见的应用问题,操作人员应用水平欠缺是办公系统应用过程中较为突出的问题,主要表现在对于办公系统操作的生疏性以及不合理性。生疏性是缺乏基本的计算机操作能力,对于计算机工作流程不了解造成的,这种情况在一些年长的工作人员中表现比较突出;不合理性主要是不能按照规范的操作步骤进行相关工作的展开,造成软硬件的损坏和不完整性。
(二)办公系统维护的缺失。办公系统维护的缺失也是信息技术应用时容易出现的问题,办公系统稳定持久运行需要提供一定的软硬件环境,而一些办公人员往往缺乏必要的系统维护知识,造成了办公数据丢失、办公系统运行环境的不稳定,严重的甚至造成计算机硬件的损害,进而导致后续工作不可持续性。办公系统维护主要体现在两个方面,即系统运行环境的维护以及软件维护。系统运行环境的维护包括定期清理不必要的系统垃圾,对于系统漏洞进行及时的更新打补丁、系统的定期备份修复等内容,而软件维护则更侧重于保障办公软件各类组件的完整性、办公数据的定期备份还原,软件的升级等方面的内容。办公系统维护工作的缺失,使得硬件的使用寿命和软件运行的稳定性方面都出现了诸多的问题。
(三)具体的办公业务引起的一些问题。办公系统常见问题除了必要的计算机基础知识以外,具体的办公业务也容易引起一些问题。各个单位都有自身的具体业务,不同单位业务的差异性非常明显,而专业的计算机维护人员往往仅仅局限于对于计算机运行环境保障,一旦出现了具体业务办公的逻辑错误,系统维护人员便不能发挥应有的作用,需要具有一定业务基础的工作人员进行相应问题的解决。这种现象尤其在一些特殊行业表现非常明显,如,医疗卫生、金融、审计系统等。可见,办公系统常见问题不仅仅局限于技术性的问题,还包括具体业务问题。
(四)计算机信息安全问题。信息安全问题也是办公系统容易出现的问题。信息安全包括数据完整性和数据安全性两方面的内容。信息安全问题往往给行业带来巨大的损失,尤其是一些的机构,如银行办公系统,通常都对计算机安全操作有着较高的要求。一些办公人员往往意识不到信息安全的重要性,不能有效运用防火墙技术、杀毒软件等安全措施进行系统保护,一旦造成数据丢失或者数据破坏,容易给工作造成严重影响。可见,计算机信息安全问题也是计算机办公常见的问题。
三、计算机办公系统常见问题的解决策略
(一)提升办公人员计算机应用水平。计算机办公系统常见问题的解决,首先应加强办公人员的计算机应用水平。一方面,应努力提升办公人员的计算机理论水平,使其能够形成一定的计算机系统规范运用意识,并能够熟知基础的计算机办公流程;另一方面,应提升办公人员的软件操作能力,通过培训、实际操作等形式,加强办公软件运用的熟练度,努力克服办公人员对于信息平台运用的陌生感,树立计算机应用的自信心,实现办公人员对于计算机办公系统熟练、科学、有效的运用,进一步提升办公自动化水平。总之,提升办公人员计算机应用水平是解决计算机办公问题最为重要的内容之一。
(二)提升计算机办公系统的维护水平。掌握必要的计算机维护技能也是应对办公信息化问题的重要方面。随着办公自动化水平的不断提升,一些业务性较强的办公软件的运行往往需要一定的运行环境,如对数据库的要求、对于系统组件(如windows操作系统的.netframework组件)的要求、网络环境的要求等。因此,办公人员应具备一定的系统维护能力,能够进行操作系统和软件数据定期的备份、冗余数据的清理、系统补丁的安装以及办公软件的升级维护等工作,一旦出现了系统瘫痪等问题能够有效进行解决。需要提及的是,一些系统补丁、系统漏洞的修复和系统垃圾清理工作,应作为办公软件系统的日常维护工作及时展开,从而有效保障系统运行的稳定性和持续性。
(三)提升计算机信息安全意识和安全操作水平。为了应对信息安全带来的办公系统问题,提升办公人员的安全意识以及安全操作水平非常重要。通过定期的安全培训,使得办公人员能够意识到信息安全的重要性,能够了解基本的路由器、防火墙技术、交换机以及安全软件的理论知识;同时还应在办公人员安全操作方面进行加强,确保办公系统数据在传输、操作以及备份时的可靠性,隔离不安全的软件数据,不必要的系统端口进行关闭等。当然,一些有条件的机构和单位还可以加强与信息安全机构的合作,通过定期的系统安全监测、维护保障办公软硬件系统的安全稳定性。
(四)加强办公人员业务理论的学习。一些办公软件的应用问题还可能是由于具体业务知识的欠缺导致的。因此,除了必要的计算机理论和软件操作能力的加强,还应不断提升办公人员具体的业务理论水平,使得办公人员能够将具体的理论业务工作步骤,同计算机数字化处理环节相对应,对于一些由于业务产生的逻辑错误,能够准确判断、分析,并进行有效的改正。可见,利用计算机解决具体业务问题方面,应努力提升办公人员业务理论水平,对于业务处理过程的电子化、信息化能够有一定的认识,切实保障计算机办公效率的提升。
(五)根据工作需求制定相应的计算机管理操作规范。除了上述的解决策略以外,办公人员应根据实际工作经验制定相应的计算机管理操作规范。一方面,后续的工作人员能够根据操作管理规范较快的熟知办公软件的应用操作,减少由于“熟悉”软件的过程造成的时间和精力的浪费;另一方面,计算机管理操作规范是根据办公人员长期的工作经验和工作需求制定的,是较为科学和合理的操作行为的总结,能够将不必要的办公应用问题尽可能减少,对于避免办公系统的常见错误也是非常有效的。因此,加强相应管理规范内容的制定,也是应对办公系统问题的有效措施。
四、结语
由于办公人员计算机操作水平等因素的限制,使得办公人员在进行计算机办公系统应用时,出现了一些问题。本文就常见的一些办公系统应用时的问题进行分析,并给出相应的解决思路,为提升办公人员计算机办公应用水平,充分发挥信息技术高效、安全等特性给出一定参考。
作者:孙小梅 单位:平泉县黄土梁子中心卫生
参考文献:
[1]王煜.计算机办公系统常见问题和解决对策[J].中国科技信息,2014,8:128~129
[2]李波.计算机办公系统的若干问题及解决策略[J].计算机光盘软件与应用,2014,9:118~120
