對信息安全的認識大全11篇
時間:2023-12-18 09:54:17緒論:寫作既是個人情感的抒發(fā),也是對學術(shù)真理的探索,歡迎閱讀由發(fā)表云整理的11篇對信息安全的認識范文,希望它們能為您的寫作提供參考和啟發(fā)。
篇(1)
1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)概述及其安全威脅
1.1網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)
網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)是基于IP網(wǎng)的圖像遠程監(jiān)控、傳輸、存儲、管理的視頻監(jiān)控系統(tǒng),將分散、獨立的圖像采集點進行聯(lián)網(wǎng),實現(xiàn)跨區(qū)域的統(tǒng)一監(jiān)控、統(tǒng)一存儲、統(tǒng)一管理、資源共享。典型網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)主要由前端監(jiān)控設(shè)備(攝像機、視頻服務(wù)器/編碼器)、監(jiān)控中心(中心服務(wù)器)、監(jiān)控客戶端(監(jiān)控工作站)三部分組成。通過對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)所面臨的安全狀況的分析,網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全性在總體結(jié)構(gòu)上分為四個層次:物理安全、接入安全、傳輸和網(wǎng)絡(luò)安全、業(yè)務(wù)安全和信息安全。
1.2視頻監(jiān)控系統(tǒng)面臨的安全威脅
視頻監(jiān)控網(wǎng)絡(luò)中通常存在哪些威脅?我們根據(jù)對視頻監(jiān)控網(wǎng)絡(luò)的結(jié)構(gòu)、業(yè)務(wù)特征進行分析,主要威脅如下:
(1)前端設(shè)備(網(wǎng)絡(luò)攝像頭)的非法替換接入;
(2)視頻監(jiān)控網(wǎng)絡(luò)的終端、網(wǎng)絡(luò)設(shè)備非法接入;
(3)NVR/集中管理系統(tǒng)自身的安全漏洞,如系統(tǒng)漏洞、弱口令等;
(4)視頻監(jiān)控系統(tǒng)管理終端的安全問題;
(5)使用視頻監(jiān)控網(wǎng)絡(luò)的人員的安全問題。
我們可以看到,事實上從前端設(shè)備終端、網(wǎng)絡(luò)環(huán)境、管理系統(tǒng)、管理終端到管理人員,這些任何一個環(huán)節(jié)出現(xiàn)問題都可能帶來嚴重的安全事件。因此,保護視頻監(jiān)控網(wǎng)絡(luò)絕不是一個頭痛醫(yī)頭、腳痛醫(yī)腳的問題,需要一種全局的思維,一個全方位多維度的安全解決方案從根本上解決問題。
2視頻監(jiān)控信息安全機制的標準
針對網(wǎng)絡(luò)視頻監(jiān)控系統(tǒng)的安全威脅,業(yè)界制定了多種安全機制,主要有ONVIF(Open Network Video Interface Forum,開放型網(wǎng)絡(luò)視頻產(chǎn)品接口開發(fā)論壇)、CCSA《電信網(wǎng)視頻監(jiān)控系統(tǒng)安全要求》等標準。此外,運營商和廠商各自制定了針對自己系統(tǒng)的安全標準和解決方案,其中ONVIF和《城市監(jiān)控報警聯(lián)網(wǎng)系統(tǒng)技術(shù)標準安全技術(shù)要求》是業(yè)界采用比較多的監(jiān)控標準。ONVIF由安訊士網(wǎng)絡(luò)通訊公司聯(lián)合博世集團及索尼公司三方攜手共同成立,關(guān)注IP視頻監(jiān)控,目標是實現(xiàn)一個網(wǎng)絡(luò)視頻框架協(xié)議,使不同廠商所生產(chǎn)的網(wǎng)絡(luò)視頻產(chǎn)品(包括攝錄前端、錄像設(shè)備等)完全互通。ONVIF規(guī)范向視頻監(jiān)控引入了Web Services的概念。設(shè)備的實際功能均被抽象為Web Services的服務(wù),視頻監(jiān)控系統(tǒng)的控制單元以客戶端的身份出現(xiàn),通過Web請求的形式完成控制操作。
由于ONVIF基于Web Services,Web Services主要利用HTTP和SOAP使數(shù)據(jù)在Web上傳輸,其在信息安全方面主要有以下要求:
(1)獲取或設(shè)置訪問安全策略。
(2)服務(wù)器端HTTPS(secure hypertext transfer protocol,安全超文本傳輸協(xié)議認證。
(3)客戶端HTTPS認證。
(4)密鑰生成和證書下載功能。
(5)IEEE 802.1x supplicant認證。
(6)IEEE 802.1x CA認證。
(7)IEEE 802.1x配置。
(8)在信息安全性方面,ONVIF規(guī)范支持摘要認證和WSS安全框架。
(9)在用戶認證方面,最基本驗證包括HTTP摘要認證和WSS摘要認證(用戶名令牌描述(username token profile)),高級驗證包括TLS-based access。
(10)在用戶認證通過后,通過“獲取或設(shè)置訪問安全策略”實現(xiàn)基于用戶的權(quán)限控制,以授權(quán)其能訪問的前端監(jiān)控設(shè)備。
在信息的安全通信層面,ONVIF規(guī)范定義了兩種通信層面的安全架構(gòu):傳輸層安全(transport layer security,TLS)和消息層安全。傳輸層安全協(xié)議用于保護ONVIF提供的所有服務(wù)。同時還需要保護媒體流的RTP(real-time transport protocol,實時傳輸協(xié)議)、RTSP/HTTPS。設(shè)備應(yīng)該支持TLS 1.0、TLS 1.1,可以支持TLS 1.2;加密算法支持TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_SHA。客戶端應(yīng)支持TLS 1.1、TLS 1.0,加密算法。
支持TLS_RSA_WITH_AES_128_CBC_SH、TLS_RSA_NULL_SHA。在服務(wù)器端認證方面,設(shè)備支持X.509(X.509是由國際電信聯(lián)盟(ITU-T)制定的數(shù)字證書標準)服務(wù)器認證。RSA key長度至少為l024 bit,客戶端支持TLS服務(wù)器認證。客戶端認證功能可以在設(shè)備管理命令中禁止和啟用。支持TLS的設(shè)備應(yīng)該在證書請求中支持RSA認證類型。而且應(yīng)該支持RSA客戶端認證和簽名驗證。
3安全機制的應(yīng)用建議
通常,一個監(jiān)控系統(tǒng)應(yīng)根據(jù)加密等級和系統(tǒng)架構(gòu)的不同采用相應(yīng)的安全機制。對于一般的安全監(jiān)控系統(tǒng),要求支持對業(yè)務(wù)數(shù)據(jù)訪問權(quán)限進行安全認證和授權(quán),實現(xiàn)業(yè)務(wù)信令流的加密和傳輸。訪問權(quán)限的安全認證可采用口令、數(shù)字證書或數(shù)字摘要等標準算法,信令流的加密算法根據(jù)業(yè)界標準可采用DES、3DES、AES(128bit)等算法,信令流的安全傳輸可根據(jù)監(jiān)控架構(gòu)協(xié)議采用不同的通信安全協(xié)議,如HTTPS、IEEE802.1x等。
視頻監(jiān)控平臺服務(wù)器定期隨機產(chǎn)生一個AES加密/解密密鑰。分別使用各個終端或客戶端用戶密碼對AES加密密鑰進行加密,形成傳輸密鑰發(fā)往各個設(shè)備,各個設(shè)備對傳輸密鑰的內(nèi)容進行解密,即可獲取AES加密/解密密鑰。在以后的監(jiān)控過程中,所有設(shè)備就可以使用該AES加密/解密密鑰對信令和媒體碼流進行加密和解密。
篇(2)
知識與技能:了解數(shù)字化生活的基本內(nèi)容;了解信息技術(shù)如何推動經(jīng)濟發(fā)展與社會進步;了解知識產(chǎn)權(quán)的定義。
過程與方法: 能夠探討數(shù)字化在生活的各個方面的體現(xiàn);探討信息技術(shù)給經(jīng)濟發(fā)展和社會發(fā)展所帶來的具體變化;理解保護知識產(chǎn)權(quán)的重要意義。
情感、態(tài)度與價值觀: 交流信息技術(shù)推動社會生活、經(jīng)濟發(fā)展和社會進步所起的作用;辯證分析信息技術(shù)發(fā)展給生活帶來的影響;樹立自覺保護知識產(chǎn)權(quán)的意識。
教學重點、難點
重點:數(shù)字化體現(xiàn)在生活、經(jīng)濟、社會發(fā)展的各個方面。 樹立保護知識產(chǎn)權(quán)的意識。
難點:樹立保護知識產(chǎn)權(quán)的意識。
教學過程
1.創(chuàng)設(shè)情境,引出課題
師:前幾天我聽到了一首旋律優(yōu)美的歌曲,很想與大家一起欣賞,只可惜我不知道歌名。但是我記住了歌詞“每種色彩都應(yīng)該盛開”,大家?guī)臀蚁朕k法一起來找到這首歌吧!
設(shè)計意圖:將輕松的搜索問題拋給學生,吸引學生盡快進入上課狀態(tài),激發(fā)學生幫助教師解決問題的興趣。學生通過對歌詞檢索找到歌曲,實踐了互聯(lián)網(wǎng)搜索功能的應(yīng)用,同時引出本課的學習內(nèi)容。
學生找到歌曲,觀察歌曲的格式。
師:生活中一首歌曲、一段聲音,怎樣能把它存儲到計算機中呢?
設(shè)計意圖:通過舊課復(fù)習,回顧聲音數(shù)字化的過程是采樣和量化。再次明確數(shù)字化的概念含義,為數(shù)字化應(yīng)用做鋪墊。
2.暢談:信息技術(shù)對人類社會的影響
師:請同學們想一想,在你的生活中還有哪一些數(shù)字化方面的應(yīng)用是與計算機、互聯(lián)網(wǎng)有關(guān)的呢?
