時間:2022-07-04 08:54:05
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全技術論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
摘要:隨著科學技術的發展和時代的日新月異,我們的生活在不知不覺中發生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務如火如荼地闖入大眾的視野,“電子商務”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務”這個名詞依舊略顯陌生和專業,人們常常用“網購”和“網上支付”來代替“電子商務”,實際上說的是一回事。電子商務的出現,打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進了經濟的繁榮和增長。
一、電子商務發展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、和傳遞,以此來協助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的內容
2.1 備份技術。相信備份技術對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務對于網絡環境有很大的依賴性,網絡環境自身卻存在極大的不穩定性,這就導致電子商務的發展存在不可避免的風險,如果沒有一個數據庫對于基本信息進行存儲,那么一旦出現系統故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的,因此,電子商務的第三方有一個信息儲存庫,旨在在必要的時刻段時間內將客戶的信息及時恢復。這種恢復不是簡單的、傳統意義上的恢復,而是通過備份介質得以完成的。這樣的話,在系統故障或者其他原因導致信息在短時間內無法正常恢復時,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態。2.2 認證技術。所謂認證技術其實一個專業術語,道理實際上很簡單,就是我們常說的登錄口令。認證技術的目的主要在于阻止不具有系統授權的用戶進行非法的破壞計算機機密數據,是數據庫系統為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環境下的身份證。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進行網上交易的身份認證和識別。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想。人們的信息安全更是沒有任何保障。2.3 訪問控制技術。訪問控制技術也可以理解為訪問等級制度,電子商務的系統會根據用戶的不同等級對于用戶對于系統數據的訪問進行一定的控制。等級較低時,則用戶的訪問權限有限,一些重要的關鍵的信息則被系統禁止訪問,只要當等級較高時才能獲得相關權限,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義,首先是用戶能夠獲得數據庫中的信息種類和數量,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
電子商務的便利性和優點遠遠大于其存在的信息安全技術風險給人們帶來的不便,盡管信息安全技術問題層出不窮,但是大眾們依然親睞和依賴電子商務。但電子商務想要獲得更廣闊的發展空間,虜獲更多人的心,則必須在信息安全技術問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現,因此,不管你從事任何行業,都需要對于電子商務的信息安全問題進行一定的了解。
作者:王傳 單位:四川化工職業技術學院網管中心
論文摘要:隨著我國信息技術的不斷發展,對中小企業電子信息安全的保護問題也成為人們關注的焦點。本文以電子信息安全為主體,介紹中小企業信息化建設,對電子信息安全技術進行概述,提出主要的安全要素,找出解決中小企業中電子信息安全問題的策略。
在企業的管理信息系統中有眾多的企業文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業的發展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業的發展,所以,中小企業電子信息安全技術的研究具有重要意義。
一、中小企業的信息化建設意義
在這個網絡信息時代,企業的信息化進程不斷發展,信息成了企業成敗的關鍵,也是管理水平提高的重要途徑。如今企業的商務活動,基本上都采用電子商務的形式進行,企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統,這個信息系統對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業電子信息化水準。有關調查顯示,百分之八十二的中小企業對網站的應還處于宣傳企業形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來,企業應該加快信息化的建設。
二、電子信息安全技術闡述
1、電子信息中的加密技術
加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。
加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時,發送人用加密密鑰或算法對所發的信息加密后將其發出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。
2、防火墻技術
隨著網絡技術的發展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅,企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認證技術
消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。
三、中小企業中電子信息的主要安全要素
1、信息的機密性
在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業的商業機密,如何保護企業信息不被竊取,篡改,濫用以及破壞,如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。
2、信息的有效性
隨著電子信息技術的發展,各中小企業都利用電子形式進行信息傳遞,信息的有效性直接關系的企業的經濟利益,也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。
3、信息的完整性
企業交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業之間進行交易的基礎。
四、解決中小企業中電子信息安全問題的策略
1、構建中小企業電子信息安全管理體制
解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。
2、利用企業的網絡條件來提供信息安全服務
很多企業的多個二級單位都在系統內通過廣域網被聯通, 局域網在各單位都全部建成,企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準,安全公告和安全法規,提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業員工提供一個交流經驗的場所。
3、定期對安全防護軟件系統進行評估、改進
隨著企業的發展,企業的信息化應用和信息技術也不斷發展,人們對信息安全問題的認識是隨著技術的發展而不斷提高的,在電子信息安全問題不斷被發現的同時,解決信息安全問題的安全防護軟件系統也應該不斷的改進,定期對系統進行評估。
總之,各中小企業電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發展,不僅中小企業辦公室逐漸趨向辦公自動化,而且還確保了企業電子信息安全。
參考文獻:
[1]溫正衛;信息安全技術在電子政務系統中的應用[J];軟件導刊,2010
[2]閆兵;企業信息安全概述及防范[J];科學咨訊,2010
網絡環境下保障企業信息的安全性對企業地發展具有重大的、直接的現實意義。深入研究與開發計算機信息安全技術,減少或避免網絡信息系統的破壞與故障,對企業發展具有積極的作用。但就現實發展來看,目前企業網絡信息安全建設仍處于探索階段,優化企業網絡安全,吸取前沿的安全技術,實現企業網絡信息又快又好地發展成為眾企業關注的焦點問題。
一、企業網絡信息安全的基本目標
