時間:2022-06-16 12:11:44
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全論文,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
論文摘要:結合單位的實際,分析了現有計算機專業課程特點和不足,討論了高師計算機專業學生開設信息安全法律法規課程的必要性、可行性,分析了信息安全技術課程、與信息安全有關法律法規課程的特點.給出了高師信息安全法律課程的教學目標定位、設置方法.
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
云平臺是以“云計算”技術為基礎而構建的網絡服務平臺,但是由于當前“云計算”技術還存在一些技術漏洞,所以為云平臺的數據信息安全帶來了一定的安全隱患。
1.數據安全問題
數據安全性的問題一直是計算機信息管理中擔憂的問題,云平臺信息的管理亦是如此。由于“云計算”技術為用戶提供存儲云,讓用戶通過互聯網絡將自己本地的數據存放到“云端”來節約本地存儲資源的開銷,從而使得存儲云內集中了大量的用戶信息等一些重要的數據資源,極易成為黑客攻擊的目標。近些年來,“云攻擊”時間頻頻引起我們的關注,例如黑客利用多家WordPress網站進行的DDos放大攻擊事件、新浪微博蠕蟲攻擊時間等都是非常嚴重的“云攻擊”時間。此外,當用戶將個人數據放到存儲云中后,用戶并不清楚自己存儲數據的具置,而數據存放后訪問的優先權也就從用戶轉變成了存儲服務的供應商,一定程度上降低了數據的機密性。
2.虛擬化技術引起的安全隱患
虛擬化技術是“云計算”技術的關鍵技術,是為了充分利用系統的硬件資源來構建的虛擬化的網絡基礎設施服務的技術。由于虛擬化技術是完全依賴于系統硬件的,當系統的某個硬件出現問題后,整個虛擬化機器都會面臨崩潰的威脅。同時,虛擬化技術實現的計算機資源的共享會部署在同一臺物理服務器上,所以不同虛擬機之間的數據隔離是非常有必要的,如果非法用戶非法獲取了虛擬機的權限,可能會通過一臺虛擬機來訪問其他的虛擬機數據,從而造成數據泄露。此外,虛擬化技術的應用使得終端用戶存放的數據分散,具有無邊界性,所以對于存儲的數據無法提供明確的安全邊界和保護措施,增加了數據安全保障的難度。
3.系統可靠性
云平臺上的用戶數據的存儲、處理、網絡傳輸與服務的計算機系統關系非常密切,如果該計算機系統出現了問題,直接導致云平臺上數據的丟失,直接影響到了用戶的利益。此外,云平臺的信息安全問題對于供應商的信譽問題也是非常重要,如果供應商由于經濟或者其他原因終端服務,那么用戶的數據也會面臨丟失的威脅。
二、云平臺信息安全保護策略
“云計算”是當前IT服務界一場全新的技術革命,為網絡時代帶來了巨大的商機,在各個領域中已經得到廣泛的應用,如何搭建安全穩定的云平臺來保證平臺內部數據信息的安全也是巨大商機下提出的巨大挑戰。
1.云平臺構建
在云平臺的構建初期,就要充分考慮到平臺內的信息安全保護策略。由于當前網絡安全最大威脅來自于黑客攻擊以及破壞計算機功能和信息數據的計算機病毒,所以在構建云平臺時,根據以往的反黑客和反病毒攻擊的技術手段和經驗,來構建安全的云平臺,進而維護期安全運轉。由于云平臺的安全問題要比傳統的信息安全問題復雜得多,運行的系統性能要求更大,所以構建安全的云平臺,要以強大的資金和技術的投入作為保障來是云平臺建設順利進行。此外,要增加云平臺的系統開放性,以吸引更多的合作伙伴加入,從而增加云安全的覆蓋能力,保證云平臺的安全運行。
2.云平臺的數據保護
除了云平臺提供的SaaS(軟件即服務)服務之外,其他的云計算供應商對于隱私數據的保護力度不夠,如果直接以數據明文的形式存儲在平臺內,則會是存儲數據的機密性和完整性受到威脅,所以供應商應該采用數據加密技術對敏感數據進行加密,從而增加存儲數據的安全系數,在一定程度上又可以進行數據隔離。此外,云平臺供應商應該為用戶設置公共云和私有云,并且加強防火墻的設置安裝,而云平臺用戶則可以根據對企業的數據和應用服務進行風險評估分析,并根據分析結果將其放置在公共云還是私有云。比如對于企業的核心業務的關鍵任務,則必行將其放置在私有云內并通過安裝防火墻來增加其安全系數。加強訪問云平臺用戶的安全認證也是對數據進行保護的一項措施,對于云平臺的用戶安全認證,可以采用強制用戶認證和單點用戶認證結合的方式,從而用戶只需登錄一次即可進入整個web應用,從而避免云平臺用戶的密碼泄露。
3.云平臺的網絡安全
云服務的供應商在增加數據保護的同時,也要對加強云平臺網絡的安全監控,指定完善的監控策略,使用過濾器對離開云平臺網絡的數據進行監視,一旦發現異常即可采取必要措施來攔截傳輸數據,從而阻止隱私數據的外泄。對于云平臺數據的傳輸,也需要采用數據加密技術來加密傳輸數據、VPN技術構建虛擬信道、身份認證技術加強數據傳輸安全,從而確保云平臺數據出網后的信息安全。雖然“云計算”技術已經發展到了應用階段,但是對于云平臺的監管仍相對落后,而且云計算相關的核心技術國內仍未掌握,所以我國應該建立健全的法律法規,支持云計算核心技術的自主研發,設計符合我國國情的云計算業務解決方案,加快建設云平臺安全評估和監管體系,從而為云平臺的信息安全保護提供強有力的后盾。
三、總結
現代計算機網絡技術的發展,為我國檔案信息管理提供了現代化的管理手段和方式。檔案信息是社會生產活動的真實記錄,是一種不可否認的社會史實;另外站在更高的角度來講,檔案又是一種重要的信息資源,與社會生活和經濟活動密不可分。從目前來看,可利用的社會資源越來越少,社會上的虛假信息越來越多,人們為了自身的發展,不惜一切代價獲取真實的信息資源。重要的檔案信息資源對個人來說,可能為個人的成功提供了機會;對一個企業來說,可能是幫助企業渡過難關,獲得最大效益的法寶;對一個國家來說,信息資源甚至決定國家的興衰。由此可見,檔案信息資源在國家社會生活的方方面面發揮著深遠的影響,具有重要的價值。因此,做好檔案信息的安全管理工作是當前檔案工作的重中之重。
二、檔案信息安全管理的現狀分析
近年來隨著計算機網絡技術的發展,我國的檔案管理模式基本上分為兩種:實體檔案信息管理和電子檔案信息管理。下面針對不同的檔案信息管理模式,對其現狀和存在的問題進行分析。
1.實體檔案信息管理
