在線客服

信息安全論文

時間:2022-04-02 05:48:14

引論:我們為您整理了1篇信息安全論文范文,供您借鑒以豐富您的創作。它們是您寫作時的寶貴資源,期望它們能夠激發您的創作靈感,讓您的文章更具深度。

信息安全論文

信息安全論文:信息安全體系電子政務的論文

一電子政務信息安全的請求

從這個規定可以看出,在電子政務環境下,信息安全主要包含系統實體安全、人員安全、利用軟件安全、運行安全以及數據安全。電子政務系統中的實體是指系統運行所需要的計算機裝備、網絡裝備設施等,實體安全就是保障這些設施不受自然因素以及人為因素損壞以及影響,保障裝備的正常運行,通常分為人員安全、運行安全以及數據安全3部份。人員安全是指使用電子政務系統的政府工作人員、系統管理員的安全技巧、安全意識以及法律意識等;電子政務系統中開發了大量的利用軟件,要確保操作系統不存在安全漏洞以及缺點,能夠抵制外來的損壞;運行安全是指電子政務系統在運行進程中的安全,包含系統不受病毒以及網絡黑客的襲擊等;數據安全是指電子政務系統中的數據以及信息不被非法走訪、更改以及損壞,包含數據加密解密、數據備份與恢復、審計跟蹤、走訪節制、網絡安全以及數據庫安全等。

二電子政務信息安全保障體系

從電子政務系統安全的總需求來看,其中的網絡安全、信息內容安全等可以通過開放系統互連安全部系提供的安全服務、安全機制及其管理取得,但所取得的這些安全性只解決了與通訊以及互連有關的安全問題,而觸及與信息系統形成組件,運行環境安全有關的其他問題(如物理安全、系統安全等)等,還需要從技術措施以及管理措施兩個方面來斟酌解決方案。1個的電子政務信息安全部系包含基礎設施體系、技術保障體系以及管理體系3部份組成,如圖一所示:

二.一基礎設施體系

電子政務系統的基礎設施包含政務內網、政務外網、電子政務信息專用網3部份。政務內網用于運行內部辦公系統、基礎數據以及業務數據存儲管理,通過路由器接入電子政務信息專網;電子政務信息專網,實現國家、省、市、縣4級政府部門的信息同享與交流;政務外網通過防火墻接入國際互聯網,為社會提供電子政務信息服務。電子政務系統的內網是整個政務信息化的基礎,負擔了大部份的政務信息以及政務信息系統。電子政務內網與外部網絡通過網絡物理隔離,存在的安全要挾主要來自內部區域的不安全因素,內網安全集中表現在利用系統的安全以及數據信息的安全上。安全域是由1系列互相信任,擁有相同的信息安全需求的終端或者系統等組成的邏輯網絡區域,為到達安全目的,安全域基于信息安全標準,從系統信息安全的角度劃分,可將電子政務網絡劃分為多個文秘站:安全域。即便用交流機或者者網絡結構劃分為不同的子網或者VLAN,并對于不同的子網或者VLAN進行安全策略設置,避免不同安全域之間的非授權互訪。電子政務網絡安全域劃分后,同1安全域的終端或者系統互相信任,并擁有相同信息安全走訪節制策略以及邊界節制策略。

二.二技術保障體系

信息安全部系的建設是1個繁雜的系統工程,需要從多角度、多層次進行分析以及節制,依據電子政務網絡的不同層次,采用有針對于性的技術措施,主要包含物理層安全、網絡層安全、系統層安全以及利用層安全等。物理層安全是指電子政務系統運行的物理環境的安全。通過對于電力供應裝備和信息系統組成的抗電磁干擾以及電磁泄漏機能的選擇性措施;通過物理機械強度標準的節制使信息系統的建筑物、機房前提及硬件裝備前提知足信息系統的機械防護安全。網絡層安全就是確保該層的交流機,路由器、防火墻等裝備的安全性。通常采用的技術措施包含:網絡走訪節制、遠程接入節制、內容安全等相干節制措施。網絡走訪節制是在網絡層實現走訪節制措施,以限制主體對于客體資源的走訪,適量的走訪節制能夠阻撓未經許可的用戶成心或者無心地獲取敏感信息。遠程接入建議選擇較為安全的VPN接入方式,如果采取撥號接入,則建議在撥號后結合采取VPN進行遠程連接,然后通過對于安全策略的統1管理以及設置,確保所提供的安全功能患上到有效地施行。內容安全包含對于歹意代碼及垃圾郵件等通過正常協定傳輸的歹意信息的過濾、攔截,可采取統1要挾管理、入侵防護系統、防火墻等安全措施措施。系統層安全是指電子政務平臺下操作系統的安全。它通過對于信息系統與安全相干組件的操作系統的安全性選擇措施或者自主節制,使信息系統安全組件的軟件工作平臺到達相應的安全等級。1方面阻撓任何情勢的非授權行動對于信息系統安全組件的入侵或者接收系統管理權;另外一方面防止操作平臺本身的懦弱性以及漏洞引起的風險。利用層安全主要是指電子政務平臺的安全以及運行在此平臺上的各利用系統的安全。它主要采用身份認證、走訪節制等安全措施,保障利用系統本身的安全性,和與其他系統進行數據交互時所傳輸數據的安全性;采用審計措施在安全事件產生前發現入侵妄圖或者在安全事件產生落后行審計追蹤。

二.三管理體系

電子政務信息安全管理體系的癥結在于樹立1個有效的安全管理組織機構以及管理軌制。管理機構以單位主管信息工作的負責人為首,有行使國家安全、公共安全、機要以及保密職能的部門負責人以及信息系統主要負責人介入組成。主要負責是計劃并調和各方面氣力施行信息系統的安全方案,制訂、修改安全策略,處理安全事故等。安全管理軌制包含安全責任軌制、系統運行保護管理軌制、計算機處理節制管理軌制、文檔資料管理軌制、管理以及操作人員管理軌制、機房安全管理軌制、按期安檢與安監管理軌制、網絡通訊安全管理軌制、病毒防治管理軌制、信息維護軌制等。

三結語

不管采取甚么樣的網絡結構以及利用體系,對于于電子政務來講,安全老是第1位的。因而,信息安全是電子政務的頭等大事,加強對于電子政務信息安全部系的鉆研,對于于推進我國電子政務建設擁有重大的現實意義。

信息安全論文:計算機信息安全論文的范文

隨著互聯網技術的不斷發展,互聯網的普及程度越來越高。網絡互聯應用的增加也造成了一定的風險,特別是很多企業的跨地區的網絡應用、政府部門的縱向分級網絡管理等都存在了非常嚴重的網絡信息安全的風險,虛擬專用網絡就是在這樣的情景下發展起來的,虛擬專用網絡的定義是在一個公共網絡中建立一個臨時的安全連接,并建立一條安全穩定的信息通道。

本文從虛擬專用網絡技術特點出發研究其在計算機網絡信息安全中的應用,為企業計算機網絡信息安全保障提供相應的參考意見。

1 虛擬專用網絡技術分類

1.1 隧道技術

這里提到的隧道技術是針對于數據包的加密過程,通過隧道協議利用附加的報頭封裝幀,在報頭中通過添加路由的信息,所以數據包經過封裝后能夠通過中間的公共網絡,這個經過封裝后的數據包所經過的公共網絡中的這個信息通道就被稱為隧道,隧道中數據包的通信過程是從幀公網目的地后就會解除封裝并被繼續傳輸到通信的最終目的地。對于數據包的處理過程,隧道包含了幾個基本的要素,分別是隧道開通器、帶有路由能力的公共網絡、一個或多個隧道終止器以及一個為了增加靈活性而增加的隧道交換機[1].

1.2 加密技術

虛擬專用網絡的加密技術也是其在信息安全中應用的重要技術特點,由于是在公共網絡中開通一個信息通信的邏輯路徑,因此兩個站點之間的信息的封裝加密技術是虛擬專用網絡保障信息安全的重要手段,為了更好的保護企業信息、個人信息的安全,加密技術是虛擬專用網絡重要的環節。

1.3 秘鑰管理技術

秘鑰管理技術是虛擬專用網絡確保數據在公共網絡中傳遞的完成,主要由 ISAKMP 和 SKIP 工程組成,其中 SKIP 是通過利用 Diffie 的驗算法則進行的,而在 ISAKMP 進行秘鑰傳輸的過程中,秘鑰具備一定的公開性。

1.4 身份認證技術

身份認證技術是當前計算機網絡信息安全中常見的技術,主要通過核對用戶設置的信息和密碼來完成對用戶身份的認證過程,如果密碼正確,并且信息相符的話,才能通過 VPN 網絡連接到信息系統中來[2].

2 虛擬專用網絡技術在計算機網絡信息安全中的應用策略

2.1MPLSVPN 技術在網絡信息安全中的應用

MPLSVPN 主要在寬帶 IP 網絡上實現,主要的特點是能夠更加安全、高校的實現快點去之間的數據通信。這種技術還可以結合聯合流量工程技術和差別服務等實現安全的性能和較好的擴展。為用戶提供更為安全高效的信息服務。實現MPLSVPN 技術具體步驟有三步:首先,通過 CR-LDP 的方法在路由器中間建立一個分層服務提供商,LSP 中包含了第二層VPN 第三層 VPN 等多種業務,是 MPLSVPN 服務關鍵的環節。

其次是通過路由器完成 VPN 信息通信,其中 PE 路由器主要的作用是在在網絡服務提供商骨干網絡的邊緣接入,這個步驟的關鍵是為了實現 VPN 數據的通信過程,具體的操作是在 PE 路由器上建立一個能夠連接到 CE 設備的 VPN 轉發表數據,主要的目的是在這個轉發表中加入 CE 設備的關鍵標識如識別碼和標記范圍等。然后將轉發表數據反分別安裝到每一個 CE 設備上,給每一個所要轉發的數據表的子接口地址進行標記,通過利用LDP 協議在信息網絡中向別的 VPN 接口發送帶有 ID 標記的連接表。是完成 VPN 的傳送過程。

2.2IPSecVPN 技術在計算機網絡信息安全中的應用

IPSec 協議能夠為計算機的 IP 地址提供更為安全的系統,而虛擬專用網絡也是 IPSec 協議中非常常見的應用方式,IPSecVPN 技術就是利用 IPSec 協議實現虛擬專用網絡功能的一種方案。IPSec 協議有著非常廣泛的使用范圍,它采用的是一種框架的結構,主要有三種協議組成:及時種是 ESP 協議,ESP協議的主要特點是能夠在同一時間段內提供完整的數據,并且能夠提高數據的保密性和抗干擾等優勢;第二種是端到端協議,IPSec 協議在兩個端口或者端點之間的數據通信進行保護,保護的方式與 ESP 不同;第三種是 PC 到網關,主要通過保護兩個 PC 之間通信從網關到其他 PC 或者異地 IP 之間的信心傳輸。

IPSecVPN 技術有兩種重要的傳輸模式,分別是傳輸(Transport)模式和隧道(Tunnel)模式,兩種模式最主要的差距在于:在ESP 和 AH 處理完成后隧道模式又額外的封裝了一個外網的 IP頭地址,在站點于站點之間進行連接的時候,這種傳輸方式比較實用,而傳輸模式則是在這個過程前后部分,保持 IP 頭地址不變,主要適用于很多端口到端口的連接場景中[3].IPSecVPN技術中封裝結構的示意圖如下:

3 結語

通過我們對 VPN 技術的特點和在計算機網絡信息安全中的應用分析,我們知道 VPN 技術能夠實現安全有效的遠程訪問過程,提高了數據傳輸的安全性,特別是應用于企業信息安全管理的過程,大大的加強了企業網絡信息資源以及信息活動過程的安全性。

信息安全論文:信息安全防護下計算機網絡的論文

1.計算機網絡的信息安全防護策略

1.1網絡安全管理防范策略

法律和管理制度是維護網絡安全的最強有力的保障。建立完善的法律制度,頒布與保護計算機網絡信息安全相關的法律法規可以為打擊各種網絡犯罪提供有力的武器。而有效的管理是將法律訴諸于實際的手段,通過建立完善的計算機網絡信息安全的管理制度,制定相關的規章要求,對計算機使用人員、系統軟件、設備以及信息、介質等進行制度化的管理,將網絡行為規范化,將對營造網絡安全環境,保障網絡的安全運行起著至關重要的作用。在進行網絡安全管理時,應該任期有限原則、最小權限原則、職責分離原則和文秘站:多人負責制原則。具體的講,需要建立的管理制度包括安全漏洞檢測升級制度;信息登記、審查、清除、保存和備份制度;操作權限管理制度;安全責任制度;通報聯系制度;計算機機房和設備安全管理制度;用戶登記制度;網絡地址管理制度以及應急措施和預案、保密制度等。除了在法律與管理制度層面進行安全防范之外,還很有必要對計算機的使用人員進行宣傳教育,讓他們了解并掌握具體的修復網絡安全漏洞,規避安全風險的技能,并努力使新型安全技術得到應用和普及。另外要加強對計算機使用者在職業道德修養方面的教育,規范他們的職業行為,鼓勵他們積極勇敢的同利用計算機網絡進行破壞行為的犯罪行為作斗爭。

1.2網絡安全技術防護策略

1.2.1安裝殺毒軟件和主機防火墻殺毒軟件最初主要是對計算機病毒進行查殺,隨著殺毒軟件技術的更新與升級,如今的殺毒軟件還可以對特洛伊木馬和其他一些惡意程序進行預防。在正式開始使用計算機前,需要對其進行殺毒軟件的安裝,通過殺毒軟件對計算機的安全漏洞進行檢測、對存在的病毒進行掃描與清除,另外還有定期的及時對殺毒軟件自身進行更新和升級,以便能夠更早的發現問題,將安全隱患消滅在起始位置。而防火墻相當于一個過濾系統,像一堵墻一樣可以將網絡安全攻擊阻擋在安全范圍之外。它可以對進出網絡的信息流向進行控制,還可以為網絡提供一部分使用細節。在網路通訊過程中,防火墻會指向訪問控制尺度,可以通過的只有被防火墻同意訪問的數據或人,而那些帶有攻擊破壞性質的數據或人就會被拒絕通過。在計算機中安裝防火墻,可以在一定程度上降低由于網絡黑客或其他攻擊者的惡意來訪而造成的信息泄露、更改或刪除等風險的發生概率,并且還能利用防火墻對內網的不良行為進行屏蔽和過濾,可以使網絡環境得到凈化,保障網路信息的正常運行。

