论文部分内容阅读
【摘要】随着当今科技的发展,我国各企事业单位都在不断的进行业务创新,从而极大的促进了计算机及网络技术在各种业务领域的广泛应用,不论是在服务层面或是管理层面都在逐步与世界接轨。随着综合业务系统等大量的投入使用,计算机及网络风险防范问题日益突出。本文分析了计算机与网络风险的表现形式,针对性的提出对计算机安全管理和风险防范的对策。
【关键词】计算机;网络风险;防范
一、计算机与网络风险的表现形式
计算机及网络风险是指在进行技术创新和实现信息化过程中广泛使用计算机技术、网络通信技术,而计算机、信息系统本身和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。1.硬件风险。硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。2.软件风险。软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作或存在漏洞而带来的风险。(1)软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现文件权限设置不正确、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现错乱、数据信息受损或存在信息泄露风险,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒或恶意人员侵害,就更容易引发风险。软件操作风险。软件操作风险指的是在信息化业务中,由于某些操作人员素质跟不上调整发展的信息化建设的步伐,对推出的硬件设备以及信息化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。
3.信息管理风险。管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。(1)制度风险。所谓制度风险,主要是指在信息化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。若计算机安全管理制度更新不及时则难以适应计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是信息安全类制度的落实情况更是信息化建设中一项薄弱环节。(2)人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。尤其是基层员工素质还不能与先进的管理手段、先进的管理工具的要求相适应,在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
二、计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,有针对性的提出对计算机安全管理和风险防范的对策十分必要。围绕计算机网络风险表现形式,应从硬件、软件、管理几个层面采取措施:
1.硬件方面。(1)改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经相关部门检验验收合格后投入使用。测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁等设备,若有条件可以安装机房整体监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。(2)做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。(3)加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,重要内部网络与国际互联网络要进行逻辑甚至物理隔断,以提高其物理安全性;如确需互连,则应采用防火墙、网闸等安全产品,对进入内部网的数据包进行过滤,以防止有关信息数据在网上被窃听、篡改。
2.软件方面。(1)重视应用软件的开发研制工作。在各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。(2)操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现三权分立,多人管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机冷备甚至热备,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对组织敏感的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
3.信息管理方面。(1)建立信息风险防范组织体系。各级别领导要重视信息安全工作,将信息安全风险防范纳入工作日程。成立信息安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。例如每天早晨的晨会上可以说一些网络安全管理方面的通知以及近期的情况,并且定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“信息安全,人人有责”的良好氛围。
(2)整章建制,落实内控制度。对现有的信息安全管理制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管操作记录。
三、结语
通过对计算机网络系统的风险防范与对策研究,对于网络风险防范的重要性有了极其深刻的认识和理解,同时也对信息化的改革发展有了更好的认识,能够将社会的发展联系在一起,只有在工作业务和社会发展中运用高新科技,才能够使产业的发展更上一层楼。
【关键词】计算机;网络风险;防范
一、计算机与网络风险的表现形式