企業網絡信息安全技術的研究與開發最終目的是實現企業信息的保密性、完整性、可用性以及可控性。具體來講市場化的發展背景,企業之間存在激烈的競爭,為增強市場競爭力,出現盜取商業機密與核心信息的不良網絡現象。企業加強網絡信息安全技術開發,一個重要的目的是防止企業關鍵信息的泄露或者被非授權用戶盜取。其次,保障信息的完整性,是指防止企業信息在未經授權的情況下被偶然或惡意篡改的現象發生。再次,實現數據的可用性,具體是指當企業信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權者在這種情況下仍然可以按照需求使用的特性。最后,確保企業網絡信息的可控性,例如對企業信息的訪問、傳播以及內容具有控制的能力。
二、企業網絡信息安全面臨的主要威脅
根據相關調查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業網絡信息安全造成威脅的主要原因。黑客攻擊或者網絡詐騙也是影響企業網絡信息安全的重要因素。當然部分企業網絡信息安全受到破壞是由于企業內部工作人員的操作失誤造成。總之威脅企業網絡信息安全的因素來自方方面面,無論是什么原因造成的企業網絡信息安全的破壞,結果都會對企業的生產發展造成惡劣的影響,導致企業重大的損失。在信息化發展背景下,企業只有不斷提高網絡信息的安全性,才是實現企業持續發展的有力保證。
三、企業網絡信息安全保護措施現狀
當前企業在進行網絡信息安全保護方面的意識逐漸增強,他們為確保企業網絡信息安全時大都應用了殺毒軟件來防止病毒的入侵。在對企業網絡信息安全進行保護時,方式比較單 一,技術比較落后。對于入侵檢測系統以及硬件防護墻的認識不足,尚未在企業中普及。因此推進企業網絡信息安全技術的開發,前提是提高企業對網絡信息安全保護的意識,增強企業應用網絡信息安全技術的能力,才能有效推動企業網絡信息安全技術的開發。
四、促進企業網絡信息安全技術開發的對策與建議
(一)定期實施重要信息的備份與恢復
加大對企業網絡信息安全技術的研發投入,一個重要的體現是對企業網絡信息的管理。企業對于重要的、機密的信息和數據應該定期進行備份或者是恢復工作。這是保障企業網絡信息安全簡單、基礎的工作內容。當企業網絡受到破壞甚至企業網絡系統出現癱瘓,企業能夠通過備份的信息保障生產工作的運行,把企業的損失降到最低。實現企業網絡信息安全技術開發的實效性的基礎工作是做好企業重要網絡信息的定期備份與恢復工作。
(二)構建和實施虛擬專用網絡(VPN)技術
以隧道技術為核心的虛擬專用網絡技術,是一項復雜的、專業的工程技術。該項技術對于保護企業網絡信息安全具有重要意義,并且效果顯著。它把企業專用的、重要的信息進行封裝,然后采取一定的方法利用公共網絡隧道傳輸企業專用網絡中的信息,如此一來可以實現對企業網絡信息的保護,避免出現對企業信息的竊取與惡意修改。當然提升虛擬專用網絡的兼容性、簡化應用程序是企業網絡信息安全技術研發重要課題。
(三)完善高效的防火墻技術
在企業內部網與外聯網之間設置一道保護企業網絡信息安全的屏障,即設置防火墻。這一技術是目前最有效、最經濟的保障企業網絡信息安全的技術。但由于當前大多數的遠程監控程序應用的是反向鏈接的方式,這就限制了防火墻作用的發揮。在進行企業網絡信息安全技術開發過程中,應進一步優化防火墻的工作原理或者研發與之相匹配的遠程監控程序,來實現防火墻對企業網絡信息安全的保護。
(四)對關鍵信息和數據進行加密
增強企業對關鍵信息和數據的加密技術水平也是企業網絡信息安全技術研發的主要方面。更新加密技術,是保障企業網絡信息安全的重要環節。企業在對重要信息和數據進行加密時可以同時采取一些例如CD檢測或者Key File等保護措施,來增強企業重要信息的保密效果。
五、結束語
企業網絡信息安全體系的構建是一項系統的、長期的、動態的工程。網絡環境下,信息安全技術發展的同時,新的破壞、攻擊、入侵網絡信息安全的手段也會不斷出現。企業只有與時俱進,加大對網絡信息安全技術的投入力度,才能加強對企業核心信息與數據的保護。在未來的發展過程中,企業在堅持技術策略與管理策略相結合的原則下,不斷升級完善企業網絡信息安全系統的開發與建設,不斷提高企業的信息化水平。
許梅:國網四川省電力公司廣安供電公司三新電力服務有限公司,黨支部書記、副總經理,高級工程師。研究方向:信息工程。
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
[論文摘要]計算機網絡日益成為重要信息交換手段,認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題,采取強有力的安全策略,保障網絡信息的安全,是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。
隨著計算機網絡技術的不斷發展,全球信息化己成為人類發展的大趨勢,計算機網絡已經在同防軍事領域、金融、電信、證券、商業、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此,網絡必須有足夠強的安全措施,否則網絡將是尤用的,相反會給使用者帶來各方面危害,嚴重的甚至會危及周家安全。
一、信息加密技術
網絡信息發展的關鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證,來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現虛假信息。
信息加密技術是保證網絡、信息安全的核心技術,是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數據,從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數叫做密鑰。
傳統上,幾種方法町以用來加密數據流,所有這些方法都町以用軟件很容易的實現,當只知道密文的時候,是不容易破譯這些加密算法的。最好的加密算法塒系統性能幾乎沒有影響,并且還可以帶來其他內在的優點。例如,大家郜知道的pkzip,它既壓縮數據義加密數據。義如,dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術
“防火墻”是一個通用術i五,是指在兩個網絡之間執行控制策略的系統,是在網絡邊界上建立的網絡通信監控系統,用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統和硬什設備組合而成,在內部網和外部網之間構建起安全的保護屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強intranet(內部網)之間安全防御的一個或一組系統,它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統問進行信息交換等安全的作用。
防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點,在此進行檢查和連接,只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離,從而防止非法入侵及非法使用系統資源。同時,防火墻還日,以執行安全管制措施,記錄所以可疑的事件,其基本準則有以下兩點:
(1)一切未被允許的就是禁止的。基于該準則,防火墑應封鎖所有信息流,然后對希單提供的服務逐項丌放。這是一種非常災用的方法,可以造成一種十分安全的環境,為只有經過仔細挑選的服務才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務范同受到限制。
(2)一切未被禁止的就是允許的。基于該準則,防火埔轉發所有信息流,然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境,可為用戶提供更多的服務。其弊端是,在口益增多的網絡服務面前,網管人員疲于奔命,特別是受保護的網絡范嗣增大時,很難提供町靠的安全防護。
較傳統的防火墻來說,新一代防火墻具有先進的過濾和體系,能從數據鏈路層到應用層進行全方位安全處理,協議和的直接相互配合,提供透明模式,使本系統的防欺騙能力和運行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術,如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。
三、網絡入侵檢測與安全審計系統設計
在網絡層使用了防火墻技術,經過嚴格的策略配置,通常能夠在內外網之問提供安全的網絡保護,降低了網絡安全風險。但是,儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部;防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵);不能防范惡意的知情者、不能防范來自于網絡內部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實時動態的保護等。
因此,需要更為完善的安全防護系統來解決以上這些問題。網絡入侵監測與安全審計系統是一種實時的網絡監測包括系統,能夠彌補防火墑等其他系統的不足,進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統,可以在網絡巾建立完善的安全預警和安全應急反應體系,為信息系統的安全運行提供保障。
