对信息安全的理解范文1
【关键词】 计算机 通信信息安全 解决对策
一、什么是通信计算机信息安全
通信计算机信息安全是指:主要运用电磁的方式,在通信计算机信息网络化系统中对信息的处理,服务各个单位的信息处理系统,保护各个公司、企业、事业单位的信息安全。通信计算机信息安全主要是为了保护信息的正确性和安全性,使它不能够被恶意的篡改、传播。现代高速发展的社会,信息的处理已经是大数据云处理时代了。所谓的信息云处理是说:把大量使用互联网连接的信息资源进行统一的配置,然后所有的信息资源向有需求的客户服务。在云处理、云计算这种方式下,如果信息的安全性得不到保障,那么被云计算所服务的所有对象的信息安全也是暴漏在危险之下。
二、为何会出现通信计算机信息安全隐患
通信计算机信息安全隐患,有可能是黑客、病毒对云系统进行了攻击,或者是人为密码操作不当。问题也有可能发生在通信计算机信息逻辑安全或者是物理安全上,逻辑安全主要是指保护信息的完整、不可缺失,对信息进行保密设置以确保信息的可用性。物理安全,在通常情况下可单独的认为是计算机的硬件安全。计算机硬件出现了问题,而信息数据又没有备份,通信信息数据在不可预见情况下的消失就对通信计算机信息安全留下了隐患。
1、黑客的攻击。对于掌握大量客户信息的公司、企业、事业单位来说,通信计算机的信息安全是必须要重视的问题。一旦客户的信息或者公司内部的其他信息数据泄露,对于公司的信用度将是一个致命的打击。现在的市场经济竞争激烈,不排除一些公司为了当前利益,雇佣黑客对对手公司进行计算机网络攻击,使其网络瘫痪,数据丢失或被盗用。
2、病毒的传播。虽然计算机病毒的传播已经不是什么稀奇的事情,但是病毒的传播依然会对通信计算机的信息安全造成毁灭性的影响。“熊猫烧香”病毒的惨痛教训至今还留在人们的脑海里。一些病毒的自动复制、传播使计算机瘫痪,计算机被控制,信息大量外传,通信计算机信息安全问题被堆到了舆论的高度。这说明病毒的传播对通信计算机信息安全造成的隐患不可忽略。
三、解决对策
1、在云计算时代,信息数据的安全性与密码设置的复杂程度息息相关。对于设置通信信息密码这方面,把密码设置的越复杂,信息数据也就越为安全。在访问服务器这一方面,一些公司或者是企业对于客户重要信息的密码设置和设置程序就过于简单,这也为信息的安全性埋下了隐患。所以,信息数据的密码设置要足够的复杂,如果有条件,使用专业编码是最好的,因为它很难被破解。密码的设置在企业和公司内部也要制定一个合理的程序,在什么条件下设置密码,哪些可以知道密码,这都是保护信息安全的一种方式。
2、防火墙、360木马查杀的安装。防火墙的安装有利于减少黑客的攻击,防火墙的主要原理就是只有内部的工作人员经过身份验证以后才能享有信息。设置了防火墙,外部人员也无法轻易的攻击通信信息,通信计算机信息安全隐患也降低了风险度。360木马查杀,或者是其他正规的病毒查杀工具可以有效的防止病毒对计算机的攻击。
3、加强信息数据管理者的培训。对于有权利查看、修改通信信息数据的人员进行计算机知识的培训,加强他们信息安全意识。企业也要大量招聘有通信计算机信息安全专业素养的人才,一旦通信信息被破坏,工作人员可以在第一时间维修,找回通信信息,减少损失。这样也可以有效的保护通信计算机信息安全。
四、结束语
总而言之,通信计算机信息安全是现代人们普遍关注的问题。也许信息的备份可以减少信息丢失、篡改带来的损失,但是归根结底,通信计算机信息安全问题还是要寻找更加有效的办法去解决,避免计算机遭受攻击,避免通信信息在不愿意的情况下流失,造成不可估量的损失。通信计算机信息安全不仅是我国亟需解决的问题,也是世界各大国所面临,所要解决的问题。对于此事,国家的重视、社会的认同,各国的团结合作才是解决通信计算机信息安全问题的根本之策。
