時(shí)間:2022-06-16 12:11:44
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全論文,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
論文摘要:結(jié)合單位的實(shí)際,分析了現(xiàn)有計(jì)算機(jī)專業(yè)課程特點(diǎn)和不足,討論了高師計(jì)算機(jī)專業(yè)學(xué)生開(kāi)設(shè)信息安全法律法規(guī)課程的必要性、可行性,分析了信息安全技術(shù)課程、與信息安全有關(guān)法律法規(guī)課程的特點(diǎn).給出了高師信息安全法律課程的教學(xué)目標(biāo)定位、設(shè)置方法.
論文關(guān)鍵詞:高師計(jì)算機(jī)專業(yè);信息安全;法律法規(guī)課程
人類進(jìn)入21世紀(jì),現(xiàn)代信息技術(shù)迅猛發(fā)展,特別是網(wǎng)絡(luò)技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)正以其強(qiáng)大的生命力和巨大的信息提供能力和檢索能力風(fēng)靡全球.
網(wǎng)絡(luò)已成為人們尤其是大學(xué)生獲取知識(shí)、信息的最快途徑.網(wǎng)絡(luò)以其數(shù)字化、多媒體化以及虛擬性、學(xué)習(xí)性等特點(diǎn)不僅影響和改變著大學(xué)生的學(xué)習(xí)方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價(jià)值取向,甚至利用自己所學(xué)的知識(shí)進(jìn)行網(wǎng)絡(luò)犯罪,所有這些使得高師學(xué)生思想政治工作特別是從事網(wǎng)絡(luò)教學(xué)、實(shí)踐的計(jì)算機(jī)專業(yè)的教育工作者來(lái)說(shuō),面臨著前所未有的機(jī)遇和挑戰(zhàn),這不僅因?yàn)椋约阂环矫嬉獋魇趯W(xué)生先進(jìn)的網(wǎng)絡(luò)技術(shù),另一方面也要教育學(xué)生不要利用這些技術(shù)從事違法活動(dòng)而從技術(shù)的角度來(lái)看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計(jì)算機(jī)專業(yè)學(xué)生將來(lái)可能成為老師去影響他的學(xué)生,由此可見(jiàn),在高師計(jì)算機(jī)專業(yè)學(xué)生中開(kāi)設(shè)與信息安全有關(guān)的法律法規(guī)課程有著十分重要的意義.如何抓住機(jī)遇,研究和探索網(wǎng)絡(luò)環(huán)境下的高師計(jì)算機(jī)專業(yè)學(xué)生信息安全法律法規(guī)教學(xué)的新特點(diǎn)、新方法、新途徑、新對(duì)策已成為高師計(jì)算機(jī)專業(yè)教育者關(guān)心和思考的問(wèn)題.本文主要結(jié)合我校的實(shí)際,就如何在高師計(jì)算機(jī)專業(yè)中開(kāi)設(shè)信息安全法律課程作一些探討.
1現(xiàn)有的計(jì)算機(jī)專業(yè)課程特點(diǎn)
根據(jù)我校人才培養(yǎng)目標(biāo)、服務(wù)面向定位,按照夯實(shí)基礎(chǔ)、拓寬專業(yè)口徑、注重素質(zhì)教育和創(chuàng)新精神、實(shí)踐能力培養(yǎng)的人才培養(yǎng)思路,溝通不同學(xué)科、不同專業(yè)之間的課程聯(lián)系.全校整個(gè)課程體系分為“通識(shí)教育課程、專業(yè)課程(含專業(yè)基礎(chǔ)課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實(shí)踐教學(xué)課程”四個(gè)大類,下面僅就計(jì)算機(jī)專業(yè)課程的特點(diǎn)介紹.
1.1專業(yè)基礎(chǔ)課程專業(yè)基礎(chǔ)課是按學(xué)科門(mén)類組織的基礎(chǔ)知識(shí)課程模塊,均為必修課.目的是在大學(xué)學(xué)習(xí)的初期階段,按學(xué)科進(jìn)行培養(yǎng),夯實(shí)基礎(chǔ),拓寬專業(yè)口徑.考慮到學(xué)科知識(shí)體系、學(xué)生轉(zhuǎn)專業(yè)等需要,原則上各學(xué)科大類所涵蓋的各專業(yè)的學(xué)科專業(yè)基礎(chǔ)課程應(yīng)該相同.主要內(nèi)容包括:計(jì)算機(jī)科學(xué)概論、網(wǎng)頁(yè)設(shè)計(jì)與制作、C++程序設(shè)計(jì)、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)等.
1.2專業(yè)方向課程各專業(yè)應(yīng)圍繞人才培養(yǎng)目標(biāo)與規(guī)格設(shè)置主要課程,按照教育部《普通高等學(xué)校本科專業(yè)目錄》的有關(guān)要求,結(jié)合學(xué)校實(shí)際設(shè)置必修課程和選修課程.同時(shí)可以開(kāi)設(shè)2—3個(gè)方向作為限選.學(xué)生可以根據(jù)自身興趣和自我發(fā)展的需要,在任一方向課程組中選擇規(guī)定學(xué)分的課程修讀.主要內(nèi)容包括:計(jì)算機(jī)網(wǎng)絡(luò)、匯編語(yǔ)言程序設(shè)計(jì)、計(jì)算機(jī)組成原理、數(shù)據(jù)庫(kù)系統(tǒng)、軟件工程導(dǎo)論、軟件工程實(shí)訓(xùn)、計(jì)算機(jī)系統(tǒng)結(jié)構(gòu)等.
1.3現(xiàn)有計(jì)算機(jī)專業(yè)課程設(shè)置的一些不足計(jì)算機(jī)技術(shù)一日千里,對(duì)于它的課程設(shè)置應(yīng)該具有前瞻性,考慮到時(shí)代的變化,計(jì)算機(jī)應(yīng)用專業(yè)旨在培養(yǎng)一批適合現(xiàn)代軟件工程、網(wǎng)絡(luò)工程發(fā)展要求的軟件工程、網(wǎng)絡(luò)工程技術(shù)人員,現(xiàn)有我校的計(jì)算機(jī)專業(yè)課程是針對(duì)這一目標(biāo)進(jìn)行設(shè)置的,但這一設(shè)置主要從技術(shù)的角度來(lái)考慮問(wèn)題,沒(méi)有充分考慮到:隨著時(shí)代的發(fā)展,人們更廣泛的使用網(wǎng)絡(luò)、更關(guān)注信息安全這一事實(shí),作為計(jì)算機(jī)專業(yè)的學(xué)生更應(yīng)該承擔(dān)起自覺(jué)維護(hù)起信息安全的責(zé)任,作為高師計(jì)算機(jī)專業(yè)的課程設(shè)置里應(yīng)該考慮到教育學(xué)生不得利用自己所學(xué)的技術(shù)從事不利于網(wǎng)絡(luò)安全的事情.
2高師計(jì)算機(jī)專業(yè)學(xué)生開(kāi)設(shè)信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學(xué)科群體系由核心學(xué)科群、支撐學(xué)科群和應(yīng)用學(xué)科群三部分構(gòu)成,是一個(gè)“以信息安全理論為核心,以信息技術(shù)、信息工程和信息安全等理論體系為支撐,以國(guó)家和社會(huì)各領(lǐng)域信息安全防護(hù)為應(yīng)用方向”的跨學(xué)科的交叉性學(xué)科群體系.該學(xué)科交叉性、邊緣性強(qiáng),應(yīng)用領(lǐng)域面寬,是一個(gè)龐大的學(xué)科群體系,涉及的知識(shí)點(diǎn)也非常龐雜.
僅就法學(xué)而言,信息安全涉及的法學(xué)領(lǐng)域就包括:刑法(計(jì)算機(jī)犯罪,包括非法侵入計(jì)算機(jī)信息系統(tǒng)罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識(shí)產(chǎn)權(quán)法(著作權(quán)的侵害、信息網(wǎng)絡(luò)傳播權(quán)等)等許多法學(xué)分支.因此,信息安全教育不是一項(xiàng)單一技術(shù)方面的教育,加強(qiáng)相關(guān)法律課程設(shè)置,是信息安全學(xué)科建設(shè)過(guò)程中健全人才培養(yǎng)體系的重要途徑與任務(wù).
高師計(jì)算機(jī)專業(yè),雖然沒(méi)有開(kāi)設(shè)與信息安全專業(yè)一樣多與信息安全的有關(guān)技術(shù)類課程.但這些專業(yè)的學(xué)生都有從事網(wǎng)絡(luò)工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識(shí)不強(qiáng)的人,都可能有意識(shí)或無(wú)意識(shí)的干出違反法律的事情,例如“YAI”這個(gè)比CIH還兇猛的病毒的編寫(xiě)者為重慶某大學(xué)計(jì)算機(jī)系一名大學(xué)生.由此可見(jiàn),在高師計(jì)算機(jī)專業(yè)的學(xué)生中開(kāi)設(shè)相關(guān)的法律法規(guī)選修課程是必要的.
2.2可行性技術(shù)與法律原本并不關(guān)聯(lián),但是在信息安全領(lǐng)域,技術(shù)與法律卻深深的關(guān)聯(lián)在一起,在全世界各國(guó)都不難發(fā)現(xiàn)諸如像數(shù)字簽名、PKI應(yīng)用與法律體系緊密關(guān)聯(lián).從本質(zhì)上講,信息安全對(duì)法律的需求,實(shí)際上來(lái)源于人們?cè)诿媾R信息技術(shù)革命過(guò)程中產(chǎn)生的種種新可能的時(shí)候,對(duì)這些可能性做出選擇揚(yáng)棄、利益權(quán)衡和價(jià)值判斷的需要.這也就要求我們跳出技術(shù)思維的影響,重視信息安全中的法律范疇.
根據(jù)前面對(duì)信息安全法律法規(guī)內(nèi)容的特點(diǎn)分析可知:信息安全技術(shù)與計(jì)算機(jī)應(yīng)用技術(shù)有著千絲萬(wàn)縷的聯(lián)系.從事計(jì)算機(jī)技術(shù)的人員很容易轉(zhuǎn)到從事信息安全技術(shù)研究上,加之信息安全技術(shù)是當(dāng)今最熱門(mén)技術(shù)之一,因此,在高師計(jì)算機(jī)專業(yè)中開(kāi)設(shè)一些基本的信息安全技術(shù)選修課程、開(kāi)設(shè)一些與法律體系緊密關(guān)聯(lián)的信息安全法律法規(guī)選修課程學(xué)生容易接受,具有可操作性.
3信息安全技術(shù)課程特點(diǎn)
信息安全技術(shù)課程所涉及的內(nèi)容眾多,有數(shù)學(xué)、計(jì)算機(jī)、通信、電子、管理等學(xué)科,既有理論知識(shí),又有實(shí)踐知識(shí),理論與實(shí)踐聯(lián)系十分緊密,新方法、新技術(shù)以及新問(wèn)題不斷涌現(xiàn),這給信息安全課程設(shè)置帶來(lái)了很大的難度,為使我校計(jì)算機(jī)專業(yè)學(xué)生了解、掌握這一新技術(shù),我們?cè)趯I(yè)課程模塊中開(kāi)設(shè)《密碼學(xué)基礎(chǔ)》、《網(wǎng)絡(luò)安全技術(shù)》、《入侵檢測(cè)技術(shù)》等作為專業(yè)選修課.我校本課程具有以下特點(diǎn):
(1)每學(xué)期都對(duì)知識(shí)內(nèi)容進(jìn)行更新.
(2)對(duì)涉及到的基本知識(shí)面,分別采用開(kāi)設(shè)專業(yè)課、專業(yè)選修課、講座等多種方式,讓學(xué)生了解信息安全知識(shí)體系,如有操作系統(tǒng)、密碼學(xué)基礎(chǔ)、防火墻技術(shù)、VPN應(yīng)用、信息安全標(biāo)準(zhǔn)、網(wǎng)絡(luò)安全管理、信息安全法律課程等.
(3)對(duì)先修課程提出了較高的要求.學(xué)習(xí)信息安全技術(shù)課程之前,都可設(shè)了相應(yīng)的先行課程讓學(xué)生了解、掌握,如開(kāi)設(shè)了計(jì)算機(jī)網(wǎng)絡(luò)基本原理、操作系統(tǒng)、計(jì)算機(jī)組成原理、程序設(shè)計(jì)和數(shù)論基礎(chǔ)等課程.
(4)注重實(shí)踐教學(xué).比如密碼學(xué)晦澀難懂的概念,不安排實(shí)驗(yàn)實(shí)訓(xùn),不讓學(xué)生親手去操作,就永遠(yuǎn)不能真正理解和運(yùn)用.防火墻技術(shù)只有通過(guò)親手配置和測(cè)試.才能領(lǐng)會(huì)其工作機(jī)理.對(duì)此我們?cè)谙嚓P(guān)的課程都對(duì)學(xué)生作了實(shí)踐、實(shí)訓(xùn)的要求.
4涉及到信息安全法律法規(guī)內(nèi)容的特點(diǎn)
信息安全的特點(diǎn)決定了其法律、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡(luò)技術(shù)、涉及到與網(wǎng)絡(luò)有關(guān)的法律、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網(wǎng)絡(luò)進(jìn)行經(jīng)濟(jì)詐騙;利用網(wǎng)絡(luò)獲取國(guó)家政治、經(jīng)濟(jì)、軍事情報(bào);利用網(wǎng)絡(luò)顯示自己的才能等.這說(shuō)明僅就破壞者方面而言的信息安全問(wèn)題也是復(fù)雜多樣的.
