时间:2023-10-10 10:45:14
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇对信息安全的理解范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
与其它计算机课程相比,计算机信息安全课程具有明显的特点,主要有以下几个方面:1计算机安全课程是一门综合性的学科计算机信息安全是一个集数学、密码学、计算机网络与通信、人工智能数据库、控制理论多个学科领域为一体的交叉性学科。因此在计算机安全教学过程往往会涉及到学生学习过的多门课程,主要有计算机网络数据库、密码学、系统结构、通信原理、操作系统等等。换句话说,只要与信息安全有关的课程,都需要该专业的学生去掌握。2计算机信息安全课程的内容更新速度比较快计算机网络技术在最近几年得到快速的发展,并且也推动了信息防范理念和技术的不断创新。不论普通技术和先进技术,只要有利可图和存在缺陷,都会遭到不法分子的破坏和利用,甚至采用一些具有针对性的攻击手段对相关的技术和系统进行破坏。由于信息技术的发展过于迅速,导致任何一种新型技术都存在缺陷,在满足了用户要求的同时,也给用户或计算机网络带来了安全隐患,并且这些危险都是难以预知的,更不可能提前去预防了。因此高校计算机信息安全课程的建设要紧随信息技术的发展潮流,并进行定期的更新,及时给学生补充新知识、新技术,以确保学生掌握更多的安全知识和技术。3计算机信息安全课程的实践性比较强计算机信息安全课程中涉及到的很多知识都需要学生在实践中去理解、掌握和巩固。这主要是因为该课程所涉及到的内容可以大概的分为两种类型:一种是与信息安全理论相关的内容,最显著的例子就是与密码学有关的各种算法,虽然本科生可以不掌握与密码协议有关的数学原理,但是那些与密码协议有关的数学算法如果学生不亲自去实践将很难理解和掌握。另一种是与实际的应用密切相关的内容。例如访问控制设备与技术的部署和应用,如果没有一个实际的应用环境学生对于那些知识框架将很难理解,就算理解其记忆也不会很深刻。
二、加强计算机信息安全课程建设的措施
1加强对教学手段的改革众所周知,计算机信息安全课程所涉及的理念是相当抽象复杂的,传统的教学手段和方法很难适应现在教学的要求。为了更好的满足教学需求,新的教学手段层出不穷,例如现代化的多媒体CAI教学,如果对这些先进的方法加以利用,不仅可以提高信息安全的教学质量和教学效率,而且不断的丰富和充实了课堂内容,将那些抽象画的知识逐渐形象化,保证学生更好的掌握课堂知识。还可以利用计算机网络集文字、影像、图形、动画、声音于一体的优点,不断开发网络学习系统和网络课件,努力为学生营造一个相互学习的氛围,以更好的调动学生的学习积极性。与此同时,还可以通过比如“网络论坛”“、在线学习”、“在线测试”等形式来激发学生自主学习的目的,以实现教学的情景化和智能自动化。2加强对教学内容的改革定期组织和参与关于信息安全的学术报告,以掌握国际上最前沿的发展趋势。在关于计算机信息安全课程建设过程中,学校可以通过各种方式和渠道聘请一些国内外在信息安全方面和计算机网络的专家和技术人员来我校做学术报告和讲座,条件允许的情况下还可以让他们承担一些教学任务,向学生详细的讲解和传授有关计算机信息安全领域的最新技术和知识。目前我校已经聘请的关于计算机信息安全方面的专家主要有美国的YaoLiang教授、ThomasHe教授、WeiderYu教授、JerryGao教授以及海外的DavidZhang博士和TaoyunWang博士。这些教授和专家还作为了我校的特聘专家参与了计算机信息安全课程的建设工作。逐渐增设一些关于计算机信息安全的实践课程,并进一步的深化相关教学理论内容。为了能够让学生掌握更多与信息安全有关的新理念和新技术,我校开设了两堂与课程设计有关的实验课程。通过参与计算机信息安全的设计与实践,有效的加深了学生对相关知识的理解和掌握,并将其应用到现实生活中,这将会更好的激发学生的学习积极性,增加了学生对于基础知识和相关理论的掌握。大量的实践证明,上述的方法不仅提高了学生对信息安全课程的信息,而且还提高了他们思考和理解问题的能力。3加强相关教学方法和手段的改进为了更好的推动计算机信息安全课程的实施,我校对传统的教学手段进行了改革,目前已经逐步实现了计算机信息安全教学与多媒体教学、视频教学、板书、讨论、网络学习的有机结合。除此之外,还加入了相关的实践教学,促进了教学手段的多样化,以更好的激发了学生的学习主动性和积极性,提高了他们对基本知识的理解和掌握。