时间:2023-10-10 10:45:15
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇关于信息安全问题范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
关键词:计算机信息网络;安全;措施
中图分类号:TP393文献标识码:A 文章编号:1009-3044(2008)24-1137-02
1 引言
随着计算机技术的不断发展,计算机网络已经成为信息时代的重要特征,国际互联网的迅速发展,推动了信息技术在各个领域的广泛应用,网络信息交流现已是生活中必不可少的一个环节。因为网络应用的如此广泛,又在生活中扮演很重要的角色,所以其安全性是不容忽视的,如果安全性不好会给人们带来很多麻烦。信息技术安全已不仅限于政府、国防和科研领域,其范围已拓宽到一般的组织和企业。目前许多企、事业单位准备建立或已经建立了企业内部计算机网络,并与国际互联网连接,由于企事业单位的性质、规模不同导致对网络安全的需求程度不同。信息技术安全也已不单纯是计算机数据安全,而扩展为信息交互、信息服务等多方面的安全。信息系统安全问题已成为一个极其重要的课题。本文主要就单位的信息安全问题做一个简单的探讨。
信息是从调查、研究和教育获得的知识,是情报、新闻、事实、数据,是代表数据的信号或字符,是代表物质的或精神的经验消息、经验数据、图片。
信息安全通过各种计算机、网络各密钥技术,保证在各种系统和网络中传输、交换和存储的信息的机密性、完整性、可用性和不可否认性。信息安全不单纯是技术问题,它涉及技术、管理、制度、法律、历史、文化、道德等诸多方面。
2 网络信息系统不安全的因素
1)物理因素:信息系统中物理设备的自然损坏、人为破坏或灾难带来的威胁。
2)系统因素:由于软件程序的复杂性、编程的多样性和人为的蓄意破坏等带来安全上的威胁。
3)应用因素和管理因素。在信息系统使用管理过程中,不正确的操作和人为的蓄意破坏或管理不当带来的威胁。
4)网络因素:首先,网络自身存在安全缺陷。网络协议和服务所设计的交互机制存在漏洞,如:网络协议本身会泄漏口令,密码保密措施也不强等。其次,网络本身的开放性带来安全隐患。各种应用基于公开的协议,远程访问使得各种攻击需到现场能得手。再次,黑客基于兴趣事利益非法入侵网络系统。
3 企业内部计算机信息网的安全级别
20世纪90年代中期,美国与欧洲各国共同改进原来的安全标准,宣布了制定通用安全评价标准――CC。根据企业信息安全的需要及特点,要对企业内部计算机信息网安全等级进行确定。企业内部计算机信息网安全等级是指对安全的需求确定一个大致的目标。由于企业内部管理信息和内、外部市场信息及经营等信息的内交流及内、外部交流给企业带来了生机和活力。因此,企业内部计算机信息网应确定为非网,其安全等级应定为C2级,在资金允许的情况下可向更高一级过渡。
4 企业内部计算机信息网安全层次的划分
网络是一个层次结构,因而安全问题也是分层次的。网络层的安全保护,主要目的是保证网络的可用性和合法使用,保护网络中的网络设备、主机操作系统以及各TCP/IP服务的正常运行,根据IP地址控制用户的网络访问。网络层在ISO的体系层次中处于较低的层次,因而其安全防护也是较低的,并且不容易使用和管理。网络层的安全防护是面向IP空间的。应用层的安全防护,主要目的是保证信息访问的合法性,确保合法用户根据授权合法访问数据。应用层在ISO的体系层次中处于较高的层次,因而其安全防护也是较高级的。应用层的安全防护是面向用户和应用程序的。随着互联网的普及,黑客攻击已成为网络管理者的心病。有些特大型企业内部单位、下属企业数量众多,网络互联且拥有数千台计算机,内部计算机从业人员了解相连的网络结构、数据位置和信息的重要程度,因而遭受攻击的可能性大大增加。如果内部遭受攻击,造成的后果就更严重。因此,必须采取相应的安全措施。
5 企业内部计算机信息网安全系统的建设
解决企业内部计算机信息网安全问题要注重“可操作、有效果和能验证”的原则利用现有的商业产品以及我们开发的不那么安全的软件,通过局部调整、合理搭配,形成自己的安全增强功能,使系统的整体安全强度提高。
