首页 > 精品范文 > 对网络信息安全的理解
时间:2023-10-10 10:45:14
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇对网络信息安全的理解范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
随着计算机技术的不断发展与革新,计算机已经应用到各个行业中,并且越来越起到至关重要的作用。而计算机技术发展到今天,更重要的是关于信息技术的发展与应用。可以说计算机技术的核心内容就是信息技术,而当今时代也是信息的时代,信息技术已成为日常工作与生活中不可或缺的一部分。
信息安全的定义是一个随着时间而不断变化的概念,总体来讲,信息安全是指信息本身在传送与储存时的完整而不受干扰。最基本的信息安全就是信息的保密性,在传递过程中不受到来自外界的窃取,这一点,从很早时起就已经有所体现,从古到今,有多种保护信息不被窃取的方式,这包括最早的对信息的封存,到后来的对信息本身的加密。人们通过越来越复杂的密码技术来确保信息在被非送达人读取后依旧不能破解,从而实现信息安全。这也是计算机网络安全技术中常用到的方式。
计算机网络信息安全还包括信息的完整性和真实性,信息的完整性就是指信息在送达后,接受人能够完整的读取信息中所包含的所有内容,这一点在传统信息的传送介质上较难实现,常常会因为自然条件的干扰破坏而不能完整读取。网络技术虽然能够避免大部分外界的环境干扰,但对于信息威胁严重的今天,信息的完整性仍然需要加大保护力度。信息的真实性与完整性相似,它是指信息在送达后能够如实的反应信息的原貌,而不会在传递过程中发生信息的替换或信息的重组,从而使收信人难以理解或误解。这在网络环境中与信息的完整性一样至关重要,真实而完整的信息对于网络信息的安全是一项基本要求。
网络信息安全还包括另一项重要因素,那就是信息的可用性,这一点对于网络信息安全来讲也是一项重要的内容。在人们收集和传递信息之后,对信息的处理是信息为人所用,是信息的体现价值的基础。因此信息的可用性对于信息而言是基础而又必须的。除此之外,信息的可控性也是信息的一项重要因素。对于信息的控制也是网络信息安全需要确保的一项重要工作之一。
2 当前网络信息安全的主要威胁
2.1 计算机硬件自身的问题
随着计算机的不断革新,计算机技术的不断发展,电子产业已经走上一条快速发展的高速路,然而在这样的背景下,计算机硬件在许多时候依旧是难以对网络信息安全实现保证。随着计算机硬件的老化和损坏,许多信息在计算机的存储和传递方面受到了很大的阻碍,很容易造成信息的丢失和错乱,造成读取困难。除此之外,电子产品在制造时也有着许多本身难以改变的缺点和不足,其中重要的一点是对于电的依赖。当电力中断或电力不足时,对信息的处理方面就显得十分不可靠,很容易发生因为电力问题而造成的信息的安全威胁。而外界环境如电磁污染等都会对计算机的运行造成影响。还有一点至关重要,那就是计算机自身容错性的分析,一个优异的容错性可以大幅提高信息的安全性,而相反容错性也会使得计算机在使用上对自身信息造成错误处理,影响信息安全。
2.2 组织管理上的不健全
在我国,信息安全的保证主要是通过各个单位自身的技术人员对信息进行处理和分析,并对一些网络信息安全问题进行排除。这种维护方式无论在效率上还是在成本上都远远不如集中有效专门化的管理方式,这也就为信息安全埋下隐患。此外,许多组织机构未能采取有效的信息安全管理手段,未能有效使用一些如防毒卡,身份验证卡,防火墙等防护信息安全的方式和方法。对于信息安全问题往往采用一种被动的方式来处理,通常是在发生信息安全事故后才采取有效的措施,往往会造成极大的损失。
2.3 计算机病毒的威胁
网络技术的发展使越来越多的人通过网络来实现信息的共享和读取,这就为一些威胁制造者提供了一定的机会。专门对网络信息安全破坏的使用者通常被称为黑客,他们制造出计算机病毒,通过计算机病毒对计算机数据库的入侵,实现对信息的读取和破坏活动。这种破坏活动随着网络的普及而越来越频繁,并且影响力也越来越大,例如2000年初,计算机黑客通过计算机病毒对美国商业网站进行破坏,损失高达10亿美元。
3 加强网络信息安全的对策
3.1 加强网络信息安全管理
网络信息安全的管理对于网络安全至关重要,加强网络信息安全管理对于网络信息安全的作用不可忽视。具体来讲,加强网络信息安全管理的首要任务是建立一个广泛的网络信息安全保证体系,通过专门的组织机构对网络信息整体安全进行保证。其次是在使用者层面建立硬件和软件上的防护体系,如对信息使用需要通过身份验证来实现对使用者的核实,通过建立防火墙来对外部攻击进行防御等一系列的防护措施,实现主动防御,建立健全信息使用规范流程。