1.2.2隱藏IP地址如果IP地址泄露被黑客掌握的話,那么他們常常將攻擊的目標定位在IP地址上,展開對這個IP的惡意攻擊,例如Floop溢出攻擊和DoS攻擊,就是在黑客們通過對網絡探測技術尋求到主機的IP地址之后展開的惡性攻擊。因此將IP地址隱藏是規避安全風險,防止黑客入侵的一個重要舉措。隱藏IP地址最有效的做法是使用服務器,因為計算機用戶使用服務器的話,即使黑客利用網絡探測技術來探測主機的IP地址,他們探測到的也只是服務器的IP地址,對于用戶真正的IP地址是探測不到的,這樣一來就可以很有效的防止黑客的攻擊,保障用戶的上網安全。

1.2.3防止黑客入侵黑客的攻擊活動不僅僅只是對用戶的IP地址進行入侵,他們的攻擊活動幾乎無處不在,為防止網絡黑客的惡意入侵還需要做好一下幾點防范措施。及時,不要隨意對陌生郵件進行回復。有些網絡黑客會通過釣魚網站冒充別人的身份向計算機使用者發送一些看上去很正規的郵件,在郵件中會常常會要求用戶填寫用戶名、密碼等個人信息。由于有些計算機用戶自身的網路安全意識較為淡薄,對郵件發出者的身份深信不疑就會將個人信息輸入到郵件之中并進行回復,這樣一來網絡黑客就可以隨意進入這些計算機使用者的郵箱開展破壞性活動,因此對于陌生的郵件不要輕信和回復。第二,黑客入侵的另一個常用手段就是利用字典攻擊技術獲取Administrator帳戶的密碼,因此計算機用戶要注意將Administrator帳戶進行重新配置,可以選擇比較復雜的密碼對Administrator帳戶進行密碼保護,并且進行重命名,之后再創建一個新的普通權限的Administrator帳戶用來迷惑網絡黑客。這樣一來,網路黑客同樣不能確定哪個才是真正的擁有管理員權限的Administrator帳戶,從而減少他們的侵入破壞。

2.小結

計算機網絡已經成為如今人們生活、學習、工作中十分重要的組成部分,發揮著舉足輕重的作用,但是其自身存在的安全隱患會對人們甚至整個社會帶來較大的破壞,維護干凈安全的網絡環境是每個計算機工作者共同努力的方向。針對計算機網絡存在的信息安全問題進行具體的了解,制定切實有效的防范策略則是提高網絡信息安全性的關鍵所在。

信息安全論文:社保信息安全論文

隨著參保人數的不斷增多,人口流動的加快,__縣社會保險業務管理的信息量急劇膨脹,社會保險信息系統數據存儲、處理能力所面臨挑戰的不斷升級。社會保險信息系統的運行穩定與否影響著社會保險經辦機構社會服務及自身管理水平。如何更好地理順各險種之間的關系,更好地服務于社會,確保信息系統更高效、安全地運行,充分發揮信息系統在社會保險方面的巨大作用,是推動__社會保障事業進一步發展的當務之急。因此,適時升級社會保險信息系統,提高其安全性,信息處理速度,數據存儲能力成為社會保險經辦機構推進信息化建設的重要課題。

目前,隨著__社會保險信息系統建設的不斷深入以及網絡技術的發展,基于因特網的網上應用已開展。如參保單位的網上申報、網上繳費、網上年審以及信息查詢等。這好比一把雙刃劍,一方面提高了工作效率,受到經辦機構和參保單位的歡迎。另一方面也容易造成利用互聯網進行信息的篡改、竊取成為可能。如果一旦出現安全風險,將會大范圍影響正常業務工作的開展,影響人民群眾的切身利益,甚至引發社會不穩定問題。因此,確保信息系統安全,不僅僅是一個簡單的技術問題,而是一個重大的政治和社會問題。我們還要清醒地看到,隨著互聯網技術的發展,為滿足人民群眾在互聯網辦理業務的需求,內外網之間要進行數據交互,必然要增加接口,風險點也隨之增加。在方便人民群眾的同時,也使基金安全和信息安臨新的挑戰。因此,系統的安全性將直接影響系統的正常運作與其政務辦公的有效性、穩定性以及高效性,所以系統的安全體系建設至關重要。

目前社會保險覆蓋面逐漸擴大,參保人數、范圍向規模化方向發展,社會保險業務量和資料數量也在與日俱增。社會保險工作的信息量正以前所未有的速度急劇膨脹,服務內容越來越廣泛,沒有數據存儲能力的信息系統支撐,必然會影響許多業務的順利開展。如何更好地理順各險種之間的關系,更好地服務于社會,確保信息系統更高效、安全地運行,充分發揮信息系統在社會保險方面的巨大作用,是推動社會保障事業進一步發展的當務之急。一是統一管理,建立一個中心。按照“統一建設,應用為先,體制創新”的建設原則,將分散在各鄉鎮和各經辦機構的設備、數據全部集中起來,數據向上集中是縣委、政府的要求,在現有數據大集中的基礎上,積極創造條件,逐步將城鎮基本養老保險數據向縣級集中;將原有的“部分集中、部分分散”管理的模式,向統一集中管理的模式邁進。二是擴大中心的數據存儲設備的存儲能力。通過增加存儲設備實現數據存儲的穩定性。三是對業務專網上的所有業務數據實行每日數據級備份。通過備份軟件自動備份,定期檢查數據備份的日志文件是否正確無誤。

一是加快數據中心建設。數據集中后數據量將非常龐大,這就需要一個非常強大的數據庫來支撐,所以數據中心一定要配備好、最強的硬件設施才能支撐起所有數據的處理能力。二是建立專網,架構三重防護。使用光纖建立與其他網絡物理隔離的獨立的金保工程專網,形成數據安全及時重防護。三是形成覆蓋全部參保人員的“五險合一”的社會保險資源數據庫管理系統。徹底解決社會保險各險種數據不集中、標準不統一,管理“粗放”、“簡單”的落后管理方式,建立存放集中、標準統一,管理“精細”、“嚴密”技術先進的社保數據庫系統,規范社保業務的數據流和信息流。

總之,社會保險關系到千家萬戶,關系到__每位參保人員的切身利益。社會保險管理信息系統的建設是建立和完善社會保障體系的技術支撐,一套完整的社會保障體系的建立不是一蹴而就的事情,需要循序漸進。社會保險信息系統的建立和不斷完善,需要從上到下全體社保人員齊心協力,共同推進。高效、安全的社保新系統不僅實現了社會保險業務的全程信息化管理,而且將提高社會保險對社會公眾的服務水平??梢灶A見,以公共信息服務和提高社會化管理將成為社保信息化建設的重點。社會保險經辦機構將逐步實現以無紙化辦公、網上異地辦公、網上召開不同地區的可視會議等一系列現代化辦公方式,將管理和服務水平邁上一個嶄新的臺階。隨著日新月異的信息技術手段的廣泛深入的應用,社會保險信息系統也將隨之不斷發展完善,社會保險事業必將會有更廣闊的發展前景。

信息安全論文:網絡信息安全管理策略論文

摘要:

在網絡盛行的今天,其重要作用不言而喻。但網絡中也存在著很多的漏洞,這些漏洞的存在嚴重威脅著信息的安全。文章針對網絡信息安全以及保障信息安全的技術進行了詳細論述,并提出了合理的建議。

關鍵詞:

網絡信息 問題處理 管理策略 安全措施

網絡的使用使人們的生活更加快捷方便,也使得人們的視野更加寬廣,甚至使事業蒸蒸日上,在網絡給人們帶來好處的同時,也帶來了一定程度上的嚴重后果。例如:加密數據的損失以及安全系統的崩潰等,因此解決網絡安全隱患就顯得尤為重要。

1網絡信息安全的具體描述

在科技尚不發達的年代,人們并不關注網絡,更不了解何為網絡信息安全,但隨著電腦的普及,網絡深入人心,網絡信息安全愈發受到重視。但何為網絡信息安全,其實并沒有很明確的定義,因為不同的領域或國家有不同的規定。同時,隨著時代的發展,人們對信息安全的要求也更深一步,再加上現有網絡信息不光只是單純的信息,還混合人和技術,所以現代信息安全更加嚴謹、慎重。本文所說的信息安全一般是指一個獨立國家的社會信息化狀態及其信息技術不受到外來的影響與侵害。所以要確定信息是否安全就要充分了解信息所在的這個傳遞載體及網絡,同時也要明白信息安全本身的具體特性。信息安全的特性有:(1)完整性。即信息在存儲和傳輸過程中不存在任何的破壞遺漏等現象。(2)可用性。即所屬信息是合法的。(3)保密性、可控性。即授權方可以有效控制信息的去向等。(4)性。即信息真實質量保障受到客戶認可。簡單來說,信息安全就是在保障信息安全不損壞的基礎上傳輸到指定地點。

2常見的網絡信息安全問題

網絡信息安全問題主要分為2類:一種針對信息本身的安全,另一種針對傳輸載體網絡的安全。任何一種都會造成網絡信息安全問題。綜合來看,主要分為人為影響和軟件或是系統本身存在的不足。人為影響有無意識行為,如操作出問題或者不會使用隨意與人共享密碼等;惡意攻擊行為,主要代表是電腦黑客的存在,如利用編寫的病毒程序刻意攻擊用戶電腦,或是在客戶正常使用時,對信息進行攔截等?,F有情況下,對網絡信息安全傳輸的影響方式主要有信息的攔截破譯、信息的偽造、信息的中斷和信息的篡改。主要信息出現一丁點的紕漏都不能保障其完整性,所以都會造成信息安全問題。

3現有維護網絡安全的技術

3.1“防火墻”安全保障技術

防火墻是一個針對多個網絡中訪問權限控制的網絡設備,主要為了保護本地網絡安全不受外來網絡攻擊。簡單地說,防火墻就像二極管,對己方網絡起到趨利避害的作用,而對外來網絡則詳細檢查,在確保信息安全的情況下才會允許進入,若不安全則會阻止進入。相對地,防火墻也存在特有屬性:首先是針對數據的雙向篩選,即不僅是從外部網絡進來的數據要審查,內部網絡流出的數據也同樣要接受審查。其次,符合規定的信息數據才能通過。再有,具有防侵入作用,即在未知來源的軟件或是數據進入時會自動阻止,防止攻擊原有網絡信息。這樣就能在一定程度上保障網絡信息安全。當然,防火墻技術的使用也存在一定的問題,主要是在使用防火墻時會對網速等造成影響,所以在使用防火墻技術前應考慮清楚是否要安裝。

3.2針對數據的加密技術

數據尤其是一些機密的數據非常重要,所以要重視數據的安全,而加密技術的產生就是為了保障數據不被竊取或者銷毀。數據加密就像是為數據在原有基礎上重新加上一把鎖。只有使用者才擁有打開保護數據的鎖的鑰匙,而其他非法者都沒辦法解讀其中的數據。一般數據加密有2種:即線路加密和端對端加密。2種方法的區別就在于一種是針對傳輸線路進行加密,而另一種則是在端的兩頭加密。具體分為對稱加密和非對稱加密。對稱加密就是加密解密密鑰,這種加密方式在一定程度上簡化了操作過程,但其安全性就有一定程度的下降。非對稱加密就是一對密鑰一個負責加密另一個負責解密,2個密鑰不一樣,這樣提高了數據安全性,因為要想破譯加密數據就要同時解讀2個密鑰,相對地,難度就會增加很多。其中非對稱加密的典型代表就是數字簽名,通過“簽名”對數據進行加密,在通過給定密鑰解讀簽名來達到解鎖數據。其中最主要的是密鑰,因此對于密鑰的管理就很重要。無論是從其產生作用到銷毀都要嚴格管理。對于對稱型密鑰來說,只要買賣雙方達成共識,互相保障交易過程的安全保密性,就能使對稱加密過程更加簡單,同時還使原有的難以區分的問題得到解決。

3.3控制訪問權限的技術

顧名思義就是對所有的要求訪問的用戶按照自己的意愿進行對應的權限控制,對于那些帶有惡意的用戶杜絕訪問,減少了本地網絡信息的泄漏,更好地保護了信息的完整性。該技術是保護信息安全的重要手段,也是網絡中比較基礎的保護方式。但是,也存在一定的不足之處,如沒有阻止被授權組織的能力。現今主要常見的控制訪問權限的技術有:自主訪問控制、強制訪問控制及基于角色的訪問控制。所謂自主訪問控制即現有信息所屬者擁有想讓誰能訪問的設置權限,即可以根據自己的情況按照自己的意愿來設置。這樣就能在一定程度上過濾出一些不安全因素。再有,為保護個人信息等還可以自行設定額外的保護鎖,就像騰訊QQ中空間相冊可以有選擇的另行設定密碼是一個道理。而強制訪問控制就是不受用戶控制的,直接聽命于生產方的那些。通俗來說就像你買一臺電腦,電腦本身有很多系統是買來就帶有的,且自己無法更改或刪除的,這些系統就稱為強制訪問權限?;诮巧脑L問控制就是根據各部分數據或信息的不同,將之指定為不同的角色,在使用時直接根據角色的不同選擇對應的訪問權限,從而達到控制權限的效果。區別于常見類型的主要是中間角色的加入。認識到了所謂的訪問控制,不得不看看訪問控制機制又是怎樣工作的。常見的技術支持有入網訪問控制,就是對于登錄使用時的權限控制;權限控制,即設定所擁有數據信息哪些能被訪問,哪些不能被訪問的技術;目錄級安全控制,即在一定的級別區間內只能對此區間的數據等起到效果,沒辦法越級控制;屬性安全控制,服務器安全控制,一般可鎖定服務臺或是鎖定登錄時間,只能在規定時間登錄。這樣就能有效保護數據安全不被破壞。

3.4虛擬網專業技術

就目前來看,針對網絡信息安全問題最有效的就是虛擬專用網技術的研發,所謂虛擬專用網技術簡單來說就是在公共網絡中建立一個專用的信息通道,使得所需傳遞的信息能夠安全的傳遞。

3.5針對是否有入侵現象的檢測系統

就是隨時隨地對網絡信息進行保護防范作用,及時檢測是否有不安全因素的闖入,保障信息的安全。其操作流程是:首先對安全行為進行分析了解,然后查看系統各部分是否有漏洞,再掃描到已有攻擊時應作出提醒,并將其記錄在案,看所傳輸數據是否安全完整等。當然,還有很多維護網絡安全的技術如身份認證技術、安全隔離技術等,正因為這些技術的存在才能使現在網絡信息的安全。