1)要统一出口。内部网络的对外连接实行统一出口建设。集中资金建立内部网络与因特网连接处的防火墙。建立统一出口防火墙的作用,一是进行地址转换,将企业内部的非法网络地址转换成因特网上的合法地址,同时对外隐藏了内部网络结构;二是对用户通过防火墙实行访问授权控制;三是记录对外的访问,生成日志文件以备安全审计。建立公用的服务器系统如企业的外部域名、WWW、E - mail服务器等。通过设置使得外部站点只能访问防火墙外的公用服务器不能访问企业内部网络,企业网内部的站点可以访问E - mail服务器。对远程拨号访问服务器实行统一出口建设。集中资金建立远程拨号访问服务器,集中管理技术力量,加大管理力度,提高该系统的审计、管理功能。利用用户的身份来区分访问因特网的用户或访问企业内部网的用户,由于分配相应的地址和访问权限,并配合路由器或防火墙的地址过滤和控制功能保障网络安全。
2)的领域(并考虑到与之相关的领域),合理划分网络逻辑结构,增大网络安全强度。配合网络逻辑结构将OSPF路由协议划分为若干区域,每一个区域固定IP地址范围,到端点单位采取静态路由的方法。动态路由器之间使用认证功能,避免非法路由的接人。在路由器上建立静态的ARP表项或IP地址MAC地址数据库,使每一个IP地址与MAC地址对应,防止IP冒用。在使用PPP封装的一对路由器上启动CHAP认证。对路由器的访问设为用户名和口令的限制。路由器的配置文件中,将用户名和口令设为以密文形式存放,限制telnet使用。设置访问列表,仅允许网管人员所在的网段telnet到路由器(为网管人员建立单独的网段)或单独的路由器端口。
6 企业内部计算机信息网安全软件的开发
1)应用软件开发。这是对一般软件开发而言,虽然这不属于计算机安全的范畴,但是它直接影响到计算机系统的安全信心。除了保证代码正确性以外,还要特别强调减少隐蔽信道、系统后门等隐患。这是过去软件开发所忽略的。再如,过去开发软件总是建立在代码按照规定的逻辑流程连续运行这一基础上,很少考虑到系统由于电源、硬件、负载或病毒、人侵以至软件错误等原因发生的故障会使逻辑流程中断。发生故障后,一切从头开始所耗用的时间是某些应用场合所难以承受的。因此,对某些特别敏感的软件,应在设计时有所准备,能够在故障后给出一个快速恢复的过程。还应加以制度化的是,软件项目从开始就同时实施它的安全工程,在论证、设计、测试、验收的各个环节把安全指标包括在内。
2)安全软件开发。它的内容大致上可有两部分:一是带有共性的软件(或安全机制),如典型操作系统的安全功能增强、防火墙等;
3)用于特定范围、特定平台上的软件(或安全机制)。这些软件,大多应是在原有软件基础上的扩充。应当说,其中所能涵盖的工作内容非常丰富,可让各路技术队伍找到用武之地。毫无疑问,要使工作有成效、有速效,一个重要前提是做好计算机安全需求细化研究,在那个关系矩阵的指导下选题开发。由此开发的任何软件模块,都是在为“安全堡垒”添砖加瓦,既拥有软件的自主版权,又获得了安全自信
7 企业内部计算机信息网的安全管理
安全工程能力、安全产品并不是解决计算机系统安全问题的全部,安全的三维空间其中一维是安全管理。安全管理的依据是安全政策,安全政策包括物理方面的政策(关键计算机硬件选型、芯片设计、电磁屏蔽、网络配置等)、逻辑方面的政策(数据访问)和行政方面的政策(从业人员管理)。
1)建立统一的用户身份认证体系。特大型企业建立的大规模网络环境中,要建立分布式的“认证中心”,使用大规模公开密匙技术。提供统一的认证、授权、数字签名、抗抵赖等机制,并且保证不同安全管理域之间的各种安全技术的互操作性和扩展性。根据用户的申请,“认证中心”产生密匙对,公匙或私匙以软盘或IC卡交给该用户,其中信息包括姓名、证号、单位、照片、指纹等信息。私有密匙受口令保护,用户只需记住自己的私匙口令。该软盘或IC卡成为网内计算机从业人员的电子身份证。
