前言:中文期刊网精心挑选了信息安全技术报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全技术报告范文1
1 社区卫生服务中心信息安全背景
20世纪90年代以来,信息技术不断创新,信息产业持续发展,信息网络广泛普及,特别是原卫生部《卫生信息化发展规划(2011~2015年)》之后,明确了卫生信息化是深化医药卫生体制改革的重要内容。那么作为整个卫生信息化体系的“网底”的社区卫生服务中心,其重要性不言而喻。随着卫生信息化的建设不断扩展和深入,依托于区域卫生信息中心的各类应用系统不断上线推广应用。网络与数据安全已逐步成为各项卫生信息工作开展的重要基础依托。因此社区卫生服务中心作为区域卫生信息中心的重要结点。信息安全管理就显得尤为重要。
2 什么是信息安全管理
“三分技术,七分管理”是信息安全保障工作中经常提到的。可见,信息安全管理是信息安全保障的至关重要的组成部分。信息安全管理(Information Security Management)指组织中为了完成信息安全目标,遵循安全策略,按照规定的程序,运用恰当的方法,而进行的规划、组织、指导、协调和控制等活动。作为组织完成的管理体系中的一个重要环节,它构成了信息安全具有能动性的部分,是指导和控制组织相互协调完成关于信息安全风险的活动,其对象就是包括人员在内的各类信息相关资产。在社区卫生服务中心由于信息系统应用较为广泛,基本包含了医疗、护理、医技、行政等所有科室及其人员。
长期以来,社区卫生服务中心在信息安全建设方面,存在重技术轻管理、重产品功能轻安全管理、缺乏整体性信息安全体系考虑等各方面的问题。区域卫生信息中心采用集中管理的信息安全技术及产品的应用,一定程度上可以来解决社区卫生服务中心在网络传输时的信息安全问题。但是仅仅靠这些产品和技术还不够,即使采购和使用了足够先进、足够多的信息安全产品,仍然无法避免一些信息安全事件的发生。近年来,由于管理不善、操作失误等原因导致的卫生信息及病患基本信息泄露的安全事件数量不断攀升,更加剧了社区卫生服务中心需要信息安全管理的迫切性。
3 社区卫生服务中心信息安全管理作用
社区卫生服务中心信息安全管理的作用体现任以下几个方面。
3.1信息安全管理是社区卫生服务中心组织整体管理的重要的、固有的组织部分,是组织实现中心业务目标的重要保障。在信息时代的今天,信息安全威胁已经成为社区卫生服务中心等医疗机构业务正常运营和持续发展的最大威胁。如在社区卫生服务中心发生的费用结算85%以上通过医保信息系统来进行,所有的医生工作站都依托中心服务器来提供数据进行操作,医技部门也通过信息系统获取病人信息和传送结果。一旦信息系统发生故障对于社区卫生服务中心来说是灾难性的。因此中心需要信息安全管理,有其必然性。
3.2信息安全管理是信息安全技术的融合剂,是各项技术措施能够发挥作用的重要保障。安全技术是信息安全控制的重要手段,许多信息系统的安全性保障都要依靠技术手段来实现,但光有安全技术还不行,要让安全技术发挥应有的作用,必然要有适当的管理程序的支持,否则,安全技术职能趋于僵化和失败。如果说安全技术是信息安全的构筑材料,那么信息安全管理就是融合剂和催化剂,良好的管理可以变废为宝,使现有的各项技术相互配合发挥应有的作用,而糟糕的管理会使技术措施变得毫无用处。实现信息安全,技术和产品是基础,管理才是关键。在信息安全保障工作中必须管理与技术并重,进行综合防范,才能有效保障安全,这也是实现信息安全目标的必由之路
3.3信息安全管理是预防、阻止或减少信息安全事件发生的重要保障。早期人们对于信息安全的认识主要侧重在技术措施的开发和利用上,这种技术主导论的思路能够解决信息安全的一部分问题,但却解决不了根本,据权威机构统计表明,信息安全问题大约70%以上是由管理方面原因造成的,大多数信息安全事件的发生,与其说是技术上的原因,不如说是管理不善造成的。因此解决信息安全问题、防止发生信息安全事件不应仅从技术方面着手,同时更应加强信息安全的管理工作。
信息安全涉及的范畴非常广,信息安全不是产品的简单堆积,也不是一次性的静态过程,它是人员、技术、操作三者紧密结合的系统工程,是不断演进、循环发展的动态过程。因此,要求社区卫生服务中心的相关人员正确理解信息安全、理解信息安全管理的关键作用,以更好地开展信息安全管理工作。强调信息安全管理的作用,并不是要削弱信息安全技术的作用;开展信息安全管理工作,要处理好管理和技术的关系,要坚持管理与技术并重的原则,这也是信息安全保障工作的主要原则之一。
4 社区卫生服务中心信息安全管理控制措施
在我国对于信息安全等同采用IS0 27002:2005,命名为《信息技术安全技术信息安全管理实用规则》(GB/T 22081-2008)。信息安全是通过实施一组合适的控制措施而达到的,包括策略、过程、规程、组织结构以及软件和硬件功能。可见对于社区卫生服务中心的信息安全来说,安全控制措施是必要且十分重要的。其中比较重要的如下:
4.1安全方针 社区卫生服务中心的信息安全方针控制目标,是指中心的信息安全方针能够依据业务的要求和相关法律法规提供管理指导并支持信息安全。社区卫生服务中心信息安全方针文件的内容应包含中心管理者的管理承诺、组织管理信息安全的方法、中心信息安全整体目标和范围的定义、中心管理者意图的声明、控制目标和控制措施的框架、重要安全策略、原则、标准和符合性要求说明、中心信息安全管理的一般和特定职责的定义、支持方针的文件的引用等。
4.2信息安全组织 信息安全组织一般分为内部组织和外部组织。社区卫生服务中心内部组织的信息安全控制目标是指在中心内管理信息安全。组织的安全建立在每一位人员不同责任分工的划分,不同的责任会有不同的工作指导原则。其中应当包括信息安全的管理承诺、信息安全协调、信息安全职责的分配、信息处理的授权、保密协议、信息安全的独立评审等。社区卫生服务中心外部组织的信息安全控制目标是保持中心被外部各方访问、处理、管理或与外部进行通信的信息和信息处理的安全。主要包括中心与系统外单位信息通信相关风险的识别、处理相关的安全问题和处理第三方协议中的安全问题等。
4.3人力资源安全 人员在中心的信息安全管理中是一个最重要的因素,有资料表明,70%的安全问题是来自人员管理的疏漏,为了对人员有一个有效的管理,需要从任用之前、任用中、任用的终止或变更三项控制目标进行管理。
4.3.1任用之前控制是指社区卫生服务中心任用人员之前为了确保人力资源的安全,需考虑到角色是否适合相应岗位,以降低设施被窃、信息泄露和误用的风险,这一目标的实现需通过角色和职责、审查、任用条款和条件三项控制措施的落实来保障。
4.3.2任用中社区卫生服务中心的信息安全控制目标就是确保所有的员工、承包方人员和第三方人员知悉信息安全威胁和利害关系、他们的职责和义务、并准备好在其正常工作过程中支持组织的安全方针,以减少人为过失的风险。
4.3.3社区卫生服务中心发生任用的终止或变更时,应确保信息的安全不外泄,确保员工、承包方人员和第三方人员以一个规范的方式退出或改变其任用关系。可以通过终止职责、资产的归还、撤销访问权限等控制措施来实现。
4.4物理和环境安全 社区卫生服务中心的物理和环境安全可以从安全区域和设备安全来入手管理。定义安全区域是为了防止对中心场所和信息的未授权物理访问、损坏和干扰。可以通过设置物理安全边界、物理入口控制、办公室房间和设施的安全保护、外部和环境的安全防护、在安全区域工作、公共访问和交接区安全。设备安全是指防止由于资产丢失、损坏、失窃而危及社区卫生服务中心的资产安全以及信息安全。中心可通过设备安置和保护、支持性设施、布缆安全、设备维护、场所外的设备安全、设备的安全处置和再利用,资产的移动等措施来进行保障。
4.5通信和操作管理 社区卫生服务中心的通信和操作管理一般可从操作规程和职责、第三方服务交付管理、系统规划和验收、防范恶意和移动代码、备份、网络安全管理、介质处置、信息的交换、电子商务服务、监视等方面入手。
4.6访问控制 对于社区卫生服务中心来说,访问控制可从访问控制的业务要求、用户访问管理、用户职责、网络访问控制、操作系统访问控制、应用和信息访问控制、移动计算和远程工作等控制目标来入手。
4.7信息安全事件管理 社区卫生服务中心的信息安全事件管理可以从报告信息安全事态和弱点、信息安全事件和改进的管理两个控制目标入手进行管理。
4.7.1报告信息安全事态和弱点这项控制目标旨在确保中心与信息系统有关的信息安全事态和弱点能够以某种方式传达,以便及时采取纠正措施。该目标下有报告信息安全事态和报告安全弱点这两项控制措施来保障这一目标的实现。①报告信息安全事态控制措施,是指信息安全事态应该尽可能快地通过适当的管理渠道进行报告。实施过程中应建立正式的信息安全事态报告程序,以及在收到信息安全事态报告后采取措施的事件响应和上报程序。②报告安全弱点控制措施,是指中心应要求信息系统和服务的所有职员、承包方人员和第三方人员记录并报告他们观察到的或怀疑的任何系统或服务的安全弱点。报告机制应尽可能容易、易理解和方便可用。应告知他们在任何情况下,都不应试图去证明被怀疑的弱点。
4.7.2信息安全事件和改进的管理。社区卫生服务中心信息安全事件和改进的管理这一控制目标旨在确保采用一致和有效的方法对信息安全事件进行管理。中心可以用职责和程序的控制措施、对信息安全事件的总结、证据的收集三项控制措施来保障这一目标的实现。①职责和程序的控制措施。它是指中心应当建立管理职责和程序,以确保能对信息安全事件做出快速、有效和有序的响应。该项措施实施时除了对中心的信息安全事态和弱点进行报告外,还应利用对系统、报警和脆弱性的监视来检测中心信息安全事件。遵循严格的信息安全事件管理程序的前提是中心需建立规程以处理不同类型的信息安全事件,如恶意代码、拒绝服务、信息系统故障和服务丢失、违反保密性和完整性、信息系统误用等。中心除了考虑正常的应急计划还要考虑事件原因的分析和确定、遏制事件影响扩大的策略、向合适的机构报告所采取的措施等。②中心对信息安全事件的总结控制措施,是指社区卫生服务中心应有一套机制量化和监视信息安全事件的类型、数量和代价。从信息安全事件评价中获取的信息应用来识别再发生的事件或高影响的事件。③证据的收集。证据的收集对于社区卫生服务中心来说,是指当中心的一个信息安全事件涉及到诉讼(民事的或刑事的),需要进一步对个人或组织进行起诉时,应收集、保留和呈递证据,以使证据符合相关诉讼管辖权。过程有:为应对惩罚措施而收集和提交证据,应制定和遵循内部程序,为了获得被容许的证据,中心应确保其信息系统符合任何公布的标准或实用规则来产生被容许的证据:任何法律取证工作应仅在证据材料的拷贝上进行。