加强对相关教学方法的改革,添加一些实践课程,以更好的培养他们的动手能力。在计算机信息安全课程开始的阶段,学校可以通过向学生发放调查问卷的方式来了解学生对教学方法的意见以及对相关专业知识的掌握能力,并及时修改已有的教学方法,使其更好的适应课堂的教学,提高教学的效率。除此之外,在进行课堂教学过程中,教师每堂课都要组织学生进行关于本堂课所讲知识的测试,以更好的了解学生对每堂课所讲知识的掌握和理解情况,该方法还可以作为督促学生进行课后复习和考勤的重要手段。同时,教师还要对本次课堂的测试进行及时的总结,以更好的帮助学生掌握本次课堂的重要概念和知识点,并根据课堂的测试结果以及学生的掌握情况来适当的调节下次课程的教学方法、教学内容以及教学进度等,以确保每位学生都能够很好理解和掌握课堂的重点和难点。在总结完课堂测试时,对于那些将所有问题全部回答对的同学要公开给予表扬,这样不仅可以激发其积极性,而且还能更好的激发其他同学的学习兴趣,促进他们更加努力的学习。同时还要为学生设计一些与计算机信息安全有关的实验课程设计,要求学生自己动手进行设计和编程,以更好的加深学生对相关知识的理解和掌握,提高他们的学习效率。
三、结束语
论文摘要:世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性成为我国信息化建设过程中需要解决的重要问题。
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
【关键词】大数据;信息安全;防护;措施
引言
大数据时代下,网络信息成为了主要的信息交流平台。随着互联网的发展,让越来越多的生活和工作开始向着互联网发展,并且以互联网为中心,建立了诸多的互联网关系网。
这些网络的成立,让人们开始习惯使用互联网。对于互联网的使用和信赖,也让更多的使用者开始习惯将自己越来越多的信息公布到网上。虽然,在很大程度上互联网是方便了人们的生活和工作,但是也在一定程度上威胁到了使用者的信息安全。随着网络安全不断被重视,也让信息安全成为了人们在使用互联网的过程中,开始更加注重对信息安全的重视。
因此,本文将重点探讨关于大数据下,信息安全的防护措施。
1.大数据下信息安全的解读
互联网造就了大数据时代的诞生,实际上从狭义的范围内理解大数据,就是互联网上数据的量已经足够庞大,从而构成了一个非常庞大的信息数据库。这个数据库中,具有非常多的关键词和潜在的关键搜索因子。一旦专业人士利用相关的编程技术,就可以实现对于整个数据库的盲搜索,从而实现某种个人目的。因此,大数据对于互联网时代而言,既是推动其发展的主要动力,也是影响到互联网信息安全的主要因素。尤其是在信息安全的影响方面,其主要表现在以下几个方面:
第一,大数据数据库的形成,让一些不相关因素成为了相关因素,从而影响了个人信息的安全。在不同的网站上以及站点内,留下了个人的碎片信息,利用相关性的求解方法,就可以实现潜在的分析手段,实现对于整个数据库的搜索,从而得到所有相关的内容,那么,利用强大的相关性,就可以找到所需要的信息,从而造成个人信息安全的影响。
第二,信息安全是相对而言,对于一些潜在的问题而言,大数据成为了信息安全的主要原因。人肉搜索,在互联网上兴起了很久的时间,对于被搜索的人而言,是存在非常大的危害的。这也是因为互联网的大数据造成的,一些不相关的信息,只要是通过搜索以及扩散,就足以达到最终的目的。因此,这就是一种现代的互联网信息安全的隐患,让个人的信息充分暴露,从而影响个人的生活和工作。
2.信息安全的防护措施分析
基于大数据时代的影响,让越来越多的互联网使用者开始重视对于信息安全的防护。那么,在实际的使用过程中,如何能够有效的进行信息安全的防护呢?在使用的过程中,应该注意哪些细节,从而避免信息安全出现泄漏或者遭受攻击呢?以下内容将重点解读这些问题。
2.1 注重对个人网络信息的防护工作
大数据时代背景下,个人信息成为了主要的搜索目标,在使用的过程中,应该特别注意自己的个人信息的防护工作。尤其是一些填写个人资料的网站,一定要认准其信用与权威度,不要在一些不正规的网站上随便注册自己的信息,从而造成个人信息的泄漏。此外,在使用网络安全软件的过程中,一定要安装防火墙这样的安全防护软件,可以有效的进行个人上网环境的保护工作,在一定程度上实现了对信息的保护。因此,建议互联网的使用者,能够在根本上意识到信息安全的严重性。因为一旦信息被泄漏,如果被一些不法分子所使用,就会造成极大的负面影响,不仅仅是工作,更会影响到人们的生活,从而造成个人的困扰。因此,有这样的防护意识,是非常重要的。也是能够有效防止个人信息受到影响的主观原因。