3.2 增强使用者网络信息安全意识
对于使用者而言,信息安全意识需要植根于每一个使用者的心中。通过对使用者安全意识的强化,可以对信息的读取和使用时做到有目的的读取,并通过安全的手段来处理信息。同时,通过安全教导强化使用者主动防御的理念,通过主动地防护,在不造成损失的情况下,保证信息安全,这样不仅可以降低信息维护成本,还可以对信息的安全进行全面保护。
4 总结
总而言之,网络信息安全的保障对于信息本身有着重要意义,对于信息的使用者也有着很大的作用。好的网络信息安全防护措施可以有效促进网络信息的使用和发展,实现网络信息的广泛安全使用。
作者简介
1 网络与信息安全实验课程的教学目标
我院计算机类专业开设《网络与信息安全实验》课程,其目标不是为了培养网络与信息安全方面的全才,也不是培养战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用性人才。即希望培养满足社会和企业需求,具有一定的网络安全意识,掌握网络系统安全性维护和防范,构建安全的系统环境等技能的人才,因此,本门课程的教学目标是使学生掌握网络与信息安全的基础知识,了解网络安全防御方面的最新技术,掌握网络与信息安全的相关配置过程,认识网络与信息安全的重要性,识别哪些系统资源需要被保护、网路环境经常受到那些安全威胁,以及如何建立有效的安全保护措施,针对常见的网络入侵攻击,能进行及时的网络加固,清除常见的计算机病毒,保护网络系统的安全稳定运行。
2 教学内容的选择与设计
《网络与信息安全实验》课程是一门应用性很强的课程,同时又是一门新兴的学科,研究内容没有严格规范,所以,各学校的教学内容和方法都各不相同。作为一门具有普及性意义的实践性很强的课程,必须在有限的学时内尽可能掌握网络安全最重要、最基本和最实用的概念原理和方法,不可能漫无边际、面面俱到。
现有的网络与信息安全技术实验教程等方面教材和专著很多,但是系统按照模块编写的网络与信息安全方面的实验教材很少,尤其是以案例为基础的教材更少,而且,已有的教材大都从理论上系统地讲解密码学、协议安全、防火墙和入侵检测技术等,专业性强,需具备较强数学和编码基础,不适合我校培养应用型人才的培养目标,而且,教材的可读性及操作性较差。经过认真研究、对比分析,目前已有的教材或多或少的存在如下问题:(1)教材内容同质化严重,课本知识陈旧。我们发现,从重点大学到高职高专的网络安全技术任务教材,内容大致相同,深度大致相同,目标大致相同。这样的教材内容显然不能体现我们国家倡导的分层次教学,实现人才教育的层次培养的教育目标。(2)教材内容组织形式单一,不利于初学者学习。现有的教材,重点都放在对知识点的描述和解释上,真正实用的例子较少。有些教材中也引入了案例或项目,但一般都是在教材的最后一章,而且,很多案例的解决方法在现有的系统中已经不可能在出现。(3)教材理论内容过多,实践内容不足,课本知识与社会实践有脱节,应用性不强。目前的教材内容严重偏离课程教学目标:培养应用性网络与信息安全技术人才。(4)网络与信息安全实验内容不够全面和深入。为了能够满足教学和学生对网络与信息安全技术学习和参考的需求,根据近几年从事网络与信息安全技术相关课程教学的经验体会,以任务引导教学法为主线,与现有教材[1]相配套,通过对网络系统的安全配置的各个模块进行演示和讲解,使学生实际运用理论知识解决实际问题的能力得以提高,进而培养了学生的实践动手能力。
因此,我们以自己主编的教材内容为基础,从而确定网络与信息安全实验教程包含的至少应包括:(1)操作系统加固,主要是网络中主机的操作系统平台的安全性。需要掌握安全等级标准及划分准则,系统漏洞及后门等内容,尤其是操作系统的安全策略的添加、用户账户的安全配置,这是网络与信息安全的根基所在。(2)网络通信安全,包括在网络体系结构中,针对各层的安全协议进行解析这些安全协议是工作在网络中的通用标准,为上层协议和应用提供透明服务,主要通过实战攻击说明网络协议存在的问题,通过安全策略的添加来保证安全通信。(3)防火墙技术与VPN(虚拟专用网)技术,防火墙技术一种将相对安全的内部网和不安全的公网分开的隔离技术,对两个网络通信时执行的一种访问控制技术,我们可以添加规则,进行安全通信。而VPN技术则是一种保证跨越Intemet进行安全的、点对点通信的有效技术,能够实现保密通信和身份的认证。(4)密码技术原理及应用,确保数据和资源免遭破坏时网络安全的重要前提,密码技术是保护信息安全的重要手段之一,也是防止伪造、篡改信息的认证技术的基础。(5)病毒识别及检测修复技术。这是计算机网络用户最关心的问题。(6)网络攻击与防范技术,通过网络实战攻击让学生了解攻击者的方法和技术,总结出必要的防范措施,加固现有的网络环境。
