对信息安全的认识范文
时间:2023-10-10 17:20:05
对信息安全的认识篇1
关键词:全光纤;通信网络;有效用户;安全;识别系统
随着通信技术的不断发展,网络用户的实时接入量也出现了迅猛增长趋势,为有效用户的安全高效识别工作带来了挑战,现存的识别方法无法满足用户需求,为此,提出一种安全高效识别精度高、网络兼容性强的全光纤通信网络中有效用户安全高效识别方法。现存的全光纤通信网络中有效用户安全高效识别方法主要有资料参考法、假设推理法、叠加解析法和实验法。资料参考法研究了国内外全光纤通信网络不安全事件资料,给出虚假用户的行为指南,进而对有效用户进行安全高效识别。这种方法对有效用户的行为挖掘较为彻底,安全高效识别精度高,但识别效率非常低,并且方法网络兼容性受资料内容影响较大;假设推理法可针对全光纤通信网络中的难点事件进行整理汇总,以实现对有效用户的高精度识别,但该方法受到全光纤通信网络规模的影响,网络兼容性不强;叠加解析法是一种静态识别方法,其通过对影响全光纤通信网络安全的原因进行解析,构建安全叠加模型将有效用户和虚假用户分类,网络兼容性较强,但安全高效识别精度偏低;实验法是网络兼容性最强的一种全光纤通信网络中有效用户安全高效识别方法,其可对网络用户进行实时监控,一旦发现用户的不安全行为便将其隔离。但这种方法对网络中深度隐藏的虚假用户发现不及时,影响了其对有效用户的安全高效识别精度。
1全光纤通信网络用户安全编码
全光纤通信网络使用小面积裁剪和定位的拓宽频谱通信方式,其在维护用户隐私和可靠性通信方面有着较强的优势,但仍会不可避免地产生通信拥堵和丢包现象[8-10]。如果虚假用户在高度模拟有效用户的情况下接入全光纤通信网络,普通的编码方式仅能对网络用户的目标通信位置和通信路径进行监控[11-13],过于规范化并且容易被虚假用户监控和窃取,这对用户通信信息来说是非常不安全的。基于上述原因,所提全光纤通信网络中有效用户安全高效识别方法使用安全信号在用户通信信息的表头上进行标记和加密,保护信息整体不被监控和窃取,再对网络用户进行编码,用图1描述,如果用户通信信息全长为tbt,表头长为qbt,所提方法使用基带平衡技术将安全信号加密在表头上,从用户通信信息的某一段任意截取一个加密密码作为编码密钥[14-15],这样虚假用户便很难对有效用户进行通信扰乱,有效保证了通信安全。图1安全信号编码结构图设hij为用户通信信息,其传输起始点为j,目标通信位置为i,表头的安全信号加密位置为wj,编码密钥为ki,则:hij=kiwj(1)若想使目标通信位置能够获取到精准的用户通信信息,需要将编码密钥ki提前写入目标通信位置,再使用安全信号进行编码。如果用ai表示编码后的拓展幅值,ci表示码率,向目标通信位置写入n位集合编码,编码后的用户通信信息si可表示为:si=aicihijn(2)不同目标通信位置的码率ci也是不同的,但均会产生两两交叉的现象,即任意码率ci都与唯一的传输通道相对应,虚假用户每监控或窃取一次有效用户通信信息,都需要进行至少进行槡2n的尝试,才能找寻到有效用户通信信息的输入口[16-18]。所提全光纤通信网络中有效用户安全高效识别方法便可以在虚假用户寻找输入口的时间内,对信息表头进行再加密处理,并对虚假用户遗留下来的不安全行为进行分析,进而实现对虚假用户的安全隔离。
2全光纤通信网络用户安全高效识别系统
2.1总体设计
全光纤通信网络中有效用户安全高效识别系统是基于支持向量机和流量管理技术设计的,其网络拓扑图和系统结构图如图2、图3所示,系统由采集模块、支持向量机分类模块、缓冲数据流辨认模块、特征属性辨认模块和解析模块组成。全光纤通信网络经由协议转换器与局域网相连,采集模块被安置在局域网的主要节点上,便于对用户通信信息进行采集,流量管理器负责对用户通信信息进行解析、辨认和分类。系统中的初始用户通信信息是从全光纤通信网络的协议转换器中采集到的,经安全信号编码、重构和净化后的初始用户通信信息将生成安全传输协议信息流,并被传送到缓冲数据流辨认模块进行流量管理,并同时经由特征属性辨认模块给出有效用户和虚假用户的特征属性区分标准。支持向量机分类模块将对缓冲数据流辨认模块和特征属性辨认模块的辨认结果进行归纳,将全光纤通信网络中有效用户安全高效识别出来。系统的采集模块处于最底端,其直接与局域网相连,经由局域网与全光纤通信网络的协议转换器间接相连。用户通信信息的采集工作由采集模块中的winpcap(windowspacketcapture)网络访问系统进行具体实施工作,winpcap网络访问系统将采集到的信息进行初步审核,保证信息完整性,再传送到解析模块中。解析模块可实现对采集信息的编码、重构和净化的分析工作,其主要对采集信息的表头进行分析,筛选出符合安全传输协议要求的信息流,并将其传送到缓冲数据流辨认模块和特征属性辨认模块。不符合要求的信息流将被解析模块直接隔离。系统中的两个辨认模块是基于流量管理技术设计出的,缓冲数据流辨认模块主要负责对解析结果中的TLS流进行辨认,在全光纤通信网络中,只有缓冲数据流中的TLS流才是虚假用户的监控和窃取对象,因此缓冲数据流辨认模块直接决定着整个系统的安全高效识别精度,需要对其进行重点设计。特征属性辨认模块具体负责特征属性采集和标准供应两项工作,可将安全传输协议信息流分为数量属性、信息排序属性、信息表头长度标准差属性和信息全长标准差属性,并统一将这些属性进行归一化处理,为支持向量机分类模块提供数据支持。支持向量机分类模块使用支持向量机学习辨认结果中信息流的网络结构,其对有效用户和虚假用户的分类依据也是网络结构。模块先对信息流的长度进行测量,并写入定位数据,根据特征属性辨认模块给出的分类标准将虚假用户隔离。该模块还具有自检功能,可有效保证系统的安全高效识别精度和网络兼容性。