4.8业务连续性管理 对于社区卫生服务中心来说业务连续性管理是指防止中心业务中断,保证中心重要业务流程不受重大故障与灾难的影响。业务连续性管理过程中包含信息安全,该控制措施是指应为贯穿于组织的业务连续性开发和保持一个管理过程。解决中心的业务连续性所需的信息安全要求,保护关键业务过程免受信息系统重大失误或灾难的影响,并确保他们的及时恢复。应包含中心的信息安全、业务连续性和风险评估、制定和实施包含信息安全的连续性计划、业务连续性计划框架、测试、维护和再评估业务连续性计划等内容。
5 社区卫生服务机构信息安全的展望
对于社区卫生服务中心来说信息安全保障不仅仅是一门技术学科,信息安全保障应综合技术、管理和人。在中心的管理上,信息安全保障应考虑建立综合的信息化的组织管理体系,明晰相应的岗位职责、规章制度并严格执行等等。在人员上,应加强所有使用信息系统人员的安全意识和技能,以及中心从事信息系统专业人员的专业技能和能力。社区卫生服务中心的信息安全保障亦不是一种项目性的暂时行为,而是融入信息系统生命周期的全过程的保障。信息安全保障不是一种打补丁,头疼医头、脚疼医脚的临时行为,而是一种系统化、体系化的保障过程。信息安全保障的目的不仅仅是保障信息系统本身,信息安全保障的根本目的是通过保障信息系统进而保障运行于信息系统之上的中心业务系统。信息安全保障应以业务为主导、以社区卫生服务中心的使命、社会职责和社会服务性为出发点和落脚点。社区卫生服务中心的信息安全保障不仅仅是孤立的自身的问题,信息安全保障是一个社会化的、需要各方参与的工作。信息安全保障不仅仅是孤立的自身的问题,信息系统需要电信、电力等基础设施的支持、信息系统需要承担保密、公共安全、国家安全等社会职责,信息安全保障工作是一个社会化的、需要各方参与的综合的工作。社区卫生服务中心的信息安全保障是主观和客观的结合。没有绝对的安全,信息安全保障并不提供绝对的安全,信息安全保障是讨论风险和策略,讨论适度安全。因此,它是一个需要持之以恒和不断完善与发展的工作。
信息安全技术报告范文2
关键词:中小企业;电子信息;安全技术
1 电子信息安全的内涵
对于买方来说电子信息主要优点是方便快捷、操作起来比较简单。电子信息对于卖方来说主要优点是管理比较方便并且成本较低,但是电子信息最大的缺点就是买卖双方不能进行交流,主要是货币与货品的交换,并且交易都是通过网络进行的,之所以交易能够顺利完成,主要的原因是两者之间存在着诚信。关于诚信主要有两个方面的内容:有一种系统软件在买卖的过程中起到安全保障的作用,能将虚拟的货币符号转化成真实的货币,同时也能对交易起到保护作用,其中主要是对货币账户起到安全保障的作用。要想研究电子信息安全,首先要了解信息的内涵。信息主要是指资料、数据以及知识以不同的形式存在,在中小企业中这类信息主要是指买卖双方的有关信息和资料,犯罪分子能通过非法的手段对电子信息中的买卖双方采取诈骗行为,或者是通过网络对进行入侵和盗窃。信息安全管理标准对信息做出了详细的定义,信息也是属于资产,与其他的资产相同,对中小企业的发展有着重要的作用,是需要法律保护的。信息安全管理标准将信息划分为八个部分,主要包括物理资产、文档资产、文字资产、服务资产、软件资产、数据资产以及人力资源资产。
中小企业的电子信息主要是以网络为载体,网络的交流主要通过数据的传输得以实现,网上交易就是交流过程中的主要内容。所以,在信息安全的范畴中电子信息安全技术就成为了重点问题。关于电子信息安全技术的研究大多是关于技术的,但是对于中小企业来说,不仅要对技术进行改进,也要重视管理层,避免信息出现安全问题。
2 电子信息安全的理论
我国关于电子信息安全的研究,仍然较为落后。在国际中的关于信息安全的主要理论为:三观安全理论、信息循环理论以及信息安全模型理论。
三观安全理论。在中小企业的电子信息安全系统中,三观安全理论主要将其分为三个方面的内容,即微观、中观以及宏观。这个理论主要是将宏观层面的安全理念转化成微观层面的管理理念,进而对服务与生产进行指导。
信息安全模型理论。信息安全模型理论是信息安全管理发展过程中的产物,信息安全模型理论主要是将人、软件、操作以及信息系统相结合,并且全面的保护网络信息系统。主要倡导的是一种新的安全观念,并且提出了不能仅靠程序与软件对系统信息安全进行保护,要注重动态保护。此外,关于电子信息安全问题不能只依赖于安全技术,也要重视管理层安全理念的创新。