在計算機網絡信息安全綜合防御體系巾,審計系統采用多agent的結構的網絡入侵檢測與安全審計系統來構建。整個審計系統包括審計agent,審計管理中心,審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統連接,對網絡的各個層次(網絡,操作系統,應用軟件)進行審計,受審計巾心的統一管理,并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件,主要實現管理員對于審計系統的數據瀏覽,數據管理,規則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理,而且多個管理員可以同時進行管理,根據權限的不同完成不同的職責和任務。
四、結論
關鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國家檔案局楊冬權局長在全國檔案安全系統建設工作會議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號召,把檔案安全的重要性提升到一個新高度。[1]近年來,檔案安全保障體系研究已引起學界的關注,成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對學者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數據庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結束年“2011”檢索到論文84篇。在維普中文科技期刊數據庫搜索到與“檔案安全保障體系”相關內容論文20篇,筆者對其中相關度較高的文章進行了分析研究,綜述如下:
1 檔案安全保障體系的內涵
檔案安全保障體系的建設具有持續性、多樣化、可完善性等特點,是一項復雜的系統工程。構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系。
張美芳、王良城認為,目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環境,降低風險。這里的“環境”,是指檔案保管環境、物理環境、社會環境、信息存儲環境等,降低環境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩定狀態。其三,對已經處于不安全環境中的檔案,采取各種措施使其達到新的穩定狀態,保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規、安全保障技術或安全保護效果的評價等較為宏觀的要素。[2]
2 檔案安全保障體系的構建目標和指導思想
2.1 構建目標。彭遠明認為,檔案安全保障體系建設的總體目標是:針對檔案的安全需求、管理現狀和存在問題進行安全風險分析,提出解決方案和預期目標,制定安全保護策略,形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為,檔案安全保障體系的構建目標應該是:采取全面、科學、系統的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數據的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導思想。彭遠明認為,構建檔案安全保障體系的指導思想是:在體系內合理進行安全區域劃分,以應用和實效為主導,管理與技術為支撐,結合法規、制度、體制、組織管理,明確等級保護實施辦法,確保檔案的安全。[5]張美芳、王良城認為,檔案安全保障體系建設的指導思想應是:堅持嚴格保護、有效管理、分類指導、合理利用,以健全法律法規、提高人員素質、加強規劃管理、完善基礎條件、強化監管手段為重點,立足當前,著眼長遠,加快體制機制創新,加強統籌協調,全面增強檔案資源保護力度,推動我國檔案事業持續健康發展。[6]
3 檔案安全保障體系的建設原則
檔案安全保障體系的構建應該根據檔案安全現狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進行規范,在構建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設原則,筆者采用統計歸納的方法,從中提煉出以下共性原則:
3.1 標準規范原則。檔案安全保障體系的建構和策略的選擇必須符合我國現行法律、法規的規定要求,必須遵循國際、國家的相關標準,嚴格遵照相關規章制度。[7][8]
3.2 科學實用原則。檔案安全保障體系應在充分調查研究的基礎上,以檔案安全風險分析結果為依據,探尋有針對性的特色理論,制定出科學的防范措施與方法,這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]
3.3 全面監控原則。檔案安全保障工作是一個系統工程,需要對各個環節進行統一的綜合考慮、規劃和構架,任何環節的安全缺陷都會造成對檔案安全的威脅。[12]
3.4 適度經濟原則。根據檔案的等級決定建立什么水平的防范體系,根據風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統的可操作性,又要保證安全保密機制的規模與性能滿足需要,實現安全保護效率與經濟效益兼顧。[13][14][15]
3.5 動態發展原則。檔案安全保障體系的建設是一個長期的不斷完善的過程,所以,該體系要能夠隨著安全技術的發展、外部環境的變化、安全目標的調整,不斷調整安全策略,改進和完善檔案安全的方法與手段,應對不斷變化的檔案安全環境。[16][17][18][19]
3.6 自主創新原則。加強檔案安全保障方面的關鍵技術的研發,密切跟蹤國際先進技術的發展,提高自主創新能力,努力做到揚長避短,為我所用。[20][21]
4 構建檔案安全保障體系的方案設計分析
許多學者對檔案安全保障體系的建設方案提出了自己的設想,他們從不同的角度切入問題,得出不同的結論,筆者根據學者的研究成果,總結出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實踐中取得并能指導實踐,為實踐指明前進的方向。在先進理論的指導下,實踐往往能取得較好的成果,理論水平的高低因此也往往預示著現實中該領域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動中是:檔案安全保障的標準化的建設與應用;為開展安全保障活動而制定的計劃方案、普查活動;人員配置合理和技術力量的前期儲備、設備的選擇和環境的控制、整個預防性安全保障活動的監督、檢查和評估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應急預案、搶救預案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務、恢復與搶救、質量檢查與評估、風險預測,等等。[24]
4.1.3 后期監督。后期監督包括安全保障活動的評估、人員技術水平的評估、財政結算、開展安全保障活動后的總結報告、制度、規范或標準的完善、提供參考性的開展安全保障活動的經驗、方法或模式。[25]
4.1.4 風險管理。構建檔案安全的風險管理機制,依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險,識別判定風險大小,判定每種風險相對的檔案安全保護對策,并通過一定的方式方法進行風險控制,規避、轉移或降低風險對檔案造成的損害。[26][27]
4.1.5 人才教育培養。樹立科學的人才培養觀,建立科學合理的檔案安全人才培養體系,建立系統的人才資源培訓和貯備機制,加大人才培養的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養。[29]
4.2 安全基礎設施
4.2.1 實體安全基礎設施。檔案實體安全基礎設施是指維護檔案安全、實施檔案正常管理、保障檔案開發利用,提供為全社會方便服務等工作而進行的基礎建設,包括檔案保管環境、檔案存儲設施、檔案利用設備、檔案維護監控設備、檔案搶救與恢復設施等。[30]
4.2.2 信息安全基礎設施。檔案信息安全基礎設施是為信息安全服務的公共設施,為檔案部門的安全保障體系建設提供支撐和服務,主要包括:檔案信息系統PKI(網絡信任體系)、檔案信息災備中心、檔案信息系統應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務中心(外包服務)、檔案信息安全執法中心等。[31]
4.3 安全策略
4.3.1 實體安全策略。實體安全必須具備環境安全、設備安全和介質安全等物理支撐環境,注重環境防范、設備監控、介質管理、技術維護等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對檔案安全的管理需求,在完善人員管理、資源管理、利用服務、重點部位維護、災害防范、突發事件應急處置、專業人才教育培訓的基礎上,建立健全安全管理機制和制度,并結合管理技術,形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網絡系統安全策略。強化操作系統、數據庫服務系統的漏洞修補和安全加固,對關鍵業務的服務器建立嚴格的審核機制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實施數據源隱藏,結構化和縱深化區域防御消防黑客入侵、非法訪問、系統缺陷、病毒等安全隱患,保證檔案系統的持續、穩定、可靠運行。[35][36][37]
