引论:我们为您整理了1篇信息安全论文范文,供您借鉴以丰富您的创作。它们是您写作时的宝贵资源,期望它们能够激发您的创作灵感,让您的文章更具深度。
信息安全论文:信息安全体系电子政务的论文
一电子政务信息安全的请求
从这个规定可以看出,在电子政务环境下,信息安全主要包含系统实体安全、人员安全、利用软件安全、运行安全以及数据安全。电子政务系统中的实体是指系统运行所需要的计算机装备、网络装备设施等,实体安全就是保障这些设施不受自然因素以及人为因素损坏以及影响,保障装备的正常运行,通常分为人员安全、运行安全以及数据安全3部份。人员安全是指使用电子政务系统的政府工作人员、系统管理员的安全技巧、安全意识以及法律意识等;电子政务系统中开发了大量的利用软件,要确保操作系统不存在安全漏洞以及缺点,能够抵制外来的损坏;运行安全是指电子政务系统在运行进程中的安全,包含系统不受病毒以及网络黑客的袭击等;数据安全是指电子政务系统中的数据以及信息不被非法走访、更改以及损坏,包含数据加密解密、数据备份与恢复、审计跟踪、走访节制、网络安全以及数据库安全等。
二电子政务信息安全保障体系
从电子政务系统安全的总需求来看,其中的网络安全、信息内容安全等可以通过开放系统互连安全部系提供的安全服务、安全机制及其管理取得,但所取得的这些安全性只解决了与通讯以及互连有关的安全问题,而触及与信息系统形成组件,运行环境安全有关的其他问题(如物理安全、系统安全等)等,还需要从技术措施以及管理措施两个方面来斟酌解决方案。1个的电子政务信息安全部系包含基础设施体系、技术保障体系以及管理体系3部份组成,如图一所示:
二.一基础设施体系
电子政务系统的基础设施包含政务内网、政务外网、电子政务信息专用网3部份。政务内网用于运行内部办公系统、基础数据以及业务数据存储管理,通过路由器接入电子政务信息专网;电子政务信息专网,实现国家、省、市、县4级政府部门的信息同享与交流;政务外网通过防火墙接入国际互联网,为社会提供电子政务信息服务。电子政务系统的内网是整个政务信息化的基础,负担了大部份的政务信息以及政务信息系统。电子政务内网与外部网络通过网络物理隔离,存在的安全要挟主要来自内部区域的不安全因素,内网安全集中表现在利用系统的安全以及数据信息的安全上。安全域是由1系列互相信任,拥有相同的信息安全需求的终端或者系统等组成的逻辑网络区域,为到达安全目的,安全域基于信息安全标准,从系统信息安全的角度划分,可将电子政务网络划分为多个文秘站:安全域。即便用交流机或者者网络结构划分为不同的子网或者VLAN,并对于不同的子网或者VLAN进行安全策略设置,避免不同安全域之间的非授权互访。电子政务网络安全域划分后,同1安全域的终端或者系统互相信任,并拥有相同信息安全走访节制策略以及边界节制策略。
二.二技术保障体系
信息安全部系的建设是1个繁杂的系统工程,需要从多角度、多层次进行分析以及节制,依据电子政务网络的不同层次,采用有针对于性的技术措施,主要包含物理层安全、网络层安全、系统层安全以及利用层安全等。物理层安全是指电子政务系统运行的物理环境的安全。通过对于电力供应装备和信息系统组成的抗电磁干扰以及电磁泄漏机能的选择性措施;通过物理机械强度标准的节制使信息系统的建筑物、机房前提及硬件装备前提知足信息系统的机械防护安全。网络层安全就是确保该层的交流机,路由器、防火墙等装备的安全性。通常采用的技术措施包含:网络走访节制、远程接入节制、内容安全等相干节制措施。网络走访节制是在网络层实现走访节制措施,以限制主体对于客体资源的走访,适量的走访节制能够阻挠未经许可的用户成心或者无心地获取敏感信息。远程接入建议选择较为安全的VPN接入方式,如果采取拨号接入,则建议在拨号后结合采取VPN进行远程连接,然后通过对于安全策略的统1管理以及设置,确保所提供的安全功能患上到有效地施行。内容安全包含对于歹意代码及垃圾邮件等通过正常协定传输的歹意信息的过滤、拦截,可采取统1要挟管理、入侵防护系统、防火墙等安全措施措施。系统层安全是指电子政务平台下操作系统的安全。它通过对于信息系统与安全相干组件的操作系统的安全性选择措施或者自主节制,使信息系统安全组件的软件工作平台到达相应的安全等级。1方面阻挠任何情势的非授权行动对于信息系统安全组件的入侵或者接收系统管理权;另外一方面防止操作平台本身的懦弱性以及漏洞引起的风险。利用层安全主要是指电子政务平台的安全以及运行在此平台上的各利用系统的安全。它主要采用身份认证、走访节制等安全措施,保障利用系统本身的安全性,和与其他系统进行数据交互时所传输数据的安全性;采用审计措施在安全事件产生前发现入侵妄图或者在安全事件产生落后行审计追踪。
二.三管理体系
电子政务信息安全管理体系的症结在于树立1个有效的安全管理组织机构以及管理轨制。管理机构以单位主管信息工作的负责人为首,有行使国家安全、公共安全、机要以及保密职能的部门负责人以及信息系统主要负责人介入组成。主要负责是计划并调和各方面气力施行信息系统的安全方案,制订、修改安全策略,处理安全事故等。安全管理轨制包含安全责任轨制、系统运行保护管理轨制、计算机处理节制管理轨制、文档资料管理轨制、管理以及操作人员管理轨制、机房安全管理轨制、按期安检与安监管理轨制、网络通讯安全管理轨制、病毒防治管理轨制、信息维护轨制等。
三结语
不管采取甚么样的网络结构以及利用体系,对于于电子政务来讲,安全老是第1位的。因而,信息安全是电子政务的头等大事,加强对于电子政务信息安全部系的钻研,对于于推进我国电子政务建设拥有重大的现实意义。
信息安全论文:计算机信息安全论文的范文
随着互联网技术的不断发展,互联网的普及程度越来越高。网络互联应用的增加也造成了一定的风险,特别是很多企业的跨地区的网络应用、政府部门的纵向分级网络管理等都存在了非常严重的网络信息安全的风险,虚拟专用网络就是在这样的情景下发展起来的,虚拟专用网络的定义是在一个公共网络中建立一个临时的安全连接,并建立一条安全稳定的信息通道。
本文从虚拟专用网络技术特点出发研究其在计算机网络信息安全中的应用,为企业计算机网络信息安全保障提供相应的参考意见。
1 虚拟专用网络技术分类
1.1 隧道技术
这里提到的隧道技术是针对于数据包的加密过程,通过隧道协议利用附加的报头封装帧,在报头中通过添加路由的信息,所以数据包经过封装后能够通过中间的公共网络,这个经过封装后的数据包所经过的公共网络中的这个信息通道就被称为隧道,隧道中数据包的通信过程是从帧公网目的地后就会解除封装并被继续传输到通信的最终目的地。对于数据包的处理过程,隧道包含了几个基本的要素,分别是隧道开通器、带有路由能力的公共网络、一个或多个隧道终止器以及一个为了增加灵活性而增加的隧道交换机[1].
1.2 加密技术
虚拟专用网络的加密技术也是其在信息安全中应用的重要技术特点,由于是在公共网络中开通一个信息通信的逻辑路径,因此两个站点之间的信息的封装加密技术是虚拟专用网络保障信息安全的重要手段,为了更好的保护企业信息、个人信息的安全,加密技术是虚拟专用网络重要的环节。
1.3 秘钥管理技术
秘钥管理技术是虚拟专用网络确保数据在公共网络中传递的完成,主要由 ISAKMP 和 SKIP 工程组成,其中 SKIP 是通过利用 Diffie 的验算法则进行的,而在 ISAKMP 进行秘钥传输的过程中,秘钥具备一定的公开性。
1.4 身份认证技术
身份认证技术是当前计算机网络信息安全中常见的技术,主要通过核对用户设置的信息和密码来完成对用户身份的认证过程,如果密码正确,并且信息相符的话,才能通过 VPN 网络连接到信息系统中来[2].
2 虚拟专用网络技术在计算机网络信息安全中的应用策略
2.1MPLSVPN 技术在网络信息安全中的应用
MPLSVPN 主要在宽带 IP 网络上实现,主要的特点是能够更加安全、高校的实现快点去之间的数据通信。这种技术还可以结合联合流量工程技术和差别服务等实现安全的性能和较好的扩展。为用户提供更为安全高效的信息服务。实现MPLSVPN 技术具体步骤有三步:首先,通过 CR-LDP 的方法在路由器中间建立一个分层服务提供商,LSP 中包含了第二层VPN 第三层 VPN 等多种业务,是 MPLSVPN 服务关键的环节。
其次是通过路由器完成 VPN 信息通信,其中 PE 路由器主要的作用是在在网络服务提供商骨干网络的边缘接入,这个步骤的关键是为了实现 VPN 数据的通信过程,具体的操作是在 PE 路由器上建立一个能够连接到 CE 设备的 VPN 转发表数据,主要的目的是在这个转发表中加入 CE 设备的关键标识如识别码和标记范围等。然后将转发表数据反分别安装到每一个 CE 设备上,给每一个所要转发的数据表的子接口地址进行标记,通过利用LDP 协议在信息网络中向别的 VPN 接口发送带有 ID 标记的连接表。是完成 VPN 的传送过程。
2.2IPSecVPN 技术在计算机网络信息安全中的应用
IPSec 协议能够为计算机的 IP 地址提供更为安全的系统,而虚拟专用网络也是 IPSec 协议中非常常见的应用方式,IPSecVPN 技术就是利用 IPSec 协议实现虚拟专用网络功能的一种方案。IPSec 协议有着非常广泛的使用范围,它采用的是一种框架的结构,主要有三种协议组成:及时种是 ESP 协议,ESP协议的主要特点是能够在同一时间段内提供完整的数据,并且能够提高数据的保密性和抗干扰等优势;第二种是端到端协议,IPSec 协议在两个端口或者端点之间的数据通信进行保护,保护的方式与 ESP 不同;第三种是 PC 到网关,主要通过保护两个 PC 之间通信从网关到其他 PC 或者异地 IP 之间的信心传输。
IPSecVPN 技术有两种重要的传输模式,分别是传输(Transport)模式和隧道(Tunnel)模式,两种模式最主要的差距在于:在ESP 和 AH 处理完成后隧道模式又额外的封装了一个外网的 IP头地址,在站点于站点之间进行连接的时候,这种传输方式比较实用,而传输模式则是在这个过程前后部分,保持 IP 头地址不变,主要适用于很多端口到端口的连接场景中[3].IPSecVPN技术中封装结构的示意图如下:
3 结语
通过我们对 VPN 技术的特点和在计算机网络信息安全中的应用分析,我们知道 VPN 技术能够实现安全有效的远程访问过程,提高了数据传输的安全性,特别是应用于企业信息安全管理的过程,大大的加强了企业网络信息资源以及信息活动过程的安全性。
信息安全论文:信息安全防护下计算机网络的论文
1.计算机网络的信息安全防护策略
1.1网络安全管理防范策略
法律和管理制度是维护网络安全的最强有力的保障。建立完善的法律制度,颁布与保护计算机网络信息安全相关的法律法规可以为打击各种网络犯罪提供有力的武器。而有效的管理是将法律诉诸于实际的手段,通过建立完善的计算机网络信息安全的管理制度,制定相关的规章要求,对计算机使用人员、系统软件、设备以及信息、介质等进行制度化的管理,将网络行为规范化,将对营造网络安全环境,保障网络的安全运行起着至关重要的作用。在进行网络安全管理时,应该任期有限原则、最小权限原则、职责分离原则和文秘站:多人负责制原则。具体的讲,需要建立的管理制度包括安全漏洞检测升级制度;信息登记、审查、清除、保存和备份制度;操作权限管理制度;安全责任制度;通报联系制度;计算机机房和设备安全管理制度;用户登记制度;网络地址管理制度以及应急措施和预案、保密制度等。除了在法律与管理制度层面进行安全防范之外,还很有必要对计算机的使用人员进行宣传教育,让他们了解并掌握具体的修复网络安全漏洞,规避安全风险的技能,并努力使新型安全技术得到应用和普及。另外要加强对计算机使用者在职业道德修养方面的教育,规范他们的职业行为,鼓励他们积极勇敢的同利用计算机网络进行破坏行为的犯罪行为作斗争。
1.2网络安全技术防护策略
1.2.1安装杀毒软件和主机防火墙杀毒软件最初主要是对计算机病毒进行查杀,随着杀毒软件技术的更新与升级,如今的杀毒软件还可以对特洛伊木马和其他一些恶意程序进行预防。在正式开始使用计算机前,需要对其进行杀毒软件的安装,通过杀毒软件对计算机的安全漏洞进行检测、对存在的病毒进行扫描与清除,另外还有定期的及时对杀毒软件自身进行更新和升级,以便能够更早的发现问题,将安全隐患消灭在起始位置。而防火墙相当于一个过滤系统,像一堵墙一样可以将网络安全攻击阻挡在安全范围之外。它可以对进出网络的信息流向进行控制,还可以为网络提供一部分使用细节。在网路通讯过程中,防火墙会指向访问控制尺度,可以通过的只有被防火墙同意访问的数据或人,而那些带有攻击破坏性质的数据或人就会被拒绝通过。在计算机中安装防火墙,可以在一定程度上降低由于网络黑客或其他攻击者的恶意来访而造成的信息泄露、更改或删除等风险的发生概率,并且还能利用防火墙对内网的不良行为进行屏蔽和过滤,可以使网络环境得到净化,保障网路信息的正常运行。
1.2.2隐藏IP地址如果IP地址泄露被黑客掌握的话,那么他们常常将攻击的目标定位在IP地址上,展开对这个IP的恶意攻击,例如Floop溢出攻击和DoS攻击,就是在黑客们通过对网络探测技术寻求到主机的IP地址之后展开的恶性攻击。因此将IP地址隐藏是规避安全风险,防止黑客入侵的一个重要举措。隐藏IP地址最有效的做法是使用服务器,因为计算机用户使用服务器的话,即使黑客利用网络探测技术来探测主机的IP地址,他们探测到的也只是服务器的IP地址,对于用户真正的IP地址是探测不到的,这样一来就可以很有效的防止黑客的攻击,保障用户的上网安全。
