时间:2023-09-18 17:33:21
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全和网络安全,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
.DOCX
【珍惜当下,不负遇见】
(本文档共
【
3
】页/【
1010
】字)
单位
姓名
20XX年X月
教育信息安全与防护培训心得体会
——单位
姓名
20XX年X月
20XX年X月,我通过国培智慧云平台学习了《教育信息安全与防护》系列课程,课程有《教育信息安全管理与防护-教育现代化与教育信息化》《中小学教师网络信息安全防护案例分析-网络信息安全防护案例》《常用信息安全防护技术与实践-教育网络安全分析》等。通过聆听专家的精彩讲解,我感触颇深。
维护教育信息安全,是每个教育工作者的责任。和平年代网络信息安全关乎国家与人民的利益,如何为网络筑起一道“安全门”。需要人民群众上下一心主动投身到网络安全事业中去,全心全意为国家网络安全拉起一道“防火墙”。
互联网虽然是虚拟的,但使用互联网的人都在现实中。鉴于网络安全的形式日益严峻,对付网络安全要有非常行之有效的方式,就是让社会上的每一个分子都成为参与者,都能积极贡献自己的一份力量。
通过学习教育信息安全与防护,使我更加深刻的理解网络信息安全的重要性。网络信息安全是保护个人信息的完整性和保密性的重要条件,只有明白了网络信息安全的基础知识,我们才能更加的了解网络信息安全在如今信息化时代的重要性!
[关键词] 高校 网络安全人才 培养模式
随着网络技术的发展和信息化程度的日益提高,人们的社会生活对信息基础设施和信息资源的依赖程度越来越高。信息网络给人类带来方便的同时,其所带来的网络安全隐患问题日益严重。而网络安全人才在解决安全隐患和威胁方面的作用将越来越突出。
网络安全人才是指受过计算机网络技术、信息安全教育或培训,懂得计算机技术或是网络安全方面的知识并且能够解决实际问题的专门人才。网络安全人才在维护网络安全、保障网络运行中起着基础和决定性的作用。但我国网络安全人才培养却严重不足,人才供需矛盾突出。根据教育部统计资料表明,我国目前大学本科以上学历的网络安全人才只有2100人左右,而国内对网络安全专业人才的需要量高达10余万以上,每年全国能够培养的信息安全专业学历人才和各种安全认证人员大约不到5千人,供需缺口特别大。据统计,到2008年,全球网络安全行业的就业人数将由目前的130万上升到210万。目前,我国网络安全人员从人数和质量上都远不能满足市场的紧迫需求,加快网络安全人才的培养,已经成为影响信息化社会发展的速度和国家安全实现的关键性因素。
一、我国高校培养网络安全人才的现状
1.高校网络安全人才培养处于探索阶段。网络安全人才的培养是随着网络的快速普及而展开的。2000年,我国高校开始设置信息安全本科专业,标志着我国将网络安全人才的培养正式纳入高等教育体系中。据不完全统计,截止到目前,我国已有近50所高校开设了信息安全本科专业,部分高校已设立了信息安全方面的硕士点和博士点,初步形成了本科――硕士――博士的培养层次。
2.高校网络安全人才的培养尚未形成科学的模式。由于高校培养网络安全人才正处于起步和探索阶段,因此各个高校采取的方式和方法也不尽相同,体现出不同的办学思路。例如有的学校把信息安全专业办在安全工程系,以安全为教学内容的重点;有的学校把信息安全专业办在计算机系,以计算机和网络知识为重点;有的学校把信息安全专业办在数学系,以数学、物理等基础知识为其侧重点;有的学校把信息安全专业办在通信系,以密码学作为教学的重点;还有的学校将信息安全专业设置在管理学系,以电子商务为其教学重点和方向。
不同的办学思路,一方面是各个高校依照其自身的学科优势和办学格局,对信息安全学科初期发展进行的有益探索和尝试,符合高等教育发展和高校自身建设的规律;但另一方面也说明我国整个高等教育体系在信息安全学科方面缺乏统一的规划和指导,还没有形成科学合理的学科教育模式。
二、我国高校网络安全人才培养模式存在的问题
1.学科体系不成熟。我国部分高校已设置了信息安全专业,初步形成了从本科到博士的培养层次。但是信息安全是一门综合性的交叉学科,涉及数学、通信、计算机、微电子、网络工程、密码学、法律等诸多学科,我国高校在网络安全人才的培养过程中,还无法准确把握各学科之间的比重关系,表现在各高校在该专业的课程设置上比较盲目,随意性较大。目前的培养体系中,还存在重数量轻质量、重文凭轻素质的现象,培养的人才普遍是从理论到理论,动手实践能力不强,不能解决现实的网络安全问题。
2.培养目标、培养计划和相应的课程体系还不完善。现有培养模式中,信息安全学科建设的指导思想、人才培养的目标和方向都是各个高校根据其具体情况制定的,缺乏系统的学科指导体系和规划。各高校都处于一种“摸着石头过河”的状况,直接导致了培养的人才水平参差不齐、知识结构不合理,不能胜任企业和其他用人单位的工作需要。
3.精通网络安全理论和技术的尖端人才以及专门从事网络安全研究的科研人员缺乏。网络从其产生到现在也不过短短的几十年,网络安全的问题更是最近几年才引起人们的普遍关注。我国进行网络安全方面的研究起步较晚,网络安全人才不足,且多是“半路出家”(即由网络管理人员通过有关网络安全知识的自学或短期培训后从事这项工作的),缺乏大量精通尖端网络安全技术的专门人才。网络安全人才分布不均、人才队伍不稳定。这种状况使我国目前对网络安全方面的研究远远落后于网络技术的发展。
4.网络安全教育的普及率较低,一些公民缺乏网络安全意识。由于网络安全问题一直没有得到应有的重视,这就导致普通公民对此问题持无所谓的态度,即使是经常接触网络的人也没有形成网络安全的观念和常识,安全隐患较多。
5.缺乏网络安全教育所必需的实验设备和条件。开设信息安全专业的部分高校缺乏基本的基础课程实验室,教学实验和模拟设备。许多高校无法开展课程体系中所要求的实验,学生的学习只能是从理论到理论,极大的削弱了教学效果。
6.偏重理论学习,对实践环节重视不够。信息安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会。当前设有信息安全专业的高校,能够为学生提供实践的机会很少。许多高校无法为学生提供实践锻炼的机会,更不用说提供处理网络安全问题的模拟实践。这样培养出来的人才其解决实际问题的能力可想而知。
三、美国高校网络安全人才培养的模式
美国高校的网络安全人才培养模式主要有两种:“核心课程+课程模块”模式和“知识传授+科学创新+技术能力”模式。“核心课程+课程模块”模式是美国大学网络安全专业教学中采用的一种基本模式,它类似于我国高校中采用的“基础课+专业方向选修课”的模式。也就是说,学生在修完规定的专业基础课后,可以根据其爱好和特长,选择自己感兴趣的某个方向进行研究。“知识传授+科学创新+技术能力”模式承担着基础知识教育、专业技能培养和创新能力培养的重任,对网络安全人才的培养提出了更高的要求。
美国不仅在本科阶段培养网络安全人才形成了自己的特点,在硕士和博士阶段更加注重对某一领域的深入研究。美国的研究生教育通过补充课程论文和考试或者通过课程论文和硕士论文项目使研究生们在信息安全学科的某一个特定领域深入下去。硕士论文通常是开发一种理论到某一个或者一些特定场合的应用;而博士阶段更注重理论分析,对理论进行扩展,改进或者提出新的理论。
美国的网络安全人才培养模式的优势在于注重学生基础知识的获取和创新能力的培养。基础知识和专业理论教育是学生必须掌握的内容,培养出来的学生具有较广的知识面和知识体系,可以满足企业等用人单位的不同需求。通过大学及研究生阶段的学习,学生不但可以很快熟悉并巩固书本知识,并且可以在实践的过程中,不断研究发现新问题并予以解决,培养了学生的创新能力。
笔者认为,创新能力的培养必须以基础知识和专业技能为根基,是建立在扎实的基础知识和熟练的专业技能基础之上的一个更高层次的目标和要求,因此,与“核心课程+课程模块”模式相比,依据“知识传授+科学创新+技术能力”模式培养出来的人才不仅具有较强的专业知识和处理实际问题的能力,而且具有较强的创新能力。
四、完善我国高校安全人才培养模式的具体措施
我国应在借鉴美国高校网络安全人才培养模式优点的同时,探索适合我国国情的网络安全人才模式。笔者认为,可以采取“核心课程+课程模块+教学实践”这种理论和实践相结合的培养模式。在核心课程设置中,让学生掌握计算机、数学、通信、计算机、微电子、网络工程、密码学等基础知识;在课程模块设计中,让学生探讨研究其感兴趣的网络安全领域和内容;在教学实践环节,让学生总结出大量目前存在的网络安全问题,并尝试着让其进行研究解决,以此锻炼学生分析问题、解决问题的能力,使学生能将所学理论知识与实际应用结合起来。
具体来说,高校应从以下几方面入手,培养网络安全人才,使其具备较合理的知识结构:
1.研究信息安全专业特点,建立科学合理的学科知识体系。信息安全专业是一个交叉的新兴学科,需要许多学科的知识作为铺垫。高校网络安全人才培养的目标应是造就一批具有较高素质的网络安全管理和技术人才。我国高校应通过统一制定教学大纲和统编教材,使学生具备计算机、数学、密码学等健全合理的知识结构。合理采用美国高校对网络安全人才培养的先进理念和模式,通过严格的培养使信息安全专业毕业的学生具备以下素质:宽厚扎实的计算机科学和软件工程知识;娴熟的计算机科学技术综合应用能力;将信息系统及其安全领域的知识同某一应用领域业务相结合的能力;独立完成网络安全相关领域问题的能力。
2.开设法律课程,使网络安全人才具备相应的法律知识。虽然我国还没有专门的网络安全法,但在一些法律法规以及规章制度中都不同程度的涉及到了网络安全的内容。例如《刑法》、《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》等都是有关网络安全的法律法规。作为网络安全人才必须了解上述法律、法规的相关规定。
3.将网络安全理论教育和实践相结合。高校应该将“网络安全设备操作指南”、“网络安全注意事项”等内容列入日常的教学活动中,这是培养网络安全人才,保证各项安全策略、制度、规程和操作在日常工作中得到贯彻落实的重要环节。还可以定期进行网络安全演练,如果条件成熟,甚至可以挑选一些真正的病毒加以分析、研究。这不仅是检查网络安全保障体系运作情况的重要手段,而且可以增强学生应付突发事件的能力。
4.网络安全人才的培养是一种持续教育,因此应加强和政府、公司的交流与合作,充分调动各方面积极因素,共同培养高素质的网络安全人才。美国高校的网络安全教育特别重视合作与交流,例如美国普渡大学(Purdue University),其COAST(Computer Operations Audit and Security Technology)项目是该校计算机科学系从事计算机安全研究的多项目、多投资的实验室,它促使政府机构、大公司的研究人员和工程师紧密合作。如今COAST已经是世界上最大的专职的、学术的计算机安全研究群体之一,培养了许多优秀的信息安全专业人才。我国高校应借鉴其有益的经验,加强师资队伍的建设,改善办学条件,对信息安全方面的研究给予经费支持和倾斜,改变教学条件,更新试验设备和仪器。同时,加强国内与国际的交流,搭建学校与企业的互动平台,和一些具有综合实力的大企业、公司合作,让学生进行有机的、双向的实践活动。
《国家信息安全报告》中指出:“从事信息技术的人才匮乏是当今世界的一大紧急警报。就信息安全的人才而言,其匮乏的程度更比一般的IT技术有过之而无不及。”《2006――2020年国家信息化发展战略》更是为我国网络安全人才的培养提出了宏伟目标:“建设国家信息安全保障体系,加快信息安全人才培养,增强国民信息安全意识。提高国民信息技术应用能力。提高国民受教育水平和信息能力。培养信息化人才。构建以学校教育为基础,在职培训为重点,基础教育与职业教育相互结合,公益培训与商业培训相互补充的信息化人才培养体系。”我国高校应按照《发展战略》的指引和要求,积极探索和建立网络安全人才培养的模式,为网络安全人才的培养提供更为广阔的空间和平台,构建更加坚固的网络安全保障体系,只有如此,才能营造出和谐、安全的网络空间。
参考文献:
[1]郑志彬吴昊辛阳:建立产学研结合的信息安全人才培养道路[J].北京电子科技学院学报,2006(3)
[2]刘宝旭:浅谈信息安全学科建设与人才培养[J].北京电子科技学院学报,2006(3)
[3]王海晖谭云松伍庆华黄文芝:高等院校信息安全专业人才培养模式的研究[J].现代教育科学,2006(3)
5月9日,国务院召开常务会议,研究部署推进信息化发展、保障信息安全工作。健全安全防护和管理和加快安全能力建设成为本次国务院会议颁布的《关于大力推进信息化发展和切实保障信息安全的若干意见》(下称《意见》)的工作重点。
《意见》强调,要健全重要信息系统和基础信息网络要与安全防护设施同步规划、同步建设、同步运行,强化技术防范,严格安全管理,切实提高防攻击、防篡改、防病毒、防瘫痪、防窃密能力;加强地理、人口、法人、统计等基础信息资源的保护和管理,强化企业、机构在网络经济活动中保护用户数据和国家基础数据的责任;完善网络与信息安全基础设施,加强信息安全应急等基础性工作,提高风险隐患发现、监测预警和突发事件处置能力;加大信息安全技术研发力度,支持信息安全产业
发展。
英国政府高度重视信息安全,在近三年之内连续两次出台了国家网络安全战略,2011年11月25日的《英国网络安全战略》对英国信息安全建设做出了战略部署和具体安排,英国推进信息安全建设的做法对我国有哪些借鉴意义?
