時間:2023-04-10 11:05:01
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網(wǎng)絡信息安全教育,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
(1)對大學生的網(wǎng)絡信息安全教育的關(guān)注程度較低
誠然,網(wǎng)絡信息安全教育早已成為新時期教育的主題,目前,各方對安全教育的重視程度仍顯不足,表現(xiàn)在:首先,盡管越來越多的學校已正式開設信息安全教育活動,并作為整個高校管理工作的組成內(nèi)容,然而,幾乎沒有高校將信息安全教育納入到教學規(guī)劃中。從這個視角看,高校自身對信息安全教育的關(guān)注程度仍較低;其次,進行信息安全教育的方式不明確,教育實施方案欠完善,例如,一些高校將信息安全教育歸入到學校安全小組的職能范圍中,部分大學生將其納入到學生處的工作職責中,高校對于信息安全教育工作的順利進展尚未形成強大的合力。
(2)對大學生網(wǎng)絡信息安全教育的觀念相對滯后
在當下,高校對于信息安全教育的各種觀念相對滯后,表現(xiàn)在兩方面:其一,未能將培養(yǎng)綜合素質(zhì)高尚的新型人才同做好大學生的信息安全教育緊密聯(lián)系在一起,誠然,大學生信息安全教育工作的成功進行離不開社會各界的廣泛支持,同時也需綜合素質(zhì)過硬的新型人才做后盾;其二,對信息安全教育的認識落后于網(wǎng)絡發(fā)展的客觀形勢,網(wǎng)絡信息技術(shù)的迅猛發(fā)展,亟需高校不失時機地抓緊抓好對大學生的信息安全教育,確保大學生的理想信念不動搖,以同資產(chǎn)階級領域的意識形態(tài)徹底分裂開來。(3)網(wǎng)絡信息安全教育的說服力度不夠目前,一批高校在信息安全教育過程中,所選用的教科書過于偏重理論探究,缺乏對大學生防范信息安全風險的技能培養(yǎng),對大學生的說教僅停留于教材理論的層面,尚無法完全說服提升自我防范意識;除此以外,個別高校開展信息安全教育的手段十分老套,仍延續(xù)陳舊的方式方法,無法使學生對該項教育產(chǎn)生興趣。
2強化大學生網(wǎng)絡信息安全教育的有效途徑和方法探析
(1)綜合利用多種教育方式搞好教育工作
網(wǎng)絡信息安全教育的方式切忌單一化,否則,會難以獲得大學生的有效配合。有鑒于此,首先,高校要充分借助于學校的輿論及傳媒工具,利用校報、校園廣播網(wǎng)路、校園內(nèi)部的宣傳欄等多種途徑開展規(guī)范的信息安全教育,引領大學生在潛移默化中接收正確的信息安全知識,使信息安全教育取得立竿見影的效果;其次,要依靠行政手段,通過定期舉辦各類會議開展教育活動;第三,可借由網(wǎng)絡的交互性平臺,開設網(wǎng)絡論壇,為師生之間的雙向經(jīng)驗交流提供新渠道;第四,通過教育的形式,舉辦信息安全經(jīng)驗研討會、信息安全常識競賽、安全常識講座等搞好教育工作。
(2)引領學生踴躍參加網(wǎng)絡信息安全的教育教學實踐
信息安全教育決不能僅停留在教材理論灌輸?shù)膶用妫€要將書本理論同教學實踐緊密結(jié)合起來。高校要不斷地激勵、鞭策學生投身于實踐中,使其均能發(fā)揮主觀能動性解決實際問題。大學生要具備這種能力,有賴于學校創(chuàng)設良好的實驗環(huán)境,所以說,高校可在計算機專業(yè)設置信息安全教育實驗室,該實驗室的創(chuàng)建要以網(wǎng)絡環(huán)境為前提,從連接到互聯(lián)網(wǎng),對內(nèi)單獨設定網(wǎng)絡群,并安置若干應用普遍的信息安全設備及系統(tǒng),根據(jù)較常見的信息安全問題,模擬信息安全實驗環(huán)境,這不單為計算機專業(yè)的大學生創(chuàng)造必備的教學實踐機會,更能充當高等學校開展系統(tǒng)地信息安全教育的實訓基地。
(3)就網(wǎng)絡信息安全教育設置專業(yè)化的課程
網(wǎng)絡信息的安全教育是一個理論同實踐緊密聯(lián)系的學習過程,如若在教育中更直觀地體現(xiàn)學以致用、用以促學的原則理念,勢必會贏得大學生們的積極肯定和響應。有鑒于此,高校要設置專業(yè)化的網(wǎng)絡信息安全課程,為全體大學生提供全面地、詳細地了解和掌握信息安全常識的機會。高校要著力打造一支業(yè)務過硬、專業(yè)本領過強的師資團隊,要在教材的編撰上體現(xiàn)“網(wǎng)絡法制教育”的原則,學生們需按照各項網(wǎng)絡法律規(guī)范的要求,預防和杜絕一切網(wǎng)絡違法行為,通過網(wǎng)絡普法教育,使學生們的網(wǎng)絡法律意識得到有序提升,在利用網(wǎng)絡時,便會正確地分辨是與非、錯與對,做出合乎法律規(guī)章的行為。
(4)健全完善網(wǎng)絡信息安全教育的長效運行機制,狠抓落實
完善高等院校的網(wǎng)絡信息安全教育機制,首要的任務便是在全校范圍內(nèi)設立信息安全教育指導機構(gòu),擔負起對學生進行系統(tǒng)的信息安全教育的任務,明確教育內(nèi)容,編制詳盡的安全教育實施規(guī)劃,加大落實力度,安排富于經(jīng)驗的專業(yè)教師親自講授,并對教學效果進行科學考核。為抓緊落實,高校可把信息安全教育統(tǒng)一歸入教學規(guī)劃之中,在校教務處的統(tǒng)一領導和正確指揮下有條不紊地開展各項教育活動。
3結(jié)語
信息安全意識淡薄
以我們對唐山所在高校大學生的調(diào)查為例,有28.6%的學生由于計算機安全方面的事件對自己造成了不同程度的損失,造成網(wǎng)絡安全事件發(fā)生的主要原因有37.5%的學生選擇不清楚,由于未防范軟件漏洞導致發(fā)生安全事件的占總數(shù)的45.2%,登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占35.1%,足見學生的安全防范意識之薄弱。盡管如今眾多專家學者已經(jīng)認識到高校屬于信息安全高危環(huán)境,但只有少數(shù)高校進行這方面意識的培養(yǎng),也很少有高校能夠達到指導教工和學生清楚地認識到信息系統(tǒng)安全在現(xiàn)有科技和新興科技中所扮演的重要角色。一些學校中開展的尚不健全且目的不明確的教學研究項目可以反映出當前信息安全意識教育在高校中的地位很低。與此相反,信息技術(shù)的進步卻不斷要求學生具備更多信息安全的知識。顯然,這兩方面已經(jīng)成為了一對尖銳的矛盾,學術(shù)界的相關(guān)研究也常常陷入孤軍奮戰(zhàn)的尷尬境地。多數(shù)研究局限于信息安全對于軍事的價值和意義,工業(yè)、商業(yè)、社會生活等方面的用途沒有得到應有的關(guān)注和投入。這種全民信息安全意識的缺乏將造成一個惡性循環(huán),高校的大學生走向社會必將成為未來企業(yè)中的中流砥柱,由于網(wǎng)絡安全意識的缺乏,可能在毫無察覺的情況下將重要的商業(yè)信息暴露于危險之中,或者在遇到這種不利的處境時束手無措,而給公司造成不必要的損失。
網(wǎng)絡信息安全教育明顯滯后
也以我們對唐山高校的調(diào)查為例,發(fā)現(xiàn)學校網(wǎng)絡信息安全教育滯后。滯后的情況有以下幾種:第一是對學生信息安全教育滯后于形勢的發(fā)展。學校沒有充分認識到快速發(fā)展的網(wǎng)絡已經(jīng)延伸到了校園的各個角落。搞好大學生網(wǎng)絡信息安全教育,不但可以保證大學生身心健康發(fā)展,也是培養(yǎng)優(yōu)質(zhì)人才的需要。第二是高校加強大學生網(wǎng)絡信息安全教育與培養(yǎng)健康、理性的高素質(zhì)合格人才的關(guān)系處理不當。搞好大學生網(wǎng)絡信息安全教育,不但能提高大學生自我防御、免受不良信息的侵害的能力,同時也避免大學生本身違法犯罪行為的發(fā)生。也是高校保證其“產(chǎn)品”高質(zhì)量、高出品率的至關(guān)重要的因素。第三是未能處理好安全教育課程與其他專業(yè)課程設置的關(guān)系。不少高校片面認為大學生安全信息教育不是學校教學內(nèi)容可有可無,因而大學生的安全信息教育也就不能列入學校的教學日程。在接受調(diào)查的大學生中有36.5%的同學表示,學校的信息安全教育不系統(tǒng)。
對大學生網(wǎng)絡信息安全教育缺乏重視程度
學校的重視程度如何,直接影響大學生的信息安全意識的水平。通過我們的調(diào)查,發(fā)現(xiàn)在各個高校有不同程度的欠缺:第一是領導機制不健全。大多數(shù)學校沒有專門的信息安全領導或管理機構(gòu)。大學生信息安全教育采取什么樣的運行機制,以什么形式納入學校教學內(nèi)容,沒有明確的規(guī)定和安排,有的學校把大學生網(wǎng)絡信息安全教育放在各院系辦公室,有的放在學生處,教務處,有的放在保衛(wèi)處等等,從管理體制上沒有形成自上而下的統(tǒng)一。第二是沒有把大學生網(wǎng)絡信息安全教育作為學校教學工作的一部分。信息安全教育方面的專門課程、專業(yè)教師和教科書寥寥無幾。對大學生網(wǎng)絡信息安全教育一般也只是以報告、宣傳等方式零敲碎打,致使大學生獲取網(wǎng)絡信息安全教育渠道不暢通信息不全面系統(tǒng)。第三是沒有把大學生安全教育納入教學計劃。調(diào)查顯示,大多數(shù)學校沒有信息安全教育課程的教學計劃,信息安全教育的時間、內(nèi)容、教材、教師、教學效果等,都沒有統(tǒng)一的規(guī)劃。因此說,大學生信息安全教育在學校教學工作中一直沒有應有的位置。
大學生信息安全教育缺乏力度
主要表現(xiàn)在幾個方面:第一是制度不健全,沒有納入規(guī)范化、制度化的軌道。二是教育手段落后。多數(shù)高校教育手段都是老一套,沒有根據(jù)時代的發(fā)展而有所創(chuàng)新,脫離實際,對大學生沒有吸引力。三是缺乏系統(tǒng)性。教育過程比較隨意,而在法律規(guī)范、倫理道德和防范技術(shù)、安全意識等方面存在缺陷,沒有形成較完整的安全教育體系。(本文作者:單位:)
【關(guān)鍵詞】計算機;信息安全
隨著計算機網(wǎng)絡的不斷發(fā)展與普及,人類生活已經(jīng)入信息化、數(shù)字化時代,在我們的日常生活、學習、工作等諸多領域都有著網(wǎng)絡的痕跡,而目前獲取信息進行交流的主要手段也是網(wǎng)絡。眾所周知,一個國家國民教育程度的高低對整個國家國民素質(zhì)的發(fā)展有著重要的影響。因此,網(wǎng)絡化教育已經(jīng)成為教育發(fā)展的必然趨勢,國家的發(fā)展離不開教育,而教育的發(fā)展離不開網(wǎng)絡。然而,由于種種原因,網(wǎng)絡也有其不足之處,我們在進行網(wǎng)絡教育的過程中必然存在很多問題。為了提供一個安全可靠的網(wǎng)絡環(huán)境,在培養(yǎng)信息安全人才的同時,還必須加大網(wǎng)絡安全系統(tǒng)建設的投入,這是確保信息安全的關(guān)鍵。
網(wǎng)絡系統(tǒng)的信息安全是指防止信息被故意或偶然的非法泄露、更改、破壞或使信息被非法系統(tǒng)識別、控制等[4]。所以,強化網(wǎng)絡的信息安全,解決信息安全問題,才能使信息更加持續(xù)化,向健康的方向發(fā)展。
1. 目前學校網(wǎng)絡教育中信息安全教育存在的問題
當前,盡管全球信息化正在飛速發(fā)展,但信息在網(wǎng)絡上也面臨著隨時被竊取、篡改和偽造的危險,這就對保障信息安全帶來了很多挑戰(zhàn)。因此,我們在校園環(huán)境中也要認識到,現(xiàn)在學生上網(wǎng)已經(jīng)是一種非常普遍的現(xiàn)象,而虛擬的網(wǎng)絡環(huán)境在為學生的學習和生活提供廣闊發(fā)展空間的同時,也對學生的健康成長起著直接或間接的負面影響,例如計算機病毒、黑客攻擊等現(xiàn)象。如果不能正確引導學生認識,那么學生對于網(wǎng)絡信息安全的理解就會走向誤區(qū)。下面將針對網(wǎng)絡教育中存在的信息安全問題做簡單論述:
1.1 對信息安全教育的認識不足。
加強學校信息安全教育,不僅是保證學生身心健康發(fā)展的關(guān)鍵,也是同其他國家爭奪人才的需要。目前很多學校未能意識到網(wǎng)絡信息安全教育的重要性,不能深刻理解其內(nèi)涵,因此,從現(xiàn)在開始就要培養(yǎng)學生對網(wǎng)絡信息安全重要性的認識,掌握信息安全體系中最基本的原理和概念,能夠熟練運用常用的工具和必要手段進行安全故障的排查等等[5]。我們要最大限度地保證學生免受不良信息的侵害,盡量避免學生自身違法犯罪的發(fā)生,為我國培養(yǎng)高素質(zhì)、高水平人才提供保障。