4頻發網絡安全事故及其應對策略

由于網絡系統的開發過程中總是伴有漏洞的產生,而漏洞不能及時安裝補丁加以修復,往往會遭受網絡攻擊,但是網絡攻擊又有很多種攻擊方法,有拒絕服務的攻擊,就是攻擊者使計算機不能正常提供服務,此類攻擊一般伴有特定現象如被攻擊對象中有很多TCP連接在運行,或是網速被拖慢導致無法有效與外界溝通交流等。還有利用型的攻擊,對于此類攻擊一般采用設置晦澀的口令或是下載安裝特洛伊木馬等方式來預防。再有就是收集信息類的攻擊,其主要包括信息掃描技術即專門針對網絡地址,連接端口的掃描并根據反響映射來找出自己所需要的信息的技術總和;對于體系結構的試探檢測,是利用不同的信息服務。還有就是利用虛假信息來進行有效攻擊的手段,像虛假的郵件、系統軟件等。在網絡安全事件多發的時候,為保障信息安全性就一定要進行有效的防治。首先要隨時預防病毒的進入,對于重要數據信息要及時進行備份與恢復,要認識到網絡安全的重要性。在對木馬病毒的防治上,應首先認識到病毒侵入的常見表現,有運行速度變慢,莫名的死機或是有異常的電腦顯示等。其次就是要安裝殺毒軟件。再有就是要把各個磁盤里的無用東西進行徹底的清除,則是把各系統硬盤中的垃圾等無用的東西清理掉,保障電腦的通暢運行,這樣才能減少病毒藏匿于各垃圾軟件中的概率,只有將這些無用軟件都清理掉才能有效防止病毒的入侵,保障網絡信息的安全。

5加強網絡安全建設

隨著科技的進步,使用網絡的人也越來越多,通過網絡進行交易的人也越來越多,此時的網絡不單只是娛樂休閑的代名詞,網絡中所傳輸的信息更加重要,上至國家要事,下至百姓生活都與網絡有著千絲萬縷的關系。因此網絡安全就成為關注的重點。只有網絡安全,網絡中所傳輸的重要信息才能獲得好的保障,才能使社會和諧,國泰民安?;诖耍瑧槍ΜF在網絡中存在的潛在威脅及常見漏洞提出相對應的解決方式,借此加強網絡安全建設。首先,應從國家層面重視網絡安全,制定有效的政策制度來規范網絡運行及保障網絡環境。但網絡問題又是千奇百怪的,所以需要政府采用適當的方式方法來解決問題,并提高網絡防御力。只有網絡環境安全健康了,信息安全才能得到有效的保障。其次,應針對網絡的使用者,即深刻認識網絡安全的重要性。在購買電腦設備時就應該保障其質量,不要貪圖便宜吃大虧,還有就是在買入設備后一定要及時下載安裝防毒殺毒軟件,預防病毒的入侵,保障網絡環境的干凈。再有就是要及時清理電腦各硬盤磁盤中不使用的軟件安裝包等,保障電腦的運行,也減少病毒的藏匿。,網絡系統的開發者應認真編寫系統程序,減少系統漏洞的產生,這樣就能加強網絡安全建設。

6結語

綜上所述,現在有很多針對網絡信息安全的科技,減少了網絡問題,而且更多的新科技也在研發中。也就是說,網絡安全問題的加強指日可待,但就目前來說,只要從各個方面提高保護意識,就能從一定程度上提高網絡安全性。只有保障網絡安全,人們才能更加放心地使用網絡創造更多的財富與文明,使這個社會更加穩定和諧,使國家繁榮昌盛。

作者:李蟾膺 單位:民航西南空管局

信息安全論文:信息安全專業操作系統課程教學論文

一、引言

信息是社會發展的重要戰略資源。隨著信息技術的發展,國際上圍繞信息獲取、使用和控制的爭斗愈演愈烈,信息安全已成為維護國家安全和社會穩定的重要因素之一,并且國內外都給予了極大的關注和投入。因此,如何加強信息安全學科建設,促進信息安全專業課程改革,為國家和社會培養出符合社會需要的復合型、應用型信息安全專業人才是當務之急。操作系統課程是計算機科學與技術、信息與通信工程的核心課程之一,信息安全專業設置后,操作系統課程也是信息安全專業的核心主干課程之一,其重要性是毋庸置疑的。為了適應信息安全專業的需要,高校應對操作系統課程進行改革,結合信息安全專業的培養目標,將信息安全專業知識滲透到操作系統的教學內容中,做到課程間的有機結合,使學生能夠將信息安全理論融入到操作系統設計中,為后續的課程打好專業基礎。本文將從理論教學和實踐教學兩個方面,討論信息安全專業操作系統課程的教學改革。

二、理論教學改革

操作系統是計算機中最重要的軟件,它能夠對計算機的硬件和軟件進行有效的統一管理,便于用戶使用計算機。操作系統課程是計算機類專業一門重要的基礎課程,其教學內容主要包括進程管理、處理機調度與死鎖、存儲器管理、設備管理和文件系統五大部分。系統安全問題是信息安全的一個重要研究方向,但是在傳統的操作系統課程中并沒有涉及到信息安全的相關知識,信息安全專業學生在學習完操作系統課程后,無法將其所學的知識與現有的系統安全問題相結合。因此,針對信息安全專業的特點,理論教學改革應先從教學內容入手,將信息安全中的系統安全技術與操作系統課程的現有內容整合,通過講授操作系統各個部分的實現原理,讓學生深入了解對應系統安全產生的原因和解決方法。如在講授內存管理時,傳統操作系統課程的教學內容需要學生掌握操作系統是如何對內存進行分配、回收和調度。在信息安全專業的操作系統課程中,可以將緩沖區溢出的原理加入其中,使學生真正了解緩沖區溢出攻擊的實現方法和預防手段。通過上述將操作系統教學內容和信息安全知識有機的結合起來、相互滲透,學生對操作系統原理和系統安全知識的理解會更加透徹,同時為后續的計算機病毒與原理、網絡攻擊與防御、逆向工程等信息安全專業課程打下了堅實的基礎。

三、實踐教學改革

實踐教學內容是信息安全專業課程的一個重要環節。為了培養符合社會需求的工程性應用人才,在信息安全專業課程的教學過程中,強調理論和實際相結合的教學方法,在保障理論教學的基礎上,強調實踐教學,提高學生的工程實踐能力。本節將從實驗教學、課程設計和實踐活動三個方面來討論如何對操作系統課程的實踐教學內容進行改革。

1.實驗教學。

為操作系統課程開設合適的實驗項目是非常困難的,主要問題在于很難找到合適的實驗環境,大多數的操作系統相對于學生來說,太大、太復雜,學生很難在短時間內將操作系統的設計結構和實現代碼弄清楚。盡管可以讓學生分塊的實現操作系統的各個功能,如CPU調度、內存管理等,但是在復雜操作系統中,改變其中的一個功能模塊,其工作量也是非常巨大的。因此,在選擇操作系統作為課程環境時,需要考慮以下問題:(1)所選操作系統的體系結構和實現方法要盡量簡單,便于學生快速掌握系統的實現框架,理解各部分的實現思路和方法。(2)所選的操作系統源代碼完整且公開。學生可以通過在學習現有操作系統源碼的基礎上,深入理解操作系統的設計原理。(3)所選操作系統有相應的說明文檔,便于學生學習,培養學生的程序設計思維。(4)所選操作系統允許程序員修改,可以重新編譯、運行。允許學生對操作系統代碼進行修改,是對學生實踐能力培養的重要手段。學生根據課上所學的理論知識,可以自行修改操作系統功能,并且便于教師添加信息安全的相關實驗。根據以上幾點,Minix系統是較適合作為操作系統課程實驗環境的系統,而且Minix系統中已經包含了一些安全機制,如特權管理和訪問控制。在操作系統課程的實驗教學環節中,首先要求學生根據所學理論知識讀懂對應的Minix系統源代碼,然后要求學生分模塊的實現對應功能。操作系統原理課程與教學內容同步的實驗學時為20學時,除了傳統操作系統實驗內容:進程管理(4學時)、進程通信(2學時)、內存管理(4學時)、文件系統(2學時)之外,實驗內容中還添加了信息安全相關實驗緩沖區溢出(2學時)、訪問控制(2學時)、加密文件系統(2學時)、資源競爭(2學時)。實驗內容包括驗證性和設計型兩類實驗,培養了學生的實際動手能力。

2.課程設計。

除了與操作系統課程同步的實驗教學之外,還可以開設課程設計,讓學生能夠利用所學操作系統知識,開發、實現相關工具,培養學生的綜合設計、開發能力。操作系統課程的實驗教學內容是讓學生分模塊的設計、實現操作系統功能,此類實驗對學生理解操作系統的整體架構和工作原理幫助不大,學生無法將各個小的功能模塊聯系成為一個完整的管理軟件,即操作系統。而課程設計的目的是將操作系統課程和其他信息安全相關課程的教學內容相整合,最終實現能夠滿足實際需求的工程項目。課程設計相對實驗教學來說內容較豐富,需要學生組隊、合作完成對應的課程設計項目。針對信息安全專業的特點,可以考慮添加與信息安全相關的實驗項目,如PE(PortableExecutable)文件分析、Windows病毒開發、系統安全工具開發等。通過上述實驗項目,讓學生在了解操作系統原理的基礎上,開發實用的信息安全軟件和工具。通過開設課程設計,既能鍛煉學生的實際動手能力,又能培養學生的團隊協作能力。

3.實踐活動。

除了課堂教學之外,鼓勵學生參加各項實踐活動也是非常有必要的。組織學生成立大學生創新團隊,指導學生申報大學生創新性實驗項目,參加校內外舉辦的信息安全競賽都是提高學生實踐能力的途徑。本校每年都組織本專業內、校內、省內及全國信息安全競賽,同時積極鼓勵學生參加校外信息安全競賽。在此類競賽中一個重要的考核部分是關于系統安全,即對操作系統漏洞地挖掘和利用,通過以學科競賽為平臺,將操作系統教學引向縱深方向,實現了理論與實踐的有機結合,優化了學生的知識結構,促進了學生與其他高校學生和教師的交流,以比賽來使學生得到進步。此外,學院還邀請其他高校、公司有經驗的教師、的校友和技術人員來校講座,增加學生對外溝通和交流的機會,讓學生能夠接觸到新的、實用的業界動態,為今后工作做準備。從實踐活動效果來看,學生的實際開發能力提升很快,能夠將理論知識更好地融合到實際開發中。此外,實踐活動還可以促進學生創新團隊建設,通過高年級帶動低年級學生,使新生能更早、更快地融入到專業學習中。本校通過幾年的嘗試,取得了初步成績,學生在各項信息安全賽事中取得了優異的成績,培養出來的學生也受到了用人單位的認可。

四、結論

信息安全學科是一個交叉學科,它需要以計算機、電子、數學等學科的基礎知識作為支撐。如何在其他學科的課程基礎上,針對信息安全專業特點,獨立建設和發展信息安全專業相關課程是需要不斷探索的課題。本文從信息安全專業核心課程操作系統出發,針對該課程的理論教學和實踐教學兩方面進行探討,提出了對該課程改革的思路。此項改革,在實際教學過程中取得了良好的教學效果,培養了學生的專業興趣,學生不但獲得了扎實的理論基礎,而且掌握了較強的專業技能,同時也提高了學生以操作系統知識為基礎,應用信息安全相關知識解決實際問題的能力。

作者:閆麗麗 昌燕 張仕斌 單位:成都信息工程大學信息安全工程學院

信息安全論文:中學生信息安全教育探究論文

一、中學生學習信息安全的必要性

1.中學生在信息活動中的重要角色。

在最近公布的網絡調查報告中,我國網民已達到6.49億,其中有38.8%的新增網民仍處在受教育的階段。根據年齡來看,處在10~19歲的網民在總數中已經達到24.1%,網民呈現出低齡化的趨勢,中學生已經越來越多地使用網絡,并參與到網絡信息的各種活動之中。由于中學生年齡較小,辨別能力和對問題的應急處理能力也比較弱,很容易被網絡世界豐富的信息所吸引,在信息活動中被不法分子所利用。另外,中學生對社會的認知不夠,很容易輕信網絡上的有害信息并不自覺地傳播它們。這不僅對青少年自身的發展造成了嚴重的影響,同時也會對社會造成危害,增加社會不安定因素。

2.中學生信息安全意識缺失。

當前,許多中學生沒有信息安全意識。首先,學校相關教育缺失導致他們沒有了解信息安全知識的機會。其次,信息安全教育整體處于初級發展階段,不規范、不成熟、許多已開展的活動也都是形式主義,不能真正幫助中學生應對網絡環境中會出現的種種問題。,學生家庭也沒有認識到信息不安全的嚴重后果,家長對學生的網絡行為缺乏必要的管理和約束,從而導致中學生在不知情的情況下信息安全受到侵害,或是對他人的信息安全造成侵犯。

二、提升中學生信息安全教育的方法

1.提升中學生的安全意識。

首先學??梢蚤_展相關校本課程,或邀請專家來校講座,讓學生了解信息安全的相關法律、法規。其次,應讓學生明辨在何時信息安全會受到侵犯,并學著如何規避有可能帶來的風險。教師向學生展示具體的案例,幫助學生更好地理解信息活動中隱藏的威脅和可能導致的嚴重后果,從而提升他們的安全意識。

2.使用多種教學方式。

首先,學生在課堂上的精力集中,要充分發揮課堂教學的優勢。如編寫安全手冊、制作微視頻、或是在正常教學時使用相關素材等,讓學生有充分機會了解信息安全的相關內容。其次,中學生興趣比較廣泛,可以在第二課堂中滲透信息安全教育。如組建相關學生課題研究小組,讓學生開展研究活動或社區調查,使學生在實踐中提升安全意識、增強防范能力。,還可以開展相關知識競賽、電腦作品競賽、技能大賽等,讓學生更加積極地參與到信息安全活動中來。

3.要充分借助安全機構的力量。

我們現階段對學生的信息安全教育滯后于飛速發展的信息技術,并不是未雨綢繆。然而亡羊補牢,猶未晚矣。教師不僅要重視信息安全教育的基礎問題,也要充分借助安全機構的力量,對于滲透、釣魚和當前各種網絡環境下的熱點問題要有清醒的認識并及時把相關信息傳播給學生。只有這樣,才能做到防患于未然。

4.要提高學生的信息安全素養。

西塞羅說,“習慣的力量是巨大的”。教師要從培養學生習慣入手,提高他們的信息安全素養。如:要在及時安裝殺毒軟件、防火墻、安全組件并定時更新、升級;不要將自己與他人的隱私隨便泄露;重要賬戶要使用復雜的密碼保護并經常更換;不要盲信各種免費服務、中獎廣告;不要打開陌生郵件、短信或網絡;嘗試無痕使用網絡服務;對重要的數據文件進行定期備份等。只有這樣,才能較大限度地避免信息安全風險。

5.師范院校應該重視信息安全教學人才的培養。

從時間上推斷,現階段的在校教師在大學時代很少有接觸到信息安全教育的相關知識,學校缺乏相關專業教師,兼任教師難以勝任相關教育教學工作,信息安全教學效果很低。而信息安全這門學科需要教師具有較強的專業素養和實踐操作能力,已有部分院校開始逐漸重視信息安全教育,也開設了信息安全的相關課程和專業。我們呼吁,師范院校應該重視信息安全教育專業的建設,為培養相關專業型人才而努力。

