信息与安全论文精选(九篇)
第1篇:信息与安全论文范文
信息安全:矛与盾的博弈
据报道,2006年12月初,我国互联网上大规模爆发了“熊猫烧香”病毒及其变种,这一病毒通过多种方式进行传播,并将感染的所有程序文件改成熊猫举着三根香的模样,同时该病毒还具有盗取用户游戏账号、QQ账号等功能。短短两个月内,已有上百万个人用户、网吧及企业局域网用户遭受感染和破坏。随着网络应用的普及,网络客户急剧膨胀,针对互联网内容的攻击也在持续不断地发展,且手段多样,网络信息安全越来越重要,已经引起社会各界的高度关注。从早期的计算机病毒,到今天的垃圾邮件,间谍软件等恶意软件,钓鱼网站,攻击的矛越来越多样化,锋利化。
而对应的盾,在与矛的斗争中,也随之品种繁多,功能日益强大,成熟。信息安全的工具从单机版的反病毒程序,发展到今天的防火墙、统一威胁管理(UTM)、内容安全、身份认证等技术和产品。网络信息安全领域主要是:防火墙、反病毒和入侵检测产品。随着攻击技术的不断发展,单一功能的安全防护越来越力不从心了。2004年9月,IDC首度提出了“统一威胁管理”的概念,将防病毒、入侵检测和防火墙等安全设备划归为统一威胁管理( Unified Threat Management, 简称UTM)这一新类别。该概念一经提出便引起了业界的广泛关注。UTM采用的技术,实现UTM需要无缝集成多项安全技术,达到在不降低网络应用性能的情况下,提供集成的网络层和内容层的安全保护。然而国内早期的UTM产品并没有发生技术上实质性的飞跃,在一个目前还在追求不断提升硬件技术或提高硬件平台处理能力的时代,要做一个“集大成”的UTM还需时日。这也就出现了两种发展UTM的策略:以防火墙为核心基础,发展UTM,这是目前UTM厂商或防火墙厂商的大多数做法。再一个就是以I PS为核心发展UTM产品,这是TippingPoint的做法。
它在IPS而不是传统的防火墙基础上,发展未来的一体化安全设备。换句话说,安全虚拟专用网络(IPSec VPN)、带宽管理、网页内容过滤等安全模块,甚至包括防火墙本身,都会被安放到IPS的平台之上。很多早期的UTM产品更像是防火墙或IDS/IPS产品的改进版。UTM设备往往是大量安全功能简单堆砌而成的产物,并没有在底层做好集成优化设计工作。随着UTM技术的不断发展与成熟,大多数的UTM产品具备了网络防火墙、网关防病毒,网络入侵检测/防御等功能。同时,很多UTM产品还集成了常用的反垃圾邮件、Web内容过滤等模块。可是,目前的UTM产品还存在着一些缺点,如UTM作为网关型设备,数据处理能力还不够高,对网络带宽要求高的用户,目前的UTM并不太适合。而且UTM产品还不具备功能单一的专业安全产品所能达到的安全级别,所以也不适合那些对安全防护极其敏感的用户。作为UTM产品,它既要实现常规的网络层安全(例如防火墙功能),又要求高速地处理应用层安全防御,在技术上比一般的单项产品要求要高。UTM产品面临着在提升硬件速度的同时,还面临着系统优化方面的问题信息安全管理主要包括三个部分:对风险进行有效管理、对设备进行有效管理和对身份进行有效管理。理念的变化将带来安全防护方式的巨大变化。随着互联网的大量普及,网络和信息系统不可避免地要对外开放,要开放给客户,要越来越多地共享应用系统和数据库给合作伙伴,在这种情况下,保护数据本身比建一堵围墙重要得多也有效得多。通过防火墙/VPN、网关安全技术,这些网络访问控制技术来实现对内部网络的保护,同时对用户的限制也大大加深了。传统的安全防护越来越显示了它的弊端。身份管理将成为安全技术的主流。身份认证管理所解决的问题决不仅仅限于“哪个用户具有哪些数据的访问权限”,而是充分考虑到在当今数字时代中实现数据使用、共享和访问的所有方式,并且为整个数据生命周期提供访问控制的蓝图。随着数据量的快速增长、为了有效地保护数据资源、简化数据资源管理,身份认证管理越发的重要了。比尔·盖茨与微软首席研究与策略官CraigMundie最近提出了一种新的计划,确保安全的数据访问在IPv6网络中采用联合身份认证方式、采用数据权限管理保护文件和数据、在线身份确认采用智能卡的方式而不是口令的方式。Mundie认为, 基于IPv6的IPsec技术是一项未来非常具有前景的技术,采用IPsec技术,在连接的两端可以实现重要的身份认证,不管网络边界或者网络拓扑是怎样的,你都能定义策略,从逻辑上控制访问而不是从物理上控制访问。EMC公司正在研究基于密码技术的身份管理技术,未来将与存储、无线通信等技术更加紧密结合,保证数据无论是在存储中还是在流通中都是安全可信的。