4.2涉及領(lǐng)域的廣泛性隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經(jīng)濟(jì)全球化互相交織,信息在經(jīng)濟(jì)和社會(huì)活動(dòng)中的作用甚至超過(guò)資本,成為經(jīng)濟(jì)增長(zhǎng)的最活躍、最有潛力的推動(dòng)力.信息的安全越來(lái)越受到人們的關(guān)注,大到軍事政治等機(jī)密安全,小到防范商業(yè)企業(yè)機(jī)密泄露、青少年對(duì)不良信息的瀏覽、個(gè)人信息的泄露等信息安全問(wèn)題涉及到所有國(guó)民經(jīng)濟(jì)、政治、軍事等的各個(gè)部門(mén)、各個(gè)領(lǐng)域.
4.3技術(shù)的復(fù)雜性信息安全不僅涉及到技術(shù)問(wèn)題,也涉及到管理問(wèn)題,信息安全技術(shù)又涉及到網(wǎng)絡(luò)、編碼等多門(mén)學(xué)科,保護(hù)信息安全的技術(shù)不僅需要法律作支撐,而且研究法律保護(hù)同時(shí),又需要考慮其技術(shù)性的特征,符合技術(shù)上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護(hù)不是靠一部法律所能實(shí)現(xiàn)的,而是要靠涉及到信息安全技術(shù)各分支的信息安全法律法規(guī)體系來(lái)實(shí)現(xiàn).因此,信息安全法律在我國(guó)法律體系中具有特殊地位,兼具有安全法、網(wǎng)絡(luò)法的雙重地位,必須與網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)立法同步建設(shè),因此,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術(shù)課程中的法律法規(guī)內(nèi)容教學(xué)目標(biāo)
對(duì)于計(jì)算機(jī)專業(yè)或信息安全專業(yè)的本科生和研究生,應(yīng)深入理解和掌握信息安全技術(shù)理論和方法,了解所涉到的常見(jiàn)的法律法規(guī),深入理解和掌握網(wǎng)絡(luò)安全技術(shù)防御技術(shù)和安全通信協(xié)議.
而對(duì)普通高等師范院校計(jì)算機(jī)專業(yè)學(xué)生來(lái)說(shuō),由于課程時(shí)間限制,不能對(duì)信息安全知識(shí)作較全面的掌握,也不可能過(guò)多地研究密碼學(xué)理論,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此,開(kāi)設(shè)信息安全法律法規(guī)課程內(nèi)容的教學(xué)目標(biāo)定位為:了解信息安全技術(shù)的基本原理基礎(chǔ)上,初步掌握涉及網(wǎng)絡(luò)安全維護(hù)和網(wǎng)絡(luò)安全構(gòu)建等技術(shù)的法律、法規(guī)和標(biāo)準(zhǔn).如:《中華人民共和國(guó)信息系統(tǒng)安全保護(hù)條例》,《中華人民共和國(guó)數(shù)字簽名法》,《計(jì)算機(jī)病毒防治管理辦法》等.
6高師信息安全技術(shù)法律法規(guī)課程設(shè)置探討
根據(jù)我校計(jì)算機(jī)專業(yè)課程體系結(jié)構(gòu),信息安全有關(guān)的法律法規(guī)課程,其中多數(shù)涉及信息安全技術(shù)層面,主要以選修課、講座課為主,作為信息安全課程的補(bǔ)充.主要可開(kāi)設(shè)以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎(chǔ)講座:本講座力圖改變大家對(duì)信息安全的態(tài)度,使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責(zé)范圍內(nèi)需要注意的安全問(wèn)題,讓學(xué)生首先從信息安全的非技術(shù)層面了解與信息安全有關(guān)的法律、法規(guī),主要內(nèi)容包括:國(guó)內(nèi)信息安全法律法規(guī)概貌、我國(guó)現(xiàn)有信息安全相關(guān)法律法規(guī)簡(jiǎn)介等.
(2)黑客攻擊手段與防護(hù)策略:通過(guò)本課程的學(xué)習(xí),可以借此提高自己的安全意識(shí),了解常見(jiàn)的安全漏洞,識(shí)別黑客攻擊手法,熟悉提高系統(tǒng)抗攻擊能力的安全配置方法,最重要的還在于掌握一種學(xué)習(xí)信息安全知識(shí)的正確途徑和方法.
(3)計(jì)算機(jī)犯罪取證技術(shù):計(jì)算機(jī)取證是計(jì)算機(jī)安全領(lǐng)域中的一個(gè)全新的分支,涉及計(jì)算機(jī)犯罪事件證據(jù)的獲取、保存、分析、證物呈堂等相關(guān)法律、程序、技術(shù)問(wèn)題.本課程詳細(xì)介紹了計(jì)算機(jī)取證相關(guān)的犯罪的追蹤、密碼技術(shù)、數(shù)據(jù)隱藏、惡意代碼、主流操作系統(tǒng)取證技術(shù),并詳細(xì)介紹了計(jì)算機(jī)取證所需的各種有效的工具,還概要介紹了美國(guó)與中國(guó)不同的司法程序.
1.銷售系統(tǒng)設(shè)施建設(shè)。
硬件方面,各石油銷售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng),供電采用UPS方式,采用“雙機(jī)熱備”的核心服務(wù)器工作模式,以確保整個(gè)硬件的可靠性和安全性;網(wǎng)絡(luò)方面,采用SDH光纖接入廣域網(wǎng),包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式,設(shè)備之間,層層之間以光纖方式連接,以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻,部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測(cè)系統(tǒng);大多數(shù)加油站采用SSLVPN方式訪問(wèn)企業(yè)內(nèi)部網(wǎng),以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面,大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng),實(shí)現(xiàn)PC機(jī)的MAC地址綁定。
2.銷售系統(tǒng)信息化建設(shè)。
目前,企業(yè)的銷售信息系統(tǒng)主要包括:加油卡系統(tǒng)、辦公自動(dòng)化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門(mén)戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn):一是用戶眾多,幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶;二是應(yīng)用領(lǐng)域廣,涉及企業(yè)經(jīng)營(yíng)、管理、對(duì)外服務(wù)諸多方面;三是要求連續(xù)運(yùn)轉(zhuǎn),如ERP系統(tǒng)必須滿足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營(yíng)管理的可持續(xù)性,其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以,基于上述的原因,企業(yè)對(duì)銷售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。
3.銷售系統(tǒng)的信息安全現(xiàn)狀。
石油銷售管理系統(tǒng)是關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng),國(guó)家對(duì)其信息安全高度重視,并在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào),我國(guó)要全面加強(qiáng)國(guó)家信息安全保障體系的建設(shè),大力增強(qiáng)國(guó)家信息安全保障能力,實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí),國(guó)內(nèi)石油銷售企業(yè)也長(zhǎng)期重視信息安全工作,逐步建立了相應(yīng)的保障體系和規(guī)章制度,但還存在以下問(wèn)題:
(1)范圍涉及廣泛。
石油銷售企業(yè)分支機(jī)構(gòu)多,終端運(yùn)營(yíng)組織龐大且分散,以中石油集團(tuán)為例,其截至2013年分布在全國(guó)的加油站已超過(guò)30000座。在如此龐大的銷售系統(tǒng)中,信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運(yùn)行的重要功能。大量、分散部署的加油終端,必然會(huì)造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。
(2)設(shè)備系統(tǒng)眾多。
石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深,并且范圍廣泛,包括加油站、油庫(kù)等大量的自動(dòng)化控制系統(tǒng)。因此,業(yè)務(wù)管理流程復(fù)雜,安全風(fēng)險(xiǎn)增大。
(3)人員素質(zhì)不齊。
由于石油銷售屬于傳統(tǒng)行業(yè),因此企業(yè)人員年齡跨度較大,對(duì)信息安全管理的職業(yè)組織參差不齊;甚至對(duì)于企業(yè)管理人員,對(duì)于信息安全的認(rèn)識(shí)也多停留在紙上談兵;基層人員眾多,且直接面對(duì)客戶,流動(dòng)性大,信息泄露風(fēng)險(xiǎn)極高。而且新生代的企業(yè)員工對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)接觸早,應(yīng)用水平高,日常使用頻繁,在缺乏網(wǎng)絡(luò)安全防護(hù)意識(shí)的情況下更易導(dǎo)致信息泄漏,甚至在好奇心理的鼓動(dòng)下主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊行為,所以企業(yè)內(nèi)網(wǎng)安全也成為一個(gè)突出的問(wèn)題。
(4)資金投入有限。
國(guó)外企業(yè)在信息安全方面的資金投入達(dá)到了企業(yè)整體基建的5%-20%,而我國(guó)企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟(jì)損失達(dá)數(shù)萬(wàn)億美元,中國(guó)的損失也達(dá)到了一百億美元以上,但是中國(guó)企業(yè)在這方面的投資只有幾十億美元。因此,我國(guó)企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項(xiàng)繁重的任務(wù),需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫(kù)備份體系,建立并維護(hù)高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級(jí)防火墻、IDS、IPS系統(tǒng)和完善的補(bǔ)丁更新及發(fā)放機(jī)制,以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入,而且其投入回報(bào)慢,因此石油企業(yè)普遍輕視這方面的投入和維護(hù),信息安全建設(shè)相對(duì)于企業(yè)的發(fā)展整體滯后。
二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計(jì)
石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個(gè)程序化、系統(tǒng)化、文件化的管理體系,以預(yù)防控制為主,強(qiáng)調(diào)動(dòng)態(tài)全過(guò)程控制。建立相應(yīng)的信息安全管理系統(tǒng),需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全;建立綜合防范機(jī)制,確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運(yùn)行,保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運(yùn)轉(zhuǎn),規(guī)避潛在風(fēng)險(xiǎn),供系統(tǒng)的可靠性和安全性。因此,石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成:
(1)組織層面。
石油銷售部門(mén)應(yīng)建立責(zé)任明確的各級(jí)信息安全管理組織,包括信息安全委員會(huì)、信息安全管理部門(mén),并通過(guò)設(shè)立信息安全員,指定專人專項(xiàng)負(fù)責(zé)。通過(guò)這些部門(mén)和負(fù)責(zé)人開(kāi)展信息安全認(rèn)知宣傳和培訓(xùn),提高企業(yè)員工對(duì)信息安全重要性的認(rèn)識(shí)。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程,經(jīng)科學(xué)性審核和測(cè)試后下發(fā)各級(jí)部門(mén),提升企業(yè)的信息安全管理的效能,減少事故發(fā)生風(fēng)險(xiǎn),提高應(yīng)急響應(yīng)能力。