电子信息的循环理论。在实施网络信息安全的过程中电子信息的循环理论将其划分为四个方面:计划、执行、检查以及改进。这四个方面是一个循环的过程,也是一个周期,在循环的过程中,将这个过程看作是一个整体的信息安全管理体制,而不是将其看成某一管理过程。
3 电子信息安全技术对加强中小企业信息安全的作用
上文所述的三个信息安全理论对中小企业的信息安全管理有着重要的作用,主要有以下几个方面的内容。第一是信息安全领域的建设,第二是中小型企业中加强建设信息安全组织。美国信息安全研究所首次提出了信息安全领域,信息安全领域主要是指根据信息的不同保密程度创建相应的保密级别,网络控件的安装要结合用户信息的不同安全级别,安全信息的选择要适合用户的保密级别。在中小企业中,电子信息与资料的分类系统应该有统一的部门进行管理,然后对信息进行分类,并采取不同程度的加密与保密,这类信息主要包含文档、电子商务的相关资料以及服务等。将这些信息进行分类、保密、归档以及整合,有利于中小企业电子信息的调试。
对于中小企业来说,一直都存在电子信息安全性不够的问题,这主要同企业内部安全管理不足有关,安全管理的工作缺少专业的管理,很多的小型企业并没有统一的信息安全管理部门。企业安全管理部门的主要职能包含这几个方面的内容:同企业人力资源管理部门相互配合共同完成工作内容,要定期的审查一些特殊岗位的员工,一旦发现有违反安全规则的情况,要重新进行审查。同时还要对员工进行保密的培训;组织各个部门的工作,并对各个部门的工作进行协调,使企业的安全目标以及战略得以实现;企业的安全管理部门主要是对安全问题的管理、计划以及决策负责。也是企业的应急部门,要想避免企业信息的泄露,信息安全管理部门就必须加强对信息的管理;多联系各个地区的信息机构以及信息安全管理部门,这样能给企业带来新的信息安全管理观念以及安全技术;采取信息安全报告制,定期的向管理部门汇报信息安全的保护状况,对于一些重要的事件要及时的汇报,取得管理层对信息安全管理工作的支持。
在网络工程发展的同时,电子信息也得到了发展,电子信息在企业的发展中有着重要的作用,企业对其也越发的依赖电子信息。但是这只是一个虚拟的场所,主要通过网络这个载体来完成交易,因此安全技术问题成为了企业普遍关注的问题。
[参考文献]
[1]陈光匡,兴华.信息系统安全风险评估研究[J].网络安全技术与应用,2009(7).
[2]向宏,艾鹏,等.电子政务系统安全域的划分与等级保护[J].重庆工学院学报,2009(2).
信息安全技术报告范文3
(一)采用系统的思想
网络安全的建设是一个系统工程,它需要对影响信息系统安全的各种因素进行综合考虑,同时需要对信息系统运行的全过程进行综合分析,实现预警、防护、恢复等网络安全的全过程环节的无缝衔接;另一方面要充分考虑技术、管理、人员等影响网络安全的主要因素,实现技术、管理、人员的协同作战。
(二)强调风险管理
基于风险管理,体现预防控制为主的思想,强调全过程和动态控制,确保信息的保密性、完整性和可用性,保持系统运作的持续性。
(三)动态的安全管理
公安信息网络安全模型中的“动态”网络安全有两个含义:一是整个网络的安全目标是动态的,而不再是传统的、一旦部署完毕就固定不变的,从而支持部分或者全网范围内安全级别的动态调整;二是达到安全目标的手段、途径必须能够根据周边/内部环境的变化进行动态调整。
二、基于策略的动态安全管理模型的定义
基于上述指导思想,建立基于策略的动态安全管理模型,主要包括四类要素:人员、管理、策略、流程(技术产品)。安全策略确定后,需要根据组织切实的安全需要,以上述定义的安全策略为基础,将安全周期内各个阶段的、反映不同安全需求的防护手段和实施方法以一种利于连动的、协同的方式组织起来,提高系统的安全性。总的指导原则是:第一,防护是基础,是基本条件,它包含了对系统的静态保护措施,是保护信息系统必须实现的部分。第二,检测和预测是手段,是扩展条件,提供对系统的动态监测措施,是保护信息系统须扩展实现的部分。第三,响应是目标,是进行安全控制和缓解入侵威胁的期望结果,反应了系统的安全控制力度,是保护信息系统须优先实现的部分。这些不同的安全技术和产品按照统一的策略集成在一起,保持防护、监测、预警、恢复的动态过程的无缝衔接,并随着环境的变化而进行适当的调整,这样就能够针对系统的薄弱环节有的放矢,有效防范,从而完善信息安全防护系统。
三、基于策略的动态安全管理模型的实施过程
在公安信息安全管理体系的建立、实施和改进的过程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下:
(一)计划(Plan)
计划就是根据组织的业务目标与安全要求,在风险评估的基础上,建立信息安全框架。包括下面三项主要工作:
1.明确安全目标,制定安全方针根据公安专用网络信息安全需求及有关法律法规要求,制定信息安全方针、策略,通过风险评估建立控制目标与控制方式,包括公安系统工程必要的过程与持续性计划。
2.定义信息安全管理的范围信息安全管理范围的确定需要重点确定信息安全管理的领域,公安信息安全管理部门需要根据公安系统工程的实际情况,在整个金盾工程规划中或者各业务部门构架信息安全管理框架。
3.明确管理职责成立相应的安全管理职能部门,明确管理职责,同时要对所有相关人员进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有公安干警的脑海并落实到实际工作中。
(二)实施(Do)
实施过程就是按照所选定的控制目标与方式进行信息安全控制,即安全管理职能部门按照公安信息安全管理策略、程序、规章等规定的要求进行信息安全管理实施。在实施过程中,以公安信息安全管理策略为核心,监测、安全保护措施、风险评估、补救组成一个循环链,其中信息安全管理策略是保证整个安全系统能够动态、自适应运行的核心。
1.选择安全策略根据公安业务目标、公安信息安全管理目标、公安信息安全管理指导方针选择或制定信息安全策略。
2.部署安全策略对于高层策略,在此阶段,首先应将各种全局的高层策略规范编译成低级(基本)策略。根据底层的服务或是应用的要求将策略编译成执行组件可以理解的形式,针对特定类型的策略实施封装具体实施策略所需的行为,封装执行策略所必需的实现代码,这些代码与底层实现有关。将策略分发并载入到相应的策略实施中,继而可以对策略对象执行启用、禁用、卸载等策略操作。
3.执行安全策略(1)监测。对公安信息系统进行安全保护以后并不能完全消除信息安全风险,所以要定期地监控整个信息系统以发现不正常的活动。(2)进行信息安全风险评估。风险评估主要对公安信息安全管理范围内的数据信息进行鉴定和估价,然后对数据信息面对的各种威胁进行评估,同时对已存在的或规划的安全管理措施进行鉴定。(3)公安信息安全风险处置。根据风险评估的结果进行相应的风险处置,公安信息安全风险处置措施主要包括降低风险、避免风险、转嫁风险、接受风险等,使得公安业务可以正常进行,并重新进行风险分析与评估,增加或更改原有的信息安全保护措施。在公安信息系统正常运行时,要定期地对系统进行备份。(4)根据公安信息安全策略调整控制安全措施。由于信息安全是一个动态的系统工程,安全管理职能部门应实时对选择的管理目标和管理措施加以校验和调整,以适应变化了的情况,使公安系统数据资源得到有效、经济、合理的保护。
(三)检查(Check)
检查就是根据安全目标、安全标准,审查变化中环境的风险水平,执行内部信息安全管理体系审计,报告安全管理的有效性,在实践中检查制定的安全目标是否合适、安全策略和控制手段是否能够保证安全目标的实现,系统还有哪些漏洞。
(四)改进(Action)
改进就是对信息安全管理体系实行改进,以适应环境的变化。改进内容包括三部分:一是系统的安全目标、安全指导思想、安全管理制度、安全策略。二是安全技术手段的改进。随着安全技术和安全产品的改进,系统的安全技术手段也要不定期地更换。但更换后的安全技术手段仍然要遵循相应的信息安全策略。三是对人员的改进。安全管理措施和手段改进后,要对民警要进行安全教育与培训,并根据民警的不同角色为其制定不同的安全职责和年度信息安全计划,并按照计划进行工作,年底时要对安全计划的执行情况进行检查。
四、结束语
信息安全技术报告范文4
信息与网络安全是当今计算机研究领域的一个重要研究方向,随着信息技术的发展,特别是互联网的迅速普及和广泛应用,信息安全的地位越来越重要,已经引起各政府、企业部门的高度重视。目前,我国在信息安全技术方面的起点还较低,国内只有少数高等院校开设信息安全技术专业,信息安全技术人才奇缺。特别是在政府机关、国家安全、银行、金融、证券等部门和领域,对信息安全人才的需求量更是惊人。因此信息安全变得至关重要,信息安全已成为信息科学的热点课题。因此信息安全技术的专业人才培养在高校计算机专业中的重要性日益凸显。从市场需求来看,需要大量的熟悉信息安全产品销售、推广、安装、维护与用户培训的信息安全人才,也需要从事网络安全管理、保证企业网络安全运行的信息安全人才,还需要能够迅速排除或解决网络故障的信息安全人才。由此而论,信息安全专业的市场需求是潜力无限的。我院信息安全技术专业自开设以来,就以培养技能型安全技术应用人才为目标,经过专家委员会指导,结合社会市场调研,制定培养计划和教学计划,力求让培养体系达到科学合理。我校作为应用型本科人才的培养基地,在计算机本科各专业中逐渐开设了“信息安全技术”课程,其中有课内实践环节。早在教育部教高[2001]4号文件中就明确提出“实践教学对于提高学生的综合素质、培养学生的创新精神与实践能力具有特殊作用。”。基于目前的课程设置,对“信息安全技术”课程中实践教学环节的教学研究和改革任务非常迫切。信息安全技术课程是“软件工程”专业和“计算机科学与技术”专业分别在大学三年级上学期和下学期开设的专业必修课。课程的目的与任务是使学生了解信息与网络安全的基本知识,理解现代主流的信息加密与解密方法,掌握当前常用的信息与网络安全技术。由于信息安全技术是一门实践性较强的课程,如果仅仅通过书本内容,没有动手操作,学生是不可能深入地掌握信息安全的常用技术。因此如何合理安排有限的实验课时,如何编写合适的实验项目指导是实践教学环节中的重要任务。