2)使用病毒防治的综合技术。全球已发现两万余种病毒,并且以300/月的速度递增。计算机病毒是网络安全的最大隐患,由于计算机病毒的种类越来越多,变种层出不穷,给网上预防和清除病毒的工作带来很大困难。对计算机病毒的防治工作已不再是简单的在客户机上安装病毒扫描程序就可以解决问题了,需要利用网络特点建立一套完善的桌面客户机防病毒、服务器防病毒、网关防病毒防护系统及时接受网上“防病毒血清站”提供的最新“防病毒血清”组成计算机网络的病毒防治体系。重要的是建立和加强软件交流、软件下载等方面的管理,建立在这些环节上处理病毒的制度。
3)采取一些非常规防范手段。使用一些非常规防范手段如“牺牲”一些计算机、“牺牲”一些资源来捕捉或记录人侵的行为。防火墙是目前所有保护网络方法中最能普遍接受的方法。95%的人侵者无法突破防火墙。攻破防火墙须实施两阶段的攻击:第一阶段,扫描攻击目标(被攻击网络)上设置的何种防火墙、防火墙允许那些服务运行。第二阶段,寻找此类防火墙的漏洞。因此,设置一些计算机将它们伪造的向真正的文件系统或应用程序那样建立回答响应,它们既做Web服务器又做“陷阱”同时准备“牺牲”。建立自动的、同步的异地日志备份计算机,以“牺牲”资源来记录人侵的行为,采用类似的一些非常规防范手段与常规安全审计技术配合构造成预警系统,将入侵行动消灭在初始阶段。对案件提供侦破线索和电子证据。
参考文献:
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
关键词:高校;信息化;信息安全
21世纪高校信息化飞速发展,保障高校信息安全成为了众多高校、专家关注的问题。沈昌祥院士提出21世纪是信息的时代,信息技术和产业空前繁荣。然而与此同时危害信息安全的事件频频发生,信息安全面临巨大挑战。2012年2月,教育部计划用4年时间在100所本科院校中开展“以信息化促进人才培养模式创新为重点,在数字化校园建设、信息安全等方面开展研究”。世界各国也非常重视信息安全,1995年,美国国家安全局成立了信息安全学术人才中心,以期培养信息安全教育的人才。2011年,英国政府将信息安全教育纳入所有中小学的必修课,使中小学生树立信息安全意识。
1信息安全定义
1.1国际标准化组织
ISO定义信息安全信息安全指为保护数据处理系统而建立的技术和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的因素而遭受破坏、更改和泄露。
1.2美国定义信息安全
从技术和管理措施角度出发,NSTISSC将信息安全定义为对信息、系统以及使用、存储和传输信息的硬件保护。从信息安全涉及的内容角度出发,将信息安全定义为保护存储和传输中的数据不被他人有意或无意的窃取或破坏。如信息设施及环境安全、数据安全、程序安全、系统安全等。
1.3资深专家定义
信息安全沈昌祥院士将信息安全定义为:保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。
2我国高校信息安全问题及风险
高校由于具有业务广泛、信息量大、人员众多等特点,信息泄露的风险也相应较高。2016年8月21日,发生了震惊全国的徐玉玉被电话诈骗事件,致使徐玉玉不幸离世。究其根本原因还是徐玉玉的个人信息泄露,让不法分子钻了空子。2016年信息泄露报告显示,社交媒体MySpace42700账号被窃取。师生们与互联网的接触很频繁,他们的阅读习惯、检索习惯以及搜索习惯等都掌握在互联网商家手中,这些信息被大量收集后,个人隐私极有可能被暴露。2017年5月13日,全球发生了黑客劫持数据、勒索比特币的病毒事件。病毒通过校园网传播十分迅速。有报道称贺州学院、桂林电子科技大学、桂林航天工业学院、大连海事大学、山东大学等高校均受到了不同程度的病毒攻击。据BBC报道,病毒攻击扩散到70多个国家,包括美国、英国、中国、俄罗斯、西班牙、意大利等。信息已然成为黑客追逐的主要目标,高校信息安全遭受攻击严重影响了高校的正常教学秩序以及高校发展,那么避免高校重要数据泄露以及保护师生个人隐私安全成为了高校的重要职责。
3高校信息安全保护措施
我国高校信息安全工作起步较晚,目前还处于起步阶段。美国高校信息化起步早,在信息安全领域技术成熟并处于全球领先位置。信息安全面临的主要挑战是权限被滥用、盗用与数据库信息平台存在漏洞、鉴定机制不健全等。笔者根据专业知识以及多年的工作经验提出了以下几种信息安全防护措施。