计算机及网络风险是指在进行技术创新和实现信息化过程中广泛使用计算机技术、网络通信技术,而计算机、信息系统本身和涉及计算机安全管理的制度缺乏有效的科学性、规范性和完善性,潜伏着许多不安全因素而造成的潜在的或已发生的风险。1.硬件风险。硬件风险是指由于计算机及网络设备因各种突发灾害、运行环境或硬件本身及相关元器件的缺陷、故障导致系统不能正常工作而带来的风险。2.软件风险。软件风险是指由于各种程序开发、使用过程中包含的潜在错误导致系统不能正常工作或存在漏洞而带来的风险。(1)软件设计风险。由于应用软件在研制过程中考虑不周或在编制程序时不够严密导致应用软件本身设计不完全,或未经全面测试就投入使用,导致出现文件权限设置不正确、容错能力差、自我防御能力差等缺陷,系统在运行过程中往往会出现错乱、数据信息受损或存在信息泄露风险,更有甚者导致整个系统崩溃。这种应用软件如果一旦遭受病毒或恶意人员侵害,就更容易引发风险。软件操作风险。软件操作风险指的是在信息化业务中,由于某些操作人员素质跟不上调整发展的信息化建设的步伐,对推出的硬件设备以及信息化产品和服务功能不熟悉或风险意识不强等原因所造成的操作过程中出现的风险。
3.信息管理风险。管理风险是指由于管理体制的偏差、管理制度的不完善导致具体管理过程中出现漏洞而给计算机及网络系统带来的额外的风险。(1)制度风险。所谓制度风险,主要是指在信息化业务中,由于制度制定有漏洞或执行不到位所造成的潜在风险。若计算机安全管理制度更新不及时则难以适应计算机及网络形势发展的需要。网络安全运行管理、密码专人管理、操作员管理、数据备份媒体存放管理等制度还有待于进一步完善。尤其是信息安全类制度的落实情况更是信息化建设中一项薄弱环节。(2)人员素质风险。所谓人员素质风险,主要是指因人员素质参差不齐而引发计算机及网络系统的风险。尤其是基层员工素质还不能与先进的管理手段、先进的管理工具的要求相适应,在具体的业务操作中更是无法有效的利用现有的资源。也正因此,人员素质的滞后对计算及网络的安全同样是一个潜在的风险。
二、计算机及网络风险防范的对策
认真分析计算机及网络在实际应用过程中存在的诸多不安全因素,有效防范各类安全事故的发生,有针对性的提出对计算机安全管理和风险防范的对策十分必要。围绕计算机网络风险表现形式,应从硬件、软件、管理几个层面采取措施:
1.硬件方面。(1)改善硬件运行环境。机房建设要按照国家统一颁布的标准进行建设、施工、装修、安装,并经相关部门检验验收合格后投入使用。测量机房周围的磁场强度,装置必要的电磁屏蔽设施。计算机房、配电室、空调间等计算机系统的重要基础设施要视为要害部门严格管理,配备防盗、防火、防水、防雷、防磁等设备,若有条件可以安装机房整体监控系统。定期与电力、电信等部门协调,争取技术支持,保证良好的供电环境和畅通的网络环境。(2)做好设备维护工作。建立对各种计算机及网络设备定期检修、维护制度,并做好检修、维护记录;对突发性的安全事故处理要有应急计划,对主要服务器和网络设备,要指定专人负责,发生故障保证及时修复,从而确保所有设备处于最佳运行状态。(3)加强网络安全防范。增加网络安全的投资,特别是有关网络安全的硬件、软件配备要到位,做好三级备份网络的建设,对网络的信号传输标题进行屏蔽处理。对连入内部网的计算机要安装并及时更新杀毒软件版本,重要内部网络与国际互联网络要进行逻辑甚至物理隔断,以提高其物理安全性;如确需互连,则应采用防火墙、网闸等安全产品,对进入内部网的数据包进行过滤,以防止有关信息数据在网上被窃听、篡改。
2.软件方面。(1)重视应用软件的开发研制工作。在各种应用软件研发过程中,要积极搞好前期调研工作,多方征求基层操作人员的意见,保证设计思路的缜密、周全;编程过程中要对重要数据采用可靠的加密技术,以确保计算机网络和数据传递的完整性和保密性;软件正式投入推广使用前要进行全面的测试,以及时发现并修正软件设计过程中的缺陷。(2)操作风险应作为防范重点来抓。加强操作人员权限和密码管理。对访问数据库的所有用户要科学的分配权限,实现三权分立,多人管理,严禁越权操作,密码强制定期修改,数据输入检查严密,尽量减少人工操作机会;防止非法使用系统资源,指定专人进行系统操作,及时清除各种垃圾文件,对一切操作要有记录,以防误操作损坏软件系统或业务数据;应用系统的运行环境应封闭,防止一般用户非法闯入操作系统,尤其要限制应用终端进行系统操作。做好数据备份,确保数据安全。对运行主要业务系统的服务器及网络设备要做到双机冷备甚至热备,每套系统控制外设的能力要一致,通信控制设备最好能通过电子开关实现自动切换,以减少系统中断运行时间;数据传输、保存过程中对组织敏感的数据信息首先要加密,然后再传输、存储;对数据库本身的安全脆弱问题,更要作相应处理,对数据要进行多重备份、异地异处存放,以便发生类似意外掉电这类不可预见性故障时能提供快速恢复手段,以保证数据信息的完整性。
3.信息管理方面。(1)建立信息风险防范组织体系。各级别领导要重视信息安全工作,将信息安全风险防范纳入工作日程。成立信息安全领导小组,明确权利责任,做好对安全运行领导、检查和监督工作。例如每天早晨的晨会上可以说一些网络安全管理方面的通知以及近期的情况,并且定期召开安全分析会议,研究安全防范技术,找出易发问题的部位和环节,进行重点管理和监督。各相关职能部门要形成合力加大对计算机风险管理力度,并从领导到职工签定层层负责的安全责任状,营造出“信息安全,人人有责”的良好氛围。
(2)整章建制,落实内控制度。对现有的信息安全管理制度进行全面清理,建立健全各项计算机安全管理和防范制度,完善业务的操作规程;加强要害岗位管理,建立和不断补充完善要害岗位人员管理制度;加强内控制度的落实,严禁系统管理人员、网络技术人员、程序开发人员和前台操作人员混岗、代岗或一人多岗,各操作人员必须定期更换密码;业务与非业务用机实行严格分离管理,做到专机专用、专人专管、各负其责,并由专人负责保管操作记录。
三、结语
通过对计算机网络系统的风险防范与对策研究,对于网络风险防范的重要性有了极其深刻的认识和理解,同时也对信息化的改革发展有了更好的认识,能够将社会的发展联系在一起,只有在工作业务和社会发展中运用高新科技,才能够使产业的发展更上一层楼。