在选择授课内容的同时,需要注意不能流于表面而局限于一些泛泛的、不够系统的安全知识,同时也不能过多的研究深奥的理论细节。要根据所设定的教学目标,围绕着在实际生活中会遇到的问题,精心设计授课内容,布置学习任务,让学生将所学知识同现实情景相联系,能够根据具体情况解决实际问题,真正的将知识固化到自身,最终达到开设本课程的目的。
3 提高教学质量的探索
为了达到课程设置的目的、提高教学质量,如果使用一成不变的传统教学方法和手段很难达到良好的效果,因此在教学方式方法上必须进行更多的改革。
3.1 教学手段改革。学习了网络与信息安全的相关知识后,大家都知道,网络与信息安全实验课程内容中的原理概念非常抽象,十分枯燥而且晦涩难懂,目前信息安全技术方面的教材大多偏重于理论,不能激发学生的学习热情。为此,我们以理论够用、重在实践为宗旨,以技术实用为原则,以任务驱动为导向组织编写了《网络与信息安全实验》教程,引导学生学习,提高学生的学习兴趣。同时,我们充分利用多媒体技术丰富多彩的特点,将图片、动画、录像等元素都集成到教学活动中,将每个实验内容的操作过程进行录像,以直观、生动的形式提高学生学习的兴趣。这样既避免了单纯的理论说教,提高了学生的学习兴趣,同时也便于学生理解抽象难懂的网络安全知识,从抽象的概念上升到形象上的认识。
3.2 实验环境改进。《网络与信息安全实验》课程的许多知识需要学生在实践中进行理解,而目前绝大部分的学校在本门课程中只有简单的工具演示及基本的操作性实践,这些是远远不够的,我们有设置专门的网络安全实验室,包括常用的路由器、交换机、服务器等硬件设备,构建一个小型局域网络,搭建计算机网络与信息安全的实验平台。设计一系列完整的实验项目,既包含基本的教学内容,同时又给予学生一定的挑战性还需要建立一个安全工具资源库,帮助学生完成各种网络管理和信息安全的学习任务,最后还应该制定实验规范要求,严格管理制度,防止由于工作的疏忽导致学生将黑客软件带出实验室,造成不必要的麻烦。
3.3 组织学生参加网络攻防大赛。在老师的指导下,我们有一支稳定的网络安全小组,对网络安全感兴趣的同学可以通过各种考核进入我们的小组,让后我们按照等级进行指导性学习,兴趣小组的一部分同学在老师组织课堂教学的过程中辅助老师进行教学,同时,他们还参加国家级的各类网络安全、网络攻防大赛。
3.4 加强课堂讨论。对《网络与安全实验》的内容,大部分学生还是有强烈的好奇心的。上课前,给学生提出一个课题,让学生课后查阅资料,在课堂上可以开展课堂讨论,使学生在良好、互动的教学环境中取得良好的教学效果教师的角色从单纯的讲授者转变为倾听者、引导者,学生从被动的接受者转变为主动的参与者,提高了学生的积极性和主动性,最终提高了学习质量通过这种交流,教师可以随时了解学生对知识的掌握程度、学习兴趣的高低等,这种方法还能加强师生间的沟通和交流。
3.5 考核形式改革。学习的目的不是为了通过考试,而是希望通过课程的教授过程,培养和提高学生分析和解决实际问题的能力,影响学生面对问题时的思维方式、道德素质和协作精神。因此在课程的考核形式上,可以综合考虑卷面成绩,课题讨论表现,实际过程中通过查找资料和讨论解决问题的能力等方面让学生有足够的机会来修正和改进他们的成绩,以便从错误中学习,让学习课程本身的乐趣来促进学生学习的兴趣达到更好的教学目的。
结束语
《网络与信息安全实验》课程是一门实践性强的课程,同时也是一门技术发展变化很快的课程,这些给我们的教学工作带来难度,如何设计好讲授的内容、课堂上教学的内容的深浅如何把握,如何把抽象的理论变成学生易懂的知识,要需要在以后的教学实践中进行不断的总结和提高。
作者简介:王小英(1979-),女,陕西泾阳人,防灾科技学院灾害信息工程系,副教授,硕士,研究方向为网络安全与密码学。
信息安全厂商代表上台领奖
深信服向来宾介绍其AC上网行为管理设备
来自信息产业部等国家各部委的领导认真听取代表发言
2007年4月18日,由国务院信息化工作办公室网络与信息安全组、中国计算机学会计算机安全专业委员会、中国信息协会信息安全专业委员会、中国互联网协会网络与信息安全工作委员会、国家保密技术研究所和国家信息中心信息安全研究与服务中心指导,中国电子信息产业发展研究院主办,中国计算机报社承办的第八届中国信息安全大会在北京新世纪日航饭店举行。本次大会以“和谐网络&应用安全”为主题,契合了建设和谐社会的指导思想,聚焦信息社会中面临的应用安全问题。
在信息安全领域,历来人们都是强调安全技术产品的细节。现在,这一点也许需要有所改变了。人们需要从对信息安全的认识、安全的架构以及未来的主流信息安全技术等更高的层次重新思考信息安全。在前不久举行的RSA Conference上,全球信息安全巨头以及关注信息安全的专家都在主题演讲中透露出这个信息。