3.1不随意连接未知网络
对于师生来讲,首先要有保护自身隐私的意识。一些不法分子利用公共场所的免费WiFi设置钓鱼WiFi,一旦有设备连接到钓鱼WiFi不法分子就会扫描到,如果在使用钓鱼WiFi过程中输入支付宝、微信等的账号和密码,这些信息就会被不法分子获得,从而侵犯我们的隐私以及财产权益。
3.2提高信息安全技术
对于高校来讲,提升信息安全技术是保障信息安全的基础。高校可通过在教室、图书馆等场所安装杀毒软件,并及时更新升级软件来抵御病毒的攻击;通过加强认证系统,对访问进行筛选,阻断异常的访问和查询,防止重要信息泄露、被篡改或者被删除;选择性地对敏感信息进行加密,防止在线数据和备份数据的存储介质丢失导致重要信息泄露。
3.3增加人力、财力的投入
高技术水平的信息安全管理人才能够运用自己的专业知识以及实践经验来解决一些信息安全问题,为高校信息安全保驾护航。高校信息安全问题多数是由于安全防护强度低引起的。高校应提供充足的资金,购买具有完善的网络病毒防御系统的产品,有效提高高校信息安全防护性能。
4结语
高校发展的必备条件是信息安全。目前我国高校在信息安全方面尚处于起步阶段,信息安全管理制度还不够完善。高校要根据自身发展情况,从培养师生信息安全意识、提升信息安全技术、加大人力与财力投入等方面,不断完善信息安全保障体系。通过建立信息安全教育、信息安全管理、信息安全咨询等机制减少信息风险的发生,提高信息安全保障强度,确保信息安全快速、良性发展。
参考文献
[1]沈昌祥.关于加强信息安全保障体系的思考[J].计算机安全,2002(9).
[2]教育部信息安全专业教学指导委员会.信息安全类专业指导性专业规范[Z].2014.
[3]赵冬臣.欧盟国家的中小学网络安全教育:现代与启示[J].外国中小学教育,2010(9):12-15.
[4]教育部.教育部关于开展教育信息化试点工作的通知(教技函[2012]4号)[Z].2014.
[5]SurhoneLM,TennoeMT,HenssonowSF,etal.NationalSecurityTelecommunicationsandInformationSystems[M].2010.
[6]沈昌祥.关于强化信息安全保障体系的思考[J].信息安全与通信保密,2003,(6)6:16.
1.1网络信息安全事件频繁发生,给社会造成了严重损失
在科学技术快速发展的环境下,计算机网络技术的发展步伐不断加快,为人们的生产、生活带来了极大的便利,但是随之而来的网络信息安全问题的威胁也在不断加大,一些钓鱼网站、黑客、木马、间谍软件、网络漏洞攻击等各种形式的网络信息安全问题经常出现。随着社会各界对网络与信息安全问题认识的不断提升,网络信息安全问题越来越得到人们的重视,根据相关部门的统计,2005年一年内我国相关部门接受的国内外网络安全事件已经超过了12万件,使我国计算机用户造成了巨大的损失。
1.2高校网络与信息安全实验教学的要求
高校是国家培训专门技术人才的重要机构,也是社会专业人才的主要来源,当前我国高校网络技术和网络安全实验教学硬件已经不能满足现阶段网络技术和网络安全实验教学的需求。因此为了适应新形势下网络与信息安全的需求,高校应该不断加大对网络技术和网络信息安全实验的建设,提升网络信息安全实验的硬件条件,从而更好地满足新形势下高校网络与信息安全对实验的需求,提升学生网络信息安全的实践能力,满足社会发展对网络信息安全人才的需求。
2、关于网络与信息安全教学实验室建设原则的分析
2.1遵循层次性原则,满足不同层次网络与信息安全课程实验的需求
网络信息安全关系到国家安全和社会发展,涉及面十分广阔。但是,不同层次和不同专业的学生对网络与信息安全专业技能和理论需求都不相同。因此,网络安全实验室的构建要充分满足不同层次的学生需求,让更多层次的学生受益。
2.2提升网络安全实验室的可扩充性,满足时展的需求
