序言:寫作是分享個人見解和探索未知領(lǐng)域的橋梁���,我們?yōu)槟x了8篇的信息安全法律法規(guī)論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā)���,請盡情閱讀���。
第1篇
論文提要:當(dāng)今世界已進入了信息化時代���,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標準��。黨的十七大明確提出了一條“以信息化帶動工業(yè)化�,以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分����,但由于信息資源不同于其他資源的特殊性質(zhì)���,如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題����。
一����、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀六十年代末提出來的���。經(jīng)過40多年的發(fā)展��,信息化已成為各國社會發(fā)展的主題����。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì),主要表現(xiàn)在知識性�����、中介性����、可轉(zhuǎn)化性�、可再生性和無限應(yīng)用性����。由于其特殊性質(zhì)造成信息資源存在可能被篡改�、偽造�、竊取以及截取等安全隱患���,造成信息的丟失�、泄密����,甚至造成病毒的傳播���,從而導(dǎo)致信息系統(tǒng)的不安全性,給國家的信息化建設(shè)帶來不利影響�����。因此���,如何保證信息安全成為亟須解決的重要問題�����。
信息安全包括以下內(nèi)容:真實性,保證信息的來源真實可靠���;機密性,信息即使被截獲也無法理解其內(nèi)容;完整性����,信息的內(nèi)容不會被篡改或破壞����;可用性���,能夠按照用戶需要提供可用信息���;可控性,對信息的傳播及內(nèi)容具有控制能力;不可抵賴性��,用戶對其行為不能進行否認���;可審查性,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段���。與傳統(tǒng)的安全問題相比����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性���。由于因特網(wǎng)與生俱來的開放性特點���,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的���,而不是封閉的、保密的����。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊。
二是信息安全問題的易擴散性����。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)���,造成了病毒極易滋生和傳播�����,從而導(dǎo)致信息危害�。
三是信息安全中的智能性、隱蔽性特點�����。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為����,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗,對信息的破壞���、竊取等都是通過技術(shù)手段實現(xiàn)的�。而且這樣的破壞甚至攻擊也是“無形”的��,不受時間和地點的約束�,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡�,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災(zāi)害、意外事故�����;計算機犯罪��;人為錯誤�,比如使用不當(dāng),安全意識差等���;“黑客”行為���;內(nèi)部泄密����;外部泄密;信息丟失����;電子諜報,比如信息流量分析��、信息竊取等����;信息戰(zhàn)�;網(wǎng)絡(luò)協(xié)議自身缺陷���,等等�����。
二�����、我國信息化中的信息安全問題
近年來����,隨著國家宏觀管理和支持力度的加強����、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素����,我國在信息安全管理上的進展是迅速的。但是����,由于我國的信息化建設(shè)起步較晚���,相關(guān)體系不完善,法律法規(guī)不健全等諸多因素��,我國的信息化仍然存在不安全問題���。
1����、信息與網(wǎng)絡(luò)安全的防護能力較弱�����。我國的信息化建設(shè)發(fā)展迅速��,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站��,特別是“政府上網(wǎng)工程”全面啟動后���,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備����、安全審計系統(tǒng)����、入侵監(jiān)測系統(tǒng)等防護設(shè)備����,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱���,在網(wǎng)絡(luò)黑客攻擊的國家中�����,中國是最大的受害國����。
2����、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制����,很多單位和部門直接引進國外的信息設(shè)備���,并不對其進行必要的監(jiān)測和改造,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機�����。
3���、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱��,核心技術(shù)嚴重依賴國外���,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品�����。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外����,這使我國的網(wǎng)絡(luò)安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網(wǎng)”�。由于缺乏自主技術(shù)�����,我國的網(wǎng)絡(luò)處于被竊聽、干擾���、監(jiān)視和欺詐等多種信息安全威脅中���,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。
4����、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊���,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪�����,例如傳播病毒����、竊取他人網(wǎng)絡(luò)銀行賬號密碼等�����。
5、在研究開發(fā)���、產(chǎn)業(yè)發(fā)展����、人才培養(yǎng)��、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)����。
造成以上問題的相關(guān)因素在于:首先,我國的經(jīng)濟基礎(chǔ)薄弱��,在信息產(chǎn)業(yè)上的投入還是不足�,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次�,全民信息安全意識淡薄,警惕性不高���。大多數(shù)計算機用戶都曾被病毒感染過�����,并且病毒的重復(fù)感染率相當(dāng)高��。
除此之外����,我國目前信息技術(shù)領(lǐng)域的不安全局面���,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)���。
三、相關(guān)解決措施
針對我國信息安全存在的問題���,要實現(xiàn)信息安全不但要靠先進的技術(shù)��,還要有嚴格的法律法規(guī)和信息安全教育�����。
1�����、加強全民信息安全教育����,提高警惕性。從小做起��,從己做起���,有效利用各種信息安全防護設(shè)備����,保證個人的信息安全���,提高整個系統(tǒng)的安全防護能力���,從而促進整個系統(tǒng)的信息安全。
2���、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�����,加大信息產(chǎn)業(yè)投入����。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā)���,尤其是信息安全產(chǎn)品�,減小對國外產(chǎn)品的依賴程度���。
