对信息安全的认识范文1
关键词:信息安全;信息安全素养;信息安全保障;评价指标体系
中图分类号:C32 文献标志码:A 文章编号:10085831(2012)03008106
一、引言
目前,随着中国社会信息化程度的全面提升,网络与信息系统已经成为国家的关键基础设施,其基础性、全局性作用进一步增强,信息资源在国民经济发展中的作用与日俱增,谁能够及时掌握丰富的信息资源,谁就能在政治、经济、军事和文化等方面占据优势地位。但与此同时,信息安全问题日益多样化、复杂化。针对网络和信息系统的攻击活动以及网络与信息系统自身的安全问题,严重影响着金融、电力、交通等关键基础设施的正常运转,病毒传播、网络攻击、网络泄密等案件逐年上升。信息安全问题已经不仅仅是一个技术问题,也不仅仅是一个社会问题,而是涉及到政治、经济、社会、文化、军事等方方面面,进而上升成为国家全局性战略问题。中共十六届四中全会已将信息安全列入国家安全的四大重要组成部分之一,另外三大部分为政治安全、经济安全和文化安全。据北京谷安天下科技有限公司的《2010企业员工信息安全意识调查报告》显示,428%的受访者认为个人信息安全意识不足是最大的信息安全隐患,然后依次是缺少安全制度或现有制度未落实、投入或人员不足或缺乏信息安全培训、安全产品功能不足和其他。而对于目前有效保护信息安全面临的最大障碍是普遍缺乏信息安全意识,其他依次是管理水平落后、技术不过关、法律不健全、信息安全人才不够和其他障碍。报告进一步显示,中国企业员工普遍缺乏信息安全意识[1]。另外在RSA2011信息安全大会上,不少信息安全专家不约而同地提出了一个引人关注的问题,即众多缺乏安全意识的员工,正在成为黑客突破企业安全防护时,最大也最难修补的漏洞[2]。2012年初CSDN和天涯等众多网站用户数据大规模泄露事件的主要原因是用户习惯使用一号多用的账户和密码,当个别网站个人资料泄露后,直接导致了多个网站的账户同时被曝光[3]。因此,加强对国民信息安全素养进行评价,让广大国民认识到自身信息安全素养的现状,并有效提升其信息安全素养是亟待解决的重要问题。
二、信息安全与国民信息安全素养的内涵
信息安全是一个既古老又年轻的话题,包含的范围很大,大到国家政治军事科技等机密安全,小到防范企业商业机密被窃取、个人信息泄露等。信息时代的到来更加凸显了信息安全的重要性和紧迫性。目前一般从狭义和广义两个方面理解信息安全。狭义的信息安全是指信息本身的安全问题,基本包括信息的保密性、完整性、可用性、可控性及可靠性五个方面。保密性是指确保信息仅为那些被授权者获取使用;完整性是指保护信息不被删除、修改、伪造、乱序等以确保其完整准确;可用性是指保证被授权者可以按需获取使用信息;可控性是指信息和信息系统处于安全监控管理状态;可靠性是指信息系统在规定条件下完成特定功能的概率。广义的信息安全是指社会信息化状态和信息技术体系不受外来威胁和侵害,以此维持国家政治、军事、经济、科技、文化、社会生活等系统正常运行的状态。广义的信息安全包括政治信息安全、经济信息安全、科技信息安全、军事信息安全、文化信息安全、生态信息安全、公共信息安全等内容[4]。
国民信息安全素养是指在信息化、网络化环境下,国民对信息安全的认识,以及对信息安全所表现出的各种综合能力,包括信息安全意识、信息安全知识、信息伦理道德和信息安全能力等具体内容[5]。它是信息社会中信息素养的重要组成部分,已成为信息社会人类生存立足的重要条件。信息安全意识是指人们能够认识到信息安全在工作、学习和生活中的重要性,对信息安全有一定的敏感性和洞察力,熟悉常见安全威胁的识别方法以及有效的安全保护措施。信息安全知识是指人们熟悉信息安全的基本概念和基本理论框架,了解计算机安全和网络安全的最新技术。信息伦理道德是指人们在获取、利用、加工和传播信息的过程中必须遵守一定的网络信息伦理道德规范,自觉抵制网络盗版、计算机病毒、电脑黑客等行为。笔者所讨论的信息安全素养的内涵比信息安全意识更加丰富,不仅包含关心和维护信息安全的意识取向,更包含后续各种防护能力、信息安全伦理道德等内容。信息安全素养与计算机素养有所不同,后者主要指个人使用计算机所需要的各种基础知识。另外信息安全素养的养成是长期“修习”的结果,并非天生就有,也不能一朝一夕就形成。信息安全素养的形成有一个程度变化的过程,即从低到高逐步发展的过程。
对信息安全的认识范文2
关键词:信息安全技术;教学模式;课堂教学;创新实践
