發(fā)布時間:2023-04-17 17:25:04
序言:寫作是分享個人見解和探索未知領域的橋梁,我們?yōu)槟x了8篇的中國信息安全論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發(fā),請盡情閱讀。
1.論信息安全、網(wǎng)絡安全、網(wǎng)絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網(wǎng)絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業(yè)的實證研究
7.“棱鏡”折射下的網(wǎng)絡信息安全挑戰(zhàn)及其戰(zhàn)略思考
8.再論信息安全、網(wǎng)絡安全、網(wǎng)絡空間安全
9.“云計算”時代的法律意義及網(wǎng)絡信息安全法律對策研究
10.計算機網(wǎng)絡信息安全及其防護對策
11.網(wǎng)絡信息安全防范與Web數(shù)據(jù)挖掘技術的整合研究
12.現(xiàn)代信息技術環(huán)境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養(yǎng)的培養(yǎng)
15.國民信息安全素養(yǎng)評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數(shù)據(jù)信息安全風險框架及應對策略研究
18.信息安全學科體系結(jié)構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監(jiān)測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰(zhàn)略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統(tǒng)信息安全研究綜述
26.美國電力行業(yè)信息安全工作現(xiàn)狀與特點分析
27.國家信息安全協(xié)同治理:美國的經(jīng)驗與啟示
28.論大數(shù)據(jù)時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業(yè)控制系統(tǒng)信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網(wǎng)絡中用戶個人信息安全保護研究
33.信息安全與網(wǎng)絡社會法律治理:空間、戰(zhàn)略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網(wǎng)融合下的信息安全問題
35.云計算環(huán)境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網(wǎng)絡信息安全技術
38.云計算時代的數(shù)字圖書館信息安全思考
39.“互聯(lián)網(wǎng)+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網(wǎng)絡的信息安全體系結(jié)構
43.用戶信息安全行為研究述評
44.數(shù)字化校園信息安全立體防御體系的探索與實踐
45.大數(shù)據(jù)時代面臨的信息安全機遇和挑戰(zhàn)
46.企業(yè)信息化建設中的信息安全問題
47.基于管理因素的企業(yè)信息安全事故分析
48.借鑒國際經(jīng)驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網(wǎng)絡信息安全合作的國際規(guī)則制定
51.國外依法保障網(wǎng)絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網(wǎng)絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現(xiàn)代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業(yè)的人才培養(yǎng)與課程體系
59.美國電力行業(yè)信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰(zhàn)與策略
62.工業(yè)控制系統(tǒng)信息安全新趨勢
63.基于MOOC理念的網(wǎng)絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業(yè)群體間信息安全知識共享的演化博弈分析
66.智能電網(wǎng)信息安全及其對電力系統(tǒng)生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環(huán)境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網(wǎng)絡信息安全問題及解決方案
73.國內(nèi)信息安全研究發(fā)展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內(nèi)容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網(wǎng)絡與系統(tǒng)信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網(wǎng)絡信息安全現(xiàn)狀
80.大學生信息安全素養(yǎng)分析與形成
81.車聯(lián)網(wǎng)環(huán)境下車載電控系統(tǒng)信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調(diào)節(jié)效應
83.信息安全管理領域研究現(xiàn)狀的統(tǒng)計分析與評價
84.網(wǎng)絡信息安全及網(wǎng)絡立法探討
85.神經(jīng)網(wǎng)絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰(zhàn)略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產(chǎn)業(yè)與信息安全經(jīng)濟分析
90.信息安全政策體系構建研究
91.智能電網(wǎng)物聯(lián)網(wǎng)技術架構及信息安全防護體系研究
92.我國網(wǎng)絡信息安全立法研究
93.電力信息安全的監(jiān)控與分析
94.從復雜網(wǎng)絡視角評述智能電網(wǎng)信息安全研究現(xiàn)狀及若干展望
95.情報素養(yǎng):信息安全理論的核心要素
96.信息安全的發(fā)展綜述研究
97.俄羅斯聯(lián)邦信息安全立法體系及對我國的啟示
98.國家信息安全戰(zhàn)略的思考
查看更多《中國信息界》雜志社信息請點擊: 《中國信息界》編輯部
戰(zhàn)略與政策
(5)廣播電視網(wǎng)絡在三網(wǎng)融合中的對策研究 李大珊 梁躍 魯英杰 袁韻峰 蔣安玲 裴多
實踐與應用
(9)村級電子政務現(xiàn)狀及發(fā)展對策分析 趙麗敏 廖桂平 陳艷 姚元森
(13)智慧城市的發(fā)展和問題淺析 彭保
(15)市民卡建設推廣的思路和路徑淺析——以南京市市民卡建設和推廣為例 顧穎
(17)團結(jié)湖智慧街道建設探索與實踐 李容珍 徐鋒 馬哲 邱逸
(19)科學規(guī)劃智慧萊州建設 加快推進縣域經(jīng)濟 吳瓊 施瑞軍 曲錫峻 陳愛峰 吳開平
(21)大力推進智慧城市建設 鄧小勇
(27)資源整合下的政府數(shù)據(jù)中心建設研究與實現(xiàn) 嚴愛明
(31)省(市)國資委信息化建設策略與系統(tǒng)架構研究 杜羅砷
(33)淺析后危機時代江蘇省中小企業(yè)“云”改造模式 葛福江 姚立
(35)企業(yè)信息安全問題研究 劉文華
(37)基于itil理念的高校云服務資源管理研究 方力 沈鑫 葉昭暉
(39)電子商務專業(yè)能力培養(yǎng)與課程設置滿意度研究 趙麗 付華
(41)提升黨校教師信息素養(yǎng)要念好“四字經(jīng)” 張青
(43)我國汽車制造業(yè)erp系統(tǒng)應用研究 李志剛
(45)煙草農(nóng)業(yè)信息化的困境與對策 彭俊
(47)可編程短波數(shù)據(jù)處理終端的設計與實現(xiàn) 朱賢斌
(49)it服務持續(xù)性管理的風險評估和預防措施的最優(yōu)化選擇 朱光
(52)長春市政務信息資源目錄體系規(guī)劃設計研究 柳羽輝
(54)基于starlims平臺的實驗室信息管理系統(tǒng)工作流配置的研究 馬文俊 張家勇 羅承渺 胡衛(wèi)民
(57)從“國家檢察官學院吉林分院內(nèi)部辦公業(yè)務網(wǎng)”建設談項目的整體管理 趙淑霞
(59)基于oracle的epdm模型數(shù)據(jù)遷移策略研究 孔明華 顧娟
(61)探析物聯(lián)網(wǎng)在石油行業(yè)的應用 王偉 陳奇志
(63)基于云計算模式的應用系統(tǒng)集中管理技術開發(fā)與應用 單延明 吳鈞 李大勇 王志敏
(65)勘探戰(zhàn)略選區(qū)信息化平臺的建設及應用 馮紅君 馬玉龍 滕良娟 段非 張海勇
(67)應用油水生產(chǎn)數(shù)據(jù)分析技術判別水平井水侵類型的研究 劉斐
(69)云gis在石化行業(yè)總圖管理系統(tǒng)中的應用實踐 廖志銳 劉爭飛 劉力嘉 任宗雷 徐
(72)面向流程行業(yè)mes系統(tǒng)的虛擬化硬件架構 谷克宏 黃岷 張振宇 朱家兵
(74)萬兆交換機在企業(yè)中的應用研究 李淑倩 楊敏 關宇
(76)瑪河氣田智能建設試點設想 藺勝利 滑曉輝 單鴻飛
(78)智能安防報警系統(tǒng)的研究與應用 門虎 郭振杰 武旭
(81)智能巡檢系統(tǒng)在克拉美麗氣田的應用 楊斌 張揚 藺勝利
(83)石油企業(yè)網(wǎng)絡信息安全的監(jiān)控系統(tǒng)研究與應用 于順安
學子園地
(85)“沙集模式”未來發(fā)展之路——在“小即是美”與“大是所趨”之間的抉擇 齊志強
(89)電子政務系統(tǒng)-環(huán)境生態(tài)學測評指標分析 夏宜君
報告與方案
(92)信息通信技術對超鏈接社會的影響分析 無
海外論文
(98)因特網(wǎng)是我們生活的主頁 張進京(譯)
資訊
(104)以信息生產(chǎn)力推動“新四化”及社會轉(zhuǎn)型 無
(104)《中國經(jīng)濟向何處去——基于信息經(jīng)濟學的分析》新書會在京召開 無
多年來,得安科技先后承擔并參與了30多項國家和地方科研項目和產(chǎn)業(yè)化任務,并在面向金融領域的關鍵安全技術、信息安全基礎設施關鍵技術體系研究等關鍵領域做出了突出貢獻,取得了創(chuàng)新性的科研成果。得安科技載譽業(yè)內(nèi)的實事,讓我們不得不去關注隱藏在其高速發(fā)展背后的研發(fā)實力和技術動力。今天的得安,對其自身如何定位?其發(fā)展?jié)摿卧冢恳缘冒部萍紴榇淼拿艽a核心技術提供商又如何看待國內(nèi)信息安全市場發(fā)展趨勢?為尋找這些問題的答案,中國信息化周報記者約訪了得安科技技術總監(jiān)孔凡玉。
中國信息化周報:商用密碼產(chǎn)品及服務是信息安全產(chǎn)業(yè)的重要一環(huán),也是得安的核心競爭力。基于怎樣的背景,得安投入商用密碼技術研發(fā)?
