時間:2022-11-14 10:42:50
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡安全法論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
1.論信息安全、網絡安全、網絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業的實證研究
7.“棱鏡”折射下的網絡信息安全挑戰及其戰略思考
8.再論信息安全、網絡安全、網絡空間安全
9.“云計算”時代的法律意義及網絡信息安全法律對策研究
10.計算機網絡信息安全及其防護對策
11.網絡信息安全防范與Web數據挖掘技術的整合研究
12.現代信息技術環境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養的培養
15.國民信息安全素養評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數據信息安全風險框架及應對策略研究
18.信息安全學科體系結構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統信息安全研究綜述
26.美國電力行業信息安全工作現狀與特點分析
27.國家信息安全協同治理:美國的經驗與啟示
28.論大數據時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業控制系統信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網絡中用戶個人信息安全保護研究
33.信息安全與網絡社會法律治理:空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網融合下的信息安全問題
35.云計算環境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網絡信息安全技術
38.云計算時代的數字圖書館信息安全思考
39.“互聯網+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網絡的信息安全體系結構
43.用戶信息安全行為研究述評
44.數字化校園信息安全立體防御體系的探索與實踐
45.大數據時代面臨的信息安全機遇和挑戰
46.企業信息化建設中的信息安全問題
47.基于管理因素的企業信息安全事故分析
48.借鑒國際經驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網絡信息安全合作的國際規則制定
51.國外依法保障網絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業的人才培養與課程體系
59.美國電力行業信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰與策略
62.工業控制系統信息安全新趨勢
63.基于MOOC理念的網絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業群體間信息安全知識共享的演化博弈分析
66.智能電網信息安全及其對電力系統生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網絡信息安全問題及解決方案
73.國內信息安全研究發展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網絡與系統信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網絡信息安全現狀
80.大學生信息安全素養分析與形成
81.車聯網環境下車載電控系統信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調節效應
83.信息安全管理領域研究現狀的統計分析與評價
84.網絡信息安全及網絡立法探討
85.神經網絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產業與信息安全經濟分析
90.信息安全政策體系構建研究
91.智能電網物聯網技術架構及信息安全防護體系研究
92.我國網絡信息安全立法研究
93.電力信息安全的監控與分析
94.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望
95.情報素養:信息安全理論的核心要素
96.信息安全的發展綜述研究
97.俄羅斯聯邦信息安全立法體系及對我國的啟示
98.國家信息安全戰略的思考
1 移動互聯網的安全現狀
自由開放的移動網絡帶來巨大信息量的同時,也給運營商帶來了業務運營成本的增加,給信息的監管帶來了沉重的壓力。同時使用戶面臨著經濟損失、隱私泄露的威脅和通信方面的障礙。移動互聯網由于智能終端的多樣性,用戶的上網模式和使用習慣與固網時代很不相同,使得移動網絡的安全跟傳統固網安全存在很大的差別,移動互聯網的安全威脅要遠甚于傳統的互聯網。
⑴移動互聯網業務豐富多樣,部分業務還可以由第三方的終端用戶直接運營,特別是移動互聯網引入了眾多手機銀行、移動辦公、移動定位和視頻監控等業務,雖然豐富了手機應用,同時也帶來更多安全隱患。應用威脅包括非法訪問系統、非法訪問數據、拒絕服務攻擊、垃圾信息的泛濫、不良信息的傳播、個人隱私和敏感信息的泄露、內容版權盜用和不合理的使用等問題。
⑵移動互聯網是扁平網絡,其核心是IP化,由于IP網絡本身存在安全漏洞,IP自身帶來的安全威脅也滲透到了移動專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net互聯網。在網絡層面,存在進行非法接入網絡,對數據進行機密性破壞、完整性破壞;進行拒絕服務攻擊,利用各種手段產生數據包造成網絡負荷過重等等,還可以利用嗅探工具、系統漏洞、程序漏洞等各種方式進行攻擊。
⑶隨著通信技術的進步,終端也越來越智能化,內存和芯片處理能力也逐漸增強,終端上也出現了操作系統并逐步開放。隨著智能終端的出現,也給我們帶來了潛在的威脅:非法篡改信息,非法訪問,或者通過操作系統修改終端中存在的信息,產生病毒和惡意代碼進行破壞。
綜上所述,移動互聯網面臨來自三部分安全威脅:業務應用的安全威脅、網絡的安全威脅和移動終端的安全威脅。
2 移動互聯網安全應對策略
2010年1月工業和信息化部了《通信網絡安全防護管理辦法》第11號政府令,對網絡安全管理工作的規范化和制度化提出了明確的要求。客戶需求和政策導向成為了移動互聯網安全問題的新挑戰,運營商需要緊緊圍繞“業務”中心,全方位多層次地部署安全策略,并有針對性地進行安全加固,才能打造出綠色、安全、和諧的移動互聯網世界。
2.1 業務安全
移動互聯網業務可以分為3類:第一類是傳統互聯網業務在移動互聯網上的復制;第二類是移動通信業務在移動互聯網上的移植,第三類是移動通信網與互聯網相互結合,適配移動互聯網終端的創新業務。主要采用如下措施保證業務應用安全:
⑴提升認證授權能力。業務系統應可實現對業務資源的統一管理和權限分配,能夠實現用戶賬號的分級管理和分級授權。針對業務安全要求較高的應用,應提供業務層的安全認證方式,如雙因素身份認證,通過動態口令和靜態口令結合等方式提升網絡資源的安全等級,防止機密數據、核心資源被非法訪問。
⑵健全安全審計能力。業務系統應部署安全審計模塊,對相關業務管理、網絡傳輸、數據庫操作等處理行為進行分析和記錄,實施安全設計策略,并提供事后行為回放和多種審計統計報表。
⑶加強漏洞掃描能力。在業務系統中部署漏洞掃描和防病毒系統,定期對主機、服務器、操作系統、應用控件進行漏洞掃描和安全評估,確保攔截來自各方的攻擊,保證業務系統可靠運行。
⑷增強對于新業務的檢查和控制,尤其是針對于“移動商店”這種運營模式,應盡可能讓新業務與安全規劃同步,通過SDK和業務上線要求等將安全因素植入。
2.2 網絡安全
移動互聯網的網絡架構包括兩部分:接入網和互聯網。前者即移動通信網,由終端設備、基站、移動通信網絡和網關組成;后者主要涉及路由器、交換機和接入服務器等設備以及相關鏈路。網絡安全也應從以上兩方面考慮。
⑴接入網的網絡安全。移動互聯網的接入方式可分為移動通信網絡接入和Wi-Fi接入兩種。針對移動通信接入網安全,3G以及未來LTE技術的安全保護機制有比較全面的考慮,3G網絡的無線空口接入采用雙向認證鑒權,無線空口采用加強型加密機制,增加抵抗惡意攻擊的安全特性等機制,大大增強了移動互聯網的接入安全能力。針對Wi-Fi接入安全,Wi-Fi的標準化組織IEEE使用安全機制更完善的802.11i標準,用AES算法替專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net代了原來的RC4,提高了加密魯棒性,彌補了原有用戶認證協議的安全缺陷。針對需重點防護的用戶,可以采用VPDN、SSLVPN的方式構建安全網絡,實現內網的安全接入。
⑵承載網網絡及邊界網絡安全。1)實施分域安全管理,根據風險級別和業務差異劃分安全域,在不同的安全邊界,通過實施和部署不同的安全策略和安防系統來完成相應的安全加固。移動互聯網的安全區域可分為Gi域、Gp域、Gn域、Om域等。2)在關鍵安全域內部署人侵檢測和防御系統,監視和記錄用戶出入網絡的相關操作,判別非法進入網絡和破壞系統運行的惡意行為,提供主動化的信息安全保障。在發現違規模式和未授權訪問等惡意操作時,系統會及時作出響應,包括斷開網絡連接、記錄用戶標識和報警等。3)通過協議識別,做好流量監測。依據控制策略控制流量,進行深度檢測識別配合連接模式識別,把客戶流量信息捆綁在安全防護系統上,進行數據篩選過濾之后把沒有病毒的信息再傳輸給用戶。攔截各種威脅流量,可以防止異常大流量沖擊導致網絡設備癱瘓。4)加強網絡和設備管理,在各網絡節點安裝防火墻和殺毒系統實現更嚴格的訪問控制,以防止非法侵人,針對關鍵設備和關鍵路由采用設置4A鑒權、ACL保護等加固措施。
2.3 終端安全
移動互聯網的終端安全包括傳統的終端防護手段、移動終端的保密管理、終端的準入控制等。
⑴加強移動智能終端進網管理。移動通信終端生產企業在申請入網許可時,要對預裝應用軟件及提供者 進行說明,而且生產企業不得在移動終端中預置含有惡意代碼和未經用戶同意擅自收集和修改用戶個人信息的軟件,也不得預置未經用戶同意擅自調動終端通信功能、造成流量耗費、費用損失和信息泄露的軟件。
⑵不斷提高移動互聯網惡意程序的樣本捕獲和監測處置能力,建設完善相關技術平臺。移動通信運營企業應具備覆蓋本企業網內的監測處置能力。
⑶安裝安全客戶端軟件,屏蔽垃圾短信和騷擾電話,監控異常流量。根據軟件提供的備份、刪除功能,將重要數據備份到遠程專用服務器,當用戶的手機丟失時可通過發送短信或其他手段遠程鎖定手機或者遠程刪除通信錄、手機內存卡文件等資料,從而最大限度避免手機用戶的隱私泄露。
⑷借鑒目前定期PC操作系統漏洞的做法,由指定研究機構跟蹤國內外的智能終端操作系統漏洞信息,定期官方的智能終端漏洞信息,建設官方智能終端漏洞庫。向用戶宣傳智能終端安全相關知識,鼓勵安裝移動智能終端安全軟件,在終端廠商的指導下及時升級操作系統、進行安全配置。
3 從產業鏈角度保障移動互聯網安全
對于移動互聯網的安全保障,需要從整體產業鏈的角度來看待,需要立法機關、政府相關監管部門、通信運營商、設備商、軟件提供商、系統集成商等價值鏈各方共同努力來實現。
