發布時間:2023-04-08 11:37:16
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的信息安全法律法規論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
1 大數據概述
1)大數據的定義
大數據(big data,mega data),或者稱海量數據資源集,是指嘗試一種全新處理模式和應用思維方式才來預測行為的發生,提前做出準備應對。因為這種預測準確性高,這種模式需要有更強有力地的決策手段、洞察能力和流程優化方法的大規模、多樣化的信息資產,以便更好地適應企業進行經營決策和資源整[3]。
2)大數據的特點
特點如下:第一,龐大的數據量。從TB級別,躍升到PB級別;其次,廣泛的數據類型。網絡文字、圖像、影音、二維碼等信息。然后,低密度的價值。通過對數以萬計的數據信息進行地毯式挖掘,但有提取的用信息只有一星半點。第四,信息處理速度快。因為使用RapidMiner數據分析技術和Apache Drill查詢手段,對數據的處理只需要1秒。
2 信息安全問題在大數據時代中的現狀
大數據,已經滲透到當今每一個行業和業務職能領域,成為重要的生產因素。人們對于海量數據的挖掘和運用,預示著新一波生產率增長和消費者盈余浪潮的到來。”這是麥肯錫宣稱的大數據策略。與此同時,不少人認為,我們現在身處于“玻璃房”當中,周圍都是疾速的數據流。如何保護個人信息不被挖掘?當下又該如何使用好大數據這把“雙刃劍”是亟待解決[4]。
1)大眾非理性的對待
隨著智能手機和計算機技術的普及,對數據處理的生活化十分普遍。同時,衍生了網絡社會怪現象:網絡“曬”信息,微信搶紅包和微購物等。生活也漸漸成為了“自我量化”的模式,然而這些習以為常的舉動,很有可能泄露你的個人信息,造成不必要的損失。我國處于在傳統數據和大數據時代的過渡期,信息泄密事件也隨之泛濫成災。然而這個更迭的時期,個人信息與隱私邊界的模糊化,人的自我保護意識逐漸淡薄,促使我們成為隱私度歸零的“透明人”。
2)傳統安全技術的缺陷
近年來,網絡安全論文威脅層出不窮,讓企業、個人甚至政府機構等防不勝防。網絡黑客們總能對攻擊方案進行“創新”,編輯出殺傷力強大的程序設計。從而達到入侵網絡服務器獲取信息數據的目的[5]。傳統的防火墻和殺毒軟件只能來應對移動設備端的入侵手段,而無法解決黑客對云端大數據庫的攻擊。
3)數據價值屬性的隱患
由于大數據價值密度低的根本屬性,黑客利用這個特點,將制作并編寫的攻擊型APT代碼,并將其安置隱藏在大數據中,使監測的防護軟件無法被察覺。然后進行程序運行,但由于其識別代碼的迅速性,容易忽略病毒代碼,于是將病毒傳輸到大數據庫的云端空間服務器中。然后執行APT代碼,開始持續竊取工作并且進行指令整合,通過對用戶的細小的相關信息,來挖掘出用戶的信息與資料。
3 大數據時代下的信息安全新威脅
1)移動設備的信息泄露
大數據時代移動設備的普及化,app軟件的興起,不少非法廣告渠道商與黑客將黑手觸及其中,將惡意代碼、釣魚代碼和廣告植入到官方軟件中,然后將其從新包裝,并將包裝后的軟件放置第三方網絡應用平臺中,隨后攻擊者假裝成用戶認識的人,向用戶發送短信軟件鏈接,當用戶點擊廣告鏈接、下載應用軟件時,其惡意代碼將會啟動,被感染的移動設備會對聊天記錄、上網記錄、照片、性格愛好等個人價值微小信息,并向通訊錄的其他人發送相同短信。犯罪分子通過數據的傳輸把信息竊取出來,然后通過大數據進行的關聯性進行深度分析、挖掘和綜合利用,導致個人信息的泄露。
2)網絡犯罪越演越烈
隨著大數據的興盛,大規模的數據傳輸和網絡數據交易等都是通過大數據的平臺來進行的。數據平臺的虛構性使得極多的犯罪分子鉆其漏洞。其中網絡安全問題已經不再是最求眼下利益的破壞,而是損壞大數據下的關聯模式,使預測的準確性降低。影響未來的信息安全。
3)云計算的安全管理隱患
云數據中心因大數據時代的來臨,數據更加及集中密集,如果這些數據出現問題,無論是丟失還是被篡改,對任何企業都會是一場毀滅性災難。不少企業對對安全防護的認知還有存在較大的誤區[6]。云計算的發現與完善帶來了許多急待解決的問題,企業用戶的信息安全將面臨更加嚴峻的挑戰[7]。有些云服務供應商對登記注冊管理不嚴格導致了造成了云的泛濫、惡意的使用以及對云服務的攻擊的嚴重后果,對于大數據時代的發展產生極為不良的后果,嚴重干擾了數據的完整性和相關聯系[8]。
4 造成大數據時代信息安全缺位的原因
1)自我量化導致安全意識淡薄