2.2 加强互联网信息安全防护工作
从客观的角度分析,加强互联网信息安全防护工作是非常必要的。现如今,很多防护软件开始使用,并且在互连网上收到了用户的广泛认可。因此,为了能够真正意义上实现对于个人信息安全的防护,不仅仅是个人具备这样的防护意识,还需要从客观的角度上实现对于信息安全的防护手段和措施。例如,一些安全防护软件,能够给予使用者非常良好的建议,一些危险的网站,防护软件会给予警示,这样就能够防止使用者因为好奇而造成信息泄漏的问题。因此,可以通过以下几个方面来加强互联网信息安全防护工作:
首先,一定要安装互联网的安全防护软件,对于使用的网络环境进行安全防护,并且将浏览器的安全级别设置的高一些,从而保证使用者能够在客观上得到一定的保护,有效的堵截了出现信息泄漏的可能性。
其次,主动认识到信息安全的重要性,并且能够多多加强这些方面的学习。利用身边的资源,来充分完善个人自身的安全防护意识,从而在主观上不会受到外界的影响,使得自己能够有效的掌握安全防护的措施。
最后,在日常的生活和工作中,自己的个人信息要做到不轻易外泄,不登陆不正规的网站,不在不正规的网站上随意进行个人信息的填写,从而造成一定的信息泄漏问题。
此外,在电脑使用的过程中,尤其是wifi的使用环境下,要充分拥有防护的意识,保证自身的信息不受到侵害,从而在根本上堵截外在的攻击,保护自身信息安全。定要充分认识信息安全的重要性,并且能够在日常的使用中注意一些细节,从而防止个人信息受到侵害。
3.结语
互联网时代的到来,改变了传统的生活与工作方式,人们在依赖互联网的同时,也开始影响到了人们的信息安全。互联网时代造就了大数据时代,但是大数据逐步成为了一种潜在的搜索资源,让更多人的互联网信息开始受到关注,并且通过这些潜在信息能够挖掘深入的信息。因此,对于互联网时代的信息安全而言,注重大数据为背景,是非常有意义的。
此外,为了能够保证互联网使用者的信息安全不受到侵害,一定要充分认识信息安全的重要性,并且能够在日常的使用中注意一些细节,从而防止个人信息受到侵害。总之,大数据背景下的信息安全更加值得重视,并真正希望使用者以及维护者能够共同努力,建设良好的互联网使用氛围。
参考文献
[1]王佳隽,吕智慧,吴杰,钟亦平.云计算技术发展分析及其应用探讨[J],计算机工程与设计,2010(20):4404-4409.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
1 网络与信息安全实验课程的教学目标
我院计算机类专业开设《网络与信息安全实验》课程,其目标不是为了培养网络与信息安全方面的全才,也不是培养战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用性人才。即希望培养满足社会和企业需求,具有一定的网络安全意识,掌握网络系统安全性维护和防范,构建安全的系统环境等技能的人才,因此,本门课程的教学目标是使学生掌握网络与信息安全的基础知识,了解网络安全防御方面的最新技术,掌握网络与信息安全的相关配置过程,认识网络与信息安全的重要性,识别哪些系统资源需要被保护、网路环境经常受到那些安全威胁,以及如何建立有效的安全保护措施,针对常见的网络入侵攻击,能进行及时的网络加固,清除常见的计算机病毒,保护网络系统的安全稳定运行。
2 教学内容的选择与设计
《网络与信息安全实验》课程是一门应用性很强的课程,同时又是一门新兴的学科,研究内容没有严格规范,所以,各学校的教学内容和方法都各不相同。作为一门具有普及性意义的实践性很强的课程,必须在有限的学时内尽可能掌握网络安全最重要、最基本和最实用的概念原理和方法,不可能漫无边际、面面俱到。