1.2.3防止黑客入侵黑客的攻击活动不仅仅只是对用户的IP地址进行入侵,他们的攻击活动几乎无处不在,为防止网络黑客的恶意入侵还需要做好一下几点防范措施。及时,不要随意对陌生邮件进行回复。有些网络黑客会通过钓鱼网站冒充别人的身份向计算机使用者发送一些看上去很正规的邮件,在邮件中会常常会要求用户填写用户名、密码等个人信息。由于有些计算机用户自身的网路安全意识较为淡薄,对邮件发出者的身份深信不疑就会将个人信息输入到邮件之中并进行回复,这样一来网络黑客就可以随意进入这些计算机使用者的邮箱开展破坏性活动,因此对于陌生的邮件不要轻信和回复。第二,黑客入侵的另一个常用手段就是利用字典攻击技术获取Administrator帐户的密码,因此计算机用户要注意将Administrator帐户进行重新配置,可以选择比较复杂的密码对Administrator帐户进行密码保护,并且进行重命名,之后再创建一个新的普通权限的Administrator帐户用来迷惑网络黑客。这样一来,网路黑客同样不能确定哪个才是真正的拥有管理员权限的Administrator帐户,从而减少他们的侵入破坏。
2.小结
计算机网络已经成为如今人们生活、学习、工作中十分重要的组成部分,发挥着举足轻重的作用,但是其自身存在的安全隐患会对人们甚至整个社会带来较大的破坏,维护干净安全的网络环境是每个计算机工作者共同努力的方向。针对计算机网络存在的信息安全问题进行具体的了解,制定切实有效的防范策略则是提高网络信息安全性的关键所在。
信息安全论文:社保信息安全论文
随着参保人数的不断增多,人口流动的加快,__县社会保险业务管理的信息量急剧膨胀,社会保险信息系统数据存储、处理能力所面临挑战的不断升级。社会保险信息系统的运行稳定与否影响着社会保险经办机构社会服务及自身管理水平。如何更好地理顺各险种之间的关系,更好地服务于社会,确保信息系统更高效、安全地运行,充分发挥信息系统在社会保险方面的巨大作用,是推动__社会保障事业进一步发展的当务之急。因此,适时升级社会保险信息系统,提高其安全性,信息处理速度,数据存储能力成为社会保险经办机构推进信息化建设的重要课题。
目前,随着__社会保险信息系统建设的不断深入以及网络技术的发展,基于因特网的网上应用已开展。如参保单位的网上申报、网上缴费、网上年审以及信息查询等。这好比一把双刃剑,一方面提高了工作效率,受到经办机构和参保单位的欢迎。另一方面也容易造成利用互联网进行信息的篡改、窃取成为可能。如果一旦出现安全风险,将会大范围影响正常业务工作的开展,影响人民群众的切身利益,甚至引发社会不稳定问题。因此,确保信息系统安全,不仅仅是一个简单的技术问题,而是一个重大的政治和社会问题。我们还要清醒地看到,随着互联网技术的发展,为满足人民群众在互联网办理业务的需求,内外网之间要进行数据交互,必然要增加接口,风险点也随之增加。在方便人民群众的同时,也使基金安全和信息安临新的挑战。因此,系统的安全性将直接影响系统的正常运作与其政务办公的有效性、稳定性以及高效性,所以系统的安全体系建设至关重要。
目前社会保险覆盖面逐渐扩大,参保人数、范围向规模化方向发展,社会保险业务量和资料数量也在与日俱增。社会保险工作的信息量正以前所未有的速度急剧膨胀,服务内容越来越广泛,没有数据存储能力的信息系统支撑,必然会影响许多业务的顺利开展。如何更好地理顺各险种之间的关系,更好地服务于社会,确保信息系统更高效、安全地运行,充分发挥信息系统在社会保险方面的巨大作用,是推动社会保障事业进一步发展的当务之急。一是统一管理,建立一个中心。按照“统一建设,应用为先,体制创新”的建设原则,将分散在各乡镇和各经办机构的设备、数据全部集中起来,数据向上集中是县委、政府的要求,在现有数据大集中的基础上,积极创造条件,逐步将城镇基本养老保险数据向县级集中;将原有的“部分集中、部分分散”管理的模式,向统一集中管理的模式迈进。二是扩大中心的数据存储设备的存储能力。通过增加存储设备实现数据存储的稳定性。三是对业务专网上的所有业务数据实行每日数据级备份。通过备份软件自动备份,定期检查数据备份的日志文件是否正确无误。
一是加快数据中心建设。数据集中后数据量将非常庞大,这就需要一个非常强大的数据库来支撑,所以数据中心一定要配备好、最强的硬件设施才能支撑起所有数据的处理能力。二是建立专网,架构三重防护。使用光纤建立与其他网络物理隔离的独立的金保工程专网,形成数据安全及时重防护。三是形成覆盖全部参保人员的“五险合一”的社会保险资源数据库管理系统。彻底解决社会保险各险种数据不集中、标准不统一,管理“粗放”、“简单”的落后管理方式,建立存放集中、标准统一,管理“精细”、“严密”技术先进的社保数据库系统,规范社保业务的数据流和信息流。
总之,社会保险关系到千家万户,关系到__每位参保人员的切身利益。社会保险管理信息系统的建设是建立和完善社会保障体系的技术支撑,一套完整的社会保障体系的建立不是一蹴而就的事情,需要循序渐进。社会保险信息系统的建立和不断完善,需要从上到下全体社保人员齐心协力,共同推进。高效、安全的社保新系统不仅实现了社会保险业务的全程信息化管理,而且将提高社会保险对社会公众的服务水平。可以预见,以公共信息服务和提高社会化管理将成为社保信息化建设的重点。社会保险经办机构将逐步实现以无纸化办公、网上异地办公、网上召开不同地区的可视会议等一系列现代化办公方式,将管理和服务水平迈上一个崭新的台阶。随着日新月异的信息技术手段的广泛深入的应用,社会保险信息系统也将随之不断发展完善,社会保险事业必将会有更广阔的发展前景。
信息安全论文:网络信息安全管理策略论文
摘要:
在网络盛行的今天,其重要作用不言而喻。但网络中也存在着很多的漏洞,这些漏洞的存在严重威胁着信息的安全。文章针对网络信息安全以及保障信息安全的技术进行了详细论述,并提出了合理的建议。
关键词:
网络信息 问题处理 管理策略 安全措施
网络的使用使人们的生活更加快捷方便,也使得人们的视野更加宽广,甚至使事业蒸蒸日上,在网络给人们带来好处的同时,也带来了一定程度上的严重后果。例如:加密数据的损失以及安全系统的崩溃等,因此解决网络安全隐患就显得尤为重要。
1网络信息安全的具体描述
在科技尚不发达的年代,人们并不关注网络,更不了解何为网络信息安全,但随着电脑的普及,网络深入人心,网络信息安全愈发受到重视。但何为网络信息安全,其实并没有很明确的定义,因为不同的领域或国家有不同的规定。同时,随着时代的发展,人们对信息安全的要求也更深一步,再加上现有网络信息不光只是单纯的信息,还混合人和技术,所以现代信息安全更加严谨、慎重。本文所说的信息安全一般是指一个独立国家的社会信息化状态及其信息技术不受到外来的影响与侵害。所以要确定信息是否安全就要充分了解信息所在的这个传递载体及网络,同时也要明白信息安全本身的具体特性。信息安全的特性有:(1)完整性。即信息在存储和传输过程中不存在任何的破坏遗漏等现象。(2)可用性。即所属信息是合法的。(3)保密性、可控性。即授权方可以有效控制信息的去向等。(4)性。即信息真实质量保障受到客户认可。简单来说,信息安全就是在保障信息安全不损坏的基础上传输到指定地点。
2常见的网络信息安全问题
网络信息安全问题主要分为2类:一种针对信息本身的安全,另一种针对传输载体网络的安全。任何一种都会造成网络信息安全问题。综合来看,主要分为人为影响和软件或是系统本身存在的不足。人为影响有无意识行为,如操作出问题或者不会使用随意与人共享密码等;恶意攻击行为,主要代表是电脑黑客的存在,如利用编写的病毒程序刻意攻击用户电脑,或是在客户正常使用时,对信息进行拦截等。现有情况下,对网络信息安全传输的影响方式主要有信息的拦截破译、信息的伪造、信息的中断和信息的篡改。主要信息出现一丁点的纰漏都不能保障其完整性,所以都会造成信息安全问题。
3现有维护网络安全的技术
3.1“防火墙”安全保障技术
防火墙是一个针对多个网络中访问权限控制的网络设备,主要为了保护本地网络安全不受外来网络攻击。简单地说,防火墙就像二极管,对己方网络起到趋利避害的作用,而对外来网络则详细检查,在确保信息安全的情况下才会允许进入,若不安全则会阻止进入。相对地,防火墙也存在特有属性:首先是针对数据的双向筛选,即不仅是从外部网络进来的数据要审查,内部网络流出的数据也同样要接受审查。其次,符合规定的信息数据才能通过。再有,具有防侵入作用,即在未知来源的软件或是数据进入时会自动阻止,防止攻击原有网络信息。这样就能在一定程度上保障网络信息安全。当然,防火墙技术的使用也存在一定的问题,主要是在使用防火墙时会对网速等造成影响,所以在使用防火墙技术前应考虑清楚是否要安装。
3.2针对数据的加密技术
数据尤其是一些机密的数据非常重要,所以要重视数据的安全,而加密技术的产生就是为了保障数据不被窃取或者销毁。数据加密就像是为数据在原有基础上重新加上一把锁。只有使用者才拥有打开保护数据的锁的钥匙,而其他非法者都没办法解读其中的数据。一般数据加密有2种:即线路加密和端对端加密。2种方法的区别就在于一种是针对传输线路进行加密,而另一种则是在端的两头加密。具体分为对称加密和非对称加密。对称加密就是加密解密密钥,这种加密方式在一定程度上简化了操作过程,但其安全性就有一定程度的下降。非对称加密就是一对密钥一个负责加密另一个负责解密,2个密钥不一样,这样提高了数据安全性,因为要想破译加密数据就要同时解读2个密钥,相对地,难度就会增加很多。其中非对称加密的典型代表就是数字签名,通过“签名”对数据进行加密,在通过给定密钥解读签名来达到解锁数据。其中最主要的是密钥,因此对于密钥的管理就很重要。无论是从其产生作用到销毁都要严格管理。对于对称型密钥来说,只要买卖双方达成共识,互相保障交易过程的安全保密性,就能使对称加密过程更加简单,同时还使原有的难以区分的问题得到解决。
3.3控制访问权限的技术
顾名思义就是对所有的要求访问的用户按照自己的意愿进行对应的权限控制,对于那些带有恶意的用户杜绝访问,减少了本地网络信息的泄漏,更好地保护了信息的完整性。该技术是保护信息安全的重要手段,也是网络中比较基础的保护方式。但是,也存在一定的不足之处,如没有阻止被授权组织的能力。现今主要常见的控制访问权限的技术有:自主访问控制、强制访问控制及基于角色的访问控制。所谓自主访问控制即现有信息所属者拥有想让谁能访问的设置权限,即可以根据自己的情况按照自己的意愿来设置。这样就能在一定程度上过滤出一些不安全因素。再有,为保护个人信息等还可以自行设定额外的保护锁,就像腾讯QQ中空间相册可以有选择的另行设定密码是一个道理。而强制访问控制就是不受用户控制的,直接听命于生产方的那些。通俗来说就像你买一台电脑,电脑本身有很多系统是买来就带有的,且自己无法更改或删除的,这些系统就称为强制访问权限。基于角色的访问控制就是根据各部分数据或信息的不同,将之指定为不同的角色,在使用时直接根据角色的不同选择对应的访问权限,从而达到控制权限的效果。区别于常见类型的主要是中间角色的加入。认识到了所谓的访问控制,不得不看看访问控制机制又是怎样工作的。常见的技术支持有入网访问控制,就是对于登录使用时的权限控制;权限控制,即设定所拥有数据信息哪些能被访问,哪些不能被访问的技术;目录级安全控制,即在一定的级别区间内只能对此区间的数据等起到效果,没办法越级控制;属性安全控制,服务器安全控制,一般可锁定服务台或是锁定登录时间,只能在规定时间登录。这样就能有效保护数据安全不被破坏。
3.4虚拟网专业技术
就目前来看,针对网络信息安全问题最有效的就是虚拟专用网技术的研发,所谓虚拟专用网技术简单来说就是在公共网络中建立一个专用的信息通道,使得所需传递的信息能够安全的传递。
3.5针对是否有入侵现象的检测系统
就是随时随地对网络信息进行保护防范作用,及时检测是否有不安全因素的闯入,保障信息的安全。其操作流程是:首先对安全行为进行分析了解,然后查看系统各部分是否有漏洞,再扫描到已有攻击时应作出提醒,并将其记录在案,看所传输数据是否安全完整等。当然,还有很多维护网络安全的技术如身份认证技术、安全隔离技术等,正因为这些技术的存在才能使现在网络信息的安全。
4频发网络安全事故及其应对策略
由于网络系统的开发过程中总是伴有漏洞的产生,而漏洞不能及时安装补丁加以修复,往往会遭受网络攻击,但是网络攻击又有很多种攻击方法,有拒绝服务的攻击,就是攻击者使计算机不能正常提供服务,此类攻击一般伴有特定现象如被攻击对象中有很多TCP连接在运行,或是网速被拖慢导致无法有效与外界沟通交流等。还有利用型的攻击,对于此类攻击一般采用设置晦涩的口令或是下载安装特洛伊木马等方式来预防。再有就是收集信息类的攻击,其主要包括信息扫描技术即专门针对网络地址,连接端口的扫描并根据反响映射来找出自己所需要的信息的技术总和;对于体系结构的试探检测,是利用不同的信息服务。还有就是利用虚假信息来进行有效攻击的手段,像虚假的邮件、系统软件等。在网络安全事件多发的时候,为保障信息安全性就一定要进行有效的防治。首先要随时预防病毒的进入,对于重要数据信息要及时进行备份与恢复,要认识到网络安全的重要性。在对木马病毒的防治上,应首先认识到病毒侵入的常见表现,有运行速度变慢,莫名的死机或是有异常的电脑显示等。其次就是要安装杀毒软件。再有就是要把各个磁盘里的无用东西进行彻底的清除,则是把各系统硬盘中的垃圾等无用的东西清理掉,保障电脑的通畅运行,这样才能减少病毒藏匿于各垃圾软件中的概率,只有将这些无用软件都清理掉才能有效防止病毒的入侵,保障网络信息的安全。
5加强网络安全建设