信息安全技术是面向计算机科学与技术本科专业开设的专业必修课,其教学内容主要包括信息安全概论、密码学基础与PKI、病毒防护与网络攻防、防火墙与入侵检测等,是一门技术综合性较强的课程[1]。笔者将从信息安全类课程教学与实践两大环节中的共性问题入手,探索信息安全类课程中一般共性、有效的教学与实践方法。
1信息安全类课程现状分析
目前,在课程教与学活动中存在一些突出的共性问题和难题,主要表现在以下几个方面:
1) 如何进一步保持学生的课程学习兴趣。
信息安全课程与其他课程最大的不同是,学生一旦获知该课程名称时便有极大的兴趣,其原因来自于对从事信息安全工作的神秘感,以及目前日益出现的网络安全问题也使得学生急切地想成为一名网络与信息安全的攻防“高手”。但这样的热情随着信息安全基础理论――密码学的展开,以及对代数论和编码理论知识掌握的前提要求,使得大多数学生在该课程的开始阶段就进入了抽象理论理解的困境,致使学生早期的学习兴趣荡然无存。如何使他们保持一个良好的学习兴趣和动力,是我们在教程安排与实际教学实施上需要首先考虑和关注。
2) 如何开展“点”与“面”结合的教学与实践活动。
信息安全技术自身的内容非常广泛,包括信息安全基本概念、程序安全知识、密码学知识、网络安全与设计、系统安全知识以及安全产品设计基础。然而信息安全技术课程目前仅仅是一个入门级的课程,但是上述基本知识点在课程教学和实践环节都需要被涵盖。如何在有限的理论学时和实验学时中,将知识的“点”与“面”完美的结合,值得我们进一步探索。
3) 如何将理论教学与学生解决实际问题相结合。
面对目前频繁出现的网络安全问题,如何运用课堂所学知识解决实际问题是计算机应用型人才培养过程中的瓶颈问题。目前一些兄弟院校在课程实验环节上,通常将理论教学中的各知识点独立进行实验,这往往造成学生知识的孤立性和片面性,直接导致了理论教学与实践的严重脱节,使他们将来无法面对较为复杂的网络与信息安全系统分析、设计与实现。因此,探索一种更为有效的信息安全课程实验方法也迫在眉睫。
4) 缺少综合化的学生创新实践与教学平台。
通过河南省内高校及我校两个专业的两届学生课程学习情况来看,学生具有浓厚的信息安全学习兴趣和求知欲望。然而,一般学生对安全技术的概貌了解不够广泛,对共性技术本质的理解还不够深入,这些阻碍了学生进一步自主、独立地开展课外实践和技术应用,并且部分兴趣强烈并学有余力的学生,由于找不到合适的、开放的综合实验平台,故不能较好地完成、实现和验证自己的安全方案[2]。这对开展学生创新实践和大学生信息安全竞赛活动是不利的,亟需改进和弥补。
5) 缺乏合理、完善的实践教学环节安排。
传统的计算机类专业课程主要以实验教学训练、培养和加强学生独立分析问题、思考问题和解决问题的能力,并且通常以2学时或4学时为一个模块单元完成一次验证型、设计型或综合型实验。然而,对于信息安全类课程的实验教学而言,模块化的实验环节安排是无法较好地完成一个相对完整的基础理论知识与技术单元,从而造成学生只能草草结束,缺乏积极思考问题和技术分析,不利于课堂的知识巩固和有益补充[3-4]。
6) 缺乏信息安全技术认知水平评价体系。
信息安全作为综合性、应用性与实践性较强的专业技术,若单纯依赖传统的课程实验报告、中期测试和期末考核,已无法有效、及时地掌握学生的真实认知水平和能力,从而不能适时、及时地调整授课内容和侧重点,最终只能以分数评价教与学活动开展的优劣和成绩。
基于上述现状分析,教学课程安排不够合理,缺乏综合化的学生创新实践与教学平台,以及信息安全类课程的学生认知评价体系等,已成为普通高校在信息安全技术类课程教学活动中出现的共性难点问题。
2知行合一教学模式
“知行合一”思想由明朝思想家王阳明所提出,“知”是指科学知识,“行”是指人的实践,认识自然界客观规律与行动实践应当合二为一、密不可分。在信息安全技术教与学活动中,知行合一的教学模式内涵是指在培养信息安全工程、技术与应用人才的过程中,将认知、掌握信息安全理论、技术、方法的课堂教学活动,和安全技术实验教学、课外实践与学生竞赛活动有机结合,达到互为补充、相辅相成的目的。
2.1点面结合的课堂教学方法
1) 合理规划信息安全教程。
合理地安排教程、内容与学时,在不影响主要信息安全知识点讲解的同时,尽可能把与计算机专业学生在本课程前已掌握的课程知识,如计算机网络、软件工程等相关的信息安全知识点放在前面的章节讲解,使他们在巩固先前知识的同时,又能由浅入深地学习信息安全技术。
2) 点面结合的信息安全课程新教法。