⑴立法機關要緊跟移動互聯網的發展趨勢,加快立法調研工作,在基于實踐和借鑒他國優秀經驗的基礎上,盡快出臺國家層面的移動互聯網信息安全法律。在法律層面明確界定移動互聯網使用者、接入服務商、業務提供者、監管者的權利和義務,明確規范信息數據的采集、保存和利用行為。同時,要加大執法力度,嚴專業提供論文寫作和寫作論文的服務,歡迎光臨dylw.net厲打擊移動互聯網信息安全違法犯罪行為,保護這一新興產業持續健康發展。
⑵進一步加大移動互聯網信息安全監管力度和處置力度。在國家層面建立一個強有力的移動互聯網監管專門機構,統籌規劃,綜合治理,形成“事前綜合防范、事中有效監測、事后及時溯源”的綜合監管和應急處置工作體系;要在國家層面建立移動互聯網安全認證和準入制度,形成常態化的信息安全評估機制,進行統一規范的信息安全評估、審核和認證;要建立網絡運營商、終端生產商、應用服務商的信息安全保證金制度,以經濟手段促進其改善和彌補網絡運營模式、終端安全模式、業務應用模式等存在的安全性漏洞。
⑶運營商、網絡安全供應商、手機制造商等廠商,要從移動互聯網整體建設的各個層面出發,分析存在的各種安全風險,聯合建立一個科學的、全局的、可擴展的網絡安全體系和框架。綜合利用各種安全防護措施,保護各類軟硬件系統安全、數據安全和內容安全,并對安全產品進行統一的管理,包括配置各相關安全產品的安全策略、維護相關安全產品的系統配置、檢查并調整相關安全產品的系統狀態等。建立安全應急系統,做到防患于未然。移動互聯網的相關設備廠商要加強設備安全性能研究,利用集成防火墻或其他技術保障設備安全。
⑷內容提供商要與運營商合作,為用戶提供加密級業務,并把好內容安全之源,采用多種技術對不合法內容和垃圾信息進行過濾。軟件提供商要根據用戶的需求變化,提供整合的安全技術產品,要提高軟件技術研發水平,由單一功能的產品防護向集中統一管理的產品類型過渡,不斷提高安全防御技術。
⑸普通用戶要提高安全防范意識和技能,加裝手機防護軟件并定期更新,對敏感數據采取防護隔離措施和相關備份策略,不訪問問題站點、不下載不健康內容。
4 結束語
解決移動互聯網安全問題是一個復雜的系統工程,在不斷提高軟、硬件技術水平的同時,應當加快互聯網相關標準、法規建設步伐,加大對互聯網運營監管力度,全社會共同參與進行綜合防范,移動互聯網的安全才會有所保障。
[參考文獻]
論文摘要:證券行業作為金融服務業,是一個高度依賴信息技術的行業。信息安全是維護資本市場穩定的前提和基礎,沒有信息安全就沒有資本市場的穩定。介紹了維護好證券行業信息安全的重要意義,分析了行業信息安全現狀以及存在的問題,并提出了相應的對策。
近年來,我國資本市場發展迅速,市場規模不斷擴大,社會影響力不斷增強.成為國民經濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩定健康發展,關系著億萬投資者的切身利益,關系著社會穩定和國家金融安全的大局。證券行業作為金融服務業,高度依賴信息技術,而信息安全是維護資本市場穩定的前提和基礎。沒有信息安全就沒有資本市場的穩定。
目前.國內外網絡信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發展,改革創新深入推進,市場交易模式日趨集巾化,業務處理邏輯日益復雜化,網絡安全事件、公共安全事件以及水災冰災、震災等自然災害都對行業信息系統的連續、穩定運行帶來新的挑戰。資本市場交易實時性和整體性強,交易時問內一刻也不能中斷。加強信息安全應急丁作,積極采取預防、預警措施,快速、穩妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關重要。
1 證券行業倍息安全現狀和存在的問題
1.1行業信息安全法規和標準體系方面
健全的信息安全法律法規和標準體系是確保證券行業信息安全的基礎。是信息安全的第一道防線。為促進證券市場的平穩運行,中國證監會自1998年先后了一系列信息安全法規和技術標準。其中包括2個信息技術管理規范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業技術標準。行業信息安全法規和標準體系的初步形成,推動了行業信息化建設和信息安全工作向規范化、標準化邁進。
雖然我國涉及信息安全的規范性文件眾多,但在現行的法律法規中。立法主體較多,法律法規體系龐雜而缺乏統籌規劃。面對新形勢下信息安全保障工作的發展需要,行業信息安全工作在政策法規和標準體系方面的問題也逐漸顯現。一是法規和標準建設滯后,缺乏總體規劃;二是規范和標準互通性和協調性不強,部分規范和標準的可執行性差;三是部分規范和標準已不適應,無法應對某些新型信息安全的威脅;四是部分信息安全規范和標準在行業內難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業采用“統一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執行層。
為加強證券期貨業信息安全保障工作的組織協調,建立健全信息安全管理制度和運行機制,切實提高行業信息安全保障工作水平,根據證監會頒布的《證券期貨業信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業信息安全保障管理體系框架。該體系框架采用立方體架構.頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業組織結構.側面是各個機構為實現信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業處于高度信息化的背景下,it治理已直接影響到行業各公司實現戰略目標的可能性,良好的it治理有助于增強公司靈活性和創新能力,規避it風險。通過建立it治理機制,可以幫助最高管理層發現信息技術本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設的質量和應用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業,當前我國證券業企業的it治理存在的問題:一是it資源在公司的戰略資產中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數指標;是lt治理的責任與職能不清晰。
1.4網絡安全和數據安全方面
隨著互聯網的普及以及網上交易系統功能的不斷豐富、完善和使用的便利性,網上交易正逐漸成為證券投資者交易的主流模式。據統計,2008年我同證券網上交易量比重已超過總交易量的80%。雖然交易系統與互聯網的連接,方便了投資者。但由于互聯網的開放性,來自互聯網上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業的信息系統安全,成為制約行業平穩、安全發展的障礙。此,維護網絡和數據安全成為行業信息安全保障工作的重要組成部分。近年來,證券行業各機構采取了一系列措施,建立了相對安全的網絡安全防護體系和災舴備份系統,基木保障了信息系統的安全運行。但細追究起來,我國證券行業的網絡安全防護體系及災備系統建設還不夠完善,還存存以下幾方面的問題:一是網絡安全防護體系缺乏統一的規劃;二是網絡訪問控制措施有待完善;三是網上交易防護能力有待加強;四是對數據安全重視不夠,數據備份措施有待改進;五是技術人員的專業能力和信息安全意識有待提高。
1.5 it人才資源建設方面
近20年的發展歷程巾,證券行業對信息系統日益依賴,行業it隊伍此不斷發展壯大。據統計,2008年初,在整個證券行業中,103家證券公司共有it人員7325人,占證券行業從業總人數73990人的9.90%,總體上達到了行業協會的it治理工作指引中“it工作人員總數原則上應不少于公司員工總人數的6%”的最低要求。目前,證券行業的it隊伍肩負著信息系統安全、平穩、高效運行的重任,it隊伍建設是行業信息安全it作的根本保障。但是,it人才隊伍依然存在著結構不合理、后續教育不足等問題,此行業的人才培養有待加強。
2 采取的對策和措施
2.1進一步完善法規和標準體系
首先,在法規規劃上,要統籌兼顧,制定科學的信息技術規范和標準體系框架。一是全面做好立法規劃;二是建立科學的行業信息安全標準和法規體系層次。行業信息安全標準和法規體系初步劃分為3層:第一層是管理辦法等巾同證監會部門規章;第二層是證監會相關部門制定的管理規范等規范性文件;第三層是技術指引等自律規則,一般由交易所、行業協會在證監會總體協調下組織制定。其次,在法規制定上.要兼顧規范和發展,重視法規的可行性。最后,在法規實施上.要堅持規范和指引相結合,重視監督檢查和責任落實。
2.2深入開展證券行業it治理工作
2.2.1提高it治理意識
中國證券業協會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領導的it治理培訓,將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內容之中。通過舉辦論壇、交流會等形式強化證券經營機構的it治理意識,提高他們it治理的積極性。
2.2.2通過設立it治理試點形成以點帶面的示范效應
根據it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協調配合、監督制衡的責權體系;在執行層以cobit模型、itfl模型等其他模型為補充,規范信息技術部門的各項控制和管理流程。同時,證監會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優秀范例,以點帶面地提升全行業的治理水平。
2.3通過制定行業標準積極落實信息安全等級保護
行業監管部門在推動行業信息安全等級保護工作中的作用非常關鍵.應進一步明確監管部門推動行業信息安全等級保護工作的任務和工作機制,統一部署、組織行業的等級保護丁作,為該項丁作的順利開展提供組織保證。行業各機構應采取自主貫徹信息系統等級保護的行業要求,對照標準逐條落實。同時,應對各單位實施信息系統安全等級保護情況進行測評,在測評環節一旦發現信息系統的不足,被測評單位應立即制定相應的整改方案并實施.且南相芙的監督機構進行督促。
2.4加強網絡安全體系規劃以提升網絡安全防護水平
2.4.1以等級保護為依據進行統籌規劃
等級保護是圍繞信息安全保障全過程的一項基礎性的管理制度,通過將等級化的方法和安全體系規劃有效結合,統籌規劃證券網絡安全體系的建設,建立一套信息安全保障體系,將是系統化地解決證券行業網絡安全問題的一個非常有效的方法。
2.4.2通過加強網絡訪問控制提高網絡防護能力
對向證券行業提供設備、技術和服務的it公司的資質和誠信加強管理,確保其符合國家、行業技術標準。根據網絡隔離要求,要逐步建立業務網與辦公網、業務網與互聯網、網上交易各子系統間有效的網絡隔離。技術上可以對不同的業務安全區域劃分vlan或者采用網閘設備進行隔離;對主要的網絡邊界和各外部進口進行滲透測試,進行系統和設備的安全加固.降低系統漏洞帶來的安全風險;在網上交易方面,采取電子簽名或數字認證等高強度認證方式,加強訪問控制;針對現存惡意攻擊網站的事件越來越多的情況,要采取措施加強網站保護,提高對惡意代碼的防護能力,同時采用技術手段,提高網上交易客戶端軟件使朋的安全性。
2.4.3提高從業人員安全意識和專業水平
