信息安全工程監(jiān)理范文

時間:2023-10-24 17:38:57

導語:如何才能寫好一篇信息安全工程監(jiān)理,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務(wù)員之家整理的十篇范文,供你借鑒。

信息安全工程監(jiān)理

篇1

關(guān)鍵詞:信息安全工程;理論;規(guī)范信息

隨著信息時代的到來,給人們生活帶來了方便,還帶來了許多商機,同時各方面的隱患合危險也增加,黑客的攻擊也已經(jīng)逐漸的滲入到了政府機關(guān)、軍事部門和商業(yè)企業(yè)等各個角落當中,給人們的日常生活造成了嚴重的干擾,對國家經(jīng)濟也造成了非常大的損失,嚴重的話還會對國家的安全造成嚴重的威脅。現(xiàn)階段的情況是,大部分企事業(yè)單位都在遭受到攻擊之后,再進行全方面的防護,然后非常迷茫的等待下一次攻擊的到來。網(wǎng)絡(luò)信息的安全不僅僅是技術(shù)方面的問題,也是必須要將策略和管理以及技術(shù)進行的有機結(jié)合的一個非常重要的過程。

1信息工程的安全理念

信息安全不僅是一項非常絕對的技術(shù),也是一項非常復(fù)雜的系統(tǒng)性工程,這些主要指的就是信息安全的工程。其主要利用工程的概念、原理和技術(shù)以及方法,然后來對企業(yè)的信息和網(wǎng)絡(luò)系統(tǒng)安全的過程進行深入的研究、開發(fā)和實施以及維護,并且必須要經(jīng)過長期的考驗和證明,才能夠明確工程實施的流程和管理的技術(shù),信息安全的工程當中的生命周期的模型,也是信息安全工程學當中的一個落腳點和支撐點,并且也是在信息安全工程學中進行重點研究的一項技術(shù)。作為一個信息時代的先導和主角,Internet不僅僅是一個讓計算機連接起來的一個非常簡單的組合體。所以,也可以說In-ternet是人類社會在數(shù)字空間中的一個投影。這樣的事實都會導致Internet的某些行為的非常異常并且復(fù)雜,也非常明顯的反映出網(wǎng)絡(luò)的安全問題是Internet社會性一個非常明顯的標注。在Internet發(fā)展的短短幾年當中,人們對安全的理解,從早期是為了殺毒防毒到后來就是安裝防火墻,到現(xiàn)在對相關(guān)系列的安全產(chǎn)品進行不斷的購買,也是在對安全意識進行了逐漸的加深。

2信息安全工程的五大特性

第一,信息的安全具有著全面性的特點。對于信息各個方面的安全的問題,就必須要進行全方面的綜合性的考慮,并且在系統(tǒng)當中的安全程度也對系統(tǒng)中最薄弱的環(huán)節(jié)有著非常重要和決定性的作用。第二,信息的安全周期性。一個比較完整的安全過程中就必須要包括安全的目標以及對原則的確定、風險的分析、需求的分析、安全策略的深入研究、安全體系結(jié)構(gòu)的研究、安全實施領(lǐng)域的確定、安全技術(shù)和產(chǎn)品的測試與選型、安全工程的施工、安全工程的實施監(jiān)理、安全工程的測試與運行、安全意識的教育和技術(shù)培訓還有安全稽查與檢查以及應(yīng)急的響應(yīng)等多個方面,這是在一個實際的過程中,而一個具有完整性的信息安全工程的生命周期,就必須要經(jīng)過對安全方面進行全方面的稽核和檢查之后,才能逐漸的形成新一輪的生命周期,也是不斷反復(fù)和上升螺旋式一個安全的模型。第三,信息的安全也具有著動態(tài)性。我國信息技術(shù)不斷的發(fā)展的同時,黑客的技術(shù)水平也在不斷的提高,因此,安全策略和安全體系以及各方面安全技術(shù)就必須要進行全方面的調(diào)整,才能夠在最大的程度上對安全系統(tǒng)進行促進,才能夠根據(jù)實際情況的變化,來充分的發(fā)揮作用,從而就可以促使整個安全系統(tǒng)的發(fā)展,并且還能夠一直處在一個不斷更新和完善以及進步的實際動態(tài)的過程中。第四,信息的安全要具有層次性,就需要對多層次的安全技術(shù)和方法以及手段進行利用,對安全的風險進行分層次以及全方面的化解。第五,信息的安全也具有相對性。各方面安全是比較相對的,但是也沒有絕對的安全可言,安全的措施應(yīng)該和保護的信息以及網(wǎng)絡(luò)系統(tǒng)的價值進行相應(yīng)的結(jié)合。因此,信息安全工程進行實施保護的時候,要對風險嚴重的威脅以及防御措施的利弊和得失進行充分合理的平衡,在安全的級別和投資之間,找到一個比較合理能夠使企業(yè)接受的一個平衡點。只有這樣進行實際的施工,才能對信息安全進行有效的保證。