信息安全课程涉及广泛的多领域知识,如计算机科学、通信与编码、基础代数等,涉及了计算机与网络安全的方方面面。如何让学生从总体上了解和把握信息安全知识的基础体系框架,需要把握该课程的“面”,同时对于计算机应用型人才培养中的信息安全应用关键技术知识理论和工程实验方法,又需要我们深入剖析该课程涵盖哪些“点”。此外,在把握了点与面之后,应进一步探索在课程教学中如何将两者统一起来、融合起来,使得学生在学习过程中从“面”到“点”的系统掌握应用技术,再由“点”及“面”的进一步深入体会信息安全系统工程的总体架构及其合理性,从而获取系统、全面的课程知识,为进一步的工程实验环节奠定扎实的理论知识基础。
2.2实验教学与开源实践方法
1) 从信息安全系统工程角度开展针对性课程实践。
这里虽然最有效方法就是要学生参与相关的、实际的安全项目开发,但是从我国高校的本科生教学情况来看,这种方法复杂而且耗时,对教师和学生的要求都很高,不适合初次接触信息安全的学生的教学实践。而且信息安全类的项目本身具有严格的保密级别,也不是轻而易举就可以参与的。这个方法不具有广泛适用性。因此有必要探索一条新的理论与实践相结合的方案,即建立信息安全课程综合实验平台,通过平台建设和实施,使得学生在此基础上完成信息安全课程基本、重要知识点的学习、掌握和熟练运用。
2) 合理规划实验教学环节和步骤。
将规划的基础知识(能力)单元,依据知识关联度和前导性等原则,凝练出4~6个较为综合的实验项目,其中验证型项目课内外总学时不少于6学时,综合型/设计型项目课内外总学时不少于10学时。学生在课内外可利用建立的创新实践平立完成实验和开展课外实践及竞赛培训,主讲或实验教师也可基于该平台对学生的实验作业或竞赛作品进行检查和考核,从而对课程教学与实践活动建立一个正确的评价机制。
3) 搭建综合化创新实践教学平台。
基于认知水平评价体系,明确列出权重值倾向于技能与应用培养的教学与实践单元。进而发掘、收集和建立对应的开源软件或中间件创新实践库。例如,用于网络攻击技能认知的Sniffer开源软件包、Wireshark网络协议分析软件包、X-Scan/SuperScan应用软件包等,用于安全防御的Snort开源软件包,以及单点登录、基于角色的授权管理等模块化的安全应用软件组件、中间件或服务。此外,在日常教学实践活动中,往届学生在课程设计、毕业设计和信息安全类竞赛活动中优秀的Demo系统、原型系统和实际应用系统,也可以纳入创新平台体系建设中,使得日后教学实践活动可以在此之上验证基础知识单元、设计与实现新的安全方案与创新思路和测试基础能力单元,如表1所示。最终建立一个以现代网络技术为基础的,较为完整、开放、综合化的创新能力实践与教学平台。
2.3知识能力认知评价方法
1) 构建信息安全技术学生认知评价体系。
首先,明确本科学生必须认知和掌握的信息安全技术基础知识(能力)单元,即规划认知评价的内容,例如,密码学基础理论单元、密码学相关的PKI基础应用单元、网络攻击基本技能单元、防病毒与入侵防御基本应用单元、信息安全新技术基础认知单元等。其次,规划建立较为完备的三级评价指标体系,其中包括基础安全理论(技术)认知水平(Basic Theory & Technology, BTT)、基本安全技能认知(熟练)水平(Basic Skill Proficiency, BSP)和基本安全方案认知(构建)水平(Basic Scheme Construction, BSC)。上述每一个知识(能力)单元都将涵盖三级指标体系的每个层面。最后,将每一个单元按照三级评价指标体系给出具体的指标子项,例如,密码学理论单元在安全理论认知水平指标项中可包含基本密码体制和基础密码算法两个指标子项,而密码应用协议、密钥管理与安全属于基本安全技能认知指标子项,基于密码学的应用安全与保护列为基本安全方案认知(构建)水平指标子项,如表2所示。此外,依据长期的教学实践经验,给出每一个子项的权重值,并且该值也可针对实际的学生学习和接受情况,加以实时调整[5]。
3教学实践效果
我校计算机科学与技术专业学生学习信息安全技术课程约120人/年;在电子信息工程、信息管理与信息系统等其他相关专业,学习该课程的学生约300人/年。通过知行合一、点面结合教学模式的实施,有效地满足了信息技术类工科人才培养中厚基础、重实践的基本要求,并较好地完成课程的教学活动。
4结语
信息安全技术类课程是计算机科学与技术本科专业,以及电子信息工程、信息工程等相关专业所开设的专业必修或选修课程,具有较强综合性、应用性和实践性。关于课程教育教学方法和手段改革的探索与实践,对于面向计算机工程与应用型人才培养的专业课程体系建设和培养方案制定具有重要的实际意义和借鉴参考价值。
参考文献:
[1] 陈昕,蒋文保. 信息安全专业应用型人才培养模式探索[J]. 计算机教育,2009(21):105-107.
