時間:2023-06-08 10:57:14
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇有關網絡安全的案例,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
關鍵詞:小學信息技術;網絡安全;思考
網絡時代的到來給人們的生活帶來了種種便利,但是在網絡上也充斥著各式各樣的網絡陷阱,威脅人們的財產和人身安全,給人們的正常生活帶來了一定的影響。小學生的年齡比較小,分辨是非能力比較弱,在使用網絡的時候,安全意識較為缺乏。因此,在教學時,教師必須做好信息技術網絡安全教學,幫助學生樹立網絡安全意識。
一、小學信息技術網絡安全教學現狀
1.教師在教學中不重視網絡安全教學
近些年來,隨著素質教育的全面發展和深入推進,信息技術在小學階段的教學中也受到了前所未有的重視,而網絡安全教學作為信息技術的重要組成部分,在指導學生正確地使用信息技術方面具有極為重要的影響,也被視為教學的重點。然而,在實際教學中,不少教師在進行信息技術教學時,更多的是將教學關注點放在了學生的技術學習上,過多地關心學生掌握了多少技術,而較少關心學生在遇到網絡安全問題的時候,如何去解決這些問題。
2.學生的網絡安全意識缺乏
科技的進步,給人們的日常生活帶來了較多的便利,小學生的學習生活和學習中充滿了各式各樣的電子產品,學生對于電腦和手機等電子設備的使用也十分熟悉。但是網絡詐騙、隱私泄露以及一些不健康信息在人們使用網絡的時候可以說是防不勝防,小學生在課堂上所學習的網絡知識,大部分都是與一些軟件技術運用方面相關的,在網絡安全方面的知識較為匱乏,學生在使用網絡的時候很容易就會被網上一些不健康的信息所干擾,對于學生的學習和生活產生一些不良的影響。
二、信息技術網絡安全教學的策略
1.轉變教師的教學觀念,開展網絡安全教學
教師的教學觀念對于學生的學習有著極為重要的影響,對于小學生來說,他們的知識較為薄弱,學習經驗不足,因此,他們在學習知識的時候也更加依賴教師,在教學時教師向學生灌輸什么樣的教學理念,學生掌握的理念也基本上都是與之相關的。
對于小學信息技術教學來說,教師在教學時,首先必須要轉變自己的教學觀念,在教學信息技術知識的時候,要認識到信息技術的運用固然重要,如“圖片處理”“電子郵件發送”等,但是在學習的過程中,網絡安全問題也不容小覷,教師在教學的時候必須要重視這個問題,將安全問題滲透到不同的教學環節中,告誡學生不能登錄一些不正規的網站,不能隨意將自己的個人信息告訴網絡上的一些陌生網友,幫助學生樹立網絡安全意識,促使學生科學合理地運用網絡技術和相關的一些電子產品。
2.運用案例教學法,認識網絡安全的重要性
案例教學法是在平時教學中常用的一種教學方法,通過這種教學方法可以讓學生在較短的時間內,掌握教師所講解的知識,也能使課堂教學更加生動活潑,在進行網絡安全教學的時候,教師也可以將一些鮮活的案例引入教學中,激發學生的學習興趣。
例如,教師可以將一些關于網絡詐騙的案例引入課堂,以視頻或者是其他的一些方式播放給學生觀看,讓他們能夠通過具體的案例了解到網絡上存在的一些安全問題,提升自己的安全防護意識,合理使用網絡信息技術,維護自身安全。
3.運用情境教學法,感受網絡安全
網絡安全問題時時刻刻都在人的身邊,對于人們的日常生活有著極為重要的影響。因此,教師在教學時,可以通過情境教學,模擬生活中的例子進行網絡安全教學,幫助學生更好地認識網絡安全教學的意義。
例如,教師可以在信息技術課上模仿某些案例,學生和教師分別扮演不同的對象,如教師扮演陌生網友,向學生索要電話、家庭住址、父母職業和自己所在地等信息,讓學生思考自己在面對陌生網友提出來的這些要求的時候,該怎么辦?是否要將自己的身份信息透露給對方,還是及時向身邊的人求助,讓他們幫助自己解決這些問題,這種情境教學法,能夠讓學生更直接地感受到網絡安全的重要性,學習更多與網絡安全有關的知識,提高安全警惕,促進教學發展。
總之,小學信息技術網絡安全教學,有助于學生樹立正確的觀念認識信息技術,科學地運用計算機技術,可以幫助學生抵制網絡誘惑,將信息技術運用到有需要的地方。因此,教師在教學時,要學會通過多種教學方法,將網絡安全意識滲透到學生的腦海中,提高學生的自主安全防范意識,幫助他們正確使用網絡信息技術,促進小學生全面發展。
參考文獻:
[1]嚴建江.關于學校網絡安全及上網行為管理的幾點舉措[J].學周刊,2012(9).
關鍵詞 電力;信息;自動化;網絡;安全
中圖分類號TM6 文獻標識碼A 文章編號 1674-6708(2014)119-0214-02
0引言
電力信息自動化網絡安全與實現一直是有關企業電力部門工作人員關注的重點。由于網絡是一個相對開放的平臺,因此在電力系統中應用網絡技術不可避免的就會受到一些網絡技術的負面影響,例如病毒襲擊,黑客入侵等。因此我國有關電力工作人員針對電力信息自動化網絡的安全進行了周密的研究,就如何實現電力信息自動化網絡安全提出了諸多的有效的策略。
1加強設備管理,注重設備維護
將電力系統與網絡技術相結合不僅需要網絡技術的支持還需要一些計算機以及相關電子設備的輔助,而這些計算機以及相關電子設備在實際應用的過程中,經常會成為威脅網絡安全的主要因素。因此有關管理人員在維護電力信息自動化網絡安全的過程中應對相關設備產生一定的重視,具體來說有關管理人員應從以下幾個方面入手對其進行管理:1)加強設備管理。加強設備管理最有效的辦法之一就是將所有設備進行統一的管理,針對設備的種類,特征等進行有效的記錄。并且構建起高效的設備管理體系,在進行設備管理的過程中,可以針對設備出現的問題進行及時的發現與解決;2)注重設備的維護。設備在進行使用的過程中經常會出現一定的耗損,而過度的耗損將對設備的使用效果以及設備的實際功能等產生影響。因此有關管理人員應加強對設備的維護工作,針對設備存在的故障進行及時的檢修,同時要對設備的性能進行了解,針對性能下降或是需要更新的設備進行及時的淘汰,進行新設備的更換。
2強化技術應用,促進技術革新
網絡平臺最突出的安全問題就是病毒與黑客,因此在進行電力信息自動化網絡安全的控制過程中有關人員應通過網絡安全技術的應用對病毒與黑客進行一定的預防。具體來說有關人員應從以下幾個方面入手:1)強化技術應用。網絡安全技術的應用應側重全面性與專業性。在進行殺毒軟件選擇的過程中應選取信譽有保障,有專業技術支持的殺毒軟件品牌,例如:360,金山,瑞星等。另外,由于電力系統具有一定的特殊性,因此應在單位范圍內建立局域網便于單位內部交流,避免病毒以及黑客從外部進行入侵。同時有關管理人員還應借助網絡技術建立其有效的網絡預警與保護系統,對整個電力信息自動化網絡安全進行全方面的保障;2)促進技術革新。網絡技術的發展具有著日新月異的特點,因此電力信息自動化網絡安全管理人員應對網絡安全技術的發展給予足夠的關注,積極的對單位內部的網絡安全技術進行更新。同時有關人員還應對病毒的發展以及升級產生重視,針對新興的病毒提前制定出有效的預防措施,避免電力系統受到病毒的侵害。
3建立管理部門,施行全程監督
為了有效的對電力信息自動化網絡安全進行保障,有關企業電力部門應對電力信息自動化網絡安全管理產生重視,具體來說可以做到以下幾個方面:1)建立管理部門。專門的管理部門可以讓電力信息自動化網絡安全管理更加的系統化,全面化,同時對于管理的目的與管理的職能也更加的明確。因此有關企業應積極的在單位內部針對電力信息自動化網絡安全管理建立起專門的管理部門,并制定出條理清晰,內容具體的管理制度,對管理人員的工作進行詳細的指導與規范,提升電力信息自動化網絡安全的管理質量;2)施行全程監督。監督管理是減少系統運行問題的主要手段之一。因此在對電力信息自動化網絡安全進行保障的過程中,管理人員應對網絡安全問題進行全程的監督。具體來說這種全程的監督包括兩個方面,一是通過建立網絡預警系統的方式進行自動化的網絡安全監督。二是加強對設備管理以及設備維修等方面的監督,這部分的監督一般應以人力為主,就工作中的問題進行及時的指出,強化安全管理的職能。
4完善物理環境,強化安全意識
物理環境一般是指設備放置的外在環境,在實際的工作過程中由于物理環境管理不善而造成網絡安全事件出現的案例時有發生,例如,由于散熱工作不到位,導致火災的產生。因此有關人員在進行電力信息自動化網絡安全保障的過程中,不僅要對網絡技術本身進行考慮,同時還要對設備存放的環境進行一定的管理,具體來說包括選擇合適存放空間,保持室內衛生,注重設備通風降溫,準備備用電源避免斷電引起網絡癱瘓等。除此了要進行必要的工作之外有關管理人員還應培養起一定的安全意識,通過學習安全知識,了解安全常識的方式,強化管理人員在對物理環境進行管理過程中的管理質量,在最大的限度內減少物理環境問題的出現。
5招聘專業人員,提高操作規范
通過對我國電力信息自動化網絡安全管理現狀進行研究,我們發現我國大多數企業在進行網絡安全管理與維護的過程中,其工作人員在專業性上存在著一定的不足,使得網絡安全的管理難以得到有效的保障。因此在今后的工作過程中有關企業應從以下幾個方面入手對問題進行解決:1)招聘專業人員。雖然計算機在我國已經得到了一定的普及,絕大多數的民眾都可以對計算機進行基礎性的操作。但是電力信息自動化系統其在進行應用的過程中對于操作人員網絡技術的掌握水平有著更高的要求,因此非專業人員難以對其進行有效的維護。因此有關電力企業應對網絡安全維護人員進行素質審查,將不具有專業資格的管理人員從網絡安全管理部門剔除,并有針對性的招聘專業人士進行網絡安全管理。只有這樣才能對電力信息自動化網絡安全質量起到一定的促進作用;2)提高操作規范。由于電力系統對社會生活有著密切的影響,因此電力企業應對有關人員具體的操作規范進行一定的提升,使得網絡安全管理人員可以對自己的工作進行更加嚴格的要求,對網絡安全的管理效率進行有效的提升。
6結論
綜上所述,我國電力信息自動化網絡安全應從加強專業性的角度入手,建立起專業的管理部門對其進行管理與維護,通過提升人員素質、加強技術應用、維護物理環境等方法,對電力信息自動化網絡安全進行有效的實現。
參考文獻
[1]肖紅亮.電力系統網絡安全及其對策淺析[J].科技信息,2010(3):34-36.