3信息安全工程涉及廣泛領(lǐng)域

信息安全工程學,是具有著比較清晰研究范圍,其中主要包括了信息安全工程的目標、原則與范圍,信息安全風險的分析以及評估的方法和手段及流程,信息安全的需求主要的分析方法,安全的策略,安全體系的結(jié)構(gòu),安全實施的領(lǐng)域以及安全的相關(guān)解決方案。安全的技術(shù)和產(chǎn)品的測試以及選型的各個方面的方法,安全工程的實施規(guī)范,安全工程的實施監(jiān)理方法和流程,安全工程的測試和運行,安全意識的教育與技術(shù)的培訓,安全稽核和檢查以及應(yīng)急響應(yīng)的技術(shù)和方法與流程等等。

4信息安全工程的前景

如果是一個非常系統(tǒng)的工程,那么就必須要對系統(tǒng)工程的觀點和方法進行合理的利用。還要對信息安全的問題進行相應(yīng)的對待和及時的處理。因此,就企業(yè)實際情況看,在建立和實施企業(yè)級的信息以及網(wǎng)絡(luò)系統(tǒng)安全體系的時候,必須要對信息的安全進行全方面的考慮,還要必須要兼顧信息網(wǎng)絡(luò)的風險評估與分析、安全需求的分析、整體安全的策略、安全的模型、安全體系結(jié)構(gòu)的開發(fā)、信息網(wǎng)絡(luò)安全技術(shù)標準規(guī)范的制定、信息網(wǎng)絡(luò)安全工程的實施、監(jiān)理和信息網(wǎng)絡(luò)安全意識教育以及技術(shù)的培訓等多個方面,只有這樣,才能夠?qū)崿F(xiàn)真正意義上的信息安全系統(tǒng)安全。

結(jié)束語

綜合上文所述,隨著全球信息化在不斷進行發(fā)展和進步的同時,信息的革命也在各個層面中發(fā)展,促進了人類發(fā)生了翻天覆地的變化。我國現(xiàn)階段的信息逐漸發(fā)展成具有代表綜合國力的戰(zhàn)略性的資源,但是信息安全,也成為保證國民經(jīng)濟信息化進程能夠健康有序發(fā)展的一個非常重要的基礎(chǔ),與此同時,也會對國家的安全造成比較嚴重的影響。從信息安全工程的角度方面來說,如果對我國的信息安全進行全方面的構(gòu)建和規(guī)范,也將大大的對我國的信息安全系統(tǒng)進行逐漸的穩(wěn)固,從而對國家信息資源的安全進行保證。

參考文獻

[1]王志強,李建剛,顏立,洪建光.電網(wǎng)信息安全等級保護縱深防御示范工程在浙江電力的試點建設(shè)[C].2010電力行業(yè)信息化年會論文集,2010(7):44-47.

[2]張竹松,大理州人力資源和社會保障信息中心主任.社會保障工作要重視“金保工程”信息安全建設(shè)[J].大理日報(漢),2013(11):105-106.

[3]趙俊閣,朱婷婷,陳澤茂.優(yōu)化信息安全工程課程建設(shè)的實踐與探索[J].Proceedingsof2011NationalTeachingSeminaronCryptogra-phyandInformationSecurity(NTS-CIS2011)Vol.1,2011(8):55-58.

[4]丁震.2004,信息安全法制建設(shè)與理論研究并進———訪國務(wù)院信息化工作辦公室網(wǎng)絡(luò)與信息安全組副組長呂誠昭[J].信息網(wǎng)絡(luò)安全,2005(1):66-69.

篇2

關(guān)鍵詞:建設(shè)工程;安全生產(chǎn)監(jiān)督管理;信息化建設(shè)

前言

當前我國的經(jīng)濟持續(xù)發(fā)展,帶動了我國建筑業(yè)的發(fā)展,建筑業(yè)在我國的經(jīng)濟建設(shè)中占有很重要的地位。但是我國的建筑工程在安全生產(chǎn)監(jiān)督管理中卻存在很大的問題,從而發(fā)生了多起建設(shè)工程安全生產(chǎn)事故,造成了很大的損失。因此必須要加強建設(shè)工程安全生產(chǎn)監(jiān)督管理工作,利用信息化技術(shù)來對建設(shè)工程安全生產(chǎn)進行管理,增強管理能力,降低事故發(fā)生的幾率。

1 我國現(xiàn)今建設(shè)安全生產(chǎn)信息化建設(shè)中存在的問題

現(xiàn)今國家對于建設(shè)工程安全生產(chǎn)監(jiān)督管理工作十分重視,國家制訂了很多的政策來促進安全生產(chǎn)信息化建設(shè)。主要方面包括建設(shè)安全生產(chǎn)事故統(tǒng)計系統(tǒng),安全生產(chǎn)監(jiān)督系統(tǒng)以及安全生產(chǎn)信息系統(tǒng)等,以此來提高建設(shè)安全生產(chǎn)監(jiān)督管理水平。由于國家的大力支持,因此在很多的地區(qū)都已經(jīng)開始了建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化建設(shè),并且都建立了一些信息化的管理平臺,為建設(shè)工程的安全生產(chǎn)進行了有效的監(jiān)督管理,在很大程度上降低了事故發(fā)生的幾率,提高了工作效率[1]。雖然對于建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化建設(shè)已經(jīng)取得了一些成果,但是我國屬于剛剛起步的階段,有很多相應(yīng)的設(shè)施以及軟件開發(fā)與國外相比都存在很大的差距,國家的一些政策還不夠完善,對于相關(guān)研究的技術(shù)手段比較落后,并且很多建設(shè)單位都沒有系統(tǒng)的信息化監(jiān)督體系,使得單位的安全生產(chǎn)信息化系統(tǒng)性能很差,無法很好的對建設(shè)工程進行監(jiān)督管理。因此,國家必須要加強對建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化建設(shè),來促進建筑行業(yè)的發(fā)展。