[2] 李洪伟.“信息安全概论”实践教学的探索[J]. 计算机教育,2009(15):102-103.
[3] 郭凤海,贾春福. 信息安全开放实验探讨[J]. 计算机教育,2010(10):119-122.
[4] 唐海涛,金京姬,孟繁二,等. 浅谈网络与信息安全实验室规划与建设[J]. 中国科教创新导刊,2010(4):173-174.
[5] 郑秋生,王文奇,潘恒,等. 网络安全技术及应用[M]. 北京:电子工业出版社,2009:181-182.
Education Mode of Knowledge and Practice Unity in Information Security Technologies Curriculum
ZHANG Zhiyong, HUANG Tao, ZHANG Lili, NIU Danmei
(Department of Computer Science, Electronics Information Engineering College, Henan University of Science and Technology,
Luoyang 471003, China)
Abstract: The paper starts with the common issues of educational and practical activities for information security class curriculums, and proposes the contents arrangement and student learning evaluation mechanism, based on the practical educations in information security technologies curriculum. The novel mode has the better effect on cultivating the information security engineering and application-typed undergraduate, with a result of achieving the educational goal of the emphasis on fundaments and practices.
对信息安全的认识范文3
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
1.1管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。最后就是对干企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
1.2网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。(1)网络。主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
二、信息安全教育
2.1保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁善。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻幵始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对干信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
2.2信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。(1)对于企业内部所有员工进行信息安全意识的教育培训。(2)对于企业内部的信息技术人员进行扣关技术知识的教育培训。
2.3员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对干一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基要求。
2.4普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机:,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家见或是其他计算机k的病毒带到企业内部,导致企、计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更尚的信息安全意识。