3、創(chuàng)造良好的信息化安全支撐環(huán)境���。完善我國信息安全的法規(guī)體系��,制定相關(guān)的法律法規(guī)����,例如信息安全法�、數(shù)字簽名法、電子信息犯罪法���、電子信息出版法���、電子信息知識產(chǎn)權(quán)保護法、電子信息個人隱私法���、電子信息進出境法等�����,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度�,對其進行嚴厲的懲處。
4���、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)����。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)��,應(yīng)大力培養(yǎng)信息安全專業(yè)人才����,建立信息安全人才培養(yǎng)體系。
5�、加強國際防范,創(chuàng)造良好的安全外部環(huán)境����。由于網(wǎng)絡(luò)與生俱有的開放性、交互性和分散性等特征����,產(chǎn)生了許多安全問題��,要保證信息安全�,必須積極參與國際合作��,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范�,防范來自世界各地的黑客入侵,加強信息網(wǎng)絡(luò)安全��。
第2篇
1 大數(shù)據(jù)概述
1)大數(shù)據(jù)的定義
大數(shù)據(jù)(big data���,mega data),或者稱海量數(shù)據(jù)資源集����,是指嘗試一種全新處理模式和應(yīng)用思維方式才來預(yù)測行為的發(fā)生,提前做出準備應(yīng)對���。因為這種預(yù)測準確性高���,這種模式需要有更強有力地的決策手段、洞察能力和流程優(yōu)化方法的大規(guī)模����、多樣化的信息資產(chǎn)����,以便更好地適應(yīng)企業(yè)進行經(jīng)營決策和資源整[3]����。
2)大數(shù)據(jù)的特點
特點如下:第一,龐大的數(shù)據(jù)量�。從TB級別,躍升到PB級別�����;其次�,廣泛的數(shù)據(jù)類型。網(wǎng)絡(luò)文字��、圖像����、影音、二維碼等信息���。然后�,低密度的價值。通過對數(shù)以萬計的數(shù)據(jù)信息進行地毯式挖掘����,但有提取的用信息只有一星半點。第四���,信息處理速度快����。因為使用RapidMiner數(shù)據(jù)分析技術(shù)和Apache Drill查詢手段����,對數(shù)據(jù)的處理只需要1秒。
2 信息安全問題在大數(shù)據(jù)時代中的現(xiàn)狀
大數(shù)據(jù)�����,已經(jīng)滲透到當(dāng)今每一個行業(yè)和業(yè)務(wù)職能領(lǐng)域����,成為重要的生產(chǎn)因素��。人們對于海量數(shù)據(jù)的挖掘和運用�,預(yù)示著新一波生產(chǎn)率增長和消費者盈余浪潮的到來��。”這是麥肯錫宣稱的大數(shù)據(jù)策略����。與此同時���,不少人認為����,我們現(xiàn)在身處于“玻璃房”當(dāng)中���,周圍都是疾速的數(shù)據(jù)流���。如何保護個人信息不被挖掘?當(dāng)下又該如何使用好大數(shù)據(jù)這把“雙刃劍”是亟待解決[4]�。
1)大眾非理性的對待
隨著智能手機和計算機技術(shù)的普及,對數(shù)據(jù)處理的生活化十分普遍���。同時�����,衍生了網(wǎng)絡(luò)社會怪現(xiàn)象:網(wǎng)絡(luò)“曬”信息���,微信搶紅包和微購物等����。生活也漸漸成為了“自我量化”的模式���,然而這些習(xí)以為常的舉動�����,很有可能泄露你的個人信息����,造成不必要的損失�����。我國處于在傳統(tǒng)數(shù)據(jù)和大數(shù)據(jù)時代的過渡期�,信息泄密事件也隨之泛濫成災(zāi)����。然而這個更迭的時期,個人信息與隱私邊界的模糊化����,人的自我保護意識逐漸淡薄����,促使我們成為隱私度歸零的“透明人”���。
2)傳統(tǒng)安全技術(shù)的缺陷
近年來���,網(wǎng)絡(luò)安全論文威脅層出不窮,讓企業(yè)���、個人甚至政府機構(gòu)等防不勝防����。網(wǎng)絡(luò)黑客們總能對攻擊方案進行“創(chuàng)新”��,編輯出殺傷力強大的程序設(shè)計����。從而達到入侵網(wǎng)絡(luò)服務(wù)器獲取信息數(shù)據(jù)的目的[5]。傳統(tǒng)的防火墻和殺毒軟件只能來應(yīng)對移動設(shè)備端的入侵手段����,而無法解決黑客對云端大數(shù)據(jù)庫的攻擊�����。
3)數(shù)據(jù)價值屬性的隱患
由于大數(shù)據(jù)價值密度低的根本屬性��,黑客利用這個特點���,將制作并編寫的攻擊型APT代碼,并將其安置隱藏在大數(shù)據(jù)中�����,使監(jiān)測的防護軟件無法被察覺���。然后進行程序運行���,但由于其識別代碼的迅速性,容易忽略病毒代碼���,于是將病毒傳輸?shù)酱髷?shù)據(jù)庫的云端空間服務(wù)器中����。然后執(zhí)行APT代碼�,開始持續(xù)竊取工作并且進行指令整合,通過對用戶的細小的相關(guān)信息���,來挖掘出用戶的信息與資料����。
3 大數(shù)據(jù)時代下的信息安全新威脅
1)移動設(shè)備的信息泄露
大數(shù)據(jù)時代移動設(shè)備的普及化��,app軟件的興起��,不少非法廣告渠道商與黑客將黑手觸及其中�����,將惡意代碼���、釣魚代碼和廣告植入到官方軟件中���,然后將其從新包裝,并將包裝后的軟件放置第三方網(wǎng)絡(luò)應(yīng)用平臺中����,隨后攻擊者假裝成用戶認識的人,向用戶發(fā)送短信軟件鏈接,當(dāng)用戶點擊廣告鏈接�、下載應(yīng)用軟件時,其惡意代碼將會啟動���,被感染的移動設(shè)備會對聊天記錄����、上網(wǎng)記錄��、照片���、性格愛好等個人價值微小信息����,并向通訊錄的其他人發(fā)送相同短信��。犯罪分子通過數(shù)據(jù)的傳輸把信息竊取出來���,然后通過大數(shù)據(jù)進行的關(guān)聯(lián)性進行深度分析����、挖掘和綜合利用���,導(dǎo)致個人信息的泄露��。
2)網(wǎng)絡(luò)犯罪越演越烈
隨著大數(shù)據(jù)的興盛���,大規(guī)模的數(shù)據(jù)傳輸和網(wǎng)絡(luò)數(shù)據(jù)交易等都是通過大數(shù)據(jù)的平臺來進行的。數(shù)據(jù)平臺的虛構(gòu)性使得極多的犯罪分子鉆其漏洞��。其中網(wǎng)絡(luò)安全問題已經(jīng)不再是最求眼下利益的破壞�,而是損壞大數(shù)據(jù)下的關(guān)聯(lián)模式,使預(yù)測的準確性降低�。影響未來的信息安全。
3)云計算的安全管理隱患
云數(shù)據(jù)中心因大數(shù)據(jù)時代的來臨�����,數(shù)據(jù)更加及集中密集�����,如果這些數(shù)據(jù)出現(xiàn)問題����,無論是丟失還是被篡改,對任何企業(yè)都會是一場毀滅性災(zāi)難���。不少企業(yè)對對安全防護的認知還有存在較大的誤區(qū)[6]�。云計算的發(fā)現(xiàn)與完善帶來了許多急待解決的問題,企業(yè)用戶的信息安全將面臨更加嚴峻的挑戰(zhàn)[7]�。有些云服務(wù)供應(yīng)商對登記注冊管理不嚴格導(dǎo)致了造成了云的泛濫、惡意的使用以及對云服務(wù)的攻擊的嚴重后果�,對于大數(shù)據(jù)時代的發(fā)展產(chǎn)生極為不良的后果,嚴重干擾了數(shù)據(jù)的完整性和相關(guān)聯(lián)系[8]��。
4 造成大數(shù)據(jù)時代信息安全缺位的原因
1)自我量化導(dǎo)致安全意識淡薄
如今����,數(shù)據(jù)代表著某事物的描述,這種數(shù)據(jù)可以進行分析�����、整合與記錄����。在大數(shù)據(jù)的時代,人們開始利用數(shù)據(jù)的核心屬性“量化一切”來對生活進行轉(zhuǎn)換�����。然而在當(dāng)“文字轉(zhuǎn)換數(shù)據(jù)�����、方位轉(zhuǎn)換數(shù)據(jù)、溝通轉(zhuǎn)換數(shù)據(jù)甚至世界萬物轉(zhuǎn)換數(shù)據(jù)”時�,人們不會把個體看作成體事物,而是視為一堆數(shù)據(jù)庫的集合時���,便會覺得生活本該就是由數(shù)據(jù)構(gòu)成[8]。于是就開始將圖片信息����,個人資料肆無忌憚的公開在網(wǎng)絡(luò)的大數(shù)據(jù),信息泄露的問題也隨之降臨���。信息的泄露����,會威脅著人們的信息保密工作[9]���,但這種泄露手段卻是大數(shù)據(jù)的掩蓋下神不知鬼不覺地發(fā)生著�。