2 建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化系統(tǒng)

對于安全生產(chǎn)監(jiān)督管理信息化系統(tǒng)主要包括六個系統(tǒng),分別是:①網(wǎng)絡(luò)系統(tǒng);②組織管理系統(tǒng);③行政執(zhí)法系統(tǒng);④調(diào)度統(tǒng)計應(yīng)用系統(tǒng);⑤應(yīng)急救援應(yīng)用系統(tǒng);⑥綜合政務(wù)信息系統(tǒng)[2]。主要是對這六個系統(tǒng)進行建設(shè)。下面對這些系統(tǒng)建設(shè)簡單的介紹:

2.1 組織管理系統(tǒng)的建設(shè)

對于組織管理系統(tǒng)來說,主要包括:①組織保障子系統(tǒng),主要是指在對各級的安全生產(chǎn)的監(jiān)督系統(tǒng)進行管理時,必須要以安全生產(chǎn)為基礎(chǔ),保證安全生產(chǎn)信息的穩(wěn)定安全運行;②制度保障子系統(tǒng),主要是指各項制度規(guī)定的完善,其中包括安全生產(chǎn)信息化建設(shè)法規(guī)的完善,以及對安全生產(chǎn)信息標準的確立;③運行保障子系統(tǒng)主要是為了保證安全生產(chǎn)信息化建設(shè)應(yīng)用系統(tǒng)的穩(wěn)定,并且要對相關(guān)的操作人員進行培訓,以保證能夠正確的使用系統(tǒng)。

2.2 網(wǎng)絡(luò)系統(tǒng)的建設(shè)

對于網(wǎng)絡(luò)系統(tǒng)的建設(shè),主要是包括內(nèi)網(wǎng)、外網(wǎng)以及相應(yīng)的網(wǎng)控中心的建設(shè)。內(nèi)網(wǎng)主要是指在建筑單位內(nèi)部使用的網(wǎng)絡(luò),主要包括一些辦公自動化平臺以及一些安全生產(chǎn)的監(jiān)管平臺等。外網(wǎng)主要是指政務(wù)公開網(wǎng)[3]。

2.3 行政執(zhí)法應(yīng)用系統(tǒng)的建設(shè)

行政執(zhí)法應(yīng)用系統(tǒng)的建設(shè)主要包括:①相關(guān)執(zhí)法人員管理系統(tǒng);②重大的危險源監(jiān)控系統(tǒng);③事故隱患整改系統(tǒng);④重大事故備案管理系統(tǒng)等。

2.4 調(diào)度統(tǒng)計應(yīng)用系統(tǒng)

對于調(diào)度統(tǒng)計系統(tǒng)的建設(shè)主要包括安全生產(chǎn)快報,并且要對相應(yīng)的時間,比如按季、年、月進行相應(yīng)數(shù)據(jù)的上報統(tǒng)計。另外在接到緊急報道的時候,要能夠立即進行相應(yīng)的處理,能夠使整個事故處理系統(tǒng)高效運行。

2.5 應(yīng)急救援系統(tǒng)

對于應(yīng)急救援系統(tǒng)來說,必須要先建立相應(yīng)的報警系統(tǒng),利用報警系統(tǒng)來進行事故的提醒,并且要有預(yù)案處理系統(tǒng),救護資源系統(tǒng)以及救援指揮報告系統(tǒng)等,通過這些系統(tǒng)來實現(xiàn)救援的高效執(zhí)行。

2.6 綜合政務(wù)信息系統(tǒng)的建設(shè)

主要是對于一些數(shù)據(jù)加工以及數(shù)據(jù)傳輸,政府網(wǎng)站等建設(shè)。

3 建設(shè)工程安全生產(chǎn)監(jiān)督管理信息化建設(shè)的措施

建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化主要是利用網(wǎng)絡(luò)信息技術(shù),來實現(xiàn)管理過程中的數(shù)字化、網(wǎng)絡(luò)化以及智能化,利用計算機技術(shù)來加強對安全生產(chǎn)中監(jiān)督管理的信息化建設(shè)。安全生產(chǎn)信息化的建設(shè)主要有六個方面:①建設(shè)工程安全生產(chǎn)的技術(shù)應(yīng)用;②建設(shè)工程安全生產(chǎn)信息資源;③建設(shè)工程安全生產(chǎn)信息網(wǎng)絡(luò);④建設(shè)工程安全生產(chǎn)信息技術(shù)產(chǎn)業(yè);⑤建設(shè)工程安全生產(chǎn)信息化的智力資源;⑥建設(shè)工程安全生產(chǎn)的法律法規(guī)[4]。以下對六個要素進行簡單的分析。

