對信息安全的認識范文

時間:2023-10-12 17:35:07

導語:如何才能寫好一篇對信息安全的認識,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。

對信息安全的認識

篇1

關鍵詞:網(wǎng)絡;個人信息安全;信息竊??;“地下經(jīng)濟”

中圖分類號:TP393.08 文獻標識碼:A文章編號:1673-0992(2011)04-0234-01

一、信息安全現(xiàn)狀

(一)定義

信息安全是指由于各種原因引起的信息泄露、信息丟失、信息篡改、信息虛假、信息滯后、信息不完善等,以及由此帶來的風險。具體的表現(xiàn)有:竊取商業(yè)機密;泄漏商業(yè)機密;篡改交易信息,破壞信息的真實性和完整性;接收或發(fā)送虛假信息,破壞交易、盜取交易成果;偽造交易信息;非法刪除交易信息;交易信息丟失;病毒破壞;黑客入侵等。

(二)現(xiàn)狀

目前,一個突出問題是網(wǎng)絡上個人信息的丟失和被非法竊取。2009年3月15日,央視315晚會曝光了海量信息科技網(wǎng)盜竊個人信息的實錄,給國人極大震驚?!昂A啃畔⒖萍季W(wǎng),全國各地的車主信息,各大銀行用戶數(shù)據(jù),甚至股民信息等等,這個網(wǎng)站一應俱全,而且價格也極其低廉。我們僅僅花了100元就買到了1000條各種各樣的信息,上面詳細記錄了姓名、手機號碼、身份證號碼等等,應有盡有。如果說上面這些信息你覺得還不夠全面,接下來的這個木馬程序一定會讓你心驚肉跳,種了這種木馬后,電腦會在你毫不知情的情況下在網(wǎng)上隨意任人擺布?!边@個事件典型的反映在信息化時代高速發(fā)展的今天,個人信息安全問題的解決提上日程已是刻不容緩。

隨著網(wǎng)上交易和電子商務的發(fā)展,個人信息網(wǎng)上流通日益頻繁,加上“產(chǎn)業(yè)化的一個明顯標志是病毒制造者從單純的炫耀技術,轉(zhuǎn)變?yōu)橐垣@利為目的。前者希望病毒盡量被更多人知道,而后者希望最大限度地隱蔽以更多地獲利”,而且,目前國內(nèi)對于這方面并無專門的法律予以裁制,因此,網(wǎng)絡上個人信息安全問題已經(jīng)日益凸顯。

二、應對措施

(一)法律措施

據(jù)了解,目前的《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》中規(guī)定,制造和傳播病毒是違法的,但是對于木馬、黑客程序等并沒有清晰的界定,這也是木馬程序制造者敢于利用網(wǎng)絡公開叫賣的根本原因。此外,目前在打擊新形式犯罪中還存在著立案難、取證難、定罪難等難題。黃澄清說,面對黑色病毒產(chǎn)業(yè)鏈,必須站在維護國家安全和促進中國互聯(lián)網(wǎng)健康快速發(fā)展的高度來保障網(wǎng)絡安全,建立網(wǎng)絡安全國家應急體系,加大對網(wǎng)絡安全領域犯罪的打擊,完善立法。

從個人來說,很多網(wǎng)絡個人信息安全問題的產(chǎn)生,一方面是利益的驅(qū)動,但是另一個很重大的問題是法律真空的存在使侵犯個人信息安全對的行徑得不到有效的制裁,并且被侵權者也不能夠借助法律的武器有效的保護自己的利益,這就更加助長了侵權行為的發(fā)生。從我國經(jīng)濟發(fā)展趨勢來說,經(jīng)濟發(fā)展和信息發(fā)展聯(lián)系愈益緊密,必須加快法治建設水平,使之適應我國經(jīng)濟快速發(fā)展的需要。

在實踐層面上:“一是要準確界定利用網(wǎng)絡技術犯罪案件的管轄范圍,這樣有利于劃清國家安全公安、檢察、法院等單位的職責,打擊違法犯罪!二是針對當前利用網(wǎng)絡技術犯罪的獨特特點和發(fā)展趨勢,制定一套完整的法律,如制定《國家網(wǎng)絡安全法》等,并在實踐中加以完善!三是對各類利用電腦犯罪的立案標準,應有明確的司法解釋。以便于基層安全、司法部門操作,保證查辦工作的順利進行!”

(二)自我保護措施

防患于未然,自我保護是保護自己個人信息安全重要手段。首先。當我們遇到一些必須輸入個人信息才能登錄的網(wǎng)址或完成操作時,我們輸人的個人數(shù)據(jù)必須限于最小的范圍,并且,妥善保管自己的口令、帳號密碼,并不時修改。其次,謹慎注意該網(wǎng)站是否有針對個人數(shù)據(jù)保護的聲明和措施,對那些可以匿名登錄的網(wǎng)站要堅決匿名登錄。最后,對于移動存儲設備,因其傳染病毒的可能性加大,因此,要選擇相對比較保險的移動存儲設備。如選用趨勢維C片,它“價格更加便宜,更重要的趨勢科技將獨有的安全存儲掃描引擎植入到u盤中,而不只是將殺毒軟件向u盤簡單復制。也正因為此,趨勢維C片具備個人防火墻,防間諜軟件防網(wǎng)絡欺詐。漏洞檢查、垃圾郵件過濾、家長控制、專用網(wǎng)絡控制、無線網(wǎng)絡安全等其它所謂殺毒u盤產(chǎn)品所不具備的功能?!?/p>

(三)技術保護措施

1.網(wǎng)絡防火墻技術

防火墻主要是用來隔離內(nèi)部網(wǎng)和外部網(wǎng),對內(nèi)部網(wǎng)的應用系統(tǒng)加以保護。目前的防火墻分為兩大類:一類是簡單的包過濾技術,它是在網(wǎng)絡層對數(shù)據(jù)包實施有選擇的通過。依據(jù)系統(tǒng)內(nèi)事先設定的過濾邏輯,檢查數(shù)據(jù)流中每個數(shù)據(jù)包后,根據(jù)數(shù)據(jù)包的源地址、目的地址、所用的TCP端口和TCP鏈路狀態(tài)等因素來確定是否允許數(shù)據(jù)包通過。另一類是應用網(wǎng)管和服務器,可針對特別的網(wǎng)絡應用服務協(xié)議及數(shù)據(jù)過濾協(xié)議,且能夠?qū)?shù)據(jù)包分析并形成相關的報告。

2.采用安全通信措施,保障個人數(shù)據(jù)的傳輸安全

為保證數(shù)據(jù)傳輸線路的安全,可將集中器和調(diào)制解調(diào)器放在受監(jiān)視的地方,定期檢測是否有搭線竊聽、外連或破壞行為。通過路由選擇控制來限制某些不安全通路。也可采用鑒別技術來鑒別通信方的實體身份和特權,常用的方法有報文鑒別,數(shù)字簽名和終端識別。此外,還可以通過加密算法來實現(xiàn)數(shù)據(jù)的加密,例如美國數(shù)據(jù)加密標準DES和因特網(wǎng)免費提供的PGP系統(tǒng)。

3.加強對用戶的管理

在網(wǎng)上銀行管理中,身份驗證和訪問授權是網(wǎng)上管理用戶的基本措施??诹睢踩~號和密碼是最常用的驗證,可以通過采用加長口令,使用較大字符集構造口令、限制用戶鍵人口令次數(shù)及用戶注冊時間等方法來保證用戶登錄的安全性,或通過采用訪問授權來控制或限制用戶對資源的利用。

4.加強對病毒的測控

網(wǎng)絡個人信息主要是由病毒和木馬進行竊取,病毒對計算機系統(tǒng)的危害最大,為防止計算機病毒和木馬的危害,可以通過限制軟盤的拷貝進入;采用集中式防病毒管理模式,對整個局域網(wǎng)中所有節(jié)點實行集中管理和控制,通過各種檢測方法(特征碼掃描、完整性檢查、變形分析、推斷分析等)檢測病毒,自動進行特征碼更新,實時清除病毒。

參考文獻:

[1]王中鋒,李尚.計算機網(wǎng)絡安全管理淺議[J].南昌教育學院學報.2010年04期

篇2

(一)對信息安全建設缺乏足夠認識。就目前國內(nèi)實際情況來說,傳統(tǒng)行業(yè)對于信息安全建設尚沒有足夠的認識,導致信息安全建設難以切實施行。具體來說,這主要表現(xiàn)在三個方面。一是傳統(tǒng)行業(yè)的領導者對信息安全建設缺少必要的認識,在面對信息化浪潮的沖擊時,其最先想到的是提升行業(yè)品質(zhì)來面對新挑戰(zhàn),卻忽視了通過信息安全建設保護行業(yè)核心信息資源,導致行業(yè)信息被逐漸泄露,無法與新行業(yè)相抗衡,以致逐漸失去競爭力。最典型的就是傳統(tǒng)出版行業(yè),在數(shù)字化刊物逐漸普及的情況下,傳統(tǒng)出版行業(yè)已經(jīng)顯得捉襟見肘,出版物印刷量與銷售量逐年下降。二是行業(yè)內(nèi)部員工缺少對信息安全的認識,在日常工作中,會在不經(jīng)意間泄露行業(yè)信息。更有甚者為了一己私利出賣行業(yè)信息。這些舉動都對傳統(tǒng)行業(yè)造成了極其惡劣的影響。三是普通消費者缺少對信息安全的認識,在某些需要消費者個人信息資料的行業(yè)中,消費者往往沒有考慮個人信息資料是否安全,是否存在泄露的風險以及相應的后果。忽視這些的結果就是消費者缺少對相關企業(yè)信息安全的要求,在發(fā)生意外情況后無法挽回。

(二)信息安全建設技術水平較低。傳統(tǒng)行業(yè)雖然缺乏對信息安全建設的認識,但也并非沒有進行信息安全建設,只是其信息安全建設技術水平較低,無法切實滿足對企業(yè)信息安全的保護。信息安全建設技術水平低主要表現(xiàn)在兩個方面。一是信息安全管理體系架構技術層次低,一個體系架構的技術高低,決定了該體系所能發(fā)揮的功能高低。越先進越高端的技術,其對信息安全的保護也就越安全,反之亦然。傳統(tǒng)行業(yè)信息安全管理體系的基礎架構以及權限設置等信息保障措施,其技術相對一些新行業(yè)而言較為落后,無法符合不斷更新的計算機技術,更無法有效彌補信息安全漏洞,只能說是徒有其表。二是人員管理技術水平較低,人員管理也是信息安全建設的重要環(huán)節(jié)。每一個員工都攜帶著一定程度的行業(yè)信息,只有加強對員工的管理,建立科學人性的管理體系,才能確保企業(yè)人員不會因為失誤或利益泄露行業(yè)信息。

(三)信息安全建設覆蓋范圍較窄。信息安全建設覆蓋范圍較窄主要可以分為兩個方面,一是進行信息安全建設的傳統(tǒng)行業(yè)范圍較窄;二是行業(yè)內(nèi)部信息安全建設的范圍較窄。對于所有傳統(tǒng)行業(yè)而言,已經(jīng)完成信息安全建設或正在建設的行業(yè)并不多。根據(jù)相關統(tǒng)計資料,傳統(tǒng)行業(yè)中完成或進行中的信息安全建設的企業(yè),尚不到20%。這一數(shù)據(jù)說明信息安全建設率在傳統(tǒng)行業(yè)中來講還很低,還需要加強相關理念的宣傳,引導更多的傳統(tǒng)企業(yè)進行信息安全建設。在行業(yè)內(nèi)部,信息安全建設集中在企業(yè)核心機密,即企業(yè)相關財務數(shù)據(jù)、產(chǎn)品數(shù)據(jù)和市場數(shù)據(jù)等,忽視了員工信息安全及一些外在信息安全的構建。雖然此舉能夠保障企業(yè)核心利益,卻無法保證企業(yè)正常良性的運轉(zhuǎn)。

