时间:2023-09-19 16:31:00
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络安全保障制度,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
一、学校信息化建设现状分析
现阶段各高校及中小学都基本普及了校园网络,其中大部分也已开始进行信息系统的建设,以校园一卡通系统、校园安全监控系统、科研管理数据库等为主。 还有一部分开始推行普及整个校园的身份认证系统,提供账号支持师生设备上网。学校的教学和管理工作对信息系统的依赖性也越来越强。
随着网络规模的不断扩大以及对信息系统建设的深入和完善,数据大量产生并持续快速增长,信息系统数据库的规模也在不断扩大,随着其承载的信息量的不断增加,这些信息的安全性也就凸显出来,系统保护和数据防灾就变得愈发重要。
二、威胁学校信息系统数据安全的因素
网络故障、病毒侵害、非法访问、软件设计缺陷、数据库破坏、拒绝服务攻击、系统物理故障、使用人员人为失误、信息泄密、自然灾害等,都可对系统数据可用性、完整性和保密性的进行破坏,从而对信息系统构成威胁,由此而造成的安全后果是难以估量的。
三、学校信息安全管理体系的构建
学校信息系统应用是多方面的,一旦投入使用,就会产生大量的数据,面对来自多方面的威胁,稍有不慎就会造成灾难性后果。所以,建立完善的信息安全管理体系,即Information Security Management System(简称ISMS),势在必行。
1. 构建学校ISMS的方法和目的
针对信息安全在不同网络层次上(物理层、网络层、数据链路层、应用层、用户终端层等)的需要,参照国际标准ISO/IEC27001信息安全管理体系(ISMS),明确信息安全的方针和目标,建立完整的信息安全管理制度和流程,制定完善的安全策略,强化安全技术的应用,采取行之有效的安全防范措施,保证信息系统的安全稳定运行。
2. 安全策略与防范措施
(1)强化安全技术
从安全技术实施上,进行全面的安全漏洞检测和分析,针对检测和分析的结果,完善安全策略,制定防范措施和完整的解决方案。
采用冗余技术 。学校信息网络是运行整个学校业务系统的基础,更是数据处理及转发中心,首先需要通过增加设备及链路的冗余来提高其可靠性,包括电源冗余、处理器冗余、模块冗余、设备冗余、链路冗余等技术。
部署网络安全设备。在Internet出口处部署主动入侵防御设备(IPS)及流控设备,开启实时防御和安全过滤,优化网络带宽,构建可视、可控、高效的网络。通过防火墙与IPS的紧密配合,抵御来自校园网内外的各种恶意攻击和病毒传播,确保校园核心业务和核心资源的安全,真正实现校园网络与应用的安全保障。
加强用户终端管理。制定统一且便于管理的终端管理方案,强制准入制度,对特定区域、数据及设备设定访问权限,保证整个网络的安全性和可管理性。根据物理位置、功能区域、业务应用或者管理策略等分VLAN,对需要接入网络的用户与设备进行实名认证,并保证用户帐号的唯一性。同时,部署上网行为管理设备,对校内终端用户的网上行为进行有效监管,降低因终端用户的违法网络行为带来的安全及法规风险。
强化数据安全。建立统一的数据存储中心,增加负载均衡设备及同步磁盘阵列,提高数据库服务器业务连续性及应用服务器负载能力,并针对整个信息系统进行统一定时的D2D2T备份,并结合重复数据删除等技术,提高数据备份效率和数据保留周期。
(2)完善安全管理制度
论文关键词:金融信息系统;灾备中心;网络;生产中心;安全
0、引言
随着我国金融体制改革的不断深入和金融业的快速发展以及全球经济一体化进程的加快.我国商业银行逐步完成数据集中与新一代综合业务系统的推广.业务自动化处理程度与管理水平进一步提高。从长远发展以及确保其安全、连续、稳定运行等方面考虑.建设金融信息系统灾备中心以保证数据安全和业务连续性是非常必要的.有利于各银行增强抵御金融风险能力、提高金融服务水平、增强国际竞争力。而建设先进、可靠、稳定的网络是业务系统运行的基础,也是为系统提供必要的安全保障。
本文从工程建设的角度.并结合在金融信息系统灾备中心网络运行维护的实际经验,对数据集中程度高、分支机构多的金融单位灾难备份中心网络建设提出了一套切实可行的技术方案。
1、建设目标
金融信息系统灾备中心网络建设目标是构建能够适应金融业务和应用发展要求的高可靠、高性能、可灵活扩展、安全可控的网络公用基础设施。灾备中心网络的服务模型如图1所示。
灾备中心网络建成后。作为系统的备用网络节点,可为业务系统在以灾备中心为辅的运行提供通信服务.同时还应具备与生产中心、灾备中心共同为业务系统的连续性提供保障的能力。
灾备中心网络结构能够满足接替生产中心运行的网络需要.且具备灾难备份保障功能.建设生产中心和灾备中心之间互连的高速数据通道,可用于备份数据的传输,辅以网络切换功能,保障业务运行的连续性.提高整个系统的可用性。
构建面向应用和系统的服务网络.为金融信息系统中的各应用系统提供统一的基础网络服务平台。
根据业务类型、功能要求、安全等级等因素。进行安全域、功能化、层次化和模块化分区,从而构建出满足业务系统要求、且具有一定先进性的数据中心。
构建完善的灾备中心网络安全体系:利用主动防御与被动防范相结合的安全技术。形成从网络边界、内部网络到系统的多层面的整体纵深防御体系,具备信息加密、入侵检测与防范、病毒防护、访问控制、身份认证和安全审计等功能。
部署统一集中的网络管理中心和安全管理中心.能对整个金融信息系统网络和安全状况进行统一的管理和监控。
2、设计原则
(1)高可用性
统一的、标准化的网络架构;结构化、模块化的设计方式:通过高可靠的网络部署(包括链路和设备的冗余,尽量避免单点故障)以提高网络的可用性;采取功能、对象、风险、控制的层次性划分,降低网络故障的影响区域,提高整体网络可用性;选用成熟稳定的网络设备和网络技术。
(2)高安全性
灾备中心系统结构设计必须根据不同应用系统特点和业务数据敏感度实施不同的安全防护措施.确保数据中心各类业务系统的信息安全。
遵循中国人民银行安全规范:制定和实施贯穿整个灾备中心网络的统一安全策略:具备对灾备中心内的服务器、存储设备和用户提供相应的安全防护和控制的能力:网络基础设施自身具备安全防护能力。
(3)高灵活性、高可扩展性
近年来。我国金融信息系统的建设呈现出”数量越来越多、规模越来越大、系统结构越来越复杂、数据安全性要求越来越高、运行责任越来越重大”的特点。因此。灾备中心网络的总体结构设计要具有灵活的扩展性.既要满足今后新系统上线运行的要求。也要满足每个业务系统处理能力的扩展性的要求。
具备网络容量的扩展能力。能满足服务器数量、用户数量和数据流量的增长需求;具备适应上层应用模式变化的能力,既满足现有的应用模式.又能满足多层次的应用模式对网络服务和网络结构的要求;能适应安全策略的变化,可灵活划分安全等级,部署安全措施;符合世界技术发展趋势,能向未来可能采用的技术架构平稳过渡。
(4)便于运行维护和管理
强大的网络管理平台;提供带外管理网络支持,特别为紧急情况下提供增强的管理渠道;相对统一的设备类型和型号;充足完备的网络分析工具;充分考虑灾备中心运维管理流程的需要。
(5)先进性
采用先进的高性能网络产品和相关技术.以满足灾备中心未来5年业务快速发展的需求。
3、解决方案
(1)网络体系结构
根据灾备中心不同的服务功能.灾备中心网络在功能上分为核心交换区、生产区、管理区、MIS服务区、内联接人区、外联接人区、开发,测试区和Internet接人区等区域。灾备中心网络体系结构如图2所示。
(2)灾备中心网络逻辑结构
灾备中心网络的逻辑层次有三层:核心层、分布层和接入层。核心层的主要功能是负责各个分布层数据的高速转发:分布层的主要功能是为接人层提供网络服务:接入层的功能是向最终用户和设备提供接入。分布层和接入层可以根据应用、管理功能和安全要求划分为若干模块。
各个层次的功能是:
核心层是灾备中心内部高速的三层交换骨干.该层不进行终端系统的连接.不实施影响高速交换性能的安全访问控制策略。
分布层作为接入层和核心层的分界层.该层完成的功能包括:区内VLAN问的路由;区内I王’地址或路由区域的汇聚:实施安全访问控制策略。
接人层提供Layer2的网络接入.通过VLAN定义实现接入的隔离。该层具有的主要特点是:根据实际使用情况规划接入端口容量。并具有一定的扩展性;不同功能分区的接人层相对独立;不同类型的接人层应各自分开,连接到对应功能区的分布层:为实施QoS。对数据包进行分类和标记。
各层之间的连接:
上述每一个层次结构内部需要采用冗余的架构来保障该层功能的稳定可靠。
在相邻层次之间.同样需要采用冗余的连接(物理连接或协议)来保障各层次结构之间的稳定可靠。
网络扩展时.核心层和分布层的架构保持不变,接入层可以随接人需要扩展。
物理实现时.分布层和接人层设备可以合并。
(3)灾备中心信息安全体系设计
灾备中心信息安全体系的建设目标是以信息安全标准为依据.建立一套具有统一安全策略、纵深防御能力、监控和审计功能的信息系统平台.具有可持续建设能力的业务系统支撑平台和具有高效率的网络通讯平台。信息安全体系的建设在确保网络通讯畅通的同时最大限度地保护核心业务系统的安全。通过技术、人员、管理等方面的综合建设、保障最终使灾备中心的信息系统达到保密性、完整性、可用性、可控性、抗抵赖性的要求。灾备中心网络的信息安全体系结构如图4所示。
为达到信息安全建设的总体目标.灾备中心信息安全体系分为七个方面:信息系统安全技术和安全服务;基于安全域的纵深防御体系;安全管理体系;安全法规;信息安全技术保障;信息安全策略和审计:信息系统基础设施。七个方面的内容可划分为”四个层面。两个支撑。一个确保”。
第一个层面为信息安全技术和安全服务。在这个层面上描述灾备中心信息安全建设中采用的安全技术手段和实现方法.以及这些技术提供了鉴别、加密、访问控制、完整性、抗抵赖等信息安全服务。从技术实现的角度落实信息安全要求。确保灾备中心信息安全。
第二个层面为基于安全域的纵深防御体系。在这个层面上主要从系统设计的层次描述了贯彻信息安全要求的设计、规划理念.从网络边界安全到内部局域网网络安全以及计算机系统的安全综合考虑。统筹规划。在网络和计算机等相关系统的设计过程中充分考虑信息安全的总体要求。
第三个层面为安全管理。在这个层面上要认真树立信息安全理论中”三分技术。七分管理”科学管理理念,建立符合灾备中心实际的协调、高效、可行的管理制度。把人员管理放在首位。加强以人员教育为主要手段的社会工程学管理。巩固信息安全。同时制定风险管理、安全评估、应急响应和灾难恢复等相关制度。
第四个层面为安全法规和制度。在这个层面上要以国家的有关信息安全的法律、法规、标准为依据.指导灾备中心的信息安全建设.同时落实中国人民银行关于信息安全建设的相关要求。在这个层面还体现了各级领导、信息安全管理部门在信息安全建设中的主导地位和重要作用。信息安全建设要依靠标准、法规、制度,政策,依靠领导关心、指导、协调,依靠所有部门齐心协力、齐抓共管.依靠全体员工同心同德。群策群力才能确保成效。
以上四个层面由低到高描述了信息安全建设的基本思路。
除了四个层面的内容外.信息安全保障、信息安全策略和审计起到支撑作用,保障信息系统建设和稳定运行。信息安全保障主要从技术、人员、工程、管理的角度建立有效的信息安全保障技术和保障制度。依靠准则和标准建设灾备中心的信息系统工程:依靠人员借助技术手段对灾备中心庞大、复杂的信息系统进行操作、运行和维护。为灾备中心的信息安全系统以及各个业务系统提供强有力的技术支持:依靠制度和技术手段对信息安全事件进行有效地发现、分析和处理。信息安全策略和审计主要起到统一规划。加强审计、监督的作用。利用审计手段明确责任,定位责任.巩固信息安全建设。在信息安全的建设和规划中落实”职责分离.最小授权”的信息安全原则。
最终.确保灾备中心整个信息系统的安全、稳定、高效的运行。实现信息安全建设的目标。
4可行性分析
方案分析主要包括网络可靠性分析、网络安全性分析和网络扩展性分析等方面
(1)网络可靠性分析
灾备中心网络的可靠性应能满足业务稳定运行的要求.具体分析如下:
线路的可靠性
灾备中心网络的线路主要包括:灾备中心网络内部连接;灾备中心网络的内联和外联接口等。其中:灾备中心网络由局域网交换机构成.基本上功能相似的一个或一组交换机均与骨干交换机保持2个连接.避免线路的单点故障。内联区提供的广域网接口.针对每个分支行提供2条不同电信运营商的电路.外联接口同样为外联机构提供2条不同电信运营商提供的电路。如采用光纤接入方式的ATM电路,每条ATM电路的可用率为99.9%.因此总体广域网线路的可用率大于99.96%。
网络设备的可靠性
灾备中心网络设备采用中高档设备.关键设备不仅配置冗余电源,还配有冗余的处理模块、冗余的总线等。设备自身具有很高的可靠性。同时,对生产区等关键区域,还采取l:1热备份,进一步提高了整个网络的可靠性.应完全能够满足业务系统对可靠性的要求。
(2)网络安全性分析
为保障灾备中心业务系统的安全.采取了多种网络安全措施。部署了多种网络安全产品。采取了相应的网络安全管理技术手段。主要有:在外联区采用防火墙进行安全隔离.对进出灾备中心的访问进行控制。内部各区域之问也部署防火墙.对内部区域问的数据流向和访问进行较有效的控制:每个区域均部署IDS、漏洞扫描系统,作为主动防御的技术措施,对系统漏洞、数据和访问进行监控:敏感数据采取加密措施.可防止泄密的产生;建立统一的防病毒系统,尽可能将病毒维护减少到可接受的水平;部署认证系统。对用户权限进行必要的管理:建设网络安全监控和安全分析系统.综合监控和分析各种安全设备产生的日志等信息。可比较全面地对网络安全进行管理;集中的审计系统,以从网络、系统和安全等三个层面。对操作行为进行跟踪和记录。减少违规行为产生的危害。这些安全措施。可建立主动和被动相结合的纵深防御体系.对业务系统的安全运行起到积极的保障作用。
(3)网络扩展性分析
网络扩展性主要体现在:
通信容量的扩展
按照方案的配置。连接各分支行和外联机构的接口。可满足每个分支行及外联机构以2条ATM电路接入的要求.平均每条ATM电路的速率不低于2Mbps,在业务量增加后,如总计业务量不超过155Mbps,可逐步扩容PVC带宽满足业务需求。如总计业务量超过155Mbps,可根据需要。增加ATM接口的数量。
支持业务系统的扩展
灾备中心网络采用了以安全域进行分区、在分区内按系统类型进一步划分子区的设计思想。新的业务系统按其安全等级可部署在相应的安全域(区)内,系统(如前置、服务器等)在连接到子区内.基本上不需要改变数据中心网络的结构。因此在这种思想下设计的数据中心具有较强的业务扩展能力。
5、结束语
关键词:网络安全;校园网;计算机病毒;防火墙
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 08-0000-01
The Campus Network Security and Defense Technology
Yao Weiguo,Zhang We
(Nanchang Institute of Technology,Nanchang330000,China)
Abstract:The concept of security from the network,analyzes the current campus network security risks,and then make the campus network management,technical and emergency response of specific measures and several commonly used network security technology to ensure the campus network system To safe operation.