2.2缓冲数据流辨认模块工作流程
缓冲数据流辨认模块的工作流程如图4所示。图4缓冲数据流辨认模块工作流程图由图4可知,缓冲数据流辨认模块先对解析模块的解析结果进行TLS指纹过滤,过滤后的解析结果中仅存在两种类型信息流,分别是extensions流和server流。对这种信息流的通信时间进行计算,根据计算结果对信息流进行排序,并依次辨别其中缓冲数据流发出的询问指令是否为真,若为真,则对询问指令进行拦截,作为评估系统网络兼容性的指标,并同时将相应的信息流传送到支持向量机分类模块;否则,直接对指令进行隔离,增强分类效率。
3实验结果与讨论
3.1实验环境
实验对本文所提全光纤通信网络中有效用户安全高效识别方法进行了安全高效识别精度和网络兼容性的对比验证,所选择的实验工具是美国加州大学实验室研发出的winpcap网络访问系统,这种系统能够在windows上对用户通信信息进行直接编码,并具有较强的网络解析和故障显示能力,可对通信数据进行上传、下发并进一步生成流量报表。在本文实验中,winpcap网络访问系统将提供两个链接数据库,分别是wpcap库和packet库,用于进行不同用户通信信息的接入与编码。实验选择假设推理法和叠加解析法与本文方法进行对比,图5给出的是本文实验现场图。
3.2识别精度对比
安全高效识别精度对比实验以全光纤通信网络中用户通信信息的特征属性为评估指标,通过更改惩戒因子的训练次数,给出不同特征属性下本文方法、假设推理法和叠加解析法对全光纤通信网络中有效用户的安全高效识别精度,如表1所示。由表1可知,winpcap网络访问系统训练出了拥有3种单相特征属性的用户通信信息,X、Y、Z分别表示信息排序属性、信息表头长度标准差属性和信息全长标准差属性,共组合出7种具体特征属性。其中,假设推理法的安全高效识别精度范围为0.88至0.94,精度较高并且数值浮动较小。叠加解析法的安全高效识别精度范围为0.74至0.86,精度不高并且数值浮动偏大。本文方法的安全高效识别精度范围为0.89至0.97,是其中最能有效缓解全光纤通信网络中通信拥堵和丢包现象的识别方法,获取了较高的安全高效识别精度。
3.3兼容性对比
全光纤通信网络中有效用户安全高效识别方法与全光纤通信网络的兼容性对用户来说具有重要意义,我们在winpcap网络访问系统给出的wpcap库和packet库下,进行本文方法、假设推理法和叠加解析法的网络兼容性对比实验。wpcap库和packet库中均会依次给出50、100、300、500、800和1000个用户通信信息包,其中的缓冲数据流会以特定的周期向主机发出询问指令,网络兼容性好的识别方法所能截获到的询问指令就越多。表2描述的是在wpcap库不同方法的网络兼容性实验结果统计表。表2网络兼容性实验结果统计表用户通信信息包/个本文方法截获率/%假设推理法截获率/%叠加解析法截获率/%5010098.1210010098.8398.0198.0930098.4596.2597.9350097.1391.1995.4680094.2988.4492.98100094.2881.9589.28分析表2能够得知,用户通信信息包中产生的询问指令较长,因此更易被截取,并且本文方法所截取到的询问指令为三种方法中的最高值,叠加解析法次之,说明了本文方法拥有较强的网络兼容性,可对全光纤通信网络中有效用户进行高水准的安全高效识别工作。
4结论
提出安全高效识别精度高、网络兼容性强的全光纤通信网络中有效用户安全高效识别方法,结果说明,本文方法有效缓解了全光纤通信网络的通信拥堵和丢包现象,获取了较高的安全高效识别精度和较强的网络兼容性,可对全光纤通信网络中有效用户进行高水准的安全高效识别工作。
对信息安全的认识篇2
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。
对信息安全的认识篇3
关键词:继续教育;信息安全;人才培养
中图分类号:G726 文献标识码:A
一、依托继续教育培养信息安全人才的具体举措
世界主要国家都非常重视依托继续教育培养信息安全人才,相关政府部门、专业组织、科研院所、企业机构采取各种积极举措,形成学位教育、职业培训、业余培训、资格认证等全方位多层次的信息安全人才继续教育体系。
(一)学位教育夯实专业理论实践基础
学位教育具有课程体系完善、覆盖面广等优势,通过学位教育,可以系统深入地把握信息安全及其相关学科理论和实践基础,吸引大量信息安全领域工作人员通过在校学习、远程教育等方式获取硕士、博士等专业学位。
国内外许多大学开设信息安全专业,为研究生提供信息安全类专业课程。乔治梅森大学提供了信息系统安全认证研究生课程;爱达荷大学的计算机科学部开设了网络安全和信息系统的硕士和博士课程;美国海军研究生院为美国国土安全部员工提供可获得“网络系统和运行”专业理科硕士学位的远程教育;我国四川大学信息安全研究所开展电子信息领域信息安全研究方向的专业硕士学位培养工作,还培养信息安全/密码学的博士研究生;北京大学的计算机系信息安全研究室为研究生提供信息安全方面的教育课程;山东大学制定信息安全专业研究生硕士、博士研究生培养方案,不断完善信息安全专业课程体系。
(二)职业培训提高从业人员履职能力
职业培训,即职业技能培训,是为满足经济和社会发展的需要提供充足劳动力的主要方式,其人才培养定位以市场需求出发,以企业对人才知识和技能的需求为依据。