微软今年推出了两个新产品:身份管理生命周期管理软件ILM(InformationLifetime Management,信息生命周期管理)2007和智能应用网关2007。ILM2007提供了一个集成的和复杂的软件系统,通过将Windows系统和其他系统中的身份识别同步化、认证管理、口令管理集成在一起,管理用户身份识别的整个生命周期。在信息时代,整个社会的所有活动无一不是以数据为基础,数据应该根据其在生命周期中所处的阶段来采用不同的手段进行管理。ILM需要考虑数据在业务中的流动,它必须是一个既包含业务、又包含数据流的整体观念。微软智能应用网关2007将SSL VPN产品与微软的互联网安全与加速服务器(ISA)整合在一起,为网络边界提供防御、远程访问、端点安全和应用级别的保护。据报告,2006年,全球网络安全专用设备和软件销售收入比2005年增长15%,达45亿美元,据预测2007年这个市场将首次突破50亿美元大关。随着全球信息化产业的发展,不仅安全技术会有很大的发展,而且作为一个产业,信息安全产业可以预见会在未来不断的壮大与成熟。总之,随着安全威胁的日益加剧以及伴随着商业利益的黑客行为的日益猖獗,攻击与防护这一对矛与盾仍将长期斗争,演绎
第2篇:信息与安全论文范文
计算机操作系统能够对内、CPU、外设进行系统管理,在进行管理时,通常会涉及到某些模块或者程序,一旦在这些程序获模块内部存在着缺陷,例如计算机内存管理模块有缺陷的问题,一旦某一个外部网络的连通,有可能出现整个计算机系统会因此崩溃的后果[2];同时由于操作系统支持在网络上安装或加载程序以及传送信息,网络应用的一个最重要作用就是对文件传输的功能,例如FTP,这里包含可执行文件,通常这些功能也会带来不安全隐患。这些安装程序经常会附带一些可执行文件,由于这些可执行文件实际上都是人为编写的程序,一旦某个部分有漏洞,可能导致整个操作系统的崩溃;事实上,计算机操作系统不安全的主要原因就是它允许用户创建进程,而且支持进程的远程创建与激活,被创建的进程仍然能够具备再创建的权利;同时操作系统还具备一些远程调用作用,而远程调用是指一台计算机能够调用远程一个服务器里面的某些程序,能够提交程序为远程服务器服务[3]。远程调用必然需要通过众多的通讯环节,在中间环节有可能会出现被人监控等安全的隐患。
网络互联有被暴露的可能。就网络的开放性而言,因为网络技术是全开放的,导致其所面临的网络攻击来源几步确定:可能来源于物理层对传输线路的攻击,也可能来源于来网络层对通信协议的攻击,还可能来源于应用层对计算机软件与硬件的漏洞进行的攻击;就网络的国际性而言,反映出网络的攻击者可能是本地区的网络用户,还可以是来自互联网上其他国家与地区的黑客,因此网络的安全性同时还面临着国际化的挑战;就网络的自由性而言,大部分的网络对用户的使用来说,通常并没有技术上的限制,这些用户能够自由的上网,去与获取不同信息[4]。
网络安全的关键技术及其功能解析
1入侵检测。所谓入侵检测技术是指为确保计算机系统的安全而设计和配置的一种可以及时识别并且报告系统中未经授权或者异常现象的一种计算机安全技术。它基于在不妨碍网络性能的前提下,对网络行为、安全日志、以及审计数据或者网络数据包实施的安全检测,能够实现对计算机信息网络的时时监听,能够发现任何不希望发生的网络行为,能够发现对计算机系统的闯入或者对计算机系统的各种威胁,可以检测计算机网络中违背安全策略的活动,能够提供对内部攻击、外部攻击以及误操作的实时监控,确保计算机信息系统的资源不被攻击,通常被认为是防火墙技术之后的第二道安全技术[5]。入侵检测通常分为基于网络的入侵检测、基于主机的入侵检测以及混合入侵检测的三种类型,在实际中广泛运用的是基于网络的入侵检测技术。
2可视化。所谓网络安全可视化技术是指对防火墙技术、漏洞扫描技术以及入侵检测技术的优化补充。该技术通过利用人类视觉对模型与结构的获取功能,把海量高维抽象网络与系统数据通过图形图像形式反映出来,实时反映网络通信的特殊信息,展现当前整个网络的运行状态,然后通过一种人性化的方式把网络上潜藏的安全风险明确地告知用户。能偶帮助网络安全分析人员直观及时地观察到网络中的存在安全威胁,运用繁杂高维数据信息快速地对网络状况展开,进而发现网络异常入侵,然后预测网络安全事件发展未来趋势,从而使得计算机网络安全防护变得更智能、更及时、更便捷[6]。
3防火墙。所谓防火墙技术就是指网络之间通过预定义的安全举措,对内外网的通信强制实施访问检查的安全防范措施。它的主要作用是用来隐蔽内部网络结构,提升网络之间访问控制,通过限制外部用户对内部网络访问以及规范内部用户访问外部网络的权限,从而防范外界网络用户运用非法途径通过外部网络潜入内部网络,进而访问内部网络资源,通过防火墙能够起到保护内部网络操作环境的作用。防火墙技术能够对两个或者多个网络之间传输的数据包,例如链接方式,通过一定的安全举措进行检查,从而判断网络之间的通信能不能被允许,实时监控网络运行状态。一旦发生可疑动作时,防火墙可以适时适当的报警,同时能偶提供网络是否受到监测与攻击的重要信息。通过防火墙技术对内部网络的进行划分,能够实现对内部网重点网段进行隔离,阻止内部信息对外泄露,在一定程度上降低了局部重点或敏感网络安全问题对全局网络产生的影响。