参 考 文 献
[1] 李引珍,王欣欣. 浅谈计算机信息安全问题[J]. 科技创新与应用. 2013(11)
对信息安全的理解范文2
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电 子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
对信息安全的理解范文3
论文摘要:随着我国信息技术的不断发展,对中小企业电子信息安全的保护问题也成为人们关注的焦点。本文以电子信息安全为主体,介绍中小企业信息化建设,对电子信息安全技术进行概述,提出主要的安全要素,找出解决中小企业中电子信息安全问题的策略。
在企业的管理信息系统中有众多的企业文件在流转,其中肯定有重要性文件,有的甚至涉及到企业的发展前途,如果这些信息在通用过网络传送时被竞争对手或不法分子窃听、泄密、篡改或伪造,将会严重威胁企业的发展,所以,中小企业电子信息安全技术的研究具有重要意义。
一、中小企业的信息化建设意义
在这个网络信息时代,企业的信息化进程不断发展,信息成了企业成败的关键,也是管理水平提高的重要途径。如今企业的商务活动,基本上都采用电子商务的形式进行,企业的生产运作、运输和销售各个方面都运用到了信息化技术。如通过网络收集一些关于原材料的质量,价格,出产地等信息来建立一个原材料信息系统,这个信息系统对原材料的采购有很大的作用。通过对数据的分析,可以得到跟多的采购建议和对策,实现企业电子信息化水准。有关调查显示,百分之八十二的中小企业对网站的应还处于宣传企业形象,产品和服务信息,收集客户资料这一阶段,而电子商务这样关系到交易的应用还不到四分之一,这说明企业还未充分开发和利用商业渠道信息。中小企业信息化时代已经到来,企业应该加快信息化的建设。
二、电子信息安全技术阐述
1、电子信息中的加密技术
加密技术能够使数据的传送更为安全和完整,加密技术分为对称和非对称加密两种。其中对称加密通常通过序列密码或者分组机密来实现,包括明文、密钥、加密算法以及解密算法等五个基本组成成分。非对称加密与对称加密有所不同,非对称加密需要公开密钥和私有密钥两个密钥,公开密钥和私有密钥必须配对使用,用公开密钥进行的加密,只有其对应的私有密匙才能解密。用私有密钥进行的加密,也只有用其相应的公开密钥才能解密。
加密技术对传送的电子信息能够起到保密的作用。在发送电子信息时,发送人用加密密钥或算法对所发的信息加密后将其发出,如果在传输过程中有人窃取信息,他只能得到密文,密文是无法理解的。接受着可以利用解密密钥将密文解密,恢复成明文。
2、防火墙技术
随着网络技术的发展,一些邮件炸弹,病毒木马和网上黑客等对网络的安全也造成了很大的威胁。企业的信息化使其网络也遭到同样的威胁,企业电子信息的安全也难以得到保证。针对网络不安全这种状况,最初采取的一种保护措施就是防火墙。在我们的个人电脑中防火墙也起到了很大的作用,它可以阻止非黑客的入侵,电脑信息的篡改等。
3、认证技术
消息认证和身份认证是认证技术的两种形式,消息认证主要用于确保信息的完整性和抗否认性,用户通过消息认证来确认信息的真假和是否被第三方修改或伪造。身份认证使用与鉴别用户的身份的,包括识别和验证两个步骤。明确和区分访问者身份是识别,确认访问者身份叫验证。用户在访问一些非公开的资源时必须通过身份认证。比如访问高校的查分系统时,必须要经过学号和密码的验证才能访问。高校图书馆的一些资源要校园网才能进行访问,非校园网的不能进入,除非付费申请一个合格的访问身份。
三、中小企业中电子信息的主要安全要素
1、信息的机密性