(3)執(zhí)行層面。
信息安全管理部門(mén)應(yīng)當(dāng)定期檢查和隨機(jī)抽查相結(jié)合,監(jiān)督安全制度在各級(jí)部門(mén)的執(zhí)行情況,評(píng)估安全風(fēng)險(xiǎn),負(fù)責(zé)PDCA的循環(huán)控制。
(4)技術(shù)層面。
信息安全管理部門(mén)要提供安全管理、防護(hù)、控制所需的技術(shù)支持,全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個(gè)方面,主要包括監(jiān)控與審核跟蹤,數(shù)據(jù)備份與恢復(fù),訪問(wèn)管理與身份認(rèn)證,信息加密與加固等具體技術(shù)措施。通過(guò)有效的信息安全管理平臺(tái)和運(yùn)作平臺(tái),在最短時(shí)間內(nèi)對(duì)信息安全事件進(jìn)行響應(yīng)處理,保障信息安全管控措施的落實(shí),實(shí)現(xiàn)信息安全管理的目標(biāo)。
三、結(jié)語(yǔ)
現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,為我國(guó)檔案信息管理提供了現(xiàn)代化的管理手段和方式。檔案信息是社會(huì)生產(chǎn)活動(dòng)的真實(shí)記錄,是一種不可否認(rèn)的社會(huì)史實(shí);另外站在更高的角度來(lái)講,檔案又是一種重要的信息資源,與社會(huì)生活和經(jīng)濟(jì)活動(dòng)密不可分。從目前來(lái)看,可利用的社會(huì)資源越來(lái)越少,社會(huì)上的虛假信息越來(lái)越多,人們?yōu)榱俗陨淼陌l(fā)展,不惜一切代價(jià)獲取真實(shí)的信息資源。重要的檔案信息資源對(duì)個(gè)人來(lái)說(shuō),可能為個(gè)人的成功提供了機(jī)會(huì);對(duì)一個(gè)企業(yè)來(lái)說(shuō),可能是幫助企業(yè)渡過(guò)難關(guān),獲得最大效益的法寶;對(duì)一個(gè)國(guó)家來(lái)說(shuō),信息資源甚至決定國(guó)家的興衰。由此可見(jiàn),檔案信息資源在國(guó)家社會(huì)生活的方方面面發(fā)揮著深遠(yuǎn)的影響,具有重要的價(jià)值。因此,做好檔案信息的安全管理工作是當(dāng)前檔案工作的重中之重。
二、檔案信息安全管理的現(xiàn)狀分析
近年來(lái)隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的發(fā)展,我國(guó)的檔案管理模式基本上分為兩種:實(shí)體檔案信息管理和電子檔案信息管理。下面針對(duì)不同的檔案信息管理模式,對(duì)其現(xiàn)狀和存在的問(wèn)題進(jìn)行分析。
1.實(shí)體檔案信息管理
實(shí)體檔案信息管理是長(zhǎng)期以來(lái)一直沿用的管理方法。實(shí)體檔案信息管理需要大量的檔案館庫(kù)做支撐,但是我國(guó)目前的檔案館庫(kù)多是20世紀(jì)80年代的建筑,特別是在經(jīng)濟(jì)發(fā)展相對(duì)緩慢、生活貧困的地區(qū),其中不少檔案館庫(kù)及設(shè)施在漫長(zhǎng)的歲月演變中變得破敗不堪,檔案庫(kù)房的功能大大減弱,這對(duì)檔案信息的存放和保管構(gòu)成了嚴(yán)重的威脅。不僅檔案館庫(kù)等建筑設(shè)施的狀況影響檔案信息的安全,在檔案信息管理中同樣存在嚴(yán)重的安全漏洞。主要表現(xiàn)在以下幾方面:首先,字跡不清晰。受到歷史條件的制約,以前很多紙質(zhì)檔案書(shū)寫(xiě)所用的材料不符合規(guī)范,形成大量的鉛筆、圓珠筆字跡,再加上時(shí)間久遠(yuǎn),檔案保護(hù)不當(dāng),造成檔案字跡模糊不清晰。其次,檔案信息保護(hù)環(huán)境不良。在檔案存放和保管過(guò)程中,由于存放環(huán)境的惡劣導(dǎo)致檔案的破壞屢見(jiàn)不鮮。最后,檔案的自然損壞嚴(yán)重。檔案信息的自然損壞主要是歷史原因所致,由于存放時(shí)間比較久遠(yuǎn),記錄檔案信息的載體經(jīng)過(guò)漫長(zhǎng)的時(shí)期發(fā)生了不同程度的損壞,導(dǎo)致所記錄的檔案信息隨之發(fā)生損壞。
2.電子檔案信息管理
隨著經(jīng)濟(jì)發(fā)展水平的不斷提高,特別是計(jì)算機(jī)、互聯(lián)網(wǎng)和信息技術(shù)的出現(xiàn)和應(yīng)用,為檔案信息管理提供了新的管理手段和方法。電子檔案信息管理不僅保證了檔案管理的高效性,還節(jié)省了檔案信息管理的經(jīng)濟(jì)成本。但是由于受到技術(shù)發(fā)展水平的限制,電子檔案信息管理受到網(wǎng)絡(luò)黑客的攻擊和威脅,電子檔案信息管理工作同樣面臨嚴(yán)峻的安全問(wèn)題,主要存在以下兩方面問(wèn)題。
(1)檔案信息在查詢利用過(guò)程中面臨安全威脅
由于目前經(jīng)濟(jì)發(fā)展水平的限制,電子檔案信息管理并沒(méi)有形成統(tǒng)一的機(jī)制。因此導(dǎo)致電子檔案信息系統(tǒng)平臺(tái)不一致,在管理上無(wú)法達(dá)到統(tǒng)一規(guī)范,造成電子檔案信息管理網(wǎng)絡(luò)環(huán)境不穩(wěn)定,極易遭受網(wǎng)絡(luò)攻擊。目前并沒(méi)有專門(mén)為電子檔案信息管理建立的安全可靠的局域網(wǎng),也沒(méi)有針對(duì)檔案信息安全管理的完善的法律法規(guī),這種管理上的不到位致使電子檔案信息在利用的過(guò)程中受到網(wǎng)絡(luò)環(huán)境的影響和損害。
(2)電子檔案信息管理系統(tǒng)功能不夠強(qiáng)大
電子檔案信息是一種重要的信息資源,一個(gè)單位檔案信息的失竊可能會(huì)給一個(gè)企業(yè)帶來(lái)巨大的經(jīng)濟(jì)損失,一個(gè)國(guó)家的檔案信息泄漏,嚴(yán)重的會(huì)引發(fā)國(guó)與國(guó)之間的矛盾或戰(zhàn)爭(zhēng)。盡管國(guó)家對(duì)電子檔案信息管理十分重視,并且出臺(tái)了涉及國(guó)家秘密的信息系統(tǒng)審批管理相關(guān)法律法規(guī),但是由于受到各種條件的限制,不少地區(qū)的電子檔案信息管理系統(tǒng)功能并不能達(dá)到國(guó)家相關(guān)規(guī)定的要求,從而使檔案信息安全面臨極大風(fēng)險(xiǎn)。具體到系統(tǒng)的登錄權(quán)限、身份識(shí)別、數(shù)字認(rèn)證、指紋識(shí)別等功能都有待進(jìn)一步的完善和提高。
三、檔案信息安全管理措施探析
1.增強(qiáng)檔案實(shí)體管理
檔案實(shí)體管理是一種重要的管理形式,針對(duì)檔案實(shí)體管理中出現(xiàn)的問(wèn)題,應(yīng)著力發(fā)揮國(guó)家的財(cái)政支撐作用,對(duì)不符合標(biāo)準(zhǔn)的館庫(kù)及時(shí)進(jìn)行修整,對(duì)庫(kù)房的防護(hù)功能定期進(jìn)行檢查和確認(rèn),確保檔案信息管理硬件環(huán)境的安全。
2.營(yíng)造電子檔案網(wǎng)絡(luò)安全環(huán)境
眾所周知,檔案信息具有嚴(yán)格的保密性,是十分重要的信息資源。這就要求我們一定要營(yíng)造一個(gè)安全的電子檔案網(wǎng)絡(luò)環(huán)境。首先對(duì)于網(wǎng)絡(luò)應(yīng)用的硬件和軟件系統(tǒng)要進(jìn)行有效的保護(hù),防止網(wǎng)絡(luò)黑客及病毒的襲擊是不容忽視的,要不斷研究和升級(jí)防范網(wǎng)絡(luò)黑客攻擊的技術(shù),將檔案信息的安全隱患降到最低。其次還要對(duì)電子檔案的網(wǎng)絡(luò)系統(tǒng)功能進(jìn)行完善和升級(jí),對(duì)網(wǎng)絡(luò)系統(tǒng)的登入采用先進(jìn)的指紋識(shí)別技術(shù),進(jìn)行嚴(yán)格的身份驗(yàn)證,從而建立強(qiáng)大的網(wǎng)絡(luò)系統(tǒng)。
3.加強(qiáng)行政保護(hù)
檔案信息來(lái)源于社會(huì)生活和社會(huì)生產(chǎn),為國(guó)家經(jīng)濟(jì)建設(shè)和經(jīng)濟(jì)活動(dòng)的開(kāi)展提供必要的信息支持。隨著國(guó)家經(jīng)濟(jì)建設(shè)的不斷發(fā)展,檔案信息的發(fā)展與傳播步伐也越來(lái)越快,并逐漸對(duì)社會(huì)生活的各個(gè)領(lǐng)域產(chǎn)生不可估量的影響和作用。首先國(guó)家要重視并宣傳檔案信息的重要性,使人們普遍樹(shù)立檔案信息的保密意識(shí),其次還要采取一定的行政手段,制定相關(guān)的法律法規(guī),約束和規(guī)范檔案信息安全管理,特別要對(duì)電子檔案網(wǎng)絡(luò)安全管理系統(tǒng)制定嚴(yán)格的規(guī)范,從而在制度保障的前提下建立強(qiáng)大的檔案信息安全系統(tǒng)。
四、結(jié)語(yǔ)
1.銷售系統(tǒng)設(shè)施建設(shè)。
硬件方面,各石油銷售企業(yè)都具有設(shè)施完善的中心計(jì)算機(jī)系統(tǒng),供電采用UPS方式,采用“雙機(jī)熱備”的核心服務(wù)器工作模式,以確保整個(gè)硬件的可靠性和安全性;網(wǎng)絡(luò)方面,采用SDH光纖接入廣域網(wǎng),包括接入層、匯聚層、核心層。核心層中路由器和交換機(jī)采用雙機(jī)模式,設(shè)備之間,層層之間以光纖方式連接,以均衡網(wǎng)絡(luò)負(fù)載。除了安裝必備的防火墻,部分企業(yè)為進(jìn)一步提高安全防范能力還安裝了外網(wǎng)入侵檢測(cè)系統(tǒng);大多數(shù)加油站采用SSLVPN方式訪問(wèn)企業(yè)內(nèi)部網(wǎng),以保證網(wǎng)絡(luò)接入的安全性。在PC系統(tǒng)方面,大多數(shù)企業(yè)統(tǒng)一安裝了企業(yè)版的病毒防護(hù)軟件系統(tǒng)和桌面安全網(wǎng)絡(luò)接入系統(tǒng),實(shí)現(xiàn)PC機(jī)的MAC地址綁定。
2.銷售系統(tǒng)信息化建設(shè)。
目前,企業(yè)的銷售信息系統(tǒng)主要包括:加油卡系統(tǒng)、辦公自動(dòng)化系統(tǒng)、加油站零售管理系統(tǒng)、企業(yè)門(mén)戶網(wǎng)站、ERP系統(tǒng)等。信息系統(tǒng)具有如下特點(diǎn):一是用戶眾多,幾乎所有企業(yè)管理人員都是各系統(tǒng)用戶;二是應(yīng)用領(lǐng)域廣,涉及企業(yè)經(jīng)營(yíng)、管理、對(duì)外服務(wù)諸多方面;三是要求連續(xù)運(yùn)轉(zhuǎn),如ERP系統(tǒng)必須滿足7×24小時(shí)運(yùn)轉(zhuǎn)。由于信息系統(tǒng)的安全運(yùn)轉(zhuǎn)不僅關(guān)系到企業(yè)經(jīng)營(yíng)管理的可持續(xù)性,其數(shù)據(jù)的安全性和保密性更關(guān)系到廣大客戶的利益。所以,基于上述的原因,企業(yè)對(duì)銷售信息系統(tǒng)的安全運(yùn)轉(zhuǎn)提出了更高的要求。
3.銷售系統(tǒng)的信息安全現(xiàn)狀。
石油銷售管理系統(tǒng)是關(guān)系國(guó)家安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定的重要信息系統(tǒng),國(guó)家對(duì)其信息安全高度重視,并在《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》中強(qiáng)調(diào),我國(guó)要全面加強(qiáng)國(guó)家信息安全保障體系的建設(shè),大力增強(qiáng)國(guó)家信息安全保障能力,實(shí)現(xiàn)信息化建設(shè)與信息安全保障的協(xié)調(diào)發(fā)展。同時(shí),國(guó)內(nèi)石油銷售企業(yè)也長(zhǎng)期重視信息安全工作,逐步建立了相應(yīng)的保障體系和規(guī)章制度,但還存在以下問(wèn)題:
(1)范圍涉及廣泛。
石油銷售企業(yè)分支機(jī)構(gòu)多,終端運(yùn)營(yíng)組織龐大且分散,以中石油集團(tuán)為例,其截至2013年分布在全國(guó)的加油站已超過(guò)30000座。在如此龐大的銷售系統(tǒng)中,信息網(wǎng)絡(luò)承載著指導(dǎo)業(yè)務(wù)運(yùn)行的重要功能。大量、分散部署的加油終端,必然會(huì)造成聯(lián)網(wǎng)方式的多樣化、網(wǎng)絡(luò)環(huán)境的復(fù)雜化。
(2)設(shè)備系統(tǒng)眾多。
石油銷售企業(yè)信息化管理系統(tǒng)中所涉及的設(shè)備精度髙、技術(shù)要求深,并且范圍廣泛,包括加油站、油庫(kù)等大量的自動(dòng)化控制系統(tǒng)。因此,業(yè)務(wù)管理流程復(fù)雜,安全風(fēng)險(xiǎn)增大。
(3)人員素質(zhì)不齊。
