发布时间:2023-04-08 11:37:16
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的信息安全法律法规论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
1 大数据概述
1)大数据的定义
大数据(big data,mega data),或者称海量数据资源集,是指尝试一种全新处理模式和应用思维方式才来预测行为的发生,提前做出准备应对。因为这种预测准确性高,这种模式需要有更强有力地的决策手段、洞察能力和流程优化方法的大规模、多样化的信息资产,以便更好地适应企业进行经营决策和资源整[3]。
2)大数据的特点
特点如下:第一,庞大的数据量。从TB级别,跃升到PB级别;其次,广泛的数据类型。网络文字、图像、影音、二维码等信息。然后,低密度的价值。通过对数以万计的数据信息进行地毯式挖掘,但有提取的用信息只有一星半点。第四,信息处理速度快。因为使用RapidMiner数据分析技术和Apache Drill查询手段,对数据的处理只需要1秒。
2 信息安全问题在大数据时代中的现状
大数据,已经渗透到当今每一个行业和业务职能领域,成为重要的生产因素。人们对于海量数据的挖掘和运用,预示着新一波生产率增长和消费者盈余浪潮的到来。”这是麦肯锡宣称的大数据策略。与此同时,不少人认为,我们现在身处于“玻璃房”当中,周围都是疾速的数据流。如何保护个人信息不被挖掘?当下又该如何使用好大数据这把“双刃剑”是亟待解决[4]。
1)大众非理性的对待
随着智能手机和计算机技术的普及,对数据处理的生活化十分普遍。同时,衍生了网络社会怪现象:网络“晒”信息,微信抢红包和微购物等。生活也渐渐成为了“自我量化”的模式,然而这些习以为常的举动,很有可能泄露你的个人信息,造成不必要的损失。我国处于在传统数据和大数据时代的过渡期,信息泄密事件也随之泛滥成灾。然而这个更迭的时期,个人信息与隐私边界的模糊化,人的自我保护意识逐渐淡薄,促使我们成为隐私度归零的“透明人”。
2)传统安全技术的缺陷
近年来,网络安全论文威胁层出不穷,让企业、个人甚至政府机构等防不胜防。网络黑客们总能对攻击方案进行“创新”,编辑出杀伤力强大的程序设计。从而达到入侵网络服务器获取信息数据的目的[5]。传统的防火墙和杀毒软件只能来应对移动设备端的入侵手段,而无法解决黑客对云端大数据库的攻击。
3)数据价值属性的隐患
由于大数据价值密度低的根本属性,黑客利用这个特点,将制作并编写的攻击型APT代码,并将其安置隐藏在大数据中,使监测的防护软件无法被察觉。然后进行程序运行,但由于其识别代码的迅速性,容易忽略病毒代码,于是将病毒传输到大数据库的云端空间服务器中。然后执行APT代码,开始持续窃取工作并且进行指令整合,通过对用户的细小的相关信息,来挖掘出用户的信息与资料。
3 大数据时代下的信息安全新威胁
1)移动设备的信息泄露
大数据时代移动设备的普及化,app软件的兴起,不少非法广告渠道商与黑客将黑手触及其中,将恶意代码、钓鱼代码和广告植入到官方软件中,然后将其从新包装,并将包装后的软件放置第三方网络应用平台中,随后攻击者假装成用户认识的人,向用户发送短信软件链接,当用户点击广告链接、下载应用软件时,其恶意代码将会启动,被感染的移动设备会对聊天记录、上网记录、照片、性格爱好等个人价值微小信息,并向通讯录的其他人发送相同短信。犯罪分子通过数据的传输把信息窃取出来,然后通过大数据进行的关联性进行深度分析、挖掘和综合利用,导致个人信息的泄露。
2)网络犯罪越演越烈
随着大数据的兴盛,大规模的数据传输和网络数据交易等都是通过大数据的平台来进行的。数据平台的虚构性使得极多的犯罪分子钻其漏洞。其中网络安全问题已经不再是最求眼下利益的破坏,而是损坏大数据下的关联模式,使预测的准确性降低。影响未来的信息安全。
3)云计算的安全管理隐患
云数据中心因大数据时代的来临,数据更加及集中密集,如果这些数据出现问题,无论是丢失还是被篡改,对任何企业都会是一场毁灭性灾难。不少企业对对安全防护的认知还有存在较大的误区[6]。云计算的发现与完善带来了许多急待解决的问题,企业用户的信息安全将面临更加严峻的挑战[7]。有些云服务供应商对登记注册管理不严格导致了造成了云的泛滥、恶意的使用以及对云服务的攻击的严重后果,对于大数据时代的发展产生极为不良的后果,严重干扰了数据的完整性和相关联系[8]。
4 造成大数据时代信息安全缺位的原因
1)自我量化导致安全意识淡薄