以前,谈到信息安全防护,首先考虑的是网络边界防护,也就是通过防火墙/VPN、网关安全技术给自己的网络安装一道防护的“闸门”,通过网络访问控制技术来实现对内部网络的保护。然而,随着互联网普及,网络和信息系统不可避免地要对外开放――开放给客户,与合作伙伴共享应用系统和数据库。在这种情况下,保护数据本身比建一堵围墙重要得多,也有效得多。
理念的变化将带来安全防护方式的巨大变化。我们不仅要对自己的信息系统的安全负责,还要对通过网络相连的客户、合作伙伴的信息系统的安全负责。因此,实现信息系统的“应用安全”应该得到提倡。
创造和谐的网络环境
众所周知,信息安全产业已经不再是一个孤立发展的产业,正如国信办网络与信息安全组副司长赵泽良所说,网络与信息安全关系到社会各个层面,广大的用户已经深切感受到安全防范的重要性,并逐步加强了防范意识,产业界同仁也在不断发现安全的隐患,对更深层的安全防御未雨绸缪。
前段时间“熊猫烧香”肆虐网络。很难说事件本身有多蹊跷,但人们对它的关注却在不经意间反映出中国信息安全产业在当前发展阶段的至深影响力。公安部公共信息网络安全监察局副局长赵林在会上表示,这类事件的出现和影响充分地说明了网络与信息安全的重要性。随着信息化及网络应用的不断深化,信息安全还将面临更多更广阔的机遇和挑战。因此,我们面对建设和谐社会的大主题,中国信息安全产业理当顺应这个大趋势,并为信息社会的和谐做出贡献。
国家信息中心首席工程师宁家骏在大会上表示,国家在信息化的战略中,已经明确提出了确保国家的经济安全、政治安全、文化安全、信息安全,来增强忧患意识和危机意识,并把信息安全问题列为四大安全问题之一。所以,信息安全产业面临重大的发展机遇,担负着重大使命。我们因此提出了“和谐网络”的倡议。
那么,应如何建设和谐的网络社会呢?信息产业部专家指出,网络安全是信息社会健康发展的基本前提,要像重视网络发展那样重视网络安全,以发展促安全,以安全保发展。一方面,要继续加大信息通信基础设施建设力度,积极推进信息技术的广泛应用和信息资源的开发利用,以满足社会日益增长的信息通信需求;另一方面,针对各种网络安全问题,采取切实有效的应对措施,不断提高防范和保障能力,创造一个放心、安全的网络应用环境,使网络能够更好地服务于人们的工作和生活。电信运营企业,包括ISP、ICP、SP等要强化社会责任意识,依法经营,文明办网,以形式多样、健康向上的业务占领网络阵地,积极参与和培育健康和谐的网络空间。
开拓网络应用安全之道
信息安全融技术、策略、管理、教育于一体。从信息安全策略来看,它分为物理网络层、操作系统层、应用系统层、规章制度层四个层次。网络操作系统的安全,主要涉及防范对物理网络平台的黑客攻击,防病毒,防系统崩溃,系统数据的备份与灾难恢复等;应用软件的安全,主要涉及防止系统侵入破坏,防邮件垃圾,防盗用密码,防窃取办公资料,防技术性盗用软件等;建立规章制度主要包括建立保证运营管理制度,涉及机密信息保护、人员内部管理、设备可用性保护等。
全世界每年由于信息系统的脆弱性而导致的经济损失逐年上升,安全问题日益严重。面对这种现实,各国政府有关部门和企业不得不重视信息安全问题。网络安全技术和安全产品首先发展并盛行起来,目前市场上有诸如防火墙、入侵检测系统、网络安全审计系统等比较成熟的网络安全产品。虽然这些产品能够在一定程度上提高网络的安全性,但令人遗憾的是,它们对信息内容的监控、过滤、保护,以及有效合法的使用基本上无能为力。在Internet这种分布式环境下,如何对信息内容进行合理的管理和有效的保护,同时确保信息内容的分发和使用安全,即保证其整个生命周期的安全性显得日益重要。
微软(中国)有限公司解决方案专家王健的发言是从问题开始的:“全世界最受黑客、病毒、垃圾邮件干扰的企业和组织是哪个?不是微软,是美国国防部。微软是第二个。针对微软的系统,每天有超过4500次的攻击。在全球范围内,有几万名微软员工在互联网上协同工作,但是微软的企业系统、邮件系统、工作系统没有瘫痪过。这个现象值得深入探询,如何利用最新的IT技术,如何利用微软的技术保障企业的稳定运行?”不难理解,应用安全无论是对企业还是对个人,都是防范效率提升、节约安全运维成本的最佳之道。
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
关键词:信息安全 意识
一、引言
21世纪最大的安全问题是信息安全,以及建立在信息安全基础上的经济安全、政治安全、军事安全、社会安全、科技安全、文化安全等。信息安全最薄弱的环节很可能是大意的人们,而不是软件的漏洞。黑客曾攻陷了许多极为繁复的网络,靠的不仅是高超的技术,更多的是利用人的弱点。只有把人的安全防范意识提升到一个相当高的地步,才能够从根本上降低信息安全的风险。