三、結語

作為網絡時代的必然產物,信息安全威脅已經越來越多地滲透在人們的生活中。許多案例都是由于個人信息泄露被不法分子利用而導致的。因此,積極開展信息安全教育很有必要。對于中學生來講,只有明確各種法規、從思想上重視并養成良好的信息習慣,才能在網絡活動中較大限度地保護自身和他人的信息不受侵犯。我們每個人都應當充分認識到信息安全教育的重要性并積極參與相關活動,才能更安全地享受泛網絡時代下的各項網絡服務。

作者:陳雪林 單位:徐州市第三十七中學

信息安全論文:檔案開放信息安全管理論文

一、檔案開放

(一)檔案開放的必要性。

進入現代社會,互聯網科技十分發達,人們了解獲得信息的渠道,方式多種多樣。無論國家政府的檔案,還是企業公司的檔案,都可以通過合法或者非法的方式進入互聯網,為公眾所知。對于各種檔案,進行嚴密的保管是很難做到的,在當下我們這個信息開放的社會,將檔案開放,方便社會群眾進行了解,使用,對于維護社會穩定,提升檔案的利用價值,提品質案的真實度都有重要的意義。當然,筆者本文所言的具有開放必要性的檔案是具有公共利益性質的檔案,是能夠為人民提供一定服務的檔案。對于國家檔案,很多在一定時期屬于國家機密,是無法對外開放的,但是這并不代表這種檔案沒有開放的必要性,開放的必要性依舊存在,國家的人民有權利了解國家的相關事務,隨著時期的過渡,這些檔案會慢慢解密為社會公眾所了解;對于企業檔案,開放的必要性是針對企業工作的工作人員。企業的領導層以及員工階層能夠方便調取個人以及企業的相關檔案對于提高企業工作效率,團結企業有著重要的意義。

(二)檔案開放的風險性。

當然,檔案的開放具有很大的危險性,存在很大的安全風險。對于國家政府相關的檔案,即使在開放之前,考慮再三,十分謹慎,度過了某一敏感的時期,但是,一些檔案公之于眾之后還是會引起一些波瀾。甚至,政府類的檔案還容易被心懷叵測的社會主義敵對分子利用,借之進行歪解胡說,蠱惑一批無知又容易沖動的民眾,對我們的社會穩定產生很多不利的因素。此外,對于企業或者機關單位的很多檔案,為了方便業內人士提取,使用,進行開放后,往往容易造成個人隱私泄密,單位機密泄密,為不法分子提供可乘之機。總之,開放檔案,既有方便,積極的一面,同時也面臨著很大的風險,存在很大的安全隱患問題。即使開放檔案存在這樣或者那樣,可預知以及不可預知的風險,筆者還是認為,我們不能因噎廢食,還是應該將應該開放的檔案,大膽進行開放。

(三)檔案開放的程序。

所謂的檔案開放程序,就是指檔案開放所需要進行的必要操作,所必須經歷的方法,步驟。只有確立嚴格的檔案開放程序,并且嚴格按照程序辦事,開放符合要求的相關檔案,才能降低開放檔案帶來的風險,同時滿足檔案開放的必要性,發揮開放性檔案的積極作用。不同性質的檔案,開放程序不同,有嚴密繁瑣的程序步驟,也有簡單章程性的程序,這主要根據檔案的重要性來決定。確立明確,嚴明的檔案開放程序,對于檔案的有序、科學使用,檔案信息的保密都有著重要的意義。

二、信息安全管理的方法策略

(一)管理工作人員的培養。

做好信息安全管理的工作我們首先需要一批具備安全管理信息才能的人才?;ヂ摼W時代的飛速發展,為我們的社會培養了很多具有互聯網知識,IT行業技術的高端人才。我們只要對這些人才進行短期的信息安全管理的培訓工作,就能夠使這些人才勝任信息安全管理的工作。做好信息安全管理工作的首要一步是引進綜合素質過硬的人才,并對這些人才進行必要的職前培訓,只有這樣,企業單位的信息部門才能做到信息的科學,安全管理。既為企業單位提供開放信息帶來的便利,同時還要保障信息的安全。

(二)嚴格管理制度的確立。

確立嚴格,完善的安全管理信息的相關規章制度,并嚴格遵守,一切按照規章制度辦事,任何人在一般情況下都不能破壞規章制度,調取信息。企業和單位為了做好信息安全管理的工作,就要自上而下嚴格遵守企業制定的信息安全管理的規章制度。現代企業和事業單位的管理,都要以嚴格的,先進科學的管理制度進行管理,在信息管理部門同樣是如此,好的制度為信息安全管理提供有效的保障。

(三)安全的設備。

檔案的管理人員在對檔案進行收集與整理的過程中就應該對文件做一個明確的分類,并進行的編號。同時要隊文件的資料做一個科學合理的分類與陳列,或者是可以依照不同的部門而對其進行分類。提高報關信息設備的安全性。企業和事業單位的信息部一定要完善處理,保管信息的設備,提高信息管理工作需要的硬件以及軟件設備的水平。高水平的硬件,軟件設備不僅能夠提高信息利用的效率,同時還能夠提高對信息的保護層級,防治外來黑客對信息進行竊取。

(四)監督審查措施的常態開展。

為了保障信息的安全,要確立嚴格的監督制度,對單位的信息進行嚴格的監督,并且做到自下至上的,分工明確,責任明確。成立專門的信息監督小組,通過互聯網以及其他相關的技術設備對信息進行監督,管理。對單位的信息要做到定期系統管理,每隔一段時間,對單位所有的信息進行分門別類,系統的管理,淘汰無用的信息,保障信息的時效性。同時,要確立嚴格的審查,追責制度。首先,定期對信息進行審查,保障信息管理工作的安全,其次,對于信息被濫用,泄露等惡劣事件,要做到嚴格追責,嚴厲懲罰。

三、結束語

有些檔案具有開放的必要性,在當今互聯網時代,將部分檔案開放,有利于提品質案的使用價值,提升人民群眾的法治觀念,維護社會以及互聯網環境的文明,合法。同時,將檔案信息開放面臨著很多的風險,但是我們不能因噎廢食,該開放的檔案信息還是要積極地進行開放,只是我們必須要完善我們的信息安全管理制度,并且培養大批從事信息安全管理工作的人才。只有做到嚴明制度,謹慎管理,我們才能夠一面發揮檔案信息開放的積極作用,同時還能保障檔案信息的安全,防止檔案信息被非法濫用。

作者:劉曉峰 單位:洮南市中小企業服務中心

信息安全論文:工程哲學信息安全論文

1以“三元論”的視角審視信息安全管理體系

1.1科學、技術和工程“三元論”

Mitcham提出工程哲學(EngineeringPhilosophy)詞匯,并闡述哲學對工程的重要性,但是他認為工程處于技術之下,是技術的一部分,而李伯聰教授則認為科學、技術和工程是彼此獨立的個體,彼此既有聯系又有區別,科學、技術和工程“三元論”是工程哲學得以成立的基礎??茖W活動是以探索發現為核心的活動,技術活動是以發明革新為核心的活動,工程活動是以集成建構為核心的活動。人們既不應把科學與技術混為一談,也不應把技術與工程混為一談。工程并不是單純的科學應用或技術應用,也不是相關技術的簡單堆砌和剪貼拼湊,而是科學要素、技術要素、經濟要素、管理要素、社會要素、文化要素、制度要素以及環境要素等多要素的集成、選擇和優化?!叭摗泵鞔_承認科學、技術與工程存在密切的聯系,而且突出強調它們之間的轉化關系,強調“工程化”環節對于轉化為直接生產力的關鍵作用、價值和意義,強調應努力實現工程科學、工程技術和工程實踐的有機互動與統一。

1.2信息安全管理體系的工程本質及特點

信息安全管理體系是基于業務風險方法,來建立、實施、運行、監視、評審、保持和改進信息安全的,包括組織結構、方針策略、規劃活動、職責、實踐、程序、過程和資源等內容。信息安全管理體系的支撐標準為ISO/IEC27000標準族。在ISO/IEC27000標準族中,不但給出了“建立、實施、運行、監視、評審、保持和改進信息安全的”“基于業務風險(的)方法”,而且還給出了信息安全管理體系的要求、實用規則、審核指南以及相關安全域的具體指南等。例如,僅GB/T22081-2008/ISO/IEC27002:2005信息安全管理實用規則,就包括了11個控制域,39個控制目標,133項控制措施。信息安全管理體系可在不同的學科中找到其淵源,在實施框架上,信息安全管理體系應用了質量管理中的Plan-Do-Check-Act的戴明環,在具體的控制措施上,則包括了密碼學、人員安全以及各類信息安全技術,其研究的特點是將科學思維、工程思維和社會思維相結合,但更強調工程思維的“設計”理論。工程研究活動不同于科學研究活動的基本特征就是“設計”。工程設計活動包括對象設計和過程設計。例如,建造水壩的壩體設計是對象設計,如何實施就是過程設計,在信息安全中,設計組織自己的信息安全管理體系是對象設計,設計如何部署是過程設計。

2信息安全管理體系的演化過程與規律

2.1信息安全管理體系的起源和發展

信息安全管理體系是建立在體系(System)化基礎上的“實踐集”,到國際標準的正式公布,大致經歷了3個階段。及時階段為過度關注技術,忽略人的作用的“技術浪潮”階段,在這個階段涌現出了大量的信息安全技術產品,例如,防火墻、防病毒和入侵檢測系統(IDS)等。第二階段為強調人的作用的“管理浪潮”階段,在這個階段大部分企業開始設置專職的信息安全管理崗位,以加強對個人行為的控制。第三階段即“體系階段”,在體系階段信息安全以目標為導向,不再局限于手段的應用,而是技術、制度和人員管理等各個方面的有機結合。這個階段是信息安全的工程化階段,體現了工程的實踐性、經驗性、繼承性、創造性和系統性等特點。

2.2信息安全管理體系的動力和機制分析

信息安全管理體系的產生和發展過程是一個“需求驅動”的過程。AlvinToffler在其經典著作《第三次浪潮》中,將人類發展史劃分為及時次浪潮的“農業文明”,第二次浪潮的“工業文明”以及第三次浪潮的“信息社會”。在信息社會時代,“信息”成為重要的生產資料,價值非凡,因此面臨諸多風險,為保護信息,安全需求的出現是必然的。科學與技術的進步是信息安全管理體系的推動力。新密碼算法的產生,各類以“信息技術解決信息安全”的思路涌現,為信息安全管理體系的產生奠定了基礎。信息安全產生的本質原因是信息技術的發展和應用,反過來,解決信息安全問題又依賴于信息技術的發展。例如,速度更快,與防火墻形成聯動的入侵檢測系統。國家政策是信息安全管理體系應用的導向力。任何工程活動都是在社會大系統中開展的,都要接受國家(政府)的引導和調控。對工程創新的應用,企業的認識往往是滯后的,因此,國家出臺了一系列引導性政策。例如:商務部印發的商資發[2006]556號及商資函[2006]110號,以及各地方政府的鼓勵引導政策。

2.3信息安全管理體系的工程演化特點、方式和規律

對比國外,信息安全管理體系在國內發展體現出了明顯的跳躍性,這種跳躍性不但體現在信息工程領域,也表現在其他諸多領域。國內一般不會沿襲其循序漸進的路線,而是直接引用國外的先進經驗或者在國外已有的原型上進行模仿開發。在科學、技術和工程3個領域內,與文化、制度、歷史等環境因素聯系最緊密的就是工程。在信息安全領域內,作為基礎科學的密碼學,其算法“放之四海而皆準”,不會因東西方文化的不同而顯現不同的特征,絕大部分技術亦如此。但在工程層次,不同的文化制度有時會產生大相徑庭的結果,例如,騰訊QQ本來是模仿國際聊天軟件ICQ,但是經過十幾年的發展后,ICQ,MSN等點對點國外聊天軟件均瀕臨破產,但QQ在線用戶卻在2010年突破1億。信息安全管理體系雖然修改自國際標準,但也顯現出鮮明的文化特征。例如更強調保密性,和國外用戶相比,更多的認證取向等。

3信息安全管理體系的工程思維與工程方法論

3.1信息安全管理體系的工程思維

科學思維是“反映性思維”“發現性思維”,體現理論理性的認識,工程思維是“構建性思維”“設計性思維”和“實踐性思維”,體現實踐理性的認識。科學家通過科學思維發現外部世界中已經存在的事物和自然規律,工程師在工程活動中創造出自然界中從來沒有的工程構建物,工程設計是以價值當事人的特定需要為出發點,以構建某種與主體需要相符合的實體為歸宿的籌劃。信息安全管理體系標準族的GB/T22080-2008/ISO/IEC27001:2005原文中特別強調:“采用ISMS應當是一個組織的一項戰略性決策。一個組織ISMS的設計和實施受其需求和目標、安全要求、所采用的過程以及組織的規模和結構的影響,且上述因素及其支持系統會不斷發生變化。按照組織的需求實施ISMS是本標準所期望的,例如,簡單的情況可采用簡單的ISMS解決方案?!毙畔踩芾眢w系的部署過程也專門設有信息安全風險評估,目的就是找到企業實際存在的問題,然后“對癥下藥”。

3.2信息安全管理體系的工程方法論

信息安全管理體系應用了PDCA戴明環,與A.D.Hall的系統工程方法略有差別,但在本質上是遵循這個基本框架的。

4結語

信息安全管理體系既包括數論、密碼學和近世代數等科學元素,也包括軟件開發技術、單片機技術和網絡技術等技術元素,在工程哲學的視野下,是建立在一系列科學與技術基礎上的集成創新。在工程創新成為創新活動主戰場的今天,對其進行哲學分析,顯得尤為重要。這其中包括以下幾點。首先,要辯證地對待便利性與安全性的問題。正確利用信息系統,不僅是技術問題,也是哲學命題。堅持用“兩點論”的觀點看待便利性和安全性,在信息化發展的不同階段,正確分析主要矛盾和次要矛盾。在信息化發展初期,信息系統尚未大規模使用,主要矛盾是便利性,提高效率,但到現在,信息安全事件層出不窮,美國甚至成立了網絡戰爭司令部,信息戰成為攻擊手段之一,安全性就成了主要矛盾,“兩點論”是有重點的兩點論,要在看到主次矛盾和矛盾的主次方面的同時,分清主次,抓住主要矛盾和矛盾的主要方面。其次,從信息安全管理體系演化規律中發現集成創新的一般規律。科學、技術轉化為現實生產力的功能一般都要通過工程這一環節,因此,在我國建設創新型國家戰略的實施過程中,工程創新是一個關鍵性的環節。只有從大量的工程中發現工程創新的一般規律,從工程哲學的角度加以分析、歸納和引導,才能創新信息安全管理體系建設,發揮我國信息化發展的后發優勢。