3.1 建設(shè)工程安全生產(chǎn)信息資源

安全生產(chǎn)信息資源是建設(shè)工程安全生產(chǎn)信息化建設(shè)中的核心,對于安全生產(chǎn)信息資源的開發(fā),必須要結(jié)合國家安全生產(chǎn)建設(shè)的要求,并且要做到能夠面向生產(chǎn)面向企業(yè),并且能夠及時對經(jīng)營管理中的一些問題進行準確的處理,進行相應(yīng)的分析,從而給出正確的建議。并且對于安全生產(chǎn)信息資源的開發(fā)必須要以市場的要求為基礎(chǔ),要突破傳統(tǒng)的封閉僵化的狀態(tài),建立信息采集加工與的完整體系。同時要制定多種信息采集的方式,組織相應(yīng)的信息采集隊伍,從而實現(xiàn)多層次的信息采集渠道。另外,要與國際勞動安全信息機構(gòu)保持交流合作的關(guān)系,從而實現(xiàn)多層次的加工體系。

3.2 建設(shè)工程安全生產(chǎn)信息化建設(shè)政策規(guī)范

國家必須要完善安全生產(chǎn)的法規(guī)以及相關(guān)的標準,以安全生產(chǎn)法律法規(guī)體系為基礎(chǔ),根據(jù)技術(shù)標準、計量體系標準來完善相關(guān)的安全生產(chǎn)的法規(guī)。并且要加強對安全生產(chǎn)體系的研究,進行不斷的實踐來完善安全生產(chǎn)法規(guī)體系,協(xié)調(diào)安全生產(chǎn)中的關(guān)系,利用法律法規(guī)來進行相應(yīng)的約束。隨著科技的不斷進步,要及時的對安全生產(chǎn)的法規(guī)標準進行更新,及時對一些技術(shù)落后的工藝進行更新,使技術(shù)水平能夠跟上時展的腳步,以滿足建設(shè)工程的安全生產(chǎn)的需求。

3.3 建設(shè)工程安全生產(chǎn)信息網(wǎng)絡(luò)

對于建設(shè)工程安全生產(chǎn)信息網(wǎng)絡(luò)的建設(shè),必須要利用現(xiàn)代化先進的技術(shù),結(jié)合以人為本的理念,對安全信息數(shù)據(jù)以及一些網(wǎng)絡(luò)資源進行更新建設(shè),從而使安全生產(chǎn)信息平臺的功能更加齊全、布局更加合理,可以實現(xiàn)各項資源的共享,使平臺上的各種數(shù)據(jù)信息以及一些資源能夠得到高效的保存與利用,從而來促進安全生產(chǎn)水平的提升[5]。

4 結(jié)束語

在現(xiàn)今信息技術(shù)飛速發(fā)展的時代,建設(shè)工程安全生產(chǎn)監(jiān)督管理的信息化建設(shè)是必然的趨勢,因此,國家必須要加強對安全生產(chǎn)信息化系統(tǒng)的開發(fā)研制,從而來保證建筑行業(yè)的安全生產(chǎn),促進我國建筑行業(yè)的發(fā)展。

參考文獻

[1]任宏,蘭定筠.建設(shè)工程施工安全管理[M].北京:中國建筑工業(yè)出版社,2010:30-40.

[2]方東平,黃吉欣,張劍.建筑安全監(jiān)督與管理[M].北京:中國水利水電出版社,2010:50-60.

[3]巢大同.建立現(xiàn)代化的安全生產(chǎn)信息網(wǎng)絡(luò)[J].電力安全技術(shù),2013,10(10):30-32.

篇3

[關(guān)鍵詞]:信息工程 安全監(jiān)理 技術(shù)

物聯(lián)網(wǎng)技術(shù)通過對高度集成化環(huán)境的應(yīng)用,在一定程度上提高了信息工程整體生產(chǎn)效率,并逐步凸顯出信息化、智能化、自動化的生產(chǎn)優(yōu)勢,因而在此基礎(chǔ)上,當代企業(yè)在可持續(xù)發(fā)展過程中應(yīng)著重提高對此問題的重視程度,并注重實現(xiàn)物聯(lián)網(wǎng)技術(shù)的科學應(yīng)用,以此來為自身發(fā)展贏得更大的經(jīng)濟效益。以下就是對信息工程安全監(jiān)理物聯(lián)網(wǎng)技術(shù)的詳細闡述,望其能為當前信息工程項目的有序開展提供有利的文字參考。