突發公共事件按影響范圍可分為國家級、地區級、行業級和社區級。突發公共事件具有不確定性、突發性和破壞性等基本特征。隨著信息化、工業化進程的不斷推進和城市的數量及規模的迅速擴大,突發公共事件又表現出連動性、并發性和綜合性等特點,從而顯著地放大了破壞力,增加了應對的難度。建立健全突發公共事件的應急體系已成為一個世界性的課題,受到了各國政府的高度重視。網絡和信息安全的策略制定經歷了由“靜”到“動”的轉變,安全應急響應機制正是信息安全保護向動態轉換的標志。直接推動此機制建立的是20世紀80年代末期發生在西方的兩起重大信息安全事件。其一是“莫里斯蠕蟲”入侵互聯網。在短短12小時內,6200臺工作站和小型機陷入癱瘓或半癱瘓狀態,不計其數的數據和資料毀于一夜之間,造成一場損失近億美元的大劫難。其二是美國和西德聯手破獲了前蘇聯收買西德大學生黑客,滲入歐美十余個國家的計算機,獲取了大量敏感信息的計算機間諜案。因此,建立一種全新的安全防護及管理機制以應對日益嚴峻的網絡安全狀況成為共識。于是,1989年,世界上第一個計算機緊急響應小組——美國計算機緊急事件響應小組及其協調中心(簡稱CERT/CC)建立,由美國國防部資助,信息安全進入了以動態防護機制為主的時代。在互聯網不斷發展、虛擬社會逐漸成型的當下,政府進行治理模式的轉型迫在眉睫,對國家網絡安全應急體系的建設與完善提出了更高更新的要求。
二、中國網絡安全應急體系存在的問題
(一)整體網絡安全應急響應組織和應急體系不完備
中國網絡安全應急體系主要分為網絡基礎設施、公共基礎設施信息系統、網絡內容管理應急幾個部分,其應急管理部門是由國務院應急管理辦公室、國家互聯網信息管理辦公室、工業和信息化部、公安部、國家保密局(機要局)、國家安全部、總參三部等部門共同組成,其應急響應分別由這些不同部門來指導、協調和督促管理,其中,國務院應急辦只是在形式上對其他部門進行應急協調,沒有統一的頂層領導體系,形成職責不清和應急響應不及時的格局,對于同時涉及跨網絡、網絡基礎設施、公共基礎設施信息系統、網絡內容管理等方面的應急響應難以形成統一應對措施。地方網絡安全應急部門機構的設置更是五花八門,有的地方設有專門的應急辦,有的地方設在經信局、科技局、政府辦、信息中心、公安局、安全廳等不同部門,沒有統一的管理機構,從上到下的整體應急響應效率較差。
(二)網絡安全風險形勢研判能力不足
當前,網絡信息安全態勢處于一個新的形勢之下,從信息技術發展的角度來說,隨著物聯網、云計算、大數據和移動互聯網等新技術的大規模應用,業務與信息技術的融合程度不斷提高,網絡和信息安全的風險點不斷增加;從信息安全威脅的角度來說,隨著高級持續性威脅的案例層出不窮,攻擊者已經從攻擊信息系統本身,轉向攻擊其背后的業務目標和政治目標。網絡安全應急作為網絡信息安全風險應對的重要過程和方法,不同于其他常規行業應急,我們當前還是局限于傳統的應急角度,沒有將防御和應急救助結合起來,對中國各類信息系統的運行狀態、網絡攻擊行為、網絡攻擊目的等方面的形勢研判能力不足。對中國目前面臨的網絡和信息安全威脅缺少精準案例和證據,首先是數量不清,很多部門對有沒有受到攻擊不清楚,國家多大范圍的網絡和信息產業受到威脅不清楚;其次是問題不清楚,到底入侵滲透到什么程度不清楚,對于真正的攻擊源頭不清楚。
(三)重大網絡安全應急預案不完備
在網絡安全應急預案制定方面,國務院應急管理辦公室已經制定涉及網絡基礎設施的國家通信保障應急預案,國家互聯網信息管理辦公室對于網絡輿情的應急也有一定的預案,有些部門和地方也都不同程度制定了一些網絡安全應急預案。不過,各地、各部門的工作不平衡,預案操作性較差,存在一些缺陷。對于涉及到國家安全、民生和經濟等重大基礎設施信息系統的安全應急沒有整體完備的預案。
(四)網絡安全應急響應措施缺乏
中國的網絡安全技術裝備市場大部分被國外公司占據,從網絡設備到網絡之上的軟硬件設備,大多采用國外裝備和技術,一旦發生涉及國家利益的突發事件,在國外技術裝備被攻擊的情況下,我們很難找到可替代的應急設備。例如,2014年4月8日微軟停止了對WindowsXP的服務,據不完全統計,中國當前使用WindowsXP的用戶占到70%-80%份額,這些用戶有半數沒有升級到更高操作系統的打算,針對這種情況,我們到目前還沒有具體的應急措施。如果一旦出現更嚴重的國際爭端甚至發生戰爭,我們受制于人的這些網絡技術裝備難以采取必要的應急措施。
(五)核心信息技術裝備的自主化水平較低
網絡信息安全與核心信息技術裝備的自主化息息相關,核心信息技術裝備的自主化是網絡安全應急體系的戰略性產業基礎。目前,雖然中國的信息技術產業規模不斷擴大,產業體系逐漸完善,但是整體來看,國產核心信息技術裝備的市場占有率不高,與國外的技術差距也比較大。在市場占有率方面,國內浪潮、曙光、華為和聯想等高性能服務器企業的整體市場占有率不足三分之一;雖有服務器和客戶端相關的研發產品,但并未走向市場化。國內計算機、通信和消費電子等主要應用領域的芯片企業的市場占有率低。在技術差距方面,中國高性能計算機的關鍵元器件特別是中央處理器芯片目前仍依賴國外廠商,數據庫的發展水平和成熟度與國際標準也存在較大差距。由于市場占有率、技術差距等因素,直接導致了中國自主可控的安全技術裝備不足,存在數據泄漏風險和情報監控風險。目前,國外企業已廣泛參與了中國所有大型網絡項目的建設,涉及政府、海關、郵政、金融、鐵路、民航、醫療、軍警等重要行業,長此以往,中國的社會、經濟、軍事等方面將存在嚴重的戰略風險。有數據顯示,中國主要金融機構的信息化設備國產化率不足2%,面向復雜業務處理的中高端服務器幾乎全部采用了國外產品。如大中型主機、高端服務器產品基本上以IBM、HP、SUN為主,而這樣的選擇也直接導致了處理器、部件甚至操作系統和應用軟件相互之間并不兼容,用戶一旦采用某廠家的小型機后,就很難擺脫高額投資與服務追加的惡性循環,更為嚴重的是它直接導致了被境外控制的威脅,對設備帶有的“漏洞”和“后門”抵抗力、免疫力減弱。不能預先檢測到間諜軟件和隱蔽通道,就無法有效遏制數據竊取。據統計,2013年前8個月,境外有2.2萬個IP地址通過植入后門對中國境內4.6萬個網絡實施控制。中國關鍵信息系統對國外主機的長期依賴,使得信息安全不可控的問題日益突出。WindowsXP停止服務的事件也是沖擊國內2億用戶的重要信息安全事件。對國外信息產品的嚴重依賴導致中國信息化建設的安全底數不清,國外壟斷信息產品對中國而言是一個“黑盒子”,無法準確判斷其安全隱患的嚴重程度。
三、加強中國網絡安全應急體系建設的建議
(一)建設完備網絡安全應急體系
網絡安全應急體系關系國計民生,這個系統性的體系是否完備、運轉是否得當,會對網絡安全應急工作產生重大直接影響。因而,理順網絡安全應急機制、清晰地明確權責是統籌完善網絡安全應急體系的首要工作。可以從兩個層面進行頂層設計:一是成立網絡安全應急中心,由中央網絡安全和信息化領導小組直接領導。該中心作為中央政府應對特別重大突發公共事件的應急指揮機構,統一指導、協調和督促網絡基礎設施應急、公共基礎設施信息系統應急、網絡內容管理應急等網絡安全應急工作,建立不同網絡、系統、部門之間應急處理的聯動機制。如果在短時間內難以實現,可以考慮另行成立相關的指揮協調機構,由中央網絡安全和信息化領導小組領導,也可以在一定程度上發揮有效的作用。二是把仍然分散在各部門的網絡安全應急管理職能適當加以整合。同時,根據突發公共事件分類的特點及管理的重點,從中央到地方統一網絡安全應急管理機構。將不同業務部門所涉及到的不同類型的網絡安全應急機制與系統有機地統籌、結合在一個子體系中,以提升網絡安全應急體系與系統的應急指揮、協同部署的效率與效能。
(二)加快網絡應急法制建設
當前,國家對于自然災害類、事故災難類、公共衛生事件類、社會安全事件類應急管理已制訂了相關的法律法規和制度條例,來保障此類事件發生時的有效應急管理,而對于網絡安全應急尚缺少相應的法律法規和制度條例。相關管理部門應該盡快出臺有關業務流程和相關業務標準,進一步加強有關信息安全的標準規范、管理辦法,并進一步細化相關配套措施。與此同時,全國立法機關也應該從戰略全局的高度,盡量加快有關國家網絡安全、網絡安全應急體系與應急機制的相關法律法規的規劃、制定工作,將網絡應急工作全面納入系統化的法制建設軌道中來。
(三)健全應急情報共享機制
任何應急響應的效果主要取決于兩個環節。一是未雨綢繆,即在事件發生前的充分準備,包括風險評估、制定安全計劃、安全意識的培訓,以安全通告的方式進行的預警及各種防范措施等;二是亡羊補牢,即在事件發生后采取的措施,以期把事件造成的損失降到最低。在這里,措施的執行者可能是人,也可能是系統。這些措施包括:系統備份、病毒檢測、后門檢測、清除病毒或后門、隔離、系統恢復、調查與追蹤、入侵者取證等一系列操作。可見,對相關信息的及時掌控是預警和采取科學性措施的關鍵,必須建立應急情報共享機制。通過可信的信息共享,實現網絡安全信息情報的及時、有效溝通,能夠為網絡安全應急提供充足的預警、決策、反應時間。在條件允許的情況下,可以考慮由中央網絡安全和信息化領導小組直接領導的網絡安全應急中心負責協調關鍵基礎設施擁有者和經營者,保障在業務連續性、危害管理、信息系統攻擊、網絡犯罪、保護關鍵場所免受破壞等方面的信息共享,并與中國情報分析相關部門建立密切聯系,共享網絡威脅情報,提高網絡安全風險形勢研判能力。要充分利用目前相關政府部門推進電子政務業務協同、信息共享這一有利契機,在做好頂層設計的前提下,積極推進社會各方在網絡安全方面的共建、共享。建立有效的應急管理機構,保證政令暢通。建立完善的預警檢測、通報機制,分析安全信息,警報信息和制訂預警預案,做到有備無患。
(四)強化網絡安全應急演練
應急預案最早始于軍隊,是將平時制定和執行決策的科學性、嚴謹性與戰時的靈活性結合起來的一種有效形式。應急預案基于對潛在危險源可能導致的突發公共事件的預測,將應對的全過程進行全方位的合理規劃,落實應對過程中預測、預警、報警、接警、處置、結束、善后和災后重建等相關環節的責任部門和具體職責,是實現“反應及時、措施果斷”的有效途徑。由于應急預案是在平時研制的,時間上比較從容,因此可以采用科學的方法,并在較大的范圍內征求意見、深入論證,從而提高其科學性、可行性、有效性。通過應急預案的研制,可以增強政府及有關部門的風險意識,加強對危險源的分析,研究和制定有針對性的防范措施;也有利于對應急資源的需求和現狀進行系統評估與論證,提高應急資源的使用效率。基于網絡安全的應急演練工作需要各有關單位根據各自的網絡安全應急預案定期組織應急演練,網絡安全應急中心應根據重大網絡安全應急預案,定期組織網絡基礎營運部門、國家計算機網絡應急技術處理協調中心(CNCERT/CC)、中國互聯網絡信息中心(CNNIC)和相關網絡應急部門開展網絡安全事件演練,以網絡安全保障為場景,采用實戰方式,通過演練有效檢驗各單位的網絡安全應急工作水平,及時發現和改進存在的問題和不足,提高網絡安全保障能力。可以考慮建立由網絡基礎運營部門、國家計算機網絡應急技術處理協調中心(CNCERT/CC)、中國互聯網絡信息中心(CNNIC)和相關網絡應急的一級部門以及涉及安全保密的科研機構、民族企業共同參與的“網絡安全應急演練”聯盟,在應急演練方面形成國家級的權威標準,定期進行不同業務部門的網絡安全應急演練與評測,以“應急演練”的方式促進網絡安全應急工作的發展完善。
(五)加強人才隊伍的建設和培訓
網絡屬于高新技術領域,不斷加強能力建設是有效提升網絡安全應急管理的關鍵。要牢固樹立人才是第一資源的觀念,加快網絡信息安全人才培養和隊伍建設的步伐,建立健全合理的選人、用人機制和高效的人才培訓機制,以及廣泛的人才交流機制。要發揮科學研究部門和高等院校的優勢,積極支持網絡安全學科專業和培訓機構建設,努力培養一支管理能力強、業務水平高、技術素質過硬的復合型人才隊伍,為加強網絡安全應急管理提供堅實的人才保障和智力支持。同時,要密切跟蹤網絡信息安全領域新技術、新應用的發展,加強相關技術特別是關鍵核心技術的攻關力度,著力開展新的網絡框架下網絡安全問題的研究,推動網絡信息安全產業的發展,以有效應對網絡信息安全面臨的各種挑戰。同時,應不斷提高網絡安全應急人才隊伍素質,定期組織對網絡安全應急人員的能力培訓,強化和補充新的網絡安全威脅知識,進一步加強對有關網絡安全應急一線工作人員、科研人員的有關政治素養和技術業務培訓。網絡安全應急工作與互聯網技術密切相關,新技術新思想的發展日新月異,相關領域一線的工作人員與科研人員只有不斷地學習新知識、探索新問題、發現新矛盾、尋求新方法,才能有力地促進網絡安全應急工作的不斷發展;只有培養和儲備足夠的網絡安全應急專業人才,我們的網絡安全最后一道屏障才能得到保障。
(六)加速基礎技術與相關標準的研究
與網絡安全應急相關的業務部門、科研機構、民族企業等有關單位應進一步組織有關專家和科研力量,開展面向全局、著眼未來的網絡安全應急運作機制、網絡安全應急處理技術、網絡安全預警和控制等研究,組織參加相關培訓,推廣和普及新的網絡安全應急技術。在充分研究論證的基礎上,盡快制定具有高度概括性與實際可操作性,又能在短時間內部署測試的,能夠與不同地方、不同業務部門相適應的網絡安全應急相關標準,建立包括技術標準、業務標準、流程標準、配套設施標準在內的網絡安全應急標準體系。
(七)加快核心信息技術裝備國產化逐步替代的步伐
為實現核心信息技術裝備國產化逐步替代的良好局面,需要有短期和長期目標。在短期內,確保中國網絡空間和數據信息運行的安全可靠;從長期看,要確保中國網絡和信息的自主可控和網絡空間的長治久安。為實現自主可控的長期目標,在信息技術產業自主創新方面肩負重大責任,事關國家信息安全的大事應該由國家來推動。在過去的幾年中,政府在推動使用國產信息產品方面的力度很大,希望國家今后更加注重基礎研究和核心產品的研發,有效匯聚國家重要資源,在影響產業發展的安全芯片、操作系統、應用軟件、安全終端等核心技術和關鍵產品上加大科研資源和優勢要素的投入,實現信息安全中關鍵技術和產品的技術突破。整合國家科研資源,通過多部委合作,加強安全芯片、安全操作系統、安全數據庫等基礎信息安全技術的攻關。促進上下游應用產品的開發,完善自主技術產品應用環境,提高相關技術產品的可用性。為實現安全可靠的短期目標,可依托高校、研究機構、民族企業和特定行業用戶打造自主創新的大平臺,加大核心信息技術的投入,在嚴格管理的同時相互搭橋,推動研究成果的轉化速度。當今世界大項目的運作多采用“團隊制”,信息安全技術攻關和成果向產品的轉化應進行機制創新。為實現以上目標,需要從科技攻關、重點企業培育和政府采購等方面下大力氣。一是調動各方積極性和主動性,依托核高基重大專項,及時跟蹤新興信息技術發展趨勢,引入風險投資機制,建立廣泛的政產學研用結合的創新體系;二是重點培育若干具有較強信息安全實力的企業,專門為政府、軍隊等提供整體架構設計和集成解決方案,形成解決國家級信息安全問題的承包商;三是加快立法,促進政府采購自主產品工作有序開展。在一些涉及國計民生的信息樞紐和關鍵網絡系統的采購中,禁止具有重大安全隱患的公司介入。軍事國防、政府辦公、海關、金融等重要的部門或行業在采購網絡信息安全設備時,要堅持采用自主可控產品優先原則。