如今,数据代表着某事物的描述,这种数据可以进行分析、整合与记录。在大数据的时代,人们开始利用数据的核心属性“量化一切”来对生活进行转换。然而在当“文字转换数据、方位转换数据、沟通转换数据甚至世界万物转换数据”时,人们不会把个体看作成体事物,而是视为一堆数据库的集合时,便会觉得生活本该就是由数据构成[8]。于是就开始将图片信息,个人资料肆无忌惮的公开在网络的大数据,信息泄露的问题也随之降临。信息的泄露,会威胁着人们的信息保密工作[9],但这种泄露手段却是大数据的掩盖下神不知鬼不觉地发生着。
2)黑色产业链中的利益驱使
当大数据方兴未艾时,一些app开发商与病毒的制作者组织在一起进行合作,对一些知名软件做出反编译处理,并在其中插入恶意、广告代码等。然后将这些被处理的软件打包投放到应用市场,当用户点击其中的应用和广告链接时,将会产生一定的推广利益。这是大数据时代下病毒制作者、app开发商与非法广告提供商三者形成的黑色产业链,而这种产业链将会污染大数据的环境,并且会使数据资源出现断层,其关联性被损坏从而引发信息安全问题。
3)安全法规的强滞后性
大数据的信息挖掘十分强大,它可以对网上数据源进行索引,寻得个人的细微信息,揭示其行为规律[10],这使安全隐私问题频频发生。当人们用法律法规去驾驭大数据下的信息安全时,发现法律法规的滞后性,无法满足大数据时代的预测和关联性使信息安全衍生的问题具有多变性。
5 大数据时代信息安全的措施
1)信息安全保护应纳入国家战略资源的保护范畴
数据的运用已渗入了社会生活的各个方面,大数据为国家及时掌握社会动态,分析社会民情,观察社会变化提供了重要的数据来源。例如网上购物的发货地址及其商品的变化,能很好地为国家分析各地的产业经济的变化提供有力的数据,这些数据也属于大数据的范畴,这些数据对于国家有其特殊的战略意义[11]。由此可见,数据之于国家战略的重要性,将其包含于战略资源加以保护尤为重要。“国家网络与信息安全战略下的云”这一明确表述出现于2015年4月15号的中国数据中心大会中,表明对于信息安全的保护已经上升至国家战略层面,这事件对于我国在新形势下对于网络信息安全及个人信息的保护具有里程碑式的重要意义。
2)加强信息安全的立法工作
在新形势下,相较于传统的保护措施及仅从技术层面上加以防范已经不能满足如今的现实需求,从法律层面出发,制定研究能够适应大数据时代下的信息保护法律,才能真正地为信息的保护树立防范之本。许多IT企业的负责人呼吁国家应颁布信息安全相关的法律和加强对信息安全的保护工作,信息安全问题已引起了社会各阶层的众多讨论[12]。这表明信息保护已不再是一个行业问题,而演变为一个与每个人都紧密相关的重要安全问题,这对保护网络安全意义重大。
3)加强对数据的行政监管
在如今的互联网时代,数据显示出了其之前从不具有的巨大价值,某些商业机构运用个人信息数据能通过较小成本博取很高的经济利润,在个人信息安全法律没有制定的今天,某些企业只需要面对较小的违法成本就能换取巨大的经济利益[14]。对于这种情况,我国应制定与其相适应的安全标准,使这种行为始终处在透明的监管环境下,保护个人信息安全及隐私不被侵犯,使对个人数据的使用始终保持在正确的轨道上。2013年2月1日起实施的《信息安全技术公共及商用服务信息系统个人信息保护指南》指出对于数据的使用,必须要征得信息当事人的明确同意。在对信息的行政监管上,此指南的颁布意味着我国的信息保护工作走向了一个全新的层面[15]。
4)加强对信息安全的技术保护
技术保护是法律保护的具体化、现实化,它将法律保护落实到实质层面,是体现法律保护的有力工具。在相关法律还没有正式实施的阶段,技术保护仍是我们保护信息不可或缺的有效武器[16]。信息技术的发展日新月异,需要我国大力重视信息技术的发展,不断创造及创新,突破新技术,研发新技术,提升我国在信息技术领域的竞争力,为我国的信息保护工作提供牢靠的技术保障。
5)加强行业自律与监管
仅仅依靠国家机关的行政监督仍不能有效保护信息的安全,我们应引入行业竞争,使它们相互监督,这能在最大程度上保护信息安全。所以,国家有关部门应组织相关企业组成行业委员会,制定行业安全标准和条约,明确它们的权利及义务,使相关企业间的互相监督变为现实,成为一个保护信息安全的有效办法。同时,国家有关部门应给予相应的资金及政策支持。
大数据为我们提供更为真实的数据的同时也大大降低了数据获取的成本,这使得我们能更好地服务社会,适应社会变化,改善社会,我们的社会会应大数据而变得更美好[17]。大数据的运用仍有其隐患,它就像把双刃剑,在最大程度上运用它的关联方面的“预测”同时也应最大限度地避免其所带来的风险。这风险就是信息资源的泄露,在运用数据的同时不能忽视对数据的保护。
参考文献:
关键词:电子政务 风险 防范措施