4漏洞扫描。所谓漏洞扫描是指自动检测远端或者本地主机安全的技术。漏洞扫描程序利用已经掌握的网络攻击信息,同时将它们集成到整个扫描过程当中,然后通过查询TCP/IP各类服务的端口,监控本地主机系统与远端系统的信息,对网络实施模拟攻击,通过记录目标主机的反映,然后收集相关特定项目的有用信息与数据,能够在较短的时间内发现计算机网络系统中的安全漏洞,并且按照统计的格式输出,这样便于日后的参考与分析[7]。这种技术能够帮助网络安全管理员准确的掌握网络的安全现状,从而使得部分复杂的安全审计与风险评估工作变得容易,在了解计算机信息网络脆弱点所在的前提下,制定有针对性地利用优化系统配置与打补丁等诸多安全防范措施,能够最大程度地弥补最新的安全漏洞,最终达到消除安全隐患的目的。
5数据加密。所谓数据加密技术是指对信息进行重新编码,把明文数据通过变序或者替转换为密文数据,实际应用时再把密文数据转变为明文数据输出,达到隐藏信息内容的目的,最终使非法用户很难获得信息的真实内容的一种重要的计算机安全技术。数据加密技术通常用于对动态数据与信息的保护,而一个加密系统是由明文集合、密文集合、密钥集合以及算法构成的,其中,密钥与算法是数据加密系统的最基本单元,算法就是由一些公式、法则以及程序组成的,它明确规定了明文和密文之间的转换的方法,而密钥则能够看作算法中的参数。通过数据加密技术可以提高计算机信息网络系统及其数据的安全性与保密性,能够有效地防范内部秘密数据被外部人员破解、窃取以及篡改。
加强网络信息资源安全管理的途径
1加强对人员的管理和技术培训。人为攻击计算机是网络安全所面临的最大安全威胁。黑客的攻击和计算机犯罪就是典型的认为攻击。这类攻击通常分为以下两种:其一是主动攻击,它通过各种方式有选择地破坏信息的有效性与完备性,通过截取网上的数据包,并对它实施更改导致它失效,也可能故意添加一些对自身有利的信息,起到信息误导的效果,或者直接登陆进入系统使用并占用很多的网络资源,从而使得系统资源的大量消耗,最终损害合法用户的权益。其二是被动攻击,它是在不妨碍网络正常工作的情况下进行截取、窃取、破解从而获得更重要的机密的攻击方式。以上两种攻击都会对计算机网络造成极大的破坏,并会使得导致用户数据的泄露。
2对计算机硬件设备加强安全管理。加强计算机设备安全管理,一方面要为计算机设备创造一个良好的运行环境,除了要控制温度、湿度以外,叶要做好防尘、防电磁泄漏以及防干扰、防火、防有害物质和防水防盗等很多防范措施,从而降低安全隐患。另一方面,为消除安全威胁,一定要制定安全规范与严格管理制度,即在没有经网络管理员许可的情况下,任何人不可以任何理由打开机箱,计算机及其网络设备的搬迁或更改相关硬件设备,一定要由网络管理员负责,任何人不得私自做主;当计算机及网络设备出现硬件故障时,要及时向网络管理员报告,由网络管理员处理。
3注重网络及计算机软件的安全管理。软件的安全管理及其反病毒技术是网络安全一个非常重要环节。计算机系统的不安全大多来源于计算机病毒。在单机运行环境下,计算机病毒主要是通过软盘与硬盘进行传输的。计算机软件管理可以采取很多方法进行防范,诸如用硬盘启动机器、外来软盘、设置开机及进入系统的口令、经常用病毒检测软件进行检查、对重要的计算机和硬盘信息做好备份。
第3篇:信息与安全论文范文
风险管理信息化逐渐成为风险管理应用和实践的平台,采用信息化的管理手段也是安全风险控制的趋势,各地铁建设城市逐步开展施工安全风险信息管理平台,具有代表性的有北京安捷工程咨询有限公司、上海同是工程科技有限公司、南京坤拓土木工程科技有限公司等研发的轨道交通工程施工安全风险监控系统,在国内地铁建设城市均有广泛的应用。解放军理工大学王明洋、戎晓力团队研发了包含三维地理地质信息系统、盾构监控系统、监测预警系统等在内地铁施工安全风险管理监控系统,采用三维地理地质信息平台及盾构远程监控技术,实现对施工全过程的风险分析、风险监控和风险预警。在深长隧道工程施工安全风险管理信息化研究方面,解放军理工大学和山东大学合作,针对复杂地质条件下的铁路隧道施工安全风险展开了风险管理信息化系统的相关研究,建立了基于三维地理地质信息系统的成兰铁路施工安全风险管理信息平台,三维地质地理信息系统作为系统的主要工作平台,实现了基于勘孔数据、地质超前预报数据等多数据融合的三维地质图形显示与查询,实现了施工进度的可视化监控,实现了施工进度剖面的风险源、监测数据、指标体系等的信息查询与自动化预警分析结果查询。
同济大学朱合华提出基础设施建养一体数字化平台,包括数据采集与处理、数据表达和数据分析三个部分。分别对建设期和养护期所采用的数字化技术进行详细阐述,主要有数据采集、数据标准、三维建模、可视化技术、空间分析和数字与数值一体化等技术,以上海长江隧桥工程为例进行了基础设施建养一体数字化的初步尝试与应用,主要包括搭建上海长江隧桥工程数字化平台、全寿命期数据收集与分析、可能病害及成因分析、动态监测与养护以及结构健康/性能评估,研究结果表明:采用建养一体化成套的数字化技术,全面提升了基础设施的信息化管理水平,改善基础设施的服役性能,提高基础设施的使用寿命。
同济大学黄宏伟教授研究了风险可视化的监测预警方法,该方法通过传感器获取量测信息,通过微处理器对量测信息进行处理分析,综合评判工程的风险等级,控制LED(Light-Emitting Diode,发光二极管)显示不同颜色,实现及时预警以保证工程安全。上海大学滕丽在盾构始发、到达风险评价模型的基础上,对工程风险管理实现了程序化,建立了盾构始发、到达全过程动态远程监控系统,开发了风险监控知识库和模型库,实现了动态和实时两种风险监控方式。