Keywords:Network security;Campus network;Computer virus;Firewall
计算机网络安全是计算机安全概念在网络环境下的扩展,深入了解计算机系统安全的基本概念,是进一步了解计算机网络安全的基础。国际标准化组织为计算机安全做了如下定义:为保护数据处理系统而采取的技术和管理的安全措施,保护计算机硬件、软件和数据不会因偶然和故意的原因而遭到破坏、更改和泄露。
一、目前校园网络中的主要安全隐患
(一)网络系统自身的漏洞的威胁。网络设备和计算机软件不可能是十全十美的,在设计和开发的过程中,不可避免会出现一些缺陷和漏洞,漏洞包括许多方面:如操作系统的安全漏洞、数据库及应用软件的安全漏洞、TCP/IP协议的安全漏洞、网络软件和服务的安全漏洞等。另外,编程人员为自己方便而在软件中留有“后门”,这些漏洞、缺陷以及“后门”恰恰是黑客进行攻击的首选目标。
(二)机房软件系统的漏洞问题。目前,高校网络机房使用的操作系统软件大多使用徽软件的Windows操作系统,主要有Windows 2003 Server、Windows xp、linux等,这些系统自身有漏洞,虽然推出了一些针对性的补丁程序,但也不可避免地容易遭到病毒或人为因素的破坏,其存在的系统漏洞已成为网络攻击的一大目标。在高校计算机房接入Internet后,使得用户的信息库实际上如同向外界敞开了一扇大门,入侵者可以在受害人毫无察觉的情况下侵入信息系统,进行偷窥、复制、更改或者删除计算机信息,给教学带来很大的影响。
(三)计算机病毒肆虐。由于计算机实验室上机的人数多,学生可以携带磁盘进出计算机机房,还要上网,所以计算机很容易感染上病毒。当其中一台计算机中病毒后就会成为病毒传染的源头,以各种方式传染其它计算机,轻则破坏文件,影响系统正常运行,重则破坏磁盘数据、删除文件,感染整个机房,甚至造成机房计算机和计算机网络系统瘫痪、数据和文件丢失,导致系统崩溃。
(四)安全保障制度落实不到位。没有严格执行用户的标识与鉴别制度及账号认证制度对主要信息进行加密,对登录数据库服务器的用户的权限没有进行严格的限制,同时没有随时清除不需要的系统和账户和不需要的网络服务等,不能有效地防范病毒对系统和网络的攻击。
二、防范技术及措施
对于不同的计算机网络安全威胁,我们该如何防范呢?笔者认为,建设相对较好的防范体系必须从管理、技术及应急方案等方面入手。
(一)管理层面。
1.建设完整的防范制度和防范策略。针对一个校园网制定安全保密制度、校园网用户接入互联网安全使用手册,对大型移动存储设备和U盘的使用进行严格要求或控制,比如说有些实验室只允许邮件收发文件,不允许采用上述设备。对重要数据严格执行时时备份制度。
2.每周上报安全检查和运行机制报告。建立周上报机制,通过对网络中运行的设备、流量、故障率等报告分析,得出网络设备及软件运行是否正常,发现问题主导原因,针对性的优化设置,增强运行能力。
3.加强网络安全培训,提高用户安全防范意识。所有用户进行定期网络安全的培训,提高用户自身防范能力。对网络中心或机要中心的主负责人签订保密协议,进行专业化、强化实践能力的培训。密码实行多元化管理体制,定期更换并做记要日志备案。
4.建立有效的网络安全防范、病毒防治体系和系统恢复方案。校园网的管理部门要严密注意国家计算机病毒应急处理中心的病毒疫情,及时做好预防工作,避免大规模疫情暴发,同时对各级网络及服务器系统做好系统恢复应急预案,当病毒爆发时,可尽快恢复系统,将损失降到最低。
(二)技术层面。
1.优化网络方案设计。对网络拓扑图进行优化设计,按实际情况合理的划分成若干个子网。每个子网对应固定的交换机端口,区域的计算机只能在相应的位置范围内使用。
2.建立一卡通制度。所有用户进行实名制(职工号)入网登记,通过数据加密、身份验证等来核实通信对方的真实身份等。设置入网时限,如在设定的时间内无流量,自动断开网络。对有问题的PC机,可以迅速确定位置并解决问题。
3.采用硬件、软件网络防火墙技术、入侵防御系统及核心交换机上的访问控制规则。建立硬件、软件网络防火墙,入侵防御系统Symantec防病毒系统及核心交换机上配置访问机制。
4.建立垃圾邮件过滤器、对三大服务器(Web服务器,邮件服务器,Ftp服务器)进行加固,对IP访问限制。
5.外部设备使用的安全方法。对使用外来移动盘及打开电子邮件和互联网文件之前先做病毒检查,确认无毒后再使用或打开。对移动设备打开时,最好使用Windows资源管理器的方式打开,切记不可双击打开。
三、结束语
网络安全是一个综合性的课题,涉及到技术、管理、使用等许多方面。网络安全技术与工具是网络安全的基础,高水平的网络安全技术队伍是网络安全的保证,严格的管理则是网络安全的关键。但任何网络安全和数据保护的防范措施都是有一定的限度,网络安全只是相对的,没有一劳永逸的网络安全体系。在信息网络化的时代,不断有新的安全问题出现,不断有新的解决方案,网络安全作为一个产业也将随着新技术发展而不断发展。
参考文献:
[1]韩筱卿.计算机病毒分析与防范大全(第2版)[M].北京:电子工业出版社,2008
一、生机与准危机中的检察信息系统
我国检察机关
的信息化建设从2000年起步至今,经历了由点及面,由弱渐强的发展阶段,并在全国范围内初步形成了较为系统的信息一体化网络。随着“科技强检”进程的逐步深入,检察人的传统思维和工作模式势必会经历前所未有的变化。也正是在这种网络化日盛的趋势下,检察机关的信息化建设成为了检察事业发展的重要课题。
1、检察信息网络建设的现状
按照高检院“213”工程和全国检察机关信息化建设工作“统一规划、统一技术、统一规范、统一应用软件和统一归口管理”的原则,目前全国省市级检察机关的二级专线网络已经逐步进入应用阶段,市级院与省级院以及省级院与高检院之间的专线电话、视频会议和计算机数据传输的“三网合一” 也基本能够实现,而且一些技术较为先进的地区也率先完成了三级专线网络的搭建。部分基层检察院的内部局域网络已经能够将检察业务、办公事务、综合业务和全面检索等应用系统运用于实际的检察工作中,同时依靠较为成型的网络系统,并辅之以充足的数据库资源,保证了上下级院之间直接的视频、数据、语音的传输,并基本满足了与其他兄弟院之间进行广泛数据交换的互联要求。
2、检察信息系统的应用状况与面临的困惑
检察信息系统是检察业务工作同以计算机技术为核心的信息技术相结合的产物,是管理科学与系统科学在检察业务实践中的具体应用。检察信息化水平的高低是判断检察工作的重要标尺。目前在我国,检察机关已不同程度地将计算机作为办公、办案的必要辅助工具,检察人员的计算机应用能力较之几年前有了相当程度的提高,检察业务软件、网络办公软件以及其他的辅助处理软件也普遍地应用于日常的工作之中。同时,相当一部分检察院已经开通了网站,并通过这一媒介,信息、收集反馈,形成了具有自身特色的网络工作平台。可以说,检察信息化的不断普及为全面建设和完善检察信息系统提供良好的契机,同时也奠定了应用与发展的必要基础。
当然,在肯定成绩的同时,我们也应清醒地认识到现阶段检察信息化建设中存在的诸多不足。首先,目前我国检察机关信息化建设还处于刚刚起步阶段,网络应用水平普遍不高,绝大多数的应用还仅局限于检察业务的某些小的领域,单项应用较为普遍,大而全、广而深的应用体系尚未成型。其次,检察信息技术主要仍以平民技术为主,专业化、职业化的应用并不理想,在缺乏相关专业人才的情势下,技术水平较为幼稚,系统的标准化、通用性和易用性都还处于较低的层面。再则,目前检察机关网络信息化建设与检察业务实际存在明显的脱节,检察业务软件的开发与维护还有许多不尽如人意之处,检察信息系统的网络互连效果以及安全保密功能还有待进一步加强。
客观地讲,当前的检察信息系统仍处于探索和成型阶段。做个不形象的比喻,如果将未来成熟的检察信息系统拟制为一个健康的成年个体的话,目前的检察信息网络则像一个处在哺乳期的婴儿,四肢俱全,生机无限,但未脱襁褓,需要给予更多的关注。
二、流行在检察信息系统中的sars――网络不安全因素。
网络中的不安全因素,之所以称其为sars,并非危言耸听。在当前的检察信息网络中,存在着种种高危的“致病”因素。这些因素往往显见的或潜在的、习惯的或不经意的影响着检察信息系统的稳定和安全。
1、病毒入侵与黑客攻击
网络病毒的入侵、感染与黑客的恶意攻击、破坏是影响当前检察信息网络安全的主要因素。目前,全球发现的病毒数以万计,并以每天十种以上的速度增长,可以说每时每刻网络都在经受着新的病毒或其变种的冲击。通过网络渠道传播的蠕虫病毒、木马程序以及脚本病毒,不管从传播速度、破坏性还是波及范围都让人不可小视。
而对于网络系统而言,黑客攻击较之病毒威胁则更加让人防不胜防。互联网20多万个黑客网站上,提供了大量的黑客技术资料,详细地介绍了黑客的攻击方法,并提供免费的攻击软件。在网络立法十分匮乏、跟踪防范手段有限的今天,面对网络黑客针对操作系统以及应用软件漏洞的频繁地、具有隐蔽性的攻击,我们所要承受的威胁往往是毁灭性的。
2、网络硬件、软件方面存在的缺陷与漏洞
在软件
方面,由于网络的基础协议tcp/ip本身缺乏相应的安全机制,所以基与此存在的任何网络都无法摆脱不安全因素的困扰。而目前
广泛运行在检察网络中的微软windows操作系统更是破绽百出,由于默认的情况下系统开放了绝大多数的端口,所以使得监听和攻击变得轻而易举、防不胜防。再加之相当数量的办公软件与网络软件自身开发的局限性,存在着这样或那样的bug,同时软件的后期服务又不可避免具有滞后性,所以形容当前的网络“风雨飘摇”一点也不为过。
3、使用人员的不良习惯与非法操作
如果将以上两点看作是病源和病毒的话,那么人的因素可能就要算作是将二者紧密结合,产生巨大破坏作用的主要媒介了。客观的讲,目前检察机关的网络操作水平仍处在相对较低的水平,网络使用者中普遍存在着操作不规范和软件盲目应用的现象。相当一部分检察网络用户对于网络存储介质的使用缺乏安全和保密意识,对硬件的维护缺少必要的常识,带来涉密数据在存储与传递环节不必要的隐患。同时,由于操作熟练程度的原因,网络中的误操作率相对较高,系统宕机的情况时有发生,一方面造成了网络资源的浪费,另一方面也给本地数据带来了一定的危险。
此外,由于检察机关的业务工作与实际应用的需要,所以局域网用户的权限相对较高,使用者的操作空间相对较大。部分具有较高计算机水平的用户,会利用授权非法地进行系统设置或通过黑客软件的帮助突破权限获取其他用户信息乃至涉密信息。这些恶意行为的出现,不仅扰乱了网络内部的正常秩序,同时也为更多“偷窥者”大开方便之门。
4、网络管理与相关制度的不足
网络信息系统三分靠建,七分靠管。严格的管理与健全的制度是保障检察信息系统安全的主要手段。但是事实上,目前各级检察机关的信息系统并没有建立起较为健全、完善的管理制度,网络管理缺乏严格的标准,大多数检察机关仍采取较为粗犷的管理模式。主要表现在:
第一,网络管理仅仅作为后勤保障工作的一部分,缺乏必要的领导机制,重视程度有待进一步加强。
第二,网络管理人员充当“消防员”,以“排险”代“管理”,缺乏全民“防火意识”,干警的信息安全责任感亟待提高。
第三,网络管理缺乏必要的程序性规则,在遇到突发事件时,往往容易造成网络系统的内部混乱。
第四,网络信息收集、整理工作不够细致,网络内部机器的跟踪机制还不尽如人意。在用户应用相对随意性的条件下,往往出现“用而不管,管却不能”的尴尬局面。
第五,与安全级别相适应的网络安全责任制度还没有完全建立,使用者的网络操作安全风险没有明确的承担主体,所以使用中缺少必要的注意。网络管理在“使用免责”的情况下,很难形成安全防护的有效底线。
三、构想中的检察信息系统安全防范体系
针对以上问题,笔者认为,要建立、健全检察信息系统的安全防护体系首先需要从检察机关信息安全性的要求出发,充分结合当前检察信息网络的建设现状,从整体上把握,重规划,抓落实。其次,要摒弃一劳永逸的短期行为,在网络项目投入、网络设施建设上做好长期的规划,同时应具有适当的超前性,从检察信息化长远的发展趋势着眼,保持投入的连续性,积极追求网络效能的最大化。其次,在信息化建设的过程中,检察机关还应充分重视制度化的建设,形成较为完善的保障体系,使得网络的运行与管理能够在正确的轨道上持续发展。当然,强调整体规划与设计的同时,我们还应认真做好网络应用技术的普及与网络安全意识的培养工作,将检察信息系统中源于技术局限以及使用者主观因素而产生的种种隐患和损失降到最低程度。
基于上述几点构想,下面笔者将从实际的应用出发,对检察信息安全防范体系的具体实现,作细化论述:
第一,做好检察信息系统整体的安全评估与规划,为安全防范体系的构建奠定基础。