2)黑色產(chǎn)業(yè)鏈中的利益驅(qū)使
當(dāng)大數(shù)據(jù)方興未艾時���,一些app開發(fā)商與病毒的制作者組織在一起進行合作��,對一些知名軟件做出反編譯處理�����,并在其中插入惡意���、廣告代碼等���。然后將這些被處理的軟件打包投放到應(yīng)用市場,當(dāng)用戶點擊其中的應(yīng)用和廣告鏈接時���,將會產(chǎn)生一定的推廣利益�����。這是大數(shù)據(jù)時代下病毒制作者���、app開發(fā)商與非法廣告提供商三者形成的黑色產(chǎn)業(yè)鏈,而這種產(chǎn)業(yè)鏈將會污染大數(shù)據(jù)的環(huán)境����,并且會使數(shù)據(jù)資源出現(xiàn)斷層,其關(guān)聯(lián)性被損壞從而引發(fā)信息安全問題���。
3)安全法規(guī)的強滯后性
大數(shù)據(jù)的信息挖掘十分強大�����,它可以對網(wǎng)上數(shù)據(jù)源進行索引���,尋得個人的細微信息�,揭示其行為規(guī)律[10]�����,這使安全隱私問題頻頻發(fā)生��。當(dāng)人們用法律法規(guī)去駕馭大數(shù)據(jù)下的信息安全時���,發(fā)現(xiàn)法律法規(guī)的滯后性,無法滿足大數(shù)據(jù)時代的預(yù)測和關(guān)聯(lián)性使信息安全衍生的問題具有多變性�。
5 大數(shù)據(jù)時代信息安全的措施
1)信息安全保護應(yīng)納入國家戰(zhàn)略資源的保護范疇
數(shù)據(jù)的運用已滲入了社會生活的各個方面,大數(shù)據(jù)為國家及時掌握社會動態(tài)���,分析社會民情����,觀察社會變化提供了重要的數(shù)據(jù)來源。例如網(wǎng)上購物的發(fā)貨地址及其商品的變化����,能很好地為國家分析各地的產(chǎn)業(yè)經(jīng)濟的變化提供有力的數(shù)據(jù),這些數(shù)據(jù)也屬于大數(shù)據(jù)的范疇�����,這些數(shù)據(jù)對于國家有其特殊的戰(zhàn)略意義[11]�����。由此可見���,數(shù)據(jù)之于國家戰(zhàn)略的重要性����,將其包含于戰(zhàn)略資源加以保護尤為重要���。“國家網(wǎng)絡(luò)與信息安全戰(zhàn)略下的云”這一明確表述出現(xiàn)于2015年4月15號的中國數(shù)據(jù)中心大會中���,表明對于信息安全的保護已經(jīng)上升至國家戰(zhàn)略層面,這事件對于我國在新形勢下對于網(wǎng)絡(luò)信息安全及個人信息的保護具有里程碑式的重要意義。
2)加強信息安全的立法工作
在新形勢下�����,相較于傳統(tǒng)的保護措施及僅從技術(shù)層面上加以防范已經(jīng)不能滿足如今的現(xiàn)實需求,從法律層面出發(fā),制定研究能夠適應(yīng)大數(shù)據(jù)時代下的信息保護法律��,才能真正地為信息的保護樹立防范之本。許多IT企業(yè)的負責(zé)人呼吁國家應(yīng)頒布信息安全相關(guān)的法律和加強對信息安全的保護工作����,信息安全問題已引起了社會各階層的眾多討論[12]。這表明信息保護已不再是一個行業(yè)問題���,而演變?yōu)橐粋€與每個人都緊密相關(guān)的重要安全問題�,這對保護網(wǎng)絡(luò)安全意義重大�����。
3)加強對數(shù)據(jù)的行政監(jiān)管
在如今的互聯(lián)網(wǎng)時代����,數(shù)據(jù)顯示出了其之前從不具有的巨大價值����,某些商業(yè)機構(gòu)運用個人信息數(shù)據(jù)能通過較小成本博取很高的經(jīng)濟利潤���,在個人信息安全法律沒有制定的今天,某些企業(yè)只需要面對較小的違法成本就能換取巨大的經(jīng)濟利益[14]��。對于這種情況���,我國應(yīng)制定與其相適應(yīng)的安全標準�,使這種行為始終處在透明的監(jiān)管環(huán)境下����,保護個人信息安全及隱私不被侵犯,使對個人數(shù)據(jù)的使用始終保持在正確的軌道上�����。2013年2月1日起實施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》指出對于數(shù)據(jù)的使用����,必須要征得信息當(dāng)事人的明確同意。在對信息的行政監(jiān)管上�,此指南的頒布意味著我國的信息保護工作走向了一個全新的層面[15]。
4)加強對信息安全的技術(shù)保護
技術(shù)保護是法律保護的具體化�、現(xiàn)實化,它將法律保護落實到實質(zhì)層面,是體現(xiàn)法律保護的有力工具�����。在相關(guān)法律還沒有正式實施的階段����,技術(shù)保護仍是我們保護信息不可或缺的有效武器[16]。信息技術(shù)的發(fā)展日新月異���,需要我國大力重視信息技術(shù)的發(fā)展����,不斷創(chuàng)造及創(chuàng)新���,突破新技術(shù)�,研發(fā)新技術(shù)�,提升我國在信息技術(shù)領(lǐng)域的競爭力,為我國的信息保護工作提供牢靠的技術(shù)保障�。
5)加強行業(yè)自律與監(jiān)管
僅僅依靠國家機關(guān)的行政監(jiān)督仍不能有效保護信息的安全���,我們應(yīng)引入行業(yè)競爭����,使它們相互監(jiān)督,這能在最大程度上保護信息安全����。所以,國家有關(guān)部門應(yīng)組織相關(guān)企業(yè)組成行業(yè)委員會���,制定行業(yè)安全標準和條約����,明確它們的權(quán)利及義務(wù)����,使相關(guān)企業(yè)間的互相監(jiān)督變?yōu)楝F(xiàn)實,成為一個保護信息安全的有效辦法���。同時�,國家有關(guān)部門應(yīng)給予相應(yīng)的資金及政策支持�����。
大數(shù)據(jù)為我們提供更為真實的數(shù)據(jù)的同時也大大降低了數(shù)據(jù)獲取的成本����,這使得我們能更好地服務(wù)社會�,適應(yīng)社會變化��,改善社會����,我們的社會會應(yīng)大數(shù)據(jù)而變得更美好[17]。大數(shù)據(jù)的運用仍有其隱患�����,它就像把雙刃劍����,在最大程度上運用它的關(guān)聯(lián)方面的“預(yù)測”同時也應(yīng)最大限度地避免其所帶來的風(fēng)險。這風(fēng)險就是信息資源的泄露��,在運用數(shù)據(jù)的同時不能忽視對數(shù)據(jù)的保護����。
參考文獻:
第3篇
關(guān)鍵詞:電子政務(wù) 風(fēng)險 防范措施
中圖分類號:C93文獻標識碼: A
一、 電子政務(wù)概述
電子政務(wù)���,亦稱電子政府����、政府信息化管理,是政府機構(gòu)以計算機為媒介���,應(yīng)用現(xiàn)代信息和通信技術(shù)�,將政府的管理和服務(wù)工作通過網(wǎng)絡(luò)技術(shù)進行集合�����,以實現(xiàn)政府部門工作的進行以及組織結(jié)構(gòu)的優(yōu)化重組����,從而及時向社會及公眾提供全方位、行之有效的管理和服務(wù)����。
電子政務(wù)是政府管理方式的革命,它的運行有助于建立一個開放透明的政府�����,一個勤政廉潔的政府�。電子政務(wù)職能實現(xiàn)的前提是信息安全的有效保障,大量政府公文在政務(wù)信息網(wǎng)絡(luò)上的流轉(zhuǎn)��,一旦存在信息安全問題,則直接導(dǎo)致機密數(shù)據(jù)和信息的泄漏����,危及到政府的核心政務(wù)。如果電子政務(wù)信息安全得不到保障����,電子政務(wù)的效率便無從保證,這將給國家利益帶來嚴重威脅����。所以說,信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問題和核心問題��。
二��、 電子政務(wù)面臨的風(fēng)險
(一) 認知層面的風(fēng)險