第4篇:信息与安全论文范文
关键词:中小企业;电子信息;安全技术
1 电子信息安全的内涵
对于买方来说电子信息主要优点是方便快捷、操作起来比较简单。电子信息对于卖方来说主要优点是管理比较方便并且成本较低,但是电子信息最大的缺点就是买卖双方不能进行交流,主要是货币与货品的交换,并且交易都是通过网络进行的,之所以交易能够顺利完成,主要的原因是两者之间存在着诚信。关于诚信主要有两个方面的内容:有一种系统软件在买卖的过程中起到安全保障的作用,能将虚拟的货币符号转化成真实的货币,同时也能对交易起到保护作用,其中主要是对货币账户起到安全保障的作用。要想研究电子信息安全,首先要了解信息的内涵。信息主要是指资料、数据以及知识以不同的形式存在,在中小企业中这类信息主要是指买卖双方的有关信息和资料,犯罪分子能通过非法的手段对电子信息中的买卖双方采取诈骗行为,或者是通过网络对进行入侵和盗窃。信息安全管理标准对信息做出了详细的定义,信息也是属于资产,与其他的资产相同,对中小企业的发展有着重要的作用,是需要法律保护的。信息安全管理标准将信息划分为八个部分,主要包括物理资产、文档资产、文字资产、服务资产、软件资产、数据资产以及人力资源资产。
中小企业的电子信息主要是以网络为载体,网络的交流主要通过数据的传输得以实现,网上交易就是交流过程中的主要内容。所以,在信息安全的范畴中电子信息安全技术就成为了重点问题。关于电子信息安全技术的研究大多是关于技术的,但是对于中小企业来说,不仅要对技术进行改进,也要重视管理层,避免信息出现安全问题。
2 电子信息安全的理论
我国关于电子信息安全的研究,仍然较为落后。在国际中的关于信息安全的主要理论为:三观安全理论、信息循环理论以及信息安全模型理论。
三观安全理论。在中小企业的电子信息安全系统中,三观安全理论主要将其分为三个方面的内容,即微观、中观以及宏观。这个理论主要是将宏观层面的安全理念转化成微观层面的管理理念,进而对服务与生产进行指导。
信息安全模型理论。信息安全模型理论是信息安全管理发展过程中的产物,信息安全模型理论主要是将人、软件、操作以及信息系统相结合,并且全面的保护网络信息系统。主要倡导的是一种新的安全观念,并且提出了不能仅靠程序与软件对系统信息安全进行保护,要注重动态保护。此外,关于电子信息安全问题不能只依赖于安全技术,也要重视管理层安全理念的创新。
电子信息的循环理论。在实施网络信息安全的过程中电子信息的循环理论将其划分为四个方面:计划、执行、检查以及改进。这四个方面是一个循环的过程,也是一个周期,在循环的过程中,将这个过程看作是一个整体的信息安全管理体制,而不是将其看成某一管理过程。
3 电子信息安全技术对加强中小企业信息安全的作用
上文所述的三个信息安全理论对中小企业的信息安全管理有着重要的作用,主要有以下几个方面的内容。第一是信息安全领域的建设,第二是中小型企业中加强建设信息安全组织。美国信息安全研究所首次提出了信息安全领域,信息安全领域主要是指根据信息的不同保密程度创建相应的保密级别,网络控件的安装要结合用户信息的不同安全级别,安全信息的选择要适合用户的保密级别。在中小企业中,电子信息与资料的分类系统应该有统一的部门进行管理,然后对信息进行分类,并采取不同程度的加密与保密,这类信息主要包含文档、电子商务的相关资料以及服务等。将这些信息进行分类、保密、归档以及整合,有利于中小企业电子信息的调试。
对于中小企业来说,一直都存在电子信息安全性不够的问题,这主要同企业内部安全管理不足有关,安全管理的工作缺少专业的管理,很多的小型企业并没有统一的信息安全管理部门。企业安全管理部门的主要职能包含这几个方面的内容:同企业人力资源管理部门相互配合共同完成工作内容,要定期的审查一些特殊岗位的员工,一旦发现有违反安全规则的情况,要重新进行审查。同时还要对员工进行保密的培训;组织各个部门的工作,并对各个部门的工作进行协调,使企业的安全目标以及战略得以实现;企业的安全管理部门主要是对安全问题的管理、计划以及决策负责。也是企业的应急部门,要想避免企业信息的泄露,信息安全管理部门就必须加强对信息的管理;多联系各个地区的信息机构以及信息安全管理部门,这样能给企业带来新的信息安全管理观念以及安全技术;采取信息安全报告制,定期的向管理部门汇报信息安全的保护状况,对于一些重要的事件要及时的汇报,取得管理层对信息安全管理工作的支持。
在网络工程发展的同时,电子信息也得到了发展,电子信息在企业的发展中有着重要的作用,企业对其也越发的依赖电子信息。但是这只是一个虚拟的场所,主要通过网络这个载体来完成交易,因此安全技术问题成为了企业普遍关注的问题。
[参考文献]
[1]陈光匡,兴华.信息系统安全风险评估研究[J].网络安全技术与应用,2009(7).
[2]向宏,艾鹏,等.电子政务系统安全域的划分与等级保护[J].重庆工学院学报,2009(2).