孔凡玉:所謂網(wǎng)絡安全、信息安全,最重要的目標是保證信息系統(tǒng)和網(wǎng)絡環(huán)境中的“數(shù)據(jù)”、“信息”的安全,而不單是對計算機設備、網(wǎng)絡設備自身的安全防護。大到一個國家,小到一個企業(yè)和個人,多數(shù)黑客進行攻擊的真正目的就是竊取機密數(shù)據(jù)和信息,而不僅僅是破壞信息系統(tǒng)本身。因此,商用密碼產(chǎn)品及服務作為保障數(shù)據(jù)的機密性、完整性等安全性的關鍵一環(huán),是信息安全產(chǎn)業(yè)的重要組成部分。
得安公司成立于1997年10月7日,是我國最早致力于商用密碼產(chǎn)品研發(fā)及產(chǎn)業(yè)化的企業(yè)之一,這與我國當時對網(wǎng)絡安全和商用密碼產(chǎn)品的迫切需求密切相關:一個是隨著互聯(lián)網(wǎng)技術的發(fā)展,網(wǎng)上銀行、網(wǎng)上證券等金融業(yè)務的開展迫切需要商用密碼產(chǎn)品和網(wǎng)絡安全系統(tǒng)的出現(xiàn);另一個是,我國信息化建設的飛速發(fā)展迫切需要實現(xiàn)商用密碼技術的國產(chǎn)化,以保證信息安全核心技術的獨立性和自主性。
中國信息化周報:得安現(xiàn)有哪些科研成果?具有哪些核心技術優(yōu)勢?
孔凡玉:得安科技自主研發(fā)的“SMS100-1網(wǎng)絡安全平臺”,這是國內(nèi)最早通過國家密碼管理機構組織鑒定的商用密碼PKI產(chǎn)品,并榮獲國家科技進步三等獎和密碼科技進步二等獎,此系統(tǒng)已在上海證券中國證券登記結(jié)算公司的證券系統(tǒng)中成功使用。此外,得安公司也順利完成了中國金融認證中心CFCA的商用密碼模塊的國產(chǎn)化開發(fā)項目,實現(xiàn)了商用密碼產(chǎn)品和接口的國產(chǎn)化,并逐漸將服務器密碼機、智能IC卡等產(chǎn)品廣泛應用于中國建設銀行等各大銀行以及郵政、電信、稅務、電力、煤炭、石化、廣電、煙草、航空等行業(yè)。
十六年以來,得安公司一直注重商用密碼和信息安全核心技術的創(chuàng)新,在高速密碼服務器、數(shù)字認證系統(tǒng)、智能IC卡、VPN設備、安全文件傳輸系統(tǒng)、云安全密碼服務平臺、大數(shù)據(jù)安全、移動安全計算等方面具備良好的技術積累,得安參與研發(fā)的多項產(chǎn)品和技術填補了國內(nèi)外空白,保證了核心技術的領先優(yōu)勢。
中國信息化周報:從國家政策層面強化網(wǎng)絡安全意識,到首席安全官漸成大型企業(yè)標配職位的發(fā)展現(xiàn)狀,您如何理解密碼安全對于企業(yè)信息安全堡壘建設的核心意義?
孔凡玉:在目前的互聯(lián)網(wǎng)時代,每一個企業(yè)和個人都在享受著互聯(lián)網(wǎng)給工作和生活帶來的便捷的同時,也遭遇著前所未有的信息安全的巨大風險。中央網(wǎng)絡安全和信息化小組的成立,標志著我國已經(jīng)把網(wǎng)絡信息安全上升為國家戰(zhàn)略的層面。
在網(wǎng)絡信息安全防護中,以數(shù)據(jù)加密、身份認證、數(shù)字簽名等為代表的密碼技術和以網(wǎng)絡攻防、系統(tǒng)漏洞分析、防病毒、入侵檢測等為代表的系統(tǒng)安全技術是網(wǎng)絡信息安全的兩大類核心技術。所以,商用密碼安全產(chǎn)品和系統(tǒng)是信息安全市場的必不可少的重要組成部分。
近年來,發(fā)生的信息安全事件大致分為兩種:一種是單純的病毒、木馬、系統(tǒng)攻擊,沒有特別的針對性,造成的后果是計算機系統(tǒng)的崩潰或者網(wǎng)絡無法正常訪問;第二種是針對數(shù)據(jù)和信息的竊取,這會造成重要數(shù)據(jù)或個人隱私的泄露,帶來嚴重的后果。最近爆發(fā)的信息安全事件,八成以上都涉及到數(shù)據(jù)泄露問題,例如2013年底發(fā)生的美國第二大零售商Target的4000萬用戶的信用卡和借記卡信息泄露事件,近期爆出的OpenSSL的幾個嚴重漏洞,以及我國近年發(fā)生的多個網(wǎng)站的數(shù)據(jù)泄露問題,這都存在密碼技術防護措施不足的問題。這需要對數(shù)據(jù)的存儲和傳輸進行加密保護,并進行嚴格的身份認證、訪問控制、安全管理等。
得安科技大力推廣信息安全服務的理念,所提出的企業(yè)信息安全堡壘的建設方案,是一個從技術實現(xiàn)到管理制度、從硬件產(chǎn)品到軟件系統(tǒng)、從內(nèi)部加固到外部防范的立體化的整體解決方案,實現(xiàn)服務端的核心數(shù)據(jù)的加密、安全可靠的網(wǎng)絡數(shù)據(jù)傳輸、遠程用戶的身份認證和訪問控制等功能,實現(xiàn)企業(yè)信息系統(tǒng)的高安全性和可靠性,為企業(yè)提供信息安全保障。
中國信息化周報:在與用戶接觸過程中,您認為目前企業(yè)信息安全系統(tǒng)普遍薄弱的環(huán)節(jié)有哪些?
孔凡玉:在云計算和大數(shù)據(jù)時代來臨之際,任何信息系統(tǒng)的核心都是“數(shù)據(jù)”,因此任何信息系統(tǒng)的安全最重要的就是保證“數(shù)據(jù)”的安全。而數(shù)據(jù)的安全,包括了數(shù)據(jù)的產(chǎn)生、存儲、傳輸、訪問、處理、共享、銷毀等各個環(huán)節(jié)的安全,這形成一個環(huán)環(huán)相扣的系統(tǒng)。
在與很多用戶進行交流時,我們了解到,現(xiàn)在企業(yè)信息安全系統(tǒng)普遍存在的問題是缺乏一個完整、系統(tǒng)的安全解決方案,僅在某一個或幾個方面進行了安全防護,但是仍然存在其他方面的漏洞,不能形成一個完整的防護體系。
中國信息化周報:對此,得安科技針對不同行業(yè)、不同應用場景下的安全問題,推出了哪些解決方案?