4.4 安全技術。技術是影響檔案安全的關鍵因素,檔案安全技術是多方面、多層次的,包含預防、保護、修復和維護等技術,可以有效保證檔案安全。
4.4.1 基于實體的保護技術。主要有:①各類檔案載體的管理與保護技術;②檔案損壞的測試與評估技術;③受損檔案的修復技術。[38]
4.4.2 基于環境的防護技術。主要有:①庫房建筑標準與圍護結構功能的設計、施工和實施;②檔案保管的設備設施和有效裝具;③檔案庫房和利用環境的監測技術;④溫濕度調節與控制技術;⑤有害因素的控制和防護技術。[39]
4.4.3 基于信息的安全技術。主要有:①系統安全技術:操作系統安全和安全審計技術等;②數據安全技術:數據加密技術、應急響應技術、數據備份與容災技術、基于內容的信息安全技術和數據庫安全技術等;③網絡安全技術:防火墻技術、防病毒技術、漏洞掃描技術、入侵檢測技術、物理隔離技術、服務技術、網絡監控技術和虛擬網技術等;④用戶安全技術:身份認證技術、數字簽名技術和訪問控制技術等。[40]
4.4.4 基于災害的保護技術。主要有:①災害的預警與防范技術;②檔案災害的應急處置技術;③檔案次生危害的防范技術;④災后受損檔案的搶救與恢復技術。[41]
4.5 安全法規制度。完善的檔案安全法律法規和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規制度,才能做到有法可依、違法必究,才能更好地維護檔案的安全。[42]
4.5.1 制定并遵循法規標準。各地方應根據國家標準,結合本地區、本系統、本單位的具體情況,制定相應的規范和標準,以使檔案安全管理規范化和標準化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。
4.5.3 建立完善檔案安全管理機制。包括:信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設機制、制度建設機制、風險管理機制、人員管理機制等。
4.6 安全保護效果評價。對檔案安全保障體系評價的目的,是對檔案安全保障體系的有效性進行評估。[46]首先,確定待評價系統的范圍,選擇適當的評價方法,確定適當的評價指標。然后,收集有關數據進行統計分析,得出評價結果,再進行持續改進,以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評價方法。根據被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。目前,存在的綜合評價方法有:屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]
4.6.2 評價指標。根據國內外的檔案安全評估標準,國家對檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評價指標體系。包括:①物理安全評價指標:環境安全評價、設備安全評價、載體安全評價;[49]②管理安全評價指標:規章制度評價、工作流程評價、管理措施評價、業務技術評價;③技術安全評價指標:保護技術評價、網絡技術評價。[50]
5 結語
縱觀學者對檔案安全保障體系的研究,研究角度和切入點各有不同,觀點紛呈,但還是缺乏深入、系統的研究,有待于我們進一步思考、探討。
注:本文是河南省檔案局科技項目《檔案安全保障體系現狀調查》(項目編號:2011-B-51)階段性成果之一。
參考文獻:
[1]張照余.對建設檔案安全保障體系的幾點認識[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設研究[J].檔案學研究,2010(1):62~65.
[3][5][7][33][41]彭遠明.檔案安全保障體系構建及其實現策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構建[J].檔案學研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機構的構建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數字檔案信息安全防護對策分析[D].哈爾濱:黑龍江大學,2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學,2007.
[11][20][21]張勇.數字檔案信息安全保障體系研究[D].蘇州:蘇州大學,2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構建[J].中國檔案,2010(4):20~21.
[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學,2011
[28]方國慶.數字檔案信息安全保障體系建設中的問題與策略[J].機電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設基本任務探析[J].中國檔案,2010(4):18~19.
[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究,2010(3):54~58.
[34]冉君宜.抓好“五個必須”構建檔案安全保障體系[J].辦公室業務,2010(9):55~56.
[35]陳慰湧,金更達.數字檔案館系統安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設實踐[J].貴州水力發電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設的研究[J].機電兵船檔案,2010(5):64~66.
[39]金玉蘭.關于加強檔案安全保障體系建設的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網絡背景下檔案信息的安全保障[J].蘭臺世界,2006(5):2~3.
[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2005(1):38~42.
[44]楊冬權.以豐富館藏、提高安全保障能力和公共服務能力為重點,實現檔案館事業跨越——在全國檔案館工作會議上講話[J].檔案學研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標體系建設研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學,2009.
關鍵詞: 高職教育; 應用型人才; 司法信息安全; 人才培養
中圖分類號:G710 文獻標志碼:A 文章編號:1006-8228(2014)10-30-02
Discussion on applied talent cultivation of judicial information security
Huang Shaorong
(Guangdong Justice Police Vocational College, Guangzhou, Guangdong 510520, China)
Abstract: Based on analysis of the social demands for information security talents, the importance of training applied information security talent is pointed out. According to the characteristics of the judicial information security talents of vocational education, some advice is presented in curriculum system, construction of teachers and professional certifications. Its cultured goal is to train higher technology applied talents that are needed, good at theory and application.
Key words: higher vocational education; applied talent; judicial information security; talent cultivation
0 引言