作者:劉鵬照 官海濱 謝宗曉 單位:青島職業技術學院南開大學商學院

信息安全論文:大數據時代信息安全論文

一、“大數據”時代概述

1.定義

大數據作為新的經濟資產類別,與土地、石油、黃金、貨幣等并列成為經濟運行的根本資源,關于其概念定義不是最近出現的,只是在信息化時代的驅動下,重新進入人們的視野,甚至被稱為第三次浪潮的華彩樂章。而關于“大數據”的定義,顧名思義就是指數量很大的數據,包含了數量大、結構復雜、類型眾多的多種數據,因此又被成為海量資料,是一個大型的數據集合。美國早在2012年就正式啟動了大數據研究與開發計劃,投資2億美元提升收集、分析、萃取數據信息的能力。由此可見,大數據時代的到來,使得數據成為各個國家以及各大企業競爭的核心,更可能取代人才成為具價值的重要載體,利于進一步優化運營企業發展。

2.特點

根據大數據的定義可以明顯看出其具有數據量大、形式多樣、運算高效、產生價值等4個特點,業界更多使用4V來概括,即Volume、Variety、Velocity、Value。其中數據量大是大數據的顯著特點,也是計算機網絡存儲技術發展必然結果,在計算機相當普及的今天,計算機網絡滲透人們的生活、工作、休閑,不但的產生新的數據,此外傳感器、探測器等也在產生數據,致使開始使用PB、EB甚至ZB等計數單位。同時,大數據又是多種多樣不同類型的數據構成,如:字符、日期、聲音、視頻、數值、動畫等,加速數據量增長的同時,提升了大數據的利用價值。由于大數據數量的巨大以及形式的多種多樣,因此在進行數據處理時,更多的要求實時與高效,便于及時根據數據結果決策。當然,大數據的大量使用及推廣,不僅僅是因為其具有大量的數據,更重要的是通過對數據的深度采集、分析、處理、挖掘,可以對大數據的數量、多樣性、速度進行分析,萃取更多深入的職能的有價值的真正有用信息,最終產生價值。而對大數據進行信息萃取的過程包括數據輸入、數據處理與數據輸出三階段。

二、“大數據”時代背景下信息安全存在的主要問題

大數據時代的到來,對全球經濟發展來說既是機遇又是挑戰,在推進國家與企業發展的基礎上,也潛藏著信息安全風險。

1.缺乏對大數據時代的正確認識

計算機信息網絡的大規模普及推廣,是促使大數據時代到來的主要推力,無論是人們在生活工作中的郵件傳遞,還是網購、下載視頻音樂等都會產生新的數據,也存在著個人信息泄露的可能性。進入大數據時代后,信息泄露事件層出不窮,甚至導致個人數據的權利邊界都更加模糊,在這樣的環境下,人們對大數據時代的認識還不夠。通過對大數據時代人們最關注的調查分析,發現74.91%選擇了個人隱私被侵犯,9.97%選擇了經濟損失,8.93%選擇了浪費時間與精力,5.84%選擇了危害個人聲譽,0.34%選擇了沒有損失。根據這一調查可見,人們對于個人隱私被侵犯的選擇率較高,最為關注,相對其他的還認識不足。大數據時代的到來,對各方面的信息安全都造成了一定的威脅。

2.集中的大數據庫存在安全威脅

全球互聯網用戶高達3億,移動上網終端有20億,聯網設備更是多達500億個,每天產生的數據信息近1EB。如:每天使用谷歌搜索次數近100億次,淘寶網產生3000萬筆交易,2500萬張照片共享,加上電話、短信等消息軟件產生的數據,更是不可估計。根據相關數據統計,2012年我國在各類媒體上花費的時間較多,其中互聯網、手機等占絕大部分。大數據時代信息多集中在幾大互聯網巨頭手中,而互聯網的開放性特點又決定了其數據存在一定的泄露風險。目前大數據集群應用數據庫并沒有采用“圍墻花園”模式,并沒有對內部數據庫進行隱藏,避免其他程序隨意訪問,因此大數據的架構極其容易暴露。這樣集中的大數據庫,使得客戶端在進行程序操作間,可以同不同節點進行通信,避免驗證客戶是否具有訪問權,加大了信息泄露的可能。

3.大數據技術自身存在風險

當前,大數據技術還不太成熟,自身平臺較為脆弱,大數據存儲處理技術多采用分布式與大規模結合處理,增大了被攻擊的范圍。同時,在進行數據分布式處理時,節點處的存儲數據多為碎片,難以進行集中統一的安全機制部署。當然在大數據技術中,普遍缺乏一定的內生性安全保障機制設計,多通過外部保障技術來確保信息的安全性,這樣的大數據技術在實際應用過程中多缺省配置,失去了對信息的基本安全防護。

4.加大了黑客攻擊的可能性

大數據自身的4V特點,增大了黑客攻擊的吸引力,刺激黑客實施非法攻擊。黑客多是有組織有目的的對確定的數據進行攻擊,在大數據海量數據信息存儲的環境下,黑客更容易通過攻擊,獲取更多有價值的信息內容,給受攻擊方帶來名譽、財產等不可預估的損失。如:Android系統使用用戶越來越多,產生的數據信息也是海量的,成為黑客攻擊的重要對象,當移動設備感染木馬被黑客攻擊后,當用戶使用APP提供的服務后,就會泄露相關的數據信息和訪問權限。甚至有的黑客行為主要是針對國家的,給國家社會帶來不可估量的后果,因此必須采取措施積極預防黑客的攻擊。

三、提升信息安全的途徑分析

1.提高公眾的安全意識

大數據是一種新興的寶貴資源,在法律法規的約束下要充分尊重數據所有者權利,這才能充分顯示出大數據時代的真正魅力所在。而公眾無論在什么情況下,只要將信息到網絡上,就會成為大數據的一部分,也就存在信息泄露,被盜用的可能。為了更好的防止大數據信息泄露,確保信息安全,就必須提高公眾的安全意識。在進行個人信息公布時格外小心,注意保護與個人信息相關的大數據,避免成為黑客攻擊的對象,導致信息泄露造成不要的損失,盡量做到防患于未然。

2.建立異構數據中心安全體系

傳統的數據存儲通常都會建立完善的防護措施,但大數據的架構較為復雜,多采用虛擬化海量存儲技術來進行數據信息資源的存儲,用服務的形式提供數據信息操作存儲,更需要進一步完善數據的隔離與調用。同時,大數據利用云計算存儲數據,為了方便所有者對數據進行存儲、分析、挖掘、控制,可以構建一個異構數據中心安全體系,從管理上來增強對大數據信息安全的防護。尤其是,集中的大數據庫,更需要格外主要防護,降低出現“棱鏡門”事件。

3.加強大數據安全技術的研發

經過無數實踐證明,傳統的信息安全技術無法適應大數據時代,尤其是大數據時的到來,加速了云計算、物聯網以及移動互聯網等多種新技術的發展,反而加大了大數據收集、存儲、分析、處理的難度。為了進一步從技術上加強對大數據信息安全的防護,應當加大大數據技術研發資金投入,提高相關技術產品,包括信息訪問控制、數據加密、數據備份等技術手段的發展,促進大數據安全技術的研發,才能真正有效的推動國家社會的高速發展。

4.完善大數據信息安全體系建立

大數據作為新興的數據類別,需要相關政策措施進行維護,在“十二五”計劃上,工業信息化部將信息處理技術作為新工程提上日程,包含了大數據中的數據存儲、分析,以及圖像視頻分析挖掘等方面。因此,為了防止黑客的攻擊,造成信息泄露,必須進一步完善大數據信息安全體系的建立,以實現對大數據信息安全防護的目的。同時,要進一步加快大數據安全防護技術的研發,可以通過在網絡設備或是節點上設置訪問權限,或是使用SSL技術對登錄傳輸數據實現加密保護。當然,針對重要的大數據信息,還應當實現端對端的數據保護,及時備份相關數據,避免因為系統出現故障造成數據損害、泄露等情況。

四、結語

綜上所述,在大數據到來的背景下,不僅帶來新的發展機遇,也帶來更多的信息安全風險。為了更好的利用大數據時代的優勢,就必須采取相應的對策提升對信息的安全防護,以便尋找到新的突破口,確保大數據時代的更好發展。

作者:黃雋 單位:黔南民族師范學院計算機科學系

信息安全論文:變電站以太網信息安全論文

一、以太網在變電站通信系統中的應用

以太網具有很多特有的優勢,使之能夠在包括變電站通信系統中成為主流應用。具體優勢如下:(1)以太網的數據傳輸速率高,越高的速率就能在通信工作量相同的前提下減少時間,大大減輕通信網絡的負荷。(2)以太網具有強大的開放性,能夠很大程度提高設備互相之間的操作性,簡化用戶的工作,同時可以避免使用者被制造商的自身通信協議所限制。(3)以太網技術資源共享能力很強大,能輕易實現與其他控制網絡無縫銜接。(4)可以實現各種遠程訪問技術、遠程監控技術以及遠程維護等技術難題。(5)以太網具有極強的擴展性,能對各種網絡拓撲結構有很好的支持,同時能夠支持眾多主流的的物理傳輸介質。(6)以太網價格便宜,應用廣泛,可以推進系統發展。以太網雖有很多優勢,但在實時性和安全性上仍存在一定的不足,在數字化技術下,變電站自動化系統包括變電站與控制中心,變電站內李燕國網河南省電力公司檢修公司454100部各層之間時刻都有信息在傳遞,還有各種報文根據不同情況進行交流,對于信息的實時性和安全性要求極高。在滿足實時性要求的情況下,提高以太網的安全性,發展一種更為安全的加密方案是一個亟待解決的問題。

二、以太網中的DES和RSA加密算法的優缺點

在以太網中使用加密技術,可以極大的提高其安全性,同時減少了對CPU資源的占用,提高了系統的處理效率。加密技術是對明文采用特定的計算方式,使之變成一段沒有實際意義的,不可讀的“密文”,要想獲得原始的內容則必須有與加密算法對應的密鑰,通過這樣的手段來實現對原始對象的保護。加密技術一般有以下兩類:1)對稱加密算法,經典是DES;2)非對稱加密算法,經典是RSA。DES又叫數據加密算法(DataEncryptionAlgorithm,DEA)。密鑰在發送密文前,雙方互相交換,接收方在收到了發送方的密文之后采用相同的密鑰和算法可以進行逆向處理,進而得到明文,否則數據不具有實際意義。隨著計算機計算能力的不斷提高,DES的攻擊常被一種稱為暴力破解(也叫徹底密鑰搜索)方式破解攻擊,實際上是不斷地嘗試所有可能的密明直到找出合適的為止,所以DES目前的安全性不斷下降。而RSA算法被國際標準化組織推薦成為公鑰數據加密標準,基本上能夠抵御己知的所有惡意攻擊。RSA算法與DES算法的原理不盡相同,核心是加密/解密密鑰在使用時是不同的,但可以相互匹配。相比DES算法而言,RSA算法極大的強化了信息的安全性。出于安全性考慮,RSA算法的密鑰一般要求500-1024比特。RSA算法的較大弊端因此產生,其計算量無論基于何種手段實現,都是極其龐大的。和DES算法相比,DES算法計算量幾乎將高出RSA算法好幾個數量級,RSA算法勢必會減慢變電站信息的傳遞效率,影響實時性。

三、基于DES和RSA混合加密方案的變電站通信安全

通過對各自加密算法的分析,我們可以看出無論DES算法還是RSA算法都存在著一定的缺點,這些缺點在某些特殊情況下是致命的。DES算法一般加密以64比特為單位的數據塊,因為其算法簡單相對來說多應用在大量數據下,在計算量上具有很大的優勢,缺點是相對容易破解,密鑰管理也成為了問題,容易被第三方非法獲得。RSA出現稍晚于DES,這種算法不對稱。兩密鑰同時關聯產生,并不能通過算法推算,其安全性要遠比DES好。但RSA缺點是計算量龐大,而且在對明文進行加密時,明文長度也會有一定的限制,所以RSA算法一般只應用于重要敏感的場合的一些小量數據加密。一種混合DES和RSA算法的混合加密方案被提出,優勢十分明顯。一是密鑰匙管理上的優勢,密鑰的管理模式對于加密技術的性能有極大的影響,本方案中中DES算法的密鑰Ks屬于一次性密鑰,在使用之后即被舍棄,而被傳輸的會話密鑰由于經過了RSA算法加密不需要在通信前將密鑰發送給接受方,只要斷路器保管好自己的私鑰就可以了;二是安全性能上的優勢,該方法的安全等級和單純使用RSA時等價。RSA算法對DES算法的密鑰進行再次加密,極大程度的確保了DES算法的安全性。三是時間上的優勢,之前提到了該方案的安全性其實與單獨運用RSA算法一樣的,但是這個方案比單純RSA算法的較大優勢就在于時間上的優勢。RSA算法本身會產生大量冗余,計算量較大,對于變電站通信過程中實時性要求是致命的。本方案對明文使用了DES算法,這樣加密和解密不僅使所占用的時間較少,而且明文的長度不會受限,然后只對DES的會話密鑰使用RSA加密,數據并不大,從而節省了大量時間,提高運算效率。

四、結論

變電站與其外部或變電站本身的通信基本上都基于以太網,以太網進行的單一加密技術存在弊端,然而一種新的基于以太網的混合DES和RSA加密方案,可以很好滿足實時性的要求,提高以太網的安全性,從而可以提高變電站自動化系統及其信息的安全性,具有一定的應用價值。

作者:李燕 單位:國網河南省電力公司檢修公司

信息安全論文:國際法規制網絡信息安全論文

一、維護網絡信息安全的必要性

相較傳統的國際關系,網絡空間引發的利益沖突關系更為復雜。一方面,由于網絡技術和應用的不斷創新,網絡信息將整個世界緊密聯系在一起,網絡信息安全可能涉及所有的網絡使用者,一旦發生侵權行為就突破了傳統國際法的管轄權,影響范圍涉及多國家。另一方面,由于國際法體系并不存在普遍公認的國際法規則,并且各國網絡信息技術發展的不對稱性使得各國網絡立法存在界定是否構成網絡信息侵權的標準不一。難免出現網絡信息技術發展強國依靠自身的先進技術肆意侵害他國網絡信息安全,干涉他國內政,對他國的政治、經濟、社會秩序甚至是國家安全產生重大影響。伴隨著全球化進程的不斷加強,網絡信息安全的管理面臨新的挑戰。首先,當前網絡并非由政府機構掌控。現今由于市場激烈的競爭環境使得網絡信息安全管理自身就面臨著很大的威脅。其次,網絡信息系統的不斷發展,使得原有對網絡信息的傳統管轄模式無法應對當前的新趨勢。,互聯網全球化的加強,現今網絡服務都是跨國性的,網絡信息內容安全風險的解決要考慮到各國不同的國情。因此,網絡信息內容安全管理的對策必須要符合國際慣例。