网络信息技术的发展十分迅速,因此,高校网络信息安全实验室建设,应充分考虑这一点,实验室平台要满足升级、更新的需求,要跟得上时展的步伐。实验室的构建要保证实验室能够具有较强的可扩充性,从而保证高校网络与信息安全实验教学能够满足信息安全技术的发展趋势,体现高校网络与信息安全实验教学的时代性特征。
2.3保证实验室软硬件设备先进性和实用性
网络信息安全技术是以网络通讯协议为技术基础而构建的。而当前使用的基于IPv4的IP网络正处于向IPv6转变和过渡的过程中。这次转变极大地提升了网络信息的安全性,同时也为网络计算机提供了大量的IPv6地址。针对这一系列变化,高校在网络信息安全实验室建设时,要充分考虑到实验室设备与IPv6协议的兼容性。网络信息安全实验室建设,要在为学生提供良好实验环境的基础上,考虑学生将来的就业需求,因此,实验室软硬件设备必须要具有较强的先进性和实用性,从而保证实验室能够发挥出更大的效用。
3、关于高校网络安全实验室项目设计的分析
3.1网络信息安全实验室应满足高级实验的需求
对于网络信息安全专业的学生来讲,他们在掌握常规的实验基础上还应该具备较高的网络信息安全技术和相关的实验能力。当前高级的实验和技术主要包括:VPN技术和相关配置、数字证书发放的实验、身份认证实验等等。数字证书发放实验就是使用服务器网络中的CA证书服务器,实现对实验小组发放数字证书。通过这个实验帮助学生有效掌握公钥密码运行机制以及相关技术,提升学生对数字证书的理解和使用能力。在进行数字证书认证的过程中,以发放的数字证书作为身份的依据,完成对网络服务的访问。服务器为使用者提供相关服务之前,需要具有合法的身份才能够获得系统提供的有效服务。
3.2建设网络平台
建设网络平台是高校网络与信息安全教学实验室建设的第一步,高校在建设过程中,要在原有的实验室基础上补充一些网络信息安全设备,包括每个试验台布置一台防火墙,一台IDS,在核心处布置一台安全隔离网闸、一台UTM、一台APM应用安全管理系统;高校实验室建设人员在已经补充好的网络信息安全设备上,设置安全管理平台,并对设备日志进行审计和分析,以便更好的对网络安全设备进行控制和管理。同时,每个试验台可以根据情况防止IPS入侵防护系统和安全隔离网闸。
3.3为学生提供网络安全创新实验的平台
信息安全方面的知识学习具有很强的实践性,因此,信息安全专业课程的学习对信息安全实验室的要求很高。而当前我国高校的网络信息安全教学基本都是停留在理论层面,对学生实践能力培养的关注相对较少,学校的网络安全实验室条件很差,实践课程很难高效开展,导致网络信息安全实验教学环节之后,学生的实践能力较差,无法满足社会对网络信息安全的需求。因此,配备一个合格的网络安全实验室具有极其深远的意义。高校的网络信息安全实验室在完成一般实验教学的基础上,还可为更高层次学生提供创新实验的机会和平台,让学生在现有软硬件条件的基础上,对当前的软件进行创新和改进,优化软件的效果,提升学生的网络信息安全创新能力。
3.4全面模块化的网络安全实验室解决方案
模块化的网络安全实验室解决方案把防火墙设备,WEB应用安全设备,非法信息检测设备,舆情分析系统,作为一个安全有效的防御整体,架设到高校信息安全专业的实验室中,使师生全面地对网络安全的多样性,复杂性从理论上和实际操作中得到了全方位的了解。一方面使学生毕业后真正走向网络安全方向的学生不会再和现行的网络攻击和威胁脱节,不会单独依靠简单肤浅的理论知识对繁琐复杂多样的攻击摸不到头脑,另一方面可以让学生和研究人员可以深入地了解网络安全问题,加深对网络原理、协议的理解,同时最重要的是在整个网络安全实验室中,实验者通过学习可以很清楚地了解如何进行有效的网络安全设计,避免网络风险的发生以及在网络安全事件发生的第一时间,如何有效地解决安全问题。
参考文献:
[1] 张卫东,李晖,尹钰.网络安全实验教学方法的研究[J]_实验室研究与探索,2007(12)
[2] 容治.计算机网络教学实验环境存在的问题和改革探讨[J].科技信息(科学教研),2007(21)
[3] 陈峰,沈雅婕,冯朝辉。高校网络与信息安全教学实验室建设研究[J】.网络安全技术与应用,2007(07)
作者简介:
关键词 网络信息 安全管理 立法
中图分类号:G202 文献标识码:A
1信息安全及网络信息安全简析