由于石油銷售屬于傳統(tǒng)行業(yè),因此企業(yè)人員年齡跨度較大,對(duì)信息安全管理的職業(yè)組織參差不齊;甚至對(duì)于企業(yè)管理人員,對(duì)于信息安全的認(rèn)識(shí)也多停留在紙上談兵;基層人員眾多,且直接面對(duì)客戶,流動(dòng)性大,信息泄露風(fēng)險(xiǎn)極高。而且新生代的企業(yè)員工對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)接觸早,應(yīng)用水平高,日常使用頻繁,在缺乏網(wǎng)絡(luò)安全防護(hù)意識(shí)的情況下更易導(dǎo)致信息泄漏,甚至在好奇心理的鼓動(dòng)下主動(dòng)發(fā)起網(wǎng)絡(luò)攻擊行為,所以企業(yè)內(nèi)網(wǎng)安全也成為一個(gè)突出的問(wèn)題。
(4)資金投入有限。
國(guó)外企業(yè)在信息安全方面的資金投入達(dá)到了企業(yè)整體基建的5%-20%,而我國(guó)企業(yè)基本都在2%以下。全世界每年因信息安全方面的漏洞導(dǎo)致的經(jīng)濟(jì)損失達(dá)數(shù)萬(wàn)億美元,中國(guó)的損失也達(dá)到了一百億美元以上,但是中國(guó)企業(yè)在這方面的投資只有幾十億美元。因此,我國(guó)企業(yè)整體信息化安全建設(shè)預(yù)算不足。石油企業(yè)信息化工程是一項(xiàng)繁重的任務(wù),需要在信息安全方面有更大的投入。大型油企需要建立復(fù)雜龐大的數(shù)據(jù)庫(kù)備份體系,建立并維護(hù)高效的網(wǎng)絡(luò)殺毒系統(tǒng)、企業(yè)級(jí)防火墻、IDS、IPS系統(tǒng)和完善的補(bǔ)丁更新及發(fā)放機(jī)制,以保證企業(yè)各方面的數(shù)據(jù)安全。建立這一復(fù)雜的系統(tǒng)需要大量的資金投入,而且其投入回報(bào)慢,因此石油企業(yè)普遍輕視這方面的投入和維護(hù),信息安全建設(shè)相對(duì)于企業(yè)的發(fā)展整體滯后。
二、石油銷售系統(tǒng)的信息安全管理系統(tǒng)設(shè)計(jì)
石油銷售系統(tǒng)的信息安全管理系統(tǒng)是一個(gè)程序化、系統(tǒng)化、文件化的管理體系,以預(yù)防控制為主,強(qiáng)調(diào)動(dòng)態(tài)全過(guò)程控制。建立相應(yīng)的信息安全管理系統(tǒng),需要從物理、信息、網(wǎng)絡(luò)、系統(tǒng)、管理等多方面保證整體安全;建立綜合防范機(jī)制,確保銷售信息安全以及加油卡、EPR等電子銷售系統(tǒng)的可靠運(yùn)行,保障整體信息網(wǎng)絡(luò)的安全、高效、可靠運(yùn)轉(zhuǎn),規(guī)避潛在風(fēng)險(xiǎn),供系統(tǒng)的可靠性和安全性。因此,石油銷售系統(tǒng)的信息安全管理系統(tǒng)構(gòu)架分為以下組成:
(1)組織層面。
石油銷售部門(mén)應(yīng)建立責(zé)任明確的各級(jí)信息安全管理組織,包括信息安全委員會(huì)、信息安全管理部門(mén),并通過(guò)設(shè)立信息安全員,指定專人專項(xiàng)負(fù)責(zé)。通過(guò)這些部門(mén)和負(fù)責(zé)人開(kāi)展信息安全認(rèn)知宣傳和培訓(xùn),提高企業(yè)員工對(duì)信息安全重要性的認(rèn)識(shí)。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規(guī)程和突發(fā)事件應(yīng)急預(yù)案等一系列章程,經(jīng)科學(xué)性審核和測(cè)試后下發(fā)各級(jí)部門(mén),提升企業(yè)的信息安全管理的效能,減少事故發(fā)生風(fēng)險(xiǎn),提高應(yīng)急響應(yīng)能力。
(3)執(zhí)行層面。
信息安全管理部門(mén)應(yīng)當(dāng)定期檢查和隨機(jī)抽查相結(jié)合,監(jiān)督安全制度在各級(jí)部門(mén)的執(zhí)行情況,評(píng)估安全風(fēng)險(xiǎn),負(fù)責(zé)PDCA的循環(huán)控制。
(4)技術(shù)層面。
信息安全管理部門(mén)要提供安全管理、防護(hù)、控制所需的技術(shù)支持,全面保障企業(yè)整體信息安全管理系統(tǒng)建設(shè)。通常信息安全技術(shù)分為物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、終端安全、數(shù)據(jù)安全以及應(yīng)用安全等六個(gè)方面,主要包括監(jiān)控與審核跟蹤,數(shù)據(jù)備份與恢復(fù),訪問(wèn)管理與身份認(rèn)證,信息加密與加固等具體技術(shù)措施。通過(guò)有效的信息安全管理平臺(tái)和運(yùn)作平臺(tái),在最短時(shí)間內(nèi)對(duì)信息安全事件進(jìn)行響應(yīng)處理,保障信息安全管控措施的落實(shí),實(shí)現(xiàn)信息安全管理的目標(biāo)。
三、結(jié)語(yǔ)
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,信息安全問(wèn)題正日益突出顯現(xiàn)出來(lái),受到越來(lái)越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀.探討了網(wǎng)絡(luò)信息安全的內(nèi)涵,分析了網(wǎng)絡(luò)信息安全的主要威脅,最后給出了網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)技術(shù)和防范措施.以保障計(jì)算機(jī)網(wǎng)絡(luò)的信息安全,從而充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用。
論文關(guān)鍵詞:計(jì)算機(jī),網(wǎng)絡(luò)安全,安全管理,密鑰安全技術(shù)
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開(kāi)放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,原本網(wǎng)絡(luò)固有的優(yōu)越性、開(kāi)放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來(lái)越棘手的問(wèn)題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)、處理和使用都要求處于安全狀態(tài)可見(jiàn).網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒(méi)有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過(guò)程中不被篡改、竊取、遺失和破壞。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示,截至2008年底,中國(guó)網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無(wú)影響”的只有4.2%。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無(wú)論從采用的管理模型,還是技術(shù)控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機(jī)構(gòu)或部門(mén)中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門(mén)的情況制定管理策略和措施:
①樹(shù)立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的。
③對(duì)網(wǎng)絡(luò)的管理要遵循國(guó)家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它通過(guò)監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況.以此來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開(kāi)放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性,保證信息在傳送過(guò)程中未被竄改、重放或延遲等。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開(kāi)的信息中.然后通過(guò)公開(kāi)信息的傳輸來(lái)傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開(kāi)信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過(guò)一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺(jué)系統(tǒng)覺(jué)察或注意到。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
人侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem簡(jiǎn)稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息.再通過(guò)這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認(rèn)為是防火墻之后的第二道安全閘門(mén).它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前.檢測(cè)到入侵攻擊.并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過(guò)程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關(guān)信息.作為防范系統(tǒng)的知識(shí).添加入策略集中.增強(qiáng)系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù).是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
現(xiàn)代社會(huì)的發(fā)展主要依靠著科技發(fā)展做領(lǐng)航,以經(jīng)濟(jì)發(fā)展為主要目的,在科技不斷進(jìn)步中,計(jì)算機(jī)信息的發(fā)展逐步走入了人們的視線以內(nèi),在這樣的大環(huán)境中信息產(chǎn)業(yè)逐步進(jìn)入人們的生活生產(chǎn)中,并且在經(jīng)濟(jì)市場(chǎng)中占領(lǐng)了主導(dǎo)的地位。信息產(chǎn)業(yè)的發(fā)達(dá),其中重要的是計(jì)算機(jī)信息的發(fā)展,計(jì)算機(jī)信息的重要性則大大提高,對(duì)于信息的處理問(wèn)題也隨之加大了實(shí)際操作的難度。控制信息的獲路徑,還是信息傳播及利用與管理都變得更加地嚴(yán)峻,因?yàn)閷?duì)信息的管理與控制不當(dāng),將會(huì)出現(xiàn)信息安全事故,造成不可估量的后果。有效保障信息的安全對(duì)于個(gè)人與國(guó)家都是有益的,也有利于整個(gè)社會(huì)的有序發(fā)展。從美國(guó)開(kāi)始對(duì)于信息進(jìn)行監(jiān)控,通過(guò)信息獲取各國(guó)的實(shí)際情況開(kāi)始,計(jì)算機(jī)信息的安全管理,已經(jīng)不再是個(gè)人隱私的安全問(wèn)題,其中也關(guān)系到國(guó)家的完整以及國(guó)家安全的重要問(wèn)題。現(xiàn)在可以看出,結(jié)合我國(guó)的實(shí)際情況做出一套具有科學(xué)性、可施性的計(jì)算機(jī)管理存儲(chǔ)方案是很重要的,對(duì)于整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)來(lái)說(shuō)更是至關(guān)重要的。
2計(jì)算機(jī)信息儲(chǔ)存中安全
2.1計(jì)算機(jī)中的安全問(wèn)題
由于計(jì)算機(jī)信息與傳統(tǒng)信息在特點(diǎn)上的不同,因此計(jì)算機(jī)信息在傳統(tǒng)信息中也存在著更多的不同,其中主要原因在于計(jì)算機(jī)信息離不開(kāi)是科技產(chǎn)物的發(fā)展,計(jì)算機(jī)信息出現(xiàn)問(wèn)題主要表現(xiàn)在技術(shù)上。計(jì)算機(jī)信息的主要問(wèn)題與傳統(tǒng)信息屬于一致性的問(wèn)題在于信息遺漏,盜取信息經(jīng)行出售更多地不是黑客所為,而是出自企業(yè)內(nèi)部所造成的。信息遺漏對(duì)企業(yè)造成更多地經(jīng)濟(jì)損失,造成這樣事件的發(fā)生的原因與企業(yè)內(nèi)部員工有很多原因,如:企業(yè)工作人員對(duì)于計(jì)算機(jī)實(shí)際操作的不嫻熟,在無(wú)意間將信息泄露,還有則是為了自己的私利,將企業(yè)內(nèi)部信息使自己獲取利益,還有則是黑客進(jìn)攻企業(yè)網(wǎng)絡(luò)信息系統(tǒng)竊取信息,但是由于企業(yè)的網(wǎng)絡(luò)受到外部網(wǎng)絡(luò)的監(jiān)控,其中黑客的攻擊很少能進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)系統(tǒng)進(jìn)行信息竊取。由此可以看出計(jì)算機(jī)信息的存儲(chǔ)安全問(wèn)題,在現(xiàn)代計(jì)算機(jī)高速發(fā)展中的重要發(fā)展對(duì)象。
