时间:2024-04-10 11:32:39
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇互联网安全教育,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
1我国互联网信息安全现状
1.1政府和行业对互联网信息安全重视程度增加
随着近些年来网络信息安全问题的不断发酵,网络安全问题已经拓展到国家安全的角度,国家的重视度不断增加。现在,国家网络安全的行业进入了一个加速发展的时代,网络安全对政治商业和经济等利益都有较大的影响,因此,网络安全行业的发展已经到了存量和增量大幅增加的阶段。从政府方面来讲,政府正在加大加国产硬件和软件及一些安全软件的采购力度,逐步提升企事业单位的IT基础设施建设和网络防御能力;从企事业单位的方面来讲,我们用于信息安全的投资明显的低于世界平均水平。现在,各类网络安全问题的出现及一些商业机密泄露等事件敲响了企事业单位安全意识的警钟,企事业但是开始强化数据保护和提高安全防御措施。1.2互联网犯罪猖獗
现在网络违法犯罪活动愈发猖獗。一些不法分子利用互联网进行各种各样的违法犯罪活动,如赌博、诈骗、撒播谣言、窃密盗窃等不法活动,还有通过互联网攻击窃取数据和机密等的犯罪活动。这些通过互联网进行的违法犯罪不仅危害了公民的合法权益,而且破坏了国家的安全和社会的稳定。
1.3网络安全产业有很大的发展空间
伴随着大数据、云计算、物联网等技术的快速应用,互联网已经影响到我们生活的方方面面,而网络安全产业也面临着新的机遇和挑战。为了保证国家的网络安全,要不断发展有自主知识产权的网络安全产品。现在由于互联网的核心的设施、技术还有比较高端的服务还是主要依赖于国外的进口,在操作系统使用、专用芯片制造和大型应用软件开发等方面都存在着严重的安全的隐患。因此,具有自主知识产权的网络安全产品和产业有非常广阔的发展空间和发展前景。
1.4互联网信息安全研究成为热点
现在可穿戴设备、智能终端等设备的应用非常广泛,信息安全问题是现在互联网技术研究的热点问题,随着研究的深入进行和技术的不断发展,会帮助解决互联网在安全方面所遇到的问题。现在已经有很多的高校将互联网信息安全作为专门的课程开设,这也有助于我国互联网信息安全研究的发展。
2加强我国互联网信息安全对策
2.1发挥政府功能,强化法规建设,建立全国范围内的网络安全协助机制
随着互联网的发展,网络安全受到巨大的威胁,针对这种情况,要加强公民的网络安全教育工作,尽可能提升全民的网络安全的基础知识和水平,增强公民的“网络道德”意识,保护我国网络信息的安全。而且要进一步强化网络立法以及执法的能力,深化政府职能,完善法规建设,在全国范围内建立网络安全协助的机制,这样有助于协调全国网络的安全运行。制定出网络在建设阶段和运行阶段的安全级别的定义和安全行为的细则,安全程度的考核评定等标准化文本,分析网络出现的攻击手段,报告系统漏洞并给出“补丁”程序,并且对全国范围内协调网络安全建设,另外,还要大力提高我国自主研发,生产相关的应用系统与网络安全的能力,用以代替进口产品。
2.2加大互联网信息安全犯罪的打击力度
目前,互联网技术的发展速度已经远远超越了网络犯罪的立法速度,有一些立法对互联网犯罪的处罚力度非常轻,还有一些互联网犯罪活动并没有相关的法律规定。这种情况对于加大网络信息安全的打击力度是非常不利的。因此,现在要加快对互联网犯罪的立法工作,使得在处理互联网犯罪的时候可以做到有法可依。近些年,国家加大了最互联网的监督和监管力度,使得很多的互联网犯罪活动能够在较短的时间内得到取证和解决,但是相对而言,公民的互联网安全意思还是比较淡薄,因此,提高公民的互联网安全意识也成了迫在眉睫需要解决的问题。
2.3加大网络信息安全的宣传和教育的工作
现今社会,互联网已经深入到生活的方方面面,互联网正在改变着人们传统的生活方式,人们的生活离不开互联网。可是随之而来的是计算机病毒、计算机犯罪、计算机黑客等问题,影响着人们对互联网的正常和安全使用,更是影响到国家的经济发展和安全。
因此,加大我国网络信息安全的宣传和教育工作是一件非常急迫的事情,通过不断提高公民的网络安全意识,能够有效避免一些网络犯罪的发生,并且对提高我国整体网络安全有很大的帮助。要不断的通过电视、网络、报纸等多种媒体进行网络安全知识的宣传,让网络安全意识深入人心。
2.4建立互联网的信息安全预警和应急保障制度
重点加强对全社会信息安全问题的统筹安排,对信息安全工作责任制要不断深化细化;加强重点信息领域的安全保障工作,推动信息安全等工作的开展、要把安全测评、应急管理等信息安全基本制度落到实处;加快推进网络与信息安全应急基础平台建设;提升信息安全综合监管和服务水平,积极应对信息安全新情况、新问题,针对云计算、物联网、移动互联网、下一代互联网等新技术、新应用开展专项研究,建立信息安全风险评估和应对机制;建立统一的网络信任体系、信息安全测评认证平台、电子政务灾难备份中心等基础设施等,力求对信息安全保障工作形成更强的基础支撑。
2.5技术防护安全策略
技术防护是确保网站信息安全的有力措施,在技术防护上,主要做好以下几方面工作:一是要加强网络环境安全;二是加强网站平台安全管理;三是加强网站代码安全;四是加强数据安全。
3结语
网络安全技术已经成为影响互联网发展速度的一个重要课题,通过对其深入的研究,制定出合适的策略方法并加以实施,达到提升互联网安全的目的。
参考文献
[1]林凌.网络涉及隐私信息传播的法律规定[J].编辑学刊,2015(1).
关键词:高职学生;网络安全;教育
网络是一把双刃剑,合理使用可以给高职学生带来极大的方便,丰富学习资源,改善学习条件,激发学习兴趣,优化学习环境,但另一方面,互联网也产生不可忽视的消极影响,比如部分学生沉溺于网游、虚拟交友、网购、网络影视中,生活严重脱离现实,性格变得孤独冷漠,心理问题日渐突出,更有甚者参与网络,一步步滑向犯罪的深渊,因此,必须高度重视互联网给高职学生带来的安全问题,作为教育主体的学校,要全面加强网络安全教育,增强学生网络安全意识,提升安全使用网络能力,充分发挥互联网的积极作用。
1高职学生网络安全教育存在的问题
当前,许多高职学生出现网络安全问题,往往不是因为网络管理和网络安全技术问题造成的,而与其接受的网络安全教育十分有限有直接关系。
1.1高职学生网络安全教育认识滞后
网络安全教育作为高职学生日常教育的重要内容,必须常态化开展,形成有效机制,确保教育实效,其目的很明确,就是要培养高职学生的网络使用基本能力,提高防范网络违法犯罪活动的意识,减少伤害,提升自身网络道德水准,实现学生全面发展。可是,根据调查,目前大部分高职院校都在网络教育方面重视不足、认识滞后,往往都是网络安全问题出现了,才针对个案进行处理,缺少前期预防,亡羊补牢始终不能从根本上解决网络安全问题。
1.2只注意网络安全管理,忽视网络安全教育
多数高职院校很重视互联网日常管理,不惜花大价钱够买最新的防毒软件和计算机硬件设备,认为只要在网络监控方面做到位,就可以最大程度上避免网络安全事件发生。因此好多高职院校仅仅是在新生入学教育中简单地对学生进行一下网络方面的安全教育,压根没有形成系统的教育方案,随后的三年时间,几乎不再系统地对学生进行网络安全教育。甚至有些高职院校只是走过场,把网络安全教育当作作秀,没有实质性地对学生进行网络安全教育,更不可能给学生系统灌输网络安全知识。
1.3课程设置不足
调查发现,高职院校网络安全教育相关课程设置严重缺失,不像其他学科那样系统化、学分化、课程化,因此,网络安全教育的质量和效果就很难得到保障,一些高职院校将网络安全知识纳入计算机基础课程进行讲授,但是也远没有把其作为一门独立课程开设,严重缺乏系统性和全面性。学生一知半解,根本起不到将教育内容内化为内心信念然后再外化为行动的作用,调查还发现一些学校采取讲座的形式进行网络安全教育,这种形式化的教育,从根本上起不到教育效果。
1.4网络安全教育缺少基本的实践环节
高职学生网络安全教育中,除了要灌输和讲解网络使用的基本理论知识外,还必须重视实践环节方面的教育,比如一些学生通过学习认识到木马病毒的危害性,也知晓计算机下载、浏览需要用杀毒软件,但是,对如何查杀病毒、安装杀毒软件处理常见的网络问题方面了解甚少。多数学生知道网购如果不提高警惕的话,有一定的风险,可是却不知道如何识别非法网站,也更不知道如何防骗。高职院校的网络安全教育要坚持理论和实践相结合的方式进行,某种程度上,让学生真正掌握安全使用网络的技能,这样的实践环节更重要。
2改进高职学生网络安全教育的有效策略
作为实施网络安全教育的最重要阵地,各高职院校要坚持正确的育人导向,切实改进和加强校园网络安全教育工作,尽全力保障学生安全使用网络,充分发挥网络优势,服务于学校工作和学生成长成才。
2.1增强学校对高职学生网络安全教育重要性的认识
在网络环境中大学生受到许多不良事件的冲击,网络安全事件的层出不穷,不仅对学生的身心造成不同程度的伤害,同时对学校的其它学生,对家长以及高校的教学生活秩序都会产生一定的负面影响,甚至会对我国区域的地方安全稳定产生副作用。[1]各高职院校承担着教育引导学生健康成长顺利成才的重任,网络安全教育作为高职院校学生日常教育的重要组成部分,是维护学生安全稳定以及学校实现教育目标的基本保障。做好网络安全教育可以最大程度减少和降低网络安全问题的发生,各高职院校要充分重视网络安全教育,通过不同形式,发挥各部门优势,协调有关人员,形成浓厚的校园网络安全教育氛围,真正地使互联网成为高职在校学生的良师益友,发挥其积极作用,为广大学生服务。