二、实践方案设计
在确定软件工程专业为卓越计划试点专业后,软件工程专业的培养计划进行了较大调整,特别是“信息安全技术”课程结合“卓越工程师”培养目标,减少了理论课时数,而实践环节从无到有,总学时数减至40,其中实践环节课时数为8。依据此调整,向卓越班开设的“信息安全技术”课程需要重新组织,而其中新增加的仅8个学时实践课,如何与理论课结合,创新地进行实践设计和编写实验项目指导,的确需要深入细致的探讨和设计。首先,由于课程开设时间短,课时数有限,要想将信息安全技术的全部知识都灌输给学生,是不可能的任务。教师的第一要务是授之以渔,而不是授之以鱼。计算机专业的日新月异是大家面对的常态,今天教会学生某种程序语言,可能过几年后早已被淘汰。因此在设计实验方案时,不能过于注重具体的某种软件环境,而应该关注教给学生设计思路和方法,具体实现和执行可以有多种表现形式。其次,在设计实践方案时,参考和借鉴了国内外同行们的教学理念,基于教与学是一个双方互动的过程,在实验方案的设计中采用了“任务驱动模式”,在实验项目中安排一些需要学生思考或者课后完成的任务。这也是对学生实践进行考评的重要依据。在测评学生实践成绩时,不是简单地看实验报告或结果,而是注重实验过程和学生自己查找问题、解决问题的创新能力。第三,实践教学中要充分发挥学生的主观能动性。编写实验项目时不能只有规定好的步骤和参数,学生简单地重复实验指导的内容。这样的弊端是学生做完后容易遗忘。因此实验项目的编写要有创新性,不再是从实验数据到实验结果都与老师做的一模一样的“死的实验”,而是每个学生可能有不同答案的实验。由于结果是未知的,学生更能兴致盎然地投入其中。在实验中还可以安排一些学生可能感兴趣的选做内容,以便自己去研究探索。
三、实验项目实现
在新的指导思想下,创新地设计了六个实验项目,包含了必做实验和选做实验,学生可以根据自己的兴趣方向和实践能力选择完成4个实验项目。实验项目具体内容在新编写的实验指导书中描述,下表是新建实验项目简介。由于课程的理论基础是不变的,在理论课时中已介绍了目前常用的加密和解密方法,体现在实验中分别是古典加密算法实验和现代加密算法实验。在古典加密算法实验中选取了相对较易编程实现的凯撒密码,给出了加密和解密公式,并且有关键实现语句的提示,这样学生在编程实现时比较容易完成。在思考任务中,要求学生扩展思路,改变密钥关键值,从而得出不一样的密文,使得算法更具有扩充性。学生可以用不同的流程图和编程语言,只要有正确的算法思想,无论什么样的软件开发环境,都可以加以实现,也体现出了更具个体化的教学特点。现代加密算法实验由于算法复杂,加密过程庞大,学生较难独立编程完成,因此在授课时采取了简化的DES算法(Simple-DES)讲解和作业,讲清算法原理,在加密步骤中用S-DES让学生完成作业。实验项目中选取了非对称加密体制的RSA算法,学生只要掌握了加密原理,可以采用较简单的可分解小素数来编程实现加密和解密过程。在实验中还增加了让学生自行查找如何判断大素数的算法任务,学生可能会找到不同的检验算法,这也是实践成绩评价的重要组成部分。“信息安全技术”课程内容广泛,既涵盖基础密码理论,还有当前与每个人息息相关的计算机安全。这部分内容又包含着计算机系统安全、网络安全、软件安全、Web安全等等丰富的内涵,在有限的课时内不可能全部讲深讲透。因此在介绍理论知识之后,实践内容中安排了系统安全实验和Web安全实验,这2部分内容可以让学生根据每个人对计算机操作系统和软件的熟悉程度,自行选做部分实验,体现出因材施教的特点。随着计算机网络和网上购物的普及,网络安全问题被越来越多地重视。因此在设计实践方案时,将网络安全实验和网上支付作为必做实验,帮助学生了解常用的网络服务工具,掌握基本的网络安全技能,培养课后对网络安全的重视和研究。现在基本上学生都有接触网络的条件,但是很多人还没有建立网络安全的意识,在上网时面临着巨大的风险。实验项目中选择常见网络问题,常用网络工具,来帮助学生掌握网络安全基础知识。在实践教学中我们欣喜地看到,学生的潜力是无穷的,当他们喜欢钻研某件事,某个问题时,不需要老师太多的帮助,学生会废寝忘食地研究,激发出巨大的潜能。在以往的教学和实践中,我们已经看到了这样的成果。这也是在“信息安全技术”实践教学中探索的重要课题。教育的目的是通过教学的过程去唤醒受教育者的内力,而不是灌输无尽的知识。只有当学生主动地“我想要知道它”时,而不是老师主动地“我要你知道它”时,才是回归教育的本源。
四、结束语
信息安全技术报告范文5
关键词:政府门户网站;信息安全;保障;体系