二、解決網絡信息安全的國際法途徑

(一)通過雙邊會議、多邊會議建立區域網絡信息安全維護組織

由于國際社會不存在一個超國家政府,所以使得國家單邊主義威脅網絡信息的安全性。不同類型的國家,無論其大小與網絡信息技術的優劣,都理應處于平等位置,平等的享有被保護網絡信息安全的權利。當前已經有國家和地區通過交流達成共識,希望通過制定協議共同促進信息安全的保護,可以在此基礎上根據政治或地理位置的相近形成區域網絡信息安全維護組織。區域網絡信息安全維護組織作為國際組織,其有助于解決集體的困境和相互依賴的選擇問題,并且其具有組織制定統一區域網絡信息安全維護組織章程的權利。該網絡信息安全維護組織內的成員可以實現獲取信息、網絡信息技術共享、聯合打擊非法利用、濫用信息技術及加強網絡關鍵信息技術設施的建設等權利,但同時網絡信息安全維護組織內的各成員也必須履行相應的義務。例如,使用網絡獲取信息必須避免將其用于破壞國家穩定和安全的目的,避免給各成員國國內基礎設施的完整性帶來不利影響,危害各國的安全。除此之外,各成員國有合作打擊利用信息通信技術從事犯罪和恐怖活動或者破壞成員國政治、經濟和社會穩定行為的義務。各個成員之間必須加強互聯網技術的共享,相互之間轉讓網絡信息技術,相互彌合數字鴻溝,提升區域網絡信息安全維護組織應對威脅的能力。針對區域組織內成員的網絡信息安全實行統一的監管,制定統一的涉密信息交換的標準和程序。組織內成員共享使用信息,必須嚴格遵守程序,其目的在于使各成員提高保障信息安全的能力,一方面可以相互放心安全地使用網絡,另一方面在本國以外多了一層區域網絡信息安全維護組織內其余成員國的保護。使得本國公民的信息得到更多的保護,并且保障國家的信息安全,使得網絡安全性提高。區域性網絡信息安全維護組織的成立需建立在各成員國相互信任,平等互惠的原則上。一旦組織內部成員實施了違反組織章程侵害成員國網絡信息安全的行為將受到區域組織成員國一致的制裁,例如限制該國在成員國公司的經營業務等。

(二)建立全球范圍內廣泛適用維護網絡信息安全的國際公約

在2015年1月9日,中國、哈薩克斯坦、吉爾吉斯斯坦、俄羅斯、塔吉克斯坦、烏茲別克斯坦常駐聯合國代表呼吁各國在聯合國框架內就網絡信息的保護展開進一步討論,盡早就規范各國在信息和網絡空間行為的國際準則和規則達成共識,建立一個具有廣泛適用性的國際公約。國際公約的目的是在各方利益主體博弈的過程中,通過保障網絡信息安全使網絡信息時代下的各行為主體可以公平占有使用網絡資源共享網絡發展帶來的利益并且保障各國的主權安全,維護各主體的合法權益。首先, 國際公約需遵循《聯合國憲章》,根據《聯合國憲章》國際公約應明確指出國家應尊重主權原則,要求國家行為應尊重其他國家的主權,不得以非法手段侵害其他國家主權,這里不僅包含了傳統國際法所稱的主權平等、主權安全和不干涉內政,也包含了非傳統安全的網絡信息安全,國家應當尊重主權國家之間彼此的核心利益,并且尊重與網絡信息安全有關的國家政策問題的安全。例如“國家不應以竊取、監聽等不文明手段獲得他國信息”。其次,公民的網絡信息也屬于公民的隱私,并且隨著網絡技術的不斷發展,網絡信息的安全涉及到公民的財產,所以公民的網絡信息也是公民的財產權利,保障公民網絡信息安全同樣是對公民財產權利的保護。國際公約應尊重公民的基本權利,所以國家應在“充分尊重信息空間的權利和自由,包括在遵守各國法律法規的前提下尋找、獲得、傳播信息權利和自由”;對他國公民通訊的監控和信息的獲取,應取得合法手續,并且必須出于合法目的。網絡信息技術的不斷發展是科技不斷創新的產物,未來全球化進程不斷加劇,網絡信息技術將會涉及方方面面,只有保障網絡信息技術的安全性才能使得各國不斷運用創新。否則無法保障網絡信息技術的安全,國家就會喪失建設全球網絡時代的信心,科技的發展將會倒退。再次,國際公約的制定旨在維護網絡信息安全,避免國家實施違反國際法原則的侵權行為。例如對別國公民、企業組織、政府機關進行監控,對主權國家進行監聽和非商業用途收集信息。出于對各國共同安全利益的考量,國際公約應該本著平等互助的原則制定統一的監管網絡信息的標準,保護國家間共同的利益,統一制定評價國家行為需要參考的因素,明確國家網絡信息安全不可侵犯的界限。,由于網絡信息技術涵蓋范圍廣泛涉及了信息收集、監聽監控、國家安全等領域,所以內容的特殊性和復雜性使得國際公約在實施過程中其約束力存在不足,故而要結合國際法以及其他國際公約。例如《聯合國憲章》、反恐領域的國際公約、人權保護公約、《國家對國際不法行為的責任條款》《跨國公司和其他商業企業關于人權責任的準則》并且配合聯合國國際法委員、人權委員會等機構相互合作。

(三)在聯合國的框架內建立網絡信息安全的監管機構和執行機構

從網絡信息安全的侵權事件中可以發現,跨國公司成為政府的侵權工具。此時追究侵權責任時會涉及到網絡信息侵權責任的歸因問題。從國際法的角度,歸因的目的在確定某一行為可否歸于一個國家而成為該國的國家行為。就已發生的網絡信息侵權行為進行分析,不難發現確定實施侵權行為的主體是國家還是個人將直接影響到當事國的國家責任以及受害國采取何種法律救濟的途徑。例如侵權行為的實施主體歸因為企業或者個人發起的則通常屬于網絡犯罪行為,這將涉及到有關國家國內法的管轄以及國家間的司法合作來加以解決。由此可見網絡信息安全侵權主體的復雜性和特殊性,涉及領域的廣泛性,并非能簡單通過單個機構來解決,需要多個領域機構的共同合作。當前主流學者的觀點是,由于平等國家之間無管轄權,全球網絡空間并不存在超國家機構的實體可以系統的對網絡侵權行為實施強制性管轄。因此,不同的行為體試圖通過拓展自身網絡空間的行動范圍,渴望獲得更多的網絡資源,掌握網絡管理的主動權,為自身謀取利益。此種競爭將對未來國際網絡信息安全的發展造成隱患。所以可以在聯合國框架下成立網絡信息安全保護有關的專門機構。該機構一方面建立國家網絡信息安全行為的監管機制,可以借鑒“世界貿易組織的貿易政策評審機制”,定期對各國的信息安全行為等進行評議并公開報告,另一方面建立解決國家網絡信息安全爭端糾紛的解決機制。由于網絡信息安全涉及的領域并非國際法傳統的領土、領海領域,一旦發生糾紛難以訴求專門法院解決。所以應當借鑒WTO的爭端解決機制,針對網絡信息安全的特殊性成立專門的解決機制,使得糾紛得到公平的裁決。

作者:劉璐琦 單位:華中師范大學

信息安全論文:供電企業信息安全管理論文

1電力信息安全

信息安全是指計算機網絡系統中的硬件、軟件和其他數據等不受非法用法的破壞,主要指未經授權的訪問者無法使用訪問數據和修改數據,而只給授權的用戶提供數據服務和可信信息服務,并保障服務的完整性、可信性和機密性。電力信息安全是指供電系統中提供給用戶或公司內部員工的數據是安全的、可信的。供電公司管理系統是個繁雜的系統,涉及用電客戶和公司內部員工及第三方托管服務公司,系統的信息安全一直是公司發展的瓶頸。正確評估供電公司信息安全系統的合理性和安全性,針對安全風險進行分析,制訂供電公司信息安全的策略非常重要,也是至關重要的。

2供電企業信息安全的影響因素

盡管供電公司投入了大量的財力、物力建設電網信息安全系統,但供電企業內部網絡仍不健全,存在許多安全隱患。另外,供電公司信息化水平不高,信息安全保障措施薄弱也制約了其信息安全系統的建設。要構建一個健全的供電公司信息安全保障體系,就要首先分析供電公司信息安全的影響因素,對癥下藥,進一步提出供電企業加強信息安全管理的對策。

2.1不可抗拒因素

所謂“不可抗拒因素”,就是由于火災、水災、供電、雷電、地震等自然災害影響,供電公司的供電線路、計算機網絡信號、計算機數據等受到破壞,并威脅到供電公司的信息安全。

2.2計算機網絡設備因素

供電公司計算機系統中使用大量的網絡設備,包括集線器、網絡服務器和路由器等,其正常運行關系著供電公司內部網絡的正常運行,而計算機網絡設備的安全直接關系著供電公司的正常運行。

2.3數據庫安全因素

供電公司計算機系統監控用戶峰值,管理用電客戶信息及其他用戶繳費等情況,計算機數據庫的系統安全決定了供電企業的調度效率,也決定了供電公司公共信息的安全。供電公司應該使用專用網絡設備,確保企業內部網絡與外部互聯網的隔離。

2.4管理因素

供電公司員工的業務素質和職業修養參差不齊,直接影響到供電公司的網絡安全。供電公司應該建立過錯追究制度,提高員工的信息化素質,有效防止和杜絕管理因素造成的信息安全問題。

3供電企業加強信息安全管理的對策

3.1提升員工信息安全防患意識

開展信息安全管理工作,并非僅僅是系統使用或者管理部門的事,而是企業所有職工的事,因此,要增強全體員工的信息安全和防患意識。通過采取培訓和考核等有力措施,進一步提升全體員工對企業信息安全的認識,讓信息安全成為企業日常工作業務的一個組成部分,從而提升企業整體信息安全水平。

3.2采用知識型管理

傳統的安全管理大部分采取的是一種硬性的管理手段。在當今知識經濟的時代,安全管理應當以知識管理為主,從而使得安全管理措施與手段也越來越知識化、數字化和智能化,促使信息安全管理工作進入一個嶄新的階段。

3.3設置系統用戶權限

為了預防非法用戶侵入系統,應按照用戶不同的級別限制用戶的權限,并投入資金開展安全技術督查和安全審計等相關活動。信息安全并非一朝一夕就能完成的事,它需要一個長期的過程才能達到較高的水平,需建立并完善相應的管理制度,從平時的基礎工作著手,及時發現問題,匯報問題,分析問題并解決問題。

3.4防范計算機病毒攻擊

加速信息安全管控措施的建設,在電力信息化工作中,辦公自動化是其中一項非常重要的內容,而核心工作業務就是電子郵件的發送與接收,這也正是計算機病毒一個非常重要的傳播渠道。因此,必須大力促進個人終端標準化工作的建設,實現病毒軟件的自動更新、自動升級,不得隨意下載并安裝盜版軟件;加強對木馬病毒等的安全防范措施,對用戶訪問實施嚴格的控制。

3.5完善信息安全應急預案

嚴格規范信息安全事故通報程序,對于隱瞞信息事件的現象,必須嚴肅查處。對于國家和企業信息安全運行動態,要及時通報,分析事件,及時信息安全通告。對于己經制定的相關預案和安全措施,必須落到實處。另外,還要進一步加強信息安全技術督查隊伍的建設,提高信息安全考核與執行的力度。

3.6建立信息安全保密機制

加強信息安全保密措施的落實,禁止將涉密計算機連接到互聯網及其他公共信息網絡,完善外部人員訪問的相關授權、審批程序。定期組織開展信息系統安全保密的各項檢查工作,切實做好涉密文檔的登記、存檔和解密等環節的工作。

4結束語

為了保障國民經濟的快速發展,就要確保供電系統的穩定安全,就要合理應用計算機網絡管理供電公司網絡,科學管理供電網絡信息,促進企業的可持續發展。供電公司要充分利用好企業內部網絡,提高勞動生產率,并加強網絡信息安全監控,加強企業內部優化,創新供電企業服務意識,加強供電企業信息安全管理對策,適當提高供電企業信息化管理水平,保障供電企業的信息安全。

作者:吳金文 程麗琴 單位:國網贛西供電公司安全監察質量部

信息安全論文:大學生信息安全論文

一、文獻簡述

關于國家信息安全問題,國內外學者關注度極高。筆者通過查找發現,與本文相關的文獻共1471篇,資料顯示針對如何提高國家信息安全方面,國內研究相較之不夠深入。例如,國外學者建議對用戶進行網絡安全意識培訓,從工作、學習等領域來制訂提高網絡用戶的框架,并建議建立國家網絡防御系統。國內則側重分析信息安全教育的一些問題并提出方案。無論是國內還是國外,國家信息安全越來越受到政府和組織的關注,在以信息技術為交流工具的時代,特別是大學生,我們需要對其進行國家信息安全意識教育。因此,本文從實證調查研究角度,對當代大學生國家信息安全意識問題進行研究,以警醒和培養他們的國家信息安全意識,使他們將來成為國家和社會的有用人才。

二、數據描述

(一)樣本數據

2014年秋筆者對全國25個高校隨機抽取113位大學生進行有關國家信息安全意識的調查,共發放問卷113份,分析和篩選得出有效問卷108份,返回率95.58%,其中女性大學生占51.85%,男性占48.15%,滿足計量統計數據要求。從大學生的受教育階段來說研究生占38.89%,大四學生占11.11%,大三學生占33.33%,以研究生和大三、大四學生較多,高年級學生更有利于反映大學生對國家信息安全意識強弱的表現。Cronbach′sAlpha的值是0.662,在探索分析中,該值至少要0.6,本題是0.7左右,說明該問卷的信度較高,可以對問卷進行分析。

(二)變量描述

本文在分析大學生國家信息安全意識時,主要從家庭特征、網絡特征、日常生活和學校管理等四個維度進行。

(三)相關系數分析

在多元回歸分析中,預測變量之間的相關性越低,回歸分析的預測力越強,這樣,也說明變量之間的共線性越小。通過Pearson相關系數檢驗,大部分變量相關性都處于0.05以下,屬于低度相關,共線性可能性較小,故可以進行回歸分析。

三、實證分析

1.家庭特征,文化是關鍵。

父母的文化程度對子女的國家信息安全意識影響非常顯著,因為父母文化程度高,從小對子女就有潛移默化的影響過程,對子女的教育關注更多,其中就包括對國家的信息安全教育。相比之下,有關個人的家庭經濟狀況等方面對信息安全意識的影響不是很顯著。