英式样本
《英国网络安全战略》全文共43页,文件正文由“网络空间驱动经济增长和增强社会稳定”、“变化中的威胁”、“网络安全2015年愿景”和“行动方案”四个部分组成,介绍了战略的背景和动机,并提出了未来四年的战略计划以及切实的行动方案。该战略继承了2009年英国的网络安全战略,并继续在高度重视网络安全基础上进一步提出了切实可行的计划和方案。
《英国网络安全战略》的一个总体愿景是在包括自由、公平、透明和法治等核心价值观基础上,构建一个充满活力和恢复力的安全网络空间,并以此来促成经济大规模增长以及产生社会价值,通过切实行动促进经济繁荣、国家安全以及社会稳定。
在此愿景下,其设立的四个战略目标分别为应对网络犯罪,使英国成为世界上商业环境最安全的网络空间之一;使英国面对网络攻击的恢复力更强,并保护其在网络空间中的利益;帮助塑造一个可供英国大众安全使用的、开放的、稳定的、充满活力的网络空间,并进一步支撑社会开放;构建英国跨层面的知识和技能体系,以便对所有的网络安全目标提供基础支持。
为实现上述目标,英国政府配套出台了三个行动原则。第一是风险驱动的原则:针对网络安全的脆弱性和不确定性,在充分考虑风险的基础上建立响应机制。第二是广泛合作的原则:在国内加强政府与私营部门以及个人的合作,在国际上加强与其他国家和组织的合作。第三是平衡安全与自由私密的原则:在加强网络安全的同时充分考虑公民隐私权、自由权和其它基础自由权利。
与此同时,《英国网络安全战略》还规定了个人、私营机构和政府的规范和责任。它要求个人在网络空间应做到基本的自我保护,懂得基本的安全操作知识,也要为各自在网络空间中的行为承担责任;私营机构在网络空间不仅要做到主动的安全防御,还要与政府机构和执法机关等互相合作来面对挑战,另外还要抓住网络安全产业发展带来的机遇;政府在网络空间要在降低政府系统本身风险的同时,发挥其在网络安全构建方面的主导作用。
在具体实施细则方面,《英国网络安全战略》配套制定了八个行动方案支撑点,分别是:
明确战略资金在各机构的分配方式。该战略明确了未来四年中投入的6.5亿英镑的分配方式,以确保英国以一种更积极的方法来应对网络威胁。在英国国家通信总局的支持下,一半左右的资金将被用于加强英国检测和对抗网络攻击的核心功能。
加强网络安全国际合作。英国将积极与其他国家和国际组织展开合作,以共同开发网络空间行为的国际规范或“交通规则”。
降低政府系统和关键基础设施的风险。英国将结合本国国情,与掌控关键基础设施的私营机构展开合作,开发严格的网络安全标准,推动建设威胁信息共享的“网络交换机”。
建立网络安全专业人才队伍。英国将采取认证培训、学科教育、资金支持以及继续举行网络安全挑战赛等方式建立核心专业人才队伍,并鼓励有“道德感的”黑客参与进来。
构建网络犯罪法律体系。英国将在鼓励举报网络犯罪的同时,针对网络犯罪行为构建强力的法律框架,以支持执法机构应对网络犯罪。英国还将致力于建立应对跨国网络犯罪的合作机制,以杜绝“避风港”的存在。
提高公众网络安全意识。英国将运用媒体宣传来帮助大众了解和应对网络威胁,普及不同层次的网络安全教育,与互联网提供商合作以帮助个人确认是否受到网络侵害,将为所有人提供明确的网络安全建议。
增强商业网络安全功能。英国认为商业领域是网络空间犯罪和经济间谍活动的最大受害者,政府应与消费者和私营结构一起增强商业网络安全功能,包括建立信息共享的网络“交换机”、制定相关标准以及重点确保在线消费安全等。
培育网络安全商业机会。英国将在国家通信总局等部门的技术支持下,化威胁为机遇,在网络空间中树立网络安全竞争优势,以促进经济增长,最终将之转化为英国的竞争力优势之一。
战略背后
无疑,《英国网络安全战略》旨在提升网络安全产业国际竞争力,确保英国拥有一个安全的网络环境。《英国网络安全战略》中不止一次提到要确保英国在网络安全产业处于国际领先地位。
与美国的《网络空间国际战略》相比,英国政府并不谋求网络空间的主导地位,而是将注意力集中在维护本国网络安全、加强本国网络安全产业竞争力、创造网络安全商业机遇等方面。作为该战略核心的“英国2015年愿景”中,在短短的60余字中分别两次提到“促进经济大规模增长”和“促进经济繁荣”,充分表明英国政府通过网络安全促进经济发展的
决心。
当前包括英国在内的欧洲依然处于金融危机导致的困境,例如经济发展低迷、政府赤字居高不下、失业率持续增加等。英国政府敏锐的意识到了网络安全行业带来的经济机遇,不惜斥资6.5亿英镑改善网络安全环境,增加网络安全竞争力,以抢占网络安全行业市场,确保其“先行者优势”。
此外,战略中明确提出了要建立相应的法律体系和执法队伍,利用英国先进的相关技术支持网络安全部门的发展,健全网络安全国家响应机制,提高在线公共服务水平,分享网络安全信息,以及杜绝网络犯罪国际“避风港”等。这些措施的目的是确保英国拥有安全的网络环境,并在网络安全领域处于优势地位。
我们注意到,《英国网络安全战略》细化了战略实施方案,强调多方合作机制。英国推进信息安全建设非常注重战略等文件的可操作性,如其更加强调战略的实施细节,并在附录中详细阐述了针对四个战略目标的具体实施方案。战略实施方案分别从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育以及国际合作等各方面提出了实施细则,具有很强的可操作性。
针对网络空间结构的复杂性,英国政府认识到网络安全需要网络空间构成各方的广泛参与,该战略从多维度提出建设多方合作机制,包括在英国国内增强政府与私营机构、政府与个人、私营机构与个人之间的合作,以确保三方在构建安全网络空间发挥各自的角色;在国际上加强本国政府与他国政府、本国政府与国际组织之间的合作,以确保英国在网络安全领域的国际主导地位。
再造
英国在重视网络安全的基础上,提出将网络安全作为新的经济增长点,以便刺激经济增长、摆脱当前的经济困境。英国针对网络安全的具体做法对我国有着重要的借鉴意义。
一是加快制定我国的网络安全战略。近年来,各个国家愈发重视网络空间安全问题,将网络安全提升到国家战略高度。例如美国了《网络空间国际战略》,印度推出了《国家网络安全策略草案》等。我国虽然对网络安全发展也非常重视,但是尚停留在安全保障、被动防御的阶段,还没有形成推进网络安全的战略体系,还没有出台过国家网络安全战略。因此,国家应立足国家层面,加快制定并出台我国网络安全战略,明确网络空间是我国的新疆域,并将保障网络空间安全作为新时期维护国家利益的重要任务,确定我国网络安全发展战略目标、战略重点和主要主张,全方位指导我国网络安全建设。
二是制定切实可行的战略实施方案。网络安全战略的实施任务多、涉及面广,必须由各部门联合制定切实可行的实施方案,协作推进,确保战略实施。《英国网络安全战略》非常注重战略的可实施性,可操作性。这一点对我国具有非常大的参考价值。我们应进一步加强网络与信息安全领导小组对我国网络安全的统一领导和协调职责,提高保障网络安全、应对网络犯罪、推动网络应用和宣传推广等工作的协调能力。同时,在网络与信息安全领导小组统一领导和协调下,各职能部门要相互配合,针对战略目标从政策导向、执法体系、机构合作、技术培训、人才培养、市场培育、以及国际合作等方面制定切实可行的实施方案,确保我国网络安全战略的顺利实施。
三是重视网络安全产业,促进经济发展。英国网络安全战略地亮点之一是英国政府不仅敏锐地意识到了网络安全行业带来的经济机遇,而且将网络安全产业作为英国新经济增长点。《英国网络安全战略》明确提出未来四年将斥资6.5亿英镑改善英国网络安全环境,充分表明英国政府通过网络安全促进经济发展的决心。这一点对我国制定网络安全战略也有重要的启示作用。我国制定网络安全战略不仅应着眼于构建安全的网络空间,还应该高度重视网络安全行业带来的经济增长。在制定国家战略时,应明确提出鼓励网络安全产业发展的政策、资金、法律等方面措施,推动我国网络安全企业做大做强和安全产业快速发展,充分发挥网络安全产业在我国经济增长中的带动作用。
1美国电力行业信息安全的战略框架
为响应奥巴马政府关于加强丨Kj家能源坫础设施安全(13636行政令,即ExecutiveOrder13636-ImprovingCriticalInfrastructureCybersecurity)的要求,美国能源部出资,能源行业控制系统工作组(EnergySec*torControlSystemsWorkingGroup,ESCSWG)在《保护能源行业控制系统路线图》(RoadmaptoSecureControlSystemsintheEnergySector)的基础上,于2011年了《实现能源传输系统信息安全路线阁》。2011路线图为电力行业未来丨0年的信息安全制定了战略框架和行动计划,体现了美国加强国家电网持续安全和可靠性的承诺和努力路线图基于风险管理原则,明确了至2020年美国能源传输系统网络安全目标、实施策略及里程碑计划,指导行业、政府、学术界为共丨司愿景投入并协同合作。2011路线图指出:至2020年,要设计、安装、运行、维护坚韧的能源传输系统(resilientenergydeliverysystems)。美国能源彳了业的网络安全目标已从安全防护转向系统坚韧。路线图提出了实现目标的5个策略,为行业、政府、学术界指明了发展方向和工作思路。(1)建立安全文化。定期回顾和完善风险管理实践,确保建立的安全控制有效。网络安全实践成为能源行业所有相关者的习惯,,(2)评估和监测风险。实现对能源输送系统的所有架构层次、信息物理融合领域的连续安全状态监测,持续评估新的网络威胁、漏洞、风险及其应对措施。(3)制定和实施新的保施。新一代能源传输系统结构实现“深度防御”,在网络安全事件中能连续运行。(4)开展事件管理。开展网络事件的监测、补救、恢复,减少对能源传输系统的影响。开展事件后续的分析、取证以及总结,促进能源输送系统环境的改进。(5)持续安全改进。保持强大的资源保障、明确的激励机制及利益相关者密切合作,确保持续积极主动的能源传输系统安全提升。为及时跟踪2011路线图实施情况,能源行业控制系统工作组(ESCSWG)提供了ieRoadmap交互式平台。通过该平台共享各方的努力成果,掌握里程碑进展情况,使能源利益相关者为路线图的实现作一致努力。
2美国电力行业信息安全的管理结构