三、结语
对信息安全的认识范文4
关键词:电子商务 安全技术 交易安全
电子商务是在Internet开放的网络环境下,实现消费者在线购物、企业之间在线交易和网上电子支付的一种新型交易方式。2009年2月23日《电脑报》头版写到:“‘淘宝此前假货超过70%,现在也还有30%。’当当网CEO李国庆炮轰淘宝是中国最大的假货交易平台。那么淘宝2008年999.6亿人民币的规模,其假货价值超过300亿人民币,这已经超过一个小国的GDP。” 随着电子商务的发展,网上购物受到越来越多人的青睐与追捧,由于人们平时工作时间与压力的原因,逛街休闲的时间少了,于是利用工作之余,进行网购等网络活动。但是由于网上交易安全性不高,客户经常是对电子商务望而生畏,惧怕受骗上当。因此,要想推动电子商务的发展,安全问题是买卖双方亟待解决的最关键问题。
一、 电子商务中的安全问题
(一)信息泄漏。在电子商务中商业机密的泄漏,主要包括两个方面:交易双方进行交易的内容被第三方窃取;交易一方提供给另一方的文件被第三方非法使用。
(二)信息篡改。电子交易的信息在网络传输中,可能被他人非法修改、删除或重放(只使用一次的信息被多次使用),这样就使商业信息失去真实性和完整性。
(三)信息破坏。非人为因素,如网络硬件和软件出现问题;人为因素,计算机网络遭到恶意程序(病毒)的攻击,使得电子商务信息遭到破坏。
(四)抵赖行为。诚实守信是电子商务制度规范得以确立和运作的基础,也是有效防范电子商务运营风险的重要条件。我国电子商务市场信用失信较严重,如今年频频出现的团购网虚假骗购问题,已成为制约行业成长的一大“瓶颈”,根本原因是我国尚没有一套健全的社会信用体系。
二、从科技层面入手加强安全措施
(一)加密技术是电子商务最重要的安全技术。
1.对称密钥加密:采用相同的加密算法,并且加密和解密都使用相同的密钥。如果进行通信的交易各方能够确保专用密钥在密钥交换阶段未发生泄露,则可以通过对称加密方法加密机密信息,并随报文发送报文摘要和报文散列值,来保证报文的机密性和完整性
2.非对称密钥加密:密钥对被分为公开密钥和私有密钥,密钥对生成后,公开密钥对外公开,私有密钥则保存在密钥方手里。任何得到公开密钥的用户都可以使用该密钥加密信息发送给该公开密钥的者,而者在得到加密信息后,使用与公开密钥相应对的私有密钥进行解密。
对称加密的优点是加密速度快、效率高,广泛用于大量数据的加密。但缺点是密钥的传输与交换易被截取,若和大量用户进行通信,难以安全管理大量的密钥对,大范围应用存在问题。而非对称密钥其优点是解决了对称加密中密钥数量过多难管理和费用高的不足,不必担心传输中私有密钥的泄露,保密性能优于对称加密技术。但缺点是加密算法复杂,加密速度不理想。电子商务实际运用中常常是两者结合使用。
(二)安全认证技术是一种最重要的安全服务。
1.身份认证,确认信息发送者的身份。
(1)身份识别的单因素法。身份识别的最简单法就是口令,系统事先保存用户的二元组信息,进入系统的用户必须输入相应的二元组信息,从而判断该用户身份是否合法。
(2)基于智能卡的用户身份识别。智能卡中存放用户个性化的秘密信息,同时也在验证服务器中存放,认证时,用户输入个人身份识别码PIN,智能卡认证PIN成功后,即可读出智能卡中的秘密信息,进而利用该秘密信息与主机进行验证。
(3)一次口令机制。用户每次登录的密码都不相同,随机信息连同个人数据共同产生一个口令。
(4)生物特征认证。常见的有指纹识别、虹膜识别、脸部识别和掌纹识别等,是最可靠的识别方式。
(5)USB Key认证。是一种USB接口的硬件,内置单片机或智能卡芯片,存储用户的密钥或数字证书,利用USB Key内置的密码学算法实现对用户身份的认证。
2.消息认证,验证消息的有效性、真实性、完整性和不可否认性。
(1)数字签名保证了信息是由签名者发送的以及信息自签发后到收到为止未曾作过任何修改,但不能保证签名者身份的真实性;
(2)数字证书证明电子商务或信息交换中参与者的身份,提供网上发送信息的不可否认性,验证网上交换信息的完整性。数字证书是由具有权威性、可信任性的第三方机构即认证机构CA所颁发,它是贸易各方都信赖的机构。
三、从管理环境层面入手加强安全措施
(一)完善管理体制和管理环境
1.有计划地考虑信息安全问题。对于不同业务领域来说,信息安全具有不同的涵义和特征,信息安全保障体系的建设必须涵盖各部门和各公司的信息安全保障体系的相关内容。应收集现有的已发生的电子商务安全问题及解决方案,通过建立并保持与有关专家的对话来促使问题得到解决,并存储到数据库,保证电子商务操作人员在面临安全问题时能尽快解决。