電子政務(wù)在國內(nèi)建設(shè)與使用時間不長����,缺乏深入研究。一些人只是簡單地認為電子政務(wù)系統(tǒng)就是信息化�����,只要實現(xiàn)了網(wǎng)絡(luò)數(shù)字化就可以推行電子政務(wù)�,從而出現(xiàn)盲目建設(shè)����、脫離現(xiàn)實條件等問題��;還有一部分人認為電子政務(wù)就是運用計算機代替?zhèn)鹘y(tǒng)手工模式����,這就固化了現(xiàn)有政府結(jié)構(gòu)����,不利于政府的改造與職能的轉(zhuǎn)變。
(二) 規(guī)劃層面的風(fēng)險
規(guī)劃層面的風(fēng)險主要有:規(guī)劃制定人員����、規(guī)劃的范圍和內(nèi)容、規(guī)劃計劃的實施步驟��、規(guī)劃中的政策因素等等����。
信息技術(shù)的進一步應(yīng)用,使得政府的組織形態(tài)正在由傳統(tǒng)的金字塔垂直模式向錯綜復(fù)雜的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變���,這就要求政務(wù)機構(gòu)的運行方式作出相應(yīng)轉(zhuǎn)變���,進行電子政務(wù)的整體規(guī)劃���。電子政務(wù)是整個系統(tǒng)建設(shè)的基礎(chǔ),是項目成功的基本保障���。只有了解了本地區(qū)的發(fā)展現(xiàn)狀���,了解地方政府的特點,了解本地區(qū)的政務(wù)工作流程���,才能編制出適合本地區(qū)電子政務(wù)的發(fā)展規(guī)劃�。但目前���,地方政府在電子政務(wù)方面的規(guī)劃明顯不足���,缺乏可操作性,這就導(dǎo)致在使用過程中面臨著很大風(fēng)險��。
(三) 物理安全層面的風(fēng)險
物理安全層面的風(fēng)險主要指的是網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用����,從而造成網(wǎng)絡(luò)系統(tǒng)的不可用���。例如,線路老化����、蓄意破壞、設(shè)備意外故障�����、自然災(zāi)害等�, 這些都屬于物理安全層面的潛在風(fēng)險因素�����。
(四) 應(yīng)用層面的風(fēng)險
應(yīng)用層面的風(fēng)險主要表現(xiàn)為非法訪問��,即竊取用戶口令����、用戶信息被剽竊或修改等,由于政府網(wǎng)絡(luò)對外提供WWW服務(wù)�,Email服務(wù)、DNS服務(wù)等,因此也存在著外網(wǎng)非法用戶對內(nèi)部服務(wù)器的攻擊�����。
(五) 系統(tǒng)層面的風(fēng)險
當(dāng)前電子政務(wù)網(wǎng)通常采用的操作系統(tǒng)本身在安全方面的考慮較少�,服務(wù)器與數(shù)據(jù)庫的安全級別較低,這在很大程度上存在著安全隱患�,加之病毒的潛伏,這些都增加了系統(tǒng)在安全方面的脆弱性����。
(六) 技術(shù)層面的風(fēng)險
技術(shù)層面的風(fēng)險主要表現(xiàn)為技術(shù)線路、設(shè)備選型��、工程質(zhì)量���、系統(tǒng)性能等風(fēng)險����。技術(shù)層面的風(fēng)險不僅關(guān)系到項目的實施情況����,也關(guān)系到項目后期的維護和應(yīng)用。現(xiàn)階段受技術(shù)發(fā)展的制約���,我們在技術(shù)方面還存在著很大欠缺����,因此存在著一定的技術(shù)風(fēng)險。
(七) 資金層面的風(fēng)險
受利益的驅(qū)使�����,有些部門在制定規(guī)劃時���,將電子政務(wù)的規(guī)模越做越大�����,虛設(shè)資金越來越多,這就使得電子政務(wù)的建設(shè)變得越來越困難��。除此之外����,在資金使用方面,由于缺乏對部門資金的有效監(jiān)督����,使得資金浪費現(xiàn)象嚴重。如果不能合理計劃和控制資金的流向,這將直接影響電子政務(wù)的建設(shè)�����,甚至促使一種新的腐敗的產(chǎn)生���。另外����,在后期維護上���,電子政務(wù)系統(tǒng)也需要運營資金的支持�����,沒有了運營資金的有效支持���,就沒有了電子政務(wù)的內(nèi)容來源。
(八) 管理層面的風(fēng)險
在電子政務(wù)運行過程中需要管理的內(nèi)容主要有規(guī)劃管理�����、技術(shù)管理���、過程管理��、運維管理��、安全管理等����。管理的風(fēng)險不僅體現(xiàn)在單個項目的管理,也體現(xiàn)在根據(jù)規(guī)劃對相關(guān)項目群的管理風(fēng)險�����。管理風(fēng)險是項目實施過程中最主要的風(fēng)險����,是項目成敗與否的關(guān)鍵。隨著信息系統(tǒng)建設(shè)和應(yīng)用規(guī)模的不斷擴大���,管理的難度和風(fēng)險還將不斷加大,但與此同時�����,政府部門缺乏信息化項目管理的專業(yè)人員���,缺乏項目管理的風(fēng)險意識����,這與快速發(fā)展的電子政務(wù)管理要求不相匹配。
三�����、 電子政務(wù)管理防范措施
(一)強化信息管理人員的安全意識
電子政務(wù)信息安全是電子政務(wù)正常而高效運轉(zhuǎn)的基礎(chǔ)���,是保障國家信息安全的重要前提�����,電子政務(wù)信息管理人員要正確認識并高度重視����,及時發(fā)現(xiàn)影響信息安全的現(xiàn)象�。政府部門要對信息管理人員進行必要的培訓(xùn),普及信息安全知識�,增強信息管理人員的安全意識;積極開展安全策略研究��,明確安全責(zé)任����,增強信息管理人員的責(zé)任心�;積極組織各種講座和培訓(xùn)班�,培養(yǎng)專業(yè)信息安全人才,確保防范手段和技術(shù)措施的先進性和主動性����。
(二)實施保障措施,建立系統(tǒng)安全保障體系
電子政務(wù)系統(tǒng)安全風(fēng)險的威脅無處不在����,它主要來自于物理環(huán)境、技術(shù)環(huán)境�����、社會環(huán)境等���。建立全方位的電子政務(wù)信息系統(tǒng)安全保障體系是規(guī)避電子政務(wù)安全威脅因素的必要方式��。在充分分析系統(tǒng)安全風(fēng)險的基礎(chǔ)上���,通過制定系統(tǒng)安全策略和采用先進的安全技術(shù)�,才能對系統(tǒng)實施安全防護和監(jiān)控,使其真正成為智能型系統(tǒng)安全體系���。具體做法有:
1.實施監(jiān)測系統(tǒng)的運行情況,及時發(fā)現(xiàn)和制止可能對系統(tǒng)出現(xiàn)威脅的各種攻擊����;
2.記錄和分析安全審計數(shù)據(jù),檢查系統(tǒng)中出現(xiàn)的違規(guī)行為���,判斷是否違反法律法規(guī)��,為改進系統(tǒng)提供充足的依據(jù)���;
3.對數(shù)據(jù)恢復(fù)應(yīng)進行應(yīng)急處理和響應(yīng)����,及時恢復(fù)信息�����,降低被攻擊的破壞程度,包括備份���、自動恢復(fù)����、快速恢復(fù)等。
(三)制定合理資金計劃����,確保有序利用
充足的資金是保證電子政務(wù)順利開展的必要條件。前期指定電子政務(wù)建設(shè)的方案中�����,要根據(jù)本單位���、本部門的實際情況制定合理的資金預(yù)算方案����,確保不虛報資金預(yù)算�����,杜絕腐敗滋生���;在后期維護過程中���,資金也要及時到位,以確保電子政務(wù)信息系統(tǒng)的順利進行�。
(四)健全電子政務(wù)法律法規(guī)建設(shè)
法律是保障電子政務(wù)信息安全的最有力手段。政府立法部門應(yīng)加快立法進程����,借鑒國外網(wǎng)絡(luò)信息安全立法方面的先進經(jīng)驗����,制定完備的信息網(wǎng)絡(luò)安全性法規(guī),完善我國的網(wǎng)絡(luò)信息安全法律體系�,使得電子政務(wù)信息安全管理走上法制化軌道。
電子政務(wù)是實現(xiàn)“電子政府”的有效途徑��,在政府推動信息化的同時�,也要注意其過程中產(chǎn)生的風(fēng)險�,正視風(fēng)險本身�,加快制定保障電子政務(wù)健康發(fā)展的政策法規(guī),才能降低風(fēng)險���,從而有力地推動和改進政府的管理方式���,才能有助于更好的發(fā)揮其政府職能�。
參考文獻:
[1]方德英,李敏強.IT項目風(fēng)險管理理論體系構(gòu)建[J].合肥工業(yè)大學(xué)學(xué)報(自然科學(xué)版)��,2003,,2(8):907-908.
[2]費朵����,鄒家繼.項目風(fēng)險識別防范探討[J].物流科技,2008(08):139-141.