承担美国电力行业信息安全相关职责的主要政府机构和组织包括:国土安全部(DHS)、能源部(1)0£)、联邦能源管理委员会(FEUC)、北美电力可靠性公司(NERC)以及各州公共事业委员会(PUC)。2.1国土安全部美国国土安全部是美国联邦政府指定的基础设施信息安全领导部I'j'负责监督保护政府网络安全,为私营企业提供专业援助。2009年DHS建立了国家信息安全和通信集成中心(NationalCyhersecurityandCommunicationsIntegrationCenter,NCCIC),负责与联邦相关部门、各州、各行业以及国际社会共享网络威胁发展趋势,组织协调事件响应w。
2.2能源部
美国能源部不直接承担电网信息安全的管理职责,而是通过指导技术研发和协助项目开发促进私营企业发展和技术进步能源部的电力传输和能源可靠性办公室(Office(>fElectricityDelivery<&EnergyReliability)承担加强国家能源基础设施的可靠性和坚韧性的职责,提供技术研究和发展的资金,推进风险管理策略和信息安全标准研发,促进威胁信息的及时共享,为电网信息安全战略性综合方案提供支撑。
能源部2012年与美国国家标准技术研究院、北美电力可靠性公司合作编制了《电力安全风险管理过程指南》(ElectricitySubsectorCybersecurityRiskManagementProcess)151;2014年与国土安全部等共同协作编制完成了《电力行业信息安全能力成熟度模型》(ElectricitySubsectorcybersecurityCapabilityMaturityModel(ES-C2M2)丨6丨,以支撑电力行业的信息安全能力评估和提升;2014年资助能源行业控制系统工作组(ESCSWG)形成了《能源传输系统网络安全采购用语指南》(CybersecurityProcurementlanguageforEnergyDeliverySystems)171,以加强供应链的信息安全风险管理。
在201丨路线图的指导下,能源部启动了能源传输系统的信息安全项目,资助爱达荷国家实验室建立SCADA安全测试平台,发现并解决行业面临的关键安全漏洞和威胁;资助伊利诺伊大学等开展值得信赖的电网网络基础结构研究。
2.3联邦能源管理委员会
联邦能源管理委员会负责依法制定联邦政府职责范围内的能源监管政策并实施监管,是独立监管机构。2005年能源政策法案(EnergyPolicyActof2005)授权FERC监督包括信息安全标准在内的主干电网强制可靠性标准的实施。2007年能源独立与安全法案(EnergyIndependenceandSecurityActof2007(EISA))赋予FERC和国家标准与技术研究所(National丨nstituteofStandardsan<丨Technology,NIST)相关责任以协调智能电网指导方针和标准的编制和落实。2011年的电网网络安全法案(GridCyberSecurityAct)要求FKRC建立关键电力基础设施的信息安全标准。
2007年FERC批准由北美电力可靠性公司制定的《关键基础设施保护》(criticalinfrastructureprotection,CIPW标准为北美电力可靠性标准之中的强制标准,要求各相关企业执行,旨在保护电网,预防信息系统攻击事件的发生。
2.4北美电力可靠性公司
北美电力可靠性公司是非盈利的国际电力可靠性组织。NERC在FERC的监管下,制定并强制执行包括信息安全标准在内的大电力系统可靠性标准,开展可靠性监测、分析、评估、信息共享,确保大电力系统的可靠性。
NERC了一系列的关键基础设施保护(CIP)标准181作为北美电力系统的强制性标准;与美国能源部和NIST编制了《电力行业信息安全风险管理过程指南》,提供了网络安全风险管理的指导方针。
归属NERC的电力行业协凋委员会(ESCC)是联邦政府与电力行业的主要联络者,其主要使命是促进和支持行业政策和战略的协调,以提高电力行业的可靠性和坚韧性'NERC通过其电力行业信息共享和分析中心(ES-ISAC)的态势感知、事件管理以及协调和沟通的能力,与电力企业进行及时、可靠和安全的信息共享和沟通。通过电网安全年会(GridSecCon)、简报,提供威胁应对策略、最佳实践的讨论共享和培训机会;组织电网安全演练(GridEx)检查整个行业应对物理和网络事件的响应能力,促2.5州公共事业委员会美国联邦政府对地方电力公司供电系统的可靠性没有直接的监管职责。各州公共事业委员会负责监管地方电力公司的信息安全,大多数州的PUC没有网络安全标准的制定职责。PUC通过监管权力,成为地方电力系统和配电系统网络安全措施的重要决策者。全国公用事业监管委员协会(NationalAssociationofRegulatoryUtilitycommissioners,NARUC)作为PUC的一■个联盟协会,也采取措施促进PUC的电力网络安全工作,呼吁PUC密切监控网络安全威胁,定期审查各自的政策和程序,以确保与适用标准、最佳实践的一致性%
3美国电力行业信息安全的硏究资源
参与美国电力行业信息安全研究的机构和组织主要有商务部所属的国家标准技术研究院及其领导下的智能电网网络安全委员会、国土安全部所属的能源行业控制系统工作组,重点幵展电力行业信息安全发展路线图、框架以及标准、指南的研究。同时,能源部所属的多个国家实验室提供网络安全测试、网络威胁分析、具体防御措施指导以及新技术研究等。
3.1国家标准技术研究院(NIST)
根据2007能源独立与安全法令,美_国家标准技术研究院负责包括信息安全协议在内的智能电网协议和标准的自愿框架的研发。NISTf20102014发#了《®能电网互操作标准的框架和路线图》(NISTFrameworkaridRoadmapforSmartGridInteroperabilityStandard)1.0、2.0和3.0版本,明确了智能电网的网络安全原则以及标准等。2011年3月,NIST了信息安全标准和指导方针系列中的旗舰文档《NISTSP800-39,信息安全风险管理》丨叫(NISTSpedalPublication800—39,ManagingInformationSecurityRisk),提供了一系列有意义的信息安全改进建议。2014年2月,根据13636行政令,了《提高关键基础设施网络安全框架》第一版,以帮助组织识别、评估和管理关键基础设施信息安全风险。
NIST正在开发工业控制系统(ICS)网络安全实验平台用于检测符合网络安全保护指导方针和标准的_「.业控制系统的性能,以指导工业控制系统安全策略最佳实践的实施。
3.2智能电网网络安全委员会
智能电网网络安全委员会其前身是智能电网互操作组网络安全工作组(SGIP-CSWG)ra。SGCC一直专注于智能电网安全架构、风险管理流程、安全测试和认证等研究,致力于推进智能电网网络安全的发展和标准化。在NIST的领导下,SGCC编制并进一步修订了《智能电网信息安全指南》(NISTIR7628,GuidelinesforSmartGridCybersecurity),提出了智能电网信息安全分析框架,为组织级研究、设计、研发和实施智能电网技术提供了指导性T.具。
3.3国家电力行业信息安全组织(NESC0)
能源部组建的国家电力行业信息安全组织(NationalElectricSectorCybersecurityOrganization,NESCO),集结了美国国内外致力于电力行业网络安全的专家、开发商以及用户,致力于网络威胁的数据分析和取证工作⑴。美国电力科学研究院(EPRI)作为NESC0成员之一提供研究和分析资源,开展信息安全要求、标准和结果的评估和分析。NESCO与能源部、联邦政府其他机构等共同合作补充和完善了2011路线图的关键里程碑和目标。
3.4能源行业控制系统工作组(ESCSWG)
隶属国土安全部的能源行业控制系统工作组由能源领域安全专家组成,在关键基础设施合作咨询委员会框架下运作。在能源部的资助下,ESCSWG编制了《实现能源传输系统信息安全路线图》、《能源传输系统网络安全釆购用语指南》。3.5能源部所属的国家实验室
3.5.1爱达荷国家实验室(INL)
爱达荷W家实验室成立于1949年,是为美国能源部在能源研究、国家防御等方面提供支撑的应用工程实验室。近十年来,INL与电力行业合作,加强了电网可靠性、控制系统安全研究。
在美国能源部的资助下,INL建立了包含美国国内和国际上多种控制系统的SCADA安全测试平台以及无线测试平台等资源,目的对SCADA进行全面、彻底的评估,识別控制系统脆弱点,并提供脆弱点的消减方法113】。通过能源部的能源传输系统信息安全项目,INL提出了采用数据压缩技术检测恶意流量对SCADA实时网络保护的方法hi。为支持美国国土安全部控制系统安全项目,INL开发并实施了培训课程以增强控制系统专家的安全意识和防御能力。1NL的相关研究报告有《SCADA网络安全评估方法》、《控制系统十大漏洞及其补救措施》、《控制系统网络安全:深度防御战略》、《控制系统评估中常见网络安全漏洞》%、《能源传输控制系统漏洞分析>严|等。
3.5.2太平洋西北国家实验室(PNNL)
太平洋西北国家实验室是美国能源部所属的阔家综合性实验室,研究解决美国在能源、环境和国家安全等方面最紧迫的问题。
PNNL提出的安全SCADA通信协议(secureserialcommunicationsprotocol,SSCP)的概念,有助于实现远程访问设备与控制中心之间的安全通信。的相关研究报告有《工业控制和SCADA的安全数据传输指南》等。PNNL目前正在开展仿生技术提高能源领域网络安全的研究项。
3.5.3桑迪亚国家实验室(SNL)
桑迪亚国家实验室是能源部所属的多学科国家实验室,也是联邦政府资助的研究和发展中心。SNL的研究报告有《关键基础设施保护网络漏洞评估指南》、《控制系统数据分析和保护安全框架》、《过程控制系统的安全指标》I1'《高级计量基础设施安全考虑》、《微电网网络安全参考结构》等。在能源部的资助下,SNL开展了关于供应链威胁的研究项目,形成的威胁模型有助于指导安全解决方案的选择以及新投资的决策hi。
4美国电力行业信息安全的运作策略
4.1标准只作为网络安全的基线
NERC的关键基础设施保护标准(CIP)作为强制性标准,是电力行业整体网络安全策略的重要内容。CIP标准与电网规划准则、系统有功平衡与调频、无功平衡与调压、安全稳定运行等系列标准相并列,成为北美大电网可靠性标准的重要组成部分。目前强制执行的是CIP-002至C⑴-009共8个标准的第3版。文献1丨6]提供了CIP-002至CIP-009主要内容的描述列表。C〖P第5版近期已通过FERC批准即将于2016年实施。第5版新增了CIP-010配置变更管理和漏洞评估、C1P-011信息保护2个强制标准。