中图分类号:C93文献标识码: A
一、 电子政务概述
电子政务,亦称电子政府、政府信息化管理,是政府机构以计算机为媒介,应用现代信息和通信技术,将政府的管理和服务工作通过网络技术进行集合,以实现政府部门工作的进行以及组织结构的优化重组,从而及时向社会及公众提供全方位、行之有效的管理和服务。
电子政务是政府管理方式的革命,它的运行有助于建立一个开放透明的政府,一个勤政廉洁的政府。电子政务职能实现的前提是信息安全的有效保障,大量政府公文在政务信息网络上的流转,一旦存在信息安全问题,则直接导致机密数据和信息的泄漏,危及到政府的核心政务。如果电子政务信息安全得不到保障,电子政务的效率便无从保证,这将给国家利益带来严重威胁。所以说,信息安全是制约电子政务建设与发展的首要问题和核心问题。
二、 电子政务面临的风险
(一) 认知层面的风险
电子政务在国内建设与使用时间不长,缺乏深入研究。一些人只是简单地认为电子政务系统就是信息化,只要实现了网络数字化就可以推行电子政务,从而出现盲目建设、脱离现实条件等问题;还有一部分人认为电子政务就是运用计算机代替传统手工模式,这就固化了现有政府结构,不利于政府的改造与职能的转变。
(二) 规划层面的风险
规划层面的风险主要有:规划制定人员、规划的范围和内容、规划计划的实施步骤、规划中的政策因素等等。
信息技术的进一步应用,使得政府的组织形态正在由传统的金字塔垂直模式向错综复杂的网状结构转变,这就要求政务机构的运行方式作出相应转变,进行电子政务的整体规划。电子政务是整个系统建设的基础,是项目成功的基本保障。只有了解了本地区的发展现状,了解地方政府的特点,了解本地区的政务工作流程,才能编制出适合本地区电子政务的发展规划。但目前,地方政府在电子政务方面的规划明显不足,缺乏可操作性,这就导致在使用过程中面临着很大风险。
(三) 物理安全层面的风险
物理安全层面的风险主要指的是网络环境和物理特性引起的网络设备和线路的不可用,从而造成网络系统的不可用。例如,线路老化、蓄意破坏、设备意外故障、自然灾害等, 这些都属于物理安全层面的潜在风险因素。
(四) 应用层面的风险
应用层面的风险主要表现为非法访问,即窃取用户口令、用户信息被剽窃或修改等,由于政府网络对外提供WWW服务,Email服务、DNS服务等,因此也存在着外网非法用户对内部服务器的攻击。
(五) 系统层面的风险
当前电子政务网通常采用的操作系统本身在安全方面的考虑较少,服务器与数据库的安全级别较低,这在很大程度上存在着安全隐患,加之病毒的潜伏,这些都增加了系统在安全方面的脆弱性。
(六) 技术层面的风险
技术层面的风险主要表现为技术线路、设备选型、工程质量、系统性能等风险。技术层面的风险不仅关系到项目的实施情况,也关系到项目后期的维护和应用。现阶段受技术发展的制约,我们在技术方面还存在着很大欠缺,因此存在着一定的技术风险。
(七) 资金层面的风险
受利益的驱使,有些部门在制定规划时,将电子政务的规模越做越大,虚设资金越来越多,这就使得电子政务的建设变得越来越困难。除此之外,在资金使用方面,由于缺乏对部门资金的有效监督,使得资金浪费现象严重。如果不能合理计划和控制资金的流向,这将直接影响电子政务的建设,甚至促使一种新的腐败的产生。另外,在后期维护上,电子政务系统也需要运营资金的支持,没有了运营资金的有效支持,就没有了电子政务的内容来源。
(八) 管理层面的风险
在电子政务运行过程中需要管理的内容主要有规划管理、技术管理、过程管理、运维管理、安全管理等。管理的风险不仅体现在单个项目的管理,也体现在根据规划对相关项目群的管理风险。管理风险是项目实施过程中最主要的风险,是项目成败与否的关键。随着信息系统建设和应用规模的不断扩大,管理的难度和风险还将不断加大,但与此同时,政府部门缺乏信息化项目管理的专业人员,缺乏项目管理的风险意识,这与快速发展的电子政务管理要求不相匹配。
三、 电子政务管理防范措施
(一)强化信息管理人员的安全意识
电子政务信息安全是电子政务正常而高效运转的基础,是保障国家信息安全的重要前提,电子政务信息管理人员要正确认识并高度重视,及时发现影响信息安全的现象。政府部门要对信息管理人员进行必要的培训,普及信息安全知识,增强信息管理人员的安全意识;积极开展安全策略研究,明确安全责任,增强信息管理人员的责任心;积极组织各种讲座和培训班,培养专业信息安全人才,确保防范手段和技术措施的先进性和主动性。
(二)实施保障措施,建立系统安全保障体系
电子政务系统安全风险的威胁无处不在,它主要来自于物理环境、技术环境、社会环境等。建立全方位的电子政务信息系统安全保障体系是规避电子政务安全威胁因素的必要方式。在充分分析系统安全风险的基础上,通过制定系统安全策略和采用先进的安全技术,才能对系统实施安全防护和监控,使其真正成为智能型系统安全体系。具体做法有:
1.实施监测系统的运行情况,及时发现和制止可能对系统出现威胁的各种攻击;
2.记录和分析安全审计数据,检查系统中出现的违规行为,判断是否违反法律法规,为改进系统提供充足的依据;
3.对数据恢复应进行应急处理和响应,及时恢复信息,降低被攻击的破坏程度,包括备份、自动恢复、快速恢复等。
(三)制定合理资金计划,确保有序利用
充足的资金是保证电子政务顺利开展的必要条件。前期指定电子政务建设的方案中,要根据本单位、本部门的实际情况制定合理的资金预算方案,确保不虚报资金预算,杜绝腐败滋生;在后期维护过程中,资金也要及时到位,以确保电子政务信息系统的顺利进行。
(四)健全电子政务法律法规建设
法律是保障电子政务信息安全的最有力手段。政府立法部门应加快立法进程,借鉴国外网络信息安全立法方面的先进经验,制定完备的信息网络安全性法规,完善我国的网络信息安全法律体系,使得电子政务信息安全管理走上法制化轨道。
电子政务是实现“电子政府”的有效途径,在政府推动信息化的同时,也要注意其过程中产生的风险,正视风险本身,加快制定保障电子政务健康发展的政策法规,才能降低风险,从而有力地推动和改进政府的管理方式,才能有助于更好的发挥其政府职能。
参考文献:
[1]方德英,李敏强.IT项目风险管理理论体系构建[J].合肥工业大学学报(自然科学版),2003,,2(8):907-908.
[2]费朵,邹家继.项目风险识别防范探讨[J].物流科技,2008(08):139-141.
论文关键词:信息系统;安全管理;体系
现代金融业是基于信息、高度计算化、分散、相互依存的产业,有人形象地把信息系统归结为银行业的“核心资本”。金融信息化带来的是银行业务信息系统在网络结构、业务关系、角色关系等方面的复杂化。而越是复杂的系统,其安全风险就越高。在系统中每增加一种访问的方式就增加了一些入侵的机会;每增加一些访问的人群就引入了一些可能受到恶意破坏的风险。据2003年一项对全球前500家金融机构的安全调查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受调查的机构承认2002年曾受到一定形式的系统攻击;美国联邦法院2004年所作的一系列有关信息犯罪的案件中,有多件涉及金融机构。这些统计数字和报道出的事件,只是我们面临信息系统安全威胁的冰山一角,因此加速建设金融信息系统中的安全保障体系变得更加紧迫。
长期以来,人们对保障信息系统安全的手段偏重于依靠技术,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、漏洞扫描、身份认证等等。但事实上,仅仅依靠安全技术和安全产品保障信息系统安全的愿望却往往难尽人意,许多复杂、多变的安全威胁和隐患靠安全产品是无法消除的。据有关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%由火灾、水灾等自然灾害引起,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员的攻击造成。简单归类,属于管理方面的原因比重高达6O%以上,而这些安全问题中的95%是可以通过科学的信息安全管理来避免。因此,加强安全管理已成为提高信息系统安全保障能力的可靠保证,是金融信息系统安全体系建设的重点。
1安全管理体系构建
信息安全源于有效的管理,使技术发挥最佳效果的基础是要有一定的信息安全管理体系,只有在建立防范的基础上,加强预警、监控和安全反击,才能使信息系统的安全维持在一个较高的水平之上。因此,安全管理体系的建设是确保信息系统安全的重要基础,是金融信息系统安全保障体系建设最为重要的一环。为在金融信息系统中建立全新的安全管理机制,最可行的做法是技术与管理并重,安全管理法规、措施和制度与整体安全解决方案相结合,并辅之以相应的安全管理工具,构建科学、合理的安全管理体系。
金融信息系统安全管理体系是在金融信息系统安全保障整体解决方案基础上构建的,它包括信息安全法规、措施和制度,安全管理平台及信息安全培训和安全队伍建设,其示意图如图1所示。
2安全管理平台
安全管理平台是通过采用技术手段实施金融信息系统安全管理的平台,它包括安全预警管理、安全监控管理、安全防护与响应管理和安全反击管理。
2.1安全预警管理