1.2 對網(wǎng)絡信息安全教育的重視力度不夠。
目前很多學校對于如何將信息安全教育正規(guī)、科學的納入到學校教學計劃,還沒有做出明確的規(guī)定。有些學校甚至只對個別專業(yè)的學生開設相關(guān)的信息安全教育課程,普及面非常狹窄,重視程度遠遠不夠,導致學生對計算機軟件和硬件知識體系的了解相當缺乏。為了全面提高我國高素質(zhì)人才的計算機信息安全意識,我們不能僅僅對計算機專業(yè)的學生普及信息安全教育,還要將這項教育推廣到非計算機專業(yè),這對于增強我國經(jīng)濟社會全面信息化建設具有十分重要的保障作用。
1.3 對學校信息安全教育采用的方法不當。
很多學校所采用的信息安全教育的方法比較落后,依舊沿用老方法,跟不上當今網(wǎng)絡時代快速發(fā)展的要求,脫離了實際。大部分的教材只局限于理論的講述,而忽視了對信息安全技能方面的培養(yǎng),缺少必要的實踐經(jīng)驗,嚴重影響了信息安全教育的效果。
2. 計算機網(wǎng)絡系統(tǒng)本身存在的主要信息安全問題
由于計算機網(wǎng)絡的重要性和對社會活動的影響越來越大,大量數(shù)據(jù)需要進行存儲和傳輸,某些偶然的或惡意的因素都有可能對數(shù)據(jù)造成破壞、泄露、丟失或更改。以下內(nèi)容主要是論述計算機網(wǎng)絡系統(tǒng)中本身存在的信息安全問題,并針對這些問題進一步提出了解決的策略。
2.1 影響計算機網(wǎng)絡安全的因素有多種,主要是自然因素和人為因素。自然因素是指一些意外事故,例如服務器突然斷電等;人為因素是指人為的入侵和破壞,這種情況危害性大且隱藏性較強。
2.2 無意的損壞,例如系統(tǒng)管理員安全配置不當而造成的安全漏洞,有些用戶安全意識不強、口令選擇不慎、將自己賬戶隨意轉(zhuǎn)借他人或與他人共享資源等帶來的安全問題。
2.3 有意的破壞,例如黑客利用網(wǎng)絡軟件設計時產(chǎn)生的漏洞和“后門”對電腦系統(tǒng)的非法惡意攻擊,從而使處于網(wǎng)絡覆蓋范圍的電腦系統(tǒng)遭到非法入侵者的攻擊,有些敏感數(shù)據(jù)就有可能被泄露或修改,這種破壞主要來自于黑客。
2.4 網(wǎng)絡黑客和計算機病毒是造成信息安全問題的主要原因。網(wǎng)絡黑客和計算機病毒的出現(xiàn)給計算機安全提出了嚴峻的挑戰(zhàn),因此要解決此問題,最重要的一點是樹立“預防為主,防治結(jié)合”的思想,牢固樹立計算機安全意識,防患于未然,積極地預防黑客的攻擊和計算機病毒的侵入[4]。而病毒則以預防為主,主要是阻斷病毒的傳播途徑。
3. 網(wǎng)絡信息安全的防范措施
3.1 加強計算機防火墻的建設。
所謂計算機防火墻是由軟件和硬件設備組成、在內(nèi)網(wǎng)和外網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。它是一種計算機硬件和軟件的結(jié)合,保護內(nèi)部網(wǎng)免受非法用戶的入侵,能夠保護計算機系統(tǒng)不受任何來自“本地”或“遠程”病毒的危害,向計算機系統(tǒng)提供雙向保護,也防止“本地”系統(tǒng)內(nèi)的病毒向網(wǎng)絡或其他介質(zhì)擴散[2]。
3.2 建立一個安全的網(wǎng)絡系統(tǒng)。
3.2.1 從技術(shù)上保障可行的資源保護和網(wǎng)絡訪問安全,主要包括網(wǎng)絡身份認證,數(shù)據(jù)傳輸?shù)谋C芘c完整性,域名系統(tǒng)的安全,路由系統(tǒng)的安全,入侵檢測的手段,網(wǎng)絡設施防御病毒等。如加密技術(shù),它是電子商務采取的主要安全保密措施,是最常用的安全保密手段,是利用技術(shù)手段把重要的數(shù)據(jù)變?yōu)閬y碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)的一種技術(shù)。
3.2.2 詳細了解當前存在的網(wǎng)絡信息安全問題,以及網(wǎng)絡信息安全的攻擊手段,積極采取相應的有效措施進行解決。
3.2.3 要從工作環(huán)境以及工作人員、外來人員方面切實做好保密工作,要有嚴格的崗位考核管理制度,對工作人員的安全意識要經(jīng)常培訓,以便從物理上斷絕對網(wǎng)絡安全的威脅。
3.2.4 用戶本身方面,要有強烈的自我保護意識,對于個人隱私及與財產(chǎn)有關(guān)的相關(guān)信息要做好保密工作,不能輕易告知他人。
3.2.5 要對網(wǎng)絡外部運行環(huán)境(溫度、濕度、煙塵)進行不定期的檢測、檢查和維修,提供一個良好、暢通的外界環(huán)境。
隨著信息化進程的加快和網(wǎng)絡安全行業(yè)的快速發(fā)展,網(wǎng)絡教育在學校教育中扮演著越來越重要的角色,推動新的教育模式不斷向前發(fā)展。同樣,我們也面臨著新的威脅,因此我們必須運用新的防護技術(shù)。網(wǎng)絡信息安全是一個系統(tǒng)的工程,我們不能僅靠硬件設備(殺毒軟件、防火墻、漏洞檢測)等的防護,還應意識到計算機網(wǎng)絡系統(tǒng)是一個人機系統(tǒng),計算機是安全保護的對象,但執(zhí)行保護的主體是人,只有樹立人的計算機安全意識,才有可能防微杜漸,同時還要不斷進行網(wǎng)絡信息安全保護技術(shù)手段的研究和創(chuàng)新,從而使網(wǎng)絡信息能安全可靠地為廣大用戶服務。
參考文獻
[1] 葉炳煜.淺論計算機網(wǎng)絡安全[J].電腦知識與技術(shù),2009,(03)
[2] 閻慧.防火墻原理與技術(shù)[M] .北京:機械工業(yè)出版社,2004
[3] 張紅旗.信息網(wǎng)絡安全[M].北京:清華大學出版社,2002
[4] 袁家政.計算機網(wǎng)絡安全與應用技術(shù)[M].北京:清華大學出版社,2003
[關(guān)鍵詞] 信息 安全技術(shù) 教育
我們都知道一個政治經(jīng)濟學定律:生產(chǎn)力決定生產(chǎn)關(guān)系。根據(jù)這個定律,可以把人類文明分為三種:農(nóng)業(yè)社會文明,工業(yè)社會文明,信息社會文明。農(nóng)業(yè)文明使用的工具是鐮刀、鋤頭,代表者是農(nóng)民;工業(yè)文明使用的主要工具是錘子、機器(馬克思說過,農(nóng)業(yè)社會是水推磨,工業(yè)社會是機器磨),代表者是工人;信息社會文明使用的主要生產(chǎn)工具是計算機,代表者是知識分子。從世界范圍來看,農(nóng)業(yè)文明中國領先,工業(yè)文明中國落后,信息文明則全球在行動,這是大趨勢。信息社會的根本是重視教育、重視人才。
信息社會文明從技術(shù)上講有三個技術(shù)很重要:以CPU為核心的技術(shù)、操作系統(tǒng)技術(shù)、信息安全技術(shù)。三大技術(shù)中前兩大技術(shù)國外暫時領先,我們不能掉以輕心,仍有追擊之力。對于第三項信息安全技術(shù),我們是大有希望占有較大技術(shù)份額,甚至有可能領先。試想:在整個信息化文明到來時,作為一個占全世界人口四分之一的民族,核心技術(shù)又一舉占先,數(shù)字化經(jīng)濟、信息化社會將垂涎于整個國家和民族。那么國家的綜合勢力必定大上一個臺階。
1 信息安全概述
隨著現(xiàn)代通信技術(shù)的發(fā)展和迅速普及,特別是計算機互聯(lián)網(wǎng)連接到千家萬戶,信息安全問題日益突出,而且情況也變得越來越復雜。信息安全本身包括的范圍很大,大到國家軍事政治等機密安全,小范圍的當然還包括如防范商業(yè)企業(yè)機密泄露,防范青少年對不良信息的瀏覽以及個人信息的泄露等。
在通信過程中,存在著人為因素和非人為因素造成的對通信安全的威脅。其中,以人為攻擊所造成的威脅最大。“攻擊”分被動攻擊和主動攻擊兩類。被動攻擊是不改變系統(tǒng)信息內(nèi)容以及系統(tǒng)狀態(tài)的一種攻擊。例如,以合法或非法手段竊取系統(tǒng)中的信息,或者通過對系統(tǒng)長期監(jiān)視和對有關(guān)參數(shù)的統(tǒng)計分析,從中掌握某些規(guī)律,或獲取有價值的信息情報等,都屬于這種類型。被動型攻擊主要威脅信息的保密性。主動攻擊意在竄改系統(tǒng)中所包含的信息內(nèi)容,或改變系統(tǒng)的狀態(tài)或操作。常見的攻擊手段有冒充、篡改、抵賴等。冒充是指非法用戶冒充合法用戶,特權(quán)小的用戶冒充特權(quán)大的用戶等;篡改是指采取刪除、偷換、添加信息內(nèi)容的辦法,以假亂真;抵賴是指通過否認自己曾過的消息或偽造、修改來信等手段來實現(xiàn)的欺騙。主動攻擊主要是威脅信息的完整性、可用性和真實性。
2 信息安全技術(shù)
針對上述攻擊,目前常用的保障通信安全的技術(shù)即信息安全技術(shù)主要有:
2.1 信息保密技術(shù)
信息保密技術(shù)是利用數(shù)學或物理手段,對電子信息在傳輸過程中和存儲體內(nèi)進行保護,以防止泄漏的技術(shù)。保密通信、計算機密鑰、防復制軟盤等都屬于信息保密技術(shù)。信息保密技術(shù)是保障信息安全最基本、最重要的技術(shù),一般采用國際上公認的安全加密算法實現(xiàn)。例如, 目前世界上被公認的最新國際密碼算法標準AES,就是采用128、192、256比特長的密鑰將128比特長的數(shù)據(jù)加密成128比特的密文技術(shù)。在多數(shù)情況下,信息保密被認為是保證信息機密性的唯一方法。它的特點是用最小的代價來獲得最大的安全保護。
2.2 信息確認技術(shù)
信息確認技術(shù)是通過嚴格限定信息的共享范圍來達到防止信息被偽造、篡改和假冒的技術(shù)。通過信息確認,應使合法的接收者能夠驗證他所收到的信息是否真實;使發(fā)信者無法抵賴他發(fā)信的事實;使除了合法的發(fā)信者之外,別人無法偽造信息。一個安全的信息確認方案應該做到:其一,合法的接收者能夠驗證他收到的消息是否真實;其二,發(fā)信者無法抵賴自己發(fā)出的信息;其三,除合法發(fā)信者外,別人無法偽造消息;其四,發(fā)生爭執(zhí)時可由第三人仲裁。按照其具體目的,信息確認系統(tǒng)可分為消息確認、身份確認和數(shù)字簽名。 例如,當前安全系統(tǒng)所采用的DSA簽名算法,就可以防止別人偽造信息。
2.3 網(wǎng)絡控制技術(shù)
常用的網(wǎng)絡控制技術(shù)包括防火墻技術(shù)、審計技術(shù)、訪問控制技術(shù)和安全協(xié)議等。其中,大家所比較熟悉的防火墻技術(shù)是一種允許獲得授權(quán)的外部人員訪問網(wǎng)絡,而又能夠識別和抵制非授權(quán)者訪問網(wǎng)絡的安全技術(shù)。它起到指揮網(wǎng)上信息安全、合理、有序流動的作用。審計技術(shù)能自動記錄網(wǎng)絡中機器的使用時間、敏感操作和違紀操作等,它是對系統(tǒng)事故分析的主要依據(jù)之一。訪問控制技術(shù)是能識別用戶對其信息庫有無訪問的權(quán)利,并對不同的用戶賦予不同的訪問權(quán)利的一種技術(shù)。訪問控制技術(shù)還可以使系統(tǒng)管理員跟蹤用戶在網(wǎng)絡中的活動,及時發(fā)現(xiàn)并拒絕“黑客”的入侵。安全協(xié)議則是實現(xiàn)身份鑒別、密鑰分配、數(shù)據(jù)加密等的安全機制。整個網(wǎng)絡系統(tǒng)的安全強度實際上取決于所使用的安全協(xié)議的安全性。
3 信息安全教育
為了保證信息安全,防范計算機犯罪,需要從技術(shù)、法律、管理和教育等方面著手,缺一不可。信息安全教育也是信息安全的重要組成部分。信息安全教育是一項新的安全工作,不僅是一個技術(shù)問題,更重要的是它對社會各方面可能產(chǎn)生重大影響。信息安全問題影響到整個社會,并逐漸成為社會的公共問題。抓好信息安全教育,進行有效管理,對維護社會的穩(wěn)定與發(fā)展具有深遠的意義。信息安全教育的比較內(nèi)容比較多,主要包括法規(guī)教育、安全基礎知識教育。
3.1 法規(guī)教育