(八)開展網絡安全應急多方合作
關鍵詞:信息時代圖書館網絡安全
高校圖書館計算機網絡上保存著圖書館的書目信息數據、讀者信息、光盤檢索系統、各類大型數據庫、文獻管理集成系統等重要電子數據,一旦受到破壞,很可能會造成整個圖書館系統癱瘓,并且很難恢復。因此,圖書館計算機網絡安全問題,越來越受到高度關注。本文作者結合自身工作實際,從軟硬件、系統管理、人力資源管理等方面提出有效的圖書館網絡安全的防范措施。
一、信息時代圖書館網絡面臨的主要威脅
從近年來,從發生在高校圖書館網絡、數據安全事故的案例來看,高校圖書館計算機網絡安全的威脅既有設備和技術方面的因素,也有系統管理和人員素質方面的因素,還有基礎網絡信息資源本身的因素。歸結起來,主要因素包括以下幾個方面:
(一)管理制度不完善。主要表現在單位對網絡不夠重視,造成單位網絡管理制度、防毒制度與措施形同虛設,或是不夠健全完善,或是直接危及計算機網絡安全的重要因素。
(二)人為的無意失誤。如操作員安全配置不當造成的安全漏洞,用戶口令過于簡單,用戶將自己的賬號隨意轉借他人等都會對網絡安全帶來威脅。
(三)黑客的惡意攻擊。此類攻擊又可以分為兩種:一種是主動攻擊,它以各種方式有選擇地破壞信息的有效性和完整性;另一類是被動攻擊,它是在不影響網絡正常工作的情況下,進行截獲、竊取、破譯以獲得重要機密信息。這兩種攻擊均可對計算機網絡造成極大的危害,并導致機密數據的泄漏。
(四)計算機病毒的傳播。這是圖書館計算機網絡所面臨的最大威脅,計算機病毒是人為制造的具有潛伏性,干擾計算機系統的正常運行,而且以極強的傳染力傳播、擴散有害信息,一旦發作,就會破壞系統和數據,造成嚴重損失和不良后果。
(五)硬件設備的隱患。尤其是圖書館中心機房環境對計算機網絡的安全運行有更重要的影響。如UPS容量不足造成的機房整體掉電設備配置丟失,溫度過高、較多灰塵等都是造成設備提前老化,數據丟失的原因。
(六)軟件的安全缺陷。圖書館計算機網絡系統所使用的操作系統、數據庫本身以及數據傳輸技術的漏洞都會危及數據的安全。
二、圖書館計算機網絡安全策略
為了高校圖書館計算機網絡系統隨時為高校師生科研學習提供及時完整可靠的服務,并保證相關用戶的私有信息及圖書館內部資源不被惡意使用,實現圖書館計算機網絡的安全,筆者認為應該從以下幾個方面著手。
(一)強化高校圖書館信息安全制度。
由于網絡安全事件絕大多數是因為人的因素所引發的,所以必須制定一系列完善的安全管理制度,有針對性地培訓人員并建立完善的安全責任制度,才能保證安全防范措施有效地發揮其效能,從而確保數字圖書館數據庫的安全。因此,建立健全安全管理體系和安全管理制度是網絡安全的首要任務。
1.制定網絡安全管理制度,規范各項計算機操作活動。網絡安全管理制度包括制定網絡系統的管理維護制度、設備保養制度、故障處理制度和系統監控制度;制定有關工作人員管理制度、操作技術管理制度、病毒防護制度和機房出入管理制度;制定讀者上機規則、讀者操作規程和違規處理制度等。
2.定期進行安全審核。安全審核的首要任務是審核制訂的安全策略、管理制度是否被有效地、正確地執行。其次,由于網絡安全是一個動態過程,圖書館的網絡系統配置可能經常變化,網絡系統的管理人員也可能會有所變動,所以圖書館的計算機安全策略需要不斷進行適當的調整。
3.加強圖書館各部門的協調。網絡安全是一個系統過程,它不單單是技術部門的工作。在實際工作中,常發現圖書館內部有些工作人員不按規程操作計算機,隨意安裝外來軟件、使用外來盤,造成病毒感染整個網絡。
4.引導本校師生信息安全意識。治理學校網絡信息的安全環境必須以人為本,不斷提高學校師生的素質。培養他們對網絡信息的安全防護意識,引導學校師生樹立自我約束的網絡價值準則。學校師生既是信息的產生者,又是信息的接受者,他們的雙重身份決定了一旦因為信息不安全對其產生錯誤影響,他們很可能成為新的傳播源、對網絡信息的安全環境產生新的破壞,形成惡性循環。提倡學校師生的自我約束,從源頭上可以大大減少學校不安全的網絡信息的產生。
(二)注重系統管理員、操作員的安全操作。
圖書館的系統管理員具有最高權限,他們的錯誤操作對系統的危害是巨大的,甚至是無法挽救的,系統管理員的每一次操作都要小心謹慎,避免錯誤出現。如果對系統進行重大更改,應先在備用機上進行;試驗成功后,再到主控制機上進行;必要時還要先對系統進行備份,以防不測。系統管理員應正確設置密碼,使密碼不易被識破;使用密碼時防止泄漏,并在必要時更換密碼,避免其他人通過系統管理員賬號對管理系統造成危害。操作員按照程序設定謹慎操作,盡量避免失誤。在自己的權限范圍內進行操作,發現自己的權限不夠或超越工作范圍,應及時匯報;正確設置自己的用戶密碼并防止泄漏,在必要時更改密碼;在離開工作機時,要及時退出系統,避免別人使用自己的賬號。加強操作員的教育,明確未經允許不得將本館計算機網絡內的信息泄漏給他人
(三)強化高校圖書館信息安全建設“硬件”建設。
1.數據備份。數據是圖書館資源建設和信息服務的“元件”,建立必要的數據備份與恢復制度是保障信息系統安全的基本要求。圖書館信息系統中數據量多而集中,數據實時變化、更新,具有較大的風險性,因此數據庫中的數據應及時、準確、完整地建立備份。一般可根據實際情況采用不同的數據備份,同時對備份后的數據應定期進行恢復測試,保證備份數據的完整性和可用性。
2.完善防火墻。防火墻是在受保護的圖書館內部網和外部網之間建立的網絡通信安全監控系統,也可稱之為控制進/出兩個方向通信的門檻。在網絡邊界上通過建立起來的相應網絡通信監控系統來隔離內部和外部網絡,以阻擋外部網絡的侵入。目前的防火墻主要有包過濾防火墻、防火墻和雙穴主機防火墻3種類型。其中應用最廣泛的防火墻為防火墻又稱應用層網關級防火墻,它是由服務器和過濾路由器組成。過濾路由器負責網絡互聯,并對數據嚴格選擇,然后將篩選過的數據傳送給服務器。服務器起到外部網絡申請訪問內部網絡的中間轉接作用,其功能類似于一個數據轉發器,它主要控制哪些用戶能訪問哪些服務類型。當外部網絡向圖書館內部網絡申請某種網絡服務時,服務器接受申請,然后它根據其服務類型、服務內容、被服務的對象、服務者申請的時間、申請者的域名范圍等來決定是否接受此項服務,如果接受,它就向內部網絡轉發這項請求,從而保護了內部網絡不被非法訪問。
3.入侵檢測技術。入侵檢測是對防火墻的補充,用于對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點收集信息,并分析這些信息,查看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。概括起來,入侵檢測實現以下任務:監視、分析用戶及系統活動;系統構造和弱點的審計;識別已知進攻的活動模式并向有關人員報警;異常行為模式的統計分析;評估重要系統和數據文件的完整性。
對一個成功的入侵檢測系統來講,它不但可使系統管理員時刻了解網絡系統(包括程序、文件和硬件設備等)的任何變更,還能給網絡安全策略的制訂提供指南。而且,入侵檢測的規模還應根據網絡威脅、系統構造和安全需求的改變而改變。入侵檢測系統在發現入侵后,會及時作出響應,包括切斷網絡連接、記錄事件和報警等。
4.數據加密。這是一種基本的安全技術,是所有數據通信安全的基石,保證信息在網絡傳輸中不被非法查看、篡改、竊取和復制。數據加密過程由眾多的、具體的加密算法實現,常用的有對稱密鑰加密算法和公共密鑰算法。數據加密主要分為數據傳輸、數據存儲、數據完整性鑒別及密鑰管理等幾方面。
5.病毒技術。對于數字圖書館網絡來說,計算機病毒具有不可估量的威脅性和破壞性,對計算機病毒的防范需從完善管理和安裝反病毒產品兩個方面來考慮。在管理方面:不使用盜版軟件,不隨意復制、下載、上傳和使用未經安全檢驗的軟件。對新購置的軟件和接收到的外來文件尤其是電子郵件,需先進行病毒檢查。對計算機上的重要目錄和文件設置訪問權限,對某些可執行程序進行加密。采取必要的病毒檢測和監察措施,制定完善的管理準則。
實現高校圖書館計算機網絡安全是一項復雜而不斷更新的系統工作,不能一蹴而就、一勞永逸,需要我們時時刻刻重視這項工作,不斷學習、研究新技術,對癥下藥,標本兼治。我們只有跟蹤最新的網絡安全技術,及時調整防范策略,全面、協調地應用多種防范措施,添加相應的網絡安全產品,才能使我們的高校圖書館網絡得到最大限度的保護,更好地服務于讀者和社會。
參考文獻:
[1] 伏琰:高校圖書館計算機網絡安全策略研究[J],光盤技術,2008(3);
關鍵詞:網絡安全;網絡攻擊;建設原則
中圖分類號:TP393 文獻標識碼:A 文章編號:1674-7712 (2012) 12-0114-01
計算機系統一旦遭受破壞,將給使用單位造成重大經濟損失,并嚴重影響正常工作的順利開展。加強企業網絡安全工作,是一些企業建設工作的重要工作內容之一。本文主要分析了企業的網絡結構和一些基本的安全情況,包括系統安全的需求分析、概要設計,防火墻應用等,重點針對企業網絡中出現的網絡安全問題,作了個介紹。對有關安全問題方面模塊的劃分,解決的方案與具體實現等部分.
一、網絡威脅、風險分析
隨著通訊技術和計算機技術的飛速發展,網絡正逐步成為當今社會發展的一個主題,其改變著人們的工作方式和生活方式。網絡的互連性,開放性,共享性程度的擴大,然而網絡的重要性和對社會的影響也越來越大主要是Internet的出現。隨著數字貨幣,電子現金,電子商務和政府上網以及網絡銀行等網絡行為的出現,網絡安全的問題變得越來越重要。
(一)其他網絡的攻擊
據數據統計,在美國網絡中每400封電子郵件里就有一封可能攜帶病毒。電腦病毒是如今社會網絡業發展的最大危害,它們往往通過電子郵件這個傳播途徑使用戶的整個電腦系統都處于癱瘓狀態。據“Security Portal”的報告,計算機病毒事件在1999年計算機安全問題上排名第一位,然而與計算機病毒相關的黑客問題也在其中占有相當大的比例。從科研人員的分析結果科研看出計算機病毒的表現有以下新特點:
當今社會電子郵件已經成為計算機病毒傳播的主要媒介,它的比例占所有計算機病毒傳播媒介的56%。由于電子郵件可以附帶任何類型的文件,所以幾乎所有類型的計算機病毒都可通過它來進行快速傳播,事實上,有一些電子郵件病毒根本就沒有附件,因為它本身就是一個HTML。在不久前出現的許多的計算機病毒就無需用戶打開附件就會感染文件,如果用戶的郵件可以自動打開HTML格式的郵件,那么該計算機病毒就會立刻感染用戶的系統。
近年來由于互聯網的快速發展,互聯網出現了許多新一代的計算機病毒種類,比如包含蠕蟲、木馬、電子郵件計算機病毒、以及惡意ActiveX Control和Java Applets的網頁等黑客程序。其種類、數量正在迅速激增。同時,根據最新數據統計計算機病毒的數量正在急劇增加,現在每天都有超過40種新計算機病毒出現,因此每年的新型計算機病毒就有就有1.2萬種左右出現,這樣的數目超過了截至1997年為止世界上計算機病毒的總數。然而最近又出現了很多專門針對掌上電腦和手機的計算機病毒。
計算機病毒造成的破壞日益嚴重。2000年5月“I Love You”情書病毒的影響,全球的損失預計已經高達100億美元,而受CIH計算機病毒在全球造成的損失據估計已超過10億美元。對于行業的用戶當系統每死機一小時其損失都在650萬美元以上,其包括電視機構、證券公司、國際航運公司、信用卡公司和郵購公司在內,然而對于Internet公司,尚無人能統計其損失的金額。
(二)管理及操作人員缺乏安全知識
我們認為,全面的安全管理體系是由全面的安全產品解決方案、雇員的培訓、事后的安全審計、安全策略制定、安全策略架構的實施、企業系統風險評估、安全架構制定等部分有機結合,構成的完善的管理體系。全面的安全產品解決方案是包含在系統的各個方面和層次上部署相應安全產品的工具。
現代計算機網絡要加強系統的總體安全級別,必須從應用業務系統、網絡、計算機操作系統甚至系統安全管理規范,因為安全隱患會隱藏在系統的各個角落,使用人員應該考慮安全意識等各個層面統籌。木筒裝水的多少決定于最矮的木板,然而系統的總體安全級別就象裝在木筒中的水,系統安全級別的高低取決于系統安全管理最薄弱的環節。所以我們對系統安全管理應該是多方面的、多層次的,要從網絡、應用系統、操作系統各個方面來提高系統的安全級別,還要把原來通過管理規定由使用人員自覺維護的安全規則用系統來自動實現,來加強系統的總體安全性。
二、網絡安全總體設計
據統計,在英國50%的用戶口令都是寵物名稱,而在全世界銷售的150,000套防火墻中有85%的防火墻沒有正確的配置,60%的防火墻按缺省設置安裝。然而對于系統安全的維護和管理需要各種層次的系統和安全專家才能完成。如果沒有專業人員的介入,根據實際情況對安全管理產品進行詳細地配置,對于企業的策略進行設計和安全管理規范,就算功能再強大的安全產品也會達不到非常好的安全防護作用。
三、安全系統的建設原則
“使入侵者花費不可接受的金錢與時間,并且承受非常高的風險才可以闖入的系統叫做安全系統。我們認為,絕對安全與可靠的信息系統并不存在。然而安全性的增加通常會導致企業費用的增長,這些費用包括系統復雜性增加、系統性能下降、操作與維護成本增加和系統可用性降低等等。安全不是目的而是一個過程。威脅與弱點會隨時間變化。然而安全的努力依賴于許多因素,例如新業務應用的實施、職員的調整、安全漏洞和新攻擊技術與工具的導入。
參考文獻:
[1]張千里,陳光英.網絡安全新技術[M].北京:人民郵電出版社,2003
[2]高永強,郭世澤.網絡安全技術與應用大典[M].北京:人民郵電出版社,2003
關鍵詞: 社會工程學;網絡安全;網絡入侵
中圖分類號:TP18 文獻標識碼:A 文章編號:1671-7597(2012)0310131-01