随着科技的进步,使用网络的人也越来越多,通过网络进行交易的人也越来越多,此时的网络不单只是娱乐休闲的代名词,网络中所传输的信息更加重要,上至国家要事,下至百姓生活都与网络有着千丝万缕的关系。因此网络安全就成为关注的重点。只有网络安全,网络中所传输的重要信息才能获得好的保障,才能使社会和谐,国泰民安。基于此,应针对现在网络中存在的潜在威胁及常见漏洞提出相对应的解决方式,借此加强网络安全建设。首先,应从国家层面重视网络安全,制定有效的政策制度来规范网络运行及保障网络环境。但网络问题又是千奇百怪的,所以需要政府采用适当的方式方法来解决问题,并提高网络防御力。只有网络环境安全健康了,信息安全才能得到有效的保障。其次,应针对网络的使用者,即深刻认识网络安全的重要性。在购买电脑设备时就应该保障其质量,不要贪图便宜吃大亏,还有就是在买入设备后一定要及时下载安装防毒杀毒软件,预防病毒的入侵,保障网络环境的干净。再有就是要及时清理电脑各硬盘磁盘中不使用的软件安装包等,保障电脑的运行,也减少病毒的藏匿。,网络系统的开发者应认真编写系统程序,减少系统漏洞的产生,这样就能加强网络安全建设。
6结语
综上所述,现在有很多针对网络信息安全的科技,减少了网络问题,而且更多的新科技也在研发中。也就是说,网络安全问题的加强指日可待,但就目前来说,只要从各个方面提高保护意识,就能从一定程度上提高网络安全性。只有保障网络安全,人们才能更加放心地使用网络创造更多的财富与文明,使这个社会更加稳定和谐,使国家繁荣昌盛。
作者:李蟾膺 单位:民航西南空管局
信息安全论文:信息安全专业操作系统课程教学论文
一、引言
信息是社会发展的重要战略资源。随着信息技术的发展,国际上围绕信息获取、使用和控制的争斗愈演愈烈,信息安全已成为维护国家安全和社会稳定的重要因素之一,并且国内外都给予了极大的关注和投入。因此,如何加强信息安全学科建设,促进信息安全专业课程改革,为国家和社会培养出符合社会需要的复合型、应用型信息安全专业人才是当务之急。操作系统课程是计算机科学与技术、信息与通信工程的核心课程之一,信息安全专业设置后,操作系统课程也是信息安全专业的核心主干课程之一,其重要性是毋庸置疑的。为了适应信息安全专业的需要,高校应对操作系统课程进行改革,结合信息安全专业的培养目标,将信息安全专业知识渗透到操作系统的教学内容中,做到课程间的有机结合,使学生能够将信息安全理论融入到操作系统设计中,为后续的课程打好专业基础。本文将从理论教学和实践教学两个方面,讨论信息安全专业操作系统课程的教学改革。
二、理论教学改革
操作系统是计算机中最重要的软件,它能够对计算机的硬件和软件进行有效的统一管理,便于用户使用计算机。操作系统课程是计算机类专业一门重要的基础课程,其教学内容主要包括进程管理、处理机调度与死锁、存储器管理、设备管理和文件系统五大部分。系统安全问题是信息安全的一个重要研究方向,但是在传统的操作系统课程中并没有涉及到信息安全的相关知识,信息安全专业学生在学习完操作系统课程后,无法将其所学的知识与现有的系统安全问题相结合。因此,针对信息安全专业的特点,理论教学改革应先从教学内容入手,将信息安全中的系统安全技术与操作系统课程的现有内容整合,通过讲授操作系统各个部分的实现原理,让学生深入了解对应系统安全产生的原因和解决方法。如在讲授内存管理时,传统操作系统课程的教学内容需要学生掌握操作系统是如何对内存进行分配、回收和调度。在信息安全专业的操作系统课程中,可以将缓冲区溢出的原理加入其中,使学生真正了解缓冲区溢出攻击的实现方法和预防手段。通过上述将操作系统教学内容和信息安全知识有机的结合起来、相互渗透,学生对操作系统原理和系统安全知识的理解会更加透彻,同时为后续的计算机病毒与原理、网络攻击与防御、逆向工程等信息安全专业课程打下了坚实的基础。
三、实践教学改革
实践教学内容是信息安全专业课程的一个重要环节。为了培养符合社会需求的工程性应用人才,在信息安全专业课程的教学过程中,强调理论和实际相结合的教学方法,在保障理论教学的基础上,强调实践教学,提高学生的工程实践能力。本节将从实验教学、课程设计和实践活动三个方面来讨论如何对操作系统课程的实践教学内容进行改革。
1.实验教学。
为操作系统课程开设合适的实验项目是非常困难的,主要问题在于很难找到合适的实验环境,大多数的操作系统相对于学生来说,太大、太复杂,学生很难在短时间内将操作系统的设计结构和实现代码弄清楚。尽管可以让学生分块的实现操作系统的各个功能,如CPU调度、内存管理等,但是在复杂操作系统中,改变其中的一个功能模块,其工作量也是非常巨大的。因此,在选择操作系统作为课程环境时,需要考虑以下问题:(1)所选操作系统的体系结构和实现方法要尽量简单,便于学生快速掌握系统的实现框架,理解各部分的实现思路和方法。(2)所选的操作系统源代码完整且公开。学生可以通过在学习现有操作系统源码的基础上,深入理解操作系统的设计原理。(3)所选操作系统有相应的说明文档,便于学生学习,培养学生的程序设计思维。(4)所选操作系统允许程序员修改,可以重新编译、运行。允许学生对操作系统代码进行修改,是对学生实践能力培养的重要手段。学生根据课上所学的理论知识,可以自行修改操作系统功能,并且便于教师添加信息安全的相关实验。根据以上几点,Minix系统是较适合作为操作系统课程实验环境的系统,而且Minix系统中已经包含了一些安全机制,如特权管理和访问控制。在操作系统课程的实验教学环节中,首先要求学生根据所学理论知识读懂对应的Minix系统源代码,然后要求学生分模块的实现对应功能。操作系统原理课程与教学内容同步的实验学时为20学时,除了传统操作系统实验内容:进程管理(4学时)、进程通信(2学时)、内存管理(4学时)、文件系统(2学时)之外,实验内容中还添加了信息安全相关实验缓冲区溢出(2学时)、访问控制(2学时)、加密文件系统(2学时)、资源竞争(2学时)。实验内容包括验证性和设计型两类实验,培养了学生的实际动手能力。
2.课程设计。
除了与操作系统课程同步的实验教学之外,还可以开设课程设计,让学生能够利用所学操作系统知识,开发、实现相关工具,培养学生的综合设计、开发能力。操作系统课程的实验教学内容是让学生分模块的设计、实现操作系统功能,此类实验对学生理解操作系统的整体架构和工作原理帮助不大,学生无法将各个小的功能模块联系成为一个完整的管理软件,即操作系统。而课程设计的目的是将操作系统课程和其他信息安全相关课程的教学内容相整合,最终实现能够满足实际需求的工程项目。课程设计相对实验教学来说内容较丰富,需要学生组队、合作完成对应的课程设计项目。针对信息安全专业的特点,可以考虑添加与信息安全相关的实验项目,如PE(PortableExecutable)文件分析、Windows病毒开发、系统安全工具开发等。通过上述实验项目,让学生在了解操作系统原理的基础上,开发实用的信息安全软件和工具。通过开设课程设计,既能锻炼学生的实际动手能力,又能培养学生的团队协作能力。
3.实践活动。
除了课堂教学之外,鼓励学生参加各项实践活动也是非常有必要的。组织学生成立大学生创新团队,指导学生申报大学生创新性实验项目,参加校内外举办的信息安全竞赛都是提高学生实践能力的途径。本校每年都组织本专业内、校内、省内及全国信息安全竞赛,同时积极鼓励学生参加校外信息安全竞赛。在此类竞赛中一个重要的考核部分是关于系统安全,即对操作系统漏洞地挖掘和利用,通过以学科竞赛为平台,将操作系统教学引向纵深方向,实现了理论与实践的有机结合,优化了学生的知识结构,促进了学生与其他高校学生和教师的交流,以比赛来使学生得到进步。此外,学院还邀请其他高校、公司有经验的教师、的校友和技术人员来校讲座,增加学生对外沟通和交流的机会,让学生能够接触到新的、实用的业界动态,为今后工作做准备。从实践活动效果来看,学生的实际开发能力提升很快,能够将理论知识更好地融合到实际开发中。此外,实践活动还可以促进学生创新团队建设,通过高年级带动低年级学生,使新生能更早、更快地融入到专业学习中。本校通过几年的尝试,取得了初步成绩,学生在各项信息安全赛事中取得了优异的成绩,培养出来的学生也受到了用人单位的认可。
四、结论
信息安全学科是一个交叉学科,它需要以计算机、电子、数学等学科的基础知识作为支撑。如何在其他学科的课程基础上,针对信息安全专业特点,独立建设和发展信息安全专业相关课程是需要不断探索的课题。本文从信息安全专业核心课程操作系统出发,针对该课程的理论教学和实践教学两方面进行探讨,提出了对该课程改革的思路。此项改革,在实际教学过程中取得了良好的教学效果,培养了学生的专业兴趣,学生不但获得了扎实的理论基础,而且掌握了较强的专业技能,同时也提高了学生以操作系统知识为基础,应用信息安全相关知识解决实际问题的能力。
作者:闫丽丽 昌燕 张仕斌 单位:成都信息工程大学信息安全工程学院
信息安全论文:中学生信息安全教育探究论文
一、中学生学习信息安全的必要性
1.中学生在信息活动中的重要角色。
在最近公布的网络调查报告中,我国网民已达到6.49亿,其中有38.8%的新增网民仍处在受教育的阶段。根据年龄来看,处在10~19岁的网民在总数中已经达到24.1%,网民呈现出低龄化的趋势,中学生已经越来越多地使用网络,并参与到网络信息的各种活动之中。由于中学生年龄较小,辨别能力和对问题的应急处理能力也比较弱,很容易被网络世界丰富的信息所吸引,在信息活动中被不法分子所利用。另外,中学生对社会的认知不够,很容易轻信网络上的有害信息并不自觉地传播它们。这不仅对青少年自身的发展造成了严重的影响,同时也会对社会造成危害,增加社会不安定因素。
2.中学生信息安全意识缺失。
当前,许多中学生没有信息安全意识。首先,学校相关教育缺失导致他们没有了解信息安全知识的机会。其次,信息安全教育整体处于初级发展阶段,不规范、不成熟、许多已开展的活动也都是形式主义,不能真正帮助中学生应对网络环境中会出现的种种问题。,学生家庭也没有认识到信息不安全的严重后果,家长对学生的网络行为缺乏必要的管理和约束,从而导致中学生在不知情的情况下信息安全受到侵害,或是对他人的信息安全造成侵犯。
二、提升中学生信息安全教育的方法
1.提升中学生的安全意识。
首先学校可以开展相关校本课程,或邀请专家来校讲座,让学生了解信息安全的相关法律、法规。其次,应让学生明辨在何时信息安全会受到侵犯,并学着如何规避有可能带来的风险。教师向学生展示具体的案例,帮助学生更好地理解信息活动中隐藏的威胁和可能导致的严重后果,从而提升他们的安全意识。
2.使用多种教学方式。
首先,学生在课堂上的精力集中,要充分发挥课堂教学的优势。如编写安全手册、制作微视频、或是在正常教学时使用相关素材等,让学生有充分机会了解信息安全的相关内容。其次,中学生兴趣比较广泛,可以在第二课堂中渗透信息安全教育。如组建相关学生课题研究小组,让学生开展研究活动或社区调查,使学生在实践中提升安全意识、增强防范能力。,还可以开展相关知识竞赛、电脑作品竞赛、技能大赛等,让学生更加积极地参与到信息安全活动中来。
3.要充分借助安全机构的力量。
我们现阶段对学生的信息安全教育滞后于飞速发展的信息技术,并不是未雨绸缪。然而亡羊补牢,犹未晚矣。教师不仅要重视信息安全教育的基础问题,也要充分借助安全机构的力量,对于渗透、钓鱼和当前各种网络环境下的热点问题要有清醒的认识并及时把相关信息传播给学生。只有这样,才能做到防患于未然。
4.要提高学生的信息安全素养。
西塞罗说,“习惯的力量是巨大的”。教师要从培养学生习惯入手,提高他们的信息安全素养。如:要在及时安装杀毒软件、防火墙、安全组件并定时更新、升级;不要将自己与他人的隐私随便泄露;重要账户要使用复杂的密码保护并经常更换;不要盲信各种免费服务、中奖广告;不要打开陌生邮件、短信或网络;尝试无痕使用网络服务;对重要的数据文件进行定期备份等。只有这样,才能较大限度地避免信息安全风险。
5.师范院校应该重视信息安全教学人才的培养。
从时间上推断,现阶段的在校教师在大学时代很少有接触到信息安全教育的相关知识,学校缺乏相关专业教师,兼任教师难以胜任相关教育教学工作,信息安全教学效果很低。而信息安全这门学科需要教师具有较强的专业素养和实践操作能力,已有部分院校开始逐渐重视信息安全教育,也开设了信息安全的相关课程和专业。我们呼吁,师范院校应该重视信息安全教育专业的建设,为培养相关专业型人才而努力。
三、结语
作为网络时代的必然产物,信息安全威胁已经越来越多地渗透在人们的生活中。许多案例都是由于个人信息泄露被不法分子利用而导致的。因此,积极开展信息安全教育很有必要。对于中学生来讲,只有明确各种法规、从思想上重视并养成良好的信息习惯,才能在网络活动中较大限度地保护自身和他人的信息不受侵犯。我们每个人都应当充分认识到信息安全教育的重要性并积极参与相关活动,才能更安全地享受泛网络时代下的各项网络服务。
作者:陈雪林 单位:徐州市第三十七中学
信息安全论文:档案开放信息安全管理论文
一、档案开放
(一)档案开放的必要性。
进入现代社会,互联网科技十分发达,人们了解获得信息的渠道,方式多种多样。无论国家政府的档案,还是企业公司的档案,都可以通过合法或者非法的方式进入互联网,为公众所知。对于各种档案,进行严密的保管是很难做到的,在当下我们这个信息开放的社会,将档案开放,方便社会群众进行了解,使用,对于维护社会稳定,提升档案的利用价值,提品质案的真实度都有重要的意义。当然,笔者本文所言的具有开放必要性的档案是具有公共利益性质的档案,是能够为人民提供一定服务的档案。对于国家档案,很多在一定时期属于国家机密,是无法对外开放的,但是这并不代表这种档案没有开放的必要性,开放的必要性依旧存在,国家的人民有权利了解国家的相关事务,随着时期的过渡,这些档案会慢慢解密为社会公众所了解;对于企业档案,开放的必要性是针对企业工作的工作人员。企业的领导层以及员工阶层能够方便调取个人以及企业的相关档案对于提高企业工作效率,团结企业有着重要的意义。
(二)档案开放的风险性。
