好投稿
搜索

期刊大全 杂志订阅 SCI期刊 投稿指导 期刊服务 文秘服务 出版社 登录/注册 购物车(0)

首页 > 精品范文 > 信息安全论文

信息安全论文精品(七篇)

时间:2022-08-01 11:44:47

序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇信息安全论文范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。

信息安全论文

篇(1)

1.论信息安全、网络安全、网络空间安全

2.用户参与对信息安全管理有效性的影响——多重中介方法

3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程

4.论电子档案开放利用中信息安全保障存在的问题与对策

5.美国网络信息安全治理机制及其对我国之启示

6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究

7.“棱镜”折射下的网络信息安全挑战及其战略思考

8.再论信息安全、网络安全、网络空间安全

9.“云计算”时代的法律意义及网络信息安全法律对策研究

10.计算机网络信息安全及其防护对策

11.网络信息安全防范与Web数据挖掘技术的整合研究

12.现代信息技术环境中的信息安全问题及其对策

13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角

14.论国民信息安全素养的培养

15.国民信息安全素养评价指标体系构建研究

16.高校信息安全风险分析与保障策略研究

17.大数据信息安全风险框架及应对策略研究

18.信息安全学科体系结构研究

19.档案信息安全保障体系框架研究

20.美国关键基础设施信息安全监测预警机制演进与启示

21.美国政府采购信息安全法律制度及其借鉴

22.“5432战略”:国家信息安全保障体系框架研究

23.智慧城市建设对城市信息安全的强化与冲击分析

24.信息安全技术体系研究

25.电力系统信息安全研究综述

26.美国电力行业信息安全工作现状与特点分析

27.国家信息安全协同治理:美国的经验与启示

28.论大数据时代信息安全的新特点与新要求

29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究

30.工业控制系统信息安全研究进展

31.电子文件信息安全管理评估体系研究

32.社交网络中用户个人信息安全保护研究

33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述

34.三网融合下的信息安全问题

35.云计算环境下信息安全分析

36.信息安全风险评估研究综述

37.浅谈网络信息安全技术

38.云计算时代的数字图书馆信息安全思考

39.“互联网+金融”模式下的信息安全风险防范研究

40.故障树分析法在信息安全风险评估中的应用

41.信息安全风险评估风险分析方法浅谈

42.计算机网络的信息安全体系结构

43.用户信息安全行为研究述评

44.数字化校园信息安全立体防御体系的探索与实践

45.大数据时代面临的信息安全机遇和挑战

46.企业信息化建设中的信息安全问题

47.基于管理因素的企业信息安全事故分析

48.借鉴国际经验 完善我国电子政务信息安全立法

49.美国信息安全法律体系考察及其对我国的启示

50.论网络信息安全合作的国际规则制定  

51.国外依法保障网络信息安全措施比较与启示

52.云计算下的信息安全问题研究

53.云计算信息安全分析与实践

54.新一代电力信息网络安全架构的思考

55.欧盟信息安全法律框架之解读

56.组织信息安全文化的角色与建构研究

57.国家治理体系现代化视域下地理信息安全组织管理体制的重构

58.信息安全本科专业的人才培养与课程体系

59.美国电力行业信息安全运作机制和策略分析

60.信息安全人因风险研究进展综述

61.信息安全:意义、挑战与策略

62.工业控制系统信息安全新趋势

63.基于MOOC理念的网络信息安全系列课程教学改革

64.信息安全风险综合评价指标体系构建和评价方法

65.企业群体间信息安全知识共享的演化博弈分析

66.智能电网信息安全及其对电力系统生存性的影响

67.中文版信息安全自我效能量表的修订与校验

68.智慧城市环境下个人信息安全保护问题分析及立法建议

69.基于决策树的智能信息安全风险评估方法

70.互动用电方式下的信息安全风险与安全需求分析

71.高校信息化建设进程中信息安全问题成因及对策探析

72.高校图书馆网络信息安全问题及解决方案

73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析

74.云会计下会计信息安全问题探析

75.智慧城市信息安全风险评估模型构建与实证研究

76.试论信息安全与信息时代的国家安全观

77.IEC 62443工控网络与系统信息安全标准综述

78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义

79.浅谈网络信息安全现状

80.大学生信息安全素养分析与形成

81.车联网环境下车载电控系统信息安全综述

82.组织控制与信息安全制度遵守:面子倾向的调节效应

83.信息安全管理领域研究现状的统计分析与评价

84.网络信息安全及网络立法探讨

85.神经网络在信息安全风险评估中应用研究

86.信息安全风险评估模型的定性与定量对比研究

87.美国信息安全战略综述

88.信息安全风险评估的综合评估方法综述

89.信息安全产业与信息安全经济分析

90.信息安全政策体系构建研究

91.智能电网物联网技术架构及信息安全防护体系研究

92.我国网络信息安全立法研究

93.电力信息安全的监控与分析

94.从复杂网络视角评述智能电网信息安全研究现状及若干展望

95.情报素养:信息安全理论的核心要素

96.信息安全的发展综述研究

97.俄罗斯联邦信息安全立法体系及对我国的启示

98.国家信息安全战略的思考

篇(2)