孔凡玉:得安公司一直專注于信息安全核心技術以及信息安全整體解決方案的研發(fā)和應用,針對不同行業(yè)、不同應用場景,已經(jīng)在云計算安全、大數(shù)據(jù)安全、電子商務安全、企業(yè)級安全等領域形成了一系列先進的、成熟的、可靠的信息安全整體解決方案,包括云安全密碼服務平臺、遠程文件安全傳輸解決方案、數(shù)字證書認證系統(tǒng)解決方案、安全移動辦公解決方案、手機安全支付解決方案、桌面安全解決方案、統(tǒng)一認證授權平臺等。具體包括:
■云安全密碼服務平臺:這是得安公司研發(fā)的基于“云計算”技術的高性能密碼平臺,將多款高端密碼設備和軟件中間件技術有機融合,以高安全性、高效率、高穩(wěn)定性為目標,以先進的分布式計算和并行處理技術為核心,提供高性能的數(shù)據(jù)加密、數(shù)字簽名、身份認證等密碼服務功能。
■遠程文件安全傳輸解決方案:此方案用于解決企業(yè)的總部與各分支機構、出差員工之間的文件安全傳輸問題,在數(shù)據(jù)的安全、可靠、高效的傳輸方面,可以解決FTP等傳統(tǒng)傳輸方式的種種不足,為廣大企業(yè)客戶所信賴。同時,該方案可以集成于各類企業(yè)的信息系統(tǒng)平臺中,實現(xiàn)企業(yè)的遠程文件的安全傳輸,目前已經(jīng)廣泛應用于金融、證券、石油化工、電力等行業(yè)。
■數(shù)字證書認證系統(tǒng)解決方案:此方案用于解決企業(yè)內(nèi)部的身份識別與認證的問題。數(shù)字證書是由權威機構―CA機構頒發(fā)的、標識身份信息的電子文件,提供了一種在網(wǎng)絡環(huán)境中驗證身份的方式,類似于日常生活中的身份證。得安數(shù)字證書認證系統(tǒng)簡稱CA系統(tǒng),采用雙證書機制,利用PKI技術提供數(shù)字證書的簽發(fā)、驗證、注銷、更新等功能,將個人信息或單位信息及密鑰、密碼算法集合在一起,提供在虛擬的互聯(lián)網(wǎng)世界可用的“網(wǎng)上身份證”。得安數(shù)字證書認證系統(tǒng),已經(jīng)成功應用于廣東電子政務認證中心、貴州省數(shù)字認證中心的建設,并順利運行。
■安全移動辦公解決方案:此方案用于解決企業(yè)的各分支機構和出差員工的遠程辦公、移動辦公問題。通過采用IPSec VPN、SSL VPN、安全網(wǎng)關以及安全客戶端等產(chǎn)品,可實現(xiàn)各種復雜環(huán)境下的遠程和移動辦公系統(tǒng)。遠程用戶在通過互聯(lián)網(wǎng)登錄企業(yè)內(nèi)部業(yè)務系統(tǒng)時,首先需要經(jīng)過安全網(wǎng)關的身份認證,認證通過后才能訪問其權限范圍內(nèi)的業(yè)務系統(tǒng);可以在安全網(wǎng)關上進行細粒度的權限配置,保證接入終端的安全性;同時,安全網(wǎng)關支持客戶端訪問企業(yè)內(nèi)網(wǎng)時不能同時訪問其它互聯(lián)網(wǎng)的功能,更加保證了接入的安全性。目前該解決方案已成功應用于國土資源、石油、煤炭、電力、電信、銀行等行業(yè)。
■手機安全支付解決方案:得安公司研發(fā)的智能SD卡以及軟件系統(tǒng),是近年新興的一種信息安全產(chǎn)品,把高性能的安全模塊集成到SD卡中,這樣用戶既可以像使用普通SD卡那樣使用其大容量存儲功能,又可以像使用智能IC卡那樣使用SD卡中集成的安全模塊,具有密鑰管理、證書存儲、權限控制、數(shù)據(jù)加解密等功能,實現(xiàn)個人隱私數(shù)據(jù)的加密保護和安全支付。此方案已經(jīng)在金融、電信以及中小企業(yè)中推廣使用。
■桌面安全解決方案:此方案用于解決企業(yè)內(nèi)部計算機設備的安全控制和信息保密問題,采用智能密碼鑰匙、安全加密U盤、文件加密軟件、Word/PDF文件簽名等產(chǎn)品和技術,確保了信息在單位內(nèi)的安全存儲,確保了計算機設備的安全使用。該系統(tǒng)是針對客戶端PC安全的整體解決方案,它的最大特點是既能“攘外”,又能“安內(nèi)”,部署靈活且易于使用,特別適合金融、電信、政府機關、制造業(yè)等具有分布式網(wǎng)絡應用的行業(yè)。
■統(tǒng)一認證授權解決方案:本方案可以為企業(yè)的多個業(yè)務系統(tǒng)提供安全支撐,簡化業(yè)務系統(tǒng)的管理方式和使用方式,提高整體系統(tǒng)安全性。通過該解決方案,可以為企業(yè)提供各個業(yè)務系統(tǒng)的統(tǒng)一認證和登錄服務,提供數(shù)據(jù)傳輸?shù)募用芊铡⒏邚姸鹊纳矸菡J證、人員的集中管理和應用的集中管理,適合在具有多個業(yè)務信息系統(tǒng)的企業(yè)中部署實施。
中國信息化周報:在國內(nèi)市場,用戶往往會在IT價值與IT風險之間尋求一個平衡。讓用戶為安全買單,很多用戶關心的問題是需要支付哪些成本?又能獲得哪些收益?得安科技的解決方案又是如何來降低用戶IT應用風險的?
孔凡玉:得安科技采用的是一套科學的、系統(tǒng)的信息安全工程建設方法,達到用戶的IT價值和風險、收益和成本之間的平衡。
首先,用戶的信息系統(tǒng)和數(shù)據(jù)的有形資產(chǎn)和無形資產(chǎn)是可以進行估算的。這些數(shù)據(jù)的重要程度,一旦泄露會產(chǎn)生什么樣的后果,決定了數(shù)據(jù)的價值。數(shù)據(jù)的價值越高,一旦泄露帶來的后果越嚴重,因此需要投入的安全成本就越高。舉例來說,價值100萬的數(shù)據(jù),如果投入200萬進行安全防護可能是不必要的;同樣,價值1億的數(shù)據(jù),僅投入1萬元進行安全防護則可能具有極大的安全風險。
評估了資產(chǎn)的價值后,然后就要分析信息系統(tǒng)存在的風險和威脅,包括目前的信息系統(tǒng)存在哪些漏洞和弱點,內(nèi)部和外部可能有哪些潛在的攻擊威脅等。之后,就要和企業(yè)一起制定信息安全保障系統(tǒng)建設的內(nèi)容,這主要取決于哪些風險必須要降低,降低到什么程度,采用哪些技術手段,成本是多少等。這樣,在系統(tǒng)建設之前,用戶很清楚建設目標是什么,需要花費多大的成本,會帶來怎樣的收益,做到有的放矢、未雨綢繆。在系統(tǒng)建設、維護運行以及管理等方面,還有一系列的方法和措施,以保證信息安全項目建設的可控性。
中國信息化周報:相比其他應用安全企業(yè),得安科技有何自身特色?具體到商用密碼解決方案,相比其他軟件公司,得安科技有哪些獨特的優(yōu)勢和創(chuàng)新?
孔凡玉:與其它信息安全企業(yè)相比,得安公司的特色體現(xiàn)在三方面。
第一,在商用密碼及信息安全核心技術方面具有創(chuàng)新優(yōu)勢。作為國內(nèi)最早從事商用密碼產(chǎn)品研發(fā)及產(chǎn)業(yè)化的企業(yè)之一,得安公司在商用密碼以及信息安全核心技術方面具有18年的積累,在高速密碼算法實現(xiàn)、數(shù)字認證技術、云計算安全、大數(shù)據(jù)安全、移動互聯(lián)網(wǎng)安全等方面具備核心技術的創(chuàng)新優(yōu)勢。
第二,在參與國家和行業(yè)標準制定方面具有領先優(yōu)勢。作為商用密碼基礎設施技術標準組的成員單位,得安公司主持或參與了服務器密碼機技術規(guī)范等20多項國家標準、行業(yè)標準的制定,因此在把握行業(yè)的發(fā)展趨勢方面具有優(yōu)勢。2012年,得安牽頭制定的《密碼應用標識規(guī)范》作為我國第一批密碼行業(yè)標準進行頒布;兩年來,《服務器密碼機技術規(guī)范》、《簽名驗證服務器技術規(guī)范》等行業(yè)標準也陸續(xù)正式頒布。
第三,具備成熟的信息安全服務理念,并在多個行業(yè)成功應用實施。得安一直秉承為用戶提供信息安全服務的理念,以可靠的技術實力、穩(wěn)定的產(chǎn)品性能、優(yōu)質(zhì)的服務團隊、強大的分支網(wǎng)絡贏得了用戶的信賴,成功案例遍布于金融、證券、稅務、電信、郵政、石油、煤炭等行業(yè)。
得安科技的商用密碼解決方案,具有以下獨特的優(yōu)勢和創(chuàng)新:
(1) 核心產(chǎn)品可靠性和高效性:解決方案中所采用的硬件產(chǎn)品和軟件系統(tǒng)必須具有高可靠性和高效性,才能保證整個信息系統(tǒng)的安全性和穩(wěn)定性。例如,云安全密碼服務平臺采用了多機并行、動態(tài)分配、冗余配置、負載均衡等技術,保證整個平臺的可靠和高速。
(2) 量身定制的整體安全架構:這些解決方案不是單純的硬件和軟件的累加,而是經(jīng)過系統(tǒng)的整體設計后形成的有機整體,而且每一個方案的確立和實施,都要根據(jù)用戶的信息系統(tǒng)的特點進行量身打造,以保證方案的科學性和合理性。
(3) 運維支持和管理制度:信息安全設施的建設,三分憑技術,七分靠管理。每一個解決方案中都包含了系統(tǒng)的運行維護方案和管理制體系,保證信息安全系統(tǒng)運行期間的動態(tài)實時監(jiān)控和管理崗位的協(xié)同工作。
中國信息化周報:得安科技未來的市場競爭策略和發(fā)展目標是什么?