隨著網絡安全技術的發展,各種攻擊手段和安全防范手段千變萬化,然而仍然有許多信息安全工作者沒有對非技術類的攻擊手段給予足夠的重視,如社會工程學在網絡安全方面的應用。社會工程學(Social Engineering)是一種用人們順從你的意愿、滿足你的欲望的一門藝術與學問[1]。美國的黑客凱文.米特尼克在其自傳《欺騙的藝術》一書中,對社會工程學在信息安全領域的應用進行了如下定義:“通過心理弱點、本能反應、好奇心、信任、貪婪等一些心理陷阱進行的諸如欺騙、傷害、信息盜取、利益謀取等對社會及人類帶來危害的行為。”[2]。
1 常見的社會工程學攻擊方法
計算機和網絡都不能脫離人的操作,在網絡安全中,人是最薄弱的環節,社會工程學中基于人的攻擊可以利用復雜的人際關系和人的感情疏忽來進行欺騙;利用對人的奉承、威脅、勸導、權威等心理因素來獲取訪問網絡所需的某種信息,趙宇軒[3]在淺析社會工程入侵與防御一文中探討了七種類型的勸導。我們時常看到某某網站被黑,某某郵箱、qq被盜,一系列的入侵行動在人們不知道不覺中進行。社會工程學攻擊之所以成功就是利用人的弱點,每個人都有弱點而且一旦被利用造成的損失將不可估量。常用的社會工程攻擊方法主要有以下幾種:
1)環境滲透:攻擊者大多采取各種手段(如偽造身份證、ID卡)進入目標工作區,然后進行觀察或竊聽,得到自己所需的信息,或者與相關人員進行側面溝通,逐步取得信任,從而獲取情報;如隨意翻動員工桌面的文檔資料,偷看員工的登陸帳號及密碼,偷聽員工登陸擊鍵的聲音,約談離職的員工(該員工可能還有未失效的帳號及密碼)等等。2)電話冒名:冒名電話其實是一種身份欺騙,一般情況下,攻擊者冒名親戚、朋友、同學、同事、上司、下屬、高級官員、知名人士等通過電話從目標處獲取信息。相對來說,冒名上司或高級官員等權威人士的電話容易對接聽者造成心理上的脅迫而就范。如冒充網絡技術人員因排除故障需要而詢問上網的帳號和密碼;冒充銀行工作人員幫忙查詢有關帳戶信息。3)電子信件偽造:電子郵件的應用非常普遍,信件偽造也變得容易起來。例如偽造“中獎”信件,“被授予某某榮譽”信件,“邀請參加大型活動”信件,這些信件部分因要求填寫詳細的個人信息而造成泄密,部分是因感染病毒或被悄悄地種入木馬而泄密。4)窗口欺騙:攻擊者利用偽造的Web站點來進行網絡詐騙活動,受騙者往往會泄露自己的私人資料,如信用卡號、銀行卡賬戶、身份證號等內容。詐騙者通常會將自己偽裝成網絡銀行、在線零售商和信用卡公司等可信的品牌,騙取用戶的私人信息。
在實戰入侵中,在各種手段嘗試過后,社會工程學便是最重要也是最能達到目的的手段,所以社會工程學的攻擊方法也不拘一格,攻擊者會根據不同的環境不同的目的而制定相應的社工方法。
2 利用社會工程學入侵攻擊
社會工程學入侵的前奏就是收集重要信息。收集入侵目標的所有信息,如管理員的一切個人信息,包括姓名、生日、戶名、用戶id、身份證號碼、居住地名稱、電話、郵箱、興趣愛好、身邊好友和同事、常用郵箱和常用密碼等。舉個例子:假設我們對某網站進行滲透時,其他方法都嘗試失敗了,這時我們就可以用社會工程學的方法。通過域名查找域名注冊名字和郵箱,然后通過搜索引擎來搜索與姓名和郵箱相關的信息,或者通過曝光的大型數據庫來查詢相應的id及常用密碼;又或者可以通過idc商來社工,這里就要知道詳細的個人信息。
當攻擊者收集到信息后就要進行甄別和篩選。收集到許多的信息后,要從中比較、篩選,去偽存真,提煉出有價值的個人或公司信息。
最后是對目標選取相應的社工手段方法實施攻擊。例如知道某管理員的常用密碼和id,這時我們就要通過各種組合和猜測去嘗試我們想要的密碼。因為人都有偷懶的時候,在設置密碼的時候也不例外,這就給攻擊者有機可乘;如通過迷惑性的qq號碼去交流套取更有用的信息,或者更進一步的是騙取對方信用種馬。一系列的行動取決于目標防范思想的覺悟程度和對欺騙敏感性。
比較普遍的一種社會工程學在網絡中的應用就是利用郵箱這一個人們常用于交流的工具。考慮到人們通常將重要的信息放在郵箱里面,比如ftp的密碼、后臺管理密碼、個人的詳細信息、好友等信息。而郵箱通常提供密碼的找回功能,在設置密碼找回需回答的問題時通常過于簡單且過于普通,如提問父母的姓名、職業和出生日期;個人畢業的學校、愛好等等。攻擊者如果收集到的信息非常詳細,那么就容易回答這些問題從而獲得郵箱的密碼,進而獲得其它諸多的私密信息。在這里沒有什么窮舉法等所謂破解需要的技術,有的只是對人的普遍的心理陷阱的利用。
3 防范措施
利用社會工程學入侵主要對象是人,而“人”是在整個網絡安全體系中最薄弱的一個環節。我國從事專業安全的技術人員不多,很多企業高管對安全方面的知識本身懂的不多,加之安全教育以及安全防范措施都需要成本,這樣留下許多安全隱患。網絡安全要立足于積極防御,將風險降到最低,網絡安全防范重在安全意識,只有安全的意識,才能防范于未然。
1)網絡安全意識的培訓。不管是管理者或者技術人員都要對網絡安全有足夠的重視,培養員工的保密意識,增強安全責任意識,通過各種社工案例的分析來加強這方面的安全意識。2)網絡安全技術的培訓。搞技術開發的也許不懂安全,只是一味的追求效益卻忽略了開發人員的安全技術,這不僅對開發是種威脅,對公司也是種隱患。一旦出現問題便可能致命,所以可以對員工進行一些簡單有效的安全技術培訓,降低網絡安全風險。3)安全審核。安全審核工作是社會工程學攻擊防范主要手段之一,是對網絡攻擊有力保障措施。安全審核重在執行,采取切實可行的管理措施來防范社會工程學入侵。
4 結語
網絡安全是把雙刃劍,利用好能夠創造出效益,反之便是損失。不管是技術上的還是人員管理方面的漏洞,需要有很好的防范措施和處理緊急事故的機制,盡可能的將損失降低到最少。技術無論有多發達,人都是在起關鍵性作用。人作為整個安全體系中最重要也最薄弱的一環,任何一個小小的疏忽都可能對信息系統工程造成潛在的安全風險和威脅。而社會工程學就是與人打交道,通過入侵“人”來達到入侵網絡的目的。社會工程學在網絡安全中的重要性將日漸重要,社會工程學攻擊防范是網絡安全工作者不可忽略的技術。
參考文獻:
[1]李勻,網絡滲透測試-保護網絡安全的技術、工具和過程[M].北京:電子工業出版社,2007.
關鍵詞 網絡安全;技術;網絡信息
中圖分類號:TP3 文獻標識碼:A 文章編號:1671-7597(2013)14-0086-02
互聯網技術高速發展,在顯著提高了人們的生活質量的同時,正逐步改變著人們的生活方式。與此同時,互聯網安全問題也日益凸顯,成為影響用戶體驗的主要因素受到各界人士的廣泛關且已達成普遍的共識。信息資源的安全防范涉及到硬件和軟件兩方面內容,因此應采取系統性的保障措施,防止信息傳遞過程中泄露、破壞和更改,保證網絡系統正常、安全、穩定的運行。
1 信息安全管理存在的問題
1.1 操作系統漏洞
計算機軟件系統中操作系統是最基本、最重要的系統,為用戶正常使用計算機或安裝其他程序提供可運行的平臺。另外,操作系統還具備對計算機資源的管理功能,例如,可以通過相應的操作查看計算硬件和相關軟件存在的問題并對其進行管理。管理過程中會涉及系統某個模塊或程序的安全運行問題,這些模塊如果存在一些缺陷可能造成整個系統崩潰,影響計算機的正常使用。操作系統對信息傳輸、程序加載提供支持,尤其通過ftp傳輸的某些文件。這些文件中如果包含可執行文件也會帶來不安全因素。眾所周知,這些文件都是程序員編寫而成其中難免出現較多漏洞,這些漏洞不但會威脅計算機資源的安全,而且還可能引起整個操作系統的崩潰。本質上來看計算機操作系統出現問題的原因在于其允許用戶創建進程,能夠對其進行遠程激活,一旦被不法分子利用創建一些非法進程就能實現對計算機的控制威脅計算機安全。同時計算機還能通過操作系統實現對遠程硬、軟件的調用,在互聯網上傳遞調用信息是會經過很多網絡節點,這些網絡節點被別人竊聽就會造成相關信息的泄露,帶來巨大的經濟損失。
1.2 網絡開放性存在的漏洞
開放性是計算機網絡的顯著特點,該特點在促進網絡技術快速發展的同時,也給網絡安全帶來較大安全隱患。首先,互聯網的開放性使接入網絡的門檻降低,不同地區的不同人群紛紛接入網絡,他們相互交流互聯網的學術問題,不斷提出新的思想和方法,為互聯網技術的發展奠定堅實的基礎。其次,接入的這些用戶難免存在圖謀不軌的人,他們中的多數人要么為某個非法組織效力,要么為了炫耀網絡技術,進而對互聯網進行攻擊,這些攻擊有的是針對計算機軟件漏洞發起攻擊行為,有的對網絡層中的傳輸協議進行攻擊。從發起攻擊的范圍來看,大多數網路攻擊來源于本地用戶,部分來源于其它國家,尤其發生在國家之間的攻擊案例屢見不鮮,這些攻擊者擁有較強的網絡技能,進行的攻擊行為往往會給某個國家帶來嚴重的損失。因此,互聯網安全問題是世界性的問題,應引起人們的高度重視。
2 網絡安全技術介紹
2.1 入侵檢測
入侵檢測指通過收集審計數據,分析安全日志和網絡行為,判斷計算機系統中是否出現被攻擊或者違法安全策略行為。入侵檢測能夠使系統在入侵之前進行攔截,因此是一種積極主動的安全防御技術,被人們稱為除防火墻外的第一道安全防護閘門。入侵檢測的優點不僅體現在保護計算機安全上,還體現在入侵檢測時不會對網絡性能產生影響上。檢測入侵能夠時時監控來自外部攻擊、內部攻擊行為,提高計算機資源的安全系數。目前來看計算機檢測入侵主要分為混合入侵檢測、基于主機和網絡入侵檢測三種,在保障網絡安全運行中基于網絡入侵檢測技術應用較為廣泛。
2.2 可視化
在入侵檢測、防火墻以及漏洞掃描的基礎上,為了提高網絡安全的可視操作延伸出了網絡安全可視化技術,該技術可以說是上述安全技術的補充。網絡安全可視化技術將網絡中的系統數據和較為抽象的網絡結構以圖像化的形式展現在人們面前,并能時時反映網絡中出現的特殊信息,監控整個網絡的運行狀態,最終較為人性的提示用戶網絡中可能存在的安全風險,為網絡安全技術員分析網絡潛在的安全問題提供便利。網絡安全技術人員利用高維信息展開網絡具體狀況,從而能夠及時有效的發現網絡入侵行為,并對網絡安全事件的未來發展趨勢進行估計和評定,以此采取針對性措施進行處理,保證網絡安全防護更為便捷、智能和有效。
2.3 防火墻
防火墻是人們較為熟悉的網絡安全防范技術,是一種根據事先定義好的安全規則,對內外網之間的通信行為進行強制性檢查的防范措施,其主要作用是隱藏內部網絡結構,加強內外網通信之間的訪問控制。即根據實際情況設定外網訪問權限限制不符合訪問規則的行為,從而防止外網非法行為的入侵,保證內部網絡資源的安全。同時規范內網之間的訪問行為進一步提高網絡資源的安全級別。目前防火墻主要包含網絡層防火墻和應用層防火墻兩種類型,其中可將網絡層防火墻看做是IP封包過濾器,在底層的TCP/IP協議上運作。網絡管理員設置時可以只允許符合要求的封包通過,剩余的禁止穿過防火墻,不過注意一點防火墻并不能防止病毒的入侵。另外,網絡管理員也可以用較為寬松的角度設置防火墻,例如只要封裝包不符合任一“否定規則”就允許通過,目前很多網絡設備已實現內置防火墻功能;應用層防火墻主要在TCP/IP堆棧上的“應用層”上運作,一般通過瀏覽器或使用FTP上傳數據產生的數據流就屬于這一層。應用層防火墻可以攔截所有進出某應用程序的封包,通常情況將封包直接丟棄以達到攔截的目的。理論上來講這種防火墻能夠防止所有外界數據流入侵到受保護的機器中。
2.4 漏洞掃描
漏洞掃描通過漏洞掃描程序對本地主機或遠程設備進行安全掃描,從而及時發現系統中存在的安全漏洞,通過打補丁等方式保證系統的安全。工作過程中漏洞掃描程序通過掃描TCP/IP相關服務端口監控主機系統,并通過模擬網絡攻擊記錄目標主機的響應情況從而收集有用的數據信息,通過漏洞掃描能夠及時的發現和掌握計算機網絡系統存在安全漏洞,以此準確反映網絡運行的安全狀況,為網絡安全的審計創造良好的條件。從而能夠根據反饋的信息制定有效的應對措,例如下載相關的漏洞補丁或優化系統等及時的修補漏洞,減少有漏洞引起的網絡安全風險。
2.5 數據加密
數據加密是現在常用的安全技術即通過一定的規則將明文進行重新編碼,翻譯成別人無法識別的數據,當編碼后的數據傳輸過程中即便被不法人員截獲,但是沒有密鑰就不能破解加密后的信息,就無法知道信息的具體內容。數據加密技術主要應用在信息和動態數據的保護上,在當今電子商務發展迅速的時代,該項技術應用較為廣闊。數據加密系統主要有密鑰集合、明文集合、密文集合以及相關的加密算法構成,其中算法和數據是數據加密系統基本組成元素,算法主要有相關的計算法則和一些公式組成,它是實現數據加密的核心部分。密鑰則可看做算法的相關參數。數據加密技術的應用確保了數據在互聯網開放環境中的安全,它既不違背互聯網開放性特點,又保證了信息傳遞的安全性。
3 加強網絡信息資源管理措施
3.1 注重管理人員業務技能的提升
網絡信息資源管理面臨的最大威脅是人為攻擊,其中黑客攻擊就是人為攻擊的一種。目前可將網絡信息資源的攻擊行為分為主動攻擊和被動攻擊兩種,其中主動攻擊指利用非法手段破壞傳輸信息的完整性,即更改截獲來的數據包中的相關內容,以此達到誤導接收者的目的,或者進入系統占用大量系統資源,使系統不能提供正常的服務影響合法用戶的正常使用。被動攻擊在不影響數據信息傳遞的前提下,截取、破解傳遞的信息,這種攻擊手段通常不容易被人發覺,容易造成較大經濟損失。因此,針對這種情況應定期舉行相關的技術培訓,提高管理人員的專業技能水平,加強安全網絡的監測力度,并針對不同的攻擊方式制定有效的防御措施,同時在總結之前常見的網絡攻擊手段的研究,加強與國外先進技術的交流合作,共同探討防止網絡攻擊的新技術、新思路。
3.2 加強計算機軟件、硬件管理
軟件管理在保證網絡資源安全方面起著至關重要的作用,因此平時應注重軟件的管理。威脅軟件安全的主要因素是計算機病毒,所以管理員應定期利用殺毒軟件查殺病毒,并注重更新下載相關的補丁及時修補軟件漏洞。
加強計算機硬件管理應從兩方面入手,首先應為計算機的運行創造良好的外部環境,尤其應注重防火、防潮等工作,從而降低硬件損壞給網絡帶來的影響;其次,制定嚴格的管理制度,未經管理員允許不能打開機箱更換硬件,同時平時還應注重對硬件性能的檢測,發現問題應及時通知管理員進行排除。
4 總結
網絡為人們提供了新的信息共享方式,同時其安全性也面臨著嚴峻的考驗,面對當前互聯網安全存在的問題我國應加強這方面的技術研究,采用多種網絡安全技術保證信息傳遞的安全性。同時國家相關部門應制定詳細的法律法規,嚴厲打擊網絡攻擊和犯罪行為,以此營造良好的互聯網運營秩序。
參考文獻
[1]張泉龍.對網絡安全技術管理的探討[J].科技資訊,2011(18).
