时间:2023-04-12 15:22:00
关键的政务信息泄露会给和社会带来极大的冲击,在信息管理过程中需要从信息技术、物理安全区域、信息安全制度、信息安全意识,业务信息交流和法律保护等方面构建信息安全策略,达到信息资源的全方位保护。
自从进入了信息时代,信息技术在的公共管理活动中所占的比重达到了前所未有的地步,为了提高管理工作的效率,纷纷加入到政务信息化的进程中,希望通过采用最先进的信息设备和信息技术来快速实现信息的高效处理。然而,在以互联网为主要信息交换渠道的电子政务,具有时效要求或保密要求的信息资料也很容易通过正式渠道泄露,不论是有意还是无意的泄露,都会给的正常工作带来极大的危害,甚至会对社会带来极大的冲击。合理地运用信息安全保护策略,为提供全方位的信息资源安全保证,在现代的信息管理工作中显得尤为重要。
1.信息安全技木层面的保护
1.1理立全面的安全防护体系。具体涉及到的信息安全技术包括通过保用可管理交换机、防火墙等网络安全设备,达到数据在内部网与外部网之间进出控制,根据过滤原则判断数据是否通过。建立授权和身份认证系统,加强账户和口令的控制实现授权访问控制,用户身份识别等,用于自动发现网络上的安全漏洞给出分析报告。建立安全检测预警系统,用于实时检测网上的数据流,寻找具有网络攻击特性和违反网络安全策略的数据流,当发现可疑数据流时按照系统安全策略规定的响应策略进行响应,实时阻断非法的网络连接。
1.2建立有关系统安全方面有价值的信息的系统日志审计。在系统运行时,通过网络管理员对系统日志进行配置,达到尽可能多地保留有用信息的目的。其中系统文件是自动生成的,内容包括操作方式,登记次数,运行时间,交易内容等,对于系统的运行监督,维护分析,故障恢复,对于预防窃密事件的发生以及发生之后的侦破提供依据。
1.3建立数据应急保护系统。为了满足系统业务不间断的要求,避免由于自然灾难和事故设备的损坏造成系统停止服务而采用系统备份和恢复技术。灾难恢复包括许多工作,一方面是硬件的恢复,使计算机系统重新运转起来,另一方面是数据恢复。灾难备份技术总是以关键业务为保障对象,而不是简单地对整个系统进行备份,否则,不仅在技术上实现难度大,在代价上也较高。
1.4严格规范内外网络的连接。由于互联网是一个开放的系统,不为任何服务提供安全保障,在内部网络与外部网络的互联时,在系统安全检查合格后才能接入外部网络。换句话说,一种安全的信息技术系统要对用户的访问权限予以限制,同时避免应用软件和数据的破坏,更重要的是当系统失灵时能够重新启动系统并保存重要的数据备份。
2信息安全的物理保护
2.1信息安全区的物理保护。要严格限制非有关人员进出具有信息保密要求的物理区域,一切人员的进出要按照规定的出入路线。对敏感信息载体加以物理屏蔽。具有高度保密要求的机要室、档案室应尽量与外界隔离,阻断外来视线,对具有重要政务信息价值的文件、档案应婉言谢绝参观,以防止信息外泄。
2.2安装反窃听装置。窃听已经成为获取信息的重要手段,非常有必要安排专人进行清查,例如对会议室的桌椅沙发以及领导的办公室检查是否被人安排了窃听装置,经常化专业化的反窃听检查可有效减少信息机要信息的外泄。
2.3对内部资料的保护。对有时效性或全局性的关键内部出版物的发放进行严格限制,仅仅限于发放给职员,严厉禁止内部资料的外传。在公开出版物出版之前,需要出版界新闻界上交具有个人信息特征的复印件给信息安全部门,在出版物出版之前回顾所有文章的细节问题。
对文件的复印实行专人负责制,同时规定哪类资料是不能复印的。建立相应的复印制度,使之有规可依。一些为了进行节约,对纸张进行重复利用,节约的同时一些包含重要信息的内容就被泄露出来。所以对一些包含重要信息的资料的纸张是不能进行二次使用的。