1.1高校信息安全的概念

目前,信息安全并没有明确的定义。ISO/IEC17799中将信息安全定义为:通过实施一组控制而达到的、包括策略、措施、过程、组织结构及软件功能,是对机密性、完整性和可用性保护的一种特性。美国对信息安全的定义是:对信息、系统以及使用、存储和传输信息的硬件的保护。美国从技术和管理两个角度出发,将信息安全概括为信息环境安全、信息数据安全、信息程序安全、信息运行系统安全四个方面。沈昌祥院士将信息安全定义为:“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。”我国关于信息安全的定义基本上从技术和管理角度提出(主要指信息系统安全)。在本文中,笔者将高校信息安全界定为:高校信息安全是指确保涵盖信息处理系统的安全、信息自身的安全和信息利用安全在内的,从电脑硬件安全、处理系统运行安全、信息数据安全、信息内容本身安全四个维度出发,对具有机密性、完整性和可用性的高校信息保护的一种特性。

1.2高校信息安全的内容

通过上文对高校信息安全概念的界定,笔者认为高校信息安全主要内容归纳为以下四个方面:一是从物理安全维度看,主要是校园网络内运行的硬件设备的安全。涉及的是动力安全、设备安全、电磁安全、环境安全等;二是从运行安全维度看,主要涉及网络系统的可控性、可用性、可信赖性等,即保障信息系统不被篡改、破坏或不被非法操作等;三是从数据安全维度看,保障校园网络中流通数据的安全,既网络中的数据不被篡改、非法增删、复制、解密、盗用等;四是从内容安全维度看,是对信息本身内容真实性的鉴定、隐藏信息的发现以及对信息的选择性阻断。其中物理安全和运行安全是信息安全的基础。

1.3高校信息风险表现及信息安全保障之必要性

高校信息风险主要表现为:一是高校“信息风险人群”比例远高于国内其他行业“风险人群”。据360安全中心的《2013年第一季度中国个人电脑网上安全报告》显示,国内高校“风险人群”比例为28.7%。比全国“风险人群”的25.8%高近3个百分点。二是高校引发信息安全的因素种类繁多。除自然因素外,如计算机病毒、黑客、钓鱼网站、非法入侵盗号、系统的漏洞、人为操作等。三是高校的私有机密信息如学校公共数据、师生的个人信息、财务信息、档案信息、设备资产信息、教务信息等重要数据容易泄露或被非法窃取。针对高校信息风险表现,积极探索高校信息安全保障策略具有重大意义。一是有利于提高高校信息安全管理整体意识;二是有助于制定行之有效的信息安全管理制度,三是能促进高校信息安全保障机制的不断完善,有效推进高校信息化进程;四是是能提高师生信息安全意识,促进我国信息安全专业人才的培养。

2高校信息安全风险分析

信息风险分析是一种主动识别信息风险的过程。笔者分别采用定性分析、定量分析、定性和定量相结合的方法对高校现实信息系统的实际情况做了调查研究、结合学校信息泄露案例进行分析,从共性上看,认为信息安全风险因素可以归纳为以下几类。

2.1高校信息安全保护机制普遍存在认识不足,防护不够的现象

首先,高校网络系统使用人员信息安全意识淡薄。主要表现为大学生对信息安全缺乏足够的重视,高校没有成型的大学生信息安全教育模式,对大学生进行信息安全教育处于形式。高校对大学生的信息安全教育不够重视,严重滞后于信息技术的发展。大学生对学校信息安全缺乏正确认识,对相关信息安全法律法规缺乏了解,信息安全意识淡薄。作为系统使用人员的教师,由于缺乏必要的信息安全知识和信息技术,对信息安全防护漠不关心,片面的以为学校信息安全属于专业技术人员,于己无关。其次,高校信息管理人员安全意识淡薄。对于缺乏信息安全教育专业培训的技术管理人员来说,他们缺乏“防黑防毒”意识,对于来自外部或内部的恶意攻击缺乏警惕性,缺乏积极防御、保障信息安全的主动性。再次,高校信息安全专业人才的培养尚处于起步阶段,高校贫缺专业信息安全管理人才。由于缺乏专业信息安全人才的专业指导,导致高校信息安全建设缺乏系统规划和整体布局,对信息风险认识不够,分析不彻底,所制定的信息保障策略存在漏洞。最后,对信息系统安全漏洞未能及时、定期修复。安全漏洞是指在网络系统硬件、软件、协议和系统安全策略存在的缺陷和错误。攻击者就是通过研究这些漏洞向高校的信息系统传播病毒,或者人为控制计算机系统。管理者只有及时修复这些漏洞,才可以确保信息安全。

2.2高校信息安全制度不健全,存在信息安全管理漏洞

虽然高校信息化普及很快,但大部分高校对信息安全在监督和管理上都存在着漏洞。高校在信息安全管理上缺乏健全的制度,高校内部管理相对松散,已有的制度大多数是趋于形式的要求而设立,没有严格的监督检查机制,甚至连信息安全领导小组都未成立,对突发的信息安全问题缺乏应急处置预案,出现头痛医头,脚痛医脚的忙乱应对现象。据初步统计,大部分的信息安全问题是由于管理疏忽或者管理不善造成的,因此,从管理角度加强信息管理,是能够有效保障信息安全的。