2.2进一步丰富高职学生网络安全教育内容
第一,加强高职学生网络心理健康教育。为了使高职学生能够健康成长,各院校必须要把加强大学生的心理健康教育放在突出位置,防止网络发展给大学生带来的心理问题。[2]第二,加强高职学生预防网络犯罪教育。网络犯罪,是指行为人运用计算机技术,借助于网络对其系统或信息进行攻击,破坏或利用网络进行其他犯罪的总称。[3]预防高职学生网络犯罪,一方面要通过各种形式教育学生如何正确交友,要提高警惕,保护好个人基本信息和隐私。另一方面要提高网购时的防范意识。第三,加强高职学生网络安全法制教育。通过教育,使学生增强在网络世界中自我保护能力,了解网络空间中的权利和义务,知晓什么可做,什么不可做,什么是法律保护的,什么是法律禁止的。
2.3加强高职学生网络安全教育实践环节
高职学生网络安全教育不仅是一个理论问题,更是一个实践问题,各高职院校在全面开展网络安全教育的同时,一定要注重从实践层面教会学生们如何安全使用网络,各教育者自身更要加强网络使用的实际操作技能水平,平时注重理论和实践的结合。此外,各高职院校要定期举行互联网安全使用技能竞赛,开设网络安全教育警示公开课,邀请网监部门相关人员到校进行宣讲,重视安全防范技巧的演示,让广大高职学生真正学会安全使用网络,不能只停留到知识和意识层面。
2.4加强教育队伍建设
全面加强高职院校网络安全教育,建立一支高素质、专业化的专兼职队伍是有效实施教育的保障。根据实际需要,高职院校网络安全教育队伍所具备的知识和能力可以分三个方面,首先是普通文化知识,这要求网络安全教育队伍具备广泛的社会、自然学科中的基础常识,要有知识面的优势,才能在具体教育中面对不同教育对象做到游刃有余。二是实践层面的具体能力,各网络安全教育教师必须自己要有较强的安全使用网络的基本技能,才能最大程度上提高教育效果,手把手地教会学生如何安全使用互联网。第三就是必须具备扎实的计算机和互联网基础知识,这是做好网络安全教育工作的基础,对于非计算机专业的教师,学校可以定期举办培训,由计算机专业教师进行讲解,日常工作中可以集体备课,共同研讨,形成合力。
作者:崔利宾 单位:重庆交通职业学院
参考文献:
[1]陈联娇,温金英.浅淡大学生网络安全教育的策略[J].法制与社会,2008(36):276.
关键词:网络安全;高校;信息技术;互联网
信息传播与重大科技进步相伴而生,人类已进入大众传播时代、网络传播时代。互联网向国民经济各领域快速渗透,促进信息的交互和汇集,经济形态向网络平台经济快速转变。基于平台的应用快速拓展、不断衍生并进化出新的网络经济生态体系。这一生态体系集聚了新的创新要素、创新主体,重塑了创新的组织方式,创新的速度和创新的内容都在不断演变,新的产业链和价值链正在加快构建,这对经济社会将产生颠覆性影响。
1互联网对高校信息技术的影响
随着计算机和网络技术的快速发展,我国各高校已经通过使用网络和各类教育软件、信息化平台来进行教育教学管理,且随着信息化程度的不断提高,各高校纷纷创建了校园网和网站,将校园的介绍、规划、招生、研究成果等在网站上,让师生对校园有更多的了解,甚至在网上即时进行学术交流等,从而显著提高了我国高校教育的信息化水平。但是,互联网、教育软件和信息化平台的应用在为高校信息技术发展带来便捷的同时,也带来了急剧增长的教育数据以及这些数据背后隐藏的许多重要信息。随着互联网的快速发展,网络入侵、非法获取信息等网络安全问题日益突出。目前,我国已超越美国,成为世界上智能终端最多的国家,用户数量近2.5亿。在信息互联的大背景下,网络安全事件也频繁发生。而高校上网人数比例较高,是网络安全问题的高发地,隐私泄露、科研成果等重要数据丢失问题日益严重。通常,不法分子会利用高校网站的安全漏洞窃取教职工及学生的个人信息,然后再将其转卖给各种培训机构、商家,甚至诈骗者。近年来,各高校的科研成果等重要资料极易遭到窃取,有针对性的网络安全事件增多,造成的经济和社会影响将进一步加深。各类网络犯罪带来的经济损失不断增加,从而引起社会的广泛关注。此外,带有政治意图的黑客大量增加,针对性越来越强。高校是网络运用的最前沿阵地。目前,高校的年龄结构主体为“90后”,随着移动互联网信息技术的普及和推广,手机媒体的网络应用已经成为高校主体网络应用的重要部分。在移动互联网方面,安卓平台和苹果平台的安全漏洞都在不断增多,而高校难以对网络设施进行封闭式管理,主体网络安全意识淡薄,缺乏自我保护意识,导致高校网络安全问题频发。高校对网络安全管理不够重视。硬件设施投入不足,服务器不能满足批量用户访问需求,极易发生系统崩溃而造成浪费;软件技术更新不及时,网络漏洞较多,易被攻击;缺乏专业的网络管理维护团队,管理人员专业技术和业务素质有一定的局限性,不能及时排除网络故障,校园网络安全难以保障;缺乏有效的网络安全管理制度和应对机制,出现问题时不能及时应对,导致数据信息泄露事件频繁发生。当前,云计算、移动互联网等新兴技术的应用日趋深入,信息安全问题更加突出。此外,在云计算方面,平台数据安全和用户信息安全仍存在隐患。互联网是在美国发展起来的,到目前为止,美国仍为网络大国,是“游戏规则”的制定者。目前,有组织的网络攻击和间谍行为增多,影响日益加大,美国情报机构领衔的大规模网络间谍行为被曝光,具有国家背景的网络安全行为增多。因此,要保障互联网安全,就需要我国自主制订国家新网络安全战略,重视自主研发可控的互联网技术。而当前我国相当一部分技术都不能自主控制,很多高校都是借助美国的操作系统开发自己的网站。底层技术没有安全保障,上层的开发应用自然也就没有安全保障。因此,及早解决核心技术受制于人这个问题具有紧迫性和重要性。
2高校网络安全问题的解决措施
2.1加大对网络安全思想工作的宣传力度
高校应该建立信息安全协调(领导)机构。该机构是校园网信息和网络安全的领导机构。加强高校内部网络思想工作阵地管理,推进学校网络空间的法治化建设,创造健康、有序、和谐、文明的网络环境。秘书单位由高校党委办公室、保卫处、宣传部、学生处、网络与信息技术中心组成。高校党委办公室负责统一协调各部门的工作;保卫处负责信息内容的监控;宣传部、学生处负责网络舆情引导,普及网络安全知识,开展网络安全宣传活动,提升师生的网络安全意识和自我保护意识;而网络与信息技术中心负责提供技术保障。
2.2加强高校网络安全管理
重视对网络信息管理系统的建设,及时升级软、硬件配套设施,为网络安全系统建设提供支撑;提高管理者网络管理与安全防范的技术水平,从而提高内部防护能力;建立网络安全管理制度和应急防护长效机制,对网络安全问题进行自查,发现问题及时处理;对网络相关设备及网络系统进行集中管理,落实信息安全责任制。高校的网络与信息技术中心应做好安全基础设施建设和运维、信息系统和网站安全保护、用户终端安全保护、应急响应及事件处置、信息安全教育、学校保密工作技术支持、信息安全相关规章制度的制订等信息安全保障工作。高校信息系统的使用单位负责业务数据维护、信息、使用授权等用户授权系统的日常工作。
2.3设置专职人员
设置从事信息安全管理工作的专职人员,注重人员技能的培训。除专职人员外,高校其他网络管理员和系统管理员也应参与信息安全保密工作,并接受相应的信息安全等级保护培训。
2.4加强高校校园网站联盟建设
加强高校校园网站联盟建设,储备网络安全高级技术人才,在全国校园互联网范围内进行网络安全问题的研究与交流,着力解决全国高校网络安全重大问题。
3结束语
关键词:计算机网络通信;通信网络安全;维护措施 文献标识码:A
中图分类号:TP393 文章编号:1009-2374(2015)21-0070-02 DOI:10.13535/ki.11-4406/n.2015.21.035
计算机通信网络安全存在着诸多问题,在今后工作过程中为了保证正常通信,对于那些常见通信问题就必须要保持高度重视。当前的计算机通信网络安全存在的问题涉及到计算机、通信、网络、信息等多个方面。为了实现有效防范就需要采取有力措施来进行解决和维护。本文将计算机通信网络安全维护措施做一个简单地分析和探讨。
1 计算机网络通信安全概述
计算机网络是计算机技术和通信技术结合而成的一种新的通信形式。它把处于不同地理位置并能独立运行的多台计算设备用通信线路连接起来,并配置相应的软件以达到计算机资源共享目的的通信系统。网络信息安全的根本目的就是防止通过互联网传输的信息被非法使用,从企业和个体的角度来看,涉及个人隐私或商业利益的信息在传播时,其保密性、完整性和真实性应受到关注,避免他人侵犯个人的利益和隐私。
2 计算机网络通信安全问题
当前计算机网络通信安全方面还存在着较多问题,这些问题主要是表现在三方面:一是技术人员自身不够专业。实际工作中计算机网络本身是一门重要学科,为了有效利用网络就需要一批专业地技术人员。但是从当前实际情况来看,计算机网络安全技术人员的水平参差不齐。技术人员自身素质不过关是当前比较典型的一个问题。这个问题如果得不到有效解决就会非常容易产生安全漏洞,整个系统也将会变得混乱不堪。二是防范体系不完整。在信息技术快速发展的背景下,网络安全问题也日益突出,网络安全问题主要是通过病毒入侵、黑客操控以及恶意攻击等形式引发的,防范体系不健全就会给系统造成严重影响。三是管理机制不健全。从管理体制方面来看,当前我国的计算机通信管理机制还不够健全,在实际工作过程中还存在着诸多问题,只注重经济效益,忽视网络安全是比较典型的问题。