目前配电系统没有强制标准,但NIST将C1P标准融入了智能电网互操作框架中。智能电网互操作框架虽然是自愿标准,但为配电系统提供了信息安全措施指导为系统性的指导智能电网信息安全工作,NIST组织编制了《美国智能电网信息安全指南》,提出了一个普适性的智能电网信息安全分析框架,为智能电网的各相关方提供了风险评估、风险识别以及安全要求的实施方法。DOE编制的《电力行业信息安全风险管理过程指南》提供了电力行业信息安全风险管理的方法[5】。DOE与DHS合作编制的《信息安全能力成熟度模型》(ES-C2M2)i6i,通过行业实践帮助组织评估、优化和改善网络安全功能,促进网络安全行动和投资的有序开展以及信息安全能力的持续提升。2014年NIST了《提高关键基础设施网络安全框架》也作为电力行业网络安全自愿标准。文献f17]提到只有21%的公用事业采取了NERC推荐的预防震网措施,可见自愿标准的执行率偏低强制执行的CIP标准在大电力系统网络安全方面确实发挥了基础作用,然而网络威胁的快速变化以及每个组织面对的风险的独特性,强制性标准在某种程度上影响企业采取超过但不同于最低标准的合适的防护措施。文献丨3]提出目前将强制性的解决方案扩展到配电网不是有效的方法,联邦政府也在考虑缩小强制性范围。持续提升网络安全水平不能仅仅依赖于标准的符合度,监督管理不能保证安全。电力行业的网络安全需要整体的网络安全战略,包括安全文化建设、共享与协作、风险管理等。无论是强制性的标准还是非强制性的标准都只是信息安全的最低要求'4.2安全文化建设成为信息安全路线图首要策略
对能源传输系统安全风险的认知缺失或识别能力的不足,缺少有效的安全策略和技术环境训练的人员,将阻碍能源行业的持续安全。安全文化建设已成为201丨路线图的首要策略,以提升电力行业网络安全运作的主动性。2011路线图提出重点从最佳实践、教育、认证等方面加强信息安全文化建设,以实现能源传输系统的最佳实践被广泛使用、具备能源传输和网络安全技能的行业人员明显增长等中长期目标'最佳实践传递的目标效果是网络安全实践成为能源行业所有相关者的习惯。相关国家实验室围绕各自研究方向总结了评估方法、漏洞补救措施、操作指南等一系列最佳实践。如INL根据其多年SCADA漏洞评估经验,编制了《能源传输系统漏洞分析》、《SCADA网络安全评估方法》等。PNNL编制的《丁业控制和SCADA系统的安全数据传输指南》,为工业控制系统提供了能及时发现并阻止人侵的数据传输结构。NIST将最佳实践融入了安全框架、指南和导则中,如《提高关键基础设施网络安全框架》、《工业控制系统网络安全指南》等。NESCO、NERC等通过电网安全年会等多种方式提供了最佳实践的交流机会。
1.1现代企业对信息安全人才的需求与日俱增随着科技的发展,计算机网络技术也随之发展起来,其应用领域非常广泛,为人们的生产生活带来了极大的便利,人们在享受这种便利的同时还需要面对因网络信息安全问题而引发的一系列威胁。随着现代企业信息化进程的加快,企业每时每刻都有可能遭受黑客、钓鱼网站、木马、网络漏洞攻击等网络信息安全问题的困扰,如何有效解决企业内部网络信息安全问题已成为现代企业信息化建设首要考虑的问题。在企业信息化建设进程中,需要配备大量高专业水准的信息安全技术人才,使其维护并确保企业信息建设的安全,除此之外,企业还应该制定科学的安全防范策略,为企业网络的安全、稳定运行提供有力保障。
1.2网络信息安全事件时有发生,社会因此遭受了严重损失互联网在运行过程中会受到网络蠕虫、木马病毒等形式的攻击,给计算机用户造成了巨大损失。网络信息安全事件日渐频繁,社会因此遭受了严重损失,当前社会各界对网络信息安全问题都给与了足够重视,为提高网络信息安全投入了大量人力、物力和财力,但是收效甚微,面对多种形式的攻击仍是有心无力。
1.3高校网络信息安全的实验教学要求高校是各种专业人才培养的重要基地,是社会专业人才的主要来源。随着计算机技术的发展,对高校网络安全与网络技术实验教学提出了更高需求,但当前我国多数高校网络安全与网络技术实验教学硬件根本无法满足这一教学需求。高校只有不断提升网络信息安全实验的硬件条件,加强对网络信息和网络技术安全实验教学的建设,才能使学生的网络信息安全实践能力得到有效提高,满足当前社会发展对网络信息安全的人才需求,为社会输送更多具有高专业水准的信息安全技术人才。
2高校网络安全实验室的建设目标及网络实验室的功能
2.1网络安全实验室的建设目标高校实验室主要包括以下三种类型:中心实验室、研究实验室、公共基础实验室。专业基础课的训练是在公共基础实验室进行的,该实验室所面向的是专业基础课的学生。专项研究项目实验是在研究实验室进行的,该实验室所面向的是某一项目的研究人员,研究实验室建设具有较强的局限性及针对性。中心实验室则是为专业课实验而设置的,该实验室所面向的是该专业的学生,中心实验室具有一定的普遍性和针对性。网络安全实验室被定位到了中心实验室当中,网络安全实验室所面向的是信息安全专业的学生,该实验室以网络安全类实验为主,具体实验内容主要包括:网络防御实验、网络攻击实验、网络扫描实验、网络入侵检测实验、网络协议分析实验、网络安全通信实验、网络病毒实验、访问控制实验、身份验证实验等,并将网络攻击实验作为教学重点。
2.2网络实验室功能分析高校网络实验室应该具备以下几项功能:(1)综合布线方面的主要功能:①具有展示端接设备和步骤、光纤的端接方式的功能。②具有展示RJ45模块、双绞线的常用工具和打线方法。③实验室内的布线应该满足语言、数据要求,具有灵活多变的拓朴结构,能构成各种网络拓朴结构(2)网络方面的主要功能:①能够展示集线器、路由器、交换机等网络设备。②通过布线系统的跳线跳接能够实现局域网、广域网络、局域网与局域网互联等形式的网络拓朴结构。③通过配置DDN、拨号等方式能够连接广域网,进行交换机路由器的配置,可实现VIAN。(3)①能够安装、配置、维护Unix、WindowsNT、Linux、Novell等操作系统。②配置网络服务器的各种服务。③具有数据的备份和恢复功能。
3高校网络安全实验室建设所需遵循的原则
确保实验室能够安全稳定的运行,高校所构建的网络安全实验室必须具备较高的可靠性能。(5)标准性与开放性相结合原则,采用符合国家标准的通讯协议和接口。(6)统一性和综合性相统一原则。最好采用一个厂家的设备来组建网络实验室,完成上面提到的众多网络实验。(7)安全性原则,制订统一的安全策略。(8)可管理性原则。对网络实行集中监测,分权管理,并统一分配宽带资源。
4分析高校网络安全实验室的项目设计要求
为提高学生的网络安全技术水平,不仅要为学生安排常规的实验,在此基础上还应该为学生安排VPN技术以及相关配置、外侵检测实验、身份认证实验等高级实验,使学生具备较高层级的网络信息安全技术以及相关的实验能力。高校的网络信息安全实验室在完成一般实验教学的基础上,还可以为学生提供创新实验的平台,在进行实验建设时,要考虑到创新实验的需要,例如进行Linux防火墙设计与实现、Linux网络源代码分析等技术研究。在现有软硬件条件的基础上,优化软件的效果,对当前的软件进行创新和改进,使学生的网络信息安全创新能力得到进一步的提升。
5总结
关键词:计算机;信息管理;网络安全;应用
伴随着互联网网民的不断增加,互联网在带来方便性的同时,也存在一定的安全问题。无论是政府、企业还是个人都在应用互联网的同时面对着可能存在的网络安全问题给自身带来的负面影响。本文从计算机信息管理的层面出发,对计算机信息管理在网络安全中的应用进行深入的研究分析。
一、网络安全与信息管理概述
网络安全通常指的是网络上的信息安全,即网络系统硬件、网络系统软件以及网络系统数据所具有的安全[1]。网络信息无论是传输与存储过程中,还是处理与使用过程中都应处在安全的状态。信息管理,这里指的是网络信息管理,指的是在网络信息与网络信息服务方面的管理。计算机应用中,计算机信息管理技术有着重要的作用,因而其在网络安全管理也有着不可替代的作用。通常情况下,网络信息管理的内容分为基础运行信息、服务器信息、用户信息以及网络信息资源四个方面。
二、计算机信息管理在网络安全应用中存在的问题
计算机信息管理在网络安全中的应用效果好坏,与使用者对计算机网络信息技术的重视程度、技术水平以及管理能力等有着密切的联系。在计算机信息管理技术的应用中,在网络安全作用的实现过程中有着丰富的内容[2]。如域名以及IP 地址等。从现有计算机信息管理在网络安全中的应用中存在的问题来看,主要包括信息访问控制以及信息安全监测两个方面。信息访问控制指的是对网络信息的服务所进行控制的,信息访问控制是使用者与相关资源拥有者这两个作为主要的源头,信息访问控制涉及的是对用户信息以及用户信息公布等诸多方面所具有的安全进行的控制与管理。而信息安全监测则主要是为了应付日常程序外所要具有的技术功能。在信息的应用过程中,受诸多确定性因素与不确定因素的影响,使得信息在正常的使用过程中,还要应付一些突况,特别是对新问题新情况进行的处理,即信息安全监测[3]。换句话说,计算机信息管理在网络安全中的应用主要解决的就是信息访问控制与信息安全监测。
三、计算机信息管理在网络安全中的应用建议
结合计算机信息管理在网络安全的应用中存在问题,本文提出以下计算机信息管理在网络安全中的应用建议:
(一)提高网络安全防范意识
计算机信息管理在网络安全中应用效果的好坏,与网络安全意识防范有着密切的联系。换句话说,也只有不断提高相关人员在网络安全风险防范方面的意识,才能确保网络应有的安全性。进而从根本上避免不良因素与不良信息对网络安全造成的信息供给问题[4]。计算机网络安全防范意识的提高,需要相关人员认识到计算机信息管理在网络安全中应有的重要性。计算机信息管理在网络安全中的应用对社会、组织以及个人都有着密切的联系,其能从本质上促进信息社会的良性发展,相关人员只有在具有较强的网络安全防范意识才能在使用中注意到相应的安全问题,进而在使用过程中关注计算机信息管理在网络安全保障作用的发挥。进而从自身在网络安全方面的实际情况出发,确定好安全风险防范的计划以及安全风险的防范策略,在防范意识不断提高的情况下,促进计算机信息管理在网络安全应用中的管理技术的不断优化,促进计算机信息管理在网络安全中的应用。
(二)通过信息技术确保网络安全