2.3高校信息安全投入不足,安全保障设施不健全

目前高校数字化建设已经取得一定成绩,数字化教学、管理、服务基本普及。但在管理和保障信息安全的设备上投入资金十分有限。首先因为用于保障信息安全设备成本较高,而信息风险的不确定性导致信息安全本身又不被领导充分重视,大部分高校安全保障配套设施陈旧;其次伴随高校扩张,大部分高校网络缺乏战略发展规划,网络边界设备之间缺乏有效的联动,网络拓扑结构不合理,内网和外网在数据交换及数据流转方面存在不安全因素;最后为节约网络运行成本,学校采取与网络营销商合作的方式来减少学校网络运行维护人员,忽视对网络安全维护方面的投入。

2.4高校缺乏对BYOD、云计算和大数据安全问题应对方案

由于在智能手机、平板电脑、超极本的智能终端使用某些应用比在PC上操作方式更简单快捷,2013年移动办公设备的信息安全问题成为安全信息的新问题。调查显示,高校基本上还没有制定相关的BYOD安全管理政策,以具体规定师生员工如何在学习工作场所中使用自己的移动。如何在确保信息安全的情况下更好的利用BYOD带来好处成为高校信息安全风险分析的重要任务。高校在云计算信息安全方面专注于保护云计算主机站点的数据安全,对从移动终端访问云数据的用户安全重视不够,他们经常面临数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作、云计算服务的滥用、云服务规划不合理、共享技术的漏洞等问题。

3高校信息安全保障策略

建立高效、协调、集成的数字化办公系统是长春理工大学成为综合性、研究型、开放式的国内一流大学的信息化保障,如何保障信息安全便成为建设数字化办公系统需要面对的首要问题。

3.1加强信息安全知识教育和技能培训,从信息主体层面增强网络安全防护

为从根本上增强网络安全防护,长春理工大学采取了一系列措施提高网络信息主体——师生的信息安全防范意识和防范技能。一是加强国内外信息安全法律法规教育,增强师生信息安全法律意识。如:长春理工大学定期组织管理员、信息源接入人员、广大师生学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核、登记制度》等国内外信息安全法律法规教育,普及信息安全知识,提高师生安全保密素质,让师生明确维护信息安全的重要性和维护信息安全人人有责,充分发挥师生在信息安全维护中的主体作用。二是对师生进行信息安全技术培训,提高师生信息安全防御技能。信息安全技术培训主要是针对师生的实际需求,开展计算机应用和网络运用技能的培训,培养学生基本的网络防御技能。长春理工大学多年来一直坚持定期邀请专职技术人员对学校师生进行信息安全技术培训。如电脑操作系统定期更新,及时修补电脑安全漏洞,辨别不良网站等知识,让师生学会日常的安全操作和系统维护。

3.2坚持校园网硬件投入和有效信息技术的充分融合,确保网络运行安全

首先,建立完整的校园网络病毒防御体系。一是安装正版杀毒软件。如:长春理工大学将正版的杀毒软件挂在学校的信息中心网站上,让学校教师免费使用正版杀毒软件,通过利用正版杀毒软件定期扫描杀毒,及时修复系统漏洞,遇到问题及时向软件开发商发送错误报告并进行分析,定期升级防毒软件、更新病毒库等,有效保障了学校电脑的安全运行。二是详细设置防火墙防范策略。对操作系统的端口配置严格把关,必须及时做到开放该开放的,关闭不需要的端口。对外提供网络服务的服务器。把必须利用的端口开放,其他的端口必须全部关闭。三是安装与配置IDS入侵检测系统。入侵检测系统主要监控内部网络操作行为及多种攻击,是检测防火墙过滤后的隐匿攻击。四是安装漏洞扫描系统。如:长春理工大学为每位教工电脑安装漏洞扫描系统,采用主动探测的方式快速获取目标设备的脆弱点,从而协助系统操作人员对目标系统建立风险快照。分别采用ping扫描、端口扫描、OS探测、脆弱点探测等技术对指定的远程或本地的计算机系统的安全威胁进行定期扫描检测,及时修补各种漏洞。其次,以防内为主,内外兼防为辅,确保信息终端平台的可信赖性。安全终端平台的建设依靠密码服务和安全操作系统支持。一是确保终端平台用户的合法性,用户只能根据规定的权限和控制规则进行操作;二是采用身份认证、访问控制、密码加密等措施,构建计算机系统应用环境安全,如:长春理工大学教师采用一卡通的上网卡号进行身份认证;三是建立提供认证、授权、检测、应急和处理非法访问服务的信息安全管理中心,提供互联互通的密码配置,公钥证书等密码服务措施。具体保障措施如下:选用LOTUSNOTES/DOMINO作为办公自动化系统的主要开发平台。(1)数据加密。包括使用秘钥对电子邮件文档加密;网络端口级加密;使用SSL对在INTERNET客户机和DOMINO服务器间或在NOTES工作站和INTERNET服务器间传送的住处进行加密;域、文档和数据库加密。(2)NOTES的数字签名,身份认证包括NOTES工作站与DOMINO服务器之间的认证以及客户端与mMmo服务器之间的认证。(3)NOTES还允许用户通过建立群组的角色的方式来规划NOTES数据库的访问安全性。(4)利用双网卡主机技术实现办公网络安全隔离。(5)引入第三方的公钥基础结构(PK),进一步改善网络系统的安全性。