法規(guī)教育是信息安全教育的核心。現(xiàn)代社會中,計算機的社會化程度正在迅速提高,大量與國計民生、國家安全有關(guān)的重要數(shù)據(jù)信息,迅速地向計算機系統(tǒng)集中,被廣泛地用于各個領域。同時計算機的脆弱性所導致的詐騙犯罪,已經(jīng)給計算機發(fā)達國家和公眾帶來嚴重損失和危害,成為社會關(guān)注的問題。因此,許多國家都在紛紛采取技術(shù)、行政和法律措施,加強對計算機的安全保護,建立了計算機安全管理、監(jiān)察和審計機構(gòu)。
3.2 安全基礎知識教育
安全基礎知識主要包括安全技術(shù)教育、網(wǎng)絡安全教育、運行安全教育,實體安全教育,所涉及的內(nèi)容既深又廣。正確使用計算機系統(tǒng)和規(guī)范上網(wǎng)操作是各行各業(yè)工作必備的基本技術(shù)素質(zhì)。
針對青少年的特點,重視學校和家庭教育,一是加強青少年的法制教育、愛國主義、政治思想教育,使青少年在思想上提高自我約束、自我保護的能力。二是積極創(chuàng)造條件,在普及網(wǎng)絡知識上下功夫,普及信息安全知識上加大投入,一方面促使青少年更好地學習信息安全知識,另一方面在學習的過程中提高青少年的水準。三是家長不但要有所意識,及早行動,通過提高自身素質(zhì),以便更好地教育、引導孩子,而且在情感方面也要不斷地與孩子交流。
4 結(jié)語
信息安全十分重要,但是絕對安全也是不可能的。因此,加強信息安全知識的普及和教育十分重要。結(jié)合信息安全的特殊性,加強長期培訓和短期培訓相結(jié)合,面對面?zhèn)魇诤途W(wǎng)上遠程教育相結(jié)合,尤其是重視對青少年的啟蒙和引導教育,為他們的智力、能力的發(fā)揮提供更吸引人的正確的信息安全教育平臺。
參考文獻
(湖北文理學院 數(shù)學與計算機科學學院,湖北 襄陽 441053)
摘 要:基于前期的問卷調(diào)查結(jié)果,提出大學生信息安全教育的教學內(nèi)容,說明教學案例和教學策略,介紹在新生計算機基礎課程中進行教學實踐的情況。
關(guān)鍵詞 :大學生;信息安全教育;案例驅(qū)動;教學實踐
基金項目:湖北省教育科學規(guī)劃研究項目(2013B202);湖北省高等學校省級教學研究項目(2014370)。
第一作者簡介:楊建強,男,副教授,研究方向為信息安全和無線網(wǎng)絡技術(shù),xfxy_yjq@126.com。
0 引 言
幾年前,國內(nèi)的一些學者已經(jīng)對大學生信息安全教育提出了一些建議[1-4]。但是,受多種因素影響,大學生的信息安全教育問題并未引起大多數(shù)高校的重視。盡管如此,智能手機和計算機在大學生中的普及,卻開始影響大學生對信息安全的認識。為了把握目前大學生的信息安全知識和安全意識情況,為大學生的信息安全教育提供參考,我們進行了問卷調(diào)查。結(jié)果表明,受電腦普及,特別是智能手機在學生中流行的影響,目前的大學生對信息安全知識有了一定的了解,具有一定的信息安全意識。不過,大學生的信息安全知識非常有限,缺乏系統(tǒng)性;他們的信息安全意識也不足以應付日益復雜的網(wǎng)絡環(huán)境。調(diào)查結(jié)果還表明,大學生普遍非常重視信息安全教育,希望通過計算機基礎課程學習信息安全知識,并建議采用案例驅(qū)動的教學方式[5]。基于調(diào)查結(jié)果,我們對信息安全的教學內(nèi)容進行了總結(jié)和提煉,設計了教學案例和教學策略,并在部分班級計算機基礎課程中進行了教學嘗試。
1 教學內(nèi)容
大學生信息安全教育包括3個方面的內(nèi)容:①信息安全知識及防范技術(shù);②信息安全法律法規(guī);③信息安全倫理道德[1-2,4,6]。其中,第一部分是重點,第二、三部分也可以安排到法律基礎、大學生思想道德修養(yǎng)等課程中[5]。信息安全內(nèi)容非常龐雜,在計算機專業(yè)的信息安全課程中,通常需要30多個學時來完成理論課的教學。這意味著,要在計算機基礎課程中嵌入信息安全教學內(nèi)容,必須精簡信息安全教學內(nèi)容,壓縮授課學時。所以,選擇哪些信息安全知識作為教學內(nèi)容就變得非常重要。我們認為,所選擇的內(nèi)容應該涵蓋信息安全最基本的知識點,同時具有一定的系統(tǒng)性;學生學習后,能夠?qū)π畔踩幸粋€系統(tǒng)的把握,掌握最基本的信息安全知識,提高信息安全意識,同時掌握實用信息安全防御技能。表1為知識單元及其對應的知識點。
2 教學案例設計
根據(jù)前面給出的信息安全知識單元和知識點,可以設計出11個教學案例,其知識點的對應關(guān)系見表2。
案例1、2是與惡意軟件有關(guān)的兩個典型案例。案例3是經(jīng)典密碼案例。因為現(xiàn)代密碼比較抽象,難以理解,借助經(jīng)典密碼有助于學生理解現(xiàn)代密碼的有關(guān)概念。案例4、5應用非常廣泛,是了解公鑰密碼技術(shù)非常好的案例。案例6比較常見,不過學生通常并不知道它的作用及背后的工作機制。案例7、8、9都是比較典型的安全事件,學生或多或少都了解一些。案例10中的工具是學生容易忽視,但卻非常重要的安全工具。這些工具所涉及眾多的信息安全知識也是學生需要了解或掌握的。案例11與學生日常使用的智能手機相關(guān),有助于提高學生的安全防范技能。
另外,除了知識單元①⑧沒有專門設計教學案例外,其他知識單元都有相應的教學案例。不過,知識單元⑧實際上與大多數(shù)案例都有關(guān)系,其知識點可以放在其他案例中講授。知識單元①是對信息安全基本概念的介紹,受學時的限制,不建議設置教學案例。
3 教學策略設計
總體上來說,信息安全的教學主要圍繞表1的知識單元順序進行。各知識單元的教學策略如下。
知識單元①。以圖例的方式簡單描述信息安全事件的一些發(fā)展趨勢,比如近幾年惡意軟件的發(fā)展趨勢圖、網(wǎng)絡攻擊變化趨勢圖等,然后給出信息安全的含義、目標、需求和意義。知識單元①大約需要10分鐘講授完畢。
知識單元②。引入案例1,因為很多學生都遇到過U盤病毒,所以教師可以指出U盤病毒是一種蠕蟲病毒,然后給出蠕蟲病毒的特征、危害。之后以一個感染了蠕蟲病毒的U盤為例,演示手工清除U盤蠕蟲病毒的過程,同時提醒學生防范U盤感染病毒的方法。對于案例2,以生活中發(fā)生的手機惡意軟件(大多是木馬程序)事件為例,比如“超級手機病毒”事件,手機掃描二維碼中毒事件等。然后指出木馬的特征,與蠕蟲的區(qū)別。指出手機惡意軟件傳播的途徑及危害。告知學生防范惡意軟件的方法。比如,下載軟件的時候注意來源是否可靠,別人的評價如何;為手機安裝軟件的時候,注意軟件所請求的權(quán)限是否超出了它的功能;安裝安全軟件等。之后,指出傳統(tǒng)病毒與蠕蟲、木馬的區(qū)別,并簡單介紹其他類型的惡意軟件及流氓/間諜軟件。最后,提醒制作惡意軟件是計算機犯罪行為,將要受到法律的制裁,并給出計算機犯罪的含義,以及相關(guān)法律法規(guī)的條文說明。這部分內(nèi)容大約需要40分鐘完成。
知識單元③。首先說明加密的目的,然后給出密碼學的一些基本概念,如明文、密文、密鑰等。然后引入案例3,通過一個4×4階的矩陣,演示整個“矩陣換位加密”過程,加密一個包含正好16個字符的明文。然后指出哪些是明文、密文和密鑰。說明消息超過16個字符時的處理方法。然后指出“矩陣換位加密”中的密文字符僅僅是明文字符改變位置的結(jié)果,這叫置換;指出某些經(jīng)典加密算法中的密文字符是不同于明文字符的另一類字符,這叫替代。之后,給出現(xiàn)代對稱密碼的基本原理,即現(xiàn)代對稱加密算法本質(zhì)上是置換和替代的多次重復。此時可以給出DES算法的框圖,讓學生進一步理解對稱密碼的基本原理。最后,指出目前廣泛使用的對稱加密算法3DES、AES等。這部分內(nèi)容大約需要20分鐘完成。
引入案例4,打開顯示有下載軟件的SHA1或MD5值的網(wǎng)頁。提問學生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法,其作用是生成數(shù)據(jù)的指紋,可用來檢測對原始數(shù)據(jù)的更改。接下來引入案例5,打開帶有數(shù)字簽名文件的屬性對話框。比如QQ安裝程序,查看數(shù)字簽名的詳細信息,指出數(shù)字簽名的含義和作用,并說明QQ安裝程序是經(jīng)過騰訊公司簽名的,如果顯示“該數(shù)字簽名正常”,則該程序是原始程序,否則被修改過,不要安裝。接下來繼續(xù)查看數(shù)字簽名對應的數(shù)字證書,查看數(shù)字證書中的哈希算法(通常是SHA1)和簽名算法(通常是SHA1RSA)。此時,就可以講授公鑰密碼的一些概念了。和對稱密碼對比,指出公鑰密碼的特點。告訴學生RSA是流行的公鑰密碼算法。當學生記住這些概念之后,就可以指出數(shù)字證書的作用了:保證公鑰的真實性。然后告訴學生證書對話框中的公鑰。接著,進一步說明數(shù)字簽名及驗證簽名的大致過程,并以QQ安裝程序為例進行說明。到此,公鑰密碼、數(shù)字簽名和數(shù)字證書的概念已經(jīng)講授完畢。建議進一步向?qū)W生說明,他們所看到的數(shù)字證書,實際上是由權(quán)威機構(gòu)簽名并頒發(fā)的,在證書路徑上可以看到簽名的權(quán)威機構(gòu),并讓學生看一看計算機上已安裝的“受信任的根證書頒發(fā)機構(gòu)”列表。這部分內(nèi)容大約需要30分鐘完成。
知識單元④。引入案例6,打開啟用了安全連接的網(wǎng)頁,比如中國銀行的“個人客戶網(wǎng)銀登錄”,提問學生該網(wǎng)頁與普通網(wǎng)頁有什么不同?然后,單擊瀏覽器上的小鎖,讓學生看到“連接是加密的”字樣;單擊“查看證書”,告訴學生這個證書如果是被信任的,則說明所訪問的網(wǎng)站是官方網(wǎng)站。接下來,打開鐵路12306網(wǎng)站,單擊“購票”,指出證書不被信任時電腦的表現(xiàn)。單擊“繼續(xù)瀏覽網(wǎng)站(不推薦)”,單擊瀏覽器上方的“證書錯誤”,提醒學生注意顯示的信息。進一步“查看證書”,解釋不被信任的原因。接下來,說明如果所訪問的網(wǎng)站的確是官方網(wǎng)站,如何讓計算機信任它。根據(jù)需要,可以進一步說明“受信任的根證書頒發(fā)機構(gòu)”的作用。到這里,就可以指出https與SSL的關(guān)系,以及SSL的作用了。之后,簡單介紹一下SET的作用,并指出SSL和SET在應用上的主要區(qū)別。
引入案例7,如果有現(xiàn)成的釣魚網(wǎng)站,直接打開它。如果沒有,則找一個以往釣魚網(wǎng)站的圖片示例。比較真實網(wǎng)站和釣魚網(wǎng)站的差別,指出釣魚網(wǎng)站的危害性,并給出被釣魚網(wǎng)站欺騙的實際案例。然后,指出識別和防范釣魚網(wǎng)站的方法,比如通過網(wǎng)址識別、啟用瀏覽器的假冒網(wǎng)站檢測功能等。告訴學生不要輕信郵件、QQ、微信、微博等上面的鏈接,特別是要求給出敏感信息的鏈接。同時提醒這種網(wǎng)絡欺詐行為也是一種計算機犯罪。案例6、7所涉及的知識點大約需要30分鐘完成。
知識單元⑤。引入案例8,給出典型的示例,比如2014年1月21日的國內(nèi)大量網(wǎng)站無法訪問這個事件。然后指出拒絕服務攻擊的含義,并說明拒絕服務攻擊只是網(wǎng)絡攻擊的一種形式。然后指出其他攻擊形式,比如傳播惡意軟件、釣魚網(wǎng)站、郵件欺騙、社會工程、網(wǎng)絡竊聽、網(wǎng)絡掃描攻擊等。給出網(wǎng)絡攻擊的目的、一般過程,以及防范技術(shù)和方法,比如防火墻及IDS。同時提醒學生,網(wǎng)絡攻擊也是一種犯罪行為。
引入案例9,指出從2011年年末開始,因特網(wǎng)用戶資料不斷遭到大規(guī)模泄露。打開與此相關(guān)的網(wǎng)絡新聞報道,提問學生是否資料遭到泄漏。然后給出用戶資料遭到泄漏的兩種原因:用戶資料庫泄漏和撞庫。告訴學生目前第一種情況越來越少,更多的是第二種情況。提醒學生不要在不同的網(wǎng)站上使用同樣的賬號和密碼,特別是密碼,否則會遭遇撞庫攻擊而影響到其他賬戶的安全。另外密碼不能太簡單,不要用生日、電話、QQ號碼、親朋好友寵物的名字等作為密碼。案例8、9所涉及的內(nèi)容大約需要30分鐘完成。