孔凡玉:得安未來的市場競爭策略和發(fā)展目標,可概括為兩個詞。
一是“共贏”。“共贏”是指與客戶的關系,是對“服務”理念的拓展。“服務”是被動地滿足用戶的安全需求;“共贏”是主動地去幫助客戶發(fā)現(xiàn)信息系統(tǒng)中的安全問題并提出科學的解決方案,從而達到與客戶共贏的最終目標。
二是“領先”。“領先”是指保持公司的核心競爭力,是對“創(chuàng)新”理念的拓展。不僅要“創(chuàng)新”,還要領先一步,在新的技術出現(xiàn)和產(chǎn)業(yè)變化來臨之際,率先致力于未來核心技術和產(chǎn)品的研發(fā),領先于時代,領先于同行。
關鍵詞:醫(yī)院;信息安全系統(tǒng);關鍵環(huán)節(jié);策略
前言
醫(yī)院信息系統(tǒng)又被稱為醫(yī)院管理信息系統(tǒng),主要是通過計算機技術、網(wǎng)絡通信技術以及信息技術等現(xiàn)代化手段,對醫(yī)院各部門的人流、物流以及財流進行綜合管理,并對醫(yī)院各個活動階段所產(chǎn)生的數(shù)據(jù)進行采集、整理、分析,從而加工成各種信息,用于醫(yī)院整體運行、管理,為醫(yī)院制定管理規(guī)劃提供充分的理論依據(jù)。尤其是隨著近幾年我國醫(yī)院信息系統(tǒng)規(guī)模日益擴大,醫(yī)院信息系統(tǒng)覆蓋的范圍也越來越廣,信息系統(tǒng)中的數(shù)據(jù)越來越多,對于數(shù)據(jù)安全性的要求也越來越高,使得醫(yī)院信息系統(tǒng)中存在的安全問題開始突顯出來。為了實現(xiàn)醫(yī)院可持續(xù)、長遠發(fā)展目標,醫(yī)院必須將建立完善的信息安全系統(tǒng)作為重任,重點研究醫(yī)院信息安全系統(tǒng)存在的問題。
一、醫(yī)院信息安全系統(tǒng)的關鍵環(huán)節(jié)
信息安全直接關系醫(yī)院發(fā)展,而醫(yī)院信息安全系統(tǒng)包括的內(nèi)容比較多,其關鍵環(huán)節(jié)的安全對信息系統(tǒng)安全發(fā)揮著極為重要的作用。
(一)硬件安全
醫(yī)院信息安全系統(tǒng)中硬件屬于關鍵構成部分,決定醫(yī)院信息安全系統(tǒng)能否充分發(fā)揮其重要作用。硬件部分主要包括中心機房、服務器、網(wǎng)絡設備以及連接線路等,確保硬件安全,才能為系統(tǒng)安全運行提供充分的保障。其中,中心機房屬于醫(yī)院信息系統(tǒng)的核心構成部分,影響中心機房安全穩(wěn)定運行的因素主要包括穩(wěn)定的電源、專用的空調(diào)設備以及監(jiān)控報警系統(tǒng)等,保證這些因素健全,就可以確保中心機房安全穩(wěn)定運行。服務器在醫(yī)院信息系統(tǒng)中的重要性僅次于中心機房,對于醫(yī)院信息系統(tǒng)安全也具有十分重要的作用。網(wǎng)絡設備是醫(yī)院信息系統(tǒng)的核心交換機,其交換機等同于中轉(zhuǎn)站,通過連接各種信息設備,為醫(yī)院信息共享提供充分的保障。
(二)軟件安全
醫(yī)院信息系統(tǒng)中的軟件部分主要包括數(shù)據(jù)庫、終端和應用軟件,其中數(shù)據(jù)庫是醫(yī)院信息安全系統(tǒng)的關鍵環(huán)節(jié),數(shù)據(jù)庫的安全運行建立在服務器安全運行的基礎上,它不僅關系數(shù)據(jù)庫軟件的安全運行,對于數(shù)據(jù)庫中數(shù)據(jù)的安全備份以及恢復也有著極為重要的作用。隨著網(wǎng)絡通信技術和信息技術在醫(yī)院廣泛應用,醫(yī)院數(shù)據(jù)信息、醫(yī)療資料的管理越來越依賴信息系統(tǒng),信息系統(tǒng)中數(shù)據(jù)備份和恢復的功能,能夠充分確保信息安全,對于醫(yī)院制定發(fā)展規(guī)劃可以提供科學的理論依據(jù),有利于實現(xiàn)醫(yī)院穩(wěn)定、持續(xù)發(fā)展目標。
(三)其他因素
醫(yī)院信息安全系統(tǒng)運行質(zhì)量不僅受系統(tǒng)自身的影響,還受其他因素的影響。其中,人的因素是最為重要的影響因素,主要是因為管理人員直接參與醫(yī)院信息管理,作為保證醫(yī)院信息安全系統(tǒng)安全穩(wěn)定的關鍵環(huán)節(jié)之一,也需要不斷提高信息管理人員的綜合素質(zhì)和專業(yè)水平,只有這樣才能為醫(yī)院信息系統(tǒng)安全運行奠定堅實的基礎。
二、醫(yī)院信息安全系統(tǒng)關鍵環(huán)節(jié)的有效策略
(一)硬件安全運行策略
醫(yī)院信息系統(tǒng)主要有硬件和軟件兩部分組成,直接關系著系統(tǒng)的運行質(zhì)量。由于醫(yī)院信息系統(tǒng)中的中心機房一般處于溫度、濕度以及噪聲等比較惡劣的環(huán)境,為了確保中心機房安全運行,必須從這些方面出發(fā)做好安全策略。為了保證醫(yī)院信息系統(tǒng)反饋的信息具有有效性和可靠性,應該在中心機房中安裝報警系統(tǒng),利用報警系統(tǒng)及時反饋信息,通過對信息的分析,找出中心機房運行中存在的故障,并采取有效措施及時解決故障。除此之外,中心機房還需要采取雙路供電,在中心機房中配備滿足要求的UPS設備,避免雷電襲擊對中心機房運行安全形成不利影響。服務器在醫(yī)院信息系統(tǒng)中的重要性僅次于中心機房,為了確保服務器可以充分發(fā)揮作用,應該對服務器進行定期的安全評估,對操作系統(tǒng)和應用軟件進行補丁升級,及時做好系統(tǒng)備份,安裝相應的殺毒軟件,及時查殺服務器中存在的安全隱患,防止黑客和病毒對服務器的攻擊,只有這樣才能確保中心機房可以安全穩(wěn)定運行,促使醫(yī)院信息系統(tǒng)可以充分發(fā)揮重要作用。
(二)加強人員培訓,提高人員專業(yè)水平和職業(yè)素養(yǎng)
人為因素在醫(yī)院信息安全系統(tǒng)運行中發(fā)揮著不可替代的重要作用,而醫(yī)院信息系統(tǒng)主要以現(xiàn)代計算機技術為主,計算機應用能力直接決定信息系統(tǒng)的安全性和穩(wěn)定性。為了促使醫(yī)院信息安全系統(tǒng)可以安全、穩(wěn)定運行,必須加強信息從業(yè)人員職業(yè)道德和專業(yè)水平的培訓,不斷提高從業(yè)人員的職業(yè)素質(zhì)和專業(yè)水平,促使從業(yè)人員可以在醫(yī)院信息安全系統(tǒng)管理工作中充分發(fā)揮重要作用,利用自身的專業(yè)水平及時解決系統(tǒng)運行中存在的故障。除此之外,對于應用軟件在醫(yī)院信息安全系統(tǒng)中存在的問題,應該從各個層面出發(fā),確保應用軟件的安全。在應用軟件安裝前對其進行嚴格的測試,且對重要數(shù)據(jù)進行加密,促使應用軟件可以充分發(fā)揮重要作用。
結(jié)束語
綜上所述,醫(yī)院信息系統(tǒng)存在的主要目標是保障醫(yī)院的行政管理和事務處理業(yè)務,提高醫(yī)院工作效率和工作質(zhì)量,通過龐大的數(shù)據(jù)庫,為醫(yī)院制定發(fā)展規(guī)劃和決策提供科學的理論依據(jù),從而最大限度降低醫(yī)院管理成本,提高醫(yī)院的經(jīng)濟效益和社會效益,為醫(yī)院實現(xiàn)長遠、可持續(xù)發(fā)展目標提供充分的保障。所以,必須從醫(yī)院信息安全系統(tǒng)關鍵環(huán)節(jié)出發(fā),找出其有效策略,充分發(fā)揮信息系統(tǒng)在醫(yī)院發(fā)展中的重要作用。
參考文獻:
[1]茍文強.構建醫(yī)院網(wǎng)絡安全系統(tǒng),保障信息系統(tǒng)安全[C].//2014中華醫(yī)院信息網(wǎng)絡大會論文集.2014:1-3.
[2]張樂,劉黎.關注民生保障母嬰安全――無錫錫山人民醫(yī)院應用銀江嬰兒安全系統(tǒng)[J].中國信息界-e醫(yī)療,2010,(11):54-55.