[2]王賢秋.淺議計算機網絡的信息資源管理[J].內江科技,2009(07).
[3]崔蓉.計算機信息網絡安全技術及發展方向[J].信息與電腦(理論版),2010(10).
關鍵詞:中小型企業;信息網絡安全;網絡安全架構
Abstract; network security problem to the small and medium-sized enterprise universal existence as the background, analyzes the main network security problems of small and medium enterprises, aiming at these problems, a small and medium enterprises to solve their own problems of network security are the road. And put forward the concept of the rate of return on investment, according to this concept, can be a preliminary estimate of the enterprise investment in network security.
Keywords: small and medium-sized enterprises; network security; network security architecture
中圖分類號:TN915.08文獻標識碼:A文章編號:2095-2104(2013)
1、中小型企業網絡安全問題的研究背景
隨著企業信息化的推廣和計算機網絡的成熟和擴大,企業的發展越來越離不開網絡,而伴隨著企業對網絡的依賴性與日俱增,企業網絡的安全性問題越來越嚴重,大量的入侵、蠕蟲、木馬、后門、拒絕服務、垃圾郵件、系統漏洞、間諜軟件等花樣繁多的安全隱患開始一一呈現在企業面前。近些年來頻繁出現在媒體報道中的網絡安全案例無疑是為我們敲響了警鐘,在信息網絡越來越發達的今天,企業要發展就必須重視自身網絡的安全問題。網絡安全不僅關系到企業的發展,甚至關乎到了企業的存亡。
2 、中小型企業網絡安全的主要問題
2.1什么是網絡安全
網絡安全的一個通用定義:網絡安全是指網絡系統中的軟、硬件設施及其系統中的數據受到保護,不會由于偶然的或是惡意的原因而遭受到破壞、更改和泄露。系統能夠連續、可靠地正常運行,網絡服務不被中斷。網絡安全從本質上說就是網絡上的信息安全。廣義地說,凡是涉及網絡上信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性的相關技術和理論,都是網絡安全主要研究的領域。
2.2網絡安全架構的基本功能
網絡信息的保密性、完整性、可用性、真實性(抗抵賴性)和可控性又被稱為網絡安全目標,對于任何一個企業網絡來講,都應該實現這五個網絡安全基本目標,這就需要企業的網絡應用架構具備防御、監測、應急、恢復等基本功能。
2.3中小型企業的主要網絡安全問題
中小型企業主要的網絡安全問題主要體現在3個方面.
1、木馬和病毒
計算機木馬和病毒是最常見的一類安全問題。木馬和病毒會嚴重破壞企業業務的連續性和有效性,某些木馬和病毒甚至能在片刻之間感染整個辦公場所從而導致企業業務徹底癱瘓。與此同時,公司員工也可能通過訪問惡意網站、下載未知的資料或者打開含有病毒代碼的電子郵件附件等方式,在不經意間將病毒和木馬帶入企業網絡并進行傳播,進而給企業造成巨大的經濟損失。由此可見,網絡安全系統必須能夠在網絡的每一點對蠕蟲、病毒和間諜軟件進行檢測和防范。這里提到的每一點,包括網絡的邊界位置以及內部網絡環境。
2、信息竊取
信息竊取是企業面臨的一個重大問題,也可以說是企業最急需解決的問題。網絡黑客通過入侵企業網絡盜取企業信息和企業的客戶信息而牟利。解決這一問題,僅僅靠在網絡邊緣位置加強防范還遠遠不夠,因為黑客可能會伙同公司內部人員(如員工或承包商)一起作案。信息竊取會對中小型企業的發展造成嚴重影響,它不僅會破壞中小型企業賴以生存的企業商譽和客戶關系。還會令企業陷入面臨負面報道、政府罰金和法律訴訟等問題的困境。
3、業務有效性
計算機木馬和病毒并不是威脅業務有效性的唯一因素。隨著企業發展與網絡越來越密不可分,網絡開始以破壞公司網站和電子商務運行為威脅條件,對企業進行敲詐勒索。其中,以DoS(拒絕服務)攻擊為代表的網絡攻擊占用企業網絡的大量帶寬,使其無法正常處理用戶的服務請求。而這一現象的結果是災難性的:數據和訂單丟失,客戶請求被拒絕……同時,當被攻擊的消息公之于眾后,企業的聲譽也會隨之受到影響。
3如何打造安全的中小型企業網絡架構
通過對中小型企業網絡存在的安全問題的分析,同時考慮到中小型企業資金有限的情況,我認為打造一個安全的中小型企業網絡架構應遵循以下的過程:首先要建立企業自己的網絡安全策略;其次根據企業現有網絡環境對企業可能存在的網絡隱患進行網絡安全風險評估,確定企業需要保護的重點;最后選擇合適的設備。
3.1建立網絡安全策略
一個企業的網絡絕不能簡簡單單的就定義為安全或者是不安全,每個企業在建立網絡安全體系的第一步應該是定義安全策略,該策略不會去指導如何獲得安全,而是將企業需要的應用清單羅列出來,再針對不同的信息級別給予安全等級定義。針對不同的信息安全級別和信息流的走向來給予不同的安全策略,企業需要制定合理的安全策略及安全方案來確保網絡系統的機密性、完整性、可用性、可控性與可審查性。對關鍵數據的防護要采取包括“進不來、出不去、讀不懂、改不了、走不脫”的五不原則。
“五不原則”:
1.“進不來”——可用性: 授權實體有權訪問數據,讓非法的用戶不能夠進入企業網。
2.“出不去”——可控性: 控制授權范圍內的信息流向及操作方式,讓企業網內的商業機密不被泄密。
3.“讀不懂”——機密性: 信息不暴露給未授權實體或進程,讓未被授權的人拿到信息也看不懂。
4.“改不了”——完整性: 保證數據不被未授權修改。
5.“走不脫”——可審查性:對出現的安全問題提供依據與手段。
在“五不原則”的基礎上,再針對企業網絡內的不同環節采取不同的策略。
3.2 信息安全等級劃分
根據我國《信息安全等級保護管理辦法》,我國所有的企業都必須對信息系統分等級實行安全保護,對等級保護工作的實施進行監督、管理。具體劃分情況如下:
第一級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益造成損害,但不損害國家安全、社會秩序和公共利益。
第二級,信息系統受到破壞后,會對公民、法人和其他組織的合法權益產生嚴重損害,或者對社會秩序和公共利益造成損害,但不損害國家安全。
第三級,信息系統受到破壞后,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害。
第四級,信息系統受到破壞后,會對社會秩序和公共利益造成特別嚴重損害,或者對國家安全造成嚴重損害。
第五級,信息系統受到破壞后,會對國家安全造成特別嚴重損害。
因此,中小型企業在構建企業信息網絡安全架構之前,都應該根據《信息安全等級保護管理辦法》,經由相關部門確定企業的信息安全等級,并依據界定的企業信息安全等級對企業可能存在的網絡安全問題進行網絡安全風險評估。
3.3 網絡安全風險評估
根據國家信息安全保護管理辦法,網絡安全風險是指由于網絡系統所存在的脆弱性,因人為或自然的威脅導致安全事件發生所造成的可能性影響。網絡安全風險評估就是指依據有關信息安全技術和管理標準,對網絡系統的保密性、完整想、可控性和可用性等安全屬性進行科學評價的過程。
網絡安全風險評估對企業的網絡安全意義重大。首先,網絡安全風險評估是網絡安全的基礎工作,它有利于網絡安全的規劃和設計以及明確網絡安全的保障需求;另外,網絡安全風險評估有利于網絡的安全防護,使得企業能夠對自己的網絡做到突出防護重點,分級保護。
3.4確定企業需要保護的重點
針對不同的企業,其需要保護的網絡設備和節點是不同的。但是企業信息網絡中需要保護的重點在大體上是相同的,我認為主要包括以下幾點:
1.要著重保護服務器、存儲的安全,較輕保護單機安全。
企業的運作中,信息是靈魂,一般來說,大量有用的信息都保存在服務器或者存儲設備上。在實際工作中,企業應該要求員工把相關的資料存儲在企業服務器中。企業可以對服務器采取統一的安全策略,如果管理策略定義的好的話,在服務器上文件的安全性比單機上要高的多。所以在安全管理中,企業應該把管理的重心放到這些服務器中,要采用一切必要的措施,讓員工把信息存儲在文件服務器上。在投資上也應著重考慮企業服務器的防護。
2.邊界防護是重點。
當然著重保護服務器、存儲設備的安全并不是說整體的防護并不需要,相反的邊界防護是網絡防護的重點。網絡邊界是企業網絡與其他網絡的分界線,對網絡邊界進行安全防護,首先必須明確到底哪些網絡邊界需要防護,這可以通過網絡安全風險評估來確定。網絡邊界是一個網絡的重要組成部分,負責對網絡流量進行最初及最后的過濾,對一些公共服務器區進行保護,VPN技術也是在網絡邊界設備建立和終結的,因此邊界安全的有效部署對整網安全意義重大。
3.“”保護。
企業還要注意到,對于某些極其重要的部門,要將其劃為,例如一些研發部門。類似的部門一旦發生網絡安全事件,往往很難估量損失。在這些區域可以采用虛擬局域網技術或者干脆做到物理隔離。
4.終端計算機的防護。
最后作者還是要提到終端計算機的防護,雖然對比服務器、存儲和邊界防護,終端計算機的安全級別相對較低,但最基本的病毒防護,和策略審計是必不可少的。
3.5選擇合適的網絡安全設備
企業應該根據自身的需求和實際情況選擇適合的網絡安全設備,并不是越貴越好,或者是越先進越好。在這里作者重點介紹一下邊界防護產品——防火墻的性能參數的實際應用。
作為網絡安全重要的一環,防火墻是在任何整體網絡安全建設中都是不能缺少的主角之一,并且幾乎所有的網絡安全公司都會推出自己品牌的防火墻。在防火墻的參數中,最常看到的是并發連接數、網絡吞吐量兩個指標.