生1:用互聯(lián)網(wǎng)查找資料。
生2:用數(shù)碼照相機拍照。
生3:網(wǎng)絡(luò)聊天。
……
設(shè)計意圖:從日常生活中,尋找數(shù)字化給生活帶來的改變,讓學生自由表達數(shù)字化生活體驗,在不知不覺中認識到信息技術(shù)給我們的生活帶來了怎樣的影響。
師:數(shù)字化生活像空氣一樣無所不在的時代已經(jīng)到來。每個人置身其中,享受著數(shù)字化帶來的快捷、便利。
教師展示幻燈片:中國互聯(lián)網(wǎng)信息中心在2011年6月做出了統(tǒng)計,中國網(wǎng)民規(guī)模達到4.85億。
教師展示2010年12月到2011年6月之間各項網(wǎng)絡(luò)應(yīng)用統(tǒng)計表,學生從網(wǎng)絡(luò)用戶規(guī)模、半年間的網(wǎng)絡(luò)增長率,通過具體的數(shù)據(jù)比較,分析出用戶使用率大幅增加的是網(wǎng)上支付、即時通信、網(wǎng)絡(luò)購物等經(jīng)濟領(lǐng)域的應(yīng)用。
設(shè)計意圖:讓學生從宏觀上了解目前中國網(wǎng)民發(fā)展情況和互聯(lián)網(wǎng)應(yīng)用的各項比例情況。歸納總結(jié)出微博、電子商務(wù)為首的數(shù)字化應(yīng)用正逐步改變著人們傳統(tǒng)的生產(chǎn)方式和經(jīng)營理念。
師:互聯(lián)網(wǎng)影響著我們每個人。在這樣一個大環(huán)境中,與普通大眾生活息息相關(guān)的社會事業(yè),也在逐漸地數(shù)字化。今天,我們就深入地了解信息技術(shù)對人類社會的影響。全班分成教育科技組、醫(yī)藥衛(wèi)生組、廣播電視組、電子政務(wù)組,每個小組成員通過各種途徑,查找社會事業(yè)信息化的具體內(nèi)容,時間為10分鐘。
因為有部分學生對案例的搜索不是很有針對性,教師提供相應(yīng)的網(wǎng)站,主要是為了幫助這部分學生。
任務(wù)實踐:通過討論、思考,學生完成了案例的搜索,并由組長代表發(fā)言。
組長發(fā)言(略)。
師:那么校園數(shù)字化有什么優(yōu)勢,給我們教育帶來了什么?談?wù)勀愕南敕ā?/p>
組長發(fā)言(略)。
師:你覺得此類數(shù)字化應(yīng)用的發(fā)展,給我們生活帶來了怎樣的變化呢?
學生發(fā)言(略)。
設(shè)計意圖:學生通過搜索與分析案例,提煉關(guān)鍵詞,列舉自己身邊的信息技術(shù)應(yīng)用,與組員共同討論,體會信息技術(shù)給社會生活帶來的推動作用,達到信息交流與共享的目的,對數(shù)字化社會生活有進一步的了解,從中理解數(shù)字化在社會生活中所滲透到的領(lǐng)域,思考數(shù)字化所帶來的影響。
師:我們要感謝每一位同學的努力,大家才可以共享到這么多的信息,開拓了眼界。前幾天有一則好消息,我們寧波獲得了“2011中國城市信息化卓越成就獎”。這個獎?wù)f明寧波在信息化建設(shè)方面走在了全國的前列,我們?yōu)榇烁械阶院馈?/p>
設(shè)計意圖:全班群策群力,共享了信息,我鼓勵每位同學,并提及我們所在的城市的信息化建設(shè)成就,培養(yǎng)學生愛家鄉(xiāng)的情感。
3.數(shù)字化環(huán)境下如何保護知識產(chǎn)權(quán)
師:數(shù)字化改變了我們的生活,為我們帶來了數(shù)不清的好處,但是也引發(fā)了一些矛盾。就像剛才我看到部分同學很為老師著想,已經(jīng)幫我下載了歌曲。大家想想,這種方式是否有不恰當?shù)牡胤侥亍_@首歌曲飽含了作者的心血,我們是否可以輕易地占有別人的勞動成果呢?
師:知識產(chǎn)權(quán)這個概念聽起來很遠,其實離我們很近。你無意中的一個有價值的想法、一個創(chuàng)意,可能就屬于你的知識產(chǎn)權(quán),是你的財富。
設(shè)計意圖:從數(shù)字化給生活帶來的一系列變化聯(lián)想到知識產(chǎn)權(quán),從歌曲下載引到知識產(chǎn)權(quán),貼近學生生活,引發(fā)學生的思考。
教師提示任務(wù):自學教材中關(guān)于知識產(chǎn)權(quán)的內(nèi)容。
學生看書并回答知識產(chǎn)權(quán)的概念、種類、法律法規(guī),了解信息技術(shù)領(lǐng)域的知識產(chǎn)權(quán)主要涉及哪些方面。
設(shè)計意圖:明確知識產(chǎn)權(quán)概念,為接下來的案例探討做好知識鋪墊。
師:從2005年起,百度就因為MP3下載一事官司纏身。大家認為百度有沒有侵犯唱片公司的知識產(chǎn)權(quán)呀?你能在教材中找到相應(yīng)的論據(jù)來支持你的觀點嗎?
學生看書,思考,并尋找相關(guān)論據(jù)。
生:沒侵權(quán),估計百度和唱片公司有約定。
生:沒侵權(quán),知識產(chǎn)權(quán)具有地域性和時間性保護。
生:沒侵權(quán),百度沒有向我們網(wǎng)民收費。
生:有侵權(quán),百度怎么可以把這么多的歌曲放在網(wǎng)站上呢?不得對其作品進行復(fù)制,傳播等非法操作。
設(shè)計意圖:挑選與學生生活接近又比較有爭議的案例,供學生討論。學生通過討論,聯(lián)系生活實際應(yīng)用,梳理對知識產(chǎn)權(quán)的理解。
師:既然公說公有理,婆說婆有理,就讓我們來看看最后的判決結(jié)果和媒體的評論,并思考下面兩個問題:①你覺得MP3下載中,誰侵犯了知識產(chǎn)權(quán)?②你認為未來MP3的免費下載時代將終結(jié)嗎?
學生瀏覽網(wǎng)站,思考問題,揭曉有爭議的案例謎底,思考未來的下載模式,考慮該如何保護權(quán)利人的合法權(quán)益。
教學反思
在本節(jié)課中,教師沒有一味地灌輸學生知識,而是讓學生通過自己搜索資料,提煉數(shù)字化的應(yīng)用,體會信息技術(shù)對人類社會的影響。通過音樂搜索、下載這條主線,展開了信息技術(shù)在使用過程中的知識產(chǎn)權(quán)保護等一系列問題的探討。
篇(3)
1.資料與方法
1.1一般資料
選取于近一年期間在我院心臟外科實習護生以及帶教老師,其中帶教老師24名,實習生100名,帶教老師的年齡20-48歲,平均(33.76± 5.24 )歲,其中0-5年護齡6名,6-15年護齡15名,16-20以上護齡3名,中專學歷2名,專科學歷6名,本科學歷16名,護士7名,護師13名,主管護師3名,副主任護師1名。實習護生中中專學歷47名,大專學歷38名,本科學歷15名,護生年齡18-25歲,平均年齡(21.6±1.3)歲。
1.2方法
制作問卷調(diào)查觀察帶教老師與實習護生對護理安全的認知現(xiàn)狀,現(xiàn)場填調(diào)查表,共發(fā)放問卷125分,收回125份,收回率100%。調(diào)查的項目包括:帶教老師的年齡、職稱、學歷、護齡,實習生的學歷。評估標準:優(yōu)秀:不低于90分;良好:80-90分;一般:60-79分或低于60分[2]。根據(jù)帶教老師護理安全認知評估結(jié)果,將評估為優(yōu)的帶教老師所帶學生作為A組,評估為一般的帶教老師所帶學生作為C組,評估結(jié)果為良的帶教老師所帶學生作為B組,另外制作量表觀察三組實習護生護理安全行為調(diào)查表,主要內(nèi)容有:壓瘡預(yù)防、跌倒及墜床的應(yīng)急處理、換藥前對液體的核對、是否規(guī)范洗手。
1.3觀察項目
觀察帶教老師與護生對護理安全的認知情況,以及三組護生的護理安全行為對比分析。
1.4數(shù)據(jù)處理方法
采用SPASS15.0軟件處理及分析數(shù)據(jù),以百分比(%)表示計數(shù)資料,以P
2. 結(jié)果
2.1帶教老師與護生對護理安全的認知現(xiàn)狀
帶教老師的職稱、學歷水平與護理安全認知評估優(yōu)秀比例呈正相關(guān),差異具有統(tǒng)計意義(P
注:*:與B組、C組比較,P
篇(4)
1.1缺乏上層的整體策略
主要體現(xiàn)在管理力度不夠,政策的執(zhí)行和監(jiān)督力度不夠,部分規(guī)定過分強調(diào)部門的自身特點,而忽略了在鐵路運輸?shù)拇蟓h(huán)境下自身的特色。部分規(guī)定沒有準確地區(qū)分技術(shù)、管理和法制之間的關(guān)系,以管代法,用行政管理技術(shù)的做法仍較為普遍,造成制度的可操作性較差。
1.2評估標準體系有待完善
主要表現(xiàn)在信息安全的需求難以確定,要保護的對象和邊界難以確定。缺乏系統(tǒng)的全面的信息安全風險評估和評價體系,以及全面完善的信息安全保障體系。
1.3信息安全意識缺乏
普遍存在重產(chǎn)品、輕服務(wù),重技術(shù)、輕管理的思想。
1.4安全措施建設(shè)滯后
主要體現(xiàn)在網(wǎng)絡(luò)安全措施建設(shè)不夠健全。隨著網(wǎng)絡(luò)技術(shù)的快速進步,網(wǎng)絡(luò)安全也在不斷地遇到新的挑戰(zhàn),原來的安全措施已經(jīng)不能滿足現(xiàn)代網(wǎng)絡(luò)安全技術(shù)的需要。
1.5安全人才建設(shè)滯后
當前鐵路系統(tǒng)信息技術(shù)人員較多,已經(jīng)初步形成了一支鐵路信息系統(tǒng)開發(fā)建設(shè)、運行維護的專業(yè)技術(shù)隊伍。但從事信息安全技術(shù)方面的人才還非常缺乏,特別是既懂技術(shù)又懂管理的復(fù)合型人才。
2加強信息安全的重要性和必要性
2.1信息安全的重要性
近年來,信息技術(shù)的不斷推廣與應(yīng)用推動了信息系統(tǒng)的基礎(chǔ)性、全局性以及全員性的不斷增強。鐵路運輸組織、客貨服務(wù)、經(jīng)營管理、建設(shè)管理和安全保障等對其依賴程度越來越高,特別是隨著鐵路生產(chǎn)與管理向著智能化和管控一體化方向的進一步發(fā)展,對網(wǎng)絡(luò)和信息安全提出了更高的要求。由信息安全引入的風險也越來越大。網(wǎng)絡(luò)和信息系統(tǒng)一旦發(fā)生問題,將給鐵路生產(chǎn)、服務(wù)和經(jīng)營帶來重大威脅和損失,給鐵路形象造成不良影響。信息安全已成為鐵路安全的重要組成部分。鐵路信息系統(tǒng)不僅包括管理信息系統(tǒng)、信息服務(wù)系統(tǒng),而且還包括生產(chǎn)自動化系統(tǒng)等。因此,信息安全保護的內(nèi)容不僅是數(shù)據(jù)和系統(tǒng)本身的安全,更重要的是運行于網(wǎng)絡(luò)之上的業(yè)務(wù)安全,即保證業(yè)務(wù)應(yīng)用系統(tǒng)的實時性、可靠性和操作的不可抵賴性。結(jié)合實際應(yīng)用,就是要確保運行于網(wǎng)絡(luò)之上的行車調(diào)度指揮、列車運行控制、編組站綜合自動化等控制系統(tǒng),以及生產(chǎn)實時管理、客票預(yù)訂和發(fā)售、貨運電子商務(wù)、12306客戶服務(wù)等業(yè)務(wù)系統(tǒng)安全運行。
