时间:2022-12-16 19:19:53
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇计算机安全技术论文,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
网络管理协议的主要功能有:故障管理、配置管理、性能管理、安全管理和计费管理。这五大功能即相互独立,又相互联系。整个系统中,故障管理是网络管理的核心;配置管理是实现各个管理功能的前提和信息保障;性能、安全和计费管理相比之下独立性更强。五大功能协同合作,保证网络管理稳定进行。目前网络管理协议中被广泛认可和应用的是基于TCP/IP协议的SNMP协议(简单网络管理协议),其最大的特点就是简单,很容易应用到大型的网络系统中。其建立所需时间不长,对网络所加的压力也不大,目前几乎所有的网络互连硬件制造商都支持该协议。简单化的设计,给它带来了强大的扩展能力,方便进行网络扩展。
2计算机网络管理系统的发展现状及其存在的问题
国外的网络管理方面的研究起步早,技术积累深厚,在这一领域取得了一些成果。IEEE通信学会所属的网络运营与管理专业委员会(CNOM),从1988年开始,每隔一年举办一次学界的研讨会。国外早在上世纪80年代就对此展开了相关研究,提出了多种网络管理方案,其中包括SGMP、CMIS/CMIO等。在网络管理方面,国外已经开发出很多较为成熟的产品,其中以HP公司、SunSoft公司和IBM公司最为活跃。总体来说国内方面的网络管理起步较晚,水平还比较低,目前为止也没有开发出一套完整的通用网络管理平台。
3计算机网络管理系统中存在的安全问题和安全策略分析
1)计算机网络管理系统的安全问题。
作为网络管理联系各个模块实现管理功能的重要基础,网络系统中的信息安全显得非常重要,而网络管理系统的信息流无时无刻不受着安全威胁。首先,计算机通过互联网在每个节点互相连接,网络的这种互联特性决定了计算机病毒从一台计算机通过互联网向另一台计算机传播,在网络管理系统中,一旦某个节点的计算机被病毒侵蚀,整个管理系统的信息流会遭到破坏,导致系统瘫痪等严重后果;其次,Internet底层的TCP/IP协议本身的不完善,程序与协议之间的冲突,会导致来自系统内部的安全威胁,致使系统运行不稳定,信息传递混乱等问题的发生;再次,网络内部的用户一般都有权限级别的划分,当网络用户的安全配置不当导致漏洞,使用户权限发生混乱或者权限乱用,就会发生越权操作,致使网络管理系统的信息丢失或者实现恶意操作;此外,网络管理系统有时也会面对人为的恶意攻击,分为主动和被动攻击,黑客在不影响网络的正常工作的前提下,对链路上的信息进行选择性截获、攻击、修改,达到窃取重要机密等目的;另外,跟其他计算机软件一样,网络软件同样是通过计算机编程完成编写,所以网络软件也同样存在漏洞,这为黑客提供了攻击的入口。不仅如此,计算机软件一般都会给编程人员留下“后门”,以方便日后对软件的维护和升级等工作,一旦“后门”被打开,也会造成非常严重的后果。
2)计算机网络管理系统的安全策略。
面对计算机网络管理系统所面临的诸多安全风险,开发和维护人员要采取必要的安全措施对于来自各种可能的安全隐患进行有效地防范,这样才能保证系统安全运行。目前网络病毒传播是侵蚀计算机网络最主要的途径,但网络病毒的防范并没有通用性可言,没有任何一套网络杀毒软件和防护工具能够适应任何种类的病毒,所以应该对计算机网络进行多层次的设防,采用杀毒和防毒相结合的策略,应该对所有的入口和出口进行安全防护,保证计算机网络管理系统的信息安全。为了保护网络资源不被别有用心的人非法使用和访问,对访问用户进行控制是维护系统信息安全的重要方法。访问控制主要体现在:入网访问的控制、网络权限的控制、目录级安全控制、属性安全控制、网络服务器安全控制、网络监测控制、网络端口和节点的安全控制和防火墙控制。