3.3建构多重信息安全管理渠道,加强信息安全运行的制度保障

首先,设置层次明晰,职能合理的信息安全管理机构。依照“预防为主,综合治理”、“制度防范和技术防范相结合”的原则,信息安全管理实行三级管理机制,由领导决策并负监督,中层干部管理,基层操作者具体执行。以长春理工大学为例,近年来学校建立了信息安全管理的三级管理机制,成立了专门的信息中心,处级单位,配备具有专业知识的工作人员,由一名副校长分管学校信息安全工作,中层领导分管本部门的信息安全工作,基层建立兼职信息员队伍,具体负责本部门的信息安全工作,使得信息安全工作层层落实。同时学校还制定了具体的组织体系和信息安全工作职责,厘清三级体制下各级各部门的具体职责;制定了《长春理工大学信息员管理办法》,详细规定各信息安全岗位人员管理考核办法,使信息安全工作落到实处。其次,建立常规管理制度、应急处理和定期评估制度。一是针对信息安全具有复杂性、动态性和突发性强的特点,制定常规化信息管理制度。如长春理工大学先后制定了《长春理工大学操作系统和数据库的安全配置程序管理制度》、《长春理工大学网络信息中心机房管理制度》、《长春理工大学计算机案件和事故报告制度》、《长春理工大学计算机病毒及有害数据报告制度》、《长春理工大学病毒检测和安全漏洞检测制度》、《长春理工大学网络设备管理制度》、《长春理工大学信息审核制度》等多项信息管理制度。二是制定应急处理机制,对于突发的、涉及范围广,危害性大或影响深的信息安全事件采取有效的应对措施,有效控制信息危机的发生。如长春理工大学成立信息危机应急处理小组,及时应急处理方案和信息,有效控制信息危机的发生。三是注意日常信息安全动态,建立定时测评,不定期检查,随时抽查的信息检查制度,如:长春理工大学建立了信息检查制度,不定期检查各基层单位信息安全情况,并对相关测评、检查、抽查的情况进行汇总形成相关信息安全检查日志,及时通报相关部门。

3.4设立信息技术咨询指导部门,促进信息安全防护与前沿信息技术的紧密结合

没有一劳永逸的信息安全保障策略。随着信息技术的发展,保障策略要不断更新、完善。例如:长春理工大学组建专业技术咨询指导部门,成立了长春理工大学信息中心,由专职工作人员跟踪最前沿的安全信息及新信息技术的发展动态,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新信息安全保护措施,取得了较好的效果。学校还将最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业化培训,应对随时可能爆发的信息安全事件,增加广大师生的信息安全知识,提高信息安全意识,使学校的信息安全工作切实做到实处,收到了实效。

4结语

篇(3)

高校数字化的档案信息从传输、存储到显示利用都要通过计算机来实现,计算机和网络是生成和利用数字档案信息的基础和前提,离开计算机软硬件和网络的传输,数字化的档案信息就不可能读取和显示,因此,数字化档案信息对计算机及网络有很强的依赖性。然而众所周知,计算机及网络具有一定的不安全性,因为计算机网络的某些隐患,有时会使档案信息遭到毁灭性的破坏,这就产生了档案信息的安全问题。如何确保数字化档案信息的保密性、完整性、真实性和可利用性,给高校档案数字化工作带来了极大的挑战,对高校在档案数字化进程中采取先进技术和有效措施,保障高校档案信息安全提出了较高的要求。

二、数字化进程中高校档案信息安全现状

档案数字化给高校档案工作带来了新的生机,数字化档案信息的网络传输和查询在为社会提供广泛信息服务的同时,也给高校档案的信息安全带来了严峻挑战。例如:在数字化加工过程中,有的高校利用勤工助学学生或通过外包实现档案全文数字化,存在对学生培训不够和对数字化加工服务机构、加工场地、加工人员和加工成果等方面监管不到位,管理不规范的问题;有的高校档案管理人员没有经过正规的机要保密培训,在工作实践中,对已触“红线”的档案信息资料继续以常规方法挂网;有的政府信息安全部门对进行档案数字化工作的单位指导不到位等等。

1.高校档案数字化进程中没有完整的法律法规制度保护信息安全。

目前,各高校全文数字化工作主要依据《中华人民共和国档案法》、《高等学校档案管理办法》、《电子公文归档管理暂行办法》等法规。法规制度分散零乱,缺乏系统的规划和设计,对于高校档案信息安全保障法规不成体系,缺少专门的法规。