目前在證券行業內,從業人員的網絡安全意識比較薄弱.必要時可定期對從業人員進行安全意識考核,從行業內部強化網絡安全工作。要加強網絡安全技術人員的管理能力和專業技能培訓,提高行業網絡安全的管理水平和專業技術水平。
2.5扎實推進行業災難備份建設
數據的安全對證券行業是至關重要的,數據一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災害和四川汶川大地震,都敲響了災難備份的警鐘。證券業要在學習借鑒國際經驗的基礎上,針對自身需要,對重要系統開展災難備份建設。要繼續推進證券、基金公司同城災難備份建設,以及證券交易所、結算公司等市場核心機構的異地災難備份系統的規劃和建設。制定各類相關的災難應急預案,并加強應急預案的演練,確保災難備份系統應急有效.使應急工作與日常工作有機結合。
2.6抓好人才隊伍建設
證券行業要采取切實可行的措施,建立吸引人才、留住人才、培養人才、發展人才的用人制度和機制。積極吸引有技術專長的人才到行業巾來,加強lt人員的崗位技能培訓和業務培訓,注重培養既懂得技術義懂業務和管理的復合型人才。要促進從業人員提高水平、轉變觀念,行業各機構應采取采取請進來、派出去以及內部講座等多種培訓方式。通過建立規范有效的人才評價體系,對信息技術人員進行科學有效的考評,提升行業人才資源的優化配置和使用效率,促進技術人才結構的涮整和完善。
(一)觀念意識淡薄
網絡是新生事物,很多人在利用網絡學習、工作和娛樂的時候,常常忽略網絡信息是否安全,他們不僅沒有認識到信息安全不足的事實,還普遍存在安全意識淡薄的問題。與此同時,網絡經營者在安全領域的投入遠遠不足,他們注重的都是網絡的效應。在面對電子政務信息安全風險時,意識不到存在的風險才是真正最難解決的問題。值得慶幸的是,政府在發展過程中還是清楚的意識到安全問題的存在,只是使用者對自我信息安全保護還缺乏敏感的意識。
(二)管理體系不完善
田敏達在《電子政務信息安全策略研究》的論文中認為,電子政務信息安全不是單純的技術問題。如果缺乏行之有效的安全檢查保護措施,無法從技術、人員以及管理制度上建立電子政務信息安全防范體制,即使是再好的設備和技術也無法保證信息的安全。譚曉在《電子政務信息安全系統的設計與實現技術》中提出,管理體系也是電子政務安全體系的重要組成部分。管理作為網絡安全的核心,要實現信息安全的有效管理,不僅需要技術手段的維護,還需要制定合理的管理制度,如日常系統操作及維護制度、審計制度、文檔管理制度、應急響應制度等,這樣才能發揮有效的作用。
(三)技術存在缺陷
田敏達在《電子政務信息安全策略研究》中也提出了存在的一些問題,包括我國網絡安全技術落后、技術優勢與相關行業脫節研究、計算機系統本身的脆弱性、我國對發達國家信息設備和信息技術存在著很強的依賴性。技術問題是支持電子政務信息系統穩定高效運行的關鍵手段,技術的問題是可以控制的,但是開發技術,實現高超的技術水平卻是困難的。
(四)法律不健全
孟薇《電子政務信息安全研究》提出盡管一些既有的法律法規的出臺和實施對于我國電子政務信息的安全起到相當積極的作用,但仍難以適應電子政務發展的需要,信息安全立法還存在相當多的盲區。在法律方面,基本的法律法規對電子政務信息安全有一定的約束作用,但是目前法律法規還存在不健全、覆蓋有盲點、制度不協調等問題,這些為鉆法律空缺的違法者提供了“正當”理由。
二、我國電子政務信息安全的防范策略
(一)增強政府部門的管理功能
對電子政務信息安全管理方面進行全方面的研究要從安全審計、數據庫、電子郵件系統、瀏覽器、認證中心、安全產品的安全以及防火備份的安全管理等方面。通過建立和完善管理部門功能,增強管理業務操作,防范與避免不法分子對信息管理系統的侵犯。
(二)加強信息安全專門人才的教育培養
目前,我國信息安全系統及其產品不僅僅依靠向其他國家引進,而更多的是通過政府、行業以及企業在信息安全領域的投資開發,設計出經濟合理以及具有自主知識產權的實用產品和適用技術。因此,建立信息安全產品技術研發的核心,即創造高水平的研究教育環境、培養高素質的信息安全人才以及提高信息安全理論基礎知識的研究,另外,科研教育基地的大力支持和投入也為其奠定了基礎。
(三)設置技術的遠程訪問的控制
通過路由訪問策略和防火墻技術隔離內網與外網,在內網與外網相連通時,必須采取這樣的措施才能避免安全隱患的存在。電子政務是開放,但又是封閉的,如何保證相應的客戶訪問到有權限涉及的資源,又能夠保障對其限制的資料不被訪問,就是電子政務的設計人員必須考慮的問題。針對此類問題,可以通過設置鑒別服務器來專門負責遠程訪問得到控制,至于是否設置鑒別服務器取決于該電子政務系統的規模。
(四)建立技術密鑰分配中心
密鑰的設立貫穿于網絡的各個層次和級別,如負責訪問控制以及證書、密鑰等安全材料的產生、配置、更換和銷毀等相應的安全管理活動,在身份認證機制和信息加密中,都要使用到加密體制,而無論什么加密體制都離不開密鑰的使用、存儲和傳輸的安全性。因此可以通過建立密鑰分配中心負責信息加密、訪問控制中心、安排鑒別服務器、授權服務器等活動。
(五)構建完善的安全法律體系
國家的政策法律要適應社會存在的需求和現實,通過為社會信息化發展提供全方面的指導思想以保障和促進國家的法制建設和信息化立法制度的建設。并且能夠通過發展規范程度,繼而實現更深層次的進步,同時促進國家信息化安全的環境構筑,為體現信息安全的法制文化做出有效的行動。針對存在缺陷的法律體系構建適合電子政務信息安全發展的法律法規,實現法律的約束。
(六)強化電子政務信息安全法律效率
關鍵詞:網絡安全 計算機 教學
1 《網絡安全》課程重要性
近些年來,隨著互聯網的發展,電子商務與電子政務得到飛速發展,人們的生活也發生了徹底的變化,但是帶來便利的同時,全世界網絡安全事件也頻發,不僅包括個人資料泄露、公司網絡被攻擊,更有國家部門被攻擊。每年由網絡安全事件造成的損失巨大,目前互聯網面臨的主要威脅是黑客攻擊、計算機病毒、系統漏洞以及Web的安全等。
由于互聯網是完全開放的,很難定位黑客,造成黑客猖獗,各國將網絡安全問題提上重要發展位置,比如美國就成立了網絡軍隊,規模就達到了5000多人,其中一部分作為國家基礎設施網絡防御,一部分作為攻擊部隊。而棱鏡門事件就是代表。因而作為國家,如何建立一個可以攻守兼備的網絡體系;作為企業,如何建立安全的內部網防御體系,阻止黑客入侵;作為個人,如何為自己的電腦安全提供保障,防止信息泄露。
互聯網安全問題的日益嚴重,國家和企業急缺網絡安全人才,另外只有人人都有網絡安全意識,我們的安全問題才會更有保障,因此在計算機專業教學中將網絡安全作為一門核心課程進行教學,建立健全理論與實踐知識體系,總結合理的教學方法,培養出高質量的人才,為企業提供安全維護人才。
2 網絡安全教育情況分析
我國網絡安全起步較晚,人們的網絡安全意識不高,各類學校對網絡安全的教學不夠重視,形成不管是本科類學校還是高職高專,網絡安全教學都還處于初步階段,部分學校沒有專門的網絡安全實訓室,教學過程也只是紙上談兵。
近年來,由于網絡安全事件頻發,網絡安全被提上前所未有的高度,企業緊缺安全人才,本科及高職高專學校才逐漸重視,逐步建立模擬實訓室,但是還未形成完整的教學體系。
3 網絡安全教學體系建立
理論教學體系應在硬件安全、計算機網絡技術、信息安全、服務器安全、數據庫安全以及WEB安全等幾個大的方面建立知識框架,在框架下對各個分支的知識進行合理的分布而實踐是建立在理論的基礎之上,高職類學校往往過分強調實踐,沒有理論支撐談何實踐,實踐還應以社會應用為主,銜接社會,因此建立完善的實踐教學體系十分必要。另外還應樹立學生安全是相對的觀念,并加強學生的安全法律法規學習。
理論與實踐教學的主要內容有以下幾個部分:
第一,對于物理安全,我們要做好環境安全、電源安全,保持不間斷的供電,做好電磁防護并制定規則制度。
第二,對于黑客的攻擊原理熟悉與理解,比如欺騙攻擊、木馬攻擊、拒絕服務攻擊、緩沖區溢出攻擊以及口令破解等原理,并針對這些攻擊做出防御措施,實踐環節可以包括信息刺探、口令破解、木馬攻擊與防御、拒絕服務與分布式拒絕服務攻擊、服務器溢出攻擊。
第三,數據加密技術,理解對稱加密與非對稱加密技術的原理,清楚RSA加密算法計算過程,對稱加密與非對稱加密在數字簽名、報文摘要與鑒別中的運用,另外關于PKI系統的原理,PGP加密原理等。實踐環節包括DES加密算法學習、RSA加密與解密計算過程、PKI證書申請、證書管理、加密傳輸、數字簽名、PGP加密軟件的應用。
第四,防火墻與入侵檢測技術,各種防火墻原理的理解,對防火墻過濾規則的設定。實踐環節包括過濾防火墻規則的設置、應用防火墻的設置、狀態檢測防火墻的設置、綜合型防火墻配置、入侵完整性檢測以及統計分析實驗。
第五,計算機病毒,各種計算機病毒的癥狀與解決原理。實踐環節包括CIH病毒、宏病毒以及熊貓燒香病毒的分析、清理與防御。
第六,服務器與數據庫安全,對服務器系統的安全設置,包括賬戶管理、注冊表設置,數據庫數據的備份,容災技術的原理。
第七,web的安全,首先是WEB服務器與瀏覽器的安全,其次是腳本語言的安全,實踐環節包括Web服務器漏洞安全、CGI程序的常見漏洞以及ASP/SOL注入等,另外還有虛擬專用網的建立實驗。
4 網絡安全教學過程
網絡安全技術課程涉及知識面較廣,有數學、計算機、網絡技術、心理學等學科,理論知識較深,學起來也比較枯燥,而實踐需要理論知識的支撐且操作步驟繁多,因此教學過程要激發學生的學習興趣,理論與實踐結合,在互動中進行。
在教學過程中,我主要分以下幾個部分:
4.1 導入
尋找到學生的學習興趣的切入點作為導入,讓學生帶著興趣和問題進行接下來的學習。比如《計算機網絡安全技術》中的抓包知識,我將黑客獲得互聯網數據來破解客戶郵箱密碼過程作為學習興趣的切入點,從而拋出問題:如何獲取互聯網傳輸數據――抓包。
4.2 理論學習
理論知識相對枯燥無味,學生不愛聽,因此在學習理論知識時用具體的案例穿插講解,這樣學生不會認為理論太空洞,可以看到能夠有事實來支撐,比如當老師講到蠕蟲病毒的特征與原理時,穿插展示對照熊貓燒香病毒的分析課件,讓學生將理論與具體的病毒對照學習,這樣印象就比較深刻了,效果也就不一樣了。我們還可以這樣來進行教學,比如在《計算機網絡安全技術》中的ARP欺騙攻擊時重點是理解攻擊原理和實踐攻擊,上課時先畫出實驗拓撲圖,動畫演示攻擊過程,讓學生說攻擊原理,教師再總結原理,最后條件允許下進行實戰操作,至于其他的知識教師一帶而過,讓學生自主學習。
認真設計好課堂每一個教學環節,每一個知識點的過渡。講解時不能所有知識點都講解,時間上也不允許都講,因而要有重難點,要有目的性,如果一節課的重難點你能把握,那么這節課你就成功了一半了,不管采用什么辦法,激發學生的興趣很重要,如果教師按照書本知識長篇累贅地講下來,雖然我們面面俱到,十分辛苦,但估計學生學習的效率會非常低。
4.3 實踐活動
安排實踐非常重要,不能馬虎,要讓理論變成現實,讓學生切實感受到安全技術的可操作性與實用性,因而在每個知識點都安排了實訓,比如上到加密技術中,可設置兩位學生為一組做實驗,相互申請密鑰對進行加密傳輸數據和解密數據以及數字簽名,并生成實驗報告,分析實驗結果,查找不正確的原因,找出解決辦法。
總之,在教學過程中建立適合高職高專學生的教學體系和教學方法,以實驗報告作為主要的評價標準,計算機教師一定要結合社會實際的應用情況來教學,向學生傳授知識與技能,培養適合企業安全維護人才,提高抵御網絡攻擊防御的能力。
參考文獻:
[1]石淑華池瑞楠.計算機網絡安全技術[M].人民郵電出版社2012-8.
[2]周蘇.信息安全技術[M].中國鐵道出版社,2011-8.
[3]楊文虎.網絡安全技術與實訓[M].人民郵電出版社,2011-7.