并發連接數:是指防火墻或服務器對其業務信息流的處理能力,是防火墻能夠同時處理的點對點連接的最大數目,它反映出防火墻設備對多個連接的訪問控制能力和連接狀態跟蹤能力,這個參數的大小直接影響到防火墻所能支持的最大信息點數。由于計算機用戶訪問頁面中有可能包含較多的其他頁面的連接,按每個臺計算機發生20個并發連接數計算(很多文章中提到一個經驗數據是15,但這個數值在集中辦公的地方往往會出現不足),假設企業中的計算機用戶為500人,這個企業需要的防火墻的并發連接數是:20*500*3/4=7500,也就是說在其他指標符合的情況下,購買一臺并發連接數在10000~15000之間的防火墻就已經足夠了,如果再規范了終端用戶的瀏覽限制,甚至可以更低。
網絡吞吐量:是指在沒有幀丟失的情況下,設備能夠接受的最大速率。隨著Internet的日益普及,內部網用戶訪問Internet的需求在不斷增加,一些企業也需要對外提供諸如WWW頁面瀏覽、FTP文件傳輸、DNS域名解析等服務,這些因素會導致網絡流量的急劇增加,而防火墻作為內外網之間的唯一數據通道,如果吞吐量太小,就會成為網絡瓶頸,給整個網絡的傳輸效率帶來負面影響。因此,考察防火墻的吞吐能力有助于企業更好的評價其性能表現。這也是測量防火墻性能的重要指標。
吞吐量的大小主要由防火墻內網卡,及程序算法的效率決定,尤其是程序算法,會使防火墻系統進行大量運算,通信量大打折扣。因此,大多數防火墻雖號稱100M防火墻,由于其算法依靠軟件實現,通信量遠遠沒有達到100M,實際只有10M-20M。純硬件防火墻,由于采用硬件進行運算,因此吞吐量可以達到線性90-95M,才是真正的100M防火墻。
從實際情況來看,中小型企業由于企業規模和人數的原因,一般選擇百兆防火墻就已經足夠了。
3.6投資回報率
在之前作者曾提到的中小企業的網絡特點中資金少是最重要的一個問題。不論企業如何做安全策略以及劃分保護重點,最終都要落實到一個實際問題上——企業網絡安全的投資資金。這里就涉及到了一個名詞——投資回報率。在網絡安全的投資上,是看不到任何產出的,那么網絡安全的投資回報率該如何計算呢?
首先,企業要確定公司內部員工在使用電子郵件和進行WEB瀏覽時,可能會違反公司網絡行為規范的概率。可以將這個概率稱為暴光值(exposure value (EV))。根據一些機構對中小企業做的調查報告可知,通常有25%—30%的員工會違反企業的使用策略,作者在此選擇25%作為計算安全投資回報率的暴光值。那么,一個擁有100名員工的企業就有100x 25% = 25名違反者。
下一步,必需確定一個因素——當發現單一事件時將損失多少人民幣。可以將它稱為預期單一損失(single loss expectancy (SLE))。由于公司中的100個員工都有可能會違反公司的使用規定,因此,可以用這100個員工的平均小時工資作為每小時造成工作站停機的預期單一最小損失值。例如,作者在此可以用每小時10元人民幣作為預期單一最小損失值。然后,企業需要確定在一周的工作時間之內,處理25名違規員工帶來的影響需要花費多少時間。這個時間可以用每周總工作量40小時乘以暴光值25%可以得出為10小時。這樣,就可以按下列公式來計算單一預期損失值:
25x ¥10 x 10/ h = ¥2500 (SLE)
最后,企業要確定這樣的事情在一年中可能會發生多少次。可以叫它為預期年均損失(annualized loss expectancy (ALE))。這樣的損失事件可能每一個星期都會發生,一年有52周,如果除去我國的春節和十一黃金周的兩個假期,這意味著一個企業在一年中可能會發生50次這樣的事件,可以將它稱之為年發生率(annual rate of occurrence (ARO))。預期的年均損失(ALE)就等于年發生率(ARO)乘以預期單一損失(SLE):
¥2500 x 50 = ¥125,000 (ALE)
這就是說,該公司在沒有使用安全技術防范措施的情況下,內部員工的違規網絡操作行為可能會給公司每年造成12.5萬元人民幣的損失。從這里就可以知道,如果公司只需要花費10000元人民幣來實施一個具體的網絡行為監控解決方案,就可能讓企業每年減少12.5萬元人民幣的損失,這個安全防范方案當然是值得去做的。
當然,事實卻并不是這么簡單的。這是由于安全并不是某種安全技術就可以解決的,安全防范是一個持續過程,其中必然會牽扯到人力和管理成本等因素。而且,任何一種安全技術或安全解決方案并不能保證絕對的安全,因為這是不可能完成的任務。
就拿本例來說,實施這個網絡行為監控方案之后,能夠將企業內部員工的違規行為,也就是暴光值(EV)降低到2%就已經相當不錯了。而這,需要在此安全防范方案實施一段時間之后,例如半年或一年,企業才可能知道實施此安全方案后的最終效果,也就是此次安全投資的具體投資回報率是多少。
有數據表明在國外,安全投入一般占企業基礎投入的5%~20%,在國內一般很少超過2%,而網絡安全事件不論在國內外都層出不窮,企業可能在安全方面投入了很多,但是仍然頻頻發生網絡安全事故。很多企業的高層管理者對于這個問題都比較頭疼。其實網絡安全理論中著名的木桶理論,很好的解釋了這種現象。企業在信息安全方面的預算不夠進而導致了投資報酬不成比例,另外很多企業每年在安全產品上投入大量資金,但是卻不關注內部人員的考察、安全產品有效性的審核等安全要素。缺乏系統的、科學的管理體系的支持,也是導致這種結果產生的原因。
論文關鍵詞:醫院信息系統 安全體系 網絡安 全數據安全
論文摘要:分析了目前威脅醫院網絡信息安全的各種因素結合網絡安全與管理工作的實踐,探討了構建醫院信息安全防御體系的措施。
中國醫院信息化建設經過20多年的發展歷程目前已經進入了一個高速發展時期。據2007年衛生部統計信息中心對全國3765所醫院(其中:三級以上663家:三級以下31o2家)進行信息化現狀調查顯示,超過80%的醫院建立了信息系統…。隨著信息網絡規模的不斷擴大,醫療和管理工作對信息系統的依賴性會越來越強。信息系統所承載的信息和服務安全性越發顯得重要。
1醫院信息安全現狀分析
隨著我們對信息安全的認識不斷深入,目前醫院信息安全建設存在諸多問題。
1.1信息安全策略不明確
醫院信息化工作的特殊性,對醫院信息安全提出了很高的要求。醫院信息安全建設是一個復雜的系統工程。有些醫院只注重各種網絡安全產品的采購沒有制定信息安全的中、長期規劃,沒有根據自己的信息安全目標制定符合醫院實際的安全管理策略,或者沒有根據網絡信息安全出現的一些新問題,及時調整醫院的信息安全策略。這些現象的出現,使醫院信息安全產品不能得到合理的配置和適當的優化,不能起到應有的作用。
1.2以計算機病毒、黑客攻擊等為代表的安全事件頻繁發生,危害日益嚴重
病毒泛濫、系統漏洞、黑客攻擊等諸多問題,已經直接影響到醫院的正常運營。目前,多數網絡安全事件都是由脆弱的用戶終端和“失控”的網絡使用行為引起的。在醫院網中,用戶終端不及時升級系統補丁和病毒庫的現象普遍存在;私設服務器、私自訪問外部網絡、濫用政府禁用軟件等行為也比比皆是。“失控”的用戶終端一旦接入網絡,就等于給潛在的安全威脅敞開了大門,使安全威脅在更大范圍內快速擴散。保證用戶終端的安全、阻止威脅入侵網絡,對用戶的網絡訪問行為進行有效的控制,是保證醫院網絡安全運行的前提,也是目前醫院網絡安全管理急需解決的問題。
1.3安全孤島現象嚴重
目前,在醫院網絡安全建設中網絡、應用系統防護上雖然采取了防火墻等安全產品和硬件冗余等安全措施,但安全產品之間無法實現聯動,安全信息無法挖掘,安全防護效果低,投資重復,存在一定程度的安全孤島現象。另外,安全產品部署不均衡,各個系統部署了多個安全產品,但在系統邊界存在安全空白,沒有形成縱深的安全防護。
1.4信息安全意識不強,安全制度不健全
從許多安全案例來看,很多醫院要么未制定安全管理制度,要么制定后卻得不到實施。醫院內部員工計算機知識特別是信息安全知識和意識的缺乏是醫院信息化的一大隱患。加強對員工安全知識的培訓刻不容緩。
2醫院信息安全防范措施
醫院信息安全的任務是多方面的,根據當前信息安全的現狀,醫院信息安全應該是安全策略、安全技術和安全管理的完美結合。
2.1安全策略
醫院信息系統~旦投入運行,其數據安全問題就成為系統能否持續正常運行的關鍵。作為一個聯機事務系統,一些大中型醫院要求每天二十四小時不問斷運行,如門診掛號、收費、檢驗等系統,不能有太長時間的中斷,也絕對不允許數據丟失,稍有不慎就會造成災難性后果和巨大損失醫院信息系統在醫院各部門的應用,使得各類信息越來越集中,構成醫院的數據、信息中心,如何合理分配訪問權限,控制信息泄露以及惡意的破壞等信息的訪問控制尤其重要:pacs系統的應用以及電子病歷的應用,使得醫學數據量急劇膨脹,數據多樣化,以及數據安全性、實時性的要求越來越高,要求醫院信息系統(his)必須具有高可用性,完備可靠的數據存儲、備份。醫院要根據自身網絡的實際情況確定安全管理等級和安全管理范圍,制訂有關網絡操作使用規程和人員出入機房管理制度,制定網絡系統的維護制度和應急措施等,建立適合自身的網絡安全管理策略。網絡信息安全是一個整體的問題,需要從管理與技術相結合的高度,制定與時俱進的整體管理策略,并切實認真地實施這些策略,才能達到提高網絡信息系統安全性的目的。
在網絡安全實施的策略及步驟上應遵循輪回機制考慮以下五個方面的內容:制定統一的安全策略、購買相應的安全產品實施安全保護、監控網絡安全狀況(遇攻擊時可采取安全措施)、主動測試網絡安全隱患、生成網絡安全總體報告并改善安全策略。
2.2安全管理
從安全管理上,建立和完善安全管理規范和機制,切實加強和落實安全管理制度,加強安全培訓,增強醫務人員的安全防范意識以及制定網絡安全應急方案等。
2.2.1安全機構建設。設立專門的信息安全領導小組,明確主要領導、分管領導和信息科的相應責任職責,嚴格落實信息管理責任l。領導小組應不定期的組織信息安全檢查和應急安全演練。
2.2.2安全隊伍建設。通過引進、培訓等渠道,建設一支高水平、穩定的安全管理隊伍,是醫院信息系統能夠正常運行的保證。
2.2.3安全制度建設。建立一整套切實可行的安全制度,包括:物理安全、系統與數據安全、網絡安全、應用安全、運行安全和信息安全等各方面的規章制度,確保醫療工作有序進行。
2.2.4應急預案的制定與應急演練
依據醫院業務特點,以病人的容忍時間為衡量指標,建立不同層面、不同深度的應急演練。定期人為制造“故障點”,進行在線的技術性的分段應急演練和集中應急演練。同時信息科定期召開“系統安全分析會”。從技術層面上通過數據挖掘等手段,分析信息系統的歷史性能數據,預測信息系統的運轉趨勢,提前優化系統結構,從而降低信息系統出現故障的概率;另一方面,不斷總結信息系統既往故障和處理經驗,不斷調整技術安全策略和團隊應急處理能力,確保應急流程的時效性和可用性。不斷人為制造“故障點”不僅是對技術架構成熟度的考驗,而且還促進全員熟悉應急流程,提高應急處理能力,實現了技術和非技術的完美結合。
2.3安全技術
從安全技術實施上,要進行全面的安全漏洞檢測和分析,針對檢測和分析的結果制定防范措施和完整的解決方案。
2.3.1冗余技術
醫院信息網絡由于運行整個醫院的業務系統,需要保證網絡的正常運行,不因網絡的故障或變化引起醫院業務的瞬間質量惡化甚至內部業務系統的中斷。網絡作為數據處理及轉發中心,應充分考慮可靠性。網絡的可靠性通過冗余技術實現,包括電源冗余、處理器冗余、模塊冗余、設備冗余、鏈路冗余等技術。
2.3.2建立安全的數據中心
醫療系統的數據類型豐富,在不斷的對數據進行讀取和存儲的同時,也帶來了數據丟失,數據被非法調用,數據遭惡意破壞等安全隱患。為了保證系統數據的安全,建立安全可靠的數據中心,能夠很有效的杜絕安全隱患,加強醫療系統的數據安全等級,保證各個醫療系統的健康運轉,確保病患的及時信息交互。融合的醫療系統數據中心包括了數據交換、安全防護、數據庫、存儲、服務器集群、災難備份/恢復,遠程優化等各個組件。
2.3.3加強客戶機管理
醫院信息的特點是分散處理、高度共享,用戶涉及醫生、護士、醫技人員和行政管理人員,因此需要制定一套統一且便于管理的客戶機管理方案。通過設定不同的訪問權限,加強網絡訪問控制的安全措施,控制用戶對特定數據的訪問,使每個用戶在整個系統中具有唯一的帳號,限定各用戶一定級別的訪問權限,如對系統盤符讀寫、光驅訪問、usb口的訪問、更改注冊表和控制面板的限制等。同時捆綁客戶機的ip與mac地址以防用戶隨意更改ip地址和隨意更換網絡插口等惡意行為,檢查用戶終端是否安裝了信息安全部門規定的安全軟件、防病毒軟件以及漏洞補丁等,從而阻止非法用戶和非法軟件入網以確保只有符合安全策略規定的終端才能連入醫療網絡。
2.3.4安裝安全監控系統
安全監控系統可充分利用醫院現有的網絡和安全投資,隨時監控和記錄各個終端以及網絡設備的運行情況,識別、隔離被攻擊的組件。與此同時,它可以強化行為管理,對各種網絡行為和操作進行實施監控,保持醫院內部安全策略的符合性。