如今,數據代表著某事物的描述,這種數據可以進行分析、整合與記錄。在大數據的時代,人們開始利用數據的核心屬性“量化一切”來對生活進行轉換。然而在當“文字轉換數據、方位轉換數據、溝通轉換數據甚至世界萬物轉換數據”時,人們不會把個體看作成體事物,而是視為一堆數據庫的集合時,便會覺得生活本該就是由數據構成[8]。于是就開始將圖片信息,個人資料肆無忌憚的公開在網絡的大數據,信息泄露的問題也隨之降臨。信息的泄露,會威脅著人們的信息保密工作[9],但這種泄露手段卻是大數據的掩蓋下神不知鬼不覺地發生著。
2)黑色產業鏈中的利益驅使
當大數據方興未艾時,一些app開發商與病毒的制作者組織在一起進行合作,對一些知名軟件做出反編譯處理,并在其中插入惡意、廣告代碼等。然后將這些被處理的軟件打包投放到應用市場,當用戶點擊其中的應用和廣告鏈接時,將會產生一定的推廣利益。這是大數據時代下病毒制作者、app開發商與非法廣告提供商三者形成的黑色產業鏈,而這種產業鏈將會污染大數據的環境,并且會使數據資源出現斷層,其關聯性被損壞從而引發信息安全問題。
3)安全法規的強滯后性
大數據的信息挖掘十分強大,它可以對網上數據源進行索引,尋得個人的細微信息,揭示其行為規律[10],這使安全隱私問題頻頻發生。當人們用法律法規去駕馭大數據下的信息安全時,發現法律法規的滯后性,無法滿足大數據時代的預測和關聯性使信息安全衍生的問題具有多變性。
5 大數據時代信息安全的措施
1)信息安全保護應納入國家戰略資源的保護范疇
數據的運用已滲入了社會生活的各個方面,大數據為國家及時掌握社會動態,分析社會民情,觀察社會變化提供了重要的數據來源。例如網上購物的發貨地址及其商品的變化,能很好地為國家分析各地的產業經濟的變化提供有力的數據,這些數據也屬于大數據的范疇,這些數據對于國家有其特殊的戰略意義[11]。由此可見,數據之于國家戰略的重要性,將其包含于戰略資源加以保護尤為重要。“國家網絡與信息安全戰略下的云”這一明確表述出現于2015年4月15號的中國數據中心大會中,表明對于信息安全的保護已經上升至國家戰略層面,這事件對于我國在新形勢下對于網絡信息安全及個人信息的保護具有里程碑式的重要意義。
2)加強信息安全的立法工作
在新形勢下,相較于傳統的保護措施及僅從技術層面上加以防范已經不能滿足如今的現實需求,從法律層面出發,制定研究能夠適應大數據時代下的信息保護法律,才能真正地為信息的保護樹立防范之本。許多IT企業的負責人呼吁國家應頒布信息安全相關的法律和加強對信息安全的保護工作,信息安全問題已引起了社會各階層的眾多討論[12]。這表明信息保護已不再是一個行業問題,而演變為一個與每個人都緊密相關的重要安全問題,這對保護網絡安全意義重大。
3)加強對數據的行政監管
在如今的互聯網時代,數據顯示出了其之前從不具有的巨大價值,某些商業機構運用個人信息數據能通過較小成本博取很高的經濟利潤,在個人信息安全法律沒有制定的今天,某些企業只需要面對較小的違法成本就能換取巨大的經濟利益[14]。對于這種情況,我國應制定與其相適應的安全標準,使這種行為始終處在透明的監管環境下,保護個人信息安全及隱私不被侵犯,使對個人數據的使用始終保持在正確的軌道上。2013年2月1日起實施的《信息安全技術公共及商用服務信息系統個人信息保護指南》指出對于數據的使用,必須要征得信息當事人的明確同意。在對信息的行政監管上,此指南的頒布意味著我國的信息保護工作走向了一個全新的層面[15]。
4)加強對信息安全的技術保護
技術保護是法律保護的具體化、現實化,它將法律保護落實到實質層面,是體現法律保護的有力工具。在相關法律還沒有正式實施的階段,技術保護仍是我們保護信息不可或缺的有效武器[16]。信息技術的發展日新月異,需要我國大力重視信息技術的發展,不斷創造及創新,突破新技術,研發新技術,提升我國在信息技術領域的競爭力,為我國的信息保護工作提供牢靠的技術保障。
5)加強行業自律與監管
僅僅依靠國家機關的行政監督仍不能有效保護信息的安全,我們應引入行業競爭,使它們相互監督,這能在最大程度上保護信息安全。所以,國家有關部門應組織相關企業組成行業委員會,制定行業安全標準和條約,明確它們的權利及義務,使相關企業間的互相監督變為現實,成為一個保護信息安全的有效辦法。同時,國家有關部門應給予相應的資金及政策支持。
大數據為我們提供更為真實的數據的同時也大大降低了數據獲取的成本,這使得我們能更好地服務社會,適應社會變化,改善社會,我們的社會會應大數據而變得更美好[17]。大數據的運用仍有其隱患,它就像把雙刃劍,在最大程度上運用它的關聯方面的“預測”同時也應最大限度地避免其所帶來的風險。這風險就是信息資源的泄露,在運用數據的同時不能忽視對數據的保護。
參考文獻:
關鍵詞:電子政務 風險 防范措施
中圖分類號:C93文獻標識碼: A
一、 電子政務概述