3 计算机网络安全预防措施
3.1 病毒
对计算机病毒的研究应着重研究病毒的实质,从具体的计算机病毒特点进行分析。计算机病毒实质指的是一段程序,它们通过一个副本附加到另一个程序上,不仅可以出现在执行程序上,还可以嵌套在数据文件中扩散。根据国家的定义,计算机病毒是在编制或者计算机程序中插入的破坏计算机功能或毁坏数据,影响计算机使用的程序、指令或者代码。
病毒的传播途径有:
3.1.1 不可移动的计算机硬件设备。用集成电路芯片进行传播,这种病毒少见,但是破坏力极强。
3.1.2 移动存储设备。可移动式磁盘,包括软盘、CD-ROMs、ZIP和JAZ磁盘,其中软盘是使用广泛的存储介质,所以也使病毒得以生存。
3.1.3 网络。网络是由相互连接的计算机所组成,根据共享的需要。使计算机之间可以互相连接,其之间的数据可以相互之间进行发送和接收,如果在发送的数据上感染了病毒,接收方的计算机就会自动被
感染。
3.2 计算机网络安全的构成
3.2.1 实体安全:其中包括硬件和外在环境。例如:机房坏境,硬件布局等都有一定的规范。
3.2.2 软件安全:其中有软件本身的可靠性和软件保护。例如:软件本身是否正确、完善、可靠,是否会出现异常。
3.2.3 运行安全:指的是计算机在运行过程中的安全性,病毒是对运行安全最大的威胁。通过分析病毒,找到并清除计算机病毒,以保证计算机的安全
运行。
3.2.4 数据安全:主要体现在数据防止写入、删除、修改,数据的隐蔽性。数据安全与程序安全是不同的,采用信息加密技术,是保证数据安全的重要技术。
3.3 防火墙的应用
防火墙是设置在计算机内部网络与Internet外部网络之间,可以使两个网络之间实施访问控制和安全策略,增强网络的安全性。来自外部网络的信息或从内部网络发出的信息都必须通过防火墙,所以防火墙能够确保文件、信息在远程传输过程中的安全。
防火墙的主要功能有:过滤不安全数据、控制不安全访问和服务、网络连接日志记录及使用统计、防止内部信息的外泄、强化网络安全性。
3.4 积极宣传网络安全教育
人们要从根本上认识到计算机通信网络安全的重要性,并积极开展各项通信网络安全教育工作,加强计算机通信网络技术领域的交流,在掌握计算机通信网络安全技术的同时,要从根本上保证计算机通信网络安全在高层次上的主动性。另外,计算机管理人员作为计算机网络通信安全管理的主要因素,要具备一定的安全意识,采取相应的网络手段,避免出现信息丢失与盗取
现象。
4 计算机通信网络安全维护建议
从体制机制的角度来看,今后工作过程中应该不断健全完善防范体系,在实际工作中要充分利用现代手段,加强先进设备的使用率。通过大量采取先进设备来有效保障网络系统安全,通过这种措施来有效减少企业后期维护所带来的经济损失。同时还需要建立起完善的体系,通过该体系来保证安全。今后还应该不断加强对相关网络安全技术的研究,相关网络安全技术是保证整个网络安全体系的重要组成部分,今后工作中要积极采用多种方式来进行维护。要不断完善管理机制。计算机通信网络安全关系到系统的整体运行情况,为了保证系统正常运行今后就必须要不断加强这方面的研究。要科学合理地利用防火墙技术、数据加密技术以及入侵检测系统。通过利用这些技术来防止出现安全问题。
5 结语
综上所述,计算机通信网络安全作为一项极其复杂的通信方式,需要相关网络用户以及相关从业人员进行参与为维护,不仅要加强对计算机通信安全的认识,并且还要建立相应的安全系统,从根本上保证计算机通信网络的安全运行。
参考文献
[1] 李光辉.浅谈通信网络安全的维护[J].中国新技术新产品,2012(05).
[2] 陆文红,蒙劲.小议通信网络安全问题分析及维护措施[J].中小企业管理与科技(下旬刊),2010(10).
关键词:计算机教育;中职学生;信息安全教学;教学策略
我国的各个中职院校都已经开设了计算机教育课程,其中不管有计算机的简单应用,更包括计算机应用技术、计算机软件、网络以及信息安全技术等相关专业。但是在计算机相关课程上,并没有在教学中过多涉及到信息安全教学,除了专业的信息安全技术课程外,其他课程有在信息安全教育上有所欠缺,这也是中职院校计算机教学中的一个漏洞。在中职计算机教育中,有效开设信息安全课程,能够让中职学生对网络信息安全方面有较多的了解,让明确信息安全知识体系的情况下,可以更多地了解信息安全基本技术和相关理论,也能为我国信息安全培养更多的专业人才。
1中职院校信息安全教学简述
从我国中职计算机教育特点来看,其教学过程中并没有涉及到信息安全类教学内容,也很少有中职院校开设《信息技术基础》课程,这是不符合我国教育部所规定的计算机教学要求的。再从中职计算机教师看,也不会在计算机教学中讲述信息安全教育相关知识。不管是不是开设的信息安全教育课程,计算机教师都应该在计算机课程教学中有效融入信息安全知识,让学生在信息安全素养方面有所提升,有应的互联网安全意识,这是中职计算机教学中应该具有的基础教学知识。同时,从现在的社会来看,如果在计算机教学中没有涉及到信息安全知识,学生将会在日常生活中有所损失,对互联网安全不了解,就容易陷入网络信息安全困境中,造成不必要的损失。所以,在中职计算机教学中,应该有效开展信息安全教学,加强学生网络信息安全方面的意识,让计算机教学更有意义。
2中职信息的安全教学中应注意的问题
在中职院校开展信息安全教学,不光要重视理论性知识,更要重视教学中的实践环节,让信息安全教学更具有效性,让学生从多个角度对信息安全的含义有所掌握,所以在实际教学中应该注意安全技术的实际应用和创景化模拟教学。例如,在进行操作系统教学的时候,教师可以准备相关课件,内容涉及到操作系统的漏洞原理、信息病毒的传播、防范未见涉及,以及计算机系统安全保护原理等相关内容。教师还要通过实际讲解,让学生对计算机防毒软件的安装、系统补丁升级、系统病毒查杀以及文件保护等内容有所掌握,对计算机操作系统的维护技能有所了解,从而形成维护系统安全的习惯。同时,中职院校在进行网络相关课程教学时,教师应该和网络的应用情况相结合,对网络协议等安全性问题进行重点讲述,让学生对证书应用、防火墙配置等专业技能有所掌握,从而更好的防护网络安全。此外,还应在注意其他方面的信息安全教学优化,让信息安全教学更加全面化。首先,对教学知识性和趣味性的并重教学。从中职学生心理特点看,要对教学内容进行优化,让学生乐于接受,教师选择相对合理的知识切入点,并进行实际教学演练,让学生更直观的接受信息安全知识。比如,针对局域网上的ARP病毒,可以在课堂进行延时,能够在被攻击的机器上显示一些特定的能够让学生感兴趣的内容,通过点击链接,实现垃圾信息的传递等。由于这方面的攻击形式较为有趣,学生在上网浏览中经常见到,容易激发兴趣。其次,教学内容应该体现出一定的实用性。应该在具体的课堂中,进行必要的基本信息安全知识以及操作技能的传授。针对校园所用的Windows系统,应该保证学生掌握操作系统所涉及到的关键技术要点,培养良好的及时系统打补丁,防范主机病毒等习惯,并能针对重要文件进行定期备份。通过学习,应该能更深刻理解利用操作系统漏洞的部分计算机病毒,利用病毒特征,还可以反过来了解操作系统存在的问题,这样能够更好找到解决病毒的方法,通过安装特定的补丁或者服务禁用等,能够体现出学习中的较强实用性,了解相应的计算机攻击手段和方法。再次,在教学实践环节中,应该从学生的知识水平及接受能力出发。应该结合学生的实际掌握计算机能力的基础上,结合具体教学内容,不断激发在信息安全内容学习的兴趣,保证能够掌握必要的安全攻击防范内容,并没有要求掌握多种多样的攻击技能和特定技术,应该掌握必要的计算机应用技能即可,如需后续的开发需求,可以自行进行摄入学习,重点介绍先进的安全防范工具,既让学生能够理解必要的安全防护内容,又能掌握必要的安全防范工具的应用。比如,相关的网络防火墙、防病毒、木马软件等。对于基础较好的学生,还可以推荐开展内网管理软件的学习。最后,充分利用好现有的实现设备,能够将信息安全教育融入到计算机课程教学中。在进行信息安全知识教学中,应该利用引导式教学方法,通过结合实际的情境创设方式,不断激发学习兴趣,保证学生思路得到进一步的拓展。这里通过计算机课程中的“Win-dows操作系统”的教学实践为例进行说明,重点分析相关的信息安全教育的教学问题。
3注重信息安全法律法规的学习
在中职计算机教育中,还要注重信息安全职业道德教育。调查显示大部分威胁信息安全的因素是人们对信息安全法律法规淡薄和忽视。很多技术人员由于好奇或为了表现自己的才能进行信息犯罪。因此需要把信息安全的法律法规作为必须学习的内容,使学生明白哪些行为是信息犯罪,要承担相应的法律责任,从而自觉地遵守有关法律法规。
4结论
中职计算机教学中,有效加入信息安全教学有助于学生对计算机信息安全进行积极探索,让学生对网络信息安全有更多的了解,同时也能够满足社会信息化发展的需要。在中职计算机教学中,教师应该对信息安全知识进行不断的探索和总结,向学生传递更多有价值的学科知识,这也对教学能力有着更高的要求,有利于计算机教师时刻保持与时俱进的教学态度,有助于学生在计算机信息安全学习上学到更多的前沿知识,更有助于计算机信息安全教学方法的进一步创新和优化,让中职学生具备更高的信息安全素养。
参考文献
[1]教材编写委员会.信息安全职业技能培训教程[M].科学出版社,2016.