计算机信息管理在网络安全中的应用还需要信息技术的支持。只有通过计算机信息管理技术的优化,才能实现技术的控制,通过良好的技术控制环节来健全计算机信息管理体系[5]。在信息技术环节涉及到确保网络安全的诸多因素,这就要求计算机信息管理在应用过程中,还应不断的增加在研发方面的工作力度,进而提高信息技术水平,为网络安全风险出现问题的及时解决与处理提供必要的信息技术作为基础支撑。信息技术控制作为确保网络安全的关键因素,需要人员素质水平的不断提供为其提供必要的保证。从该技术从业人员整体素质提高的层面来看,应加强对计算机信息管理技术方面的专业人员的培训,应从信息技术发展的实际出发,不断的提高技术人员在处理网络安全方面问题的能力[6]。同时通过研发工作水平的提高,来加强技术人员在应对突发事件方面的处理能力与解决能力。这就要求,在信息技术的应用方面,要以分工负责为基础,将技术的应用效果不断提升,进而满足日益发展的网络安全的需求。
(三)优化网络信息安全管理体系
网络安全的实现与网络信息安全管理体系的建立健全有着密切的联系。只有良好的网络信息安全管理体系,才能确保计算机信息管理能够做到全面计划,实施得当。网络安全的实现与网络安全计划的制定与执行有着密切的联系。该计划的实施需要一个科学合理的模型来进行执行与维护。该模型需要在对已有的网络安全控制策略与措施进行分析的基础上,确定出其应该做的安全控制,进而确立完整的安全框架,并以此为基础建立一个管理模型。从现有的情况来看,与网络信息安全管理体系联系密切的相关模型已经得到了广泛的认可与应用,特别是政府以及企业。这些模型从本质上来看,体现的是混合型的管理模式,是以查阅和借鉴大量相关资料的基础上,并对相关安全控制做出了具体描述的基础上所得出的结果。有的安全管理模型已经发展成了被认可的标准,如美国联邦机构本身就有着良好的管理模型。
计算机信息管理在网络安全中应用的重点在于对网络安全的防范,在信息管理中,无论是管理模型的应用,还是技术控制方式的应用,其本质都是为了贯彻对网络安全的安全管理。网络安全管理是由多方面共同来实现的,包括信息管理、人员管理、制度管理以及机构管理等等,其作用是实现网络安全的有效防范。在机构或者部门中,不同层次的工作人员所具有的责任感,对网络安全的认识、理解与重视程度,都会对网络安全产生一定的影响[7]。这就决定了网络安全的实现,不仅仅需要组织内人员的参与,同时还需要与组织联系密切的其它人员的参与,如供应商或者信息安全方面的专家等等。
(四)从需求方面加强管理
从需求的层面来看,建立一个安全的系统应首先关注的是对业务需求的分析,通过分析明确现有的网络信息安全威胁与网络信息安全所采用的攻击手段。从网络物理安全方面的需求来看,需要做好的是物理访问控制、设施以及防火安全,在技术上确保可行的资源保护与网络访问安全,组织的工作人员以及外来人员应有着良好的保密意识,做好相应的保密工作,进而实现在物理上避免网络安全风险的存在。从人员的层面来看,组织内部的工作人员应在操作权限上做合理的划分与分配。以管理效率以及便捷程度为基础,按照不同的级别与重要程度来实施管理,确保网络的顺畅与安全。要不断强化与落实在确保网络安全方面的责任制,确保组织内的工作人员在规定的权限范围内来进行工作[8]。除此以外还应加强对网络信息文档的管理,采用必要的措施确保文档应有的真实性,并应经常对文档进行备份。
综上所述,对网络安全产生负面影响的因素是多元化的,这就决定的不仅仅要从计算机信息技术方面的角度对网络安全进行处理,同时还应从计算机信息管理的层面对网络安全的应用进行综合化的处理。因而,有必要在今后的工作和学习中不断加强计算机信息管理在网络安全应用中的研究,进而有效的促进网络安全的良性发展。
参考文献
[1] 张兰兰.计算机网络信息技术安全及对策探讨[J].计算机光盘软件与应用.2012(18):43-44.
[2] 殷学强.计算机网络安全威胁及防范措施[J].信息与电脑(理论版). 2011(09):98-99.
[3] 徐岩.网络信息安全技术防范措施研究与探讨[J].科技传播. 2012(02):151.
[4] 耿金秀.浅谈计算机网络安全防范措施[J].中国科技信息.2011(08):110-111.
[5] 庞海静,黄海荣.浅析计算机网络应用安全与策略[J].中小企业管理与科技(下旬刊). 2011(06):281-282.
[6] 许伟敏.计算机网络信息安全管理工作探讨[J].知识经济.2011(23):96.
关键词:网络安全;高校;信息技术;互联网
信息传播与重大科技进步相伴而生,人类已进入大众传播时代、网络传播时代。互联网向国民经济各领域快速渗透,促进信息的交互和汇集,经济形态向网络平台经济快速转变。基于平台的应用快速拓展、不断衍生并进化出新的网络经济生态体系。这一生态体系集聚了新的创新要素、创新主体,重塑了创新的组织方式,创新的速度和创新的内容都在不断演变,新的产业链和价值链正在加快构建,这对经济社会将产生颠覆性影响。
1互联网对高校信息技术的影响
随着计算机和网络技术的快速发展,我国各高校已经通过使用网络和各类教育软件、信息化平台来进行教育教学管理,且随着信息化程度的不断提高,各高校纷纷创建了校园网和网站,将校园的介绍、规划、招生、研究成果等在网站上,让师生对校园有更多的了解,甚至在网上即时进行学术交流等,从而显著提高了我国高校教育的信息化水平。但是,互联网、教育软件和信息化平台的应用在为高校信息技术发展带来便捷的同时,也带来了急剧增长的教育数据以及这些数据背后隐藏的许多重要信息。随着互联网的快速发展,网络入侵、非法获取信息等网络安全问题日益突出。目前,我国已超越美国,成为世界上智能终端最多的国家,用户数量近2.5亿。在信息互联的大背景下,网络安全事件也频繁发生。而高校上网人数比例较高,是网络安全问题的高发地,隐私泄露、科研成果等重要数据丢失问题日益严重。通常,不法分子会利用高校网站的安全漏洞窃取教职工及学生的个人信息,然后再将其转卖给各种培训机构、商家,甚至诈骗者。近年来,各高校的科研成果等重要资料极易遭到窃取,有针对性的网络安全事件增多,造成的经济和社会影响将进一步加深。各类网络犯罪带来的经济损失不断增加,从而引起社会的广泛关注。此外,带有政治意图的黑客大量增加,针对性越来越强。高校是网络运用的最前沿阵地。目前,高校的年龄结构主体为“90后”,随着移动互联网信息技术的普及和推广,手机媒体的网络应用已经成为高校主体网络应用的重要部分。在移动互联网方面,安卓平台和苹果平台的安全漏洞都在不断增多,而高校难以对网络设施进行封闭式管理,主体网络安全意识淡薄,缺乏自我保护意识,导致高校网络安全问题频发。高校对网络安全管理不够重视。硬件设施投入不足,服务器不能满足批量用户访问需求,极易发生系统崩溃而造成浪费;软件技术更新不及时,网络漏洞较多,易被攻击;缺乏专业的网络管理维护团队,管理人员专业技术和业务素质有一定的局限性,不能及时排除网络故障,校园网络安全难以保障;缺乏有效的网络安全管理制度和应对机制,出现问题时不能及时应对,导致数据信息泄露事件频繁发生。当前,云计算、移动互联网等新兴技术的应用日趋深入,信息安全问题更加突出。此外,在云计算方面,平台数据安全和用户信息安全仍存在隐患。互联网是在美国发展起来的,到目前为止,美国仍为网络大国,是“游戏规则”的制定者。目前,有组织的网络攻击和间谍行为增多,影响日益加大,美国情报机构领衔的大规模网络间谍行为被曝光,具有国家背景的网络安全行为增多。因此,要保障互联网安全,就需要我国自主制订国家新网络安全战略,重视自主研发可控的互联网技术。而当前我国相当一部分技术都不能自主控制,很多高校都是借助美国的操作系统开发自己的网站。底层技术没有安全保障,上层的开发应用自然也就没有安全保障。因此,及早解决核心技术受制于人这个问题具有紧迫性和重要性。
2高校网络安全问题的解决措施
2.1加大对网络安全思想工作的宣传力度
高校应该建立信息安全协调(领导)机构。该机构是校园网信息和网络安全的领导机构。加强高校内部网络思想工作阵地管理,推进学校网络空间的法治化建设,创造健康、有序、和谐、文明的网络环境。秘书单位由高校党委办公室、保卫处、宣传部、学生处、网络与信息技术中心组成。高校党委办公室负责统一协调各部门的工作;保卫处负责信息内容的监控;宣传部、学生处负责网络舆情引导,普及网络安全知识,开展网络安全宣传活动,提升师生的网络安全意识和自我保护意识;而网络与信息技术中心负责提供技术保障。
2.2加强高校网络安全管理
重视对网络信息管理系统的建设,及时升级软、硬件配套设施,为网络安全系统建设提供支撑;提高管理者网络管理与安全防范的技术水平,从而提高内部防护能力;建立网络安全管理制度和应急防护长效机制,对网络安全问题进行自查,发现问题及时处理;对网络相关设备及网络系统进行集中管理,落实信息安全责任制。高校的网络与信息技术中心应做好安全基础设施建设和运维、信息系统和网站安全保护、用户终端安全保护、应急响应及事件处置、信息安全教育、学校保密工作技术支持、信息安全相关规章制度的制订等信息安全保障工作。高校信息系统的使用单位负责业务数据维护、信息、使用授权等用户授权系统的日常工作。
2.3设置专职人员
设置从事信息安全管理工作的专职人员,注重人员技能的培训。除专职人员外,高校其他网络管理员和系统管理员也应参与信息安全保密工作,并接受相应的信息安全等级保护培训。
2.4加强高校校园网站联盟建设
加强高校校园网站联盟建设,储备网络安全高级技术人才,在全国校园互联网范围内进行网络安全问题的研究与交流,着力解决全国高校网络安全重大问题。
3结束语
0引言
随着光纤宽带、移动电话、移动互联网的普及,通信服务在我们的日常生活中发挥了越来越重要的作用。伴随社会的信息化推进,通信技术也得到了快速发展。通信得到了社会的广泛认可。近年来,伴随着互联网技术在全球迅猛发展,信息化给人们提供了极大的便利,然而,同时我们也正受到日益严重的来自网络的安全威胁,比如黑客攻击、重要信息被盗等,网络安全事件频发,给人们的财产和精神带来很大损失。但是,在世界范围内,黑客活动越来越猖狂,黑客攻击者无孔不入,对信息系统的安全造成了很大的威胁,对社会造成了严重的危害。除此之外,互联网上黑客网站还在不断增加,这就给黑客更多的学习攻击的信息,在黑客网站上,学习黑客技术、获得黑客攻击工具变得轻而易举,更是加大了对互联网的威胁。如何才能保障信息系统的信息安全,怎样才能确保网络信息的安全性,尤其是网络上重要的数据的安全性。
在通信领域,信息安全尤为重要,它是通信安全的重要环节。在通信组织运作时,信息安全是维护通信安全的重要内容。通信涉及到我们生活的许多方面,小到人与人之间联系的纽带,大到国与国之间的信息交流。因此,研究信息安全和防护具有重要的现实意义。
一、通信运用中加强信息安全和防护的必要性
1.1搞好信息安全防护是确保国家安全的重要前提