现有的网络与信息安全技术实验教程等方面教材和专著很多,但是系统按照模块编写的网络与信息安全方面的实验教材很少,尤其是以案例为基础的教材更少,而且,已有的教材大都从理论上系统地讲解密码学、协议安全、防火墙和入侵检测技术等,专业性强,需具备较强数学和编码基础,不适合我校培养应用型人才的培养目标,而且,教材的可读性及操作性较差。经过认真研究、对比分析,目前已有的教材或多或少的存在如下问题:(1)教材内容同质化严重,课本知识陈旧。我们发现,从重点大学到高职高专的网络安全技术任务教材,内容大致相同,深度大致相同,目标大致相同。这样的教材内容显然不能体现我们国家倡导的分层次教学,实现人才教育的层次培养的教育目标。(2)教材内容组织形式单一,不利于初学者学习。现有的教材,重点都放在对知识点的描述和解释上,真正实用的例子较少。有些教材中也引入了案例或项目,但一般都是在教材的最后一章,而且,很多案例的解决方法在现有的系统中已经不可能在出现。(3)教材理论内容过多,实践内容不足,课本知识与社会实践有脱节,应用性不强。目前的教材内容严重偏离课程教学目标:培养应用性网络与信息安全技术人才。(4)网络与信息安全实验内容不够全面和深入。为了能够满足教学和学生对网络与信息安全技术学习和参考的需求,根据近几年从事网络与信息安全技术相关课程教学的经验体会,以任务引导教学法为主线,与现有教材[1]相配套,通过对网络系统的安全配置的各个模块进行演示和讲解,使学生实际运用理论知识解决实际问题的能力得以提高,进而培养了学生的实践动手能力。
因此,我们以自己主编的教材内容为基础,从而确定网络与信息安全实验教程包含的至少应包括:(1)操作系统加固,主要是网络中主机的操作系统平台的安全性。需要掌握安全等级标准及划分准则,系统漏洞及后门等内容,尤其是操作系统的安全策略的添加、用户账户的安全配置,这是网络与信息安全的根基所在。(2)网络通信安全,包括在网络体系结构中,针对各层的安全协议进行解析这些安全协议是工作在网络中的通用标准,为上层协议和应用提供透明服务,主要通过实战攻击说明网络协议存在的问题,通过安全策略的添加来保证安全通信。(3)防火墙技术与VPN(虚拟专用网)技术,防火墙技术一种将相对安全的内部网和不安全的公网分开的隔离技术,对两个网络通信时执行的一种访问控制技术,我们可以添加规则,进行安全通信。而VPN技术则是一种保证跨越Intemet进行安全的、点对点通信的有效技术,能够实现保密通信和身份的认证。(4)密码技术原理及应用,确保数据和资源免遭破坏时网络安全的重要前提,密码技术是保护信息安全的重要手段之一,也是防止伪造、篡改信息的认证技术的基础。(5)病毒识别及检测修复技术。这是计算机网络用户最关心的问题。(6)网络攻击与防范技术,通过网络实战攻击让学生了解攻击者的方法和技术,总结出必要的防范措施,加固现有的网络环境。
在选择授课内容的同时,需要注意不能流于表面而局限于一些泛泛的、不够系统的安全知识,同时也不能过多的研究深奥的理论细节。要根据所设定的教学目标,围绕着在实际生活中会遇到的问题,精心设计授课内容,布置学习任务,让学生将所学知识同现实情景相联系,能够根据具体情况解决实际问题,真正的将知识固化到自身,最终达到开设本课程的目的。
3 提高教学质量的探索
为了达到课程设置的目的、提高教学质量,如果使用一成不变的传统教学方法和手段很难达到良好的效果,因此在教学方式方法上必须进行更多的改革。
3.1 教学手段改革。学习了网络与信息安全的相关知识后,大家都知道,网络与信息安全实验课程内容中的原理概念非常抽象,十分枯燥而且晦涩难懂,目前信息安全技术方面的教材大多偏重于理论,不能激发学生的学习热情。为此,我们以理论够用、重在实践为宗旨,以技术实用为原则,以任务驱动为导向组织编写了《网络与信息安全实验》教程,引导学生学习,提高学生的学习兴趣。同时,我们充分利用多媒体技术丰富多彩的特点,将图片、动画、录像等元素都集成到教学活动中,将每个实验内容的操作过程进行录像,以直观、生动的形式提高学生学习的兴趣。这样既避免了单纯的理论说教,提高了学生的学习兴趣,同时也便于学生理解抽象难懂的网络安全知识,从抽象的概念上升到形象上的认识。
3.2 实验环境改进。《网络与信息安全实验》课程的许多知识需要学生在实践中进行理解,而目前绝大部分的学校在本门课程中只有简单的工具演示及基本的操作性实践,这些是远远不够的,我们有设置专门的网络安全实验室,包括常用的路由器、交换机、服务器等硬件设备,构建一个小型局域网络,搭建计算机网络与信息安全的实验平台。设计一系列完整的实验项目,既包含基本的教学内容,同时又给予学生一定的挑战性还需要建立一个安全工具资源库,帮助学生完成各种网络管理和信息安全的学习任务,最后还应该制定实验规范要求,严格管理制度,防止由于工作的疏忽导致学生将黑客软件带出实验室,造成不必要的麻烦。
3.3 组织学生参加网络攻防大赛。在老师的指导下,我们有一支稳定的网络安全小组,对网络安全感兴趣的同学可以通过各种考核进入我们的小组,让后我们按照等级进行指导性学习,兴趣小组的一部分同学在老师组织课堂教学的过程中辅助老师进行教学,同时,他们还参加国家级的各类网络安全、网络攻防大赛。