2.加快信息安全人才的培养。通过各种形式进行初级选拔,选拔责任心强、讲原则守纪律、了解市场并懂得基本网络知识和安全知识的人员。对于重要的业务,尤其是企业机密文件及用户资料等业务实行两人或多人相互制约的机制;重要业务操作人员及交易安全等职务的任期有限;对于网络访问权限的设定应保证不同业务的人员具有不同的访问权限。
3.提高企业和公众安全意识。电子商务网上交易人员要严格遵守企业网上交易安全制度,明确责任,重视管理,避免“重技术、轻管理”的现象。面临安全问题及时汇报,对违反网上交易安全规定的行为进行惩罚,对有关责任人进行严肃处理。
(二)建立电子商务安全运行体系
1.做好电子商务网站的安全评估。聘请专家对电子商务网站进行综合安全水平评估;建立安全体系架构;做好病毒的防护,在企业中培养集体防毒意识;综合采用多种安全技术,包括防火墙技术、入侵检测技术、数字加密技术、数字签名技术、认证技术等,确保网站系统、信息及数据的安全与保密。
2.建立健全电子商务法律法规。为保证电子商务活动得以正常进行,政府需要提供一个透明、和谐的商业法律环境。目前,我国急需制定的有关电子商务的法律法规主要有买卖双方身份认证办法、电子合同的合法性程序、电子支付系统安全措施、信息保密规定、知识产权侵权处理规定、税收征收办法、广告的管制以及网络信息内容过滤等。严厉打击电子商务领域犯罪,营造电子商务的一片净土。
随着科技的进步与社会的发展,电子商务的安全运行, 是一个越来越突出和急需解决的问题。无论是网络的攻防还是诈骗与反诈骗都是此消彼长的,尤其是安全技术,它的敏感性、竞争性很强,需要不断地检查、评估和调整相应的安全策略。相信随着时间的推移,电子商务所带来的好处必将远远超过它所带来的风险。
参考文献:
[1] 郝卫东,杨扬,王先梅,刘宏风。《网络环境下的电子商务与电子政务建设》清华大学出版社,2006年6月
[2] 李荆洪,夏春华,王友顺,俞明飞。《电子商务概论》中国水利水电出版社,2008年2月
[3]刘,李群,张伟。《计算机新技术应用及发展》辽海出版社,2003年8月
对信息安全的认识范文5
[关键词]民航企业信息 网络信息系统 网络信息安全
中图分类号:TP245.47 文献标识码:A 文章编号:1009-914X(2015)43-0312-01
1. 引言
网络信息系统逐渐成为现代企业管理中重要的基础设施,中国民航企业通过它们实现了对生产、管理信息的快速传递和共享,极大地提高了运行管理效率。因此,网络信息系统的安全稳定运行对于民航企业的正常运作而言非常重要,直接影响国家的安全形势,影响民航企业的发展与效益,可见制定正确的企业网络信息安全与防护策略已经成为了中国民航企业所面临的重要课题。
2. 民航企业网络信息化建设面临网络信息安全问题
近些年,我国民航企业的网络信息化建设虽然取得很大飞跃,但与国际先进水平还有一定的差距,尤其是民航的网络信息安全总体形势不容乐观,信息安全存在一些隐患,对此我们必须时刻警惕,加强防范。网络信息安全问题这主要表现在几个方面。
1)网络与信息系统的防护水平不高,网络信息系统遭到恶意入侵和攻击影响较大的网络信息安全事故时有发生,并直接影响安全生产,如2006 年中航信离港系统技术故障, 造成大量航班延误和大批旅客滞留机场,给我们敲响了警钟。
2)行业人员在网络信息安全技术水平方面还处在较低水平,缺乏专业队伍和人才。技术人员的应急处置能力不强,遇到突发事件应变处置能力还需提高。员工对网络与信息安全认识还不到位,安全意识淡薄,对网络信息不安全的事实认识不足。
3) 各单位的网络信息安全工作组织机构还不健全,在工作职责等方面还需明确加强。行业性质的网络信息安全标准、规范和认证体系不够完善,在网络与信息系统的建设和信息安全管理工作中缺乏统一的行业性标准、规范。缺乏一套完整有效的管理方法和有效的监督检查措施,缺乏网络安全审计和安全监控。
4)各单位建设网络信息系统时缺乏后期安全维护方案。缺乏更深入的系统安全备份机制,有效的系统恢复机制,遇到突发信息安全事故不能及时恢复网络信息系统的正常运行。
5)网络信息安全系统建设缺乏整体规划,个别单位是为了上系统而上系统,很多单位对各自的网络信息系统建设缺乏全面、深入、细致的安全体系规划和研究。网路信息安全基础设施建设发展也不平衡,设备缺乏统一性, 一些网络信息系统中缺乏足够的网络监控设备,不能及时发现处置外部入侵攻击行为,不能及时排除系统中的安全隐患和故障。
3. 保障民航网络信息安全的主要措施
在建立全行业信息安全防御体系,加大网络信息系统安全工作投入,加快网络信息安全设施建设的同时,还应做好几个方面。