[4]陳鐵源.中國安全專家為美國黑客號脈[N].中國青年報,2001-
關鍵詞:網絡信息安全,高職學院,校園網
二十一世紀,信息化建設在不斷廣泛地鋪展開來,其中教育信息化的推進可謂是速度飛快。各高校都相繼建成了自己的校園網絡,而高職學院也不例外,也有了自己學院的校園網絡以及基于校園網絡的教務網絡管理平臺、信息化辦公平臺和學生網上選修課目系統等網絡信息系統。因此,當下校園網絡安全問題日趨放大,各種各樣的安全隱患使“牽一發動全身”的校園網絡越顯脆弱。本文就高職學院校園網絡安全存在的問題及解決方法談幾點看法。
1校園網絡信息安全的威脅
所有校園網絡都需要提供開放的網絡資源、上網服務,同時又要保證整個校園網絡的安全。目前校園網絡的威脅分為非人為威脅和人為威脅,其中非人為威脅主要是指物理設備如:學校的路由器、交換機、工作站、各種網絡服務器等硬件設備和通信鏈路容易遭受自然災害的破壞,從而導致校園網絡無法正常運作。而人為威脅是校園網絡威脅的主要來源。校園網絡的人為威脅主要來自兩個方面,一是來自外部公網的威脅,另一方面是來自內部的威脅。下面本文從校園網絡內部威脅和外部威脅兩個方面談一下校園網絡信息安全的威脅。
1.1內部威脅
1.1.1內部用戶威脅
校園網的用戶群體一般也比較大,少則數千人、多則數萬人,數據量大、速度要求高。隨著校園內計算機應用的大范圍普及,接入校園網節點日漸增多,學生通過網絡在線看電影、聽音樂,很容易造成網絡堵塞和病毒傳播。而這些問題大部分校園網絡都沒有采取一定的防護措施,隨時有可能造成病毒泛濫、信息丟失、數據損壞、網絡被攻擊、系統癱瘓等嚴重后果。。同時,還要注意防范校園網內部的黑客攻擊。
1.1.2盜版軟件威脅
由于缺乏版權意識,盜版軟件、影視資源在校園網中普遍使用,這些軟件的傳播一方面占用了大量的網絡帶寬,另一方面也給網絡安全帶來了一定的隱患。比如,Microsoft公司對盜版的XP操作系統的更新作了限制,盜版安裝的計算機系統今后會留下大量的安全漏洞。。另一方面,從網絡上隨意下載的軟件中可能隱藏木馬、后門等惡意代碼,許多系統因此被攻擊者侵入和利用。
1.1.3管理威脅
管理方面的困難性也是互聯網安全問題的重要原因。校園網的建設和管理通常都輕視了網絡安全,特別是管理和維護人員方面的投入明顯不足。在中國大多數的校園網中,通常只有網絡中心的少數工作人員,他們只能維護網絡的正常運行,無暇顧及、也沒有條件管理和維護數萬臺計算機的安全,院、系一級的專職的計算機系統管理員對計算機系統的安全是非常重要的。
1.2外部威脅
1.2.1病毒
計算機網絡病毒是在計算機網絡上傳播擴散,專門攻擊網絡薄弱環節、破壞網絡資源的計算機病毒。計算機病毒攻擊網絡的途徑主要是通過拷貝、互聯網上的文件傳輸、硬件設備中的固化病毒程序等等。由于校園網拷貝頻繁所以病毒還可以利用網絡的薄弱環節攻擊計算機網絡。在現有的各計算機系統中都存在著一定的缺陷,尤其是網絡系統軟件方面存在著漏洞。因此網絡病毒利用軟件的破綻和研制時因疏忽而留下的“后門”,大肆發起攻擊。網絡病毒可以突破網絡的安全的防御,侵入到網絡的主機上,導致計算機工作效率下降,資源遭到嚴重破壞,甚至造成網絡系統的癱瘓。
1.2.2非法軟件
一些非法軟件采用多種技術手段,強行或者秘密安裝,并抵制卸載;強行修改用戶軟件設置,如瀏覽器主頁,軟件自動啟動選項,安全選項;強行彈出廣告,或者其他干擾用戶占用系統資源行為;有侵害用戶信息和財產安全的潛在因素或者隱患;未經用戶許可,或者利用用戶疏忽,或者利用用戶缺乏相關知識,秘密收集用戶個人信息、秘密和隱私。非法軟件具備部分病毒和黑客特征,屬于正常軟件和病毒之間的灰色地帶。殺毒軟件一般不作處理,使其經常破壞校園網安全。
1.2.3黑客
黑客侵入校園網計算機系統是造成破壞以及破壞的程序,因其主觀機不同而有很大的差別。確有一些黑客(特別是“初級”黑客),純粹出于好奇心和自我表現欲而闖入他人的計算機系統。他們可能只是窺探一下你的秘密或隱私,并不打算竊取任何住處或破壞你的系統,危害性倒也不是很大。另有一些黑客,出于某種原因進行泄憤、報復、抗議而侵入,篡改目標網頁的內容,羞辱對方,雖不對系統進行致命性的破壞,也足以令對方傷腦筋。第三類就是惡意的攻擊、破壞了。其危害性最大,所占的比例也最大。
綜合以上大部分校園網絡破壞是脆弱網絡環境所致。服務過多、監控不力,外部破壞、或是起于惡作劇心理的學生,加劇校園網的內憂外患局面。
2威脅解決策略
2.1提高管理水平
這是解決網絡安全問題的所有對策中最重要的一點。主要包括以下幾方面的內容:建立一個高度權威的信息安全管理機構,并不斷強化其權限和職能;制定統管全局的網絡信息安全法規,做到有章可循、有法可依;制定網絡管理員的激勵制度,促使他們提高工作熱情,加強工作責任心;對網絡管理員進行專業知識和技能的培訓;把網絡信息安全的基本知識納入學校各專業教育之中;對學校教師和其他人員進行信息安全知識普及教育;在學校的網站設立網絡安全信息欄目,網絡法令法規、網絡病毒公告、操作系統更新公告等,并提供常用軟件的補丁下載。。
2.2采用安全技術
2.2.1采用安全交換機
由于內網的信息傳輸采用廣播技術,數據包在廣播中很容易受到監聽和截獲,因此需要使用安全交換機,利用網絡分段及 VLAN的方法從物理上或邏輯上隔離網絡資源,以加強內網的安全性。
2.2.2操作系統的安全
從終端用戶的程序到服務器應用服務、以及網絡安全的很多技術,都是運行在操作系統上的,因此,保證操作系統的安全是整個安全系統的根本。除了不斷增加安全補丁之外,還需要建立一套對系統的監控系統,并建立和實施有效的用戶口令和訪問控制等制度。
2.2.3設置防火墻
防火墻的選擇應該適當,對于高校內部網絡來說,可選擇在路由器上進行相關的設置或者購買更為強大的防火墻產品。對于幾乎所有的路由器產品而言,都可以通過內置的防火墻防范部分的攻擊,而硬件防火墻的應用,可以使安全性得到進一步加強。
2.2.4信息保密防范
為了保障網絡的安全,也可以利用網絡操作系統所提供的保密措施。以 Windows 為例,進行用戶名登錄注冊,設置登錄密碼,設置目錄和文件訪問權限和密碼,以控制用戶只能操作什么樣的目錄和文件,或設置用戶訪問級別控制,以及通過主機訪問Internet等。 同時,可以加強對數據庫信息的保密防護。網絡中的數據組織形式有文件和數據庫兩種。由于文件組織形式的數據缺乏共享性,數據庫現已成為網絡存儲數據的主要形式。由于操作系統對數據庫沒有特殊的保密措施,而數據庫的數據以可讀的形式存儲其中,所以數據庫的保密也要采取相應的方法。電子郵件是企業傳遞信息的主要途徑,電子郵件的傳遞應行加密處理。針對計算機及其外部設備和網絡部件的泄密渠道,如電磁泄露、非法終端、搭線竊取、介質的剩磁效應等也可以采取相應的保密措施。
2.2.5防范計算機病毒
從病毒發展趨勢來看,現在的病毒已經由單一傳播、單種行為,變成依賴互聯網傳播,集電子郵件、文件傳染等多種傳播方式,融黑客木馬等多種攻擊手段為一身的廣義的“新病毒”。 因此,在網內考慮防病毒時選擇產品需要重點考慮以下幾點:防殺毒方式需要全面地與互聯網結合,不僅有傳統的手動查殺與文件監控,還必須對網絡層、郵件客戶端進行實時監控,防止病毒入侵;產品應有完善的在線升級服務,使用戶隨時擁有最新的防病毒能力;對病毒經常攻擊的應用程序提供重點保護;產品廠商應具備快速反應的病毒檢測網,在病毒爆發的第一時間即能提供解決方案;廠商能提供完整即時的反病毒咨詢,提高用戶的反病毒意識與警覺性,盡快地讓用戶了解到新病毒的特點和解決方案。
結束語:高職學院網絡通信安全是一個系統的過程,它不僅僅是軟件、硬件方面的安全,還應該從管理者的角度加強安全管理和從使用者的角度加強安全指導。因此,必須強化高職學院校園網絡安全管理工作意識,健全校園網絡通信安全管理工作體制,完善校園網絡安全管理工作制度,構建校園網絡安全技術支持體系,建立校園網絡安全管理工作隊伍,營造校園網絡安全工作環境氛圍,確保高職學院校園網絡的安全運行。
參考文獻:
1 石淑華.《計算機網絡安全技術(第二版)》.人民郵電出版社 2008-12
2 楊麗英. 高校師德建設的問題與對策 J .中國成人教育 2008(23):88-91
論文摘要:珠三角地區改革發展綱要的提出,為地區公共信息的發展提出了新要求,建立起地區公共信息安全的聯動體系,有利于提高地區信息交流,保證信息溝通渠道的安全暢通,不斷提高各地市聯合公共服務、公管管理的能力,保證珠三角地區加快經濟一體化的步伐。
珠三角作為我國經濟發展的前沿陣地,經濟市場化和外向化程度很高。但受當前國際金融海嘯的影響,國內外經濟形式發生深刻變化,區域發展受到嚴重沖擊。國家從戰略全局和長遠發展出發,制定出珠三角地區改革發展規劃綱要,用以指導珠三角經濟結構轉型和發展方式轉變,推進區域一體化建設。
我們把以政府為主體的一切負有公共事務管理職能的組織(包括行政機關,法律法規授權、委托的組織,來源于納稅人稅款的政府財政撥款的社會團體、組織等公共事業法人和社會組織)在行政過程中產生、收集、整理、傳輸、、使用存儲和清理的所有信息,稱為公共信息。珠三角地區是我國信息化程度的高度集中的地區,“數字珠三角”的提出,使公共信息在珠三角地區更富多元化和復雜化,而公共信息安全問題解決的好壞直接關系到區域的,社會的長治久安,國家的安全與穩定。珠三角作為我國新時期探索科學發展模式的試驗區,在摸索構建信息安全聯動體系的道路上更應體現“科學發展,先試先行”的核心理念,在危與機并存的新形式下,信息安全正面臨著嚴峻的挑戰,建立信息安全聯動體系的呼聲也越發響亮。
一、珠三角地區公共信息安全現狀的分析
公共信息安全是指個人、組織、社會和國家在信息傳播過程中保護自身利益不受損害,它包括物理設施安全、技術安全、信息內容安全等國家、社會公共安全的總和。珠三角地區目前信息化程度在全國處于領先地位,但在信息化普及過程仍存在諸多安全問題。
(一)信息共享渠道不暢。當前的難點在于信息歸部門所有,在信息管理上條塊分割現象嚴重,區域內小到政府部門,大到地方政府,大多只考慮自身的管理和利益的需要,很少能從全局發展的戰略需求角度考慮,各部門,各地方間缺乏必要的溝通配合,相互問協調聯動不夠,信息獲取存在障礙,不能有效整合信息資源。面對突發安全事件時,由于事件自身具有復雜多變的特性,需調動各方力量,收集各類信息,對信息進行分門別類,分析提煉,加工處理,才能為決策領導層制定行之有效的解決對策提供素材。但因存在部門信息保護主義,以及訪問權限的設置問題,容易導致管理部門相互間推諉扯皮現象的出現,不僅不能及時便捷的處理問題,有時反而“延誤戰機”,造成不可估量的損失。
(二)電子政務建設華而不實。政府門戶網站提供服務的能力直接反映了政府信息化的綜合水平,同時也在一定程度上折射出真實政府的運作情況和應對信息威脅的能力。隨著珠三角地區經濟的飛速發展,本地區的信息產業也不斷得到提高,電子政務建設無論在資金投入上還是技術設備上都處在全國領先地位,但同時也存在不少問題,一方面,珠三角地區在信息系統建設存在相互攀比,急于求成,重復建設的現象,有的政府部門為了實現所謂“政務公開,公務透明”的電子化辦公,盲目投資,建設內容貧乏,失去時效,形同虛設的網站。不但容易造成資源的鋪張浪費,不利于對公共信息的采集、傳遞、確認、分析和理解,而且容易造成政出多門,辦事效率低下的深層問題。