2.3.5物理隔離
根據物理位置、功能區域、業務應用或者管理策略等劃分安全區域,不同的區域之間進行物理隔離。封閉醫療網絡中所有對外的接口,防止黑客、外部攻擊、避免病毒的侵入。
關鍵詞:慕課;信息安全;大數據;校企合作;教學改革
基金項目:本文系上海高校智庫內涵建設項目“人工智能與大數據背景下上海布局的新思維與新舉措”;2019年上海高校大學計算機課程教學改革項目“信息安全原理”進階課程建設。
引言
在大數據時代,獲取信息,利用信息,把握信息成為各國提高綜合競爭力的一個關注點。信息安全影響著國家政治、經濟、文化、軍事和社會生活的方方面面,信息安全領域的人才數量不足,而社會對信息安全領域人才需求近年來持續增長。對高校信息安全課程的教育教學提出挑戰。
高校信息安全課程往往過于注重理論知識的傳授,學生在面對實際網絡安全問題時,沒有合適的技術手段設計合理的解決方案;信息發展給信息安全帶來的變化日新月異,課程中所使用的教材版本過于陳舊,學生會面臨所學習的知識與社會所需要的知識差距過大的問題;針對課堂上的教育模式,普遍還是教師主導的教學模式,學生參與積極性不高,在面對疑難問題時,也沒有有效的手段能及時解決存在的問題,久而久之,導致學生學習興趣下降。
因此,針對已經開設的信息安全原理課程,更要在大數據時代背景下,結合翻轉課堂和慕課的混合型教學互動方式,慕課(MOOC,MassiveOpenOnlineCourse)是大型開放式網絡課程的縮寫,它是一種基于互聯網的在線學習平臺。它利用了現代的信息安全網絡技術,打破了傳統教學所受的時間和空間限制,整合了多種數字化教學資源,形成了多元化的學習工具和教學資源。慕課自從美國起源后,全球各大高校紛紛加入慕課的學習浪潮中。現在,慕課已經是教育方法中的重要工具。因此,研究如何利用慕課這樣新型互聯網教學平臺,改進傳統信息安全課程的教學方式,是尤為重要的。
慕課具有學習靈活、教學資源豐富等特點。教師可以將在課堂上難以表述的程序命令或者實驗操作融入視頻中,讓學生能夠快速理解。另外,慕課的課程具有可重復的特點,對于復雜難懂的知識點,學生不會局限于課堂的時間,在課余的任何時間,只要能夠通過自己的手機、電腦等就可以進行反復學習,從而更好的鞏固知識。
基于這些優勢,結合在線資源和傳統教學,將學習的主動權移交給學生自己,刺激學生主動學習,積極思考,從而加深理解。課程不光要注重課堂內理論知識,還要面向實際問題,進行課堂拓展實踐,以及和社會中的優質企業開展交流合作,培養進入社會后能夠滿足信息安全崗位需求的學生。解決信息安全領域的人才缺失,研究拓展高校信息安全課程的培養對象,快速提升高校信息安全原理課程教學方法和教學水平,具有重要的現實意義。
1、傳統信息安全課程的基本現狀
1.1教材未與時俱進
由于互聯網時代的來臨,以及大數據和云計算的興起,我們生活在一個信息爆炸的時代。計算機技術發展在給我們帶來便利性的同時,卻也引發了一系列的安全隱患。但是由于當今時代信息更新迅速,傳統的信息安全教材未能囊括前沿的相關知識,導致學生所學習的相關理論知識未能很好地解決目前所發生的相關網絡安全問題。例如在數字出版方面,利用最新的區塊鏈技術中的身份驗證和公式機制與知識產權的確權、授權和維權等環節結合起來。能夠使用基于區塊鏈的新型互聯網技術,管理數字出版和知識產權,從而能夠降低管理成本,提高管理效率。
1.2授課方式重理論
信息安全課程理論上包含了編碼技術、防火墻技術、VPN技術、數據庫加密技術等,但是學生只是對相關算法理論有了初步了解,并未很好結合這些算法的實踐操作,尤其如防火墻的基本配置、以及利用Internet密鑰交換技術進行相關的加密解密等涉及信息安全的基本操作,所以學生普遍課堂積極性有所欠缺、課后思考有限。
1.3學習方式被動化
到目前為止,國內大多數院校授課的主流方式仍然是以傳統的“老師站上講臺教、學生坐在臺下學”的方式進行,導致學生被動地汲取相關知識,自主性、積極性和接受度都有限。而且教學任務固定,每節課學生和老師之間無法進行充分的有效互動。而且受到上課時間、地點的限制,未能很好地應用移動互聯網平臺的便捷性、共享化的優勢,存在學生疑慮解決滯后的缺陷。
1.4考核方式單一化
該課程多采用課堂考勤和期末考相結合的這種單一化的考勤方式,但是由于該課程教學內容綜合了計算機、數學、管理等學科,所以對學生的實踐操作能力較高要求。且當前的考核方式在提高學生的發現問題、思考問題、解決問題能力方面有所不足,未能通過構建系統化的考核體系,比如引入實踐考核以及小組分工合作的方式,培養學生的思考習慣以及創新能力。
1.5培養人才供不應求
由于計算機技術發展,網絡空間成為人們生活的主要空間,同時網絡安全成了人們面臨的又一主要問題,近年來國家對網絡安全人才的培養也愈加重視,正如《2019網絡安全人才現狀白皮書》指出,2016至2018這三年期間,在全國范圍內網絡安全及相關專業開設院校新增數量達到98所,如圖1所示,其中華東地區院校新增相關專業的數量最多,達到21所。與此同時,社會對網絡信息安全人才的需求也越來越大,但是由于這一方面的人才卻遠遠供不應求。即使目前很多人可以自學成才,“網絡空間安全”也成為一級學科,但目前該領域人才缺口重大。正如智聯招聘的《2018網絡安全人才市場狀況研究報告》指出,如圖2所示,安全大數據分析師將會在未來幾年內成為最為稀缺的人才資源,且每年需求仍在不斷大幅上升,2018年上半年增長率接近10%。
2、信息安全原理課程建設方法
從以上可以看出,大數據時代的信息安全課程不能拘泥于舊的課程體系,必須創新教學模式,充分利用互聯網資源,創新教學方法,促進學生和老師之間的有效互動,培養新型的信息安全人才。
如圖3,在MOOC背景下,信息安全原理課程教學體系分為“教學基礎建設”、“核心教學方法”和“拓展教學內容”三大層次。“教學基礎建設”是整個教學體系結構的基礎和保證,“核心教學方法”是教學過程中運用的多元化教學手段,以保證學生的學習效果,“拓展教學內容”是教學之后的延伸。
2.1教學基礎建設2.1.1理論教材建設
由上一節分析可以看出,現有的信息安全原理教材相對落后,讀者在閱讀信息安全原理教材的過程中,往往只能了解到過時的知識,而無法學習到最新的信息安全技術。基于對“信息安全原理”課程六年的總結和發展,以及對最新時代信息安全課程的要求,結合最新的大數據技術、信息安全理論及案例和相關試驗知識,設計如下的教材建設方案。
第一點,結合最新技術發展的章節實驗。在教材中的重點知識章節,設立大數據、區塊鏈體系等最前沿的安全應用相關的章節實驗,讀者可以通過完成章節實驗,檢驗學習成果,并牢固掌握章節知識點。第二點,強調理論知識與實際應用相結合。在原理理論部分的章節中,添加多種多樣的真實案例,范圍可以涉及政府治理、經濟發展、文化民生等等方面的社會應用問題。讀者可以充分運用所學知識,組成小組互相討論,并提出相應的解決方案或思路,從而更有助于知識的理解。第三點,強調書籍內容的新穎性。教材既要保留經典的信息安全理論知識點,也要在此基礎上,增加了十三五期間的新觀點、新理念,如網絡安全法的實施、勒索蠕蟲病毒的防范、電子簽名法的實施、新型計算機犯罪的特征、數字水印等。讀者不僅可以在教材中學習到信息安全理論的基礎知識,還能從教材中了解到目前世界信息安全發展的趨勢和我國信息安全建設的方向。
2.1.2MOOC網站建設
在課程前期,搭建信息安全原理這一課程的一個線上教學平臺,線上教學資源可由學校和企業雙方提供。對于該課程所涉及的一些基礎理論知識的傳授,可由學校老師提前進行相關視頻的錄制,然后再提交至該在線課程平臺;對課程于內容相關的實踐操作知識、該知識在社會工作中的相關應用以及社會對相關人才的技能考查側重哪方面的知識,都可以由企業的有關專業人士進行提前錄制,后再上傳至MOOC平臺。對于提高學生MOOC完成率,可以通過課程個性化定制、提高遠程實現技術的應用,以豐富學生的知識點學習,也有助于學生盡早樹立正確的擇業觀以及明確自己的職業目標,進一步培養了學生的解決實際問題的能力,為社會培養技能型人才,進而彌補社會在信息安全領域這一方面的人才空缺。
2.2核心教學方法
2.2.1MOOC教學
利用MOOC學習不受時間和空間約束的特點,學生可以根據自己的課余時間,利用碎片化的時間進行反復學習,反復思考,從而能更好地促進學生對于知識的吸收。同時,利用MOOC平臺中的強大互聯網技術,教師可以制作相應的練習題,讓學生在課程視頻觀看完畢后進行自測,教師從后臺可以對每一位學生的學習效果進行有效的掌握。
如圖4,教師和企業緊密合作,搭建基于理論知識和實現項目的MOOC平臺,形成校企強強聯手的知名MOOC資源。學生通過MOOC平臺進行課程學習與課后練習。
例如對于密碼學、加密技術、數字簽名等概念性的知識,就可以通過制作MOOC課程,視頻以輕松有趣的動畫或者是案例來闡述復雜難懂的概念,從而激發學生的學習興趣。在視頻課程之后,學生可以在MOOC網頁上進行簡單的加密解密題目的解答,就能更好地理解知識點,提升專業知識的能力。
2.2.2基于MOOC平臺的實驗教學
課程實驗是對教學成果和學生知識掌握情況的重要檢測方式,也是提升學生技能水平的重要手段。我們不能拘泥于傳統實訓中基于硬件實體和老舊的密碼技術的實驗和實踐課程。應該著眼于最新的互聯網發展趨勢,結合目前新的教學實驗平臺,對區塊鏈、數字版權、用戶隱私等方面進行實踐訓練。通過與時展最緊密的知識和實踐,提升學生對信息安全知識的掌握能力。MOOC平臺不僅僅能作為一個視頻學習平臺,更能成為一個基于先進互聯網技術的虛擬實驗平臺。基于MOOC平臺的實驗,不僅沒有傳統實驗平臺搭建難、維護貴、易損耗的缺點,還有便捷、快速、高效等優點。
例如在網絡攻擊與防御的專業知識課程之后,利用計算機虛擬技術在MOOC平臺上搭建一個信息攻防實驗平臺,讓學生分為兩組對于OSI七層協議或人工智能病毒互相攻防,體驗不同的角色。通過情景模擬,讓學生真實體驗到信息安全的攻防原理的操作,加深學生對信息安全知識的理解,提高學生心中對于信息安全的重要性。
2.3拓展教學內容
高校培養信息安全人才,是為了更好地為社會的人才需求進行服務,課程建設的過程也是高校對社會服務能力的一種提升方法。學生在完成信息安全相關的知識課程后,掌握了基本的理論知識和基本技能,但并不意味著學生已經成為一個信息安全行業的專業人才,還缺乏許多實戰項目經驗。同時,在企業中也缺乏高校的先進理論知識。因此,在課程建設的過程中,增強高校與企業之間的聯系,拓寬高校與企業之間的合作是必然的。
例如,高校可以與奇虎360公司進行合作。奇虎360公司作為我國在計算機安全和網絡安全方面的重要民營企業,可以充分將奇虎360公司和高校資源互補,解決信息安全課程中的痛點問題。一方面可以邀請奇虎360公司的工程師來為學生講解最新的信息安全技術,如云安全的原理與案例教學、大數據的病毒防范技術、企業信息安全的軟硬件基礎設置等等;另一方面,教師可以帶領學生走入企業,把教師、學生和企業結合起來,共同參與一個真實的項目,讓學生帶著所學到的知識和技能,按照真實的項目工程要求,完成項目的各項任務。通過實際項目的訓練和培養,讓學生能夠更加具備實戰操作經驗和能力。
一、“微信”犯罪中的主要犯罪類型和罪名
信息技術時代人與人之間的交流和互動往往以信息的傳播為基礎。尤其在虛擬的網絡社交環境中,信息傳播速度快,頻率高、傳播范圍廣、傳播的內容更是多樣復雜。很多不法分子亦是利用網絡社交軟件,或傳播一些虛假的、非法的信息,或從事犯罪活動。微信社交軟件就是其中之一,今年來已經有多起利用微信實施犯罪的案例,主要犯罪可以歸納以下幾類:
(一)侵犯財產類犯罪,如盜竊、搶劫、敲詐勒索、詐騙等。利用微信實施財產類犯罪活動已經屢見不鮮,廣州市在2013年一年就接連發生多起利用微信誘騙受害人見面、約會實施搶劫、搶奪等犯罪行為。此類案件中,嫌疑人均通過微信搭訕、結識事主,通過手機聊天逐漸騙取事主的好感和信任后,將事主約至指定地點見面,伺機進行搶劫、搶奪等違法犯罪活動①。
1、利用微信實施盜竊罪。根據實踐中案例,利用微信實施盜竊罪常見的主要存在三種方式:第一,利用微信綁卡轉賬功能,實施盜竊。例如,11月19日上午10時,湖南省懷化市沅陵縣法院對首例微信紅包盜竊案的審理判決,對被告人李某以盜竊罪定罪處罰②。第二,以木馬程序偽裝成紅包,套取用戶銀行賬戶、身份等信息,實施盜竊。第三,利用微信搭訕,在取得被害人信任后,借見面、約會等方式,實施盜竊。
2、利用微信紅包實施詐騙罪,其中最典型的是網購詐騙。常見的有一下三類詐騙:第一,騙取受害人郵費。犯罪嫌疑人利用微信掃碼“贈送”或者集“贊”贈送商品等信息,誘使微信用戶掃碼、集“贊”,后采用郵費自付的方式騙取郵費。③第二,利用微信平臺“打折”、“優惠”或者一些市場上稀缺的二手產品信息或者網址鏈接,并以包郵等方式誘惑用戶購買,讓受害人選擇“即時到賬”的方式支付貨款,支付完成后,卻遲遲收不到產品,而交易流程也早已關閉。第三,不法分子仿造一些知名的企業、電商或者信譽較高的購物網站,創建微信“公眾號”,不實信息,誘導微信用戶,實施詐騙。