当然,档案的开放具有很大的危险性,存在很大的安全风险。对于国家政府相关的档案,即使在开放之前,考虑再三,十分谨慎,度过了某一敏感的时期,但是,一些档案公之于众之后还是会引起一些波澜。甚至,政府类的档案还容易被心怀叵测的社会主义敌对分子利用,借之进行歪解胡说,蛊惑一批无知又容易冲动的民众,对我们的社会稳定产生很多不利的因素。此外,对于企业或者机关单位的很多档案,为了方便业内人士提取,使用,进行开放后,往往容易造成个人隐私泄密,单位机密泄密,为不法分子提供可乘之机。总之,开放档案,既有方便,积极的一面,同时也面临着很大的风险,存在很大的安全隐患问题。即使开放档案存在这样或者那样,可预知以及不可预知的风险,笔者还是认为,我们不能因噎废食,还是应该将应该开放的档案,大胆进行开放。
(三)档案开放的程序。
所谓的档案开放程序,就是指档案开放所需要进行的必要操作,所必须经历的方法,步骤。只有确立严格的档案开放程序,并且严格按照程序办事,开放符合要求的相关档案,才能降低开放档案带来的风险,同时满足档案开放的必要性,发挥开放性档案的积极作用。不同性质的档案,开放程序不同,有严密繁琐的程序步骤,也有简单章程性的程序,这主要根据档案的重要性来决定。确立明确,严明的档案开放程序,对于档案的有序、科学使用,档案信息的保密都有着重要的意义。
二、信息安全管理的方法策略
(一)管理工作人员的培养。
做好信息安全管理的工作我们首先需要一批具备安全管理信息才能的人才。互联网时代的飞速发展,为我们的社会培养了很多具有互联网知识,IT行业技术的高端人才。我们只要对这些人才进行短期的信息安全管理的培训工作,就能够使这些人才胜任信息安全管理的工作。做好信息安全管理工作的首要一步是引进综合素质过硬的人才,并对这些人才进行必要的职前培训,只有这样,企业单位的信息部门才能做到信息的科学,安全管理。既为企业单位提供开放信息带来的便利,同时还要保障信息的安全。
(二)严格管理制度的确立。
确立严格,完善的安全管理信息的相关规章制度,并严格遵守,一切按照规章制度办事,任何人在一般情况下都不能破坏规章制度,调取信息。企业和单位为了做好信息安全管理的工作,就要自上而下严格遵守企业制定的信息安全管理的规章制度。现代企业和事业单位的管理,都要以严格的,先进科学的管理制度进行管理,在信息管理部门同样是如此,好的制度为信息安全管理提供有效的保障。
(三)安全的设备。
档案的管理人员在对档案进行收集与整理的过程中就应该对文件做一个明确的分类,并进行的编号。同时要队文件的资料做一个科学合理的分类与陈列,或者是可以依照不同的部门而对其进行分类。提高报关信息设备的安全性。企业和事业单位的信息部一定要完善处理,保管信息的设备,提高信息管理工作需要的硬件以及软件设备的水平。高水平的硬件,软件设备不仅能够提高信息利用的效率,同时还能够提高对信息的保护层级,防治外来黑客对信息进行窃取。
(四)监督审查措施的常态开展。
为了保障信息的安全,要确立严格的监督制度,对单位的信息进行严格的监督,并且做到自下至上的,分工明确,责任明确。成立专门的信息监督小组,通过互联网以及其他相关的技术设备对信息进行监督,管理。对单位的信息要做到定期系统管理,每隔一段时间,对单位所有的信息进行分门别类,系统的管理,淘汰无用的信息,保障信息的时效性。同时,要确立严格的审查,追责制度。首先,定期对信息进行审查,保障信息管理工作的安全,其次,对于信息被滥用,泄露等恶劣事件,要做到严格追责,严厉惩罚。
三、结束语
有些档案具有开放的必要性,在当今互联网时代,将部分档案开放,有利于提品质案的使用价值,提升人民群众的法治观念,维护社会以及互联网环境的文明,合法。同时,将档案信息开放面临着很多的风险,但是我们不能因噎废食,该开放的档案信息还是要积极地进行开放,只是我们必须要完善我们的信息安全管理制度,并且培养大批从事信息安全管理工作的人才。只有做到严明制度,谨慎管理,我们才能够一面发挥档案信息开放的积极作用,同时还能保障档案信息的安全,防止档案信息被非法滥用。
作者:刘晓峰 单位:洮南市中小企业服务中心
信息安全论文:工程哲学信息安全论文
1以“三元论”的视角审视信息安全管理体系
1.1科学、技术和工程“三元论”
Mitcham提出工程哲学(EngineeringPhilosophy)词汇,并阐述哲学对工程的重要性,但是他认为工程处于技术之下,是技术的一部分,而李伯聪教授则认为科学、技术和工程是彼此独立的个体,彼此既有联系又有区别,科学、技术和工程“三元论”是工程哲学得以成立的基础。科学活动是以探索发现为核心的活动,技术活动是以发明革新为核心的活动,工程活动是以集成建构为核心的活动。人们既不应把科学与技术混为一谈,也不应把技术与工程混为一谈。工程并不是单纯的科学应用或技术应用,也不是相关技术的简单堆砌和剪贴拼凑,而是科学要素、技术要素、经济要素、管理要素、社会要素、文化要素、制度要素以及环境要素等多要素的集成、选择和优化。“三元论”明确承认科学、技术与工程存在密切的联系,而且突出强调它们之间的转化关系,强调“工程化”环节对于转化为直接生产力的关键作用、价值和意义,强调应努力实现工程科学、工程技术和工程实践的有机互动与统一。
1.2信息安全管理体系的工程本质及特点
信息安全管理体系是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准为ISO/IEC27000标准族。在ISO/IEC27000标准族中,不但给出了“建立、实施、运行、监视、评审、保持和改进信息安全的”“基于业务风险(的)方法”,而且还给出了信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等。例如,仅GB/T22081-2008/ISO/IEC27002:2005信息安全管理实用规则,就包括了11个控制域,39个控制目标,133项控制措施。信息安全管理体系可在不同的学科中找到其渊源,在实施框架上,信息安全管理体系应用了质量管理中的Plan-Do-Check-Act的戴明环,在具体的控制措施上,则包括了密码学、人员安全以及各类信息安全技术,其研究的特点是将科学思维、工程思维和社会思维相结合,但更强调工程思维的“设计”理论。工程研究活动不同于科学研究活动的基本特征就是“设计”。工程设计活动包括对象设计和过程设计。例如,建造水坝的坝体设计是对象设计,如何实施就是过程设计,在信息安全中,设计组织自己的信息安全管理体系是对象设计,设计如何部署是过程设计。
2信息安全管理体系的演化过程与规律
2.1信息安全管理体系的起源和发展
信息安全管理体系是建立在体系(System)化基础上的“实践集”,到国际标准的正式公布,大致经历了3个阶段。及时阶段为过度关注技术,忽略人的作用的“技术浪潮”阶段,在这个阶段涌现出了大量的信息安全技术产品,例如,防火墙、防病毒和入侵检测系统(IDS)等。第二阶段为强调人的作用的“管理浪潮”阶段,在这个阶段大部分企业开始设置专职的信息安全管理岗位,以加强对个人行为的控制。第三阶段即“体系阶段”,在体系阶段信息安全以目标为导向,不再局限于手段的应用,而是技术、制度和人员管理等各个方面的有机结合。这个阶段是信息安全的工程化阶段,体现了工程的实践性、经验性、继承性、创造性和系统性等特点。
2.2信息安全管理体系的动力和机制分析
信息安全管理体系的产生和发展过程是一个“需求驱动”的过程。AlvinToffler在其经典著作《第三次浪潮》中,将人类发展史划分为及时次浪潮的“农业文明”,第二次浪潮的“工业文明”以及第三次浪潮的“信息社会”。在信息社会时代,“信息”成为重要的生产资料,价值非凡,因此面临诸多风险,为保护信息,安全需求的出现是必然的。科学与技术的进步是信息安全管理体系的推动力。新密码算法的产生,各类以“信息技术解决信息安全”的思路涌现,为信息安全管理体系的产生奠定了基础。信息安全产生的本质原因是信息技术的发展和应用,反过来,解决信息安全问题又依赖于信息技术的发展。例如,速度更快,与防火墙形成联动的入侵检测系统。国家政策是信息安全管理体系应用的导向力。任何工程活动都是在社会大系统中开展的,都要接受国家(政府)的引导和调控。对工程创新的应用,企业的认识往往是滞后的,因此,国家出台了一系列引导性政策。例如:商务部印发的商资发[2006]556号及商资函[2006]110号,以及各地方政府的鼓励引导政策。
2.3信息安全管理体系的工程演化特点、方式和规律
对比国外,信息安全管理体系在国内发展体现出了明显的跳跃性,这种跳跃性不但体现在信息工程领域,也表现在其他诸多领域。国内一般不会沿袭其循序渐进的路线,而是直接引用国外的先进经验或者在国外已有的原型上进行模仿开发。在科学、技术和工程3个领域内,与文化、制度、历史等环境因素联系最紧密的就是工程。在信息安全领域内,作为基础科学的密码学,其算法“放之四海而皆准”,不会因东西方文化的不同而显现不同的特征,绝大部分技术亦如此。但在工程层次,不同的文化制度有时会产生大相径庭的结果,例如,腾讯QQ本来是模仿国际聊天软件ICQ,但是经过十几年的发展后,ICQ,MSN等点对点国外聊天软件均濒临破产,但QQ在线用户却在2010年突破1亿。信息安全管理体系虽然修改自国际标准,但也显现出鲜明的文化特征。例如更强调保密性,和国外用户相比,更多的认证取向等。
3信息安全管理体系的工程思维与工程方法论
3.1信息安全管理体系的工程思维
科学思维是“反映性思维”“发现性思维”,体现理论理性的认识,工程思维是“构建性思维”“设计性思维”和“实践性思维”,体现实践理性的认识。科学家通过科学思维发现外部世界中已经存在的事物和自然规律,工程师在工程活动中创造出自然界中从来没有的工程构建物,工程设计是以价值当事人的特定需要为出发点,以构建某种与主体需要相符合的实体为归宿的筹划。信息安全管理体系标准族的GB/T22080-2008/ISO/IEC27001:2005原文中特别强调:“采用ISMS应当是一个组织的一项战略性决策。一个组织ISMS的设计和实施受其需求和目标、安全要求、所采用的过程以及组织的规模和结构的影响,且上述因素及其支持系统会不断发生变化。按照组织的需求实施ISMS是本标准所期望的,例如,简单的情况可采用简单的ISMS解决方案。”信息安全管理体系的部署过程也专门设有信息安全风险评估,目的就是找到企业实际存在的问题,然后“对症下药”。
3.2信息安全管理体系的工程方法论
信息安全管理体系应用了PDCA戴明环,与A.D.Hall的系统工程方法略有差别,但在本质上是遵循这个基本框架的。
4结语
信息安全管理体系既包括数论、密码学和近世代数等科学元素,也包括软件开发技术、单片机技术和网络技术等技术元素,在工程哲学的视野下,是建立在一系列科学与技术基础上的集成创新。在工程创新成为创新活动主战场的今天,对其进行哲学分析,显得尤为重要。这其中包括以下几点。首先,要辩证地对待便利性与安全性的问题。正确利用信息系统,不仅是技术问题,也是哲学命题。坚持用“两点论”的观点看待便利性和安全性,在信息化发展的不同阶段,正确分析主要矛盾和次要矛盾。在信息化发展初期,信息系统尚未大规模使用,主要矛盾是便利性,提高效率,但到现在,信息安全事件层出不穷,美国甚至成立了网络战争司令部,信息战成为攻击手段之一,安全性就成了主要矛盾,“两点论”是有重点的两点论,要在看到主次矛盾和矛盾的主次方面的同时,分清主次,抓住主要矛盾和矛盾的主要方面。其次,从信息安全管理体系演化规律中发现集成创新的一般规律。科学、技术转化为现实生产力的功能一般都要通过工程这一环节,因此,在我国建设创新型国家战略的实施过程中,工程创新是一个关键性的环节。只有从大量的工程中发现工程创新的一般规律,从工程哲学的角度加以分析、归纳和引导,才能创新信息安全管理体系建设,发挥我国信息化发展的后发优势。
作者:刘鹏照 官海滨 谢宗晓 单位:青岛职业技术学院南开大学商学院
信息安全论文:大数据时代信息安全论文
一、“大数据”时代概述
1.定义
大数据作为新的经济资产类别,与土地、石油、黄金、货币等并列成为经济运行的根本资源,关于其概念定义不是最近出现的,只是在信息化时代的驱动下,重新进入人们的视野,甚至被称为第三次浪潮的华彩乐章。而关于“大数据”的定义,顾名思义就是指数量很大的数据,包含了数量大、结构复杂、类型众多的多种数据,因此又被成为海量资料,是一个大型的数据集合。美国早在2012年就正式启动了大数据研究与开发计划,投资2亿美元提升收集、分析、萃取数据信息的能力。由此可见,大数据时代的到来,使得数据成为各个国家以及各大企业竞争的核心,更可能取代人才成为具价值的重要载体,利于进一步优化运营企业发展。
2.特点
根据大数据的定义可以明显看出其具有数据量大、形式多样、运算高效、产生价值等4个特点,业界更多使用4V来概括,即Volume、Variety、Velocity、Value。其中数据量大是大数据的显著特点,也是计算机网络存储技术发展必然结果,在计算机相当普及的今天,计算机网络渗透人们的生活、工作、休闲,不但的产生新的数据,此外传感器、探测器等也在产生数据,致使开始使用PB、EB甚至ZB等计数单位。同时,大数据又是多种多样不同类型的数据构成,如:字符、日期、声音、视频、数值、动画等,加速数据量增长的同时,提升了大数据的利用价值。由于大数据数量的巨大以及形式的多种多样,因此在进行数据处理时,更多的要求实时与高效,便于及时根据数据结果决策。当然,大数据的大量使用及推广,不仅仅是因为其具有大量的数据,更重要的是通过对数据的深度采集、分析、处理、挖掘,可以对大数据的数量、多样性、速度进行分析,萃取更多深入的职能的有价值的真正有用信息,最终产生价值。而对大数据进行信息萃取的过程包括数据输入、数据处理与数据输出三阶段。
二、“大数据”时代背景下信息安全存在的主要问题
大数据时代的到来,对全球经济发展来说既是机遇又是挑战,在推进国家与企业发展的基础上,也潜藏着信息安全风险。
1.缺乏对大数据时代的正确认识