第5篇:信息与安全论文范文
r> 中图分类号:G642 文献标志码:B 文章编号:1674-9324(2012)09-0114-02
信息安全专业是一门新兴的交叉学科,涉及计算机及网络安全的各个方面,是一个直接面向工程、面向应用的专业领域。该专业的培养目标是掌握信息安全领域的专业知识及专业技能,具有良好专业素养,能够理论联系实际,可以从事计算机、通信、电子商务、电子政务、电子金融等领域的信息安全高级专门人才。自2001年武汉大学计算机学院新开设了信息安全专业开始,信息安全专业已经发展了十年。经过近些年来的发展,已具有一定的规模。但是由于信息安全专业发展的时间较短,教学体系尚不成熟,许多问题,诸如专业建设、师资队伍建设、教材和课程建设等,尚在研究、摸索阶段。而且,由于各个高校的特色专业各不相同,因此在进行信息安全专业建设时侧重点会有所不同。因此,研究主要从学科设置、专业课程设置、实践教学环节和教学方法改革等几个方面进行。
一、信息安全专业特点
信息安全是一个涉及面相当广泛的领域,而且其内涵在随着信息应用的范围不断扩大。归纳起来,信息安全专业具有如下几方面的特点:多学科交叉。涉及到计算机、通信、电子、数学、生物、法律、管理等多个学科;理论联系实际。能够把掌握的理论知识熟练、灵活地应用到实际问题中;专业素养高。信息安全专业的学生不仅要有专业知识,而且要有法律法规等方面的素养。这样才可能到一些很重要的部门承担信息安全工作;系统工程。鉴于“七分管理,三分技术”的木桶原则,绝不可忽视法律、管理、教育的作用;整体性和底层性的特点。从整体、底层硬件方面系统采取措施才能比较有效地解决信息安全问题。
二、教学体系建设
1.学科设置。信息安全的内涵随着信息技术的发展在不断的延伸,从最初的仅对信息进行保密(保密性)发展到防止信息被篡改(完整性)、可用性和抗抵赖性,从而涉及到攻、防、测、控、管、评等多方面的基础理论和实施技术。所以,信息安全专业的学科设置也随着其研究重点和应用领域的不同而不同。目前,在学科设置方面,信息安全仅仅是高校自设的二级学科。大多数高校根据自身的特点将信息安全设置在计算机科学与技术或者信息与通信工程的二级学科。设置在计算机科学与技术学科之下的,以计算机和网络知识为重点;而设在信息与通信工程学科之下的,一般是以通信和密码学作为教学的重点。也有一些高校将信息安全作为数学学科下的二级学科,以数学、物理等基础知识为其侧重点;有的高校把信息安全专业办在安全工程系,以安全为教学内容的重点。例如,西安电子科技大学将信息安全专业设在了信息与通信工程一级学科下,充分利用西安电子科技大学的特色专业发展信息安全专业,培养通信保密方面的专业人才。
2.专业课程设置。在专业课程设置方面,考虑信息安全专业的交叉学科特点,提出信息安全专业课程体系设置要求覆盖的领域知识面宽。美英等国在课程设置方面比较有层次性。有的院校将课程分为两类课程,即基础课程和特色课程。基础课程开设了密码学、操作系统安全、网络安全、系统安全管理与评估、数据库安全、网络攻防技术;特色课程开设了安全编程技术、信息犯罪、网络协议安全性分析、计算机/网络取证、无线网络安全等。而有些院校将课程分为技术、管理、安全三大核心或者是技术、策略、健康和管理四大核心。而在国内,由于信息安全专业作为二级学科开设在不同的一级学科之间,因此课程设置差别很大。如“数字信号处理”“编码理论基础”“随机信号分析”“通信原理”“信息网络基础”等科目则使得信息安全专业培养更倾向于密码学和通信安全;而“计算机网络”“软件工程”“操作系统”“数据库原理”“嵌入式系统”“Windows分析与应用”等科目使信息安全专业培养定位在计算机科学与技术专业之上。许多高校根据自身的传统优势学科,发展相应的信息安全专业。例如,西安电子科技大学将课程设置为基础课程、计算机课程和专业课程。基础课程保持了如数字信号处理、通信原理、随机信号分析、信息论基础等通信专业的基础课程,而专业课程设置了信息安全数学基础、密码学和网络安全技术,同时还在计算机操作系统、计算机网络和数据库等方面设立了一些计算机方面的 课程。这种三类课程体系的设置保证了学生可以从事信息安全、通信、计算机方面的工作,从而更好的适应社会需求,满足学生未来的发展和就业,规避就业风险。中国科学技术大学计算机系由于具有良好的数学和算法分析基础,因此信息安全专业课程包括了“算法设计与分析”“组合数学”“网络计算和高效算法”“计算数论”和“计算机数学”等基
础性的课程。这些课程很好地促进了学生学习密码学、入侵检测、信息论等专业课程,而且对学生的进一步深造奠定了很好的基础。上海电力学院结合自己特色明显的电力专业,在设置课程体系时以计算机科学技术为主,同时兼顾电力信息技术、电子、通信、数学、物理、电力信息网等课程。