2.高校档案数字化没有统一技术规范标准。

目前,没有一套具体全面、系统规范、科学合理、可操作性强的档案数字化技术规范,来保证高校档案数字化工作能够安全、科学、规范、有序地进行。

3.高校档案数字化评估、防范少,档案信息安全缺乏预警能力。

高校档案信息安全保障体系的各部分建设仍处于相对独立的状态,常将档案信息安全保障与档案信息安全保护混为一谈。人员岗位职责不明确,业务操作不规范,有越岗代岗现象,有的操作人员在相关计算机上使用与档案数字化无关的软件,难免带来病毒侵袭等隐患,造成数字化系统瘫痪,使得安全保障阶段的能力仅仅停留在保护的水平上,不能主动防御和动态保护档案信息安全。

4.高校档案专业人才短缺,档案信息安全保障缺乏发展能力。

在档案信息开发和利用过程中,人始终参与其中,是档案信息安全的制造者,也是档案信息安全的护卫者。随着档案信息化的推进和档案事业的发展,对档案工作者的要求也越来越高。在档案信息安全保障体系建设中,专业的信息安全人才是不可或缺的部分。

三、数字化进程中高校档案信息安全策略

1.遵循法律制度是高校档案信息安全的基础。

法律制度是高校档案数字化工作生成、管理、存储、利用各环节的参与人员共同遵守的规章或准则的统称,包括政策、法律、法规、标准、内部规定等多种形式。连续、有效、健全的制度是科学应对档案数字化进程安全风险的保障。通过科学的制度建设,约束威胁数字档案安全的人为因素,调动各方面人员应对安全风险的积极性才是根本。在数字化进程中,要保证高校档案信息安全,必须加强法制管理,充分运用法律手段,规范档案管理人员对数字化档案信息的安全保障。把保障档案信息安全的各项工作纳入法制化、规范化的轨道,进而提高档案管理部门对档案信息安全工作的管理水平。目前,高校档案数字化进程中应遵循的相关法律法规包括:《中华人民共和国档案法》、《中华人民共和国档案法实施办法》、《高等学校档案管理办法》、《电子公文归档管理办法》等等。这就要求高校有关部门一方面要依据现有法律法规,加大执法力度,严格执法,切实起到保障高校数字化档案信息安全的作用,另一方面针对高校档案信息安全面临的复杂问题,上级有关部门要进一步完善高校档案信息安全的法律法规,尽早出台有效的专门的法律依据。同时,高校也要根据自身的实际情况,修订数字化档案信息安全管理办法。

2.制定档案信息安全标准是高校档案信息安全的前提。

档案信息安全标准是一种多学科、综合性、规范性的标准,其目的在于保证档案信息系统的安全运行,保证利用者和设备操作者的人身安全。面对数字化档案事业的不断发展,制定数字化档案信息安全标准对保证高校数字化档案信息安全与保密起着重要的作用。高校要根据国家相关标准与规范,结合学校实际情况,在充分调查研究的基础上,制定一套具体全面、系统规范、科学合理、可操作性强的档案信息安全标准,保证高校档案数字化工作科学、规范、有序地进行。档案信息安全标准包括以下几个方面的内容:一是网络基础标准,主要涉及基础通信工程建设、网络平台建设、网络互联互通技术等方面;二是应用标准,基于部分高校档案数字化信息也会面向公众,为社会提供必要的服务,所以要制定字符内部编码标准、数据处理格式标准、信息输出标准等;三是应用支撑标准,主要涉及信息交换平台、电子记录管理和数据库方面的标准,能给高校档案数字化提供各种支撑和服务;四是信息安全标准,主要涉及安全级别管理、身份认证、访问控制、加密算法和数字签名方面的标准;五是管理标准,主要涉及人员管理、制度管理和档案信息管理等方面的内容。

3.安全技术保障是高校数字化档案信息安全的核心。

数字化档案信息是高科技产物,因此也需要高科技技术来保障档案数字化信息服务、编研工作和档案信息安全工作。高校档案数字化进程中面临的技术风险多种多样,归纳起来主要有:软硬件配置不当、数字化技术不成熟等等,这些都会对信息安全构成隐患,但只要有防范意识,绝大部分风险都可以规避。目前,高校档案数字化进程中涉及到的信息安全技术主要有以下几种:一是防火墙技术。它是设置在被保护网络和外部网络之间的一道屏障,在外部网与内部网之间建立起一个安全网关,从而防止发生不可预测的、潜在破坏性的侵入。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏敝网络内部的信息、结构和运行状况,以此来实现网络的安全保护。二是数据加密技术。数据加密技术一般与防火墙技术配合使用,它是为提高信息系统及数字档案信息的安全性和保密性,防止机密信息被外部破析所采用的主要技术手段之一。三是反病毒技术。反病毒技术包括预防病毒、检测病毒和消除病毒三种技术。四是访问控制技术。在操作系统和数据库系统中规定了访问控制的权限,如规定文件建立者具有可读、写、修改或执行的权限。强制性访问控制引入了安全管理员的机制,增加了安全保护,可防止用户无意或有意地使用自主访问的权利。五是安全审计技术。通过对网络内发生的各种访问情况记录日志,并对日志进行统计分析,进而对资源使用情况进行事后分析,它也是发现和追踪事件的常用措施。