一旦遭遇公共危機,政府信息系統在危機期間的信息采集,信息整合、信息將出現紊亂,導致政府信息準確性的降低,影響政府的公眾形象和政府公信力。另一方面,政府網絡有其特殊性,網絡和信息安全防護十分重要。但作為面向公共社會服務的信息平臺,卻沒有專門設立公共信息安全知識的服務型網站,公眾對公共安全基本知識缺乏了解。
(三)公共信息系統建設缺乏統一規范。公共信息系統的建設標準尚未規范和統一。“數字珠三角”意味著信息化,信息化意味著網絡化,網絡化意味著互通互聯、資源共享,規范和統一信息建設標準十分重要j。珠三角各地的信息化程度普及率高,有條件率先實現統一的公共信息系統建設的標準。但鑒于珠三角城市問的經濟發展水平和公共服務能力存在差距,如果全都劃一要求,一統到底,勢必造成“水土不服”。必須要有一個科學的,合理的、講求效益的界定。
(四)信息安全防范治理能力不強。公共信息安全的關鍵在于防范。目前,珠三角信息和網絡安全的防范能力處于發展的初步階段。許多應用系統處于不設防階段。全國范圍內,包括珠三角地區的信息與網絡安全研究任停留在封堵現有信息系統的安全漏洞階段。區域的綜合信息安防能力面臨考驗。一方面,雖然珠三角地區的政府在推進信息安全的風險評估,風險控制,風險管理的推廣、規范工作上步伐較快,但維護信息安全的核心技術和關鍵技術卻基本被國外壟斷。對可信安全計算、信息安全內容管理、網絡安全管理與風險評估、應急響應和安全應用支撐平臺等一系列網絡信息安全核心技術的自主研發仍處在起步階段,與國外先進國家、地區的信息安防技術能力存在明顯差距。另一方面,許多公眾和政府工作人員對公共信息安防領域的認識仍局限在防病毒、入侵檢測、vpn、垃圾郵件等基本防范手段上,而忽視對utm(統一威脅管理)、soc(安全運營中心)等新型信息防范手段的學習。
二、建立珠三角公共信息安全聯動體系的必要性
(一)面對人為事件、事故,自然災害建立聯動信息安防體系是公共安全的基本必要。珠三角在空間上是一個相互依存的系統,空間的分布并不是根據行政界線來劃分,珠江三角洲經濟區毗鄰港澳,華僑、港澳同胞眾多,具有發展對外貿易和經濟技術合作,引進外資和技術等方面優越的條件,是我國對外開放的重點地區;地區內的經濟活動頻繁,相互間關系密切,在交通運輸、生產事故、刑事犯罪等人為事件、事故處理上具有區域的聯發聯動性,此外該地區是洪澇災害和臺風等自然災害的頻發地區,對自然災害的預防和應急亦需要跨地區跨部門的相互聯動合作。建立珠三角信息聯動體系,可以有效整合各地資源,及時有效的采取應對措施,排除險情,解除危難;保證在信息收集、分析、傳遞、方面的準確性和有效性,防止信息失真帶來的嚴重后果的。
(二)珠三角作為我國經濟改革發展的“試驗田”,在區域經濟一體化的政策導向下,建立聯動信息安防體系是公共安全的特殊必要。城市區域內的矛盾和沖突是必然的,這是由于城市區域經濟活動本身的外部性及信息不對稱所造成的。珠三角城市區域內的某些地方政府,常通過建立地方保護鏈條、重復建設項目等手段,來實現地方利益的最大化,從而加大了珠三角地區城市間經濟交易的成本,不利于經濟一體化的形成。打破這種信息不對稱性所照成的城市經濟“孤島危機”就必須建立公共信息共享以及安全保護的聯動體系,通過制度變遷,建立相應的城市區域信息協作組織,在安全可靠的環境下,對公共經濟等信息實現互聯互動,不僅可以實現區域內城市不同利益主體的相互間信息交流,降低不同利益主體達成交易的成本,并能對區域的經濟發展現狀進行有效的監督。
三、珠三角公共信息安全聯動體系的構建和管理
(一)注重公共信息安全法律建設。
加強公共信息安全法制的立法工作。法律本身就是確保公共信息安全管理的一項重要保障,為有效貫徹落實國家信息安全等級保護制度,在總結基礎調查和試點工作的基礎上,國家頒布了《中華人民共和國計算機信息系統安全保護條例》和印發了《信息安全等級保護管理辦法》等相關條例,確定了信息安全等級保護制度的基本內容及各項工作要求,進一步明確了國家、公民、法人和其他組織在等級保護工作中的責任、義務,各職能部門在信息安全等級保護工作中的職責分工以及信息系統運營使用單位、行業主管部門的安全保障法律責任。
但是中國目前尚沒有形成專門的“公共信息安全”法規體系,還有許多公共領域在信息安全方面無法可尋、無法可依,地方性在公共信息安全方面的行政法規良莠不齊,難以統一。公共信息安全法律體系的研究可以選擇不同的切入點。按照法律效率,我們可以從法律、法規和規章層次討論信息安全的法律體系。也可以另辟蹊徑,以戰略作為出發點探討信息安全的法律體系。我國應從國情出發,積極探索加強信息安全法制建設的新思路,加快信息安全的立法工作,尤其是要加快信息安全基本大法的立法進程,以建立起一套既符合國際通行規則,又具有中國特色、門類齊全、層次分明、結構嚴謹的信息安全法律體系,為信息安全保障工作提供更有力的法律支撐j。在珠三角規劃出臺的新形勢下,國家可以不妨逐步探索、建設和制訂與區域一體化相適應的公共信息安全法律體系,這不僅有利于公共信息安全治理的規范化和穩定化;有利于為公共信息系統安全建設和管理提供系統性、針對性、可行性的指導和服務;有利于優化信息安全資源的配置,重點保障基礎信息網絡和關系國家安全、經濟命脈、社會穩定的重要信息系統安全;有利于明確國家、法人和其他組織、公民的信息安全責任,加強信息安全管理;有利于推動各類信息安全產業的發展,逐步探索出一條適應社會主義市場經濟發展的信息安全模式,為以后我國全面實施公共信息安全保護工作提供政策支持。
(二)建立統一的、共享的、安全的公共信息網絡系統。
首先,以信息資源開發利用為導向,加強珠三角公共數據整合。城市信息資源在信息化過程中得到不斷積累,只有以信息資源開發利用為導向,城市信息化綜合效益才能得到提高。到目前為止,各城市都建立了具有本地特色的數據庫,但是多數數據庫的使用都處于封鎖狀態,這嚴重影響了城市信息化建設的效益發揮。未來幾年,城市公共數據整合將成為未來城市信息化建設的一項重點工作。公共數據整合要結合城市經濟發展戰略和現狀,構建城市各部門、各組織共享的公共數據庫,這也是當前城市信息化建設中必須著力解決的重要課題。根據我國信息資源規劃和建設的總體要求,各地要建立一批具有公益性、基礎性、實用性的公共數據庫;加緊建設和健全自然人基礎信息庫、法人基礎信息庫,作為建構公共數據庫的基礎,合理、高效地利用信息資源,整合現有的信息資源;加強生產、流通、科技、人口、資源、生態環境等領域的信息資源開發利用工作;加快教育、文化、公共文獻等領域信息資源的數字化、網絡化進程。
其次,加強信息和信息安全關鍵技術的自主研發,從技術上統一標準。當前,我國在信息和信息安全領域總體上處于關鍵技術和設備受制于人的被動局面,發展信息和信息安全高端技術、提高自主創新能力已經成為我國掌握信息安全主動權的唯一出路。為加強信息和信息安全關鍵技術的研發,我國必須采取有效措施,建立健全堅強有力、運轉靈活、工作高效的新體制,全方位地指導信息和信息安全關鍵技術的規劃、研發、成果轉化,同時組織和動員各方力量,密切跟蹤世界先進技術的發展,逐步形成基礎信息網絡、重要信息系統以自主可控技術為主的新格局。
再次,建立完善的信息安全風險評估體系。在信息系統建設的同時,要進行信息安全的總體設計和信息系統安全工程建設,在系統驗收時必須對信息系統安全進行測評認證。對于已建的信息系統,要完善信息安全的總體設計和信息系統安全工程建設,進行系統安全測評認證。在信息系統建設中信息安全的投資應占系統投資的一定比例。各級機關和重點單位新建和改建信息系統必須配套建設信息安全子系統,并與主體工程實行同時設計、同時施工、同時投入使用。加強對修訂稿安全產品、服務商資質、信息系統的安全管理與測評認證,在系統建設總體方案評審時強化對安全保障方案的審查和各項安全保障功能的認證。
最后,加強對信息網絡、信息產品和網上交易行為的監管,提高對網上信息的跟蹤管理能力、對專案對象的監控能力和對制造和傳播計算機病毒、非法入侵、泄密、竊密以及散布有害信息等行為的防范能力,嚴厲打擊危害計算機信息系統安全和利用計算機技術進行犯罪活動。保障國家秘密、商業秘密和個人隱私的權利,抵制不良文化、不實新聞在網上傳播,維護信息安全和社會穩定。
(三)建立政府主導下的公共信息安全組織體系,落實安全管理責任制
公共信息安全工作綜合性強,涉及單位、部門多,需要在統一領導下實現職能的有機組合。因此,應建立一個具有高度權威的實體化領導管理機構,并強化其權限和職能,使其能從戰略高度統攬全軍的信息安全工作。應該建立健全信息安全工作領導體制,明確各業務部門的具體職責,形成科學高效的信息安全管理體制。政府主導下可以成立“珠三角信息安全工作小組”,加強信息安全的組織領導。“珠三角信息安全工作小組”的管理職能是負責協調珠三角各市及其有關部門間的工作關系,理順管理體制,明確職責,以統籌規劃信息安全保障體系、基礎設施建設,并促進資源的共享,信息安全的管理。在機構的組織形式上,既要使其能夠在正常時期充分履行職能,又要便于公共信息系統出現崩潰時快速轉入應急體制并發揮作用;在機構職能的確立上,既要能對全社會的信息安全工作進行戰略指導和宏觀管理,又要能對公共信息安全的具體問題進行策略支持和微觀控制j。
1 電子閱覽室職能轉變
回顧電子閱覽室發展歷程,可以發現電子閱覽室服務職能,出現了巨大的轉變。
1.1 信息檢索服務職能
上世紀90年代,網絡技術還處于不成熟階段,電腦尚未在人們生活中普及,當時的中文網站數量不多,具有豐富內容的中文數據庫更是少有,對于普通民眾而言,很少有人知道網路的用途,到圖書館進行信息檢索的讀者,很大程度上是科技工作者。我國當時大力提倡商品經濟與市場經濟,公共圖書館是基礎性文化設施,順應社會發展的潮流,為科研、生產和領導機關提供信息檢索服務。公共圖書館的這一職能,在該時期相關部門所下發的文件中也有所體現。以文化部辦公廳下發的《關于加強公共圖書館電子閱覽室管理的通知》([2001]28號)為例,就對電子閱覽室的功能做了明確描述。首先是運用計算機對各類文獻信息資源進行管理,用數字化信息提供閱覽、咨詢和網上服務。其次是利用各種網絡通信手段,對各類信息服務中心,即地區、國家和國際上的信息數據庫系統,進行有效的連接。最后是采用新技術,組織形成大型的專業性數據庫檢索系統,來供讀者們檢索使用。綜合上述電子閱覽室的三項功能可知,該時期的電子閱覽室主要用來提供信息檢索服務。
1.2 多元化服務職能
進入21世紀之后,隨著信息技術的發展和網絡的普及,網絡中中文數據庫大量存在,通過互聯網絡,人們就可以查取各種所需資料。從這一層面講,圖書館已不是人們獲取知識和信息的唯一地方,很多企業、科研機構、政府機關都具備自身網絡系統,擁有自身信息渠道,圖書館為政府決策和科研機構所提供的服務,從比重上來看,呈現逐年減小趨勢。現階段,隨著公共圖書館事業的發展,網絡化服務在公共圖書館展開,很多圖書館提供遠程檢索和全文下載服務,這為讀者們提供了便捷條件,對于那些有條件上網的讀者,只需要申請用戶名和密碼,就可以通過網絡來檢索資料,實現了信息檢索的隨時隨地進行。綜上所述,電子閱覽室單純的文獻檢索的服務職能已然轉變,服務功能趨向多元化。現代化的網絡技術日新月異,網絡功能越發強大,如即時通信、網絡郵件、搜索引擎、網絡游戲等,隨著人們生活水平的提高,電腦在人們日常生活中普及,但也應看到,部分百姓不具備自己的電腦,或不具備上網的條件,對于他們而言,可能具備網絡休閑需求,公共圖書館服務職能的轉變,應從百姓實際需要出發,切實加強電子閱覽室的網絡休閑服務。
2 公共圖書館電子閱覽室應用狀況