3.实践教学环节。在信息安全本科专业人才培养中,一定要强调理论与实践的结合。因此不仅要有合理完备的理论课程体系,还需要建立良好的实践教学环节,帮助学生在实践中真正掌握理论知识,掌握基本信息安全技能。在实践教学环节方面,由于信息安全实验大多比较复杂,所需要的计算机设备也较多,而目前的教学条件通常很难满足大量学生并发进行实验。因此,有的高校采用虚拟实验。虚拟实验可以有效减少实验过程中安全事故的发生,这一点对于要频繁进行恶意代码实验的信息安全实验来说至关重要;而有的高效积极建设校外实践教学基地、工程实训项目和毕业实习基地。加强与企事业单位和政府部门的合作,采取共建联合实验室、工程技术研究中心等方式,积极与相关单位建立固定的合作关系;有的高校将信息安全专业实践教学体系按人文社会科学实践、自然科学实践、工程技术实践及综合实践四类规划;有的研究针对信息安全的专业实验设置了基础验证性实验、综合性试验和研究创新型实验。基础验证实验约占总学时的40%,内容与理论课内容相衔接,且相对固定;综合性设计实验要求学生综合运用一门或多门课程的知识,针对特定问题进行设计,提高综合设计能力。 4.教学方法。在教学方法方面,研究针对信息安全专业知识更新快、教材知识相对滞后等特点,改变传统的“注入式”教学方法,提出“参与式”的教学手段。首先提出具体问题,然后推荐一系列参考资料,教师从研究思路和关键问题上给予引导,最后请学生将自己理解和掌握的知识在课堂上进行阐述。这种互动式教学促进了学生学习的主动性,培养了学生分析问题解决问题的能力。例如针对实践性很强的入侵检测技术课程,如果按通常的注入式模式进行教学,学生还是不能建立网络攻防的完整体系。但是参与式教学模式可以让学生在兴趣的驱使下,学到更多他感兴趣的攻防内容,从而在理解和掌握入侵检测系统知识和技术后自主搭建入侵检测系统、进行扫描攻击实验,查看和分析“入侵检测系统”的数据。而针对密码学这种理论性较强的课程,除了基础理论知识的讲解,重点是结合实际应用来进行阐述。例如RSA算法在网上银行,数字证书等方面的应用。还可以通过举例子来吸引学生的注意力。研究者还提出将工程化思想融入课堂教学。教师给出一个需求,并对需求进行分析,引导学生和知识点进行联系;然后结合知识点进行问题设计,最后要求学生选用一种仿真工具进行实现。这个过程可以让学生体会软件工程中的一些系统开发思想,也可以提高学生的综合能力和素质。另外,一些研究者比较强调的是无论使用哪种教学方法都需要通过网络教学平台和学生进行互动交流,只有这样才能更好地做> 文秘站:本科生工作之后从事了信息安全领域的工作,这些工作人员具备计算机和通信方面的专业技能,但是对信息安全缺乏系统全面的认识,进一步的教育有利于他们更好地胜任本职工作。
5.师资队伍建设。信息安全专业虽然与传统计算机、通信、电子有相通之处,但也有其独特的特点和具体要求。所以,信息安全专业的教师要涉及到信息学科的多个领域及物理等基础学科,同时还要了解最新的信息安全技术,关注最新安全动态,当然较强的动手能力也是必备的。因此,信息安全专业教师的在职培训、出国研修是很好的进修途径。另外,可以考虑以区域为纽带,建立信息安全交流平台,实现共享机制,请信息安全方面的大家、名家做一些讲座,培养优秀的信息安全教师。
6.教材建设。目前信息安全方面的教材很多,但是参差不齐。有的教材写的过于专业,重理论、轻实践。和实际结合紧密的典型案例很少,甚至几乎没有。信息安全事件一旦发生,学生无法运用现有知识完整解释安全现象;有的教材操作性很强,但是理论性不够通俗,这样学生还是不能将理论和实践结合起来;另外,由于没有系统、完整的信息安全领域 教材,课程标准之间、教材内容之间重叠现象非常严重。不但与传统课程内容有重叠现象,而且专业课程之间也有明显的重叠现象。例如,网络安全课程中涉及到了入侵检测和病毒方面的介绍,与入侵检测和病毒原理课程相互重叠。又比如在信息系统安全管理与评估中有关于标准的介绍,而在信息安全法律法规中又涵盖了相关内容等。因此,迫切需要有
组织地编写一套系统、完整的信息安全专业教材。教材既有通俗的理论基础,又有操作性,同时包含一些信息安全典型事故分析,这样才能辅助学生掌握专业知识的同时,更好地提高动手能力,促进学生分析问题、解决问题能力的提高。
信息安全专业是一个刚刚起步的新专业,对该专业的教学与实践正处于探索阶段。也正因为如此,各个高校采取的教学方式和方法也不尽相同,体现出了不同的办学思路。他们依照其自身的学科优势和办学格局,对信息安全学科初期发展进行了有益的探索和尝试。本文探讨了信息安全专业的教学体系设置,探讨了设置中应该注意的一些事项及要避免的问题。
参考文献:
[1]杨广明,高晓兴,朱志良,等.高校信息安全专业人才培养的思考[J].北京电子科技学院学报,2006,(1):55-57.
[2]李晖,马建峰.结合学校特色加强信息安全专业建设的几点体会[J].北京电子科技学院学报,2006,(1):3-4.
[3]董理君,宋军,王茂才.信息安全专业实验教学中的若干问题研究[J].计算机教育,2010,(22):142-144.
[4]谭云松,王海晖,伍庆华等.信息安全专业实践教学体系研究[J].高教论坛,2006,(5):82-84.