實體檔案信息管理是長期以來一直沿用的管理方法。實體檔案信息管理需要大量的檔案館庫做支撐,但是我國目前的檔案館庫多是20世紀80年代的建筑,特別是在經濟發展相對緩慢、生活貧困的地區,其中不少檔案館庫及設施在漫長的歲月演變中變得破敗不堪,檔案庫房的功能大大減弱,這對檔案信息的存放和保管構成了嚴重的威脅。不僅檔案館庫等建筑設施的狀況影響檔案信息的安全,在檔案信息管理中同樣存在嚴重的安全漏洞。主要表現在以下幾方面:首先,字跡不清晰。受到歷史條件的制約,以前很多紙質檔案書寫所用的材料不符合規范,形成大量的鉛筆、圓珠筆字跡,再加上時間久遠,檔案保護不當,造成檔案字跡模糊不清晰。其次,檔案信息保護環境不良。在檔案存放和保管過程中,由于存放環境的惡劣導致檔案的破壞屢見不鮮。最后,檔案的自然損壞嚴重。檔案信息的自然損壞主要是歷史原因所致,由于存放時間比較久遠,記錄檔案信息的載體經過漫長的時期發生了不同程度的損壞,導致所記錄的檔案信息隨之發生損壞。
2.電子檔案信息管理
隨著經濟發展水平的不斷提高,特別是計算機、互聯網和信息技術的出現和應用,為檔案信息管理提供了新的管理手段和方法。電子檔案信息管理不僅保證了檔案管理的高效性,還節省了檔案信息管理的經濟成本。但是由于受到技術發展水平的限制,電子檔案信息管理受到網絡黑客的攻擊和威脅,電子檔案信息管理工作同樣面臨嚴峻的安全問題,主要存在以下兩方面問題。
(1)檔案信息在查詢利用過程中面臨安全威脅
由于目前經濟發展水平的限制,電子檔案信息管理并沒有形成統一的機制。因此導致電子檔案信息系統平臺不一致,在管理上無法達到統一規范,造成電子檔案信息管理網絡環境不穩定,極易遭受網絡攻擊。目前并沒有專門為電子檔案信息管理建立的安全可靠的局域網,也沒有針對檔案信息安全管理的完善的法律法規,這種管理上的不到位致使電子檔案信息在利用的過程中受到網絡環境的影響和損害。
(2)電子檔案信息管理系統功能不夠強大
電子檔案信息是一種重要的信息資源,一個單位檔案信息的失竊可能會給一個企業帶來巨大的經濟損失,一個國家的檔案信息泄漏,嚴重的會引發國與國之間的矛盾或戰爭。盡管國家對電子檔案信息管理十分重視,并且出臺了涉及國家秘密的信息系統審批管理相關法律法規,但是由于受到各種條件的限制,不少地區的電子檔案信息管理系統功能并不能達到國家相關規定的要求,從而使檔案信息安全面臨極大風險。具體到系統的登錄權限、身份識別、數字認證、指紋識別等功能都有待進一步的完善和提高。
三、檔案信息安全管理措施探析
1.增強檔案實體管理
檔案實體管理是一種重要的管理形式,針對檔案實體管理中出現的問題,應著力發揮國家的財政支撐作用,對不符合標準的館庫及時進行修整,對庫房的防護功能定期進行檢查和確認,確保檔案信息管理硬件環境的安全。
2.營造電子檔案網絡安全環境
眾所周知,檔案信息具有嚴格的保密性,是十分重要的信息資源。這就要求我們一定要營造一個安全的電子檔案網絡環境。首先對于網絡應用的硬件和軟件系統要進行有效的保護,防止網絡黑客及病毒的襲擊是不容忽視的,要不斷研究和升級防范網絡黑客攻擊的技術,將檔案信息的安全隱患降到最低。其次還要對電子檔案的網絡系統功能進行完善和升級,對網絡系統的登入采用先進的指紋識別技術,進行嚴格的身份驗證,從而建立強大的網絡系統。
3.加強行政保護
檔案信息來源于社會生活和社會生產,為國家經濟建設和經濟活動的開展提供必要的信息支持。隨著國家經濟建設的不斷發展,檔案信息的發展與傳播步伐也越來越快,并逐漸對社會生活的各個領域產生不可估量的影響和作用。首先國家要重視并宣傳檔案信息的重要性,使人們普遍樹立檔案信息的保密意識,其次還要采取一定的行政手段,制定相關的法律法規,約束和規范檔案信息安全管理,特別要對電子檔案網絡安全管理系統制定嚴格的規范,從而在制度保障的前提下建立強大的檔案信息安全系統。
四、結語
1.銷售系統設施建設。
硬件方面,各石油銷售企業都具有設施完善的中心計算機系統,供電采用UPS方式,采用“雙機熱備”的核心服務器工作模式,以確保整個硬件的可靠性和安全性;網絡方面,采用SDH光纖接入廣域網,包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式,設備之間,層層之間以光纖方式連接,以均衡網絡負載。除了安裝必備的防火墻,部分企業為進一步提高安全防范能力還安裝了外網入侵檢測系統;大多數加油站采用SSLVPN方式訪問企業內部網,以保證網絡接入的安全性。在PC系統方面,大多數企業統一安裝了企業版的病毒防護軟件系統和桌面安全網絡接入系統,實現PC機的MAC地址綁定。
2.銷售系統信息化建設。
目前,企業的銷售信息系統主要包括:加油卡系統、辦公自動化系統、加油站零售管理系統、企業門戶網站、ERP系統等。信息系統具有如下特點:一是用戶眾多,幾乎所有企業管理人員都是各系統用戶;二是應用領域廣,涉及企業經營、管理、對外服務諸多方面;三是要求連續運轉,如ERP系統必須滿足7×24小時運轉。由于信息系統的安全運轉不僅關系到企業經營管理的可持續性,其數據的安全性和保密性更關系到廣大客戶的利益。所以,基于上述的原因,企業對銷售信息系統的安全運轉提出了更高的要求。
3.銷售系統的信息安全現狀。
石油銷售管理系統是關系國家安全、經濟命脈、社會穩定的重要信息系統,國家對其信息安全高度重視,并在《2006-2020年國家信息化發展戰略》中強調,我國要全面加強國家信息安全保障體系的建設,大力增強國家信息安全保障能力,實現信息化建設與信息安全保障的協調發展。同時,國內石油銷售企業也長期重視信息安全工作,逐步建立了相應的保障體系和規章制度,但還存在以下問題:
(1)范圍涉及廣泛。
石油銷售企業分支機構多,終端運營組織龐大且分散,以中石油集團為例,其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統中,信息網絡承載著指導業務運行的重要功能。大量、分散部署的加油終端,必然會造成聯網方式的多樣化、網絡環境的復雜化。
(2)設備系統眾多。
石油銷售企業信息化管理系統中所涉及的設備精度髙、技術要求深,并且范圍廣泛,包括加油站、油庫等大量的自動化控制系統。因此,業務管理流程復雜,安全風險增大。
(3)人員素質不齊。
由于石油銷售屬于傳統行業,因此企業人員年齡跨度較大,對信息安全管理的職業組織參差不齊;甚至對于企業管理人員,對于信息安全的認識也多停留在紙上談兵;基層人員眾多,且直接面對客戶,流動性大,信息泄露風險極高。而且新生代的企業員工對計算機和網絡接觸早,應用水平高,日常使用頻繁,在缺乏網絡安全防護意識的情況下更易導致信息泄漏,甚至在好奇心理的鼓動下主動發起網絡攻擊行為,所以企業內網安全也成為一個突出的問題。
(4)資金投入有限。