3.4 加强课堂讨论。对《网络与安全实验》的内容,大部分学生还是有强烈的好奇心的。上课前,给学生提出一个课题,让学生课后查阅资料,在课堂上可以开展课堂讨论,使学生在良好、互动的教学环境中取得良好的教学效果教师的角色从单纯的讲授者转变为倾听者、引导者,学生从被动的接受者转变为主动的参与者,提高了学生的积极性和主动性,最终提高了学习质量通过这种交流,教师可以随时了解学生对知识的掌握程度、学习兴趣的高低等,这种方法还能加强师生间的沟通和交流。
3.5 考核形式改革。学习的目的不是为了通过考试,而是希望通过课程的教授过程,培养和提高学生分析和解决实际问题的能力,影响学生面对问题时的思维方式、道德素质和协作精神。因此在课程的考核形式上,可以综合考虑卷面成绩,课题讨论表现,实际过程中通过查找资料和讨论解决问题的能力等方面让学生有足够的机会来修正和改进他们的成绩,以便从错误中学习,让学习课程本身的乐趣来促进学生学习的兴趣达到更好的教学目的。
结束语
《网络与信息安全实验》课程是一门实践性强的课程,同时也是一门技术发展变化很快的课程,这些给我们的教学工作带来难度,如何设计好讲授的内容、课堂上教学的内容的深浅如何把握,如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
作者简介:王小英(1979-),女,陕西泾阳人,防灾科技学院灾害信息工程系,副教授,硕士,研究方向为网络安全与密码学。
根据前面给出的信息安全知识单元和知识点,可以设计出11个教学案例,其知识点的对应关系见表2。案例1、2是与恶意软件有关的两个典型案例。案例3是经典密码案例。因为现代密码比较抽象,难以理解,借助经典密码有助于学生理解现代密码的有关概念。案例4、5应用非常广泛,是了解公钥密码技术非常好的案例。案例6比较常见,不过学生通常并不知道它的作用及背后的工作机制。案例7、8、9都是比较典型的安全事件,学生或多或少都了解一些。案例10中的工具是学生容易忽视,但却非常重要的安全工具。这些工具所涉及众多的信息安全知识也是学生需要了解或掌握的。案例11与学生日常使用的智能手机相关,有助于提高学生的安全防范技能。另外,除了知识单元①⑧没有专门设计教学案例外,其他知识单元都有相应的教学案例。不过,知识单元⑧实际上与大多数案例都有关系,其知识点可以放在其他案例中讲授。知识单元①是对信息安全基本概念的介绍,受学时的限制,不建议设置教学案例。
2教学策略设计
总体上来说,信息安全的教学主要围绕表1的知识单元顺序进行。各知识单元的教学策略如下。知识单元①。以图例的方式简单描述信息安全事件的一些发展趋势,比如近几年恶意软件的发展趋势图、网络攻击变化趋势图等,然后给出信息安全的含义、目标、需求和意义。知识单元①大约需要10分钟讲授完毕。
知识单元②。引入案例1,因为很多学生都遇到过U盘病毒,所以教师可以指出U盘病毒是一种蠕虫病毒,然后给出蠕虫病毒的特征、危害。之后以一个感染了蠕虫病毒的U盘为例,演示手工清除U盘蠕虫病毒的过程,同时提醒学生防范U盘感染病毒的方法。对于案例2,以生活中发生的手机恶意软件(大多是木马程序)事件为例,比如“超级手机病毒”事件,手机扫描二维码中毒事件等。然后指出木马的特征,与蠕虫的区别。指出手机恶意软件传播的途径及危害。告知学生防范恶意软件的方法。比如,下载软件的时候注意来源是否可靠,别人的评价如何;为手机安装软件的时候,注意软件所请求的权限是否超出了它的功能;安装安全软件等。之后,指出传统病毒与蠕虫、木马的区别,并简单介绍其他类型的恶意软件及流氓/间谍软件。最后,提醒制作恶意软件是计算机犯罪行为,将要受到法律的制裁,并给出计算机犯罪的含义,以及相关法律法规的条文说明。这部分内容大约需要40分钟完成。知识单元③。首先说明加密的目的,然后给出密码学的一些基本概念,如明文、密文、密钥等。然后引入案例3,通过一个4×4阶的矩阵,演示整个“矩阵换位加密”过程,加密一个包含正好16个字符的明文。然后指出哪些是明文、密文和密钥。说明消息超过16个字符时的处理方法。然后指出“矩阵换位加密”中的密文字符仅仅是明文字符改变位置的结果,这叫置换;指出某些经典加密算法中的密文字符是不同于明文字符的另一类字符,这叫替代。之后,给出现代对称密码的基本原理,即现代对称加密算法本质上是置换和替代的多次重复。此时可以给出DES算法的框图,让学生进一步理解对称密码的基本原理。最后,指出目前广泛使用的对称加密算法3DES、AES等。这部分内容大约需要20分钟完成。