数据是计算机网络管理系统的血液,为了防止数据丢失等故障问题,应该让存储设备和网络系统独立开来,增加对对数据的备份和对存储设备的保护。在计算机网络管理系统中,要想使系统信息的交流处于封闭状态,就应该对信息进行较高级别的加密保护,并设置不同密级安全机制,以此来保证系统信息不被截获、修改或破坏。网络加密常在链路、端点和节点三个位置进行加密设置。为了防止人为的攻击或误操作导致的系统破坏,应加入网络入侵检测系统,这样网络系统能够对外来的攻击做出反应并进行抵抗。
4结束语
届时,大会将设立 “信息系统整体安全保护的有效途径”和“电子认证服务的解决之道” 两个分论坛,并集纳各界经典名篇、学术成果、研究课题、应用经验,编辑出版《2012中国信息安全技术展望学术论文集》,其中优秀论文将择优在《信息安全与技术》杂志(国家级刊物)上刊登,并全文收录于《中国学术期刊网络出版总库》及CNKI系列数据库、《中文核心期刊(遴选)数据库》、《中文科技期刊数据库》。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
论文(设计)题目:中学校园网络安全防护及对策初探---以昌吉市一中校园网络为例
1、选题来源及意义
1.1选题来源
随着信息时代的高速发展,以校园网络为平台的应用也越来越广泛,例如校园一卡通服务、办公自动化应用(OA)、教务管理、图书管理、电子邮件服务、校校通服务、网上学习等。然而在开放式网络环境下,校园网络的使用过程中面临着各种各样的安全隐患,一方面,由于使用校园网络最多的是学生和教师,学生对于网络这样的新鲜事物非常感兴趣,可能会下载一些黑客软件或带有病毒的软件,从而破坏校园网络系统,加之学生不懂得爱惜,对于暴露在外界的网络设备造成一定破坏,据统计,80%的校园网络的攻击都来自于校园网内部[1];另一方面,来自外部的网络用户对IP地址的盗用、黑客攻击、病毒攻击、系统漏洞、信息泄露等方面的隐患也会对校园网络造成破坏。综上所述,校园网络的安全问题既有内部因素,也有外部攻击。因此,如何在现有条件下,充分应用各种安全技术,有效的加强、巩固校园网络安全问题非常重要。通过笔者在昌吉市一中网络中心实习的经历,发现昌吉市一中校园网络原有方案只是简单地采用防火墙等有限措施来保护网络安全。防火墙是属于静态安全技术范畴的外围保护,需要人工实施和维护,不能主动跟踪入侵者。而管理员无法了解网络的漏洞和可能发生的攻击,严重的影响的正常的教学工作。因此针对中学校园网络安全的防护更不容轻视。[2-3]
1.2选题意义
校园网络的安全建设极其重要,源于校园网一方面为各个学校提供各种本地网络基础性应用,另一方面它也是沟通学校校园网络内部和外部网络的一座桥梁。校园网络应用遍及学校的各个角落,为师生提供了大量的数据资源,方便了师生网上教学、交流、专题讨论等活动,为教学和科研提供了很好的平台,因此存在安全隐患的校园网络对学校的教学、科研和办公管理都会造成严重的影响。根据学校的不同性质,保证网络稳定、安全和高效运行是校园网络建设的首要任务。因此做好校园网络安全的防护及相应对策至关重要,即本论文选题意义。[4]
2、国内外研究状况
2.1国外网络安全现状
由于笔者查阅文献资料的有限性,没有查到国外校园网络安全现状的资料,因此针对国外所采取的网络安全措施进行如下概述:
(1)法律法规的制定。近年来,世界各国纷纷意识到网络安全与信息安全的重要性,并制定相关的法律法规规范广大网络用户的行为。美国、俄罗斯、英国、日本、法国等其他许多国家都相继成立国家级信息安全机构,完善网络防护管理体制,采取国家行为强化信息安全建设。