美国詹姆斯麦迪逊大学(JMU)信息系统安全教育研究中心,专门为商业、工业、院校和政府培养信息系统安全专业人员。清华大学推出信息安全高级研修班,培训信息网络安全监管机关,各部委、地区的信息中心、计算中心,以及全国各地、各行各业企事业单位的计算机网络主管、专业技术骨干等信息安全工作人员。北京的高阳信安公司和北京理工大学计算机系联合创办了信息安全培训中心,旨在面向社会,为网络管理员、技术工程师、技术主管等提供必要的安全培训。中国电信开设信息安全培训班专门针对电信行业和应用行业进行培训。中国信息协会信息安全专业委员会、北京启明星辰有限公司和美国国际计算机安全协会合作策划推出了信息安全培训课程。
(三)业余培训增强全民信息安全意识
业余培训,通常不以就业为目的,而是个人为了提高个人素质、增强个人能力并与社会和经济发展保持同步发展而制定的个人学习和培训计划。业余培训是提高全民信息安全意识的重要手段。
欧美国家积极推动信息安全意识宣传,采取多种形式和媒介,成立高校信息安全协会、美国国家计算机网络安全联盟等与信息安全相关的非盈利组织,面向组织会员(包括上千所高等院校、教育机构、企业)提供业余培训服务。我国政府专项信息安全培训一般是公益性的,如原国家信安办和新闻办都曾组织过这类培训,培训对象多为政府机关和事业单位的人员,主要目的是推广和宣传网络安全知识,提高网络用户的安全意识。而且,当前互联网上有大量信息安全学习资料,方便个人学习。
(四)资格认证完善信息安全人才培养闭环
资格认证是对从事某一职业所必备的学识、技术和能力的基本要求的审查认证,是信息安全人才经过培养阶段步入职场的必经之路,也是考查检验培养质量的关键一环。通过资格认证,可以对信息安全人才的能力进行一个比较合理的定位。
当前,我国主要采取三类信息安全资格认证:一是以信息产业部、信息安全评测机构为代表的组织来管理实施的信息安全资格认证,包括中国国家信息安全认证(CISP)、全国信息化工程师认证体系(NCIE)、信息安全技术水平考试(NCSE)等;二是由国外软件、网络产品厂商组织管理的产品专家认证,包括微软、思科、IBM、赛门铁克等国际著名厂商提供的有关信息安全的认证;三是国际化专业资格认证,包括信息安全审计和控制协会(ISACA)提供的信息系统审计认证(CISA),国际信息系统安全认证协会(ISC2)提供的专业资格认证人士证书(CAP)、系统安全认证专员证书(SSCP)和信息系统安全专业人士证书(CISSP)等。
二、加强我国信息安全领域继续教育的几点思考
(一)加强学科建设,建设培训基地
一是要进一步理清信息安全学科的内涵外延。信息安全作为一门新兴学科,仍处于加速发展演变的过程中,需要结合学科发展不断厘清信息安全学科内涵外延,深入把握信息安全与其相近学科的关系,构建信息安全学科核心课程体系和延伸课程体系,不断推进信息安全学科内涵式发展。二是要在学科培养方案中强化实践能力培养。借鉴部分学校已有的成功经验,以科研实践促进人才培养,形成产、学、研、用之间的良性互动,积极引导学生协助导师完成国家课题实践,通过实践提升解决实际问题的能力。三是要不断加强信息安全培训基地建设。一方面应积极建立各类信息安全实验室,模拟构设各种工作环境,为培训对象提供仿真的模拟训练场景;另一方面培训机构应积极与行业部门共建培训基地,在实际工作环境中不断磨炼提高信息安全能力素质。
(二)注重分类培训,完善课程体系
一是要注重培养信息安全管理人才。面向信息系统和信息安全管理人员,以提升组织机构的信息安全管理水平和能力,帮助组织机构有效建立信息安全管理体系为目的,开设信息安全策略咨询与制定,安全评估,安全审计,信息系统安全分析与设计等相关课程。二是要注重培养信息安全技术人才。面向网络和系统管理员、专职安全人员、技术开发人员等,以熟悉安全攻防理论、掌握安全攻防技术、提升信息安全技术操作水平、掌握解决安全问题和杜绝安全隐患的技能为目的,开设信息安全理论,信息安全技术,黑客攻防手段,信息安全建设过程等相关课程。三是要注重培养全民信息安全意识。面向一般员工、非技术人员以及所有信息系统的用户,以提高普遍的安全意识和人员安全防护能力为目的,开设信息安全基本概念,信息系统安全操作,网络安全应用等相关课程。
(三)严格质量评价,强化法制教育
一是要不断完善岗位任职标准。信息安全岗位责任重大,具有很强的社会通用性,与公共利益联系紧密,具有建立统一岗位任职标准的前提条件,面对广泛的信息安全人才岗位需求,应对现有安全岗位进行合理分类,制定精细标准,满足任职标准条件才能上岗。二是要不断推动资格认证改革。参考医学和法律资格认证方法,公开公正地提供实际操作能力和学术资格评价,改革目前或者重视认证知识的广泛了解或者侧重针对特定计算机部件的操作知识的资格认证测试方法,综合考虑接受教育和实际经验等级、同级认可程度、继续教育要求、测试指导等内容。三是要不断深化法制观念教育。在信息安全人才培训中,加强信息安全方面法律法规的宣传教育,规范网上行为,使其明确网络犯罪或网络违规所要承担的责任,从而能够自觉地遵守法律。
(四)坚持训用一致,发挥培训效益
一是要围绕“用好人”完善选拔任用机制。在人力资源管理方面,应紧密围绕需求,任用经历过相关培训并获得相关资格认证的人,并充分给予其开展信息安全建设的职权,使其能力可以得到最大发挥。二是要围绕“留住人”健全激励保留机制。进一步提高工资待遇吸引高水平信息安全人才,并围绕从个人职务晋升、工作环境到住房医疗、家属就业、子女人学入托等各方面提供全方位政策支持,使其具有成就感和归属感,安心在岗位上工作。三是要围绕“育能人”建立岗位轮训机制。信息安全行业发展日新月异,应围绕信息安全领域的最新进展和发展动态,采取定期或不定期的方式分批次对岗位人才进行系统培训,通过不断提高素质、增强能力、拓宽视野孕育信息安全领域专家。
参考文献
[1]U.S.DoD.Department of Defense Strategy for Operating in Cyberspace[ER/OL].http://defense.gov/news/d20110714cyber.pdf.