電子政務,亦稱電子政府、政府信息化管理,是政府機構以計算機為媒介,應用現代信息和通信技術,將政府的管理和服務工作通過網絡技術進行集合,以實現政府部門工作的進行以及組織結構的優化重組,從而及時向社會及公眾提供全方位、行之有效的管理和服務。
電子政務是政府管理方式的革命,它的運行有助于建立一個開放透明的政府,一個勤政廉潔的政府。電子政務職能實現的前提是信息安全的有效保障,大量政府公文在政務信息網絡上的流轉,一旦存在信息安全問題,則直接導致機密數據和信息的泄漏,危及到政府的核心政務。如果電子政務信息安全得不到保障,電子政務的效率便無從保證,這將給國家利益帶來嚴重威脅。所以說,信息安全是制約電子政務建設與發展的首要問題和核心問題。
二、 電子政務面臨的風險
(一) 認知層面的風險
電子政務在國內建設與使用時間不長,缺乏深入研究。一些人只是簡單地認為電子政務系統就是信息化,只要實現了網絡數字化就可以推行電子政務,從而出現盲目建設、脫離現實條件等問題;還有一部分人認為電子政務就是運用計算機代替傳統手工模式,這就固化了現有政府結構,不利于政府的改造與職能的轉變。
(二) 規劃層面的風險
規劃層面的風險主要有:規劃制定人員、規劃的范圍和內容、規劃計劃的實施步驟、規劃中的政策因素等等。
信息技術的進一步應用,使得政府的組織形態正在由傳統的金字塔垂直模式向錯綜復雜的網狀結構轉變,這就要求政務機構的運行方式作出相應轉變,進行電子政務的整體規劃。電子政務是整個系統建設的基礎,是項目成功的基本保障。只有了解了本地區的發展現狀,了解地方政府的特點,了解本地區的政務工作流程,才能編制出適合本地區電子政務的發展規劃。但目前,地方政府在電子政務方面的規劃明顯不足,缺乏可操作性,這就導致在使用過程中面臨著很大風險。
(三) 物理安全層面的風險
物理安全層面的風險主要指的是網絡環境和物理特性引起的網絡設備和線路的不可用,從而造成網絡系統的不可用。例如,線路老化、蓄意破壞、設備意外故障、自然災害等, 這些都屬于物理安全層面的潛在風險因素。
(四) 應用層面的風險
應用層面的風險主要表現為非法訪問,即竊取用戶口令、用戶信息被剽竊或修改等,由于政府網絡對外提供WWW服務,Email服務、DNS服務等,因此也存在著外網非法用戶對內部服務器的攻擊。
(五) 系統層面的風險
當前電子政務網通常采用的操作系統本身在安全方面的考慮較少,服務器與數據庫的安全級別較低,這在很大程度上存在著安全隱患,加之病毒的潛伏,這些都增加了系統在安全方面的脆弱性。
(六) 技術層面的風險
技術層面的風險主要表現為技術線路、設備選型、工程質量、系統性能等風險。技術層面的風險不僅關系到項目的實施情況,也關系到項目后期的維護和應用。現階段受技術發展的制約,我們在技術方面還存在著很大欠缺,因此存在著一定的技術風險。
(七) 資金層面的風險
受利益的驅使,有些部門在制定規劃時,將電子政務的規模越做越大,虛設資金越來越多,這就使得電子政務的建設變得越來越困難。除此之外,在資金使用方面,由于缺乏對部門資金的有效監督,使得資金浪費現象嚴重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務的建設,甚至促使一種新的腐敗的產生。另外,在后期維護上,電子政務系統也需要運營資金的支持,沒有了運營資金的有效支持,就沒有了電子政務的內容來源。
(八) 管理層面的風險
在電子政務運行過程中需要管理的內容主要有規劃管理、技術管理、過程管理、運維管理、安全管理等。管理的風險不僅體現在單個項目的管理,也體現在根據規劃對相關項目群的管理風險。管理風險是項目實施過程中最主要的風險,是項目成敗與否的關鍵。隨著信息系統建設和應用規模的不斷擴大,管理的難度和風險還將不斷加大,但與此同時,政府部門缺乏信息化項目管理的專業人員,缺乏項目管理的風險意識,這與快速發展的電子政務管理要求不相匹配。
三、 電子政務管理防范措施
(一)強化信息管理人員的安全意識
電子政務信息安全是電子政務正常而高效運轉的基礎,是保障國家信息安全的重要前提,電子政務信息管理人員要正確認識并高度重視,及時發現影響信息安全的現象。政府部門要對信息管理人員進行必要的培訓,普及信息安全知識,增強信息管理人員的安全意識;積極開展安全策略研究,明確安全責任,增強信息管理人員的責任心;積極組織各種講座和培訓班,培養專業信息安全人才,確保防范手段和技術措施的先進性和主動性。
(二)實施保障措施,建立系統安全保障體系
電子政務系統安全風險的威脅無處不在,它主要來自于物理環境、技術環境、社會環境等。建立全方位的電子政務信息系統安全保障體系是規避電子政務安全威脅因素的必要方式。在充分分析系統安全風險的基礎上,通過制定系統安全策略和采用先進的安全技術,才能對系統實施安全防護和監控,使其真正成為智能型系統安全體系。具體做法有:
1.實施監測系統的運行情況,及時發現和制止可能對系統出現威脅的各種攻擊;
2.記錄和分析安全審計數據,檢查系統中出現的違規行為,判斷是否違反法律法規,為改進系統提供充足的依據;
3.對數據恢復應進行應急處理和響應,及時恢復信息,降低被攻擊的破壞程度,包括備份、自動恢復、快速恢復等。
(三)制定合理資金計劃,確保有序利用
充足的資金是保證電子政務順利開展的必要條件。前期指定電子政務建設的方案中,要根據本單位、本部門的實際情況制定合理的資金預算方案,確保不虛報資金預算,杜絕腐敗滋生;在后期維護過程中,資金也要及時到位,以確保電子政務信息系統的順利進行。
(四)健全電子政務法律法規建設
法律是保障電子政務信息安全的最有力手段。政府立法部門應加快立法進程,借鑒國外網絡信息安全立法方面的先進經驗,制定完備的信息網絡安全性法規,完善我國的網絡信息安全法律體系,使得電子政務信息安全管理走上法制化軌道。
電子政務是實現“電子政府”的有效途徑,在政府推動信息化的同時,也要注意其過程中產生的風險,正視風險本身,加快制定保障電子政務健康發展的政策法規,才能降低風險,從而有力地推動和改進政府的管理方式,才能有助于更好的發揮其政府職能。
參考文獻:
[1]方德英,李敏強.IT項目風險管理理論體系構建[J].合肥工業大學學報(自然科學版),2003,,2(8):907-908.
[2]費朵,鄒家繼.項目風險識別防范探討[J].物流科技,2008(08):139-141.
論文關鍵詞:信息系統;安全管理;體系
現代金融業是基于信息、高度計算化、分散、相互依存的產業,有人形象地把信息系統歸結為銀行業的“核心資本”。金融信息化帶來的是銀行業務信息系統在網絡結構、業務關系、角色關系等方面的復雜化。而越是復雜的系統,其安全風險就越高。在系統中每增加一種訪問的方式就增加了一些入侵的機會;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風險。據2003年一項對全球前500家金融機構的安全調查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調查的機構承認2002年曾受到一定形式的系統攻擊;美國聯邦法院2004年所作的一系列有關信息犯罪的案件中,有多件涉及金融機構。這些統計數字和報道出的事件,只是我們面臨信息系統安全威脅的冰山一角,因此加速建設金融信息系統中的安全保障體系變得更加緊迫。
長期以來,人們對保障信息系統安全的手段偏重于依靠技術,從早期的加密技術、數據備份、防病毒到近期網絡環境下的防火墻、入侵檢測、漏洞掃描、身份認證等等。但事實上,僅僅依靠安全技術和安全產品保障信息系統安全的愿望卻往往難盡人意,許多復雜、多變的安全威脅和隱患靠安全產品是無法消除的。據有關部門統計,在所有的計算機安全事件中,約有52%是人為因素造成的,25%由火災、水災等自然災害引起,技術錯誤占10%,組織內部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達6O%以上,而這些安全問題中的95%是可以通過科學的信息安全管理來避免。因此,加強安全管理已成為提高信息系統安全保障能力的可靠保證,是金融信息系統安全體系建設的重點。
1安全管理體系構建
信息安全源于有效的管理,使技術發揮最佳效果的基礎是要有一定的信息安全管理體系,只有在建立防范的基礎上,加強預警、監控和安全反擊,才能使信息系統的安全維持在一個較高的水平之上。因此,安全管理體系的建設是確保信息系統安全的重要基礎,是金融信息系統安全保障體系建設最為重要的一環。為在金融信息系統中建立全新的安全管理機制,最可行的做法是技術與管理并重,安全管理法規、措施和制度與整體安全解決方案相結合,并輔之以相應的安全管理工具,構建科學、合理的安全管理體系。
金融信息系統安全管理體系是在金融信息系統安全保障整體解決方案基礎上構建的,它包括信息安全法規、措施和制度,安全管理平臺及信息安全培訓和安全隊伍建設,其示意圖如圖1所示。
2安全管理平臺
安全管理平臺是通過采用技術手段實施金融信息系統安全管理的平臺,它包括安全預警管理、安全監控管理、安全防護與響應管理和安全反擊管理。
2.1安全預警管理
安全預警管理的功能由預警系統實現,通過該系統,可以在安全風險動態威脅和影響金融信息系統前,事先傳送相關的警示,讓管理員采取主動式的步驟,在安全風險影響運作前加以攔阻,從而預防全網業務中斷、效能損失或對其公眾信譽造成危害,達到提前保護自己的作用。安全預警系統通過追蹤最新的攻擊技術,分析威脅信息以辨識出真正潛在的攻擊,迅速響應并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務,幫助降低風險,防患于未然。