(2)网络防护应急反应机制的建立。面对网络反恐、黑客、信息的泄露、网络入侵、计算机病毒及各类蠕虫木马病毒等一系列网络危机,世界各国通过建立网络防护应急反应机制。分别从防火墙技术、入侵检测系统、漏洞扫描、防查杀技术等传统的安全产品方面入手,防止各种安全风险,并加快网络安全关键技术的发展和更新.动态提升网络安全技术水平。
综上所述,网络安全的问题将随着技术的不断发展越来越受到重视。然而,网络技术不断发展的今天,网络安全问题只能相对防御,却无法真正的达到制止。[5-7]
2.2国内网络安全现状
由于我国在网络安全技术方面起步比其他信息发达国家晚,发展时间较短,技术不够纯熟,面对各种网络安全问题有些应接不暇,主要是由于自主的计算机网络核心技术和软件缺乏,信息安全的意识较为浅薄,不少事企单位没有建立相应的网络安全防范机制以及网络安全管理的人才严重缺乏,无法跟上网络的飞速发展。面对这一系列的问题,我国通过制定政策法规,如GB/T18336一2001(《信息技术安全性评估准则》)、GJB2646一96(《军用计算机安全评估准则》等来规范网络用户的使用,还通过技术方面的措施进行防护,如加密认证、数字签名、访问控制列表、数据完整性、业务流填充等措施进行网络安全的维护。然而通过技术措施进行网络维护的过程中,网络管理员对技术的偏好和运营意识的不足,普遍都存在“重技术、轻安全、轻管理”的倾向,致使在管理、维护网络安全方面还有很大的漏洞。[5]国内网络安全整体的现状如上所述,通过大量文献的阅读,发现数据信息危害和网络设备危害是校园网络安全现在主要面临的两大问题,主要威胁有病毒的传播与攻击、黑客的入侵、信息的篡改等一系列安全隐患,通过采取加密认证、访问控制技术、防火墙、漏洞扫描等措施进行防护。[3]中学校园网络管理者如何保证校园网络能正常的运行不受各种网络黑客的侵害就成为各个中学校园不可回避的问题,并且逐渐引起了各方面的重视。[8-10]
3、本选题的研究目标及内容创新点:
3.1研究目标:
本文在对当前校园网络面临的各类安全问题进行详细分析的基础上,深入、系统的探讨了目前常用的各种网络安全技术的功能以及优缺点,并以昌吉市一中等中学校园网络为研究对象,分别从中学校园网络的物理因素、技术因素、管理因素等角度分析威胁校园网络安全的因素,并结合昌吉市一中校园网络现有的条件,分别从设备管理、技术提供、管理人员意识等方面充分应用各种安全技术,有效加强、巩固校园网络安全,提出解决网络安全问题的策略及防范措施。从而综合利用各种网络安全技术保障本校的校园网络的安全、稳定、高效运行。
3.2内容创新点:
(1)通过对昌吉市一中的校园网络进行分析,并结合文献资料参考其他中学校园网络安全的问题,总结出中学校园网络安全存在常见的安全隐患,并制定出针对中学校园网络隐患所采取的防范措施。
(2)将制定出的网络安全防范措施运用于昌吉市一中校园网络,制定出真正合理的、恰当的、适合现有条件的网络安全防范措施,并对昌吉市一中的校园网络进行展望,使得校园网络可持续发展。
参考文献
[1]段海新.CERNET校园网安全问题分析与对策[J].中国教育网络,2005.03
[2]袁修春.校园网安全防范体系.[D].西北师范大学.计算机应用技术.2005,5
[3]钟平.校园网安全技术防范研究[D].广东.广东工业大学.2007,4:3
[4]蔡新春.校园网安全防范技术的研究与实现[D].软件工程2009,4
[5]董钰.基于校园网的网络安全体系结构研究与设计[D].山东.计算机软件与理论.2005,5:11-12
[6]王先国.校园网络安全系统的研究与设计.[D].南京.计算机技术.2009.12
[7]定吉安.常用网络安全技术在校园网中的应用研究[D].山东.计算机软件与理论.2011,4
[8]顾润龙.影响校园网络安全的主要因素及防范措施.[J].咸宁学院学报.2012,9(32):155-156