一、當前物聯(lián)網(wǎng)技術(shù)應(yīng)用過程中存在的問題

就當前的現(xiàn)狀來看,物聯(lián)網(wǎng)技術(shù)應(yīng)用過程中存在的問題主要體現(xiàn)在以下幾個方面:第一,基于社會不斷發(fā)展背景下,信息逐漸呈現(xiàn)出多元化的特點,例如,涉及到了國防事業(yè)、軍事管理、政府部門等領(lǐng)域信息的維護,因而在一定程度上增強了信息安全管理難度。同時,物聯(lián)技術(shù)在應(yīng)用過程中亦逐漸凸顯出節(jié)點數(shù)量有限、常態(tài)化安全監(jiān)理手段無法直接引入的問題,從而影響到了信息工程項目的有序開展。為此,當代企業(yè)在可持續(xù)發(fā)展過程中為了穩(wěn)固自身在市場競爭中的地位,應(yīng)注重引入信息加密手段、數(shù)據(jù)融合等,同時致力于密鑰的形成與開發(fā),繼而由此實現(xiàn)安全網(wǎng)絡(luò)環(huán)境的營造;第二,蠕蟲病毒的引發(fā)亦是物聯(lián)網(wǎng)技術(shù)應(yīng)用過程中需面臨的關(guān)鍵問題,為此,相關(guān)技術(shù)人員在物聯(lián)網(wǎng)技術(shù)優(yōu)化過程中應(yīng)注重強調(diào)對節(jié)點惡意攻擊現(xiàn)象的應(yīng)對,由此來優(yōu)化物聯(lián)網(wǎng)運行空間,規(guī)避信息損壞現(xiàn)象的凸顯;第三,物聯(lián)網(wǎng)技術(shù)應(yīng)用過程中凸顯出的問題亦表現(xiàn)在節(jié)點內(nèi)隱私問題的暴露,為此,當代信息工程項目在開展過程中應(yīng)強調(diào)對其展開行之有效的處理,即優(yōu)化信息存儲系統(tǒng),并賦予物聯(lián)網(wǎng)系統(tǒng)位置信息獲取功能,以此來達到最佳的系統(tǒng)運行目的,滿足當代社會發(fā)展需求。

二、信息工程安全監(jiān)理物聯(lián)網(wǎng)技術(shù)研究

(一)數(shù)據(jù)融合

數(shù)據(jù)融合即為信息交互、信息感知的過程,因而在物聯(lián)網(wǎng)系統(tǒng)運行過程中若存在網(wǎng)絡(luò)惡意節(jié)點,那么節(jié)點在運行過程中將凸顯出無法精準辨識信息的問題。同時,亦會在一定程度上影響到下游節(jié)點信息的識別及節(jié)點信息的有效傳遞。為此,為了保障物聯(lián)網(wǎng)系統(tǒng)中信息管理的安全性,要求當代企業(yè)在信息工程項目開展過程中應(yīng)注重強調(diào)對網(wǎng)絡(luò)數(shù)據(jù)融合中信息安全狀況、信息應(yīng)用程度等層面的判定,繼而從根本上規(guī)避惡意信息的凸顯。此外,在信息工程安全監(jiān)理工作開展過程中,應(yīng)注重以抽樣的方式,對數(shù)據(jù)融合過程中的信息進行驗證預(yù)處理,從而及時發(fā)現(xiàn)信息應(yīng)用過程中存在的問題,并對其展開有效的解決。另外,在物聯(lián)網(wǎng)系統(tǒng)數(shù)據(jù)融合過程中,亦應(yīng)強調(diào)提高用戶捕捉水平,即實現(xiàn)對數(shù)據(jù)信息安全性、可靠性的辨識,以此來營造良好的信息傳遞空間。

(二)路由定位協(xié)議設(shè)置

物聯(lián)網(wǎng)系統(tǒng)節(jié)點處涵蓋著大量隱私信息,為此信息內(nèi)容的暴露將在一定程度上影響到監(jiān)測目標的實現(xiàn)。因而,相關(guān)技術(shù)人員在信息工程操控過程中應(yīng)致力于安全機制的建構(gòu),即對隱私信息形成監(jiān)測、保護,由此規(guī)避信息暴露現(xiàn)象的凸顯,并就此滿足用戶信息使用需求。此外,在信息工程安全監(jiān)理過程中,為了滿足隱私信息保存、處理需求,應(yīng)注重完善安全協(xié)議或路由定位協(xié)議,且在協(xié)議內(nèi)容制定過程中明確對節(jié)點信息的真實反映及信息位置數(shù)據(jù)的反饋,從而在此基礎(chǔ)上提高物聯(lián)網(wǎng)系統(tǒng)交互、感知能力,并實現(xiàn)對信息的高效管理。從以上的分析中即可看出,在物聯(lián)網(wǎng)系統(tǒng)運行過程中強調(diào)路由定位協(xié)議的設(shè)置是非常必要的,為此,應(yīng)強化對其的有效落實。