检察机关的网络信息化建设有别于其他应用网络的一个显著特征就是对于安全性有着更为严格的要求。在构造安全防范体系的过程中,我们需要全面地了解自身网络可能会面临怎样的安全状况,这就使得我们不得不对譬如网络会受到那些攻击,网络系统内部的数据安全级别是何等级,网络遭遇突发性安全问题时应如何反应,局域网络内部的域应怎样设定,用户的权限应给予哪些控制等问题进行初步地认定和判断。通过进行安全评估,确定相应的安全建设规划。
当然,在加大投入的同时,也应当正确处理安全成本与网络效能之间的辩证关系,切忌将安全问题绝对化,不能让安全设备和手段的使用降低网络应用的实际效果,寻求可用行与可靠性的平衡点。在安全建设中要注重网络安全的整体效果,尽量运用较为成熟、稳定的软、硬件及技术,同时,针对目前检察网络所采用的微软系统平台,借助于win2000操作系统的域控制功能,对网络的内部结构进行划分、管理,从而既满足了对内部用户的管理要求,同时又在双向信任关系的域-森林结构中实现同级、上下级院之间的安全信息交流。
第二,加强网络安全组织、管理的制度化建设,从制度的层面构造安全防范体系。
健全检察机关网络安全管理的关键在于将其上升到制度的层面,以制度化促进管理的规范化。网络安全管理的制度化建设需要做好两方面的工作,首先要建立明确的安全管理组织体系,设置相应的领导机构,机构以院主管领导、技术部门领导、网络管理人员、网络安全联络员组成,全面负责局域网的日常维护、管理工作。网络安全联络员由各科室选定,负责本部门网络应用过程中的信息上报和反馈工作。网络管理领导小组可以根据全院的实际情况,协调管理人员进行及时的维护,这样不仅有利于人员分工、整合,同时也保证了网络管理的有序进行。其次,要加快网络安全管理的规范性章程的制定,将网络管理的各项工作以制度化的形式确定下来。具体来讲,要尽快形成信息系统重要场所、设施的安全管理制度,例如服务器机房的管理制度;要尽快制定网络安全操作的管理制度,尤其是网络用户的软件使用与技术应用的规范化标准;同时,也要进一步研究网络遭遇突发事件时的安全策略,形成网络安全的应急保障制度,并针对网络安全责任
事故进行制度化约束,追究责任人的主观过错。
当然,制度化建设应当包含检察信息网络管理的各个方面,远非以上几点,它需要我们在补充、修订的过程中不断健全、完善。
第三,提高网络应用与管理的技术水平,弥补自身缺陷,减少外来风险。
在当前检察信息网络的安全威胁中,病毒及恶意攻击可能是其最主要的方面。但我们应清醒地认识到,任何的病毒与黑客技术都是针对网络系统的漏洞而发起的。而在网络应用过程中,大多数使用者对于病毒及外来攻击的恐惧往往要大于对自身系统漏洞的担心。要解决这一问题,首先要使网络用户对网络病毒及黑客攻击有必要的认识,并了解病毒感染的主要渠道,同时要加强网络应用的规范化培训,整体提高操作的技术水平,最大程度地减少人为因素造成的安全隐患。此外,在网络管理中,对操作系统的漏洞应及时的安装安全补丁,并留意微软定期的安全公告,关闭操作系统中并不常用的默认端口,防止为恶意攻击留下“后门”。同时,对网络中的应用软件进行全面检查,尽量避免使用来历不明的盗版软件,将软件的选择导向正版化、网络化的轨道,逐渐减少对于盗版软件、试用版软件以及共享版软件的依赖。
同时,充分利用win2000系统的域功能,严格控制网络客户端机器的超级用户帐号,设定所有用户必须登录域中进行网络操作,设定所有用户(预留guest帐号可以另外处理)的ip地址和网卡物理地址进行绑定、所有无需移动办公的用户帐号和ip地址绑定,实施严密的身份识别和访问控制。
第四,加强应急策略下的物理安全、数据保护与日志管理,健全安全保障体系。
硬盘的损失或失窃,就意味着所有原始信息的丢失或泄密;服务器的损坏或停机,就意味着网络服务的停顿;交换机的损坏,就意味着网络连通的中断。所以在信息安全的所有方面中,计算机的物理安全是最基本的问题,计算机物理安全得不到保障,其他的一切安全措施都是空谈。而计算机的物理安全的保护,除了要有必要的安全防护设备外,更重要的是必须建立完善的管理制度,以管理来保障安全。
为贯彻落实《国务院办公厅关于进一步加强政府网站管理工作的通知》及《省人民政府办公厅关于进一步加强政府网站管理工作的通知》等文件精神,进一步加强县政府门户网站建设和管理,促进各乡镇、县政府系统各单位电子政务和信息化建设工作上台阶,经县人民政府同意,现提出如下实施意见:
一、充分认识办好政府门户网站的重要意义
政府门户网站是各级政府及其部门在互联网上政务信息、提供政务服务、与公众互动交流、联系社会、服务社会的重要平台和窗口。办好政府门户网站,对促进全县党政机关依法行政,提高党政机关社会管理和公共服务水平,保障公众的知情权、参与权和监督权,进一步改善投资软环境,加强政府自身建设和推进行政管理体制改革具有重要意义。各乡镇人民政府、县政府各部门要按照科学发展观、构建和谐社会和建设服务型政府的要求,坚持统筹规划、协同建设、分级管理、资源共享,采取有力措施,尽快把政府门户网站真正办成政务公开、政务服务的重要窗口和建设服务型政府、效能型政府的重要平台。
二、完善政府门户网站体系建设
县政府门户网站体系以县政府门户网站为总门户,由各乡镇、县政府各部门为子网站构成,形成由县电子政务办统一建设和管理,统一运行和监管,分工协作、整体联动的县政府门户网站联动工作体系。各乡镇人民政府、县政府各单位要加强网站建设工作,及时准确地政务信息,搭建与公众互动交流的平台,拓宽社情民意表达渠道,为公众和企业提供在线办事服务和公益性便民服务手段。未建立网站的单位,要尽快建立网站,实现信息资源共享,完善县政府门户网站体系建设。
三、加强对政府门户网站管理工作的领导
我县政府网站建设取得了显著成效,对政府信息、提高行政效能、提升政府公信力等发挥了重要作用。但也存在信息和页面更新不及时或链接错误等问题,甚至有的子网站自建立以来一直没有更新信息,有的子网站已无法链接。各级各部门要进一步增强工作紧迫感和责任感,采取有效措施,切实解决网站建设与管理中存在的建而不管、管不到位、不问不看、保障不力等突出问题。按照谁主管谁负责、谁运行谁负责的原则,单位法人为网站建设和管理第一责任人,分管领导为第二责任人,专职人员为第三责任人,并落实领导责任制和责任追究制,签订网站建设管理责任状,确保政府网站有专用设备运行、有专业人员维护、有专项经费办事、有专门制度管理,做好内容保障和运行维护工作。各级各部门领导要把网站建设纳入重要议事日程,每年至少听取一次网站建设工作汇报,及时研究解决网站建设中的问题。近期要结合学习贯彻国务院办公厅、省政府办公厅文件精神,对政府网站建设工作进行一次专题研究。领导干部要关注本机关本部门网站,带头读网,定时读网,发现问题,及时督促整改。
四、全面加强网上政务公开工作,进一步强化政府网站功能
建立以县政府门户网站为统一入口,各乡镇人民政府、县政府各部门的子网站协同联动的网上办事和政务服务工作体系与技术支撑体系,梳理业务流程,整合办事项目,逐步建立和完善网上办事大厅。同时,按照“严格依法、全面真实、及时便民”的要求,建立健全信息采集、编辑、审核、、共享等方面的规章制度,及时准确在政府网站涉及群众切身利益、需要社会公众广泛知晓或者参与的政府信息,尤其要做好财政预算、公共资源配置、重大建设项目、社会公益事业等领域的政府信息工作。凡是可公开的文件,都要通过政府网站公开。各有关部门要按程序,主动向本级政府报送应公开文件的电子文档。在制定涉及群众切身利益的重要决策前,要在本级政府网站上征求意见,决策文件出台后要在政府网站开展政策解读。各级政府重要会议、活动、新闻会、决策听证会等,要通知政府门户网站派人采集信息,进行。政府网站要紧跟党委、政府中心工作,适时策划和开办专题栏目,鼓励各部门与政府门户网开办专题栏目,提倡各级各部门负责通知到政府网站进行专题访谈,各级各部门要高度重视网上政务服务和电子监察系统建设,确保今年建成运行。
积极推进互动交流。按照“总体规划,分步实施,严格审理,确保安全”的原则,发挥信息技术优势,加强政府门户网站互动栏目建设,强化网上舆论导向作用。通过县长电子信箱、局长信箱、乡镇长信箱等,接受公众建言献策和情况反映,适时开通留言板功能,为公众参与互动交流创造条件。围绕县政府重点工作任务和公众关注热点,开通热点解答、网上咨询等栏目,做好宣传和解疑释惑工作。围绕政府重要决策和与公众利益密切相关的事项,开展网上调查等工作,征集公众的意见和建议,及时分析汇总,为政府决策提供参考,提高科学民主决策水平。
五、提升政务网站管理及安全保障水平
各乡镇人民政府、县政府各部门要明确专门机构负责网站建设管理工作,制定适合本地、本部门工作实际的网络安全管理制度,加强对本级本部门政府网站管理的领导和协调。要定期对上网人员进行信息安全和网络安全教育培训,对上网的信息,要进行认真审核、严格把关,本着“谁上网谁负责,谁审核谁负责”的原则,层层落实安全责任制。各部门建立的服务器要指定专人进行管理、维护,定时做好服务器的系统软件安全升级,杜绝漏洞,定时做好系统备份和日志工作。遇到安全问题要及时向县电子政务办报告,并采取措施尽快解决。
县电子政务办要对全县政府网站加强宏观管理和业务指导,制定全县政府网站标准和管理办法,完善县政府门户网站内容保障、互动交流、信息采集、信息公开、信息审核、网络安全等专项制度;建立健全政府网站值班读网制度,检查网站运行和页面显示是否正常;建立网站链接审批制度,定期检查链接的有效性,发现链接错误,及时查明原因,予以更正;建立网站安全保障制度,加强对县政府门户网站的日常管理维护和安全监控工作,保障网络设备和配套设施的安全,保障网络运行环境安全,并积极配合公安机关、保密部门做好全县计算机网络的安全监督、检查和指导工作,确保不发生泄密现象;组织子网站管理人员开展业务培训与技术交流,不断提高全县政府网站工作人员办网、管网能力。
六、维护政府网站的权威与形象
不得将政府网站作为新闻网站的频道或子网站,也不能将政府门户网站与新闻网站合为一个网站,一网两名。政府网站不得从事商业活动,不得商业广告,不得在商业机构以虚拟网站方式建站,不得与商业机构联合建站。要切实做好本级政府部门网页的整合工作,凡是无防攻击、防篡改、防病毒等安全防护措施,无专职技术保障人员和内容保障人员,无网站管理制度和运行经费的部门网站,一律以虚拟网站方式整合到县政府门户网站。对采取服务外包方式建设的政府网站,要加强对服务外包公司的资质审查,并签订技术安全与保密协议。政府网站不得将服务器托管到商业机构,如需托管,可以托管到本级或上级政府门户网站的建设机房。政府网站运行维护单位要按照信息安全等级保护的要求,不断完善安全防护措施,做好日常巡检和监测,发现问题或出现突况要及时妥善处理,并向上报告。对于缺乏技术保障力量的政府网站,县电子政务办要主动协调有关方面提供技术支持,帮助其做好网站的安全防范工作。
近年来随着互联网快速发展,互联网的各类应用越来越普及,成为各类应用进行数据共享的主要方式。由于互联网的开放性,信息安全性相对不高,但某些网络信息因涉及到个人隐私或其它需要,需要把一些涉密的信息保护起来。
1 计算机网络中经常遇到的威胁
网络信息在传播过程中经常受到威胁主要是黑客攻击、病毒感染、电磁泄漏等方面。
1.1 黑客攻击
“黑客”(英文名字为Hacker)是指拥有一定的计算机相关技能、可利用计算机攻击他人计算机网络的人。他们运用一定的编辑技术编写一些代码程序或利用现有的黑客工具,对他人的电脑现有的应用或数据进行破坏或窃取存在电脑里的文件信息。现在网络信息的泄漏大多来自于黑客攻击,其通过网络安全漏洞侵入计算机系统从而进行破坏或获取他们需要的信息。
黑客侵入计算机网络方式主要有两种:破坏和非破坏性攻击。破坏性攻击是通过各种方式来多次尝试获取信息,容易造成信息的泄漏和不可恢复,为暴力性破解方式。非破坏性攻击的主要是通过多次密码尝试的方式或其它不影响信息二次使用的情况下获取信息的复制件,从而获取到其需要的数据信息。这两种方式都会造成信息泄漏,对信息维护人员的工作造成被动的局面。
1.2 计算机病毒
计算机病毒(Computer Virus)也是利用计算机代码编写的程序,其主要作用是来破坏已有的程序的正常运行,从而影响计算机使用或窃取一定的数据信息,并可自我复制。这些代码具有可执行性、破坏性、隐蔽性、传染性等特点,有的还具有一定的潜伏期,可定时发作。其主要通过网络或可移动设备(U盘)等传播,可针对特定或不特定的文件对象进行破坏。
还有一些病毒本身并不破坏现有的文件系统,而是窃取运行文件中的重要数据并通过网络或其它方式发送给制造病毒的人员,从而达到一些盈利或其它目的,如一些专门用来窃取他人账号和密码的病毒。如果用户企图运行该可执行文件,那么病毒就有机会运行,从而给计算机本身软、硬件运行造成不必要的麻烦或造成信息的泄漏。
1.3 电磁泄漏
电磁泄漏是指计算机等信息系统设备在工作时经过相应的信号传输线产生的电磁信号或电磁波被非法获取,从而造成电磁泄漏。电磁泄漏的后果是通过获取泄漏的电磁信号并加工处理,就可以还原出原有信息,造成信息泄漏,所以具有保密要求的信息系统应该具有防止电磁泄漏的能力。