論文摘要:結(jié)合單位的實際,分析了現(xiàn)有計算機專業(yè)課程特點和不足,討論了高師計算機專業(yè)學生開設信息安全法律法規(guī)課程的必要性、可行性,分析了信息安全技術課程、與信息安全有關法律法規(guī)課程的特點.給出了高師信息安全法律課程的教學目標定位、設置方法.
論文關鍵詞:高師計算機專業(yè);信息安全;法律法規(guī)課程
人類進入21世紀,現(xiàn)代信息技術迅猛發(fā)展,特別是網(wǎng)絡技術的快速發(fā)展,互聯(lián)網(wǎng)正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網(wǎng)絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網(wǎng)絡以其數(shù)字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網(wǎng)絡犯罪,所有這些使得高師學生思想政治工作特別是從事網(wǎng)絡教學、實踐的計算機專業(yè)的教育工作者來說,面臨著前所未有的機遇和挑戰(zhàn),這不僅因為,自己一方面要傳授學生先進的網(wǎng)絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業(yè)學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業(yè)學生中開設與信息安全有關的法律法規(guī)課程有著十分重要的意義.如何抓住機遇,研究和探索網(wǎng)絡環(huán)境下的高師計算機專業(yè)學生信息安全法律法規(guī)教學的新特點、新方法、新途徑、新對策已成為高師計算機專業(yè)教育者關心和思考的問題.本文主要結(jié)合我校的實際,就如何在高師計算機專業(yè)中開設信息安全法律課程作一些探討.
1現(xiàn)有的計算機專業(yè)課程特點
根據(jù)我校人才培養(yǎng)目標、服務面向定位,按照夯實基礎、拓寬專業(yè)口徑、注重素質(zhì)教育和創(chuàng)新精神、實踐能力培養(yǎng)的人才培養(yǎng)思路,溝通不同學科、不同專業(yè)之間的課程聯(lián)系.全校整個課程體系分為“通識教育課程、專業(yè)課程(含專業(yè)基礎課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業(yè)課程的特點介紹.
1.1專業(yè)基礎課程專業(yè)基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養(yǎng),夯實基礎,拓寬專業(yè)口徑.考慮到學科知識體系、學生轉(zhuǎn)專業(yè)等需要,原則上各學科大類所涵蓋的各專業(yè)的學科專業(yè)基礎課程應該相同.主要內(nèi)容包括:計算機科學概論、網(wǎng)頁設計與制作、C++程序設計、數(shù)據(jù)結(jié)構、操作系統(tǒng)等.
1.2專業(yè)方向課程各專業(yè)應圍繞人才培養(yǎng)目標與規(guī)格設置主要課程,按照教育部《普通高等學校本科專業(yè)目錄》的有關要求,結(jié)合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據(jù)自身興趣和自我發(fā)展的需要,在任一方向課程組中選擇規(guī)定學分的課程修讀.主要內(nèi)容包括:計算機網(wǎng)絡、匯編語言程序設計、計算機組成原理、數(shù)據(jù)庫系統(tǒng)、軟件工程導論、軟件工程實訓、計算機系統(tǒng)結(jié)構等.
1.3現(xiàn)有計算機專業(yè)課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業(yè)旨在培養(yǎng)一批適合現(xiàn)代軟件工程、網(wǎng)絡工程發(fā)展要求的軟件工程、網(wǎng)絡工程技術人員,現(xiàn)有我校的計算機專業(yè)課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發(fā)展,人們更廣泛的使用網(wǎng)絡、更關注信息安全這一事實,作為計算機專業(yè)的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業(yè)的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網(wǎng)絡安全的事情.
2高師計算機專業(yè)學生開設信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統(tǒng)罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產(chǎn)權法(著作權的侵害、信息網(wǎng)絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養(yǎng)體系的重要途徑與任務.
高師計算機專業(yè),雖然沒有開設與信息安全專業(yè)一樣多與信息安全的有關技術類課程.但這些專業(yè)的學生都有從事網(wǎng)絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業(yè)的學生中開設相關的法律法規(guī)選修課程是必要的.
2.2可行性技術與法律原本并不關聯(lián),但是在信息安全領域,技術與法律卻深深的關聯(lián)在一起,在全世界各國都不難發(fā)現(xiàn)諸如像數(shù)字簽名、PKI應用與法律體系緊密關聯(lián).從本質(zhì)上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產(chǎn)生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據(jù)前面對信息安全法律法規(guī)內(nèi)容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯(lián)系.從事計算機技術的人員很容易轉(zhuǎn)到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業(yè)中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯(lián)的信息安全法律法規(guī)選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內(nèi)容眾多,有數(shù)學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯(lián)系十分緊密,新方法、新技術以及新問題不斷涌現(xiàn),這給信息安全課程設置帶來了很大的難度,為使我校計算機專業(yè)學生了解、掌握這一新技術,我們在專業(yè)課程模塊中開設《密碼學基礎》、《網(wǎng)絡安全技術》、《入侵檢測技術》等作為專業(yè)選修課.我校本課程具有以下特點:
(1)每學期都對知識內(nèi)容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業(yè)課、專業(yè)選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統(tǒng)、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網(wǎng)絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網(wǎng)絡基本原理、操作系統(tǒng)、計算機組成原理、程序設計和數(shù)論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規(guī)內(nèi)容的特點
信息安全的特點決定了其法律、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡技術、涉及到與網(wǎng)絡有關的法律、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網(wǎng)絡進行經(jīng)濟詐騙;利用網(wǎng)絡獲取國家政治、經(jīng)濟、軍事情報;利用網(wǎng)絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網(wǎng)絡技術的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經(jīng)濟全球化互相交織,信息在經(jīng)濟和社會活動中的作用甚至超過資本,成為經(jīng)濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經(jīng)濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網(wǎng)絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現(xiàn)的,而是要靠涉及到信息安全技術各分支的信息安全法律法規(guī)體系來實現(xiàn).因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網(wǎng)絡法的雙重地位,必須與網(wǎng)絡技術和網(wǎng)絡立法同步建設,因此,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術課程中的法律法規(guī)內(nèi)容教學目標
對于計算機專業(yè)或信息安全專業(yè)的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規(guī),深入理解和掌握網(wǎng)絡安全技術防御技術和安全通信協(xié)議.
而對普通高等師范院校計算機專業(yè)學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此,開設信息安全法律法規(guī)課程內(nèi)容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網(wǎng)絡安全維護和網(wǎng)絡安全構建等技術的法律、法規(guī)和標準.如:《中華人民共和國信息系統(tǒng)安全保護條例》,《中華人民共和國數(shù)字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規(guī)課程設置探討