二、傳統(tǒng)行業(yè)信息安全建設中的問題及原因

(一)缺少完善的法律法規(guī)。在信息安全方面,我國尚缺少有效完善的法律法規(guī)來加強信息安全建設,這主要表現(xiàn)在兩個方面。一方面是缺少對傳統(tǒng)行業(yè)信息安全建設的強制性法律法規(guī)。傳統(tǒng)行業(yè)本身對信息安全缺少足夠的認識,再加之缺少必須的法律法規(guī),就致使傳統(tǒng)行業(yè)基本忽視了信息安全建設。另一方面是缺少對信息安全犯罪的法律法規(guī),近年來隨著信息技術發(fā)展迅猛,各種信息安全犯罪層出不窮,犯罪性質(zhì)也從經(jīng)濟犯罪上升到了更加惡劣的性質(zhì)。各種由于個人信息泄露而出現(xiàn)的綁架、搶劫等案件,急需出臺相應的信息安全法律法規(guī)來加以制約。

(二)傳統(tǒng)行業(yè)內(nèi)部信息安全管理不力。信息安全管理主要包括體系建設、制度建設和人員管理。這三個方面的工作在傳統(tǒng)行業(yè)中來說都并不到位。體系建設主要是指信息安全管理體系,一套完整的管理體系,應當從上至下,由內(nèi)而外,將方方面面的信息安全包羅其中,以形成一個上下一體的信息安全管理系統(tǒng)。制度建設主要針對信息安全制定相應的信息安全管理制度,通過確實的規(guī)章制度,對企業(yè)員工形成約束,避免其出現(xiàn)一些不利企業(yè)信息安全的行為。人員管理主要是加強對企業(yè)員工的信息安全意識教育,讓其樹立起保護信息安全的基本意識。

(三)基礎信息安全建設設施缺乏。基礎信息安全建設設施缺乏,是擺在傳統(tǒng)行業(yè)面前的關鍵問題,這主要包括兩個方面的問題。一是技術基礎缺乏,目前我國信息安全建設的技術基礎基本源自國外,這從信息安全的角度來說本身就是一種不安全的行為。只有創(chuàng)建完全自主的信息安全技術,才能杜絕國外技術可能存在的技術后門。二是硬件基礎缺乏,這與技術基礎缺乏對信息安全的不利影響是一致的??偟膩碚f,硬軟件的缺乏,是傳統(tǒng)行業(yè)信息安全建設的最大問題。

三、傳統(tǒng)行業(yè)信息安全建設策略分析

(一)完善信息安全法律法規(guī)。要做好傳統(tǒng)行業(yè)信息安全建設,最首要的就是完善相應的信息安全法律法規(guī),從法律層面對信息安全建設進行定性。首先是明確傳統(tǒng)行業(yè)信息安全建設的義務,通過法律規(guī)定強制傳統(tǒng)行業(yè)進行信息安全建設,迫使其領導層重視信息安全建設,進而在行業(yè)全局決策中增加對信息安全建設的思考與傾斜。其次是對信息安全犯罪作出全面的定性與量刑,加強對信息安全犯罪的打擊力度,通過法律手段減少信息安全威脅。

(二)加強行業(yè)內(nèi)部信息安全管理。加強行業(yè)內(nèi)部信息安全管理,是信息安全建設的重要環(huán)節(jié),其可以從三個方面來進行。第一是構建企業(yè)員工信息梯度,針對企業(yè)不同部門以及不同職位,制定不同的信息等級制度,以此改善員工功能與信息的不對等關系。第二是構建信息管理制度,針對企業(yè)類型、企業(yè)所包含信息的類型以及其機密程度,制定合理的信息管理制度,加強對內(nèi)部員工的約束。第三是加強對企業(yè)員工的信息安全建設培訓,使企業(yè)員工具有一定的信息安全建設意識,能夠從一些小事上進行信息安全建設。

(三)自主化信息安全建設基礎設施。自主化信息安全建設基礎設施應當從基礎技術與基礎硬件兩個方面進行。就基礎技術而言,傳統(tǒng)行業(yè)應該大量參考國外相關技術,博采眾長,創(chuàng)建不依賴于國外技術的信息安全建設技術,真正實現(xiàn)信息安全建設技術國產(chǎn)化,從根源上排除國外技術對傳統(tǒng)行業(yè)信息安全可能存在的技術風險。在基礎硬件方面,傳統(tǒng)行業(yè)可以加強與國內(nèi)硬件廠商的合作,共同研發(fā)具有行業(yè)特點的信息安全建設硬件,減少國外硬件的引入與應用。總的來說,信息安全建設應該在國外硬軟件的基礎上,開發(fā)自主的硬軟件設備,使信息安全建設完全實現(xiàn)國產(chǎn)化。

篇3

關鍵詞:企業(yè)信息安全;信息安全技術;內(nèi)部管理;信息技術;企業(yè)管理 文獻標識碼:A

中圖分類號:F270 文章編號:1009-2374(2015)03-0162-02 DOI:10.13535/ki.11-4406/n.2015.0270

信息技術的應用為企業(yè)管理和運營帶來了極大的便利,而且隨著信息技術在企業(yè)中的應用程度越來越高,信息系統(tǒng)在企業(yè)管理中發(fā)揮的作用也越來越大。但是,企業(yè)在享受信息技術帶來便利的同時,企業(yè)也面臨著信息安全的問題。在網(wǎng)絡環(huán)境下,企業(yè)信息系統(tǒng)存在來自物理環(huán)境、網(wǎng)絡環(huán)境和人文環(huán)境等多個方面對信息安全產(chǎn)生的威脅。根據(jù)有關統(tǒng)計,我國半數(shù)以上的企業(yè)遭受信息攻擊而出現(xiàn)信息泄漏,給企業(yè)帶來經(jīng)濟損失。尤其是中小企業(yè),它們面臨的信息安全問題更加嚴重。因此,加強企業(yè)信息安全管理、保障信息安全,是企業(yè)必須重視且亟需解決的問題。

1 加強信息安全管理對企業(yè)的重要性

1.1 維持企業(yè)核心競爭力的需求

每個企業(yè)或多或少都存在機密的商業(yè)信息數(shù)據(jù),如核心產(chǎn)品、設計文檔、用戶信用卡信息、訂單信息、聯(lián)系方式等。在市場化程度不斷提高的環(huán)境下,這些信息是企業(yè)發(fā)展的命脈,關系到企業(yè)生死存亡。一旦企業(yè)的核心機密信息被泄漏,企業(yè)不僅會面臨巨大的經(jīng)濟損失,企業(yè)可能因失去核心競爭力而失去市場。

1.2 企業(yè)制定科學決策的需求

企業(yè)制定決策嚴重依賴企業(yè)的各項數(shù)據(jù),如果數(shù)據(jù)出現(xiàn)錯誤,會導致企業(yè)制定錯誤的決策,影響企業(yè)發(fā)展方向。而加強信息安全管理可以保障企業(yè)信息數(shù)據(jù)的真實性和完整性,為企業(yè)制定決策提供科學的參考和分析材料。

1.3 保證信息可用性的需要

企業(yè)的數(shù)據(jù)信息不僅是企業(yè)決策層制定決策的科學依據(jù),也是企業(yè)其他職工開展工作的依據(jù)。加強企業(yè)信息安全管理工作可以防止因數(shù)據(jù)丟失引起的人員、流程、

技術服務中斷,確保企業(yè)的關鍵系統(tǒng)得以正常運行。

2 企業(yè)信息安全出現(xiàn)問題的原因分析

2.1 重視程度和認識不足

當前許多企業(yè)的管理人員對信息管理沒有形成正確的認識,對信息安全的認識普遍不夠重視。具體表現(xiàn)在:企業(yè)管理人員關于信息安全管理的模式為事后管理,只有信息安全出現(xiàn)事故后才會采取措施解決問題,并沒有主動采取預防措施。部分企業(yè)的管理人員對信息安全存在僥幸心理,認為企業(yè)可能不會遭受病毒攻擊。重視程度不夠造成企業(yè)不重視加強信息安全管理措施,導致信息安全面臨威脅。

另外,企業(yè)員工也存在認識不足的問題。由于企業(yè)絕大多數(shù)員工是信息系統(tǒng)及信息的使用者和提供者,因而企業(yè)員工對企業(yè)信息安全與否有巨大的影響,企業(yè)信息安全管理也需要企業(yè)所有員工的參與。但是,從許多企業(yè)的信息安全事故可以看到,多數(shù)企業(yè)出現(xiàn)信息安全的主要原因不是來自網(wǎng)絡黑客的惡意攻擊,而在于企業(yè)內(nèi)部員工在有意或無意識狀態(tài)下造成的信息泄漏。這一原因也反映出企業(yè)員工對企業(yè)信息安全的認識和意識都存在不足,這也是企業(yè)信息安全保障系統(tǒng)問題的主要

方面。

2.2 缺少有效的信息管理制度

信息管理屬于比較新的領域,當前政府在信息安全管理方面的法律法規(guī)并不完善,現(xiàn)有法律法規(guī)的安全技術和手段不成熟,缺少標準規(guī)范,政府無法根據(jù)現(xiàn)有法律法規(guī)制定合理的安全策略,保障法律法規(guī)可以得到有效的落實。在企業(yè)方面,尤其信息安全管理屬于系統(tǒng)性統(tǒng)稱,它涉及計算機技術、網(wǎng)絡技術、信息管理等多個方面。然而計算機和網(wǎng)絡技術處于不斷發(fā)展狀態(tài),信息系統(tǒng)也需要不斷升級換代。因此,企業(yè)信息系統(tǒng)運行風險和安全需求應采取同期化管理方式,不斷調(diào)整現(xiàn)有安全策略。而企業(yè)制定管理措施后以為可以一勞永逸,并沒有在隨后不斷調(diào)整安全管理策略。

2.3 缺少信息安全技術

計算機信息技術包括信息安全技術、數(shù)據(jù)恢復技術、系統(tǒng)維護技術、數(shù)據(jù)庫應用技術等多項技術組成的計算機綜合應用學科。由于技術發(fā)展的局限,在設計硬件和軟件過程中難免存在技術缺陷,導致軟硬件存在漏洞。從企業(yè)信息遭受的外界攻擊來看,外界攻擊的目的并不在于破壞軟硬件的底層系統(tǒng),而是通過軟硬件的漏洞侵入系統(tǒng),竊取企業(yè)的核心數(shù)據(jù)。企業(yè)自身對信息安全投入不足,企業(yè)的網(wǎng)絡結構簡單,為他人提供了可乘之機;企業(yè)也沒有強大的計算人才隊伍維護企業(yè)信息系統(tǒng),部分企業(yè)甚至缺少專業(yè)的管理人員,致使信息安全頻發(fā)。

3 加強企業(yè)信息安全的對策

3.1 提高企業(yè)領導和員工的重視程度

首先,企業(yè)領導要轉(zhuǎn)變觀念,深入對信息安全的認識。其次,對企業(yè)員工而言,企業(yè)可以聘請專業(yè)計算機信息技術人才對企業(yè)員工進行安全教育培訓,提高企業(yè)員工對信息安全的認識,轉(zhuǎn)變職工的觀念,加強自身安全規(guī)范,避免出現(xiàn)泄漏企業(yè)信息的行為。另外,企業(yè)要制定企業(yè)人員信息安全行為規(guī)范,如獎勵和懲罰制度、信息安全責任制度,明確信息安全管理責任人及其承擔的責任,強化員工的安全意識。加大企業(yè)對信息安全的投入,一方面加大信息安全軟硬件的投入,信息系統(tǒng)的技術水平;另一方面加大信息安全技術人才隊伍建設,企業(yè)可通過培養(yǎng)或招聘方式提升信息安全管理隊伍的業(yè)務水平。

3.2 建立完善的信息安全管理體系

企業(yè)信息安全管理體系包括完善的組織體系、信息安全規(guī)范、信息安全管理流程。組織體系包括制定和信息安全管理規(guī)范、信息安全管理組織工作兩項內(nèi)容,可以有效保障各項信息安全管理措施能夠得到有效的落實,促進企業(yè)不斷改進信息安全體系。信息安全規(guī)范的主要內(nèi)容為對各種信息安全策略加以詳細說明和介紹,它的存在最大限度地減少人為因素對企業(yè)信息安全造成的威脅。企業(yè)信息安全管理流程需要企業(yè)根據(jù)科學的信息資產(chǎn)評估和分先分析模型法設計系統(tǒng)安全模型,再以此為根據(jù)制定和實施科學的安全策略。企業(yè)選擇可靠的信息安全產(chǎn)品,在安全策略要求下采取安全防范措施。由于技術和設備處于不斷的變化和更新狀態(tài),企業(yè)的發(fā)展情況也不同,這要求企業(yè)建立安全防范體系后還需要重視信息安全管理,并根據(jù)網(wǎng)絡信息和網(wǎng)絡安全特點及時更新安全防范體系,實現(xiàn)安全防范體系動態(tài)