在今天这个网络时代,信息的机密性工作似乎变得不那么容易了,但信息直接代表着企业的商业机密,如何保护企业信息不被窃取,篡改,滥用以及破坏,如何利用互联网进行信息传递又能确保信息安全性已成为各中小企业必须解决的重要问题。
2、信息的有效性
随着电子信息技术的发展,各中小企业都利用电子形式进行信息传递,信息的有效性直接关系的企业的经济利益,也是个企业贸易顺利进行的前提条件。所以要排除各种网络故障、硬件故障,对这些网络故障带来的潜在威胁加以控制和预防,从而确保传递信息的有效性。
3、信息的完整性
企业交易各方的经营策略严重受到交易方的信息的完整性影响,所以保持交易各方的信息的完整性是非常重要对交易各方都是非常重要的。在对信息的处理过程中要预防对信息的随意生成、修改,在传送过程中要防止信息的丢失,保持信息的完整性是企业之间进行交易的基础。
四、解决中小企业中电子信息安全问题的策略
1、构建中小企业电子信息安全管理体制
解决信息安全问题除了使用安全技术以外,还应该建立一套完善的电子信息安全管理制度,以确保信息安全管理的顺利进行。在一般中小企业中,最初建立的相关信息管理制度在很大程度上制约着一个信息系统的安全。如果安全管理制度出了问题,那么围绕着这一制度来选择和使用安全管理技术及手段将无法正常进行,信息的安全性就得不到保证。完善,严格的电子信息安全管理制度对信息系统的安全影响很大。在企业信息系统中,如果没有严格完善的信息安全管理制度,电子信息安全技术和相关的安全工具是不可能发挥应有的作用的。
2、利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通, 局域网在各单位都全部建成,企业应该利用这种良好的网络条件来为企业提供良好的信息安全服务。通过企业这一网络平台技术标准,安全公告和安全法规,提供信息安全软件下载,安全设备选型,提供在线信息安全教育和培训,同时为企业员工提供一个交流经验的场所。
3、定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
总之,各中小企业电子星系安全技术包含着技术和管理,以及制度等因素,随着信息技术的不断发展,不仅中小企业办公室逐渐趋向办公自动化,而且还确保了企业电子信息安全。
参考文献:
[1]温正卫;信息安全技术在电子政务系统中的应用[J];软件导刊,2010
[2]闫兵;企业信息安全概述及防范[J];科学咨讯,2010
对信息安全的理解范文4
关键词:电力 信息安全防护 安全域 分级分域
中图分类号:TM73 文献标识码:A 文章编号:1674-098X(2016)12(b)-0121-02
该文适用于能源行业信息安全监管部门、各能源相关企业信息安全在岗人员、信息安全等级保护测评机构的管理与技术人员等。
1 定级信息系统划分方式
由于国家电网公司的信息系统涉及业务范围广,应用面宽,为了体现重要业务应用重点保护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护工作原则,从管理、业务、物理位置和运行环境等方面综合分析,对信息系统进行划分。
从管理机构角度划分。不同管理机构(总部、网省、地市公司)管理控制下的信息系y应分开作为不同的定级对象。
从业务类型角度划分。根据不同业务应用的“相对独立”性,划分出信息系统的不同部分作为不同的定级对象。
2 定级信息系统分类
根据上述信息系统基本特征和信息系统划分方式,结合国家电网公司工程一体化企业级信息系统定义,将国家电网公司信息系统划分为一体化企业级信息集成平台、财务管理、营销及市场交易管理、安全生产管理、协同办公、人力资源管理、物资管理、项目管理、综合管理9类,总部、网省(直辖市)、地市3层,共69个信息系统。
3 标准解读