2.2安全監控管理
通過安全監控功能可以實時監控金融信息系統的安全態勢、發生了哪些攻擊、出現了什么異常、系統存在什么漏洞以及產生了哪些危險日志等,因此安全監控功能對于金融信息系統的安全保障體系來說是至關重要的。
1)基于實時性的安全監控。通過在線方式管理金融信息系統中的資源狀態和實時安全事件,及時關注IT資源和安全風險的現狀和趨勢,通過實時監控來提高系統的安全性和IT資源的效能。
2)基于智能化的安全監控。利用智能信息處理技術對信息網絡中的各種安全事件進行智能處理,實現報警信息的精煉化,提高報警信息的可用信息量,降低安全設備的虛警和誤警,從而有效地提高安全保障系統中報警信息的可信度。
3)基于可視化的安全監控。通過對安全事件分析過程與分析報告的可視化手段,如圖表/曲線/數據表/關聯關系圖等,提供詳細的入侵攻擊信息乃至重現攻擊場景,實現對入侵攻擊行為的追蹤,使得對安全事件的分析更為直觀,從而有效提高安全管理人員對于入侵攻擊的監控理解,使安全系統的管理更為有效。
4)基于分布式的安全監控。通過系統分布式的多級部署方式,可以實現對金融信息系統內各個子系統的監控和綜合分析能力,同時對不同安全保護等級的用戶提供相應的監控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求。
2.3安全防護與響應管理
在金融信息系統的安全系統中由于安全的異構屬性,因此會采用不同的安全技術和不同廠家的安全產品來實現安全防護的目的。通過安全防護與響應管理可以及時響應和優化整個系統安全防護策略;最直接的響應就是提供多種方式,如報警燈、窗日、郵件、手機短信等向安全管理員報警,然后日志保存在本地數據庫或者異地數據庫中。
1)優化安全策略分析。通過實時掌握自身的安全態勢,及各種安全設備、網絡設備、安全系統和業務系統的處理情況,輸出正常和非法個性化的安全策略報表,然后直接通知相應的安全管理人員或廠商對其自身策略進行優化調整。
2)動態響應策略調整。通過對各種安全響應協議的支持,如SNMP、TOPSEC、聯動協議等,實現相關的安全防護技術策略的自動交互,同時通過專家知識庫能從全局的角度去響應安全事件很好地解決安全誤報問題。
3)安全服務自動協調。當智能分析和安全定位功能確認出安全事件或安全故障時,及時調派安全服務人員小組(或提供安全服務的供應商)進行相應的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理。取證在網絡與信息系統安全事件的調查中是非常有用的工具,通過對系統安全事件的存儲和分析,實現對安全事件的取證管理,給相關調查人員提供安全事件的直接取證。
2)安全事件的追蹤反擊。通過資源狀態分析、關聯分析、專家系統分析等有效手段,檢測到攻擊類型,并定位攻擊源。隨后,系統自動對目標進行掃描,并將掃描結果告知安全管理員,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制。
3安全管理措施建議
在安全管理技術手段的基礎上,還要提高安全管理水平。俗話說“三分技術,七分管理”,由于金融信息系統相對比較封閉,對于金融信息系統安全來說,業務邏輯和操作規范的嚴密程度是關鍵。因此,加強金融信息系統的內部安全管理措施,建立領導組織體系,完善落實內控制度,強化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理機構的建設。目前,我國已經把信息安全提到了促進經濟發展、維護社會穩定、保障國家安全、加強精神文明建設的高度,并提出了“積極防御、綜合防范”的信息安全管理方針,專門成立了網絡與信息安全領導小組、國家計算機網絡應急技術處理協調中心(簡稱CNCERT/CC)、中國信息安全產品測評認證中心(簡稱CNITSEC)等,初步建成了國家信息安全組織保障體系。為確保金融信息系統的安全,在金融信息系統內部應組建安全管理小組(或委員會),安全管理小組制定出符合企業需要的信息安全管理策略,具體包括安全管理人員的義務和職責、安全配置管理策略、系統連接安全策略、傳輸安全策略、審計與入侵安全策略、標簽策略、病毒防護策略、安全備份策略、物理安全策略、系統安全評估體系等內容。安全管理應盡量把各種安全策略要求文檔化和規范化,以保證安全管理工作具有明確的依據或參照。