第4篇
論文關(guān)鍵詞:信息系統(tǒng)���;安全管理���;體系
現(xiàn)代金融業(yè)是基于信息����、高度計算化�、分散���、相互依存的產(chǎn)業(yè)����,有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)����、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化��。而越是復(fù)雜的系統(tǒng),其安全風(fēng)險就越高���。在系統(tǒng)中每增加一種訪問的方式就增加了一些入侵的機會�;每增加一些訪問的人群就引入了一些可能受到惡意破壞的風(fēng)險�。據(jù)2003年一項對全球前500家金融機構(gòu)的安全調(diào)查(2003GlobaleS curity Survey,Deloitte Touche Tohmat—su),39%受調(diào)查的機構(gòu)承認2002年曾受到一定形式的系統(tǒng)攻擊��;美國聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中,有多件涉及金融機構(gòu)���。這些統(tǒng)計數(shù)字和報道出的事件���,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫�。
長期以來,人們對保障信息系統(tǒng)安全的手段偏重于依靠技術(shù)���,從早期的加密技術(shù)��、數(shù)據(jù)備份��、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻�、入侵檢測、漏洞掃描����、身份認證等等。但事實上��,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意�,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無法消除的����。據(jù)有關(guān)部門統(tǒng)計,在所有的計算機安全事件中����,約有52%是人為因素造成的,25%由火災(zāi)����、水災(zāi)等自然災(zāi)害引起��,技術(shù)錯誤占10%�����,組織內(nèi)部人員作案占10%���,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類���,屬于管理方面的原因比重高達6O%以上���,而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此����,加強安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證��,是金融信息系統(tǒng)安全體系建設(shè)的重點��。
1安全管理體系構(gòu)建
信息安全源于有效的管理���,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系�����,只有在建立防范的基礎(chǔ)上�����,加強預(yù)警���、監(jiān)控和安全反擊�,才能使信息系統(tǒng)的安全維持在一個較高的水平之上���。因此���,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ),是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)����。為在金融信息系統(tǒng)中建立全新的安全管理機制,最可行的做法是技術(shù)與管理并重�,安全管理法規(guī)、措施和制度與整體安全解決方案相結(jié)合�����,并輔之以相應(yīng)的安全管理工具,構(gòu)建科學(xué)����、合理的安全管理體系。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的����,它包括信息安全法規(guī)、措施和制度����,安全管理平臺及信息安全培訓(xùn)和安全隊伍建設(shè),其示意圖如圖1所示���。
2安全管理平臺
安全管理平臺是通過采用技術(shù)手段實施金融信息系統(tǒng)安全管理的平臺��,它包括安全預(yù)警管理��、安全監(jiān)控管理、安全防護與響應(yīng)管理和安全反擊管理����。
2.1安全預(yù)警管理
安全預(yù)警管理的功能由預(yù)警系統(tǒng)實現(xiàn),通過該系統(tǒng)���,可以在安全風(fēng)險動態(tài)威脅和影響金融信息系統(tǒng)前�����,事先傳送相關(guān)的警示�,讓管理員采取主動式的步驟,在安全風(fēng)險影響運作前加以攔阻����,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷、效能損失或?qū)ζ涔娦抛u造成危害����,達到提前保護自己的作用。安全預(yù)警系統(tǒng)通過追蹤最新的攻擊技術(shù)���,分析威脅信息以辨識出真正潛在的攻擊���,迅速響應(yīng)并提供定制化威脅分析及個性化的漏洞和惡意代碼告警服務(wù),幫助降低風(fēng)險���,防患于未然�。
2.2安全監(jiān)控管理
通過安全監(jiān)控功能可以實時監(jiān)控金融信息系統(tǒng)的安全態(tài)勢、發(fā)生了哪些攻擊����、出現(xiàn)了什么異常、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險日志等�����,因此安全監(jiān)控功能對于金融信息系統(tǒng)的安全保障體系來說是至關(guān)重要的�����。
1)基于實時性的安全監(jiān)控��。通過在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實時安全事件�����,及時關(guān)注IT資源和安全風(fēng)險的現(xiàn)狀和趨勢�,通過實時監(jiān)控來提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控��。利用智能信息處理技術(shù)對信息網(wǎng)絡(luò)中的各種安全事件進行智能處理���,實現(xiàn)報警信息的精煉化,提高報警信息的可用信息量,降低安全設(shè)備的虛警和誤警���,從而有效地提高安全保障系統(tǒng)中報警信息的可信度�。
3)基于可視化的安全監(jiān)控���。通過對安全事件分析過程與分析報告的可視化手段����,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等����,提供詳細的入侵攻擊信息乃至重現(xiàn)攻擊場景,實現(xiàn)對入侵攻擊行為的追蹤��,使得對安全事件的分析更為直觀��,從而有效提高安全管理人員對于入侵攻擊的監(jiān)控理解��,使安全系統(tǒng)的管理更為有效��。
4)基于分布式的安全監(jiān)控����。通過系統(tǒng)分布式的多級部署方式�����,可以實現(xiàn)對金融信息系統(tǒng)內(nèi)各個子系統(tǒng)的監(jiān)控和綜合分析能力���,同時對不同安全保護等級的用戶提供相應(yīng)的監(jiān)控界面和信息,從而嚴格滿足其安全等級劃分的用戶級要求���。
2.3安全防護與響應(yīng)管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性����,因此會采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來實現(xiàn)安全防護的目的�����。通過安全防護與響應(yīng)管理可以及時響應(yīng)和優(yōu)化整個系統(tǒng)安全防護策略��;最直接的響應(yīng)就是提供多種方式�����,如報警燈���、窗日��、郵件����、手機短信等向安全管理員報警����,然后日志保存在本地數(shù)據(jù)庫或者異地數(shù)據(jù)庫中。
1)優(yōu)化安全策略分析���。通過實時掌握自身的安全態(tài)勢���,及各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備���、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況���,輸出正常和非法個性化的安全策略報表,然后直接通知相應(yīng)的安全管理人員或廠商對其自身策略進行優(yōu)化調(diào)整�����。
2)動態(tài)響應(yīng)策略調(diào)整���。通過對各種安全響應(yīng)協(xié)議的支持����,如SNMP、TOPSEC���、聯(lián)動協(xié)議等�,實現(xiàn)相關(guān)的安全防護技術(shù)策略的自動交互�����,同時通過專家知識庫能從全局的角度去響應(yīng)安全事件很好地解決安全誤報問題�。