在人类认知的有限范围内,信息被定义为人类社会以及自然界其他生命体中需要传递、交换、存储和提取的抽象内容。而随着信息化的步伐,信息的地位日益上升,信息安全的重要性也愈显重要,然而什么样的信息才认为是安全的呢?一般认为,同时具备完整性,机密性,有效性的信息是安全的。
在信息安全中,首要的便是网络信息安全――网络系统硬件、软件及其系统中数据的安全,网络信息的传输、存储、处理和使用都要求处于安全状态。可见,网络安全至少应包括静态安全和动态安全两种。其中静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性;动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
I Research市场咨询调查显示,我国普遍存在浏览器配置被修改、数据受损或丢失、系统使用受限、密码被盗、受到病毒非法远程控制等问题。调查表明,我国的网络信息安全问题形势比较严峻,信息安全问题的解决迫在眉睫。
由于中国网民数量在总人口的比重越来越重,网民的力量是很强大,会形成巨大的舆论压力。这股力量如果健康发展,不受到不良的网络信息影响就可以形成健康的社会意识。只有保证网络信息安全环境,才能使得国家的军事安全、政治信息不被曲解、盗取,才能稳定舆论减少网民恐慌。
故维护信息安全极为重要。
2现有且常用的的网络信息安全技术
针对信息安全问题,通过信息安全技术在网络信息系统中对存储和传输辐射信息的操作和进程进行控制和管理,即为安全控制。常见的有操作系统的安全控制,网络接口模块的安全控制,网络互连设备的安全控制。而安全服务是指在应用程序层对网络信息的保密性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包括:安全机制、安全连接、安全协议、安全策略等。安全控制和安全服务都是通过信息安全技术来控制和解决网络信息安全问题的。常见的网络信息安全技术有:防火墙技术,网络信息数据的加密技术,数字签名。
3网络信息安全所存在的障碍及后果
(1)许多网民缺乏信息安全意识,在目前网络发达的环境中,对网络通信的对象无法作明确的认证,导致一些非法、欺骗的犯罪活动。更为严重的是,要是绑定识别码的密码被人截获、识破或篡改,那对个人或团体造成的影响将是致命的。
(2)信息安全与隐私及自由。电子邮件是比较广泛的通信方式,也是对家用计算机的最大威胁之一。
(3)信息安全与财产保护。网络黑客入侵的目标――计算机用户,窃取信用卡的号码、银行账号的信息、个人背景资料以及他们所能找到的其他信息。
(4)信息安全与教育。信息安全主要是指防止信息受到恶意攻击,弥补信息安全系统本身的安全缺陷和软件漏洞以消除计算机网络的结构隐患。而信息安全与教育往往做得很少。
因此,如果不能正确的对待和解决网络信息安全问题,势必对对人们的生活、工作和学习带来严重的后果,并且其后果和威胁都是极其严重和多方面的。
4网络信息安全问题的解决方法
除了密码技术的应用,防火墙技术以及分层局部内部管理等信息安全技术之外,更重要的是道德规范宣传教育,多途径培养专门网络信息安全人才,加紧网络信息安全立法工作,特别是网络信息安全立法更是解决网络信息安全问题的根本中得根本。下面将主要从网络安全立法的方面来讨论网络信息安全。
4.1关于网络信息安全立法存在的问题
4.1.1网络信息安全法律体系凌乱,完整性不足,兼容性差
我国规范网络的部门规章及地方性法规很多,反映出我国各方力图促使网络健康发展的决心和积极性,行为举措是可以给予肯定的。但正我国网络法律法规过于凌乱,数量多而明确性低。另一方面,由于立法主体众多,不同的条例、规范之间存在太大差异,缺乏关系与支持,甚至出现许多重复、空白和失误之处。
4.1.2法律法规缺乏持续性和一体性
法律的可持续性和一体性是一个完善法律体系的标志,所谓一体性,就是法律的完善连贯性。法律在执行过程中,要具有连贯性才能发挥最强的效应。由于互联网的迅猛发展,法律早已跟不上计算机技术的发展速度,这就导致法律的滞后性。法律的滞后性无疑给那些网络违法者制造一个逃脱惩罚的绝好机会。