众所周知,未来的社会是信息化的社会,网络空间的争夺尤其激烈。信息化成为国家之间竞争的焦点,如果信息安全防护工作跟不上,一个国家可能面临信息被窃、网络被毁、指挥系统瘫痪、制信息权丧失的严重后果。因此,信息安全防护不仅是未来战争胜利的重要保障,而且将作为交战双方信息攻防的重要手段,贯穿战争的全过程。一旦信息安全出现问题,可能导致整个国家的经济瘫痪,战争和军事领域是这样,政治、经济、文化、科技等领域也不例外。信息安全关系到国家的生死存亡,关系到世界的安定和平。比如,美国加利弗尼亚州银行协会的曾经发出一份报告,称如果该银行的数据库系统遭到网络“黑客”的破坏,造成的后果将是致命的,3天就会影响加州的经济,5天就能波及全美经济,7天会使全世界经济遭受损失。鉴于信息安全如此重要,美国国家委员会早在2000年初的《国家安全战备报告》里就强调:执行国家安全政策时把信息安全放在重要位置。俄罗斯于2000年通过的《国家信息安全学说》,第一次把信息安全摆在战略地位。并从理论和时间中加强信息安全的防护。近年来,我国也越来越重视信息安全问题,相关的研究层出不穷,为我国信息安全的发展奠定了基础。
1.2我国信息安全面临的形势十分严峻
信息安全是国家安全的重要组成部分,它不仅体现在军事信息安全上,同时也涉及到政治、经济、文化等各方面。当今社会,由于国家活动对信息和信息网络的依赖性越来越大,所以一旦信息系统遭到破坏,就可能导致整个国家能源供应的中断、经济活动的瘫痪、国防力量的削弱和社会秩序的混乱,其后果不堪设想。由于我国信息化起步较晚,目前信息化系统大多数还处在“不设防’,的状态下,国防信息安全的形势十分严峻。具体体现在以卜几个方面:首先,全社会对信息安全的认识还比较模糊。很多人对信息安全缺乏足够的了解,对因忽视信息安全而可能造成的重大危害还认识不足,信息安全观念还十分淡薄。因此,在研究开发信息系统过程中对信息安全问题不够重视,许多应用系统处在不设防状态,具有极大的风险性和危险性。其次,我国的信息化系统还严重依赖大量的信息技术及设备极有可能对我国信息系统埋下不安全的隐患。无论是在计算机硬件上,还是在计算机软件上,我国信息化系统的国产率还较低,而在引进国外技术和设备的过程中,又缺乏必要的信息安全检测和改造。再次,在军事领域,通过网络泄密的事故屡有发生,敌对势力“黑客”攻击对我军事信息安全危害极大。最后,我国国家信息安全防护管理机构缺乏权威,协调不够,对信息系统的监督管理还不够有力。各信息系统条块分割、相互隔离,管理混乱,缺乏与信息化进程相一致的国家信息安全总体规划,妨碍了信息安全管理的方针、原则和国家有关法规的贯彻执行。
二、通信中存在的信息安全问题
2.1信息网络安全意识有待加强
我国的信息在传输的过程中,特别是军事信息,由于存在扩散和较为敏感的特征,有的人利用了这一特点采取种种手段截获信息,以便了解和掌握对方的新措施。更有甚者,在信息网络运行管理和使用中,更多的是考虑效益、速度和便捷。而把安全、保密等置之度外。因此,我们更要深层次地加强网络安全方面的观念,认识到信息安全防护工作不仅仅是操作人员的“专利”,它更需要所有相关人员来共同防护。
2.2信息网络安全核心技术贫乏
目前,我国在信息安全技术领域自主知识产权产品少采用的基础硬件操作系统和数据库等系统软件大部分依赖国外产品。有些设备更是拿来就用,忽略了一定的安全隐患。技术上的落后,使得设备受制于人。因此,我们要加大对信息网络安全关键技术的研发,避免出现信息泄露的“后门”。
2.3信息网络安全防护体系不完善
防护体系是系统顶层设计的一个重要组成部分,是保证各系统之间可集成、可互操作的关键。以前信息网络安全防护主要是进行一对一的攻防,技术单一。现代化的信息网络安全防护体系已经成为一个规模庞大、技术复杂、独具特色的重要信息子系统,并担负着网络攻防对抗的重任。因此,现代化信息网络安全防护体系的建立应具有多效地安全防护机制、安全防护服务和相应的安全防护管理措施等内容。
2.4信息网络安全管理人才缺乏
高级系统管理人才缺乏,已成为影响我军信息网络安全防护的因素之一。信息网络安全管理人才不仅要精通计算机网络技术,还要熟悉安全技术。既要具有丰富的网络工程建设经验,又要具备管理知识。显然,加大信息安全人才的培养任重而道远。
三、通信组织运用中的网络安全防护
网络安全是通信系统安全的重要环节。保障通信组织的安全主要是保障网络安全。网络安全备受关注,如何防范病毒入侵、保护信息安全是人们关心的问题,笔者总结了几点常用的防范措施,遵循这些措施可以降低风险发生的概率,进而降低通信组织中信息安全事故发生的概率。
3.1数据备份
对重要信息资料要及时备份,或预存影像资料,保证资料的安全和完整。设置口令,定期更换,以防止人为因素导致重要资料的泄露和丢失。利用镜像技术,在磁盘子系统中有两个系统进行同样的工作,当其中一个系统故障时,另一个系统仍然能正常工作。加密对网络通信加密,以防止网络被窃听和截取,尤其是绝密文件更要加密处理,并定期更换密码。另外,文件废弃处理时对重要文件粉碎处理,并确保文件不可识别。
3.2防治病毒
保障信息系统安全的另一个重要措施是病毒防治。安装杀毒软件,定期检查病毒。严格检查引入的软盘或下载的软件和文档的安全性,保证在使用前对软盘进行病毒检查,杀毒软件应及时更新版本。一旦发现正在流行的病毒,要及时采取相应的措施,保障信息资料的安全。
3.3提高物理安全
物理安全是保障网络和信息系统安全的基本保障,机房的安全尤为重要,要严格监管机房人员的出入,坚决执行出入管理制度,对机房工作人员要严格审查,做到专人专职、专职专责。另外,可以在机房安装许多装置以确保计算机和计算机设备的安全,例如用高强度电缆在计算机的机箱穿过。但是,所有其他装置的安装,都要确保不损害或者妨碍计算机的操作。
3.4安装补丁软件
为避免人为因素(如黑客攻击)对计算机造成威胁,要及时安装各种安全补丁程序,不要给入侵者以可乘之机。一旦系统存在安全漏洞,将会迅速传播,若不及时修正,可能导致无法预料的结果。为了保障系统的安全运行,可以及时关注一些大公司的网站上的系统安全漏洞说明,根据其附有的解决方法,及时安装补丁软件。用户可以经常访问这些站点以获取有用的信息。
3.5构筑防火墙
构筑系统防火墙是一种很有效的防御措施。防火墙是有经验丰富的专业技术人员设置的,能阻止一般性病毒入侵系统。防火墙的不足之处是很难防止来自内部的攻击,也不能阻止恶意代码的入侵,如病毒和特洛伊木马。
四、加强通信运用中的信息安全与防护的几点建议
为了应付信息安全所面临的严峻挑战,我们有必要从以下几个方面着手,加强国防信息安全建设。
4.1要加强宣传教育,切实增强全民的国防信息安全意识
在全社会范围内普及信息安全知识,树立敌情观念、纪律观念和法制观念,强化社会各界的信息安全意识,营造一个良好的信息安全防护环境。各级领导要充分认识自己在信息安全防护工作中的重大责仟‘一方而要经常分析新形势卜信息安全工作形势,自觉针对存在的薄弱环节,采取各种措施,把这项工作做好;另一方面要结合工作实际,进行以安全防护知识、理论、技术以及有关法规为内容的自我学习和教育。
4.2要建立完备的信息安全法律法规
信息安全需要建立完备的法律法规保护。自国家《保密法》颁布实施以来,我国先后制定和颁布了《关于维护互联网安全的决定》、《计算机信息网络国际联网安全保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息系统国际联网保密管理规定》、《计算机信息系统安全专用产品检测和销售许可证管理办法》、《计算机信息系统安全专用产品分类原则》、《金融机构计算机信息系统安全保护工作暂行规定》等一系列信息安全方面的法律法规,但从整体上看,我国信息安全法规建设尚处在起步阶段,层次不高,具备完整性、适用性和针对性的信息安全法律体系尚未完全形成。因此,我们应当加快信息安全有关法律法规的研究,及早建立我国信息安全法律法规体系。
4.3要加强信息管理
要成立国家信息安全机构,研究确立国家信息安全的重大决策,制定和国家信息安全政策。在此基础上,成立地方各部门的信息安全管理机构,建立相应的信息安全管理制度,对其所属地区和部门内的信息安全实行统一管理。
4.4要加强信息安全技术开发,提高信息安全防护技术水平
没有先进、有效的信息安全技术,国家信息安全就是一句空话。因此,我们必须借鉴国外先进技术,自主进行信息安全关键技术的研发和运用。大力发展防火墙技术,开发出高度安全性、高度透明性和高度网络化的国产自主知识产权的防火墙。积极发展计算机网络病毒防治技术,加强计算机网络安全管理,为保护国家信息安全打卜一个良好的基础。
4.5加强计算机系统网络风险的防范加强网络安全防范是风险防范的重要环节
首先,可以采取更新技术、更新设备的方式。并且要加强工作人员风险意识,加大网络安全教育的投入。其次,重要数据和信息要及时备份,也可采用影像技术提高资料的完整性。第三,及时更新杀毒软件版本,杀毒软件可将部分病毒拒之门外,杀毒软件更新提高了防御病毒攻击的能力。第五,对重要信息采取加密技术,密码设置应包含数字、字母和其他字符。加密处理可以防止内部信息在网络上被非授权用户拦截。第六,严格执行权限控制,做好信息安全管理工作。“三分技术,七分管理”,可见信息安全管理在预防风险时的重要性,只有加强监管和管理,才能使信息安全更上一个台阶。
4.6建立和完善计算机系统风险防范的管理制度
建立完善的防范风险的制度是预防风险的基础,是进行信息安全管理和防护的标准。首先,要高度重视安全问题。随着信息技术的发展,攻击者的攻击手段也在不断进化,面对高智商的入侵者,我们必须不惜投入大量人力、物力、财力来研究和防范风险。在研究安全技术和防范风险的策略时,可以借鉴国外相关研究,尤其是一些发达国家,他们信息技术起步早,风险评估研究也很成熟,我们可以借鉴他们的管理措施,结合我们的实际,应用到风险防范中,形成风险管理制度,严格执行。
其次,应当设立信息安全管理的专门机构,并配备专业技术人才,选拔防范风险的技术骨干,开展对信息安全技术的研究,对系统弱点进行风险评估,及时采取补救措施。完善信息安全措施,并落实到信息安全管理中去。
五、结论
通信在生活中有着广泛的应用,涉及到人们生活的方方面面。它构建安全的通信系统是进行通信组织运用中信息安全防护的前提。通信系统网络安全防护体系应以一个良好的安全策略为起点,建立在安全的网络中,保障通信系统的安全,维护信息安全。
关键词:计算机网络;信息管理;安全防护;策略
引言