在云計算和大數據技術快速發展的形勢下,信息安全問題日顯突出,信息安全形勢持續惡化,信息安全事故不斷發生,信息安全建設已經成為維護國家安全和社會穩定的一個焦點。目前,我國信息安全產業已經取得巨大成果,國家已制定了互聯網方面的法律、行政法規、部門規章與地方性法規270多部,對信息和網絡安全保護起到一定的作用,但信息安全形勢仍然嚴峻,主要存在的問題包括:信息安全技術發展和相關法律法規制訂滯后、信息安全科研和教育落后、信息安全人才存在巨大缺口[1]。信息安全專業人才是當前社會急需的專業人才,在許多領域需要大量掌握直接技能型知識、有更具體實踐能力、動手能力強的應用型專業人才。因此,高職院校應加大信息安全人才培養力度,積極培養有良好職業道德和法律意識、有全面信息安全專業知識、能夠防范計算機犯罪的專業執法人才和計算機網絡應用與安全管理方面的應用型技術人才。
1 司法信息安全專業特點
“七分管理,三分技術”,信息安全不僅是單純的技術問題,而是法律、管理和技術等問題相結合的產物,法律和管理在司法信息安全專業中發揮著重要作用。在對社會需求、行業需要、就業市場進行廣泛調查,明確了人才需求情況的基礎上,浙江警官學院、廣東司法警官職業學院和北京政法職業學院等警察類高職院校先后開設了司法信息安全專業。
司法信息安全專業主要面向政法機關、行政機關和各類經濟管理部門,以及企事業單位的網絡管理中心、信息中心和信息安全部門,培養能夠從事計算機信息管理與維護、網絡管理與維護、信息安全設備維護和數據庫系統的開發與維護等技術工作和信息安全管理工作的人才。該專業的學生不僅要有信息安全技術專業知識,而且要有法律法規等多方面的素養,畢業后能夠在政府部門、商業、軍事等信息安全防范工程應用領域及信息安全防范工程行業的企、事業單位從事網絡信息安全工作。
司法信息安全專業的學生通過三年學習,必須具備如下三方面的能力。
⑴ 基本素質 具有較強的思維能力、語言文字表達能力和應變能力;具有良好的溝通、協作和公共關系協調能力;具備一般軍事隊列指揮、擒拿格斗、防身自衛及機動車駕駛等警體技能;具有較高的英語應用能力。
⑵ 信息安全處理能力 ①計算機操作能力:具有較好的專業理論基礎和較強的計算機安全意識,能夠操作和維護計算機信息系統。②信息安全和網絡安全維護能力:掌握網絡的基本原理,熟練應用網絡安全防范技術、信息處理技術,能進行網絡設備的日常維護、局域網絡的設計實施和網絡安全的監測及防范工作。③數據處理等能力:具有一定的數學推理和編程能力,能夠用數據庫解決基層部門的數據統計、管理等問題。
⑶ 法律與警察崗位基本能力 掌握我國有關計算機信息系統安全保護的法律、法規,具有較高的執法能力;掌握計算機與計算機安全犯罪的特點,能夠主動采取相應的技術防范措施。
2 課程體系建設
司法信息安全專業培養的是法律與信息安全的復合型、應用型人才,圍繞司法信息安全專業的核心目標以及畢業生的能力要求,課程體系設置必須以“強化能力,突出應用”為思想,以就業為導向,以崗位職業能力為主線[2]。我們根據社會需求設計課程體系和教學大綱,及時引入行業的最新技術,突出職業教育的應用實踐性。注重法律基礎知識,突出信息安全技術的專業性。
司法信息安全技術課程群建設可以從法律和信息安全技術專業的課程上進行外延和拓展,課程體系的設置可分為基本素質課程、職業核心能力課程、專業基礎課、專業核心課程和拓展課程等。
⑴ 基本素質課程 包括大學生健康教育、大學英語、大學語文、形式邏輯、思想道德修養與法律基礎、思想與理論體系概論、廉政教育、大學生就業指導、形勢與政策、普通體育、警用槍械。
⑵ 職業核心能力課程 包括職業溝通、司法口才、禮儀訓練、畢業項目設計與論文。
⑶ 專業基礎課 包括法理、刑法、憲法、刑事訴訟法、網絡信息安全法規、高等數學、計算機導論、數據結構、操作系統、多媒體技術及應用、計算機組裝與維護、程序設計、數據庫技術與應用、安全防范技術與應用、動態網頁設計。
⑷ 專業核心課程 包括計算機網絡技術、信息安全技術應用、網絡監控、電子取證、加密技術。
⑸ 拓展課程 包括軟件工程、網站建設與維護、信息檢索技術、警察業務、應用文寫作。
這樣培養出來的學生即能從事法律方面的工作也能從事信息安全技術方面的工作,為學生提供了更多的就業機會和進一步的發展空間。在教學時間安排上,由于教學內容比較多,課內教學時數中包括有大量的實踐性教學,實踐課教學時數占總學時數50%以上[3]。
3 實踐教學體系建設
司法信息安全是一個實踐性非常強的專業,許多安全技術和方法必須在實踐過程中才能認識和掌握,實驗、實訓、實習是實踐教學的三個重要環節。在課程體系建設中,為了突出高職教育的應用性,我們開設了大量的實踐類課程,包括計算機組裝C語言程序設計實踐、數據結構實驗及課程設計、操作系統課程設計、數據庫實驗及課程設計、計算機網絡技術實驗、網絡課程設計、網絡安全技術仿真實驗、網站建設綜合實訓等[4]。
高職院校的實訓中心是組織實踐教學、強化技能培養、實現人才培養目標的重要場所。為切實保障實踐教學的順利進行,給信息化人才提供先進的實踐場所,必須完善專業核心能力培養所需場地與設施,積極推進實訓基地建設,建立信息安全綜合實訓中心(包括信息安全綜合實訓室、網絡安全攻防實驗室、網絡應用實訓室、數據分析綜合實訓室、電子物證鑒定設備、電子商務實訓室、計算機基礎實訓室、電子數據取證實訓室等)和提高司法能力的實訓環境(如三維模擬監控實訓室、模擬監所現場、亞偉速錄室、模擬法庭、安全監控實訓室、刑事照相實驗室等),形成系統的實訓環境。
對于比較復雜的信息安全實驗,需要的設備較多,如果目前的教學條件不能滿足大量學生進行并發實驗,也可以采用虛擬實驗,借助多媒體、仿真和虛擬現實等技術在計算機上營造可輔助、部分替代甚至全部替代傳統實驗各操作環節的相關軟硬件操作環境,學生像在真實環境中一樣完成各項實訓任務[5]。
加強校內實訓的同時還要進行校外實踐,學校應積極與企業合作,建設穩固校價企合作關系,聯系定點的對口實習機構,或者建立校外實訓基地,有計劃地安排學生到實習機構或實訓基地進行專業實踐,配備校外指導人員,對學生實訓、實習進行指導和考核,把實踐性教學落到實處。同時引導建立司法行政單位、公安機關和企事業單位接收畢業生實習的制度,為學生實現教學與實習結合提供條件,實行“教學實習+頂崗實習”的實習模式,為培養學生的職業素質和職業能力提供了有效的保障。
4 師資隊伍建設
教師資源是學校辦學資源中最為關鍵的部分,建設一支雙師型的教師隊伍是高職教育發展必不可缺的重要條件[6]。信息安全技術快速更新,這就要求專業教師要掌握信息學科的多個領域及物理等學科的知識,而且還要不斷跟蹤信息安全的最新動態。學校應組建一支結構合理的司法信息安全教學團隊,促進校內司法信息安全專業建設,為專業教師提供技術培訓和進修學習的機會,及時派送教師進行行業培訓以及參加各種學術交流會議,不斷提高專業水平,更新知識結構和內容,同時要求教師積極參與科研,倡導教師之間互相學習、集體備課、討論交流,進一步提高教學能力。為了提高教師的動手能力,學校還要有計劃地選派專業教師到企事業單位進行掛職鍛煉或頂崗實踐。此外,也可邀請企事業單位一線專家、技術人員到學校承擔一定的教學任務,指導學生實踐操作,定期為學生開設講座或座談會,拓寬學生的知識面,提高學生綜合素質。
5 引入職業資格認證
由于專業設置的特殊性,要求本專業的畢業生除了掌握信息安全防范技術的專業技能,還需要具有相應的IT行業從業資格。在國家職業大典中,網絡信息安全行業的職業資格有網絡技術人員、網絡管理員、網絡工程師、安全防范評估師、信息安全工程師、數據恢復工程師等,國家頒發相應的職業資格證書。高職院校應結合專業,引入適合的職業資格認證,同時跟企業合作,完成訂單式人才培養計劃,通過職業資格認證+訂單培養,充分培養學生的職業能力[7]。
此外,為了提高教學質量,還必須在以下幾方面繼續改進:
⑴ 改革教學方法,以精品課程、視頻公開課教學等方法推動項目驅動教學法、分層教學法、任務實訓法、案例教學法和研究性教學法廣泛采用,建立視頻網站和教學資源庫,進行交互教學,與課堂教學形成互補。
⑵ 以工作流導向的實訓課程教學體系為基礎,建立課程配套教學資源庫,并以課程改革推動教材建設,編寫基于工作流導向的任務式實訓模式教材[8]。
⑶ 鼓勵學生參加技能大賽,突出學生的面向應用實踐能力,提高學生學習積極性。
⑷ 改進課程考核方式,實現無紙化考試,重點測試學生對知識的應用能力,以職業資格認證代替學科考試。
6 結束語
信息技術的高速發展,需要越來越多的信息安全專業人才,對其崗位能力的要求也越來越高。警察類高職院校必須從發展的角度來審視司法信息安全專業,時刻關注相關專業領域發展趨勢和熱點,加強高職司法信息安全專業標準訂制、課程體系建設、實踐教學體系建設、教學模式改革、師資隊伍建設和實訓基地建設,注重工學結合,與企事業單位形成良性互動,不斷改進人才培養模式,提高人才的理論水平和實踐技能,培養出真正符合社會需求的理論水平較高、實踐能力強的高等技術應用型司法信息安全專業人才。
參考文獻:
[1] 劉任熊,李暢.高職院校信息安全專業人才培養初探[J].江蘇經貿職
業技術學院學報,2007.2:79-81
[2] 于璐.高職信息安全專業應用型人才培養模式探討[J].太原城市職業
技術學院學報,2011.6:26-27
[3] 陳曉明.信息類技術專業課程設置分析與實現―以“司法信息技術”
專業建設為例[J].計算機教育,2010.14:56-60
[4] 蔣文保,李忱.高校信息安全專業應用型人才培養模型探討[J].信息
安全與通信保密,2007.9:172-175