為讀者服務是公共圖書館工作的核心內容,在公共圖書館設立電子閱覽室,旨在最大化利用現代化信息技術,為廣大圖書館讀者提供高質量的服務。我國從2011年始,開始實施公共圖書館電子閱覽室免費開放政策,因為節約了電子閱覽室使用費用,電子閱覽室的讀者本該增多才是,但從相關數據統計顯示,基層電子閱覽室讀者卻呈現減少趨勢。探究電子閱覽室讀者減少的原因,可以總結概括為如下幾個方面:
1)公共圖書館屬于國家財政撥款,圖書館工作人員服務意識不強,將“為讀者服務”視為空話。
2)圖書館的規章制度,有對讀者的諸多限制性要求,如只允許讀者從網上查詢或閱讀資料,卻不允許下載資料,這加大了讀者理解和運用資料的難度。
3)現代信息技術被廣泛應用于圖書館工作中,但很多圖書館管理人員,對計算機軟件了解甚少,不具備電子閱覽室專業技能,對前來咨詢的讀者,不能做詳細的解答,對于網絡應用中容易出現的故障,不能做有效預防和準確排除工作。
公共圖書館電子閱覽室的讀者減少,這是對圖書館資源的巨大浪費,是與國家撥款設立電子閱覽室,并全面免費開放的良好初衷相悖的。對于公共圖書館的相關工作人員而言,應積極探索應用電子閱覽室的有效策略,提高電子閱覽室的服務水平。
3 公共圖書館對電子閱覽室應用策略
3.1 轉變原有服務觀念
態度決定一切,樹立良好的服務理念,能拉近圖書館管理人員和讀者間的距離。從公共圖書館角度講,應完善圖書館規章制度,對全館員工進行定期或不定期的業務培訓,提升員工的專業技能,提高員工的綜合素質,切實加強員工工作興趣,不斷探索創新,改進服務手段,增強讀者的滿意度。
3.2 營造良好的網絡環境
網絡信息紛繁蕪雜,對海量信息進行準確判斷是件困難的事情,意志薄弱的讀者,很容易在網絡世界迷失自己。出于閱讀安全的需要,應公安部門的要求,各電子閱覽室都安裝網絡安全過濾器,實行正規化網絡操作,加強對網上內容的采集和審核力度,完善和美化頁面內容,保障頁面內容的健康,營造良好的網絡環境。
3.3 完善導讀服務工作
電子閱覽室能夠為讀者提供導讀服務,這種服務以文本形式展現在讀者面前,該項工作從內容上包括如下幾個方面:首先是具備讀者手冊,對計算機安全法律、法規和圖書館規定予以介紹;其次是對電子閱覽室進行介紹,特別是對館藏電子信息資源
的介紹;對優異的圖書、光盤和數據庫予以推薦;對新到的圖書資料、光盤、書評等予以通報;介紹適合的檢索方法;對論文查詢和聯機檢索予以幫助。
4 結論
重視電子閱覽室的作用,加強對電子閱覽室監管工作,是現代化公共圖書館發展的產物,電子閱覽室全面免費開放是民心所向,是社會發展的必然結果。緊密結合圖書館發展實際,提升公共圖書館電子閱覽室的服務性能,實現全面開放電子閱覽室的美好初衷,將惠民政策落實到實處,真正實現電子閱覽室建設的規范化、科學性和持續性。
參考文獻
[1]李振東.如何提高圖書館電子閱覽室的有效利用[J].內蒙古科技與經濟,2010,23.
[2]程春蘭.圖書館電子閱覽室的特色服務與和諧發展[J].中國西部科技,2010,01.
[3]李婕.高校圖書館電子閱覽室資源利用之管見[J].思茅師范高等專科學校學報,2010,06.
關鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國家檔案局楊冬權局長在全國檔案安全系統建設工作會議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號召,把檔案安全的重要性提升到一個新高度。[1]近年來,檔案安全保障體系研究已引起學界的關注,成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對學者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數據庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結束年“2011”檢索到論文84篇。在維普中文科技期刊數據庫搜索到與“檔案安全保障體系”相關內容論文20篇,筆者對其中相關度較高的文章進行了分析研究,綜述如下:
1 檔案安全保障體系的內涵
檔案安全保障體系的建設具有持續性、多樣化、可完善性等特點,是一項復雜的系統工程。構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系。
張美芳、王良城認為,目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環境,降低風險。這里的“環境”,是指檔案保管環境、物理環境、社會環境、信息存儲環境等,降低環境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩定狀態。其三,對已經處于不安全環境中的檔案,采取各種措施使其達到新的穩定狀態,保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等較為宏觀的要素。[2]
2 檔案安全保障體系的構建目標和指導思想
2.1 構建目標。彭遠明認為,檔案安全保障體系建設的總體目標是:針對檔案的安全需求、管理現狀和存在問題進行安全風險分析,提出解決方案和預期目標,制定安全保護策略,形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為,檔案安全保障體系的構建目標應該是:采取全面、科學、系統的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數據的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導思想。彭遠明認為,構建檔案安全保障體系的指導思想是:在體系內合理進行安全區域劃分,以應用和實效為主導,管理與技術為支撐,結合法規、制度、體制、組織管理,明確等級保護實施辦法,確保檔案的安全。[5]張美芳、王良城認為,檔案安全保障體系建設的指導思想應是:堅持嚴格保護、有效管理、分類指導、合理利用,以健全法律法規、提高人員素質、加強規劃管理、完善基礎條件、強化監管手段為重點,立足當前,著眼長遠,加快體制機制創新,加強統籌協調,全面增強檔案資源保護力度,推動我國檔案事業持續健康發展。[6]
3 檔案安全保障體系的建設原則
檔案安全保障體系的構建應該根據檔案安全現狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進行規范,在構建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設原則,筆者采用統計歸納的方法,從中提煉出以下共性原則:
3.1 標準規范原則。檔案安全保障體系的建構和策略的選擇必須符合我國現行法律、法規的規定要求,必須遵循國際、國家的相關標準,嚴格遵照相關規章制度。[7][8]
3.2 科學實用原則。檔案安全保障體系應在充分調查研究的基礎上,以檔案安全風險分析結果為依據,探尋有針對性的特色理論,制定出科學的防范措施與方法,這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]
3.3 全面監控原則。檔案安全保障工作是一個系統工程,需要對各個環節進行統一的綜合考慮、規劃和構架,任何環節的安全缺陷都會造成對檔案安全的威脅。[12]
3.4 適度經濟原則。根據檔案的等級決定建立什么水平的防范體系,根據風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統的可操作性,又要保證安全保密機制的規模與性能滿足需要,實現安全保護效率與經濟效益兼顧。[13][14][15]
3.5 動態發展原則。檔案安全保障體系的建設是一個長期的不斷完善的過程,所以,該體系要能夠隨著安全技術的發展、外部環境的變化、安全目標的調整,不斷調整安全策略,改進和完善檔案安全的方法與手段,應對不斷變化的檔案安全環境。[16][17][18][19]
3.6 自主創新原則。加強檔案安全保障方面的關鍵技術的研發,密切跟蹤國際先進技術的發展,提高自主創新能力,努力做到揚長避短,為我所用。[20][21]
4 構建檔案安全保障體系的方案設計分析
許多學者對檔案安全保障體系的建設方案提出了自己的設想,他們從不同的角度切入問題,得出不同的結論,筆者根據學者的研究成果,總結出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實踐中取得并能指導實踐,為實踐指明前進的方向。在先進理論的指導下,實踐往往能取得較好的成果,理論水平的高低因此也往往預示著現實中該領域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動中是:檔案安全保障的標準化的建設與應用;為開展安全保障活動而制定的計劃方案、普查活動;人員配置合理和技術力量的前期儲備、設備的選擇和環境的控制、整個預防性安全保障活動的監督、檢查和評估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應急預案、搶救預案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務、恢復與搶救、質量檢查與評估、風險預測,等等。[24]
4.1.3 后期監督。后期監督包括安全保障活動的評估、人員技術水平的評估、財政結算、開展安全保障活動后的總結報告、制度、規范或標準的完善、提供參考性的開展安全保障活動的經驗、方法或模式。[25]
4.1.4 風險管理。構建檔案安全的風險管理機制,依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險,識別判定風險大小,判定每種風險相對的檔案安全保護對策,并通過一定的方式方法進行風險控制,規避、轉移或降低風險對檔案造成的損害。[26][27]
4.1.5 人才教育培養。樹立科學的人才培養觀,建立科學合理的檔案安全人才培養體系,建立系統的人才資源培訓和貯備機制,加大人才培養的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養。[29]
4.2 安全基礎設施
4.2.1 實體安全基礎設施。檔案實體安全基礎設施是指維護檔案安全、實施檔案正常管理、保障檔案開發利用,提供為全社會方便服務等工作而進行的基礎建設,包括檔案保管環境、檔案存儲設施、檔案利用設備、檔案維護監控設備、檔案搶救與恢復設施等。[30]
4.2.2 信息安全基礎設施。檔案信息安全基礎設施是為信息安全服務的公共設施,為檔案部門的安全保障體系建設提供支撐和服務,主要包括:檔案信息系統PKI(網絡信任體系)、檔案信息災備中心、檔案信息系統應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務中心(外包服務)、檔案信息安全執法中心等。[31]
4.3 安全策略