2.2造成計(jì)算機(jī)信息安全問(wèn)題的原因
計(jì)算機(jī)的安全問(wèn)題主要集中在計(jì)算機(jī)信息的遺漏上,其中造成計(jì)算機(jī)信息的遺漏有著很多方面的原因,其中以下幾點(diǎn)原因是造成計(jì)算機(jī)信息安全的主要原因。
2.2.1電磁波的輻射泄露計(jì)算機(jī)在儲(chǔ)存信息的工作中少不了計(jì)算機(jī)硬件設(shè)備的支持,當(dāng)計(jì)算機(jī)的硬件設(shè)備在工作中會(huì)產(chǎn)生一點(diǎn)量的電磁波,在計(jì)算機(jī)存儲(chǔ)信息的同時(shí),部分人員利用現(xiàn)代技術(shù),經(jīng)過(guò)電磁波的控制可以獲得計(jì)算機(jī)的存儲(chǔ)信息,這樣的方法嚴(yán)重的威脅著計(jì)算機(jī)信息的安全存在問(wèn)題。
2.2.2網(wǎng)絡(luò)路徑獲得用戶信息計(jì)算機(jī)網(wǎng)絡(luò)普及到大家的生活中時(shí),信息的網(wǎng)絡(luò)化,更多的人員依賴計(jì)算機(jī)來(lái)存儲(chǔ)信息,但是在對(duì)自己信息的管理往往不太重視,使得不法分子有機(jī)可乘,利用計(jì)算機(jī)在網(wǎng)絡(luò)傳輸?shù)墓?jié)點(diǎn),信息渠道,信息端口實(shí)行信息竊取用戶的計(jì)算機(jī)信息。再加上現(xiàn)代網(wǎng)絡(luò)在使用上的普及,計(jì)算機(jī)知識(shí)并沒(méi)有得到普及,更多的用戶對(duì)于自己網(wǎng)絡(luò)信息的保密程度不夠重視,在自己的網(wǎng)絡(luò)中沒(méi)有設(shè)置用戶密碼,這樣給信息掠取者更多的機(jī)會(huì),在用戶沒(méi)有設(shè)置權(quán)限下,更容易獲取其私人的信息,造成更多的問(wèn)題。
2.2.3信息存儲(chǔ)介質(zhì)的不合理利用信息存儲(chǔ)介質(zhì)主要是指U盤(pán)、移動(dòng)硬盤(pán)、光盤(pán)等信息移動(dòng)存儲(chǔ),存儲(chǔ)介質(zhì)的出現(xiàn)給我們帶來(lái)更多便利,運(yùn)用存儲(chǔ)介質(zhì)可以將計(jì)算機(jī)信息隨身攜帶,有計(jì)算機(jī)的地方則可以調(diào)取設(shè)備中的計(jì)算機(jī)信息,方便外出工作,但是存儲(chǔ)介質(zhì)的不合理利用將會(huì)導(dǎo)致信息外漏,因?yàn)榇鎯?chǔ)介質(zhì)的使用方法簡(jiǎn)單,復(fù)制與粘貼可以將信息外帶,計(jì)算機(jī)信息使用后沒(méi)有進(jìn)行及時(shí)的刪除,很容易將信息外泄。
2.2.4計(jì)算機(jī)使用者的操作不當(dāng)由于計(jì)算機(jī)發(fā)展較快,從計(jì)算機(jī)的普及到計(jì)算機(jī)的運(yùn)用屬于快速發(fā)展,信息技術(shù)的開(kāi)發(fā)更是迅速,在這樣的情況下,人們由于每天忙碌工作,很少時(shí)間來(lái)學(xué)習(xí)先進(jìn)的計(jì)算機(jī)操作技術(shù),更多使用人員對(duì)于計(jì)算機(jī)的基本操作知識(shí)的缺乏,由于個(gè)人使用不當(dāng)造成信息外漏的情況很多,因此計(jì)算機(jī)使用者自身也對(duì)計(jì)算機(jī)信息安全造成了一定的影響。
2.2.5企業(yè)公司員工的忠誠(chéng)度企業(yè)中工作人員的忠誠(chéng)度也會(huì)對(duì)該企業(yè)自身的計(jì)算機(jī)信息安全造成隱患。隨著計(jì)算機(jī)的便利,更多企業(yè)的工作離不開(kāi)計(jì)算機(jī),由于計(jì)算機(jī)自身的特點(diǎn)和優(yōu)勢(shì),利用計(jì)算機(jī)存儲(chǔ)信息的便捷,公司企業(yè)的大多數(shù)信息都存儲(chǔ)在計(jì)算機(jī)內(nèi),在企業(yè)中如果管理計(jì)算機(jī)信息安全員工出現(xiàn)信息泄露,將對(duì)公司企業(yè)的發(fā)展造成不可估算的損失,其中在大型的企業(yè)當(dāng)中,員工的技術(shù)性問(wèn)題是不存在的,因此計(jì)算機(jī)信息安全問(wèn)題,主要出現(xiàn)在員工對(duì)于企業(yè)的忠誠(chéng)度上,更多的員工泄露企業(yè)公司計(jì)算機(jī)信息主要原因在于謀取私人利益,使自己獲得更多利潤(rùn)。
3計(jì)算機(jī)信息安全利用
解決計(jì)算機(jī)信息安全利用要從多個(gè)角度開(kāi)始進(jìn)行,不能僅僅依靠一部分的調(diào)控進(jìn)行管理,要通過(guò)幾個(gè)部分的相互協(xié)調(diào)共同控制,才能有效地提高計(jì)算機(jī)信息安全與合理的利用計(jì)算機(jī)信息。首先,要建立完整的計(jì)算機(jī)信息庫(kù),對(duì)計(jì)算機(jī)信息進(jìn)行有效地分類管理,良好控制計(jì)算機(jī)信息的出口與入口,可以降低計(jì)算信息的外泄問(wèn)題,其次是對(duì)企業(yè)公司的員工加強(qiáng)計(jì)算機(jī)知識(shí)普及的培訓(xùn),提高工作人員的對(duì)計(jì)算機(jī)的正確操作避免造成不必要的損失,而且要通過(guò)公司文化熏陶公司員工,提高員工對(duì)公司的忠誠(chéng)度,避免員工出現(xiàn)故意外漏現(xiàn)象。
3.1建立較為完整的信息管理
在公司或者企業(yè)當(dāng)中,信息的多樣化是一定會(huì)出現(xiàn)的,建立一套完整的公司信息管理庫(kù)是有必要的,將公司的信息進(jìn)行分類管理,并且實(shí)行多方面的管理設(shè)施,使用多人員管理信息,避免信息過(guò)多而導(dǎo)致信息混亂,在使用信息時(shí)不能快速查找,造成工作效率不高。
3.2進(jìn)行計(jì)算機(jī)技術(shù)的普及
由于計(jì)算機(jī)技術(shù)更新時(shí)間較快,計(jì)算機(jī)使用人員很難快速跟上計(jì)算機(jī)的最新操作,因此定期對(duì)公司員工進(jìn)行計(jì)算機(jī)知識(shí)普及有利于員工自身知識(shí)積累,提高員工的自身發(fā)展的同時(shí)有助于提高員工的忠誠(chéng)度,也有利于員工妥善管理計(jì)算機(jī)信息,提高公司企業(yè)的計(jì)算機(jī)信息安全。
3.3建立內(nèi)部網(wǎng)絡(luò)
建立公司的內(nèi)部網(wǎng)絡(luò),有利于公司企業(yè)及單位的計(jì)算機(jī)信息的共享,在公司內(nèi)部也有助于公司內(nèi)部人員交流,并且內(nèi)網(wǎng)的使用面積不大,通常在公司內(nèi)部,對(duì)網(wǎng)絡(luò)實(shí)行監(jiān)控較為容易,可以有效的防治計(jì)算機(jī)信息泄露。
4結(jié)束語(yǔ)
關(guān)鍵詞:電子商務(wù)信息安全安全技術(shù)
伴隨經(jīng)濟(jì)的迅猛發(fā)展,電子商務(wù)成為當(dāng)今世界商務(wù)活動(dòng)的新模式。要在國(guó)際競(jìng)爭(zhēng)中贏得優(yōu)勢(shì),必須保證電子商務(wù)中信息交流的安全。
一、電子商務(wù)的信息安全問(wèn)題
電子商務(wù)信息安全問(wèn)題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過(guò)互聯(lián)網(wǎng)、公共電話網(wǎng)在電磁波輻射范圍內(nèi)安裝截獲裝置或在數(shù)據(jù)包通過(guò)網(wǎng)關(guān)和路由器上截獲數(shù)據(jù),獲取機(jī)密信息或通過(guò)對(duì)信息流量、流向、通信頻度和長(zhǎng)度分析,推測(cè)出有用信息。2.信息的篡改:當(dāng)攻擊者熟悉網(wǎng)絡(luò)信息格式后,通過(guò)技術(shù)手段對(duì)網(wǎng)絡(luò)傳輸信息中途修改并發(fā)往目的地,破壞信息完整性。3.信息假冒:當(dāng)攻擊者掌握網(wǎng)絡(luò)信息數(shù)據(jù)規(guī)律或解密商務(wù)信息后,假冒合法用戶或發(fā)送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發(fā)信者事后否認(rèn)曾發(fā)送信息、收信者事后否認(rèn)曾收到消息、購(gòu)買(mǎi)者做了定貨單不承認(rèn)等。
二、信息安全要求
電子商務(wù)的安全是對(duì)交易中涉及的各種信息的可靠性、完整性和可用性保護(hù)。信息安全包括以下幾方面:
1.信息保密性:維護(hù)商業(yè)機(jī)密是電子商務(wù)推廣應(yīng)用的重要保障。由于建立在開(kāi)放網(wǎng)絡(luò)環(huán)境中,要預(yù)防非法信息存取和信息傳輸中被竊現(xiàn)象發(fā)生。2.信息完整性:貿(mào)易各方信息的完整性是電子商務(wù)應(yīng)用的基礎(chǔ),影響到交易和經(jīng)營(yíng)策略。要保證網(wǎng)絡(luò)上傳輸?shù)男畔⒉槐淮鄹模A(yù)防對(duì)信息隨意生成、修改和刪除,防止數(shù)據(jù)傳送中信息的失和重復(fù)并保證信息傳送次序的統(tǒng)一。3.信息有效性:保證信息有效性是開(kāi)展電子商務(wù)前提,關(guān)系到企業(yè)或國(guó)家的經(jīng)濟(jì)利益。對(duì)網(wǎng)絡(luò)故障、應(yīng)用程序錯(cuò)誤、硬件故障及計(jì)算機(jī)病毒的潛在威脅控制和預(yù)防,以保證貿(mào)易數(shù)據(jù)在確定時(shí)刻和地點(diǎn)有效。4.信息可靠性:確定要交易的貿(mào)易方是期望的貿(mào)易方是保證電子商務(wù)順利進(jìn)行的關(guān)鍵。為防止計(jì)算機(jī)失效、程序錯(cuò)誤、系統(tǒng)軟件錯(cuò)誤等威脅,通過(guò)控制與預(yù)防確保系統(tǒng)安全可靠。
三、信息安全技術(shù)
1.防火墻技術(shù)。防火墻在網(wǎng)絡(luò)間建立安全屏障,根據(jù)指定策略對(duì)數(shù)據(jù)過(guò)濾、分析和審計(jì),并對(duì)各種攻擊提供防范。安全策略有兩條:一是“凡是未被準(zhǔn)許就是禁止”。防火墻先封閉所有信息流,再審查要求通過(guò)信息,符合條件就通過(guò);二是“凡是未被禁止就是允許”。防火墻先轉(zhuǎn)發(fā)所有信息,然后逐項(xiàng)剔除有害內(nèi)容。
防火墻技術(shù)主要有:(1)包過(guò)濾技術(shù):在網(wǎng)絡(luò)層根據(jù)系統(tǒng)設(shè)定的安全策略決定是否讓數(shù)據(jù)包通過(guò),核心是安全策略即過(guò)濾算法設(shè)計(jì)。(2)服務(wù)技術(shù):提供應(yīng)用層服務(wù)控制,起到外部網(wǎng)絡(luò)向內(nèi)部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)中間轉(zhuǎn)接作用。服務(wù)還用于實(shí)施較強(qiáng)數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄等功能。(3)狀態(tài)監(jiān)控技術(shù):在網(wǎng)絡(luò)層完成所有必要的包過(guò)濾與網(wǎng)絡(luò)服務(wù)防火墻功能。(4)復(fù)合型技術(shù):把過(guò)濾和服務(wù)兩種方法結(jié)合形成新防火墻,所用主機(jī)稱為堡壘主機(jī),提供服務(wù)。(5)審計(jì)技術(shù):通過(guò)對(duì)網(wǎng)絡(luò)上發(fā)生的訪問(wèn)進(jìn)程記錄和產(chǎn)生日志,對(duì)日志統(tǒng)計(jì)分析,對(duì)資源使用情況分析,對(duì)異常現(xiàn)象跟蹤監(jiān)視。(6)路由器加密技術(shù):加密路由器對(duì)通過(guò)路由器的信息流加密和壓縮,再通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩私鈮嚎s和解密。2.加密技術(shù)。為保證數(shù)據(jù)和交易安全,確認(rèn)交易雙方的真實(shí)身份,電子商務(wù)采用加密技術(shù)。數(shù)據(jù)加密是最可靠的安全保障形式和主動(dòng)安全防范的策略。目前廣泛應(yīng)用的加密技術(shù)有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過(guò)程是貿(mào)易方甲生成一對(duì)密鑰并將其中一把作為公開(kāi)密鑰公開(kāi);得到公開(kāi)密鑰的貿(mào)易方乙對(duì)信息加密后再發(fā)給貿(mào)易方甲:貿(mào)易方甲用另一把專用密鑰對(duì)加密信息解密。具有數(shù)字憑證身份人員的公共密鑰在網(wǎng)上查到或請(qǐng)對(duì)方發(fā)信息將公共密鑰傳給對(duì)方,保證傳輸信息的保密和安全。(2)數(shù)字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數(shù)字指紋,有固定長(zhǎng)度且不同明文摘要成密文結(jié)果不同,而同樣明文摘要必定一致。這串摘要成為驗(yàn)證明文是否真身的“指紋”。(3)數(shù)字簽名:將數(shù)字摘要、公用密鑰算法兩種加密方法結(jié)合。在書(shū)面文件上簽名是確認(rèn)文件的手段。簽名作用有兩點(diǎn):一是因?yàn)樽约汉灻y以否認(rèn),從而確認(rèn)文件已簽署;二是因?yàn)楹灻灰追旅埃瑥亩_定文件為真。(4)數(shù)字時(shí)間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關(guān)鍵性內(nèi)容,數(shù)字時(shí)間戳服務(wù)能提供電子文件發(fā)表時(shí)間的安全保護(hù)。