[2]黄月江,祝世雄.信息安全与保密(第2版)[M].北京:国防工业出版社,2008.7:3.
[3]余磊,杨斌,李遥,谢海涛,高峰.信息安全战:企业信息安全建设之道[M].北京:东方出版社,2010:65-66.
[4]融燕,侯思奇.中美信息安全教育与培训比较研究[J].北京电子科技学院学报,2009,17(1):27-31.
对信息安全的认识篇4
关键词:信息安全;计算机教学
中图分类号:TP3-4 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
一、计算机教学中信息安全教育的重要性
随着计算机技术的不断发展,互联网技术明显地改变了人们的生活方式与学习方式。一方面,互联网是一个大的信息库,为人们提供诸多信息便利,但另一方面,互联网络中的信息良莠不齐,也充斥着很多不安全因素,如:个人信息的泄露、黑客的攻击及计算机病毒等。基于这个角度,对于非机算机专业的学生而言,随着计算机网络的发展及普及,网络安全知识普及甚至比word、excel等办公软件的应用更重要,可是很多在校学生甚至还缺乏起码的安全认识。因此在计算机基础教学过程中融入信息安全知识非常必要,通过这些知识的学习与掌握,可以提高学生们自我保护的能力以及计算机技术的应用能力。
二、信息安全教学的主要内容
具体而言,计算机信息安全的教学内容包括以下几个方面:第一,信息安全的基础知识与安全技术,而实用技术则是指上述基础知识的实际应用,比如账户安全、系统还原、安全中心、PGP加密、恶意软件的防范、常见网络诈骗的防范等等;对于非计算机专业来说,基本知识部分只需讲清楚基本概念及工作原理即可,不要涉及太深入的专业知识。这一部分是信息安全教育的重要内容,它主要培养学生识别信息安全威胁、规避信息安全风险的能力,以及提高学生基本的信息安全防护能力。第二,法律层面,互联网络同样要遵循相应的法律法规。在教学过程中老师适当的对相关法律、法规进行介绍,可以增强学生的法律意识,加强其网络行为的自律性,并学会利用法律武器维护自身的权益。第三,网络伦理道德教育,强制性的法律条文以及相关的技术手段都带有一定的局限性与滞后性,所以要加强网络伦理道德教育,从道德层面加以约束。当然,现行的中职教材中上述内容介绍的很少,而这些确实是学生在今后的生活及工作中不可缺失的计算机基础知识,因此老师要结合教学实际以及学生的实际需要进行适当的增补。
三、常用的计算机安全软件
目前为止,常用的计算机安全软件有以下几种:第一,金山密保,这是一款启动很快的防护软件,安装后可以自动添加,在启动过程中不显示扫描程序,无延迟,支持手动与拖动添加功能;软件中包括安全桌面功能、木马速杀功能等,能够将常见木马及时清除;可以设置查杀时间频率,有隔离区功能。第二,江民密保,这是一款收费软件,提供网游、聊天、网银以及股票证券四个类别的保护;支持手动添加、自动识别;具有密码保存以及密码安全输入功能;自定义规则,指定监控或者扫描的模块;支持黑白名单,不过该软件需要收费。第三,360保险箱,该软件有较好的易用性,支持较多的保护工具,提供向导添加模式以及安装桌面选项,保护对象的修改或者添加比较方便;可以通过正在保护、保护历史功能查看软件的保护效果;提供云查杀引擎,对安全级别进行调整;包括硬盘还原保护器还原软件;如果提交的游戏无法识别,会默认添加360手机支付;第四,巨盾,一款多功能的防盗号软件,其功能包括五大项,即体检、查杀、密保、监控以及安全桌面等;默认密码保护功有几款网页游戏,可以手动添加;对保护对象设定单独保护策略,不支持自动添加;具备密保卡功能,选项中还包括文件粉碎、进程管理、文件修复以及一键清理等功能。第五,超级巡警保险箱,一款绿色软件,自动搜索功能将需要保护的软件添加进去,支持拖动添加,简洁的软件界面,对防护级别、交互模式可以设定,支持黑、白名单。
四、计算机教学中融入信息安全教育的措施
(一)制定科学、合理的教学目标
教学目标是指预先设定好的、在实际教学活动中要求达到的标准,可以说选择教学行为与教学内容均要以教学目标为中心。可以参照布卢姆的教育目标分类法,将教学目标分为认知、实践以及情感三个领域。计算机信息安全教育活动中,老师可以按照实际的课程特点以及非计算机专业中职学生的认知水平、知识结构来设计教学目标,在相关课程中融合信息安全教育。学生通过信息安全课程的学习,可以在认知领域了解、理解、掌握更多的信息安全方面的知识;而在实践方面,则可以熟练的应用一些安全防范措施或者保护工具等;在情感领域则树立起较强的信息安全意识,遵守信息技术的使用道德规范,培养良好的信息安全习惯,对信息技术的应用形成正确的价值观。
(二)将信息安全教育融入教学内容
完成教学目标的主要载体即是课堂教学内容,老师正是根据课堂教学内容完成教学活动。对于信息安全来说,其包括两个层面,即技术知识以及道德法规。上文中也提到,信息安全技术涉及到非常广泛的知识面,而要求学生掌握所有的知识也是不现实的,因此老师在实际的教学过程中,可以与所讲授的计算机课程内容相结合,将信息安全知识、信息安全防范以及相关的法律法规等有机的融入其中。比如在讲解操作系统的相关内容时,可以介绍系统漏洞、计算机病毒等基础知识,然后介绍如何下载、安装补丁程序,如何使用防毒软件与杀毒软件;在学习数据库时则将数据的备份与加密等知识点穿插在内;可以在网络课程中插入安全口令的设置方法、如何防止垃圾邮件、防火墙的基础知识与安装应用方法等,利用这些安全防范措施提高自我保护的意识。此外,对于非计算机专业的中职学生来说,还要注意对信息安全知识的优化处理,具体而言包括以下几点:
第一,要注意与计算机课程的衔接性,保证二者联系紧密,实现信息安全知识与计算机教学的无缝对接,提高教学内容的完整性;第二,教学内容的时效性与实效性,计算机技术的发展日新月益,相应计算机技术的学习也要与时俱进,而教材是几年才换一次,因此老师要选择与现实生活息息相关的、最新类型安全事件,结合实用性强的信息安全知识开展教学活动。比如介绍最新公布的病毒特征,讲解这些病毒的防范措施及查杀方法等,使学生可以感受到信息安全知识的实用性与可操作性;第三,要综合考虑学生的认知水平、知识结构以及接受能力等因素,对学生已掌握的计算机知识、实际的接受能力有全面的了解,再以此为基础选择教学内容,从而激发出学生的学习兴趣、学习热情;第四,计算机信息安全课程有较强的实践性,因此要充分利用学校现有资源,比如教学设备以及机房实验设备等,加强学生的实践操作。
(三)选择合理的教学方法
从某种意义上来讲,教学方法对教学效果会产生直接的影响,选择合理、适用的教学方法才可以更好的完成教学任务,提升教学质量,最终实现教学目标。将信息安全教育内容融入到计算机教学中去,可以利用引导式的教学手段,在课堂上创设信息安全相关知识的问题情境,拓展学生的思路,引导其积极探索,深入研究。例如在讲解文字处理软件时,讲解文件的保存方法,就可以创设如下问题情境:假如所保存的文件带有一定的机密性,那么如何才能保证只有作者本人、相关授权用户才能打开文件呢?学生立刻觉得这是一个非常实用的知识点,所以表现出很大的兴趣,此时再引入利用密码保护的方法,学生很容易就能接受,甚至会举一反三,提出“如何为文件夹加密”的问题。还可以采用任务驱动法,将信息安全的相关知识以任务的形式向学生提出来,让学生在解决任务的过程中掌握知识。需要注意的是,老师在讲解信息安全知识时要与课程计划相结合,主要的目标重心仍是顺利完成教学计划,不可主次不分;在课时安排方面,则要根据教学需要灵活掌握,以原教学内容课时为基础,将信息安全教育的内容穿插其中。也可以分层次教学,或开设选修课程,对于有兴趣或有知识需求的学生进行知识的拓展。
(四)法律道德教育
在计算机信息安全教育课程中,相关的信息安全法律法规、网络伦理道德教育等往往都是被忽略的内容,很多人都存在信息安全单纯属于技术层面的错误认识。其实这种认识带有强烈的片面性,信息安全最大的威胁因素就是人的行为,人们缺乏对信息安全法律法规的认识,网络道德行为存在严重缺失。现在我国已经制订了信息安全相关的法律、法规,在要信息安全课程中融入这些知识,引导学生了解信息犯罪需要承担的责任,做到自觉守法。此外,信息安全课程中还要融入法律的道德教育,构建一道有效的法律道德屏障。
总之,信息安全是一门综合性很强的交叉学科,目前处于迅速发展阶段,但它又是实用性很强的知识,计算机基础教学中的信息安全内容的与时俱进、融会贯通值得广大教育工作者探索、研究。
参考文献:
[1]于国华,于佳.计算机类专业信息安全教学研究[J].科技信息,2011,5
[2]王乐平.融信息安全教育于中职计算机教学中[J].职业教育苗研究,2009,5
[3]杨建强,李学锋.大学生信息安全教育探讨[J].襄樊学院学报,2012,9
[4]刘飞.对高校信息安全教育之思考[J].群文天地,2012,3
对信息安全的认识篇5
关键词:消费者;安全生鲜农产品;影响因素;扬州市
中图分类号:F323.7 文献标识码:A 文章编号:1007-7030(2012)02-0034-06
一、引言
生鲜农产品一般是指未经深度加工的初级农产品,它在我国居民日常消费中占有很大比重。近年,“毒蔬菜”、“病死猪”、“毒木耳”、“荧光蘑菇”等生鲜农产品质量安全事件的频频发生,使消费者对生鲜农产品质量安全性的担心不断增加。为落实“无公害食品行动计划”,我国的强制性无害农产品认证工作已进入试点和推广阶段,但生鲜农产品松散的产销衔接方式依旧是诱发生鲜农产品质量安全事件的重要原因。作为我国大部分地区生鲜农产品主要零售终端的农贸市场也因为个体摊贩的小规模经营使得对其进行质量安全管制的成本大大增加,加上信息不对称问题存在,极易引发农贸市场中部分不法商贩销售,甚至加工有害生鲜农产品事件的发生。因此,有学者认为以个体摊贩为主体的农贸市场不适宜经销安全、优质农产品。
在我国生鲜农产品新型零售业态发育迟滞的情况下,提高消费者对农贸市场中生鲜农产品安全性的识别能力,对消费者规避食品安全风险,有效遏制农贸市场中部分个体摊贩的“败德”行为有着重要意义。然而,目前国内对安全农产品消费者认知方面的研究大都关注于消费者对安全认证农产品(无公害农产品、绿色农产品、有机农产品)的认知,以及对可追溯农产品的认知和对市场准入标识QS的认知等方面。少有学者关注农贸市场中消费者对无标生鲜农产品安全性的识别问题。
为此,本文以2009年11月初发生在扬州市部分农贸市场的“荧光蘑菇”事件(当地媒体连续报道了部分农贸市场中的个别不法商贩使用荧光粉浸泡双孢蘑菇以提高“卖相”的事件)为调查分析对象,采用Logistic回归模型对消费者正确识别安全生鲜农产品的影响因素进行研究。
二、消费者识别安全生鲜农产品影响因素的理论分析
按照Nelson等对商品进行的分类,生鲜农产品品质兼有搜寻品、经验品和信任品的属性。生鲜农产品的搜寻品属性较易识别,不会出现市场失灵现象;信任品属性需要第三方质量见证(质量认证和标签等)将其转换为经验品才有助于消费者识别,而经验品属性消费者是可以识别的,但其识别的正确性则更多地依赖其对生鲜农产品质量安全知识的掌握程度。消费者学习理论认为,消费者在购买和使用商品的活动中,会不断积累购买和消费的知识、经验和技能,以完善其购买行为。无论是理性主义者的主动学习论,还是经验主义者的被动学习论,都认为消费者学习与其所处环境条件有着密切关联。此外,Bandura又将个体因素引入到学习过程中,认为个体因素、环境因素和行为是动态交互的关系。就消费者识别具有经验品属性的安全生鲜农产品的影响因素而言,在农贸市场环境下,消费者正确识别生鲜农产品的质量安全性也是其学习的结果,也会受到消费者个体因素和消费者面临的外部信息环境影响。
基于以上认识,本文在考察消费者识别安全双胞蘑菇的影响因素时考虑了消费者个体因素和外部信息环境因素两个方面。
1.消费者个体因素
消费者个体因素包括消费者个体特征和消费者学习生鲜农产品质量安全知识的主观态度两方面:
(1)消费者个体特征。消费者的个体特征有年龄、性别、受教育程度、收入水平、家庭人口规模等。有着个体差异的消费者其积累的生鲜农产品质量安全知识也会存在差异。年长的消费者对自身的健康状况更为重视,经过长期的经验积累,其对相关质量安全知识的掌握程度也较年轻消费者高;就性别差异而言,女性大多需要料理家务,由于经常采购和处理生鲜农产品,通过经验积累,其对相关质量安全知识的掌握程度也较男性高;受教育程度高的消费者,其对生鲜农产品质量安全的关注程度较高,加上其获取各类信息的渠道较多,对相关质量安全知识的掌握程度也应较高;收入水平高的消费者对高品质生活的追求也会促使其了解更多相关质量安全知识;家庭人口数较多的消费者,家庭责任较重,生鲜农产品质量安全意识较强,加上家庭成员间的信息交流,其对相关质量安全知识的掌握程度也应较高。
(2)消费者学习生鲜农产品质量安全知识的主观态度。消费者学习的主观态度也就是消费者对生鲜农产品质量安全品质的重视程度。消费者重视程度越高,其对生鲜农产品质量安全相关知识的需求程度也越强,而且,积极的信息搜寻行为也会提高这类消费者的相关质量安全知识掌握程度。
2.外部信息环境因素
考虑到“荧光蘑菇”事件的特点,在考察外部信息环境因素时,本文主要从消费者是否获取该事件信息,以及获取生鲜农产品质量安全知识的渠道数两个方面来衡量消费者的信息环境差异。
(1)消费者是否知晓事件信息。知晓“荧光蘑菇”事件信息的消费者会因为对自身和家庭成员身体健康考虑而主动了解相关知识以规避这类风险。
(2)消费者获取生鲜农产品质量安全知识的渠道数。在食品安全事件频发的背景下,借助现代信息技术,有关生鲜农产品质量安全知识的信息数量以及传播速度都较以往增加和加快。在这样的条件下,消费者获取该类信息的渠道越多,说明其面临的信息环境越好,积累的相关质量安全知识会越多。
三、消费者识别安全生鲜农产品影响因素的实证分析
1.模型的建立
对信息安全的认识篇6
(一)学生信息安全意识缺乏
高校大学生是使用网络和通讯手段较为频繁的一个群体,但对信息安全的界定和措施认识模糊。多数学生认为信息安全就是网络病毒,忽略了对个人网络信息资料的保护。大学生忽略信息安全习惯的养成,在各类密码设置时用个人电话或生日设置,在网上过度公开个人基本信息,给黑客提供了破解的机会。
(二)信息安全管理不够完善
一方面,从管理制度上缺乏重视,没有形成健全的信息安全防护机制,即使有制度但执行不严,造成旧的管理体制和方法难以适应日新月异的安全问题。另一方面,从技术上缺乏支撑,一些管理人员缺乏必要的安全防护技术,不能安全地配制和管理网络,不重视经费投入,造成设备陈旧引发安全隐患。
(三)信息安全教育缺乏创新
许多高校对学生的安全教育只停留在口头宣传或讲座,学生听过之后只能引起暂时的重视,并不能引导形成长期的意识和习惯。一些高校尝试将信息安全教育纳入教学,但课程开设、教材充实和教学效果缺乏研讨与完善,造成教学流于理论灌输,达不到启发实践的目的。
(四)犯罪分子手法不断翻新
当前,我国一些地区电信、网络诈骗案件持续高发,被骗金额巨大。此类犯罪在原有作案手法的基础上手段翻新,作案者冒充电信局、公安局等单位工作人员,使用任意显号软件、VOIP电话等技术,对受害人进行恫吓威胁,或以网购、亲属遭绑架等理由骗取受害人钱财。
二、大学生信息安全教育的内容
(一)信息安全法律教育
加强大学生对信息安全法律和学校相关管理规定的学习,使学生了解和认清信息安全的重要性和相关犯罪所必须承担的责任,培养他们的法律观念,从而自觉规范思想和行为,以免违犯或自身利益受到侵害。
(二)信息安全意识教育