(二)利用微信實施搶劫罪。該類犯罪最常見的和上述利用微信實施盜竊罪的第三種方式類似,只是犯罪的方式和手段有所不同,主要是利用約會、見面,實施搶劫犯罪。
(三)侵犯人身權利類犯罪,如罪、猥褻婦女罪等。近年來微信實施案在各地已經發生多起,如發生在浙江“高帥富”利用微信約會7名女大學生一案④,以及在廈門同安一個月內連續發生3起陌生男子以微信誘到女性,假借見面、約會對其實施的案件。
二、“微信”犯罪中刑法規制存在的缺陷
(一)對“微信”犯罪的構成和罪名的成立上存在一定的問題。對于侵犯財產類的犯罪中涉及到數額的問題,如搶奪罪、敲詐勒索罪、盜竊罪、詐騙罪等,對這類罪進行犯罪構成或者罪名認定時,涉案金額既可能成為定罪標準,又可能成為量刑的是一個重要的依據。例如就盜竊罪而言,“盜竊罪是以非法占有為目的,竊取他人占有的數額較大的財物……”,根據我國有關司法解釋,盜竊公私財物數額較大以一千元至三千元為起點,如果數額達不到,犯罪嫌疑人頂多受到行政處罰。而在“微信”犯罪中涉及到財產犯罪一種常見的現象是:受害人多,損失金額分散,單個受害者的損失金額可能都不夠立案標準,更不用談定罪處罰。詐騙罪亦是如此,利用微信實施的詐騙罪,根據我國刑法的相關規定,詐騙公私財物數額較大,才構成犯罪。根據“兩高”關于詐騙罪解釋,“數額較大”的認定為:詐騙公私財物3000元至1萬元。但是如上文中提到的利用微信騙取受害人郵費和話費的情況,單個受害人的郵費損失不過二、三十元,如何對該種行為進行刑法評價存在漏洞。雖然司法解釋也規定了在數額難以查證的情況下,對詐騙行為的相關規定,“利用發送短信、撥打電話、互聯網等電信技術手段對不特定的人實施詐騙,在詐騙數額難以查證,但有下列情形之一的,應當認定為刑法第266條規定的‘其他嚴重情節’,以詐騙罪(未遂)定罪處罰:(1)發送信息五千條以上。
(二)對利用微信實施的違法犯罪行為如何處罰,如何進行社會危害性評價,缺乏統一的標準。從目前的幾起“微信”犯罪的判決來看,輕刑化比較明顯,大部分對犯罪分子的處罰拘役、管制或2年以下有期徒刑,緩刑執行。在實務中目前還是完全依靠法官自由裁量或者是依靠我國的刑事政策進行處罰。這樣難免會出現輕判或者重罰、出現同案不同判的現象,有失公允、有損刑法的公信力。例如,關于網絡謠言的刑法修正案(九)中在現行刑法第291條中增加了一款:“編造虛假的險情、疫情、災情、警情,在信息網絡或者其他媒體上傳播,或者明知是上述虛假信息,故意在信息網絡或者其他媒體上傳播,嚴重擾亂社會秩序的,處3年以下有期徒刑、拘役或者管制;造成嚴重后果的,處3年以上7年以下有期徒刑。”也就是說在網上傳播謠言或者虛假信息最高可以獲刑7年。那么在何種情況下以最高刑判決,卻沒有具體的標準。
(三)微信安全的保護鏈條不全面。相關法律之間還未有效地銜接,未形成合力對抗或者保障微信安全。從目前我國的《網絡安全法》草案中并沒有設置附屬刑法的條款,僅在草案第六十四條規定“違反本法規定,構成犯罪的,依法追究刑事責任”。在這種情況下,僅僅依靠刑法修正案(九)中幾條,以及《關于辦理利用互聯網、移動通訊終端、聲訊臺制作、復制、出版、販賣、傳播電子信息刑事案件具體應用法律若干問題的解釋(二)》相關規定,仍然無法涵蓋“微信”犯罪中全面行為和特定主體的對接,造成立法上的漏洞。
三、對“微信”犯罪的刑法應對之完善
對利用微信實施的各類犯罪行為中,大都是在傳統的犯罪基礎上,利用微信作為犯罪平臺或者犯罪工具,其犯罪的構成并未發生多大的變化,例如利用微信進行開設賭場、實施盜竊、詐騙行為等罪名,定罪爭議不大,但是對于責任的承擔著、處罰的標準以及社會危害程度就目前的立法和司法解釋中還存在一定的缺陷。對于像微信這類多功能半封閉的社交軟件,其中主體涉及到軟件應用的開發商、運營商和用戶(群聊中群主和成員),例如在利用微信實施的危害公共安全或者市場交易安全等犯罪行為中,如何對各個主體進行刑法上的評價,又如何把握上述行為的社會危害程度目前還沒有統一的標準,在實務中如果一味依靠法官主觀評價或者是依賴我國的刑事政策,難免會出現輕判或者重打現象,影響刑法的權威性和公信力。為更好地打擊和懲治“微信”犯罪,凈化網絡環境,保障信息傳播有序健康發展,有必要運用刑罰手段進行合理科學的規制。
(一)完善對“微信”犯罪的法定刑,實現罪責刑相適應的刑法原則。法定刑是國家對犯罪行為的否定評價和對罪犯的懲罰,也是國家對犯罪行為危害性程度的評價。一方面,就目前我國刑法對諸如“微信”犯罪的網絡犯罪偏向于輕刑化,尤其對于妨害社會管理的開設賭場、組織賭博、編造、故意傳播虛假恐怖信息等犯罪行為以及破壞社會主義市場經濟秩序的犯罪行為,此類犯罪可能沒有具體的受害人而趨于輕型,但是其社會危害性仍然不容忽視,對該類行為應該加大懲處力度。對此,應該加大對“微信”犯罪的懲罰力度,提高犯罪的預期成本,突出刑罰的威懾力。根據波斯納的觀點:“刑罰的功能是對犯罪行為科以額外的成本,因為對于犯罪分子而言,只要犯罪的預期利潤超過預期成本,他才會實施該犯罪”。另一方面,應提高對利用微信實施犯罪的罰金刑。鑒于“微信”犯罪的成本低、獲利高,風險小促使罪犯敢于鋌而走險實施犯罪。對于“微信”犯罪中涉及金額的行為,法官可以根據涉案金額適當提高刑罰金。
(二)完善“微信”犯罪中刑事責任承擔分配制度。對于日益猖狂的“微信”犯罪,應該搭建嚴密的刑事責任網,充分發揮刑法的規制作用。第一,完善網絡行業中,社交軟件開發商、運營商的刑事責任分擔。在網絡行業,社交軟件的服務運營商屬于網絡平臺服務的提供者,微信的開發商屬于騰訊。無論是開發商還是服務運營商應該在現行對用戶或者違法信息賦有合理監管的義務。當然鑒于運營服務商的技術限制和“無主觀惡意”(其所開發的社交軟件并非主要用于犯罪活動,也并未使用戶的法益處于危險的狀態),對其在責任承擔時應該謹慎考量,但是不能絕對免責,如可以參考域外司法經驗:“服務商如對于使用人之不法使用負責,必須限于其知悉或應當知悉時,始賦予服務商相應的提示義務,去防止該不法行為之繼續使用。”第二,合理界定虛假、詐騙信息的原始者和轉發者的刑事責任。當下微信應用既是人與人交流和溝通的重要工具也是一個資源信息共享的方便平臺。在信息量如此龐大的微信中,對于微信用戶來說,很難區分、辨別一些廣告信息的真偽,也不會刻意去辨別。例如對于運用微信平臺一些“集贊”贈送產品、“打折”等詐騙信息,對于普通的微信用戶而言,難免會有這樣的心理:“如此好事,怎能獨享”,隨即會進行轉發,或轉發“朋友圈”,或轉發至微信群。就算是轉發一些虛假的災情、警情、地震等信息,也可能是對自己微信好友的善意提醒和安全提示。這筆者認為,對與諸如利用微信虛假詐騙信息、謠言進行犯罪時,對于所有“犯罪嫌疑人”不應該都“一棍子打死”,應該區分這些“犯罪嫌疑人”中的始作俑者和“無意犯罪者”。刑法的目的固然是打擊、懲治、預防犯罪,但最終還是服務于社會、經濟、技術的發展。
(三)完善《網絡安全法》與《刑法》之間的有效銜接。就目前我國《網絡安全法》還只是公布草案,并未正式施行,但究其草案而言,本法的調整對象重點放在行為上,與行為主體缺乏有效的結合。再者草案中對違法網絡安全的刑事責任有關規定,僅在草案第六十四條“違反本法規定,構成犯罪的,依法追究刑事責任”。該規定比較籠統模糊。對此《網絡安全法》中應該設置一些附屬于刑法的具體條款,對違反網絡安全的不當行為以及該行為中各個主體的責任加以明確規定。健全和完善《網絡安全法》,實現刑法規制與《網絡安全法》行政規制的有效銜接。
1中小企業網絡安全需求分析
1.1病毒木馬的防護一般情況下,需在客戶機上安裝殺毒軟件等安全防護措施,并通過因特網及時更新病毒庫,從而能夠快速發現并消滅病毒,有效制止危害和防止其擴散。有條件的企業也可以安裝防病毒墻(應用網關),防止病毒進入內部網絡,有效提升內部網絡的安全防護能力。
1.2對外部網絡攻擊的防護因連接到因特網,不可避免地會受到外部網絡的攻擊,通常的做法是安裝部署網絡防火墻進行防護。通過設置防護策略防止外部網絡的掃描和攻擊,通過網絡地址轉換技術NAT(NetworkAddressTranslation)等方式隱藏內部網絡的細節,防止其窺探,從而加強網絡的安全性。1.3員工上網行為的管控對于在辦公區內的員工,要禁止其在工作期間做無關工作的網絡行為,如QQ聊天、論壇發帖子、炒股等,尤其禁止其玩征途等各類網絡游戲。常用做法就是安裝網絡行為管理設備(應用網關),也有些企業會出于成本考慮安裝一些網絡管理類軟件,但若操作不當,很容易會造成網絡擁塞,出現莫名其妙的故障。
1.4對不同接入者權限的區分企業網絡中的接入者應用目的是不相同的,有些必須接入互聯網,而有些設備不能接入互聯網;有些是一定時間能接入,一定時間不能接入等等,出于成本等因素考慮,不可能也沒必要鋪設多套網絡。通常的做法是通過3層交換機劃分虛擬局域網VLAN(VirtualLocalAreaNetwork)來區分不同的網段,與防火墻等網絡控制設備配合來實現有關功能。
1.5安全審計功能通過在網絡旁路掛載的方式,對網絡進行監聽,捕獲并分析網絡數據包,還原出完整的協議原始信息,并準確記錄網絡訪問的關鍵信息,從而實現網絡訪問記錄、郵件訪問記錄、上網時間控制、不良站點訪問禁止等功能。審計設備安裝后不能影響原有網絡,并需具有提供內容安全控制的功能,使網絡維護人員能夠及時發現系統漏洞和入侵行為等,從而使網絡系統性能能夠得到有效改善。通常的做法就是安裝安全運行維護系統SOC(SecurityOperationsCente)r,網管員定時查看日志來分析網絡狀況,并制定相應的策略來維護穩定網絡的安全運行。
.6外網用戶訪問內部網絡公司會有一些出差在外地的人員以及居家辦公人員SOHO(SmallOfficeHomeOffice),因辦公需要,會到公司內網獲取相關數據資料,出于安全和便捷等因素考慮,需要借助虛擬專用網絡技術VPN(VirtualPrivateNetwork)來實現。通常的做法是安裝VPN設備(應用網關)來實現。
2網絡安全設備的部署與應用
通過企業網絡安全分析,結合中小企業網絡的實際需求進行設計。該網絡中的核心網絡設備為UTM綜合安全網關。它集成了防病毒、入侵檢測和防火墻等多種網絡安全防護功能,從而成為統一威脅管理UTM(UnifiedThreatManagement)綜合安全網關。它是一種由專用硬件、專用軟件和網絡技術組成的具有專門用途的設備,通過提供一項或多項安全功能,將多種安全特性集成于一個硬件設備,構成一個標準的統一管理平臺[2]。通常,UTM設備應該具備的基本功能有網絡防火墻、網絡入侵檢測(防御)和網關防病毒等功能。為使這些功能能夠協同運作,有效降低操作管理難度,研發人員會從易于操作使用的角度對系統進行優化,提升產品的易用性并降低用戶誤操作的可能性。對于沒有專業信息安全知識的人員或者技術力量相對薄弱的中小企業來說,使用UTM產品可以很方便地提高這些企業應用信息安全設施的質量。在本案例中主要使用的功能有防火墻、防病毒、VPN、流量控制、訪問控制、入侵檢測盒日志審計等。網絡接入和路由轉發功能也可由UTM設備來實現。因其具有多個接口(即多個網卡),可通過設定接口組把辦公區、車間、服務器組等不同區域劃分成不同的網段;通過對不同網段設定不同的訪問規則,制定不同的訪問策略,來實現非軍事化區DMZ(demilitarizedzone)、可信任區以及非信任區的劃分,從而有效增強網絡的安全性和穩定性。對于上網行為的管理,可以通過內置UTM設備的功能來實現管控,并可以實現Web過濾以及安全審計功能。,設定了辦公區和車間1可以訪問互聯網,而車間2不能訪問互聯網。在辦公區和部分車間安裝無線AP,可方便人員隨時接入網絡。通過訪問密碼和身份認證等手段,可對接入者進行身份識別,對其訪問網絡的權限進行區分管控。市場上還有一些專用的上網行為管理設備,有條件的單位可進行安裝,用以實現對員工上網行為進行更為精準的管控。對于出差在外地的人員和SOHO人員可在任何時間通過VPN客戶端,用事先分配好的VPN賬戶,借助UTM設備的VPN功能,與總部建立VPN隧道,從而保證相互間通信的保密性,安全訪問企業內部網絡,實現高效安全的網絡應用。
3結束語
通過某中小企業計算機網絡安全設備的部署,UTM產品為中小規模計算機網絡的安全防護提供了一種更加實用也更加易用的選擇。用戶可以在一個更加統一的架構上建立自己的安全基礎設施,保證企業網絡安全穩定運行。要實現企業網絡安全建設的可持續性發展,還需要立足實際,從意識、制度、管理、資金、人員、設備、技術等方面進行不斷的改進和提高,這樣才能保障網絡快速、穩定、暢通地運行。
作者:陳俊祺谷大豐單位:武警山西省總隊網管中心國網山西省電力公司電力科學研究院