3.1 电力行业网络与信息安全管理办法
3.1.1 总则
解读:《电力行业网络与信息安全管理办法》对电力行业管理部门、电力企业等单位在电力行业网络与信息安全保护工作中的职责与工作内容做出了明确规定。
第一章主要对电力行业网络与信息安全的依据、目标和原则等做出了具体阐述。
3.1.2 监督管理职责
解读:第二章主要明确了国家能源局及其派出机构对电力行业网络与信息安全工作的监管责任。国家能源局主管电力行业网络与信息安全工作,履行监督管理职责,并明确了国家能源局监督管理职责的主要内容。能源局派出机构根据授权,负责该辖区电力企业网络与信息安全监督管理。
3.1.3 电力企业职责
解读:第三章主要阐述电力企业在电力行业网络与信息安全工作的职责,明确了该单位的网络与信息安全工作的责任主体:电力企业(适用于两大电网公司、五大发电集团、中国核电和中广核等两家核电企业等)。网络与信息安全的第一责任人:电力企业主要负责人。
3.1.4 监督检查
解读:第四章主要阐述了国家能源局及其派出机构对电力企业网络与信息安全工作进行监督检查的职责以及检查时可采取的措施。
3.2 电力行业信息安全等级保护管理办法
3.2.1 总则
解读:《电力行业信息安全等级保护管理办法》明确了电力行业信息安全等级保护制度的基本内容、流程及工作要求,明确了信息系统运营使用单位和主管部门、监管部门在信息安全等级保护工作中的职责、任务,为开展信息安全等级保护工作提供了规范保障。
第一章为总则,阐述了电力行业开展等保的目的、电力行业管理部门和企业的职责与关系。
3.2.2 等级划分与保护
解读:第二章对电力行业信息安全等级的划分和对应等级的保护做了详细阐述。简言之,电力企业依据等级划分规定自主确定相应电力系统的安全保护等级,自主依据有关管理规定和技术标准对其进行保护。等级划分以信息系统的重要性为依据,通过评估系统受到破坏后对公民、法人和其他组织,社会秩序和公共利益,国家安全的损害程度,确定其重要性。对于自主定级有困难的,也可以咨询电力行业保测评机构等单位。
3.2.3 等级保护的实施与管理
解读:第三章对电力行业等级保护的实施过程做了详细阐述。电力信息系统运营、使用单位应按《实施指南》(GB/T 25058-2010)开展等保工作。具体包括定级、备案、安全建设/整改、等级测评、监督检查几个方面。
系统的定级和备案由电力信息系统运营、使用单位采用“自主定级、自主保护”的原则确定,各区域(省)内的电力企业的系统定级结果报国家能源局派出机构备案。
安全建设/整改(参见第十条)可请专业机构等实施。
系统建设完成后需请符合规定(参见第十九条)第三方专业机构进行测评。
监督检查根据系统安全保护级别确定是自主保护还是上级监管部门及其授权的派出机构负责。
3.2.4 信息安全等级保护的密码管理
解读:第四章对等级保护的密码管理进行了详细阐述。对涉及国家秘密的系统采用秘密保护,应该报国家密码管理局审批,并按要求涉及、使用和管理。
3.2.5 法律责任
解读:第五章明确了电力信息系统等级保护工作中监管部门、工作人员及各单位违反规定的惩处措施。
4 结语
《电力行业网络与信息安全管理办法(国能安全[2014]317号)》和《电力行业信息安全等级保护管理办法(国能安全[2014]318号)》,跟《电力监控系统安全防护规定(发改委2014年14号令)》和《电力监控系统安全防护总体方案(国能安全[2015]36号文)一同,构成了电力行业信息安全防护体系文件,体现了电力行业标准跟国家标准的基本差异,突出了电力行业业务特色和管理特征。
参考文献
[1] 王栋,刘识,王怀宇.电力行业三级信息系统等级保护典型设计研究[J].电力信息与通信技术,2012(8):81-84.