3.認(rèn)證技術(shù)。安全認(rèn)證的作用是進(jìn)行信息認(rèn)證。信息認(rèn)證是確認(rèn)信息發(fā)送者的身份,驗(yàn)證信息完整性,確認(rèn)信息在傳送或存儲(chǔ)過(guò)程中未被篡改。(1)數(shù)字證書(shū):也叫數(shù)字憑證、數(shù)字標(biāo)識(shí),用電子手段證實(shí)用戶身份及對(duì)網(wǎng)絡(luò)資源的訪問(wèn)權(quán)限,可控制被查看的數(shù)據(jù)庫(kù),提高總體保密性。交易支付過(guò)程中,參與各方必須利用認(rèn)證中心簽發(fā)的數(shù)字證書(shū)證明身份。(2)安全認(rèn)證機(jī)構(gòu):電子商務(wù)授權(quán)機(jī)構(gòu)也稱電子商務(wù)認(rèn)證中心。無(wú)論是數(shù)字時(shí)間戳服務(wù)還是數(shù)字證書(shū)發(fā)放,都需要有權(quán)威性和公正性的第三方完成。CA是承擔(dān)網(wǎng)上安全交易認(rèn)證服務(wù)、簽發(fā)數(shù)字證書(shū)并確認(rèn)用戶身份的企業(yè)機(jī)構(gòu),受理數(shù)字證書(shū)的申請(qǐng)、簽發(fā)及對(duì)數(shù)字證書(shū)管理。
4.防病毒技術(shù)。(1)預(yù)防病毒技術(shù),通過(guò)自身常駐系統(tǒng)內(nèi)存,優(yōu)先獲取系統(tǒng)控制權(quán),監(jiān)視系統(tǒng)中是否有病毒,阻止計(jì)算機(jī)病毒進(jìn)入計(jì)算機(jī)系統(tǒng)和對(duì)系統(tǒng)破壞。(2)檢測(cè)病毒技術(shù),通過(guò)對(duì)計(jì)算機(jī)病毒特征進(jìn)行判斷的偵測(cè)技術(shù),如自身校驗(yàn)、關(guān)鍵字、文件長(zhǎng)度變化。(3)消除病毒技術(shù),通過(guò)對(duì)計(jì)算機(jī)病毒分析,開(kāi)發(fā)出具有殺除病毒程序并恢復(fù)原文件的軟件。另外要認(rèn)真執(zhí)行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發(fā),使計(jì)算機(jī)始終處于良好工作狀態(tài)。
四、結(jié)語(yǔ)
信息安全是電子商務(wù)的核心。要不斷改進(jìn)電子商務(wù)中的信息安全技術(shù),提高電子商務(wù)系統(tǒng)的安全性和可靠性。但電子商務(wù)的安全運(yùn)行,僅從技術(shù)角度防范遠(yuǎn)遠(yuǎn)不夠,還必須完善電子商務(wù)立法,以規(guī)范存在的各類問(wèn)題,引導(dǎo)和促進(jìn)我國(guó)電子商務(wù)快速健康發(fā)展。
參考文獻(xiàn):
[1]譚衛(wèi):電子商務(wù)中安全技術(shù)的研究.哈爾濱工業(yè)大學(xué),2006
1.1供應(yīng)鏈的流程主要包含:備件生產(chǎn)、采購(gòu)、儲(chǔ)備與庫(kù)房建設(shè)、管理等一系列流程,需要設(shè)備供應(yīng)商、采購(gòu)商與用戶等輪流接手,將電力物資在此供應(yīng)鏈上順承。因此,只有保證各個(gè)環(huán)節(jié)所獲取的信息準(zhǔn)確無(wú)誤,才能進(jìn)一步確定最終信息的正確性,進(jìn)而防止信息在傳播過(guò)程中遭受惡意攻擊破壞。如果發(fā)現(xiàn)文檔被篡改,合理的進(jìn)行篡改定位,可以及時(shí)發(fā)現(xiàn)被改動(dòng)的信息,防止導(dǎo)致嚴(yán)重的后果。
1.2文本數(shù)字水印技術(shù)文本數(shù)字水印技術(shù)利用文本文檔的冗余空間,完成水印信息的嵌入,以達(dá)到隱蔽通信、真?zhèn)舞b定、內(nèi)容認(rèn)證等目的。文本數(shù)字水印技術(shù)結(jié)合人類視覺(jué)系統(tǒng)(HVS),在肉眼感知系數(shù)變化不超過(guò)不可感知的范圍內(nèi),通過(guò)微調(diào)文檔格式或改變文檔內(nèi)容嵌入水印信息,以達(dá)到所需目的。基于微調(diào)文檔格式的水印算法主要是在肉眼不可分辨的閾值內(nèi),輕微改變行間距、字符間距及字符屬性嵌入水印信息,此類水印算法魯棒性較好,可以抵抗一定的攻擊,透明性高,容量大;通過(guò)改變文檔內(nèi)容嵌入水印信息的方法主要是依靠同義詞替換和等價(jià)句式替換完成水印信息的嵌入,此類算法魯棒性高于基于格式嵌入水印的算法,但是,由于引起了內(nèi)容的變化,透明性較差,容量較小。
2基于字符顏色的文本水印算法
電力物資供應(yīng)鏈中文檔的可信傳輸,針對(duì)算法的透明性與魯棒性要求較高,即不能發(fā)生易察覺(jué)的變化,引起攻擊者的興趣,保證文檔內(nèi)容不能發(fā)生變化導(dǎo)致歧義的同時(shí)還必需保障算法具備較好的魯棒性以抵抗攻擊。因此,本文采取基于改變字符顏色嵌入水印信息的水印算法。根據(jù)人眼視錐細(xì)胞對(duì)顏色的敏感度測(cè)試可知,肉眼對(duì)顏色的RGB分量敏感度不同,對(duì)紅色最敏感,綠色次之,藍(lán)色最弱。為了保證嵌入水印信息具備更好的透明性,本算法不改變字符顏色的R位,而采用修改字符顏色G分量的低三位,B分量的低四位,完成水印信息的嵌入。
2.1水印信息潛入規(guī)則水印信息的預(yù)處理過(guò)程為了提高安全性,本算法結(jié)合密碼學(xué),對(duì)水印信息進(jìn)行預(yù)處理,使用漢明編碼對(duì)加密后的信息進(jìn)行編碼。基于線性同余法實(shí)現(xiàn)了水印信息嵌入位置的隨機(jī)化。線性同余偽隨機(jī)序列的迭代公式為:xi+1=(axi+c)(modm)其中,m為最接近文檔字符總數(shù)的素?cái)?shù),a∈(2,m),c小于m且與m互素。步驟1:輸入密鑰信息,并將其轉(zhuǎn)化為二進(jìn)制序列K=k1k2k3…km;步驟2:輸入水印信息,并將其轉(zhuǎn)化為二進(jìn)制序列W=w1w2w3…wn;步驟3:針對(duì)密鑰與水印序列進(jìn)行循環(huán)取模,獲得加密后的二進(jìn)制序列M=m1m2m3…ml,其中,l=max{m,n};步驟4:基于(7,4)漢明編碼增加監(jiān)督碼,以實(shí)現(xiàn)錯(cuò)位糾正的目的,即可獲得預(yù)處理后的二進(jìn)制序列H=h1h2h3…h(huán)t,其中,t=7*l/4,hi∈0,1,1≤i≤t。水印信息的嵌入步驟1:文檔初始化,將字符顏色均設(shè)置為黑色,即RGB(0,0,0);步驟2:遍歷文檔,統(tǒng)計(jì)字符數(shù)N,判斷預(yù)嵌入空間是否足夠;步驟3:根據(jù)水印信息預(yù)處理部分所得的位置,對(duì)于字符(jj<N),嵌入水印信息的間隔標(biāo)識(shí)S,進(jìn)行水印信息的循環(huán)嵌入,即修改字符的RGB值,此時(shí),RGB分別被修改為(0,0,1),(0,0,2);步驟4:選定字符j,若j<N,則執(zhí)行步驟7;否則判斷間隔標(biāo)識(shí),標(biāo)識(shí)嵌入完成執(zhí)行步驟5,未完成則執(zhí)行步驟1;步驟5:hi=1時(shí),修改當(dāng)前字符為RGB(0,1,1);修改下一個(gè)字符為RGB(0,1,2);hi=0時(shí),修改當(dāng)前字符為RGB(0,2,0);修改下一個(gè)字符為RGB(0,2,1);步驟6:重復(fù)執(zhí)行步驟1-5嵌入信息。步驟7:嵌入完成,保存文檔。
2.2水印信息的提取步驟1:輸入密鑰,將其轉(zhuǎn)換成二進(jìn)制序列K;步驟2:遍歷文檔,查找RGB被修改的位置,根據(jù)嵌入的規(guī)則,提取“1”,“0”,得到二進(jìn)制序列S;步驟3:通過(guò)對(duì)S解碼和糾錯(cuò),得到二進(jìn)制序列M;當(dāng)imod7=0時(shí),計(jì)算校正子,如果3位校正子全為0,則水印未被篡改,如果得到其它值,對(duì)其進(jìn)行篡改定位并進(jìn)行一位錯(cuò)碼糾正,去除監(jiān)督位。步驟4:對(duì)二進(jìn)制序列M與密鑰K進(jìn)行循環(huán)取模,可以得到水印信息的二進(jìn)制序列,再對(duì)其進(jìn)行轉(zhuǎn)換,得到輸入的水印信號(hào)。
3實(shí)驗(yàn)結(jié)果與實(shí)驗(yàn)分析
本實(shí)驗(yàn)隨機(jī)選取3篇包含中、英文字符的word文檔為測(cè)試文檔,對(duì)其進(jìn)行水印信息的嵌入和提取,以及攻擊實(shí)驗(yàn),其中,嵌入的測(cè)試水印信息為“電力物資123”。
(1)透明性分析:該算法的透明性設(shè)計(jì)充分考慮了HVS,滿足肉眼不可分辨字符色彩有所變化的范圍。同時(shí),由圖1和圖2對(duì)比所見(jiàn),嵌入信息后的文檔與原始文檔并無(wú)差異。
(2)魯棒性分析:該算法的魯棒性較強(qiáng),由于此算法采用循環(huán)嵌入水印信息的方式,因此,含有水印信息的文檔只要有一個(gè)完整的水印信息沒(méi)有被攻擊破壞,就可以完成該水印信息的檢測(cè)提取。該算法可以抵抗除了全篇字符顏色攻擊外的其他格式攻擊,同時(shí),在針對(duì)一部分字符遭受顏色攻擊時(shí)可以成功進(jìn)行篡改定位。針對(duì)內(nèi)容攻擊,該算法的魯棒性亦較強(qiáng),只要全篇內(nèi)容沒(méi)有均遭受攻擊,嵌入的水印信息就可以被正確檢測(cè)。
(3)容量分析:該算法基于改變字符RGB值完成水印信息的嵌入,一個(gè)字符可以完成一個(gè)字節(jié)信息的嵌入,容量很大,但是,算法中結(jié)合了糾錯(cuò)機(jī)制,即漢明編碼,每7個(gè)碼字包含4個(gè)信息位,糾正1比特錯(cuò)誤。因此,平均兩個(gè)字符可以完成一個(gè)字節(jié)水印信息的嵌入,容量可以滿足基本的使用。綜上,該算法具備透明性、容量較大的特點(diǎn),可以實(shí)現(xiàn)針對(duì)內(nèi)容進(jìn)行隱蔽通信,不易引起對(duì)手的興趣,該算法魯棒性較強(qiáng),可以抵抗一定的攻擊,同時(shí)該算法具備一定的篡改定位性能,進(jìn)一步保障了文檔的安全傳輸。
4結(jié)束語(yǔ)
目前信息安全是一個(gè)所有人都比較關(guān)注的問(wèn)題,作為唯一一個(gè)對(duì)用戶的移動(dòng)業(yè)務(wù)體現(xiàn)形式的移動(dòng)終端,同時(shí)作為載體存儲(chǔ)用戶個(gè)人的信息,是要與移動(dòng)網(wǎng)絡(luò)配合以保證安全的移動(dòng)業(yè)務(wù),實(shí)現(xiàn)移動(dòng)終端與移動(dòng)網(wǎng)絡(luò)之間可靠安全的通信通道,同時(shí)還要使具有機(jī)密性、完整性的用戶個(gè)人信息得以保證。不斷強(qiáng)大的和逐漸普及的移動(dòng)終端功能,不可或缺的用品逐漸成為移動(dòng)終端在日常生活中人們的普遍共識(shí),而同時(shí)在帶給用戶便利的這些具有強(qiáng)大功能的智能終端,也導(dǎo)致了一系列日益突顯的信息安全的問(wèn)題。一方面,越來(lái)越多的個(gè)人信息存儲(chǔ)在智能終端中;而另一方面,信息的泄露與病毒的傳播也會(huì)為數(shù)據(jù)交換功能和豐富的通信所引起。在管理進(jìn)網(wǎng)檢測(cè)中,分析現(xiàn)有的信息安全威脅,并對(duì)移動(dòng)智能終端通過(guò)專業(yè)的安全檢測(cè)工具檢測(cè)操作系統(tǒng),讓終端自身的防護(hù)能力被移動(dòng)智能終端的制造商所提高,以保護(hù)原本沒(méi)有防護(hù)能力的智能終端。使用戶在使用通過(guò)行業(yè)標(biāo)準(zhǔn)規(guī)范的應(yīng)用程序時(shí)可知、可控。但是,目前仍有水平不足的自我管理、意識(shí)不強(qiáng)的信息安全的一部分用戶,同樣會(huì)導(dǎo)致暴露部分用戶在移動(dòng)智能終端上的個(gè)人信息。
二、分析個(gè)人信息安全的技術(shù)問(wèn)題
隨著不斷發(fā)展的科學(xué)技術(shù),越來(lái)越多的新業(yè)務(wù)集成在移動(dòng)終端之上,對(duì)信息安全來(lái)說(shuō),部分的新業(yè)務(wù)是有其特殊的要求的,新的安全隱患可能伴隨著用戶的部分新的業(yè)務(wù)。例如移動(dòng)終端集成了定位業(yè)務(wù),其自身的位置信息時(shí)可以隨時(shí)隨地獲得的,而個(gè)人用戶的私密信息也是包含位置信息的;例如移動(dòng)終端集成了生物識(shí)別的技術(shù),則可以記性保護(hù)用戶的個(gè)人信息的,但是在終端設(shè)備上同樣會(huì)緩存生物識(shí)別的信息的,所以移動(dòng)終端具備定位業(yè)務(wù)是有特殊的要求的,尤其是在對(duì)于信息安全方面。不存在絕對(duì)安全的軟件系統(tǒng),應(yīng)在做好相關(guān)工作的同時(shí)規(guī)避不同的風(fēng)險(xiǎn),可從以下幾方面來(lái)實(shí)施防范個(gè)人信息安全受到威脅:
(1)應(yīng)用程序的權(quán)限進(jìn)行限制。
安裝應(yīng)用程序的時(shí)候,該應(yīng)用程序的最小權(quán)限必須得以確認(rèn),應(yīng)遵循的原則是最小權(quán)限的原則,將大大降低受到惡意軟件攻擊的可能性。但是對(duì)于不一定懂得如何驗(yàn)證是否合理權(quán)限要求的應(yīng)用程序的廣大普通用戶,用戶在大多數(shù)情況下對(duì)于系統(tǒng)所要求的權(quán)限會(huì)直接授予。所以則需要在設(shè)定權(quán)限或申請(qǐng)權(quán)限時(shí)的開(kāi)發(fā)者,使最小權(quán)限的原則嚴(yán)格的執(zhí)行。
(2)認(rèn)證程序應(yīng)用。
最有效的手段之一就是認(rèn)證并防范惡意的程序。審查相關(guān)的代碼經(jīng)過(guò)應(yīng)用程序以及完整的測(cè)試,可得到權(quán)威機(jī)構(gòu)的認(rèn)證并確認(rèn)其合理的使用權(quán)限,這力的防范了惡意程序。
(3)設(shè)置數(shù)據(jù)信息的加密功能。
用戶在使用瀏覽具有個(gè)人隱私性質(zhì)的信息或是應(yīng)用時(shí),硬通過(guò)設(shè)置一系列的登錄用戶口令來(lái)使某些移動(dòng)智能終端的功能解鎖,以減少威脅安全的情況發(fā)生。
(4)備份私有數(shù)據(jù)以及做好防護(hù)措施。
用戶在使用私有數(shù)據(jù)時(shí),應(yīng)提早及時(shí)的做好數(shù)據(jù)的備份以及防護(hù)措施能,以免在數(shù)據(jù)發(fā)生損毀或是泄漏時(shí)能夠有效的找回,而且做好數(shù)據(jù)的防護(hù)措施例如密碼找回。則可防止信息的二次泄露以免造成巨大的損失。
三、結(jié)語(yǔ)
最近幾年,水利部門(mén)根據(jù)水利工作的實(shí)際狀況,在對(duì)治水經(jīng)驗(yàn)和實(shí)際操作進(jìn)行總結(jié)的過(guò)程中,提出要轉(zhuǎn)變過(guò)去的水利發(fā)展道路,堅(jiān)持走可持續(xù)發(fā)展水利道路,建立水利現(xiàn)代化的發(fā)展道路。隨著水利事業(yè)的不斷發(fā)展和變革,水利信息化構(gòu)建也取得了一定的成績(jī),逐漸轉(zhuǎn)變成為水利現(xiàn)代化的主要力量。根據(jù)國(guó)家防汛抗旱指揮系統(tǒng)中的一期工程城市水資源的監(jiān)控管理,水利電子政務(wù)的相關(guān)項(xiàng)目和大型灌區(qū)信息化試點(diǎn)等重要工程的順利完成,水利信息化基礎(chǔ)設(shè)備也在不斷的健全,對(duì)業(yè)務(wù)的使用能力也在逐漸加強(qiáng)。防汛抗旱,城市水資源的監(jiān)控管理,水利電子政務(wù)和全國(guó)水土保持監(jiān)管信息體系等業(yè)務(wù)也開(kāi)始應(yīng)用到實(shí)際生活中。在水利信息化基礎(chǔ)構(gòu)建和業(yè)務(wù)不斷拓展的過(guò)程中,相關(guān)的保證水利信息化安全的體系也逐漸形成。
2強(qiáng)化水利網(wǎng)絡(luò)信息安全的解決措施
網(wǎng)絡(luò)和信息的安全隱患問(wèn)題,使得水利信息化的發(fā)展受到阻礙,所以要及時(shí)的進(jìn)行預(yù)防,綜合治理和科學(xué)管理,逐漸增加信息的安全性,加強(qiáng)其中的保護(hù)能力,保證水利信息化的持續(xù)運(yùn)行。
2.1加強(qiáng)信息安全管理
信息安全規(guī)劃包含了技術(shù)、管理和相關(guān)法律等多個(gè)層面的問(wèn)題,是穩(wěn)定網(wǎng)絡(luò)安全、物理安全、資料安全和使用安全的關(guān)鍵因素。信息安全規(guī)劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過(guò)程中,信息系統(tǒng)安全構(gòu)建和管理要更加具有系統(tǒng)性、整體性和目標(biāo)性。
2.1.1以信息化規(guī)劃為基礎(chǔ),構(gòu)建信息化建設(shè)
信息安全是在信息化規(guī)劃的基礎(chǔ)上,對(duì)信息安全進(jìn)行系統(tǒng)的整理,是信息化發(fā)展的主要力量。信息安全規(guī)劃不但要對(duì)信息化發(fā)展的實(shí)際情況進(jìn)行深入的分析和研究,更好的發(fā)現(xiàn)信息化中存在的安全隱患,還要根據(jù)信息化規(guī)劃以及信息化發(fā)展的主要戰(zhàn)略和思路,有效的處理信息安全的問(wèn)題。
2.1.2構(gòu)建信息安全系統(tǒng)
信息安全規(guī)劃需要從技術(shù)安全、組織安全、戰(zhàn)略安全等方面入手,構(gòu)建相關(guān)的信息安全系統(tǒng),從而更好的保證信息化的安全。
2.2日常的運(yùn)維管理
2.2.1注重網(wǎng)絡(luò)的安全監(jiān)控
網(wǎng)絡(luò)的飛速發(fā)展使得水利網(wǎng)絡(luò)安全和互聯(lián)網(wǎng)安全關(guān)系更加緊密。所以,注重互聯(lián)網(wǎng)安全監(jiān)控,從而及時(shí)的采取相關(guān)的安全防護(hù)措施,是現(xiàn)在日常安全管理工作中的主要內(nèi)容。
2.2.2安全狀態(tài)研究
網(wǎng)絡(luò)信息安全是處于不斷變化的過(guò)程中,需要定時(shí)對(duì)網(wǎng)絡(luò)安全環(huán)境進(jìn)行整體的分析,這樣不但可以發(fā)現(xiàn)其中的問(wèn)題,還可以及時(shí)的采取相關(guān)的措施進(jìn)行改正。安全態(tài)勢(shì)主要是利用網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、安全設(shè)備和安全管理工具等策略來(lái)進(jìn)行信息的處理,通過(guò)統(tǒng)計(jì)和分析,綜合評(píng)價(jià)網(wǎng)絡(luò)系統(tǒng)的安全性,并且對(duì)發(fā)展的狀態(tài)進(jìn)行判斷。
2.2.3信息安全風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估是信息安全管理工作中的重要部分。通過(guò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,可以及時(shí)的發(fā)現(xiàn)信息安全中的問(wèn)題,并且找到積極有效的解決措施。安全風(fēng)險(xiǎn)評(píng)估的主要方法是:(1)對(duì)被評(píng)估的主要信息進(jìn)行確定;(2)通過(guò)本地審計(jì)、人員走訪、現(xiàn)場(chǎng)觀看、文檔審閱、脆弱性掃描等方法,對(duì)評(píng)估范圍中的網(wǎng)絡(luò)、使用和主機(jī)等方面的安全技術(shù)和信息進(jìn)行管理;(3)對(duì)取得的信息資料進(jìn)行綜合的分析,判別被評(píng)估信息資產(chǎn)中存在的主要問(wèn)題和風(fēng)險(xiǎn);(4)從管理體制、管理措施、系統(tǒng)脆弱性判別、威脅研究、漏洞和現(xiàn)有技術(shù)等方面,根據(jù)風(fēng)險(xiǎn)程度的不同,分析和管理相關(guān)的安全問(wèn)題;(5)根據(jù)上面的分析結(jié)果,建立相關(guān)的信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。
2.2.4應(yīng)急響應(yīng)
所謂的應(yīng)急響應(yīng)就是信息安全保護(hù)的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴(yán)重影響,進(jìn)行及時(shí)的響應(yīng)和修復(fù)。應(yīng)急響應(yīng)包含了前期應(yīng)急準(zhǔn)備和后期應(yīng)急響應(yīng)兩個(gè)部分。前期應(yīng)急準(zhǔn)備主要有預(yù)警預(yù)防制度、組織指導(dǎo)系統(tǒng)、應(yīng)急響應(yīng)過(guò)程、應(yīng)急團(tuán)隊(duì)、應(yīng)急器械、技術(shù)支持、費(fèi)用支持等應(yīng)急措施,并且定時(shí)進(jìn)行應(yīng)急演練等。后期應(yīng)急措施主要有檢查病毒、系統(tǒng)防護(hù)、阻斷后門(mén)等問(wèn)題,對(duì)網(wǎng)絡(luò)服務(wù)進(jìn)行限制或關(guān)閉以及事后的恢復(fù)系統(tǒng)等工作。通過(guò)兩個(gè)部分的不斷配合,才能更好的發(fā)揮應(yīng)急響應(yīng)的重要作用。
2.3教育培養(yǎng)
人是信息安全的主要力量,其中的知識(shí)構(gòu)造和使用能力對(duì)信息安全工作有著重要的影響。強(qiáng)化信息安全管理人員的專業(yè)素養(yǎng),及時(shí)的進(jìn)行信息安全教育,提升人們的信息安全意識(shí),從而有效的減少信息安全問(wèn)題的出現(xiàn)。
3總結(jié)
信息安全素質(zhì)指的是社會(huì)成員所具備的信息安全素質(zhì)。在檔案信息管理領(lǐng)域里,該項(xiàng)素質(zhì)就是指檔案管理者對(duì)于網(wǎng)絡(luò)環(huán)境中的電子文件信息安全意識(shí)、能力。
2檔案管理工作者信息安全素質(zhì)現(xiàn)狀
2.1信息化管理意識(shí)欠缺
檔案管理者對(duì)于檔案信息化的認(rèn)識(shí)比較淺,不能夠?qū)㈦娮游募鳛槲覈?guó)的一項(xiàng)戰(zhàn)略信息資源,不能夠?qū)n案信息網(wǎng)絡(luò)安全有較深的意識(shí),在自己的日常工作中就不能夠去有意識(shí)的進(jìn)行預(yù)防,積極的應(yīng)對(duì),這是導(dǎo)致信息化管理意識(shí)比較緩慢的主要原因。
2.2信息化管理專業(yè)基礎(chǔ)知識(shí)相對(duì)薄弱
信息技術(shù)的日新月異,已經(jīng)掌握的技能方法如果不及時(shí)更新就會(huì)很快過(guò)時(shí)。檔案工作者不是信息技術(shù)專業(yè)人員,信息安全意識(shí)的缺乏使他們雖然意識(shí)到自身信息安全技能的不足,但由于缺乏強(qiáng)制性的提升專業(yè)水平的制度要求和定期的培訓(xùn)機(jī)制,使他們的信息安全能力與實(shí)際工作要求的差距越來(lái)越大。對(duì)于老的檔案管理者雖然掌握了檔案管理知識(shí),但是缺乏信息技術(shù)能力,不少掌握信息技術(shù)的年輕檔案工作者有的雖然掌握信息技術(shù),但是又缺乏檔案管理知識(shí),而有的年輕的檔案管理者由于在待遇、職稱、前景等問(wèn)題上的偏差認(rèn)識(shí)而主動(dòng)改行從事其他工作,使得整體信息技術(shù)水平偏低的檔案部門(mén)更加缺乏掌握信息技術(shù)的人才。
3提高檔案工作者信息安全素質(zhì)的對(duì)策
3.1提升檔案管理者的工作敏銳性,增加責(zé)任感
信息化時(shí)代大環(huán)境下,有很多的新領(lǐng)域和載體出現(xiàn),在檔案界引起了一些改變,同時(shí)也是提升了對(duì)檔案管理人員的素質(zhì)要求,我們要對(duì)檔案管理工作的基礎(chǔ)性有一個(gè)比較深刻的認(rèn)識(shí),將工作的重點(diǎn)置于服務(wù)和管理上,通過(guò)轉(zhuǎn)變工作的著力點(diǎn)來(lái)提升管理能力和服務(wù)效率,改善觀念,將檔案管理的綜合功能較好的發(fā)揮出來(lái),對(duì)現(xiàn)有的領(lǐng)域進(jìn)行拓展,變更服務(wù)模式,迎合現(xiàn)代檔案需求,不斷的開(kāi)創(chuàng)進(jìn)取,讓檔案管理可以為經(jīng)濟(jì)發(fā)展和社會(huì)發(fā)展提供幫助。
3.2提升檔案管理人員的專業(yè)素質(zhì)和水平
為檔案工作者進(jìn)行信息安全素質(zhì)培養(yǎng)。對(duì)新入的檔案工作者以及現(xiàn)有的檔案管理者進(jìn)行培訓(xùn),針對(duì)他們的不同薄弱環(huán)節(jié)進(jìn)行加強(qiáng),增加檔案管理知識(shí),提升檔案管理水平。根據(jù)不同崗位來(lái)進(jìn)行任務(wù)的分配,根據(jù)檔案人員自身的差異性來(lái)編排培訓(xùn)時(shí)間和內(nèi)容,對(duì)培訓(xùn)結(jié)果進(jìn)行考核。檔案工作者在具備了一定的信息安全技術(shù)之后,需要對(duì)自己所需要承擔(dān)的社會(huì)責(zé)任以及義務(wù)有明確的認(rèn)識(shí),能夠知法、懂法、遵法,自覺(jué)的對(duì)違法行為進(jìn)行監(jiān)督管理,對(duì)知識(shí)產(chǎn)權(quán)和隱私給予保障,使用信息安全技術(shù)來(lái)提升檔案管理效率和安全性。
3.3對(duì)檔案信息管理制度進(jìn)行強(qiáng)化