知識單元⑥。引入案例10,首先說明Windows系統(tǒng)已經(jīng)提供了許多保障系統(tǒng)安全的工具。然后逐個演示W(wǎng)indows系統(tǒng)更新、Windows防火墻、Windows Defender、MRT和EFS的基本操作。同時說明系統(tǒng)更新的作用及漏洞的含義,說明防火墻的作用,說明Windows Defender與MRT的作用和它們的區(qū)別,說明EFS與對稱及公鑰密碼的關(guān)系,并指出使用EFS時需要注意的事項。接下來,演示W(wǎng)indows賬戶設置及訪問權(quán)限設置,指出它們的含義、作用,通過創(chuàng)建新的賬戶,并設置某個文件夾或文件的NTFS訪問權(quán)限,讓學生切實感受到Windows賬戶和NTFS相結(jié)合的強大之處,促使學生理解并掌握相應的操作技能。這部分內(nèi)容大約需要40分鐘完成。
知識單元⑦。引入案例11,給出典型的示例。比如在公共的免費Wi-Fi環(huán)境中對信用卡信息進行操作,導致信用卡里的錢款被盜的新聞事件,使用公共Wi-Fi導致手機感染病毒的新聞事件,指出示例中的計算機犯罪行為。然后指出公共Wi-Fi可能帶來的兩類威脅:個人敏感信息的泄漏,和偽裝Wi-Fi攻擊。給出防范措施:不登錄郵箱、微博,不操作網(wǎng)銀等。另外,移動設備Wi-Fi連接僅在需要時打開;開啟安全軟件的網(wǎng)絡保護和隱私保護功能。然后,指出移動設備的其他安全威脅,比如惡意軟件、設備丟失等。提醒學生除了采用前面第②單元提到的安全措施,還應該經(jīng)常備份手機中的重要數(shù)據(jù),開啟手機鎖碼功能。這部分內(nèi)容大約需要20分鐘完成。
知識單元⑧。本知識單元的知識點已經(jīng)分散到他知識單元的案例中了,不需要專門的教學說明。
至此,信息安全的全部知識點都已講授完畢。可以簡單地總結(jié)一下所講授的主要內(nèi)容,并再次給出信息安全的含義和目標,促進學生對它們的理解和掌握。
4 教學實踐及效果
在兩個2014級新生班級的計算機基礎課程中,按照上面的教學策略,我們進行了信息安全的教學嘗試。時間安排在計算機網(wǎng)絡部分結(jié)束之后的兩周內(nèi),共3個下午,每次2學時,實際使用學時不到6個。
在計算機基礎課程結(jié)束之后(三周后),我們再次使用原來的調(diào)查問卷對這兩個班的學生進行了調(diào)查(回收問卷120份),并和上一次對2013級學生(當時也是新生)調(diào)查的結(jié)果進行了比較。見表3、表4、表5。順便說一下,上一次的調(diào)查問卷是基于學生沒有經(jīng)過系統(tǒng)的信息安全學習而設計的,其中有不少題目選項并不適合本次調(diào)查,所以表3、表4、表5中的題目選項要比文獻[5]中對應的表少一些。
很明顯,和2013級學生相比,2014級學生對信息安全術(shù)語的了解比例大幅度提升。
結(jié)合上一次的調(diào)查結(jié)果及分析[5],表4中2014級學生對A、B、C三項的選擇比例基本上是一致的,說明他們的確比較了解加密等安全技術(shù)。選項D的選擇也說明了這一點。
很明顯,2014級學生比2013級的學生有更強的信息安全意識。總之,經(jīng)過比較系統(tǒng)的學習,盡管只使用了不到6個學時,學生對信息安全的基本知識已經(jīng)有了比較深入的了解,信息安全意識也得到顯著的提高。
5 結(jié) 語
信息安全素養(yǎng)是大學生應該具備的素養(yǎng),許多學者都曾經(jīng)對大學生信息安全教育進行過探索[1-4,6-7],但結(jié)果不盡如人意。為了找到解決大學生信息安全教育的有效方法,我們在2013年下半年對大學生進行了問卷調(diào)查。根據(jù)調(diào)查結(jié)果,我們對大學生信息安全的教學內(nèi)容進行了提煉,并把它們?nèi)谌氲?1個案例中。在2014級新生的計算機基礎課程中,我們按照所設計的教學策略進行了教學實踐。結(jié)果表明,在計算機基礎課程中至多增加6個學時的課時,就可以基本上解決大學生的信息安全教育問題。我們的探索為大學生信息安全教育提供了一個有效的解決方案。
參考文獻:
[1] 付沙, 肖葉枝. 試論加強高校網(wǎng)絡信息安全教育[J]. 當代教育論壇:學科教育研究, 2007(5): 81-82.
[2] 肖紅光, 譚作文, 周亞卉. 論大學生信息安全意識教育[J]. 當代教育理論與實踐, 2009, 1(4): 29-31.
[3] 彭國軍, 黎曉方, 張煥國, 等. 信息安全意識培養(yǎng)應納入大學生素質(zhì)教育培養(yǎng)體系[J]. 計算機教育, 2008(22): 44-45.
[4] 陳世偉, 熊花. 大學生網(wǎng)絡信息安全教育探析[J]. 武漢科技學院學報, 2005, 18(1): 101-103.
[5] 楊建強, 姜洪溪, 鄭毅, 等. 大學生信息安全知識、安全意識調(diào)查及分析[J]. 計算機教育, 2014(13): 51-55.
[6] 楊建強, 李學鋒. 大學生信息安全教育探討[J]. 襄樊學院學報, 2012(2): 46-49.
社會信息化的程度越來越高,網(wǎng)絡信息安全問題也日益突出。從大的方面來講,網(wǎng)絡信息安全是關(guān)系國家安全和主權(quán)、社會穩(wěn)定、民族文化繼承和發(fā)揚的重要問題;從個體角度來說,關(guān)系到公司單位重要經(jīng)營信息,及個人隱私。當前,我國基礎信息網(wǎng)絡和重要信息系統(tǒng)安全面臨的形勢十分嚴峻,對于置身于網(wǎng)絡社會的每一位在職人員,增強網(wǎng)絡信息安全意識,加強自我防范,任務十分艱巨。
與此相對應,作為社會新生代的大學畢業(yè)生,應具備良好的信息安全素養(yǎng),掌握必要的信息安全知識和防范技能;而作為培養(yǎng)社會骨干人才的各高校,在著力培養(yǎng)信息安全專業(yè)人才的同時,不應忽視網(wǎng)絡信息安全在非計算機專業(yè)教學體系中的作用和地位,有必要將網(wǎng)絡信息安全教育作為衡量大學生綜合素質(zhì)的一項重要指標。
2 非計算機專業(yè)“信息安全”教學現(xiàn)狀
經(jīng)過調(diào)研,大多數(shù)的高校針對非計算機專業(yè)信息安全教育僅限于兩個方面,一是“計算機基礎”課程中包含的計算機病毒及防范知識,這些教學內(nèi)容過于簡單和陳舊,難于應對當今復雜的信息安全形勢;二是部分高年級同學選修的“網(wǎng)絡信息安全”課程,該課程知識結(jié)構(gòu)特點要求學生不僅要具備相當?shù)挠嬎銠C基礎,而且還要具備較為深厚的數(shù)學功底。[1]對非計算機專業(yè)的學習者而言,教學內(nèi)容顯得過于理論化和專業(yè)化,晦澀難懂,教學手段和方法單一,實際效果不佳。
針對非計算機專業(yè)大二大三學生進行網(wǎng)絡問卷調(diào)查,設計的問卷主要包括3個復選題:(A)您認為所學專業(yè)會涉及涉密信息的泄露嗎?(B)您知道發(fā)生網(wǎng)絡信息安全事件類型有哪些?(病毒、蠕蟲、木馬、網(wǎng)絡釣魚、篡改網(wǎng)頁、拒絕服務攻擊、應用軟件縱、未經(jīng)授權(quán)的入侵、移動無線應用入侵、數(shù)據(jù)庫受到威脅、系統(tǒng)漏洞、垃圾郵件)(C)您知道網(wǎng)絡信息安全造成的后果有哪些?(硬件損壞、網(wǎng)絡癱瘓、網(wǎng)絡不正常、知識產(chǎn)權(quán)被盜、ERP等關(guān)鍵應用癱瘓、文件丟失或被破壞、身份被盜用、客戶資料泄密、被欺詐或被勒索、公司資料下載泄密、其他),最后將問卷結(jié)果量化分析,結(jié)果令人堪憂,反映出高校在網(wǎng)絡信息安全教育上的缺失。如圖1所示。
3 構(gòu)建“三導一體”信息安全教學體系模型
網(wǎng)絡信息安全是一門涉及計算機科學、網(wǎng)絡技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應用數(shù)學、數(shù)論、信息論等多種學科的綜合性學科,對于非計算機專業(yè)信息安全教學而言,鑒于學習者的基礎知識和就業(yè)崗位需要等差異,特別是受到專業(yè)側(cè)重點和教學課時的約束,教學難度大。在分析非計算機專業(yè)在校生實際教學實際的基礎上,嘗試通過MOOC教學資源平臺,[2]構(gòu)建 “三導一體”網(wǎng)絡信息安全教學模式,即以課堂教學為主體,以班級教育、知識(征文)競賽、宣傳活動(知識講座、網(wǎng)絡論壇等)為輔助的綜合教育模式。
3.1 課堂教學為主體
課堂教學是素質(zhì)教育的主渠道,是高校非計算機專業(yè)“網(wǎng)絡信息安全”教學的主體。在原有的網(wǎng)絡信息安全教學內(nèi)容基礎上,適當增加計劃課時,補充相關(guān)教學內(nèi)容,在有限的機房實驗時間內(nèi),精選案例和演示,完善上機實踐環(huán)節(jié),激發(fā)學生好奇心和求知欲,力求教學效果最優(yōu)化。
3.2 班級教育為指導
在日常班主任、輔導員的安全教育中融入網(wǎng)絡商務犯罪和網(wǎng)絡欺詐案例,從法律和道德層面去了解認識網(wǎng)絡信息安全的重要性和必要性,指導日常相關(guān)言行。[3]
3.3 知識競賽為引導
有計劃地開展信息安全知識競賽或征文比賽,教師收集網(wǎng)絡信息安全知識形成若干難度適中的競賽題庫,在校園網(wǎng)絡的MOOC平臺中,充分調(diào)動學生積極性,起到以賽促學的目的。
3.4 主題宣傳為傳導
校園內(nèi)定期開展信息安全宣傳活動,通過網(wǎng)站專題、講座、展覽和微信等形式,傳遞信息安全知識,創(chuàng)建信息安全的良好教學氛圍。
通過MOOC 網(wǎng)站平臺實現(xiàn)資源整合,教師、班主任(輔導員)、學生、社團相互協(xié)同配合,多方聯(lián)動,形成合力,最終達到預期的教學效果。
4 教學中存在問題與改革思路
“三導一體”信息安全教育體系模型確立后,將兩個校區(qū)作為研究對象,開展了為期1學年的專項課題研究,通過SPSS工具的獨立樣本T檢驗,分別對兩校區(qū)的期初和期末數(shù)據(jù)進行比對,得到的統(tǒng)計量表和獨立樣本檢驗表顯示,兩總體的均值存在顯著差異,效果顯著。針對研究工作中存在的問題和改革創(chuàng)新思路,摸索并總結(jié)出幾個關(guān)鍵性的問題。
4.1 教學定位
準確定位課堂教學,明確教學目標,[4]有利于教師更好地把握教材、了解學生,有利于全面提升學生素質(zhì),不斷提高學校教學質(zhì)量。
各行業(yè)對信息安全的要求各異,教學目標大致可以分為三個層次:信息安全技術(shù)開發(fā)應用、信息安全服務管理員和信息安全工程師、信息安全相關(guān)理論科學研究。[5]對于非計算機專業(yè)信息安全教學,應明確定位在信息安全技術(shù)開發(fā)應用層面,即要求掌握信息安全的基礎知識,在生活、學習和工作中可熟練地使用當前比較流行的軟件,保護系統(tǒng)的基本網(wǎng)絡安全,確保信息不被泄露,抵抗基本的攻擊。
圍繞教學定位,根據(jù)不同專業(yè)實際情況,調(diào)整并完善非計算機專業(yè)整個教學計劃。
4.2 教材教案
教材與教案是鞏固教學改革成果、提高教學質(zhì)量、造就高素質(zhì)人才的重要環(huán)節(jié)。針對非計算機專業(yè)的特殊性,教學內(nèi)容方面盡可能貼近各專業(yè)實際,如財經(jīng)類專業(yè)包含財經(jīng)信息安全案例等,強化實際應用和操作實踐,擯棄部分理論,如復雜的密碼技術(shù)和算法等,結(jié)合實際,適時增加新的教學內(nèi)容,如移動終端(手機、IPAD等)有關(guān)信息安全知識和防范技巧。
由于信息安全涉及的理論、技術(shù)比較豐富,采用深入淺出的多媒體動畫、視頻課件幫助學生理解深奧、龐雜的信息安全概念,加深學習者對知識印象。[6]
4.3 師資培養(yǎng)
教師是完成教學工作的基本保證,一支好的教師隊伍必須要有素質(zhì)優(yōu)良的學科帶頭人。從專業(yè)化的角度,應該對教師的教學方向有所分工,有所側(cè)重;從教師的角度,教師本身應該主動接受新生事物,關(guān)注信息安全的發(fā)展,主動學習信息安全新技術(shù)。[7]
4.4 實驗建設
單純的理論教學很難激發(fā)學生的學習興趣,學習效果也達不到預期目標。通過精心組織實驗教學,讓學生親身體會網(wǎng)絡信息安全攻防演練,比如數(shù)據(jù)篡改,口令竊取等等,并不斷完善和規(guī)范信息安全實驗教學體系。[8]
網(wǎng)絡信息安全的實驗環(huán)境往往帶有一定的開放性[9]、破壞性,網(wǎng)絡機房采用了硬盤還原技術(shù),或者采用VMWARE 等虛擬機軟件技術(shù),通過在一臺實體計算機上安裝任意臺的虛擬機,模擬真實網(wǎng)絡服務環(huán)境,解決了網(wǎng)絡信息安全教學備課、教學演示中對于特殊網(wǎng)絡環(huán)境的要求問題。[10]