根據(jù)我校計算機專業(yè)課程體系結(jié)構,信息安全有關的法律法規(guī)課程,其中多數(shù)涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎講座:本講座力圖改變大家對信息安全的態(tài)度,使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責范圍內(nèi)需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規(guī),主要內(nèi)容包括:國內(nèi)信息安全法律法規(guī)概貌、我國現(xiàn)有信息安全相關法律法規(guī)簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統(tǒng)抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據(jù)的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數(shù)據(jù)隱藏、惡意代碼、主流操作系統(tǒng)取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文關鍵詞:政策 法律法規(guī) 標準 信息化水平
論文摘要:實現(xiàn)信息化就是要構造和完善信息化體系,而信息化的政策、法規(guī)和標準是國家信息化快速、有序、健康發(fā)展的保障。因此,為加速信息化建設,就必須制定一系列相應的政策,提供行政支持;為保證信息化建設的安全性、合法性,就必須完善法律法規(guī);為保證信息化基礎設施建設可用度、高質(zhì)童和互通性,就必須加快信息化標準體系建設。
2002年3月19日,國家信息化測評中心(NIEC)在京公布了國家信息化指標測算第一批數(shù)據(jù),同時了國家信息化水平研究報告。據(jù)報告顯示,2000年國家信息化指數(shù)(NIQ)為38. 46,與1999年的30. 14和1998年的25. 89相比,有較大提高。其中,信息技術應用指數(shù)最高為65. 89,表明中國信息技術應用得到較快發(fā)展,信息技術和網(wǎng)絡技術正向各個領域廣泛滲透,對經(jīng)濟結(jié)構調(diào)整和傳統(tǒng)產(chǎn)業(yè)的改造開始發(fā)揮重要作用,成為拉動中國信息化水平提高的主要因素。信息產(chǎn)品和服務發(fā)展指數(shù)為53. 78,表明我國信息產(chǎn)業(yè)持續(xù)高速發(fā)展,正在改變我國工業(yè)化的面貌,并逐步成為國民經(jīng)濟的重要支柱產(chǎn)業(yè)。信息資源開發(fā)利用指數(shù)為45. 29,表明隨著互聯(lián)網(wǎng)絡的飛速發(fā)展,我國的互聯(lián)網(wǎng)絡信息資源也得到了很大的發(fā)展。但是我們?nèi)圆荒軜酚^,因為信息環(huán)境發(fā)展指數(shù)僅為21. 86,在各要素中水平較低,表明信息化發(fā)展與其軟環(huán)境建設的不相適應。
1 加強信息化發(fā)展的政策研究
近年來,我國已經(jīng)推出了一系列的促進信息產(chǎn)業(yè)發(fā)展和加快信息化進程的政策,如加快我國微電子、軟件及通訊產(chǎn)業(yè)發(fā)展的一系列政策,對推動我國信息化的發(fā)展發(fā)揮了重要作用。信息化建設的不斷深人,迫切要求我們更進一步加強對信息化發(fā)展的政策研究,分清輕重緩急,逐項予以落實,以適應信息化發(fā)展的需要。例如,在信息產(chǎn)業(yè)發(fā)展方面.當前比較急需的有幫助我國信息產(chǎn)業(yè)提升競爭力的政策,鼓勵風險投資的政策,扶持信息技術相關中、小企業(yè)的政策,信息技術人才引進和出口的政策,加快信息技術人才培養(yǎng)力度的政策,鼓勵互聯(lián)網(wǎng)發(fā)展的政策等等。在政府信息化方面,有非密政府信息公開和政府信息資源共享及管理的政策,政府網(wǎng)絡與互聯(lián)網(wǎng)關系的政策,政府信息化中的技術政策和采購政策,政府信息化中的外資利用政策,私人企業(yè)在政府信息系統(tǒng)開發(fā)中的地位和作用的政策,政府的信息安全政策等等。在推動社會信息化方面,需要有縮小數(shù)字鴻溝的政策、幫助西部地區(qū)加快信息化發(fā)展的政策。考慮到信息技術和互聯(lián)網(wǎng)在未來的發(fā)展,適時制定促進電話網(wǎng)、數(shù)據(jù)通訊網(wǎng)、有線電視網(wǎng)和無線通訊網(wǎng)“四網(wǎng)合一”的政策,促進各個服務網(wǎng)絡互聯(lián)互通的政策,鼓勵境內(nèi)網(wǎng)址在國內(nèi)注冊域名和限制境內(nèi)網(wǎng)址在境外注冊域名的政策等都會對我國互聯(lián)網(wǎng)絡的發(fā)展產(chǎn)生重要影響。信息化發(fā)展需要方方面面政策的指引,因此,很有必要組織人力進行研究,以分清輕重緩急,并逐項加以落實。
2完善信息化建設的法律法規(guī)
到目前,我國已出臺了一些規(guī)范信息化建設的法律、法規(guī),但存在的問題仍不容忽視。一是缺少必要的基本法,立法層次低,多頭管理,相互沖突的情況時有發(fā)生;二是已有的立法中有諸多缺陷,難以適應規(guī)范信息化建設、打擊網(wǎng)絡犯罪的實際需要。如我國刑法對計算機犯罪的主體僅限定為自然人,而對其處罰卻既沒有罰金刑,也沒有資格刑;在訴訟法中也缺少對“電子證據(jù)”的規(guī)定;三是缺少大多數(shù)發(fā)達國家及一大批發(fā)展中國家有關電子商務的法律。我國網(wǎng)絡基礎設施已列世界第二,但網(wǎng)上經(jīng)營的數(shù)額在世界上還排不上名次,原因之一就是我們?nèi)狈Ψ梢?guī)范,阻礙了網(wǎng)絡市場的發(fā)展;四是在以法律手段鼓勵網(wǎng)上傳播中國的聲音、防范國外不良文化與道德的人侵方面還顯得不夠。因此,完善法律法規(guī),以規(guī)范和解決信息化建設中存在的問題很有必要。
首先,應認真研究信息化建設立法的國際動向,積極參與保障信息化建設安全的國際合作。因為,認真研究信息化建設立法與管理的國際動向,一可以使我們在制定相關國內(nèi)法及實施管理時,借鑒國外成功的經(jīng)驗“為我所用、二可以使我們在打擊跨國計算機網(wǎng)絡犯罪時,在因網(wǎng)絡侵權、網(wǎng)絡商務中違約等跨國的民、商事糾紛產(chǎn)生時,更好地開展國際合作。
其次,應將信息化建設立法問題作通盤研究,盡早列人國家立法規(guī)劃,立法重點要逐步向信息網(wǎng)絡轉(zhuǎn)移。一是應盡早制定一部網(wǎng)絡基本法。在網(wǎng)絡基本法出臺前,可先著手制定某些急需的單行法,成熟一個制定一個,如可在《電信條例》基礎上,盡快制定電信法。二是在正起草的有關法律中,注意研究與增加涉及信息網(wǎng)絡方面的內(nèi)容,如正在起草的證據(jù)法,應重視“電子證據(jù)的有關內(nèi)容”。三是在修訂現(xiàn)有法律時,也應注意增加涉及信息網(wǎng)絡的內(nèi)容。如在修訂《刑法》時,應考慮針對計算機網(wǎng)絡犯罪的特點,增加法人(單位)犯罪、罰金刑等內(nèi)容;修訂《合同法》、《著作權法》、《商標法》、《專利法》、《消費者權益保護法》時,應增加對網(wǎng)絡作品著作權的保護條款,增加對惡意搶注他人商標為域名的處罰條款等等,使現(xiàn)有法律外延包括電子商務活動。
第三,與政策的制定一樣,地方的法律法規(guī)制定也應在國家和省已有的法律法規(guī)框架下進行。但這并不意味著地方就無所作為,地方也需要研究國際上的經(jīng)驗教訓和現(xiàn)有法規(guī),需要研究國家已有的法律法規(guī),對照本地的實際情況,加以落實或補充。
3加快信息化標準體系建設
信息化的先進性主要體現(xiàn)在信息資源的共享性,如果沒有統(tǒng)一標準,信息將無法共享,也將無法實現(xiàn)這一先進性。因此,為了推動信息化建設工作,使信息化工作能持續(xù)健康地發(fā)展,就必須首先研究和制定信息化的標準體系。因為,信息化標準體系的研究和制定是信息化工作實施的關鍵環(huán)節(jié)。信息化中的標準主要包括:數(shù)據(jù)/信息標準、技術標準和安全標準。下面以政府信息化為例來做一說明。
數(shù)據(jù)/信息標準主要是明確的定義和規(guī)定政府信息的標準和采集與應用的規(guī)范。同時,還應對政府信息的生命周期以及在其生命周期的每一個階段的管理問題作出規(guī)定。一切形式的政府信息,包括印刷品、音像制品、電子文件等都是國家和政府的一種戰(zhàn)略資源,在其整個生命周期都應妥善管理。此外,關于政府工作過程的信息,關于各種技術和應用的信息,也是一種信息資源,應該和政府信息本身一樣按相同的原則制定標準進行管理。在中央和地方各級政府,政府管理的業(yè)務流,如財務管理、人事管理、文檔管理等,也必須逐漸地走向規(guī)范化和標準化,從而使其所伴隨的信息流也趨于標準化和規(guī)范化。只有在這樣的基礎之上,政府管理信息系統(tǒng)的各個“要素”才有可能標準化和規(guī)范化。
技術標準是對政府信息化過程中所使用的計算機與通訊系統(tǒng)的軟、硬件制定統(tǒng)一的標準,以便于政府內(nèi)信息的交流和共享。例如操作系統(tǒng)的標準,通訊協(xié)議的標準,計算機的標準,服務器的標準,瀏覽器的標準,電子郵件的標準,以及數(shù)據(jù)庫的標準等等。此外,技術標準還應包括方法學的標準、軟件工程管理的標準。
安全標準是系統(tǒng)安全管理的一個重要階段。對哪一級、哪一類的信息系統(tǒng)必須實行哪一級的安全管理,需要通過標準來加以規(guī)范。安全標準應首先明確信息的所有權和隸屬關系,明確信息安全的責任者。安全標準包括物理安全標準和技術安全標準。物理安全指對系統(tǒng)、設備、工作環(huán)境等在物理上采取的保護措施;技術安全則包括口令和密鑰、數(shù)據(jù)加密標準、防病毒、防黑客以及各種加密措施等等。
論文關鍵詞:高師計算機專業(yè);信息安全;法律法規(guī)課程
人類進入21世紀,現(xiàn)代信息技術迅猛發(fā)展,特別是網(wǎng)絡技術的快速發(fā)展,互聯(lián)網(wǎng)正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網(wǎng)絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網(wǎng)絡以其數(shù)字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網(wǎng)絡犯罪,所有這些使得高師學生思想政治工作特別是從事網(wǎng)絡教學、實踐的計算機專業(yè)的教育工作者來說,面臨著前所未有的機遇和挑戰(zhàn),這不僅因為,自己一方面要傳授學生先進的網(wǎng)絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業(yè)學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業(yè)學生中開設與信息安全有關的法律法規(guī)課程有著十分重要的意義.如何抓住機遇,研究和探索網(wǎng)絡環(huán)境下的高師計算機專業(yè)學生信息安全法律法規(guī)教學的新特點、新方法、新途徑、新對策已成為高師計算機專業(yè)教育者關心和思考的問題.本文主要結(jié)合我校的實際,就如何在高師計算機專業(yè)中開設信息安全法律課程作一些探討.