2.2信息安全的必要性
隨著信息系統(tǒng)在鐵路應(yīng)用范圍的不斷擴大,功能的不斷強大,網(wǎng)絡(luò)覆蓋的不斷延伸,開放性與互聯(lián)性的不斷增強,以及技術(shù)復(fù)雜性的不斷提升,由于信息網(wǎng)絡(luò)和信息系統(tǒng)自身的缺陷、脆弱性以及來自內(nèi)外部的安全威脅等所帶來的信息安全風險日益凸現(xiàn),而且日趨多樣化和復(fù)雜化。傳統(tǒng)的安全管理方式已不適應(yīng)信息安全保障要求,必須采取先進的管理理念和科學的管理方法。信息安全管理的實質(zhì)是風險管理。開展鐵路信息安全風險管理,就是運用科學的理論、方法和工具,從風險評估分析入手,識別潛在風險,制定有效管控和處置措施,加強安全風險過程控制,強化應(yīng)急處置,努力消除安全風險或使風險可能造成的后果降低到可以接受的程度。加強信息安全風險管理是鐵路信息系統(tǒng)安全穩(wěn)定運行的內(nèi)在需要,是保障鐵路運輸安全和正常秩序的必然要求,符合信息安全管理工作特點,是做好信息安全工作的科學方法和有效手段。
3加強信息安全管理對策
為應(yīng)對日益嚴峻的信息安全形勢所帶來的挑戰(zhàn),鐵路系統(tǒng)必須采取一系列的措施來提高信息管理水平。主要體現(xiàn)在以下幾個方面:
3.1端正信息安全認識
如何看待鐵路系統(tǒng)的信息安全問題,實質(zhì)上是如何看待鐵路系統(tǒng)的信息資產(chǎn)的問題,信息化建設(shè)中的鐵路系統(tǒng)管理者應(yīng)該認識到,與鐵路系統(tǒng)的有形資產(chǎn)相比,信息資產(chǎn)的生存和發(fā)展有著更加重要的地位。而鐵路系統(tǒng)的信息安全防護,雖然不能直接參加鐵路系統(tǒng)價值的創(chuàng)造,但能間接地影響鐵路系統(tǒng)的管理水平,管理能力,影響鐵路系統(tǒng)的競爭能力。在某些特殊條件下,甚至會影響鐵路系統(tǒng)的生存和發(fā)展。因此,鐵路系統(tǒng)的管理者必須充分認識到信息安全的重要性和嚴峻性,從鐵路系統(tǒng)生存發(fā)展的戰(zhàn)略高度來看待信息安全問題,國內(nèi)有關(guān)研究機構(gòu)和企業(yè)提出了“信息安全治理”的概念,即將信息安全策略提升到和企業(yè)發(fā)展策略相同的地位,作為企業(yè)策略層的1項重要任務(wù)來實施,這個觀點在國外已經(jīng)得到廣泛實踐,值得鐵路系統(tǒng)借鑒。
3.2建立完善信息安全管理體制
在信息安全學界,人們經(jīng)常會提到,對于信息安全防護,應(yīng)該“三分技術(shù),七分管理”,這充分說明了管理在鐵路系統(tǒng)信息安全防護中的重要性,明確自己的信息安全目標,建立完善、可操作性強的安全管理體制,并嚴格執(zhí)行,這也是鐵路系統(tǒng)真正實現(xiàn)信息安全的重要環(huán)節(jié)。
3.3加大投入與提高人員素質(zhì)
安全技術(shù)是鐵路系統(tǒng)信息安全的基礎(chǔ),高素質(zhì)的人員是實現(xiàn)鐵路系統(tǒng)信息安全的保證,對于鐵路系統(tǒng)的信息安全問題,必須加大人員、資金和技術(shù)投入力度,科學配置資源,達到投入和收益的最佳結(jié)合。圍繞鐵路系統(tǒng)的信息安全目標和策略,系統(tǒng)、科學地進行軟硬件系統(tǒng)的采購和建設(shè),要重點加強信息安全人員資源素質(zhì)的培養(yǎng)和提高,在信息安全防護體系的建設(shè)和實踐中,不僅要利用傳統(tǒng)的補動防護技術(shù),同時也要引入主動防護技術(shù)。此外根據(jù)實際的業(yè)務(wù),可以引入PKI技術(shù)、VPN技術(shù)等,再結(jié)合專業(yè)素質(zhì)過硬的人員以及科學的信息安全管理,從而達到最優(yōu)的信息安全防護能力。定期組織專業(yè)的網(wǎng)絡(luò)與信息安全培訓,進一步提高人員素質(zhì)。
3.4制定突發(fā)事件的應(yīng)急預(yù)案
必須針對不同的系統(tǒng)故障或災(zāi)難制定應(yīng)急計劃,編寫緊急故障恢復(fù)操作指南,并對每個崗位的工作人員按照所擔任角色和負有的責任進行培訓和演練。
3.5加強數(shù)據(jù)完整性與有效性控制
數(shù)據(jù)完整性與有效性控制要保證數(shù)據(jù)不被更改或破壞,需要規(guī)劃和評估的內(nèi)容包括:系統(tǒng)的備份與恢復(fù)措施,計算機病毒的防范與檢測制度,是否有實時監(jiān)控系統(tǒng)日志文件,記錄與系統(tǒng)可用性相關(guān)的問題,如對系統(tǒng)的主動攻擊、處理速度下降和異常停機等。
篇(5)
1.1環(huán)境因素
檔案信息安全工作所涉及的環(huán)境因素包括自然環(huán)境和特定的檔案安全工作環(huán)境,具體包括自然災(zāi)害的影響(地震、泥石流、火災(zāi)等)和特定物理環(huán)境的打造(網(wǎng)絡(luò)安全系統(tǒng)、計算機硬件設(shè)施、輻射、污染、空氣濕度、防盜設(shè)施等)。
1.2硬件因素
作為檔案信息安全的基礎(chǔ),硬件因素以物質(zhì)的形式?jīng)Q定著檔案信息安全工作的有效性。調(diào)查發(fā)現(xiàn),大多數(shù)檔案信息安全防御系統(tǒng)失效是由于硬件設(shè)備發(fā)生故障或遭到損壞引起的。硬件設(shè)施是檔案信息的存放單位,其質(zhì)量要求和管理工作相當重要。硬件設(shè)施在保管和運輸過程中容易發(fā)生損壞或丟失,并且易受到環(huán)境因素的影響,導(dǎo)致檔案信息安全受到威脅,致使重要信息資料損壞和丟失。所以,檔案信息安全的硬件因素是最重要的影響因素。
1.3技術(shù)因素
技術(shù)是決定檔案信息安全的核心要素。在互聯(lián)網(wǎng)信息時代,檔案安全技術(shù)是保證檔案信息安全的關(guān)鍵。黑客入侵、木馬病毒等惡意侵犯使檔案信息安全受到威脅。對此,只有不斷升級、更新檔案信息安全技術(shù),防止病毒傳播、黑客入侵,修復(fù)程序漏洞,才能真正保證檔案信息的安全。
1.4管理因素
管理工作是檔案信息安全的重要組成部分,是檔案信息安全技術(shù)發(fā)揮作用的基礎(chǔ)。管理人員承擔著檔案信息安全的政策制訂、安全風險評估、人員培訓、后勤供應(yīng)等責任。
1.5人為因素
人是檔案信息安全工作的主體和實施對象,是檔案信息安全工作體系維護的重要作用因素。因此,人員的安全意識、工作技能和責任心等都會對檔案信息安全工作產(chǎn)生重要的影響。
1.6社會因素
社會因素屬于抽象的概念,具體包括組織管理環(huán)境、法律環(huán)境、人們的思想認識等。積極的社會氛圍和人們的認識有助于塑造良好的檔案信息安全保障環(huán)境。而提高人們對檔案信息安全的責任意識和安全維護意識,對打造良好的檔案信息安全保障環(huán)境具有重要意義。
2檔案信息安全保障體系的建設(shè)與思考
檔案信息安全保障體系是保障檔案信息安全的根本,具有周期長、信息量大、復(fù)雜等特點,包括信息資源、安全保障技術(shù)、工作人員和工作環(huán)境等主要因素。其中,信息資源是根本,安全保障技術(shù)是核心,工作人員是重要因素,環(huán)境是必需要素。所以,構(gòu)建長期、有效的檔案信息安全保障體系應(yīng)當從大局著眼,戰(zhàn)略性地規(guī)劃、實施。具體可以從以下幾方面開展。
2.1技術(shù)體系
作為檔案信息安全保障體系的核心組成部分,技術(shù)體系有著舉足輕重的作用。應(yīng)當將其看作有機的技術(shù)連接合作,而不是簡單的技術(shù)組合,并牢牢把握技術(shù)體系的組成部分,即計算機環(huán)境、網(wǎng)絡(luò)基礎(chǔ)實施、技術(shù)支持等,科學、嚴謹?shù)匕盐占夹g(shù)體系的有效性。從技術(shù)體系層面保障檔案信息安全應(yīng)當注意以下幾個方面:①物理環(huán)境安全。保護好檔案信息安全的物理環(huán)境和硬件設(shè)施,制訂科學、規(guī)范的環(huán)境保護制度,配備最先進的視頻監(jiān)控、災(zāi)害防御系統(tǒng)和檔案信息資源備份系統(tǒng)。②網(wǎng)絡(luò)基礎(chǔ)設(shè)施。根據(jù)網(wǎng)絡(luò)風險系數(shù),結(jié)合實際情況,針對檔案信息安全管理的目標和任務(wù),構(gòu)建分級防御防護體系。③系統(tǒng)安全。依據(jù)有效的系統(tǒng)風險評估,有針對性地分析各類風險和安全隱患,構(gòu)建主動防御系統(tǒng),變被動為主動,及時發(fā)現(xiàn)和消除安全隱患。④系統(tǒng)數(shù)據(jù)安全。系統(tǒng)的安全運行僅僅保護了系統(tǒng)服務(wù)的可用性,即提供了檔案數(shù)據(jù)存儲、處理和傳輸?shù)谋匾獥l件,要確保檔案數(shù)據(jù)的安全、可靠,必須保證合法用戶的權(quán)益,以授權(quán)形式操作信息。
2.2管理體系
依托檔案信息安全技術(shù)體系,構(gòu)建科學、規(guī)范的檔案管理體系。以技術(shù)為指導(dǎo),根據(jù)檔案信息安全精神,充分發(fā)揮工作人員的工作積極性,使管理體系的效用最大化;建立流程可追溯機制,開發(fā)日志記錄功能,加強過程控制,避免出現(xiàn)檔案信息安全漏洞;重點實施保密要害部門、部位的安全監(jiān)管;制訂相應(yīng)的特別管理制度和多層次的監(jiān)管措施,檔案信息安全考核是崗位考核的重點;定期組織工作人員學習檔案信息安全法律法規(guī)和政策,營造良好的工作環(huán)境氛圍,強化檔案信息安全的法制防線;形成定期的檔案信息安全評估機制,開展風險分析工作,適應(yīng)環(huán)境與技術(shù)的變化,建立動態(tài)的防御體系,積極應(yīng)對可能發(fā)生的各種危及檔案信息安全的狀況。
2.3人才體系
人才是檔案信息安全體系的關(guān)鍵性因素。雖然檔案信息的來源更加廣泛,搜集整理方式也越來越多樣化,查閱、利用方式更加多樣和便捷,但是這一切都離不開檔案管理人才的實施。隨著檔案信息安全管理工作的網(wǎng)絡(luò)化、技術(shù)化,其涉及的知識越來越多,對工作人員的技能要求也更加嚴格,因此,檔案信息安全專業(yè)人才的吸收和現(xiàn)有工作人員工作技能的提升也成為了檔案信息安全工作的重要課題。筆者認為,檔案信息安全體系工作人員管理水平的提升應(yīng)當從安全意識入手,然后通過專業(yè)技術(shù)的學習、責任心的提升和團隊意識的加強等方面來不斷提升工作人員的水平。