4.5 網(wǎng)絡資源
“三導一體”教學體系離不開信息安全教學資源的支撐作用,將收集到的教學案例、軟件工具、教學課件和動畫、視頻等相關(guān)教學資源進行整合,建立相關(guān)資源庫,通過網(wǎng)絡媒介,有助于師生全天候高效地獲取資源,更好地實現(xiàn)互動式教學,彌補非計算機專業(yè)信息安全教學課時不足的缺憾。
4.6 教學方式
充分調(diào)動非計算機專業(yè)學生積極主動學習網(wǎng)絡信息安全的積極性。在授課過程中,結(jié)合課程特點,嘗試采用探究式學習方法、問題驅(qū)動和任務驅(qū)動等教學方法,以具體問題為引導,使學生在解決問題過程中掌握和理解網(wǎng)絡信息安全的基礎理論和基本方法,引起同學們的興趣,激發(fā)求知欲。[11]在教學過程和實驗器材的管理中讓有興趣的同學參與管理和教學過程,組建相關(guān)學生社團,也起到了良好的輔助效果。
5 結(jié)語
網(wǎng)絡信息安全是信息時展產(chǎn)生的一門重要學科,網(wǎng)絡信息安全成為高校非計算機專業(yè)教學體系的重要一環(huán)是發(fā)展的必然趨勢。目前,該項研究工作尚處于起步階段,各院校應根據(jù)自己的實際情況和專業(yè)要求,加大教研力度,設定合理的信息安全教學目標,不斷完善課程體系,充實教學內(nèi)容,增大教學資源的投入,確定科學的考核要求,培養(yǎng)更全面、高素質(zhì)、全方位的綜合型人才。
關(guān)鍵詞:職業(yè)學校;網(wǎng)絡安全;教育
調(diào)查數(shù)據(jù)顯示,截至2013年年底,中國互聯(lián)網(wǎng)的使用人數(shù)已經(jīng)超過了6億,并且以每年新增5000萬左右人數(shù)的速度向上攀升,且調(diào)查發(fā)現(xiàn)處于10歲到29歲年齡段的群眾幾乎全部都在使用互聯(lián)網(wǎng)。互聯(lián)網(wǎng)為人們的日常生活、工作辦公以及自主學習都帶來了很多便捷,豐富的信息資源更加可以幫助學生認識外界的社會。但是凡事有利就有弊,網(wǎng)絡上雖然有著豐富的信息資源,但是網(wǎng)絡上的信息也魚龍混雜。學生經(jīng)常接觸到不良的信息,對于思想發(fā)展并不夠成熟的青少年學生容易造成巨大的危害。公安機關(guān)公布的數(shù)據(jù)顯示,青少年犯罪者中有近八成的是受到網(wǎng)絡不良信息誘惑的學生。他們在網(wǎng)絡世界中受不良信息的蠱惑,沉迷于網(wǎng)絡或游戲當中。這類沉迷網(wǎng)絡的青少年十分容易進行搶劫、打架斗毆以及等犯罪行為。目前國內(nèi)職業(yè)學校的辦學規(guī)模以及招生數(shù)量都日漸提高,在職業(yè)學校內(nèi)如何展開網(wǎng)絡安全教育已經(jīng)是一個十分重要的問題,指導青少年學生們的成長健康是職業(yè)學校義不容辭的責任。
一、國內(nèi)青少年學生上網(wǎng)情況調(diào)查
筆者為了保證本篇文章的針對性,在青少年學生當中做了一個關(guān)于上網(wǎng)情況的調(diào)查。在上網(wǎng)地點的選項當中,90%的學生是在家上網(wǎng);13%的學生是在網(wǎng)吧上網(wǎng);4%的學生是在同學或者親戚家上網(wǎng);僅僅只有2%的學生是在學校機房上網(wǎng)。在處理不良信息方法的選項當中,30%的學生表示從來不關(guān)心,隨它去;21%的學習表示擔心但是并不知道怎么解決;48%的學生會下載綠色上網(wǎng)軟件;還有2%的學生會惡作劇一般故意傳播給其他人。根據(jù)調(diào)查數(shù)據(jù)顯示,目前大部分青少年上網(wǎng)的時候依然存在許多的安全隱患。在上網(wǎng)地點的選擇當中,在家上網(wǎng)以及在網(wǎng)吧上網(wǎng)的選擇人數(shù)最多,而在家上網(wǎng)以及在網(wǎng)吧上網(wǎng)的時候缺乏家長的監(jiān)管,極容易接觸到不良信息。同時大部分的青少年學生上網(wǎng)主要在使用聊天軟件或者玩網(wǎng)絡游戲,真正在網(wǎng)絡上自主學習的學生所占的比例較低。并且我們發(fā)現(xiàn)大部分的學生在面對不良信息的時候沒有引起重視,只是任由不良信息傳播而未告訴家長或老師。
二、目前國內(nèi)職業(yè)學校網(wǎng)絡安全教育情況
目前國內(nèi)的職業(yè)學校在安全教育方面的情況分為兩種:一種是高等專業(yè)人才教育方面的院校,大多數(shù)的院校將教育重點放在專業(yè)人才的培養(yǎng)方面,并沒有開設網(wǎng)絡安全專業(yè),而就算有網(wǎng)絡安全專業(yè)的院校也普遍教材內(nèi)容老舊、教學方法過時并且缺乏專業(yè)教師;另一種便是在普及教育方面,僅僅有一部分院校在通識教育當中開設了公選課,而在大部分院校當中僅僅是在計算機文化基礎課程當中捎帶提起,只是十分簡略地提到了一些網(wǎng)絡安全意識的基礎概念。以廣東省的一個職業(yè)院校為例,該院校在計算機學院中并沒有信息安全專業(yè),而在應用數(shù)學學院當中有信息安全專業(yè),但是每屆僅僅只招生兩個班,總共學生人數(shù)不過百人。該校在通識教育當中計算機學院開設有網(wǎng)絡與信息安全以及信息安全風險評估的公選課,但是每個學期的選修人數(shù)也不過三百左右。而計算機學院中每個學生都必修的計算機文化基礎課程中并未提及網(wǎng)絡安全教育內(nèi)容,學校也并沒有在學生當中宣傳網(wǎng)絡安全意識的重要性。由此可見,國內(nèi)大多數(shù)的職業(yè)學院對青少年網(wǎng)絡安全意識教育并未引起重視。國內(nèi)的職業(yè)院校對于青少年網(wǎng)絡安全教育不夠重視,青少年學生的網(wǎng)絡安全意識不夠成熟,極容易出現(xiàn)安全隱患,比如:青少年網(wǎng)絡安全意識淡薄,缺少使用安全上網(wǎng)軟件的意識,對安全防護措施不夠重視;過于依賴安全上網(wǎng)軟件,大多數(shù)青少年學生在安裝了安全上網(wǎng)軟件之后便完全失去安全意識,甚至覺得上網(wǎng)安全跟自己無關(guān)了,當安全事故發(fā)生時便完全不知道如何應對;對于個人信息的保護意識薄弱,對于某些網(wǎng)站需要填寫身份證號、真實姓名、聯(lián)系電話以及真實家庭住址這些私密信息的時候沒有保護意識,極容易造成個人信息的泄露;青少年學生往往對他人的警惕性較低,極容易受到網(wǎng)友的欺騙;對網(wǎng)絡安全沒有責任心,青少年學生由于責任心不夠成熟且比較單純,經(jīng)常不清楚自己在無心的時候已經(jīng)造成了網(wǎng)絡安全事故的發(fā)生,并且影響到了其他網(wǎng)民的用網(wǎng)安全;青少年學生對于網(wǎng)絡安全的法律法規(guī)不夠了解,有部分學生因為好奇心、好勝心、沒有抵制住經(jīng)濟利誘或者純粹是一種找樂子的心態(tài)而學習黑客知識或是鉆研電腦病毒知識,對他人的電腦進行入侵或者破壞,常常并不知道自己已經(jīng)犯法。
三、網(wǎng)絡安全教育的重要性
目前,國內(nèi)的大多數(shù)職業(yè)院校在網(wǎng)絡課程教學當中仍然在重點研究教學策略以及教學內(nèi)容的質(zhì)量,向?qū)W生們灌輸網(wǎng)絡發(fā)展的重要性以及網(wǎng)絡在全社會當中的作用,卻并未向?qū)W生們強調(diào)網(wǎng)絡不良信息的危害。許多的職業(yè)院校中的法律基礎公開課以及計算機網(wǎng)絡專業(yè)課沒有將網(wǎng)絡安全教育以及網(wǎng)絡安全法律法規(guī)教育加入教學大綱當中,更加不存在相關(guān)課程的制訂計劃。國內(nèi)的大多數(shù)青少年學生都未能及時接受系統(tǒng)的網(wǎng)絡安全教育以及網(wǎng)絡安全法律法規(guī)教育,網(wǎng)絡安全意識薄弱,對于網(wǎng)絡犯罪的定義以及網(wǎng)絡犯罪的后果認知模糊。許多沉迷于網(wǎng)絡的青少年學生由于自身的思想并未成熟,受到網(wǎng)絡不良信息的影響,導致暴力、自私、孤僻甚至厭世的性格,還有的學生走上了犯罪的道路,由此可見網(wǎng)絡的不良信息對于思想并為發(fā)展成熟的青少年學生來說危害巨大。在這個網(wǎng)絡發(fā)展速度以及網(wǎng)絡普及速度都越來越快的社會,在職業(yè)院校中開展網(wǎng)絡安全教育是刻不容緩的,是保障青少年學生健康成長的重要教育任務。開設專門的網(wǎng)絡安全教育課程以及網(wǎng)絡安全法律法規(guī)課程,全面建立起青少年學生的網(wǎng)絡安全意識,提升青少年學生的網(wǎng)絡安全素質(zhì),是目前國內(nèi)職業(yè)院校中最為重要的教育內(nèi)容。只有在青少年學生中建立起明確的網(wǎng)絡安全意識,加強對青少年學生的網(wǎng)絡安全教育,才能夠避免青少年學生受到網(wǎng)絡不良信息的危害,才能夠幫助青少年學生們健康成長。
四、開展網(wǎng)絡安全教育的方法
1.網(wǎng)絡安全法律法規(guī)知識教育
在網(wǎng)絡世界當中最為顯著的標簽就是自由,但是網(wǎng)絡世界中的自由與現(xiàn)實世界當中的自由一樣需要有法律法規(guī)來進行約束。我國在互聯(lián)網(wǎng)方面有著明確的法律規(guī)定,讓互聯(lián)網(wǎng)世界有法可依、有法必依。職業(yè)院校需要針對網(wǎng)絡法律條例以及計算機法律基本知識對青少年學生進行系統(tǒng)的教育。教育內(nèi)容應該以《刑法》《計算機軟件保護條例》《中國公用計算機互聯(lián)網(wǎng)國際聯(lián)網(wǎng)管理辦法》《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》以及《中華人民共和國計算機信息系統(tǒng)安全保護條例》這些國家規(guī)定的網(wǎng)絡安全條例為基礎展開。
2.青少年學生網(wǎng)絡安全自律教育
青少年學生對于外界的誘惑力抵抗力較弱,尤其是在信息豐富的網(wǎng)絡世界。他們的好奇心使得他們?nèi)菀壮撩杂诰W(wǎng)絡世界,而青少年學生們的自我保護意識薄弱,網(wǎng)絡安全素質(zhì)較低,極容易受到網(wǎng)絡不良信息的危害。首先職業(yè)院校網(wǎng)絡中心的防火墻需要加強對校內(nèi)微機房的信息安全管理,加強校園網(wǎng)絡對外界網(wǎng)絡隔離的可靠性。同時職業(yè)院校需要加強對青少年學生網(wǎng)絡安全自律意識的教育,讓青少年學生們清楚地認識到網(wǎng)絡不良信息以及網(wǎng)絡攻擊的后果的嚴重性。除此之外要培養(yǎng)青少年學生們對網(wǎng)絡攻擊的防范技術(shù),加強青少年學生們的防范意識,能夠有效地避免他們受到網(wǎng)絡不法分子的危害。
3.在教育當中多采用疏導的方法
青少年學生由于其自身的安全意識以及自律意識薄弱,容易沉迷于網(wǎng)絡,若是沒有及時發(fā)現(xiàn)并有效改善青少年學生的上網(wǎng)習慣,他們便容易走入歧途。家庭教育以及學校教育都極為重要,但是家庭教育以及學習教育的方法需要改善。大多數(shù)沉迷網(wǎng)絡的青少年學生容易出現(xiàn)交友觀以及性格的扭曲,需要通過疏導的方式讓他們宣泄出內(nèi)心壓抑的情緒并指引他們?nèi)ネ饷孢M行真實的人際交流,建立起正確的交友觀以及世界觀,幫助他們體驗到現(xiàn)實中人際交往的樂趣,建立起他們的自信心。若是采取強硬的教育方式反而容易導致青少年學生們因為逃避和叛逆心理更加抗拒真實世界。
五、小結(jié)
綜上所述,幫助青少年學生們建立起網(wǎng)絡安全意識,健全學生們的素養(yǎng)教育,已經(jīng)成為了目前職業(yè)學校極為重要的任務。在網(wǎng)絡安全教育方面,西方發(fā)達國家對此極其重視,而國內(nèi)對于網(wǎng)絡安全教育的開展和重視程度都略微低于國外,職業(yè)院校學生們的網(wǎng)絡安全意識都不夠成熟。因而職業(yè)院校應該全面開展網(wǎng)絡安全教育,重點培養(yǎng)青少年學生們的網(wǎng)絡安全意識,讓學生們避免受到網(wǎng)絡不良信息的侵害,幫助學生們健康成長。
參考文獻:
[1]張立敏,李玉堂,趙瑞蘭等.北京市順義區(qū)中學生健康危險行為現(xiàn)狀調(diào)查[J].職業(yè)與健康,2011(10).