(三)物聯(lián)網(wǎng)技術(shù)應(yīng)用實例

物聯(lián)技術(shù)即基于計算機互聯(lián)網(wǎng)技術(shù)的支撐下,運用物品編碼技術(shù)、射頻識別技術(shù)等對產(chǎn)品進行跟蹤、追溯。例如,某食品企業(yè)在產(chǎn)品生產(chǎn)過程中即涉及到了物聯(lián)網(wǎng)技術(shù)的應(yīng)用,同時其在信息工程項目開展過程中首先為每個設(shè)備配置EPC標簽,繼而將工程實施階段的信息反饋至網(wǎng)絡(luò)中心,便于監(jiān)理部門透過EPC標簽獲取到食品原材料到成品生產(chǎn)階段的所有信息,最終就此實現(xiàn)對產(chǎn)品信息的嚴格把控。其次,該企業(yè)在食品追蹤過程中亦涉及到了數(shù)據(jù)采集、數(shù)據(jù)庫設(shè)計、RFID等技術(shù)環(huán)節(jié),最終營造了良好的信息工程安全監(jiān)理環(huán)境,規(guī)避了食品不安全生產(chǎn)行為的凸顯,滿足了消費者消費需求。從以上的分析中即可看出,物聯(lián)網(wǎng)技術(shù)的應(yīng)用有助于提高當代人類生活質(zhì)量,因而應(yīng)提高對其的重視程度。

三、結(jié)論

綜上可知,在當前信息工程安全監(jiān)理過程中仍然存在著隱私信息暴露等問題,影響到了用戶對信息的使用、識別,因而在此基礎(chǔ)上,為了達到信息安全性、真實性的嚴格把控,要求當代企業(yè)在可持續(xù)發(fā)展過程中應(yīng)注重將物聯(lián)網(wǎng)技術(shù)貫穿于信息工程安全監(jiān)理過程中,繼而由此實現(xiàn)對節(jié)點信息的自動化、智能化識別,達到信息的有效管理狀態(tài),并及時發(fā)現(xiàn)信息應(yīng)用過程中凸顯出的問題,對其展開行之有效的處理,提升信息識別精準性。

參考文獻:

[1]張云霄,劉宏志.物聯(lián)網(wǎng)技術(shù)在信息工程安全監(jiān)理中的應(yīng)用[J].計算機安全,2012,11(01):46-48.

篇4

盡管針對信息系統(tǒng)的監(jiān)理工作已經(jīng)開展了多個年頭,但是其主要的工作目標仍然集中在以系統(tǒng)集成為代表的信息基礎(chǔ)設(shè)施建設(shè)以及以軟件研發(fā)為代表的應(yīng)用系統(tǒng)建設(shè),對于認知度和重要性日益提高的信息安全,監(jiān)理體系的發(fā)展尚有很長的路要走。

作為信息監(jiān)理體系中的一個分支和必要組成部分,信息安全監(jiān)理既保有信息監(jiān)理的基本特征,同時又有很多個性特質(zhì),這主要是信息安全本身的特性使然。

在實踐中,信息安全不但與通常的監(jiān)理對象一樣具有規(guī)劃、實施、運營等等清晰的工作周期,而且由于信息安全工作在變更、響應(yīng)、教育方面的高要求,使得信息安全監(jiān)理在開展過程中需要關(guān)注更多的問題。處理好這些問題,信息安全才能真正保障。

認識篇:安全監(jiān)理 并不遙遠

基于多年對信息技術(shù)產(chǎn)業(yè)的關(guān)心和促進,我國已經(jīng)形成一系列的法規(guī)、條例和標準用于信息領(lǐng)域相關(guān)工作的規(guī)范和管理。針對信息安全領(lǐng)域,于1994年2月18日的《中華人民共和國計算機信息系統(tǒng)安全保護條例》,是我國信息系統(tǒng)安全體系的核心法律依據(jù);而作為GB17859-1999國家標準的《計算機信息系統(tǒng)安全等級保護劃分準則》則為我國的信息安全工作提供了標準上的支持。特別是2006年上旬公安部的《信息安全等級保護管理辦法(試行)》,也稱7號文件,其中針對不同等級的信息系統(tǒng)明確的在監(jiān)管和監(jiān)管資質(zhì)方面進行了規(guī)定。這些法規(guī)標準的出臺和實施為信息安全的監(jiān)理工作提供了有效的生長環(huán)境,同時也預(yù)示著信息安全監(jiān)理的大幕正在拉開,通過第三方的監(jiān)理手段提高信息安全工作有效性正成為產(chǎn)業(yè)中一股新的力量。

重視實施

在信息安全工作體系當中,監(jiān)理可以發(fā)揮極為重要的作用,有效的監(jiān)理工作可以節(jié)約資源并保障信息安全工作的順利開展。

在實施信息安全的過程中,監(jiān)理機制可以保障安全特性與系統(tǒng)核心的工作目標適配,避免安全目標與系統(tǒng)目標之間發(fā)生沖突。即使對于信息安全本身,其保密性、完整性和可用性三大基本要求之間也存在著潛在的沖突,例如,在很多時候為了提高保密性的要求而可能會損害到信息的可用性,這些問題的權(quán)衡和建議體現(xiàn)了監(jiān)理工作在整個系統(tǒng)體系設(shè)計層次的作用。

基于資源有限這一基本原理,在實施信息安全工作的過程中一個非常重要的問題在于使用合適的資源對不同類型的信息資產(chǎn)進行保護。很多信息安全工程或是沒有分清保護的重點,或是對某些信息資產(chǎn)投放了過度的資源,這對于系統(tǒng)的安全乃至系統(tǒng)本身的運轉(zhuǎn)都會造成不良影響。監(jiān)理機制能夠在資源調(diào)配上起到監(jiān)管作用,從設(shè)計階段就發(fā)現(xiàn)信息安全系統(tǒng)中潛藏的缺陷。