篇(6)
1.1管理層方面
管理層方面的信息安全大致也包括物理層方面和管理層方面。
(1)物理層方面的信息安全主要是指物理環(huán)境建設(shè)安全尤其是信息中心物理環(huán)境安全。環(huán)境安全包括防火防水防自然災(zāi)害和物理災(zāi)害等。在環(huán)境安全中,企業(yè)必須要有足夠的認識,機房建設(shè)要嚴格按國家機房建設(shè)標準進行,做好防雷、防水、防靜電等安全措施,從而杜絕各類安全隱患的發(fā)生。對企業(yè)內(nèi)部員工要加強計算機安全使用規(guī)程的教育,確保計算機在安全的環(huán)境中使用,保證人長時間離開計算機時斷開電源以確保安全。
(2)管理層方面的信息安全主要是指企業(yè)內(nèi)部的管理制度建立是否完善,執(zhí)行效果如何,企業(yè)內(nèi)部員工對于信息安全的認識程度,企業(yè)內(nèi)部員工職業(yè)道德的培養(yǎng),企業(yè)內(nèi)部員工信息安全的教育培訓,網(wǎng)絡(luò)技術(shù)人員技術(shù)能力的審核與培訓以及企業(yè)內(nèi)部部門的分工等。企業(yè)必須要建立完善的信息安全管理制度,這個制度是由一個總的管理制度和各部門的管理制度和監(jiān)督制度共同構(gòu)成的。每一個部門根據(jù)信息資產(chǎn)內(nèi)容的不同應(yīng)該有自己相應(yīng)的信息安全管理制度以確保制度的行之有效。其次要設(shè)有完善的監(jiān)督機制來配合管理制度的實施,一個制度的建立,必須要能夠執(zhí)行下去,且執(zhí)行過程是有效的才能夠發(fā)揮管理制度的功效。而監(jiān)督機制就是對制度執(zhí)行情況的進行監(jiān)測,對執(zhí)行的效果進行審核作用的機制。其次是對于企業(yè)員工的職業(yè)素養(yǎng)和信息安全的教育培訓,這方面將在下一部分進行具體論述。最后就是對干企業(yè)內(nèi)部各部門之間的分工。在一個企業(yè)內(nèi)部是有一套自己的工作流程的,但是這個工作流程是伴隨著信息的流動產(chǎn)生的。所以在信息流動的過程中需要將信息轉(zhuǎn)變的過程進行分工,以此來保障信息在局部過程中的完整性,以防止一個環(huán)節(jié)出現(xiàn)問題導(dǎo)致全局崩潰的情況發(fā)生。對此,企業(yè)內(nèi)部不但要細化工作流程,對于信息轉(zhuǎn)化過程也要進行分工,以防止問題的發(fā)生。
1.2網(wǎng)絡(luò)層方面
網(wǎng)絡(luò)層方面的信息安全主要是指網(wǎng)絡(luò),系統(tǒng)和應(yīng)用三個方面。在網(wǎng)絡(luò)層方面的信息安全不只存在于IT部門,它應(yīng)該在整個企業(yè)內(nèi)部的員工中都得到重視。(1)網(wǎng)絡(luò)。主要是包括網(wǎng)絡(luò)上的信息以及設(shè)備的安全性能。其中可細化為網(wǎng)絡(luò)層身份的認證,系統(tǒng)的安全,信息數(shù)據(jù)傳輸過程中的保密性,真實性和完整性以及網(wǎng)絡(luò)資源的訪問控制等。而這些網(wǎng)絡(luò)層的信息安全出現(xiàn)問題,可能導(dǎo)致有網(wǎng)絡(luò)黑客的侵入,計算機犯罪,信息丟失,信息竊取等威脅的存在。
(2)系統(tǒng)。造成系統(tǒng)層信息安全威脅的原因,可能出在兩個方面:操作系統(tǒng)本身就存在安全隱患,在配置操作系統(tǒng)的過程中存在安全配置的問題。
(3)應(yīng)用。在應(yīng)用層影響信息安全的問題上,是指應(yīng)用軟件以及一些業(yè)務(wù)往來數(shù)據(jù)的安全,例如即時通訊系統(tǒng)和電子郵件等。當然,也包括一些病毒的入侵,對于系統(tǒng)所造成的威脅。
二、信息安全教育
2.1保密協(xié)議
在信息安全教育培訓的第一步需要對保密協(xié)議進行細致設(shè)計。有的企業(yè)認為,保密協(xié)議應(yīng)該只針對于不同部門間需要保密的內(nèi)容進行設(shè)計,使不同部門的員工簽署不同的保密協(xié)議。這是不妥的想法,而且也比較繁善。雖然不同部門間員工經(jīng)常涉及到的信息保密不同,但有可能員工會有不同部門間的調(diào)配或者是不同部門間信息的相互獲取。所以在保密協(xié)議上要讓員工簽署的是整個企業(yè)內(nèi)所有需要保密的內(nèi)容都要進行保密協(xié)議的確認。有些企業(yè)認為保密協(xié)議的簽署應(yīng)該是在員工熟悉信息安全制度和進行安全教育培訓之后再進行。這也是不妥的想法,因為在員工進入公司的那一刻幵始,他就開始接觸企業(yè)內(nèi)的信息,所以需要員工在簽署勞動合同的同時就要進行保密協(xié)議的簽署。在新員工簽署保密協(xié)議的時候,企業(yè)的人力資源部門如果沒有對新員工講解企業(yè)保密協(xié)議,新員工對保密協(xié)議的內(nèi)容都不了解而盲目簽署,這使保密協(xié)議形同虛設(shè),并不能發(fā)揮真正的作用,新員工對干信息安全的重要性也就得不到足夠的重視,所以必須認真講解保密協(xié)議內(nèi)容后,使員工理解保密協(xié)議的重要性再進行簽署。
2.2信息安全管理制度
信息安全管理制度確立以后,需要對員工進行信息安全制度的培訓。在培訓過程中,企業(yè)不光要對于員工本崗位信息安全內(nèi)容作介紹,對于其他部門信息安全內(nèi)容也要做介紹,以確保員工形成信息安全的意識。在企業(yè)內(nèi)部,很多員工對于信息安全的意識不夠,甚至認為企業(yè)的信息根本就沒有什么重要性,在工作外的時間里隨意的就將企業(yè)的一些重要信息透露出去從而可能導(dǎo)致企業(yè)受到損失。對此,加強企業(yè)內(nèi)部員工的信息安全教育培訓是十分重要的。其中培訓可以分為兩個部分。(1)對于企業(yè)內(nèi)部所有員工進行信息安全意識的教育培訓。(2)對于企業(yè)內(nèi)部的信息技術(shù)人員進行扣關(guān)技術(shù)知識的教育培訓。
2.3員工職業(yè)素養(yǎng)的教育
在企業(yè)內(nèi)部對員工的職業(yè)素養(yǎng)也需要進行培訓。譬如對干一些業(yè)務(wù)員來說,職業(yè)素養(yǎng)的培訓是非常重要的,業(yè)務(wù)員手中掌握的業(yè)務(wù)信息對于企業(yè)來說是至關(guān)重要的信息,如果這方面的信息出現(xiàn)問題就可能導(dǎo)致企業(yè)業(yè)務(wù)的流失,以及業(yè)務(wù)的持續(xù)性中斷。所以企業(yè)要對內(nèi)部員工的職業(yè)素養(yǎng)進行培訓,從而促使員工清楚保證企業(yè)的信息安全也是對一個員工職業(yè)素養(yǎng)的基要求。
2.4普及計算機及網(wǎng)絡(luò)知識的教育
企業(yè)內(nèi)部員工根據(jù)職能的不同對于計算機熟悉程度的要求也是不同的。對于普通的辦公室職員來說,會簡單的基本操作就可以了。但是,如果從信息安全的角度來講的話,員工只會基本的操作是遠遠不夠的,必須要普及網(wǎng)絡(luò)安全等方面的知識。譬如在計算機旁盡量不要有水或飲料的出現(xiàn),因為有可能因為員工的不小心而將水灑在計算機:,從而導(dǎo)致計算機的短路等情況的發(fā)生。還有,員工在使用U盤的時候,有可能將家見或是其他計算機k的病毒帶到企業(yè)內(nèi)部,導(dǎo)致企、計算機被病毒入侵,促使信息的安全受到威脅。所以說,對于企業(yè)內(nèi)部的員工,應(yīng)該普及計算機及網(wǎng)絡(luò)知識的教育和培訓,以確保信息的安全,從而促使員工有更尚的信息安全意識。
篇(7)
隨著光纖寬帶、移動電話、移動互聯(lián)網(wǎng)的普及,通信服務(wù)在我們的日常生活中發(fā)揮了越來越重要的作用。伴隨社會的信息化推進,通信技術(shù)也得到了快速發(fā)展。通信得到了社會的廣泛認可。近年來,伴隨著互聯(lián)網(wǎng)技術(shù)在全球迅猛發(fā)展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網(wǎng)絡(luò)的安全威脅,比如黑客攻擊、重要信息被盜等,網(wǎng)絡(luò)安全事件頻發(fā),給人們的財產(chǎn)和精神帶來很大損失。但是,在世界范圍內(nèi),黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網(wǎng)站上,學習黑客技術(shù)、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯(lián)網(wǎng)的威脅。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網(wǎng)絡(luò)信息的安全性,尤其是網(wǎng)絡(luò)上重要的數(shù)據(jù)的安全性。
在通信領(lǐng)域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現(xiàn)實意義。
一、通信運用中加強信息安全和防護的必要性
1.1搞好信息安全防護是確保國家安全的重要前提
眾所周知,未來的社會是信息化的社會,網(wǎng)絡(luò)空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網(wǎng)絡(luò)被毀、指揮系統(tǒng)癱瘓、制信息權(quán)喪失的嚴重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題,可能導(dǎo)致整個國家的經(jīng)濟癱瘓,戰(zhàn)爭和軍事領(lǐng)域是這樣,政治、經(jīng)濟、文化、科技等領(lǐng)域也不例外。信息安全關(guān)系到國家的生死存亡,關(guān)系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡(luò)“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經(jīng)濟,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關(guān)的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎(chǔ)。
1.2我國信息安全面臨的形勢十分嚴峻