[2]白永祥.高职院校计算机相关专业开设信息安全课程的探讨[J].电脑知识与技术,2010(3):838-839.
[3]郝彦军.论大学非信息安全专业信息安全公选课的开设[J].广东工业大学学报,2010(10):26-28.
[4]刘益和.基于我院非信息安全专业的信息安全课程设置探讨[J].科教文汇,2010(3):47-49.
面对开放度极高的网络,网银用户最看重的莫过于网上银行的安全性能。为了让广大读者更全面、深入了解网银安全,本刊记者采访了中国建设银行、中国农业银行、中国民生银行和中信银行电子银行相关负责人,并对各自的网银安全性能进行了详细的介绍。
五大关口
中国农业银行电子银行部风险管理处处长杨伟荣向记者介绍,中国农业银行对网银业务安全性的考虑贯穿于各环节之中,把好客户准入、身份认证、限额管理、客户信息保护和交易监控等五大关口:
客户准入关
中国农业银行网银开通环节,严格遵循“了解你的客户”原则,制定了严格的临柜审查流程,通过证件核验、账户核验、印鉴核验等技术措施,确保客户身份和申请意愿的真实性,有效规避了冒用身份开通服务的风险。
身份认证关
网上银行使用环节,严格遵循监管机构双重认证之要求,向客户发放K宝和动态口令卡等专用安全工具,在登录及金融交易等高风险环节,严格校验安全工具和账户密码,保证了网银交互过程中客户身份和交易指令的真实可靠,有效防范了冒用身份使用网银的风险。
交易限额关
中国农业银行对网银转账、支付等资金类交易,根据使用安全工具不同制定了差异化交易限额,并支持本人个性化限额设置,实现了对客户单笔及日累计额度的灵活控制,有效提升了客户资金风险的可控程度。
信息保护关
首先对客户信息进行严格管理,有效防止客户资料泄露;其次,交易环节通过网上银行安全控件等技术手段,建立了覆盖客户计算机、互联网到服务器的端到端的加密通道,保护客户信息的安全;此外,页面展现环节,将客户关键信息、账户关键信息进行了屏蔽,进一步保护信息安全。
交易监测关
中国农业银行建立了异常交易监测机制,根据可疑交易的特征不断完善监测的交易范围,未来将进一步加大这方面的投入;此外,还建立了钓鱼网站监测机制,能及时发现针对网上银行的钓鱼网站并提请有关部门及时关闭。
安全产品
K宝
K宝是用来存放客户网银证书的专用安全硬件,是客户在网上进行交易的身份证明,基于证书还可以对数据进行加密和签名,可以防止他人冒用证书持有者名义进行网上交易,维护客户及银行的合法权益,减少和避免经济法律纠纷。K宝是目前农业银行安全级别最高的认证工具,其交易额度为:一代K宝单笔50万元/日累计100万元,二代K宝单笔100万元/日累计500万元。
K令
K令是农业银行综合考虑安全性和便利性而推出的一款电子银行安全产品,采用成熟的动态密码技术,实现每次交易时密码的随机变化,有效解决了静态密码容易被窃取的安全问题,该产品价格低廉、容易携带、操作简便,不需要在终端设备上安装任何软件,其交易额度为:单笔1000元/日累计3000元。
K码
K码是客户在进行交易的过程中,使用手机短信配合验证的一种安全产品。客户首先需要在银行绑定自己的手机,在进行对外支付时,已绑定的手机将收到验证码。其优点是采用第二渠道认证,黑客不易截取,且不用发放设备,使用方便,不增加客户成本,其交易额度为:单笔1000元/日累计1000元。
事前防范
中国建设银行电子银行部工作人员向记者介绍,在客户端事前安全防范环节,依照低、中、高的不同安全级别,中国建设银行网上银行分为静态密码、动态口令、网银盾证书三个层次为客户提供服务。
静态密码
直接通过互联网由客户自助注册申请,无需至网点柜台签约,无安全产品,仅可办理查询等非账务性业务,以及投资理财类业务(基金、外汇、账户金等),不可以办理转账汇款类业务。
动态口令
动态口令客户分为动态口令刮刮卡客户、手机短信动态口令客户两类。对于需要方便地进行“小额”转账的用户,可以通过网点柜台签约,并领取刮刮卡或在银行预留正确的手机号码,开通成为动态口令客户。动态口令客户仅通过刮刮卡密码或手机短信动态口令即可办理全功能的网上银行业务,开通门槛低,客户体验好。
动态口令具有一次一密、成本低廉、易用性强、客户体验良好等多种优势,深受大学生等大众客户群体的喜爱,具有较大的市场推广空间。动态口令刮刮卡客户、手机短信动态口令客户的交易限额均为单笔5000,日累计5000。
网银盾证书
对于需要经常进行“大额”转账的用户,可以通过网点柜台签约,并领取预制证书网银盾,客户转账汇款时必须使用数字证书进行数字签名,并校验网银盾密码才能完成,从而有效保证了客户的网上银行交易安全。
7×24小时搜索、关闭钓鱼网站
针对日益猖獗非法钓鱼网站,中国建设银行组建了一支专业的防钓鱼网站队伍,7×24对假冒建行的钓鱼网站进行全面搜索,第一时间发现假网站,通过国内、国外权威机构及时关闭假网站。并与国内外知名网络安全公司联动,联动加入网络黑名单,共同防范。
事中监控
中国建设行已在国内同业中率先建立了全行统一、跨渠道的电子银行外部欺诈监控体系,实现网上银行、手机银行、网上支付等电子渠道交易的全面监控,对高风险交易由该行电子银行业务风险监控人员进行人工分析、外呼核实、黑名单阻断等处理。
2011年,该行进一步加大了工作力度,着力建设新一代电子银行业务风险监控平台,基于用户行为分析建立高效、可靠的“风险引擎”,实现全面和全流程的风险监控。同时,依托风险监控平台部署实施动态安全策略,对于大额、频繁、跨地区、可疑操作等高风险交易实施事中干预、强化认证、交易阻断,对于低风险交易则降低安全认证门槛,取消不必要的认证环节,有效改善客户体验。通过建设强大的新一代电子银行业务风险监控平台,将中国建设银行电子银行安全策略从单纯依靠事前防范全面转移到事前防范与事中监控并重的工作思路上来,有效提升该行核心竞争力,改善客户安全体验。
开展安全评估,不断改进升级
根据银监会《电子银行业务管理办法》和《电子银行安全评估指引》的相关要求,中国建设银行选聘了国家信息安全测评中心作为安全评测机构,对该行电子银行业务开展了第三方安全评估,对电子银行业务的安全策略、内控制度、风险管理、系统安全、客户保护等方面进行了考察与评价。
通过安全综合评估,建行网上银行系统在安全技术、安全管理和安全工程三个方面的安全保障能力,达到《信息系统安全保障评估框架》GB/T 20274信息系统综合安全保障能力级一级的要求。
加强业务安全培训
中国建设银行多次组织电子银行业务运营与风险管理培训班,对电子银行从业人员进行全员培训。保证在开展电子银行业务同时,向客户普及了电子银行业务安全知识,营造互联网安全文化氛围。
强化电子银行客户风险教育
中国建设银行常年通过国际互联网网站、网上银行、网点等多个服务窗口,提示客户保护账户信息和密码,揭示网络欺诈手法,介绍网络安全技术和工具,使用短信提醒服务,安装防病毒、木马软件等,培养客户良好的密码使用习惯,向客户揭示有关风险,增加客户的安全知识,提高客户的法律意识和自我保护意识。
据中国民生银行电子银行部营销策划中心总经理陶江介绍,中国民生银行一直将网上银行安全性建设作为业务发展第一要务,坚持科技创新,强化风险控制,多项措施、多管齐下提升网银交易安全,从银行端、互联网络和客户端综合考虑,构建了网上银行的整体安全体系。
安全服务
第三方安全认证机构的数字证书
中国民生银行自网银业务推出以来一直采用我国权威第三方安全认证机构中国金融认证中心(CFCA)颁发的数字证书,有效保障了网银交易双方身份的真实性、交易的私密性和不可否认性。
U宝
中国民生银行自2008年起推出个人网银U宝,它将数字证书存储在Usb-key中,避免数字证书被复制、篡改、导出,客户只有同时持有U宝并掌握硬件口令才能登录网银,网银交易安全全面提升。为给客户提供更加安全、快捷的网银服务,已先后推出免驱U宝、预制证书U宝、七彩U宝、生肖U宝和章鱼U宝,满足了不同客户的需要。