作為監(jiān)理機制最重要的作用之一,監(jiān)督信息安全的實施過程是信息安全監(jiān)管的重中之重。即使擁有完善的信息安全系統(tǒng)設(shè)計也并不能保證信息安全工作的成功,保證實施方按照設(shè)計方案正確的進行實施與對設(shè)計方案的分析一樣重要。在很多信息安全工程中存在著執(zhí)行不利的問題,監(jiān)理工作非常適合在執(zhí)行過程中的發(fā)揮保障作用,在這類相對確定且可變性較低的層面可以充分發(fā)揮監(jiān)理的標準化能力及管理能力。

從規(guī)范到管理

眾所周知,在信息安全體系中管理制度和人員的因素與其它信息工程相比要占據(jù)更重要的地位。從信息安全制度規(guī)范的實施到安全意識技能培訓,往往受制于企業(yè)內(nèi)部的阻力。通過監(jiān)理的形式促進這些工作的開展,除了可以有效的提高信息安全工作的質(zhì)量,同時還可以推進整套工作的進展。

一個容易被忽視的信息安全問題是信息安全體系建設(shè)完成之后的管理,在一個信息安全系統(tǒng)建設(shè)完成之后并不代表著工作的結(jié)束,運營過程中的監(jiān)管是不容忽視的。一個應(yīng)用系統(tǒng)層面的變更帶來的往往是生產(chǎn)力的促進和提高,而這種變更所帶來的安全層面的變更往往會對信息安全體系造成巨大的破壞。所以在信息安全體系建設(shè)之后的生命周期當中,監(jiān)理機制仍能夠起到重要作用,保證信息安全工作的延續(xù)性。

對比篇:撥開安全監(jiān)理與審計的迷霧

審計通常是指審計方在接受委托后,通過收集各種信息和證據(jù)從而對審計目標是否達到了預(yù)先設(shè)定的目標進行判斷和指導,延伸到信息安全領(lǐng)域就是通過對計算機系統(tǒng)的數(shù)據(jù)進行記錄和檢驗從而了解系統(tǒng)是否達到了要求的安全指標。而依照《信息系統(tǒng)工程監(jiān)理暫行辦法》,信息系統(tǒng)監(jiān)理是指依法設(shè)立且具備相應(yīng)資質(zhì)的監(jiān)理單位受托依據(jù)國家有關(guān)法規(guī)和標準對信息系統(tǒng)工程項目實施監(jiān)督及管理。從概念上分析,這兩種服務(wù)的目的都在于降低信息系統(tǒng)工程實施過程中的風險,從基本出發(fā)點上是完全相同的。

走出概念的誤區(qū)

在實際的工作范疇以及作用等方面,監(jiān)理和審計并不完全相同。

就一個信息安全體系來說,本身就需要記錄充分的信息予以存檔留待需要時分析,這也是審計機制中最核心的鑒證功能。但是一個成熟的信息審計過程并不僅僅如此,更重要的是通過第三方的力量對目標信息的真實性、完整性、可靠性進行驗證,從而為決策行為提供充分有效的證明。從不同的視角對一個安全系統(tǒng)進行分析,可以更加真實的還原信息系統(tǒng)的安全現(xiàn)狀,同時可以利用審計機構(gòu)所具備的知識和經(jīng)驗,完善系統(tǒng)設(shè)計,以提高實施成功率。

從這一點來看,信息安全審計服務(wù)與信息安全監(jiān)理服務(wù)的作用有一定的交叉性。而在此基礎(chǔ)之上,信息安全監(jiān)理還具有一些信息安全審計不具備的職能。首先信息安全監(jiān)理需要履行監(jiān)管的職責,也即不僅僅象信息安全審計過程一樣要進行咨詢、分析、建議,還要對整個安全體系的實施乃至運行采取強于審計工作的控制,以第三方的力量穩(wěn)定項目發(fā)展的軌道。另外,信息安全監(jiān)理還需要在項目開展過程中協(xié)調(diào)客戶與實施方等多方之間的關(guān)系,保證參與方確實的履行合同條款,去除隱藏的欺詐行為。也就是說信息安全監(jiān)理更側(cè)重于項目成功的保障,而信息安全審計更側(cè)重于信息的可信性。

值得一提的是,在針對項目范疇的信息審計在關(guān)注信息可信的基礎(chǔ)上也包含了對信息系統(tǒng)有效性的審計,集中體現(xiàn)于對項目完成后系統(tǒng)運營狀態(tài)的審計,在對于這一生命周期的關(guān)注上信息安全審計要強于信息安全監(jiān)理。

正確實踐

在實際的信息安全項目當中,信息安全監(jiān)理與信息安全審計也有很多區(qū)別,集中體現(xiàn)于工作主體上的差異。

對于監(jiān)理來說,必須由第三方完成相關(guān)工作,否則就失去了公正性和監(jiān)管力。而對于審計來說,除了聘用外部機構(gòu)對系統(tǒng)的安全性開展審計工作之外,很多情況下審計工作也可以由組織內(nèi)部的信息安全團隊完成。在通常情況下,基本的信息安全審計都是由內(nèi)部人員定期執(zhí)行并向管理層進行反饋,利用外部力量進行審計的情況相對較少,這也與國內(nèi)用戶對第三方審計的認知不夠有關(guān)。