信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟、文化等各方面。當今社會,由于國家活動對信息和信息網(wǎng)絡(luò)的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導(dǎo)致整個國家能源供應(yīng)的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設(shè)想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設(shè)防’,的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應(yīng)用系統(tǒng)處在不設(shè)防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術(shù)及設(shè)備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進國外技術(shù)和設(shè)備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領(lǐng)域,通過網(wǎng)絡(luò)泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構(gòu)缺乏權(quán)威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關(guān)法規(guī)的貫徹執(zhí)行。
二、通信中存在的信息安全問題
2.1信息網(wǎng)絡(luò)安全意識有待加強
我國的信息在傳輸?shù)倪^程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網(wǎng)絡(luò)運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網(wǎng)絡(luò)安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關(guān)人員來共同防護。
2.2信息網(wǎng)絡(luò)安全核心技術(shù)貧乏
目前,我國在信息安全技術(shù)領(lǐng)域自主知識產(chǎn)權(quán)產(chǎn)品少采用的基礎(chǔ)硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設(shè)備更是拿來就用,忽略了一定的安全隱患。技術(shù)上的落后,使得設(shè)備受制于人。因此,我們要加大對信息網(wǎng)絡(luò)安全關(guān)鍵技術(shù)的研發(fā),避免出現(xiàn)信息泄露的“后門”。
2.3信息網(wǎng)絡(luò)安全防護體系不完善
防護體系是系統(tǒng)頂層設(shè)計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關(guān)鍵。以前信息網(wǎng)絡(luò)安全防護主要是進行一對一的攻防,技術(shù)單一。現(xiàn)代化的信息網(wǎng)絡(luò)安全防護體系已經(jīng)成為一個規(guī)模龐大、技術(shù)復(fù)雜、獨具特色的重要信息子系統(tǒng),并擔負著網(wǎng)絡(luò)攻防對抗的重任。因此,現(xiàn)代化信息網(wǎng)絡(luò)安全防護體系的建立應(yīng)具有多效地安全防護機制、安全防護服務(wù)和相應(yīng)的安全防護管理措施等內(nèi)容。
2.4信息網(wǎng)絡(luò)安全管理人才缺乏
高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網(wǎng)絡(luò)安全防護的因素之一。信息網(wǎng)絡(luò)安全管理人才不僅要精通計算機網(wǎng)絡(luò)技術(shù),還要熟悉安全技術(shù)。既要具有豐富的網(wǎng)絡(luò)工程建設(shè)經(jīng)驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。
三、通信組織運用中的網(wǎng)絡(luò)安全防護
網(wǎng)絡(luò)安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全備受關(guān)注,如何防范病毒入侵、保護信息安全是人們關(guān)心的問題,筆者總結(jié)了幾點常用的防范措施,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。
3.1數(shù)據(jù)備份
對重要信息資料要及時備份,或預(yù)存影像資料,保證資料的安全和完整。設(shè)置口令,定期更換,以防止人為因素導(dǎo)致重要資料的泄露和丟失。利用鏡像技術(shù),在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡(luò)通信加密,以防止網(wǎng)絡(luò)被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。
3.2防治病毒
保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應(yīng)及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒,要及時采取相應(yīng)的措施,保障信息資料的安全。
3.3提高物理安全
物理安全是保障網(wǎng)絡(luò)和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設(shè)備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。
3.4安裝補丁軟件
為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導(dǎo)致無法預(yù)料的結(jié)果。為了保障系統(tǒng)的安全運行,可以及時關(guān)注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明,根據(jù)其附有的解決方法,及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。
3.5構(gòu)筑防火墻
構(gòu)筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術(shù)人員設(shè)置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。
四、加強通信運用中的信息安全與防護的幾點建議
為了應(yīng)付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設(shè)。
4.1要加強宣傳教育,切實增強全民的國防信息安全意識
在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領(lǐng)導(dǎo)要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結(jié)合工作實際,進行以安全防護知識、理論、技術(shù)以及有關(guān)法規(guī)為內(nèi)容的自我學習和教育。
4.2要建立完備的信息安全法律法規(guī)
信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關(guān)于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構(gòu)計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設(shè)尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應(yīng)當加快信息安全有關(guān)法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。
4.3要加強信息管理
要成立國家信息安全機構(gòu),研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎(chǔ)上,成立地方各部門的信息安全管理機構(gòu),建立相應(yīng)的信息安全管理制度,對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。
4.4要加強信息安全技術(shù)開發(fā),提高信息安全防護技術(shù)水平
沒有先進、有效的信息安全技術(shù),國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術(shù),自主進行信息安全關(guān)鍵技術(shù)的研發(fā)和運用。大力發(fā)展防火墻技術(shù),開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡(luò)化的國產(chǎn)自主知識產(chǎn)權(quán)的防火墻。積極發(fā)展計算機網(wǎng)絡(luò)病毒防治技術(shù),加強計算機網(wǎng)絡(luò)安全管理,為保護國家信息安全打卜一個良好的基礎(chǔ)。
4.5加強計算機系統(tǒng)網(wǎng)絡(luò)風險的防范加強網(wǎng)絡(luò)安全防范是風險防范的重要環(huán)節(jié)
首先,可以采取更新技術(shù)、更新設(shè)備的方式。并且要加強工作人員風險意識,加大網(wǎng)絡(luò)安全教育的投入。其次,重要數(shù)據(jù)和信息要及時備份,也可采用影像技術(shù)提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術(shù),密碼設(shè)置應(yīng)包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡(luò)上被非授權(quán)用戶攔截。第六,嚴格執(zhí)行權(quán)限控制,做好信息安全管理工作。“三分技術(shù),七分管理”,可見信息安全管理在預(yù)防風險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。
4.6建立和完善計算機系統(tǒng)風險防范的管理制度
建立完善的防范風險的制度是預(yù)防風險的基礎(chǔ),是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術(shù)的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術(shù)和防范風險的策略時,可以借鑒國外相關(guān)研究,尤其是一些發(fā)達國家,他們信息技術(shù)起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結(jié)合我們的實際,應(yīng)用到風險防范中,形成風險管理制度,嚴格執(zhí)行。