[2]陳瑞.中職校開展職業(yè)安全健康教育的路徑探索——以南京市莫愁中等專業(yè)學校為例[J].江蘇教育研究,2014(30).
一、初中生網(wǎng)絡安全教育的特點
初中生作為未成年人,正處于青春期,有其特殊性;同時由于初中生安全關(guān)系整個社會千家萬戶,具有復雜性;因危險隨時可能發(fā)生,所以安全教育具有長期性[2]。
1.初中生網(wǎng)絡安全教育的特殊性
初中生網(wǎng)絡安全教育具有其特殊性,首先是教育對象的特殊性,初中生的年齡段大約是12~15歲,正處于青春發(fā)育期,此時是自我意識發(fā)展的第二個飛躍期,他們具有強烈的“成人感”,認為自己已經(jīng)長大成人,渴望參與成人角色,要求獨立,渴望受到尊重,是初中生在個性發(fā)展中獨立性增長的突出表現(xiàn)。其次是教育內(nèi)容的特殊性,隨著社會的發(fā)展與進步,學生接觸網(wǎng)絡的年齡越來越小,初中生大多已經(jīng)熟練掌握上網(wǎng)沖浪的技能,由于其心智發(fā)育還未完全成熟,容易受到外界不良因素的誘惑從而沉迷于網(wǎng)絡,不能很好地辨別是非真假,因此,培育學生的網(wǎng)絡安全意識,形成文明的上網(wǎng)行為習慣更是成為了教育的重中之重。
2.初中生網(wǎng)絡安全教育的復雜性
初中生網(wǎng)絡安全教育需要學生、學校、家庭和社會共同作用,多方面的影響因素增加了網(wǎng)絡安全教育的復雜性。在信息化時代,學生需要自覺遵守文明上網(wǎng)的規(guī)范,充分利用網(wǎng)絡開放的學習資源提升自身素質(zhì),主動抵制和屏蔽不良信息,學會辨別是與非的能力。學校應當加強網(wǎng)絡安全教育,學校和教師應通過級會、班會、宣傳板等多種形式加強網(wǎng)絡信息的安全教育,讓學生學會文明上網(wǎng)。家庭需要發(fā)揮模范表率作用,家長以身作則為孩子樹立起良好的上網(wǎng)行為的榜樣,理解和配合學校對孩子加強網(wǎng)絡安全教育,在家庭教育中增加網(wǎng)絡安全教育的內(nèi)容。社會應該承擔網(wǎng)絡安全教育應有的責任,校園周邊嚴禁網(wǎng)吧的經(jīng)營,網(wǎng)吧嚴禁未成年人入內(nèi),互聯(lián)網(wǎng)形成綠色文明的網(wǎng)絡環(huán)境,保護孩子的身心健康。
3.初中生網(wǎng)絡安全教育的長期性
由于網(wǎng)絡已經(jīng)滲透到學生的日常生活當中,每一天都會接受到大量的網(wǎng)絡信息,危險時刻都會發(fā)生,因此網(wǎng)絡安全教育需要常抓不懈,一刻也不能放松。網(wǎng)絡安全教育必須貫穿學生身心發(fā)展的全過程,是教育者長期的教育內(nèi)容,需要預防性和補救性教育相結(jié)合,其中預防性教育更需要大力提倡和加強,而不總是等出現(xiàn)網(wǎng)絡消極事件后再緊急補救進行教育,應多以正面的積極事例作為教育的樣本,引導學生養(yǎng)成良好的上網(wǎng)習慣。初中生的認知能力還沒有完全的發(fā)展,對網(wǎng)絡上不良信息的鑒別能力還不是十分完善,作為教育者應該把網(wǎng)絡安全的重要性融入日常的教育中,讓學生潛移默化當中強化文明上網(wǎng)的意識和行為。
二、初中生網(wǎng)絡安全教育的實施途徑
1.初中生網(wǎng)絡安全教育常規(guī)化
學校應加強網(wǎng)絡安全教育,把網(wǎng)絡安全教育納入到學校的常規(guī)化教育當中。學校應嚴格按照國家教育部的規(guī)定,把安全教育作為必修課納入教學計劃排上課表,并確保授課時數(shù)。把防網(wǎng)吧危害作為安全教育內(nèi)容進行系統(tǒng)的規(guī)劃,根據(jù)不同年級確定安全教育的內(nèi)容[3]。在日常教育的過程中,學校要在學科教學和綜合實踐活動課程中滲透網(wǎng)絡安全教育內(nèi)容。各科教師在學科教學中要挖掘隱性的公共安全教育內(nèi)容,和顯性的公共安全教育內(nèi)容一起,與學科教學有機整合,按照要求,予以貫徹落實。教師在教學當中找到適當?shù)那腥朦c,因地因時制宜地開展網(wǎng)絡安全教育。
2.初中生網(wǎng)絡安全教育多樣化
學校在實施網(wǎng)絡安全教育時,需要考慮到初中生熱愛新奇、喜好體驗的心理特點,采取多種途徑從不同角度開展教育內(nèi)容,以提高學生參與教育活動的積極性和增強效果。在學生教育方面,除充分利用校會、班會、廣播等形式進行安全教育之外,還可以采用電影放映、網(wǎng)絡安全講座、圖片文字宣傳、現(xiàn)場模擬體驗、安全情景劇、安全知識問答、正面事跡報告和現(xiàn)身說法等形式,根據(jù)實際情況選擇合適的教學形式組合,大力推進初中生的網(wǎng)絡安全教育。在家庭和社會教育方面,改變以往教師在校內(nèi)教育的單一形式,實行“走出去,請進來”的方法,定期請家長和社會共建單位代表參加學校網(wǎng)絡安全教育的工作座談會[3]。討論研究學校安全教育活動的開展情況,集大家智慧,取眾人之長,探索新思路,總結(jié)新經(jīng)驗,增強安全教育的實效性。
3.初中生網(wǎng)絡安全教育活動化
開展安全教學活動要注重與學生生活經(jīng)驗和社會實踐相聯(lián)系,要采用能收到實效的、學生樂于參與的活動形式提高學生的興趣,培養(yǎng)學生的自我保護能力[3]。學校可以針對一個或多個主題相應地設計出網(wǎng)絡安全的主題活動,如情景劇扮演、班級板報宣傳、知識講座、網(wǎng)絡安全征文比賽、“安全小衛(wèi)士”評比等,把網(wǎng)絡安全教育的思想融入到初中生喜聞樂見的體驗式活動中去,做到寓教于樂,寓教于豐富多彩的教育活動中,全面提高網(wǎng)絡安全教育的效果。同時,學校也要加強建設符合網(wǎng)絡安全教育的物質(zhì)環(huán)境和人文環(huán)境,讓學生在潛移默化之中提高網(wǎng)絡安全意識,促進學生掌握安全知識,提高抵御不良網(wǎng)絡誘惑的能力。
4.初中生網(wǎng)絡安全教育社會化
網(wǎng)絡安全教育是學校、家庭和社會共同的教育責任。學校應充分利用日常學校教育的優(yōu)勢,培養(yǎng)學生網(wǎng)絡安全的意識,同時還要發(fā)揮家庭教育的力量,向家長傳授各種事故發(fā)生的特點和預防、逃生的知識,使家長能夠根據(jù)子女的特點和具體情況,給子女傳授各種安全知識。家長要注意對子女開展情境化訓練,在生活中指導子女科學使用網(wǎng)絡[4]。在網(wǎng)絡安全教育方面,學校要加強與公安、治安、信息安全等部門的合作,建立起密切的聯(lián)系,最好能聘請有關(guān)人員擔任網(wǎng)絡安全的校外輔導員,共同承擔網(wǎng)絡安全教育的責任,協(xié)助學校制定出網(wǎng)絡安全的應急預案及相關(guān)紀律規(guī)范。
參考文獻
[1] 教育部.中小學公共安全教育指導綱要.中國教育報,2007-03-01.
[2] 陳慧萍.中小學安全教育機制研究.長沙:湖南師范大學,2010.