另外,審計和監(jiān)理服務(wù)所面向的服務(wù)對象也有一定的差異。信息審計所具有的公證性目標,在執(zhí)行信息安全審計時往往服務(wù)于類似管理層這樣發(fā)起審計要求的局部對象。而信息安全監(jiān)理則往往服務(wù)于用戶和實施方兩方,即使在特定情況下監(jiān)理機制作用于組織內(nèi)部的不同部門和層級,也具有作用多個對象的特征。

總體來看,在作用方面信息安全監(jiān)理與信息安全審計處于相互融合、互相支撐的關(guān)系。在一個成功的信息安全項目當中,兩者的作用都不容忽視,應(yīng)該根據(jù)具體需要進行具體選擇,并開展符合實際應(yīng)用環(huán)境的具體應(yīng)用。

實踐篇:安全規(guī)劃 重在督導

缺乏規(guī)劃性是很多信息安全項目失敗的主因,所以監(jiān)理機構(gòu)有責任向用戶提出實施規(guī)劃方面的建議。建議的方面有很多,而主要的原則面則基于成熟的信息安全項目操作經(jīng)驗。

安全原則不容忽視

首先我們要在規(guī)劃制訂過程中樹立以人為本的意識,對計算機系統(tǒng)進行安全管理要充分結(jié)合對人的管理。授權(quán)最小化是安全管理的核心原則之一,保障權(quán)限授予的合理并減少冗余是任何安全體系成功的基礎(chǔ)。

另外,在安全規(guī)劃中不能忽視卻常常被忽視的一個問題就是物理安全,協(xié)助用戶分析如何管理各種存儲介質(zhì),完善用戶所在建筑物的安全管理,都是在監(jiān)理工作過程中需要注意的問題。

對于安全事件的響應(yīng)也是監(jiān)理應(yīng)該重點關(guān)心的方向,很多用戶的信息安全體系具有完善的保護計劃,但是在執(zhí)行保護工作的過程中卻常常因為缺乏健全的響應(yīng)計劃而導致信息資產(chǎn)的損失。特別是對于那些服務(wù)范圍只涉及建設(shè)過程的監(jiān)理,如果在規(guī)劃階段忽視了運營過程中的響應(yīng)機制,就會給客戶遺留一個缺乏后續(xù)保障的安全體系。

除此以外,還有很多問題值得關(guān)注,但相對來說有更多的范例可以借鑒,同時也更加容易通過規(guī)范來保障。信息安全監(jiān)理應(yīng)該在全局掌握的基礎(chǔ)上,重點關(guān)注那些相對容易忽視、可變性較高、人員協(xié)調(diào)需要較強的范疇。

有效溝通是保障

規(guī)劃的建立只是開始,在整個信息安全監(jiān)理工作過程中,應(yīng)該通過與用戶的充分溝通,形成一套切實可行的安全管理制度。一般常見的安全管理制度包括了權(quán)限管理、操作規(guī)章、定期檢測制度、信息分級、信息銷毀、介質(zhì)管理、響應(yīng)計劃、變更管理、員工培訓等等。在形成制度的同時,一個更加不容忽視的問題在于制度的學習和實踐,這也是監(jiān)理機構(gòu)發(fā)揮督管作用的重要陣地。

在實際工作過程中,制度的推行往往在客戶方遇到一定的阻礙,而面對這種阻礙,往往會導致實施方降低項目的推進力。在這種情況下,監(jiān)理方應(yīng)該及時、確實的把握雙方的思維動向,緩沖雙方之間的矛盾,以便于達到項目協(xié)調(diào)的作用。

另外,監(jiān)理方還應(yīng)該對照雙方確認完成的制度條款,通過檢驗手段保證安全管理工作能夠順利實施。這樣既能夠保證用戶得到有效的安全保護系統(tǒng),同時也是對實施方的工作成果負責,在此基礎(chǔ)上監(jiān)理方才能對雙方的利益開展協(xié)調(diào)。在監(jiān)理工作當中還有一個需要高度重視的問題,那就是監(jiān)理方本身對于制度的遵守和執(zhí)行。

作為用戶與實施方的媒介,監(jiān)理方必須嚴格依照實現(xiàn)制訂的標準完成監(jiān)理工作,這是獲得信任的基礎(chǔ)。同時監(jiān)理方也應(yīng)該盡力遵守用戶和實施方之間的協(xié)議以及制訂出的制度(例如進場制度),只有得到兩方的尊重,才能順利保證監(jiān)理工作的開展。

教育在信息安全體系中的重要性已無需多言。信息安全所包含的知識跨越了很多領(lǐng)域,既有計算機技術(shù),又覆蓋了安防意識的范疇,而且還包含了諸如物理安全、社交工程學等很多與計算機科學沒有直接聯(lián)系的內(nèi)容。