其次,應(yīng)當設(shè)立信息安全管理的專門機構(gòu),并配備專業(yè)技術(shù)人才,選拔防范風險的技術(shù)骨干,開展對信息安全技術(shù)的研究,對系統(tǒng)弱點進行風險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。
五、結(jié)論
篇(8)
我國的信息化建設(shè)已經(jīng)有多年的發(fā)展歷史,在最初的信息化建設(shè)中,其目標只局限于紙質(zhì)信息的數(shù)字化轉(zhuǎn)化和單機程序的開發(fā)與應(yīng)用。但隨著信息技術(shù)建設(shè)的不斷深入,其建設(shè)的目標也發(fā)生了本質(zhì)性的變化。信息化建設(shè)逐漸演化成依靠網(wǎng)絡(luò)資源實現(xiàn)電子商務(wù)運作、完成網(wǎng)絡(luò)交流等。這種建設(shè)形式在一定程度上提高了辦公的效率、實現(xiàn)了信息的共享。微型計算機的出現(xiàn)代表著信息技術(shù)進入了一個嶄新的時代,但與此同時也帶來了巨大的安全隱患,由于微型計算機的內(nèi)置元件較為簡化,在操作的過程中極易遭到破壞,從而產(chǎn)生了安全上的隱患。且微型計算機在設(shè)計上更多的是考慮其系統(tǒng)功能和信息的傳播速度,對信息安全的考慮不夠深入,這也使得計算機本身存在著安全缺陷。在信息飛速發(fā)展的今天,代碼的數(shù)量每天都在增加,這也使得軟件中的漏洞不斷的暴露出來,各種病毒、木馬防不勝防,對信息技術(shù)的安全建設(shè)造成了巨大的影響。隨著信息技術(shù)的不斷發(fā)展,其建設(shè)的重點逐漸開始偏向于系統(tǒng)開發(fā),同時信息工作者對信息安全也有了新的認識。在現(xiàn)階段的工作中,信息化建設(shè)的內(nèi)容可以分為三個部分。一是完成網(wǎng)絡(luò)的基礎(chǔ)建設(shè),不斷開發(fā)輔軟件。二是完成對應(yīng)用系統(tǒng)的開發(fā),提高系統(tǒng)的應(yīng)用價值。三是完成安全建設(shè),為信息系統(tǒng)提供安全性保障。由此可見,信息安全與信息化建設(shè)有著密切的關(guān)系,在完善各項網(wǎng)絡(luò)功能的同時還要加強安全建設(shè),提高信息系統(tǒng)的安全性。
2信息安全的范圍
2.1信息管理
信息體系的構(gòu)建需要多個部門的共同參與,管理工作也涉及多項內(nèi)容。人員管理是管理工作中的重要內(nèi)容,任何工作都涉及到人員的參與,加強對人員的管理不僅能夠提升工作的效率,對經(jīng)濟的建設(shè)也有著積極的影響。在對人員的管理中,要明確各個崗位的工作內(nèi)容,對工作人員進行合理的分配,建立完善的考核制度,最大限度的發(fā)揮人力資源的力量。制度管理也是管理工作中較為重要的一項,制度的管理包括制定安全目標、完善安全策略等內(nèi)容,完善的制度管理能夠使信息工作更加規(guī)范化。此外,風險管理也包含在管理工作的主要內(nèi)容之中,風險管理的內(nèi)容包括了解風險的構(gòu)成,制定安全措施等。
2.2信息技術(shù)
信息技術(shù)對信息的安全有著很大的影響,隨著信息技術(shù)的不斷發(fā)展,新的安全問題層出不窮。對于不同的安全問題,可以采用不同的安全技術(shù)手段進行治理。一是對用戶進行身份識別,通過指紋、口令等方式來完成對人員的識別。二是訪問控制,通過設(shè)定訪問權(quán)限對用戶進行管理。三是標記作業(yè),對計算機中的系統(tǒng)資源進行標記,并通過這種方式達到管理的目的。四是安插可信路徑,建立一種可信任的通信路徑,用戶可以通過該路徑進入到信息系統(tǒng)中。五是進行安全審計,對違反操作規(guī)范的用戶進行審計,完成事后補救。現(xiàn)階段信息工作者已經(jīng)具備了一定的安全意識,新的防范措施也不斷的被提出,為信息系統(tǒng)的安全提供了更大的保障。
3信息安全的構(gòu)筑策略
3.1信息安全的宏觀構(gòu)建策略
從宏觀的層面上來看,安全工作可以分為三個部分,即進行風險評估、完成災(zāi)難備份和建立應(yīng)急機制。風險評估是指對信息系統(tǒng)中可能存在的風險進行科學的評估,在該項工作中,首先要明確風險的等級,其次要對系統(tǒng)進行全面的檢查,確定其表面風險及隱藏風險,將這些風險按照風險等級進行合理的劃分,以便于對風險進行有效防范。在進行災(zāi)難備份時,要對以往的數(shù)據(jù)進行整理和分析,確定風險發(fā)生的規(guī)律和解決辦法,將這些數(shù)據(jù)進行備份。在應(yīng)急機制的建立中,要根據(jù)備份的資料制定出相應(yīng)的應(yīng)急預(yù)案,并對預(yù)案進行測評,提高預(yù)案的可利用率。同時對可能出現(xiàn)的安全事故進行分析,建立應(yīng)急機制。在日常工作中加入安全演習的內(nèi)容,以確保在安全事故發(fā)生是能夠在第一時間解決問題。
3.2信息安全的微觀構(gòu)建策略
3.2.1提高安全意識目前,信息技術(shù)已經(jīng)在人們的生活中占據(jù)了重要的位置,很多工作都離不開信息技術(shù)的參與。但大多數(shù)人只注重信息技術(shù)的學習,對信息安全沒有足夠的認識。在以往的信息安全事故中,有很大一部分都是因為信息工作者的安全意識不強所造成的。因此在學習信息技術(shù)的同時,也要加強對信息安全的了解,樹立安全意識,提高處理安全事故的能力。信息工作者在進行信息處理時,必須規(guī)范自身的行為,避免人為因素對信息安全造成影響。加強對安全知識的學習,降低安全事故的發(fā)生概率。3.2.2制定安全策略構(gòu)建信息安全系統(tǒng)的首要任務(wù)是制定出安全策略。安全策略的制定要根據(jù)風險評估的結(jié)果來完成,使策略能夠滿足信息安全的需求。由于信息安全會受到多種因素的共同影響,因此在策略的的制定上也要對這些影響因素進行綜合的分析,建立起環(huán)境安全、身份認證、系統(tǒng)備份、事故處理等多重策略,保證信息系統(tǒng)正常運行。3.2.3確定安全機制安全機制的建立是為了使安全策略能夠更好的發(fā)揮作用。機制要根據(jù)安全策略的內(nèi)容來制定,為安全策略提供參照標準。例如為了保證安全策略中的加密策略能夠更好的發(fā)揮作用,可以制定“所有設(shè)備必須進行3DES加密”一機制。工作人員在工作中必須嚴格按照安全機制的要求進行操作,使系統(tǒng)得到安全防護。3.2.4完善業(yè)務(wù)流程為了使安全操作更加規(guī)范化,需要制定出相應(yīng)的業(yè)務(wù)流程。在業(yè)務(wù)流程的制定上,首先要明確操作的步驟,制定出操作流程表。其次要完成對流程表的審核,保證操作流程滿足系統(tǒng)的需要。最后要將流程標準以書面的形式展現(xiàn)出來,使工作人員能夠按照操作流程完成工作,提高工作的效率。
篇(9)
現(xiàn)在國家最突出和核心的問題就是隨著互聯(lián)網(wǎng)的飛速發(fā)展使得信息時代的信息安全保障尤為重要。現(xiàn)如今網(wǎng)絡(luò)的黑客、垃圾信息、網(wǎng)絡(luò)病毒等多數(shù)都是人為的原因造成的,對網(wǎng)絡(luò)信息的安全是有沖擊,所以對于通過黑客的防范以及正確的引導(dǎo),能更好的維護網(wǎng)絡(luò)信息系統(tǒng)的安全性。針對現(xiàn)在網(wǎng)絡(luò)信息安全的現(xiàn)狀創(chuàng)新網(wǎng)絡(luò)信息安全技術(shù)是有必要的,更重要的是要完善網(wǎng)絡(luò)信息安全的立法,用法律來維護健康的網(wǎng)絡(luò)信息環(huán)境。
(1)現(xiàn)今的網(wǎng)絡(luò)主要是通過信息的互通,交流、共享等方式來實現(xiàn)的,給社會生活的服務(wù)提供很大的便利條件,信息的傳播更多面化。隨著網(wǎng)絡(luò)技術(shù)的進步大大提高了工作效率,促進經(jīng)濟的發(fā)展,社會的進步。
(2)網(wǎng)絡(luò)信息的開放性,互通性,虛擬性等特點,在客觀上不可避免地被一些別有用心的組織和個人所利用,借助網(wǎng)絡(luò)肆意傳播、制造有害信息,攻擊正常網(wǎng)絡(luò)系統(tǒng),竊取機密信息,這些活動給社會的穩(wěn)定帶來很大的隱患,為此,國家信息安全戰(zhàn)略就是信息網(wǎng)絡(luò)的安全,這對于國家是重要的一部分。
二、我國網(wǎng)絡(luò)信息安全的立法突出問題與不足
(一)我國網(wǎng)絡(luò)信息安全立法存在的問題
(1)網(wǎng)絡(luò)信息方面的基本法是沒有的。由于立法的層次比較低,使得法規(guī)缺乏權(quán)威性,造成了法律效力的降低,執(zhí)法的困難。
(2)如今關(guān)于網(wǎng)絡(luò)信息的安全的管理和法規(guī)多種多樣,就造成了立法之間沖突的現(xiàn)象出現(xiàn)。在我國,有關(guān)網(wǎng)絡(luò)信息的管理機構(gòu)很多,但是出現(xiàn)了執(zhí)行過程中的互相推卸責任,扯皮的現(xiàn)象很嚴重。同時,立法是通過多部門實行的,如針對一個問題各個部門的立足點會有所不同,就是法規(guī)的局限性會很大。其結(jié)果就造成有關(guān)法規(guī)分散不集中,有個別規(guī)定之間相互沖突了。
(3)立法缺乏整體性,比較嚴重的就是缺位或者是缺空。現(xiàn)在并沒有對于網(wǎng)絡(luò)信息出現(xiàn)的問題的管理和保護有明確的規(guī)定。例如對于消費者權(quán)益保護的信息網(wǎng)絡(luò)中的糾紛,包括一些網(wǎng)絡(luò)支付,電子證據(jù)等存在著法規(guī)的缺位。給實際的執(zhí)行帶來了很大的困難。
(二)我國網(wǎng)絡(luò)信息安全立法的不足
(1)我國對網(wǎng)絡(luò)信息安全的認識不足,對網(wǎng)絡(luò)信息的立法不夠重視。導(dǎo)致對于信息安全的模糊的認識,只注重網(wǎng)絡(luò)信息技術(shù)的發(fā)展,而忽略了網(wǎng)絡(luò)安全性的法治化,在社會經(jīng)濟促使下這種情況尤為突出。
(2)社會上有很多人對高技術(shù)、高科技有種盲目的推崇,認為高科技設(shè)備能完全的實現(xiàn)科學管理,提高效率,會萬無一失實現(xiàn)無人工的全智能化。然而社會原有的監(jiān)督管理部門和司法系統(tǒng)中的人員往往對這種高技術(shù)、高智能的設(shè)備不清楚,不了解,對于網(wǎng)絡(luò)的危害性和高技術(shù)犯罪的認識不足,或沒有足夠的技術(shù)力量和相應(yīng)的管理措施來對付它們。