3)安全服務(wù)自動協(xié)調(diào)。當(dāng)智能分析和安全定位功能確認出安全事件或安全故障時����,及時調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進行相應(yīng)的安全加固防護。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊���。
1)安全事件的取證管理���。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過對系統(tǒng)安全事件的存儲和分析����,實現(xiàn)對安全事件的取證管理����,給相關(guān)調(diào)查人員提供安全事件的直接取證���。
2)安全事件的追蹤反擊。通過資源狀態(tài)分析�����、關(guān)聯(lián)分析����、專家系統(tǒng)分析等有效手段,檢測到攻擊類型����,并定位攻擊源。隨后�,系統(tǒng)自動對目標進行掃描,并將掃描結(jié)果告知安全管理員�����,并提示安全管理員查詢知識庫,從中提取有效手段對攻擊源進行反擊控制���。
3安全管理措施建議
在安全管理技術(shù)手段的基礎(chǔ)上�����,還要提高安全管理水平���。俗話說“三分技術(shù),七分管理”�����,由于金融信息系統(tǒng)相對比較封閉���,對于金融信息系統(tǒng)安全來說�����,業(yè)務(wù)邏輯和操作規(guī)范的嚴密程度是關(guān)鍵���。因此,加強金融信息系統(tǒng)的內(nèi)部安全管理措施,建立領(lǐng)導(dǎo)組織體系���,完善落實內(nèi)控制度����,強化日常操作管理����,是提升安全管理水平的根本。
1)完善安全管理機構(gòu)的建設(shè)����。目前���,我國已經(jīng)把信息安全提到了促進經(jīng)濟發(fā)展�、維護社會穩(wěn)定����、保障國家安全、加強精神文明建設(shè)的高度�,并提出了“積極防御、綜合防范”的信息安全管理方針���,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組����、國家計算機網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡稱CNCERT/CC)、中國信息安全產(chǎn)品測評認證中心(簡稱CNITSEC)等��,初步建成了國家信息安全組織保障體系���。為確保金融信息系統(tǒng)的安全���,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會),安全管理小組制定出符合企業(yè)需要的信息安全管理策略�,具體包括安全管理人員的義務(wù)和職責(zé)、安全配置管理策略�、系統(tǒng)連接安全策略、傳輸安全策略����、審計與入侵安全策略、標簽策略����、病毒防護策略、安全備份策略����、物理安全策略����、系統(tǒng)安全評估體系等內(nèi)容����。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化,以保證安全管理工作具有明確的依據(jù)或參照��。
2)在保證信息系統(tǒng)設(shè)備的運行穩(wěn)定可靠和信息系統(tǒng)運行操作的安全可靠的前提下�,增加安全機制,如進行安全域劃分��,進行有針對性的安全設(shè)備部署和安全策略設(shè)置�����,以改進對重要區(qū)域的分割防護�;增加入侵檢測系統(tǒng)���、漏洞掃描��、違規(guī)外聯(lián)等安全管理工具����,進行定時監(jiān)控、事件管理和鑒定分析�����,以提高自身的動態(tài)防御能力��;完善已有的防病毒系統(tǒng)�����、增加內(nèi)部信息系統(tǒng)的審計平臺�,以便形成對內(nèi)部安全狀況的長期跟蹤和防護能力。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標準����,狠抓內(nèi)網(wǎng)的用戶管理、行為管理����、應(yīng)用管理、內(nèi)容控制以及存儲管理����;進一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施�,對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案���,并定期更新和測試���,全面提高預(yù)案制定水平和處理能力;建立一支“信息安全部隊”���,專門負責(zé)信息網(wǎng)絡(luò)方面安全保障�、安全監(jiān)管��、安全應(yīng)急和安全威懾方面的工作����。
4)堅持“防內(nèi)為主,內(nèi)外兼防”的方針�����,加強登錄身份認證�����,嚴格限制登錄者的操作權(quán)限���,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能�,對用戶所訪問的信息進行跟蹤記錄�����,為系統(tǒng)審計提供依據(jù)���。
5)重視和加強信息安全等級保護工作����,對金融信息系統(tǒng)中的信息實施一般保護��、指導(dǎo)保護���、監(jiān)督保護和強制保護策略�����,尤其對重要信息實施強制保護和強制性認證����,以確保金融業(yè)務(wù)信息的安全����。
6)加強信息安全管理人才與安全隊伍建設(shè)����,特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度�。通過各種會議、網(wǎng)站����、廣播、電視�、報紙等媒體加大信息安全普法和守法宣傳力度,提高全民信息安全意識��,尤其是加強企業(yè)內(nèi)部人員的信息安全知識培訓(xùn)與教育���,提高員工的信息安全自律水平��。
第5篇
關(guān)鍵詞:信息網(wǎng)絡(luò)安全����;課程���;教學(xué)方法
中圖分類號:TP3 文獻標識碼:A 文章編號:1009-3044(2012)35-8466-03
1 概述
隨著人類進入信息網(wǎng)絡(luò)社會��,信息網(wǎng)絡(luò)系統(tǒng)在人類的日常生活����、工作中發(fā)揮著越來越重要的作用���。由于操作不當(dāng)和網(wǎng)絡(luò)黑客的猖獗����,大家對計算機中存儲的信息安全越來越擔(dān)心了����。怎樣才能使計算機與網(wǎng)絡(luò)中的信息更安全,必須了解計算機信息安全的概念���,了解經(jīng)常遇到的各種信息安全問題和應(yīng)對策略���。
以為企事業(yè)單位第一線輸送實用型人才[1]為辦學(xué)宗旨的高等職業(yè)技術(shù)院校,要適應(yīng)社會發(fā)展����、經(jīng)濟建設(shè)需求,培養(yǎng)有一定的理論基礎(chǔ)�����、扎實的實踐動手能力和比較強的創(chuàng)新能力的實用型技術(shù)人才。針對工作在各行各業(yè)最前沿的高職計算機及相關(guān)專業(yè)的學(xué)生而言��,培養(yǎng)日常安全意識����,掌握信息安全相關(guān)技術(shù)已迫在眉睫。
為使學(xué)生能夠具有良好的職業(yè)道德���,了解并認識各類計算機病毒��、網(wǎng)絡(luò)黑客攻擊的危害性����,熟悉并初步掌握計算機網(wǎng)絡(luò)偵查與信息安全管理等基本理論知識及相關(guān)實際操作及處理技能����,具有較強的信息安全應(yīng)用處理能力,能勝任各級企事業(yè)單位計算機信息管理及基本的安全維護�,具備規(guī)劃企業(yè)安全方案的初步能力,該文從明確課程教學(xué)目標�����、合理設(shè)計教學(xué)內(nèi)容及如何提高教學(xué)質(zhì)量三方面進行了一些改革探索。
2 明確課程教學(xué)目標
以培養(yǎng)學(xué)生實際動手�、操作技能為核心目標,理論知識的掌握應(yīng)服務(wù)于實際工作能力的建構(gòu)����。所謂實際工作能力�����,應(yīng)當(dāng)是一種對職業(yè)世界的理解和認同��,對職業(yè)任務(wù)的認識和把握����,對職業(yè)活動的控制與操作能力[2]。高職計算機及相關(guān)專業(yè)開設(shè)信息安全課程�����,其目的是培養(yǎng)在實際生活和工作中能夠解決第一線的具體信息安全問題的實用性人才�,而不是培養(yǎng)信息安全方面的全才,也不是培養(yǎng)戰(zhàn)略人才�����。即培養(yǎng)滿足企事業(yè)單位社會需求,具備一定的安全道德意識�����,了解并熟練掌握信息網(wǎng)絡(luò)安全維護及安全防范技能���,基本能夠勝任信息安全系統(tǒng)環(huán)境構(gòu)建的技能型的人才����。