2 对网络威胁进行防护的对策
以上分析对计算机安全威胁的几个主要方面进行了总结,根据这些问题, 可通过以下几个方面应对计算机信息安全威胁。
2.1 加强人员管理,制定安全防范规章
人员的安全意识是在信息化时代的首要问题,首先应加强人员管理与培训,让工作人员形成良好的电脑使用习惯,并对电脑出现的问题能及时察觉,从而能更好的避免或及早发现问题。比如经常更新电脑系统,对一些外来存储设备优先杀毒。其次应当建立健信息安全保障制度,包括电脑及网络连接、使用相关的规章制度, 并确保落实到位。对一些重要信息和文件应有专人专用电脑管理,规范化使用,并提升相关人员监督管理水平,做到相互监督,相互制约。同时也应当建立明确的分工,建立建全责任倒查机制。
2.2 采用专线接入网络技术
网络专线就是通过物理或虚拟建立一条专用的网络传输信道,这条线路与外界隔绝,从而更好的保证在信息传输过程中不被截获。这样的专线的优势是安全性较高,可有效避免黑客采用互联网网络线路进行攻击。专线接入的接放方式主要有两种:一是物理专用信道。物理专用信道就是在服务商到用户之间铺设有一条专用的物理线路,这条线路专用于该用户,从而杜绝了其它人员的接入,避免黑客通过线路攻击的方式侵入该网络,比普通的多用户线路更加安全可靠;二是虚拟专用信道。虚拟专用信道就是在一般的多用户共享信道上为用户虚拟出一定的带宽的线路,用户可以专用这部分带宽,就像专门铺设了这条线路,仅允许专门的用户使用,而且对这部分带宽内的数据进行加密,从而提高了可靠性与安全性。
2.3 优化网络内外部环境
各单位对计算机安全等级要求不同,接入互联网的方式也各有差异,单位网络管理人员应主动分析影响本单位计算机系统稳定的所有因素,并做好相应的防御措施。计算机安全防护分为内部与外部防护。一是内部防护方面,安装相应的计算机报警系统或杀毒软件系统,做好威胁预警与防护工作。二是外部防护方面,外部防护对计算机网络安全同样具有较大的影响。主要包括物理安全防护,如防盗、防火、防止物理破坏。对此管理人员应定期对电脑线路进行安全检查,并设置必要的防雷等措施,确保计算机网络安全稳定性。
2.4 加强计算机密码管理工作
黑客和计算机病毒对企业和个人机密文件的获取很多通过破解密码的方式。在日常工作中很多电脑及相关的应用软件还是初始密码,而且并没有定期更换新密码,这样他们就可以轻松的进入到电脑系统中获取到所需要的文件。因此,要做好计算机加密处理,设置高强度密码,防止个人信息和案件信息被盗。
2.5 做好外围环境防护工作,注重安全预防
防火墙、网闸等是网络机房防护软件中较常见的设备,这些设备具体很好的隔离防护作用,同时应配备红黑电源(红黑电源隔离插座)、防辐射隔离等设施,确保阻断电磁泄漏。开启服务器及防火墙日志功能,根据这些日志可以分析入侵者在系统留下的操作记录,有利于管理员及时发现系统中存在的漏洞及隐患,以便有针对性地实施维护。
3 结束语
通过以上论述可知,计算机网络信息安全防护是一项复杂而系统的工程。信息安全管理人员必须针对影响信息安全的各项因素进行针对性的分析,根据这些问题做好有效的防护措施。同时我们也应该清楚的认识到再好的外部防护也不能阻断人员的内部泄密,所以在制定文件政策的同时也应该加强人员的思想素质教育,让每位涉密人员都有较强的安全意识,这样才能更好的防止信息泄漏。
档案管理安全体系就是指通过落实档案安全管理制度以及信息安全技术,对档案工作进行的系统化的管理,重点确保档案系统的完整、可用、真实以及可控,是基于档案文献信息安全的整体防护体系。档案管理安全体系建设的主要任务有以下几点:一是强化档案安全管理基础设施的建设,为档案资料的安全管理提供必要的物质条件;二是完善档案安全管理工作规章制度的建设,为档案管理安全体系建设提供必要的制度保障;三是加强档案管理工作人员队伍专业技能的培训,确保档案安全管理有必要的人才支撑;四是强化档案管理信息化安全的建设,做好重要档案资料的安全备份,确保档案资料数据库平台的可靠。
二、当前我国档案安全管理存在的问题分析
1.档案安全管理制度不够完善
当前我国档案安全管理工作方面的制度体系建设相对较为薄弱,造成了整个档案安全管理工作的前提基础不牢靠。特别是针对档案资料的收集整理以及安全应急管理制度不够健全,导致在档案管理工作中经常出现档案遗失、信息丢失或失效等档案管理安全事故问题的发生。
2.档案管理安全保障技术水平不高
当前信息化时代档案管理工作早已经步入了以数字档案为主体、数字纸质档案并存的时代,对档案安全管理工作的要求也越来越高。然而一些单位的档案安全管理保障技术水平不高,档案资料的安全完整性很容易受到威胁,一些的核心档案资料甚至出现泄露问题。
3.档案安全管理专业技术人才较少
档案管理工作是一项系统复杂的工作,对于档案管理工作人员的专业能力、安全意识、学习能力等普遍要求较高,但是目前我国很多单位的档案管理工作人员队伍力量不足、素质不高,而且普遍缺乏档案管理安全意识,再加上没有必要的教育培训,制约了档案安全管理工作的有效开展。
三、优化档案管理安全体系建设的措施
1.完善档案安全管理保障制度建设
在档案安全管理规章制度建设上,首先,应该建立科学的档案资料收集制度,特别是全面利用前端控制理论,加强档案部门与业务部门之间的沟通,对不同档案资料的重要性、归档保存要求等进行明确,合理分级确定不同的安全管理措施。其次,档案管理部门应该强化档案安全保管制度的建设,为所有档案建立全宗、档号,并编制好档案检索查询目录,全面掌握所有的档案资料;同时,对所有的档案资料进行定期检查,确保档案载体的安全性,尤其是对于电子档案载体,必须设置相应的防磁化、防复制保护技术。第三,建立有效的档案管理安全应急制度,重点是针对档案管理工作建立相应的安全预警机制以及损坏档案资料的恢复工作,以确保档案资料的安全可靠。
2.提高档案安全管理技术保障水平
对于档案安全管理技术保障水平的提升,重点应该针对当前信息化、数字化的特点,合理的确定各种安全管理方案。首先,在档案的安全管理的基础设施建设上,应该严格按照国家档案馆建设标准的要求,对档案馆的库房、机房等进行标准化的建设,避免档案资料受到各种物理、化学或者是生物灾害的影响。其次,重点加强对电子档案的安全保障管理,对于一些涉及保密需要的档案资料,必须采取防扩散加密技术进行处理,同时对于一些重要的数字档案必须建立自动备份以及异地备份技术,并加强对防火墙技术、安全检测技术、虚拟网络技术等网络安全技术的运用,以确保档案资料的安全可靠。第三,应该加强对档案安全修复技术的研究应用,对于一些有损坏的档案资料及时制定档案修复技术,或者是与外部修复服务商合作,提高企业的整体档案安全管理水平。
3.加强档案安全管理人才队伍的建设
在档案安全管理工作的实施上,一支合格的档案管理工作队伍是基本的要求。首先,在档案管理工作人员的引进选拔上,应该尽可能的引进高层次、创新能力强的人才充实到档案安全管理工作中。其次,应该重点加强对档案管理工作人员的综合能力教育培训,除了必要的档案管理知识以外,还应该加强档案安全管理理念以及计算机技术的教育培训,使其既可以准确的掌握档案管理工作的程序以及安全管理要求,同时也可以有效运用各种信息化手段提高档案管理工作效率。
4.提高档案资料的保密管理水平
在档案的安全管理工作中,保密工作是一项非常重要的安全管理要求。对于保密管理,首先应该根据档案资料的不同性质,准确的确定档案资料的保密等级以及使用权限,严格进行权限的控制管理。其次,在这些档案资料的管理过程中,应该严格控制档案资料的传输和复制,尤其是加强对各种照相机、录像机、智能手机使用的控制,以免资料泄露造成档案管理安全事故。
四、结语
关键词:医疗保险;档案;信息化;对策
档案资料是社会经济发展必不可少的宝贵信息资源,随着技术的发展与进步,档案由最初的纸质存档发展成现在的电子存档,与之相应的是对档案信息化的需求进一步增强。而如今迅猛发展和广泛应用的信息技术,更是为档案的信息化建设创造了前所未有的契机。作为我国五大保障险种之一的医疗保险,其系统涉及到群众根本利益,其档案管理工作就显得尤为重要,在“大数据”和“互联网+”背景下,档案管理的信息化是利国利民的,也是势在必行的。
一、医疗保险档案信息化建设的重要性
杨公之主编的《档案信息化建设导论》中定义档案信息化建设为:“在国家档案行政管理部门的统一规划和组织下,在档案管理活动中全面应用现代信息技术,对档案信息资源进行处置、管理和提供利用服务。”医疗保险档案信息化建设作为医疗保障系统档案信息化建设的一个重要组成部分,尤其是在当前快速发展的信息社会中,信息技术变革了医疗保险传统的信息管理模式,使得以计算机及档案管理软件应用为主,利用计算机、扫描仪等对档案进行搜索、存储和管理,成为了医疗保险档案管理方式发展的必然趋势,也是医疗保险实现信息共享、实现与医疗保险系统联网,保障人民群众效益的重要手段。
二、全面完成医疗保险档案信息化建设的主要任务
1.完善医疗保险档案管理基础设施
医疗保险档案的管理需配置足够面积的医疗保险档案室,档案室内要配备足够的档案管理设备,例如档案柜,杀虫剂,干燥剂等,与此同时,电子档案储存应用还需服务器智能设施、制冷设备、干燥设备、防火设备、自动温控设备等软硬件设施。由于数据服务器为档案管理人员提供了极大的便捷,档案管理人员可以通过计算机等数据服务器进行医疗保险档案的收文、查询、借阅、返还等档案的归档利用和管理工作。同时由于医疗保险工作面对的社会群体具有广泛性及医疗保险处本身具有的社会公益性等特点,医疗保险电子档案信息更加复杂繁多,对于数据服务器基础配置也有着更高的要求,因此提高医疗保险档案管理部门的数据库服务器硬件配置和网络拓扑率,是进行医疗保险档案信息化建设的必要条件。另外,随着医疗保障制度的进一步完善,医疗保险涉及人员范围的进一步扩大,建立和完善医疗保险档案信息系统局域网,使档案管理的各项工作趋于网络化,在一定范围内实现医疗保险档案信息的共享,是现阶段人民群众对加强医疗保险电子档案信息利用的迫切要求。
2.制定严格的医疗保险电子档案归档及管理规范
档案信息电子化主要是通过计算机、扫描仪等现代数据录入设备将档案资料整理输入数据库服务器,使之转变成数据资料再加以储存和应用。其一,根据相关法律法规,因地制宜地制定医疗保险档案管理规范,并定期组织医疗保险档案管理人员学习最新的档案管理办法,根据新法规及时修正档案文件管理规范。其次,建立健全医疗保险档案目录数据库,建立健全医疗保险档案电子数据的索引机制,对医疗保险档案实现数据化管理,规范医疗保险档案电子数据的归档与管理,保证电子档案信息的科学保管和有效利用。再次,注重特殊病号、特殊报销比例的医疗保险电子档案的管理,方便医疗保险档案管理人员及时查阅。
3.培养与发展高素质医疗保险档案管理人才
(1)医疗保险档案管理人员需要具备较高的政治修养与责任心,这就要求医疗保险档案管理人员要熟悉档案管理政策,具备良好的职业道德和强烈的责任感,有扎根医疗保险档案基础工作的信心和决心。
(2)医疗保险档案管理人员需要具备电子档案专业技能。针对新形势对档案工作的要求,医疗保险档案管理人员面对信息时代“打铁还需自身硬”,需要加强信息技术的学习,加强信息技术的实践,熟练掌握现代数据挖掘技术、大数据分析技术等新兴信息技术,使医疗保险档案管理跟的上信息时展的步伐。
(3)医疗保险档案人员需要是具备综合素质的复合型人。
新形势下,医疗保险档案需要管理方法、纸质档案、数据库服务器三位一体的复合型人才,综合运用管理理念、计算机知识、信息技术知识、档案专业知识等,从而对档案工作进行有效的管理。同时也需要用现代网络技术整合医疗保险传统档案管理模式,为医疗保险档案信息化建设提供有力的网络梳理与网络保障。
4.注重医疗保险档案信息数据安全
由于电子信息应用会受到来自病毒和黑客等问题的影响,因此保管医疗保险档案数据的服务器各种防病毒措施及设备要完善,针对部分需要提供网络共享的医疗保险电子档案信息资源,必须提供有效的网络安全保障;在档案信息化的同时,更不可忽视纸质档案的保存,要“两条腿走路”“两套账并存”,要实现电子档案与纸质档案并存。
医疗保险档案信息化建设是一项长期、全面而又具体的工作,它需要完善的基础设施、先进的管理规范、优秀的档案管理人员、严谨的安全措施等各方面的综合配合,实现医疗保险档案信息化建设是医疗保险现代化管理的重要组成部分。信息化是当今世界和社会发展的大趋势,只有积极推动医疗保险档案信息化建设进程,才能适应社会和时展的需要,更好地服务社会。尤其是医疗保障险种的社会公益性决定了其服务团体的广泛性,而其自身档案信息化建设历程又是社会档案信息化建设历程的直接体现,因此,加强医疗保险档案信息化建设不只是医疗事业可持续发展的需要,更是整个社会可持续发展的必然要求。
参考文献:
[1]张荣蓉.浅谈企业档案信息化建设[J].科技信息,2012.