引入案例4,打开显示有下载软件的SHA1或MD5值的网页。提问学生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法,其作用是生成数据的指纹,可用来检测对原始数据的更改。接下来引入案例5,打开带有数字签名文件的属性对话框。比如QQ安装程序,查看数字签名的详细信息,指出数字签名的含义和作用,并说明QQ安装程序是经过腾讯公司签名的,如果显示“该数字签名正常”,则该程序是原始程序,否则被修改过,不要安装。接下来继续查看数字签名对应的数字证书,查看数字证书中的哈希算法(通常是SHA1)和签名算法(通常是SHA1RSA)。此时,就可以讲授公钥密码的一些概念了。和对称密码对比,指出公钥密码的特点。告诉学生RSA是流行的公钥密码算法。当学生记住这些概念之后,就可以指出数字证书的作用了:保证公钥的真实性。然后告诉学生证书对话框中的公钥。接着,进一步说明数字签名及验证签名的大致过程,并以QQ安装程序为例进行说明。到此,公钥密码、数字签名和数字证书的概念已经讲授完毕。建议进一步向学生说明,他们所看到的数字证书,实际上是由权威机构签名并颁发的,在证书路径上可以看到签名的权威机构,并让学生看一看计算机上已安装的“受信任的根证书颁发机构”列表。这部分内容大约需要30分钟完成。
知识单元④。引入案例6,打开启用了安全连接的网页,比如中国银行的“个人客户网银登录”,提问学生该网页与普通网页有什么不同?然后,单击浏览器上的小锁,让学生看到“连接是加密的”字样;单击“查看证书”,告诉学生这个证书如果是被信任的,则说明所访问的网站是官方网站。接下来,打开铁路12306网站,单击“购票”,指出证书不被信任时电脑的表现。单击“继续浏览网站(不推荐)”,单击浏览器上方的“证书错误”,提醒学生注意显示的信息。进一步“查看证书”,解释不被信任的原因。接下来,说明如果所访问的网站的确是官方网站,如何让计算机信任它。根据需要,可以进一步说明“受信任的根证书颁发机构”的作用。到这里,就可以指出https与SSL的关系,以及SSL的作用了。之后,简单介绍一下SET的作用,并指出SSL和SET在应用上的主要区别。引入案例7,如果有现成的钓鱼网站,直接打开它。如果没有,则找一个以往钓鱼网站的图片示例。比较真实网站和钓鱼网站的差别,指出钓鱼网站的危害性,并给出被钓鱼网站欺骗的实际案例。然后,指出识别和防范钓鱼网站的方法,比如通过网址识别、启用浏览器的假冒网站检测功能等。告诉学生不要轻信邮件、QQ、微信、微博等上面的链接,特别是要求给出敏感信息的链接。同时提醒这种网络欺诈行为也是一种计算机犯罪。案例6、7所涉及的知识点大约需要30分钟完成。知识单元⑤。引入案例8,给出典型的示例,比如2014年1月21日的国内大量网站无法访问这个事件。然后指出拒绝服务攻击的含义,并说明拒绝服务攻击只是网络攻击的一种形式。然后指出其他攻击形式,比如传播恶意软件、钓鱼网站、邮件欺骗、社会工程、网络窃听、网络扫描攻击等。给出网络攻击的目的、一般过程,以及防范技术和方法,比如防火墙及IDS。同时提醒学生,网络攻击也是一种犯罪行为。引入案例9,指出从2011年年末开始,因特网用户资料不断遭到大规模泄露。打开与此相关的网络新闻报道,提问学生是否资料遭到泄漏。
然后给出用户资料遭到泄漏的两种原因:用户资料库泄漏和撞库。告诉学生目前第一种情况越来越少,更多的是第二种情况。提醒学生不要在不同的网站上使用同样的账号和密码,特别是密码,否则会遭遇撞库攻击而影响到其他账户的安全。另外密码不能太简单,不要用生日、电话、QQ号码、亲朋好友宠物的名字等作为密码。案例8、9所涉及的内容大约需要30分钟完成。知识单元⑥。引入案例10,首先说明Windows系统已经提供了许多保障系统安全的工具。然后逐个演示Windows系统更新、Windows防火墙、WindowsDefender、MRT和EFS的基本操作。同时说明系统更新的作用及漏洞的含义,说明防火墙的作用,说明WindowsDefender与MRT的作用和它们的区别,说明EFS与对称及公钥密码的关系,并指出使用EFS时需要注意的事项。接下来,演示Windows账户设置及访问权限设置,指出它们的含义、作用,通过创建新的账户,并设置某个文件夹或文件的NTFS访问权限,让学生切实感受到Windows账户和NTFS相结合的强大之处,促使学生理解并掌握相应的操作技能。