计算机信息网络的大规模普及推广,是促使大数据时代到来的主要推力,无论是人们在生活工作中的邮件传递,还是网购、下载视频音乐等都会产生新的数据,也存在着个人信息泄露的可能性。进入大数据时代后,信息泄露事件层出不穷,甚至导致个人数据的权利边界都更加模糊,在这样的环境下,人们对大数据时代的认识还不够。通过对大数据时代人们最关注的调查分析,发现74.91%选择了个人隐私被侵犯,9.97%选择了经济损失,8.93%选择了浪费时间与精力,5.84%选择了危害个人声誉,0.34%选择了没有损失。根据这一调查可见,人们对于个人隐私被侵犯的选择率较高,最为关注,相对其他的还认识不足。大数据时代的到来,对各方面的信息安全都造成了一定的威胁。
2.集中的大数据库存在安全威胁
全球互联网用户高达3亿,移动上网终端有20亿,联网设备更是多达500亿个,每天产生的数据信息近1EB。如:每天使用谷歌搜索次数近100亿次,淘宝网产生3000万笔交易,2500万张照片共享,加上电话、短信等消息软件产生的数据,更是不可估计。根据相关数据统计,2012年我国在各类媒体上花费的时间较多,其中互联网、手机等占绝大部分。大数据时代信息多集中在几大互联网巨头手中,而互联网的开放性特点又决定了其数据存在一定的泄露风险。目前大数据集群应用数据库并没有采用“围墙花园”模式,并没有对内部数据库进行隐藏,避免其他程序随意访问,因此大数据的架构极其容易暴露。这样集中的大数据库,使得客户端在进行程序操作间,可以同不同节点进行通信,避免验证客户是否具有访问权,加大了信息泄露的可能。
3.大数据技术自身存在风险
当前,大数据技术还不太成熟,自身平台较为脆弱,大数据存储处理技术多采用分布式与大规模结合处理,增大了被攻击的范围。同时,在进行数据分布式处理时,节点处的存储数据多为碎片,难以进行集中统一的安全机制部署。当然在大数据技术中,普遍缺乏一定的内生性安全保障机制设计,多通过外部保障技术来确保信息的安全性,这样的大数据技术在实际应用过程中多缺省配置,失去了对信息的基本安全防护。
4.加大了黑客攻击的可能性
大数据自身的4V特点,增大了黑客攻击的吸引力,刺激黑客实施非法攻击。黑客多是有组织有目的的对确定的数据进行攻击,在大数据海量数据信息存储的环境下,黑客更容易通过攻击,获取更多有价值的信息内容,给受攻击方带来名誉、财产等不可预估的损失。如:Android系统使用用户越来越多,产生的数据信息也是海量的,成为黑客攻击的重要对象,当移动设备感染木马被黑客攻击后,当用户使用APP提供的服务后,就会泄露相关的数据信息和访问权限。甚至有的黑客行为主要是针对国家的,给国家社会带来不可估量的后果,因此必须采取措施积极预防黑客的攻击。
三、提升信息安全的途径分析
1.提高公众的安全意识
大数据是一种新兴的宝贵资源,在法律法规的约束下要充分尊重数据所有者权利,这才能充分显示出大数据时代的真正魅力所在。而公众无论在什么情况下,只要将信息到网络上,就会成为大数据的一部分,也就存在信息泄露,被盗用的可能。为了更好的防止大数据信息泄露,确保信息安全,就必须提高公众的安全意识。在进行个人信息公布时格外小心,注意保护与个人信息相关的大数据,避免成为黑客攻击的对象,导致信息泄露造成不要的损失,尽量做到防患于未然。
2.建立异构数据中心安全体系
传统的数据存储通常都会建立完善的防护措施,但大数据的架构较为复杂,多采用虚拟化海量存储技术来进行数据信息资源的存储,用服务的形式提供数据信息操作存储,更需要进一步完善数据的隔离与调用。同时,大数据利用云计算存储数据,为了方便所有者对数据进行存储、分析、挖掘、控制,可以构建一个异构数据中心安全体系,从管理上来增强对大数据信息安全的防护。尤其是,集中的大数据库,更需要格外主要防护,降低出现“棱镜门”事件。
3.加强大数据安全技术的研发
经过无数实践证明,传统的信息安全技术无法适应大数据时代,尤其是大数据时的到来,加速了云计算、物联网以及移动互联网等多种新技术的发展,反而加大了大数据收集、存储、分析、处理的难度。为了进一步从技术上加强对大数据信息安全的防护,应当加大大数据技术研发资金投入,提高相关技术产品,包括信息访问控制、数据加密、数据备份等技术手段的发展,促进大数据安全技术的研发,才能真正有效的推动国家社会的高速发展。
4.完善大数据信息安全体系建立
大数据作为新兴的数据类别,需要相关政策措施进行维护,在“十二五”计划上,工业信息化部将信息处理技术作为新工程提上日程,包含了大数据中的数据存储、分析,以及图像视频分析挖掘等方面。因此,为了防止黑客的攻击,造成信息泄露,必须进一步完善大数据信息安全体系的建立,以实现对大数据信息安全防护的目的。同时,要进一步加快大数据安全防护技术的研发,可以通过在网络设备或是节点上设置访问权限,或是使用SSL技术对登录传输数据实现加密保护。当然,针对重要的大数据信息,还应当实现端对端的数据保护,及时备份相关数据,避免因为系统出现故障造成数据损害、泄露等情况。
四、结语
综上所述,在大数据到来的背景下,不仅带来新的发展机遇,也带来更多的信息安全风险。为了更好的利用大数据时代的优势,就必须采取相应的对策提升对信息的安全防护,以便寻找到新的突破口,确保大数据时代的更好发展。
作者:黄隽 单位:黔南民族师范学院计算机科学系
信息安全论文:变电站以太网信息安全论文
一、以太网在变电站通信系统中的应用
以太网具有很多特有的优势,使之能够在包括变电站通信系统中成为主流应用。具体优势如下:(1)以太网的数据传输速率高,越高的速率就能在通信工作量相同的前提下减少时间,大大减轻通信网络的负荷。(2)以太网具有强大的开放性,能够很大程度提高设备互相之间的操作性,简化用户的工作,同时可以避免使用者被制造商的自身通信协议所限制。(3)以太网技术资源共享能力很强大,能轻易实现与其他控制网络无缝衔接。(4)可以实现各种远程访问技术、远程监控技术以及远程维护等技术难题。(5)以太网具有极强的扩展性,能对各种网络拓扑结构有很好的支持,同时能够支持众多主流的的物理传输介质。(6)以太网价格便宜,应用广泛,可以推进系统发展。以太网虽有很多优势,但在实时性和安全性上仍存在一定的不足,在数字化技术下,变电站自动化系统包括变电站与控制中心,变电站内李燕国网河南省电力公司检修公司454100部各层之间时刻都有信息在传递,还有各种报文根据不同情况进行交流,对于信息的实时性和安全性要求极高。在满足实时性要求的情况下,提高以太网的安全性,发展一种更为安全的加密方案是一个亟待解决的问题。
二、以太网中的DES和RSA加密算法的优缺点
在以太网中使用加密技术,可以极大的提高其安全性,同时减少了对CPU资源的占用,提高了系统的处理效率。加密技术是对明文采用特定的计算方式,使之变成一段没有实际意义的,不可读的“密文”,要想获得原始的内容则必须有与加密算法对应的密钥,通过这样的手段来实现对原始对象的保护。加密技术一般有以下两类:1)对称加密算法,经典是DES;2)非对称加密算法,经典是RSA。DES又叫数据加密算法(DataEncryptionAlgorithm,DEA)。密钥在发送密文前,双方互相交换,接收方在收到了发送方的密文之后采用相同的密钥和算法可以进行逆向处理,进而得到明文,否则数据不具有实际意义。随着计算机计算能力的不断提高,DES的攻击常被一种称为暴力破解(也叫彻底密钥搜索)方式破解攻击,实际上是不断地尝试所有可能的密明直到找出合适的为止,所以DES目前的安全性不断下降。而RSA算法被国际标准化组织推荐成为公钥数据加密标准,基本上能够抵御己知的所有恶意攻击。RSA算法与DES算法的原理不尽相同,核心是加密/解密密钥在使用时是不同的,但可以相互匹配。相比DES算法而言,RSA算法极大的强化了信息的安全性。出于安全性考虑,RSA算法的密钥一般要求500-1024比特。RSA算法的较大弊端因此产生,其计算量无论基于何种手段实现,都是极其庞大的。和DES算法相比,DES算法计算量几乎将高出RSA算法好几个数量级,RSA算法势必会减慢变电站信息的传递效率,影响实时性。
三、基于DES和RSA混合加密方案的变电站通信安全
通过对各自加密算法的分析,我们可以看出无论DES算法还是RSA算法都存在着一定的缺点,这些缺点在某些特殊情况下是致命的。DES算法一般加密以64比特为单位的数据块,因为其算法简单相对来说多应用在大量数据下,在计算量上具有很大的优势,缺点是相对容易破解,密钥管理也成为了问题,容易被第三方非法获得。RSA出现稍晚于DES,这种算法不对称。两密钥同时关联产生,并不能通过算法推算,其安全性要远比DES好。但RSA缺点是计算量庞大,而且在对明文进行加密时,明文长度也会有一定的限制,所以RSA算法一般只应用于重要敏感的场合的一些小量数据加密。一种混合DES和RSA算法的混合加密方案被提出,优势十分明显。一是密钥匙管理上的优势,密钥的管理模式对于加密技术的性能有极大的影响,本方案中中DES算法的密钥Ks属于一次性密钥,在使用之后即被舍弃,而被传输的会话密钥由于经过了RSA算法加密不需要在通信前将密钥发送给接受方,只要断路器保管好自己的私钥就可以了;二是安全性能上的优势,该方法的安全等级和单纯使用RSA时等价。RSA算法对DES算法的密钥进行再次加密,极大程度的确保了DES算法的安全性。三是时间上的优势,之前提到了该方案的安全性其实与单独运用RSA算法一样的,但是这个方案比单纯RSA算法的较大优势就在于时间上的优势。RSA算法本身会产生大量冗余,计算量较大,对于变电站通信过程中实时性要求是致命的。本方案对明文使用了DES算法,这样加密和解密不仅使所占用的时间较少,而且明文的长度不会受限,然后只对DES的会话密钥使用RSA加密,数据并不大,从而节省了大量时间,提高运算效率。
四、结论
变电站与其外部或变电站本身的通信基本上都基于以太网,以太网进行的单一加密技术存在弊端,然而一种新的基于以太网的混合DES和RSA加密方案,可以很好满足实时性的要求,提高以太网的安全性,从而可以提高变电站自动化系统及其信息的安全性,具有一定的应用价值。
作者:李燕 单位:国网河南省电力公司检修公司
信息安全论文:国际法规制网络信息安全论文
一、维护网络信息安全的必要性
相较传统的国际关系,网络空间引发的利益冲突关系更为复杂。一方面,由于网络技术和应用的不断创新,网络信息将整个世界紧密联系在一起,网络信息安全可能涉及所有的网络使用者,一旦发生侵权行为就突破了传统国际法的管辖权,影响范围涉及多国家。另一方面,由于国际法体系并不存在普遍公认的国际法规则,并且各国网络信息技术发展的不对称性使得各国网络立法存在界定是否构成网络信息侵权的标准不一。难免出现网络信息技术发展强国依靠自身的先进技术肆意侵害他国网络信息安全,干涉他国内政,对他国的政治、经济、社会秩序甚至是国家安全产生重大影响。伴随着全球化进程的不断加强,网络信息安全的管理面临新的挑战。首先,当前网络并非由政府机构掌控。现今由于市场激烈的竞争环境使得网络信息安全管理自身就面临着很大的威胁。其次,网络信息系统的不断发展,使得原有对网络信息的传统管辖模式无法应对当前的新趋势。,互联网全球化的加强,现今网络服务都是跨国性的,网络信息内容安全风险的解决要考虑到各国不同的国情。因此,网络信息内容安全管理的对策必须要符合国际惯例。
二、解决网络信息安全的国际法途径
(一)通过双边会议、多边会议建立区域网络信息安全维护组织
由于国际社会不存在一个超国家政府,所以使得国家单边主义威胁网络信息的安全性。不同类型的国家,无论其大小与网络信息技术的优劣,都理应处于平等位置,平等的享有被保护网络信息安全的权利。当前已经有国家和地区通过交流达成共识,希望通过制定协议共同促进信息安全的保护,可以在此基础上根据政治或地理位置的相近形成区域网络信息安全维护组织。区域网络信息安全维护组织作为国际组织,其有助于解决集体的困境和相互依赖的选择问题,并且其具有组织制定统一区域网络信息安全维护组织章程的权利。该网络信息安全维护组织内的成员可以实现获取信息、网络信息技术共享、联合打击非法利用、滥用信息技术及加强网络关键信息技术设施的建设等权利,但同时网络信息安全维护组织内的各成员也必须履行相应的义务。例如,使用网络获取信息必须避免将其用于破坏国家稳定和安全的目的,避免给各成员国国内基础设施的完整性带来不利影响,危害各国的安全。除此之外,各成员国有合作打击利用信息通信技术从事犯罪和恐怖活动或者破坏成员国政治、经济和社会稳定行为的义务。各个成员之间必须加强互联网技术的共享,相互之间转让网络信息技术,相互弥合数字鸿沟,提升区域网络信息安全维护组织应对威胁的能力。针对区域组织内成员的网络信息安全实行统一的监管,制定统一的涉密信息交换的标准和程序。组织内成员共享使用信息,必须严格遵守程序,其目的在于使各成员提高保障信息安全的能力,一方面可以相互放心安全地使用网络,另一方面在本国以外多了一层区域网络信息安全维护组织内其余成员国的保护。使得本国公民的信息得到更多的保护,并且保障国家的信息安全,使得网络安全性提高。区域性网络信息安全维护组织的成立需建立在各成员国相互信任,平等互惠的原则上。一旦组织内部成员实施了违反组织章程侵害成员国网络信息安全的行为将受到区域组织成员国一致的制裁,例如限制该国在成员国公司的经营业务等。
(二)建立全球范围内广泛适用维护网络信息安全的国际公约