二、信息安全
国际标准化组织(ISO)定义信息安全是“在技术上和管理上为数据处理系统建立的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和泄露”。
⒈信息安全的主要内容
信息安全的主要内容包括:机密性、完整性、可用性、真实性和有效性。
信息安全主要指信息的机密性、完整性和可用性的保持,即指通过采用计算机软硬件技术、网络技术、密钥技术等安全技术和各种组织管理措施,来保护信息在其生命周期内的产生、传输、交换、处理和存储的各个环节中,其机密性、完整性和可用性不被破坏。
机密性是指:确保只有那些被授予特定权限的人才能够访问到信息。信息的机密性依据信息被允许访问对象的多少而不同,所有人员都可以访问的信息为公开信息,需要限制访问的信息为敏感信息或秘密信息,根据信息的重要程度和保密要求将信息分为不同密级,例如军队内部文件一般分为秘密、机密和绝密三个等级。已被授权的用户根据所授予的操作权限,可以对保密信息进行操作。有的用户只可以读取信息,有的用户既可以进行读操作,也可以进行写操作。
信息的完整性是指:要保证信息和处理方法的正确性和完整性。信息完整性一方面是指在使用、传输、存储信息的过程中不发生篡改信息、丢失信息、错误信息等现象;另一方面是指信息处理的方法的正确性,执行不正当的操作,有可能造成重要文件的丢失,甚至整个系统的瘫痪。
信息的可用性是指:确保那些已被授权的用户,在他们需要的时候,确实可以访问得到所需要信息。即信息及相关的信息资产在授权人需要的时候,可以立即获得。例如,通信线路中断故障、网络的拥堵会造成信息在一段时间内不可用,影响正常的业务运营,这是信息可用性的破坏。提供信息的系统必须能适当地承受攻击并在失败时恢复。另外还要保证信息的真实性和有效性,即组织之间或组织与合作伙伴间的商业交易和信息交换是可信赖的。
⒉信息安全发展现状
信息安全在我国信息化建设进程中可算是一个新兴产业。大体上,信息安全发展轨迹包括了以下3个阶段:
⑴萌芽阶段
2005年以前,国内各行业、各部门开始萌生信息安全的意识:从最初的“重视信息化建设”却“轻视安全体系的构建”,发展至“意识到安全的重要性”并且“希望实现信息安全”,但又认为信息安全很神秘,不知从何入手。在此阶段,各行业的客户都在有意识地学习和积淀信息安全知识,与这一领域的权威进行广泛的交流,了解其技术、理念、产品、服务。与此同时,一些企业、部门也出现了一些规模较小的、零星的信息安全建设,但并未实现规模化和系统化;而且,这个时期对于信息安全,政府在宏观政策上是呼吁得较多,具体推进的事务则比较少,虽然显得很热闹,但实际信息安全建设很少。
⑵爆发阶段
2005年以后,国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。客户已基本了解了信息安全的建设内容与重要意义。很多行业部门开始对内部信息安全建设展开规划与部署,各行业领导高度重视,投资力度不断加大。由此,信息安全成为了这一阶段建设的重中之重。某种意义上,信息安全市场的需求爆发可说是多年来各行业在信息安全方面的“欠债”所造成的。
⑶普及阶段
当信息安全建设与各行业整体信息化建设融为一体的时候,信息安全作为IT建设的关键环节之一,它就像空气一样无比重要、无所不在,却又不易为人察觉。
从现在起的3~5年内,信息安全市场将保持高速、超规模的发展势头,电信、政府、金融将会是信息安全需求最大的行业。因为电信业和金融业是投资大、发展快、信息化程度高而需求复杂、安全形势相对严峻的行业,而政府部门则因站位较高、安全需求迫切,对外又发挥着示范作用,所以也会对信息安全加大投入。
三、信息安全的重要性
信息安全是信息化建设的基石,是信息网络正常运行、发挥效能的保障。信息安全已成为影响国家安全、社会稳定和经济发展的全局性问题。一个国家的信息获取能力和信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的象征,是未来国际竞争的“杀手铜”。社会的发展,数字网络时代的到来,使人们生活的许多方面发生了改变。银行存款的通存通兑和异地存取款,上网冲浪,网上购物和网上交易等无不给人们的生活带来便利。但在计算机和网络带来方便和快捷的同时,它也附加了一些条件。如今人们口袋里的现金少了,各种各样的卡多了,如银行信用卡、医疗社保卡、工资卡等等。这些卡确实使人们方便了许多,但就因为这些卡方便到了在人们使用它们时计算机系统只认持卡人而不辨卡的真正主人的地步,为此人们为了卡上的信息的安全不得不为各种卡设置密码等。这就是一个信息的安全问题,人们设置各种密码就是为了人们的信息的安全。