这部分内容大约需要40分钟完成。知识单元⑦。引入案例11,给出典型的示例。比如在公共的免费Wi-Fi环境中对信用卡信息进行操作,导致信用卡里的钱款被盗的新闻事件,使用公共Wi-Fi导致手机感染病毒的新闻事件,指出示例中的计算机犯罪行为。然后指出公共Wi-Fi可能带来的两类威胁:个人敏感信息的泄漏,和伪装Wi-Fi攻击。给出防范措施:不登录邮箱、微博,不操作网银等。另外,移动设备Wi-Fi连接仅在需要时打开;开启安全软件的网络保护和隐私保护功能。然后,指出移动设备的其他安全威胁,比如恶意软件、设备丢失等。提醒学生除了采用前面第②单元提到的安全措施,还应该经常备份手机中的重要数据,开启手机锁码功能。这部分内容大约需要20分钟完成。知识单元⑧。本知识单元的知识点已经分散到他知识单元的案例中了,不需要专门的教学说明。至此,信息安全的全部知识点都已讲授完毕。可以简单地总结一下所讲授的主要内容,并再次给出信息安全的含义和目标,促进学生对它们的理解和掌握。
3教学实践及效果
在两个2014级新生班级的计算机基础课程中,按照上面的教学策略,我们进行了信息安全的教学尝试。时间安排在计算机网络部分结束之后的两周内,共3个下午,每次2学时,实际使用学时不到6个。在计算机基础课程结束之后(三周后),我们再次使用原来的调查问卷对这两个班的学生进行了调查(回收问卷120份),并和上一次对2013级学生(当时也是新生)调查的结果进行了比较。见表3、表4、表5。顺便说一下,上一次的调查问卷是基于学生没有经过系统的信息安全学习而设计的,其中有不少题目选项并不适合本次调查,所以表3、表4、表5中的题目选项要比文献[5]中对应的表少一些。很明显,和2013级学生相比,2014级学生对信息安全术语的了解比例大幅度提升。结合上一次的调查结果及分析[5],表4中2014级学生对A、B、C三项的选择比例基本上是一致的,说明他们的确比较了解加密等安全技术。选项D的选择也说明了这一点。很明显,2014级学生比2013级的学生有更强的信息安全意识。总之,经过比较系统的学习,尽管只使用了不到6个学时,学生对信息安全的基本知识已经有了比较深入的了解,信息安全意识也得到显著的提高。
4结语
安全威胁变局
2007年,垃圾邮件、电脑病毒等传统的安全问题依然是CIO需要防范的重点。不久前,Gartner了年度安全软件市场增长评估报告,预测2007年的销售额将在2006年全年82亿美元的基础上增长10.7%,其中将有53.8%,约为49亿美元的销售额来自反病毒市场。
与此同时,安全威胁的性质正在发生实质性的转变。现在的黑客和病毒编写者已经不再倾向于使网络瘫痪,他们更关注的是如何通过网络获取经济利益。不同来源的行业报告均显示,通过木马程序等方式窃取商业和个人机密信息的行为,以及被远程黑客控制的计算机数量均呈上升势头。随着信息的海量增长,包括各种数据和应用的信息资产对于企业运营正发挥日益重要的作用,对企业应用和数据的进攻正在取代对企业网络环境的进攻成为主要的威胁。
一份IBM专门针对中国企业安全性的调查显示,有38%的中国企业已经意识到,信息安全比实际犯罪对他们的业务更具威胁,企业的品牌和声誉很容易因此造成严重的损失。面临变化了的安全环境和不断加剧的威胁,企业需要加强信息安全意识,从信息资产管理的宏观角度建立安全防御体系。
树立风险导向意识
目前中国的安全市场仍然以安全产品的销售为主。厂家和用户从购置产品的角度看待威胁,在应对病毒破坏、黑客攻击等问题时,基本停留在“兵来将挡”的阶段。总体而言,企业在安全项目方面的回报并不很好,花了很多钱却没有用在企业需要用的地方。其中一个原因是企业难以认识到自己的风险所在,也就难以从投资回报的角度衡量安全投资。同时,安全又是一个涵盖很广的领域,不同的厂家、集成商和用户对安全的理解各有千秋,但有限范围内最好的选择未必在全局上发挥最好的效果。
内部的安全漏洞和来自外部的威胁在数量和范围上都呈现愈演愈烈之势,也给企业用户提出了严重的挑战。针对企业在信息安全领域的管理、项目规划及信息技术的投资比例,笔者认为企业在信息安全管理方面可划分为四种模型,分别为事件导向、工具导向、流程导向和风险导向。