在信息化网络时代里,信息呈现爆炸性的增长,对信息管理也提出了更高的要求。计算机网络的出现,以计算机网络为依托的管理系统也得到了广泛的应用,提高了信息管理效率。然而在网络环境下,信息管理很容易面临木马、黑客侵袭、病毒入侵等网络安全隐患,一旦计算机网络信息管理系统出现安全隐患,就容易造成信息的流失,给用户带来利益损失。为了确保计算机网络信息安全,保护用户的利益不受侵害,针对计算机网络信息安全问题,就必须采取有效的安全防护措施,避免计算机网络信息管理系统出现安全隐患。
一、计算机网络信息管理及其安全防护的重要性
计算机网络可以实现数据信息的快速传输和集中处理,同时还能共享计算机系统资源。在这个信息呈爆炸性的时代里,计算机网络的出现提高了信息管理效率,方便了用户,节省信息管理成本。而在计算机网络信息管理的过程中,信息安全问题备受关注。不管是用户、还是企事业单位又或者是政府机关,在利用计算机网络进行信息管理的过程中,一旦信息系统遭受到了安全威胁,就很容易引发成重要信息泄露,从而造成利益损失。计算机网络信息安全防护是针对计算机网络信息安全问题而提出了有针对性的安全防护措施,有助于提高计算机网络信息管理的安全性。加强计算机网络信息管理,加大计算机网络安全技术的应用,可以提高计算机网络管理系统的安全性,避免安全隐患的发生,从而确保用户的利益不受损害。
二、计算机网络信息管理及安全防护策略
1.加强计算机网络安全宣传
计算机网络信息安全问题的发生与人们的认知水平有着直接的关联,许多人对计算机网络安全的认识不到位,从而在使用网络的时候比较随意,尤其是在看到计算机网络页面上弹出的窗口,出于好奇,往往会点击进去,而这些小窗口大多带有病毒、木马程序,从而入侵计算机系统,使得计算机网络崩溃。为了确保计算机网络信息安全,加强计算机网络安全宣传十分必要。相关工作人员要向人们普及相关知识,加深对计算机网络安全的认识,从而规范人们的网络行为。同时,要加强网络安全技术的宣传,提高人们的应对能力,减少损失。
2.加大网络安全技术的应用
网络安全技术是针对网络安全问题的有效解决,在计算机网络飞速发展的当下,网络安全技术也取得了突破性的进展,如防火墙技术、杀毒软件、身份认证技术、加密技术等,这些技术的出现为信息管理提供了技术保障,有效地保障了信息的安全性。在计算机网络信息管理中,工作人员应当认识到网络安全技术的重要性,一方面加大对网络安全技术的学习,提高自己的专业水平;另一方面要善于利用网络安全技术,以技术为依托,提高计算机网络信息系统的安全性。如身份认证技术,它是用一组用特定的数据来表示,以此作为用户使用计算机的一种凭证。用户在使用计算机系统时需要输入身份认证码,从而获得权限,从而提高系统的安全性。
3.数据备份
数据备份是一种有效的信息安全防范措施。所谓数据备份就是将相关信息复制到其他的存储介质,防止在操纵计算机失误时而引起数据信息的丢失。同时数据备份还可以防止数据被窃取、篡改、删除。在计算机网络飞速发展的时代里,人们利用网络进行信息存储、处理、传输的行为越来越频繁,信息量也越来越大,人们在利用计算机存储数据的时候,将重要的数据进行多样备份,一旦数据被窃取、篡改或者删除后,用户可以根据备份的数据进行恢复,从而保障数据的完整性[3]。4.加强日常维护与管理为了确保计算机网络信息系统安全运行,加强日常维护与管理工作十分重要。首先,要将计算机网络信息管理及安全工作纳入到日常管理工作中来,定期检查计算机网络信息系统,本着“预防为主,加强管理”的原则,实现网络管理与技术管理的结合,从而将一些网络安全隐患扼杀在摇篮里;其次,要成立专业的管理小组,负责计算机网络安全工作,定期对计算机网络运行环境进行检查,确保网络运行环境安全[4]。同时,要加强小组安全教育,将相关责任落实下去,从而更好地开展信息安全管理工作。另外,要定期的对计算机网络信息系统进行垃圾清除,及时的清楚系统中缓存垃圾,要做好设备的日常维护与管理,确保计算机网络设备无性能问题。
三、结语
在这个经济快速发展的社会里,计算机网络的应用已成为必然,计算机网络有着信息处理速度快、传输效率高以及可以实现信息贡献的特点,为信息管理提供巨大的便利。而在计算机网络信息管理中,网络信息安全问题也随之突出,一旦计算机网络信息管理出现安全问题,就会给用户造成利益损失。为了更好地促进计算机网络信息管理的发展,确保网络信息的安全,就必须做好网络信息安全管理工作,要加大网络安全技术的应用,加强计算机网络维护与管理,避免计算机网络出现安全问题造成用户损失。
参考文献:
[1]施超.计算机网络信息管理及其安全防护策略[J].信息安全与技术,2012,03:8-10.
[2]朱亮.计算机网络信息管理及其安全防护策略[J].电脑知识与技术,2012,18:4389-4390+4395.
[3]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,01:121-124+178.
【关键词】局域网;网络安全;网络防护
随着计算机信息技术的发展,网络已成为人们工作中不可缺少的工具。虽然IPv6技术和标准已经相对成熟,但是IPv4仍然是当前互联网的主要协议,IP地址资源紧缺使大多数企业单位仍然使用局域网的方式,通过NAT技术访问互联网。因此,局域网网络信息安全和系统安全建设就显得尤为重要。
1局域网网络信息安全存在的问题
1.1安全防护架构
完整的网络安全防护架构主要有由硬件、防火墙、漏洞扫描、网络防病毒系统等技术构筑一道安全屏障,并通过把不同的产品集成在同一个安全管理平台上,实现网络安全的统一、集中的管理。然而,目前大多数的局域网仅仅安装防火墙,造成网络安全架构不完善,加上局域网采用的技术比较简单,使局域网的很容易被攻击和盗取信息。
1.2系统漏洞
局域网系统漏洞主要包括网络设备硬件漏洞和用户计算机系统漏洞。完整的网络设备、计算机系统是由硬件和软件组成,网络硬件漏洞就是在网络设备硬件、软件和协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。比如路由器系统存在BUG,访问控制规则设置存在错误等等。用户计算机系统漏洞是指用户没有及时的对系统漏洞进行更新,这些漏洞极易被黑客利用进行攻击,给局域网的信息安全带来巨大的隐患。
1.3人为因素
人为因素也是影响局域网信息安全的重要方面。由于个别用户安全意识不强,使用U盘等移动存储设备来进行数据的传递。这些外部数据没有经过必要的安全检查被带入内部局域网,使木马、蠕虫等病毒的非常容易地进入到内部网络。另外,许多用户将未经许可的设备擅自接入内部局域网络使用,也会造成病毒的传入和信息的泄密。比如,私自将个人无线路由接入到网络中,由于个人无线路由安全性比较低,黑客只要在路由器信号范围内就可以对局域网的数据进行盗取和攻击。此外,由于个人原因将局域网密码泄露、网线接入错误造成环网、ip地址冲突等问题都严重影响了局域网的信息安全。
1.4病毒和恶意代码
局域网的病毒来源主要通过以下几种方式:(1)黑客借助系统漏洞将病毒和恶意代码上传到局域网目的主机上;(2)由于人为因素,通过U盘等移动设备将病毒传入局域网;(3)访问互联网,从网站下载的软件带有病毒。一旦病毒进入到局域网,便对局域网信息数据进行盗取和破坏,比如ARP病毒能够进行路由欺骗和网关欺骗,不但影响局域网网络速度,而且对用户的私密信息威胁很大。
2安全防护策略与措施
2.1技术防护措施
2.1.1加密技术对重要数据进行加密是网络传输的常用的技术。在数据传输前对数据进行加密,综合数字签名、身份认证和动态验证等多种加密技术,杜绝数据在网络上以明文的方式传输,防止用户数据在传输过程中被截获,增加破解难度。建立复杂密码机制,并定期进行更换。2.1.2防火墙技术防火墙是内部网络与外部网络之间的网络安全系统,提供边界安全防护和访问权限控制。它使内部网络与Internet之间或与其他外部网络互相隔离,防范外部网络对内部网络的的攻击和非法访问。通过配置安全策略规则,实现对经过防火墙访问内部网络数据流的审计和控制,是保障网络安全的核心技术。网络防病毒系统是网络安全的另一形式的防火墙。在网络中安装网关杀毒设备,对网络数据进行病毒检测和扫描,确保病毒在到达用户计算机前被清除;配置全网杀毒策略,同步更新每台计算机的杀毒软件,定期进行全网杀毒;对U盘、移动硬盘等移动存储设备须经专业人员查杀后,方可进行文件的存储和拷贝等操作,这些安全防护是网络防病毒系统必不可少的防护措施。2.1.3入侵检测和入侵防御技术入侵检测是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。防火墙是按照事先设定的规则判断数据包的合法性,阻止非法的数据包进入,而入侵检测系统则监控网络、系统的入侵行为,通过该系统可以快速定位来自内部网络和外部网络的攻击行为以及网络的异常流量等等。入侵防御系统是位于防火墙和网络设备之间,对网络中的数据传输进行检测,对可能发现各种攻击企图、攻击行为进行防御,以保证网络资源的安全。2.1.4构建安全防护架构在完整的硬件防护系统下,搭建集中安全管理平台,设立用户、服务器等多区域安全防护机制,建立分级安全防护架构和管理机制。通过搭建文件备份服务器,对重要数据定期备份;设立网络的重要节点、链路设立备份机制,减少故障对网络信息安全的影响;配置网络漏洞扫描系统,及时发现网络安全漏洞、客户机或者服务器的安全漏洞并及时进行修补等方式,构建全面、安全的局域网网络防护体系。
2.2管理制度防护措施
保障信息安全要从多方面角度来实现。除了安全技术的应用,管理制度的完善和管理人员的组织配合是构成完整的信息安全防护体系的重要内容。管理工作是作为网络安全的重要组成部分,要确保信息安全工作的顺利进行,必须由管理人员把每个环节落实到具体的网络中,而人的不确定性使之成为网络安全中最薄弱环节。因此,必须用制度来规范人的行为,通过建立完善的安全管理制度达到网络信息安全的根本目标。具体是要根据企业单位信息系统安全管理需求,建立科学的人员管理、设备管理、灾难管理、应急响应、用户安全服务等管理制度,并与安全技术紧密结合,形成一套可靠、完备局域网信息系统安全管理保障体系。
3结束语
随着计算机网络技术的发展,网络攻击形式日趋复杂和多样化,局域网网络信息安全和防护作为一项长期而艰巨的任务,需要不断的探索和改进。合理地配置网络安全规则,以安全防护技术为依托,充分发挥网络安全防护设备的能效,建立多层次的、立体的网络安全防护体系,才能确保整个局域网网络系统信息安全。
参考文献
[1]彭珺,高珺.计算机网络信息安全及防护策略研究[J].计算机与数字工程,2011,39(1):121-124.