1現(xiàn)有的計算機專業(yè)課程特點
根據(jù)我校人才培養(yǎng)目標、服務面向定位,按照夯實基礎、拓寬專業(yè)口徑、注重素質(zhì)教育和創(chuàng)新精神、實踐能力培養(yǎng)的人才培養(yǎng)思路,溝通不同學科、不同專業(yè)之間的課程聯(lián)系.全校整個課程體系分為“通識教育課程、專業(yè)課程(含專業(yè)基礎課程、專業(yè)方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業(yè)課程的特點介紹.
1.1專業(yè)基礎課程專業(yè)基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養(yǎng),夯實基礎,拓寬專業(yè)口徑.考慮到學科知識體系、學生轉(zhuǎn)專業(yè)等需要,原則上各學科大類所涵蓋的各專業(yè)的學科專業(yè)基礎課程應該相同.主要內(nèi)容包括:計算機科學概論、網(wǎng)頁設計與制作、C++程序設計、數(shù)據(jù)結(jié)構、操作系統(tǒng)等.
1.2專業(yè)方向課程各專業(yè)應圍繞人才培養(yǎng)目標與規(guī)格設置主要課程,按照教育部《普通高等學校本科專業(yè)目錄》的有關要求,結(jié)合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據(jù)自身興趣和自我發(fā)展的需要,在任一方向課程組中選擇規(guī)定學分的課程修讀.主要內(nèi)容包括:計算機網(wǎng)絡、匯編語言程序設計、計算機組成原理、數(shù)據(jù)庫系統(tǒng)、軟件工程導論、軟件工程實訓、計算機系統(tǒng)結(jié)構等.
1.3現(xiàn)有計算機專業(yè)課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業(yè)旨在培養(yǎng)一批適合現(xiàn)代軟件工程、網(wǎng)絡工程發(fā)展要求的軟件工程、網(wǎng)絡工程技術人員,現(xiàn)有我校的計算機專業(yè)課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發(fā)展,人們更廣泛的使用網(wǎng)絡、更關注信息安全這一事實,作為計算機專業(yè)的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業(yè)的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網(wǎng)絡安全的事情.
2高師計算機專業(yè)學生開設信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統(tǒng)罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產(chǎn)權法(著作權的侵害、信息網(wǎng)絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養(yǎng)體系的重要途徑與任務.
高師計算機專業(yè),雖然沒有開設與信息安全專業(yè)一樣多與信息安全的有關技術類課程.但這些專業(yè)的學生都有從事網(wǎng)絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業(yè)的學生中開設相關的法律法規(guī)選修課程是必要的.
2.2可行性技術與法律原本并不關聯(lián),但是在信息安全領域,技術與法律卻深深的關聯(lián)在一起,在全世界各國都不難發(fā)現(xiàn)諸如像數(shù)字簽名、PKI應用與法律體系緊密關聯(lián).從本質(zhì)上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產(chǎn)生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據(jù)前面對信息安全法律法規(guī)內(nèi)容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯(lián)系.從事計算機技術的人員很容易轉(zhuǎn)到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業(yè)中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯(lián)的信息安全法律法規(guī)選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內(nèi)容眾多,有數(shù)學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯(lián)系十分緊密,新方法、新技術以及新問題不斷涌現(xiàn),這給信息安全課程設置帶來了很大的難度,為使我校計算機專業(yè)學生了解、掌握這一新技術,我們在專業(yè)課程模塊中開設《密碼學基礎》、《網(wǎng)絡安全技術》、《入侵檢測技術》等作為專業(yè)選修課.我校本課程具有以下特點:
(1)每學期都對知識內(nèi)容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業(yè)課、專業(yè)選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統(tǒng)、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網(wǎng)絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網(wǎng)絡基本原理、操作系統(tǒng)、計算機組成原理、程序設計和數(shù)論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規(guī)內(nèi)容的特點
信息安全的特點決定了其法律、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡技術、涉及到與網(wǎng)絡有關的法律、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網(wǎng)絡進行經(jīng)濟詐騙;利用網(wǎng)絡獲取國家政治、經(jīng)濟、軍事情報;利用網(wǎng)絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網(wǎng)絡技術的迅速發(fā)展,信息化的浪潮席卷全球,信息化和經(jīng)濟全球化互相交織,信息在經(jīng)濟和社會活動中的作用甚至超過資本,成為經(jīng)濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經(jīng)濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網(wǎng)絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現(xiàn)的,而是要靠涉及到信息安全技術各分支的信息安全法律法規(guī)體系來實現(xiàn).因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網(wǎng)絡法的雙重地位,必須與網(wǎng)絡技術和網(wǎng)絡立法同步建設,因此,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術課程中的法律法規(guī)內(nèi)容教學目標
對于計算機專業(yè)或信息安全專業(yè)的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規(guī),深入理解和掌握網(wǎng)絡安全技術防御技術和安全通信協(xié)議.
而對普通高等師范院校計算機專業(yè)學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此,開設信息安全法律法規(guī)課程內(nèi)容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網(wǎng)絡安全維護和網(wǎng)絡安全構建等技術的法律、法規(guī)和標準.如:《中華人民共和國信息系統(tǒng)安全保護條例》,《中華人民共和國數(shù)字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規(guī)課程設置探討
根據(jù)我校計算機專業(yè)課程體系結(jié)構,信息安全有關的法律法規(guī)課程,其中多數(shù)涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎講座:本講座力圖改變大家對信息安全的態(tài)度,使操作人員知曉信息安全的重要性、企業(yè)安全規(guī)章制度的含義及其職責范圍內(nèi)需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規(guī),主要內(nèi)容包括:國內(nèi)信息安全法律法規(guī)概貌、我國現(xiàn)有信息安全相關法律法規(guī)簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統(tǒng)抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據(jù)的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數(shù)據(jù)隱藏、惡意代碼、主流操作系統(tǒng)取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文摘要:金融機構網(wǎng)上業(yè)務的飛速發(fā)展,一方面使人們充分享受到網(wǎng)上金融服務帶來的便利性,另一方面,網(wǎng)絡應用層安全問題也日益受到人們的關注,成為金融機構亞待解決的問題。本文主要探討了金融部門網(wǎng)絡應用層安全現(xiàn)狀和存在的問題,并提出了防范網(wǎng)絡應用層安全問題的對策。