2)在保證信息系統設備的運行穩定可靠和信息系統運行操作的安全可靠的前提下,增加安全機制,如進行安全域劃分,進行有針對性的安全設備部署和安全策略設置,以改進對重要區域的分割防護;增加入侵檢測系統、漏洞掃描、違規外聯等安全管理工具,進行定時監控、事件管理和鑒定分析,以提高自身的動態防御能力;完善已有的防病毒系統、增加內部信息系統的審計平臺,以便形成對內部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統安全管理的法律法規及安全管理標準,狠抓內網的用戶管理、行為管理、應用管理、內容控制以及存儲管理;進一步完善互聯網應急響應管理措施,對關鍵設施或系統制定好應急預案,并定期更新和測試,全面提高預案制定水平和處理能力;建立一支“信息安全部隊”,專門負責信息網絡方面安全保障、安全監管、安全應急和安全威懾方面的工作。
4)堅持“防內為主,內外兼防”的方針,加強登錄身份認證,嚴格限制登錄者的操作權限,充分利用操作系統和應用系統本身的日志功能,對用戶所訪問的信息進行跟蹤記錄,為系統審計提供依據。
5)重視和加強信息安全等級保護工作,對金融信息系統中的信息實施一般保護、指導保護、監督保護和強制保護策略,尤其對重要信息實施強制保護和強制性認證,以確保金融業務信息的安全。
6)加強信息安全管理人才與安全隊伍建設,特別是加大既懂技術又懂管理的復合型人才的培養力度。通過各種會議、網站、廣播、電視、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識,尤其是加強企業內部人員的信息安全知識培訓與教育,提高員工的信息安全自律水平。
關鍵詞:信息網絡安全;課程;教學方法
中圖分類號:TP3 文獻標識碼:A 文章編號:1009-3044(2012)35-8466-03
1 概述
隨著人類進入信息網絡社會,信息網絡系統在人類的日常生活、工作中發揮著越來越重要的作用。由于操作不當和網絡黑客的猖獗,大家對計算機中存儲的信息安全越來越擔心了。怎樣才能使計算機與網絡中的信息更安全,必須了解計算機信息安全的概念,了解經常遇到的各種信息安全問題和應對策略。
以為企事業單位第一線輸送實用型人才[1]為辦學宗旨的高等職業技術院校,要適應社會發展、經濟建設需求,培養有一定的理論基礎、扎實的實踐動手能力和比較強的創新能力的實用型技術人才。針對工作在各行各業最前沿的高職計算機及相關專業的學生而言,培養日常安全意識,掌握信息安全相關技術已迫在眉睫。
為使學生能夠具有良好的職業道德,了解并認識各類計算機病毒、網絡黑客攻擊的危害性,熟悉并初步掌握計算機網絡偵查與信息安全管理等基本理論知識及相關實際操作及處理技能,具有較強的信息安全應用處理能力,能勝任各級企事業單位計算機信息管理及基本的安全維護,具備規劃企業安全方案的初步能力,該文從明確課程教學目標、合理設計教學內容及如何提高教學質量三方面進行了一些改革探索。
2 明確課程教學目標
以培養學生實際動手、操作技能為核心目標,理論知識的掌握應服務于實際工作能力的建構。所謂實際工作能力,應當是一種對職業世界的理解和認同,對職業任務的認識和把握,對職業活動的控制與操作能力[2]。高職計算機及相關專業開設信息安全課程,其目的是培養在實際生活和工作中能夠解決第一線的具體信息安全問題的實用性人才,而不是培養信息安全方面的全才,也不是培養戰略人才。即培養滿足企事業單位社會需求,具備一定的安全道德意識,了解并熟練掌握信息網絡安全維護及安全防范技能,基本能夠勝任信息安全系統環境構建的技能型的人才。
因此,本門課程的教學目標是培養學生良好的職業道德素質;幫助學生了解并掌握信息網絡安全的基本知識、原理和技術,學會如何在開放的網絡環境中保護自己的信息和數據,防止黑客和病毒的侵害;重點學習目前在信息網絡安全領域應用較多的技術,主要是防火墻技術、入侵檢測(IDS)技術和基于公鑰基礎設施(PKI)等信息安全技術,使學生在完成本課程學習后,能夠獨立進行網絡信息安全方面的研究和工作;在學習并掌握信息網絡安全知識的同時,培養學生的創新精神、實踐技能和創業能力,并注重培養學生的認真負責的工作態度和一絲不茍的工作作風。
3 精心組織、設計教學內容
信息網絡安全是一門綜合性學科,同時又是一門普及性意義的實踐性很強的課程,因高職學生的網絡基礎知識及所授教學課程學時所限,全面介紹信息網絡安全各方面的理論知識及相關技能是不可能的,也毫無必要,應有選擇、有針對性地學習相關的信息安全知識。故信息網絡安全課程的基本任務是讓學生掌握密碼學與信息安全基本的思想與方法,為今后工作、生活及進一步學習與研究奠定堅實的基礎。
根據高職計算機及相關專業學生,在掌握信息網絡安全基礎理論知識及相關技能的前提下,應盡可能多地了解當前的信息網絡安全技術,以增強實際分析與解決信息安全實際問題的能力。高職信息安全課程的教學內容至少應包括:
1)網絡安全概述:理解網絡安全的基本概念和術語,了解目前主要的網絡安全問題和安全威脅,理解基本的網絡安全模型及功能,了解信息網絡安全的重要性及各種信息安全法律法規;
2)網絡操作系統命令及協議分析:需要掌握常用網絡協議及協議分析工具,各種網絡服務及常用網絡命令,系統漏洞及后門等內容,尤其是系統的安全配置,這是信息網絡安全的根基所在;
3)防火墻技術與VPN技術:防火墻技術是一種隔離內部網和公眾訪問網的安全技術,對兩個通信網絡執行訪問控制,而VPN則是一種跨越Internet進行安全的、點對點通信的安全虛擬通道技術;
4)密碼技術及應用:密碼技術是保護信息安全的重要手段之一,也是防止偽造、篡改信息的認證技術基礎;課程中介紹密碼學的基本概念,要求準確理解并反復強化,以形成對密碼學整體的初步印象;而對密碼學中的數學概念要求有一定的了解,可以不必深入掌握,留待以后加強;
5)病毒及其防范:了解各種計算機病毒的原理、傳播方式及其危害,從而更好地殺毒、防毒;
6)網絡攻防和入侵檢測:了解黑客與網絡攻擊、入侵檢測的基本知識,掌握口令攻擊、端口掃描、網絡監聽、IP欺騙、拒絕服務、特洛伊木馬等攻擊方式的原理、方法及危害,能夠識別和防范各類攻擊并利用入侵檢測工具檢測入侵行為;
7)網絡安全管理:理解網絡管理的概念、目標、功能及標準,熟悉一些管理軟件的功能和應用。
在選擇具體授課內容時,應根據社會企事業及各方面需求及相關專業的學生作適當調整,尤其不能流于表面而局限于一些泛泛的、缺乏全面的安全知識,同時也不要過于追求一些深奧的、研究方面的理論知識。要根據所設定的適合高職學生的教學目標,圍繞著在實際生活、工作中可能遇到的一些信息安全問題,精心設計相應的授課內容,布置學習任務,以便讓學生能夠將課堂所學知識同現實安全問題相聯系,能夠根據出現的安全現象解決實際問題,真正的將信息安全知識固化到自身,最終達到開設本信息安全課程的目的。
4 提高教學質量的探索
明確教學目標,規劃好教學內容后,還應配有良好的教學方法和手段,如是才能真正產生好的教學效果。我們一方面按照現代教育思想[3]組織教學,一方面積極探索,大膽改革,具體從以下幾個方面進行探索:
4.1完善信息安全理念,認識維護信息網絡安全的重要性
高職學生一般都有很強的好奇心,對新知識充滿濃厚的興趣,尤其一部分學生更是對黑客技術有著耳聞,想進一步深入了解和掌握一些黑客攻擊技術的迫切感。其實,在Internent網上有很多的黑客攻擊工具,只要下載下來簡單安裝配置后就可能產生嚴重的攻擊行為。例如,漏洞掃描、網絡監聽等工具就是一把雙刃劍。網絡管理人員使用這些工具可以了解網絡運行情況及現有網絡存在的一些安全漏洞,從而作出相應的安全防范措施;而一些懷有好奇心的人及黑客則可以利用這些工具掃描、監聽甚至攻擊相關網絡,從而造成有意或無意的網絡攻擊。因此,我們在講授信息安全課程的時候首先要讓學生認識到網絡攻擊的危害性和維護信息網絡安全的重要性。如何引導學生做一個信息安全衛士而不是一個安全文盲及黑客,是本課程教學的一個重要任務。
在信息網絡安全的第一節課,首先給出一些CERT(Computer Emergency Response Team, 計算機緊急應變小組)統計出的一些信息安全事件數據,讓學生初步認識到信息安全攻擊事件的防不勝防和信息安全事件所帶來的慘重損失;然后通過講述一些國內外網絡犯罪的事例,使學生了解哪些網絡行為是違法的,進一步認識到維護信息安全和遵守信息安全法律法規的重要性;最后讓學生明確信息網絡安全存在著木桶效應:只有保證每個環節的安全,信息網絡安全才能有保障,從而讓學生一開始就養成嚴謹的信息安全理念。
4.2啟發式教學,發揮學生的主觀能動性
興趣是最好的老師,我們應該充分利用科學的教學方法來提高學生的學習興趣,培養學生的鉆研精神,增強學生學習的主觀能動性。教學課堂上可以充分利用多媒體教學,將圖片、動畫、錄像等元素都集成到教學活動中,以直觀、生動的教學形式提高學生的學習興趣。這樣避免了單純的理論說教,讓學生能夠從抽象難懂的信息網絡安全知識上升到形象上的認識。
教學過程中,老師可以尋求學生的反饋,打斷講課來提問,一次中斷十秒鐘,注視學生;有時老師可以和學生開些善意的玩笑,允許他們提問,發表評論,并在對話中保持主動。這種教學無異于邀請學生圍著飯桌相互交流[4]。
針對信息網絡上出現的一些安全事件,老師可以提出相應的問題(例如網絡支付中的身份識別和信息保密問題),鼓勵學生獨立分析問題和解決問題,引導學生表達、傾聽并能夠主動回答問題、解決問題的能力,從而養成學生積極思考、主動解決問題的習慣。另外,應培養學生善于提出問題、積極主動地分析比較的習慣,讓他們每時每刻都帶著問題去學,并及時總結已學過的知識,逐漸培養學生學習的主觀能動性。