發(fā)展。

3.3 提高企業(yè)信息安全技術

制定完善的信息安全管理體系后,還需依靠高水平信息技術發(fā)揮管理體系的作用。由于當前對企業(yè)信息安全產(chǎn)生威脅的技術較多,防止信息安全漏洞的技術也較多。但是,企業(yè)必須做好驗證與授權、預防和抵制、檢測和響應三個技術領域,再選擇有效的安全防御技術。驗證與授權分別是驗證用戶身份和決定用戶訪問權的方法,當系統(tǒng)確定用戶身份后可以明確用戶的訪問權限,用戶才能使用自己的賬號和密碼訪問權限范圍內(nèi)的信息。預防和抵抗是通過過濾、加密和防火墻等措施防止非法入侵系統(tǒng)并訪問企業(yè)信息,它是企業(yè)必須加強的安全防御環(huán)節(jié)。監(jiān)測和相應是企業(yè)信息安全的最后防線,殺毒軟件是常用的探測和反應技術。

4 結語

總而言之,企業(yè)信息安全必須立足于企業(yè)信息安全內(nèi)部管理和信息安全技術兩個方面,二者缺一不可。企業(yè)要以信息安全技術為支撐,完善內(nèi)部管理體系和制度建設,加強監(jiān)督和管理。同時做好企業(yè)職工的信息安全教育,提高職工的意識。從企業(yè)領導到企業(yè)職工、從技術到管理,全方面做好信息安全管理,保障信息安全。

參考文獻

[1] 耿家觀.企業(yè)信息安全問題與對策分析[J].網(wǎng)絡與信息,2012,(7).

[2] 李國強.網(wǎng)絡環(huán)境下企業(yè)信息安全隱患與防范策略

[J].網(wǎng)絡財富,2010,(15).

[3] 楊福生.網(wǎng)絡環(huán)境下企業(yè)信息安全管理對策[J].中外企業(yè)家,2013,(20).

篇4

關鍵詞: 企業(yè)信息系統(tǒng);信息安全;安全策略

中圖分類號:F270.7 文獻標識碼:A 文章編號:1671-7597(2012)0220165-01

隨著市場經(jīng)濟的不斷發(fā)展,企業(yè)競爭越來越激烈,國際化合作不斷增多,隨之而來的企業(yè)信息安全是目前我國企業(yè)普遍存在的問題。對企業(yè)來說,信息安全是一項艱巨的工作,關系到企業(yè)的發(fā)展。近年來,圍繞企業(yè)信息安全問題的話題不斷,企業(yè)信息安全事件也頻頻發(fā)生,如何保證企業(yè)信息的安全,保證信息系統(tǒng)的正常運轉(zhuǎn),已經(jīng)成為信息安全領域研究的新熱點。

1 企業(yè)信息安全的意義

信息安全是一個含義廣泛的名詞,是指防止信息財產(chǎn)被故意的或偶然的非授權泄露、更改、破壞,或防止信息被非法辨識、控制,即確保信息的保密性、可用性、完整性和可控性。企業(yè)的正常運轉(zhuǎn),離不開信息資源的支撐。企業(yè)信息安全建設對企業(yè)的發(fā)展意義重大。

首先,信息安全是時展的需要。計算機網(wǎng)絡時代的發(fā)展,改變了傳統(tǒng)的商務運作模式,改變了企業(yè)的生產(chǎn)方式和思想觀念,極大推動了企業(yè)文化的發(fā)展。企業(yè)信息安全的建設將使得企業(yè)的管理水平與國際先進水平接軌,從而成長為企業(yè)向國際化發(fā)展與合作的有力支撐。

其次,信息安全是企業(yè)發(fā)展的需要。企業(yè)的信息化建設帶來了生產(chǎn)效率提高、成本降低、業(yè)務拓展等諸多好處。當前越來越多的企業(yè)信息和數(shù)據(jù),都是以電子文檔的形式存在,對企業(yè)來說,信息安全是使企業(yè)信息不受威脅和侵害的保證,是企業(yè)發(fā)展的基本保障,所以,在積極防御,綜合防范的方針指導下,有效地防范和規(guī)避風險,建立起一套切實可行的長效防范機制,逐步建立起信息安全保障體系,有利于企業(yè)的發(fā)展。

最后,信息安全是企業(yè)穩(wěn)定的必要前提。信息安全成為保障和促進企業(yè)穩(wěn)定和信息化發(fā)展的重點,要充分認識信息安全工作的緊迫感和長期性,從企業(yè)的安全、經(jīng)濟發(fā)展、企業(yè)穩(wěn)定和保護企業(yè)利益的角度來思考問題,扎扎實實地做好基礎性工作和基礎設施建設,在建立信息安全保障體系的過程中,必須搞好鏈接信息安全保障體系建設安全、建設健康的網(wǎng)絡環(huán)境,關注信息戰(zhàn)略,保障和促進信息化的健康發(fā)展。

2 企業(yè)信息安全的現(xiàn)狀

我國企業(yè)信息安全包括計算機系統(tǒng)的硬、軟件及系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或惡意的原因而遭到破壞、更改、泄露,使得系統(tǒng)連續(xù)、可靠、正常的運行,網(wǎng)絡服務不中斷。計算機和網(wǎng)絡技術具有復雜性和多樣性,使得企業(yè)信息安全成為一個需要持續(xù)更新和提高的領域。就目前來看,主要存在以下三個方面的隱患。

2.1 企業(yè)缺少信息安全管理制度

企業(yè)信息安全是一個比較新的領域,目前還缺少比較完善的法規(guī),現(xiàn)有的法規(guī),由于相關安全技術和手段還沒有成熟和標準化,法規(guī)也不能很好地被執(zhí)行,安全標準和規(guī)范的缺少,導致無從制定合理的安全策略并確保此策略能被有效執(zhí)行。企業(yè)的信息系統(tǒng)安全問題是一個系統(tǒng)工程,涉及到計算機技術和網(wǎng)絡技術以及管理等方方面面,同時,隨著信息系統(tǒng)的延伸和新興技術集成應用升級換代,它又是一個不斷發(fā)展的動態(tài)過程。因此對企業(yè)信息系統(tǒng)運行風險和安全需求應進行同期化的管理,不斷制定和調(diào)整安全策略,只有這樣,才能在享受企業(yè)信息系統(tǒng)便利高效的同時,把握住信息系統(tǒng)安全的大門。

2.2 員工缺少安全管理的責任心

一個企業(yè)的信息系統(tǒng)是企業(yè)全體人員參與的,不考慮全員參與的信息安全方案,恰恰忽視信息安全中最關鍵的因素――人,因為他們才是企業(yè)信息系統(tǒng)的提供者和使用者,他們是影響信息安全系統(tǒng)能否達到預期要求的決定因素。在眾多的攻擊行為和事件中,發(fā)生最多的安全事件是信息泄露事件。攻擊者主要來自企業(yè)內(nèi)部,而不是來自企業(yè)外部的黑客等攻擊者,安全事件造成最大的經(jīng)濟損失主要是內(nèi)部人員有意或無意的信息泄露事件。針對內(nèi)部員工的泄密行為,目前還沒有成熟的、全面的解決,對于來自企業(yè)信息內(nèi)部信息泄密的安全問題,一直是整個信息安全保障體系的難點和弱點所在。

2.3 信息系統(tǒng)缺乏信息安全技術

計算機信息安全技術是一門由密碼應用技術、信息安全技術、數(shù)據(jù)災難與數(shù)據(jù)恢復技術、操作系統(tǒng)維護技術、局域網(wǎng)組網(wǎng)與維護技術、數(shù)據(jù)庫應用技術等組成的計算機綜合應用學科。由于認識能力和技術發(fā)展的局限性,在硬件和軟件設計過程中,難免留下技術缺陷,網(wǎng)絡硬件、軟件系統(tǒng)多數(shù)依靠進口,由此可造成企業(yè)信息安全的隱患,現(xiàn)在黑客的攻擊并不是為了破壞底層系統(tǒng),而是為了入侵應用,竊取數(shù)據(jù),帶有明顯的商業(yè)目的,許多黑客就是通過計算機操作系統(tǒng)的漏洞和后門程序進入企業(yè)信息系統(tǒng)。隨著網(wǎng)絡應用要求的越來越多,針對應用的攻擊也越來越多,除了在管理制度上確保信息安全外,還要在技術上確保信息安全。

3 企業(yè)信息安全中存在的問題

信息時代的到來,從根本上改變了企業(yè)經(jīng)營形式,企業(yè)實施信息化為其帶來便利的同時也產(chǎn)生了巨大的信息安全風險。由于我國企業(yè)信息安全工作還處于起步階段,基礎薄弱,導致信息安全存在一些亟待解決的問題。比較常見的問題有病毒危害、“黑客”攻擊和網(wǎng)絡攻擊等,這些問題給企業(yè)造成直接的經(jīng)濟損失,成為企業(yè)信息安全的最大威脅,使企業(yè)信息安全存在著風險因素。

3.1 病毒危害

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者數(shù)據(jù),影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它是具有破壞作用的程序或指令集合。計算機病毒已經(jīng)泛濫成災,幾乎無孔不入,據(jù)統(tǒng)計,計算機病毒的種類已經(jīng)超過4萬多種,而且還在以每年40%的速度在遞增,隨著Internet技術的發(fā)展,病毒在企業(yè)信息系統(tǒng)中傳播的速度越來越快,其破壞性也越來越來越強。

3.2 “黑客”攻擊

“黑客”是英文Hacker的諧音,黑客是利用技術手段進入其權限以外的計算機系統(tǒng)的人。黑客破解或破壞某個程序、系統(tǒng)及網(wǎng)絡安全,或者破解某系統(tǒng)或網(wǎng)絡以提醒該系統(tǒng)所有者的系統(tǒng)安全漏洞的過程。通常采用后門程序、信息炸彈、拒絕服務、網(wǎng)絡監(jiān)聽、密碼破解等手段侵入計算機系統(tǒng),盜竊系統(tǒng)保密信息,進行信息破壞或占用系統(tǒng)資源,黑客攻擊已經(jīng)成為近年來經(jīng)常出現(xiàn)的問題。

3.3 網(wǎng)絡攻擊

網(wǎng)絡攻擊就是對網(wǎng)絡安全威脅的具體表現(xiàn),利用網(wǎng)絡存在的漏洞和安全缺陷對系統(tǒng)和資源進行的攻擊。尤其是在最近幾年里,網(wǎng)絡攻擊技術和攻擊工具有了新的發(fā)展趨勢,使借助Internet運行業(yè)務的企業(yè)面臨著前所未有的風險。由此可知,企業(yè)的信息安全問題、以及對信息的安全管理都是至關重要的。要保證企業(yè)信息安全,就必須找出存在信息安全問題的根源,并具有良好的安全管理策略。

4 企業(yè)信息安全的解決方案

為確保企業(yè)信息安全,要堅持積極防御,綜合防范的方針,全面提高信息安全防護能力。因此,面對企業(yè)信息安全的現(xiàn)狀和企業(yè)信息安全發(fā)展中出現(xiàn)的問題,必須實施對企業(yè)的信息安全管理,建設信息安全管理體系,只有建立完善的安全管理制度,將信息安全管理自始至終貫徹落實于信息管理系統(tǒng)的方方面面,企業(yè)信息安全才能得以實現(xiàn)。企業(yè)信息安全的解決方案,具體表現(xiàn)在以下三個方面:

4.1 建立完善的安全管理體系

完整的企業(yè)信息系統(tǒng)安全管理體系首先要建立完善的組織體系,完成制定并信息安全管理規(guī)范和建立信息安全管理組織等工作,保障信息安全措施的落實以及信息安全體系自身的不斷完善。并建立一套信息安全規(guī)范,詳細說明各種信息安全策略。一個詳細的信息安全規(guī)劃可以減輕對于人的因素帶來的信息安全問題。最基本的企業(yè)安全管理過程包括:采用科學的企業(yè)信息資產(chǎn)評估和風險分析模型法、設計完備的信息系統(tǒng)動態(tài)安全模型、建立科學的可實施的安全策略,采取規(guī)范的安全防范措施、選用可靠穩(wěn)定的安全產(chǎn)品等。安全防范體系的建立不是一勞永逸的,企業(yè)網(wǎng)絡信息自身的情況不斷變化,新的安全問題不斷涌現(xiàn),必須根據(jù)暴露出的一些問題,進行更新,保證網(wǎng)絡安全防范體系的良性發(fā)展,

4.2 提高企業(yè)員工的安全意識

科技以人為本,在信息安全方面也是靠人來維護企業(yè)的利益,我們在企業(yè)信息網(wǎng)絡鞏固正面防護的時候不能忽視對人的行為規(guī)范和績效管理。企業(yè)員工信息安全意識的高低是一個企業(yè)信息安全體系是否能夠最終成功實施的決定性因素。企業(yè)應當制定企業(yè)人員信息安全行為規(guī)范,必須有專門管理人才,才能有效地實現(xiàn)企業(yè)安全、可靠、穩(wěn)定運行,保證企業(yè)信息安全。教育培訓是培訓信息安全人才的重要手段,企業(yè)可以對所有相關人員進行經(jīng)常性的安全培訓,強化技術人員對信息安全的重視,提升使用人員的安全觀念,有針對性的開展安全意識宣傳教育,逐步提高員工的安全意識,強調(diào)人的作用,使他們明確企業(yè)各級組織和人員的安全權限和責任,使他們的行為符合整個安全策略的要求。

4.3 不斷優(yōu)化企業(yè)信息安全技術

企業(yè)一旦制定了一套詳細的安全規(guī)劃來武裝自己,保護其智力資產(chǎn),它就開始投入到選擇采用正確信息安全技術上??晒┢髽I(yè)選擇的防止信息安全漏洞的安全技術有很多。當企業(yè)選擇采用何種技術時,首先了解信息安全的三個領域是十分有幫助的,這三個領域變得:驗證與授權、預防和抵制、檢測和響應。其中,用戶驗證是確認用戶身份的一種方法,一旦系統(tǒng)確認了用戶身份,那么它就可以決定該用戶的訪問權限,比如使用用戶名和密碼。預防和抵抗技術是指企業(yè)阻止入侵者訪問。對于任何企業(yè),必須對那些故障做好準備和預測,目前可以幫助預防和建設抵抗攻擊的技術主要有內(nèi)容過濾、加密和防火墻,在選用防火墻的時候,需要對所安裝的防火墻做一些攻擊測試。此外,企業(yè)信息安全的最后一道屏障是探測和反應技術,最常見的探測和反應技術是殺毒軟件。

5 結語

總之,企業(yè)信息安全是一項復雜的系統(tǒng)工程,企業(yè)要適應現(xiàn)代化發(fā)展的需要,要提高自身信息安全意識,加強對信息安全風險防范意識的認識,重視安全策略的施行及安全教育,必須做到管理和技術并重,安全技術必須結合安全措施,并加強信息安全立法和執(zhí)法的力度,建立備份和恢復機制, 為企業(yè)設計適合實際情況的安全解決方案,制定正確和采取適當?shù)陌踩呗院桶踩珯C制,保證企業(yè)安全體系處于應有的健康狀態(tài)。

參考文獻:

[1]張帆,企業(yè)信息安全威脅分析與安全策略[J].網(wǎng)絡安全技術與應用,2007(5).

[2]諶曉歡,企業(yè)信息安全問題及解決方案[J].企業(yè)技術開發(fā),2008(8).

[3]付沙,企業(yè)信息安全策略的研究與探討[J].商場現(xiàn)代化,2007(26).

[4]姜樺、郭永利,企業(yè)信息安全策略研究[J].焦作大學學報,2009(1).

篇5

伴隨社會的信息化推進,通信技術也得到了快速發(fā)展。通信得到了社會的廣泛認可。隨著光纖寬帶、移動電話、移動互聯(lián)網(wǎng)的普及,通信服務在我們的日常生活中發(fā)揮了越來越重要的作用。近年來,伴隨著互聯(lián)網(wǎng)技術在全球迅猛發(fā)展,信息化給人們提供了極大的便利,然而,同時我們也正受到日益嚴重的來自網(wǎng)絡的安全威脅,比如黑客攻擊、重要信息被盜等,網(wǎng)絡安全事件頻發(fā),給人們的財產(chǎn)和精神帶來很大損失。

但是,在世界范圍內(nèi),黑客活動越來越猖狂,黑客攻擊者無孔不入,對信息系統(tǒng)的安全造成了很大的威脅,對社會造成了嚴重的危害。除此之外,互聯(lián)網(wǎng)上黑客網(wǎng)站還在不斷增加,這就給黑客更多的學習攻擊的信息,在黑客網(wǎng)站上,學習黑客技術、獲得黑客攻擊工具變得輕而易舉,更是加大了對互聯(lián)網(wǎng)的威脅。如何才能保障信息系統(tǒng)的信息安全,怎樣才能確保網(wǎng)絡信息的安全性,尤其是網(wǎng)絡上重要的數(shù)據(jù)的安全性。

在通信領域,信息安全尤為重要,它是通信安全的重要環(huán)節(jié)。在通信組織運作時,信息安全是維護通信安全的重要內(nèi)容。通信涉及到我們生活的許多方面,小到人與人之間聯(lián)系的紐帶,大到國與國之間的信息交流。因此,研究信息安全和防護具有重要的現(xiàn)實意義。

一、通信運用中加強信息安全和防護的必要性

1.1搞好信息安全防護是確保國家安全的重要前提

眾所周知,未來的社會是信息化的社會,網(wǎng)絡空間的爭奪尤其激烈。信息化成為國家之間競爭的焦點,如果信息安全防護工作跟不上,一個國家可能面臨信息被竊、網(wǎng)絡被毀、指揮系統(tǒng)癱瘓、制信息權喪失的嚴重后果。因此,信息安全防護不僅是未來戰(zhàn)爭勝利的重要保障,而且將作為交戰(zhàn)雙方信息攻防的重要手段,貫穿戰(zhàn)爭的全過程。一旦信息安全出現(xiàn)問題,可能導致整個國家的經(jīng)濟癱瘓,戰(zhàn)爭和軍事領域是這樣,政治、經(jīng)濟、文化、科技等領域也不例外。信息安全關系到國家的生死存亡,關系到世界的安定和平。比如,美國加利弗尼亞州銀行協(xié)會的曾經(jīng)發(fā)出一份報告,稱如果該銀行的數(shù)據(jù)庫系統(tǒng)遭到網(wǎng)絡“黑客”的破壞,造成的后果將是致命的,3天就會影響加州的經(jīng)濟,5天就能波及全美經(jīng)濟,7天會使全世界經(jīng)濟遭受損失。鑒于信息安全如此重要,美國國家委員會早在2000年初的《國家安全戰(zhàn)備報告》里就強調(diào):執(zhí)行國家安全政策時把信息安全放在重要位置。俄羅斯于2000年通過的《國家信息安全學說》,第一次把信息安全擺在戰(zhàn)略地位。并從理論和時間中加強信息安全的防護。近年來,我國也越來越重視信息安全問題,相關的研究層出不窮,為我國信息安全的發(fā)展奠定了基礎。

1.2我國信息安全面臨的形勢十分嚴峻

信息安全是國家安全的重要組成部分,它不僅體現(xiàn)在軍事信息安全上,同時也涉及到政治、經(jīng)濟、文化等各方面。當今社會,由于國家活動對信息和信息網(wǎng)絡的依賴性越來越大,所以一旦信息系統(tǒng)遭到破壞,就可能導致整個國家能源供應的中斷、經(jīng)濟活動的癱瘓、國防力量的削弱和社會秩序的混亂,其后果不堪設想。由于我國信息化起步較晚,目前信息化系統(tǒng)大多數(shù)還處在“不設防’,的狀態(tài)下,國防信息安全的形勢十分嚴峻。具體體現(xiàn)在以卜幾個方面:首先,全社會對信息安全的認識還比較模糊。很多人對信息安全缺乏足夠的了解,對因忽視信息安全而可能造成的重大危害還認識不足,信息安全觀念還十分淡薄。因此,在研究開發(fā)信息系統(tǒng)過程中對信息安全問題不夠重視,許多應用系統(tǒng)處在不設防狀態(tài),具有極大的風險性和危險性。其次,我國的信息化系統(tǒng)還嚴重依賴大量的信息技術及設備極有可能對我國信息系統(tǒng)埋下不安全的隱患。無論是在計算機硬件上,還是在計算機軟件上,我國信息化系統(tǒng)的國產(chǎn)率還較低,而在引進國外技術和設備的過程中,又缺乏必要的信息安全檢測和改造。再次,在軍事領域,通過網(wǎng)絡泄密的事故屢有發(fā)生,敵對勢力“黑客”攻擊對我軍事信息安全危害極大。最后,我國國家信息安全防護管理機構缺乏權威,協(xié)調(diào)不夠,對信息系統(tǒng)的監(jiān)督管理還不夠有力。各信息系統(tǒng)條塊分割、相互隔離,管理混亂,缺乏與信息化進程相一致的國家信息安全總體規(guī)劃,妨礙了信息安全管理的方針、原則和國家有關法規(guī)的貫徹執(zhí)行。

二、通信中存在的信息安全問題

2.1信息網(wǎng)絡安全意識有待加強

我國的信息在傳輸?shù)倪^程中,特別是軍事信息,由于存在擴散和較為敏感的特征,有的人利用了這一特點采取種種手段截獲信息,以便了解和掌握對方的新措施。更有甚者,在信息網(wǎng)絡運行管理和使用中,更多的是考慮效益、速度和便捷。而把安全、保密等置之度外。因此,我們更要深層次地加強網(wǎng)絡安全方面的觀念,認識到信息安全防護工作不僅僅是操作人員的“專利”,它更需要所有相關人員來共同防護。

2.2信息網(wǎng)絡安全核心技術貧乏

目前,我國在信息安全技術領域自主知識產(chǎn)權產(chǎn)品少采用的基礎硬件操作系統(tǒng)和數(shù)據(jù)庫等系統(tǒng)軟件大部分依賴國外產(chǎn)品。有些設備更是拿來就用,忽略了一定的安全隱患。技術上的落后,使得設備受制于人。因此,我們要加大對信息網(wǎng)絡安全關鍵技術的研發(fā),避免出現(xiàn)信息泄露的“后門”。

2.3信息網(wǎng)絡安全防護體系不完善

防護體系是系統(tǒng)頂層設計的一個重要組成部分,是保證各系統(tǒng)之間可集成、可互操作的關鍵。以前信息網(wǎng)絡安全防護主要是進行一對一的攻防,技術單一?,F(xiàn)代化的信息網(wǎng)絡安全防護體系已經(jīng)成為一個規(guī)模龐大、技術復雜、獨具特色的重要信息子系統(tǒng),并擔負著網(wǎng)絡攻防對抗的重任。因此,現(xiàn)代化信息網(wǎng)絡安全防護體系的建立應具有多效地安全防護機制、安全防護服務和相應的安全防護管理措施等內(nèi)容。

2.4信息網(wǎng)絡安全管理人才缺乏

高級系統(tǒng)管理人才缺乏,已成為影響我軍信息網(wǎng)絡安全防護的因素之一。信息網(wǎng)絡安全管理人才不僅要精通計算機網(wǎng)絡技術,還要熟悉安全技術。既要具有豐富的網(wǎng)絡工程建設經(jīng)驗,又要具備管理知識。顯然,加大信息安全人才的培養(yǎng)任重而道遠。