随着互联网的发展和普及,网络病毒、网络攻击以及网络犯罪迅速达到空前猖獗的程度,今天的病毒已能在十几分钟内迅速传遍全球,能在瞬间扰乱全球经济。网络安全性已成为全球关注的焦点,黑客入侵和计算机病毒正威胁着各部门的正常运作。当人们日益依赖计算机网络时,却发现网络是如此脆弱。于是,信息安全日益得到全世界的重视,信息安全已经成为衡量一个信息系统是否完善的重要标志。
四、提高信息安全意识的有效措施
良好的信息安全环境,是进一步深化改革开放、推进我国社会主义现代化建设的需要,也是国家安全的基础。良好信息安全环境的前提是全体国民必须有强烈的信息安全意识和保护国家敏感信息的高度警惕性。
⒈提高领导干部的信息安全意识
各级领导干部既是产生、传递、利用和贮存敏感信息的主体,也是窃取敏感信息的主攻目标。因此,要提高信息安全意识,各级领导干部的信息安全素质尤为重要。因为只有领导提高信息安全意识,才能认真抓信息安全工作,严格落实各种法规和制度,严密组织实施信息安全检查,信息安全工作才能有成效、搞得好。
⒉提高人员的信息安全意识
人员是秘密信息安全的重要管理者,担负着秘密信息的收发和保密责任。抓好人员的队伍建设,提高其素质,是做好信息安全工作的关键。要提高人员的素质,除了提高思想认识、培养科学严谨的作风、严守法纪和各项规章制度外,要进行高技术条件下信息安全保密的专业训练,使其掌握用现代技术工具管理文件档案的知识,熟悉本职业务,对可能造成失泄密的现象有较高的判断力和洞察力,以及掌握一定水平的反窃密技术等。⒊提高专业技术人员的信息安全意识
专业技术人员是我国信息安全管理的生力军,是信息安全的运维者。专业技术人员要有足够的信息安全知识,充分理解相关的安全技术、操作系统和应用软件的安全性能,不断跟踪安全新闻动态、安全技术发展,养成良好的信息安全习惯。政府要积极推动我国信息化专业技术人员与国外在信息安全意识培养方面的交往。借鉴国外成功的经验,利用国外的研究成果,借助国外的教育力量,引进国外优秀的教材和有关理论,是迅速提高我国专业技术人员信息安全意识培养水平的捷径。
⒋提高全民信息安全意识
要增强国民的信息安全意识,提高国民信息安全的自觉性,必须要开展全民性的信息安全教育。要做到在任何情况下,确保党和国家秘密的安全,最根本的是搞好思想教育,提高全民的信息安全意识。各行业、各级政府信息管理部门要利用舆论、媒体宣传信息安全的重要性;编写信息安全知识手册,加强在信息安全方面的自我保护能力;建立一套安全培训制度,针对不同水平的用户进行分级培训,逐步提高计算机用户的技术水平;组织学习信息安全工作的法规,普及信息安全的常识,介绍信息安全的技术。只有全民的信息安全意识增强了,信息安全才会有充分的保证。
参考文献:
[1]段云所,魏仕民,唐礼勇,等.信息安全概论[M].北京:高等教育出版社,2005
[2]丹宁.信息战与信息安全[M].吴汉平,译.北京:电子工业出版社,2003
作者简介:
【关键词】计算机 信息安全 技术研究 防护研究
计算机的信息安全问题关乎用户的很多权益,因而计算机工作人员应该对这个问题高度重视。技术人员应该大力关注对计算机信息安全技术的创新,及时为广大用户提供有效的帮助。只有这样,计算机用户才能在安心地在网上进行工作学习以及购物等。现在的网络黑客也比较嚣张,他们严重地破坏了我国的计算机网络工作环境。因此,国家也应该制定这方面的法律,让不法分子不能得逞。只要大家共同努力,就一定能够还网络一个安全的环境,让用户的信息安全得到充分的保障。
1 计算机信息安全技术
1.1 理解计算机信息安全
简单来讲,计算机信息安全主要是指人们在使用计算机时会对大量的信息进行搜集和整理,在处理信息的这个过程中,我们需要对其进行信息安全加密保护。
目前,互联网发展非常迅速,很多人都在使用计算机。并且因为互联网的存在,这些用户的信息都被捆绑在了一起。在庞大的互联网信息环境下,客观来讲,在使用计算机时,人们的信息存在很大的安全隐患。用户的信息面临着被盗的危险,相关互联网工作人员应该定时对其进行安全防护。对于如何保护好大家的计算机信息,相关人员应该不断创新自己的网络技术以便于提供及时的帮助。共同维护计算机用户信息的安全是每一个人的任,只有这样我们才能营造一个和谐的互联网环境。
1.2 关于计算机信息安全以及防护的技术