關(guān)鍵詞:水電站;梯級調(diào)度網(wǎng)絡;管理
1運行管理的安全原則
(1)制定并不斷完善公司專用的安全策略。為了保護網(wǎng)絡安全,最重要的事情就是編寫安全策略,描述要保護的對象,保護的理由,以及如何保護它們。安全策略的內(nèi)容最好具有可讀性,同時,注意哪些是保密的,哪些是可以公開的。此外,應嚴格執(zhí)行。最后,必須隨時保持更新。
(2)安全防范應基于技術(shù)、動機和機會3個方面考慮,以減少攻擊者的成功率。從技術(shù)上講,系統(tǒng)應同時需要相當高的通用技術(shù)和專用技術(shù),從而避免不同級別的人員濫用系統(tǒng)。攻擊者的動機方面,應消除攻擊者的滿足程度,使其感到受挫。每次攻擊失敗時,安全系統(tǒng)讓攻擊者移動到網(wǎng)絡系統(tǒng)的其它地方,使攻擊者工作很辛苦。
(3)應盡可能少地向攻擊者提供可攻擊的機會。首先關(guān)閉不用或不常用的服務,需要時再打開。第二,訪問控制權(quán)限的管理應合理。第三,系統(tǒng)應能自我監(jiān)視,掌握違反策略的活動。第四,一旦發(fā)現(xiàn)問題,如果有補救措施,應立刻采用。第五,如果被保護的服務器不提供某種服務,如FTP,那么,應封鎖FTP請求。
(4)安全只能通過自己進行嚴格的測試,才能達到較高的安全程度。因為每個人都可能犯錯誤,只有通過完善的安全測試,才能找到安全系統(tǒng)的不足。要做到主動防御和被動防御相結(jié)合,應能提前知道自己被攻擊。如果知道自己被攻擊,其實已經(jīng)贏了一半。安全系統(tǒng)不但防御攻擊者,同時防御他們的攻擊。因為攻擊者經(jīng)常失敗后就換個地方,再次實行新的攻擊,因此,不但防御攻擊的源地址,同時防御主機周圍靈活選擇的范圍。
(5)戰(zhàn)時和訓練相結(jié)合,也就是說,主動防御必須嚴格測試,并不斷改進。同時,安全軟件的選擇應基于應用的重要性和產(chǎn)品的更新周期,保證安全系統(tǒng)應能跟上新技術(shù)的發(fā)展。應經(jīng)常維護、定期測試和檢查防御系統(tǒng)的每一個部件,避免安全系統(tǒng)的能力退化。
(6)在企業(yè)內(nèi)部,應讓每一為員工都深刻理解安全是大家的事,不是口號,而是警告,安全和業(yè)務可能有沖突,最好能夠得到領導和業(yè)務人員的理解和支持。安全管理過程中,對人員的信任應合理、明智,不能盲目信任。在企業(yè)的安全防御系統(tǒng)中,除了采用常規(guī)的防御方案,應盡可能采用一些適合行業(yè)特點的新方案,對攻擊者而言,也就多了一層堡壘。要有運行規(guī)范,包括管理制度、審計評估、網(wǎng)絡安全規(guī)劃、工程管理、安全監(jiān)督和災難恢復。
2運行管理的組織結(jié)構(gòu)
為實現(xiàn)整個梯級調(diào)度的網(wǎng)絡安全,需要各種保證網(wǎng)絡安全的手段。網(wǎng)絡安全功能的實現(xiàn),必須從安全管理功能和管理員的職責上結(jié)合。企業(yè)的調(diào)度中心的信息部門應成立安全系統(tǒng)運行小組管理整個安全系統(tǒng)的運行,負責完成全企業(yè)的安全系統(tǒng)總體運行方案的編制,負責安全管理中心的建設,制訂全企業(yè)范圍的安全管理規(guī)范,對相關(guān)人員進行基本培訓,指導各電站(廠)完成其安全系統(tǒng)的運行。應有專人負責網(wǎng)絡安全,成立網(wǎng)絡安全管理組,其成員包括領導、系統(tǒng)管理員、網(wǎng)絡工程師以及網(wǎng)絡安全專家等組成。
3運行管理的培訓支持
3.1建立安全教育培訓體系
為企業(yè)建立信息安全教育培訓的制度,包括安全教育政策制訂、安全教育計劃制訂和安全教育實施支持方案。此外,文檔包括《企業(yè)信息安全組織管理》、《企業(yè)信息安全人員崗位指南》和《企業(yè)信息安全教育培訓體系》。
3.2提供教育培訓課程
(1)安全基礎培訓。
對象:企業(yè)全部與網(wǎng)絡安全相關(guān)的人員。
容:系統(tǒng)安全、網(wǎng)絡安全及增強安全意識的重要性、主要網(wǎng)絡安全威脅、網(wǎng)絡安全層次、網(wǎng)絡安全度量、主機安全、黑客進攻步驟、安全防范措施和商用安全產(chǎn)品分類等。
目標:增強系統(tǒng)管理員的安全意識,基本了解安全的實際要領,能夠分辯出系統(tǒng)中存在的安全問題。
(2)Unix/Windows系統(tǒng)安全管理培訓。
對象:公司安全相關(guān)的系統(tǒng)管理員。
內(nèi)容:掌握Unix/Windows系統(tǒng)的安全策略,常見的攻擊手段分析,各種流行安全工具的使用,在實驗環(huán)境中實際編譯、配置和使用各種安全工具。
目標:能夠獨立配置安全系統(tǒng),獨立維護Unix/Windows系統(tǒng)安全。在沒有防火墻的情況下,使Unix/Windows系統(tǒng)得到有效的保護。
(3)防火墻、入侵檢測、安全掃描、防病毒和加密等技術(shù)方面的培訓課程。
對象:企業(yè)的安全運行和管理人員。
內(nèi)容:安全軟件和設備的基本概念和原理、作用與重要性、局限性、分類、安全設備安全策略、設計、自身的安全與日常維護、安全設備代表產(chǎn)品的演示和上機。
目標:了解Internet防火墻的基本概念,基本原理和基本的設計方法。能夠?qū)Π踩O備作日常維護。能夠根據(jù)系統(tǒng)需求,做出相應的安全設備設計。能夠?qū)ΜF(xiàn)有安全產(chǎn)品有一定的了解。
要求:具有基本UNIX/Windows, TCP/IP的知識,了解網(wǎng)絡設計常識。
(4)安全開發(fā)培訓課程。
對象:應用系統(tǒng)設計開發(fā)中與安全相關(guān)的人員。
內(nèi)容:TCP/IP協(xié)議和傳統(tǒng)Socket編程、IPSpoofing的詳細剖析、StackOverflow的詳細剖析、其他流行進攻方法IP Sniff: Sniff, Deny of Service,Connection Killing, IP hijacking等的解釋、并配有實驗。
目標:使系統(tǒng)管理員掌握黑客進攻的手段、原理和方法;并能在實際工作中保護系統(tǒng)的安全性。
3.3安全人員考核
協(xié)助企業(yè)建立信息安全人員考核體系,包括制訂信息安全人員考核標準和建立安全相關(guān)人員定期的評估和考核制度。此外,文檔包括《企業(yè)信息安全人員考核體系》。
4運行管理的技術(shù)服務
一、學校領導高度重視、組織落實是做好校園網(wǎng)絡安全管理工作的重要前提
校黨政主要領導和分管安全保衛(wèi)工作的校領導高度重視網(wǎng)絡與信息安全工作,經(jīng)常在各種會議上強調(diào)做好校園網(wǎng)絡與信息安全工作對維護學校安全穩(wěn)定的極端重要性,對安全保衛(wèi)部門上報的有關(guān)網(wǎng)絡動態(tài)信息認真閱讀和研判,并及時作出重要處理批示,在學校每次召開的有關(guān)維護校園穩(wěn)定的工作會議上都要對加強校園網(wǎng)的安全管理與監(jiān)控工作進行專門部署。學校還制定下發(fā)了《關(guān)于開展“平安校園”創(chuàng)建活動的實施意見》,其中指出“要堅持正確的輿論導向,防止信息傳媒的管理失控,要健全網(wǎng)絡管理機構(gòu),落實管理措施,強化網(wǎng)上監(jiān)控”,為做好校園網(wǎng)絡與信息的安全管理工作明確了目標和方法。
二、各職能部門分工明確、互相配合是做好校園網(wǎng)絡安全管理工作的重要條件
在維護校園網(wǎng)絡安全方面,學校有關(guān)職能部門根據(jù)自身的工作性質(zhì)有著明確的分工。如校宣傳部門主要負責全校網(wǎng)絡安全教育,網(wǎng)絡信息動態(tài)的監(jiān)查、跟蹤和掌握并進行相關(guān)處置;校網(wǎng)絡主管部門主要負責加強整個校園網(wǎng)絡技術(shù)方面的安全防范、保障、封堵和指導,采用合理的技術(shù)手段對網(wǎng)絡運行安全進行有效的監(jiān)查,為查處網(wǎng)絡不良、有害信息及案事件提供技術(shù)支持;保衛(wèi)部門主要負責對網(wǎng)絡不良、有害信息及案事件進行查處,并根據(jù)自身工作性質(zhì)對網(wǎng)絡信息進行監(jiān)查。各職能部門既各司其職又密切配合、協(xié)作形成合力,為做好校園網(wǎng)絡安全工作提供了重要的基礎條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項管理規(guī)章制度是做好校園網(wǎng)絡安全管理工作的重要基礎
學校根據(jù)國家網(wǎng)絡與信息安全管理的有關(guān)法律法規(guī),并結(jié)合學校的實際情況,制定了校園網(wǎng)絡安全管理條例與規(guī)定,并根據(jù)上級有關(guān)規(guī)定、形勢發(fā)展和學校具體實際情況,不斷予以修訂完善。各責任單位則根據(jù)學校有關(guān)規(guī)定和本單位的實際情況,制定網(wǎng)絡與信息安全管理方面的各項具體規(guī)章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網(wǎng)管員工作職責等。由此校園網(wǎng)絡與信息安全管理工作做到有章可依,有章可循,不斷制度化、規(guī)范化。
四、建立和完善有效的管理機制是做好校園網(wǎng)絡與信息安全管理工作的保障
(一)實行分級管理、逐級負責制
學校成立網(wǎng)絡與信息安全領導小組,由主要領導擔任雙組長、分管領導擔任副組長。領導小組定期不定期地對校園網(wǎng)絡安全情況進行分析研判,研究制定涉及網(wǎng)絡安全方面重大問題的對策、措施,并對一段時期內(nèi)的網(wǎng)絡與信息安全工作作出部署。領導小組下設辦公室,主要負責全校網(wǎng)絡與信息安全工作的管理和協(xié)調(diào)。各學院、部門、單位應當相應成立網(wǎng)絡與信息安全工作小組,其主要負責人為第一責任人,并指定專人擔任網(wǎng)管員,負責本級網(wǎng)絡與信息安全工作。
(二)實行安全責任制
學校與各學院、部門、單位簽訂網(wǎng)絡與信息安全責任書,各責任單位要將網(wǎng)絡與信息安全管理責任層層落實到所屬各部門和人員。其中,各責任單位的網(wǎng)管員,具體負責本單位日常的網(wǎng)絡與信息安全工作,網(wǎng)絡與信息系統(tǒng)的主管單位承擔系統(tǒng)的安全管理和監(jiān)督責任,運行維護單位和個人承擔系統(tǒng)的技術(shù)安全保障責任,使用單位和個人承擔系統(tǒng)操作與信息內(nèi)容的直接安全責任。堅持“誰主管、誰負責,誰運行、誰負責”的原則,切實落實網(wǎng)絡安全工作責任制。
(三)實行一票否決制
校園網(wǎng)絡與信息安全工作實行一票否決制。對在網(wǎng)絡與信息安全方面存在重大隱患和問題而不認真及時進行整改,或發(fā)生重大網(wǎng)絡與信息安全事件的相關(guān)單位和責任人,實行一票否決制,取消當年評先評優(yōu)及個人晉職晉級的資格。
(四)實行責任追究制
對網(wǎng)絡與信息安全責任不落實、日常安全管理措施不落實、安全教育不到位等,導致網(wǎng)絡與信息重大安全事故或事件的,學校將根據(jù)網(wǎng)絡與信息安全責任書的有關(guān)規(guī)定,追究相關(guān)單位和責任人的責任,并予以全校通報批評。對觸犯法律的,則移交司法機關(guān)依法處理。
(五)實行值班備勤制
各責任單位要指定專人進行日常網(wǎng)絡與信息安全保障工作,確保24小時通訊聯(lián)系保持暢通。在重要、敏感時期,重大節(jié)假日期間,安排值班人員,一旦發(fā)生問題快速反應,及時處置。
五、強化網(wǎng)絡安全形勢的預測研判是做好校園網(wǎng)絡安全管理工作的重要環(huán)節(jié)
學校各職能部門密切關(guān)注國內(nèi)外發(fā)生的重大事件及學校出臺的重大舉措,結(jié)合當下校園網(wǎng)絡的具體實際并根據(jù)網(wǎng)絡本身的特點,對一段時期內(nèi)校園網(wǎng)絡的安全形勢進行分析研判并上報學校,為領導科學決策提供依據(jù)。特別是在每年重要敏感時間節(jié)點時,對校園網(wǎng)絡安全形勢進行預測研判并提出有關(guān)防范措施上報學校,使網(wǎng)絡安全防范工作更趨主動和有的放矢,例如,在北京奧運會、上海世博會、G20峰會等時期,均及時對校園網(wǎng)絡可能出現(xiàn)的輿情、動態(tài)預作研判,將防范工作做在前面。
六、切實加強宣傳教育活動是做好校園網(wǎng)絡安全管理工作的重要內(nèi)容
關(guān)鍵詞:電力企業(yè)信息系統(tǒng)安全防護
前言
隨著企業(yè)的生產(chǎn)指揮,經(jīng)營管理等經(jīng)營活動越來越依賴于計算機信息系統(tǒng),如果這些系統(tǒng)遭到破壞,造成數(shù)據(jù)損壞,信息泄漏,不能提供服務等問題,則將對電網(wǎng)的安全運行,電力企業(yè)的生產(chǎn)管理以及經(jīng)濟效益等造成不可估量的損失,高技術(shù)在帶來便利與效率的同時,也帶來了新的安全風險和問題。
一、電力企業(yè)信息安全風險分析
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力公司信息系統(tǒng)面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產(chǎn)生以來,一直就是計算機系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務甚至破壞后無法恢復,特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災難性的。
在目前的局域網(wǎng)建成,廣域網(wǎng)聯(lián)通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內(nèi)可以感染到區(qū)域內(nèi)所有單位的計算機系統(tǒng)。病毒傳播速度,感染和破壞規(guī)模與網(wǎng)絡尚未聯(lián)通之時相比,高出幾個數(shù)量級。
(2)網(wǎng)絡安全問題日益突出:企業(yè)網(wǎng)絡的聯(lián)通為信息傳遞提供了方便的途徑。企業(yè)有許多應用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠程教育培訓系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等。
網(wǎng)絡聯(lián)通也帶來了網(wǎng)絡安全問題。企業(yè)內(nèi)部廣域網(wǎng)上的用戶數(shù)量多且難于進行管理,互聯(lián)網(wǎng)更是連接到國際上的各個地方,什么樣的用戶都有。內(nèi)部網(wǎng),互聯(lián)網(wǎng)上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網(wǎng)絡上的連接的計算機系統(tǒng)和設備進行入侵,攻擊等,影響網(wǎng)絡上信息的傳輸,破壞軟件系統(tǒng)和數(shù)據(jù),非法使用網(wǎng)絡資源等,給企業(yè)造成巨大的損失。更有極少數(shù)人利用網(wǎng)絡進行非法的,影響國家安定團結(jié)的活動,造成很壞的影響。