第6篇:信息与安全论文范文
关键词:金融信息,网络安全,保障体系,服务
1金融信息系统安全保障体系的总体构架
金融信息系统安全保障体系的总体构架有系统安全、物理安全、应用安全、网络安全、和管理安全。毕业论文,网络安全。
1.1金融信息系统的安全
系统安全指的就是网络结构的安全和操作系统的安全,应用系统安全等等。毕业论文,网络安全。网络结构的安全就是指网络拓扑没有冗余的环路产生,线路比较畅通,结构合理。操作系统的安全就是指要采用较高的网络操作系统,删除一些不常用却存在安全隐患的应用,对一些用户的信息和口令要进行严格的把关和限制。应用系统的安全就是指只保留一些常用的端口号和协议,要严格的控制使用者的操作权限。在系统中要对系统有一些必要的备份和恢复,它是为了保护金融系统出现问题时,能够快速的恢复,在金融系统在运行的过程中要对其内容进行备份。
1.2金融信息系统的物理安全
物理安全就是要保证整个网络体系与信息结构都是安全的。物理安全主要涉及的就是环境的安全和设备的安全,环境安全主要就是防雷、防火、防水、等等,而设备的安全指的就是防盗、放干扰等等。
1.3金融信息系统的应用安全
金融信息系统的应用安全主要就是指金融信息系统访问控制的需要,对访问的控制采用不同的级别,对用户级别的访问授权也是不同。收集验证数据和安全传输的数据都是对目前使用者的身份识别和验证的重要步骤。而对于金融系统中数据资源的备份和恢复的机制也要采取相应的保护措施,在故障发生后第一时间恢复系统。
1.4金融信息系统的网络安全
金融信息都是通过才能向外界的,而通过采取数据链路层和网络层的加密来实现通信的保护,对网络中重要信息进行保护。而对网络进行入侵检测也是必要的,通过信息代码对进出的网段进行监控,来确保信息的安全性。毕业论文,网络安全。对系统也要进行不定期的部件检测,所是发现有漏洞要及时的进行补救。
1.5金融信息系统的安全管理
金融系统是一个涵盖多方面的网络,也运行着很多的网络,对金融系统进行信息管理,就应该设置安全的管理中心,要集中的管理,严格的规定和确定明确的责任和控制,确保金融系统可靠的运行。
2金融信息系统安全保障的措施
2.1设置安全保障的措施
对于任何未经允许的策略都严格的禁止,系统允许访问的都要经过眼的认证才能进入下一步,重要的金融信息要经加密的措施进行传输。要通过网络安全策略对金融信息系统的网络设置防火墙,用来保护各个金融节点的信息安全,允许授权用户访问局域网,允许授权用户访问该局域网内的特定资源;按业务和行政归属,在横向和纵向网络上通过采用MPLSVPN技术进行VPN划分。
2.2使用安全技术和安全产品的措施
为了金融系统有个安全可靠运行环境,遵循金融系统的安全保障体系策略,要在金融信息系统中安装一些安全技术和安全的产品。将金融信息系统划分为不同的安全区域,每个区域都不同的责任和任务,对不同的区域要有不同的保护措施,即方便又增强了安全性。在金融想呕吐中安装一道防火墙,用来防止不可预见的事故,若是有潜在的破坏性的攻击者,防火墙会起到一定的作用,对外部屏蔽内部的消息,以实现网络的安全防护。应该在金融信息系统中设置入侵检测系统,要对网络的安全状态进行定期的检测,对入侵的事件进行检测,对网络进行全方位的保护。在金融信息系统中安装防病毒的系统,对有可能产生的病源或是路径进行相对应的配置防病毒的软件,对金融信息系统提供一个集中式的管理,对反病毒的程序进行安装、扫描、更新和共享等,将日常的金融信息系统的维护工作简单化,对有可能侵入金融信息系统的病毒进行24小时监控,使得网络免遭病毒的危害。定期的对金融信息系统进行安全评估,对系统中的工作站、服务器、交换机、数据库一一的进行检测评估,根据评估的结果,向系统提供报告。安全的评估与防火墙的入侵检测是相互配合的,够使网络提供更高性能的服务。毕业论文,网络安全。
2.3金融信息管理的安全措施
在管理的技术手段上,也要提高安全管理的水平。金融信息系统是相对比较封闭的,金融信息系统的安全是最重要的,业务逻辑与操作规范的严密是重中之重。因此对于金融信息系统的内部管理,加强领导班子对安全管理的体系,强化日常的管理制度吗、,提升根本的管理层次。
2.3.1建立完善的组织机构
如今我国更加重视信息安全的发展,它可以促进经济发展和维护社会的稳定。在金融信息系统的内部要建立安全管理小组,安全管理小组的任务就是要制定出符合金融发展的安全策略。管理小组由责任和义务维护好系统的安全和稳定。
2.3.2制定一系列的安全管理办法和法规,主要就是抓住内网的管理,行为、应用等管理,进行内容控制和存储管理。对每个设施都要有一套预案,并定期进行测试。毕业论文,网络安全。
2.3.3 加强严格管理,加强登陆身份的认证,严格控制用户的使用权限,对每个用户都要进行信息跟踪,为系统的审核提供保障。毕业论文,网络安全。
2.3.4加强重视信息保护的等级,对金融信息系统中信息重点保护,对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。也要不断的加强信息管理人才与安全队伍的建设,加大对复合型人才的培养力度,通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
3结语
随着金融信息化的快速发展,金融信息系统的规模逐步扩大,金融信息资产的数量急剧增加,对网络与信息系统实施安全保护已势在必行。目前互联网的应用还缺乏一定的安全措施,这样就严重的影响和限制了金融系统通过网络向外界提供服务的质量和种类。因此,各个金融信息系统都必须要采取一定的安全防护措施,构建一个安全的合理的金融信息系统。
参考文献:
[1]卢新德.构建信息安全保障新体系:全球信息战的新形势与我国的信息安全战略[M].北京:中国经济出版社,2007.
[2]李改成.金融信息安全工程[M].北京:机械工业出版社,2010.
[3]方德英,黄飞鸣.金融业信息化战略——理论与实践[M].北京:电子工业出版社,2009.4.