安全预警管理的功能由预警系统实现,通过该系统,可以在安全风险动态威胁和影响金融信息系统前,事先传送相关的警示,让管理员采取主动式的步骤,在安全风险影响运作前加以拦阻,从而预防全网业务中断、效能损失或对其公众信誉造成危害,达到提前保护自己的作用。安全预警系统通过追踪最新的攻击技术,分析威胁信息以辨识出真正潜在的攻击,迅速响应并提供定制化威胁分析及个性化的漏洞和恶意代码告警服务,帮助降低风险,防患于未然。
2.2安全监控管理
通过安全监控功能可以实时监控金融信息系统的安全态势、发生了哪些攻击、出现了什么异常、系统存在什么漏洞以及产生了哪些危险日志等,因此安全监控功能对于金融信息系统的安全保障体系来说是至关重要的。
1)基于实时性的安全监控。通过在线方式管理金融信息系统中的资源状态和实时安全事件,及时关注IT资源和安全风险的现状和趋势,通过实时监控来提高系统的安全性和IT资源的效能。
2)基于智能化的安全监控。利用智能信息处理技术对信息网络中的各种安全事件进行智能处理,实现报警信息的精炼化,提高报警信息的可用信息量,降低安全设备的虚警和误警,从而有效地提高安全保障系统中报警信息的可信度。
3)基于可视化的安全监控。通过对安全事件分析过程与分析报告的可视化手段,如图表/曲线/数据表/关联关系图等,提供详细的入侵攻击信息乃至重现攻击场景,实现对入侵攻击行为的追踪,使得对安全事件的分析更为直观,从而有效提高安全管理人员对于入侵攻击的监控理解,使安全系统的管理更为有效。
4)基于分布式的安全监控。通过系统分布式的多级部署方式,可以实现对金融信息系统内各个子系统的监控和综合分析能力,同时对不同安全保护等级的用户提供相应的监控界面和信息,从而严格满足其安全等级划分的用户级要求。
2.3安全防护与响应管理
在金融信息系统的安全系统中由于安全的异构属性,因此会采用不同的安全技术和不同厂家的安全产品来实现安全防护的目的。通过安全防护与响应管理可以及时响应和优化整个系统安全防护策略;最直接的响应就是提供多种方式,如报警灯、窗日、邮件、手机短信等向安全管理员报警,然后日志保存在本地数据库或者异地数据库中。
1)优化安全策略分析。通过实时掌握自身的安全态势,及各种安全设备、网络设备、安全系统和业务系统的处理情况,输出正常和非法个性化的安全策略报表,然后直接通知相应的安全管理人员或厂商对其自身策略进行优化调整。
2)动态响应策略调整。通过对各种安全响应协议的支持,如SNMP、TOPSEC、联动协议等,实现相关的安全防护技术策略的自动交互,同时通过专家知识库能从全局的角度去响应安全事件很好地解决安全误报问题。
3)安全服务自动协调。当智能分析和安全定位功能确认出安全事件或安全故障时,及时调派安全服务人员小组(或提供安全服务的供应商)进行相应的安全加固防护。
2.4安全反击管理
安全反击管理包括安全事件的取证管理和安全事件的追踪反击。
1)安全事件的取证管理。取证在网络与信息系统安全事件的调查中是非常有用的工具,通过对系统安全事件的存储和分析,实现对安全事件的取证管理,给相关调查人员提供安全事件的直接取证。
2)安全事件的追踪反击。通过资源状态分析、关联分析、专家系统分析等有效手段,检测到攻击类型,并定位攻击源。随后,系统自动对目标进行扫描,并将扫描结果告知安全管理员,并提示安全管理员查询知识库,从中提取有效手段对攻击源进行反击控制。
3安全管理措施建议
在安全管理技术手段的基础上,还要提高安全管理水平。俗话说“三分技术,七分管理”,由于金融信息系统相对比较封闭,对于金融信息系统安全来说,业务逻辑和操作规范的严密程度是关键。因此,加强金融信息系统的内部安全管理措施,建立领导组织体系,完善落实内控制度,强化日常操作管理,是提升安全管理水平的根本。
1)完善安全管理机构的建设。目前,我国已经把信息安全提到了促进经济发展、维护社会稳定、保障国家安全、加强精神文明建设的高度,并提出了“积极防御、综合防范”的信息安全管理方针,专门成立了网络与信息安全领导小组、国家计算机网络应急技术处理协调中心(简称CNCERT/CC)、中国信息安全产品测评认证中心(简称CNITSEC)等,初步建成了国家信息安全组织保障体系。为确保金融信息系统的安全,在金融信息系统内部应组建安全管理小组(或委员会),安全管理小组制定出符合企业需要的信息安全管理策略,具体包括安全管理人员的义务和职责、安全配置管理策略、系统连接安全策略、传输安全策略、审计与入侵安全策略、标签策略、病毒防护策略、安全备份策略、物理安全策略、系统安全评估体系等内容。安全管理应尽量把各种安全策略要求文档化和规范化,以保证安全管理工作具有明确的依据或参照。