4.3.1 實體安全策略。實體安全必須具備環境安全、設備安全和介質安全等物理支撐環境,注重環境防范、設備監控、介質管理、技術維護等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對檔案安全的管理需求,在完善人員管理、資源管理、利用服務、重點部位維護、災害防范、突發事件應急處置、專業人才教育培訓的基礎上,建立健全安全管理機制和制度,并結合管理技術,形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網絡系統安全策略。強化操作系統、數據庫服務系統的漏洞修補和安全加固,對關鍵業務的服務器建立嚴格的審核機制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實施數據源隱藏,結構化和縱深化區域防御消防黑客入侵、非法訪問、系統缺陷、病毒等安全隱患,保證檔案系統的持續、穩定、可靠運行。[35][36][37]
4.4 安全技術。技術是影響檔案安全的關鍵因素,檔案安全技術是多方面、多層次的,包含預防、保護、修復和維護等技術,可以有效保證檔案安全。
4.4.1 基于實體的保護技術。主要有:①各類檔案載體的管理與保護技術;②檔案損壞的測試與評估技術;③受損檔案的修復技術。[38]
4.4.2 基于環境的防護技術。主要有:①庫房建筑標準與圍護結構功能的設計、施工和實施;②檔案保管的設備設施和有效裝具;③檔案庫房和利用環境的監測技術;④溫濕度調節與控制技術;⑤有害因素的控制和防護技術。[39]
4.4.3 基于信息的安全技術。主要有:①系統安全技術:操作系統安全和安全審計技術等;②數據安全技術:數據加密技術、應急響應技術、數據備份與容災技術、基于內容的信息安全技術和數據庫安全技術等;③網絡安全技術:防火墻技術、防病毒技術、漏洞掃描技術、入侵檢測技術、物理隔離技術、服務技術、網絡監控技術和虛擬網技術等;④用戶安全技術:身份認證技術、數字簽名技術和訪問控制技術等。[40]
4.4.4 基于災害的保護技術。主要有:①災害的預警與防范技術;②檔案災害的應急處置技術;③檔案次生危害的防范技術;④災后受損檔案的搶救與恢復技術。[41]
4.5 安全法規制度。完善的檔案安全法律法規和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規制度,才能做到有法可依、違法必究,才能更好地維護檔案的安全。[42]
4.5.1 制定并遵循法規標準。各地方應根據國家標準,結合本地區、本系統、本單位的具體情況,制定相應的規范和標準,以使檔案安全管理規范化和標準化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。
4.5.3 建立完善檔案安全管理機制。包括:信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設機制、制度建設機制、風險管理機制、人員管理機制等。
4.6 安全保護效果評價。對檔案安全保障體系評價的目的,是對檔案安全保障體系的有效性進行評估。[46]首先,確定待評價系統的范圍,選擇適當的評價方法,確定適當的評價指標。然后,收集有關數據進行統計分析,得出評價結果,再進行持續改進,以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評價方法。根據被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。目前,存在的綜合評價方法有:屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]
4.6.2 評價指標。根據國內外的檔案安全評估標準,國家對檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評價指標體系。包括:①物理安全評價指標:環境安全評價、設備安全評價、載體安全評價;[49]②管理安全評價指標:規章制度評價、工作流程評價、管理措施評價、業務技術評價;③技術安全評價指標:保護技術評價、網絡技術評價。[50]
5 結語
縱觀學者對檔案安全保障體系的研究,研究角度和切入點各有不同,觀點紛呈,但還是缺乏深入、系統的研究,有待于我們進一步思考、探討。
注:本文是河南省檔案局科技項目《檔案安全保障體系現狀調查》(項目編號:2011-B-51)階段性成果之一。
參考文獻:
[1]張照余.對建設檔案安全保障體系的幾點認識[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設研究[J].檔案學研究,2010(1):62~65.
[3][5][7][33][41]彭遠明.檔案安全保障體系構建及其實現策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構建[J].檔案學研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機構的構建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數字檔案信息安全防護對策分析[D].哈爾濱:黑龍江大學,2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學,2007.
[11][20][21]張勇.數字檔案信息安全保障體系研究[D].蘇州:蘇州大學,2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構建[J].中國檔案,2010(4):20~21.
[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學,2011
[28]方國慶.數字檔案信息安全保障體系建設中的問題與策略[J].機電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設基本任務探析[J].中國檔案,2010(4):18~19.
[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究,2010(3):54~58.
[34]冉君宜.抓好“五個必須”構建檔案安全保障體系[J].辦公室業務,2010(9):55~56.
[35]陳慰湧,金更達.數字檔案館系統安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設實踐[J].貴州水力發電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設的研究[J].機電兵船檔案,2010(5):64~66.
[39]金玉蘭.關于加強檔案安全保障體系建設的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網絡背景下檔案信息的安全保障[J].蘭臺世界,2006(5):2~3.
[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2005(1):38~42.
[44]楊冬權.以豐富館藏、提高安全保障能力和公共服務能力為重點,實現檔案館事業跨越——在全國檔案館工作會議上講話[J].檔案學研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標體系建設研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學,2009.
論文摘要:本文就會計電算化對會計信息的影響以及如何提高會計信息的質量問題進行了探討。在提高會計信息質量方面,應從軟件方面著手保證會計信息的完整性和可用性;建好內部控制制度,保證會計信息的保密性和安全性;提高會計人員素質,做好會計基礎工作。
由于會計電算化是一項系統工程,在發展過程中有許多工作要做,有許多問題要及時解決,否則將嚴重阻礙我國會計電算化向更深層次的發展。下面就當前我國會計電算化進程中必須重視和需要解決的幾個問題進行探討。
1目前我國會計電算化工作中存在的問題
1.1會計信息的完整性和可用性還不夠完善
1.1.1會計電算化未能站在企業管理信息化的高度進行研究。因過分注意軟件的會計核算功能,而輕視了財務管理和控制、決策功能。會計軟件相對于傳統的思維方式,模擬手工核算方法,缺少管理功能。財務系統大多以記賬憑證輸入開始,經過計算機處理,完成記賬、算賬、報賬等工作,并局限在財務部門內部。目前流通的會計核算軟件大多功能在提高財務信息系統的范疇,只能完成事后記賬、算賬、報賬以及提供初級管理功能,不具有事前預測、事中控制、事后分析決策等管理會計功能。近年來雖然倡導發展管理型會計軟件,但由于各種原因,一般只從財務管理的要求出發,未能達到較為理想的效果。
1.1.2會計信息系統與企業管理信息系統未能有機結合。會計信息系統不僅與生產、設備、采購、銷售、庫存、運輸、人事等子系統脫節,而且會計軟件內部各子系統也只以轉賬憑證的方式聯系。從而造成數據在內外子系統之間不能共享,信息不能通暢,既影響財務管理功能的發揮,又不能滿足企業對現代化管理的需要。在綜合的企業管理信息系統中會計子系統應該從其他業務子系統獲取諸如成本、折舊、銷售、工資等原始數據,提高數據采集效率和管理能力各業務子系統也應從財務子系統取得支持,但由于各自獨立發展,互相之間不能實現數據共享,往往一個子系統的打印輸出成了另一個子系統的鍵盤輸入。許多商品化會計軟件在開發時,沒有統一規劃,而是采用單項開發,再通過“轉賬憑證”的方式傳遞各種數據,未能形成一個有機的整體,各個核算模塊是彼此孤立的“孤島”。
1.1.3會計信息系統仍然是個封閉式的系統。會計系統的開放性除了體現在企業內部各子系統之間的信息共享之外,更體現在會計向外界披露信息的內容和方式上。但目前會計信息系統既不能通過Internet網絡向股東財務報表等綜合信息和明細信息,也不能通過網絡直接向稅務、財政、審計、銀行等綜合管理部門提供信息,更不能有選擇地披露相關的人事、技術、設備以及股東所關心的其他信息。此外,普遍存在支持跨網集團的多方業務,使財務信息資源的價值得不到充分利用。
1.2會計信息的保密性和安全性較差
會計電算化是建立在計算機網絡技術和安全技術等信息技術基礎之上的,會計信息是以足夠的安全技術為保障,以一定的計算機硬件支撐。在相應的軟件管理下在網絡中流通、存儲和處理,并最終以人們需要的形式變現出來。隨著計算機應用的擴大,利用計算機進行貪污、舞弊、詐騙等犯罪現象屢見不鮮。在會計電算化環境下,會計信息以各種數據文件的形式記錄在磁性存儲介質上,這些存儲介質上的信息機器可讀形式存在的,因此很容易被復制、刪除、篡改,而不留下任何痕跡。數據庫技術的高度集中,未經授權的人員可以通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀企業重要的財務數據。可見會計電算化犯罪是一種高科技、新技術下的新型犯罪,具有很大的隱蔽性和危害性,使會計信息安全風險大大增加。
1.3會計人員計算機操作業務素質較低
目前,不少單位的電算化人員是由過去的會計、出納等經過短期培訓而來,他們在使用微機處理業務的過程中往往很多是除了開機使用財務軟件之外,對微機的軟硬件知識了解甚少,一旦微機出現故障或與平常見到的界面不同時,就束手無策,即使廠家在安裝會計軟件時都作了系統的培訓,但一些從未接觸過計算機的會計人員入門還是很慢,而且在上機時經常出現誤操作,一旦出錯,可能就會使自己很長時間的工作成果付諸東流,使系統數據丟失,嚴重的導致系統崩潰,這種低素質的會計人員是不能勝任會計電算化工作的
2改進會計電算化工作的對策