國外企業在信息安全方面的資金投入達到了企業整體基建的5%-20%,而我國企業基本都在2%以下。全世界每年因信息安全方面的漏洞導致的經濟損失達數萬億美元,中國的損失也達到了一百億美元以上,但是中國企業在這方面的投資只有幾十億美元。因此,我國企業整體信息化安全建設預算不足。石油企業信息化工程是一項繁重的任務,需要在信息安全方面有更大的投入。大型油企需要建立復雜龐大的數據庫備份體系,建立并維護高效的網絡殺毒系統、企業級防火墻、IDS、IPS系統和完善的補丁更新及發放機制,以保證企業各方面的數據安全。建立這一復雜的系統需要大量的資金投入,而且其投入回報慢,因此石油企業普遍輕視這方面的投入和維護,信息安全建設相對于企業的發展整體滯后。
二、石油銷售系統的信息安全管理系統設計
石油銷售系統的信息安全管理系統是一個程序化、系統化、文件化的管理體系,以預防控制為主,強調動態全過程控制。建立相應的信息安全管理系統,需要從物理、信息、網絡、系統、管理等多方面保證整體安全;建立綜合防范機制,確保銷售信息安全以及加油卡、EPR等電子銷售系統的可靠運行,保障整體信息網絡的安全、高效、可靠運轉,規避潛在風險,供系統的可靠性和安全性。因此,石油銷售系統的信息安全管理系統構架分為以下組成:
(1)組織層面。
石油銷售部門應建立責任明確的各級信息安全管理組織,包括信息安全委員會、信息安全管理部門,并通過設立信息安全員,指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓,提高企業員工對信息安全重要性的認識。
(2)制度層面。
制定安全方針、安全管理制度、安全操作規程和突發事件應急預案等一系列章程,經科學性審核和測試后下發各級部門,提升企業的信息安全管理的效能,減少事故發生風險,提高應急響應能力。
(3)執行層面。
信息安全管理部門應當定期檢查和隨機抽查相結合,監督安全制度在各級部門的執行情況,評估安全風險,負責PDCA的循環控制。
(4)技術層面。
信息安全管理部門要提供安全管理、防護、控制所需的技術支持,全面保障企業整體信息安全管理系統建設。通常信息安全技術分為物理安全、網絡安全、主機安全、終端安全、數據安全以及應用安全等六個方面,主要包括監控與審核跟蹤,數據備份與恢復,訪問管理與身份認證,信息加密與加固等具體技術措施。通過有效的信息安全管理平臺和運作平臺,在最短時間內對信息安全事件進行響應處理,保障信息安全管控措施的落實,實現信息安全管理的目標。
三、結語
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發生不可預測的、潛在破壞性的侵入。它通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
現代社會的發展主要依靠著科技發展做領航,以經濟發展為主要目的,在科技不斷進步中,計算機信息的發展逐步走入了人們的視線以內,在這樣的大環境中信息產業逐步進入人們的生活生產中,并且在經濟市場中占領了主導的地位。信息產業的發達,其中重要的是計算機信息的發展,計算機信息的重要性則大大提高,對于信息的處理問題也隨之加大了實際操作的難度。控制信息的獲路徑,還是信息傳播及利用與管理都變得更加地嚴峻,因為對信息的管理與控制不當,將會出現信息安全事故,造成不可估量的后果。有效保障信息的安全對于個人與國家都是有益的,也有利于整個社會的有序發展。從美國開始對于信息進行監控,通過信息獲取各國的實際情況開始,計算機信息的安全管理,已經不再是個人隱私的安全問題,其中也關系到國家的完整以及國家安全的重要問題。現在可以看出,結合我國的實際情況做出一套具有科學性、可施性的計算機管理存儲方案是很重要的,對于整個計算機網絡來說更是至關重要的。
2計算機信息儲存中安全
2.1計算機中的安全問題
由于計算機信息與傳統信息在特點上的不同,因此計算機信息在傳統信息中也存在著更多的不同,其中主要原因在于計算機信息離不開是科技產物的發展,計算機信息出現問題主要表現在技術上。計算機信息的主要問題與傳統信息屬于一致性的問題在于信息遺漏,盜取信息經行出售更多地不是黑客所為,而是出自企業內部所造成的。信息遺漏對企業造成更多地經濟損失,造成這樣事件的發生的原因與企業內部員工有很多原因,如:企業工作人員對于計算機實際操作的不嫻熟,在無意間將信息泄露,還有則是為了自己的私利,將企業內部信息使自己獲取利益,還有則是黑客進攻企業網絡信息系統竊取信息,但是由于企業的網絡受到外部網絡的監控,其中黑客的攻擊很少能進入企業的內部網絡系統進行信息竊取。由此可以看出計算機信息的存儲安全問題,在現代計算機高速發展中的重要發展對象。
2.2造成計算機信息安全問題的原因
計算機的安全問題主要集中在計算機信息的遺漏上,其中造成計算機信息的遺漏有著很多方面的原因,其中以下幾點原因是造成計算機信息安全的主要原因。
2.2.1電磁波的輻射泄露計算機在儲存信息的工作中少不了計算機硬件設備的支持,當計算機的硬件設備在工作中會產生一點量的電磁波,在計算機存儲信息的同時,部分人員利用現代技術,經過電磁波的控制可以獲得計算機的存儲信息,這樣的方法嚴重的威脅著計算機信息的安全存在問題。
2.2.2網絡路徑獲得用戶信息計算機網絡普及到大家的生活中時,信息的網絡化,更多的人員依賴計算機來存儲信息,但是在對自己信息的管理往往不太重視,使得不法分子有機可乘,利用計算機在網絡傳輸的節點,信息渠道,信息端口實行信息竊取用戶的計算機信息。再加上現代網絡在使用上的普及,計算機知識并沒有得到普及,更多的用戶對于自己網絡信息的保密程度不夠重視,在自己的網絡中沒有設置用戶密碼,這樣給信息掠取者更多的機會,在用戶沒有設置權限下,更容易獲取其私人的信息,造成更多的問題。
2.2.3信息存儲介質的不合理利用信息存儲介質主要是指U盤、移動硬盤、光盤等信息移動存儲,存儲介質的出現給我們帶來更多便利,運用存儲介質可以將計算機信息隨身攜帶,有計算機的地方則可以調取設備中的計算機信息,方便外出工作,但是存儲介質的不合理利用將會導致信息外漏,因為存儲介質的使用方法簡單,復制與粘貼可以將信息外帶,計算機信息使用后沒有進行及時的刪除,很容易將信息外泄。
2.2.4計算機使用者的操作不當由于計算機發展較快,從計算機的普及到計算機的運用屬于快速發展,信息技術的開發更是迅速,在這樣的情況下,人們由于每天忙碌工作,很少時間來學習先進的計算機操作技術,更多使用人員對于計算機的基本操作知識的缺乏,由于個人使用不當造成信息外漏的情況很多,因此計算機使用者自身也對計算機信息安全造成了一定的影響。