对信息安全的理解范文5
关键词:信息安全;数学;教学设计;教学方法;教学体会
为适应信息科学发展的需求,本世纪初,我国先后在信息科学学院或者计算机学院设立了信息安全专业。经过近十年的建设和教学科研人员的探索,信息安全专业的成熟模式也逐渐凸显出来。它一般以密码学为核心内容展开,围绕密码学理论及保护信息不被非授权访问等方面开设系列课程。值得注意的是,很多院校因在网络攻防方面具有优势,就将信息安全专业引向计算机科学技术专业的一个分支领域――网络安全。这一点应该在今后的专业建设中予以关注,因为以密码理论为基础的信息保护方式和以数据检索为基础的信息识别方式的理论基础和数学基础有着重大的差别。毋庸置疑,网络安全需要一些密码保护手段,但这些内容最多可以概括为应用密码学的范畴,与特征检测、内容过滤等研究方法是有本质区别的。清楚地界定信息安全专业的内涵与外延是信息安全专业进一步发展的基础。
不可否认的是,作为信息安全专业最具特色的密码学理论,已经成为各校信息安全专业的专业基础课程。密码学涉及的数学基础广泛而抽象,数学基础成为奠定该专业基础的必修课程。作为信息安全专业的基础课程,数学基础课程应该具有长效性,而这一点又离不开对这个专业的定位,这需要广大教师从社会发展、学校发展、专业发展等方面深入研究。
1数学内容
以密码学为核心的信息安全专业建设中,数学知识的重要性不言而喻,所以数学课程也成为了信息安全专业的必修课程之一。然而,如何选择适合信息安全专业的数学教学内容,至今都存在争议。上海交通大学、武汉大学、西安电子科技大学等信息安全建设效果突出的院校,先后出版了自己的信息安全数学教材[1],这些教材的共同点是顾及了解决计算安全密码体系的数学基础:基础数论[2]、近世代数[3]。但即使作为数学专业的基础课程,也至少需要两个学期讲授,它们只能给出计算安全密码体系建立的数学原理,尚不能满足信息安全专业对数学的需求。
基于上述原因,目前的教学内容以初等数论为主,从密码算法的基本思想引入相关概念,然后以数学特有的严谨结构层层深入,讲清支撑密码算法的数学理论和相关推理过程。最后,为了适应密码学发展的要求,提升数论基本概念,从代数结构角度扩展建立新型密码体制所需的群、环、域等基础知识,这部分主要给出一些不同于整数环上的数学理论但又与之联系紧密的数学知识,如有限域上的多项式环等概念,使学生在知识面上有所扩展,为进一步的学习和研究奠定基础。
从目前各高校开设信息安全数学课程的实际看,一般可以保证初等数论基础学习的学时。若能根据教学内容适当增加一些学时,则有助于教师有效地安排教学内容。特别地,更符合教学目标的教材研究和出版将是合理安排教学内容的首要任务。
2教学设计
根据信息安全的定义,信息安全是保护信息不被非授权访问。信息安全数学的教学需明确解决信息安全问题的数学模型,然后对数学模型分类进行教学设计。比如,在解决信息加密问题中,设计计算安全密码数学模型的基础是Eular定理和离散对数。如果一开始就无由头地讲这些数学知识,一般效果会很差。因此,我们通过总结经验教训体会到,如果简单地将信息安全问题逐个介绍,然后通过一般的数学建模思想引导,给出教材中经典的解决方法,然后从解决方法的相关数学准备开始讲授,尽管面对难懂的数学知识、数学结论,学生还是愿意下功夫去学习的。但问题是,对于信息安全问题的提炼和数学建模思想,一般不会在信息安全的数学教材中出现,而这些内容对引发学生学习积极性和提高教学效果有明显的作用。因此,数学教学的师资配备将是解决这个问题的关键。
3教学手段
虽然信息安全数学的教学内容和教学设计是影响教学效果的直接因素,但教学手段在教学效果的取得中也非常重要。鉴于专业教学体系的结构,目前信息安全专业在数学基础的准备上并不是很充分,这与该专业的定位有关系。因此,弱化数学内在逻辑的完整性,使之更适应应用人才的需求,有必要引入相应的实践教学环节,使其发挥出辅助教学的作用,以期提高教学效果。
根据信息安全数学在解决信息安全问题方面的特点,可以分阶段分层次进行实践教学尝试。
1) 从数理统计的观点出发,以信息理论为指导,引导学生学习简单的编码,分析输入与输出之间的关系,加深对信息安全性的理解和分析。这个环节可以帮助学生建立统计思想,形成安全分析的一些简单思路。
2) 从计算复杂性出发,让学生编程实现超长整数的运算,比如选择一个相对大的模数 ,计算 。这个环节可以让学生理解为什么可以把安全系统建立在计算复杂性的基础上。
3) 从非对称密码角度让学生体会算法的设计原则和分析手段。课堂教学使学生了解算法的理论基础,实践课程引导其实现简单的密码设计方式和对各种攻击的测试方法,真正体会数学知识的重要性。条件相对好的院校,可以让学生学习和开发一些分析测试工具。
4) 对学习好的学生,引入有限自动机理论和消息代数等描述方法,提高学生抽象信息安全问题的能力,这部分可以启用一些开发平台,如PVS[4],让学生做一些简单的验证。
以上实验的设计,一方面体现了数学知识在分析和解决信息安全问题中的作用,可有效提高学生学习相关数学知识的自觉性;另一方面,学生通过编程体会真正的信息安全是如何实现的,不远离实际,加强对信息安全问题的关注,使信息安全专业数学课程的教学达到预期的目标。
4结语
数学知识是解决信息安全问题的关键手段,数学能力的培养是信息安全专业人才培养不可缺少的一个环节。如何将艰深难懂的数学理论介绍给信息安全专业的学生,并帮助他们在日后实践中应用和发展数学理论,是一个艰巨的课题,需要很多有识之士重点关注并作出突出贡献。笔者希望本文能够起到抛砖引玉的作用。