因此���,本門課程的教學(xué)目標是培養(yǎng)學(xué)生良好的職業(yè)道德素質(zhì)����;幫助學(xué)生了解并掌握信息網(wǎng)絡(luò)安全的基本知識����、原理和技術(shù),學(xué)會如何在開放的網(wǎng)絡(luò)環(huán)境中保護自己的信息和數(shù)據(jù)���,防止黑客和病毒的侵害�����;重點學(xué)習(xí)目前在信息網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較多的技術(shù)�����,主要是防火墻技術(shù)�����、入侵檢測(IDS)技術(shù)和基于公鑰基礎(chǔ)設(shè)施(PKI)等信息安全技術(shù)���,使學(xué)生在完成本課程學(xué)習(xí)后,能夠獨立進行網(wǎng)絡(luò)信息安全方面的研究和工作���;在學(xué)習(xí)并掌握信息網(wǎng)絡(luò)安全知識的同時���,培養(yǎng)學(xué)生的創(chuàng)新精神、實踐技能和創(chuàng)業(yè)能力���,并注重培養(yǎng)學(xué)生的認真負責(zé)的工作態(tài)度和一絲不茍的工作作風(fēng)����。
3 精心組織、設(shè)計教學(xué)內(nèi)容
信息網(wǎng)絡(luò)安全是一門綜合性學(xué)科���,同時又是一門普及性意義的實踐性很強的課程�,因高職學(xué)生的網(wǎng)絡(luò)基礎(chǔ)知識及所授教學(xué)課程學(xué)時所限����,全面介紹信息網(wǎng)絡(luò)安全各方面的理論知識及相關(guān)技能是不可能的,也毫無必要�����,應(yīng)有選擇���、有針對性地學(xué)習(xí)相關(guān)的信息安全知識����。故信息網(wǎng)絡(luò)安全課程的基本任務(wù)是讓學(xué)生掌握密碼學(xué)與信息安全基本的思想與方法���,為今后工作�、生活及進一步學(xué)習(xí)與研究奠定堅實的基礎(chǔ)����。
根據(jù)高職計算機及相關(guān)專業(yè)學(xué)生���,在掌握信息網(wǎng)絡(luò)安全基礎(chǔ)理論知識及相關(guān)技能的前提下,應(yīng)盡可能多地了解當(dāng)前的信息網(wǎng)絡(luò)安全技術(shù)����,以增強實際分析與解決信息安全實際問題的能力。高職信息安全課程的教學(xué)內(nèi)容至少應(yīng)包括:
1)網(wǎng)絡(luò)安全概述:理解網(wǎng)絡(luò)安全的基本概念和術(shù)語�,了解目前主要的網(wǎng)絡(luò)安全問題和安全威脅,理解基本的網(wǎng)絡(luò)安全模型及功能���,了解信息網(wǎng)絡(luò)安全的重要性及各種信息安全法律法規(guī)�;
2)網(wǎng)絡(luò)操作系統(tǒng)命令及協(xié)議分析:需要掌握常用網(wǎng)絡(luò)協(xié)議及協(xié)議分析工具���,各種網(wǎng)絡(luò)服務(wù)及常用網(wǎng)絡(luò)命令,系統(tǒng)漏洞及后門等內(nèi)容���,尤其是系統(tǒng)的安全配置����,這是信息網(wǎng)絡(luò)安全的根基所在���;
3)防火墻技術(shù)與VPN技術(shù):防火墻技術(shù)是一種隔離內(nèi)部網(wǎng)和公眾訪問網(wǎng)的安全技術(shù)���,對兩個通信網(wǎng)絡(luò)執(zhí)行訪問控制���,而VPN則是一種跨越Internet進行安全的、點對點通信的安全虛擬通道技術(shù)����;
4)密碼技術(shù)及應(yīng)用:密碼技術(shù)是保護信息安全的重要手段之一,也是防止偽造���、篡改信息的認證技術(shù)基礎(chǔ)���;課程中介紹密碼學(xué)的基本概念,要求準確理解并反復(fù)強化���,以形成對密碼學(xué)整體的初步印象����;而對密碼學(xué)中的數(shù)學(xué)概念要求有一定的了解��,可以不必深入掌握�����,留待以后加強;
5)病毒及其防范:了解各種計算機病毒的原理����、傳播方式及其危害,從而更好地殺毒����、防毒;
6)網(wǎng)絡(luò)攻防和入侵檢測:了解黑客與網(wǎng)絡(luò)攻擊�、入侵檢測的基本知識,掌握口令攻擊�����、端口掃描����、網(wǎng)絡(luò)監(jiān)聽���、IP欺騙���、拒絕服務(wù)、特洛伊木馬等攻擊方式的原理���、方法及危害���,能夠識別和防范各類攻擊并利用入侵檢測工具檢測入侵行為���;
7)網(wǎng)絡(luò)安全管理:理解網(wǎng)絡(luò)管理的概念、目標�、功能及標準,熟悉一些管理軟件的功能和應(yīng)用����。
在選擇具體授課內(nèi)容時,應(yīng)根據(jù)社會企事業(yè)及各方面需求及相關(guān)專業(yè)的學(xué)生作適當(dāng)調(diào)整�����,尤其不能流于表面而局限于一些泛泛的����、缺乏全面的安全知識,同時也不要過于追求一些深奧的����、研究方面的理論知識。要根據(jù)所設(shè)定的適合高職學(xué)生的教學(xué)目標����,圍繞著在實際生活�、工作中可能遇到的一些信息安全問題�����,精心設(shè)計相應(yīng)的授課內(nèi)容���,布置學(xué)習(xí)任務(wù)�����,以便讓學(xué)生能夠?qū)⒄n堂所學(xué)知識同現(xiàn)實安全問題相聯(lián)系����,能夠根據(jù)出現(xiàn)的安全現(xiàn)象解決實際問題����,真正的將信息安全知識固化到自身,最終達到開設(shè)本信息安全課程的目的����。
4 提高教學(xué)質(zhì)量的探索
明確教學(xué)目標����,規(guī)劃好教學(xué)內(nèi)容后���,還應(yīng)配有良好的教學(xué)方法和手段,如是才能真正產(chǎn)生好的教學(xué)效果�。我們一方面按照現(xiàn)代教育思想[3]組織教學(xué),一方面積極探索����,大膽改革,具體從以下幾個方面進行探索:
4.1完善信息安全理念���,認識維護信息網(wǎng)絡(luò)安全的重要性
高職學(xué)生一般都有很強的好奇心����,對新知識充滿濃厚的興趣���,尤其一部分學(xué)生更是對黑客技術(shù)有著耳聞��,想進一步深入了解和掌握一些黑客攻擊技術(shù)的迫切感�。其實���,在Internent網(wǎng)上有很多的黑客攻擊工具�����,只要下載下來簡單安裝配置后就可能產(chǎn)生嚴重的攻擊行為�。例如,漏洞掃描�、網(wǎng)絡(luò)監(jiān)聽等工具就是一把雙刃劍。網(wǎng)絡(luò)管理人員使用這些工具可以了解網(wǎng)絡(luò)運行情況及現(xiàn)有網(wǎng)絡(luò)存在的一些安全漏洞����,從而作出相應(yīng)的安全防范措施;而一些懷有好奇心的人及黑客則可以利用這些工具掃描����、監(jiān)聽甚至攻擊相關(guān)網(wǎng)絡(luò),從而造成有意或無意的網(wǎng)絡(luò)攻擊�。因此,我們在講授信息安全課程的時候首先要讓學(xué)生認識到網(wǎng)絡(luò)攻擊的危害性和維護信息網(wǎng)絡(luò)安全的重要性����。如何引導(dǎo)學(xué)生做一個信息安全衛(wèi)士而不是一個安全文盲及黑客,是本課程教學(xué)的一個重要任務(wù)���。
在信息網(wǎng)絡(luò)安全的第一節(jié)課�,首先給出一些CERT(Computer Emergency Response Team, 計算機緊急應(yīng)變小組)統(tǒng)計出的一些信息安全事件數(shù)據(jù)��,讓學(xué)生初步認識到信息安全攻擊事件的防不勝防和信息安全事件所帶來的慘重損失�;然后通過講述一些國內(nèi)外網(wǎng)絡(luò)犯罪的事例�,使學(xué)生了解哪些網(wǎng)絡(luò)行為是違法的,進一步認識到維護信息安全和遵守信息安全法律法規(guī)的重要性����;最后讓學(xué)生明確信息網(wǎng)絡(luò)安全存在著木桶效應(yīng):只有保證每個環(huán)節(jié)的安全,信息網(wǎng)絡(luò)安全才能有保障����,從而讓學(xué)生一開始就養(yǎng)成嚴謹?shù)男畔踩砟睢?/p>
4.2啟發(fā)式教學(xué),發(fā)揮學(xué)生的主觀能動性