2)在保证信息系统设备的运行稳定可靠和信息系统运行操作的安全可靠的前提下,增加安全机制,如进行安全域划分,进行有针对性的安全设备部署和安全策略设置,以改进对重要区域的分割防护;增加入侵检测系统、漏洞扫描、违规外联等安全管理工具,进行定时监控、事件管理和鉴定分析,以提高自身的动态防御能力;完善已有的防病毒系统、增加内部信息系统的审计平台,以便形成对内部安全状况的长期跟踪和防护能力。
3)制定一系列必须的信息系统安全管理的法律法规及安全管理标准,狠抓内网的用户管理、行为管理、应用管理、内容控制以及存储管理;进一步完善互联网应急响应管理措施,对关键设施或系统制定好应急预案,并定期更新和测试,全面提高预案制定水平和处理能力;建立一支“信息安全部队”,专门负责信息网络方面安全保障、安全监管、安全应急和安全威慑方面的工作。
4)坚持“防内为主,内外兼防”的方针,加强登录身份认证,严格限制登录者的操作权限,充分利用操作系统和应用系统本身的日志功能,对用户所访问的信息进行跟踪记录,为系统审计提供依据。
5)重视和加强信息安全等级保护工作,对金融信息系统中的信息实施一般保护、指导保护、监督保护和强制保护策略,尤其对重要信息实施强制保护和强制性认证,以确保金融业务信息的安全。
6)加强信息安全管理人才与安全队伍建设,特别是加大既懂技术又懂管理的复合型人才的培养力度。通过各种会议、网站、广播、电视、报纸等媒体加大信息安全普法和守法宣传力度,提高全民信息安全意识,尤其是加强企业内部人员的信息安全知识培训与教育,提高员工的信息安全自律水平。
关键词:信息网络安全;课程;教学方法
中图分类号:TP3 文献标识码:A 文章编号:1009-3044(2012)35-8466-03
1 概述
随着人类进入信息网络社会,信息网络系统在人类的日常生活、工作中发挥着越来越重要的作用。由于操作不当和网络黑客的猖獗,大家对计算机中存储的信息安全越来越担心了。怎样才能使计算机与网络中的信息更安全,必须了解计算机信息安全的概念,了解经常遇到的各种信息安全问题和应对策略。
以为企事业单位第一线输送实用型人才[1]为办学宗旨的高等职业技术院校,要适应社会发展、经济建设需求,培养有一定的理论基础、扎实的实践动手能力和比较强的创新能力的实用型技术人才。针对工作在各行各业最前沿的高职计算机及相关专业的学生而言,培养日常安全意识,掌握信息安全相关技术已迫在眉睫。
为使学生能够具有良好的职业道德,了解并认识各类计算机病毒、网络黑客攻击的危害性,熟悉并初步掌握计算机网络侦查与信息安全管理等基本理论知识及相关实际操作及处理技能,具有较强的信息安全应用处理能力,能胜任各级企事业单位计算机信息管理及基本的安全维护,具备规划企业安全方案的初步能力,该文从明确课程教学目标、合理设计教学内容及如何提高教学质量三方面进行了一些改革探索。
2 明确课程教学目标
以培养学生实际动手、操作技能为核心目标,理论知识的掌握应服务于实际工作能力的建构。所谓实际工作能力,应当是一种对职业世界的理解和认同,对职业任务的认识和把握,对职业活动的控制与操作能力[2]。高职计算机及相关专业开设信息安全课程,其目的是培养在实际生活和工作中能够解决第一线的具体信息安全问题的实用性人才,而不是培养信息安全方面的全才,也不是培养战略人才。即培养满足企事业单位社会需求,具备一定的安全道德意识,了解并熟练掌握信息网络安全维护及安全防范技能,基本能够胜任信息安全系统环境构建的技能型的人才。
因此,本门课程的教学目标是培养学生良好的职业道德素质;帮助学生了解并掌握信息网络安全的基本知识、原理和技术,学会如何在开放的网络环境中保护自己的信息和数据,防止黑客和病毒的侵害;重点学习目前在信息网络安全领域应用较多的技术,主要是防火墙技术、入侵检测(IDS)技术和基于公钥基础设施(PKI)等信息安全技术,使学生在完成本课程学习后,能够独立进行网络信息安全方面的研究和工作;在学习并掌握信息网络安全知识的同时,培养学生的创新精神、实践技能和创业能力,并注重培养学生的认真负责的工作态度和一丝不苟的工作作风。
3 精心组织、设计教学内容
信息网络安全是一门综合性学科,同时又是一门普及性意义的实践性很强的课程,因高职学生的网络基础知识及所授教学课程学时所限,全面介绍信息网络安全各方面的理论知识及相关技能是不可能的,也毫无必要,应有选择、有针对性地学习相关的信息安全知识。故信息网络安全课程的基本任务是让学生掌握密码学与信息安全基本的思想与方法,为今后工作、生活及进一步学习与研究奠定坚实的基础。
根据高职计算机及相关专业学生,在掌握信息网络安全基础理论知识及相关技能的前提下,应尽可能多地了解当前的信息网络安全技术,以增强实际分析与解决信息安全实际问题的能力。高职信息安全课程的教学内容至少应包括:
1)网络安全概述:理解网络安全的基本概念和术语,了解目前主要的网络安全问题和安全威胁,理解基本的网络安全模型及功能,了解信息网络安全的重要性及各种信息安全法律法规;
2)网络操作系统命令及协议分析:需要掌握常用网络协议及协议分析工具,各种网络服务及常用网络命令,系统漏洞及后门等内容,尤其是系统的安全配置,这是信息网络安全的根基所在;
3)防火墙技术与VPN技术:防火墙技术是一种隔离内部网和公众访问网的安全技术,对两个通信网络执行访问控制,而VPN则是一种跨越Internet进行安全的、点对点通信的安全虚拟通道技术;
4)密码技术及应用:密码技术是保护信息安全的重要手段之一,也是防止伪造、篡改信息的认证技术基础;课程中介绍密码学的基本概念,要求准确理解并反复强化,以形成对密码学整体的初步印象;而对密码学中的数学概念要求有一定的了解,可以不必深入掌握,留待以后加强;
5)病毒及其防范:了解各种计算机病毒的原理、传播方式及其危害,从而更好地杀毒、防毒;
6)网络攻防和入侵检测:了解黑客与网络攻击、入侵检测的基本知识,掌握口令攻击、端口扫描、网络监听、IP欺骗、拒绝服务、特洛伊木马等攻击方式的原理、方法及危害,能够识别和防范各类攻击并利用入侵检测工具检测入侵行为;
7)网络安全管理:理解网络管理的概念、目标、功能及标准,熟悉一些管理软件的功能和应用。
在选择具体授课内容时,应根据社会企事业及各方面需求及相关专业的学生作适当调整,尤其不能流于表面而局限于一些泛泛的、缺乏全面的安全知识,同时也不要过于追求一些深奥的、研究方面的理论知识。要根据所设定的适合高职学生的教学目标,围绕着在实际生活、工作中可能遇到的一些信息安全问题,精心设计相应的授课内容,布置学习任务,以便让学生能够将课堂所学知识同现实安全问题相联系,能够根据出现的安全现象解决实际问题,真正的将信息安全知识固化到自身,最终达到开设本信息安全课程的目的。
4 提高教学质量的探索
明确教学目标,规划好教学内容后,还应配有良好的教学方法和手段,如是才能真正产生好的教学效果。我们一方面按照现代教育思想[3]组织教学,一方面积极探索,大胆改革,具体从以下几个方面进行探索:
4.1完善信息安全理念,认识维护信息网络安全的重要性
高职学生一般都有很强的好奇心,对新知识充满浓厚的兴趣,尤其一部分学生更是对黑客技术有着耳闻,想进一步深入了解和掌握一些黑客攻击技术的迫切感。其实,在Internent网上有很多的黑客攻击工具,只要下载下来简单安装配置后就可能产生严重的攻击行为。例如,漏洞扫描、网络监听等工具就是一把双刃剑。网络管理人员使用这些工具可以了解网络运行情况及现有网络存在的一些安全漏洞,从而作出相应的安全防范措施;而一些怀有好奇心的人及黑客则可以利用这些工具扫描、监听甚至攻击相关网络,从而造成有意或无意的网络攻击。因此,我们在讲授信息安全课程的时候首先要让学生认识到网络攻击的危害性和维护信息网络安全的重要性。如何引导学生做一个信息安全卫士而不是一个安全文盲及黑客,是本课程教学的一个重要任务。
在信息网络安全的第一节课,首先给出一些CERT(Computer Emergency Response Team, 计算机紧急应变小组)统计出的一些信息安全事件数据,让学生初步认识到信息安全攻击事件的防不胜防和信息安全事件所带来的惨重损失;然后通过讲述一些国内外网络犯罪的事例,使学生了解哪些网络行为是违法的,进一步认识到维护信息安全和遵守信息安全法律法规的重要性;最后让学生明确信息网络安全存在着木桶效应:只有保证每个环节的安全,信息网络安全才能有保障,从而让学生一开始就养成严谨的信息安全理念。
4.2启发式教学,发挥学生的主观能动性
兴趣是最好的老师,我们应该充分利用科学的教学方法来提高学生的学习兴趣,培养学生的钻研精神,增强学生学习的主观能动性。教学课堂上可以充分利用多媒体教学,将图片、动画、录像等元素都集成到教学活动中,以直观、生动的教学形式提高学生的学习兴趣。这样避免了单纯的理论说教,让学生能够从抽象难懂的信息网络安全知识上升到形象上的认识。
教学过程中,老师可以寻求学生的反馈,打断讲课来提问,一次中断十秒钟,注视学生;有时老师可以和学生开些善意的玩笑,允许他们提问,发表评论,并在对话中保持主动。这种教学无异于邀请学生围着饭桌相互交流[4]。
针对信息网络上出现的一些安全事件,老师可以提出相应的问题(例如网络支付中的身份识别和信息保密问题),鼓励学生独立分析问题和解决问题,引导学生表达、倾听并能够主动回答问题、解决问题的能力,从而养成学生积极思考、主动解决问题的习惯。另外,应培养学生善于提出问题、积极主动地分析比较的习惯,让他们每时每刻都带着问题去学,并及时总结已学过的知识,逐渐培养学生学习的主观能动性。