[5] 鄭洪英,廖曉峰,李傳冬等.設置信息安全專業教學體系的探討[J].教
育教學論壇,2012.9:114-115
[6] 李振汕.高職信息安全技術專業課程體系的開發和設計[J].職業時
空,2011.7(6):33-35
[7] 沈洋.高職院校信息安全人才能力培養的研究與實踐[J].廈門城市職
業學院學報,2012.14(2):13-16
【論文摘要】計算機網絡的技術發展相當迅速。隨著互聯網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規模,但是安全問題卻成為發展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業能以較低成本進入全球電子化市場,也使中小企業可能擁有與大企業一樣的信息資源,提高了中小企業的競爭能力。(3)電子商務重新定義了傳統的流通模式,減少了中間環節,使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩定可靠,能夠不中斷地提供服務。系統的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協議(安全套接層SSL協議和安全電子交易SET協議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統安全。主要是保護主機上的操作系統與數據庫系統的安全。對于保護系統安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監督
3.1加強全過程的安全管理
1)網絡規劃階段,就要加強對信息安全建設和管理的規劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(實施)人員、版本控制的管理,要加強對開發環境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統、數據庫、網絡設備、應用系統運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發現潛在的安全威脅。
3.2建立動態的閉環管理流程
網絡處于不斷地建設和調整中,可能發現新的安全漏洞,因此需要建立動態的、閉環的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統調整到相對安全的狀態。并要注意以下兩點:1)對于一個企業而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規章制度、標準和安全建設規劃、方案,保證這些系列策略規范在整個企業范圍內貫徹實施,從而保護企業的投資和信息資源安全。2)要制定完善的、符合企業實際的信息安全策略,就須先對企業信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業出版社,2004.
【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全
在互聯網信息技術飛速發展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯網商業活動的人越來越多。與傳統商務活動對比,在B/S方式下運轉,兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。
現如今,我國正處于網絡經濟蓬勃發展的黃金時代,各個領域中電子商務的普及度較高。新型的商業活動形式建立在網絡的基礎上,保證了商業活動的便捷性和高效性。不過電子商務在對企業運管效率進一步提升的同時,使企業的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環境為切入點,對展開電子商務活動中出現的信息安全問題進行分析,并給出對應的方法和策略。
1 電子商務中網絡信息安全所存在的問題
1.1 電子商務網絡存在的問題
1.1.1 黑客攻擊
黑客對網絡進行攻擊是以偷取商業機要和攪擾系統正常運轉為目的,以下是常見的攻擊策略:竊聽;重發攻擊;迂回攻擊;假冒攻擊;越權攻擊等。
1.1.2 系統漏洞
侵入到電商系統人員以系統自身存在的安全漏洞為據,將操作系統數據的權限得到。然而,管理系統未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統產生漏洞。
1.2 電子商務信息存在的問題
1.2.1 電子商務信息存儲安全隱患
在靜態時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內容和非授權調用信息。
1.2.2 電子商務信息傳輸安全隱患
在運轉電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網絡的不法分子就極易截取或者監聽電商信息;
(2)對商務網站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網站設置的防火墻,更改信息,使網站癱瘓;
(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現自己的目標,把不良信息滲透到電子商務信息中。
2 應對電子商務中信息安全問題的對策
2.1 提高網絡信息安全意識
相比于西方l達國家,國內用戶網絡信息安全意識薄弱,忽視了自我權益的保護。再加上我國尚未建立完善的網絡信息安全監管機制,出現安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產生信息安全事件的幾率。
2.2 加強信息安全的技術防范
將來網絡安全技術會在計算機網絡所有層次中滲透,不過以電子商務安全防范技術為中心的網絡技術成為最近幾年研究的重要方向。以我國電子商務出現的安全問題為依據,可采取防火墻、虛擬專用網及認證、加密、安全審計、追蹤黑客、檢測系統漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網絡地址、動態包過濾、VPN等技術充分運用起來,確保構建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網絡信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權的第三方認證中心構建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務立法與信息安全立法
當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內電子商務安全問題為依據,不但要使現行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協作才可確保交易不受阻礙。
3 結束語
本文以電子商務信息安全有關環境為切入點,對電商中出現的網信問題進行探析,并將用戶網信安全意識增強、加大網信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現的安全問題。電子商務安全性是一項龐大、系統的工程,要從技術和法律上加大保護力度,只有將電商中出現的所有安全問題一并處理好才能使電子商務更好的服務于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業銀行電子商務安全風險管理研究[J].中南財經政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務環境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務環境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業缺乏針對內部人員的系統安全管理體制,是導致網絡交易過程中泄密和企業利益損失的主要原因。本文重點分析了企業在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業的安全管理提供借鑒。
1、問題的提出
作為一種新的經濟模式,電子商務以高效、便捷、方便的優勢和全新的企業經營理念、經營手段、經營環境吸引著廣大用戶,為世界經濟賦予了無限的發展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環節的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業銀行,都有過由于內部人員的違規和違法操作,導致數據被篡改和泄密的事件發生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環節,近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業招募新人的方式潛入對方企業,或利用不正當的方式收買企業網絡交易管理人員。有的電子商務從業人員從本企業辭職后,迅速把客戶資料、產品研發成果等機密出售給競爭對手,給企業帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業的重視,但大多數企業往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業的通病。由于管理手段不到位,很多先進的安全技術無法發揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業管理高層對人員管理在信息安全中的地位認識不足。大多數企業將電子商務網絡作為一項純粹的技術工程來實施,企業內部缺乏系統的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統的每一個環節和企業組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統得安全。