三、通信組織運用中的網(wǎng)絡安全防護

網(wǎng)絡安全是通信系統(tǒng)安全的重要環(huán)節(jié)。保障通信組織的安全主要是保障網(wǎng)絡安全。網(wǎng)絡安全備受關注,如何防范病毒入侵、保護信息安全是人們關心的問題,筆者總結了幾點常用的防范措施,遵循這些措施可以降低風險發(fā)生的概率,進而降低通信組織中信息安全事故發(fā)生的概率。

3.1數(shù)據(jù)備份

對重要信息資料要及時備份,或預存影像資料,保證資料的安全和完整。設置口令,定期更換,以防止人為因素導致重要資料的泄露和丟失。利用鏡像技術,在磁盤子系統(tǒng)中有兩個系統(tǒng)進行同樣的工作,當其中一個系統(tǒng)故障時,另一個系統(tǒng)仍然能正常工作。加密對網(wǎng)絡通信加密,以防止網(wǎng)絡被竊聽和截取,尤其是絕密文件更要加密處理,并定期更換密碼。另外,文件廢棄處理時對重要文件粉碎處理,并確保文件不可識別。

3.2防治病毒

保障信息系統(tǒng)安全的另一個重要措施是病毒防治。安裝殺毒軟件,定期檢查病毒。嚴格檢查引入的軟盤或下載的軟件和文檔的安全性,保證在使用前對軟盤進行病毒檢查,殺毒軟件應及時更新版本。一旦發(fā)現(xiàn)正在流行的病毒,要及時采取相應的措施,保障信息資料的安全。

3.3提高物理安全

物理安全是保障網(wǎng)絡和信息系統(tǒng)安全的基本保障,機房的安全尤為重要,要嚴格監(jiān)管機房人員的出入,堅決執(zhí)行出入管理制度,對機房工作人員要嚴格審查,做到專人專職、專職專責。另外,可以在機房安裝許多裝置以確保計算機和計算機設備的安全,例如用高強度電纜在計算機的機箱穿過。但是,所有其他裝置的安裝,都要確保不損害或者妨礙計算機的操作。

3.4安裝補丁軟件

為避免人為因素(如黑客攻擊)對計算機造成威脅,要及時安裝各種安全補丁程序,不要給入侵者以可乘之機。一旦系統(tǒng)存在安全漏洞,將會迅速傳播,若不及時修正,可能導致無法預料的結果。為了保障系統(tǒng)的安全運行,可以及時關注一些大公司的網(wǎng)站上的系統(tǒng)安全漏洞說明,根據(jù)其附有的解決方法,及時安裝補丁軟件。用戶可以經(jīng)常訪問這些站點以獲取有用的信息。

3.5構筑防火墻

構筑系統(tǒng)防火墻是一種很有效的防御措施。防火墻是有經(jīng)驗豐富的專業(yè)技術人員設置的,能阻止一般性病毒入侵系統(tǒng)。防火墻的不足之處是很難防止來自內(nèi)部的攻擊,也不能阻止惡意代碼的入侵,如病毒和特洛伊木馬。

四、加強通信運用中的信息安全與防護的幾點建議

為了應付信息安全所面臨的嚴峻挑戰(zhàn),我們有必要從以下幾個方面著手,加強國防信息安全建設。

4.1要加強宣傳教育,切實增強全民的國防信息安全意識

在全社會范圍內(nèi)普及信息安全知識,樹立敵情觀念、紀律觀念和法制觀念,強化社會各界的信息安全意識,營造一個良好的信息安全防護環(huán)境。各級領導要充分認識自己在信息安全防護工作中的重大責仟‘一方而要經(jīng)常分析新形勢卜信息安全工作形勢,自覺針對存在的薄弱環(huán)節(jié),采取各種措施,把這項工作做好;另一方面要結合工作實際,進行以安全防護知識、理論、技術以及有關法規(guī)為內(nèi)容的自我學習和教育。

4.2要建立完備的信息安全法律法規(guī)

信息安全需要建立完備的法律法規(guī)保護。自國家《保密法》頒布實施以來,我國先后制定和頒布了《關于維護互聯(lián)網(wǎng)安全的決定》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息系統(tǒng)國際聯(lián)網(wǎng)保密管理規(guī)定》、《計算機信息系統(tǒng)安全專用產(chǎn)品檢測和銷售許可證管理辦法》、《計算機信息系統(tǒng)安全專用產(chǎn)品分類原則》、《金融機構計算機信息系統(tǒng)安全保護工作暫行規(guī)定》等一系列信息安全方面的法律法規(guī),但從整體上看,我國信息安全法規(guī)建設尚處在起步階段,層次不高,具備完整性、適用性和針對性的信息安全法律體系尚未完全形成。因此,我們應當加快信息安全有關法律法規(guī)的研究,及早建立我國信息安全法律法規(guī)體系。

4.3要加強信息管理

要成立國家信息安全機構,研究確立國家信息安全的重大決策,制定和國家信息安全政策。在此基礎上,成立地方各部門的信息安全管理機構,建立相應的信息安全管理制度,對其所屬地區(qū)和部門內(nèi)的信息安全實行統(tǒng)一管理。

4.4要加強信息安全技術開發(fā),提高信息安全防護技術水平

沒有先進、有效的信息安全技術,國家信息安全就是一句空話。因此,我們必須借鑒國外先進技術,自主進行信息安全關鍵技術的研發(fā)和運用。大力發(fā)展防火墻技術,開發(fā)出高度安全性、高度透明性和高度網(wǎng)絡化的國產(chǎn)自主知識產(chǎn)權的防火墻。積極發(fā)展計算機網(wǎng)絡病毒防治技術,加強計算機網(wǎng)絡安全管理,為保護國家信息安全打卜一個良好的基礎。

4.5加強計算機系統(tǒng)網(wǎng)絡風險的防范加強網(wǎng)絡安全防范是風險防范的重要環(huán)節(jié)

首先,可以采取更新技術、更新設備的方式。并且要加強工作人員風險意識,加大網(wǎng)絡安全教育的投入。其次,重要數(shù)據(jù)和信息要及時備份,也可采用影像技術提高資料的完整性。第三,及時更新殺毒軟件版本,殺毒軟件可將部分病毒拒之門外,殺毒軟件更新提高了防御病毒攻擊的能力。第五,對重要信息采取加密技術,密碼設置應包含數(shù)字、字母和其他字符。加密處理可以防止內(nèi)部信息在網(wǎng)絡上被非授權用戶攔截。第六,嚴格執(zhí)行權限控制,做好信息安全管理工作。“三分技術,七分管理”,可見信息安全管理在預防風險時的重要性,只有加強監(jiān)管和管理,才能使信息安全更上一個臺階。

4.6建立和完善計算機系統(tǒng)風險防范的管理制度

建立完善的防范風險的制度是預防風險的基礎,是進行信息安全管理和防護的標準。首先,要高度重視安全問題。隨著信息技術的發(fā)展,攻擊者的攻擊手段也在不斷進化,面對高智商的入侵者,我們必須不惜投入大量人力、物力、財力來研究和防范風險。在研究安全技術和防范風險的策略時,可以借鑒國外相關研究,尤其是一些發(fā)達國家,他們信息技術起步早,風險評估研究也很成熟,我們可以借鑒他們的管理措施,結合我們的實際,應用到風險防范中,形成風險管理制度,嚴格執(zhí)行。

其次,應當設立信息安全管理的專門機構,并配備專業(yè)技術人才,選拔防范風險的技術骨干,開展對信息安全技術的研究,對系統(tǒng)弱點進行風險評估,及時采取補救措施。完善信息安全措施,并落實到信息安全管理中去。

篇6

1企業(yè)信息安全相關概述

1.1信息安全的含義

迄今為止,對信息安全依然沒有一個統(tǒng)一和公認的定義。但是從國內(nèi)外研究來看,對其主要存在2種說法:一種指的是具體信息安全技術系統(tǒng)的安全;而另一種則指的是某些特定的信息體系的安全。上述2種定義主要站在靜態(tài)的角度上闡述了信息安全的基本層面,但是信息系統(tǒng)和網(wǎng)絡的影響決定了信息安全是一個動態(tài)的改變,其主要是防止企業(yè)信息遭到惡意泄露、破壞、更改[1]。信息安全的最終目的是向合法的對象提供安全、可靠的信息。

1.2信息安全在企業(yè)中發(fā)揮的重要作用

企業(yè)信息作為企業(yè)的寶貴資源,保證企業(yè)信息的安全性對企業(yè)的生存和發(fā)展具有重要作用,主要體現(xiàn)在以下3個方面:一是企業(yè)信息安全是保障企業(yè)正常運行的基本前提。在網(wǎng)絡時代背景下,企業(yè)信息安全的內(nèi)容更廣泛,再加上現(xiàn)代企業(yè)制度的不斷建立和完善,越來越多的企業(yè)依靠信息數(shù)據(jù)庫開展各項工作,例如:對于市場情況的分析、做出重大決策等等。二是保障企業(yè)信息安全是提高企業(yè)市場競爭力的必備條件。隨著市場經(jīng)濟的不斷完善,企業(yè)面臨的競爭也越來越激烈,在這種形勢下,企業(yè)要想獲取市場競爭優(yōu)勢就需要依靠信息安全來實現(xiàn)。三是企業(yè)信息安全作為企業(yè)發(fā)展戰(zhàn)略中重要的組成部分,而企業(yè)實施各項戰(zhàn)略主要是通過自身的經(jīng)營活動、財務信息等開展的,這些數(shù)據(jù)也能夠?qū)⑵髽I(yè)的戰(zhàn)略實施方法以及下一步計劃詳細地反應出來,因此,如果企業(yè)的信息安全無法得到保障,那么企業(yè)要實施各項戰(zhàn)略難度也很大。

2網(wǎng)絡時代下企業(yè)信息安全風險分析

2.1缺乏高度的信息安全風險意識

在網(wǎng)絡時代的浪潮下,很多企業(yè)都在逐步加強自身信息安全的建設,通過加大資金投入、創(chuàng)新技術等措施來保障自身的信息安全,然而,對信息風險的控制并非僅僅依靠技術就可以實現(xiàn),更重要的是人們要樹立起信息安全的風險意識。但是從當前來看,還有很大一部分企業(yè)的領導者、管理者、員工缺乏對信息安全風險的高度重視,主要表現(xiàn)在:個別人甚至片面地認為信息安全僅僅是網(wǎng)絡部門的責任,跟自身沒有多大關系;二是有個別企業(yè)領導者認為對信息安全的宣傳過度夸張,遭受網(wǎng)絡攻擊的概率小,一般不會發(fā)生在自己身上;三是個別企業(yè)沒有建立信息安全風險管理體系,再加上企業(yè)缺乏具體的故障系統(tǒng),導致企業(yè)信息安全遭到風險時,員工往往手足無措,雖說有些企業(yè)針對自身的信息安全制定了一系列規(guī)章和制度,但是由于缺乏針對性和操作性,導致這些制度無法得到真正落實。

2.2應用系統(tǒng)的安全性不高

企業(yè)要實現(xiàn)信息化建設的目的,少不了各種應用系統(tǒng)作支撐,但是從實際情況來看,很多企業(yè)還存在著應用系統(tǒng)的安全性不高等問題,進而導致企業(yè)在數(shù)據(jù)傳輸和存儲等方面存在漏洞。如此容易被一些病毒、惡意軟件竊取,實現(xiàn)非法訪問,進而引發(fā)企業(yè)信息丟失或者泄露等安全風險。另外,很多企業(yè)應用系統(tǒng)的安全方模式也較為單一,絕大部分主要是采用“口令”的方式進行認證,無法實現(xiàn)對信息安全全方位的防范。另外,企業(yè)設置的密碼過于簡單、操作不規(guī)范等等都會增加應用系統(tǒng)安全的風險。

2.3技術設備和設施的作用發(fā)揮不足

個別企業(yè)為了防范信息安全風險,針對一些重要信息設置了安全設備,但是由于操作條件和參數(shù)設施不夠合理,無法將這些設備的作用充分發(fā)揮出來。還有很多企業(yè)沒有通過建立工作日志來對安全設備、設施的運行情況進行監(jiān)控,進而不能根據(jù)企業(yè)的經(jīng)營情況對信息安全進行風險控制,更無法采取有效措施保障企業(yè)風險管理。