交易风险监控平台
为全面防范电子银行交易风险,保障客户资金安全,中国民生银行在企业级数据仓库的基础上开发了电子银行风险交易监控系统,成为国内首家针对借记卡用户推出电子银行风险交易监控系统的商业银行。相比以前的风险监控系统只能监控网上支付业务,该行风险交易监控系统覆盖了网上支付、网银转账、网上缴费,以及订单支付、手机钱包等全部对外资金划转业务,监控范围更广,安全保障系数更高。
钓鱼网站主动监测服务
为防范钓鱼网站风险,中国民生银行与专业反钓鱼网站机构合作推出钓鱼网站主动监测服务,24小时监测互联网上存在的与该行相关的钓鱼网站、假冒网站,一旦发现有假冒站点出现,及时通知中国反钓鱼联盟予以关闭,有效防范钓鱼网站对客户银行帐号、密码等私密信息的窃取和攻击,及时抑制钓鱼网站和错误链接对客户利益的损害。推出网银在线杀毒工具,使客户在登录或使用网银时可进行在线杀毒,有效清除客户端电脑的病毒,防止客户网银交易信息被泄露的危险。
安全教育
电子银行业务有别于传统银行业务,交易环节包括银行端和客户端两个方面,因此交易安全需要银行与客户携手共同构建。中国民生银行开展的各类客户安全教育工作主要有:
以门户网站为载体,通过建立网银安全提示频道,根据最新风险事件特点不断更新相关内容,向客户揭示不法分子常用欺诈手法,宣传民生银行新型安全产品U宝,持续对客户的网银使用教育。
以营业网点为载体,要求各分、支行切实履行网银安全普及责任,通过在各支行网点配置网银演示机,发放个人网银安全宣传折页等互动方式,介绍网银服务功能、安全产品使用方法,达到强化客户的风险意识的目的。
在客户使用个人网银流程中,通过个人网银登陆页面网上安全提示链接,多角度开展客户安全教育,不断提高客户风险防范意识;提供网银在线杀毒工具,使客户在登录或使用网银时可进行在线杀毒,有效清除客户端电脑的病毒,防止客户网银交易信息被泄露的危险。
据中信银行零售银行部电子银行部相关负责人介绍,2011年年初,不法分子诈骗短信猖獗,网上金融诈骗现象攀升,中信银行以20招“网银安全守护神”有效化解了黑客攻击,保证了客户放心安全地使用网银。
第三方数字证书
中信银行网银首家采用国内最权威、公正的第三方认证机构――中国金融认证中心(CFCA )的数字证书来保证电子交易中双方身份的真实性和交易信息的机密性、完整性以及防抵赖性,符合《电子签名法》和监管部门的相关法规。
采用数字证书、登录用户名、登录口令、移动证书USBKey密码、USBKey内嵌编号等多重安全保障措施,比双因子认证(签名认证和口令认证)更全面保护,最大程度地保证客户登录安全。
手机动态口令
中信银行网银手机动态口令以互联网、手机两种渠道保护用户的信息安全。
当客户在个人网银上进行登录、对外转账、网上支付等操作时,系统均会随机生成一次性动态口令,然后将其连同交易信息一并发送到客户绑定的手机上。客户通过短信核实交易信息,然后必须同时输入正确的静态账户密码和动态口令才可顺利完成交易,这样可有效防御黑客攻击,在更高级别上保证了网上交易的安全。
信息的双通道确认,无异于为用户账户上了“双保险”。
“盾”系列技术
采用国家信息安全评测认证中心“盾”系列技术,对SSL、交易数据、键盘输入安全、进程保护控件进行加固,通过远程渗透性验证,杜绝木马。
移动证书USB Key
移动证书USBKey是一种应用了智能芯片技术的数据加密和数字签名工具,其中存储了每个用户唯一的、不可复制的数字证书,保证客户数字证书私钥永不出KEY,在安全性上更胜一筹。
指定计算机、时间段使用网银
中信银行个人网银提供给客户指定设备、指定时间段使用个人网银的机制。客户可以指定单位或者家中的电脑登录个人网银,避免别人在其他电脑上使用网银。由于黑客作息习惯与一般人不同,客户可以指定如上午9:00-下午9:00(星期几和具体时间任由客户随意设置)期间才能登录个人网银,让黑客无机可乘。
网银110
中信银行提供“网银110”报警功能,24小时人工值守处理各类客户网银安全报警,快速处理客户遇到的各种问题。
反欺诈联动机制
中信银行参与由中国金融认证中心牵头,全国十多家商业银行参与的国内“网上银行反欺诈联动机制”,通过与公安部等机构协同合作,实现网上银行风险信息共享和案件协同调查,建立网银风险预防机制,引入国际最新的反欺诈技术手段,遏制网上银行欺诈行为。
网银伴侣
关键词 信息安全;现状分析;学校教育
“安全”是一个神圣的词语。不论做什么事,人们都渴望一种安全感。在个人计算机越来越普及的今天,人们的学习、工作、生活、娱乐越来越依靠计算机和互联网,尤其是在电子商务高速发展的今天,网上交易直接影响用户的经济安全。而层出不穷的各种病毒、木马、流氓软件、后门程序、钓鱼网站、挂马网页和欺诈邮件等也日益威胁用户的计算机安全。这些安全攻击导致用户防不胜防,一不小心系统就受到非法入侵,轻则系统被破坏,重则重要数据丢失,造成严重影响甚至是不可挽回的重大损失。网络陷井、用户误操作、存储设备自身的不稳定造成的电子信息数据丢失,如何是损失降到最底,社会需要这样的人才,这是我们每一个教育工作者及社会必须面临的和迫切要解决的问题。
一、 基本情况
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
④每年由于各种原因的电子信息安全事件的有很多,直接后果,就是给个人,企业以及政府机关造成不可弥补的损失,数据丢失直接影响社会的发展。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
二、 解决办法
1. 认识教育的主体
我们数据信息安全教育的主体是谁,根据社会发展的趋势可以看出,我们现在教育的主体应该是在校的学生,我们不能只把上网技能和软件应用技能传给他们,更要把数据信息安全融入到他们的大脑中,学校是学生获取知识、信息的重要途径.学校的教育不仅影响和改变着学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向。所有这些使得从事教学、实践的计算机专业的工作者来说,面临着前所未有的机遇和挑战,一方面要传授学生传统计算机技术,另一方面也要传授学生最新的信息安全方面的技术。由此可见,在职业学校计算机专业学生中开设与信息安全有关课程有着十分重要的意义.如何抓住机遇,研究和探索信息安全课程教学的新特点、新方法、新途径、新对策已成为职业学校计算机专业教育者关心和思考的问题.
2. 现有职业学校计算机教育课程特点
本人从事职业中专计算机教学多年,对现阶段计算机专业的教学有一定了解。就目前的教学状况而言,主要还是在计算机理论教学上课程过多,没有与现在社会上对这个层次的计算机需求挂上钩,造成学的没用,有用的没学。另外一个特点就是对于信息安全的课程几乎没有
职业中专的学生从初中进入中专后,学习的压力和紧迫性降低,取而代之的是就业的压力大大的提高。他们的认知能力使得他们不能进行高深的理论研究,这就要求他们必须提高自己的实践能力和动手能力。职业中专的计算机教学有一定的优势,能利用较长的时间对计算机应用方面的知识进行了解和掌握,特别是信息安全类的课程。
3.信息安全课程设置探讨
根据职业学校计算机专业课程体系结构,信息安全有关的课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与不同的司法程序.
(4)信息安全标准与规范:信息安全建设过程应该依据相关标准和规范来进行,信息安全测评和认证也应该遵循通行的标准.本课程的目的就是,帮助学员初步了解掌握信息安全领域最著名的标准规范,包括进行系统安全测评用的TCSEC和CC(ISO15408,GB18336)标准、衡量安全工程过程成熟度的SSE—CMM规范,以及对企业信息安全管理体系进行认证的BS7799标准等.