参考文献:
[1] 陈恭亮. 信息安全数学基础[M]. 北京:清华大学出版社,2007.
[2] 潘承洞. 初等数论[M]. 北京:北京大学出版社,2003.
[3] 马建峰,李凤华. 信息安全学科建设与人才培养[J]. 计算机教育,2005(1):11-14.
[4] S Owre, N Shankar, J M Rushby,et al. PVS System Guide[EB/OL]. [2011-03-10]. pvs.csl.sri. com/doc/pvs-system-guide.pdf.
Teaching Research of Mathematic Course in Information Security
ZHANG Xinglan
(College of Computer Sciences, Beijing University of Technology, Beijing 100124, China)
对信息安全的理解范文6
论文摘要:文章首先分析了信息安全外包存在的风险,根据风险提出信息安全外包的管理框架,并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制,并获得与外包商合作的最大收益。
1信息安全外包的风险
1.1信任风险
企业是否能与信息安全服务的外包商建立良好的工作和信任关系,仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息,并全面了解其企业和系统的安全状况,而这些重要的信息如果被有意或无意地对公众散播出去,则会对企业造成巨大的损害。并且,如若企业无法信任外包商,不对外包商提供一些关键信息的话,则会造成外包商在运作过程当中的信息不完全,从而导致某些环节的失效,这也会对服务质量造成影响。因此,信任是双方合作的基础,也是很大程度上风险规避的重点内容。
1.2依赖风险
企业很容易对某个信息安全服务的外包商产生依赖性,并受其商业变化、商业伙伴和其他企业的影响,恰当的风险缓释方法是将安全服务外包给多个服务外包商,但相应地会加大支出并造成管理上的困难,企业将失去三种灵活性:第一种是短期灵活性,即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力,即在短期到中期的事件范围内所需的灵活性,这是一种以新的方式处理变革而再造业务流程和战略的能力,再造能力即包括了信息技术;第三种灵活性就是进化性,其本质是中期到长期的灵活性,它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。
1.3所有权风险
不管外包商提供服务的范围如何,企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责,并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到,应该将信息安全作为其首要责任,并进行安全培训课程,增强常规企业的安全意识。
1.4共享环境风脸
信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险,因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器),这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。
1.5实施过程风险
启动一个可管理的安全服务关系可能引起企业到服务外包商,或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡,这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划,并注明完成日期和所用时间。这样在某种程度上就对实施过程当中风险的时间期限做出了限制。
1.6合作关系失败将导致的风险
如果企业和服务商的合作关系失败,企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的,而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败,如同其他商业关系一样,它需要给予足够的重视、关注,同时还需要合作关系双方进行频繁的沟通。
2信息安全外包的管理框架
要进行成功的信息安全外包活动,就要建立起一个完善的管理框架,这对于企业实施和管理外包活动,协调与外包商的关系,最大可能降低外包风险,从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分,分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准,然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后,双方共同制定适合企业的信息安全外包的控制方法,协调优化企业的信息安全相关部门的企业结构,同时加强管理与外包商的关系。
3信息安全外包风险管理的实施
3.1制定信息安全方针
信息安全方针在很多时候又称为信息安全策略,信息安全方针指的是在一个企业内,指导如何对资产,包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义,定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明,以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义,而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。