关键词:电子商务;安全问题;解决方案
随着信息技术在贸易和商业领域的广泛应用,利用计算机技术、网络通信技术和因特网实现商务活动的国际化、信息化和无纸化,已成为各国商务发展的一大趋势。电子商务正在改变着人们生活以及整个社会的发展进程,贸易网络将引起人们对管理模式、工作和生活方式,乃至经营管理思维方式的综合革新。对贸易和商业领域来说,电子商务的发展正在改变着传统的贸易方式,缩减交易程序,提高办事效率,许多网站都提供有“商城”,供网民在网上进行购物,可以说,互联网是电子商务的最佳载体,由于其具有充分开放性、防护不足的特点,使电子商务的安全问题日益严重,建立一套能充分信任的安全保障制度,确保信息的真实性、可靠性和保密性,才能够打消人们对网络的顾虑,放心参与电子商务活动,否则,电子商务的发展将失去其支撑点。
一、电子商务安全构成及要求
互联网上进行电子商务的活动过程:用户通过浏览器发出信息,该消息经过Internet到达Web服务器,再由Web服务器调用CGI等相应程序访问数据库,返回用户请求的消息给Web服务器,最后通过Internet传给用户。在这整个过程中我们可以看到,要实现电子商务的安全,应建立相应的商务活动的信息安全保护措施。
1. 电子商务系统安全构成
(1)系统实体安全。是保护计算机设备、设施(含网络)以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故(如电磁污染等)破坏的措施过程,由环境安全、设备安全、媒体安全三部分组成。
(2)系统运行安全。保障系统功能的安全实现,提供一套安全措施保护信息处理过程的安全,由风险分析、审计跟踪、备份和恢复、应急四个部分组成。
(3)系统信息安全。防止信息财产被故意的或偶然的非授权泄露、更改、破坏或使信息被非法的系统辨认、控制,由操作系统安全、数据库安全、网络安全、计算机病毒防护、访问控制、加密、鉴别七个部分组成。
2. 电子商务系统安全需求
针对电子商务的安全问题的构成,只有提供了保密性、完整性、认证性、可控性和不可否认性这五个方面的安全性,才能满足电子商务安全的需求。
(1)保密性。以保护机密信息不被非法存取以及信息在传输过程中不被非法窃取。
(2)完整性。防止信息在传输过程中丢失和重复及非法用户对信息的恶意篡改。
(3)认证性。确保交易信息的真实性和交易双方身份的合法性。
(4)可控性。指保证系统、数据和服务能由合法人员访问。
(5)不可否认性。有效防止通信或交易双方对已进行的业务的否认。
二、电子商务存在的安全技术问题及其产生的原因
在电子商务运作过程中,将面临各种各样的安全问题,分析电子商务的安全问题,就要依据实际考察结果,确定各种可能出现的安全问题,分析其原因和不同程度的危害性,找出电子商务中潜在的安全隐患和安全漏洞,从而有效地运用相关的电子商务安全的技术来加以控制和管理。
1. 电子商务的安全问题
典型的电子商务安全问题包括:安全漏洞、病毒感染、黑客攻击、网络仿冒以及来自其他方面的各种不可预测的风险。
(1)安全漏洞。在近几年来,计算机系统的安全漏洞越来越多。安全漏洞的大量存在,使得目前电子商务的安全形势趋于严峻。例如Windows惊现高危漏洞,新图片病毒能攻击所有用户,该漏洞可能发生在所有的Windows操作系统上,如IE浏览器、Office软件等,在用户浏览特定的JPG格式图片时,会导致缓冲区溢出,进而执行病毒攻击代码,包括格式化硬盘、删除文件等。
(2)病毒感染。我国的计算机病毒感染主要就是蠕虫等病毒在网上的猖獗传播。蠕虫主要是利用系统的漏洞进行自动传播复制,由于其传播过程中产生巨大的扫描或其他攻击流量,从而使网络流量急剧上升,造成网络访问速度变慢甚至瘫痪,这对依赖于网络的电子商务是一个严重的威胁。
(3)黑客攻击。主要表现在网页篡改和僵尸网络两方面。僵尸网络也称Bitnet,Bot是robot的简写,通常是指可以自动地执行定义的功能,可以被预定义的命令控制,具有一定人工智能的程序,它可以通过溢出漏洞攻击、蠕虫邮件、网络共享、口令猜测、p2p软件等途径进入用户主机,一旦用户主机被植入Bot,就主动和互联网上的一台或多台控制节点取得联系,进而自动接收黑客通过这些控制点发送的控制命令,这些受害主机和控制服务器就组成了BotNet。
(4)网络仿冒。在国际上通称为Phishing,在我国也称为网络欺诈、网络仿冒或者是网络钓鱼。它通常是通过仿冒正规的网站来欺瞒诱骗用户提供各种个人信息,如银行账户和口令等,甚至干脆通过在假网页或者诱饵邮件中嵌入恶意代码的手段给用户计算机植入木马来直接骗取个人信息。
2. 触发电子商务安全问题的原因
从上面的安全问题中我们可以看出,它不是个别的现象,只要有网络的存在,安全问题就不容忽视,它不仅影响了网络的正常运转,还会造成许多直接或间接的经济损失。为了尽可能避免安全损失,首先要了解造成这些问题的症结所在。概括起来有两个方面:先天原因和后天原因。
(1)先天原因。电子商务的实现依赖于网络,没有网络的存在,电子商务无从谈起。但是电子商务却是继网络之后才出现的,是网络发展过程中的产物,所以网络的建立仅考虑了信息的传输这个问题,并没有顾及电子商务安全,这样它的全球性、开放性和共享性就使得电子商务过程中传输的信息安全存在先天不足,黑客们就可以利用公共的网络环境传播各种病毒等。
(2)后天原因。它又可以细分为管理、人和技术三方面。现代化的企业信息建设强调七分管理三分技术,在电子商务安全中也不例外。但是目前从事电子商务的企业多数都欠缺管理,由于拒绝服务攻击在目前还没有十分有效的技术解决方案,所以特别强调安全管理的重要性,但实际上却没有几家网站事先做好了管理。其次,由于目前还缺乏对网络犯罪有效的反击和跟踪手段,黑客对网站恶意攻击同样是威胁电子商务安全的一个原因。大量的网页被篡改事件实际上都是黑客发泄情感的结果。当然有些国家或者企业也会故意攻击网站,触发安全问题来研究新的安全防范措施。很多已经开发出来的软件会存在这样或那样的漏洞,这就给了攻击者可乘之机,通过这些软件漏洞,黑客可以编写代码传播病毒等。同时,软件开发人员为了方便,通常也会在软件里留下“后门”,这也是导致安全问题的一个原因。
三、电子商务安全技术解决方案
针对前面分析的触及电子商务安全问题的后天原因,可采取一定的电子商务的安全防治措施。这些措施包括技术措施和管理措施。
1. 技术措施
(1)信息加密技术。信息加密技术是电子商务安全技术中一个重要的组成部分。数据传输加密技术主要是对传输中的数据流进行加密,常用的有链路――链路加密、节点加密、端――端加密、ATM网络加密和卫星通信加密五种方式。应根据信息系统安全策略来制定保密策略,选择合理、合适的加密方式。另外,随着电子商务的进一步发展,非密码技术如信息隐藏、生物特征、量子密码技术得到了快速发展。
(2)数字签名技术。数字签名技术是为了防止他人对传输的文件进行破坏以及如何确定发信人的身份。在电子商务安全技术中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整、不可否认服务中,都要用到数字签名技术。目前的数字签名是建立在公共密钥体制基础上,RSA签名方法和EIGamal数字签名方法是两种基本的数字签名方法,许多数字签名方法都是基于这两种算法。RSA是可逆的公开密钥加密系统,其数字签名过程中运用了消息的验证模式。而EIGamal是一种非确定性的双钥体制,它对同一消息,由于随机参数选择的不同而有不同的签名。
(3)TCP/IP服务。TCP/IP协议即传输控制/网际协议,以它为基础组建的Internet是目前国际上规模最大的计算机网络,是保证数据完整传输的两个基本的重要协议。以这些协议为基础,TCP/IP提供了一系列标准的服务,包括电子邮件、文件转输、Usenet新闻组、远程终端访问、万维网访问、域名查询等。
(4)防火墙的构造选择。是隔离本地网络与外界网络之间的一道或一组执行策略的防御系统,它作为最成熟、最早产品化的网络安全机制,其最初的设计就是防范外部攻击,改进的防火墙技术更可有效地控制内部和病毒的破坏。在设计防火墙时,必须考虑防火墙的姿态、机构的整体安全策略、费用、基本构件和拓补结构以及维护和管理方案。另外,在选择防火墙的使用时,要考虑诸多原则,包括网络结构、业务应用系统需求、用户及通信流量规模方面的需求以及可靠性、可用性和易用性等方面的需求。
2. 管理措施
安全管理措施通常是以制度的形式出现的,即用条文对各项安全要求作出规定。这些制度包括人员管理制度,保密制度,跟踪、审计、稽核制度,系统维护制度,数据备份(容灾)制度,病毒防范制度和应急措施等。
(1)人员管理制度。人是电子商务活动中的主要参与者,对于像网络管理员这样的人员,需要具备相当的职业道德。必须经过严格选拔,认真落实工作责任,并彻底贯彻电子商务安全运作基本原则。
(2)保密制度。从事电子商务工作的企业,内部会涉及很多保密信息,如客户隐私、公司财务状况、密钥等,而每类信息又有不同的安全级别,哪些是可以让客户随意访问的,哪些是公司普通员工可以访问的,哪些又是高级员工才能访问的,这些都应该通过保密制度明确下来。
(3)跟踪、审计、稽核制度。以系统自动生成日志文件的形式来记录系统运行的全过程。审计制度是规定网络审计员应经常对系统的日志文件检查、审核,及时发现异常状况,监控和捕捉各种安全事件,并对系统日志进行保存、维护和管理。稽核制度是指工商管理、银行、税务人员利用计算机及网络系统,借助稽核业务应用软件调阅、查询、审核、判断辖区内电子商务参与单位业务经营活动的合理性、安全性、堵塞漏洞,保证电子商务交易安全,发出相应的警示或作出处理处罚的有关决定的一系列步骤措施。
(4)系统维护制度。包括硬件和软件的日常管理与维护。对于通信线路,一般分为内部线路和租用线路两种,对于内部线路,我们采用结构化布线,而对于租用电信部门的通信线路,企业应记录通信线路的连通情况,一旦故障发生,及时与电信部门联系,以便迅速恢复通信。对于网络设备的维护,我们一般采取在网络设备上安装相应的网管软件,通过这些软件实现自动管理和维护。对于操作系统,通过定期清理日志文件和临时文件、定期整理文件系统、检测服务器上的活动状态和用户注册数、处理运行中的死机情况等来进行维护。而对于应用软件的管理和维护工作,主要是进行版本更新控制。
(5)数据备份(容灾)制度。按照其容灾能力的高低可分为多个层次:从最简单的仅在本地进行磁带备份,到将备份的磁带存储在异地,再建立应用系统实时切换的异地备份系统,恢复时间也可以从几天级到小时级到分钟级、秒级或0数据丢失等。企业应根据自身情况,对不同安全级别的数据制定不同的数据容灾制度。
(6)病毒防范制度。病毒对网络交易的顺利进行和交易数据的妥善保存造成了极大的威胁。从事网上交易的企业和个人都应当建立病毒防范制度,排除病毒的骚扰。一般我们要给自己的计算机安装防病毒软件,认真执行病毒定期清理制度,并设置控制权限,谨慎打开陌生地址的电子邮件,还要高度警惕网络陷阱。
(7)应急措施。在计算机灾难事件发生时,利用应急计划、辅助软件和应急设施,排除灾难和故障,保障计算机信息系统继续运行或紧急恢复正常运行。在启动电子商务业务之初,就必须制订交易安全计划和应急方案,以防万一。
电子商务作为一种全新的业务和服务方式,在为全球用户提供了丰富的商务信息、简捷的交易过程和低廉的交易成本的同时,也把人们引进了安全陷阱。因此,在保证电子商务的正常运作的同时,必须高度重视电子商务活动的安全问题及相应的防治措施和技术。电子商务的安全问题不仅关系到个人的安全还涉及到国家的经济安全、经济秩序稳定问题,而且安全问题也是电子商务成功与否的关键所在。
目前,基于Internet的电子商务还刚刚开始,许多方面都不够完善,并且我国和发达国家之间的差距依然很大,这就要求我们要密切关注电子商务发展的动态,积极研究电子商务中存在的技术问题,把握住这一良好的发展时机。
参考文献:
[1]劳帼龄.电子商务的安全技术[M].北京:中国水利水电出版社,2005.