興趣是最好的老師�����,我們應(yīng)該充分利用科學(xué)的教學(xué)方法來提高學(xué)生的學(xué)習(xí)興趣����,培養(yǎng)學(xué)生的鉆研精神,增強學(xué)生學(xué)習(xí)的主觀能動性��。教學(xué)課堂上可以充分利用多媒體教學(xué)�,將圖片��、動畫����、錄像等元素都集成到教學(xué)活動中���,以直觀����、生動的教學(xué)形式提高學(xué)生的學(xué)習(xí)興趣��。這樣避免了單純的理論說教�����,讓學(xué)生能夠從抽象難懂的信息網(wǎng)絡(luò)安全知識上升到形象上的認識����。
教學(xué)過程中,老師可以尋求學(xué)生的反饋����,打斷講課來提問,一次中斷十秒鐘�����,注視學(xué)生;有時老師可以和學(xué)生開些善意的玩笑����,允許他們提問�����,發(fā)表評論�����,并在對話中保持主動�����。這種教學(xué)無異于邀請學(xué)生圍著飯桌相互交流[4]�����。
針對信息網(wǎng)絡(luò)上出現(xiàn)的一些安全事件����,老師可以提出相應(yīng)的問題(例如網(wǎng)絡(luò)支付中的身份識別和信息保密問題)����,鼓勵學(xué)生獨立分析問題和解決問題����,引導(dǎo)學(xué)生表達、傾聽并能夠主動回答問題���、解決問題的能力����,從而養(yǎng)成學(xué)生積極思考��、主動解決問題的習(xí)慣����。另外,應(yīng)培養(yǎng)學(xué)生善于提出問題��、積極主動地分析比較的習(xí)慣���,讓他們每時每刻都帶著問題去學(xué)���,并及時總結(jié)已學(xué)過的知識���,逐漸培養(yǎng)學(xué)生學(xué)習(xí)的主觀能動性。
4.3理論聯(lián)系實際����,盡快掌握所學(xué)知識
密碼技術(shù)及應(yīng)用理論性強,是本課程的重點���、難點���,為使學(xué)生能夠掌握密碼學(xué)的基礎(chǔ)理論���,教學(xué)過程中可以采用理論聯(lián)系實際的教學(xué)方法����。首先講述密碼學(xué)的基本概念和術(shù)語�、對稱和非對稱密碼的區(qū)別、古典密碼學(xué)的基本方法及DES算法���、RSA算法的基本原理�����,使學(xué)生掌握密碼學(xué)的基礎(chǔ)知識����,簡單了解加密算法的原理、設(shè)計思路及使用場所����,對加密算法產(chǎn)生初步印象;然后介紹密碼學(xué)應(yīng)用方面的知識���,包括密鑰管理���、消息認證、數(shù)字證書�、以及Windows系統(tǒng)中的證書服務(wù)等方面的基本原理、方法和應(yīng)用��,從而加深對密碼學(xué)概念及各種應(yīng)用的理解�。
PGP,全稱Pretty Good Privacy����,一種在信息安全傳輸領(lǐng)域首選的加密軟件,其技術(shù)特性是采用了非對稱的“公鑰”和“私鑰”加密體系。學(xué)習(xí)完非對稱密鑰理論知識后����,試著讓學(xué)生各自動手安裝PGP軟件,生成一對的“公鑰”和“私鑰”�,并讓學(xué)生把自己的“公鑰”給同班的同學(xué),讓學(xué)生之間相互發(fā)送加密和簽名的文件�,從而實現(xiàn)安全文件傳輸,如此���,學(xué)生在實際操作過程中快速了解并掌握了非對稱密鑰體制的理論知識和實際使用方法����。
4.4遵循實踐動手能力培養(yǎng)第一的原則���,培養(yǎng)學(xué)生較強的實踐應(yīng)變能力
信息安全是一個復(fù)雜的、隱蔽性很強的問題�,一般人很難發(fā)現(xiàn)[5]。開設(shè)信息網(wǎng)絡(luò)安全課程的目的就是讓學(xué)生能夠從復(fù)雜的網(wǎng)絡(luò)環(huán)境之后發(fā)現(xiàn)信息安全問題����,針對信息安全問題進行分析,找到問題根源所在����,并能夠及時解決所出現(xiàn)信息安全����,以便進一步培養(yǎng)學(xué)生具有敏銳的眼光�����、清晰的思路及解決信息安全問題的能力����。從發(fā)現(xiàn)信息安全問題,分析解決問題����,直至消除安全隱患,時間越短越好�,以減少信息安全問題所帶來的影響和損失。同時針對信息安全問題���,要透過現(xiàn)象看本質(zhì)��,主動出擊���、防范,不能等到問題爆發(fā)了,造成嚴重損失了再解決�����。
“魔高一尺 道高一丈”�����,信息網(wǎng)絡(luò)飛速發(fā)展�,病毒與黑客攻擊技術(shù)日新月異,高職學(xué)生應(yīng)用“與時俱進”的思想面對信息安全問題�����,在平時的工作學(xué)習(xí)中時刻了解信息安全動向����,關(guān)注各種新病毒:網(wǎng)絡(luò)掛馬、網(wǎng)絡(luò)釣魚��、超級病毒工廠等�,不斷學(xué)習(xí)���,接收最新信息安全技術(shù)及各種安全防范方法����。
信息網(wǎng)絡(luò)安全課是一門實際應(yīng)用性很強的課程,要以“必需����、夠用”為度,淡化理論的片面推導(dǎo)過程����,應(yīng)加強培養(yǎng)學(xué)生理論成果的實際應(yīng)用能力,注重課堂教學(xué)內(nèi)容的精選和更新����。在努力豐富課堂教學(xué)內(nèi)容的同時,必須加強學(xué)生善于總結(jié)���、應(yīng)對各種最新安全問題的能力����?����?梢怨膭顚W(xué)生課余時間自己上網(wǎng)查找最新安全技術(shù)資料����,了解并掌握一些最新信息安全技術(shù)���,以小論文方式提交并進行適當(dāng)考核,這樣提高了學(xué)生的自學(xué)能力����、主動應(yīng)變能力和文字表達能力,為今后的工作學(xué)習(xí)打下堅實信息安全權(quán)基礎(chǔ)���。
4.5 良好團隊合作精神��,善于與他人交流合作
高職計算機相關(guān)專業(yè)的學(xué)生一般工作在計算機應(yīng)用的最前沿����,網(wǎng)上辦公����、網(wǎng)上事務(wù)處理、電子商務(wù)����、電子政務(wù)等,這改變了企事業(yè)單位的工作模式�����,大大提高了工作效率���,在給工作帶來極大便利的同時���,也帶來了嚴重的信息安全挑戰(zhàn)。信息網(wǎng)絡(luò)安全問題面比較廣����,參與討論的人越多,解決問題的速度就越快�����、越完美���,相應(yīng)的安全漏洞也會越少���,共同探討、爭辯過程中��,甚至還會激發(fā)更多人的奇思妙想��,產(chǎn)生意想不到的效果。因此�����,高職信息網(wǎng)絡(luò)安全課程應(yīng)積極培養(yǎng)學(xué)生之間交流溝通的能力��,平時鼓勵學(xué)生多讀����、讀懂信息安全方面的文章,能把自己的想法寫出來并在同學(xué)間實現(xiàn)共享�;另外,信息網(wǎng)絡(luò)安全方面的問題往往不是某個學(xué)生單獨能夠解決的�����,需要同學(xué)們共同參與解決���,這就需要學(xué)生具有良好的團隊精神�,善于與他人交流合作�����,集眾人智慧���,共同探討所遇到的信息安全問題���。
當(dāng)然,高職計算機相關(guān)專業(yè)的學(xué)生在學(xué)習(xí)探討各種信息安全問題的同時�,可以充分利用各種網(wǎng)絡(luò)資源來學(xué)習(xí)充實自己,例如可以經(jīng)常上一些殺毒軟件網(wǎng)站了解最新病毒信息���,從一些病毒案例分析解決中學(xué)習(xí)一些實際操作經(jīng)驗��;同時可以注冊清華大學(xué)(水木清華)����、東南大學(xué)等高等院校的BBS論壇����,學(xué)習(xí)探討一些信息安全問題。
5 結(jié)束語
高職信息網(wǎng)絡(luò)安全課程是一門內(nèi)容更新很快的課程����,更是一門具有較高挑戰(zhàn)性的課程,這勢必給我們的信息安全教學(xué)工作帶來一定的難度�����。該文在明確信息網(wǎng)絡(luò)安全課程教學(xué)目標、精心安排設(shè)計教學(xué)內(nèi)容以及如何提高教學(xué)質(zhì)量方面進行了一些有益的嘗試���,合理設(shè)計����、組織好信息網(wǎng)絡(luò)安全課程教學(xué)��,完善學(xué)生信息安全理念���,需要在以后的教學(xué)實踐中進行不斷的總結(jié)和提高���。
參考文獻:
[1] 賈少華. 面向市場 面向?qū)W生、面向?qū)嵺`——試論高職人才培養(yǎng)的基本原則[J]. 西北工業(yè)大學(xué)學(xué)報(社會科學(xué)版)����,2005(1).
[2] 江鐵. 高職信息安全專業(yè)人才培養(yǎng)模式的研究[J].計算機教育,2009(2).
[3] 姬興華.《現(xiàn)代教育思想》課程“導(dǎo)學(xué)”思路問題探析[M]. 淮北職業(yè)技術(shù)學(xué)院學(xué)報��,2010(2).