2.網絡特征,安全要防范。

大學生認為網絡安全對國家信息安全影響非常顯著,例如“棱鏡門”事件,說明網絡是一些國家機密信息泄露的重要途徑。而大學生的上網時間長短對信息安全影響不顯著,說明信息安全與時間長短無關。

3.日常生活,學習促提高。

調查了解大學生都認為每個公民都有責任維護國家的信息安全,無論是大學生還是其他公民,維護國家信息安全是每個公民應盡的義務和責任。大學生應自覺地、積極主動地了解和關注國家信息安全的知識,這對提高他們的信息安全意識影響顯著。

4.學校管理,教育是根本。

教師的強調和教育對大學生國家信息安全意識的提高影響較顯著,大多數教師都會對學生進行始業教育、安全教育。此外任課教師對安全意識的強調也會對學生安全意識和行為的規范起到較大作用。調查中,大學生普遍認為高校培養學生信息安全意識方面的工作做得還夠,對他們安全意識的提高影響不明顯。五、結論與建議

(一)立足現狀———總結與思考

本文利用全國108份大學生的調查數據,對大學生的國家信息安全意識狀況和影響因素進行分析,得出以下主要研究結論:

1.環境———潛移默化影響安全意識。

大學生的國家信息安全意識的強弱與家庭特征、網絡特征、日常生活和學校管理有關,其中父母的文化程度、網絡安全、公民的責任、日常關注和教師的強調對其影響顯著,其他因素對其影響不顯著,或影響較小。

2.學?!嗑S教育強化安全意識。

大學生安全意識的薄弱與高校對國家信息安全知識的普及有一定的影響。較前幾年來說,大學生的國家信息安全意識已有一定的提高,這與國家、學校、家庭的共同努力是分不開的,其對大學生國家信息安全意識的影響各有不同,相較之下,高校相關教育的影響更為顯著。

3.立法———完善法規健全安全意識。

我國大學生的國家信息安全意識有一定的提高,但我國的相關法律還不夠完善,涉及網絡犯罪的種類還不夠,目前為止,我國共出臺或修訂相關互聯網的法律法規共20次。2001年中國互聯網協會在北京成立,相比國外而言起步較晚。

(二)展望未來———措施與方向

由于國家信息安全直接威脅了國家的穩定發展,基于此,國家各部門要想辦法提高公民的國家信息安全意識,尤其是對肩負著社會建設發展重任的當代大學生們進行信息安全意識的培養。

1.自力更生,人才為先。

隨著互聯網的普及、國內外各種資源的共享、多元文化的攝入等等,計算機方面的人才也在不斷地增多,對于處在計算機發展初級階段的中國來說,繼續要培養自己的計算機人才,通過對相關軟件和系統的完善、更新及開發自己的系統和相關軟件以保護我國的重要信息,不再依賴國外的技術支持,將更加有利于保護國家的信息安全。

2.安全教育,納入常規。

學校作為培養新型人才的搖籃,應盡早將國家信息安全教育納入教學規劃中。目前,高校對大學生國家信息安全教育的觀念還相對滯后。高校要充分借助學校的基礎設施和設備多種途徑開展規范的信息安全教育,讓大學生在日常生活和學習中收獲正確的信息安全知識。從專業化角度來說,學校還可開展網絡信息安全課程,為大學生提供、專業地了解、掌握信息安全常識的機會和平臺。

3.以點帶面,共護安全。

從家庭的角度來說,更要提高家庭成員的國家信息安全意識。我們都知道“先有國,才有家;沒有國,哪有家”。這個家可以是高校中的寢室,當然也是我們出生、長大的家,在這個家庭中,我們也要時刻提高自己的信息安全意識,把在學校中學到的相關理論知識運用到實踐中,不斷地與身邊的親人交流,共同促進對國家信息安全意識的提高。

作者:沈張一 單位:杭州電子科技大學通信工程學院

信息安全論文:企業級移動應用信息安全論文

一、企業級移動應用信息安全體系

1.1研究思路

為了克服企業級移動應用面臨的各類安全問題,降低安全威脅,本文認為移動應用安全體系應從硬件、軟件結構入手,結合移動互聯網特征,設計企業級移動應用安全技術架構及安全規范、制定一系列安全防護策略來保障移動應用的安全。

1.2企業級移動應用安全體系

在充分分析企業級移動應用信息化的建設現狀和安全需求基礎上,根據國家等級保護要求,從物理安全,網絡安全,系統安全,應用安全以及安全監管五個方面構建企業級移動應用安全防護體系。1、物理安全:涉及設備和環境安全,主要通過移動終端本身硬件標識信息、接口監測、外接插件設備來保障移動終端設備安全。2、網絡安全:涉及到網絡接入安全、數據傳輸安全等,主要從硬件、軟件兩方面保障,如防火墻保護策略、認證策略、數據加密等。3、系統安全:主要包括系統、數據存儲、操作等,通過建立安全加固,對業務數據分級存儲、重要數據安全隔離、數據傳輸加密、完整性和一致性校驗,保障系統安全。4、應用安全:通過多種手段保障移動應用安全,可從應用準入、應用授權、應用監控審核、應用數據管控、操作行為安全審計等方面保障應用安全。5、安全監管:從制度管理、軟件輔助管理對移動終端進行安全管理。制定相應的移動終端、移動應用管理規范。

二、企業級移動應用信息安全實現

2.1物理安全

按照安全體系要求,可從終端管理、一致性校驗、接口監測、存儲卡加密等領域實現物理安全。1、設備啟動。通過設置啟動密碼、動態口令等控制設備啟動驗證。2、校驗一致性。終端啟動后,后臺根據設備回傳的參數進行一致性校驗,對操作系統內核、硬件配置、關鍵應用和配置策略信息等進行驗證,確保啟動過程中各應用的完備性和一致性。3、設備硬件監測。對移動設備硬件接口管理,包括網絡(含WIFI/藍牙等)啟停,USB啟停、以及攝像頭屏幕輸出等啟停等,從而有效防止移動終端數據泄漏。4、存儲卡加密。根據存儲卡與移動設備的關聯關系,存儲卡上的數據就不能被其它移動設備讀取,從而有效地保護移動終端上的數據。

2.2網絡安全

在網絡安全方面,可從硬件、軟件兩方面保障網絡接入安全、數據傳輸安全。1、接入安全。建立專用的VPN接入通道連接到特定服務端。建立DMZ反向保護,通過反向防止移動設備直接和web服務器直接連接帶來的安全隱患。2、設置防火墻及路由器防護策略,通過制定路由器、防火墻防護策略,實現內外網絡安全。安全策略確保網絡訪問、服務訪問、用戶認證、輸入輸出、磁盤和數據加密、病毒防護措施等。3、移動設備安全認證和接入。建立終端準入機制,通過后臺移動設備管理功能,記錄所有設備詳細信息,如編碼,類型及使用者等信息,在登錄時實現按特定信息核對驗證設備合法性。4、數據傳輸安全。企業級移動應用一般需要和后臺業務傳輸數據,為了避免惡意攻擊、竊取、篡改,需要在數據傳輸中引入數據安全管理,如數字證書加密等。

2.3系統安全

為保障移動應用正常運行,主要通過建立安全加固、業務數據分類存儲管理、數據安全隔離、數據傳輸加密解密、完整性檢查以及一致性檢查,保障系統安全。1、安全加固。按等級保護要求,制定嚴格的安全加固措施,保障系統安全;2、建立移動數據庫安全管控,支持離在線數據庫訪問、支持數據的備份和恢復,保障用戶數據的安全;3、開展安全域隔離,通過物理和邏輯隔離策略,對系統資源和各類數據進行分區分域管理。4、建立移動設備在線備份和恢復策略。實現自動備份和恢復數據、配置文件與配置策略??梢栽O置規定備份目錄或文件、備份頻率、周期,通過統一管理界面實現選擇性恢復或全恢復,可恢復移動終端上丟失或損壞數據。5、升級包推送。實現對移動設備系統版本管理,禁止使用者擅自修改系統,后臺統一開展升級包推送,保障操作系統安全。

2.4應用安全

在應用安全方面,主要通過應用密碼、登錄、非授權操作管理、數據庫加密、應用安全審計等措施保障移動應用安全。1、密碼保護,對移動應用建立密碼保護策略,如密碼長度、復雜度限制、密碼認證、錯誤鎖定等機制,防止非法人員登錄終端應用,造成業務數據外泄。2、單點登錄,通過建立統一單點登錄平臺,實現統一用戶身份管理、統一用戶身份驗證、統一用戶權限管理。3、權限控制,對企業級移動應用建立細致的明確的功能權限控制,不同職責的終端用戶只能使用指定的部分功能,有效控制關鍵數據外泄。4、移動數據庫加密。移動數據庫庫訪問按系統安全要求提供安全憑證,選擇敏感信息加密,輔以校驗保障所存儲數據的保密性和完整性,防止數據被未經授權訪問和修改。5、非法操作管理。建立應用配置授權管理策略,控制未經取得授權的非法移動應用進行控制,可以禁止非法移動應用安裝、禁止非法移動應用使用,可以遠程對非法移動應用進行卸載。6、移動應用安全審計。開展實時統計核查應用安裝、使用、運行、操作記錄等,有效監測各類操作行為。

2.5安全管理

按照移動信息安全體系,安全管理從制度規范管理、軟件輔助管理、設備管控等領域實現。1、建立統一應用管理規范和管理制度,建立移動終端、移動應用管理規范,如檔案管理、行為規范、作業規范等。2、操作記錄日志。增加終端操作的記錄日志機制,實現日志追蹤引入問題的原因,采用應對措施避免同類問題反復出現。3、實時管控機制。移動終端實時回傳當前位置的經緯度,可實時監控移動設備實際地理位置,如若遇到平板丟失,則啟動數據爆炸功能,保障業務數據不外泄。

三、結論

隨著移動技術飛速發展以及移動硬件平臺的技術改進和價格的不斷下降,企業級移動應用的需求必將會快速增長?;诒疚乃龅男畔踩悸泛蛯崿F,能有效保障企業級移動應用信息安全,并有效減少建設和運行風險。

作者:盧有飛 單位:廣州供電局有限公司

信息安全論文:運營商資產信息安全論文

1運營商的資產面臨的信息安全威脅

(1)2014年10月,“沙蟲”漏洞(CVE-2014-4114),攻擊者利用WindowsOLE遠程代碼執行漏洞,通過精心構造誘使用戶執行文件觸發遠程代碼執行漏洞,進而控制用戶操作系統主機。

(2)2014年9月,“破殼”漏洞(CVE-2014-6271),攻擊者利用Bash漏洞可繞過環境限制遠程執行服務器shell命令,獲取服務器當前用戶權限。

(3)2014年4月,“心臟出血”漏洞(CVE-2014-0160),攻擊者利用OpenSSL內存越界,可以遠程讀取存在漏洞版本的OpenSSL服務器內存中的數據。通過調研和分析發現,運營商擁有信息系統資產具有幾個特征:分布廣、種類繁、數量多。這就帶來了運維繁雜和管理困難等主要問題,信息安全工作的管理者無法從全局把握信息資產情況,存在信息資產孤島,面對全網的信息安全風險,缺乏全生命周期的安全管控能力。因此,本文重點從資產的維度對信息安全預警技術探討,研究分析現有預警技術的缺失,提出一種基于軟件模型的資產信息安全預警技術,實現運營商對信息系統的綜合治理和全網防護等安全預警能力的提升,做到知己知彼、精準預警,從而保障電信運營商在移動互聯網時代健康高效的發展。

2現有主要預警技術分析

現有的信息系統已經部署了大量的信息安全設備,比如防火墻、入侵檢測系統、掃描器等,而這些系統主要的預警技術包括入侵檢測和安全掃描等方式。

2.1入侵檢測技術

入侵檢測:通過對行為、安全日志或審計數據或其它網絡上可以獲得的信息進行操作,檢測到對系統的闖入或闖入的企圖。入侵檢測技術是為保障計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?,F象的技術,是一種用于檢測計算機網絡中違反安全策略行為的技術。按檢測方法區分,入侵檢測技術主要可以分為誤用檢測和異常檢測。異常檢測模型:檢測與可接受行為之間的偏差。如果可以定義每項可接受的行為,那么每項不可接受的行為就應該是入侵。首先總結正常操作應該具有的特征,當用戶活動與正常行為有重大偏離時即被認為是入侵。這種檢測模型漏報率低,誤報率高。因為不需要對每種入侵行為進行定義,所以能有效檢測未知的入侵。誤用檢測模型:檢測與已知的不可接受行為之間的匹配程度。如果可以定義所有的不可接受行為,那么每種能夠與之匹配的行為都會引起告警。收集非正常操作的行為特征,建立相關的特征庫,當監測的用戶或系統行為與庫中的記錄相匹配時,系統就認為這種行為是入侵。這種檢測模型誤報率低、漏報率高。對于已知的攻擊,它可以詳細、地報告出攻擊類型,但是對未知攻擊卻效果有限,而且特征庫必須不斷更新。

2.2安全掃描技術

安全掃描:是一類重要的網絡信息安全技術。通過對資產的掃描,資產管理員可以了解資產的安全配置和運行的應用服務,及時發現安全漏洞,客觀評估網絡風險等級。資產管理員可以根據掃描的結果更正網絡安全漏洞和系統中的錯誤配置,在黑客攻擊前進行防范。安全掃描是一種主動的防范措施。按檢測方法區分,安全掃描技術主要可以分為插件技術和漏洞庫匹配技術。插件技術:由腳本語言編寫的子程序,掃描程序可以通過調用它來執行漏洞掃描,檢測出系統中存在的一個或多個漏洞。添加新的插件就可以使漏洞掃描軟件增加新的功能,掃描出更多的漏洞。插件編寫規范化后,甚至用戶自己都可以用C、Python或自行設計的腳本語言編寫的插件來擴充漏洞掃描軟件的功能。這種技術使漏洞掃描軟件的升級維護變得相對簡單,而專用腳本語言的使用也簡化了編寫新插件的編程工作,使漏洞掃描軟件具有強的擴展性。漏洞庫的匹配方法:基于網絡系統漏洞庫的漏洞掃描的關鍵部分就是它所使用的漏洞庫。通過采用基于規則的匹配技術,即根據安全專家對網絡系統安全漏洞、黑客攻擊案例的分析和系統管理員對網絡系統安全配置的實際經驗,可以形成一套標準的網絡系統漏洞庫,然后再在此基礎之上構成相應的匹配規則,由掃描程序自動的進行漏洞掃描的工作。如上分析發現,現有技術方法主要是從安全檢測和安全評估的角度去分析資產的信息安全問題,但都有其局限性。入侵檢測技術的安全預警方法由于檢測方法主要基于特征庫的模式存在一定缺陷很容易導致安全預警的漏報和誤報情況,預警的精度不高,而且在性能上也有影響。安全掃描技術主要通過模擬黑客的攻擊手法進行安全預警。以探測的路徑和系統配置規則庫為基礎,但是,基于黑盒的方式進行探測很容易造成遺漏,而系統配置規則庫也存在局限性,這樣將導致預報的度不高。