[2]李琪,钟诚.电子商务安全[M].重庆:重庆大学出版社,2004.
关键词:医院;档案;信息化
档案是社会经济发展必不可少的宝贵信息资源,随着技术的发展与进步,档案由最初的纸质版发展成现在的电子版,与之相应的是对档案信息化的需求进一步增强。而如今迅猛发展和广泛应用的信息技术,更是为档案的信息化建设创造了前所未有的契机。
1 医院档案信息化建设的重要性
杨公之主编的《档案信息化建设导论》中定义档案信息化建设为“在国家档案行政管理部门的统一规划和组织下,在档案管理活动中全面应用现代信息技术,对档案信息资源进行处置、管理和提供利用服务。”医院档案信息化建设作为档案信息化建设的一个重要组成部分,尤其是在当前快速发展的信息社会中,信息技术变革了医院传统的信息管理模式,使得以计算机及档案管理软件应用为主,利用计算机、扫描仪等对档案进行搜索、存储和管理,成为了医院档案管理方式发展的必然趋势,也是医院实现信息共享、实现与医保系统联网,保障人民群众效益的重要手段,更是适应时代和社会发展的客观要求。
2 全面完成医院档案信息化建设的主要任务
2.1 档案部门需具备完善的基础设施
首先档案管理需配置足够面积的档案室、办公室、档案柜,以及电子档案储存应用所需的电子计算机、空调、去湿机、灭火器、温湿度计等硬件设施。其次,电子计算机特有的自动化程度高、运算速度快、数据存储容量大、通用性强等的特点,在医院电子档案信息的管理上,为档案管理人员提供了极大的便捷,档案管理人员可以通过计算机进行文件的收文、查询、借阅、返还等档案的归档利用和管理工作。同时由于医院面对的社会群体具有广泛性及公立医院本身具有的社会公益性等特点,电子档案信息更加复杂繁多,对于电子计算机的基础配置也有着更高的要求,因此提高医院档案管理部门的计算机硬件配置和网络使用率,是进行医院档案信息化建设的必要条件。另外,随着社会保障制度的完善,医保涉及范围的扩大,建立和完善局域网,使各项工作趋于网络化,加强医院电子档案信息的利用,使得资源共享是现阶段提出的更为迫切的要求。
2.2 对电子文件的归档与管理制定严格的规范
档案信息电子化指的是通过计算机、扫描仪等现代电子设备将档案资料整理输入计算机,使之转变成数据资料再加以应用。因此电子文件的保存归档就需要有明确的规范指引。首先,根据《中华人民共和国档案法》、《电子公文归档管理暂行办法》制定医院档案管理规范,并定期组织学习新的档案管理办法,根据新的法规及时修正电子文件管理规范。其次,建立档案文件级目录数据库,对档案实现电子化管理,规范电子文档的归档与管理,保证电子档案信息的科学保管和有效利用。再次,注重特殊类型电子档案的管理。由于医院临床、教学、科研活动具备特殊的技术性,因此多样化特殊类型的电子档案在医院档案中也占据着十分重要的地位,例如声像档案可以直观便捷地反映手术过程,具有十分重要的科研意义。
2.3 医院档案信息化需要配备高素质复合型人才
(1)医院档案人员需要具备较高的政治修养与素质。熟悉与通透国家档案政策,全心全意为人民服务的服务意识,良好的职业道德和崇高的敬业精神,这是作为一名医院档案工作者首先应当具备的素质。其次,要满足各方面应用的需求,需要具备运用信息技术深入管理、开发、利用档案资源的本领,使档案管理与其他综合信息管理相结合。
(2)医院档案人员需要具备档案专业技能。针对新形势对档案工作的要求,档案管理人员的专业档案管理知识与技能的培养至为重要。医院档案管理人员要不断强化继续教育,坚持“学用结合、重视实效”,积极按时参与省、市档案局组织的档案管理培训班,保证其档案管理知识与时俱进,对档案管理法规了解参透,同时能够充分掌握新时期档案管理的信息化手段,以满足医院档案信息化建设的需求。
(3)医院档案人员需要是具备综合素质的复合型人才。新形势下,医院档案需要管理、档案、计算机三位一体的复合型人才,综合运用多种管理思想、经济理念、档案专业知识等,对档案工作进行有效的管理。同时也需要用现代信息技术整合医院传统档案管理模式,为医院档案信息化建设提供有力的数据与保障。
2.4 医院档案信息化建设要注重档案信息安全
由于电子信息应用会受到来自病毒和黑客等问题的影响,因此保管电子档案的计算机的各种防病毒措施要完善,针对部分需要提供网络共享的档案资源,要提供有效的网络安全保障;在档案信息化的同时,更不可忽视纸质档案的保存,要实现电子档案与纸质档案并存。
医院档案信息化建设是一项长期、全面而又具体的工作,它需要完善的基础设施、先进的管理规范、优秀的档案管理人员、严谨的安全措施等各方面的综合配合,实现医院档案信息化建设是医院现代化管理的重要组成部分。
信息化是当今世界和社会发展的大趋势,只有积极推动医院档案信息化建设进程,才能适应社会和时展的需要,更好地服务社会。尤其是医院的社会公益性决定了其服务团体的广泛性,而其自身档案信息化建设历程又是社会档案信息化建设历程的直接体现,因此,加强医院档案信息化建设不只是医疗事业可持续发展的需要,更是整个社会可持续发展的必然要求。
参考文献
[1]张荣蓉,浅谈企业档案信息化建设[J].科技信息,2012
[2]于秀珍,陈春玉.医院档案信息化建设初探[J].北京档案,2009
[3]生秀娟.加强医院档案信息化建设之管见[J].黑龙江档案,2009
[4赵明娟.档案信息化建设在医院现代信息管理中的重要性[J].中国医院管理,2009
[5]王晓燕,浅谈办公自动化管理在档案中的应用[J].中国外资,2011
电力作为国民经济的基础设施行业,在国内较早开始了信息化建设工作。随着电力信息化建设和应用的到来,信息安全问题已日益突出,并成为国家安全战略的重要组成部分。
特别是近年来,电力企业信息化管理的网络平台在不断的整合提高应用的效能,电力ERP管理的信息化建设投入日益加大的同时,电力企业也相继在各级网络投入了大量的安全防护措施,期望能够进一步提升安全防护等级,以保障电力企业的信息化管理建设平台的安全性。但是,在信息化的安全保护方面,普遍地看来,目前的有关全建设工作,主要还只是集中在防火墙部署、入侵检测、防病毒等网络基础安全防御方面,企业尚缺乏一个完整的、强有力的信息安全保障体系。“十一五”期间是电力企业的加速发展期,对此,我们认为:――信息安全管理保障体系建设也应该是“十一五”期间电力信息化工作的一个重点。电力企业需要进一步提升信息安全的管控力度,优化信息安全运营流程、规范信息安全管理制度,加强信息安全技术应用,提高信息安全防护能力,从技术的各个层面提供对信息安全的技术支撑并对信息安全的运行进行全方位监控。同时,尤其要注意到必须对实施ERP管理的电力企业,要加强对信息化管理平台的安全保障工作,以确保ERP管理平台的安全运行。总之,随着国家电力事业的发展,电力信息安全管理的应用需求将更加全面地显示出来。
因此,更好地研究电力系统信息安全问题、开发相应的应用系统、制定电力系统信息遭受外部攻击时的防范与系统恢复措施等信息安全战略,这也是当前和今后一个时期中电力信息化工作的一个重要内容。特别是在电力企业的综合信息管理系统中――比如在ERP信息管理平台中,必须从网络、操作系统、应用程序和业务需求等各方面来保证系统的安全。
本文从电力信息系统的整体架构着手,并在此基础上提出了一整套先进、完整、实用,完全满足电力行业需求的系统安全解决方案,主要包括网络安全方案,数据安全方案,容错技术方案和病毒防范方案等,提供给广大电力企业作为应用参考。
2 电力行业信息化总体架构
总体架构由信息系统集成平台、安全服务支撑平台、业务支撑平台、业务处理平台、业务受理平台、信息交换平台等六大部分组成。
其中,信息系统集成平台、业务受理平台、信息安全平台是整个业务系统的基础平台:信息系统集成平台提供网上行政办公、工作流程定制、业务集成等功能,信息安全平台提供基于数字证书的身份认证、数字签名等服务,业务受理平台提供统一业务受理、跟踪、督办等手段,从而实现“一站式服务”;业务处理平台是电力行业常用的一些业务系统,业务支撑平台为业务系统提供一些重要的理论分析或计算工具,从而帮助业务人员在业务过程中进行辅助决策。
系统采用浏览器/服务器(B/S)工作方式,统一使用WEB工作界面,便于用户学习、操作、培训。
3 电力行业信息安全解决方案
3.1网络层安全方案
网络层安全方案重点加强了系统的保密管理功能。硬件上它将保密与非保密办公系统进行了严格的物理隔离,创造了良好的保密办公环境。软件上它将保密管理工作,作为数字化办公的重要基础环节,纳入到办公系统中,强化了保密管理工作,提高了保密管理效率。
系统的硬件设置如下:
系统采用了无盘网络技术,使网络数据存贮介质集中放置,网络软件系统集中控制,并可实现多网络物理隔离切换。
系统部署在位于保密室的办公系统服务器,系统软件及数据均在服务器上。用户只是使用无盘工作站上的浏览器进行办公业务处理。
3.2应用层安全方案
在网络的应用层上,采用严格的身份认证,不同粒度的访问控制,数据完整性、保密性和非否认性检测以及安全审计记录等技术。其中身份认证可以支持基于对称密钥的Kerberos V5和基于公钥的X,509证书等在内的各种身份认证技术。而不同粒度的访问控制则可以根据不同网络应用提供文件、页面或端口级的访问控制。而在数据完整性、保密性和非否认性检测中,采用了高强度加密算法,数字签名、时间戳和会话密钥等技术。该网络安全解决方案的另一个突出优点是除了能进行入侵检测和漏洞扫描外,还能无缝地集成到第三方应用系统的安全机制中,做到统一管理。
信息安全解决方案应该全面考虑信息存储、传输、处理和访问等各环节的安全要求,使信息安全方案没有攻击者可以利用的安全薄弱环节。
按照信息安全全面性要求原则,信息安全方案必须包括如下组成部分安全的身份认证安全的身份认证是安全的第一步,不安全的身份认证可能造成用户假冒,使其它安全措施失去作用。
通信安全:采用数据加密、信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。
文件安全通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,并实现对文件访问的控制。
数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
安全审计:通过记录审计信息来为信息安全问题的分析和处理提供线索。
安鼎公司针对信息安全的要求,结合自身技术特点开发出了有关身份认证、通信安全、文件安全、数据库安全等的信息安全产品,并在这些产品中集成了审计功能。
3.3数据安全及容错方案
对于企业来说,最珍贵的不是计算机、硬盘、CPU和显示器等硬件设备,而是存储在存储介质中的数据信息。因此对于一个信息管理系统来说,数据备份和容错方案是必不可少的。华工安鼎应用信息系统本部对电力行业系统安全解决方案的数据备份采用软、硬结合的全面解决方案,包括磁带机、备份管理软件和存储区域网络在内的各种技术,具有可靠性高、速度快、性能价格比高等特点。先进的系统体系结构,使其可以支持包括SAN在内的各种网络备份技术,支持各种主流计算机操作系统、各种操作系统文件、各种主流数据库系统,支持非结构化数据(如Lotus Notes)的数据备份、系统在线数据备份和完全、增量和差分等各种备份策略,备份过程中,支持各种数据校验技术。另外,华工安鼎应用信息系统本部的电力行业系统安全解决方案的数据备份还提供了先进的备份管理功能,实现备份、恢复智能化和操作故障的自动提示。其具有的可扩展性,可根据电力企业业务的扩大,平滑扩展,保护已有投资。关于容错,该解决方案中的容错方案可实行实时监控,能自动后援切换,支持双机热备份和双机互备援等各种规划 方式,具有伸缩能力强,对现有系统影响小,管理简单方便等特点。
病毒防范方案针对在Internet上,病毒肆虐,企业信息系统每天都有面临预测的可能,华工安鼎应用信息系统本部对电力行业系统安全解决方案提供了病毒防范方案,其技术特点是企业级网络防毒:病毒库网络自动更新:管理简单有效。
4 结束语
电力企业的信息安全工作,是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,我们应该用系统工程的观点、方法,分析网络的安全及具体措施。安全措施主要包括行政法律手段、各种管理制度(人员审查、上作流程、维护保障制度等)以及专业措施(识别技术、存取控制、密码、低辐射、容错、防病毒、采用高安全产品等)。一个较好的安全措施往往是多种方法适当综合的应用结果。一个计算机网络,包括个人、设备、软件、数据等。这些环节在网络中的地位和影响作用,也只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即计算机网络安全应遵循整体安全性原则,根据规定的安全策略制定出合理的网络安全体系结构。这样才能真正做到整个系统的安全。需要强调一点的是,在电力企业信息化管理建设走向更加深入的时候,象ERP信息化管理平台这样的需要巨大人力物力和资金代价的投入建设会越来越多,因此我们更加需要提升信息化安全保障的程度,以确保电力企业的信息化建设的应用成果的运用的安全性!
