行政机构信息安全的风险分析与应对.docVIP

行政机构信息安全的风险分析与应对 【摘要】随着互联网的高度发展，行政机构办公越来越离不开信息网络，如何保证行政机构的信息安全将成为我们研究的一个重大的课题。行政机构的信息安全涉及到多个方面，从信息的采集、存储到传输、访问整个过程，每一个过程中都存在信息安全风险。本文着重对行政机构信息安全风险进行了分析并提出了有效的控制措施。 【关键词】信息安全;风险;应对 随着计算机应用范围日益广泛，社会发展和人们生活已经离不开信息网络。信息技术成为行政机构中重要的资源之一，很多行政机构都大量引入了信息化办公手段，运行于系统、网络和电脑的数据安全成为了行政机构信息安全面临的重大问题。尽管很多行政机构都认识到信息安全风险管理的重要性，也纷纷从人员配置、资金投入、技术更新等多方面加强对信息安全风险的管理，但是行政机构信息安全风险并没有随之消失，相反却在不断地增长。现在，机构在越来越多的威胁面前显得更为脆弱。网络攻击日益频繁、攻击手段日益多样化，从病毒到垃圾邮件，这些方式都被用来窃取机构信息，如不提前防范，一旦被袭，网络阻塞、系统瘫痪、信息传输中断、数据丢失等等，无疑将给行政机构业务带来极大的负面影响和经济损失。因此，行政机构信息安全风险控制势在必行，它不仅是行政机构需要关注的问题，也是涉及到国家安全的重要课题。 1.行政机构信息安全的风险分析 1.1 黑客的入侵和攻击 行政机构面临着一系列的信息安全威胁，其中最普遍的一种信息安全威胁就是病毒入侵。黑客技术的网络资源随处可见，很多年轻人处于好奇或者出于牟利目的，从网上购得黑客技术，对行政机构网站进行攻击。 1.2 行政机构不重视信息安全的风险问题 目前，很多行政机构都加强了信息化建设，通过资金投入、技术改造等多方面来加强行政机构信息安全。但是信息风险不仅仅是技术层面的东西，更重要是人的意识层面对安全风险的认识。在行政机构中，很多部门和个人依然对信息安全风险问题不重视，有的认为信息风险安全是网络部门的事情，与其他部门或者员工没有关系，而且也帮不上忙;有的人认为对信息安全的宣传有夸张的嫌疑，真正遭受过网络攻击的行政机构屈指可数，肯定不会发生在自己身上;有的行政机构缺乏信息安全风险管理的制度建设，没有出台具体的故障制度，造成员工无章可循，不知道怎么应对网络信息风险，出现问题也不知道如何化解和处理。有的行政机构尽管已经制定了规章制度，但很多都是流于形式，没有针对性，也没有操作性，长年累月不进行更新和修改，滞后于信息化时代发展的要求。 1.3 行政机构信息安全权限的规定不严谨 很多行政机构在实际工作制定了大量的安全管理规定，但是在实际操作中，对行政机构员工以及信息服务人员的口令卡、数据加密等要求很难得到落实。部分员工长期使用初始口令、加密强度较弱的口令，有的员工登陆系统时使用别人的账号，使用完毕后也没有及时关闭账号，也不关电脑，外来人员很容易登陆电脑窃取行政机构机密文件，机构内部也缺乏信息安全风险管理的意识，员工可以任意下载行政机构资料，可以随意将行政机构资料设置成共享状态，在拷贝行政机构文件或者数据时，也没有经过杀毒过程，直接下载或者用邮件发送。甚至很多行政机构员工在上班时间看电影、玩游戏、下载文件比较普遍，员工随意打开一些不安全的网站，随意接受一些来源可疑的邮件，成病毒传播、木马下载、账号及密码被盗，自己还浑然不知。这些不良行为都严重威胁行政机构的信息安全，加上现代行政机构人员流动比较频繁，员工跳槽很普遍，很多员工离职后也没有上交机构账号和口令卡，依然可以登录原机构系统，给行政机构网络风险带来隐患。行政机构废弃不用的一些安全设备也没有及时进行加密和保护处理，里面的数据没有及时进行删除，安全设备随意放置，外人很容易从这些设备中还原和复制原有的信息资源。 1.4 行政机构缺乏对信息技术装备和设施的监控与维护 很多行政机构为了加强信息安全风险管理，都有针对性的部署了一些信息安全设备，然后这些从安装上就很少有人问津，设备的运行状况和参数设置都不合理，都是根据系统提示采用默认设置，由于行政机构与行政机构之间有很大的不同，行政机构之间的信息安全风险也相差迥异，采用默认状态无法照顾行政机构的真实情况，不能从源头上有针对性的加强信息安全风险管理。很多行政机构缺乏对安全设备以及运行日志的监控，不能有效的根据设备运行状况进行细致分析，从而采取适当措施加强信息风险管理。总之，在行政机构信息安全风险管理中被动保护的情况比较普遍，缺乏主动防御的意识，而且对于大多数中小行政机构而言，行政机构资金和规模都比较小，面临激烈的市场竞争，行政机构将主要精力用于市场开拓和产品的影响，以期在短时间内获得可观的利润，行政机构在信息安全风险上的投人比较少，很多设备都老化了，线路都磨损严重，却没有得到及时更新和维护，为行政机构安全风险管理埋下了隐患。