3.1 完善网络信息安全制度,建立网络信息安全行政制度体系
从以前民航实际发生的安全事件来看,绝大多数是由于网络信息安全管理不到位、责任不明确造成的。因此,我们要进一步完善网络信息安全管理责任制,加强管理,明确责任。建立完善行业性质的网络信息安全标准、规范体系,继续加强网络信息安全工作,切实提高民航信息安全水平,逐步建立完善网络信息安全保障体系和防范机制,实行网络信息安全等级保护,分级保护,加大监管力度,建立网络信息安全通报制度。民航还应与国防、公安等机关部门密切配合联系,构建防御功能更强、覆盖面更广的网络信息安全防护体系。
3.2 加强培训建立网络信息安全防护队伍
大力发展民航网络信息安全产业, 密切跟踪国际网络信息安全产业发展动向,加强与国际间的合作交流,积极引进国际先进管理方法和技术, 加快网络信息安全技术与管理人才的培养。进一步增强民航系统网络信息安全意识, 逐步提高网络信息安全技术人员的业务素质和技术水平,打造一支技术全面、管理过硬、能打硬仗,与民航快速发展相适应的网络信息安全技术和管理队伍。
3.3 建立网络信息安全防护体系,通过先进技术手段保障信息系统安全
1)入侵检测和网络监控技术
入侵检测是近年来发展起来的一种防范技术,入侵检测是指通过对网络信息系统的行为、安全日志、审计数据、其它网络信息进行检测,检测到对本网络信息系统的入侵或入侵的企图, 其作用是监控网络和计算机系统是否出现被攻击或入侵。民航企业可以采用入侵检测技术建立入侵检测系(IntrusionDetection System,简称IDS),能同步检测到系统外部的入侵和内部用户的非授权行为,及时发现并报告网络信息系统中未授权和异常现象,对网络信息系统中的恶意行为第一时间发现并做出相应处置。
2)文件加密和数字签名技术
文件加密与数字签名技术是为保障信息系统及数据的安全保密性, 防止机密数据被外部窃取、更改、损坏。文件加密技术是用来防御文件被非法用户打开读取,数字签名技术是保障用户收到的是真正自己所需用户发来的邮件,确保用户的真实性。民航企业网络信息系统可使用文件加密和数字签名技术来保障信息数据的安全、保密、稳定性。
3)身份认证技术
身份认证是在网络信息系统中确认操作者身份的过程。身份认证通过防火墙、VPN、入侵检测、安全网关、安全目录等可以有效的管理网络信息系统的用户数字身份的权限,由于网络信息系统只能识别操作者的数字省份,而身份认证技术可效解决了操作者物理身份和数字身份相对应的问题,给网络信息系统提供了权限管理的依据。民航企业网络信息系统采用几种方式进行身份认证:用户名加口令密码的方式、用户所知道的东西(如印章、证件号码、信用卡号码等);生物特征识别方式(包括指纹、声音、视网膜、签字、笔迹等),基于USBKey 的身份认证可提高系统安全性。
4)运用技术手段建立网络信息安全防护体系
现代攻击入侵方式的多元化, 单纯的依靠防火墙、身份认证、加密文件等手段已经不能满足现实需求,需要构成一个系统化、科学化的网络信息安全防护体系,不仅是单纯的网络运行过程的防护,还包括对网络信息系统的安全评估、系统监测、系统响应、安全监控、应急处置、安全服务、安全培训等方面。在全行业建立网络信息安全备份中心,对信息数据做到更好的保护。
4. 结束语
民航企业网络信息化安全要做到安全与发展并举,要正确处理好安全和发展的关系, 要以安全保发展,在发展中求安全。同时,还要注重管理和技术并重,要坚持管理和技术并重,技术是基础,管理是保障,既要积极采用先进成熟的安全技术, 又要重视安全管理的重要性,通过管理弥补技术上的不足,进行管理和技术并重的综合治理,保障民航网络信息化安全,为实现民航“十二五”规划和民航强国建设的宏伟目标打下坚实基础。
参考文献
对信息安全的认识范文6
【Keywords】security services; financial informatization construction; problem; countermeasures
【中图分类号】F253.7 【文献标志码】A 【文章编号】1673-1069(2017)06-0064-02
1 引言
保安服务行业进行财务信息化建设的主要目标是应用,通过应用来提高自身服务水平以及企业的经济效益。所以,必须对财务信息化系统的应用范围进行不断的扩展,在应用中发现问题、解决问题,使系统不断得到优化、完善。实际上,保安服务企业的财务信息化建设直接关系着企业管理模式的改变,是财务管理技术与信息技术的有效融合,并借助信息技术手段不断增强财务管理的质量,以期真正实现业务、财务一体化[1]。
2 保安服务行业简介
2.1 保安服务行业的含义