2.2.5企業公司員工的忠誠度企業中工作人員的忠誠度也會對該企業自身的計算機信息安全造成隱患。隨著計算機的便利,更多企業的工作離不開計算機,由于計算機自身的特點和優勢,利用計算機存儲信息的便捷,公司企業的大多數信息都存儲在計算機內,在企業中如果管理計算機信息安全員工出現信息泄露,將對公司企業的發展造成不可估算的損失,其中在大型的企業當中,員工的技術性問題是不存在的,因此計算機信息安全問題,主要出現在員工對于企業的忠誠度上,更多的員工泄露企業公司計算機信息主要原因在于謀取私人利益,使自己獲得更多利潤。
3計算機信息安全利用
解決計算機信息安全利用要從多個角度開始進行,不能僅僅依靠一部分的調控進行管理,要通過幾個部分的相互協調共同控制,才能有效地提高計算機信息安全與合理的利用計算機信息。首先,要建立完整的計算機信息庫,對計算機信息進行有效地分類管理,良好控制計算機信息的出口與入口,可以降低計算信息的外泄問題,其次是對企業公司的員工加強計算機知識普及的培訓,提高工作人員的對計算機的正確操作避免造成不必要的損失,而且要通過公司文化熏陶公司員工,提高員工對公司的忠誠度,避免員工出現故意外漏現象。
3.1建立較為完整的信息管理
在公司或者企業當中,信息的多樣化是一定會出現的,建立一套完整的公司信息管理庫是有必要的,將公司的信息進行分類管理,并且實行多方面的管理設施,使用多人員管理信息,避免信息過多而導致信息混亂,在使用信息時不能快速查找,造成工作效率不高。
3.2進行計算機技術的普及
由于計算機技術更新時間較快,計算機使用人員很難快速跟上計算機的最新操作,因此定期對公司員工進行計算機知識普及有利于員工自身知識積累,提高員工的自身發展的同時有助于提高員工的忠誠度,也有利于員工妥善管理計算機信息,提高公司企業的計算機信息安全。
3.3建立內部網絡
建立公司的內部網絡,有利于公司企業及單位的計算機信息的共享,在公司內部也有助于公司內部人員交流,并且內網的使用面積不大,通常在公司內部,對網絡實行監控較為容易,可以有效的防治計算機信息泄露。
4結束語
關鍵詞:電子商務信息安全安全技術
伴隨經濟的迅猛發展,電子商務成為當今世界商務活動的新模式。要在國際競爭中贏得優勢,必須保證電子商務中信息交流的安全。
一、電子商務的信息安全問題
電子商務信息安全問題主要有:
1.信息的截獲和竊取:如果采用加密措施不夠,攻擊者通過互聯網、公共電話網在電磁波輻射范圍內安裝截獲裝置或在數據包通過網關和路由器上截獲數據,獲取機密信息或通過對信息流量、流向、通信頻度和長度分析,推測出有用信息。2.信息的篡改:當攻擊者熟悉網絡信息格式后,通過技術手段對網絡傳輸信息中途修改并發往目的地,破壞信息完整性。3.信息假冒:當攻擊者掌握網絡信息數據規律或解密商務信息后,假冒合法用戶或發送假冒信息欺騙其他用戶。4.交易抵賴:交易抵賴包括多方面,如發信者事后否認曾發送信息、收信者事后否認曾收到消息、購買者做了定貨單不承認等。
二、信息安全要求
電子商務的安全是對交易中涉及的各種信息的可靠性、完整性和可用性保護。信息安全包括以下幾方面:
1.信息保密性:維護商業機密是電子商務推廣應用的重要保障。由于建立在開放網絡環境中,要預防非法信息存取和信息傳輸中被竊現象發生。2.信息完整性:貿易各方信息的完整性是電子商務應用的基礎,影響到交易和經營策略。要保證網絡上傳輸的信息不被篡改,預防對信息隨意生成、修改和刪除,防止數據傳送中信息的失和重復并保證信息傳送次序的統一。3.信息有效性:保證信息有效性是開展電子商務前提,關系到企業或國家的經濟利益。對網絡故障、應用程序錯誤、硬件故障及計算機病毒的潛在威脅控制和預防,以保證貿易數據在確定時刻和地點有效。4.信息可靠性:確定要交易的貿易方是期望的貿易方是保證電子商務順利進行的關鍵。為防止計算機失效、程序錯誤、系統軟件錯誤等威脅,通過控制與預防確保系統安全可靠。
三、信息安全技術
1.防火墻技術。防火墻在網絡間建立安全屏障,根據指定策略對數據過濾、分析和審計,并對各種攻擊提供防范。安全策略有兩條:一是“凡是未被準許就是禁止”。防火墻先封閉所有信息流,再審查要求通過信息,符合條件就通過;二是“凡是未被禁止就是允許”。防火墻先轉發所有信息,然后逐項剔除有害內容。
防火墻技術主要有:(1)包過濾技術:在網絡層根據系統設定的安全策略決定是否讓數據包通過,核心是安全策略即過濾算法設計。(2)服務技術:提供應用層服務控制,起到外部網絡向內部網絡申請服務時中間轉接作用。服務還用于實施較強數據流監控、過濾、記錄等功能。(3)狀態監控技術:在網絡層完成所有必要的包過濾與網絡服務防火墻功能。(4)復合型技術:把過濾和服務兩種方法結合形成新防火墻,所用主機稱為堡壘主機,提供服務。(5)審計技術:通過對網絡上發生的訪問進程記錄和產生日志,對日志統計分析,對資源使用情況分析,對異常現象跟蹤監視。(6)路由器加密技術:加密路由器對通過路由器的信息流加密和壓縮,再通過外部網絡傳輸到目的端解壓縮和解密。2.加密技術。為保證數據和交易安全,確認交易雙方的真實身份,電子商務采用加密技術。數據加密是最可靠的安全保障形式和主動安全防范的策略。目前廣泛應用的加密技術有:(1)公共密鑰和私用密鑰:也稱RSA編碼法。信息交換的過程是貿易方甲生成一對密鑰并將其中一把作為公開密鑰公開;得到公開密鑰的貿易方乙對信息加密后再發給貿易方甲:貿易方甲用另一把專用密鑰對加密信息解密。具有數字憑證身份人員的公共密鑰在網上查到或請對方發信息將公共密鑰傳給對方,保證傳輸信息的保密和安全。(2)數字摘要:也稱安全Hash編碼法。將需加密的明文“摘要”成一串密文亦稱數字指紋,有固定長度且不同明文摘要成密文結果不同,而同樣明文摘要必定一致。這串摘要成為驗證明文是否真身的“指紋”。(3)數字簽名:將數字摘要、公用密鑰算法兩種加密方法結合。在書面文件上簽名是確認文件的手段。簽名作用有兩點:一是因為自己簽名難以否認,從而確認文件已簽署;二是因為簽名不易仿冒,從而確定文件為真。(4)數字時間戳:電子交易中文件簽署日期和簽名是防止交易文件被偽造和篡改的關鍵性內容,數字時間戳服務能提供電子文件發表時間的安全保護。
3.認證技術。安全認證的作用是進行信息認證。信息認證是確認信息發送者的身份,驗證信息完整性,確認信息在傳送或存儲過程中未被篡改。(1)數字證書:也叫數字憑證、數字標識,用電子手段證實用戶身份及對網絡資源的訪問權限,可控制被查看的數據庫,提高總體保密性。交易支付過程中,參與各方必須利用認證中心簽發的數字證書證明身份。(2)安全認證機構:電子商務授權機構也稱電子商務認證中心。無論是數字時間戳服務還是數字證書發放,都需要有權威性和公正性的第三方完成。CA是承擔網上安全交易認證服務、簽發數字證書并確認用戶身份的企業機構,受理數字證書的申請、簽發及對數字證書管理。