互联网时代,大家都离不开计算机。对计算机用户的安全问题,需要使用相关的技术以及防护措施进行解决。一般情况下,计算机信息安全防护技术它本身不是单一的,这个里面包含着一系列的防护措施。比如在计算机用户的电脑里都会安装一个防火墙,这个也是在进行信息保护过程中经常用的最普遍的技术。当有病毒来侵袭你的电脑时,计算机中的防火墙就会帮助用户进行病毒处理和阻拦等。除此以外,还有一种就是可以利用专门的杀毒软件对用户信息进行保护。当有病毒出现,会出现相应的提醒以及防护措施。目前,各种信息安全防护技术也在不断地发展和优化中。
2 关于计算机信息安全防护措施
2.1 找出问题的来源
计算机用户的信息被盗,必须得到技术人员的重视并帮助解决。而最为关键的,就是要找到出现信息安全隐患的根本所在。计算机技术人员应该努力找到病毒的来源,继而及时给出解决信息安全问题的办法。计算机中存在的病毒一般都是潜藏在用户浏览的网站中,或者各种链接中。如果用户的信息被盗,很有可能会导致文件的丢失,甚至导致银行账户财产的损失。因而,技术人员找到病毒的源头,帮助用户从根本上清除病毒,才是长久之策。除了从杀毒软件角度进行消灭病毒以外,用户还需要建立一个坚固的防护网。这样可以避免一些病毒的侵入,也算是一种从源头遏制问题的发生。
2.2 提高维护信息安全技术
不可否认,现在的计算机网络技术更新的非常及时。同时,黑客的侵害计算机用户的技术也越来越高超。因此,计算机技术部门必须要加快对信息安全技术的研究,才能使得技术足以解决计算机安全问题。然而,从我国计算机技术水平来看,很多的技术还是处于很低级的状态,根本不能有效地对抗计算机中存在的病毒。技术部门不仅要时刻关注安全防护技术的更新,还要加强对计算机安全防护系统的设置。从企业角度来讲,应该招聘优秀的计算机工作人员,经常性地对计算机进行维修。另外,企业还可以建立一个专门维护计算机信息安全的团队。企业通过对计算机员工进行专业化的管理,能够大大地提高计算机信息安全维护技术。
2.3 国家和政府给予支持
由于信息技术现代化的步伐从未停歇,因而攻研计算机安全防护技术也要一直坚持下去。在这个攻研的过程中,肯定是需要很大资金的投入。此时,国家以及政府应该给予一定的资金援助。有了资金基础,能够有效地帮助技术人员加大技术攻克的力度。除此以外,国家还可以制定一些关于维护计算机信息安全的制度或者法律。通过法律和制度的保障,对那些网络非法分子进行严厉的惩罚。
另外,当计算机用户的权益受到了侵害,也可以通过法律途径来维护自己的权益。如果企业由于信息受到侵害导致资金损失的话,也是可以通过法律及时弥补损失。由此,我国的信息化网络环境可以得到有效地净化,从而有效地保障计算机用户的权益。
3 计算机网络信息安全技术介绍
3.1 身份认证技术
简单来讲,身份认证技术就是需要用户的身份证明。通过身份认证方式,计算机用户的信息安全可以得到一定的保障。通常的身份认证途径有两种,一是密码认证,二是生物特征认证。密码认证就是每个用户都有一个密码,输入密码正确即可表示认证成功。但是,这种认证方式安全信度低,密码也很容易被盗。生物特征认证就是通过每个人的生理和行为的特点进行鉴别。一般包括指纹、声音、人脸等的鉴定,这种鉴定方式有着很大的发展空间。
3.2 杀毒软件
计算机一旦中了病毒,用户的信息会完全被盗,后果是不堪设想的。因此,用户在计算机中安装相关的杀毒软件是非常有必要的。不同的计算机有不同的系统,据此要安装相关的杀毒软件。杀毒软件主要是不断地对计算机信息安全进行维护,观察是否有可疑病毒出现。同时,杀毒软件也会针对病毒进行及时处理。
4 结束语
充分认识计算机信息安全的定义,同时在了解了相关的信息安全技术之后,计算机用户应该会对信息安全有更为深刻的理解。计算机信息安全维护人员也要加大对技术的攻克力度,不断更新杀毒件。当然了,在进行这些技术的攻克时,还需要其他人的帮助。如企业可以提高资金的援助,政府加强信息安全的宣传,国家给予制度保证等。相信,在多方人员的共同努力下,我们一定能够营造一个和谐而安全的网络环境。同时,计算机用户的信息也能够得到有效地保护,从而充分享受互联网的便利。
参考文献
[1]王颖波.计算机信息安全技术及防护研究[J].计算机光盘软件与应用,2013(22):171-172.
[2]赵立.关于计算机信息安全技术及防护的研究[J].民营科技,2016(11).
关键词:信息安全 教育 企业 培训
中图分类号:G658.3 文献标识码:A 文章编号:1672-3791(2013)07(b)-0017-02
信息安全问题或许能够得到企业的认识,但更多的企业内部员工并没有认识到信息安全的重要性。甚至一些企业都没有预见到信息安全可能是阻碍企业长期发展的关键性问题。对此,企业普及信息安全的教育,确保企业信息的机密性、完整性和可用性变的越来越重要。
1 信息安全教育的必要性