在2015年1月9日,中国、哈萨克斯坦、吉尔吉斯斯坦、俄罗斯、塔吉克斯坦、乌兹别克斯坦常驻联合国代表呼吁各国在联合国框架内就网络信息的保护展开进一步讨论,尽早就规范各国在信息和网络空间行为的国际准则和规则达成共识,建立一个具有广泛适用性的国际公约。国际公约的目的是在各方利益主体博弈的过程中,通过保障网络信息安全使网络信息时代下的各行为主体可以公平占有使用网络资源共享网络发展带来的利益并且保障各国的主权安全,维护各主体的合法权益。首先, 国际公约需遵循《联合国宪章》,根据《联合国宪章》国际公约应明确指出国家应尊重主权原则,要求国家行为应尊重其他国家的主权,不得以非法手段侵害其他国家主权,这里不仅包含了传统国际法所称的主权平等、主权安全和不干涉内政,也包含了非传统安全的网络信息安全,国家应当尊重主权国家之间彼此的核心利益,并且尊重与网络信息安全有关的国家政策问题的安全。例如“国家不应以窃取、监听等不文明手段获得他国信息”。其次,公民的网络信息也属于公民的隐私,并且随着网络技术的不断发展,网络信息的安全涉及到公民的财产,所以公民的网络信息也是公民的财产权利,保障公民网络信息安全同样是对公民财产权利的保护。国际公约应尊重公民的基本权利,所以国家应在“充分尊重信息空间的权利和自由,包括在遵守各国法律法规的前提下寻找、获得、传播信息权利和自由”;对他国公民通讯的监控和信息的获取,应取得合法手续,并且必须出于合法目的。网络信息技术的不断发展是科技不断创新的产物,未来全球化进程不断加剧,网络信息技术将会涉及方方面面,只有保障网络信息技术的安全性才能使得各国不断运用创新。否则无法保障网络信息技术的安全,国家就会丧失建设全球网络时代的信心,科技的发展将会倒退。再次,国际公约的制定旨在维护网络信息安全,避免国家实施违反国际法原则的侵权行为。例如对别国公民、企业组织、政府机关进行监控,对主权国家进行监听和非商业用途收集信息。出于对各国共同安全利益的考量,国际公约应该本着平等互助的原则制定统一的监管网络信息的标准,保护国家间共同的利益,统一制定评价国家行为需要参考的因素,明确国家网络信息安全不可侵犯的界限。,由于网络信息技术涵盖范围广泛涉及了信息收集、监听监控、国家安全等领域,所以内容的特殊性和复杂性使得国际公约在实施过程中其约束力存在不足,故而要结合国际法以及其他国际公约。例如《联合国宪章》、反恐领域的国际公约、人权保护公约、《国家对国际不法行为的责任条款》《跨国公司和其他商业企业关于人权责任的准则》并且配合联合国国际法委员、人权委员会等机构相互合作。
(三)在联合国的框架内建立网络信息安全的监管机构和执行机构
从网络信息安全的侵权事件中可以发现,跨国公司成为政府的侵权工具。此时追究侵权责任时会涉及到网络信息侵权责任的归因问题。从国际法的角度,归因的目的在确定某一行为可否归于一个国家而成为该国的国家行为。就已发生的网络信息侵权行为进行分析,不难发现确定实施侵权行为的主体是国家还是个人将直接影响到当事国的国家责任以及受害国采取何种法律救济的途径。例如侵权行为的实施主体归因为企业或者个人发起的则通常属于网络犯罪行为,这将涉及到有关国家国内法的管辖以及国家间的司法合作来加以解决。由此可见网络信息安全侵权主体的复杂性和特殊性,涉及领域的广泛性,并非能简单通过单个机构来解决,需要多个领域机构的共同合作。当前主流学者的观点是,由于平等国家之间无管辖权,全球网络空间并不存在超国家机构的实体可以系统的对网络侵权行为实施强制性管辖。因此,不同的行为体试图通过拓展自身网络空间的行动范围,渴望获得更多的网络资源,掌握网络管理的主动权,为自身谋取利益。此种竞争将对未来国际网络信息安全的发展造成隐患。所以可以在联合国框架下成立网络信息安全保护有关的专门机构。该机构一方面建立国家网络信息安全行为的监管机制,可以借鉴“世界贸易组织的贸易政策评审机制”,定期对各国的信息安全行为等进行评议并公开报告,另一方面建立解决国家网络信息安全争端纠纷的解决机制。由于网络信息安全涉及的领域并非国际法传统的领土、领海领域,一旦发生纠纷难以诉求专门法院解决。所以应当借鉴WTO的争端解决机制,针对网络信息安全的特殊性成立专门的解决机制,使得纠纷得到公平的裁决。
作者:刘璐琦 单位:华中师范大学
信息安全论文:供电企业信息安全管理论文
1电力信息安全
信息安全是指计算机网络系统中的硬件、软件和其他数据等不受非法用法的破坏,主要指未经授权的访问者无法使用访问数据和修改数据,而只给授权的用户提供数据服务和可信信息服务,并保障服务的完整性、可信性和机密性。电力信息安全是指供电系统中提供给用户或公司内部员工的数据是安全的、可信的。供电公司管理系统是个繁杂的系统,涉及用电客户和公司内部员工及第三方托管服务公司,系统的信息安全一直是公司发展的瓶颈。正确评估供电公司信息安全系统的合理性和安全性,针对安全风险进行分析,制订供电公司信息安全的策略非常重要,也是至关重要的。
2供电企业信息安全的影响因素
尽管供电公司投入了大量的财力、物力建设电网信息安全系统,但供电企业内部网络仍不健全,存在许多安全隐患。另外,供电公司信息化水平不高,信息安全保障措施薄弱也制约了其信息安全系统的建设。要构建一个健全的供电公司信息安全保障体系,就要首先分析供电公司信息安全的影响因素,对症下药,进一步提出供电企业加强信息安全管理的对策。
2.1不可抗拒因素
所谓“不可抗拒因素”,就是由于火灾、水灾、供电、雷电、地震等自然灾害影响,供电公司的供电线路、计算机网络信号、计算机数据等受到破坏,并威胁到供电公司的信息安全。
2.2计算机网络设备因素
供电公司计算机系统中使用大量的网络设备,包括集线器、网络服务器和路由器等,其正常运行关系着供电公司内部网络的正常运行,而计算机网络设备的安全直接关系着供电公司的正常运行。
2.3数据库安全因素
供电公司计算机系统监控用户峰值,管理用电客户信息及其他用户缴费等情况,计算机数据库的系统安全决定了供电企业的调度效率,也决定了供电公司公共信息的安全。供电公司应该使用专用网络设备,确保企业内部网络与外部互联网的隔离。
2.4管理因素
供电公司员工的业务素质和职业修养参差不齐,直接影响到供电公司的网络安全。供电公司应该建立过错追究制度,提高员工的信息化素质,有效防止和杜绝管理因素造成的信息安全问题。
3供电企业加强信息安全管理的对策
3.1提升员工信息安全防患意识
开展信息安全管理工作,并非仅仅是系统使用或者管理部门的事,而是企业所有职工的事,因此,要增强全体员工的信息安全和防患意识。通过采取培训和考核等有力措施,进一步提升全体员工对企业信息安全的认识,让信息安全成为企业日常工作业务的一个组成部分,从而提升企业整体信息安全水平。
3.2采用知识型管理
传统的安全管理大部分采取的是一种硬性的管理手段。在当今知识经济的时代,安全管理应当以知识管理为主,从而使得安全管理措施与手段也越来越知识化、数字化和智能化,促使信息安全管理工作进入一个崭新的阶段。
3.3设置系统用户权限
为了预防非法用户侵入系统,应按照用户不同的级别限制用户的权限,并投入资金开展安全技术督查和安全审计等相关活动。信息安全并非一朝一夕就能完成的事,它需要一个长期的过程才能达到较高的水平,需建立并完善相应的管理制度,从平时的基础工作着手,及时发现问题,汇报问题,分析问题并解决问题。
3.4防范计算机病毒攻击
加速信息安全管控措施的建设,在电力信息化工作中,办公自动化是其中一项非常重要的内容,而核心工作业务就是电子邮件的发送与接收,这也正是计算机病毒一个非常重要的传播渠道。因此,必须大力促进个人终端标准化工作的建设,实现病毒软件的自动更新、自动升级,不得随意下载并安装盗版软件;加强对木马病毒等的安全防范措施,对用户访问实施严格的控制。
3.5完善信息安全应急预案
严格规范信息安全事故通报程序,对于隐瞒信息事件的现象,必须严肃查处。对于国家和企业信息安全运行动态,要及时通报,分析事件,及时信息安全通告。对于己经制定的相关预案和安全措施,必须落到实处。另外,还要进一步加强信息安全技术督查队伍的建设,提高信息安全考核与执行的力度。
3.6建立信息安全保密机制
加强信息安全保密措施的落实,禁止将涉密计算机连接到互联网及其他公共信息网络,完善外部人员访问的相关授权、审批程序。定期组织开展信息系统安全保密的各项检查工作,切实做好涉密文档的登记、存档和解密等环节的工作。
4结束语
为了保障国民经济的快速发展,就要确保供电系统的稳定安全,就要合理应用计算机网络管理供电公司网络,科学管理供电网络信息,促进企业的可持续发展。供电公司要充分利用好企业内部网络,提高劳动生产率,并加强网络信息安全监控,加强企业内部优化,创新供电企业服务意识,加强供电企业信息安全管理对策,适当提高供电企业信息化管理水平,保障供电企业的信息安全。
作者:吴金文 程丽琴 单位:国网赣西供电公司安全监察质量部
信息安全论文:大学生信息安全论文
一、文献简述
关于国家信息安全问题,国内外学者关注度极高。笔者通过查找发现,与本文相关的文献共1471篇,资料显示针对如何提高国家信息安全方面,国内研究相较之不够深入。例如,国外学者建议对用户进行网络安全意识培训,从工作、学习等领域来制订提高网络用户的框架,并建议建立国家网络防御系统。国内则侧重分析信息安全教育的一些问题并提出方案。无论是国内还是国外,国家信息安全越来越受到政府和组织的关注,在以信息技术为交流工具的时代,特别是大学生,我们需要对其进行国家信息安全意识教育。因此,本文从实证调查研究角度,对当代大学生国家信息安全意识问题进行研究,以警醒和培养他们的国家信息安全意识,使他们将来成为国家和社会的有用人才。
二、数据描述
(一)样本数据
2014年秋笔者对全国25个高校随机抽取113位大学生进行有关国家信息安全意识的调查,共发放问卷113份,分析和筛选得出有效问卷108份,返回率95.58%,其中女性大学生占51.85%,男性占48.15%,满足计量统计数据要求。从大学生的受教育阶段来说研究生占38.89%,大四学生占11.11%,大三学生占33.33%,以研究生和大三、大四学生较多,高年级学生更有利于反映大学生对国家信息安全意识强弱的表现。Cronbach′sAlpha的值是0.662,在探索分析中,该值至少要0.6,本题是0.7左右,说明该问卷的信度较高,可以对问卷进行分析。
(二)变量描述
本文在分析大学生国家信息安全意识时,主要从家庭特征、网络特征、日常生活和学校管理等四个维度进行。
(三)相关系数分析
在多元回归分析中,预测变量之间的相关性越低,回归分析的预测力越强,这样,也说明变量之间的共线性越小。通过Pearson相关系数检验,大部分变量相关性都处于0.05以下,属于低度相关,共线性可能性较小,故可以进行回归分析。
三、实证分析
1.家庭特征,文化是关键。
父母的文化程度对子女的国家信息安全意识影响非常显著,因为父母文化程度高,从小对子女就有潜移默化的影响过程,对子女的教育关注更多,其中就包括对国家的信息安全教育。相比之下,有关个人的家庭经济状况等方面对信息安全意识的影响不是很显著。
2.网络特征,安全要防范。
大学生认为网络安全对国家信息安全影响非常显著,例如“棱镜门”事件,说明网络是一些国家机密信息泄露的重要途径。而大学生的上网时间长短对信息安全影响不显著,说明信息安全与时间长短无关。
3.日常生活,学习促提高。
调查了解大学生都认为每个公民都有责任维护国家的信息安全,无论是大学生还是其他公民,维护国家信息安全是每个公民应尽的义务和责任。大学生应自觉地、积极主动地了解和关注国家信息安全的知识,这对提高他们的信息安全意识影响显著。
4.学校管理,教育是根本。
教师的强调和教育对大学生国家信息安全意识的提高影响较显著,大多数教师都会对学生进行始业教育、安全教育。此外任课教师对安全意识的强调也会对学生安全意识和行为的规范起到较大作用。调查中,大学生普遍认为高校培养学生信息安全意识方面的工作做得还够,对他们安全意识的提高影响不明显。五、结论与建议
(一)立足现状———总结与思考
本文利用全国108份大学生的调查数据,对大学生的国家信息安全意识状况和影响因素进行分析,得出以下主要研究结论:
1.环境———潜移默化影响安全意识。
大学生的国家信息安全意识的强弱与家庭特征、网络特征、日常生活和学校管理有关,其中父母的文化程度、网络安全、公民的责任、日常关注和教师的强调对其影响显著,其他因素对其影响不显著,或影响较小。
2.学校———多维教育强化安全意识。
大学生安全意识的薄弱与高校对国家信息安全知识的普及有一定的影响。较前几年来说,大学生的国家信息安全意识已有一定的提高,这与国家、学校、家庭的共同努力是分不开的,其对大学生国家信息安全意识的影响各有不同,相较之下,高校相关教育的影响更为显著。
3.立法———完善法规健全安全意识。
我国大学生的国家信息安全意识有一定的提高,但我国的相关法律还不够完善,涉及网络犯罪的种类还不够,目前为止,我国共出台或修订相关互联网的法律法规共20次。2001年中国互联网协会在北京成立,相比国外而言起步较晚。
(二)展望未来———措施与方向
由于国家信息安全直接威胁了国家的稳定发展,基于此,国家各部门要想办法提高公民的国家信息安全意识,尤其是对肩负着社会建设发展重任的当代大学生们进行信息安全意识的培养。
1.自力更生,人才为先。
随着互联网的普及、国内外各种资源的共享、多元文化的摄入等等,计算机方面的人才也在不断地增多,对于处在计算机发展初级阶段的中国来说,继续要培养自己的计算机人才,通过对相关软件和系统的完善、更新及开发自己的系统和相关软件以保护我国的重要信息,不再依赖国外的技术支持,将更加有利于保护国家的信息安全。
2.安全教育,纳入常规。
学校作为培养新型人才的摇篮,应尽早将国家信息安全教育纳入教学规划中。目前,高校对大学生国家信息安全教育的观念还相对滞后。高校要充分借助学校的基础设施和设备多种途径开展规范的信息安全教育,让大学生在日常生活和学习中收获正确的信息安全知识。从专业化角度来说,学校还可开展网络信息安全课程,为大学生提供、专业地了解、掌握信息安全常识的机会和平台。
3.以点带面,共护安全。