4.防病毒技術。(1)預防病毒技術,通過自身常駐系統內存,優先獲取系統控制權,監視系統中是否有病毒,阻止計算機病毒進入計算機系統和對系統破壞。(2)檢測病毒技術,通過對計算機病毒特征進行判斷的偵測技術,如自身校驗、關鍵字、文件長度變化。(3)消除病毒技術,通過對計算機病毒分析,開發出具有殺除病毒程序并恢復原文件的軟件。另外要認真執行病毒定期清理制度,可以清除處于潛伏期的病毒,防止病毒突然爆發,使計算機始終處于良好工作狀態。
四、結語
信息安全是電子商務的核心。要不斷改進電子商務中的信息安全技術,提高電子商務系統的安全性和可靠性。但電子商務的安全運行,僅從技術角度防范遠遠不夠,還必須完善電子商務立法,以規范存在的各類問題,引導和促進我國電子商務快速健康發展。
參考文獻:
[1]譚衛:電子商務中安全技術的研究.哈爾濱工業大學,2006
1.1架構安全
合理的架構是圖書館業務服務網絡安全的前提,網絡在總體結構上要減少相互間的依賴和影響。任何一個模塊出現故障后,對上/下工序流程不產生嚴重影響。各子系統可獨立運作,各子系統單一升級而不影響到其他子系統的功能。
1.2設備安全
主干網采用光纖雙路備份,采用雙機冗余式主干交換機,網絡核心設備(交換機、服務器等)需采用模塊化、支持熱插拔設計。主業務應用服務器要雙機熱備,并采用雙網卡接入、服務器集群、RAID等措施。主存儲系統需要極高的安全穩定性,具有合理的存儲構架和數據重新快速分配能力。在設備的分配上,避免在同一臺服務器上部署多種應用。在各樓層設立交換機柜,對重要接入層設備,應考慮必要的網絡設備和接入端口的備份手段。中心機房配有24小時雙路電源,并配備大功率的UPS電源。另外,為防止外部的攻擊和病毒的侵襲,解決業務網與辦公網的信息交互問題,要設置高安全區網段,須將業務內部網絡與外網分開,在物理上隔離網絡,業務終端用戶計算機屏蔽USB接口,不配置光驅,并安裝網絡版的防病毒軟件。
1.3軟件安全
主要有:①操作系統安全。為確保圖書館的安全,主要服務器盡可能采用企業版Linux操作系統。②數據安全。為保障關鍵運行數據的存儲、管理和備份,要求采用集中與分布方式相結合的數據庫系統設計。③應用軟件安全。應用軟件應具有完善的備份措施,系統故障后,要求及時恢復,確保圖書分編數據不丟失,圖書借還信息不丟失。④數據庫系統安全。主要應用系統中的數據庫均采用雙機熱備共享RAID盤陣的方式,實現雙主機同時對外提供服務,盤陣采用了最高等級的RAID5技術,任何一個硬盤故障也不會影響系統,對于核心數據庫要求采用本地備份和遠程備份相結合的方式。
1.4運維安全
在提高技術系統安全性的同時,還必須提供良好的運行維護,防范由于操作不當、網絡管理漏洞、運維措施不完備所造成的網絡信息系統異常。在網絡信息系統運行中,應對設備、服務、業務等方面的監控和故障報警。通常情況下,設備運用指示燈變成黃色,表示出現故障,應盡快進行檢查。
1.5外網文件交互安全
為隔離來自辦公外網等的安全風險,圖書館自動化主業務系統專門設置高安全區網段,高安全區網段的文件拷貝通過私有協議或網閘實現,主要用于與辦公網絡以及其他網絡的數據交互的病毒防御。
2制定出一套操作性強、目的明確的應急處理預案
為了及時應對圖書館網絡信息系統突發故障和事件,在完善網絡信息安全體系建立策略上,在技術上應做好各種預防措施的同時,制定出一套操作性強,在突發事件發生時,能迅速做出響應并快速處理,積極恢復圖書館網絡業務系統等全方位的應急體系,即網絡信息系統故障應急預案。著名的墨菲定律指出:凡事只要有可能出錯,那就一定會出錯。因此對圖書館主信息應用系統,對其部署的機房環境、人員、網絡、數據存儲、應用系統的主機及數據庫情況以及所使用的中間件環境等因素進行全面分析,預測網絡信息故障風險點和故障可能造成的危害,確定應急預案,選擇處理故障的有效手段。
3.1預案適用情形
圖書館網絡信息安全涉及管理與信息技術等方面,圖書館平時要從網絡、計算機操作系統、應用業務系統等安全管理規范以及計算機使用人員安全意識等幾個方面,做好以下幾項工作:①制定系統規章。②制訂培訓計劃。③加強人員管理。④成立事故應急處理小組。針對圖書館網絡故障對系統的影響程度,當出現以下所列情形之一時,事故處理小組確認已達到預案應急情況,應迅速啟動相應的應急處理程序:①網絡遭受災害或病毒大面積攻擊而造成圖書館整個業務系統的癱瘓。②網絡服務器不明原因宕機,對圖書館業務造成影響范圍大,且持續時間長。③網站內容被惡意篡改。④供電系統故障。⑤機房火災。⑥空調系統及供水系統故障。
2.2預案制定及啟動
預案是由圖書館信息安全管理應急處理小組負責制定及審核。小組職責是對圖書館信息網絡安全的整體規劃、安全應急預案演練及網絡與信息系統突發事件的處理,小組組長負責啟動應急預案。針對上述情形,在圖書館網絡信息系統運行中可能存在以下問題,技術人員應立即啟動以下應急預案。
2.2.1遇到網絡遭受病毒大面積攻擊而造成圖書館整個業務系統的癱瘓,立即啟動以下應急預案。查找受病毒攻擊的計算機,并及時從網絡上隔離出來,判斷病毒的性質,關閉相應的端口;對該機進行數據備份;啟用防病毒軟件對該機進行殺毒處理,同時對其他機器進行病毒檢測軟件掃描和清除工作;對被病毒感染的終端電腦進行全面殺毒之后再恢復使用;及時最新病毒攻擊信息以及防御方法。
2.2.2遇到網絡服務器不明原因宕機,對圖書館業務造成影響范圍大,且持續時間長的情況,立即啟動以下應急預案:①服務器宕機應急處置措施。圖書館關鍵應用系統所用的服務器宕機,應立即將網絡線路切換到備用服務器上,并立即恢復應用系統正常使用;對宕機服務器進行全面檢查,分析是硬件還是軟件故障;立即與設備提供商聯系,請求派維修人員前來維修;在確實解決問題之后,切換回主服務器,給主機加電;系統啟動完畢,檢查系統及雙機狀態;啟動數據庫;啟動應用程序可以正常啟動和運行。②網絡不明原因中斷。屬局域網出故障斷網后,網絡維護人員應立即判斷故障節點,及時向信息部負責人報告,查明故障原因,立即恢復。如遇無法恢復,立即進行備件更換或向有關廠商請求支援。屬光纖主干出故障,立即向上級報告,并通知維護公司對光纖進行融接,盡快恢復網絡功能;屬與樓層的上聯網線故障,應使用備用或更換新的雙絞線連接至故障設備。屬網絡設備(光模塊)故障如路由器、交換機等,應立即用相關備件替換,或與設備提供商聯系更換設備,并調試暢通。屬網絡設備配置文件破壞如路由器、交換機,應迅速用備份配置文件重新復制配置,并調試暢通;如遇無法解決的技術問題,立即向有關廠商請求支援。屬運營商管轄范圍,立即與運營商維護部門申報故障,請求修復。