2.4垃圾废品处理。在对垃圾废品的管理中,应该主要从以下方面入手,进行严格的文件划分,为丢弃的机密制定扔弃的步骤,确保信息已经彻底销毁。毁掉副本或复写纸,因为如果复印机和传真机使用胶片或复写纸,职业化的情况人员是能够从这些有痕迹的胶片或复写纸上读出相关信息的,所以一定要在被销毁之前粉碎那些易读的媒介物。对于一些纸上信息,切记千万不要随手乱扔,在将废纸扔进垃极筐前,必须检查纸上是否有关于的机要信息。
3信息安全管理层面的保护
在利用各种技术,采取物理保障信息安全的同时,应加强对公务人员的管理和教育,来实现的信息安全。
3.1制定工作职位信息安全制度。根据的信息安全方针制订该职位在安全方面所扮演的角色和应承担的责任,并形成相关的文档。角色和责任的制订可考虑以下几方面的因素应与信息安全方针保持一致;应保护可能涉及的资产;应及时报告安全事件;是否需要执行某些安全职能。所签署的正式工作合同(或其附件,如保密协议等等)中必须包含该职位在信息安全方面的责任条款。与掌握重要信息的员工、离退体及调动工作的职工,通过定立保密合同的形式予以明确对本的信息安全负有保护的义务。此外,还应建立惩戒制度,以对那些违反了信息安全管理规定的人员进行惩罚,这不仅是一种惩罚措施,同样也是一种威慑手段。
3.2培养公务人员信息安全意识。在公务人员正式投入工作、获得访问敏感信息的权利之前,应再次向该公务人员明确和细化其岗位所承担的信息安全责任和相关要求。安全教育也是比较重要的一个环节,安全教育能使得掌握基本的安全知识,有利于安全意识的提高,应定期在内部开展信息安全教育和培训,提高公务人员的安全意识和技术水平。
3.3妥善处理公务人员离职的信息安全问题。公务人员离职前,应重申其离职后一段时间内仍须遵守的安全条款,如在保密协议签订的相关内容以及可能由此引发的法律责任。应收回公务人员所持有的信息资产,如配发的笔记本、门禁卡、以及软件、内部文档等。公务人员的对信息系统的访问权限应被立即移除,如停用个人账号、调整所在组的账号等。同时还应注意防止离职前的蓄意破坏及盗取资料等行为的发生。
4信息外部交流方面的保护
在与业务伙伴或公司企业的交往中,应注意交流对象与相应职能部门的信息交换度,随着信息化的发展,内部网络对职能部门、公众、企业的开放程度越来越大,在这方面,需要注意对允许交流对象访问的信息处理设备和信息进行安全防护;明确通信交流是如何进行的;同时应该注意与交流对象明确界限,在处理与交流无关的机要信息及其他相关问题上尽量孤立交流对象,把与不能处理相关业务的机构的联系减到最低。
在交往中与交流对象建立一个适当而合法的界限,努力作到一切都在法律允许的范围内进行。由于某些重要原因,某些机要信息的产生和处理过程中必须要让交流对象参与其中,需要制定如何以最低的风险向交流对象在一定程度上披露某些重要信息的文件,文件需要明确规定在何时、何地何种情况下可以将重要的信息披露给第三方,以及允许披露的范围,在披露之前需要与当事人签订相应的保密协议,统一对外发布信息的口径,例如新闻发布,商务会谈,以及技术人员发表论文,赠送资料等活动,必须达到整体的一致性。
5结论
信息安全工作是一个全方位的工作,需要从多方面进行有效管理以及合理运用技术、制度、政策、法规等进行全方位的考虑,在计算机网络不断发展普及、政务信息公开程度日益扩大的今天,加强管理为信息安全问题消除隐患显得尤为重要,最终使信息资源在的管理活动中发挥应有作用。
免责声明以上文章内容均来源于其他网络渠道,仅供欣赏,不代表本站观点,与本站立场无关,仅供学习和参考。如有涉及到您的权益,请来信告知(email:qsllxy@163.com),我们核实后会立刻删除。