政府门户网站建设在带来高效率和便利的同时,也带来了威胁、风险和责任。目前在全球范围内,计算机病毒、各种有害信息、系统安全漏洞和网络违法犯罪等政府网站信息安全问题日渐突出,不仅制约了信息化的持续、健康发展,也给国家的经济建设和人们的社会生活带来了许多负面影响。如何保障政府门户网站信息安全,已经成为世界各国政府主管部门、企业界和广大用户共同面临的一个严峻挑战。
一、制定网站信息安全技术保障的总体规划
构建政府门户网站信息安全技术保障体系,首先需要有关部门和单位对信息安全问题高度重视,并制定网站信息安全技术保障的总体规划,防范信息安全风险。主要应做好以下几个方面的工作:一是要加强政府门户网站的总体规划和统一建设,避免多头建设和重复建设,保证网络整体性,避免网络架构缺陷引起的安全问题。二是统一信息安全技术标准与规范,各级政府门户网站信息安全建设都应按照这个标准和规范进行实施,以确保信息整体安全。三是加强信息资源安全等级标准的规划和建设,明确不同信息的服务对象和公开范围。既要避免出现保密过度,限制政务信息化应用的推广和发展的情况,又要避免保密不够,造成电子政务信息泄密情况的发生。在确保信息安全的基础上,最大限度地保证信息共享。四是在信息安全方面,既要考虑省、市级政府的信息服务对象着重于政府部门和相关的领导等的特点,又要考虑到县、区级政府及相关部门的信息服务对象着重于群众或居民的特点。
二、积极应用各种安全技术产品
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
1.防火墙。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,服务技术。防火墙能较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但其本身可能存在安全问题,也可能会是一个潜在的瓶颈。
2.入侵检测系统。入侵检测的软件与硬件的组合便是入侵检测系统。入侵检测技术作为防火墙的合理补充,是主动保护自己免受攻击的一种网络安全技术。即通过对计算机网络或计算机系统中的若干关键点收集的信息进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。与其他安全产品不同,入侵检测系统需要更多的智能,它可以将得到的数据进行分析,并得出有用的结果。
3.近年来,门户网站防篡改系统也出现了不少,可使系统修改检测时间缩小到毫秒级,而且,由于采用的事件触发技术,系统监测基本不额外占占用系统资源。目前市场上主流的网页防篡改技术主要包括如下几项技术:(1)外挂扫描技术。外挂扫描技术是采用从外部逐个扫描网页文件的方式来判断对网页的非法修改,采用这种技术一般会有一定的时间间隔,而且网站文件越多,时间间隔越长,不能保证被黑客修改的网页不被访问者看到。(2)核心内嵌技术。采用核心内嵌技术的防篡改系统,其篡改检测模块运行于Web服务器软件内部,与Web服务器无缝结合。每次Web服务器对外发送网页时,系统都进行网页防篡改检测,从而能够实时地确保每个网页的真实性。(3)事件触发技术。事件触发技术是把系统的篡改检测模块嵌入到操作系统内核,因此所有的文件非法变更事件都会被事件触发器无延迟的获取,该机制完全区别于扫描技术和核心内嵌技术,不需要与备份库对比分析的繁琐过程,因此可以做到监控的实时性和系统资源低占用率。是当前比较先进的一种防篡改检测技术。(4)CDN技术。CDN即内容分发,主服务器针对不同地区、不同电信运营商,将浏览内容镜像到多个服务器上,如果一个服务器受到攻击,则由其它镜像来接管,网友可从最近的节点上获取数据。
三、建立基于公众应用需求的容灾级别和容灾系统
各种自然灾害和突发事件都有可能导致各网站信息系统的瘫痪造成灾难性后果。根据公众对系统需求的紧急程度、应急恒复时间来划分,容灾备份通常分为以下三种级别。
1.最高级别容灾系统。建立异地镜像系统,即同时对系统软、硬件进行备份,并且系统的数据实现远程类实时备份。该级别的容灾系统可确保原系统在完全崩溃的情况下,系统能够立刻替代原系统响应服务。
2.一般级别容灾系统。对动态系统数据进行定期完整备份和增量备份,并同时进行异地备份处理。网站系统服务平台确保在指定的时间内搭建完成,然后提供与原系统基本相同的系统服务(与系统实时数据差别主要由增量备份的时间间隔决定,每次增量备份间时间间隔越短,备份数据与实时数据差别越小)。
信息安全技术报告范文6
2007年11月27日,普华永道了第五次年度全球信息安全状况调查。报告显示: 经过几年的发展,全球信息安全问题得到了空前的重视,每花费1美元的信息化投资,就有15美分用于安全。但问题依然不少,企业虽然通过聘用专业安全人员、规范管理流程和使用技术手段来应对信息安全的问题,可是对于如何解决问题仍一筹莫展,中国在常见的有关隐私安全与信息安全的大多数方面均处于滞后状态。同时,报告提醒,2008年,全球CIO/CSO应该关注的领域有了一些新的变化。