2.2.3遇到網站內容被惡意篡改,應參照以下應急預案。切斷服務器的網絡連接;從備份數據中恢復正確的數據;檢查網站源碼漏洞,安裝網站源碼的最新補丁;安裝最新的系統補丁并重新配置防火墻,修改管理員密碼;查看網絡訪問日志,分析事件發生原因、源IP地址和操作時間,并做好記錄;重新恢復服務器網絡連接;向保衛科備案,如造成重大損失或影響惡劣的,通知司法機關尋求法律途徑解決。
2.2.4遇到供電系統故障,應參照以下應急預案。當供電系統出現故障,中心機房UPS在尚能維持供電一段時間時,應通知各業務相關部門,迅速將所有運行中的服務器、存儲及網絡設備等安全關機,防止數據損失。關閉所有服務器時,應遵循如下步驟:先關閉所有應用服務器和數據庫服務器,再關閉存儲設備。啟動所有服務器時,應先打開存儲設備,再打開數據庫服務器,最后打開應用服務器;確認機房中所有設備安全關機之后,將UPS電源關閉;恢復供電后,重新啟動所有設備運行,并把UPS電源打開。
3.2.5遇到機房火災,應參照以下應急預案。確保人員安全;保護關鍵設備、數據安全;保護一般設備;機房工作人員立即按響火警警報,不參與滅火的人員迅速從機房離開;人員滅火時要切斷所有電源,從消防工具箱中取出消防設備進行滅火。
2.2.6遇到空調系統及供水系統故障,應參照以下應急預案。空調系統及供水系統如有報警信息,應及時查找故障原因,對于不能自行排除的問題,應及時與設備提供商進行聯系。如發現有漏水現象應馬上關閉進水閥,并對漏水進行處理。當中心機房主空調因故障無法制冷,致使機房內環境溫度超過攝氏40度時,打開機房房門,及時報告信息部相關領導請示,獲得授權后應按順序關閉所有服務器及網絡設備。
2.3重大事件應急預案
針對發生重大事件導致圖書館網絡癱瘓,信息系統無法正常運行,相關服務部門應立即啟動以下應急預案:①各部門對讀者服務窗口,立即恢復手工操作模式。②網絡部門負責立即啟動應急服務器系統。③應急系統使用期間,辦證處不可對讀者進行辦理或辦退讀者借閱證。待系統正常恢復后才可辦證或退證。④應急系統使用期間,各圖書閱覽室對讀者只提供圖書閱覽、還書服務,并采用手工登記服務信息;暫停圖書借書服務,待系統正常恢復后才可進行各項業務服務。⑤系統恢復后,網絡部門應及時安排人員對讀者還書期限信息進行延期處理。
3預案培訓、演練及改進
圖書館網絡信息系統應急預案確定后,應對與預案處置相關的所有人員進行培訓,了解安全故障或事件風險點和危害程度,掌握預案應急處置辦法,明確預案處理流程預警。圖書館每年要擬訂年度應急演練計劃,應定期或不定期開展網絡信息安全預案演練,明確應急響應相關責任部門和人員的責任,模擬完成安全故障發現、判斷、通報、處置、解除等各重要環節應急措施的演練,總結演練情況書面報告。圖書館網絡信息系統每年至少應進行1次應急預案文檔的分析、評審,根據演練總結和實際情況,進一步對預案中存在的問題和不足及時補充、完善。
4結語
當以下問題發生時,使得網絡在遭受安全攻擊時,顯得非常脆弱:上層應用的安全收到Internet底層TCP/IP網絡協議安全性的影響,如果底層TCMP網絡協議受到攻擊,那么上層應用也會存在安全隱患;黑客技術和解密工具在網絡上無序傳播,而給一些不法分子利用這些技術來攻擊網絡;軟件的更新周期較長,而極有可能使得操作系統和應用程序出現新的的攻擊漏洞;網絡管理中的法律法規不健全,各種條款的嚴謹性不足,而給管理工作帶來不便,對于法規的執行力度不足,缺乏切實可行的措施。
2對企業辦公網絡安全造成威脅的因素
對辦公網絡的信息安全實施有效的保護有著非常重要的意義,但同時也存在著一定的難度。由于網絡技術自身存在很多不足,如系統安全性保障不足。沒有安全性的實踐等,而使得辦公網絡不堪一擊。除了自然災害會給辦公網絡埋下巨大的安全隱患外,還有計算機犯罪、黑客攻擊等因素也是影響網絡信息安全的不穩定因素。
2.1自然災害造成的威脅
從本質上來說,企業辦公網絡的信息系統就是一臺機器,根本不具備抵御自然災害、溫度、濕度等環節因素影響的能力,再加上防護措施的欠缺,必然會加大自然災害和環境對辦公網絡信息的威脅。最常見的就是斷電而造成的影響,會使得正處于運行狀態中的設備受到損害或者導致數據丟失等情況的發生。
2.2網絡軟件漏洞造成的威脅
一般來說,網絡軟件自身就存在著一些不可避免的漏洞,而給黑客攻擊提供了便利,黑客會利用這些軟件漏洞對網絡實施攻擊,在常見的案例中,網絡安全受到攻擊的主要原因就是由于網絡軟件不完善。還有一些軟件編程人員,為了自身使用方便而設置“后門”,一旦這些“后門”被不法分子找到,將會造成不可預料的后果。
2.3黑客造成的威脅
辦公網絡信息安全遭受黑客攻擊的案例數不勝數,這些黑客利用各種計算機工具,對自己所掌握的系統和網絡缺陷下手,從而盜取、竊聽重要信息,或者攻擊系統中的重要信息,甚至篡改辦公網絡中的部分信息,而造成辦公網絡癱瘓,給企業造成嚴重的損失。
2.4計算機病毒造成的威脅
計算機病毒會以極快的速度蔓延,而且波及的范圍也非常廣,一旦爆發計算機病毒將會造成不可估計的損失。計算機病毒無影無形,以依附于其他程序的形式存在,隨著程序的運行進一步侵入系統,并迅速擴散。一旦辦公網絡被病毒入侵,會降低工作效率,甚至導致系統死機,數據丟失等嚴重情況的發生。
3如何加強辦公網絡中的網絡安全
3.1數據加密
數據加密技術指的是通過加密鑰匙和加密函數轉化,將信息處理成為無意義的密文。而接收方再通過解密鑰匙和解密函數,將密文還原成為明文。加密技術是網絡安全技術的基石。加密的原理就是改變數據的表現形式,而目的就是確保密文只能被特定的人所解讀。一個加密網絡,不僅可以實現對非授權用戶的搭線竊聽和入網的阻攔,而且還能有效的防止惡意軟件的入侵。一般的數據加密可以在通信的三個層次來實現,分別是鏈路加密、節點加密和端到端加密。
3.2建立網絡管理平臺
現階段,隨著網絡系統的不斷擴大,越來越多的技術也應用到網絡安全當中,常見的技術主要有防火墻、入侵檢測、防病毒軟件等。但不足的就是這些系統都處于獨立地工作狀態,要保證網絡安全以及網絡資源能夠被充分利用,應當為其提供一個經濟安全、可靠高效、功能完善的網絡管理平臺來實現對這些網絡安全設備的綜合管理,使其能夠充分發揮應有的功能。
3.3設置防火墻