4.有效的安全管理是高校数字化档案信息安全的关键。

数字档案信息安全管理是以数字档案信息及其载体为对象的安全管理,它的任务是保证高校数字档案信息的使用安全和信息载体的运行安全。数字档案信息安全保障的管理体系是指以系统全面科学的安全风险评估为基础的、体现“防患于未然”为核心的、动态的数字档案信息安全管理。数字档案信息安全管理活动包括建立机构、制定计划、开展培训、落实措施、检查效果和实施改进等过程。学校档案部门必须成立一个安全管理工作组,负责实施和监控整个档案数字化信息安全管理活动,对档案数字化信息及信息处理设施的威胁、影响、脆弱性及三者发生的可能性进行评估;不定期对人员进行安全策略及安全技术的培训,有效地遏制来自外部和内部的攻击,增强安全防护能力和隐患发现能力,确保高校数字档案信息资源内容和信息载体的安全。

5.高素质的人才是高校数字化档案信息安全的保证。

人员管理是高校数字化档案信息安全工作中最关键的部分,也是最难的部分。应对各个时期的安全风险,有效管理参与人员应建立在以下两个假设之上:一是人人都可能带来不确定的安全风险因素,人人都肩负着保证信息安全的职责。在对外部非授权用户制定防护措施时,也要加强对内部人员的管理、培训、监督和审计工作。二是参与人员分工不同,每类人员参与档案信息安全的工作分工也不同。在保证档案信息安全工作计划中,应明确主管领导、技术人员、管理人员、数字档案形成者和利用者的权利、责任和义务。

四、结语

篇(4)

论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。

论文关键词:信息安全;保护

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

1我国信息安全的现状

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

2我国信息安全保护的策略

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。

②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

篇(5)

1.人才紧缺

由于企业档案信息安全保障技术是近年来才被广泛应用的,对于企业档案馆来说,档案人员的信息安全意识和技术水平有限,加之各个档案分室的人员年纪偏大,接受能力和操作水平有限,这也是企业目前亟需解决的问题。人才是档案信息安全保障建设的重要因素,档案管理人员信息安全意识的强弱,现代化设备操作水平的高低,责任感的强弱等都会对档案信息安全产生影响。可以想象,一个专业技能匮乏、责任感缺失、安全意识淡薄的档案管理人员,无疑会使档案信息安全如同置于一个无人防守的阵地,而被“敌人”不攻自破。

2.法制不健全

对于本企业来说,档案信息安全建设刚刚起步,企业档案信息安全方面的管理制度相对比较少,还需要在工作中不断加强管理,制定各种管理制度,这样才有利于实施档案信息安全管理。

二、企业档案信息安全保障体系建设的措施

档案信息安全简单地说就是档案信息内容完整、可控,未被破坏和未被非法使用者知晓使用。档案信息安全包括档案实物信息安全和档案信息管理系统安全两个方面。

1.保证档案信息的物理安全

物理安全策略的目的是保护电子档案存放介质、计算机系统、网络服务器、打印机等硬件实体和通信链路免受自然灾害、人为破坏和搭线攻击。首先,通常情况下,电子档案存储在磁、光介质上,这样就必须创造一个适合于磁、光介质保存的温湿度环境。其次,确保电子档案内容具有严谨的逻辑性。采用最新技术与方法,保证电子档案内容、格式、编排上的一致,并采用先进技术加以转换,保证电子档案的原始性。再次,要保证保存电子档案的计算机系统有一个良好的电磁兼容环境,建立完备的安全管理制度防止非法进入计算机控制室和各种偷窃、破坏活动的发生。物理安全策略是电子档案信息安全的前提,如果得不到有效保障,那么整个档案信息安全也就无法实现。

2.密切关注计算机技术的发展方向,确保档案信息管理系统安全

(1)档案信息管理系统软件要安全可靠系统软件必须要通过测评与审批方可投入使用。要学会运用多种先进的信息安全技术,档案信息安全技术不仅涉及到传统的“防”和“治”的技术,而且已经扩展到网络安全技术和数据安全技术等多种现代信息新技术。要学会运用网络安全技术,如访问控制技术、防治病毒技术和安全检测技术等。一是在防控技术方面可以设置入网访问控制和网络的权限控制,使内部网与互联网之间物理隔网,可以对访问者进行身份鉴别,主要是用户名的识别与验证、用户口令的识别与验证、用户账号的缺省限制检查,同时也可以很好地控制网络非法操作。二是运用防治病毒技术,及时在电脑上安装杀毒软件,定期升级杀毒软件,定期查杀病毒,不使用来历不明的U盘、光盘,不安装不明软件,以控制病毒的入侵。三是运用安全检测技术,对计算机网络所接入的服务器进行监视,同时在计算机中安装入侵检测系统,对电子档案信息进行监控和保护。