随着网络技术的进一步发展,它必将深入到社会的各个领域,为人类带来巨大的效益,但伴随而来的是计算机网络信息安全问题的不断加剧。本文首先分析了网络信息安全的现状;其次,从多个方面提出了网络信息安全存在的问题以及其解决办法。
[关键词]计算机 网络信息 安全
[中图分类号]TN915.08 [文献标识码]A [文章编号]1672-5158(2013)06-0083-01
随着计算机技术的迅速发展,对生产力的发展和社会变革起到了巨大的推动作用,极大的改变了传统的生产和生活方式,同时计算机网络信息安全也受到前所未有的威胁。所谓计算机网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络信息安全包括物理安全和逻辑安全两个方面:物理安全指系统设备及相关设施受到物理保护,使数据免于被破坏和丢失等;逻辑安全包括信息的完整性、保密性和可用性。本文主要从逻辑安全方面来讨论计算机网络信息安全的管理。
一、计算机网络信息安全现状
网络安全是研究与计算机科学相关的安全问题,包括网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。
随着信息技术的高速发展,黑客的攻击手段也在不断的更新。据中国互联网络信息中心在《2012年中国网民信息安全状况研究报告》中指出,在总体网民中,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,在这些网民中,平均每人遇到2.4类信息安全事件。新型信息安全事件愈发严重,甚至超过了部分传统信息安全事件。总体网民中,38.2%的网民遇到过“欺诈诱骗信息”,这一比例甚至比传统的“中病毒或木马”的网民比例高出15.1个百分点。遇到“假冒网站”的网民比例也达到了17.6%。
二、我国计算机网络信息安全存在的问题
(一)计算机网络系统本身存在的问题。由于网络系统的脆弱性,目前计算机网络系统安全面临的威胁主要表现在三类:信息泄露、拒绝服务、信息破坏。目前,人们也开始重视来自网络内部的安全威胁。随着Internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击,已知白勺黑客攻击手段多达500余种。总而言之,对Internet/Intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成Intemet瘫痪或引起Internet商业的经济损失等等。
(二)除系统外,存在于网络外部的问题。计算机网络具有开放性、国际性和自由性。首先,在黑客的威胁和攻击这一方面,黑客除了拥有极为熟悉的网络知识外,还能极为熟练的运用各种计算机技术和软件工具。其次,在计算机病毒侵害的方面,计算机病毒蔓延的速度非常快,波及范围特别广,因此,它成为计算机系统的最大威胁。最后,在间谍软件威胁和隐患上这一方面,间谍软件的功能多,不仅能窃取计算机信息网络系统存储的各种数据信息,还能在一定程度上监视用户行为,修改系统设置,直接威胁到用户隐私和计算机安全。并在一定程度上影响计算机系统工作的性能。
(三)网络系统管理制度存在的问题。在我国计算机工业起步较晚,基础薄弱,管理制度不健全,尚在摸索阶段,因此在这方面也存在很多问题。首先,由于工作人员的疏忽而造成网络系统安全受到威胁。其次,工作人员的故意泄露。在当今社会中,一些信息工作人员经常会为了一己之私而致客户的信息于不顾,在对网络安全破坏的同时,也使计算机的信息系统、数据库内的重要秘密泄露,对计算机的网络安全问题产生了严重的威胁。
三、加强对计算机网络信息安全的管理
(一)加强对网络信息安全的重视,加大网络安全人才培养力度。完善培养体系。一是建立并完善以高等学历教育为主,以中等职业教育和各科认证培训为辅的网络安全人才培养体系。高职高专院校应该根据社会需求,开设网络安全专业。暂时不具备条件的院校可以有选择地开设网络安全类课程,开设网络安全基础与防火墙、操作系统安全、数据加密与PKI技术等选修课,举办网络安全专题讲座,结合培训、认证机制,引进网络安全职业资格认证(如NCSE、CISP、CIW)等多种途径培养实用型人才,为我国网络系统安全建设做出应有的贡献。其次,走市场化道路。只有适应市场需求、被市场选择的认证,才是成功的认证培训。政府可以在这方面加强立法,依法进行管理,立法内容应该涉及到认证培训的教学体系和内容,培训时间和考试管理办法,还应该规定哪些岗位的人员必须持什么样的证书,以及接受培训的人员的管理等。最后,科学设置课程。网络安全课程体系应以网络安全技术为特点,全面贯彻适用性、科学性、超前性、层次性、交叉性的原则,可以引入专业资格认证体系,实行双证书制度,实行两条线培养网络安全专业人才。并且在网络安全专业的课程设置方面,还要多听取行业和企业的意见和建议。
(二)强化信息网络安全保障体系建设。2012年,工信部了《互联网行业“十二五”发展规划》和《通信业“十二五”发展规划》,提出了大力推进国民经济和社会信息化的战略举措,同时,要求强化信息网络安全保障体系。从信息系统的信息保障技术层面来说,可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。在技术保障体系下,首先要建立国家信息安全保障基础设施,其中包括:建立国家重要的信息安全管理中心和密码管理中心;建立国家安全事件应急响应中心;建立数据备份和灾难恢复设施;在国家执法部门建立高技术刑事侦察队伍,提高对高技术犯罪的预防和侦破能力;建立国家信息安全认证认可机构。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。
(三)制定调整网络信息安全关系的基本法。我国有关网络信息安全的法律法规主要有:《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《中国公用计算机互联网国际联网管理办法》等等。国家信息化领导小组在2005年制定的《国家信息化发展战略(2006-2020年)》中明确要求,注重建设信息安全保障体系,实现信息化与信息安全协调发展。由此可见,我国也进行了大量的网络立法,但是由于缺乏有效理论指导,立法水平普遍较低,各部门之间职责不清,权力冲突,因此笔者建议通过一部统一的基本法——《网络信息安全法》,调整网络信息安全法律关系。逐步建立安全制度、安全标准、安全策略、安全机制等一系列配套措施,进行全面系统的立法;同时,借鉴国外先进管理经验,创新管理方法,与时俱进地推进网络信息安全保障工作。
参考文献
[1]千一男,关于计算机网络安全风险的分析与防范对策的研究[J]电脑知识与技术,2011年29期
关键词:计算机教育;信息安全;邮件
目前,网络大数据是全球信息化发展的趋势,人们越来越依赖于电脑、手机等电子设备,随之而来的信息在网络上被窃取,用于非法的事件也不断频发,对保障网络信息安全带来了新的挑战,愈发受到人们的重视。网络信息安全不仅跟个人生活密切相关,更是国家信息战略不可或缺的部分。根据中国互联网络信息中心的青少年上网行为研究报告显示,中国青少年网民规模庞大,占整体网民的42.7%,占青少年总体的79.6%。60.1%的青少年网民信任互联网上的信息,青少年网民对互联网有较强的依赖性,网络信息安全意识淡薄,因此,教师要从学生时代开始灌输信息安全的重要性。网络在给学生的学习和生活带来便利的同时,也可能对其身心健康造成不良影响。如果不能让学生认识到网络信息安全的重要性,那么,学生很可能错误地理解网络信息安全,更可能受到网络不良信息的侵害。下面就教育中的信息安全问题做个简单的探讨:
一、计算机网络安全教育面临的问题
1.学校对网络信息安全教育的重视不够
当前大多数学校对信息网络安全教育的重要性认识不足,比起当今网络的飞速发展,学校对于网络信息安全教育的认知相对滞后。加强网络信息安全教育,不仅可以让学生的身心健康发展得到保证,也是网络化社会安全的基本需求,可以最大限度地保证学生免受不良信息的侵害,避免学生因受网络不良信息的引导而做出违法犯罪的事情,更是为国家培养高素质信息安全人才提供了保障。
2.对信息安全教育的重要性认识不足
目前,学校校园网络随着国家信息化建设的步伐,已经逐步走上正轨。许多学校都配备了无线、有线网络,使学生和老师的生活和教学更加方便。义务教育阶段,学校也普遍开设信息课程,但是重视程度远远不够,开设信息安全教育只是较为简单的论述,导致学生对网络信息安全的知识没有一个系统的了解。学校也没有正规、科学地把网络信息安全教育纳入教学计划中。为了全面提高学生的网络信息安全意识,学校应该重视普及信息安全教育,这对加速国家网络信息安全建设的进程具有十分重要意义。
3.教育方法较为落后单一
部分学校信息安全教育的教材、教育方法落后,只有老旧的理论教育,缺乏与现实的紧密联系,相关信息安全的教育人才缺失也是影响教育效果的关键因素。学校应该顺应信息化时代的需求挑选教材和更新教育方法,使之更加适应当前社会网络信息安全发展的需求。
二、信息网络安全的危害及其表现形式
1.自然灾害
计算机是一个电子设备,其使用对环境有一定的要求,受环境影响也比较大。目前大部分学校机房没有相关的保护措施,抵御自然灾害和意外事故的能力较差。在日常学习工作中由于缺乏相关保护措施,导致电脑损坏、数据丢失的现象也时有发生。
2.“恶意”网络软件和“后门”
网络世界的开放及多样性导致软件的质量参差不齐,其安全性也没有统一的机构进行审核,犯罪分子往往利用软件中的漏洞或缺陷攻击或破坏计算机系统。另外,软件公司的开发人员出于某种目的,会在开发的软件代码中留有“后门”,一般不为普通用户所知,在特定的情况下,“后门”会被打开,其造成的影响和后果是不可估量的。2014年的“Shellshock”和美国的“棱镜门”事件是近年来最为典型的网络安全事件。
3.黑客的威胁和攻击
自从世界第一台计算机”ENIAC“诞生以来,网络技术不断发展,其中也包括“黑客”技术。黑客通常指在未经他人许可的情况下,侵入他人系统,这是信息网络所面临的最大威胁。黑客攻击手段一般可分为破坏性攻击和假冒型攻击(非破坏型攻击)。破坏性攻击是为了达到某种目的,侵入网络电脑系统、盗取系统资料信息、破坏网络系统的数据。黑客们常用的攻击手段有获取口令、木马攻击、电子邮件攻击的欺骗技术和寻找系统漏洞等,假冒型攻击是指黑客冒用你的账号向别人输送信息。
4.垃圾邮件和间谍软件
一些不法分子利用电子邮件地址的“公开性”和“可广播性”强行给别人发送电子邮件,这些邮件一般是带有广告推销性质或是带有恶意代码,一旦打开邮件就可能导致不良后果。间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户数据。
三、加强学校信息安全教育的方法和途径
1.建立信息安全教育体制
首先将信息安全教育归纳进学校的安全教育中,制定切实可行的信息安全教育内容和计划。在日常教育与教学活动中开展信息网络安全教育工作。
2.增加学生信息网络安全意识
网络提供了求知学习的广阔空间,使学习能够不受空间和时间的限制,这对学生的学习有着巨大在帮助作用。在网络上学生能够接触到更多的知识,但是学生对这些信息缺乏辨别能力,自身的安全意识和对网络的自律能力不足,容易受到不良信息诱惑,使其人生观、价值观发生转变。因此,教师要注重培养学生的信息安全意识,使他们既能保护自己的信息,又能抵制进行网络犯罪,共创安全和谐信息网络环境。
3.加强信息安全的教学实践
信息安全不仅仅要进行理论学习,更要强化学生的实践环节,广泛组织以《青少年网络文明公约》为主题的各项活动,积极引导学生养成正确的网络观,竖立信息网络正能量,提高学生适应信息化社会的能力,使学生能够勇于直面网络的善与恶,投入到建设安全网络的实践中去。
参考文献:
