信息安全论文范文
时间:2023-03-18 06:29:57
信息安全论文范文第1篇
论文摘要:结合单位的实际,分析了现有计算机专业课程特点和不足,讨论了高师计算机专业学生开设信息安全法律法规课程的必要性、可行性,分析了信息安全技术课程、与信息安全有关法律法规课程的特点.给出了高师信息安全法律课程的教学目标定位、设置方法.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
(4)信息安全标准与规范:信息安全建设过程应该依据相关标准和规范来进行,信息安全测评和认证也应该遵循通行的标准.本课程的目的就是,帮助学员初步了解掌握信息安全领域最著名的标准规范,包括进行系统安全测评用的TCSEC和CC(ISO15408,GB18336)标准、衡量安全工程过程成熟度的SSE—CMM规范,以及对企业信息安全管理体系进行认证的BS7799标准等.
信息安全论文范文第2篇
关键词:公安特色;信息安全;学科建设
中国刑警学院信息安全专业是伴随着全社会的信息化程度不断普及和提高,计算机犯罪侦查和电子物证检验工作面临着严峻的压力和挑战的形势下,于2002年2月26日申办成功的,成为继武汉大学后的第二批获批的信息安全专业,也是公安系统第一个具有信息安全专业的本科院校。2002年7月开始招收学生,目前该专业已招收六届本科生,2006年7月首批信息安全专业的本科生和二学位学生已经毕业,2007年7月第二届信息安全专业的本科生和研究生也已经走上了工作岗位,就业率为100%。用人单位无论是网警还是刑警反馈的信息都表明,学生在工作岗位上,办案能力强,业务全面,上手快。
目前我们的信息安全专业已经发展成以计算机犯罪侦查和电子物证检验为主干,以刑侦和法律为两翼的学科专业教育体系。形成了一个专业特色鲜明、教学计划科学合理、教学内容新颖实用、教学科研办案紧密结合,具有相当规模效应的特色专业。2007年被学院推荐为部级高等学校特色专业建设点。这样的结果得益于我们制定了特色鲜明科学合理的培养目标和与之相适应的教学计划。
1特色的培养目标
专业建设之初,在制定人才培养目标上,我们也走过了一段弯路。我们把培养合格的网络警察作为培养目标,而教学计划主要是在武汉大学信息安全专业教学计划的基础上,参考普通高等院校计算机专业的课程而制定的。经过大家的冷静思考我们认为,搞计算机专业我们和普通院校的计算机专业相比没有优势,做以密码学为核心课程的信息安全专业我们和地方院校信息安全专业相比也没有优势。网络警察出口面太窄,而且目前网络警察主要从地方高校引进计算机和法律专业人才,我们的毕业生从竞争角度也没有优势,这样不利于专业的长远发展。为此,我们把培养目标定位在大刑侦平台上,培养掌握计算机犯罪侦查理论与技能,能熟练进行涉计算机案件的侦查和电子物证检验的刑事警察。这样,不仅可以充分发挥中国刑警学院的专业优势,而且学生毕业分配出口广泛,到网警部门他们具有懂刑事办案、懂法律的优势,到刑警部门他们有计算机专业特色,懂涉计算机案件侦查和取证方法的优势。为所培养的学生受社会欢迎打下了坚实的基础。从教育理念上,我们占据了优势。有了一个科学的培养目标,才会有合理的教学计划。
2特色的教学计划
2004年,计算机犯罪侦查系对信息安全专业全面修订了教学计划。新计划以培养目标为指导,把“宽出口、实战型”作为教学质量控制的标准;把“点线面体”(主干课程是点、其前导后继构成线、主干课程线之间构成面、专业方向间构成体)作为讨论计划的过程控制,使新教学计划专家组的讨论意见空前的一致。这一教学计划也得到实战部门的好评,他们只听了教学计划就已经开始“订购”两年后的学生了。
该教学计划,把培养学生作为“大学生”、“警察”、“计算机专业人员”、“刑警”和“计算机案件侦查和取证人员”的基本理论、基本技能为模块进行设计。
“大学生”模块,这是教育部规定的所有大学工学本科生必须学习的课程集合。主要包括:大学英语、高等数学、普通物理学、大学生思想道德修养、马克思主义哲学原理、马克思主义政治经济学原理、思想概论、邓小平理论与“三个代表”概论、军事理论等课程。
“警察”模块,这是作为警察必须学习的课程。如,公安学概论、擒拿格斗、射击、犯罪心理学、犯罪情报学、公安应用写作、逻辑学等课程。
“计算机专业人员”模块,本着教学性大学培养应用性人才的这一目标,根据计算机犯罪侦查和电子物证检验的特点和工作需要,对计算机类专业课程进行筛选和调整。如,适当减少原理性课程门数或学时,增加应用性强的课程的设置,特别要强调语言类课程的学习,因为在计算机犯罪案件现场勘查时,如果不知道所遇到的文件类型和基本含义,会极大影响案件侦查的成功,也会丢掉很多线索。在教学计划中,我们先后共开设了C语言程序设计、汇编语言程序设计、可视化程序设计、ASP程序设计、数据库原理与应用、java程序设计等多门语言课程。但在强调语言的同时,也不能放弃能代表计算机专业特点的专业课程,这些课程可以培养学生的计算机专业功底。如,数据结构、计算机网络、操作系统原理、微机原理与接口等课程。
“刑警”模块,该模块是学生作为一名刑警应该掌握的基本原理和技能。我们把刑侦的专业主干课程均纳入了该模块。如,刑法学、刑事诉讼法学、行政法与行政诉讼法、刑事证据学、犯罪现场勘查、刑事案件侦查、预审学、查缉战术、侦查措施、经济犯罪案件侦查、治安案件查处等课程。
“计算机案件侦查和取证人员”模块,该模块主要是计算机犯罪侦查和电子物证检验人员所需要的知识。如,信息安全基础、网络安全技术与防范(含密码学)、计算机司法检验学、计算机犯罪案件侦查、计算机恶意代码原理与识别、常见操作系统分析、计算机信息系统安全法规、信息卡技术与安全等课程。
该教学计划以计算机专业理论和法律应用为基础,以计算机犯罪侦查和电子物证检验技术为重点,以刑事案件办理为特色的实用型教学计划。培养即懂传统刑事案件的办理,又具有涉计算机案件办理能力的复合型人才。
3特色的课程建设思路
为把信息安全专业办出刑警学院特色,我们将信息安全专业的课程划分为独有课、特色课和共享课。
独有课就是我们学院有,其他院校没有或非常薄弱的,如“计算机犯罪案件侦查”、“计算机司法检验学”和“计算机恶意代码原理与识别”等课程;特色课就是其他院校有,我们学院有特点的课程;共享课就是计算机及法律相关的课程,各院校开设的内容基本类似。
对各类课程采取不同的措施和思路。对共享课和特色课中的非特色部分,向重点大学靠拢,以他人之长补己之短,派计算机专业毕业的青年教师到在这些课程方面全国领先的重点大学学习,听一轮课,从中学习和了解他们的教学计划、教学内容、教学方法、教学手段、理论教材、实验教材、实验设备、实验方式等内容;特色课中的特色在于我们比地方大学有与公安实战联系密切的优势,比其他公安院校有刑警学院在刑侦和刑技方面的优势。要把握好以公安需要、应用办案为教学出发点,以培养实用型人才为教学目标的总体方向;而独有课是我们专业的拳头,要加大力量,选精兵强将,以老中青结合的方式,划分成课程攻关小组,甚至不惜重金聘请专家来共同搞好。
由于信息安全专业是刚刚兴起的专业,一些教师还没有进入角色,新课多,专业性强,任务量大,因此,提出“以课程建设促学科发展,全体动员,学生参与,加快发展”的课程建设总体思路。
将教学计划中的课程划分成课程小组,采取组长负责制,定时间、定任务、定目标。根据课程内容的需要,到重点大学进修加强理论基础,学习教学模式;到公安实战部门锻炼和听专业系的课程,了解公安一线需要,并学习涉计算机案件的办案方法。遇到难点形成科研课题,与各方面的专家共同进行攻关。再将办案方法和科研成果融入教学。这样就很好地实现了以课程建设促教学、科研和办案的发展,即实现了学科发展的目标。
由于教师数量少,工作任务重,有许多入门操作阶段的工作,以学生参与科研的模式,充分调动在校生特别是信息安全专业学生的积极性(在这方面已经在毕业论文和志愿者学生中进行了较成功的尝试)。在学生中成立“信息安全俱乐部”,教师为之提供理论和实战需要方面的指导,并提供适当的上机条件,让他们学会使用现有大量信息安全方面的软件,然后以讲座或交流的方式给全院师生讲解。这样不仅使教师摆脱了大量基础操作软件的调试,也极大地调动和提高了全体警院学生办理涉计算机犯罪案件的意识和能力。
为保证教学质量,所有新开课程上课前,课程组要对教学大纲和教学计划共同讨论,提出意见。在信息安全专业正式讲授前如果条件允许要在全院进行讲座或选修课,这样一轮教学过后专业教学就会较为成型。
4特色的实验室建设
根据我院信息安全专业以计算机犯罪侦查、电子物证检验和网络监察与监控为方向的特点,我们建成了全国高校第一个“电子数据取证实验室”和全国公安院校第一个“网络攻防实验室”。
“电子数据取证实验室”采用与公安实战无缝对接的思想,即公安实战单位用什么设备我们就学什么设备。这样使学生的动手能力和上手快的特点得以保障。这里不仅包括计算机取证专用机、还包括各种取证平台和取证软件。如图1所示。
“网络攻防实验室”重点解决在涉网案件中,网络痕迹的搜索以及网络监控、网络攻防技术演练等需要的实验室条件。该实验室不仅有核心交换机、路由器,还有防火墙、入侵检测系统、无线网络环境。单机上的主机与虚拟机、小组内的成员之间和小组间的攻防演练均可以实现。如图2所示。
这两个特色实验室的建成为专业课教学、为科研和办案提供了物质保证。
5特色的教学科研办案模式
我们在进行教学和科研工作的同时,还进行办案工作。办案工作不仅有教师定期到公安实战部门参与办案执法,还有远程咨询,更有利用现有的电子取证实验室对实战部门送来的案件进行检验的工作。我们24人的教师系队伍中,具有电子物证检验资格的教师就有15人。每年办理案件的鉴定数十起。通过办案可以了解最新案件动态信息,可以了解案件办理的过程和经验,为专业课教学和科学研究获得了很多实战素材。把这些鲜活的案例引入课堂使学生学习的知识更加贴近实战,为办案能力强提供了原理的保障。
信息安全论文范文第3篇
随着参保人数的不断增多,人口流动的加快,__县社会保险业务管理的信息量急剧膨胀,社会保险信息系统数据存储、处理能力所面临挑战的不断升级。社会保险信息系统的运行稳定与否影响着社会保险经办机构社会服务及自身管理水平。如何更好地理顺各险种之间的关系,更好地服务于社会,确保信息系统更高效、安全地运行,充分发挥信息系统在社会保险方面的巨大作用,是推动__社会保障事业进一步发展的当务之急。因此,适时升级社会保险信息系统,提高其安全性,信息处理速度,数据存储能力成为社会保险经办机构推进信息化建设的重要课题。
目前,随着__社会保险信息系统建设的不断深入以及网络技术的发展,基于因特网的网上应用已全面开展。如参保单位的网上申报、网上缴费、网上年审以及信息查询等。这好比一把双刃剑,一方面提高了工作效率,受到经办机构和参保单位的欢迎。另一方面也容易造成利用互联网进行信息的篡改、窃取成为可能。如果一旦出现安全风险,将会大范围影响正常业务工作的开展,影响人民群众的切身利益,甚至引发社会不稳定问题。因此,确保信息系统安全,不仅仅是一个简单的技术问题,而是一个重大的政治和社会问题。我们还要清醒地看到,随着互联网技术的发展,为满足人民群众在互联网办理业务的需求,内外网之间要进行数据交互,必然要增加接口,风险点也随之增加。在方便人民群众的同时,也使基金安全和信息安全面临新的挑战。因此,系统的安全性将直接影响系统的正常运作与其政务办公的有效性、稳定性以及高效性,所以系统的安全体系建设至关重要。
目前社会保险覆盖面逐渐扩大,参保人数、范围向规模化方向发展,社会保险业务量和资料数量也在与日俱增。社会保险工作的信息量正以前所未有的速度急剧膨胀,服务内容越来越广泛,没有数据存储能力的信息系统支撑,必然会影响许多业务的顺利开展。如何更好地理顺各险种之间的关系,更好地服务于社会,确保信息系统更高效、安全地运行,充分发挥信息系统在社会保险方面的巨大作用,是推动社会保障事业进一步发展的当务之急。一是统一管理,建立一个中心。按照“统一建设,应用为先,体制创新”的建设原则,将分散在各乡镇和各经办机构的设备、数据全部集中起来,数据向上集中是县委、政府的要求,在现有数据大集中的基础上,积极创造条件,逐步将城镇基本养老保险数据向县级集中;将原有的“部分集中、部分分散”管理的模式,向统一集中管理的模式迈进。二是扩大中心的数据存储设备的存储能力。通过增加存储设备实现数据存储的稳定性。三是对业务专网上的所有业务数据实行每日数据级备份。通过备份软件自动备份,定期检查数据备份的日志文件是否正确无误。
一是加快数据中心建设。数据集中后数据量将非常庞大,这就需要一个非常强大的数据库来支撑,所以数据中心一定要配备最好、最强的硬件设施才能支撑起所有数据的处理能力。二是建立专网,架构三重防护。使用光纤建立与其他网络完全物理隔离的独立的金保工程专网,形成数据安全第一重防护。三是形成覆盖全部参保人员的“五险合一”的社会保险资源数据库管理系统。彻底解决社会保险各险种数据不集中、标准不统一,管理“粗放”、“简单”的落后管理方式,建立存放集中、标准统一,管理“精细”、“严密”技术先进的社保数据库系统,规范社保业务的数据流和信息流。
总之,社会保险关系到千家万户,关系到__每位参保人员的切身利益。社会保险管理信息系统的建设是建立和完善社会保障体系的技术支撑,一套完整的社会保障体系的建立不是一蹴而就的事情,需要循序渐进。社会保险信息系统的建立和不断完善,需要从上到下全体社保人员齐心协力,共同推进。高效、安全的社保新系统不仅实现了社会保险业务的全程信息化管理,而且将全面提高社会保险对社会公众的服务水平。可以预见,以公共信息服务和提高社会化管理将成为社保信息化建设的重点。社会保险经办机构将逐步实现以无纸化办公、网上异地办公、网上召开不同地区的可视会议等一系列现代化办公方式,将管理和服务水平迈上一个崭新的台阶。随着日新月异的信息技术手段的广泛深入的应用,社会保险信息系统也将随之不断发展完善,社会保险事业必将会有更广阔的发展前景。
信息安全论文范文第4篇
(一)档案信息制度不健全带来的信息安全隐患
在档案信息化突飞猛进的背景下,相关的档案信息安全管理制度却未及时地建立起来,给别有用心的人窃取和不当利用档案信息以可乘之机,严重危害着档案信息的安全。比如,有的档案管理单位解答了档案利用者的问题,因为认为该问题具有代表性,就将该问题放入常见问题资讯库中。若该档案管理单位缺乏档案信息的保护制度和保密意识,没有对咨询人的个人信息进行必要的屏蔽和处理,可能会造成用户信息的泄露,侵犯档案利用者的隐私权。再比如,有的地市住房公积金管理网络系统由于缺乏相应的安全制度和技术保障措施,只需要输入公积金缴存人的姓名就可以查阅到其工资水平和住房公积金缴纳情况,而个人的收入状况属于个人不愿向外界透漏的的隐私,这就造成了个人档案信息的泄露。
(二)档案网络化管理带来的信息安全隐患
网络化管理给档案管理工作带来便利。但是,计算机感染木马病毒和遭受黑客恶意攻击的风险给档案信息的安全性带来隐患。木马程序一旦侵入档案管理系统,很可能会破坏档案信息数据,甚至会采取篡改、盗窃、销毁档案数据的破坏手段,造成档案管理的混乱,给档案数据的安全性带来致命损害。另外,以光盘、硬盘等存储介质为载体的电子数据档案有其自身不可克服的缺点,如信息数据不够稳定、易于损坏和难以固定保存等,加之档案存储设备更新速度很快,若不对档案存储设备以及相关的计算机硬件和软件及时更新,解决数字档案的格式转换等问题,极易造成档案数据丢失、毁损或无法顺利读取等情况发生。
(三)档案管理造成的信息安全隐患
档案信息化对档案管理人员的素质提出了更高的要求,要求档案管理人员不但要精通档案管理知识,还要精通互联网知识、计算机和相应档案管理软件的操作方法。但是,当前档案管理人员的年龄结构存在普遍偏大的状况。有些年龄较大的档案管理人员知识更新不够及时,仍然拘泥于传统的档案管理模式,对信息化的档案管理可能会感觉力不从心。因为对档案管理设备和档案管理软件研究不够深入,操作熟练程度不够等原因,在管理过程中容易造成档案数据意外删除等丢失毁损情况,构成档案信息的安全隐患。
二、加强档案信息安全的举措
(一)加强制度建设,提高档案安全管理意识
首先,单位领导要充分认识到档案信息安全管理的重要性,制定相应的档案信息安全管理制度,与档案管理人员签订档案安全管理责任承诺书,安排专门档案管理人员对所有档案信息进行保密管理,规范档案信息的保密审查程序和公开程序,确保做到公开的档案信息不,的档案信息不公开。同时,要完善档案信息安全防范机制,严格禁止其他计算机对档案管理系统网络的接入和访问,的档案信息不允许与互联网联接,的计算机要设置专用密码,在转为非计算机时要按照《保密法》的规定对存储硬盘进行拆除。
(二)不断提高档案安全管理技术,做好电子档案的异质备份工作
首先,提升档案安全管理技术是保障档案信息安全的有效途径,要定期对管理档案的计算机设备进行杀毒软件的升级,及时对病毒进行扫描和查杀,避免木马程序和黑客恶意侵入档案管理系统。同时,定期对档案管理设备如计算机设备、打印机、复印设备等进行检查,确保各种档案管理设备的正常使用。其次,承载电子数据档案的存储设备有别于传统的档案载体文件,对它的读取必须依靠必要的硬件设备和阅读软件才能够实现,对这些电子文件档案同时转化为其他类型的载体就成为必要。做好电子档案的异质备份工作,就可以防止随着技术的发展出现现有的电子档案因为缺乏相应的阅读设备和软件而不能顺利读取的尴尬局面。异质备份的常见方法主要有:将网络下载文件转变成纸质文档;将纸质文档通过扫描等手段转换成电子文档;将现有的电子照片通过拷贝等形式制作成多份备查等。
(三)优化档案管理人员结构,提高档案安全防范意识
档案管理的信息化对档案管理人员的素质提出了更高要求,要优化档案管理人员结构,建立形成梯队的复合型档案管理队伍。档案管理人员不但要熟悉档案管理方面的业务知识以及相关的档案管理法规,还要对计算机操作、互联网知识等现代化的科技知识做到熟练掌握。这就要求我们必须要建立健全档案管理人员的管理制度,对档案管理人员的配备、流入流出等规定严格的程序,明确各类管理人员的工作职责和违反规定造成档案安全信息不当泄露应承担的责任。要定期对档案管理人员进行业务知识和档案信息安全管理方面的培训,提高他们的安全防范意识和防范技能水平。
三、结语
在档案信息化建设进程中,保障档案信息安全是档案管理工作的应有之意。我们必须从档案信息安全管理的制度化建设、档案管理网络的建设和档案管理的队伍建设等方面出发,采取切实有效的措施做好档案信息安全的防范措施,确保档案信息的绝对安全,让档案管理工作在经济建设过程中发挥更大的作用。
信息安全论文范文第5篇
安全防范设施要投入到位为加强校园计算机信息安全管理工作,在硬件设施上要舍得投入,要做到事先花钱买安全,不要事后花钱买教训。①配好用好监控设备。当今社会,监控设备可以说是无处不在,无论你走到哪里,你的身影就会留在那里的监控设备中并保留一段时间。近年来监控设备之所以如此普及,最主要的原因是监控设备可以提供适时的图像,以便发生事故问题时可以对现场发生的情况做到一目了然。所以,为了加强校园计算机信息安全,必须配好用好监控设备,以防计算机信息硬件设备的丢失。
如果硬件不安全了,其中的信息自然也就没有安全可言。当然,配置的监控设备不一定能够全部完好,也不一定全天候在工作,还是有不法分子可利用和趁机行事的空隙和空间。但是,不能因为一个事物有不足,就认为它不起作用,我们应该看到,目前,监控发挥的作用是其他方法手段所不能替代的,并且大部分监控设备在大部分时间还是起作用的。
用好防盗设施,计算机信息安全只配置监控来防护还是不能百分之百安全,所以还要用好防盗设施,防盗设施包括多个方面。一是硬件防盗,如门禁系统、自动报警系统、电磁屏蔽和干扰系统等等;二是软件防盗,如设置开机密码、登录密码和屏保密码,防使用和复制软件以及其他数据认证系统等等。这些防盗设施有必要配备和使用,多一道门槛就多一层安全,多一次验证就多一份保险。当然,在使用这些防盗设施时,要使用通过安全部门认证的有效设施和软件,并尽可能确保安全、确保使用方便。否则太过于繁琐的防盗设施可能引起使用人员的诸多反感,渐渐从心里产生抵触情绪,这样的使用可能因防盗设施太多而影响工作,自然最终不能坚持下去。③监督使用人员。如果校院计算机里有需要保守的信息,除加强其他设施措施外,还要加强对计算机使用和管理人员的监督。计算机信息安全,说白了就是人们思想的安全,为此,要加强监督使用和管理人员,对计算机人员,要进行登记、注册、签订安全责任书,确保使用和管理人员保护校院计算机信息安全,确保计算机信息,不为别有用心的人所利用。
要将计算机信息安全管理制度落实到底。①要有合理有效的安全机制。做好任何一项工作的管理,一般都有一套相应的管理制度,同样,计算机信息安全管理也应有一套合理的管理制度。从使用人员、时间分配、管理服务对象等多方面尽可能比较全面地制定安全管理制度,并要求全体使用人员按制度要求使用,在遵守执行制度中修改完善安全管理机制,从而形成更加合理高效的安全机制。②要职责明确地安全监管。明确各级各个关口监管人的职责,责任到人。
信息安全论文范文第6篇
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。超级秘书网
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
信息安全论文范文第7篇
随着全员信息安全意识的提高,外汇分局信息安全工作正日益完善,但与中央网信办和外汇局的要求还有一定差距,存在一些薄弱环节,主要表现在以下几方面。一是缺乏完整、成体系的信息安全制度。外汇分局已有的制度里没有完全涵盖从机构建设、人员管理到数据管理、运维管理、应急管理以及教育培训等一系列规范的信息安全内容。二是人员管理方面。人员离岗离职后没有及时收回或变更其在相关应用系统里的权限。三是网络安全防护上方面。外汇分局网络各区域间边界不清晰,缺乏必要的安全防护设备。另外,对内部网络的用户管理较松,容易发生对系统的非授权访问或者冒充合法用户访问等问题。四是终端计算机安全防护方面。外汇分局终端都由人民银行科技部门统一管理,统一下发补丁软件,但是存在业务人员在终端机上安装与工作无关软件的情况,导致植入病毒的几率大大增加,为系统安全埋下隐患。五是安全教育培训及安全检查方面。外汇分局对于全员安全意识教训及专业技能培训比较欠缺,特别是对所辖中心支局业务人员的安全教育培训不足,安全检查的广度和深度也不够。
二、结合实际,提升信息安全保障措施
外汇分局在查找出信息安全风险隐患后,应结合自身实际,从管理和技术两方面采取相应的防护措施。
(一)加大信息安全管理制度的体系建设
一是建立系统的信息安全管理制度。外汇分局应遵循“谁主管谁负责、谁运行谁负责”的原则,按照相关要求明确信息安全管理机构及责任人,制度应涵盖人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、教育培训等内容。二是加强信息安全应急管理。外汇分局应制定应急预案,保障应急资源,并定期或不定期地进行应急演练。
(二)加强信息安全技术防护措施
一是建立良好的网络安全防护措施。针对近期的网络改造工程,外汇分局应明确各区域的网络边界,做好边界防护措施,并制定制度进一步规范网络用户的操作,完善网络设备的安全配置及审计措施。二是做好应用系统的安全访问控制。外汇分局对所有的应用系统,包括电子邮箱、门户网等,都应做好用户权限管理和划分。三是规范终端计算机的安全操作行为。主要是建立相应制度规范业务人员操作,并在终端上设置账户密码保障安全。针对WindowsXP停止安全服务的情况,外汇分局应卸载与工作无关的应用程序、关闭不必要的服务和端口等,不断加强对使用WindowsXP系统终端计算机的管理。
(三)强化信息安全教育培训
外汇分局应采取各种方法做好信息安全教育培训。除开展提高安全意识的培训外,还需要加强信息安全知识及安全防护技能的培训。
(四)深入开展信息安全检查工作
外汇分局除完成总局每年的安全检查任务外,还可通过内控检查对所辖中心支局进行现场检查。通过制定检查方案,明确检查内容、范围、方法等,对中心支局布置检查任务,进行定期或不定期的非现场检查,扩大检查的广度和深度。对检查结果及时总结,对发现的问题及时整改并跟踪其整改情况。
信息安全论文范文第8篇
企业办公的信息系统是基于公司防火墙、服务器、访问web、邮件、公司内部网络、办公pc机、数据库、互联网技术及相应的辅助硬件设备组成的,是一个综合管理系统。从安全形势来看,企业办公的信息系统存在着严重的威胁。信息设备提供了便捷及资源共享,但同时在安全方面又是脆弱和复杂的,对数据安全和保密构成威胁。潜在的安全威胁主要有以下方面:信息泄露:信息被泄露或透露给某个非授权的实体;破坏信息的完整性:数据未经非授权被增删、修改或破坏而受到损失;拒绝服务:对信息或其他资源的合法访问被无条件地阻止;非授权访问:某一资源被某个非授权的人,或以非授权的方式使用;窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息;业务流分析:通过对系统进行长期监听,利用统计分析方法对某些参数进行研究,从中发现有价值的信息和规律;假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击;旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱获得非授权的权利;授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”;特洛伊木马:软件中含有一个觉察不出的有害的程序段,当其被执行时,会破坏用户的安全;陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略;抵赖:这是一种来自用户的攻击,如否认自己曾经过的某条消息、伪造一份对方来信等;重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送;计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序;人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人;媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得;物理侵入:侵入者绕过物理控制而获得对系统的访问;窃取:重要的安全物品,如令牌或身份卡被盗;业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等。
2企业办公中的信息安全策略
2.1保护网络安全
网络安全是为保护企业内部各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:全面规划网络平台的安全策略;制订网络安全的管理措施;使用防火墙;尽可能记录网络上的一切活动;注意对网络设备的物理保护;检验网络平台系统的脆弱性;建立可靠的鉴别机制。
2.2保护应用安全
保护应用安全,主要是针对特定应用(如Web服务器、数据库服务器、ftp服务器等)所建立的安全防护措施,这种安全防护措施独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。由于应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决企业信息系统的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
2.3保护系统安全
保护系统安全,是指从整体信息系统的角度进行安全防护,与网络系统硬件平台、操作系统、各种应用软件等互相关联,其安全策略包含下述一些措施:①在安装的软件中,检查和确认未知的安全漏洞;②技术与管理相结合,使系统具有最小穿透风险性。③建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
2.4加强员工的信息安全培训
企业办公中,员工在上班时经常进行一些与工作无关的计算机操作,不仅影响网络速度,更影响系统安全。因此,在整个企业办公中的信息系统管理中,人为因素最重要,必须加强对计算机使用者的安全培训。
信息安全论文范文第9篇
云平台是以“云计算”技术为基础而构建的网络服务平台,但是由于当前“云计算”技术还存在一些技术漏洞,所以为云平台的数据信息安全带来了一定的安全隐患。
1.数据安全问题
数据安全性的问题一直是计算机信息管理中担忧的问题,云平台信息的管理亦是如此。由于“云计算”技术为用户提供存储云,让用户通过互联网络将自己本地的数据存放到“云端”来节约本地存储资源的开销,从而使得存储云内集中了大量的用户信息等一些重要的数据资源,极易成为黑客攻击的目标。近些年来,“云攻击”时间频频引起我们的关注,例如黑客利用多家WordPress网站进行的DDos放大攻击事件、新浪微博蠕虫攻击时间等都是非常严重的“云攻击”时间。此外,当用户将个人数据放到存储云中后,用户并不清楚自己存储数据的具置,而数据存放后访问的优先权也就从用户转变成了存储服务的供应商,一定程度上降低了数据的机密性。
2.虚拟化技术引起的安全隐患
虚拟化技术是“云计算”技术的关键技术,是为了充分利用系统的硬件资源来构建的虚拟化的网络基础设施服务的技术。由于虚拟化技术是完全依赖于系统硬件的,当系统的某个硬件出现问题后,整个虚拟化机器都会面临崩溃的威胁。同时,虚拟化技术实现的计算机资源的共享会部署在同一台物理服务器上,所以不同虚拟机之间的数据隔离是非常有必要的,如果非法用户非法获取了虚拟机的权限,可能会通过一台虚拟机来访问其他的虚拟机数据,从而造成数据泄露。此外,虚拟化技术的应用使得终端用户存放的数据分散,具有无边界性,所以对于存储的数据无法提供明确的安全边界和保护措施,增加了数据安全保障的难度。
3.系统可靠性
云平台上的用户数据的存储、处理、网络传输与服务的计算机系统关系非常密切,如果该计算机系统出现了问题,直接导致云平台上数据的丢失,直接影响到了用户的利益。此外,云平台的信息安全问题对于供应商的信誉问题也是非常重要,如果供应商由于经济或者其他原因终端服务,那么用户的数据也会面临丢失的威胁。
二、云平台信息安全保护策略
“云计算”是当前IT服务界一场全新的技术革命,为网络时代带来了巨大的商机,在各个领域中已经得到广泛的应用,如何搭建安全稳定的云平台来保证平台内部数据信息的安全也是巨大商机下提出的巨大挑战。
1.云平台构建
在云平台的构建初期,就要充分考虑到平台内的信息安全保护策略。由于当前网络安全最大威胁来自于黑客攻击以及破坏计算机功能和信息数据的计算机病毒,所以在构建云平台时,根据以往的反黑客和反病毒攻击的技术手段和经验,来构建安全的云平台,进而维护期安全运转。由于云平台的安全问题要比传统的信息安全问题复杂得多,运行的系统性能要求更大,所以构建安全的云平台,要以强大的资金和技术的投入作为保障来是云平台建设顺利进行。此外,要增加云平台的系统开放性,以吸引更多的合作伙伴加入,从而增加云安全的覆盖能力,保证云平台的安全运行。
2.云平台的数据保护
除了云平台提供的SaaS(软件即服务)服务之外,其他的云计算供应商对于隐私数据的保护力度不够,如果直接以数据明文的形式存储在平台内,则会是存储数据的机密性和完整性受到威胁,所以供应商应该采用数据加密技术对敏感数据进行加密,从而增加存储数据的安全系数,在一定程度上又可以进行数据隔离。此外,云平台供应商应该为用户设置公共云和私有云,并且加强防火墙的设置安装,而云平台用户则可以根据对企业的数据和应用服务进行风险评估分析,并根据分析结果将其放置在公共云还是私有云。比如对于企业的核心业务的关键任务,则必行将其放置在私有云内并通过安装防火墙来增加其安全系数。加强访问云平台用户的安全认证也是对数据进行保护的一项措施,对于云平台的用户安全认证,可以采用强制用户认证和单点用户认证结合的方式,从而用户只需登录一次即可进入整个web应用,从而避免云平台用户的密码泄露。
3.云平台的网络安全
云服务的供应商在增加数据保护的同时,也要对加强云平台网络的安全监控,指定完善的监控策略,使用过滤器对离开云平台网络的数据进行监视,一旦发现异常即可采取必要措施来拦截传输数据,从而阻止隐私数据的外泄。对于云平台数据的传输,也需要采用数据加密技术来加密传输数据、VPN技术构建虚拟信道、身份认证技术加强数据传输安全,从而确保云平台数据出网后的信息安全。虽然“云计算”技术已经发展到了应用阶段,但是对于云平台的监管仍相对落后,而且云计算相关的核心技术国内仍未掌握,所以我国应该建立健全的法律法规,支持云计算核心技术的自主研发,设计符合我国国情的云计算业务解决方案,加快建设云平台安全评估和监管体系,从而为云平台的信息安全保护提供强有力的后盾。
三、总结
基于“云计算”技术的云平台已经成为当前IT服务全新的网络经济模式,平台内的数据信息安全问题却不容忽视,企业用户在选用云平台提供的服务来完成企业业务需求时,一定要采取企业数据信息的安全防护策略,并且选择信誉好服务质量高的云平台供应商作为自己的合作伙伴,从而在云时代下享受高质量低成本的网络云服务。
信息安全论文范文第10篇
1.1物联网信息特点
终端设备的异构性,使得物体属性在建模上存在差别,导致不同物体对数据的识别、对信息的描述产生较大差异;而终端数量的庞大规模,又会导致在采集和处理数据时,容易产生海量数据。数据受多种因素制约,产生位置的分散性、形式的差异性都给信息描述带来了不便之处。例如,以监测森林区域的着火点为例,对温度的描述,不同的采集系统可能采用华氏温度,或摄氏温度,作为采集单位,那么在处理时就面临数据统一性的问题。不同的应用对采集点的数量、存储空间的要求都有不同。大量的数据在不同采集点之间复制,由于传输线路、传输介质等客观因素,也会影响到网络通信带宽。在数据传输阶段,短距离的无线传输是物联网中普遍采用的技术,而无线传输由于其扩散性,使得信息、数据被盗窃的几率大大增加。物联网应用在不同层次对数据的使用都提出了复杂的要求,使得信息安全问题更为棘手,也更加受到重视。
1.2信息安全的传统要求
国际标准化组织把信息安全定义为“信息的完整性、可用性、保密性和可靠性”,控制安全则指“身份认证、不可否认性、授权和访问控制”。完整性强调数据的防篡改功能,可用性强调数据能按需使用,保密性强调数据在授权范围内使用,可靠性则强调系统能完成规定功能。在物联网信息处理的各个环节,这些要求应当得到满足。例如,在数据感知技术中普遍采用的RFID,在阅读器和RFID标签之间进行数据传输时,由于标签的运算能力非常弱,且两者之间采用的是无线方式通信,恶意用户通过克隆、重放、中间人攻击等手段,从而达到窃听、修改数据的目的。
2物联网应用对传统的信息安全提出的新要求
通常认为物联网中的实体都部署有具备一定感知能力、计算能力和执行能力的嵌入式芯片和软件,即“智能物体”。终端的智能化,使得物联网中的信息安全面临更多的挑战。下面列举几个实例加以说明。
2.1智能物体更易暴露隐私
近年来屡见不鲜的手机用户信息遭遇泄露,只是隐私权遭到侵害的实例之一。定位技术的日臻成熟,使得诸如智能化手机等智能物体的应用也日趋普及,与之相关的LBS(LocationBasedServices)为生活带来极大便捷。通过LBS,可确定移动终端所在的地理位置,更重要的是能提供与位置相关的信息服务。这些信息服务能够对“什么人”“什么时间”在“什么地点”从事过“什么活动”做出精确描述。如果攻击者通过某种途径获取到信息服务,那么,合法用户的隐私信息必将一览无遗。
2.2设备可靠性要求得到更高保障
传感技术是信息技术的支柱之一。经过VigilNet、智能楼宇等应用的验证,传感器在数据采集方面的功能已毋庸置疑。物联网应用中也普遍采用传感器作为感知层的重要设备。大量部署的无线传感器节点在传统的传感器基础上,集成了智能化的处理单元和无线通信单元,能够分析、处理、传输采集到的数据。无线传感器网络的部署方式影响传感器网络的覆盖质量、网络拓扑结构、网络的连通性和网络的生存时间等性能。受到通信能力和处理资源的限制,在传统的无线传感网络基础上,研究者开发出CSN(认知传感器网络),即“认知无线电传感器节点的分布式网络”。受传感节点的物理特性、部署环境等制约,且认知无线电所用频谱具有不确定性,CSN的安全问题也面临着更为复杂的挑战。
2.3无线接入增加了数据传输风险
日益成熟的无线通信技术,例如Wifi、3G、4G技术,因其具备的廉价、灵活、高速等特性,在数据传输中具备独到优势,成为物联网主流的接入方式之一。但也面临空间环境对无线信号传输的影响、同频信号之间的相互干扰问题,以及如何应对无线接入的开放性。无线信道的使用方式,决定了信息易被窃听,甚至被假冒、篡改。在物理层和链路层,采取相应的安全措施。
3对物联网信息安全的解决思路
海量终端节点的异构性、多态性,数据传输方式的差异化、立体化,高端应用的多样化、复杂化,涉及感知、存储、传输、处理和应用的每一个细节。完善物联网信息安全,需要从不同层次出发,综合运用多种安全技术。
3.1安全标准
技术意义上的标准就是一种以文件形式的统一协定。如本文前言所述,物联网本身缺乏统一标准,在一定程度上也影响了物联网安全的标准化进程,但是从另一方面,也更加证明了制定统一安全标准的必要性,使其能更加有效地服务于物联网建设。标准化工作的推进,需要有国家法律法规的支持、行业企业的率先垂范,并注重网络用户安全意识的培养。
3.2防护体系
物联网安全防护应考虑数据产生到信息应用的每个阶段,从分层、分级等不同维度,设计安全防护体系。
3.3技术手段与应对方法
不同层次、不同级别采取的安全措施不尽相同,彼此互为补充,形成整合性的安全方案。结合层次特点、级别要求,对关键安全技术做简要说明。
1)各类RFID装置、传感设备、定位系统等,为“物体”标识自身存在、感知外界提供基础保证,也是海量数据产生的源头。无线传感网络的脆弱性、受限的存储能力、频段干扰、RFID标签与阅读器之间的安全与隐私保护,通过采取PKI公钥体系、IDS系统、PUF等技术进行安全保障。
2)IETF小组在设计IPv6时强化了网络层的安全性,要求IPv6实现中必须支持IPSec,使得在IP层上对数据包进行高强度的安全处理,提供数据源地址验证、无连接数据完整性、数据机密性、抗重播和有限业务流加密等安全服务。移动网络通信中使用的UMTS网络基于双向认证,提供对接入链路信令数据的完整性保护,并且密钥的长度增加到128bit。
3)未来的云计算服务将为用户提供“按需服务”,实现个性化的存储计算及应用资源的合理分配,并利用虚拟化实例间的逻辑隔离实现不同用户之间的数据安全。基于云计算的数据中心建设,为数据挖掘等数据的智能处理提供了高效、可靠的物质基础。
4)物联网提供多样化的集成应用,对业务的控制和管理比较突出。建立强大而统一的安全管理平台是实现业务有效管理的一个思路。基于上述安全模型和技术手段,用户、管理者可以从不同层次来开发或使用不同的安全措施。例如针对接入终端的差异性,采取基于身份标识的终端认证。终端认证机制为用户提供物联网终端与网络之间均双向认证。根据设备类型特点,设计终端设备与接入网网关之间的接口协议,并在此基础上根据不同的需求来设计共享密钥或随机密钥。一个直接的例子,是在应用日渐广泛的智能停车系统中,设计车锁与钥匙之间的安全通信。车锁与钥匙可以作为两个对等终端,配备存储器件、无线接口、密码SoC等功能模块,双方通过射频进行通信。密码SoC的安全性将直接影响到产品的功能和质量。
4结语
随着对物联网技术研究的不断推进和越来越广泛、具体的物联网应用,物联网信息安全问题已引起极大关注。完善与之相关的法律法规、制定统一的安全体系和安全标准,将贯穿始终。