3基于軟件模型的信息安全預警技術

3.1技術方案

基于軟件模型的資產信息安全預警技術主要針對軟件資產進行元數據建模,對不同軟件信息資產進行概括和抽象,不涉及各類資產資源的特征。在軟件模型的基礎上,結合各類資產的特性和相關規則可以生成專業資產核心模型。基于統一的軟件模型,有效實現各類資產的歸一化處理,通過資產建模和分析,為資產預警算法提供綜合資源信息。通過對機構的漏洞信息進行整理及歸一化處理得到特征漏洞庫。通過模板引擎和預警引擎生成預警信息,由于借助資產本身進行建模和預警,本方法能夠達到精準預警的目的,有效地幫助資產管理人員進行安全防護,從根本上解決資產的信息安全問題。技術方案主要包括采集組件、信息庫(資產庫和漏洞庫)、預警分析和預警展示。采集組件:包含資產信息的采集和漏洞信息的采集,而資產采集又分為本地的資產巡檢和遠程的資產爬蟲兩部分。資產采集通過特征指紋庫和機器學習技術分析資產使用的軟件信息已完成數據的采集入庫操作。信息庫:主要維護底層核心數據庫資產庫和漏洞庫。資產庫是按照軟件元數據模型進行資產信息的存儲。預警分析:借助基于向量相似性算法完成資產預警信息的分析,并根據預警規則設置不同的觸發條件。預警展示:依賴大數據可視化組件,可以實現多維跨域的信息呈現,以最直觀和有效的方式告知資產運維和管理人員。主要依賴JavaEE的技術,基于MVC(ModelViewController)設計模式和REST風格,包括預警分析層、預警算法層和模型庫。其中模型庫由資產庫和漏洞庫構成;預警算法層由UX引擎、分析引擎、預警引擎和模板引擎組成;預警分析層由預警可視化、資產可視化、風險可視化和TOPN組成。

3.2主要功能及效果

基于軟件模型的資產信息安全預警技術主要包含如下功能,總體態勢:多維展示資產總體安全情況,健康值、歷史趨勢、數字地圖顯示等;預警分析:根據資產維度、漏洞維度進行精準和模糊預警;實時預警:支持以天為粒度進行預警,實時顯示預警風險、重要資產威脅信息等;資產分析:資產明細數據、資產排行榜、資產分布及資產類型占比;漏洞分析:漏洞明細數據、漏洞趨勢、漏洞分布及漏洞類型占比。基于軟件模型的資產信息安全預警技術推動從信息安全治理工作從現有的事后檢查向事前預防為主的機制轉變,實現了平臺化運營能力,為公司的資產管理、業務運營、安全管控等方面提供了方便快捷的支撐服務。使信息安全治理工作基本達到資產可管控、信息可共享、安全可度量、預警可感知。資產可管控:整合信息資產,關注重要基礎設施,實現管理集中化、運營專業化。信息可共享:實現安全漏洞、安全通告的集中共享,完成集團公司和分公司的信息聯動。安全可度量:實現現有安全問題多維情況的指標化度量。預警可感知:通過智能算法,結合歷史大數據分析實現預警感知,豐富的可視化組件,友好界面。

4總結

本技術方案能夠較好地提升現有資產的安全性并且能夠及時進行預警,具備以下優點:精準性通過預警引擎的快速匹配算法能夠精準的發現信息資產中的安全漏洞,并發出預警信息;自動化對于傳統的通過人工排查和滲透測試方式,能夠做到自動發現批量預警信息。但由于電信運營商擁有大量的信息系統和軟件資源,在資產獲取方面還難以實現自動化,后續將重點研究基于主機的資產識別技術,實現對主機資產信息發現、特征提取、資源歸集等功能,從而提升電信運營商的資產信息安全預警和感知能力.

作者:張高山 杜雪濤 孟德香 單位:中國移動通信集團設計院有限公司

信息安全論文:移動業務客戶信息安全論文

1客戶信息安全保護背景

(1)客戶基本資料包括但不限于集團客戶資料、個人客戶資料、渠道及合作伙伴資料、營銷目標客戶群數據和各類特殊名單。

(2)客戶身份鑒權信息包括但不限于客戶的服務密碼和客戶登錄各種業務系統的密碼。

(3)客戶通信信息包括但不限于詳單、原始話單、賬單、客戶位置信息、客戶消費信息、基本業務訂購關系、增值業務(含數據業務)訂購關系、增值業務信息、客戶通信行為信息和客戶通信錄等。

(4)客戶通信內容信息包括但不限于客戶通信內容記錄、客戶上網內容及記錄和行業應用平臺上交互的信息內容??蛻粜畔才R的風險和威脅主要包括因為權限管理與控制不當,導致客戶信息被隨意處置;因為流程設計與管理不當,導致客戶信息被不當獲?。灰驗榘踩芸卮胧┞鋵嵅坏轿?,導致客戶信息被竊取等。

2客戶信息安全保護的目標

客戶信息安全保護的目標如下。

(1)利用安全保護手段和審計系統對業務支撐網客戶信息的數據泄漏及篡改做到事前預防、事中控制、事后審計。

(2)通過管理制度及細化管理流程強化客戶信息安全的日常管理和審核,及時處理客戶信息泄密事件的處理,落實信息泄露的懲罰措施。

3客戶信息安全保護的要求

客戶信息安全保護的總體要求如下。

(1)對業務支撐網客戶信息按數據價值、數據安全需求兩方面進行分級管理。

(2)對業務支撐網客戶信息的所有存儲方式及獲取途徑應進行深入分析,及時發現并彌補業務層面和系統層面中可能導致客戶信息被篡改和泄漏的漏洞。

(3)利用安全技術和管理手段加強客戶信息管控,避免數據泄露和非法篡改。

4總體設計

結合業務支撐網客戶信息安全保護要求給出安全保護體系架構、功能模塊。主要從客戶信息授權鑒權、電子審批、數據提取控制、維護工具管理、數字水印、文檔管控、操作行為審計等方面加強客戶信息安全控制,提高業務支撐系統的客戶信息安全保障能力。

4.1體系架構

整個體系由數據層、應用層、服務層構成,每個層次分別對應客戶信息安全保護的主要功能模塊。

4.2功能模塊設計

整個客戶信息安全保護體系功能模塊設計和系統交互。下面針對每個部分進行詳細功能設計。

4.2.1授權與訪問控制

通過4A管理平臺實現維護終端集中化授權與訪問控制。4A管理平臺上采用堡壘主機的技術,基于用戶的權限,進行統一的資源層和應用層訪問控制,避免維護人員使用不安全的終端直接訪問客戶信息。4A管理平臺進行統一的審計操作,原有系統功能和性能不會受到影響,在減輕管理員負擔的同時,提高了賬號控制和操作審計。

4.2.2客戶信息鑒權控制

客戶信息鑒權控制首先對業務支撐網中所存儲的數據進行梳理調研,根據數據機密性把數據分為敏感數據和非敏感數據兩大類,并對敏感數據按機密程度級別進行分類。鑒權控制模塊包括數據屬性綜合分析、實體敏感度定義、內容敏感度定義、屬性敏感度定義、敏感度分級、敏感度分級核查和數據安全鑒權控制調度等7部分;本文工程數據安全鑒權控制主要實現以下目標。

(1)數據屬性綜合分析:制定敏感數據定義原則,并對全網的數據進行分析整理,分析出當前業務支撐網中的所有敏感數據的存儲位置和訪問方式。

(2)實體敏感度:實體敏感度是根據實體的保密程度來劃分的敏感度。數據庫表實體根據業務內容和行業背景等視角的不同,其敏感級別也有所不同。

(3)內容敏感度:根據實體內容的保密程度來設定的敏感度。根據數據庫實體關鍵屬性值的不同,其相對的保密程度也有所不同。如按月周期(或其它周期)屬性來劃分,將數據分為當月、3個月內、6個月內,并分別設置不同的敏感級別,擁有不同級別的用戶所能查看的KPI周期范圍就會不同。內容敏感度的優先級低于實體敏感度。

(4)屬性敏感度:屬性敏感度是根據實體屬性(如字段)的保密程度來劃分的敏感度。梳理系統的所有數據庫表及其字段信息,運用這些集中管理的實體屬性內容,給每個屬性設置相應的敏感級別。在數據敏感度控制方面,屬性敏感度的優先級僅次于實體敏感度。用戶首先要有實體的瀏覽權限,才進一步考慮屬性敏感度。

(5)敏感度分級:根據敏感數據的實體敏感度、內容敏感度、屬性敏感度來計算出數據的敏感度級別。

(6)敏感度分級核查:根據預訂的檢查策略和規則對敏感數據的分級進行核查。

(7)數據安全鑒權控制調度:實現對數據安全鑒權控制的整體調度管理,負責對敏感數據模塊的整體控制。

4.2.3電子審批管理

電子審批模塊包括自管理模塊、審批內容管理、審批時間管理、電子審批引擎、電子審批服務支撐、審批賦權管理、電子驗證碼管理、臨時訪問審批管理、長期賦權審批管理和審批任務管理等。用戶訪問業務支撐網時,如需要臨時性獲得直接上級某個功能點的用戶權限,訪問用戶需進行權限升級的電子審批,將電子驗證碼傳給業務支撐門戶,由業務支撐應用門戶向訪問用戶的直接上級發送。直接上級如同意該申請則轉發電子驗證碼到訪問用戶,訪問用戶輸入該電子驗證碼通過審批,用戶通過審批后在限定時間內獲得查看權限;如直接上級不同意該申請則不進行轉發。

4.2.4數字水印管理

數字水印模塊包括自管理模塊、敏感度內容配置、數字水印生成引擎、數字水印調用管理、用戶數據采集、數字水印配置服務、條形碼規則管理、水印校驗服務和流程管理接口等。主要實現以下目標。(1)自管理模塊:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(2)敏感度內容配置:負責數字水印服務自身的配置管理,主要包括用戶管理、敏感數據內容控制等功能。(3)數字水印生成引擎:水印生成引擎給請求的應用返回數字水印圖片文件,數字水印圖片文件由用戶的條碼圖多次重復出現形成,用戶條碼圖用請求應用的用戶ID計算得出的,不同的用戶ID生成不同的條碼圖。(4)數字水印調用管理:負責對業務支撐系統提供數字水印服務的整套調度和支撐管理。(5)用戶數據采集:根據數字水印的生成需要,采集業務支撐系統的訪問員工ID、時間日期、登錄IP及菜單ID等信息。(6)數字水印配置服務:負責用戶訪問頁面時調用數字水印服務的配置管理,通過配置來定義哪些業務支撐網內容需要提供數字水印服務。(7)條形碼規則管理:定義數字水印的條形碼規則,根據規則實現計算、加密、編碼并進一步生成用戶條碼。(8)水印校驗服務:提供后臺服務,管理人員可以通過該功能解讀條形碼并找出真正的用戶姓名。用戶訪問頁面時可以根據訪問員工ID、時間日期、登錄IP及菜單ID生成數字水印信息內容,將數字水印信息內容傳送給業務支撐系統,由業務支撐系統門戶進行水印展現。

4.2.5客戶信息取數控制

4A管理平臺針對客戶信息訪問提供了圖形化工具與審計相結合的集中管理,構建了一個完整的用戶管理、用戶鑒權、操作審計和訪問控制的體系。不再允許用戶對數據庫后臺資源的直接訪問;需要將通過數據庫的堡壘取數控制主機來訪問,由堡壘主機預裝的圖形化工具訪問數據庫的后臺資源。

4.2.6維護工具集中管理

客戶信息的維護工具通過4A管理平臺進行統一的Web,將系統運行維護工作所涉及的應用軟件或工具集中部署在4A管理平臺服務器上。通過Web方式來向不同用戶或用戶群并僅其所需應用;用戶在客戶端通過IE瀏覽器訪問權限訪問內的客戶信息。

4.2.7客戶信息文檔管控

針對業務支撐網中涉及客戶信息訪問的維護人員都建立一個個人文件夾,個人文件夾的文件存放在4A文檔服務器上,通過4A管理平臺訪問每個賬號的文件夾。文件夾設置權限為只能某個主賬號訪問。管理中心通過FTP協議訪問文檔服務器的目錄,客戶端通過HTTP協議管理文件夾,上傳下載通過HTTP/FTP協議。實現客戶信息批量文檔下載操作行為的可控化,如果維護人員的確因業務需要下載用戶數據,則需要根據事先約定的申請、審批等環節,同時通過短信通知上級主管,形成基于信息安全監察機制的閉環控制體系。

4.2.8客戶信息訪問審計

通過4A管理平臺任何用戶使用和應用的過程可以被全程監控,其審計的內容包括錄像審計、SecurerCRT審計、Sql訪問審計、客戶信息批量下載審計等。任何用戶使用維護功能的過程將被全程監控:用戶的操作行為及顯示器上的內容變化可以存放到集中存儲上,然后在需要的時候像看電影一樣回放。為有效利用資源和保護隱私,客戶信息訪問審計允許靈活定制以時間、角色、應用名稱、位置為參數的錄像策略來控制錄像的開始和停止。業務支撐系統從各環節層次抽取的審計日志信息,按照4A管理平臺的要求對其進行重新過濾和格式化整理,并最終進行日志信息入庫。整個過程需實現處理的流程化及自動調度機制,以保障4A管理平臺能夠及時地獲取日志數據。4A管理平臺提供統一日志采集接口(API或WebServices),所有應用系統都可以調用該接口,記錄日志信息。

5意義

客戶信息保護體系的建設是以強化業務支撐系統數據安全管理,實現信息安全審計、數據安全保護為最終目的。通過對系統權限、操作日志、訪問控制等安全措施,滿足中國移動在客戶信息安全保護方面的需求,提升業務支撐系統抗客戶信息安全風險能力,更進一步推動業務支撐系統的持續、健康發展。

6結束語

本文在分析了中國移動客戶信息安全保護的需求基礎上,對客戶信息保護體系的關鍵實現機制進行了研究,并對客戶信息保護體系的實現架構、功能要求、管控方法進行了分析和描述。在客戶信息保護體系的實際應用中需要緊密地與業務支撐系統的實際情況,形成CRM系統、經營分析系統客戶信息安全管控策略,提高了安全機制的推廣效率。隨著用戶的深入使用,功能將越來越強大。

作者:徐黨生 單位:中國移動通信集團吉林有限公司

91综合网人人