从家庭的角度来说,更要提高家庭成员的国家信息安全意识。我们都知道“先有国,才有家;没有国,哪有家”。这个家可以是高校中的寝室,当然也是我们出生、长大的家,在这个家庭中,我们也要时刻提高自己的信息安全意识,把在学校中学到的相关理论知识运用到实践中,不断地与身边的亲人交流,共同促进对国家信息安全意识的提高。
作者:沈张一 单位:杭州电子科技大学通信工程学院
信息安全论文:企业级移动应用信息安全论文
一、企业级移动应用信息安全体系
1.1研究思路
为了克服企业级移动应用面临的各类安全问题,降低安全威胁,本文认为移动应用安全体系应从硬件、软件结构入手,结合移动互联网特征,设计企业级移动应用安全技术架构及安全规范、制定一系列安全防护策略来保障移动应用的安全。
1.2企业级移动应用安全体系
在充分分析企业级移动应用信息化的建设现状和安全需求基础上,根据国家等级保护要求,从物理安全,网络安全,系统安全,应用安全以及安全监管五个方面构建企业级移动应用安全防护体系。1、物理安全:涉及设备和环境安全,主要通过移动终端本身硬件标识信息、接口监测、外接插件设备来保障移动终端设备安全。2、网络安全:涉及到网络接入安全、数据传输安全等,主要从硬件、软件两方面保障,如防火墙保护策略、认证策略、数据加密等。3、系统安全:主要包括系统、数据存储、操作等,通过建立安全加固,对业务数据分级存储、重要数据安全隔离、数据传输加密、完整性和一致性校验,保障系统安全。4、应用安全:通过多种手段保障移动应用安全,可从应用准入、应用授权、应用监控审核、应用数据管控、操作行为安全审计等方面保障应用安全。5、安全监管:从制度管理、软件辅助管理对移动终端进行安全管理。制定相应的移动终端、移动应用管理规范。
二、企业级移动应用信息安全实现
2.1物理安全
按照安全体系要求,可从终端管理、一致性校验、接口监测、存储卡加密等领域实现物理安全。1、设备启动。通过设置启动密码、动态口令等控制设备启动验证。2、校验一致性。终端启动后,后台根据设备回传的参数进行一致性校验,对操作系统内核、硬件配置、关键应用和配置策略信息等进行验证,确保启动过程中各应用的完备性和一致性。3、设备硬件监测。对移动设备硬件接口管理,包括网络(含WIFI/蓝牙等)启停,USB启停、以及摄像头屏幕输出等启停等,从而有效防止移动终端数据泄漏。4、存储卡加密。根据存储卡与移动设备的关联关系,存储卡上的数据就不能被其它移动设备读取,从而有效地保护移动终端上的数据。
2.2网络安全
在网络安全方面,可从硬件、软件两方面保障网络接入安全、数据传输安全。1、接入安全。建立专用的VPN接入通道连接到特定服务端。建立DMZ反向保护,通过反向防止移动设备直接和web服务器直接连接带来的安全隐患。2、设置防火墙及路由器防护策略,通过制定路由器、防火墙防护策略,实现内外网络安全。安全策略确保网络访问、服务访问、用户认证、输入输出、磁盘和数据加密、病毒防护措施等。3、移动设备安全认证和接入。建立终端准入机制,通过后台移动设备管理功能,记录所有设备详细信息,如编码,类型及使用者等信息,在登录时实现按特定信息核对验证设备合法性。4、数据传输安全。企业级移动应用一般需要和后台业务传输数据,为了避免恶意攻击、窃取、篡改,需要在数据传输中引入数据安全管理,如数字证书加密等。
2.3系统安全
为保障移动应用正常运行,主要通过建立安全加固、业务数据分类存储管理、数据安全隔离、数据传输加密解密、完整性检查以及一致性检查,保障系统安全。1、安全加固。按等级保护要求,制定严格的安全加固措施,保障系统安全;2、建立移动数据库安全管控,支持离在线数据库访问、支持数据的备份和恢复,保障用户数据的安全;3、开展安全域隔离,通过物理和逻辑隔离策略,对系统资源和各类数据进行分区分域管理。4、建立移动设备在线备份和恢复策略。实现自动备份和恢复数据、配置文件与配置策略。可以设置规定备份目录或文件、备份频率、周期,通过统一管理界面实现选择性恢复或全恢复,可恢复移动终端上丢失或损坏数据。5、升级包推送。实现对移动设备系统版本管理,禁止使用者擅自修改系统,后台统一开展升级包推送,保障操作系统安全。
2.4应用安全
在应用安全方面,主要通过应用密码、登录、非授权操作管理、数据库加密、应用安全审计等措施保障移动应用安全。1、密码保护,对移动应用建立密码保护策略,如密码长度、复杂度限制、密码认证、错误锁定等机制,防止非法人员登录终端应用,造成业务数据外泄。2、单点登录,通过建立统一单点登录平台,实现统一用户身份管理、统一用户身份验证、统一用户权限管理。3、权限控制,对企业级移动应用建立细致的明确的功能权限控制,不同职责的终端用户只能使用指定的部分功能,有效控制关键数据外泄。4、移动数据库加密。移动数据库库访问按系统安全要求提供安全凭证,选择敏感信息加密,辅以校验保障所存储数据的保密性和完整性,防止数据被未经授权访问和修改。5、非法操作管理。建立应用配置授权管理策略,控制未经取得授权的非法移动应用进行控制,可以禁止非法移动应用安装、禁止非法移动应用使用,可以远程对非法移动应用进行卸载。6、移动应用安全审计。开展实时统计核查应用安装、使用、运行、操作记录等,有效监测各类操作行为。
2.5安全管理
按照移动信息安全体系,安全管理从制度规范管理、软件辅助管理、设备管控等领域实现。1、建立统一应用管理规范和管理制度,建立移动终端、移动应用管理规范,如档案管理、行为规范、作业规范等。2、操作记录日志。增加终端操作的记录日志机制,实现日志追踪引入问题的原因,采用应对措施避免同类问题反复出现。3、实时管控机制。移动终端实时回传当前位置的经纬度,可实时监控移动设备实际地理位置,如若遇到平板丢失,则启动数据爆炸功能,保障业务数据不外泄。
三、结论
随着移动技术飞速发展以及移动硬件平台的技术改进和价格的不断下降,企业级移动应用的需求必将会快速增长。基于本文所述的信息安全思路和实现,能有效保障企业级移动应用信息安全,并有效减少建设和运行风险。
作者:卢有飞 单位:广州供电局有限公司
信息安全论文:运营商资产信息安全论文
1运营商的资产面临的信息安全威胁
(1)2014年10月,“沙虫”漏洞(CVE-2014-4114),攻击者利用WindowsOLE远程代码执行漏洞,通过精心构造诱使用户执行文件触发远程代码执行漏洞,进而控制用户操作系统主机。
(2)2014年9月,“破壳”漏洞(CVE-2014-6271),攻击者利用Bash漏洞可绕过环境限制远程执行服务器shell命令,获取服务器当前用户权限。
(3)2014年4月,“心脏出血”漏洞(CVE-2014-0160),攻击者利用OpenSSL内存越界,可以远程读取存在漏洞版本的OpenSSL服务器内存中的数据。通过调研和分析发现,运营商拥有信息系统资产具有几个特征:分布广、种类繁、数量多。这就带来了运维繁杂和管理困难等主要问题,信息安全工作的管理者无法从全局把握信息资产情况,存在信息资产孤岛,面对全网的信息安全风险,缺乏全生命周期的安全管控能力。因此,本文重点从资产的维度对信息安全预警技术探讨,研究分析现有预警技术的缺失,提出一种基于软件模型的资产信息安全预警技术,实现运营商对信息系统的综合治理和全网防护等安全预警能力的提升,做到知己知彼、精准预警,从而保障电信运营商在移动互联网时代健康高效的发展。
2现有主要预警技术分析
现有的信息系统已经部署了大量的信息安全设备,比如防火墙、入侵检测系统、扫描器等,而这些系统主要的预警技术包括入侵检测和安全扫描等方式。
2.1入侵检测技术
入侵检测:通过对行为、安全日志或审计数据或其它网络上可以获得的信息进行操作,检测到对系统的闯入或闯入的企图。入侵检测技术是为保障计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。按检测方法区分,入侵检测技术主要可以分为误用检测和异常检测。异常检测模型:检测与可接受行为之间的偏差。如果可以定义每项可接受的行为,那么每项不可接受的行为就应该是入侵。首先总结正常操作应该具有的特征,当用户活动与正常行为有重大偏离时即被认为是入侵。这种检测模型漏报率低,误报率高。因为不需要对每种入侵行为进行定义,所以能有效检测未知的入侵。误用检测模型:检测与已知的不可接受行为之间的匹配程度。如果可以定义所有的不可接受行为,那么每种能够与之匹配的行为都会引起告警。收集非正常操作的行为特征,建立相关的特征库,当监测的用户或系统行为与库中的记录相匹配时,系统就认为这种行为是入侵。这种检测模型误报率低、漏报率高。对于已知的攻击,它可以详细、地报告出攻击类型,但是对未知攻击却效果有限,而且特征库必须不断更新。
2.2安全扫描技术
安全扫描:是一类重要的网络信息安全技术。通过对资产的扫描,资产管理员可以了解资产的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。资产管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。安全扫描是一种主动的防范措施。按检测方法区分,安全扫描技术主要可以分为插件技术和漏洞库匹配技术。插件技术:由脚本语言编写的子程序,扫描程序可以通过调用它来执行漏洞扫描,检测出系统中存在的一个或多个漏洞。添加新的插件就可以使漏洞扫描软件增加新的功能,扫描出更多的漏洞。插件编写规范化后,甚至用户自己都可以用C、Python或自行设计的脚本语言编写的插件来扩充漏洞扫描软件的功能。这种技术使漏洞扫描软件的升级维护变得相对简单,而专用脚本语言的使用也简化了编写新插件的编程工作,使漏洞扫描软件具有强的扩展性。漏洞库的匹配方法:基于网络系统漏洞库的漏洞扫描的关键部分就是它所使用的漏洞库。通过采用基于规则的匹配技术,即根据安全专家对网络系统安全漏洞、黑客攻击案例的分析和系统管理员对网络系统安全配置的实际经验,可以形成一套标准的网络系统漏洞库,然后再在此基础之上构成相应的匹配规则,由扫描程序自动的进行漏洞扫描的工作。如上分析发现,现有技术方法主要是从安全检测和安全评估的角度去分析资产的信息安全问题,但都有其局限性。入侵检测技术的安全预警方法由于检测方法主要基于特征库的模式存在一定缺陷很容易导致安全预警的漏报和误报情况,预警的精度不高,而且在性能上也有影响。安全扫描技术主要通过模拟黑客的攻击手法进行安全预警。以探测的路径和系统配置规则库为基础,但是,基于黑盒的方式进行探测很容易造成遗漏,而系统配置规则库也存在局限性,这样将导致预报的度不高。
3基于软件模型的信息安全预警技术
3.1技术方案
基于软件模型的资产信息安全预警技术主要针对软件资产进行元数据建模,对不同软件信息资产进行概括和抽象,不涉及各类资产资源的特征。在软件模型的基础上,结合各类资产的特性和相关规则可以生成专业资产核心模型。基于统一的软件模型,有效实现各类资产的归一化处理,通过资产建模和分析,为资产预警算法提供综合资源信息。通过对机构的漏洞信息进行整理及归一化处理得到特征漏洞库。通过模板引擎和预警引擎生成预警信息,由于借助资产本身进行建模和预警,本方法能够达到精准预警的目的,有效地帮助资产管理人员进行安全防护,从根本上解决资产的信息安全问题。技术方案主要包括采集组件、信息库(资产库和漏洞库)、预警分析和预警展示。采集组件:包含资产信息的采集和漏洞信息的采集,而资产采集又分为本地的资产巡检和远程的资产爬虫两部分。资产采集通过特征指纹库和机器学习技术分析资产使用的软件信息已完成数据的采集入库操作。信息库:主要维护底层核心数据库资产库和漏洞库。资产库是按照软件元数据模型进行资产信息的存储。预警分析:借助基于向量相似性算法完成资产预警信息的分析,并根据预警规则设置不同的触发条件。预警展示:依赖大数据可视化组件,可以实现多维跨域的信息呈现,以最直观和有效的方式告知资产运维和管理人员。主要依赖JavaEE的技术,基于MVC(ModelViewController)设计模式和REST风格,包括预警分析层、预警算法层和模型库。其中模型库由资产库和漏洞库构成;预警算法层由UX引擎、分析引擎、预警引擎和模板引擎组成;预警分析层由预警可视化、资产可视化、风险可视化和TOPN组成。
3.2主要功能及效果
基于软件模型的资产信息安全预警技术主要包含如下功能,总体态势:多维展示资产总体安全情况,健康值、历史趋势、数字地图显示等;预警分析:根据资产维度、漏洞维度进行精准和模糊预警;实时预警:支持以天为粒度进行预警,实时显示预警风险、重要资产威胁信息等;资产分析:资产明细数据、资产排行榜、资产分布及资产类型占比;漏洞分析:漏洞明细数据、漏洞趋势、漏洞分布及漏洞类型占比。基于软件模型的资产信息安全预警技术推动从信息安全治理工作从现有的事后检查向事前预防为主的机制转变,实现了平台化运营能力,为公司的资产管理、业务运营、安全管控等方面提供了方便快捷的支撑服务。使信息安全治理工作基本达到资产可管控、信息可共享、安全可度量、预警可感知。资产可管控:整合信息资产,关注重要基础设施,实现管理集中化、运营专业化。信息可共享:实现安全漏洞、安全通告的集中共享,完成集团公司和分公司的信息联动。安全可度量:实现现有安全问题多维情况的指标化度量。预警可感知:通过智能算法,结合历史大数据分析实现预警感知,丰富的可视化组件,友好界面。
4总结
本技术方案能够较好地提升现有资产的安全性并且能够及时进行预警,具备以下优点:精准性通过预警引擎的快速匹配算法能够精准的发现信息资产中的安全漏洞,并发出预警信息;自动化对于传统的通过人工排查和渗透测试方式,能够做到自动发现批量预警信息。但由于电信运营商拥有大量的信息系统和软件资源,在资产获取方面还难以实现自动化,后续将重点研究基于主机的资产识别技术,实现对主机资产信息发现、特征提取、资源归集等功能,从而提升电信运营商的资产信息安全预警和感知能力.