关键词:计算机;网络;安全
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)24-0022-02
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性、可使用性受到保护。计算机网络安全包括物理安全和逻辑安全两方面,其中物理安全指系统设备及相关设备受到物理保护,防止丢失;逻辑安全包括信息的保密性、完整性和可用性。
1 计算机网络安全所面临的威胁
计算机病毒。计算机病毒是编织者在计算机程序中插入的破坏计算机功能或者数据的代码,计算机病毒能够影响计算机的正常使用,计算机病毒还能够自我复制。计算机病毒的传播速度很快,它就像生物病毒一样能够自我繁殖、激活再生或者是互相传染。计算机病毒的复制能力是独有的,它的蔓延速度很快,但是清除的时候很难清除掉,破坏性极强。它们往往都是附着于各种那个类型的文件之中,在文件的复制与传送之间蔓延。
在计算机病毒中比较典型的有1986年巴基斯坦兄弟编写的“大脑”病毒、1987年的“小球”与“石头”病毒、1989年的“石头2”、1992年的“金蝉”病毒、1995年中典型的病毒代表“病毒制造机”“VCL”、1988年的“CIH”病毒以及2000年以后的“冲击波杀手”“木马”“蠕虫”“黑客病毒”“求职信”等等这些病毒的威力都是非常巨大的。
黑客的攻击。随着互联网黑客技术的飞速发展,计算机网络受到的威胁越来越严重,对于黑客来说侵入你的电脑获取你的信息是一件非常容易的事情,黑客攻击的手段可以分为非破坏性攻击以及破坏性攻击,不管是哪一种攻击为危害都是非常大的。黑客比较常用的几种攻击方式分别是:后门程序、信息炸弹、拒绝服务、网络监听、密码破解。维护网络安全最主要的目标就是保证数据的机密性、完整性。在一个安全的计算机网络环境下,未经授权的数据是不可以随便修改的想要获取任何数据信息的人员都应该是经过授权的合法用户。
据《2008瑞星中国大陆地区互联网安全报告》显示以牟利为目的的黑客攻击已经形成了产业链,成为了新的暴利行业,在几年前中国的一些重要部门就曾经遭受过黑客的攻击,一些政府部门、军工企业等重要单位遇到了大型的网络黑客攻击。
内部威胁。由于上网单位对于内部危险的认识不够全面导致所采取的安全防范措施不当,近几年的内部网络的安全事故不断增加。认为的无意失误是造成网络安全威胁的重要因素,网络管理员在这一方面肩负重任,稍微有一点考虑的不慎重安全配置不妥当就可能造成比较大的安全漏洞。如果网络中存在一些安全漏洞,那么用户在网上冲浪时点击了文件中的恶意链接就会造成安全问题。
窃听。攻击者通过对于网络数据的监视而获取到一些敏感信息造成信息的泄露,窃听的主要表现就是网络上的信息被窃听。更有一些恶意的攻击者以此为基础,再利用其它的一些攻击手段进行攻击,造成更加惨重的损失。
2 计算机网络安全的对策措施
2.1 加强网络技术的安全防范
对于用户的身份进行验证,保证用户身份的真实性。例如:人脸识别、公钥加密认证、指纹识别等等,对网络安全进行保障。加强信息的保密性,保证机密的信息不会泄露给没有经过授权人,对不同人员进行权限设置,没有权限的人不能够访问,这样能够防止窃听以及网络截获。另外信息的完整性也需要加强,对于没有经过授权的人员是不能够对于数据或者是信息进行修改或者是删除,严格控制信息数据的访问权限,只能够允许经过许可放入当事人进行修改以及删除。网络安全还应该具有系统易用性、可审查性。系统易用性是指在能够满足其安全要求的条件下,系统的操作应该简单易学,操作方便。可审查性是指在系统出现问题的时候可以提供调查的依据以及手段。
2.2 加强入网访问控制
访问控制系统在一个安全的信息系统中不可或缺,它的目的就是在于拒绝非法的用户的访问并且对于合法用户的操作进行规范。网络访问的第一层访问控制就是入网访问控制。它能够准许用户入网的时间、准许他们在哪一个时间段入网和使某些用户能够登录到服务器并且获取网络资源。访问控制能够根据用户的权限让该用户进行访问,防止了用户无限制的对于资源进行访问,使得每一位访问者的操作都会处于系统的监控之下,进而让资源合法使用。入网访问控制的步骤就是当某一位用户发出访问请求的时候,访问控制就对用户的ID和身份到安全策略库中查询,,如果找到用户对于特定资源的访问请求就允许用户子进行访问,反之则拒绝。
2.3 加强网络权限控制
网络的权限控制是针对网络非法操作所提出的一种安全保护措施。用户具有一定的权限可以指定访问一些目录文件或者是其他的资源,指定的一些用户可以对这些目录、文件和其他资源进行某一项操作。我们可以将访问的权限分为特殊用户,一般就是指系统管理员,一般用户就是系统管理员根据实际需要进行分类的用户,审计用户就是对网络安全以及资源使用情况的审计。
2.4 加强网络安全教育和管理
美国作为全球信息化程度最高的国家,它非常重视信息的安全性,信息系统的安全成为国家安全战略最重要的组成部分之一,并且采取了一系列的政策措施,所以想要加强我国计算机网络安全,那么就要制定相应的法律法规作为依据,还要加强网络安全教育和管理。国家应该在高度重视的同时还要大力普及家算计网络安全的教育,制定并且实施一系列的关于网络安全法律法规,强化对于公民的网络安全意识的教育以及对于网络运营人员和网络安全管理人员的教育,提高其素质以及管理的方式手段,旨在能够提高广大网民的网络安全意识,降低国家的计算机网络安全的威胁。另外在加强对于网络安全教育的同时也要加强网络安全的监管力度,对于恶意破坏计算机网络安全的行为进行严厉的处罚,对于无意破坏的进行教育,建立严密的网络安全管理体系,及时的检测维护计算机网络的安全。
2.5 提高网络用户操作技能
随着信息的不断进步,计算机网络安全问题对于网络用户的伤害越来越严重,所以提高网络用户的操作技能是刻不容缓的。对于提高网络用户的操作技能,首先就是要加强用户的病毒检测以及防御手段,在对于用户的权限进行辨别以后,自动开启网络防护功能以及防火墙功能,自动查杀病毒,提高用户的上网技巧。另外一方面就是注意防范外部的恶意攻击,访问和下载健康的文件,在下载之前对于文件进行必要的检测以及病毒查杀,从化多种途径措施来减少计算机网络安全问题的产生。
3 结语
随着计算机技术的不断发展,网络安全防护技术也必然会不断地进步与发展,网络安全是一个涉及技术、管理、使用等多方面的综合性课题,所以我们必须综合考虑。在当今复杂的网络环境下,我们应该高度的重视计算机网络问题,增强社会安全意识教育,普及计算机网络安全教育,要求有关部门加大对于网络安全的监管力度,提高计算机网络安全技术的水平,积极建设营造一种安全的计算机网络环境,改善现在的安全现状。
参考文献:
[1]蔡晓莲,李平.计算机网络安全威胁及防范策略的探讨[J]. 网络与信息, 2009(6):30-31.
关键词:信息化;信息资源;信息安全
中图分类号:F49文献标识码:A
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
关键词:信息安全;技术创新;分级管理
21世纪以来,随着我国网络信息化的高速发展和“三网融合”的积极推进,广电行业的网络化、数字化和智能化的趋势与日俱增。人们在享受便利的同时,也面临着信息安全的严峻挑战。
一、信息安全的概念和要求
网络的开放性和共享性,使其更容易受到病毒、黑客的侵袭,从而导致信息外泄、恶意篡改、密码被盗、网络窃听等问题。因此,网络的信息安全,从根本上说是指网络系统本身运行稳定,以及系统中的相关数据信息在任何情况下,不会被泄漏、更改或干扰。其内涵主要包括系统安全、内容安全、传输安全等。信息安全防护工作应该满足以下要求:一是保密性,要求在保证为授权使用者正常使用的同时,能保护数据不被非法截获;二是完整性,能确保数据信息在运行过程中是未被篡改或破坏的原始信息;三是可用性,要保证系统时刻正常运行,用户在任何情况下都能及时得到或使用数据;四是可控性,确保用户身份的真实性,保证信息和信息系统的授权认证和监控管理,同时能有效防范黑客、病毒等。
二、广电行业信息安全存在的问题
广电行业的网络化、信息化和智能化的趋势,对信息安全工作提出了严峻的挑战。一方面,由于信息安全管理和技术的专业性,目前无论是人员数量上还是技能上,都存在不足;另一方面,互联网的开放性和共享性使黑客攻击更方便、破坏更广,会给单位和个人信息造成很大的安全隐患。因此,提高信息安全集中监管的能力和技术水平,成为广电行业发展的中心课题。虽然我国信息安全工作也在稳步开展,但还是存在一些不容忽视的共性问题。1.管理制度不完善,执行不到位安全保护工作日益受到各级领导的重视,各相关单位对网络和信息系统的安全保护日常管理工作基本规范,但未能严格按照等级保护管理要求,建立完整的安全管理制度;没有制定具体岗位工作职责,如系统管理员、网络管理员、安全管理员岗位不明确;安全管理制度执行过程中的记录存在缺失现象;缺乏整体的信息安全应急预案和演练记录;在信息系统建设时有规划,但缺少相关安全技术专家对安全设计方案进行论证和审定,决策的民主性、科学性不足;专门针对安全技能方面的培训和考核需要加强。2.信息安全技术滞后,创新性不足在安全技术方面各单位虽然也采取了隔离技术、防火墙技术等,但仍存在明显不足:没有从物理安全、主机安全、网络安全、应用安全、数据安全几个方面建立完整的技术防范体系;目前依赖于外网隔离、延播和备播等传统安全播出手段,很难适应日益发展的新媒体平台建设,在互联网上提供点播和直播内容服务;管理用户的身份鉴定大多数采取用户名/口令的方式,而且缺乏有效的口令更新周期机制,存在被暴力破解和窃听的风险;平台未能按照三权分立的原则设定系统管理员、安全管理员和安全审计员,造成系统存在超级用户,权力过大;目前厂家可通过第三方软件或者远程桌面直接登录到应用服务器,且操作没有行为记录,存在安全风险,需要加强对厂家进行系统运维的监管。3.管理队伍素质参差不齐,安全意识淡薄由于编制和经费等因素的制约,很多管理人员身兼多职,一人多岗。一方面,专业技术人员明显存在不足;另一方面,有的技术人员年龄偏大、专业知识老化,对一些新技术、新病毒缺乏职业敏感性,更缺乏预见性。此外,安全教育工作也没有跟上,部分人员安全意识淡薄。
三、广电行业信息安全管理的对策
信息安全问题,不仅是一个技术问题,更是一个管理方面的问题。加强信息安全管理,必须从以下几个方面入手。1.增强信息安全意识,树立整体信息安全观信息安全的保障能力是21世纪国家核心竞争力的重要组成部分,必须从国家战略层面加以重视,人人都要树立信息安全观。同时,信息安全防护也是一个比技术防护层面和一般社会管理层面更高层次的问题,它应该是基于安全技术为基础的集法律、道德、管理、技术和人才于一体的综合保障体系,因此,必须树立整体信息安全观。2.加强信息安全立法,构筑信息安全法律之网有效解决网络信息安全问题不仅要依靠技术手段,还必须将技术性规范法律化。虽然我国的《计算机信息系统安全保护条例》《计算机病毒防治管理办法》《互联网安全保护技术措施规定》等相继出台,在保障网络信息安全方面发挥了重要作用,但是现行的法律制度仍然难以适应日益发展的网络信息化的新形势,因此,加快相关立法、构建更加完善的信息安全法律保障体系,成为广电网快速发展的必然要求。3.健全信息安全管理体系,加强信息安全顶层设计随着网络的普及和深入,信息安全已不是一个孤立的问题,依靠任何单一的安全技术或产品,都不能保证网络信息的安全。这就需要构建一个以安全技术措施为基础,科学决策、规范管理、安全运行的有机统一的安全管理体系。其中,最关键是要建立和落实信息安全分级保护制度,根据不同单元的重要程度或风险程度划分为不同的保护等级,分别采取必要的保护技术和措施,以达到安全有效保护的目的。4.建立完整高效的技术防范体系,为信息安全提供技术支撑不断加强网络技术的研究与开发,从物理安全、主机安全、网络安全、应用安全、数据安全与备份恢复几个方面建立完整高效的技术防范体系。加大对内容过滤和检测技术、加密技术等关键信息技术的研发力度;同时,推行信息安全技术设备的国产化,进一步提升广电网信息安全的管控水平。合理划分安全域是建立信息安全防范技术体系的前提。通过合理划分安全域,网络边界更加明确,这样既有利于实现对物理区域和网络区域之间的有效隔离和访问控制,也增强了安全域的边界安全及内部进行重点安全防护的针对性。另外,要不断优化终端设备、IP协议以及网络上下行频率分配等,改善用户体验,提升信息服务水平。5.提高管理人员素质,为信息安全提供人才保障要制定科学合理的人才发展规划,充分发挥技术人才的作用。一方面,加大专业技术人才的引进力度,落实人才优惠政策,既要吸引人才,更要留住人才。另一方面,重视对员工的业务技能培训和职业道德教育,使其增强保密意识,遵守工作规范,履行岗位职责,让每一名信息管理人员成为守护信息安全的忠诚卫士。
四、结语
推进三网融合是促进我国信息化建设的必由之路。广电网是三网融合中很重要的一个环节,确保网络信息安全举足轻重。然而,开放共享的网络也是一把“双刃剑”,使用网络就必然存在网络信息安全问题。因此,在融合过程中,必须紧紧抓住信息安全这条主线,加强信息基础设施建设,健全法律体系,加强技术创新,落实信息安全分级保护制度,不断提升广电网的安全性,切实保障党和国家的财产安全以及人民群众的切身利益。人力资源是企业最根本、最核心的资源之一。企业以实现利益最大化为目标,而企业利益必须依靠人来创造和获取。因此,优化人力资源管理,已经成为国有煤炭企业可持续发展的重中之重。一、国有煤炭企业人力资源管理存在的问题1.“以人为本”的观念在实际工作中体现不够国有煤炭企业体制机制上的弊端反映在人力资源管理上,即强调“听从安排”,否定个性发展,重拥有不重使用,造成部分员工工作主动性和创造性不足。虽然企业也积极探索“以人为本”的人力资源管理新模式,但口头上、形式上、表面上的“以人为本”,覆盖了实质上、实际上、实效上的“以人为本”。2.没有正确认识“人力资本”的意义国有煤炭企业对人力资源的管理基本上还停留在经验管理为主的传统模式,缺乏对“人力资本”的认识,“人力资本”的概念更是模糊不清,仍然习惯于人多好干活、人海战术的劳动密集型人力资源管理方式。这造成很多部门和岗位人员偏多,工作效率较低。同时,计划经济的“大锅饭”思想束缚了员工工作的主动性和自觉性,人力资本的潜能无法发挥作用。3.员工整体素质有待提高国有煤炭企业员工整体素质较低,参加工作之前接受学校的教育程度和知识水平不高,缺乏煤矿专业系统性理论知识,根基打得不牢、不实,造成工作中业务技能难以提升。
作者:钱英 单位:安徽智圣通信技术股份有限公司
参考文献
[1]张爱华.试论我国网络信息安全的现状与对策[J].江西社会科学,2006(09):252-255.
[2]毋晶晶,肖晏夏.关于对企业信息安全等级保护的思考[J].科技创新与生产力,2011(08):60-61.
[3]张瑞芝.广电行业信息安全等级保护工作探究[J].信息网络安全,2010(9):72-73.
1.1高校信息安全的概念
目前,信息安全并没有明确的定义。ISO/IEC17799中将信息安全定义为:通过实施一组控制而达到的、包括策略、措施、过程、组织结构及软件功能,是对机密性、完整性和可用性保护的一种特性。美国对信息安全的定义是:对信息、系统以及使用、存储和传输信息的硬件的保护。美国从技术和管理两个角度出发,将信息安全概括为信息环境安全、信息数据安全、信息程序安全、信息运行系统安全四个方面。沈昌祥院士将信息安全定义为:“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。”我国关于信息安全的定义基本上从技术和管理角度提出(主要指信息系统安全)。在本文中,笔者将高校信息安全界定为:高校信息安全是指确保涵盖信息处理系统的安全、信息自身的安全和信息利用安全在内的,从电脑硬件安全、处理系统运行安全、信息数据安全、信息内容本身安全四个维度出发,对具有机密性、完整性和可用性的高校信息保护的一种特性。
1.2高校信息安全的内容
通过上文对高校信息安全概念的界定,笔者认为高校信息安全主要内容归纳为以下四个方面:一是从物理安全维度看,主要是校园网络内运行的硬件设备的安全。涉及的是动力安全、设备安全、电磁安全、环境安全等;二是从运行安全维度看,主要涉及网络系统的可控性、可用性、可信赖性等,即保障信息系统不被篡改、破坏或不被非法操作等;三是从数据安全维度看,保障校园网络中流通数据的安全,既网络中的数据不被篡改、非法增删、复制、解密、盗用等;四是从内容安全维度看,是对信息本身内容真实性的鉴定、隐藏信息的发现以及对信息的选择性阻断。其中物理安全和运行安全是信息安全的基础。
1.3高校信息风险表现及信息安全保障之必要性
高校信息风险主要表现为:一是高校“信息风险人群”比例远高于国内其他行业“风险人群”。据360安全中心的《2013年第一季度中国个人电脑网上安全报告》显示,国内高校“风险人群”比例为28.7%。比全国“风险人群”的25.8%高近3个百分点。二是高校引发信息安全的因素种类繁多。除自然因素外,如计算机病毒、黑客、钓鱼网站、非法入侵盗号、系统的漏洞、人为操作等。三是高校的私有机密信息如学校公共数据、师生的个人信息、财务信息、档案信息、设备资产信息、教务信息等重要数据容易泄露或被非法窃取。针对高校信息风险表现,积极探索高校信息安全保障策略具有重大意义。一是有利于提高高校信息安全管理整体意识;二是有助于制定行之有效的信息安全管理制度,三是能促进高校信息安全保障机制的不断完善,有效推进高校信息化进程;四是是能提高师生信息安全意识,促进我国信息安全专业人才的培养。
2高校信息安全风险分析
信息风险分析是一种主动识别信息风险的过程。笔者分别采用定性分析、定量分析、定性和定量相结合的方法对高校现实信息系统的实际情况做了调查研究、结合学校信息泄露案例进行分析,从共性上看,认为信息安全风险因素可以归纳为以下几类。
2.1高校信息安全保护机制普遍存在认识不足,防护不够的现象
首先,高校网络系统使用人员信息安全意识淡薄。主要表现为大学生对信息安全缺乏足够的重视,高校没有成型的大学生信息安全教育模式,对大学生进行信息安全教育处于形式。高校对大学生的信息安全教育不够重视,严重滞后于信息技术的发展。大学生对学校信息安全缺乏正确认识,对相关信息安全法律法规缺乏了解,信息安全意识淡薄。作为系统使用人员的教师,由于缺乏必要的信息安全知识和信息技术,对信息安全防护漠不关心,片面的以为学校信息安全属于专业技术人员,于己无关。其次,高校信息管理人员安全意识淡薄。对于缺乏信息安全教育专业培训的技术管理人员来说,他们缺乏“防黑防毒”意识,对于来自外部或内部的恶意攻击缺乏警惕性,缺乏积极防御、保障信息安全的主动性。再次,高校信息安全专业人才的培养尚处于起步阶段,高校贫缺专业信息安全管理人才。由于缺乏专业信息安全人才的专业指导,导致高校信息安全建设缺乏系统规划和整体布局,对信息风险认识不够,分析不彻底,所制定的信息保障策略存在漏洞。最后,对信息系统安全漏洞未能及时、定期修复。安全漏洞是指在网络系统硬件、软件、协议和系统安全策略存在的缺陷和错误。攻击者就是通过研究这些漏洞向高校的信息系统传播病毒,或者人为控制计算机系统。管理者只有及时修复这些漏洞,才可以确保信息安全。
2.2高校信息安全制度不健全,存在信息安全管理漏洞
虽然高校信息化普及很快,但大部分高校对信息安全在监督和管理上都存在着漏洞。高校在信息安全管理上缺乏健全的制度,高校内部管理相对松散,已有的制度大多数是趋于形式的要求而设立,没有严格的监督检查机制,甚至连信息安全领导小组都未成立,对突发的信息安全问题缺乏应急处置预案,出现头痛医头,脚痛医脚的忙乱应对现象。据初步统计,大部分的信息安全问题是由于管理疏忽或者管理不善造成的,因此,从管理角度加强信息管理,是能够有效保障信息安全的。
2.3高校信息安全投入不足,安全保障设施不健全
目前高校数字化建设已经取得一定成绩,数字化教学、管理、服务基本普及。但在管理和保障信息安全的设备上投入资金十分有限。首先因为用于保障信息安全设备成本较高,而信息风险的不确定性导致信息安全本身又不被领导充分重视,大部分高校安全保障配套设施陈旧;其次伴随高校扩张,大部分高校网络缺乏战略发展规划,网络边界设备之间缺乏有效的联动,网络拓扑结构不合理,内网和外网在数据交换及数据流转方面存在不安全因素;最后为节约网络运行成本,学校采取与网络营销商合作的方式来减少学校网络运行维护人员,忽视对网络安全维护方面的投入。
2.4高校缺乏对BYOD、云计算和大数据安全问题应对方案
由于在智能手机、平板电脑、超极本的智能终端使用某些应用比在PC上操作方式更简单快捷,2013年移动办公设备的信息安全问题成为安全信息的新问题。调查显示,高校基本上还没有制定相关的BYOD安全管理政策,以具体规定师生员工如何在学习工作场所中使用自己的移动。如何在确保信息安全的情况下更好的利用BYOD带来好处成为高校信息安全风险分析的重要任务。高校在云计算信息安全方面专注于保护云计算主机站点的数据安全,对从移动终端访问云数据的用户安全重视不够,他们经常面临数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作、云计算服务的滥用、云服务规划不合理、共享技术的漏洞等问题。
3高校信息安全保障策略
建立高效、协调、集成的数字化办公系统是长春理工大学成为综合性、研究型、开放式的国内一流大学的信息化保障,如何保障信息安全便成为建设数字化办公系统需要面对的首要问题。
3.1加强信息安全知识教育和技能培训,从信息主体层面增强网络安全防护
为从根本上增强网络安全防护,长春理工大学采取了一系列措施提高网络信息主体——师生的信息安全防范意识和防范技能。一是加强国内外信息安全法律法规教育,增强师生信息安全法律意识。如:长春理工大学定期组织管理员、信息源接入人员、广大师生学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核、登记制度》等国内外信息安全法律法规教育,普及信息安全知识,提高师生安全保密素质,让师生明确维护信息安全的重要性和维护信息安全人人有责,充分发挥师生在信息安全维护中的主体作用。二是对师生进行信息安全技术培训,提高师生信息安全防御技能。信息安全技术培训主要是针对师生的实际需求,开展计算机应用和网络运用技能的培训,培养学生基本的网络防御技能。长春理工大学多年来一直坚持定期邀请专职技术人员对学校师生进行信息安全技术培训。如电脑操作系统定期更新,及时修补电脑安全漏洞,辨别不良网站等知识,让师生学会日常的安全操作和系统维护。
3.2坚持校园网硬件投入和有效信息技术的充分融合,确保网络运行安全
首先,建立完整的校园网络病毒防御体系。一是安装正版杀毒软件。如:长春理工大学将正版的杀毒软件挂在学校的信息中心网站上,让学校教师免费使用正版杀毒软件,通过利用正版杀毒软件定期扫描杀毒,及时修复系统漏洞,遇到问题及时向软件开发商发送错误报告并进行分析,定期升级防毒软件、更新病毒库等,有效保障了学校电脑的安全运行。二是详细设置防火墙防范策略。对操作系统的端口配置严格把关,必须及时做到开放该开放的,关闭不需要的端口。对外提供网络服务的服务器。把必须利用的端口开放,其他的端口必须全部关闭。三是安装与配置IDS入侵检测系统。入侵检测系统主要监控内部网络操作行为及多种攻击,是检测防火墙过滤后的隐匿攻击。四是安装漏洞扫描系统。如:长春理工大学为每位教工电脑安装漏洞扫描系统,采用主动探测的方式快速获取目标设备的脆弱点,从而协助系统操作人员对目标系统建立风险快照。分别采用ping扫描、端口扫描、OS探测、脆弱点探测等技术对指定的远程或本地的计算机系统的安全威胁进行定期扫描检测,及时修补各种漏洞。其次,以防内为主,内外兼防为辅,确保信息终端平台的可信赖性。安全终端平台的建设依靠密码服务和安全操作系统支持。一是确保终端平台用户的合法性,用户只能根据规定的权限和控制规则进行操作;二是采用身份认证、访问控制、密码加密等措施,构建计算机系统应用环境安全,如:长春理工大学教师采用一卡通的上网卡号进行身份认证;三是建立提供认证、授权、检测、应急和处理非法访问服务的信息安全管理中心,提供互联互通的密码配置,公钥证书等密码服务措施。具体保障措施如下:选用LOTUSNOTES/DOMINO作为办公自动化系统的主要开发平台。(1)数据加密。包括使用秘钥对电子邮件文档加密;网络端口级加密;使用SSL对在INTERNET客户机和DOMINO服务器间或在NOTES工作站和INTERNET服务器间传送的住处进行加密;域、文档和数据库加密。(2)NOTES的数字签名,身份认证包括NOTES工作站与DOMINO服务器之间的认证以及客户端与mMmo服务器之间的认证。(3)NOTES还允许用户通过建立群组的角色的方式来规划NOTES数据库的访问安全性。(4)利用双网卡主机技术实现办公网络安全隔离。(5)引入第三方的公钥基础结构(PK),进一步改善网络系统的安全性。
3.3建构多重信息安全管理渠道,加强信息安全运行的制度保障
首先,设置层次明晰,职能合理的信息安全管理机构。依照“预防为主,综合治理”、“制度防范和技术防范相结合”的原则,信息安全管理实行三级管理机制,由领导决策并负监督,中层干部管理,基层操作者具体执行。以长春理工大学为例,近年来学校建立了信息安全管理的三级管理机制,成立了专门的信息中心,处级单位,配备具有专业知识的工作人员,由一名副校长分管学校信息安全工作,中层领导分管本部门的信息安全工作,基层建立兼职信息员队伍,具体负责本部门的信息安全工作,使得信息安全工作层层落实。同时学校还制定了具体的组织体系和信息安全工作职责,厘清三级体制下各级各部门的具体职责;制定了《长春理工大学信息员管理办法》,详细规定各信息安全岗位人员管理考核办法,使信息安全工作落到实处。其次,建立常规管理制度、应急处理和定期评估制度。一是针对信息安全具有复杂性、动态性和突发性强的特点,制定常规化信息管理制度。如长春理工大学先后制定了《长春理工大学操作系统和数据库的安全配置程序管理制度》、《长春理工大学网络信息中心机房管理制度》、《长春理工大学计算机案件和事故报告制度》、《长春理工大学计算机病毒及有害数据报告制度》、《长春理工大学病毒检测和安全漏洞检测制度》、《长春理工大学网络设备管理制度》、《长春理工大学信息审核制度》等多项信息管理制度。二是制定应急处理机制,对于突发的、涉及范围广,危害性大或影响深的信息安全事件采取有效的应对措施,有效控制信息危机的发生。如长春理工大学成立信息危机应急处理小组,及时应急处理方案和信息,有效控制信息危机的发生。三是注意日常信息安全动态,建立定时测评,不定期检查,随时抽查的信息检查制度,如:长春理工大学建立了信息检查制度,不定期检查各基层单位信息安全情况,并对相关测评、检查、抽查的情况进行汇总形成相关信息安全检查日志,及时通报相关部门。
3.4设立信息技术咨询指导部门,促进信息安全防护与前沿信息技术的紧密结合
没有一劳永逸的信息安全保障策略。随着信息技术的发展,保障策略要不断更新、完善。例如:长春理工大学组建专业技术咨询指导部门,成立了长春理工大学信息中心,由专职工作人员跟踪最前沿的安全信息及新信息技术的发展动态,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新信息安全保护措施,取得了较好的效果。学校还将最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业化培训,应对随时可能爆发的信息安全事件,增加广大师生的信息安全知识,提高信息安全意识,使学校的信息安全工作切实做到实处,收到了实效。
4结语