企業沒有從整體上、有計劃地考慮信息安全問題。企業各部門、各下屬機構都存在“各自為政的局面,缺少統一規劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業性、技術性很強,沒有一批業務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發,加快信息安全人才的培養。
企業對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統工程,不僅涉及到企業的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業規則。企業內部存在著諸多影響信息安全的因素:改變lT系統不等于改變企業的信息安全管理,要使企業信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監管,建立各種有關的合理制度,并加強嚴格監督,如建立交易的安全制度、交易安全的實時監控、提供實時改變安全策略的能力、對現有的安全系統漏洞的檢查以及安全教育等。為了加強企業電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業沒有意識到互聯網的易受攻擊性,盲目相信國外的加密軟件,對于系統的訪問權限和密鑰缺乏有力度的管理。這樣的系統一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業管理者缺少或沒有安全意識。某些企業網絡管理員甚至認為其公司規模較小,不會成為黑客的攻擊目標,如此態度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統管理員、安全管理員、用戶管理員等組成的安全執行機構。該機構負責起草網絡系統的安全策略、執行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發生重大的安全事故、發現新的脆弱性、組織體系或技術上發生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協議。當人員到期離開或協議到期、工作終止時,要審查保密協議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執行安全政策的常規職責和本崗位保護特定資產、執行特定安全過程或活動的特別職責,對違反網上交易安全規定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業和國家有關部門不斷探索,共同促進電子商務信息安全的法制環境建設。
論文摘要 計算機和通訊網絡的普及和發展從根本上改變了人類的生活方式與工作效率。網絡已經成為農業、工業、第三產業和國防工業的重要信息交換媒介,并且滲透到社會生活的各個角落。政府、企業、團體、個人的生活都發生了巨大改變。網絡的快速發展都得益于互聯網自身的獨特優勢:開放性和匿名性。然而也正是這些特征,同時還決定了網絡存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網絡中存在的主要安全威脅并提出構建網絡安全的防護體系,從而對網絡安全的防護策略進行探討。
0 引言
網絡給我們提供極大的方便的同時也帶來了諸多的網絡安全威脅問題,這些問題一直在困擾著我們,諸如網絡數據竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網絡安全問題還是頻發。網絡hacker活動日益猖獗,他們攻擊網絡服務器,竊取網絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網絡信息安全特別是網絡數據安全進行了安全威脅分析并且提出了實現網絡安全的具體策略。
1 目前網絡中存在的主要安全威脅種類
1.1 計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發性等特點。計算機病毒主要是通過復制、傳送數據包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網絡等都是傳播計算機病毒的主要途經。計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發展到一定階段的必然產物。
1.2 特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發性的可被用來進行惡意行為的程序,多不會直接對電腦產生危害,而是以控制為主。
1.3 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
1.4 邏輯炸彈
邏輯炸彈引發時的癥狀與某些病毒的作用結果相似,并會對社會引發連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5 內部、外部泄密
由于黑客的目的一般都是竊取機密數據或破壞系統運行,外部黑客也可能入侵web或其他文件服務器刪除或篡改數據,致使系統癱瘓甚至完全崩潰。
1.6 黑客攻擊
這是計算機網絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,它是在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害
1.7 軟件漏洞
操作系統和各類軟件都是認為編寫和調試的,其自身的設計和結構始終會出現問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯網,危險就悄然而至。
2 網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全。
2.1 技術層面上的安全防護對策
1)升級操作系統補丁
操作系統因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,除服務器、工作站等需要操作系統升級外,也包括各種網絡設備,均需要及時升級并打上最新的系統補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。
2)安裝網絡版防病殺毒軟件
防病毒服務器作為防病毒軟件的控制中心,及時通過internet更新病毒庫,并強制局域網中已開機的終端及時更新病毒庫軟件。
3)安裝入侵檢測系統
4)安裝網絡防火墻和硬件防火墻
安裝防火墻,允許局域網用戶訪問internet資源,但是嚴格限制internet用戶對局域網資源的訪問。
5)數據保密與安裝動態口令認證系統
信息安全的核似是數據保密,一般就是我們所說的密碼技術,隨著計算機網絡不斷滲透到各個領域,密碼學的應用也隨之擴大。數字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。
6)操作系統安全內核技術
操作系統安全內核技術除了在傳統網絡安全技術上著手,人們開始在操作系統的層次上考慮網絡安全性,嘗試把系統內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統更安全。
7)身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2 管理體制上的安全防護策略
1)管理制度的修訂及進行安全技術培訓;
2)加強網絡監管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統網絡管理人員缺乏安全觀念和必備技術,必須進行加強;
3)信息備份及恢復系統,為了防止核心服務器崩潰導致網絡應用癱瘓,應根據網絡情況確定完全和增量備份的時間點,定期給網絡信息進行備份。便于一旦出現網絡故障時能及時恢復系統及數據;
4)開發計算機信息與網絡安全的監督管理系統;
5)有關部門監管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規范化。
參考文獻
[1]簡明.計算機網絡信息安全及其防護策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區溢出的深入研究[j].電腦編程技巧與維護,2006(9).