作者:张高山 杜雪涛 孟德香 单位:中国移动通信集团设计院有限公司
信息安全论文:移动业务客户信息安全论文
1客户信息安全保护背景
(1)客户基本资料包括但不限于集团客户资料、个人客户资料、渠道及合作伙伴资料、营销目标客户群数据和各类特殊名单。
(2)客户身份鉴权信息包括但不限于客户的服务密码和客户登录各种业务系统的密码。
(3)客户通信信息包括但不限于详单、原始话单、账单、客户位置信息、客户消费信息、基本业务订购关系、增值业务(含数据业务)订购关系、增值业务信息、客户通信行为信息和客户通信录等。
(4)客户通信内容信息包括但不限于客户通信内容记录、客户上网内容及记录和行业应用平台上交互的信息内容。客户信息安临的风险和威胁主要包括因为权限管理与控制不当,导致客户信息被随意处置;因为流程设计与管理不当,导致客户信息被不当获取;因为安全管控措施落实不到位,导致客户信息被窃取等。
2客户信息安全保护的目标
客户信息安全保护的目标如下。
(1)利用安全保护手段和审计系统对业务支撑网客户信息的数据泄漏及篡改做到事前预防、事中控制、事后审计。
(2)通过管理制度及细化管理流程强化客户信息安全的日常管理和审核,及时处理客户信息泄密事件的处理,落实信息泄露的惩罚措施。
3客户信息安全保护的要求
客户信息安全保护的总体要求如下。
(1)对业务支撑网客户信息按数据价值、数据安全需求两方面进行分级管理。
(2)对业务支撑网客户信息的所有存储方式及获取途径应进行深入分析,及时发现并弥补业务层面和系统层面中可能导致客户信息被篡改和泄漏的漏洞。
(3)利用安全技术和管理手段加强客户信息管控,避免数据泄露和非法篡改。
4总体设计
结合业务支撑网客户信息安全保护要求给出安全保护体系架构、功能模块。主要从客户信息授权鉴权、电子审批、数据提取控制、维护工具管理、数字水印、文档管控、操作行为审计等方面加强客户信息安全控制,提高业务支撑系统的客户信息安全保障能力。
4.1体系架构
整个体系由数据层、应用层、服务层构成,每个层次分别对应客户信息安全保护的主要功能模块。
4.2功能模块设计
整个客户信息安全保护体系功能模块设计和系统交互。下面针对每个部分进行详细功能设计。
4.2.1授权与访问控制
通过4A管理平台实现维护终端集中化授权与访问控制。4A管理平台上采用堡垒主机的技术,基于用户的权限,进行统一的资源层和应用层访问控制,避免维护人员使用不安全的终端直接访问客户信息。4A管理平台进行统一的审计操作,原有系统功能和性能不会受到影响,在减轻管理员负担的同时,提高了账号控制和操作审计。
4.2.2客户信息鉴权控制
客户信息鉴权控制首先对业务支撑网中所存储的数据进行梳理调研,根据数据机密性把数据分为敏感数据和非敏感数据两大类,并对敏感数据按机密程度级别进行分类。鉴权控制模块包括数据属性综合分析、实体敏感度定义、内容敏感度定义、属性敏感度定义、敏感度分级、敏感度分级核查和数据安全鉴权控制调度等7部分;本文工程数据安全鉴权控制主要实现以下目标。
(1)数据属性综合分析:制定敏感数据定义原则,并对全网的数据进行分析整理,分析出当前业务支撑网中的所有敏感数据的存储位置和访问方式。
(2)实体敏感度:实体敏感度是根据实体的保密程度来划分的敏感度。数据库表实体根据业务内容和行业背景等视角的不同,其敏感级别也有所不同。
(3)内容敏感度:根据实体内容的保密程度来设定的敏感度。根据数据库实体关键属性值的不同,其相对的保密程度也有所不同。如按月周期(或其它周期)属性来划分,将数据分为当月、3个月内、6个月内,并分别设置不同的敏感级别,拥有不同级别的用户所能查看的KPI周期范围就会不同。内容敏感度的优先级低于实体敏感度。
(4)属性敏感度:属性敏感度是根据实体属性(如字段)的保密程度来划分的敏感度。梳理系统的所有数据库表及其字段信息,运用这些集中管理的实体属性内容,给每个属性设置相应的敏感级别。在数据敏感度控制方面,属性敏感度的优先级仅次于实体敏感度。用户首先要有实体的浏览权限,才进一步考虑属性敏感度。
(5)敏感度分级:根据敏感数据的实体敏感度、内容敏感度、属性敏感度来计算出数据的敏感度级别。
(6)敏感度分级核查:根据预订的检查策略和规则对敏感数据的分级进行核查。
(7)数据安全鉴权控制调度:实现对数据安全鉴权控制的整体调度管理,负责对敏感数据模块的整体控制。
4.2.3电子审批管理
电子审批模块包括自管理模块、审批内容管理、审批时间管理、电子审批引擎、电子审批服务支撑、审批赋权管理、电子验证码管理、临时访问审批管理、长期赋权审批管理和审批任务管理等。用户访问业务支撑网时,如需要临时性获得直接上级某个功能点的用户权限,访问用户需进行权限升级的电子审批,将电子验证码传给业务支撑门户,由业务支撑应用门户向访问用户的直接上级发送。直接上级如同意该申请则转发电子验证码到访问用户,访问用户输入该电子验证码通过审批,用户通过审批后在限定时间内获得查看权限;如直接上级不同意该申请则不进行转发。
4.2.4数字水印管理
数字水印模块包括自管理模块、敏感度内容配置、数字水印生成引擎、数字水印调用管理、用户数据采集、数字水印配置服务、条形码规则管理、水印校验服务和流程管理接口等。主要实现以下目标。(1)自管理模块:负责数字水印服务自身的配置管理,主要包括用户管理、敏感数据内容控制等功能。(2)敏感度内容配置:负责数字水印服务自身的配置管理,主要包括用户管理、敏感数据内容控制等功能。(3)数字水印生成引擎:水印生成引擎给请求的应用返回数字水印图片文件,数字水印图片文件由用户的条码图多次重复出现形成,用户条码图用请求应用的用户ID计算得出的,不同的用户ID生成不同的条码图。(4)数字水印调用管理:负责对业务支撑系统提供数字水印服务的整套调度和支撑管理。(5)用户数据采集:根据数字水印的生成需要,采集业务支撑系统的访问员工ID、时间日期、登录IP及菜单ID等信息。(6)数字水印配置服务:负责用户访问页面时调用数字水印服务的配置管理,通过配置来定义哪些业务支撑网内容需要提供数字水印服务。(7)条形码规则管理:定义数字水印的条形码规则,根据规则实现计算、加密、编码并进一步生成用户条码。(8)水印校验服务:提供后台服务,管理人员可以通过该功能解读条形码并找出真正的用户姓名。用户访问页面时可以根据访问员工ID、时间日期、登录IP及菜单ID生成数字水印信息内容,将数字水印信息内容传送给业务支撑系统,由业务支撑系统门户进行水印展现。
4.2.5客户信息取数控制
4A管理平台针对客户信息访问提供了图形化工具与审计相结合的集中管理,构建了一个完整的用户管理、用户鉴权、操作审计和访问控制的体系。不再允许用户对数据库后台资源的直接访问;需要将通过数据库的堡垒取数控制主机来访问,由堡垒主机预装的图形化工具访问数据库的后台资源。
4.2.6维护工具集中管理
客户信息的维护工具通过4A管理平台进行统一的Web,将系统运行维护工作所涉及的应用软件或工具集中部署在4A管理平台服务器上。通过Web方式来向不同用户或用户群并仅其所需应用;用户在客户端通过IE浏览器访问权限访问内的客户信息。
4.2.7客户信息文档管控
针对业务支撑网中涉及客户信息访问的维护人员都建立一个个人文件夹,个人文件夹的文件存放在4A文档服务器上,通过4A管理平台访问每个账号的文件夹。文件夹设置权限为只能某个主账号访问。管理中心通过FTP协议访问文档服务器的目录,客户端通过HTTP协议管理文件夹,上传下载通过HTTP/FTP协议。实现客户信息批量文档下载操作行为的可控化,如果维护人员的确因业务需要下载用户数据,则需要根据事先约定的申请、审批等环节,同时通过短信通知上级主管,形成基于信息安全监察机制的闭环控制体系。
4.2.8客户信息访问审计
通过4A管理平台任何用户使用和应用的过程可以被全程监控,其审计的内容包括录像审计、SecurerCRT审计、Sql访问审计、客户信息批量下载审计等。任何用户使用维护功能的过程将被全程监控:用户的操作行为及显示器上的内容变化可以存放到集中存储上,然后在需要的时候像看电影一样回放。为有效利用资源和保护隐私,客户信息访问审计允许灵活定制以时间、角色、应用名称、位置为参数的录像策略来控制录像的开始和停止。业务支撑系统从各环节层次抽取的审计日志信息,按照4A管理平台的要求对其进行重新过滤和格式化整理,并最终进行日志信息入库。整个过程需实现处理的流程化及自动调度机制,以保障4A管理平台能够及时地获取日志数据。4A管理平台提供统一日志采集接口(API或WebServices),所有应用系统都可以调用该接口,记录日志信息。
5意义
客户信息保护体系的建设是以强化业务支撑系统数据安全管理,实现信息安全审计、数据安全保护为最终目的。通过对系统权限、操作日志、访问控制等安全措施,满足中国移动在客户信息安全保护方面的需求,提升业务支撑系统抗客户信息安全风险能力,更进一步推动业务支撑系统的持续、健康发展。
6结束语
本文在分析了中国移动客户信息安全保护的需求基础上,对客户信息保护体系的关键实现机制进行了研究,并对客户信息保护体系的实现架构、功能要求、管控方法进行了分析和描述。在客户信息保护体系的实际应用中需要紧密地与业务支撑系统的实际情况,形成CRM系统、经营分析系统客户信息安全管控策略,提高了安全机制的推广效率。随着用户的深入使用,功能将越来越强大。
作者:徐党生 单位:中国移动通信集团吉林有限公司