调查显示,企业比以前更清楚地看到信息安全问题是因为企业采用了一些新的工具和方法。例如:
添加方法: 三年前,仅37%的公司制定了整体安全策略,2007年则是57%。另外,每五家公司中有近四家至少会定期开展企业风险评估;
部署技术: 十个人有九个说自己在用防火墙,监视用户并依赖入侵检测设施,大公司(收入超过10亿元)的这一比例高达98%。采用了加密技术的比例空前高,达到72%,而2006年这一数字为48%;
雇佣人员: 首席信息安全官(CISO)的人数不断升高,每个公司信息安全人员最多可达100人。
企业正在经历从对计算机安全漏洞的一无所知到了解后的惶恐不安。但了解安全状况并不等于进步,拥有了安全技术也并不意味着安全。企业必须变得更成熟。
2008全球信息
安全形势
将发生新变化
未来的信息安全威胁会有以下的转变:
内部威胁逐渐展露: 2007年企业内部“员工”首次超过“黑客”成为造成安全事故的主要原因,内部员工所造成的安全危险成为信息安全事件的重要组成部分。
安全攻击手段变得更加复杂: 随着企业安全措施的不断进步,安全攻击也变得越来越复杂。迹象显示如今电子邮件病毒已经没有2005年时那么流行,但是系统有效用户身份的滥用、社会工程学、网络钓鱼攻击以及对于已知应用系统弱点的攻击会变得更频繁。
保护数据隐私将会得到进一步关注: 尽管在保护数据隐私方面取得了一些进展,但步伐不够快: 到2007年,22%的企业设立了首席隐私官; 56%的企业没有定期检查隐私政策是否持续执行; 61%的传输数据经过加密,但在更多领域,像数据库、共享文件、笔记本电脑和可移动媒体里的数据没有加密,成为数据泄露事故的源头。
开始关注合作伙伴的安全: 许多企业没有意识到,即使数据是由第三方运行和储存,他们仍然有责任保护数据: 76%的企业没有保留其客户数据的记录; 少于一半(41%)的企业要求第三方(包括外包服务商)遵循隐私政策; 42%的企业针对外部合作伙伴、客户、供应商及服务商建立了安全基本线; 65%的安全政策没有明确设定让合作伙伴和供应商遵循的方法。
2008中国CSO
需关注的领域
中国企业同样面对以上的各项挑战,在以下的领域需要尤其关注:
数据隐私: 在许多数据隐私保护的领域中国都相对落后,超过一半(59%)的企业都不给员工提供关于隐私政策的培训; 大多数企业(69%)没对网络交易进行安全管理。
信息安全保障: 综合人文、流程、技术等因素,中国在信息安全保障方面仍然较为滞后: 只有31%的中国受调查对象建立了定期的威胁和弱点评估; 72%的中国企业承认他们没有知识产权保护策略和流程; 70%的中国企业承认他们没有业务持续/灾难恢复计划和流程。
安全事故的影响: 中国企业需要关注安全事故对企业带来的影响,因为不够成熟的信息安全保障措施已经影响到商业运作,包括财务损失(23%)以及知识产权被盗取(18%)等问题。
信息安全架构: 中国企业虽然雇佣了许多全职人员投入信息安全。但是,74%的公司指出他们的组织没有首席信息安全官,而59%的中国公司没有总体信息安全战略(调查总平均值为43%)。
知识产权: 只有28%的中国公司有知识产权的政策。
对中国CSO的三大建议
企业普遍把信息安全看成为一个技术问题。既然主要的投入是在技术方面,那回报也主要来自技术: 工具会告诉你在发生的事情,并阻挡最低级的攻击。但技术一般比较被动,仅限于当一些预定的规则一旦被违反,就会发出警报和事后对异常情况报告。犹如博物馆窗户上的玻璃破碎传感器,对于警告有人破窗方面特别有效,但对油画如何被盗以及为何被盗,传感器不会也不能做任何解释,更不会帮助预防下次窗户被打碎或下一次油画被盗。
当安全人员看到了问题时,往往并未发现所有的问题。企业会发现钱花错了地方,还会发现好的员工带着良好的愿望把工作带回家,因为不慎丢失笔记本电脑,或将数据放入其家庭电脑时,会发生安全隐患。这种例子枚不盛举。
信息安全已经不再是一个纯技术问题,要从根本上解决,企业必须制定战略计划。安全投资必须从重技术转向重情报,要树立风险分析和防范思想。安全管理人员必须同时考虑三个相关的领域: 管理流程、人员和技术。只有这样,企业才会走出被动局面。
对战略及管理流程的建议
制定总体信息安全战略,使信息安全在企业里有明确的定位;
制定业务持续及灾难恢复战略和计划,减低一旦发生安全问题对企业所可能造成的影响;
制定配置架构的标准和流程;
制定致力于知识产权和信息保护的政策和流程;
执行定期的穿透测试、威胁和弱点评估及风险评估。
对人员设置的建议
设立首席信息安全官(Chief Information Security Officer / Chief Security Officer)和首席信息隐私官(Chief Privacy Officer)岗位,并由有适当经验的人员担任;
聘请富经验的信息安全顾问协助企业制定安全策略和处理信息安全问题。
对信息安全技术的建议
使用适当的安全技术,如远程登录技术和VPN技术来加强对系统和数据的访问控制;