4.3理論聯系實際,盡快掌握所學知識
密碼技術及應用理論性強,是本課程的重點、難點,為使學生能夠掌握密碼學的基礎理論,教學過程中可以采用理論聯系實際的教學方法。首先講述密碼學的基本概念和術語、對稱和非對稱密碼的區別、古典密碼學的基本方法及DES算法、RSA算法的基本原理,使學生掌握密碼學的基礎知識,簡單了解加密算法的原理、設計思路及使用場所,對加密算法產生初步印象;然后介紹密碼學應用方面的知識,包括密鑰管理、消息認證、數字證書、以及Windows系統中的證書服務等方面的基本原理、方法和應用,從而加深對密碼學概念及各種應用的理解。
PGP,全稱Pretty Good Privacy,一種在信息安全傳輸領域首選的加密軟件,其技術特性是采用了非對稱的“公鑰”和“私鑰”加密體系。學習完非對稱密鑰理論知識后,試著讓學生各自動手安裝PGP軟件,生成一對的“公鑰”和“私鑰”,并讓學生把自己的“公鑰”給同班的同學,讓學生之間相互發送加密和簽名的文件,從而實現安全文件傳輸,如此,學生在實際操作過程中快速了解并掌握了非對稱密鑰體制的理論知識和實際使用方法。
4.4遵循實踐動手能力培養第一的原則,培養學生較強的實踐應變能力
信息安全是一個復雜的、隱蔽性很強的問題,一般人很難發現[5]。開設信息網絡安全課程的目的就是讓學生能夠從復雜的網絡環境之后發現信息安全問題,針對信息安全問題進行分析,找到問題根源所在,并能夠及時解決所出現信息安全,以便進一步培養學生具有敏銳的眼光、清晰的思路及解決信息安全問題的能力。從發現信息安全問題,分析解決問題,直至消除安全隱患,時間越短越好,以減少信息安全問題所帶來的影響和損失。同時針對信息安全問題,要透過現象看本質,主動出擊、防范,不能等到問題爆發了,造成嚴重損失了再解決。
“魔高一尺 道高一丈”,信息網絡飛速發展,病毒與黑客攻擊技術日新月異,高職學生應用“與時俱進”的思想面對信息安全問題,在平時的工作學習中時刻了解信息安全動向,關注各種新病毒:網絡掛馬、網絡釣魚、超級病毒工廠等,不斷學習,接收最新信息安全技術及各種安全防范方法。
信息網絡安全課是一門實際應用性很強的課程,要以“必需、夠用”為度,淡化理論的片面推導過程,應加強培養學生理論成果的實際應用能力,注重課堂教學內容的精選和更新。在努力豐富課堂教學內容的同時,必須加強學生善于總結、應對各種最新安全問題的能力。可以鼓勵學生課余時間自己上網查找最新安全技術資料,了解并掌握一些最新信息安全技術,以小論文方式提交并進行適當考核,這樣提高了學生的自學能力、主動應變能力和文字表達能力,為今后的工作學習打下堅實信息安全權基礎。
4.5 良好團隊合作精神,善于與他人交流合作
高職計算機相關專業的學生一般工作在計算機應用的最前沿,網上辦公、網上事務處理、電子商務、電子政務等,這改變了企事業單位的工作模式,大大提高了工作效率,在給工作帶來極大便利的同時,也帶來了嚴重的信息安全挑戰。信息網絡安全問題面比較廣,參與討論的人越多,解決問題的速度就越快、越完美,相應的安全漏洞也會越少,共同探討、爭辯過程中,甚至還會激發更多人的奇思妙想,產生意想不到的效果。因此,高職信息網絡安全課程應積極培養學生之間交流溝通的能力,平時鼓勵學生多讀、讀懂信息安全方面的文章,能把自己的想法寫出來并在同學間實現共享;另外,信息網絡安全方面的問題往往不是某個學生單獨能夠解決的,需要同學們共同參與解決,這就需要學生具有良好的團隊精神,善于與他人交流合作,集眾人智慧,共同探討所遇到的信息安全問題。
當然,高職計算機相關專業的學生在學習探討各種信息安全問題的同時,可以充分利用各種網絡資源來學習充實自己,例如可以經常上一些殺毒軟件網站了解最新病毒信息,從一些病毒案例分析解決中學習一些實際操作經驗;同時可以注冊清華大學(水木清華)、東南大學等高等院校的BBS論壇,學習探討一些信息安全問題。
5 結束語
高職信息網絡安全課程是一門內容更新很快的課程,更是一門具有較高挑戰性的課程,這勢必給我們的信息安全教學工作帶來一定的難度。該文在明確信息網絡安全課程教學目標、精心安排設計教學內容以及如何提高教學質量方面進行了一些有益的嘗試,合理設計、組織好信息網絡安全課程教學,完善學生信息安全理念,需要在以后的教學實踐中進行不斷的總結和提高。
參考文獻:
[1] 賈少華. 面向市場 面向學生、面向實踐——試論高職人才培養的基本原則[J]. 西北工業大學學報(社會科學版),2005(1).
[2] 江鐵. 高職信息安全專業人才培養模式的研究[J].計算機教育,2009(2).
[3] 姬興華.《現代教育思想》課程“導學”思路問題探析[M]. 淮北職業技術學院學報,2010(2).