3網(wǎng)絡時代下控制企業(yè)信息安全風險途徑分析

3.1加強信息安全教育,提高信息安全風險意識

由于在企業(yè)信息安全控制中,提高員工的信息安全意識是保證企業(yè)信息安全的決定性因素,因此,企業(yè)應該加強對員工的信息安全教育,幫助員工樹立起信息安全風險意識,例如:企業(yè)可以利用一些重大節(jié)日開展關于信息安全的演講比賽、征文比賽,也可以通過建立適當?shù)募钪贫纫约伴_展培訓活動等途徑來加強員工對信息安全重要性的認識,進而提高自身的信息安全風險防范意識和觀念。

3.2加強信息化建設,設置信息安全管理部門

在企業(yè)信息化建設中,信息安全作為重要的基礎,企業(yè)要強化自身的內(nèi)部控制,就應該落實信息安全的建設工作。加強信息化建設首先需要企業(yè)將信息安全納入安全管理范圍內(nèi),進而突出信息安全建設管理的重要地位;然后不斷健全信息安全的責任制度,爭取形成信息安全聯(lián)動管理機制,確保信息安全管理的有效性;最后,在企業(yè)中設置信息安全管理機構,該部分的主要職能為企業(yè)信息安全建設、管理以及員工的信息安全教育培訓工作等,從而為企業(yè)的信息安全風險控制創(chuàng)建一個良好的內(nèi)部環(huán)境[2]。

3.3運用新技術,加強信息安全風險防范

當前控制信息安全風險常見的主要有VPN技術和防火墻技術:(1)VPN技術。VPN主要指的是在公共網(wǎng)絡的虛擬專用網(wǎng)絡中建立一個臨時的安全鏈接,在通常情況下,對VPN內(nèi)部進行擴展可以實現(xiàn)遠程操作,建立一條分公司、商業(yè)合作商和供應商跟公司內(nèi)部網(wǎng)絡安全聯(lián)系,從而確保信息交換的安全性,保證數(shù)據(jù)傳輸?shù)陌踩?。?)防火墻技術。防火墻也被稱為訪問控制系統(tǒng),主要是通過對網(wǎng)絡做拓撲結構和服務類型上的隔離來保障網(wǎng)絡安全。運用防火墻技術可以保證企業(yè)的內(nèi)部網(wǎng)絡免受外部網(wǎng)絡的侵占,并阻斷非法訪問的外部網(wǎng)絡進入企業(yè)內(nèi)部網(wǎng)絡,保證企業(yè)信息和資源的安全。

4結語

篇7

信息安全是指信息網(wǎng)絡系統(tǒng)受到保護,不會因為偶然或惡意的原因而遭到破壞、更改、泄露,信息系統(tǒng)能夠連續(xù)可靠、正常地運行,信息服務不中斷,實現(xiàn)業(yè)務的連續(xù)性。

信息安全主要包括五個方面的內(nèi)容:保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統(tǒng)的安全性,由此確保內(nèi)部信息不受內(nèi)部、外部、自然等因素的威脅,從而保障財產(chǎn)和人身安全。

二、高校信息安全現(xiàn)狀

(一)學生信息安全意識缺乏

高校大學生是使用網(wǎng)絡和通訊手段較為頻繁的一個群體,但對信息安全的界定和措施認識模糊多數(shù)學生認為信息安全就是網(wǎng)絡病毒,忽略了對個人網(wǎng)絡信息資料的保護大學生忽略信息安全習慣的養(yǎng)成,在各類密碼設置時用個人電話或生日設置,在網(wǎng)上過度公開個人基本信息,給黑客提供了破解的機會。

(二)信息安全管理不夠完善

一方面,從管理制度上缺乏重視,沒有形成健全的信息安全防護機制,即使有制度但執(zhí)行不嚴,造成舊的管理體制和方法難以適應日新月異的安全問題另一方面,從技術上缺乏支撐,一些管理人員缺乏必要的安全防護技術,不能安全地配制和管理網(wǎng)絡,不重視經(jīng)費投入,造成設備陳舊引發(fā)安全隱患。

(三)信息安全教育缺乏創(chuàng)新

許多高校對學生的安全教育只停留在口頭宣傳或講座,學生聽過之后只能引起暫時的重視,并不能引導形成長期的意識和習慣一些高校嘗試將信息安全教育納入教學,但課程開設、教材充實和教學效果缺乏研討與完善,造成教學流于理論灌輸,達不到啟發(fā)實踐的目的。

(四)犯罪分子手法不斷翻新

當前,我國一些地區(qū)電信、網(wǎng)絡詐騙案件持續(xù)高發(fā),被騙金額巨大此類犯罪在原有作案手法的基礎上手段翻新,作案者冒充電信局、公安局等單位工作人員,使用任意顯號軟件、VOIP電話等技術,對受害人進行威脅,或以網(wǎng)購、親屬遭綁架等理由騙取受害人錢財。

三、大學生信息安全教育的內(nèi)容

(一)信息安全法律教育

加強大學生對信息安全法律和學校相關管理規(guī)定的學習,使學生了解和認清信息安全的重要性和相關犯罪所必須承擔的責任,培養(yǎng)他們的法律觀念,從而自覺規(guī)范思想和行為,以免違犯或自身利益受到侵害。

(二)信息安全意識教育

通過開設課程和案例教育,使學生了解信息系統(tǒng)和黑客可能對其進行的攻擊與破壞,提高防范意識,培養(yǎng)良好的日常操作習慣,在遇到問題時能夠及時加以識別和解決,避免因認知匱乏或行為失范造成的損失和傷害。

(三)信息安全技能教育

重視理論與實踐相結合地教育方式,使學生掌握基本的防范技能,如安全工具和軟件的使用等,以及一旦遭受侵害應及時采取的措施,提高學生自身的應對能力,抵御和防范信息安全事故發(fā)生。

四、加強大學生信息安全教育的措施

(一)加強網(wǎng)絡信息安全管理

建立和完善校園網(wǎng)絡安全管理機構,加大對信息安全工作的重視和投入,選拔和聘用既有技術又懂管理的網(wǎng)絡信息安全專職人員,落實信息安全責任,明確信息資源安全等級,加強信息安全技術硬件建設及日常維護升級在學生中發(fā)展和建立一支專門的信息安全員隊伍加以監(jiān)控,完善網(wǎng)絡信息安全應急處置預案,從各方面完善信息安全防范體系,為教育教學創(chuàng)造安全的網(wǎng)絡環(huán)境。

(二)加強信息安全的宣傳與培訓

通過安全知識講座、研討會、安全周活動等形式,會同公安部門向大學生廣泛普及信息安全知識,以案例和技能的培訓提高大學生自覺抵制信息詐騙與犯罪的意識和能力充分利用校園微博、微信的新媒體作用,加強日常安全提示和安全常識的宣傳,在新生開學、畢業(yè)生就業(yè)等重要節(jié)點加大宣傳力度,營造信息安全的良好氛圍。

(三)將信息安全教育納入日常教學

開設信息安全教育課程,針對學校的實際情況和專業(yè)的實際特點,融入不同側重和有針對性的授課內(nèi)容,如單設課程或?qū)⑵浼{入形勢政策課等加強信息安全師資隊伍建設,建立一支既掌握相關科學知識又了解信息安全法律法規(guī)的高素質(zhì)教師隊伍,提高課堂授課水平和效果。

(四)加強大學生信息安全防范實踐

篇8

1、 被"信息安全"保護的對象(網(wǎng)絡信息系統(tǒng))是一個"復雜巨系統(tǒng)"。

它包括了大量的軟件和硬件的IT產(chǎn)品;一個跨部門和跨地域的網(wǎng)絡通信系統(tǒng);一套組織管理和標準規(guī)范的機制;一個機房、電力和安保的物理環(huán)境;一批運維、管理和應用的人群;大量珍貴和敏感的信息資源。這些都與部門業(yè)務緊密耦合,運作協(xié)調(diào)機制復雜。要保護這個"復雜巨系統(tǒng)"的安全,使其保證部門業(yè)務的可持續(xù)性,就帶來了巨大的艱巨性。

2、 社會正在對"網(wǎng)絡信息系統(tǒng)"形成強烈的依賴,信息安全使命艱巨。

隨著信息化的快速發(fā)展,信息化已快速融入到政治、經(jīng)濟、文化、軍事、社會的各個領域,如電子政務、電子商務、數(shù)字企業(yè)、數(shù)字社區(qū)、遠程教育、網(wǎng)絡銀行等,使整個社會對網(wǎng)絡信息系統(tǒng)形成了強烈的依賴,如果由于信息安全原因,使系統(tǒng)癱瘓不能提供服務,給社會造成的影響將是嚴重的,一些重要領域想恢復原手工操作模式已成為不可能,這種嚴重后果必須要有清醒的認識。

3、 信息安全是一種高技術的對抗。

信息安全的威脅方(黑客、病毒、間諜軟件......)正在利用高技術手段,對網(wǎng)絡信息系統(tǒng)實施侵入、干擾、竊取和破壞,而其使用的的高技術手段不斷花樣翻新和日新月異,如"病毒"利用系統(tǒng)的漏洞侵入和泛濫,十年前從尋找漏洞到病毒入侵系統(tǒng)和泛濫,需要幾個月或一年的時間,而現(xiàn)在可能只需要一天,即稱為"零日攻擊"。"間諜軟件"潛入系統(tǒng)竊密途徑,DDOS拒決服務攻擊方式等都在快速的利用高技術手段,因此防護者也必需要采用高技術手段,要高于它才能奏效,對于這場高技術對抗的艱巨性必須要有充份的認識。

4、 信息安全的攻守雙方嚴重的不對稱,易攻難守。

網(wǎng)絡信息系統(tǒng)是在為全社會各領域提供信息及其服務,其大部分資源和服務是暴露在明處,而攻擊者是在暗處,它較易捕捉你的弱點,伺機侵入、潛伏、竊取和破壞,使信息安全保護者處于被動地位。

(二)、認真落實信息安全的重要使命

信息安全要創(chuàng)建"四種能力":

1、構建完善的信息安全基礎設施,為信息安全提供公共的支撐能力。如建立由數(shù)字認證、安全測評、網(wǎng)絡監(jiān)控、事件通報、應急支援、災難恢復、輿情治理等信息安全基礎支撐平臺和支撐體系。

2、提升信息安全的防護與對抗能力。信息安全的攻與防是一個過程,要從預警、監(jiān)測、防護、恢復、反擊等過程中各個環(huán)節(jié)都要采取有效的對抗手段,才能奏效。

3、建立應對網(wǎng)絡突發(fā)災難事件的應急和容災能力。當網(wǎng)絡突然災難事件來臨時,要啟動應急預警,采取災難恢復機制,即使在全系統(tǒng)毀滅的情況下,也能在異地即時恢復信息系統(tǒng)的使命,保持業(yè)務的可持續(xù)性。

4、強化信息安全管理可控能力。鑒于信息系統(tǒng)的復雜性和使用行為的多樣性,可靠技術手段是不能完全奏效的,必須要動用管理可控手段,雙管齊下,所以信息安全的對策是技術與管理手段并用。

信息安全要保障信息及其服務具有"6性":

信息的"保密性"、信息的"完整性"、系統(tǒng)及服務的"可用性"、信息內(nèi)容及立體行為的"可核查性"、主客體身份的"真實性",主體行為和信息內(nèi)容的"可控性"。

(三) 、果斷推進,信息安全的全局對策

1、 落實信息安全的等級保護制度

認真落實國家的相關信息安全的等級保護制度文件,根據(jù)網(wǎng)絡信息系統(tǒng)使命的重要性,信息系統(tǒng)資產(chǎn)價值和對社會的影響程度,確定信息系統(tǒng)相應的安全等級,其目的是在信息安全投入(資金、人力、資產(chǎn)......)與系統(tǒng)所能承受最小風險之間找一個科學的平衡點,保護國家、社會和業(yè)主的最大利益。

2、 構建網(wǎng)絡信息系統(tǒng)的"信息安全保障體系"