北京亿高科技术有限公司在分析电力行业计算机网络系统中信息安全需求的基础上,结合自身技术特点,针对信息存储、传输和处理过程中的安全隐患开发了相应安全产品,并形成了信息安全整体解决方案。该方案对电,J行业信息的存储、处理、传输、访问等各环节实施安全保护和控制,构筑了一个全面、开放而不可绕过的信息安全保密平台。可以相信,这样一个平台的出现,会给电力企业的信息化安全建设带来良好的启发,这样的平台会有益于完善电力企业的ERP信息化管理平台的全面建设和安全的运行。
第三章:激励
领导者工作的一个重要内容就是激发并保持参与者的动力,所以优秀的领导者还需要进一步深入研究如何激励。实际上,你无法确认每个参与者内在的动机是什么,但是你能够使用某些技巧帮助参与者形成动机并且激励其内在的动力。
激励组织成员的技巧就是经常给成员积极反馈,使成员感到能够取得成功,实现虽然高远但很现实的期望。同时,给成员提供成功的机遇,帮助组织成员发现活动中体现出的个人意义和价值,这样有利于建立一个积极的开放的组织氛围,使个人对团队有强烈的归属感,并觉得自己能够给团队提供价值,从而形成个人的内在动力。
在组织中,要注意那些可能会影响活动中的激励效果的因素。如活动组织得如何,是否帮助组织成员清楚了解为获得成功需要做些什么?领导者是否对活动表现出热情?是否对组织成员以及为什么来参加活动表示很感兴趣,以及是否注意活动中组织成员的需要。
激励的技能是释放成员的潜能,包括活跃气氛、授权、以多种形式支持参与者。
一 活跃气氛
在组织活动或者开会的时候,人们经常会不自觉溜号或者干脆游离当时的环境,这并不仅仅是一种精神上的背离。人身体中的荷尔蒙、葡萄糖以及血压大约每九十分钟下降一次,如果不能及时恢复,超越身体的紧张一松弛循环状态,精力就会消失。通过短暂的休息、喝点水、吃些东西等方式,使大家恢复循环状态,恢复能量、释放潜能、甚至使能量最大化。
无论内容有多精彩,也不能使人一直都处于兴奋状态。优秀的领导者对团队的需求很敏感,如果大家的活力减退,就要使用各种活跃气氛的手段来维持一个积极氛围,如让参与者站起来走动、组成小组开展讨论以及小组解决问题等团队活动、使用破冰技术――即使在相互介绍之后、使用文字游戏在小组之间展开竞争活动。
二 授权
当领导的要无所不知,但什么都不能管,这是很奥妙的。你大小事都知道,但什么都不管。因为要管是管不完的,要管就会一头栽进去,就会顾此失彼。什么都不管,眼看六路,耳听八方,看看左右手还在不在,就足够了。所以如何授权是关键。
领导把总务部门经理找来说:“今后20万以下的你批好了,20万以上的你给我看。”而且时间告诉他很清楚,从今天就开始,这是最明确的授权。其实,授权是非常容易的事情,问题是权一旦授出去,领导就没有权了。得到权的人刚开始会战战兢兢,好好地把这个权用得很正当,但是不久以后他就开始。比如,经理被他的下属所唆使,下属会告诉他,“这件事情是50万,超过你授权的范围,但是你如果给老总看的话,他会问你很多问题。你看你没有鬼我也没有鬼,我们都正正当当,只不过你给老总批,你还要请示半天,你干脆自己批掉算了。”他说:“我怎么可以批呀?我授权就20万。”
下属说:“这个你放心,把它一笔分成三笔,统统在授权之内,你批掉算了。”经理说:“不行不行”。下属就说:“没有关系,我已经分好了。”中国社会要改变帐目,要改变数字,是非常简单的。
所以,授权的一个可怕的后果,就是被授权的人。
中国人的授权行动是非常奥妙的。
有一位领导者是很节俭的,他的干部到外面请人家吃饭,一请就是一万块。这位领导非常生气,拿起笔来就写“大吃一餐”,就是告诫干部以后必须少吃。干部看“大吃一餐”后,就知道领导不高兴了,不能请那么多。但是事实上花了那么多怎么办,那就请一餐报三次,一次三千多,加起来还是一万多。这位领导也知道,哪有那么密集的请客,分明是把一万块变三个三千多块,所以他就又批了“天天吃”。
除了批“大吃一餐”、“天天吃”,这位领导真的没有办法,因为领导把权授出去了。
领导者靠什么,靠平常的互动,让干部了解:我是很相信你的,你就是我,我就是你。你开一万我不会反对,但是能省我们还是省一点吧!因为今后我们还有很多花销。所以,领导一定要大小事情都知道,你才知道请一万是合理不合理,否则你永远不知道。
领导把一个干部叫来,领导问他什么他就答什么,没有问的,他就不说。领导搜集情报要讲究技巧,把他叫来站在那里,领导就开始摸桌子,东摸摸西摸摸的,他就站不住了,他就知道领导要问什么了,就开始讲“对不起,我昨天去打麻将了,只打四圈。”这时才知道原来他又去打麻将了,其实领导之前完全不知道,就是领导一摸桌子他就紧张了,他以为领导知道他去打麻将了,想叫来骂的,只是没有骂,他不如干脆招了算了,他会讲很多。
领导要照顾全局,到每一个部门去要求每个部门大小事情都报告,叫做走动式 管理。领导公开跑到某一个部门,问部门经理很多问题,是得不到什么情报的,因为他就会防备,会隐瞒,会东拉西凑,所以得到的永远不是最真的东西。
凡事不是领导叫,也没有人敢摆明地跑到领导办公室去,因为中国人怀疑心重,自己跑去准是打小报告。出来就会有人问“你去讲什么事?”他说:“没有”,“没有,没有就是讲我的事,不然怎么没有。”
会当领导的人,大部分时间是在安全的地方搜集情报。假如是你在洗手间里面东摸西摸,有一个人进来你就问:“哎!那件事情怎么样?”千万不要表示你不知道,中国人就是,你套他一句话你就不讲了,他就以为你都知道了。然后他出去第二个人又进来,你就把刚才那一部分再套给他,他又给你更多东西,他出去又以为你都知道了。然后第三位一来,你就把前面讲得比较仔细,现在怎么样,他统统告诉你,你就全盘掌握了。然后出去以后就把他的主管叫来,“你们部门最近有什么事啊?”他就吓出一身冷汗了,就从头到尾都告诉你。你说:“其实也不必告诉我了,你知道就好了。”他下次就更加努力告诉你。
各位,这个招数是最高明的,中国人不会去问任何事情,套你几句话,套他几句话,然后加起来问当事人。如果你把一个干部叫来名正言顺地问他,他就很不高兴,那就表示你不相信他嘛,你这样拷问他,因此,不能去问。你不问问题,可以得到更多的答案。
在中国,就算领导授权给干部,干部也不可以因为得到授权,所做的事情就不让领导知道。领导要求每个部门大小事情都要报告,这是领导授权非常好的一个艺术。领导将二十万以下财权授予干部决定。但过一个礼拜他就开始问了,“最近有什么开支是在20万以下”,当发现有开支时他就问,“为什么这批款我不知道”,干部说:“这在授权范围之内啊,没有错啊”,“是授权了,但是你为什么不让我知道一下呢?你让我知道一下又怎么样呢?我授权给你,你至少让我知道一下啊。”
领导者为什么一定要了解?因为领导者要做决定,如果对整个现状不了解,是无法去做决定的。只有掌握全盘的信息,不能有一点点遗漏,才有可能做出正确的决定。客户打电话来说:“老总,我现在很需要一批货,你能不能两个月之内交给我。”老总说:“没问题呀。”但是去一问,这条生产线被占用了,里面订单危机很多,根本不可能,那就很糟糕了,因为他不了解。
所以,一个干部千万记住,要让领导者相信你,就得要及时地向领导者汇报,这样上下就配合得非常好。即领导者授权给下属,同时,下属统统给领导者报告,这样,领导就安心了。不然授权以后,领导就对这个部门完全不了解,就要失控了。三支持
干部最喜欢听的一句话,就是当年讲的一句话,“你办事我放心。”意思是说,我支持你好好干。但支持不是没有条件的,这句话只讲到一半,另一半是说,你干不好,我手一伸回来你就摔死了。完整的一句话就合理了,你要好好干,你越好好干我就越支持你,你不好好干,我会累呀!累了,我手一缩回来,后果如何你自己去承受。这叫做领导者的两手策略,彼此彼此,心照不宣。但是后半句话不要说出来,说了伤感情,话讲得太清楚的时候,只有伤感情,没有好处,只讲一半,你好好干,其它的不用讲了。
当他人参与的时候,通过提供积极的反馈给他人以支持。支持性的表达方式包括:
“这个观察角度很好,你在这个问题上给我们展示了一个新的视角。”
“非常感谢你提出这个观点。这是一个思考的新路子”
“我很高兴你提出这个问题,因为……”
“这是一个很有趣的想法,因为……”高效的领导者并不以专家自居,相反,他们常常鼓励参与者相互学习。
领导者在引言中要定下基调――“积极参与、相互学习”,这也是开展领导活动要遵循的一个基本原则。告诉参与者如果每个人都共享信息,每个人的知识和经验将得到提升,而领导者的工作之一就是为他们创造这种环境和氛围。如向问每个参与者的工作经验,领导者把这些年数记录下来,然后加总。假如团队一共有88年的管理经验,而领导者的管理经验只有7年。显然,帮助在座的各位成为更高效的领导者需要依靠我们88年的经验,为此,大家要毫无保留地把自己的经验拿出来分享。
参与者的经验水平各有不同,优秀的领导者会巧妙的利用这些差异,让经验丰富的参与者帮助其他人更快地成长。支持参与者相互学习的途径有:
(1)鼓励互帮互学
为了鼓励互帮互学,领导者总是不失时机地主动提问,或者在参与者提出问题的基础上进一步追问和展开,或者询问其他人的意见。这种转移回答的目的就在于借此创造一个参与者互相学习的平台。领导者可以在其他参与者充分发表自己的观点之后,再作出评论。
(2)小组活动
采用小组活动和讨论的形式,使参与者互相关注。参与者交流得越多,分享观点和经验的机会就越多。
(3)合作伙伴
有时领导者会为参与者搭配合作伙伴,不仅在活动过程中相互合作,一起将所学知识与实际工作相关联,而且这种合作可以延续到活动之后,从而大大增加知识和技能迁移的可能性。
第四章:行为反馈
反馈是以一种批判性的眼光,将观察到的行为反馈给参与者本人。反馈是根据既定目标或期望结果进行的行为评价或测度,它提供的评价信息包括进程、行为、表现等方面。
每个人都希望了解自己的表现,当被告知某些方面做得很好可以继续加强时,一般都会做积极的响应。因此,积极正面的行为越被认可,其保持和继续发扬的可能性越大。
有经验的领导者非常清楚为什么、什么时机应给予反馈。他们可能出于两方面的考虑:
+积极反馈――强化和激励
针对个人或团队的良好表现,积极反馈能增强自信、鼓舞士气、引导参与者继续保持良好表现。举例:
“很好。每一组都在这么短的时间内都给出方案。现在我们坐在一起互相借鉴。”
“感谢大家准时回到课堂,下面我们继续。”
+建设性反馈――改善或改变
如果个人或团队表现不佳或行为不当,建设性反馈可以帮助他们认识自己的行为及其所产生的影响,帮助他们改善。举例:
“在上一个活动中,我发现只有几个参与者贡献了想法,所以我们得到的信息很有限。我想如果其他人也能发表自己的意见,会给我们很大的帮助。”
“大家的课间休息超时5min,所以课程进度受到了影响。有什么办法确保大家休息后都能按时回来呢?”