4.1.3现实问题的覆盖范围狭窄,存在空白
网络立法存在失衡问题,偏重于网络管理及网络信息立法两大方面,不能覆盖由网络引起的各种法律问题,造成许多重要而实际的网络信息问题缺乏法律引导和规范的局面。操作繁琐,可实施性不强。
综上可知,网络法规的可实施性受到很大制约,网络法规本来的法律效力也影响了它的实际操作,而网络技术的复杂性和网络本身的虚拟性也增加了法律法实施的难度。另外,网络信息立法各部门的处罚不尽一致,导致实际操作困难。
4.2网络信息安全立法的必要性
伴随网络信息系统的发展,安全问题日益增多,人们逐渐认识到因特网需要引进法律规范。尤其是网络信息系统作为一种传播媒介,不仅不可能自动消除不良信息的危害性,而且因其使用便利、传播快捷的特点,反而可能在缺乏管理的状态下大大增强其危害性。网络信息安全极其复杂多样,治本之策便是进行法律规范,尤其需要像网络结构一样的一个安全法律法规体系来有效保障信息、网络系统的安全。
网络信息的安全,关系到国家的安全、和社会的稳定,必须提高安全意识,采取可靠的安全措施,强化防范和管理,保证政府信息网络系统的安全。强调网络信息安全的立法迫切性,不仅仅是因为信息网络安全在实现信息资源共享方面的重要作用,更因为它是保障国家网络信息安全、济安全、政治安全的战略问题,它和国家紧紧相连。
其次,网络信息安全立法也是做好安全防范的要求之一。网上的数据安全问题、保密问题、病毒的传播等问题,是目前信息网络发展中存在的普遍问题。对有害于信息网络使用的行为要与之坚决斗争。为此,必须制定管理规则,规范人们的行为,查处有害行为,组织力量对付‘黑客’,维护正常的秩序。第三,安全意识薄弱现象的普遍存在,证明信息安全法律责任的迫切性。安全意识不强,安全技术落后,是造成安全隐患的主要问题。如果加强立法,明确法律责任,这些问题将会得到较大程度的改善。信息网络既是实现信息、资源共享的平台,也可能成为威胁国家安全、危害国计民生的通道。网络信息安全的法律则是对免疫系统的保护之一,其迫切性也是不言而喻的。
4.3网络信息安全立法工作的可行性分析
网络信息安全问题不仅是个别国家的国内安全问题,也不是单凭一个国家或一种技术就能解决得了的问题,而是必须通过开展长期、广泛和深入的国际合作,包括各国政府、各种地区组织等等的充分合作,才有可能解决。随着网络信息安全逐渐被认识,许多国家都争相开始进行立法工作,例如美国、俄罗斯、日本以及欧盟各国。随着网络信息安全法律的健全,确保了国家相关部门切实履行其职能,提高了行政效率,保护了网络信息人的私权如隐私权、名誉权、著作权等,同时推动了信息产业发展,比如推动和保护电子商务并且完善了诉讼程序和其他救济程序,保障被侵权人的自救和他救,加大处罚力度,强化侵权者的责任,形成法律威慑力。
八届人大五次会议于1997年3月14日通过,同年10月1日正式实施的新修订的《刑法》增加了三个法律条款:非法侵入计算机系统罪(285条),破坏计算机信息系统功能、破坏计算机信息系统数据或应用程序罪,制作、传播计算机病毒等破坏计算机程序罪(第286条)以及属于广义计算机犯罪范畴的利用计算机实施的犯罪(第287条)等。这对预防和打击计算机违法犯罪起到了积极的作用,但由于这三个条款只作了较原则性的规定,且具有较强的专业性,因此对有关计算机犯罪的定罪量刑尺度把握较难,故网络安全立法必须有更进一步的行动,也将会建立更加完善的网络环境,创造更加和谐的绿色网络虚拟世界。
5总结
随着我国经济的高速增长,中国信息化有了显著的发展和进步,信息在现代化过程中占据着越来越重要的地位。“十一五”期间,我国电子信息产业规模继续壮大,然而信息安全的问题也越来越迫在眉睫。本文详细分析了我国网络信息安全的现状以及存在的问题,并指出虽然现行网络信息安全措施早已出台,但是网络信息安全依然存在许多障碍。本文强调,网络信息安全的有效办法是道德规范教育与网路安全规范立法并行,并从各个方面论证了该方法的可行性以及有效性,对我国网络信息安全维护和控制有一定的指导意义。
参考文献
[1] 王世伟.论信息安全,网络安全,网络空间安全[J].中国图书馆学报,2015, 41(2):72-84.