第7篇:信息与安全论文范文
关键词:信息安全;信息安全素养;信息安全保障;评价指标体系
中图分类号:C32 文献标志码:A 文章编号:10085831(2012)03008106
一、引言
目前,随着中国社会信息化程度的全面提升,网络与信息系统已经成为国家的关键基础设施,其基础性、全局性作用进一步增强,信息资源在国民经济发展中的作用与日俱增,谁能够及时掌握丰富的信息资源,谁就能在政治、经济、军事和文化等方面占据优势地位。但与此同时,信息安全问题日益多样化、复杂化。针对网络和信息系统的攻击活动以及网络与信息系统自身的安全问题,严重影响着金融、电力、交通等关键基础设施的正常运转,病毒传播、网络攻击、网络泄密等案件逐年上升。信息安全问题已经不仅仅是一个技术问题,也不仅仅是一个社会问题,而是涉及到政治、经济、社会、文化、军事等方方面面,进而上升成为国家全局性战略问题。中共十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一,另外三大部分为政治安全、经济安全和文化安全。据北京谷安天下科技有限公司的《2010企业员工信息安全意识调查报告》显示,428%的受访者认为个人信息安全意识不足是最大的信息安全隐患,然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。报告进一步显示,中国企业员工普遍缺乏信息安全意识[1]。另外在RSA2011信息安全大会上,不少信息安全专家不约而同地提出了一个引人关注的问题,即众多缺乏安全意识的员工,正在成为黑客突破企业安全防护时,最大也最难修补的漏洞[2]。2012年初CSDN和天涯等众多网站用户数据大规模泄露事件的主要原因是用户习惯使用一号多用的账户和密码,当个别网站个人资料泄露后,直接导致了多个网站的账户同时被曝光[3]。因此,加强对国民信息安全素养进行评价,让广大国民认识到自身信息安全素养的现状,并有效提升其信息安全素养是亟待解决的重要问题。
二、信息安全与国民信息安全素养的内涵
信息安全是一个既古老又年轻的话题,包含的范围很大,大到国家政治军事科技等机密安全,小到防范企业商业机密被窃取、个人信息泄露等。信息时代的到来更加凸显了信息安全的重要性和紧迫性。目前一般从狭义和广义两个方面理解信息安全。狭义的信息安全是指信息本身的安全问题,基本包括信息的保密性、完整性、可用性、可控性及可靠性五个方面。保密性是指确保信息仅为那些被授权者获取使用;完整性是指保护信息不被删除、修改、伪造、乱序等以确保其完整准确;可用性是指保证被授权者可以按需获取使用信息;可控性是指信息和信息系统处于安全监控管理状态;可靠性是指信息系统在规定条件下完成特定功能的概率。广义的信息安全是指社会信息化状态和信息技术体系不受外来威胁和侵害,以此维持国家政治、军事、经济、科技、文化、社会生活等系统正常运行的状态。广义的信息安全包括政治信息安全、经济信息安全、科技信息安全、军事信息安全、文化信息安全、生态信息安全、公共信息安全等内容[4]。
国民信息安全素养是指在信息化、网络化环境下,国民对信息安全的认识,以及对信息安全所表现出的各种综合能力,包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容[5]。它是信息社会中信息素养的重要组成部分,已成为信息社会人类生存立足的重要条件。信息安全意识是指人们能够认识到信息安全在工作、学习和生活中的重要性,对信息安全有一定的敏感性和洞察力,熟悉常见安全威胁的识别方法以及有效的安全保护措施。信息安全知识是指人们熟悉信息安全的基本概念和基本理论框架,了解计算机安全和网络安全的最新技术。信息伦理道德是指人们在获取、利用、加工和传播信息的过程中必须遵守一定的网络信息伦理道德规范,自觉抵制网络盗版、计算机病毒、电脑黑客等行为。笔者所讨论的信息安全素养的内涵比信息安全意识更加丰富,不仅包含关心和维护信息安全的意识取向,更包含后续各种防护能力、信息安全伦理道德等内容。信息安全素养与计算机素养有所不同,后者主要指个人使用计算机所需要的各种基础知识。另外信息安全素养的养成是长期“修习”的结果,并非天生就有,也不能一朝一夕就形成。信息安全素养的形成有一个程度变化的过程,即从低到高逐步发展的过程。
第8篇:信息与安全论文范文
关键词 信息安全事故;安全管理;事故致因理论
中图分类号 F49
文献标识码 A
文章编号 1006-5024(2013)01-0055-04
一、引言
在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道2010年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为51%、45%和40%,而相同事故在全球范围内的发生率则为25%、27%与23%。
大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。
目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。
本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。
二、理论基础
(一)国内外从管理角度对信息安全事故的研究
国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004)、Flowerday(2005)等学者也先后对此进行了研究。
与国外相比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。
通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。
(二)事故致因理论
在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。
在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。
本文依据博德(F.Bird)的现代安全科学观点,提出如图1所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。
三、信息安全事故分析
通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图2)。
(一)环境因素分析
在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。
在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。
(二)人员因素分析
人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。(1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。(2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑”。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。(3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。
(三)技术因素分析
信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。(2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。
(四)设备因素分析
企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件失效等。(2)保障设施方面,包括供电或空调中断、电气故障、电缆损坏等。(3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。
四、防范措施
针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言:
(一)建立有效的“人力防火墙”,减少人为因素导致的信息安全事故
信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。
(二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故
信息安全管理体系是依据企业信息安全需求、业务流程分析和风险评估的结果,综合利用各种信息安全技术与产品,在统一的综合管理平台上建立的信息安全管理机制和防范体系。建立并完善信息安全管理体系,可以为企业的信息管理提供来自策略、设计以及运行等各个层面和阶段的安全保障,有效减少由于环境因素和技术因素引起的信息安全事故。建立灾难恢复与业务持续性计划,强化重要信息数据备份,在信息安全事故发生时能确保业务持续开展,将损失降到最低程度;建立集中化的管理控制机制,将数据安全控制进行集中化管理,建立一个具有全局性的网络管理平台,以确保安全防范策略能够由上至下全面贯彻执行,减少数据安全风险;以“适度防范”为原则,选择合适的安全技术与产品,制定相应的访问控制策略,在考虑成本和投资回报的基础上满足企业业务安全的需求。
第9篇:信息与安全论文范文
【关键词】发电企业;网络安全;管理;技术
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
[5]刘威,刘鑫,杜振华.2010年我国恶意代码新特点的研究[A].第26次全国计算机安全学术交流会论文集[C].2011.
- 上一篇:旅游专业实习自我总结范文
- 下一篇:演讲活动总结范文