一 有效反馈的四步骤
有效的反馈必须是具体的、针对行为的,这样参与者才能确切了解自己哪做得好,哪里还需要改善。虽然反馈总是先针对已经发生的行为,但结束时还应着眼于将来――如何吸取教训改善行为。
优秀的领导者在组织活动过程中,能够一对一地针对每个人给出反馈意见。如果反馈意见着眼于具体事实,并且是通过一种鼓励参与者接受的方式提出来,会很有价值,因此,灵活地应用互动技能尤为重要。
反馈不仅仅是“告知”,用提问的方式也可以以帮助参与者明白自己的行为产生了怎样的效果,认识到自己哪些方面需要提高。
开展有效反馈有四个步骤:情境―行为―影响―教训。
第一步,界定并说明情境。根据需要,可以联系参与者所理解的任务、目标和成功的标准等交换信息,谈谈你的理解。详细说明对于情境中所知道的和不知道的内容,重点是要弄清楚挑战或问题(包括可能的障碍)所面临的具体情况。举例:
―你对于 的理解是什么?
―我对此情景的理解是
+遇到了什么样的困难?
+哪些事情进行得不是很好?从什么时候开始的?
有没有机会寻求帮助或者从他人处获得有利的信息?
第二步,说出具体观察到的行为或语言,清楚说明谁做了什么。提供关于计划和所采取行动的信息:方法、准备、采取的步骤、他人的参与、中途修正。举例
+参与者做了什么?
+他是怎样完成任务的?
+他是如何准备的?
+采用了哪些步骤?
+他让谁参与进来了?
是否做了改变或者修正?
第三步,指出以上行为带来的结果和意外后果,对参与者、团队、目标、成果、资源、机会及其他重要方面产生的影响。举例
+积极的效果是什么?
+是否有消极后果?
+是否产生任何意料之外的后果――是积极的还是消极的?
指出对人、资源、机会、商业、组织、客户以及其他重要方面的影响。
将这些成果与最初的目标相比会如何?
第四步,从经历中能够学到什么。我们可以从中吸取什么经验教训,如何在以后的行为中发扬或改进。举例:
+哪些做得很好,并且将来可以继续发扬?
+犯了什么样的错误,以及导致错误发生的原因是什么?
+将来如何避免再犯类似错误7
+哪些方面可以提高?怎样提高'
反馈应尽可能具体并且可操作。并且要着眼于将来,这样所学到的经验和教训才有利于提高。
+训练或者练习会有帮助吗?
如果重新开始领导活动,问问参与者会在哪些方面有所改变?
四步骤法举例:
(1)情境
小张,会计学培训课程进度比计划的要慢。我知道你遇到了一些预想不到的具有挑战性的问题,尽管最后这些问题都得到了解决。你对这种情况如何看,是什么问题导致了进程滞后?
(2)行为
你是怎样努力掌控这些耗费时间的问题的?你考虑过其它哪些选择?
尽管你几乎或根本没有经验,但在其他人意识到你的困难之前,你还是尝试了几种方法独立解决问题。
(3)影响
我很高兴你表现得积极。你觉得试着独立解决问题怎么样?
在没有他人帮助或指导下尝试解决问题确实花费了很多时间,并且最终耗费了额外的资源。所以,我们现在不得不商议迟一点对经理们开展会计学培训。希望这不会使他们对我们的培训失去信心。
(4)教训
为了保证项目进度,你觉得在哪些方面做一些改进?
在将来的项目中,你将如何应用这次得到的经验和教训?
分析下边陈述,判断例句是否使用了所有4个关键步骤,或是不完整的。如果不完整,缺少哪一步?
+在上次市场会议期间,我们讨论了下个季度的广告,我注意到你经常往窗外看。晓东拿出新的广告建议稿给大家看的时候,你没有看完就传给了李娜。你觉得你的行为会对团队其他成员造成什么影响?
+你早早乘飞机去了上海,留下了年多没有完成的工作,给其他人增加了负担。查理和丹尼斯不得不重新安排进度并晚走才保证按期完成任务。
+新产品分步上市的财务分析项目对于我们的整个计划来说非常关键。四个不同团队都使用了报告的最终数据预测他们的决策将带来的长期影响。所以你的报告可作为许多重要的商业决策的参考。
+你连续两天迟到,不能再这样下去了。你自什么打算吗?
我知道你的手头上有很多项目,还有几个人在求你帮忙。我也注意到你有两个周报告没完成。你认为这些会不会影响到别人?你是清楚的,这会给那些依靠你的数据完成工作的人造成麻烦的。你的工作量有什么问题吗?你认为我们怎样才能解决这些问题?
二 接受反馈的原则
如果能够确效地给予他人反馈并建设性地接受反馈,你将能够更大程度地帮助他人,这一“予”一“取”两方面是学习过程至关重要的一环。
你的表现如何?你给他人留下了怎样的印象?带来了什么影响?接受反馈是一个让你了解自己的不叫多得的机会。要想很好地利用这个特殊机会,你必须敞开胸怀,从善如流。在你接受反馈的时候,请遵循以下原则:持开放态度,不要争辩、反诘,接受所有信息,鼓励反馈者说出你当时的具体动作或用词,记住这是他人的理解,或许并不是你的本意,将好的与需改进的方面一一记录,对反馈者表示感谢。
三 辅导行为改善的四步骤
辅导是帮助参与者将个人表现提升到一个新的水平,或帮助参与者应用概念并构建新技能的方法。进行辅导的最佳时机
+帮助某人第一次做一件事情
+使某人做好未来接受某项任务的准备
+某人要做一件以前他曾经获得过建设性意见的事情。
辅导是通过观察行为表现、提供今后实践或者应用中使用的建设性反馈来指导行为改善、增强个人能力。辅导执行过程采用有效反馈4步骤如下:
情境寻求信息帮助参与者清晰掌握情境,讨论任务的目标和面临的挑战。
行为 索要参与者的有关计划及拟采取步骤相关的信息,通过提出问题帮助他们将整个过程思考清楚,并对所使用的技术或者技巧提出建议,帮助参与者做好准备过程。
影响 寻求参与者如何将所希望实现的影响最大化、如何将不想发生的后果最小化的看法和观点,帮助参与者确认想要取得的成果以及潜在的无法预料的结果。
关键词:城市测绘信息系统;地理信息服务;科学管理体系;城市测绘技术;城市发展规划 文献标识码:A
中图分类号:P204 文章编号:1009-2374(2015)22-0046-02 DOI:10.13535/ki.11-4406/n.2015.22.023
城市测绘信息系统是以信息化技术、网络技术为依托,以提高地理信息的准确度为目的,同时具备数据采集和处理功能的一种系统。随着我国城市化进程的不断发展,城市建设与规划需要以详细的基础地理信息为支撑,为宏观调控提供依据。基于城市建设各方面的需求,不断发展城市测绘技术,并建设独立的城市测绘信息系统,对于我国国民经济的发展和城市建设具有重要作用。目前,我国的测绘信息系统的建设与发展相对较为落后,测绘信息服务的对象越来越广泛,包括政府部门、企事业单位、居民生活,这对于城市信息系统的建设提出了更高的要求。因此,我国的城市测绘信息系统的建设应立足市场需求,扩大测绘信息系统的服务对象和服务范围,在巩固传统测绘市场的基础上,不断改进测绘技术,使得测绘信息朝着多元化的方向发展,以此满足城市测绘发展的需要。国内测绘行业的信息化建设进程的不断推进,测绘系统的信息化建设会是今后发展的主要方向。
1 我国城市测绘信息系统的发展历程
我国的城市测绘技术发展主要经历了三个阶段,从最早的模拟测绘技术,发展到数字测绘技术,再到现在广泛使用的信息测绘技术。信息化系统的建设逐步涉及城市规划和市民日常生活的各个方面,技术手段逐步先进,产品形式多样化,服务对象越来越广。
1.1 模拟测绘技术
城市测绘技术首先经历的是模拟测绘阶段,此阶段使用的仪器主要有经纬仪、水准仪、钢尺和机械仪器等,受到测绘技术发展的限制,测绘仪器较为笨重,携带不便,仪器使用过程中的稳定性较差,使得模拟测绘技术工作效率低、劳动强度大,数据记录方式采用传统的手工记录,人为因素造成的测绘数据存在潜在的误差风险。
1.2 数字测绘技术
在20世纪后期,数字测绘技术逐步取代传统的模拟测绘技术,成为测绘行业主要使用的测绘技术。数字测绘技术和模拟测绘技术有着明显的不同之处,首先是测绘仪器不同,数字测绘技术的数据采集仪器主要是GPS、全站仪、全数字航空摄影测量等;其次是数据处理方式不同,数据处理主要依靠AutoCAD、MicroStation等软件,数据的处理较为便捷,准确度高;最后,数字测绘技术对人员的依赖程度降低,减少了大量的体力劳动,且测绘效率和精度均较模拟测绘技术要高,测绘行业的服务范围和服务对象逐步扩大,测绘技术的发展对于城市规划和国民经济发展的作用也逐渐显现。
1.3 信息测绘技术的全面发展
随着全球信息化的发展进步,测绘行业发挥的作用也在不断提高,比如信息量的增加、种类的增多等,因而提高测绘技术的信息化程度也势在必行。过去的测绘行业注重空间位置的测量,数据的处理主要依赖于GIS平台,标准体系则面向地理信息建库,包括数据格式标准、信息交换标准、元数据标准等。现阶段的测绘行业强调面向对象的服务理念,其核心是为了实现地理信息服务工作的实时性和高效率,信息测绘进一步丰富了测绘成果的表现形式及其内容,进一步提高了地理信息产品的覆盖领域和服务效率。
2 城市测绘信息系统的建设内容和方向
2.1 生产体系的构建
测绘信息系统的建设离不开生产体系的构建,生产体系的作用在于对基础数据进行加工,并服务于用户。构建测绘信息系统的生产体系建设,主要的目的就是为了改变测绘行业内部的传统生产模式,全面与社会接轨,根据用户的不同需求,实现空间数据和信息的需求化生产,以服务促进技术革新,提高行业的数据处理能力和处理质量。构建生产体系的工程中,应以数字化测绘技术为依托,利用用户对信息化测绘产品的各种需求构建测绘产品的数据质量标准,不断提高产品的技术含量;同时不断完善地理信息数据采集和数据加工信息平台,将更多的测绘技术和数据处理技术应用于产品的研发的过程中,让产品具有适应市场多元化需求的能力。对初级产品的文件形式进行升级和改造,使之可以适应数字化技术要求,实现数据库的建立和更新。在对数据进行加工处理的时候,应按照数据库的标准进行数据生产,增强数据的概念,将生产的数据实时、准确地与数据库对接,通过数据库的操作实现不同用户的使用
需求。
2.2 健全信息安全系统建设
测绘信息系统的发展不同于传统测绘技术,在信息化时代,网络安全问题始终是需要防范的重点。测绘数据具有精确的空间地理定位信息,这些数据的泄漏会对国家安全和社会稳定造成不可预知的后果。因此,为了方便、快捷、安全地获得有效的测绘数据,建立和健全测绘信息安全系统势在必行。基于信息安全系统管理基础地理信息的数据可靠性和测绘单位的切身利益,相关部门可采取数字加密、数字认证等技术手段构建信息安全保护屏障,防止测绘数据被改动。同时,信息安全系统还应该具备信息数据软件备份、硬件备份和异地存储的功能,防止数据信息在意外情况下丢失,造成不可挽回的损失。除此之外,建立一套完备的、独立的信息管理规章制度,对于信息安全系统的建设工具有重要
意义。
测绘信息系统在方便用户使用的同时,也存在着安全风险,我们应综合考虑多方面因素,建立和健全信息综合保护体系,加强内部管理制度,严防外部因素
干扰。
2.3 构建规范信息管理体系
管理体系的完善在系统建设的过程必不可少,它决定着一个行业的发展前景和发展高度。测绘信息系统的完善过程同样离不开管理体系的构建。因此要确立管理体系和完善建立管理体系就应当将对行业定位和目标进行明确。现阶段,我国的测绘信息系统的构建应确定其发展方向及测绘行业在未来要达到的发展目标,结合自身发展特点制定满足行业发展需求的信息管理体系。在实际的管理中对组织机构管理制度、培训教育、职能划分等进行细致划分,力求达到对人力资源、技术体系、数据管理等的合理管理。
3 结语
我国城市测绘信息系统的建设仍需要不断进行,测绘信息系统的建设要结合实际,重点放在数据整合及其开发应用上,从产品、服务和管理三个方面着手,完善管理体系,提高服务质量。测绘信息化建设不仅是技术层面的问题,也是观念的创新,树立信息产业的观念,涉及人才队伍建设,还需要建立相应的信息安全保障制度,最终实现基础地理信息的内容多元化、管理正规化、运行网络化,推进测绘信息系统的不断发展,按阶段对各个部门的工作质量进行严格控制,促进测绘信息系统的安全高效发展。
参考文献
[1] 肖建华,罗名海.城市测绘单位信息化建设的几个问题[J].地理空间信息,2004,(5).
[2] 倪岩.城市测绘行业的信息化测绘体系构建[J].城市勘测,2010,(6).
[3] 何平.信息化测绘体系建设在城市测绘工作中的应用[J].中国新技术新产品,2014,(11).