最近幾年,水利部門根據水利工作的實際狀況,在對治水經驗和實際操作進行總結的過程中,提出要轉變過去的水利發展道路,堅持走可持續發展水利道路,建立水利現代化的發展道路。隨著水利事業的不斷發展和變革,水利信息化構建也取得了一定的成績,逐漸轉變成為水利現代化的主要力量。根據國家防汛抗旱指揮系統中的一期工程城市水資源的監控管理,水利電子政務的相關項目和大型灌區信息化試點等重要工程的順利完成,水利信息化基礎設備也在不斷的健全,對業務的使用能力也在逐漸加強。防汛抗旱,城市水資源的監控管理,水利電子政務和全國水土保持監管信息體系等業務也開始應用到實際生活中。在水利信息化基礎構建和業務不斷拓展的過程中,相關的保證水利信息化安全的體系也逐漸形成。
2強化水利網絡信息安全的解決措施
網絡和信息的安全隱患問題,使得水利信息化的發展受到阻礙,所以要及時的進行預防,綜合治理和科學管理,逐漸增加信息的安全性,加強其中的保護能力,保證水利信息化的持續運行。
2.1加強信息安全管理
信息安全規劃包含了技術、管理和相關法律等多個層面的問題,是穩定網絡安全、物理安全、資料安全和使用安全的關鍵因素。信息安全規劃不但依賴于信息化的管理,還是信息化形成的重要力量。在信息安全管理的過程中,信息系統安全構建和管理要更加具有系統性、整體性和目標性。
2.1.1以信息化規劃為基礎,構建信息化建設
信息安全是在信息化規劃的基礎上,對信息安全進行系統的整理,是信息化發展的主要力量。信息安全規劃不但要對信息化發展的實際情況進行深入的分析和研究,更好的發現信息化中存在的安全隱患,還要根據信息化規劃以及信息化發展的主要戰略和思路,有效的處理信息安全的問題。
2.1.2構建信息安全系統
信息安全規劃需要從技術安全、組織安全、戰略安全等方面入手,構建相關的信息安全系統,從而更好的保證信息化的安全。
2.2日常的運維管理
2.2.1注重網絡的安全監控
網絡的飛速發展使得水利網絡安全和互聯網安全關系更加緊密。所以,注重互聯網安全監控,從而及時的采取相關的安全防護措施,是現在日常安全管理工作中的主要內容。
2.2.2安全狀態研究
網絡信息安全是處于不斷變化的過程中,需要定時對網絡安全環境進行整體的分析,這樣不但可以發現其中的問題,還可以及時的采取相關的措施進行改正。安全態勢主要是利用網絡設備、主機設備、安全設備和安全管理工具等策略來進行信息的處理,通過統計和分析,綜合評價網絡系統的安全性,并且對發展的狀態進行判斷。
2.2.3信息安全風險評估
風險評估是信息安全管理工作中的重要部分。通過進行風險評估,可以及時的發現信息安全中的問題,并且找到積極有效的解決措施。安全風險評估的主要方法是:(1)對被評估的主要信息進行確定;(2)通過本地審計、人員走訪、現場觀看、文檔審閱、脆弱性掃描等方法,對評估范圍中的網絡、使用和主機等方面的安全技術和信息進行管理;(3)對取得的信息資料進行綜合的分析,判別被評估信息資產中存在的主要問題和風險;(4)從管理體制、管理措施、系統脆弱性判別、威脅研究、漏洞和現有技術等方面,根據風險程度的不同,分析和管理相關的安全問題;(5)根據上面的分析結果,建立相關的信息安全風險評估報告。
2.2.4應急響應
所謂的應急響應就是信息安全保護的最后一道屏障,主要是為了盡量的減少和控制信息安全所造成的嚴重影響,進行及時的響應和修復。應急響應包含了前期應急準備和后期應急響應兩個部分。前期應急準備主要有預警預防制度、組織指導系統、應急響應過程、應急團隊、應急器械、技術支持、費用支持等應急措施,并且定時進行應急演練等。后期應急措施主要有檢查病毒、系統防護、阻斷后門等問題,對網絡服務進行限制或關閉以及事后的恢復系統等工作。通過兩個部分的不斷配合,才能更好的發揮應急響應的重要作用。
2.3教育培養
人是信息安全的主要力量,其中的知識構造和使用能力對信息安全工作有著重要的影響。強化信息安全管理人員的專業素養,及時的進行信息安全教育,提升人們的信息安全意識,從而有效的減少信息安全問題的出現。
3總結
信息安全素質指的是社會成員所具備的信息安全素質。在檔案信息管理領域里,該項素質就是指檔案管理者對于網絡環境中的電子文件信息安全意識、能力。
2檔案管理工作者信息安全素質現狀
2.1信息化管理意識欠缺
檔案管理者對于檔案信息化的認識比較淺,不能夠將電子文件作為我國的一項戰略信息資源,不能夠對檔案信息網絡安全有較深的意識,在自己的日常工作中就不能夠去有意識的進行預防,積極的應對,這是導致信息化管理意識比較緩慢的主要原因。
2.2信息化管理專業基礎知識相對薄弱
信息技術的日新月異,已經掌握的技能方法如果不及時更新就會很快過時。檔案工作者不是信息技術專業人員,信息安全意識的缺乏使他們雖然意識到自身信息安全技能的不足,但由于缺乏強制性的提升專業水平的制度要求和定期的培訓機制,使他們的信息安全能力與實際工作要求的差距越來越大。對于老的檔案管理者雖然掌握了檔案管理知識,但是缺乏信息技術能力,不少掌握信息技術的年輕檔案工作者有的雖然掌握信息技術,但是又缺乏檔案管理知識,而有的年輕的檔案管理者由于在待遇、職稱、前景等問題上的偏差認識而主動改行從事其他工作,使得整體信息技術水平偏低的檔案部門更加缺乏掌握信息技術的人才。
3提高檔案工作者信息安全素質的對策
3.1提升檔案管理者的工作敏銳性,增加責任感
信息化時代大環境下,有很多的新領域和載體出現,在檔案界引起了一些改變,同時也是提升了對檔案管理人員的素質要求,我們要對檔案管理工作的基礎性有一個比較深刻的認識,將工作的重點置于服務和管理上,通過轉變工作的著力點來提升管理能力和服務效率,改善觀念,將檔案管理的綜合功能較好的發揮出來,對現有的領域進行拓展,變更服務模式,迎合現代檔案需求,不斷的開創進取,讓檔案管理可以為經濟發展和社會發展提供幫助。
3.2提升檔案管理人員的專業素質和水平
為檔案工作者進行信息安全素質培養。對新入的檔案工作者以及現有的檔案管理者進行培訓,針對他們的不同薄弱環節進行加強,增加檔案管理知識,提升檔案管理水平。根據不同崗位來進行任務的分配,根據檔案人員自身的差異性來編排培訓時間和內容,對培訓結果進行考核。檔案工作者在具備了一定的信息安全技術之后,需要對自己所需要承擔的社會責任以及義務有明確的認識,能夠知法、懂法、遵法,自覺的對違法行為進行監督管理,對知識產權和隱私給予保障,使用信息安全技術來提升檔案管理效率和安全性。
3.3對檔案信息管理制度進行強化
現在我國已經存在一些信息安全標準以及相關規定,可是這些規定尚處于初期,并不完善,存在很多的問題,還有很多的內容需要在探索中完善,這些標準和規定中涉及到檔案信息管理者的信息安全素質的要求和內容,這也就導致了實際的問題還無法獲得解決,因此無法將我國檔案管理者信息安全素質差的現狀給扭轉過來。因此需要將檔案信息管理制度進行強化,對現有的內容和標準進行完善,對檔案管理工作者進行標準制定,結合當前的檔案管理工作,選用優秀的檔案管理人員,引入優秀的檔案管理人才,提升檔案隊伍的整體水平。還有就是對檔案管理工作者的專業技術職務進行考核,將信息素質作為考核的項目之一,督促檔案工作者能夠自主的進行檔案信息管理內容的學習,根據崗位差異來具體的調整制度,方便其執行。