信息安全对于企业来说是十分重要的。现在因为信息安全问题而造成经济损失的企业很多,其原因基本都是对信息安全的不够重视,而对于制造业来说信息安全则尤为重要。制造业面临着很多的问题,譬如说生产的产品都大同小异,没有技术方面的优势,产品属于劳动密集型的产品,在强手如林的市场经济中可以获得经济利益,却不能够实现企业的长足发展。对于此问题,各制造业都会将眼光放在产品的创新上,通过产品的研发设计优势、技术优势来冲破密集型产品给企业发展带来的阻碍。但是,如果企业保证产品优势的信息被别人窃取或是模仿,最终就可能导致产品的大众化,使企业产品的优势不复存在。即便企业知道信息安全的重要性,但企业内部员工如果没认识到信息安全的重要性和严重性,也可能导致信息的流失,从而损害企业的利益。对此,制造业更应该对信息安全问题加以重视。
2 信息安全的内容
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
2.1 管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。
环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。
企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。
其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。
最后就是对于企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
2.2 网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。
(1)网络。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。
造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。
在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
3 信息安全教育
3.1 保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁杂。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。
有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻开始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。
在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对于信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
3.2 信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。
(1)对于企业内部所有员工进行信息安全意识的教育培训。
(2)对于企业内部的信息技术人员进行相关技术知识的教育培训。
3.3 员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对于一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基本要求。
3.4 普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机上,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家里或是其他计算机上的病毒带到企业内部,导致企业的计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更高的信息安全意识。
4 结语
在企业当中,对于企业内部员工普及信息安全的教育是十分重要的。一个企业仅有对信息安全的意识是不足够的,它需要建立完善的信息安全管理制度,通过完善的信息安全管理制度去强制员工履行其信息安全的义务。其次,企业应该对员工进行信息安全教育培训,从信息安全知识、员工职业素养以及计算机及网络知识的培训来对员工进行深层次信息安全的教育。只有员工有了信息安全意识,才能够使整个企业具备防范信息安全威胁的能力。
参考文献
[1] 陈华.美国高校信息安全管理体系及其启示[J].科教导刊,2013(1).
[2] 范映红.关于大学生信息安全教育问题的思考[J].学理论,2012(29).
[3] 刘飞.对高校信息安全教育之思考[J].群文天地,2012(2).