如何加強網(wǎng)絡的安全防護,保護企業(yè)內(nèi)部網(wǎng)上的信息系統(tǒng)和信息資源的安全,保證對信息網(wǎng)絡的合法使用,是目前一個熱門的安全課題,也是電力企業(yè)面臨的一個非常突出的安全問題。
二、電力信息網(wǎng)安全防護方案
1、加強電力信息網(wǎng)安全教育
安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容,其實施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效,高級管理部門應當對企業(yè)各級管理人員、用戶、技術(shù)人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業(yè)信息安全的整體策略及目標、信息安全體系的構(gòu)成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術(shù)人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術(shù)的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關(guān)的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并納入整個企業(yè)文化體系中才是最根本的解決辦法。
2、電力信息安全防護技術(shù)措施
(1)網(wǎng)絡防火墻:防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區(qū)放置了企業(yè)對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關(guān)閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網(wǎng)的不同區(qū)之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統(tǒng):部署先進的分布式入侵檢測構(gòu)架,最大限度地、全天候地實施監(jiān)控,提供企業(yè)級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網(wǎng)絡管理人員提供強有力的保障。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù),具有高可靠性、高識別率、規(guī)則更新迅速等特點。
(4)網(wǎng)絡隱患掃描系統(tǒng):網(wǎng)絡隱患掃描系統(tǒng)能夠掃描網(wǎng)絡范圍內(nèi)的所有支持TCP/IP協(xié)議的設備,掃描的對象包括掃描多種操作系統(tǒng),掃描網(wǎng)絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網(wǎng)絡中不同的位置對網(wǎng)絡設備進行掃描。掃描結(jié)束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網(wǎng)絡防病毒:為保護電力信息網(wǎng)絡受病毒侵害,保證網(wǎng)絡系統(tǒng)中信息的可用性,應構(gòu)建從主機到服務器的完善的防病毒體系。以服務器作為網(wǎng)絡的核心,對整個網(wǎng)絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網(wǎng)絡防病毒軟件應能夠適應各種系統(tǒng)平臺、各種數(shù)據(jù)庫平臺、各種應用軟件。
(6)數(shù)據(jù)加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現(xiàn)文件存儲和傳輸?shù)谋C芎屯暾砸螅瑢崿F(xiàn)對文件訪問的控制。對通信安全,采用數(shù)據(jù)加密,信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護,實現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術(shù),提高實時的信息傳播中的保密性和安全性。
(7)數(shù)據(jù)備份:對于企業(yè)來說,最珍貴的是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。數(shù)據(jù)備份和容錯方案是必不可少的,必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設施及切合實際的數(shù)據(jù)備份策略。
(8)數(shù)據(jù)庫安全:通過數(shù)據(jù)存儲加密、完整性檢驗和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機密和完整性,并實現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。
三、電力信息網(wǎng)絡安全工作應注意的問題
(1)理順技術(shù)與管理的關(guān)系。
解決信息安全問題不能僅僅只從技術(shù)上考慮,要防止重技術(shù)輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經(jīng)濟合理的關(guān)系。安全方案要能適應長遠的發(fā)展和今后的局部調(diào)整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統(tǒng)全面的信息安全管理體系,可以參照國際上通行的一些標準來實現(xiàn)。
[關(guān)鍵詞] 電力企業(yè);信息安全;風險
1、前言
隨著計算機信息化建設的飛速發(fā)展而信息系統(tǒng)在電力企業(yè)中所處的地位越來越重要。信息安全隨著信息技術(shù)的不斷發(fā)展而演變,其重要性日益越來越明顯,信息安全所包含的內(nèi)容、范圍也不斷的變化。信息安全有三個中心目標。保密性:保證非授權(quán)操作不能獲取受保護的信息或計算機資源。完整性:保證非授權(quán)操作小能修改數(shù)據(jù)。有效性:保證非授權(quán)操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統(tǒng)不被破壞,確保對合法用戶的服務和限制非授權(quán)用戶的服務,以及必要的防御攻擊的措施。
2、電力企業(yè)信息安全風險探析
信息安全風險和信息化應用情況密切相關(guān),和采用的信息技術(shù)也密切相關(guān),電力企業(yè)信息系統(tǒng)面臨的主要風險存在于以下幾個方面:①計算機病毒的威脅最為廣泛:計算機病毒自產(chǎn)生以來,一直就是計算機系統(tǒng)的頭號敵人,在電力企業(yè)信息安全問題中,計算機病毒發(fā)生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網(wǎng)絡通信阻塞,系統(tǒng)數(shù)據(jù)和文件系統(tǒng)破壞,系統(tǒng)無法提供服務甚至破壞后無法恢復,特別是系統(tǒng)中多年積累的重要數(shù)據(jù)的丟失,損失是災難性的;②網(wǎng)絡安全問題日益突出:電力企業(yè)網(wǎng)絡的聯(lián)通為信息傳遞提供了方便的途徑。電力企業(yè)有許多應用系統(tǒng)如:辦公自動化系統(tǒng),用電營銷系統(tǒng),遠程教育培訓系統(tǒng)等,通過廣域網(wǎng)傳遞數(shù)據(jù)。電力企業(yè)開通了互聯(lián)網(wǎng)專線寬帶上網(wǎng),電力企業(yè)內(nèi)部職工可以通過互聯(lián)網(wǎng)方便地收集獲取信息,發(fā)送電子郵件等;③信息傳遞的安全不容忽視。電力企業(yè)和外部的單位,以及外部有關(guān)公司都有著許多的工作聯(lián)系,日常許多信息,數(shù)據(jù)都需要通過互聯(lián)網(wǎng)來傳輸。網(wǎng)絡中傳輸?shù)倪@些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業(yè)機密;被非法篡改,造成數(shù)據(jù)混亂,信息錯誤從而造成工作失誤。非法用戶、還有可能假冒合法身份,發(fā)送虛假信息,給正常的生產(chǎn)經(jīng)營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業(yè)信息安全中重要的一環(huán)。④用戶身份認證和信息系統(tǒng)的訪問控制急需加強:電力企業(yè)中的信息系統(tǒng)一般為特定范圍的用戶利用,信息系統(tǒng)中包含的信息和數(shù)據(jù),也只對一定范圍的用戶開放,沒有得到授權(quán)的用戶不能訪問。為此各個信息系統(tǒng)中都設計了用戶管理功能,在系統(tǒng)中建立用戶,設置權(quán)限,管理和控制用戶對信息系統(tǒng)的訪問。這些措施在一定程度上能夠加強系統(tǒng)的安全性。但在實際應用中仍然存在一些問題。一是部分應用系統(tǒng)的用戶權(quán)限管理功能過于簡單,不能靈活實現(xiàn)更細的權(quán)限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統(tǒng)沒有一個統(tǒng)一的用戶管理,企業(yè)的一個員工要利用到好幾個系統(tǒng)時,在每個應用系統(tǒng)中都要建立用戶賬號,口令和設置權(quán)限,用戶自己都記不住眾多的賬號和口令,利用起來非常不方便,更不用說賬號的有效管理和安全了;⑤實時控制系統(tǒng)和數(shù)據(jù)網(wǎng)絡的安全至關(guān)重要:電網(wǎng)的調(diào)度指揮,自動控制,微機保護等領域的計算機應用在電力企業(yè)中起步早,應用水平高,不但實現(xiàn)了對電網(wǎng)運行狀況的實時監(jiān)視,還實現(xiàn)了對電網(wǎng)一次設備的遙控及保護設備的遠方管理。隨著數(shù)據(jù)網(wǎng)的建設和應用,這些電網(wǎng)監(jiān)視和控制方面的系統(tǒng)逐步從采用專線通道傳輸數(shù)據(jù)轉(zhuǎn)移到通過數(shù)據(jù)網(wǎng)絡來傳送數(shù)據(jù)和下發(fā)控制指控令。由于這些計算機系統(tǒng)可以直接管理和操作控制電網(wǎng)一次設備,系統(tǒng)的安全可靠,數(shù)據(jù)網(wǎng)的安全可靠,信息指令傳輸?shù)膶崟r性等直接關(guān)系著電網(wǎng)的安全,其安全等級要求高于一般的廣域網(wǎng)系統(tǒng)。
3、解決信息安全問題的基本原則
3.1采用信息安全新技術(shù),建立信息安全防護體系。企業(yè)信息安全面臨的問題很多,我們可以根據(jù)安全需求的輕重緩急,解決相關(guān)安全問題的信息安全技術(shù)的成熟度綜合考慮,分步實施。技術(shù)成熟的,能快速見效的安全系統(tǒng)先實施
3.2計算機防病毒系統(tǒng)。計算機防病毒系統(tǒng)是發(fā)展時間最長的信息安全技術(shù),從硬件防病毒卡,單機版防病毒軟件到網(wǎng)絡版防病毒軟件,到企業(yè)版防病毒軟件,技術(shù)成熟且應用效果非常明顯。防病毒軟件系統(tǒng)的應用基本上可以防治絕大多數(shù)計算機病毒,保障信息系統(tǒng)的安全。在目前的網(wǎng)絡環(huán)境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統(tǒng)平臺,多種應用平臺殺毒的企業(yè)版殺毒軟件,是電力企業(yè)的首選。個人版本的殺毒軟件適合家庭,小規(guī)模用戶。
3.3網(wǎng)絡安全防護系統(tǒng)。信息資源訪問的安全是信息安全的一個重要內(nèi)容,在信息系統(tǒng)建設的設計階段,就必須仔細探析,設計出合理的,靈活的用戶管理和權(quán)限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。 關(guān)于已經(jīng)投入利用的信息系統(tǒng),可以通過采用增加安全訪問網(wǎng)管的方法,來增強原有系統(tǒng)的用戶管理和對信息資源訪問的控制,以及實現(xiàn)單點登陸訪問任意系統(tǒng)等功能。這種方式基本上不需要改動原來的系統(tǒng),實施的技術(shù)難度相對小一些。關(guān)于新建系統(tǒng),則最好采用統(tǒng)一身份認證平臺技術(shù),來實現(xiàn)不同系統(tǒng)通過同一個用戶管理平臺實現(xiàn)用戶管理和訪問控制。
4、解決信息安全問題的對策
4.1依據(jù)國家法律,法規(guī),建立電力企業(yè)信息安全管理制度。根據(jù)國家信息安全方面一系列的法律法規(guī)和技術(shù)標準,應結(jié)合電力企業(yè)實際,建立開發(fā)信息系統(tǒng)的管理標準、制度、規(guī)范和流程和技術(shù)體系,來指導信息安全工作。并建立信息安全工作的組織體系和機構(gòu),明確領導,設立專責人長期負責信息安全的管理工作和技術(shù)工作,保證信息安全工作長期有效的開展。
4.2充分使用企業(yè)網(wǎng)絡條件,提供全面,及時和快捷的信息安全服務。我省電網(wǎng)公司廣域網(wǎng)聯(lián)通了系統(tǒng)內(nèi)的各個二級單位,各單位的局域網(wǎng)全部建成,在這種良好的網(wǎng)絡條件下,作為省公司一級的信息安全技術(shù)管理部門應建立計算機網(wǎng)絡應急處理的信息與技術(shù)支持平臺,安全公告,安全法規(guī)和技術(shù)標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經(jīng)驗的場所。網(wǎng)絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。
4.3開展全員信息安全教育和培訓活動。開展安全教育和培訓應該注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員,重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術(shù)人員,重點要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統(tǒng)的安全維護技術(shù)等;廣大信息系統(tǒng)用戶重點要學習各種安全操作流程和行為規(guī)范,了解和掌握與其相關(guān)的信息安全策略,包括自身應該承擔的安全職責等。
5、結(jié)語
電力系統(tǒng)信息安全是一個系統(tǒng)的、全局的管理問題,我們應該用系統(tǒng)工程的觀點方法,分析信息的安全及具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結(jié)果,只有從系統(tǒng)綜合整體的角度去看待、分析,才能取得有效、可行的措施。即信息安全應遵循整體安全性原則,根據(jù)規(guī)定的安全策略制定出合理的信息安全體系結(jié)構(gòu),這樣才能真正做到整個系統(tǒng)的安全。
參考文獻:
[1] 時小明,淺談我國網(wǎng)絡安全現(xiàn)狀及防范措施[J],黑龍江科技信息,2010(14).