現(xiàn)在我國(guó)已經(jīng)存在一些信息安全標(biāo)準(zhǔn)以及相關(guān)規(guī)定,可是這些規(guī)定尚處于初期,并不完善,存在很多的問(wèn)題,還有很多的內(nèi)容需要在探索中完善,這些標(biāo)準(zhǔn)和規(guī)定中涉及到檔案信息管理者的信息安全素質(zhì)的要求和內(nèi)容,這也就導(dǎo)致了實(shí)際的問(wèn)題還無(wú)法獲得解決,因此無(wú)法將我國(guó)檔案管理者信息安全素質(zhì)差的現(xiàn)狀給扭轉(zhuǎn)過(guò)來(lái)。因此需要將檔案信息管理制度進(jìn)行強(qiáng)化,對(duì)現(xiàn)有的內(nèi)容和標(biāo)準(zhǔn)進(jìn)行完善,對(duì)檔案管理工作者進(jìn)行標(biāo)準(zhǔn)制定,結(jié)合當(dāng)前的檔案管理工作,選用優(yōu)秀的檔案管理人員,引入優(yōu)秀的檔案管理人才,提升檔案隊(duì)伍的整體水平。還有就是對(duì)檔案管理工作者的專業(yè)技術(shù)職務(wù)進(jìn)行考核,將信息素質(zhì)作為考核的項(xiàng)目之一,督促檔案工作者能夠自主的進(jìn)行檔案信息管理內(nèi)容的學(xué)習(xí),根據(jù)崗位差異來(lái)具體的調(diào)整制度,方便其執(zhí)行。
4結(jié)語(yǔ)
傳統(tǒng)信息安全風(fēng)險(xiǎn)主要包括3個(gè)要素:①資產(chǎn),它是信息系統(tǒng)內(nèi)部需要保護(hù)的重要資源或信息;②威脅,它是來(lái)自攻擊者的惡意攻擊,可能造成信息資產(chǎn)重大損失或外流的潛在因素;③脆弱性,它是信息系統(tǒng)內(nèi)部容易被攻擊的薄弱環(huán)節(jié)。實(shí)際的信息安全風(fēng)險(xiǎn)評(píng)估建立的模型對(duì)這3個(gè)要素有所深化和發(fā)展,并應(yīng)用于信息安全的標(biāo)準(zhǔn)化制定中。
(1)國(guó)際標(biāo)準(zhǔn)ISO15408。
該標(biāo)準(zhǔn)強(qiáng)調(diào)人為因素的作用,將信息系統(tǒng)的“屬主”從籠統(tǒng)的“資產(chǎn)”要素中分離出來(lái),將“攻擊者”從籠統(tǒng)的“威脅”要素中分離出來(lái)。該標(biāo)準(zhǔn)除了上述3個(gè)要素以外,還考慮漏洞、風(fēng)險(xiǎn)和措施這3個(gè)要素。
(2)國(guó)際標(biāo)準(zhǔn)ISO13335。
該標(biāo)準(zhǔn)細(xì)化了風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。它除了考慮“資產(chǎn)”要素以外,還考慮“資產(chǎn)價(jià)值”要素;除了考慮“防護(hù)措施”要素以外,還考慮“防護(hù)需求”要素,進(jìn)一步強(qiáng)調(diào)了系統(tǒng)中要素的屬性。此外,該標(biāo)準(zhǔn)還考慮到威脅、脆弱性、風(fēng)險(xiǎn)等3個(gè)一級(jí)指標(biāo),7個(gè)要素。
(3)國(guó)務(wù)院信息化工作辦公室制定的《信息安全風(fēng)險(xiǎn)評(píng)估指南》。
它引入了“使命”要素,從源頭上強(qiáng)調(diào)了信息風(fēng)險(xiǎn)管理工作的驅(qū)動(dòng)力;引入了“殘余風(fēng)險(xiǎn)”要素,強(qiáng)調(diào)了安全防范不可能一蹴而就,需要不斷改進(jìn);同時(shí)引入了“事件”要素,強(qiáng)調(diào)了對(duì)突發(fā)事件的預(yù)判,比ISO13335擴(kuò)展了3個(gè)要素,建立了適合中國(guó)國(guó)情的10個(gè)要素的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。開(kāi)展信息安全風(fēng)險(xiǎn)的評(píng)估一般分為5個(gè)步驟。①評(píng)估準(zhǔn)備階段,主要是明確風(fēng)險(xiǎn)評(píng)估的目的和意義,制定評(píng)估方案,確定評(píng)估模型等。②要素識(shí)別階段,主要是按照上級(jí)制定的標(biāo)準(zhǔn),結(jié)合被評(píng)估對(duì)象的實(shí)際情況,識(shí)別信息安全風(fēng)險(xiǎn)評(píng)估的各個(gè)要素,同時(shí)根據(jù)權(quán)威標(biāo)準(zhǔn)的一級(jí)指標(biāo)體系合理擴(kuò)展為可以測(cè)度的二級(jí)指標(biāo)體系。③測(cè)度匯總階段,主要是使用二級(jí)指標(biāo)體系進(jìn)行測(cè)度,給出評(píng)估分值,并使用合適的數(shù)學(xué)模型進(jìn)行匯總評(píng)分。④風(fēng)險(xiǎn)分析階段,主要是根據(jù)二級(jí)指標(biāo)體系的評(píng)分結(jié)果和數(shù)學(xué)模型計(jì)算分析結(jié)果,綜合進(jìn)行風(fēng)險(xiǎn)判斷,分析外部威脅和內(nèi)部漏洞的危險(xiǎn)程度,計(jì)算各指標(biāo)蘊(yùn)含的安全風(fēng)險(xiǎn)。⑤落實(shí)整改階段,主要是通過(guò)評(píng)估工作的匯報(bào)驗(yàn)收,找到風(fēng)險(xiǎn)根源,落實(shí)整改措施,不斷調(diào)整完善,提高系統(tǒng)抗風(fēng)險(xiǎn)的能力。
2兩類信息安全風(fēng)險(xiǎn)綜合評(píng)估指標(biāo)體系
安全風(fēng)險(xiǎn)評(píng)估和預(yù)警工作中,指標(biāo)體系的建立既很重要,也有很強(qiáng)的科學(xué)性。構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系需要掌握以下7項(xiàng)原則:①目的性原則。建立評(píng)估指標(biāo)體系的根本目的是有效防范信息安全風(fēng)險(xiǎn)。②科學(xué)性原則。指標(biāo)體系必須科學(xué)有效地反映信息安全風(fēng)險(xiǎn)的所有特點(diǎn)。③系統(tǒng)性原則。建立的評(píng)價(jià)指標(biāo)體系必須協(xié)調(diào)統(tǒng)一,層次合理,最大限度地反映信息安全風(fēng)險(xiǎn)的基本特點(diǎn)。④重要性原則。抓住反映信息安全風(fēng)險(xiǎn)本質(zhì)特點(diǎn)的主要因素來(lái)設(shè)計(jì)指標(biāo),該指標(biāo)體系必須能突出主要風(fēng)險(xiǎn)因素,建立重點(diǎn)突出,簡(jiǎn)明實(shí)用的指標(biāo)體系。⑤互斥性原則。要求指標(biāo)間相互獨(dú)立,避免太多的涵蓋等出現(xiàn)而導(dǎo)致指標(biāo)內(nèi)涵的重復(fù)。同時(shí)指標(biāo)相互間又有密切聯(lián)系,需要一些不同角度指標(biāo)的設(shè)置來(lái)互相檢驗(yàn)、彌補(bǔ)。⑥層次性原則。對(duì)評(píng)估的目標(biāo)進(jìn)行層次分解,使結(jié)構(gòu)清晰,容易分析,邏輯性和科學(xué)性強(qiáng),提高評(píng)估結(jié)論的可信度。⑦操作性原則。指標(biāo)體系的各指標(biāo)必須是可以采集的和可以量化的,數(shù)據(jù)應(yīng)通過(guò)可靠來(lái)源直接或間接的獲取,評(píng)估指標(biāo)應(yīng)盡量避免難以獲得的參數(shù)。根據(jù)上述信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和評(píng)估原則,結(jié)合被評(píng)估對(duì)象的實(shí)際情況,將兩類安全風(fēng)險(xiǎn)綜合起來(lái),建立綜合評(píng)估的指標(biāo)體系。技術(shù)風(fēng)險(xiǎn)按照資產(chǎn)/業(yè)務(wù)、技術(shù)脆弱性、威脅3個(gè)方面組織指標(biāo)設(shè)計(jì)。在一般計(jì)算機(jī)系統(tǒng)中,其脆弱性方面也可以進(jìn)行展開(kāi)。之所以列出兩個(gè)表格,旨在指出這方面的指標(biāo)系統(tǒng)設(shè)計(jì)不是唯一的,可以根據(jù)上述原則,結(jié)合具體環(huán)境和條件進(jìn)行設(shè)計(jì)。非傳統(tǒng)的信息安全風(fēng)險(xiǎn)的評(píng)估,主要是指利用人的弱點(diǎn)產(chǎn)生的風(fēng)險(xiǎn),一般體現(xiàn)在內(nèi)部管理上的疏忽與過(guò)失,以及外部的蓄意攻擊和陰謀策劃。一般計(jì)算機(jī)系統(tǒng)可以進(jìn)行展開(kāi)。建立兩類信息安全評(píng)估二級(jí)指標(biāo)體系是一個(gè)方面,運(yùn)用數(shù)學(xué)模型進(jìn)行安全風(fēng)險(xiǎn)分析是更重要的一個(gè)方面。李成耀很早就研究了多層協(xié)議和多層結(jié)構(gòu)的網(wǎng)絡(luò)信息安全分層模型;羅帆等運(yùn)用N-K模型分析了安全耦合風(fēng)險(xiǎn);楊亞?wèn)|等使用一般層次分析法(AHP)為安全監(jiān)管系統(tǒng)建立了風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系和綜合評(píng)估模型。結(jié)構(gòu)方程模型在這些模型中獨(dú)樹(shù)一幟,它既可以進(jìn)行指標(biāo)體系的匯總與路徑影響分析,還可以深入分析某些因素之間的中介效應(yīng)、調(diào)和效應(yīng)和交互效應(yīng)。筆者采用結(jié)構(gòu)方程模型(SEM)進(jìn)行兩類信息安全風(fēng)險(xiǎn)綜合評(píng)估,其數(shù)學(xué)表達(dá)和計(jì)算可以參見(jiàn)文獻(xiàn)[13]。其提出了一種新的確定性算法,克服了傳統(tǒng)的偏最小二乘算法與協(xié)方差擬合算法需要反復(fù)迭代的弱點(diǎn),并且可以使用DASC軟件實(shí)現(xiàn)計(jì)算。結(jié)構(gòu)方程模型是針對(duì)一般信息系統(tǒng)的非傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估而設(shè)立的,它很容易改寫(xiě)為適應(yīng)其他二級(jí)指標(biāo)體系的模型,使用DASC軟件很容易實(shí)現(xiàn)數(shù)學(xué)計(jì)算。
3兩類信息安全風(fēng)險(xiǎn)的綜合防范
信息安全風(fēng)險(xiǎn)評(píng)估的目的在于防范,不同的信息系統(tǒng)在不同的環(huán)境下,風(fēng)險(xiǎn)防范措施很不一樣。最近制定的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)標(biāo)準(zhǔn)(GB/T9387-2)以及國(guó)際標(biāo)準(zhǔn)(ISO7498-2)都明確規(guī)定,信息安全實(shí)現(xiàn)主要以構(gòu)筑防火墻、建立入侵檢測(cè)系統(tǒng)、災(zāi)難備份和應(yīng)急響應(yīng)系統(tǒng)、物理隔離系統(tǒng)、殺毒軟件包等方式實(shí)現(xiàn)。物理隔離系統(tǒng)是絕對(duì)的隔離,效果比較理想。防火墻以及網(wǎng)關(guān)主要應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)節(jié),技術(shù)復(fù)雜并在不斷改進(jìn)更新。入侵檢測(cè)系統(tǒng)把系統(tǒng)的安全管理能力擴(kuò)展到新的范圍,引入了模式匹配、實(shí)時(shí)檢測(cè)與響應(yīng)等技術(shù),使得信息系統(tǒng)建設(shè)得越來(lái)越復(fù)雜和龐大。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從宏觀管理的角度主要考慮如下幾個(gè)方面:①健全法規(guī)標(biāo)準(zhǔn),加強(qiáng)高層對(duì)于信息安全的統(tǒng)一協(xié)調(diào),加快安全標(biāo)準(zhǔn)制定。②建立信任機(jī)制,建立服務(wù)商之間、服務(wù)商與用戶之間的信任關(guān)系,將是解決信息系統(tǒng)外部交流安全問(wèn)題的根本。③發(fā)展關(guān)鍵技術(shù),建立保證信息安全的技術(shù)體系,包括數(shù)據(jù)安全、可信計(jì)算和隱私保護(hù)技術(shù)等關(guān)鍵技術(shù)。④加強(qiáng)監(jiān)督管理,著眼長(zhǎng)效監(jiān)管,完善應(yīng)急機(jī)制,強(qiáng)化日志審計(jì)管理,提高溯源審查能力。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從個(gè)體心理的角度主要考慮如下幾個(gè)方面:①加強(qiáng)心理防范,主要克服攻擊者往往利用人的好奇心和虛榮心等弱點(diǎn)。②定期安全培訓(xùn),讓全體員工熟悉了解新的攻擊者利用社會(huì)工程學(xué)的伎倆,學(xué)會(huì)防范非傳統(tǒng)信息安全風(fēng)險(xiǎn)。③區(qū)分友誼責(zé)任,明確友誼必須有一定的信任基礎(chǔ)。④提高安全意識(shí),管理部門(mén)要制定更為嚴(yán)格的安全方案,同時(shí)落實(shí)到每一個(gè)員工。⑤實(shí)時(shí)事故響應(yīng),一旦發(fā)生信息安全事故,立即啟動(dòng)應(yīng)急方案,除了檢查技術(shù)漏洞和損失以外,特別要對(duì)利用社會(huì)工程學(xué)的攻擊做出實(shí)時(shí)反應(yīng)。
4結(jié)論