[9]张伯江.国外信息安全发展动向[J].信息安全动态,2002,8(7):36-38
[10]谭耀远.新世纪中国信息安全问题研究.[D].大连.大连海事大学.2011,6
一、采用的研究方法及手段(1、内容包括:选题的研究方法、手段及实验方案的可行性分析和已具备的实验条件等。2、撰写要求:宋体、小四号。)
1、文献研究法:查找文献资料时借助图书馆及网络,搜集、鉴别、整理文献。从前人的研究中得出对我们的研究有价值的观点与例证。本研究采用文献研究法的目的:
(1)查取大量校园网络安全问题常见的问题,结合昌吉市一中的校园网络现状进行分析。
(2)对国内外的网络安全防范措施进行分析,选择适合昌吉市一中校园网络安全所应对的策略。
2.访谈法:通过与昌吉市一中网络信息中心的教师交流探讨,以访谈的形式了解昌吉市一中校园网络的现状。
论文的框架结构(宋体、小四号)
第一章:绪论
第二章:影响中学校园网络安全的因素
第三章:常用的校园网络安全技术
第四章:校园网络安全建设
-----以昌吉市一中校园网络安全体系需求分析及设计
第五章:总结和展望。
论文写作的阶段计划(宋体、小四号)
第一阶段:20xx.10.1—20xx.11.20选定论文题目,学习论文写作方法及注意项;
第二阶段:20xx.11.20—20xx.12.25与孙老师见面,在孙教师的指导下,搜集材料阅读有关文献资料,按照开题报告的格式和要求完成《昌吉学院本科毕业论文(设计)开题报告》的撰写;
第三阶段:20xx.12.26—20xx.1.3写出开题报告,并与指导教师充分沟通,做好开题报告答辩准备;
第四阶段:20xx.1.5—20xx.1.13开题报告论证答辩;
第五阶段:20xx.1.17—20xx.3.25在指导教师指导下,开始毕业论文的写作,至3月25日完成初稿交指导教师;
第六阶段:20xx.3.25—20xx.3.31写出中期报告书,接受中期检查。并根据指导教师建议完成初稿的修改;
第七阶段:20xx.4.1—20xx.4.10根据指导教师建议完成二稿的修改;
第八阶段:20xx.4.11—20xx.4.20根据指导教师建议完成三稿的修改;
第九阶段:20xx.4.21—20xx.4.25完成初定稿,并复印3份交系毕业论文答辩小组;
论文摘要:该文对计算机网络安全存在的问题进行了深入探讨,并提出了对应的改进和防范措施。
计算机的广泛应用把人类带进了一个全新的时代,随着互联网的飞速发展,网络技术全面地影响和改造着人们的生活,上网已经成为工作和生活不可缺少的一部分,网络已经深进社会和生活的各个方面。但随之而来的是,计算机网络安全也受到前所未有的威胁,一旦计算机网络受到攻击而不能正常工作,甚至瘫痪,整个社会就会陷进危机。计算机病毒无处不在,黑客的猖獗,都防不胜防。本文将对计算机网络安全存在的问题进行深入剖析,并提出相应的安全防范措施。
1、计算机网络安全的定义
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露。计算机网络安全包括两个方面, 即物理安全和逻辑安全。物理安全指系统设备及相关设施受到物理保护, 免于破坏、丢失等。逻辑安全包括信息的完整性、保密性和可用性。
2、计算机网络不安全因素
对计算机信息构成不安全的因素很多, 其中包括人为的因素、自然的因素和偶发的因素。其中,人为因素是指,一些不法之徒利用计算机网络存在的漏洞,或者潜入计算机房,盗用计算机系统资源,非法获取重要数据、篡改系统数据、破坏硬件设备、编制计算机病毒。人为因素是对计算机信息网络安全威胁最大的因素,垃圾邮件和间谍软件也都在侵犯着我们的计算机网络。计算机网络不安全因素主要表现在以下几个方面:
2.1 计算机网络的脆弱性