2.1要解決人們對會計電算化的思想認識問題
我國電算化事業起步較晚,人們的思維觀念還未充分認識到電算化的意義及重要性。多數單位電算化都是應用于代替手工核算,僅僅是從減輕會計人員負擔、提高核算效率方面入手,根本未認識到建立完整的會計信息系統對企業的重要性,使現有會計提供的信息不能及時、有效地為企業決策及管理服務。
2.2要做好管理基礎工作,尤其是會計基礎工作
管理基礎主要指有一套比較全面、規范的管理制度和方法,以及較完整的規范化的數據;會計基礎工作主要指會計制度是否健全,核算規程是否規范,基礎數據是否準確、完整等,這是搞好電算化工作的重要保證。因為計算機處理會計業務,必須是事先設置好的處理方法,因而要求會計數據輸入、業務處理及有關制度都必須規范化、標準化,才能使電算化會計信息系統順利進行。沒有很好的基礎工作,電算化會計信息系統無法處理無規律、不規范的會計數據,電算化工作的開展將遇到重重困難。管理人員的現代化管理意識,在整個企業管理現代化總體規劃的指導下做好會計電算化的長期、近期發展規劃和計劃并認真組織實施,重新調整會計及整個企業的機構設置、崗位分工,建立一系列現代企業管理制度,提高企業管理要求。還要修改擴建機房,選購、安裝、調試設備,自行開發或購買會計軟件,培訓會計電算化人員,進行系統的試運行等等工作。以上所列的各項工作必須做好,否則電算化會計系統將不能正常工作,有損于會計電算化的整體效益并使其不能深入持久地開展下去,會計和企業管理現代化將無法實現。新晨
2.3要加強會計信息系統的安全性、保密性
財務上的數據往往是企業的絕對秘密,在很大程度上關系著企業的生存與發展。但當前幾乎所有的軟件系統都在為完善會計功能和適應財務制度大傷腦筋,卻沒有幾家軟件公司認真研究過數據的保密問題。數據保密性、安全性差。為了對付日益猖獗的計算機犯罪,國家應制定并實施計算機安全法律,在全社會加強對計算機安全的宏觀控制,政府主管部門還應進一步完善會計制度,對危害計算機安全的行為進行制裁,為計算機信息系統提供一個良好的社會環境。對于重要的計算機系統應加電磁屏蔽,以防止電磁輻射和干擾。制定計算機機房管理規定,制定機房防火、防水、防盜、防鼠的措施,以及突發事件的應急對策等。
必要的內部控制:在電腦網絡環境下,某些內部人員的惡意行為及工作人員的無意行為都可能造成會計信息的不安全性,因此建立內部控制制度是必要的。第一,實行用戶權限分級授權管理,建立網絡環境下的會計信息崗位責任。第二,建立健全對病毒、電腦黑客的安全防范措施。第三,從電算化網絡軟件的設計入手,增加軟件本身的限制功能。第四,建立會計信息資料的備份制度,對重要的會計信息資料要實行多級備份。第五,強化審計線索制。第六,建立進入網絡環境的權限制。
增強網絡安全防范能力:網絡會計實現了會計信息資源的共享,但同時也將自身暴露于風險之中,這些風險主要來自泄密和網上黑客的攻擊等。為了提高網絡會計信息系統的安全防范能力應采用一些措施,例如采用防火墻技術、網絡防毒、信息加密存儲通訊、身份認證、授權等。
加強數據的保密與保護:在進入系統時加一些諸如用戶口令、聲音監測、指紋辨認等檢測手段和用戶權限設置等限制手段,另外還可以考慮硬件加密、軟件加密或把系統作在芯片上加密等機器保密措施和專門的管理制度,如專機專用、專室專用等。加強磁介質載體檔案的管理:為確保檔案的真實性和可靠性,實行紙質檔案和新型載體檔案雙套保管,并逐漸向完全保管新型磁介質載體過渡。
總之,我國會計改革已邁出了穩健、有序的步伐,并取得了輝煌成就。但是,由于會計屬于上層建筑范疇,其在觀念、理論、方法等方面均應隨著客觀經濟環境的變化而不斷改革、發展和完善。在網絡時代,要使我國的會計電算化工作能夠健康的發展,我們必須從理論上和實踐上進行認真的探討。21世紀的會計應該是一個以信息技術為中心的嶄新會計,而不是一個修修補補的會計。
關鍵詞:高校;安全教育;事故原因
一、背景
2005年5月2日某某大學一位學生在長江荊江段涉水,不幸滑落深水中,溺水身亡;2009年10月17日和2010年10月5日同一學校又發生兩起溺水事故。據調查,這三起學生意外溺水事故都是班里幾位同學一起到江邊游玩,一時興起而涉水造成的。2005年11月2日15時許,北京市林業大學一棟學生宿舍樓發生了爆炸起火,一男一女兩名研究生在大火中喪生;2008年11月14日上海商學院徐匯校區一棟女生宿舍樓發生火災,4名女生在消防隊員趕到之前從6樓宿舍陽臺跳樓逃生,不幸全部遇難;2003年11月24日,俄羅斯人民友誼大學一棟學生宿舍樓發生火災,造成41名外國留學生死亡,近200人受傷,其中有中國留學生46人燒傷,11人死亡;2006年1月8日菲律賓馬尼拉市北部大學區的一棟學生宿舍樓發生火災,8人被燒死……。這些事故的發生,暴露了學校安全管理工作中存在的問題和薄弱環節,反映了高校校園安全問題的嚴重性。因此,加強高校學生安全教育是十分重要和緊迫的。同時,高等學校作為高等教育活動的主導者,更有義務和責任確保高校校園的安全,努力為廣大青年學生提供一個安全、健康、和諧的學習和生活環境,促進學生的成才和全面發展,在科教興國、實現創新型國家中做出更大貢獻職稱論文。
二、高校學生傷害事故共性原因分析
安全科學有三條公理性基本觀點,即任何事故都是原因的,任何事故都是由“人”和“物”兩方面原因引起的,事故的嚴重程度和事故發生頻率間存在“三角形”分布規律。高校學生傷害事故發生的場所及其“物”方面原因可能完全不同。但是,從事故原因的深入分析中可以發現有三點是共同的,即事故相關人員缺乏足夠的安全知識、安全意識和安全習慣(這三點是事故的間接原因)。根據海因里希(Heinrich)的事故“三角形”理論,這三個共同點間的關系為安全知識、安全意識和安全習慣可以產生兩個結果,即人的不安全行為和物的不安全狀態,而人的不安全行為一部分直接導致了事故,一部分又導致了物的不安全狀態,不安全狀態再引起事故的發生。
三、高校學生安全教育的重要性
目前,高校的安全意識普遍不強,安全觀念相對比較落后。就大學生而言,他們的安全知識、安全意識、安全能力都難以令人滿意,更談不上安全習慣。在教職工中也普遍存在學生安全就是治安和消防的片面認識。這種現狀直接影響著高校學生安全工作的順利開展。必須意識到學生安全事關高校全局,沒有學生安全,高校校園穩定就失去了基礎,而高校的安全穩定對于社會安全穩定有著不可忽視的影響。學生安全涉及面廣,包括健康、飲食、交通、學習、心理、戀愛、校園安全與社會安全等。出現安全問題的原因也紛繁復雜,有自然方面的,比如地震、海嘯、臺風、流行性傳染性疾病等等;有社會方面的,比如社會治安、交通、國內社會矛盾和國內外政治、經濟、文化、軍事矛盾與沖突等等;有學校管理與服務方面的,比如消防隱患、飲食衛生差、教學設施和設備存在安全隱患等等;有家庭和個人方面的,比如家庭經濟困難、與家人感情不睦、個人學習壓力、升學就業壓力、戀愛和婚姻困擾、交友困擾、網絡成癮等問題都可能引發個人安全問題,個人安全問題處理不當,極有可能引發群體安全甚至社會安全。因此,必須加強高校的安全教育工作,研究和探索對在校大學生進行安全教育的任務緊迫而重要,也只有開展好在校大學生的安全教育,才能有效預防和避免各類安全事故的發生。
四、高校學生安全教育的內容與方法
通過對高校學生事故共性原因的分析,我們得到事故之所以發生,是因為事故相關人員缺乏足夠的安全知識、安全意識和安全習慣,因此,高校安全教育應從以下幾個方面入手。
(一)現代安全理念教育
從對事故的統計分析發現,在各種傷害事故中,不安全事故只占4%,不安全行為占96%。在所有事故中只有2%是天災,98%是人禍,由此可見人的意識和行為在日常生產和工作中至關重要。要消除不安全行為,就必須有正確的安全意識和行為、態度,需要從思想上、意識上樹立正確的安全價值觀。在科學技術進步、文化繁榮和知識經濟時代,必須將“安全第一”、“安全至上”、“安全超越一切”的理論,即“安全第一公理”牢固樹立在廣大師生心中。“安全第一公理”的實質就是安全高于一切,其目的就是以人為本,人命關天,把關愛生命,珍惜人生,保護人類從事的一切活動的安全與健康放在首位,放在超脫一切的位置。因此,必須加大安全理念教育的力度,在校園中形成一個濃厚的安全文化氛圍,樹立“以人為本”和“一切事故都可以預防”的安全理念,培養出具有本質安全化的素質的人才。
對廣大學生進行現代安全理念教育的目的就是要提升大學生的安全素質,這對于提高其走入社會安全生存具有基礎性意義和戰略性意義。大學生應具備的安全素質不僅包括安全意識、安全知識和安全技能,還包括安全倫理、情感、認知、態度、價值觀和道德水平以及行為準則等。
(二)法制觀念教育
作為培養國家的建設者和接班人的高校,應加強法制宣傳和教育,為社會輸出的人才應是懂法、守法、執法的高素質的合格人才。因此,高校必須加強對大學生的法律法規知識教育,以增強大學生的法制觀念和法律意識,從而預防和減少違法犯罪,特別是要加強大學生有關安全的法律法規知識教育,除在法律課、德育課等必修課中進行法律法規知識教育外,在其他課程教學及安全教育中也要對大學生進行有關安全的法律法規知識教育,如:《憲法》、《刑法》、《安全生產法》、《國家安全法》、《保密法》、《消防法》、《游行示威法》、《治安管理處罰條例》、《社會團體登記管理條例》以及計算機網絡安全管理規定等法律法規的知識教育,使學生懂得公民的權利與義務,分清犯罪與非罪的界限,了解道德、紀律與法律的關系,明確什么事可做,什么事不可做,并能用法律武器維護國家和自身的利益和權益,與犯罪行為作斗爭。
(三)安全知識教育
安全知識教育應從以下兩方面進行:一是基礎安全文化知識,是指提高大學生在各類活動中應具備的安全文化知識。例如,起居安全、一般用電安全、交通安全、對突發事件的應急反應及避災和逃生等。這是現代社會每一個公民都應具備的最基本的生存素質。二是專業安全文化知識,是指從事各類生產活動和科研活動時所具有的安全文化知識。例如,化工安全技術、礦業安全技術、冶金安全技術、消防安全技術、建筑安全技術、運輸安全技術、機械安全技術、科研實驗的各類安全防護技術等。大學生了解和掌握必要的生活常識和安全防范的基本知識,增強安全防范的意識和能力,既可以有效地保護自己,也可以在危險時更多地幫助周圍的人。
(四)安全防范、自我保護的知識教育
增強學生的安全及防范意識是預防事故發生的重要措施。高校要教育大學生懂得安全防范自救的一些基本知識,如熟記火警“119”、匪警“110”等報警電話號碼,一旦發生火災事故或自己、他人的生命財產受到威脅或侵害時,要立即想辦法報警,如無法報警,要能沉著冷靜地尋求自我保護和自我解救的方法。大學生還應懂得一些基本生活常識,如使用滅火器等知識。總之,在校內,學生特別要加強宿舍以防火為重點的安全防范,了解掌握防火、防盜、防騷擾等知識以及防受騙、防食物中毒、防意外事故等常識。更要掌握在校外防搶、防受騙、防流氓滋擾、防交通事故、防意外事故等常識。教育學生遵守校紀校規,不到偏遠地方游玩,出游最好結伴而行。在人際交往中,特別是女生在與異往中,更要注意保護自己。學校在安全教育及日常管理中應經常不斷地給學生講授這些知識,警鐘長鳴,使學生在潛移默化中不斷提高自己的安全防范意識和自我保護及自救的知識與能力。
參考文獻:
1、傅貴,李宣東,李軍.事故的共性原因及其行為科學預防策略[J].安全與環境學報,2005(2).
2、田毅,潘洪江,張福喜.高校學生安全工作體系建設的幾個基本問題[J].中國青年研究,2007(6).