根據(jù)信息系統(tǒng)的安全等級,依據(jù)國家已的相關標準和規(guī)范,構建或者調(diào)整網(wǎng)絡信息系統(tǒng)的信息安全保障體系,在信息安全保障體系建設或調(diào)整中,在作好信息系統(tǒng)安全需求分析的基礎上,要重點抓好:①、網(wǎng)絡縱深防御體系的設計,安全域的科學劃分和安全邊界的有效隔離。②、網(wǎng)絡動態(tài)防護機制設計,安全機制能在安全對抗的全生命周期過程中有效協(xié)同和對抗。③、建設好基于密碼技術的網(wǎng)絡信任體系,包括身份認證,授權管理和責任認定。④、強化內(nèi)部審計,從網(wǎng)絡級、數(shù)據(jù)庫級、系統(tǒng)級、主機級和介質(zhì)級的全局審計入手,并逐漸使審計點前移。⑤、建設好信息系統(tǒng)的"信息安全管理體系"(ISMS),遵從PDCA模型,不斷優(yōu)化ISMS。

3、 抓好信息安全測評的風險評估工作

鑒于網(wǎng)絡信息系統(tǒng)是一個"復雜巨系統(tǒng)",其信息安全檢測與風險評估就是一項"系統(tǒng)工程",在重視培育自評估能力的同時,要重點通過專業(yè)的第三方(行政檢查評估或服務委托評估),即時發(fā)現(xiàn)隱患,采取對策,調(diào)整系統(tǒng),提升強度,與所確定的安全等級相匹配。

篇9

【關鍵詞】信息安全 發(fā)展趨勢 互聯(lián)網(wǎng) 【中圖分類號】F49 【文獻標識碼】A

無論是個人、商家,還是社會組織、媒體,在發(fā)展過程中均離不開互聯(lián)網(wǎng)。從目前來看,較為常用的信息安全技術包括:防火墻技術、生物識別技術以及入侵檢測技術等。這些技術的應用,在很大程度上保證了網(wǎng)絡信息的安全性。從網(wǎng)絡系統(tǒng)以及管理等層面考慮,要想使互聯(lián)網(wǎng)的信息安全得到全面提升,還有必要從多個方面加以完善?;ヂ?lián)網(wǎng)的優(yōu)勢主要包括:其一,能夠不受空間限制,實現(xiàn)信息的交換;其二,信息更新速度快,具備時域性特征;其三,具備互動性特征,能夠滿足人與信息以及人與人之間的互動交流;其四,在信息交換過程中,存在諸多形式,包括文字的信息交換、圖片的信息交換以及視頻的信息交換等。也正因為互聯(lián)網(wǎng)的諸多優(yōu)勢,使其具備非常廣闊的發(fā)展前景。雖然我國互聯(lián)網(wǎng)網(wǎng)民的數(shù)量眾多,但是由于受到內(nèi)外部環(huán)境的影響,我國互聯(lián)網(wǎng)發(fā)展和西方發(fā)達國家比較起來,尚存在一定的差距。這種差距主要體現(xiàn)在商業(yè)用途、信息價值以及信息安全等方面。我國互聯(lián)網(wǎng)內(nèi)容中,存在著一些低俗信息,這些信息充滿了語言上的謾罵以及誹謗等,顯然,這些低俗信息違反了國家法律法規(guī)。此外,由于互聯(lián)網(wǎng)信息安全問題的存在,在沒有很好的防范措施的情況下,還可能讓企業(yè)面臨巨大的經(jīng)濟損失。因此,有必要及時解決信息的安全問題,在確?;ヂ?lián)網(wǎng)信息安全的基礎上,為互聯(lián)網(wǎng)的良性發(fā)展奠定堅實的基礎。

互聯(lián)網(wǎng)信息安全的三個層次

信息安全屬于傳統(tǒng)保密技術的延續(xù)及其發(fā)展,也屬于互聯(lián)網(wǎng)時代出現(xiàn)的一個全新概念。信息安全涵蓋的內(nèi)容很多,信息安全行為主體、信息防護策略以及任務目標等均屬于信息安全的內(nèi)容。要想更為深入地認識信息安全,需從三個層次出發(fā)。

第一個層次,被稱為信息安全的重要性層次。從信息內(nèi)容安全、信息系統(tǒng)安全以及信息網(wǎng)絡安全等多個層面來看,信息安全的重要性是毋庸置疑的。常見的信息安全事件包括信息內(nèi)容偽造、泄露以及假冒等;信息系y受到病毒感染、攻擊以及入侵等;信息網(wǎng)絡中斷、癱瘓等;信息基礎建設被損壞等。顯然,確保信息的安全性非常關鍵。在確保信息的安全性的基礎上,才能夠使信息安全事件的發(fā)生得到有效控制。

第二個層次,被稱為信息安全的影響力層次。網(wǎng)絡攻擊武器和信息之間存在密切的關聯(lián)性,而美國把網(wǎng)絡攻擊武器視作殺傷力巨大的破壞性武器。倘若一個國家或企業(yè)的信息系統(tǒng)出現(xiàn)癱瘓故障,那么帶來的損失將難以估計。顯然,信息安全的影響力是巨大的。要想促進網(wǎng)絡發(fā)展,需要確保信息的安全性,合理應用信息,并采取有效的預防和處理措施。

第三個層次,被稱為信息安全的技術作用層次。近年來,隨著航海技術的進步及其發(fā)展,國家的領海范圍有所擴充。而航空技術的進步及發(fā)展,也讓國家進行了領空的擴展。顯然,科學技術的發(fā)展離不開網(wǎng)絡的支持,而網(wǎng)絡疆域的出現(xiàn),更能夠體現(xiàn)出信息安全技術的重要性。要想使國家疆域得到有效發(fā)展,需要注重信息安全技術的作用,并逐步提高信息安全。

互聯(lián)網(wǎng)信息安全的實現(xiàn)

加強互聯(lián)網(wǎng)信息安全的防御能力。要想使互聯(lián)網(wǎng)信息安全得到有效保障,有必要加強互聯(lián)網(wǎng)信息安全的防御能力。互聯(lián)網(wǎng)信息防御過程中,最為重要的是查找出不良信息以及信息病毒等,進而采取有效防御策略。其中,防火墻技術和入侵檢測技術在其中的應用便顯得非常關鍵。防火墻的設置,能夠使一些重要信息被竊取的幾率大大降低。近年來,隨著網(wǎng)絡信息安全問題的不斷增加,防火墻技術也不斷完善。入侵檢測技術主要是對未授權的網(wǎng)絡信息或者有違法律法規(guī)的信息進行檢測,通過檢測將這部分不良信息排除,進而確保信息的安全性。除上述提到的兩項常用技術外,生物識別技術、數(shù)據(jù)加密技術等,均能夠保證信息的安全性。

加強互聯(lián)網(wǎng)信息安全的系統(tǒng)化管理。對于互聯(lián)網(wǎng)來說,其系統(tǒng)的構成存在復雜程度高的特點,主要的子系統(tǒng)包括:操作系統(tǒng)、服務系統(tǒng)、數(shù)據(jù)庫系統(tǒng)。為使系統(tǒng)信息的安全性得到有效保障,需做好每一個子系統(tǒng)的監(jiān)控以及保護工作。通過系統(tǒng)數(shù)據(jù)的分析,掌握系統(tǒng)可能受到的損害,進而加強監(jiān)控。與此同時,還有必要逐步對系統(tǒng)的防御功能進行強化,例如,網(wǎng)絡安全漏洞掃描技術的應用,能夠在一定程度上確保系統(tǒng)的信息安全。通過這項技術,對互聯(lián)網(wǎng)系統(tǒng)潛在安全隱患進行預警,并進行風險評估,進而采取有效防范措施。

構建完善的互聯(lián)網(wǎng)信息安全管理方案。對互聯(lián)網(wǎng)信息安全管理方案加以構建,才能夠使互聯(lián)網(wǎng)信息安全得到有效實現(xiàn)。一方面,需加強對信息管理工作人員的教育,提高信息管理工作人員的安全管理意識,使其認識到加強互聯(lián)網(wǎng)內(nèi)外部信息安全管理的重要性,使得不法分子傳播網(wǎng)絡病毒以及攻擊網(wǎng)絡的行為得到有效遏制。另一方面,對于網(wǎng)絡秘密信息,未經(jīng)授權人員不可訪問,同時需利用加密處理技術,防范不法分子竊取。此外,為了使網(wǎng)絡信息安全在整體上得到有效保障,還有必要構建完善的網(wǎng)絡信息安全管理制度。

互聯(lián)網(wǎng)信息安全的價值

互聯(lián)網(wǎng)的良好規(guī)范發(fā)展。要想使互聯(lián)網(wǎng)在未來具備良性的發(fā)展,有必要采取策略,確?;ヂ?lián)網(wǎng)信息的安全。從信息安全的價值來看,它能夠促進互聯(lián)網(wǎng)的有序發(fā)展。比如,在經(jīng)濟方面,我國目前構建了覆蓋全國的公用電信網(wǎng)以及廣播電視網(wǎng)等,且互聯(lián)網(wǎng)逐步滲透到各個行業(yè),對其發(fā)展起到了促進的作用。然而,由于互聯(lián)網(wǎng)信息存在一些問題,如病毒傳播問題,以及信息管理問題等,針對這些問題,需要采取行之有效的防范處理方法,進一步確保信息的安全。在確保網(wǎng)絡信息安全的基礎上,互聯(lián)網(wǎng)技術不僅能夠穩(wěn)定企業(yè)的經(jīng)濟,還能夠起到穩(wěn)定社會的作用,并進一步強化國家的安全。

使用者的權益保證。在科學技術不斷發(fā)展的背景下,我國國民經(jīng)濟也呈現(xiàn)出不斷發(fā)展的狀況。在這樣的大背景、大趨勢之下,廣大人民群眾對信息的依賴表現(xiàn)得越來越明顯。例如,平板電腦、智能手機開始滲透到人們的日常生活以及工作、學習當中。通過互聯(lián)網(wǎng)的應用,手機和電腦都能夠豐富人們的生活、開拓人們的視野。但人們在“網(wǎng)上沖浪”過程中,勢必涉及到信息的、獲取,為了保護人們的信息安全,需要采取一些安全技術,如信息加密技術、防火墻技術等。在信息安全得到有效保障基礎上,使用者的合法權益便能夠得到有效保證。

保護電子信息的機密。除上述作用之外,信息安全還具備保護電子信息機密的作用。近年來,我國電子商務呈現(xiàn)了快速的發(fā)展態(tài)勢。電子商務關乎一些商業(yè)機密信息,以及個人財產(chǎn)信息等。為了使電子商務信息的安全得到有效保障,有必要采取一些防范技術,如公鑰加密技術,以及私鑰加密技術等,這些技術的應用,能夠?qū)崿F(xiàn)對文件的加密以及解密,進而確保電子商務信息的安全性。總的來說,信息安全能保護電子信息的機密,進而使經(jīng)濟損失以及商業(yè)機密竊取等風險事件的發(fā)生得到有效控制。此外,VPN加密技術的應用等,也在很大程度上保護了電子信息的機密。

(作者單位分別為新疆警察學院;新疆工程學院)

【參考文獻】

①孫勇、王創(chuàng)科:《計算機信息技術在互聯(lián)網(wǎng)中的應用探索》,《數(shù)字技術與應用》,2015年第7期。

篇10

 

我國近二十年來信息化建設飛速發(fā)展,各個行業(yè)對信息系統(tǒng)的依賴程度都在提高,信息化、數(shù)字化已經(jīng)成為現(xiàn)代社會一個非常明顯的進步標志。目前,信息技術在高校建設應用范圍也越來越廣, 數(shù)據(jù)中心作為高校辦學核心技術所在更是早就向數(shù)字化和信息化發(fā)展,由此導致信息系統(tǒng)的安全問題越來越突出,所以數(shù)據(jù)中心的信息安全建設日趨重要,以此提高數(shù)據(jù)中心對信息風險的防范能力。

 

1 高校數(shù)據(jù)中心信息安全建設的重要性及隱患

 