为了更好的满足社会组织、公民以及法人的安全方面需求,保安服务行业应运而生。保安服务是指严格遵守国家法律制度,为社会组织、企业或者个人提供安全保护相关服务的一种行为。因保安服务属于服务行业,所以,其必须受合同的约束。大多数情况下,保安服务合同中的规定是按照被服务者的实际需求进行制定的,在不违反法律的前提下,采用守护、押运、门卫、护卫、巡逻、人群控制、安全咨询、技术防护等手段,为客户提供财产、信息以及人身方面的安全保护,并且维护客户的合法权益。
2.2 保安服务行业的现状分析
社会不断进步,人们的安全意识也在不断提高,在出行、用餐等活动中均极其重视安全因素,这种情况对保安服务行业的发展是极其有利的。在20多年的兴起与发展过程中,保安服务行业已经初具规模,在企业规模以及员工数量上均获得了长足的发展。至2007年,我国所有保安服务企业年营业额的总和高达152.3亿元。2008年北京奥运会、2010年上海世博会和深圳大运会、广州亚运会的相继举办,进一步推动了我国保安服务行业的发展,使得我国的保安服务企业不断壮大。直至2010年,全国范围内的保安服务企业的总营业额已经达到了惊人的277.57?|元,其利税总额更是高达20.4亿元。在2011年至2013年之间,我国保安行业发展势头不减,同时不断增长的安保服务需求,也为保安服务行业规模的持续增长提供了良好的环境。
3 保安服务行业财务信息化建设面临的问题
3.1 对财务信息化建设的认识程度不够高
现阶段,阻碍保安服务行业财务信息化建设进程的主要原因,便是对其重要性的认识程度不到位。受到传统财务管理观念的影响,保安服务行业中的大多数企业领导层没有将财务信息化建设重视起来,信息化建设工作流于表面甚至根本没有开展信息化建设,领导层的不重视也在一定程度上影响了财务工作人员对信息化建设的积极性,这些现状使得财务信息化建设工作难以顺利开展,严重影响着整个保安服务行业的财务信息化建设水平。
3.2 工作人员的综合素质有待提高
随着信息技术的广泛应用,有些保安服务企业已经认识财务信息化建设的重要性,但是因为社会上专业人才的匮乏,导致财务信息化建设无法有效实施。尽管部分企业已经建立了专门的财务信息化建设机构,但是其工作人员均未经过系统的培训,对于财务管理知识和新型信息技术的了解掌握程度未能达到要求[2],导致保安服务企业的财务信息化建设工作止步不前,影响了企业的经济收益和进一步发展。
3.3 安全制度缺乏
既然保安服务行业是一种为其他组织或个人提供安全保护的行业,其自身在财务信息化建设过程中的安全性自然不容忽视。但是,由于财务信息化建设的理念在我国兴起的时间比较晚。所以,其发展过程还比较短暂,未能形成十分成熟的安全保护制度。由于安全保护制度的缺失,使得财务信息化建设工作缺乏相应的约束和规范,再加上部分工作人员意识上的缺乏,使得保安服务行业的财务信息化建设的安全性受到了一定影响。
4 完善保安服务行业财务信息化建设的具体措施
4.1 提高对财务信息化建设的认识
想要在根本上提高保安服务行业的财务信息化建设的水平,必须要做的便是提高相关人员对财务信息化建设重要性的认知,改变传统的观念和建设思想,让行业领导者意识到,财务信息化建设不仅涉及到保安服务企业的管理观念,还与企业的资金运转及生产组织等多个方面相关,这样才能够真正意义上实现保安服务企业的财务信息化建设。与此同时,还要对保安服务财务信息化建设的相关工作人员进行再教育培训,加深其对财务知识与信息化理念的认识程度,增强其个人专业知识素养和专业技能,以此来推动财务信息化建设的脚步,并为保安服务行业的财务信息化建设质量提供保障。
4.2 加大人员培养力度
保安服务行业若想要在根本上实现财务信息化建设,除了管理层需要提高认识之外,还要提高财务管理工作人员的综合素质。由于无论哪一种行业企业,其财务信息化建设均是由内部的财务管理人员进行的,保安服务行业也是如此。作为财务信息化建设的主体,财务活动管理人员的综合素质直接影响着该企业进行财务信息化建设的水平及速度[3]。所以,加大人才培养力度,提高财务管理人员的综合素质,对保安服务企业的财务信息化建设工作有着极其重要的意义。因此,企业应该在提高内部财务工作人员的计算机水平和网络技术水平的同时,还要加深其对财务知识的认识程度。此外,对于企业中非财务工作人员也不应放松要求,必须使其了解和掌握一定程度的财务管理方面的知识以及技能,力求培养出专业化的高素质财务管理人才,为保安行业的财务信息化建设打下坚实基础。
4.3 完善财务信息化系统的安全制度
完善财务信息化系统的安全制度也是保安服务行业实现财务信息化建设的主要途径,主要应该从以下几方面入手:①健全建设与发展的制度。②健全安全防护系统。③健全维护管理系统。