(2)运用数据安全技术档案信息安全最重要的是数据安全,这样才能保证档案信息的完整,有效避免被修改、泄漏等。企业应建立数据信息网络存储中心,采取数据集中或双机备份等方式规避风险,提高数据存储安全度。一是采用数据备份管理制度,确保数据的安全。可通过在线备份管理的方式,并根据实际情况采取近线存储与离线存储相结合的方式进行数据备份。为计算机系统配置多个磁盘、硬盘、硬盘阵列等,组成海量存储器,用以解决容量不足的问题。服务器端应及时安装操作系统及数据库系统补丁程序,修补系统安全漏洞,提高系统安全性。二是采用密码技术,对所有电子文件进行归档管理时应设置相应的密码。对于有密级限制的电子档案,为防止泄密,应该使用加密技术,防止被他人截获或篡改。

(3)保证网络安全网络安全保护主要是针对计算机网络及其节点面临的威胁和网络的脆弱性而采取的防护措施。网络安全保护是档案信息安全保护的重要内容。电子档案信息的优越性之一表现在它能实时通过网络畅通地提供给在线异地用户使用。因此,网络安全成为保障用户真实有效地利用电子档案信息的关键所在。确保网络安全的主要方法是采取物理隔离、防火墙以及身份认证等安全技术。防火墙技术是实现同外网隔离与访问控制的最基本、最流行、最经济也是最行之有效的措施之一。

(4)对档案信息载体实行异地备份制度对重要的档案信息载体实施档案备份制度,是提高抵御各种突发事件影响能力的一项重要举措。俗话说,“鸡蛋不能只放在一个篮子里”。我国较早就有对重要档案实行多套异地备份的制度,在危害档案安全的突发社会事件和自然灾害频发的今天,我们必须进一步强化风险防范意识,更加重视实施重要档案异地备份制度,提高灾害应对能力。

篇(6)

随着企业信息化水平的提升,大多数企业在信息安全建设上逐步添加了上网行为管理、内网安全管理等新的安全设备,但信息安全防护理念还停留在防的阶段,信息安全策略都是在安全事件发生后再补救,导致了企业信息防范的主动性和意识不高,信息安全防护水平已经越来越不适应当今企业IT运维环境和企业发展的需求。

2企业信息系统安全防护的构建原则

企业信息化安全建设的目标是在保障企业数字化成果的安全性和可靠性。在构建企业信息安全体系时应该遵循以下几个原则:

2.1建立企业完善的信息化安全管理体系

企业信息安全管理体系首先要建立完善的组织架构、制定信息安全管理规范,来保障信息安全制度的落实以及企业信息化安全体系的不断完善。基本企业信息安全管理过程包括:分析企业数字化资产评估和风险分析、规划信息系统动态安全模型、建立可靠严谨的执行策略、选用安全可靠的的防护产品等。

2.2提高企业员工自身的信息安全防范意识

在企业信息化系统安全管理中,防护设备和防护策略只是其中的一部分,企业员工的行为也是维护企业数字化成果不可忽略的组成。所以企业在实施信息化安全管理时,绝对不能忽视对人的行为规范和绩效管理。在企业实施企业信息安全前,应制定企业员工信息安全行为规范,有效地实现企业信息系统和数字化成果的安全、可靠、稳定运行,保证企业信息安全。其次阶段递进的培训信息安全人才也是保障企业数字化成果的重要措施。企业对员工进行逐次的安全培训,强化企业员工对信息安全的概念,提升员工的安全意识。使员工的行为符合整个企业信息安全的防范要求。

2.3及时优化更新企业信息安全防护技术

当企业对自身信息安全做出了一套整体完善的防护规划时,就应当考虑采用何种安全防护技术来支撑整个信息安全防护体系。对于安全防护技术来说可以分为身份识别、网络隔离、网络安全扫描、实时监控与入侵发现、安全备份恢复等。比如身份识别的目的在于防止非企业人员访问企业资源,并且可以根据员工级别分配人员访问权限,达到企业敏感信息的安全保障。

3企业信息安全体系部署的建议

根据企业信息安全建设架构,在满足终端安全、网络安全、应用安全、数据安全等安全防护体系时,我们需要重点关注以下几个方面:

3.1实施终端安全,规范终端用户行为

在企业信息安全事件中,数字化成果泄漏是属于危害最为严重的一种行为。企业信息安全体系建立前,企业员工对自己的个人行为不规范,造成了员工可以通过很多方式实现信息外漏。比如通过U盘等存储介质拷贝或者通过聊天软件传递企业的核心数字化成果。对于这类高危的行为,我们在建设安全防护体系时,仅仅靠上网行为管理控制是不能完全杜绝的。应该当用户接入企业信息化平台前,就对用户的终端系统进行安全规范检查,符合企业制定的终端安全要求后再接入企业内网。同时配合上网行为管理的策略对员工的上网行为进行审计,使得企业员工的操作行为符合企业制定的上网行为规范,从终端用户提升企业的防护水平。

3.2建设安全完善的VPN接入平台

企业在信息化建设中,考虑总部和分支机构的信息化需要,必然会采用VPN方式来解决企业的需求。不论是采用SSLVPN还是IPSecVPN,VPN加密传输都是通用的选择。对于分支机构可以考虑专用的VPN设备和总部进行IPSec连接,这种方式更安全可靠稳定。对于移动终端的接入可以考虑SSLVPN方式。在这种情况下,就必须做好对于移动终端的身份认证识别。其实我们在设备采购时,可以要求设备商做好多种接入方式的需求,并且帮助企业搭建认证方式。这将有利于企业日常维护,提升企业信息系统的VPN接入水平。