論文摘要:在介紹網絡安全概念及其產生原因的基礎上,介紹了各種信息技術及其在局域網信息安全中的作用和地位。
論文關鍵詞:網絡安全信息技術信息安全局域網
隨著現代網絡通信技術的應用和發展,互聯網迅速發展起來,國家逐步進入到網絡化、共享化,我國已經進入到信息化的新世紀。在整個互聯網體系巾,局域網是其巾最重要的部分,公司網、企業網、銀行金融機構網、政府、學校、社區網都屬于局域網的范疇。局域網實現了信息的傳輸和共享,為用戶方便訪問互聯網、提升業務效率和效益提供了有效途徑。但是由于網絡的開放性,黑客攻擊、病毒肆虐、木馬猖狂都給局域網的信息安全帶來了嚴重威脅。
信息技術是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論諸多學科的技術。信息技術的應用就是確保信息安全,使網絡信息免遭黑客破壞、病毒入侵、數據被盜或更改。網絡已經成為現代人生活的一部分,局域網的安全問題也閑此變得更為重要,信息技術的應用必不可少。
1網絡安全的概念及產生的原因
1.1網絡安全的概念
計算機網絡安全是指保護計算機、網絡系統硬件、軟件以及系統中的數據不因偶然的或惡意的原因而遭到破壞、更改和泄密,確保系統能連續和可靠地運行,使網絡服務不巾斷。從本質上來講,網絡安全就是網絡上的信息安全。網絡系統的安全威脅主要表現在主機可能會受到非法入侵者的攻擊,網絡中的敏感信息有可能泄露或被修改。從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁/射頻截獲、人員疏忽。
網絡安全包括安全的操作系統、應用系統以及防病毒、防火墻、入侵檢測、網絡監控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛,這是因為目前的各種通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義上講,凡是涉及網絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。網絡安全歸納起來就是信息的存儲安全和傳輸安全。
1.2網絡安全產生的原因
1.2.1操作系統存在安全漏洞
任何操作系統都不是無法摧毀的“饅壘”。操作系統設計者留下的微小破綻都給網絡安全留下了許多隱患,網絡攻擊者以這些“后門”作為通道對網絡實施攻擊。局域網中使用的操作系統雖然都經過大量的測試與改進,但仍有漏洞與缺陷存在,入侵者利用各種工具掃描網絡及系統巾的安全漏洞,通過一些攻擊程序對網絡進行惡意攻擊,嚴重時造成網絡的癱瘓、系統的拒絕服務、信息的被竊取或篡改等。
1.2.2TCP/lP協議的脆弱性
當前特網部是基于TCP/IP協議,但是陔協議對于網絡的安全性考慮得并不多。且,南于TCtVIP協議在網絡上公布于眾,如果人們對TCP/IP很熟悉,就可以利川它的安全缺陷來實施網絡攻擊。
1.2.3網絡的開放性和廣域性設計
網絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網絡身的布線以及通信質量而引起的安全問題。互聯網的全開放性使網絡可能面臨來自物理傳輸線路或者對網絡通信協議以及對軟件和硬件實施的攻擊;互聯網的同際性給網絡攻擊者在世界上任何一個角落利州互聯網上的任何一個機器對網絡發起攻擊提供機會,這也使得網絡信息保護更加難。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數據,嚴重影響汁算機軟件、硬件的正常運行,并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發性、破壞性幾大特點。大量涌現的病毒在網上傳播極快,給全球地嗣的網絡安全帶來了巨大災難。
1.2.5網絡結構的不安全性
特網是一個南無數個局域網連成的大網絡,它是一種網問網技術。當l主機與另一局域網的主機進行通信時,它們之間互相傳送的數據流要經過很多機器重重轉發,這樣攻擊者只要利用l臺處于用戶的數據流傳輸路徑上的主機就有可能劫持用戶的數據包。
2信息技術在互聯網中的應用
2.1信息技術的發展現狀和研究背景
信息網絡安全研究在經歷了通信保密、數據保護后進入網絡信息安全研究階段,當前已經…現了一些比較成熟的軟件和技術,如:防火墻、安全路由器、安全網關、黑客人侵檢測、系統脆弱性掃描軟件等。信息網絡安全是一個綜合、交叉的學科,應從安全體系結構、安全協議、現代密碼理論、信息分析和監控以及信息安全系統等方面綜合開展研究,使各部分相互協同,共同維護網絡安全。
國外的信息安全研究起步較早,早在20世紀70年代美國就在網絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上,提出了“可信計箅機系統安全評估準則(TESEC)”以及后來的關于網絡系統數據庫方面的相關解釋,彤成了安全信息系統體系結構的準則。安全協議作為信息安全的重要內容,處于發展提高階段,仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后,成為當前研究的熱點,克服了網絡信息系統密鑰管理的閑舴,同時解決了數字簽名問題。另外南于計箅機運算速度的不斷提高和網絡安全要求的不斷提升,各種安全技術不斷發展,網絡安全技術存21世紀將成為信息安全的關鍵技術。
2.2信息技術的應用
2.2.1網絡防病毒軟件
存網絡環境下,病毒的傳播擴散越來越快,必須有適合于局域網的全方位防病毒產品。針對局域網的渚多特性,應該有一個基于服務器操作系統平的防病毒軟件和針對各種桌面操作系統的防病毒軟件。如果局域網和互聯網相連,則川到網大防病毒軟件來加強上網計算機的安全。如果使用郵件存網絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產品,針對網絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統的配置,定期或不定期地動升級,保護局域網免受病毒的侵襲。
2.2.2防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎;上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯環境巾,尤其以接入lnlernel網絡的局域網為典型。防火墻是網絡安全的屏障:一個防火墻能檄大地提高一個內部網絡的安全性,通過過濾不安全的服務而降低風險。南于只有經過精心選擇的應州協議才能通過防火墻,所以網絡環境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網絡存取和訪問進行監控審計:如果所有的訪問都經過防火墻,那么防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統計數據。
防火墻技術是企業內外部網絡問非常有效的一種實施訪問控制的手段,邏輯上處于內外部網之問,確保內部網絡正常安全運行的一組軟硬件的有機組合,川來提供存取控制和保密服務。存引人防火墻之后,局域網內網和外部網之問的通信必須經過防火墻進行,某局域網根據網絡決策者及網絡擘家共同決定的局域網的安全策略來設置防火墻,確定什么類型的信息可以通過防火墻。可見防火墻的職責就是根據規定的安全策略,對通過外部網絡與內部網絡的信息進行檢企,符合安全策略的予以放行,不符合的不予通過。
防火墻是一種有效的安全工具,它對外屏蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是它仍有身的缺陷,對于內部網絡之問的入侵行為和內外勾結的入侵行為很難發覺和防范,對于內部網絡之間的訪問和侵害,防火墻則得無能為力。
2.2.3漏洞掃描技術
漏洞掃描技術是要弄清楚網絡巾存在哪些安全隱患、脆弱點,解決網絡層安全問題。各種大型網絡不僅復雜而且不斷變化,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估得很不現實。要解決這一問題,必須尋找一種能金找網絡安全漏洞、評估并提…修改建議的網絡安全掃描工具,利刖優化系統配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網絡安全程度要水不高的情況下,可以利用各種黑客工具對網絡實施模擬攻擊,暴露出:網絡的漏洞,冉通過相關技術進行改善。
2.2.4密碼技術
密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網絡系統不僅不需要特殊網絡拓撲結構的支持,而且在數據傳輸過程巾也不會對所經過網絡路徑的安全程度做出要求,真正實現了網絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網絡信息加密使川的主要技術。
信息加密技術的功能主要是保護計算機網絡系統內的數據、文件、口令和控制信息等網絡資源的安全。信息加密的方法有3種,一是網絡鏈路加密方法:目的是保護網絡系統節點之間的鏈路信息安全;二是網絡端點加密方法:目的是保護網絡源端川戶到口的川戶的數據安全;二是網絡節點加密方法:目的是對源節點到目的節點之間的傳輸鏈路提供保護川戶可以根據實際要求采川不同的加密技術。
2.2.5入侵檢測技術。
入侵檢測系統對計算機和網絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監測來自內部和外部的人侵行為和內部剛戶的未授權活動,并且對網絡入侵事件及其過程做fIj實時響應,是維護網絡動態安全的核心技術。入侵檢測技術根據不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據使用者的行為或資源使狀況的正常程度來判斷是否發生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發生的入侵行為有幫助,并對即將發生的入侵產生警戒作用