4結語
傳統信息安全風險主要包括3個要素:①資產,它是信息系統內部需要保護的重要資源或信息;②威脅,它是來自攻擊者的惡意攻擊,可能造成信息資產重大損失或外流的潛在因素;③脆弱性,它是信息系統內部容易被攻擊的薄弱環節。實際的信息安全風險評估建立的模型對這3個要素有所深化和發展,并應用于信息安全的標準化制定中。
(1)國際標準ISO15408。
該標準強調人為因素的作用,將信息系統的“屬主”從籠統的“資產”要素中分離出來,將“攻擊者”從籠統的“威脅”要素中分離出來。該標準除了上述3個要素以外,還考慮漏洞、風險和措施這3個要素。
(2)國際標準ISO13335。
該標準細化了風險評估指標體系。它除了考慮“資產”要素以外,還考慮“資產價值”要素;除了考慮“防護措施”要素以外,還考慮“防護需求”要素,進一步強調了系統中要素的屬性。此外,該標準還考慮到威脅、脆弱性、風險等3個一級指標,7個要素。
(3)國務院信息化工作辦公室制定的《信息安全風險評估指南》。
它引入了“使命”要素,從源頭上強調了信息風險管理工作的驅動力;引入了“殘余風險”要素,強調了安全防范不可能一蹴而就,需要不斷改進;同時引入了“事件”要素,強調了對突發事件的預判,比ISO13335擴展了3個要素,建立了適合中國國情的10個要素的信息安全風險評估標準。開展信息安全風險的評估一般分為5個步驟。①評估準備階段,主要是明確風險評估的目的和意義,制定評估方案,確定評估模型等。②要素識別階段,主要是按照上級制定的標準,結合被評估對象的實際情況,識別信息安全風險評估的各個要素,同時根據權威標準的一級指標體系合理擴展為可以測度的二級指標體系。③測度匯總階段,主要是使用二級指標體系進行測度,給出評估分值,并使用合適的數學模型進行匯總評分。④風險分析階段,主要是根據二級指標體系的評分結果和數學模型計算分析結果,綜合進行風險判斷,分析外部威脅和內部漏洞的危險程度,計算各指標蘊含的安全風險。⑤落實整改階段,主要是通過評估工作的匯報驗收,找到風險根源,落實整改措施,不斷調整完善,提高系統抗風險的能力。
2兩類信息安全風險綜合評估指標體系
安全風險評估和預警工作中,指標體系的建立既很重要,也有很強的科學性。構建信息安全風險評估指標體系需要掌握以下7項原則:①目的性原則。建立評估指標體系的根本目的是有效防范信息安全風險。②科學性原則。指標體系必須科學有效地反映信息安全風險的所有特點。③系統性原則。建立的評價指標體系必須協調統一,層次合理,最大限度地反映信息安全風險的基本特點。④重要性原則。抓住反映信息安全風險本質特點的主要因素來設計指標,該指標體系必須能突出主要風險因素,建立重點突出,簡明實用的指標體系。⑤互斥性原則。要求指標間相互獨立,避免太多的涵蓋等出現而導致指標內涵的重復。同時指標相互間又有密切聯系,需要一些不同角度指標的設置來互相檢驗、彌補。⑥層次性原則。對評估的目標進行層次分解,使結構清晰,容易分析,邏輯性和科學性強,提高評估結論的可信度。⑦操作性原則。指標體系的各指標必須是可以采集的和可以量化的,數據應通過可靠來源直接或間接的獲取,評估指標應盡量避免難以獲得的參數。根據上述信息安全風險評估標準和評估原則,結合被評估對象的實際情況,將兩類安全風險綜合起來,建立綜合評估的指標體系。技術風險按照資產/業務、技術脆弱性、威脅3個方面組織指標設計。在一般計算機系統中,其脆弱性方面也可以進行展開。之所以列出兩個表格,旨在指出這方面的指標系統設計不是唯一的,可以根據上述原則,結合具體環境和條件進行設計。非傳統的信息安全風險的評估,主要是指利用人的弱點產生的風險,一般體現在內部管理上的疏忽與過失,以及外部的蓄意攻擊和陰謀策劃。一般計算機系統可以進行展開。建立兩類信息安全評估二級指標體系是一個方面,運用數學模型進行安全風險分析是更重要的一個方面。李成耀很早就研究了多層協議和多層結構的網絡信息安全分層模型;羅帆等運用N-K模型分析了安全耦合風險;楊亞東等使用一般層次分析法(AHP)為安全監管系統建立了風險評價指標體系和綜合評估模型。結構方程模型在這些模型中獨樹一幟,它既可以進行指標體系的匯總與路徑影響分析,還可以深入分析某些因素之間的中介效應、調和效應和交互效應。筆者采用結構方程模型(SEM)進行兩類信息安全風險綜合評估,其數學表達和計算可以參見文獻[13]。其提出了一種新的確定性算法,克服了傳統的偏最小二乘算法與協方差擬合算法需要反復迭代的弱點,并且可以使用DASC軟件實現計算。結構方程模型是針對一般信息系統的非傳統信息安全風險評估而設立的,它很容易改寫為適應其他二級指標體系的模型,使用DASC軟件很容易實現數學計算。
3兩類信息安全風險的綜合防范
信息安全風險評估的目的在于防范,不同的信息系統在不同的環境下,風險防范措施很不一樣。最近制定的信息系統安全風險評估的國內標準(GB/T9387-2)以及國際標準(ISO7498-2)都明確規定,信息安全實現主要以構筑防火墻、建立入侵檢測系統、災難備份和應急響應系統、物理隔離系統、殺毒軟件包等方式實現。物理隔離系統是絕對的隔離,效果比較理想。防火墻以及網關主要應用于專用網絡與公用網絡的互聯環節,技術復雜并在不斷改進更新。入侵檢測系統把系統的安全管理能力擴展到新的范圍,引入了模式匹配、實時檢測與響應等技術,使得信息系統建設得越來越復雜和龐大。非傳統信息安全風險的防范,從宏觀管理的角度主要考慮如下幾個方面:①健全法規標準,加強高層對于信息安全的統一協調,加快安全標準制定。②建立信任機制,建立服務商之間、服務商與用戶之間的信任關系,將是解決信息系統外部交流安全問題的根本。③發展關鍵技術,建立保證信息安全的技術體系,包括數據安全、可信計算和隱私保護技術等關鍵技術。④加強監督管理,著眼長效監管,完善應急機制,強化日志審計管理,提高溯源審查能力。非傳統信息安全風險的防范,從個體心理的角度主要考慮如下幾個方面:①加強心理防范,主要克服攻擊者往往利用人的好奇心和虛榮心等弱點。②定期安全培訓,讓全體員工熟悉了解新的攻擊者利用社會工程學的伎倆,學會防范非傳統信息安全風險。③區分友誼責任,明確友誼必須有一定的信任基礎。④提高安全意識,管理部門要制定更為嚴格的安全方案,同時落實到每一個員工。⑤實時事故響應,一旦發生信息安全事故,立即啟動應急方案,除了檢查技術漏洞和損失以外,特別要對利用社會工程學的攻擊做出實時反應。
4結論