通过开设课程和案例教育,使学生了解信息系统和黑客可能对其进行的攻击与破坏,提高防范意识,培养良好的日常操作习惯,在遇到问题时能够及时加以识别和解决,避免因认知匮乏或行为失范造成的损失和伤害。
(三)信息安全技能教育
重视理论与实践相结合地教育方式,使学生掌握基本的防范技能,如安全工具和软件的使用等,以及一旦遭受侵害应及时采取的措施,提高学生自身的应对能力,抵御和防范信息安全事故发生。
三、加强大学生信息安全教育的措施
(一)加强网络信息安全管理建立和完善
校园网络安全管理机构,加大对信息安全工作的重视和投入,选拔和聘用既有技术又懂管理的网络信息安全专职人员,落实信息安全责任,明确信息资源安全等级,加强信息安全技术硬件建设及日常维护升级。在学生中发展和建立一支专门的信息安全员队伍加以监控,完善网络信息安全应急处置预案,从各方面完善信息安全防范体系,为教育教学创造安全的网络环境。
(二)加强信息安全的宣传与培训
通过安全知识讲座、研讨会、安全周活动等形式,会同公安部门向大学生广泛普及信息安全知识,以案例和技能的培训提高大学生自觉抵制信息诈骗与犯罪的意识和能力。充分利用校园微博、微信的新媒体作用,加强日常安全提示和安全常识的宣传,在新生开学、毕业生就业等重要节点加大宣传力度,营造信息安全的良好氛围。
(三)将信息安全教育纳入日常教学
开设信息安全教育课程,针对学校的实际情况和专业的实际特点,融入不同侧重和有针对性的授课内容,如单设课程或将其纳入形势政策课等。加强信息安全师资队伍建设,建立一支既掌握相关科学知识又了解信息安全法律法规的高素质教师队伍,提高课堂授课水平和效果。
(四)加强大学生信息安全防范实践
加强对学生实践应用能力的培养,从网络实验室建设到实践基地建设,为大学生提供多渠道的实践机会。通过开展丰富多彩的信息安全教育活动,如知识竞赛、征文、漫画创作比赛等活动形式,寓教于乐地传授和宣传安全知识,让大学生设身处地地感受和思考信息安全,提升自身的信息安全道德修养、信息安全意识和防范能力。
对信息安全的认识篇7
1.1电力系统信息安全意识薄弱
伴随着科学技术的不断发展,特别是计算机技术的发展,我国的计算机安全技术获得大幅度的提升,安全策略也有了很大的发展,基本可以保障电力系统的信息安全,因此,电力系统的各个计算机应用部门就容易掉以轻心,信息安全意识较为薄弱,与信息安全的实际需求相差甚远,从而导致有关部门不能很好的应对新出现的信息安全问题。
1.2缺乏统一的电力系统信息安全管理规范
缺乏统一的电力系统信息安全管理规范是电力系统信息安全管理中存在的一个较为严重的问题,导致电力系统信息安全管理无章可循、无法可依,信息安全管理的工作无法真正落实到位,信息安全管理的效率和质量都较低。
1.3缺乏符合电力行业特点的信息安全体系
随着电力系统信息化程度的不断提高,整个电力系统对计算机和网络的依赖程度越来越高,相应的就要求建立安全系数高的安全体系,只有这样才能很好的保障电力系统的正常运行,否则电力系统将会面临很多安全方面的威胁。
1.4信息化程度的提高,使电力系统面临着巨大的外部安全攻击
电力系统的信息化程度的提高,有一个重要的表现就是由过去孤立的局域网发展成为广域网,这样一来,就增加了电力系统信息安全管理的难度,使电力系统面临更多的安全攻击和风险。
2提高电力系统信息安全性的措施
2.1提高安全意识
有关部门应该加强电力系统安全知识的宣传,提高电力系统各种计算机应用部门人员的安全意识,正确认识信息安全问题,并加强对新出现问题的研究,提高对新出现问题的认识程度,以便制定相应的防范措施。
2.2制定统一的信息安全管理规范
要想提高电力系统信息安全管理的效率和质量,必须要制定一个统一的电力系统信息安全管理规范,这对电力系统的正常运行至关重要。企业在制定信息安全管理规范时,一定要结合电力系统的运行特点,并且还要参考主要的国际安全标准和我们国家的安全标准,努力制定出一套标准的、统一的电力系统信息安全管理规范。
2.3建立健全电力系统信息安全体系结构框架
建立健全电力系统安全体系结构框架,最主要的是要掌握先进的电力系统信息安全技术,只有这样才能尽快的实现电力系统信息安全示范工程,从而大幅度的提升电力系统信息安全管理的水平。这里所说的先进的信息安全技术主要包括信息加密技术、信息确认和网络控制技术、防病毒技术、防攻击技术、数据备份和灾难恢复技术等。
2.4采取一切有效的措施,抵挡外部安全攻击
为抵挡外部安全攻击,有关部门应该积极采取一切有效的措施来保障电力系统的信息安全。这些有效的措施主要包括以下几种:注意建立电力系统信息安全身份认证体系、建立完备的网络信息系统监控中心、建立电力系统信息安全监测中心等。
3结语
综上所述,电力系统信息安全是一个复杂的系统工程,对我国的电力事业具有重大意义。因此,有关部门应该积极采用各种行之有效的措施,提高电力系统信息的安全性,只有这样才能保障供电的安全和稳定,促进我国的电力事业健康、快速发展。
对信息安全的认识篇8
[关键词] 信息安全; 管理; 重要性; 认识
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2014 . 06. 054
[中图分类号] TP309 [文献标识码] A [文章编号] 1673 - 0194(2014)06- 0089- 02
信息安全不仅是技术问题也是管理问题,没有完善的管理,降低安全风险只是空谈。所以通过组织工作人员学习有关信息安全知识,要让大家知道我们使用电脑、网络、应用软件该懂得什么,注意什么,或者必须注意什么,自觉按照国家和本单位有关信息安全的要求积极主动维护信息安全。
1 信息安全管理存在的主要问题及原因分析
(1) 第一阶段建设的信息系统只进行信息系统的建设,信息安全问题基本没有考虑,没有必要的防火墙和防病毒软件等安全设备和软件,只是把本单位的电脑通过网线联接起来进行简单的文件传送。通过这几年对信息安全方面知识的学习和实践,本文认为处于第一个阶段时,人们对信息安全没有太多的认识,而且工作中对网络中有关存取安全也没有太多的要求。
(2) 第二阶段建设的信息系统在注重信息系统建设时,也考虑到了信息安全问题,但没有实质性的投入。进行信息系统设计时只考虑信息系统的建设,没有考虑信息系统安全设计,基本是先建设,遇到信息安全问题,再购置信息安全所需要设备和软件,以解决遇到的安全问题,属于那种“救火式”的被动防御的管理办法。随着信息技术的不断发展和工作上对远距离传送数据的要求,广域网的建设日益普及,远距离传送数据既要保证数据的准确性,还要保证数据的安全性,不能被窃取和修改。这时黑客、计算机犯罪经常出现在网络中,病毒更是通过网络大面积地传播,传播速度之快,其危害性、破坏性更大,尤其是在互联网上的传播。为了保证信息安全就得重新购置设备,搞重复建设,造成极大的浪费。
(3) 第三阶段建设的信息系统,信息化建设和信息安全建设被置于同等地位,变被动防御为主动防御,相关人员对信息安全的认识也加强了,但信息安全的管理不到位。随着信息技术的突飞猛进,信息化建设投入的日益增多,信息系统的建设和应用日益广泛,人们的工作、学习和生活越来越依赖信息系统,同时信息安全问题离我们越来越近了,信息安全的重要性正在被认识,这个阶段建设的信息系统配置了防火墙、网关等设备和防病毒软件,而且选型、配置得也非常合理,但也存在着重建设,轻管理,重“硬件”轻“软件”的问题,比如防火墙、网关等设备出厂时都会有个“出厂设置”的问题。一般来说,这些设备专业性比较强,我们的专业技术人员对这些设备的参数都不是太熟悉,厂商的技术工作人员会负责安装调试,没有问题就算验收了,这样就存在着信息安全的问题,因为没有及时更改相关的数据,就为日后的信息安全留下了隐患。
2 如何加强信息技术投入和信息安全管理确保信息安全
2.1 从信息技术方面确保信息安全要注意的问题
(1) 物理安全。购置信息安全所需的硬件设备。进行信息化建设总体设计时就要考虑信息安全,购置安全所需的防火墙、网关等硬件,这些设备设置完成后,需要重新设置口令,不能用本身默认的口令等等,确保不将没有进网许可证的设备接入网络。同时建议对防火墙、网关和互联网配置进行备份,以使发生故障时能够快速获得这些参数。
(2) 数据库安全。经常备份信息,信息越重要,备份的副本就应该越多,应该制定备份制度,对数据进行定期备份。如果可能的话,应对敏感信息进行加密,始终在安全地点保存不可覆盖的文件副本。
(3) 操作系统和应用系统安全。目前大多数操作系统都有系统的漏洞,操作系统及网络软件不可能是百分之百的无缺陷、无漏洞,开发商经常会针对发现的漏洞公布一些补丁程序,要及时安装;应用系统安全即各行业自行开发的业务应用系统是安全的。
(4) 经常防御病毒、黑客、木马、流氓软件、电子邮件的入侵和干扰。病毒感染:从蠕虫病毒开始到CIH病毒、冲击波病毒,病毒一直是信息系统安全最直接的威胁,网络更是为病毒提供了快速传播的途径,病毒很容易地通过服务器以软件下载、邮件方式进入网络,然后对网络进行攻击。黑客攻击:这也是网络面临的最大威胁,此类攻击可分为两种:一种是网络攻击,以各种方式有选择地破坏对方信息的有效性和完整性;另一类是网络侦察,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得对方重要的机密信息,这两种攻击均可对计算机网络造成极大的危害。流氓软件是最近出现的概念,它是指有些软件开发商为宣传自己的软件,恶意让用户安装到自己的电脑上,而且还不能删除,这类软件目前给用户造成很大麻烦和损失。对于不明来历的电子邮件不要接收和查看。
2.2 从信息安全管理方面要注意的问题
全面提升工作人员整体信息安全意识。要高度重视信息安全管理工作,有关业务部门要切实加强指导,以高度的责任感进一步推进信息化建设和信息安全管理工作。使信息化建设和信息安全建设同步进行。
2.3 建立健全信息安全管理规章制度
按照全国信息安全工作会议的要求,全面部署信息安全工作——迈向信息社会,信息安全要重视两项主要任务:① 保证基础信息网络和重要信息系统的可生存性; ② 建立规范的网络秩序。网络秩序的规范从强化执行作业程序、提升应变能力、构建安全环境等方面出发。
3 加强信息安全建设的设想
(1) 建立健全信息安全突发事件应急处理预案。成立负责处理突发信息安全的机构,专人负责。当发生信息安全事故时,要及时上报到信息安全部门,相关机构及时分析并作出处理办法。