[2] 徐明,等.网络信息安全[M].西安电子科技大学出版社,2006.
[3] 王红梅,宗慧娟,王爱民.计算机网络信息安全及防护策略研究[J].价值工程, 2015,34(1):209-210.
[4] 王世伟.论大数据时代信息安全的新特点与新要求[J].图书情报工作,2016, 60(6):5-14.
[5] [美]雷蒙德.S.R.库.网络信息法:案例与资料[M].中信出版社,2003.
[6] 黄海峰.网络信息安全2016年呈现五大发展趋势[J].通信世界,2016(1): 55.
[7] 燕金武.网络信息政策导论[M].北京图书馆出版社,2006.
[8] 刘品新.网络法学[M].中国人民大学出版社.2009.
[9] 高永强,郭世泽.网络平安技术好应用大典[M].人民邮电出版社,2009.
[10] 刘冰.社交网络中用户信息安全影响因素实证研究[J].情报科学,2016(5): 14.
一、企业安全管理三大问题
自“棱镜门”、iCloud照片泄露、携程及支付宝等企业接连宕机等事件发生之后,信息安全已被国内外政府、行业和企业推到了前所未有的高度。国务院《关于积极推进“互联网+”行动的指导意见》中也明确提出,要提升互联网安全管理、态势感知和风险防范能力,加强信息网络基础设施安全防护,加强“互联网+”关键领域重要信息系统的安全保障。信息安全危害事件频频爆发。2015年5月,网易、支付宝、携程、艺龙、知乎、Uber等多家知名企业出现接连宕机,互联网安全问题频繁出现并集中爆发,这为我国企业安全管理敲响了警钟。企业处理突发事件能力较弱。网易、支付宝、携程等互联网企业宕机后,很长时间才得以解决,表明企业在应对安全威胁突况时的力不从心,也反映出企业对信息安全中的外部威胁难以进行有效防范和及时应对。目前,我国互联网企业总体停留在安全保障、被动防御阶段,并未形成明确推进信息安全的管理措施。企业对信息安全重视程度不够。与发达国家相比,我国企业用于信息安全方面的投资还很低,尚未占到企业信息系统建设总成本的2%,而国外企业用于安全系统的投资占整个网络建设投资的15%~20%。例如,2014年我国信息安全投资总额为22亿美元,不及美国的3.2%,且企业投资重点集中在安全基础设施建设、产品更新换代等,对安全服务投入明显不足。许多企业口头上重视信息安全,但未付诸实践。
二、构筑企业安全三重防线
建设合理先进的信息安全管理系统。企业应重点加大对安全评估测评工具及技术、数据防泄露及敏感信息防护技术、大规模网络安全态势感知技术和统一身份管理与认证技术的研发投入,重点建设一个集风险评估、安全策略、防御体系、实时检测、数据恢复、安全跟踪和动态调整为一体的信息安全管理系统,加大信息安全管理的重视力度,从产品、技术、管理和制度多个维度来解决信息安全问题。建立信息安全风险防范和灾难应对体系。建议企业参照金融行业的管理模式,主动建立风险防范和灾难应对体系,出台具备面对突发状况的应急方案和数据备份双重机制,并重点开展以下工作:完善、优化企业内部网络架构,构建全方位的数据泄露防护系统,建立一体化的本地/异地备份与容灾体系,建立防火墙、防入侵及一体化安全网关解决方案,提高漏洞发现及应急解决能力、减少高危漏洞带来的危害。联手产业链上下游共筑安全防线。信息安全已不只是企业本身所能掌控的,比如支付宝服务器故障的主因是杭州市萧山区某地光纤被挖断导致,这就需要电信运营商等加大对光纤光缆安全监督。因此,互联网企业应与产业链上下游企业携手,做到信息数据、用户隐私、软硬件产品等不同类型的安全问题与行业相对应,有效防范安全管理脱节、错位等问题发生。随着互联网与各行各业的深度融合,信息安全威胁事件出现常态化趋势。企业应紧密围绕内部和外部环境,加大信息安全管理工作力度,有效减免信息安全危机事件。
作者:宋德王 单位:赛迪智库电子信息产业研究所
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010