3.3优化企业网络的隔离性和控制性

在规划企业网络安全边际时,要面对多个部门和分支结构,合理的规划安全网络边际将是关键。企业的网络体系可以分为:物理层;数据链路层;网络层;传输层;会话层;表示层;应用层。各体系之间的相互隔离和访问策略是防止企业信息安全风险的重要环节。在企业多样化网络环境的背景下,根据企业安全优先级及面临的风险程度,做出适合企业信息安全的防护策略和访问控制策略。根据相应防护设备进行深层次的安全防护,真正实现OSI的L2~L7层的安全防护。

3.4实现企业信息安全防护体系的统一管理

为企业信息安全构建统一的安全防护体系,重要的优势就是能实现对全网安全设备及安全事件的统一管理,做到对整个网络安全事件的“可视、可控和可管”。企业采购的各种安全设备工作时会产生大量的安全日志,如果单靠相关人员的识别日志既费时效率又低。而且不同安全厂商的日志报表还存在很大差异。所以当安全事件发生时,企业管理员很难实现对信息安全的统一分析和管理。所以在企业在构建信息安全体系时,就必须要考虑安全设备日志之间的统一化,设定相应的访问控制和安全策略实现日志的归类分析。这样才能做到对全网安全事件的“可视、可控和可管”。

4结束语

篇(7)

协议隔离技术,就是通过安置协议分离器达到内网与外网的分离。利用设置上的两个接口,完成内网和外网通过协议隔离进行信息的交流。在使用协议隔离技术的时候,内网和外网都是断开的,只有在需要进行信息交流的时候才会进行安全的暂时性连接。防火墙技术,就是在内网和外网之间树立一块安全的分离屏障,把那些无法预判的恶性攻击和破坏进行有效的拦截掉。同时最大程度的对外隐蔽和保护内网的信息与构造,确保内网能够安全正常的运行。

2电力信息系统信息安全技术的应用

2.1构建和完善电力系统

构建和完善电力系统主要有三方面的工作需做好。首先,创建和完善电力调度数据网络,需要在专门通道上通过多种手段达到物理层面和公共信息网络的安全分隔。方法有:使用专线,数字序列同步处理和准同步处理,通过专一的网络设施组装网络等。电力调度数据网只能够被允许传送和电力调度生产密切有关的数据业务信息。然后,电力监控系统和电力调度数据网络都不准与外面的因特网进行直接关联,同时做好对电子邮件的严格限制收发工作。最后,电力监控系统可以利用专一的局域网(内网)做到和当地另外的电力监控系统的关系与连接。还可以利用电力调度数据网络完成不同层级之间在不同的地方对电力监督系统的相互联系。所用的电力监督系统和办公智能化系统还有其他信息系统互相之间在进行网络关联时,一定要得到国家相关部门的审核与批准才可以,并且要使用相关的专一,有效的安全隔离设备。

2.2改革和创新网络安全技术

改革和创新网络安全技术主要包括了以下几个方面的措施,第一,提升相关人员的安全防范意识和管理水平。安全意识的缺乏导致的系统安全隐患远远大于系统自身存在的错误与缺陷。把未经过扫描查杀病毒的优盘,软盘插入电脑中、不妥当,不合理的设置相关密码、把密码写在另外的地方或者存放在电脑文件中、没有定期的修改密码,在网络上下载一些不安全的文件、还有企业自身合法获得许可的用户进行非法的行为等等都会导致企业的信息网络存在较大的风险。第二,实时的监督网络端口和节点信息的走向,定期对企业的信息网络进行安全检查,信息日志的审核与统计,还有病毒的扫描排查工作,对很重要的数据要及时的备份保存,在整个网络领域创建一套正确有效的安全管理体制,都有利于企业信息网络的安全运转。第三,正确安全的设定和存储密码。密码的安全是网络安全中至关重要的。如果密码被破解或泄密将给非法用户有机可乘,进入相关系统。随着穷举软件的兴起,根密码的位数要在十位以上,普通用户的密码也要求在八位以上,并且有大小写字母和数字及其他符合穿插随机组成的设定规则。也要避免把自己的生日或者名字等比较容易破解的信息作为密码使用。

2.3更加先进的网络安全框架

电力企业信息网络在安全问题上有它自己的特点,遇到的安全威胁也是比较严重的,如果不处理好就会影响国家经济和人们的正常生活。未来一定会使用更加优越有效的网络安全框架,密码算法,入侵检测系统(IDS)与病毒查杀软件和更加智能化的防火墙技术等,来保证电力信息系统的信息安全。然而防护往往是先从自身被瓦解的,所以在这些技术方面的防护基础上,还要制定一套有效的安全体系和培养员工的安全防范意识,它们是保证系统信息安全的核心。

3结语

相关文章
热门文章
相关期刊