3.2选择信息安全管理的标准
信息安全管理体系标准BS7799与信息安全管理标准IS013335是目前通用的信息安全管理的标准:
(1)BS7799:BS7799标准是由英国标准协会指定的信息安全管理标准,是国际上具有代表性的信息安全管理体系标准,标准包括如下两部分:BS7799-1;1999《信息安全管理实施细则》;BS7799-2:1999((信息安全管理体系规范》。
(2)IS013335:IS013335《IT安全管理方针》主要是给出如何有效地实施IT安全管理的建议和指南。该标准目前分为5个部分,分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。3.3确定信息安全外包的流程
企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度,识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案,然后进行合乎规范的评估,识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估,或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后,外包商授予企业独立评估方评估权限,并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节,以减少任何对可用性,服务程度,客户满意度等的影响。在评估执行后的一段特殊时间内,与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存,企业将这些文档作为评估的重要工具,对外包商的服务绩效进行考核。评估结束后,对事件解决方案和优先级的检查都将记录在相应的文件中,以便今后双方在服务和信息安全管理上进行改进。
3.4制定信息安全外包服务的控制规则
依照信息安全外包服务的控制规则,主要分为三部分内容:第一部分定义了服务规则的框架,主要阐明信息安全服务要如何执行,执行的通用标准和量度,服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求,这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求,服务范围等方面的内容;第三部分是安全要求,包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。
3.5信息安全外包的企业结构管理具体的优化方案如下:
(1)首席安全官:CSO是公司的高层安全执行者,他需要直接向高层执行者进行工作汇报,主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。CSO需要监督和协调各项安全措施在公司的执行情况,并确定安全工作的标准和主动性,包括信息技术、人力资源、通信、法律、设备管理等部门。
(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部IT人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。
(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官,客户企业的CIO和CSO,外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议,负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。
(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更,新的技术手段的应用,服务优先等级的更换以及服务的财政问题等,咨询委员会的成员包括企业内部的TI’人员和安全专员,还有财务部门、人力资源部门、业务部门的相关人员,以及外包商的具体项目的负责人。
(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题,工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系,将突出的问题组建成项目进行解决,并将无法解决的问题提交给咨询委员会。
(7)服务交换中心:服务交换中心由双方人员组成,其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门,发掘出企业中潜在的信息安全的问题和漏洞,并将这些问题报告给安全工作组。
(8)指令问题管理小组:这个小组的人员组成全部为企业内部人员,包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后,或者,是当CSO了关于信息安全的企业改进方案之后,这些解决方案都将传送给指令问题管理小组,这个小组的人员经过学习讨论后,继而将其到各个业务部门。
(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。