4.3理论联系实际,尽快掌握所学知识
密码技术及应用理论性强,是本课程的重点、难点,为使学生能够掌握密码学的基础理论,教学过程中可以采用理论联系实际的教学方法。首先讲述密码学的基本概念和术语、对称和非对称密码的区别、古典密码学的基本方法及DES算法、RSA算法的基本原理,使学生掌握密码学的基础知识,简单了解加密算法的原理、设计思路及使用场所,对加密算法产生初步印象;然后介绍密码学应用方面的知识,包括密钥管理、消息认证、数字证书、以及Windows系统中的证书服务等方面的基本原理、方法和应用,从而加深对密码学概念及各种应用的理解。
PGP,全称Pretty Good Privacy,一种在信息安全传输领域首选的加密软件,其技术特性是采用了非对称的“公钥”和“私钥”加密体系。学习完非对称密钥理论知识后,试着让学生各自动手安装PGP软件,生成一对的“公钥”和“私钥”,并让学生把自己的“公钥”给同班的同学,让学生之间相互发送加密和签名的文件,从而实现安全文件传输,如此,学生在实际操作过程中快速了解并掌握了非对称密钥体制的理论知识和实际使用方法。
4.4遵循实践动手能力培养第一的原则,培养学生较强的实践应变能力
信息安全是一个复杂的、隐蔽性很强的问题,一般人很难发现[5]。开设信息网络安全课程的目的就是让学生能够从复杂的网络环境之后发现信息安全问题,针对信息安全问题进行分析,找到问题根源所在,并能够及时解决所出现信息安全,以便进一步培养学生具有敏锐的眼光、清晰的思路及解决信息安全问题的能力。从发现信息安全问题,分析解决问题,直至消除安全隐患,时间越短越好,以减少信息安全问题所带来的影响和损失。同时针对信息安全问题,要透过现象看本质,主动出击、防范,不能等到问题爆发了,造成严重损失了再解决。
“魔高一尺 道高一丈”,信息网络飞速发展,病毒与黑客攻击技术日新月异,高职学生应用“与时俱进”的思想面对信息安全问题,在平时的工作学习中时刻了解信息安全动向,关注各种新病毒:网络挂马、网络钓鱼、超级病毒工厂等,不断学习,接收最新信息安全技术及各种安全防范方法。
信息网络安全课是一门实际应用性很强的课程,要以“必需、够用”为度,淡化理论的片面推导过程,应加强培养学生理论成果的实际应用能力,注重课堂教学内容的精选和更新。在努力丰富课堂教学内容的同时,必须加强学生善于总结、应对各种最新安全问题的能力。可以鼓励学生课余时间自己上网查找最新安全技术资料,了解并掌握一些最新信息安全技术,以小论文方式提交并进行适当考核,这样提高了学生的自学能力、主动应变能力和文字表达能力,为今后的工作学习打下坚实信息安全权基础。
4.5 良好团队合作精神,善于与他人交流合作
高职计算机相关专业的学生一般工作在计算机应用的最前沿,网上办公、网上事务处理、电子商务、电子政务等,这改变了企事业单位的工作模式,大大提高了工作效率,在给工作带来极大便利的同时,也带来了严重的信息安全挑战。信息网络安全问题面比较广,参与讨论的人越多,解决问题的速度就越快、越完美,相应的安全漏洞也会越少,共同探讨、争辩过程中,甚至还会激发更多人的奇思妙想,产生意想不到的效果。因此,高职信息网络安全课程应积极培养学生之间交流沟通的能力,平时鼓励学生多读、读懂信息安全方面的文章,能把自己的想法写出来并在同学间实现共享;另外,信息网络安全方面的问题往往不是某个学生单独能够解决的,需要同学们共同参与解决,这就需要学生具有良好的团队精神,善于与他人交流合作,集众人智慧,共同探讨所遇到的信息安全问题。
当然,高职计算机相关专业的学生在学习探讨各种信息安全问题的同时,可以充分利用各种网络资源来学习充实自己,例如可以经常上一些杀毒软件网站了解最新病毒信息,从一些病毒案例分析解决中学习一些实际操作经验;同时可以注册清华大学(水木清华)、东南大学等高等院校的BBS论坛,学习探讨一些信息安全问题。
5 结束语
高职信息网络安全课程是一门内容更新很快的课程,更是一门具有较高挑战性的课程,这势必给我们的信息安全教学工作带来一定的难度。该文在明确信息网络安全课程教学目标、精心安排设计教学内容以及如何提高教学质量方面进行了一些有益的尝试,合理设计、组织好信息网络安全课程教学,完善学生信息安全理念,需要在以后的教学实践中进行不断的总结和提高。
参考文献:
[1] 贾少华. 面向市场 面向学生、面向实践——试论高职人才培养的基本原则[J]. 西北工业大学学报(社会科学版),2005(1).
[2] 江铁. 高职信息安全专业人才培养模式的研究[J].计算机教育,2009(2).
[3] 姬兴华.《现代教育思想》课程“导学”思路问题探析[M]. 淮北职业技术学院学报,2010(2).