(3)信息網(wǎng)絡(luò)的全球性和技術(shù)性特征決定了信息網(wǎng)絡(luò)立法具有全球的普遍性,因此,只需簡單移植他國或國際立法就可以了,對我國網(wǎng)絡(luò)發(fā)展的特點認識不足,不能更好的針對我國作出更合適的法律法規(guī)或章程。
(4)雖然加強我國信息安全法律保障體系的建設(shè)顯得尤為迫切,但是也不應(yīng)急于立法來壓制網(wǎng)絡(luò),不應(yīng)急于求成造成立法之間的沖突。
三、完善網(wǎng)絡(luò)安全的行政責任的措施和建議
網(wǎng)絡(luò)信息對社會的重要性和影響力是很大的,所以網(wǎng)絡(luò)信息的安全的問題也突出的重要。所以就要有針對的法律來約束網(wǎng)絡(luò)信息,能健康的發(fā)展。
(1)加強技術(shù)管理與網(wǎng)絡(luò)安全管理的工作,一方面,要全面的改善計算機及網(wǎng)絡(luò)技術(shù)系統(tǒng),充分利用網(wǎng)絡(luò)保護程序的特殊裝置技術(shù)設(shè)立防火墻,來增加自身防范的能力。另一方面,網(wǎng)絡(luò)使用者要有安全意識,同時,網(wǎng)絡(luò)管理機構(gòu)和網(wǎng)絡(luò)管理人員要有專業(yè)的知識,或者有相關(guān)的培訓來提高個人的素質(zhì)和處理各種問題的能力。
(2)首先,對危害特別嚴重,造成國家各方面的重大損失的網(wǎng)絡(luò)犯罪的要通過較重的法定刑來處理,或者更嚴重的刑期或刑罰。其次,對于利用計算機網(wǎng)絡(luò)實施的傳統(tǒng)性犯罪,因為影響范圍廣、危害性大,法定刑應(yīng)比同類普通刑事犯罪高;再次,對于危害國家利益、社會公益以及侵財性網(wǎng)絡(luò)犯罪,應(yīng)加大財產(chǎn)刑的處罰力度,可規(guī)定并處高額罰金或沒收全部財產(chǎn)等,以加大犯罪分子的犯罪成本;最后,對一些不同的網(wǎng)絡(luò)犯罪主體,要通過一些限制或者剝奪的方式來處罰,或者永久的剝奪經(jīng)營者的資格,多方面屏蔽的方式。
(3)一方面要大力的打擊網(wǎng)絡(luò)犯罪,強化國際合作,各國聯(lián)合對網(wǎng)絡(luò)犯罪方面進行執(zhí)法和高技術(shù)的通力合作。進一步提高預(yù)防和打擊網(wǎng)絡(luò)犯罪的能力和效率。
綜上所述,我國目前網(wǎng)絡(luò)信息安全立法就是要以行政法規(guī)和各種規(guī)章為主要方式,現(xiàn)今最好的保護形式就是行政保護,但是在立法的具體實行中還會存在責任設(shè)定的不合理、責任設(shè)定沖突的各種缺陷。對此,應(yīng)當對現(xiàn)行立法中行政責任的設(shè)定進行合憲性審查,針對網(wǎng)絡(luò)信息安全保障組織法規(guī)范行政執(zhí)法,改變一些具體的處罰形式來健全和完善行政責任。對于當前的中國來說,加強對涉及國家安全的網(wǎng)絡(luò)信息法律保障的研究,在思想上有助于提高我們對信息安全重要性的認識,在實踐上有利于加強我國的信息安全保障能力,更好地維護我國的國家安全。
參考文獻:
[1]張冬梅.網(wǎng)絡(luò)信息安全的威脅與防范[J].湖南財經(jīng)高等專科學校學報,2002,04.
[2]鄭成思.運用法律手段保障和促進信息網(wǎng)絡(luò)健康發(fā)展[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2001,12.
篇(10)
在科技飛速發(fā)展的大環(huán)境下,信息化已經(jīng)成為當今時代的發(fā)展趨勢,企業(yè)信息化建設(shè)已經(jīng)成為企業(yè)發(fā)展的必經(jīng)之路,企業(yè)通過對信息化建設(shè)過程中的信息安全的探索,保證企業(yè)信息化建設(shè)過程中的信息安全與系統(tǒng)穩(wěn)定,從而使企業(yè)在競爭中處于不敗之地,讓企業(yè)在工業(yè)化與信息化深度融合下,快速發(fā)展,與時俱進。
1 當前企業(yè)信息化建設(shè)中的信息安全問題
1.1 信息安全管理問題
目前企業(yè)的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經(jīng)驗不足:計算機信息安全很大程度上取決于管理人才,調(diào)查顯示,我國七成IT企業(yè)信息安全系統(tǒng)保障不足,主要原因是管理人員沒有及時更新系統(tǒng)補丁程序、沒有及時維護系統(tǒng)。企業(yè)信息安全是上不斷完善的動態(tài)過程,需要不斷對現(xiàn)有系統(tǒng)進行安全檢查、評估,及時發(fā)現(xiàn)新的問題,跟蹤最新安全技術(shù),及時調(diào)整安全策略,增強企業(yè)信息安全性。其次,在企業(yè)的信息化建設(shè)中信息安全管理系統(tǒng)不完善,信息安全管理系統(tǒng),如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復(fù)管理、漏管等現(xiàn)象發(fā)生,使得信息系統(tǒng)出現(xiàn)漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或濫用關(guān)鍵、敏感數(shù)據(jù)或資源等導(dǎo)致信息丟失泄露,外部人員和硬件的商家等對于企業(yè)的系統(tǒng)有一定的了解,有權(quán)限合法訪問,這也會造成信息的安全問題。
1.2 信息化建設(shè)中的硬件問題
近年來,由于信息化發(fā)展較快,企業(yè)信息化建設(shè)的成本也在不斷提高,由于信息化建設(shè)投資大、回報慢,一些企業(yè)雖然有信息化建設(shè)的意愿,但是在實際投入上比較小,這就使得企業(yè)信息化建設(shè)過程中,企業(yè)的硬件設(shè)施跟不上時代的不發(fā),導(dǎo)致企業(yè)信息化建設(shè)止步不前,計算機硬件設(shè)施的老化,對企業(yè)信息化建設(shè)過程中的安全問題存在這一定的隱患,而且,計算機的硬件決定著信息化建設(shè)的穩(wěn)定性。另外在鏈路傳輸、網(wǎng)絡(luò)設(shè)備(路由器、交換機、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災(zāi)、火災(zāi)等環(huán)境事故使系統(tǒng)毀灰。
1.3 信息化建設(shè)中的軟件問題
(1)國內(nèi)的軟件水平與世界先進水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業(yè)信息化建設(shè)中存在信息安全問題。
(2)配置中存在的問題,很多的系統(tǒng)和應(yīng)用軟件在初裝后會使用默認的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。
(3)Web服務(wù)中的安全問題,www體系的主要特點是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務(wù)器的保密信息被竊取,信息系統(tǒng)就會受到攻擊,獲取Web主機信息,使機器暫時不能使用,使機器暫時不能使用,服務(wù)器和客戶端之間的信息被監(jiān)聽等。
(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設(shè)置會導(dǎo)致信息的泄露。
2 企業(yè)信息化建設(shè)中信息安全的對策
信息安全是企業(yè)信息化建設(shè)中的重要問題,只有保證信息的安全才能使企業(yè)在信息化建設(shè)中走得更遠。企業(yè)在信息化建設(shè)進行信息安全的建設(shè),主要可以從強化信息安全觀念、加強硬件建設(shè)安全防護、提升軟件建設(shè)安全措施三個方面進行。
2.1 強化信息安全觀念
在企業(yè)信息化建設(shè)中,一旦企業(yè)信息被盜取或丟失,對企業(yè)肯定會造成損失甚至是致命的打擊。要從企業(yè)的基層員工到管理者都要正確認識信息安全的重要性,強化信息安全的觀念,提高信息安全意識,從思想上認識提高信息安全的必要性。
2.2 加強硬件建設(shè)安全防護
加強企業(yè)信息化建設(shè)過程中的硬件建設(shè)安全,首先要保證計算機的安全。企業(yè)的信息化建設(shè)離不開計算機,要保證計算機的安全就要對計算機進行定期的維護與保養(yǎng),避免計算機在運行過程中出現(xiàn)突發(fā)性故障而導(dǎo)致企業(yè)信息的丟失。
另外,企業(yè)的信息化建設(shè)中,要加強網(wǎng)絡(luò)硬件的建設(shè)。目前,市場上應(yīng)用比較廣泛的企業(yè)網(wǎng)絡(luò)協(xié)議就是TCP/IP協(xié)議,硬件組成有服務(wù)器、通信設(shè)備、網(wǎng)絡(luò)安全設(shè)備,主要應(yīng)用技術(shù)是網(wǎng)絡(luò)交換、網(wǎng)絡(luò)管理、WEB數(shù)據(jù)庫技術(shù)、防火墻等技術(shù),同時還有支持網(wǎng)絡(luò)運行的支撐系統(tǒng),整個硬件建設(shè)安全、穩(wěn)定、可靠。
2.3 提升軟件建設(shè)安全措施
要解決企業(yè)信息化建設(shè)過程中的信息安全問題還需要加強企業(yè)信息系統(tǒng)的軟件安全防御措施,要采用高性能的安全軟件對系統(tǒng)進行防護,使用防護軟件要使其發(fā)揮其價值所在,不要因小失大。目前,大多數(shù)企業(yè)的軟件防護措施不到位,主要原因就在于軟件防護措施不到位,例如企業(yè)在公共區(qū)域設(shè)置無密碼的無線路由器,等于是向所有人公開企業(yè)的信息,安全無法保證。因此,企業(yè)在信息化建設(shè)過程中有必要采取高性能的安全防護軟件來保證信息的安全。
3 小結(jié)
企業(yè)在信息化建O過程中的信息安全問題,有著很廣泛的內(nèi)容,企業(yè)信息化建設(shè)中信息安全的監(jiān)控、維護等涉及的面比較廣。在信息安全問題上主要應(yīng)該以防護為主,從良好的管理開始,將信息安全風險扼殺在搖籃中,形成安全保障體系。信息時代,企業(yè)的信息化建設(shè)是企業(yè)發(fā)展和提高競爭力的基礎(chǔ),我國的企業(yè)信息系統(tǒng)長期處于不安全狀態(tài),沒有足夠認識到企業(yè)信息安全的重要性,希望通過本文的探索和論述,能夠引起企業(yè)的關(guān)注,加強信息安全的防護。
參考文獻
[1]艾戩.企業(yè)信息化建設(shè)中的信息安全探究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2015(03).