事件导向型企业或者对信息安全的认识较为薄弱,或者缺乏足够的技能和资源来应对安全问题,对安全攻击基本处于遇到问题再解决的被动响应状态。面对每年数量呈直线上升的各类病毒在网络上流行并不断生成新的变种,购置一些基本的防毒设备不可能做到万事大吉。同时,攻击者正在不断改进攻击方法和逃避检测,并更快地利用已知漏洞发起“零日攻击”。这都对事件导向型企业的信息安全管理提出挑战,由于缺乏业务连续性规划,一旦遭受攻击就会导致业务中断,给这类企业带来损失。
工具导向型企业拥有较多的安全预算,能够主动意识到安全问题,遇到问题习惯于通过安全技术或工具来解决,安全管理呈分布式。这类企业通常都在业务运营中大量应用IT技术,对于业务连续性、时效性具有很高的要求,不能承受业务中断带来的损失。由于业务扩展和防范未知风险的需要,他们不可能等待一个安全问题暴露出来才去应对,因此有较完善的安全规划,并主动投资、积极部署最新的安全技术。电信、金融等行业是这一类别的典型。他们需要关注的是需要加强安全管理方面的工作,以配合相关安全技术与工具真正发挥作用。
流程导向型企业受预算等限制,在安全方面的投入不会很多,而侧重于从管理的角度减少安全威胁,加强对人员和流程的控制力度。通常企业会建立较为完善的安全制度和组织。这类企业包括在中国市场的一些外资企业和信息安全观念较强的民营企业。需要关注的是如何将安全的管理制度落地。
以上三种类型的企业在信息安全上都存在不足,没有从企业风险控制的全局出发来看待安全威胁。IBM提倡风险导向型的信息安全管理,这是一种采用工具与流程相结合的方式,也是最为成熟的风险管理模式。风险导向型的企业能够识别风险和确定风险的优先级,根据识别出来的不同类别的风险,决定是加强管理、改善流程,还是进行技术投资,从而做到有的放矢,集中有限的资源应对企业面临的主要威胁。
如何掌控风险
安全项目最大的回报在于降低风险对企业运营带来的损失,但如何才能真正从风险管理的角度进行信息安全建设呢?笔者建议,企业首先需要了解有哪些风险存在,预测、评估其发生的可能性以及对企业的影响程度,尽可能量化风险,然后根据优先顺序,采取适当的预防措施。
仅仅通过预防只能在一定程度上降低风险,而无法解决所有的问题,这时还需要通过制定周密的安全策略以保护企业的关键信息。在防范信息安全风险的同时,用户也应该认识到,任何企业都不会有足够多的人力、物力和财力完全消除风险,要达到100%的信息安全其实是一种不符合客观实际的期望。笔者认为信息安全管理的目标是通过控制方法,把信息风险降到最低,使成本支出达到一个非常合理的状态。总有一些风险是不能避免的,把这些风险分类记录下来,并最终接受它,才是一个理智的风险管理者应有的态度。
信息安全的基本原则要求我们了解风险,并在了解情况的前提下进行决策,以根据消除风险所需要的成本,决定对风险做出反应或者接受。树立风险导向的信息安全管理意识,最终目的在于提高信息安全项目的投资回报,将IT风险作为企业运营风险中的一部分加以管理。
建立完整安全架构
当前信息安全的发展趋势已经不仅仅是升级传统的安全产品,而是从业务策略和整体系统上来考虑安全问题,帮助企业建立安全、完善的IT环境,以应对来自内外部的攻击,降低风险和损失。因此,全方位的安全策略及解决方案对保护企业信息系统的安全不可或缺。
对于多数企业而言,目前都已制定了相关的制度和流程,但还没有企业级整体的信息安全规划和建设,信息安全还没有或很少从整体上进行考虑。IBM企业IT安全服务是一套针对企业信息安全管理的完善解决方案,能够协助企业更加全面地认识信息技术、评估企业的信息安全隐患及薄弱环节,进一步完善企业安全架构,为企业的应用构建高度信息安全的运行环境,共同规划、设计、实施、运作,从而保护企业信息系统的安全。
随着中国信息化进程的发展,信息资产在企业中的重要性不断提升。企业管理者不应该再将信息安全看作一个孤立的或是纯技术的问题,而要从企业运营的全局角度整体看待,制定与企业特点和成长潜力相适应的安全管理架构。
关注市场变化
完善的安全架构必须能够因应市场的变化进行调整,IT部门的决策者必须密切关注市场的变化。2007年安全用户在三类需求上将有突出的增长。CIO需要更好地应对日益增长的法规遵从性要求,更多地关注应用层面,与此同时,积极利用外包的机遇实现更好的投资回报。
在中国,随着信息安全和上市公司相关立法的完善,法规遵从性和相关审计在行业中的要求也正在不断普及,越来越多的公司和行业正努力去满足法律所规定的安全要求。企业在信息管理方面需要做到三点:信息的完整性、信息的保密性和要求信息能够在适当的时间以适当的格式被访问,这都与信息安全密不可分。保护企业数据安全,达到法规遵从性的要求将是CIO们2007年的一大职责。