如今,金融部門越來越多的關鍵業(yè)務必須通過網(wǎng)絡進行,尤其是網(wǎng)上銀行、網(wǎng)上證券等新興業(yè)務對網(wǎng)絡的依賴性更強。然而,面對日益猖撅的黑客攻擊,如計算機病毒、垃圾郵件、網(wǎng)頁篡改、釣魚網(wǎng)站等,網(wǎng)絡應用層安全問題已經(jīng)成為金融部門的頭等大事,也是必須要解決的問題。本文主要探討金融部門網(wǎng)絡應用層安全現(xiàn)狀和存在的問題,以及建設應用層安全防范體系的技術要求與管理要求。
一、金融部門網(wǎng)絡應用層安全現(xiàn)狀
網(wǎng)絡信息安全是指網(wǎng)絡系統(tǒng)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不會遭到偶爾的或者惡意的破壞、更改、泄露,系統(tǒng)能夠連續(xù)、可靠、正常地運行,網(wǎng)絡服務不中斷。網(wǎng)絡信息安全是一門涉及計算機科學、網(wǎng)絡技術、通信技術、密碼技術、信息安全技術、應用數(shù)學、數(shù)論、信息論等多種學科的邊緣性綜合學科。根據(jù)美國信息保障技術框架(iatf>給出的信息安全分層模型,信息安全體系結(jié)構如圖1所示。
近年來,隨著新設備的應用、新技術的發(fā)展和各種標準建設的開展,金融部門在物理安全、系統(tǒng)安全、網(wǎng)絡安全防范等方面取得了長足的進步。但是,由于網(wǎng)絡采用tcp/ip開放協(xié)議,協(xié)議本身的漏洞和網(wǎng)絡技術的開放性,給信息安全帶來了巨大的隱患。此外,隨著金融部門網(wǎng)上增值業(yè)務的開展,特別是與網(wǎng)絡相關的各種網(wǎng)絡增值服務的不斷增加,金融部門信息安全日益受到質(zhì)疑和挑戰(zhàn)。
二、金融部門網(wǎng)絡應用層存在的安全問題
當前,金融部門網(wǎng)上信息系統(tǒng)受到來自公共互聯(lián)網(wǎng)絡的各類攻擊和病毒人侵,對金融信息系統(tǒng)應用安全帶來了威脅和挑戰(zhàn),如圖2所示。
(一)計算機病毒互聯(lián)網(wǎng)化、深度化、產(chǎn)業(yè)化帶來的威脅
根據(jù)瑞星公司《2008年度中國大陸地區(qū)電腦病毒疫情&互聯(lián)網(wǎng)安全報告》,2008年的病毒數(shù)量呈現(xiàn)出幾何級數(shù)的增長,比2007年增長12倍以上,其中木馬病毒5 903 695個,后門病毒1 863 722個,兩者之和超過776萬,占總體病毒的83.40}0。這些病毒都以竊取用戶網(wǎng)銀、網(wǎng)游賬號等虛擬財產(chǎn)為主,帶有明顯的經(jīng)濟利益特征。2008年11月,中國金融認證中心對外《2008中國網(wǎng)上銀行調(diào)查報告》,報告顯示,2008年全國個人網(wǎng)銀用戶比例為19.9%,企業(yè)網(wǎng)銀用戶的比例達到42.8%,企業(yè)規(guī)模越大,使用網(wǎng)銀的比例就越高。但是,安全性仍然是用戶選擇網(wǎng)銀時最看重的因素。
(二)黑客人侵攻擊
當前,金融部門主要采用傳統(tǒng)的被動防御技術阻止黑客的人侵,通過采用防火墻、入侵檢測、防病毒網(wǎng)關、漏洞掃描、災難恢復等手段對重要金融信息系統(tǒng)進行防護。但隨著網(wǎng)絡攻擊的自動化、智能化、手段多樣化,這種靜態(tài)的、被動的基于特征庫的技術防御架構已經(jīng)遠遠落后于網(wǎng)絡攻擊技術的發(fā)展,難以從根本上解決網(wǎng)絡安全問題。
(三)網(wǎng)頁篡改技術攻擊
近年來,由于黑客技術日益泛濫,越來越多的網(wǎng)頁篡改技術可以輕易穿透防火墻,繞過人侵檢測等安全設施。當前網(wǎng)頁篡改技術主要包括以下幾個方面。
1.利用各種漏洞進行木馬植人,然后利用木馬程序進行文件篡改。
2利用竊聽或者暴力破解的方法獲取網(wǎng)站合法管理員的用戶名、口令,然后以網(wǎng)站管理員的身份進行網(wǎng)頁篡改活動。
3.利用病毒進行攻擊。
4.網(wǎng)站管理員沒有對網(wǎng)站進行有效的管理和配置,特別是用戶名、密碼資源管理混亂,攻擊者往往利用這些漏洞進行網(wǎng)站攻擊,獲取權限,篡改網(wǎng)站。
網(wǎng)上拓展業(yè)務網(wǎng)頁被篡改將影響業(yè)務的正常運行,嚴重影響企業(yè)的聲譽。
(四)網(wǎng)絡釣魚技術攻擊
網(wǎng)絡釣魚者通過建立域名和網(wǎng)頁內(nèi)容都與真正網(wǎng)上銀行系統(tǒng)、網(wǎng)上證券交易平臺極為相似的網(wǎng)站,引誘用戶輸人賬號和密碼信息,然后通過真正的網(wǎng)上銀行、網(wǎng)上證券系統(tǒng)或者偽造銀行儲蓄卡、證券交易卡盜竊資金,從而引起嚴重的社會問題。
三、金融部門網(wǎng)絡應用層安全問題的防范對策
針對上述金融部門網(wǎng)絡應用層存在的安全問題,在推廣金融信息系統(tǒng)安全等級保護的過程中,需要對各種安全風險進行合規(guī)性檢查和風險評估,尋找防范各種應用風險的技術要求和管理要求。
(一)金融信息系統(tǒng)保障體系的技術要求
在經(jīng)歷了網(wǎng)絡建設、數(shù)據(jù)大集中、網(wǎng)絡安全基礎設施等階段后,為了能夠進一步滿足金融信息系統(tǒng)應用層安全的需要,構建起更加有效的整體防護體系。在技術方面,應該將更多的前沿技術融入到產(chǎn)品中,研發(fā)出效率更高、更加智能的反病毒引擎。同時,把防病毒、防垃圾郵件、防網(wǎng)頁篡改、防釣魚網(wǎng)站欺騙、防黑客攻擊、防火墻等功能進行有效集成,從而增強金融信息系統(tǒng)防范各種風險的能力。
1.反病毒技術
伴隨著網(wǎng)站掛馬傳播病毒、應用軟件漏洞、釣魚攻擊、rootkit病毒、僵尸網(wǎng)絡等安全隱患的持續(xù)增長,反病毒軟件處理互聯(lián)網(wǎng)問題的能力也持續(xù)得到增強。計算機病毒自動掃描技術從傳統(tǒng)的、被動的特征代碼技術,校驗和技術朝智能型、主動型的啟發(fā)式掃描技術,行為監(jiān)測技術,虛擬機技術的方向發(fā)展。但面對“病毒產(chǎn)業(yè)”的互聯(lián)網(wǎng)化,僅靠一種防計算機病毒技術已經(jīng)不能對金融系統(tǒng)信息網(wǎng)絡起到很好的保護作用。因此,金融部門網(wǎng)上銀行、網(wǎng)上證券等網(wǎng)上拓展業(yè)務必須采用立體式安全防護體系,通過網(wǎng)絡網(wǎng)關、互聯(lián)網(wǎng)防護、服務器防護和客戶端防護,綜合利用各種前沿技術,建立金融信息系統(tǒng)反病毒工作的“深層防護安全模型”,在計算機病毒進人金融信息系統(tǒng)之前就將其屏蔽,從而確保金融信息系統(tǒng)網(wǎng)絡安全。
2.主動防御技術
主動防御技術作為一種新的對抗網(wǎng)絡攻擊的技術,采用了完全不同于傳統(tǒng)防御手段的防御思想和技術,克服了傳統(tǒng)被動防御的不足。在主動防御技術體系中,由防護技術(邊界控制、身份認證、病毒網(wǎng)關、漏洞掃描)、檢測技術、預測技術、響應技術(人侵追蹤、攻擊吸收與轉(zhuǎn)移、蜜罐、取證、自動反擊)等組成,其優(yōu)勢體現(xiàn)在以下幾個方面:一是主動防御可以預測未來的攻擊形勢,檢測未知的攻擊,從根本上改變了以往防御落后于攻擊的不利局面;二是具有自學習的功能,可以實現(xiàn)對網(wǎng)絡安全防御系統(tǒng)進行動態(tài)的加固;三是主動防御系統(tǒng)能夠?qū)W(wǎng)絡進行監(jiān)控,對檢測到的網(wǎng)絡攻擊進行實時的響應。
隨著網(wǎng)上金融的深入發(fā)展,金融系統(tǒng)防御體系必須由被動的防御體系轉(zhuǎn)人主動防御體系,將神經(jīng)網(wǎng)絡技術、遺傳算法、免疫算法、基于貝葉斯概率的內(nèi)容過濾技術等新概念引人主動防御體系中,增強金融信息系統(tǒng)防御網(wǎng)絡攻擊的自適應、自學習能力。
3.網(wǎng)頁防篡改技術
為了防止重要網(wǎng)上金融信息系統(tǒng)被篡改,金融部門除了需要對操作系統(tǒng)和應用程序進行合理配置外,還需要采用必要的技術手段對網(wǎng)頁進行監(jiān)視,以便及時發(fā)現(xiàn)篡改現(xiàn)象并進行恢復和其他處理。一是盡可能堵塞所有操作系統(tǒng)漏洞、限制管理員的權限、防止黑客利用惡意的http請求人侵系統(tǒng),例如對網(wǎng)頁請求參數(shù)進行驗證,防止非法參數(shù)傳人、sql注人攻擊,從而阻止黑客的侵人;二是利用成熟的輪詢檢測技術、事件觸發(fā)技術、核心內(nèi)嵌技術等,以實現(xiàn)阻止黑客侵人后篡改的目的。但要想徹底地解決網(wǎng)頁篡改問題,僅僅利用上面的一種或者兩種技術是不夠的,應該綜合考慮和應用多種技術,才能夠有效地解決問題。
(二)金融信息系統(tǒng)保障體系的管理要求
金融部門網(wǎng)上拓展亞務必須要有一套完善的管理制度相配合,金融部門要建立完整的應用層安全管理體系、運行維護體系,明確崗位職責,并且按照規(guī)護百的運維流程進行操作,從而更好地促進金融部門網(wǎng)上業(yè)務的安全可靠運行。但是,目前金融部門信息系統(tǒng)保障體系建設往往忽略安全設計,重技術,輕安全,人的安全意識不足。
以計算機病毒為例,目前的病毒產(chǎn)業(yè)鏈條由4個部分組成:挖掘安全漏洞、制造網(wǎng)頁木馬、制造盜號木馬、制造木馬下載器,這些環(huán)節(jié)形成了分工明確、效率快捷的工業(yè)化‘生產(chǎn)線”。但挖掘安全漏洞是病毒傳播的基礎,只要我們能夠做好日常補丁更新工作,常見的病毒是很難侵人的,由此可見日常標準化、流程化管理的重要性。