[2]辛玉紅.企業(yè)信息化建設(shè)中的信息安全問題[J].現(xiàn)代情報,2004(11).
[3]馬良.企業(yè)信息化建設(shè)中的信息安全問題[J].才智,2014(01).
[4]張耀輝.關(guān)于企業(yè)信息化建設(shè)中的信息安全探討[J].電子技術(shù)與軟件工程,2013(14).
篇(11)
雖然國際互聯(lián)網(wǎng)最早起源上個世紀八十年代,并在90年代末進入高速發(fā)展的時期,但由于技術(shù)和設(shè)備的引入受到美國的限制,導(dǎo)致我國一直到1994年才得以引入。迄今為止的20年間,我國的計算機信息網(wǎng)絡(luò)技術(shù)得到了巨大的發(fā)展,很大程度的改變了我國居民的生活和工作模式,給生產(chǎn)力的發(fā)展帶來巨大的推動作用。然而,信息網(wǎng)絡(luò)環(huán)境的復(fù)雜性、多變性以及脆弱性等特點卻注定其是一把雙刃劍,在產(chǎn)生巨大推動力的同時也帶來了許多的安全問題,造成許多不良的社會影響,甚至是國民經(jīng)濟損失。這主要是由于我國在信息技術(shù)上的發(fā)展時間還不夠長,在長足的發(fā)展中并沒有形成對于信息安全管理的足夠認識,在沒有足夠預(yù)警措施的背景下,保護網(wǎng)絡(luò)信息安全是一項必須盡快施行的重要措施。
一、我國的信息安全現(xiàn)狀
1.缺少法律體系的約束。
法律才是保障人民和國家利益的根本所在,才是保障信息安全的基本防線。我國的法律體系主要是由法律、行政法規(guī)以及規(guī)章等三層面的規(guī)定構(gòu)成,信息行業(yè)作為一個新興的行業(yè),而且其涉及內(nèi)容、影響范圍以及運行模式都在不斷的變化和革新,因此我國雖然對信息安全進行相關(guān)的立法保護,但是仍有不少法律沒有涉及的部分,甚至原有的法律無法對新出現(xiàn)的信息板塊進行約束。除此之外,我國的信息安全法律體系還存在一定的內(nèi)容交叉問題,導(dǎo)致執(zhí)法困境的現(xiàn)象,最終阻礙了我國法律對于信息安全的保護。
2.缺少嚴密的管理措施。
信息安全的管理是一個系統(tǒng)的工程,其包括了事前的教育培訓和系統(tǒng)評估認證,還有預(yù)期懂的安全規(guī)劃,事中的風險管理和應(yīng)急措施,以及事后的總結(jié)和規(guī)劃,各個內(nèi)容之間存在明確的管理和責任。然而我國并沒有在這個問題上進行詳細的約定和規(guī)范,導(dǎo)致多頭管理和權(quán)責交叉的現(xiàn)象出現(xiàn),阻礙的信息安全管理效益,信息安全的保障機制不能高效運行。
3.缺乏信息安全意識。
信息安全不僅僅是制度和法律的保障,更多的應(yīng)當是來自于每一個人在每一個層次上進行安全保護。然而大多數(shù)人都沒有形成對于信息安全的足夠認識,違規(guī)操作和風險運行的事件時有發(fā)生,極大的危害了信息安全的管理工作。這一方面說明了操作主體缺乏安全意識,另一方面也說明了主體沒有受到相關(guān)的教育和培訓。
4.忽略了技術(shù)和管理的重要性。
據(jù)不規(guī)則統(tǒng)計,大多數(shù)的安全問題都是由于操作技術(shù)和管理模式的緣故。尤其是現(xiàn)階段,我國的企業(yè)發(fā)展十分迅速,也對信息部門有了一定的認識,然而卻并源于投入更多的人力和物力來保障信息安全,往往會出現(xiàn)安全系統(tǒng)過時、技術(shù)人員能力不足或是身兼數(shù)職等現(xiàn)象,對信息安全的管理工作造成了極大的安全隱患。
二、信息安全的主要特點
1.趨利性。
近幾年已經(jīng)網(wǎng)絡(luò)信息安全事件的多發(fā)期,由于互聯(lián)網(wǎng)金融的發(fā)展,巨大的經(jīng)濟利益和信息網(wǎng)絡(luò)聯(lián)系在一起,引起不法分子的主義,這也從另一方面說明了信息安全的威脅主要是利益引發(fā)的,因此,這要求我國人民在進行經(jīng)濟利益相關(guān)的信息操作時需要更加的小心和細致。
2.多樣性。
系統(tǒng)安全技術(shù)經(jīng)過多年的病毒洗禮之后已經(jīng)有了大幅度的提升,然而,不法分子對于病毒形式也有了更多的研究。各式各樣的病毒軟件被研發(fā)出來,對PC和移動終端造成了巨大的影響,過去常用的電子郵件病毒已經(jīng)漸漸被遺忘,更多種類的病毒危害著用戶的信息安全。
3.漏洞多發(fā)性。
信息安全事故的發(fā)生雖然有一部分來自于不當操作,但也不排除來自安全漏洞的原因。往往是由于用戶沒有對系統(tǒng)進行及時的更新,也沒有對安全技術(shù)懂的革新引起足夠的重視,造成漏洞信心安全事故問題居高不下。
三、防反信息安全風險的策略
1.構(gòu)建并完善信息安全管理制度。
要保障信息的安全就必須建立完善的信息安全管理制度,進行統(tǒng)一規(guī)劃和分工,保障各部門、更階層甚至每個個體都各司其職,分工合作。其次,還需要保障管理的高效性,防止多頭控制和協(xié)調(diào)不力的現(xiàn)象出現(xiàn),保障權(quán)責統(tǒng)一。然后還需要在各省市甚至各縣城都建立基層保護體制,維護各地區(qū)人民的信息安全利益。建立完善的監(jiān)管合作機制,將政府、機構(gòu)甚至個人聯(lián)合起來,建立內(nèi)外結(jié)合的安全管理體系,將信息安全落到實處。
2.強化信息安全法律體系的完善工作。
法律的建立和完善才是信息安全保護機制中最重要的組成部分,這對我國的法律法規(guī)建設(shè)工作提出了較高的要求。首先,我國政府應(yīng)該加快對于信息安全管理的法律法規(guī)建設(shè)速度,對于相關(guān)的技術(shù)人員和執(zhí)法人員團隊的建設(shè)應(yīng)當將職業(yè)意識和職業(yè)能力同時納入考核體系,只有健全職業(yè)意識才能在執(zhí)法過程中實現(xiàn)對于法律的執(zhí)行,保障人民懂的根本利益。同時,各有關(guān)管理機構(gòu)和部門也應(yīng)當積極配合,主動協(xié)調(diào),在履行自身義務(wù)的基礎(chǔ)上也要把本職工作做好,對于信息安全管理工作貢獻自身的一份力量。除此之外,法律的維護和執(zhí)行需要社會各階層的自覺維護,不僅僅是政府和機關(guān),更包括各階層的社會團體和個人,信息網(wǎng)絡(luò)環(huán)境的安全需要大家集體來護衛(wèi)。
3.加大信息安全違法犯罪的打擊力度。
近年來,在網(wǎng)絡(luò)違法犯罪的問題上,我國做出了巨大的努力,雖然取得了巨大的成就,但隨著信息技術(shù)的不斷更新?lián)Q代,網(wǎng)絡(luò)信息安全違法的形式變得越來越多樣化。這要求,我國執(zhí)法機關(guān)和部門在健全法律執(zhí)行范圍的基礎(chǔ),在打擊力度上也要進一步強化,提高對于網(wǎng)絡(luò)信息犯罪的預(yù)防、處理和控制等方面的能力,也要在信息安全的自我保護上多進行培訓和教育,提高個體和群體對于信息安全技術(shù)和系統(tǒng)的認識和運行能力。最終,實現(xiàn)防治結(jié)合。
4.加大政策扶持,維系良好的信息安全環(huán)境。
首先要加強對于信息安全工作的扶持力度。例如:政府需要建立轉(zhuǎn)型資金付出計劃,幫助相關(guān)的部門和機關(guān)進行公益性和公共性的信息安全系統(tǒng)建設(shè)和技術(shù)普及工作,聯(lián)合各相關(guān)企業(yè)進行技術(shù)研發(fā)和技術(shù)培訓,明確各自對于信息安全的需求和期望,建立適合自身現(xiàn)狀和發(fā)展的信息安全管理體系。其次是加強對于相關(guān)安全技術(shù)管理的人才培養(yǎng)。督促相關(guān)的教育機構(gòu)強化對于社會信息安全管理的需求了解工作,切實調(diào)整自身的發(fā)展步伐,迎合市場需求,發(fā)展自身教育計劃,建立專門的信息安全學習和進行機制,加快信息安全人才培養(yǎng),發(fā)揮人才所產(chǎn)生的保護效益。
四、結(jié)語
信息網(wǎng)絡(luò)是一把“雙刃劍”,其在推動社會生產(chǎn)和人們生活方式發(fā)展的同時也帶來了巨大的安全隱患。因此,人們在享受這種社會科技利益的同時,也要注意使用所引發(fā)的信息安全事故。因為,只有在安全條件下的運營才會給人們帶來發(fā)展和效益增長。雖然現(xiàn)階段已經(jīng)有越來越多的人意識網(wǎng)絡(luò)信息安全問題的重要性,不僅僅是政府和相關(guān)技術(shù)人員,更在不少的普通居民心中引起了足夠的重視。只要堅定在黨的領(lǐng)導(dǎo),加強信息安全法律體系的構(gòu)建,推動信息安全管理機制的建立,進一步強化對于安全信息的認識培訓,推動我國信息安全產(chǎn)業(yè)的高速發(fā)展,我們就一定有信心在我國的網(wǎng)絡(luò)發(fā)展中保障信息安全,維護國家和人民的利益。
參考文獻:
[1]楊珂.淺談網(wǎng)絡(luò)信息安全現(xiàn)狀[J].數(shù)字技術(shù)與應(yīng)用,2013,02:172.
[2]薛鵬.信息安全的發(fā)展綜述研究[J].華東師范大學學報(自然科學版),2015,S1:180-184.
[3]王世偉.論信息安全、網(wǎng)絡(luò)安全、網(wǎng)絡(luò)空間安全[J].中國圖書館學報,2015,02:72-84.