高校數(shù)據(jù)中心是保障校內(nèi)多個應用系統(tǒng)安全運行,保證學生身份認證和管理、日常辦公、人事管理、財務管理、圖書資料管理、教務選課等工作的前提條件,另外數(shù)據(jù)中心內(nèi)存有學校各種重要的資料和關鍵的數(shù)據(jù)。 保證這些資料數(shù)據(jù)的安全,保障各應用系統(tǒng)的安全運行是數(shù)據(jù)中心的一項重要職責,所以進行數(shù)據(jù)中心信息安全建設是確保高校數(shù)據(jù)安全的必然選擇,其根本出發(fā)點和歸宿是為了保證數(shù)據(jù)中心信息不丟失或者被盜[1]。

 

然而,隨著互聯(lián)網(wǎng)技術日新月異的發(fā)展,數(shù)據(jù)中心存在安全隱患。這些安全隱患除了來自管理制度的不健全外,有來自于現(xiàn)有網(wǎng)絡各種攻擊技術手段,未被授權的訪問可能會導致數(shù)據(jù)整體性和私密性遭到破壞,還有一些數(shù)據(jù)中心內(nèi)部的操作,如新業(yè)務系統(tǒng)上線,系統(tǒng)升級等帶來的網(wǎng)絡宕機。各種安全產(chǎn)品、安全技術的簡單堆砌并不能保證數(shù)據(jù)中心的安全,所以只有在安全策略的指導下,建立有機的、智能化的安全防范體系,才能有效地保障校園數(shù)據(jù)中心的關鍵業(yè)務和關鍵數(shù)據(jù)的安全[2]。

 

2 高校數(shù)據(jù)中心信息安全建設的主要內(nèi)容

 

2.1 高校數(shù)據(jù)中心信息安全建設的主要技術手段

 

高校數(shù)據(jù)中心信息安全建設的主要技術手段有:防火墻、防病毒系統(tǒng)、入侵防御、漏洞掃描、CA認證、數(shù)據(jù)備份與容災、個人桌面控制系統(tǒng)、監(jiān)控與審計系統(tǒng)、 不間斷電源系統(tǒng)等。這些手段聯(lián)合起來才可以確保組建成一個較為堅固的安全運行環(huán)境。

 

2.1.1 防火墻

 

防火墻是信息安全體系中最重要的設備之一,對高校數(shù)據(jù)中心來說,它可以為內(nèi)部辦公的局域網(wǎng)以及外部網(wǎng)絡提供安全屏障。它對流經(jīng)的網(wǎng)絡通信進行監(jiān)測掃描,只有選擇指定的網(wǎng)絡應用協(xié)議才可以通過。另外,防火墻還強化了網(wǎng)絡安全策略的配置和管理,對經(jīng)過它的各種訪問進行記錄并做出日志,利用它提供的網(wǎng)絡使用數(shù)據(jù)統(tǒng)計情況,當有可疑的訪問發(fā)生時,能自動進行報警。我們還可以通過防火墻對內(nèi)部網(wǎng)絡進行劃分,實現(xiàn)對內(nèi)部網(wǎng)中的重點網(wǎng)段的隔離(如服務器的 DMZ 區(qū)),從而防止局部重點網(wǎng)絡安全出現(xiàn)問題對全局網(wǎng)絡造成傷害。

 

2.1.2 防病毒系統(tǒng)、入侵防御、漏洞掃描

 

計算機病毒傳播途徑多,同時具有非授權性、隱蔽性、傳染性、潛伏性、破壞性、可觸發(fā)性等多重特點,殺傷力極大,不但能攻擊系統(tǒng)數(shù)據(jù)區(qū)、文件和內(nèi)存,而且還能干擾系統(tǒng)、堵塞網(wǎng)絡等,單憑防火墻是無法保證數(shù)據(jù)中心的信息安全的,因此,部署防病毒系統(tǒng)、入侵檢測(防御)、漏洞掃描是很有必要的。我們在網(wǎng)絡中部署網(wǎng)絡殺毒軟件,定期對內(nèi)網(wǎng)中所有服務器和客戶端進行殺毒,并實時更新病毒庫。還需要在網(wǎng)絡入口處部署入侵防御系統(tǒng),阻止各種嘗試性闖入、偽裝攻擊、系統(tǒng)滲透、泄露、拒絕服務和惡意使用等各種手段的入侵。部署漏洞掃描系統(tǒng)就是每天定期掃描網(wǎng)絡和操作系統(tǒng)中可能存在的漏洞,并立即告警,及時打補丁,把各種攻擊消滅在萌芽狀態(tài)。

 

2.1.3 CA認證系統(tǒng)(身份認證、數(shù)據(jù)傳輸加密、電子簽名、電子公章、時間戳等)

 

為數(shù)據(jù)中心信息的安全考慮,尤其是機密數(shù)據(jù)的電子政務系統(tǒng)必須采用CA認證。CA認證可以解決網(wǎng)絡環(huán)境中可信的身份認證,并且可以解決信息機密性、信息完整性、身份認證實體性、行為不可否認性、授權有效性等問題。只有本人憑電子鑰匙經(jīng)過CA認證后才能登錄系統(tǒng)訪問機密數(shù)據(jù),數(shù)據(jù)也只有經(jīng)過CA加密才能在網(wǎng)絡中傳輸,數(shù)據(jù)的接收方也必須經(jīng)過CA認證,所有操作必須經(jīng)過電子簽名并加蓋時間戳。這樣,通過CA認證,數(shù)據(jù)中心中的數(shù)據(jù)的安全系數(shù)就得到了極大的提高。

 

2.1.4 數(shù)據(jù)備份與容災

 

為了提高服務器的安全性和持續(xù)穩(wěn)定運行,在大多數(shù)模式下可以建立服務器集群,就是集群中所有的計算機擁有一個共同的名稱,這樣集群內(nèi)任何一個系統(tǒng)上運行的服務可被所有的網(wǎng)絡客戶所使用。另外要建立容災備份系統(tǒng),這是對數(shù)據(jù)做好保護至關重要的,也是保證提供正常服務的最后一道防線。一旦有影響數(shù)據(jù)安全的情況發(fā)生,可以在最短的時間內(nèi)恢復受損的數(shù)據(jù)。備份的方法也很多,有手動備份、自動備份、LAN備份、雙機熱備等。對于海量的空間數(shù)據(jù),在資金許可的情況下,還可以考慮利用廣域網(wǎng)進行數(shù)據(jù)遠程異地備份,建立容災中心,來確保數(shù)據(jù)的安全。

 

2.2 高校數(shù)據(jù)中心信息安全的制度建設

 

想要建設成供任何一個系統(tǒng),除了要配置較為完善的技術設備、軟件支持外,還要建立一個與之適用的完善、合理的規(guī)章制度。高校數(shù)據(jù)中心信息安全的制度建設過程中,必須成立校內(nèi)的信息安全小組,他們的主要任務就是從整體上規(guī)范安全建設, 制定數(shù)據(jù)標準,貫徹執(zhí)行和完善信息安全的規(guī)章制度,并且對日常工作進行認真檢查、監(jiān)督和指導。在實際工作中要認真研究各種相關制度,不斷的對當前制度進行更新和完善,進一步確保信息數(shù)據(jù)的安全。2.3 高校數(shù)據(jù)中心信息安全建設的其他方面

 

數(shù)據(jù)中心的信息安全建設除了要建設各種軟件防護系統(tǒng)、制定完善的制度外,安全管理也是其中一個非常重要的部分。安全管理貫穿整個安全防范體系,是安全防范體系的核心。代表了安全防范體系中人的因素。為了保障數(shù)據(jù)中心信息的安全,必須要進行安全操作培訓工作,而這一工作的重要前提就是做好數(shù)據(jù)中心的安全管理工作。再好的技術如果沒有能夠落實到位,其高水平無法真正發(fā)揮作用。所以,建設高效的數(shù)據(jù)中心信息安全系統(tǒng),必須要將安全管理落實到位。

 

安全管理不僅包括行政意義上的安全管理,更主要的是對安全技術和安全策略的管理,使用者的安全意識是信息系統(tǒng)是否安全的決定因素,因此對校園數(shù)據(jù)中心用戶的安全培訓和安全服務是整個安全體系中重要、不可或缺的一部分。具體實施的時候,首先對所有相關工作人員進行安全知識培訓,要求所有相關人員對數(shù)據(jù)中心的安全有一個最充分全面的認識,從而在實際工作中更加主動、積極的去關注系統(tǒng)安全、信息安全,盡早消除各種隱患因素[3]。

 

3 對目前高校數(shù)據(jù)中心信息安全建設的建議

 

3.1 建立信息安全框架及安全組織機構

 

高校應建立信息安全框架,即制定系統(tǒng)安全保障方案,實施安全宣傳教育、安全監(jiān)管和安全服務。在大多數(shù)高校,網(wǎng)絡信息管理中心是信息安全的主管部門和技術支持部門,身兼管理和技術兩項職能,但學校往往賦予網(wǎng)絡中心的只有技術支持的職能,沒有真正意義上的管理職能,出現(xiàn)安全事故只解決技術問題,遺留的很多問題得不到明確的解決。

 

因此,高校還應該建立專門負責信息安全管理的組織機構,該組織機構由學校主要領導負責,并由技術部門和管理部門的人員構成,其中包括網(wǎng)絡中心的負責人,并由網(wǎng)絡中心負責各部門間的協(xié)調(diào)和聯(lián)絡,制定安全政策和策略以及一系列體現(xiàn)安全政策的規(guī)章制度并監(jiān)督執(zhí)行,真正的發(fā)揮這類機構的作用。另外應該重視網(wǎng)絡中心的人員配置情況,引進高層次的技術人才和管理人才,分別負責網(wǎng)絡建設、管理和維護、信息資源建設、信息安全治理等工作,做到分工明確、責任到人,這樣才能切實地提高數(shù)據(jù)中心的信息安全。

 

3.2 加強信息安全的思想認識培養(yǎng),樹立信息安全意識

 

網(wǎng)絡信息管理中心要充分發(fā)揮其管理職能,與學校保衛(wèi)處、學工部、校團委等相關部門協(xié)調(diào)配合,積極在全校范圍內(nèi)開展有關信息安全的宣傳活動,邀請信息安全方面的專家對師生、員工進行安全培訓,定期舉行關于信息安全的學術報告,將一些信息安全的實際案例放到中心、校園網(wǎng)站等等,加強對師生、員工的安全教育,將安全意識擴展為一種氛圍,努力提高和強化校內(nèi)的信息安全觀念意識,確立信息安全管理的基本思想與策略,加快信息安全人才的培養(yǎng)。這就從強制性的安全策略轉(zhuǎn)換為自主接受的安全策略文化,當然這也是實現(xiàn)信息安全目標的基本前提。

 

3.3 確保信息安全得到成熟有效的技術保證,定期進行信息安全審核和評估

 

環(huán)境的不斷變化決定了信息安全工作的性質(zhì)是長期的、無盡頭的,因此要求使用的安全產(chǎn)品在技術上必須是成熟的、有效的。對于高校數(shù)據(jù)中心信息安全,從技術角度來說,主要涉及到網(wǎng)絡通信系統(tǒng)的保密與安全、操作系統(tǒng)與數(shù)據(jù)庫平臺的安全、應用軟件系統(tǒng)的安全等三個方面。所以必須對網(wǎng)絡系統(tǒng)進行科學的安全分析,結合具體應用,將上述三個方面密切結合,在網(wǎng)絡信息系統(tǒng)中建立了一整套安全機制,實現(xiàn)從外到內(nèi)的安全防護。 另外,必須定期的對學校的信息安全過程進行嚴格的審核,并對學校的信息安全進行新的風險分析和風險評估,制定適合現(xiàn)狀的信息安全策略。

 

4 結 語

 

校園數(shù)據(jù)中心是校園信息系統(tǒng)的核心樞紐,數(shù)據(jù)中心的信息安全保障體系應是一個包含安全政策法規(guī)、標準規(guī)范、組織管理、技術保障、基礎設施、人才培養(yǎng)的多層次、全方位的系統(tǒng)。,充分利用現(xiàn)代社會先進的安全保護技術和高水平的安全管理技術對數(shù)據(jù)中心進行全面改造和升級,真正提高高校數(shù)據(jù)中心信息安全系數(shù),同時,積極促進行業(yè)整體信息化應用水平的全面提高,為信息化發(fā)展保駕護航。