互联网是对全世界都开放的网络,任何单位或个人都可以在网上方便地传输和获取各种信息,互联网这种具有开放性、共享性、国际性的特点就对计算机网络安全提出了挑战。互联网的不安全性主要有以下几项:
(1)网络的开放性,网络的技术是全开放的,使得网络所面临的攻击来自多方面。或是来自物理传输线路的攻击,或是来自对网络通信协议的攻击,以及对计算机软件、硬件的漏洞实施攻击。
(2)网络的国际性,意味着对网络的攻击不仅是来自于本地网络的用户,还可以是互联网上其他国家的黑客,所以,网络的安全面临着国际化的挑战。
(3)网络的自由性,大多数的网络对用户的使用没有技术上的约束,用户可以自由地上网,和获取各类信息。
2.2 操作系统存在的安全问题
操作系统是作为一个支撑软件,使得你的程序或别的运用系统在上面正常运行的一个环境。操作系统提供了很多的管理功能,主要是管理系统的软件资源和硬件资源。操作系统软件自身的不安全性,系统开发设计的不周而留下的破绽,都给网络安全留下隐患。
(1)操作系统结构体系的缺陷。操作系统本身有内存管理、CPU 管理、外设的管理,每个管理都涉及到一些模块或程序,如果在这些程序里面存在问题,比如内存管理的问题,外部网络的一个连接过来,刚好连接一个有缺陷的模块,可能出现的情况是,计算机系统会因此崩溃。所以,有些黑客往往是针对操作系统的不完善进行攻击,使计算机系统,特别是服务器系统立刻瘫痪。
(2)操作系统支持在网络上传送文件、加载或安装程序,包括可执行文件,这些功能也会带来不安全因素。网络很重要的一个功能就是文件传输功能,比如FTP,这些安装程序经常会带一些可执行文件,这些可执行文件都是人为编写的程序,如果某个地方出现漏洞,那么系统可能就会造成崩溃。像这些远程调用、文件传输,如果生产厂家或个人在上面安装间谍程序,那么用户的整个传输过程、使用过程都会被别人监视到,所有的这些传输文件、加载的程序、安装的程序、执行文件,都可能给操作系统带来安全的隐患。所以,建议尽量少使用一些来历不明,或者无法证明它的安全性的软件。
(3)操作系统不安全的一个原因在于它可以创建进程,支持进程的远程创建和激活,支持被创建的进程继承创建的权利,这些机制提供了在远端服务器上安装“间谍”软件的条件。若将间谍软件以打补丁的方式“打”在一个合法用户上,特别是“打”在一个特权用户上,黑客或间谍软件就可以使系统进程与作业的监视程序监测不到它的存在。
(4)操作系统有些守护进程,它是系统的一些进程,总是在等待某些事件的出现。所谓守护进程,比如说用户有没按键盘或鼠标,或者别的一些处理。一些监控病毒的监控软件也是守护进程,这些进程可能是好的,比如防病毒程序,一有病毒出现就会被扑捉到。但是有些进程是一些病毒,一碰到特定的情况,比如碰到5月1日,它就会把用户的硬盘格式化,这些进程就是很危险的守护进程,平时它可能不起作用,可是在某些条件发生,比如5月1日,它才发生作用,如果操作系统有些守护进程被人破坏掉就会出现这种不安全的情况。
(5)操作系统会提供一些远程调用功能,所谓远程调用就是一台计算机可以调用远程一个大型服务器里面的一些程序,可以提交程序给远程的服务器执行,如telnet。远程调用要经过很多的环节,中间的通讯环节可能会出现被人监控等安全的问题。
(6)操作系统的后门和漏洞。后门程序是指那些绕过安全控制而获取对程序或系统访问权的程序方法。在软件开发阶段,程序员利用软件的后门程序得以便利修改程序设计中的不足。一旦后门被黑客利用,或在软件前没有删除后门程序,容易被黑客当成漏洞进行攻击,造成信息泄密和丢失。此外,操作系统的无口令的入口,也是信息安全的一大隐患。
(7)尽管操作系统的漏洞可以通过版本的不断升级来克服, 但是系统的某一个安全漏洞就会使得系统的所有安全控制毫无价值。当发现问题到升级这段时间,一个小小的漏洞就足以使你的整个网络瘫痪掉。
2.3 数据库存储的内容存在的安全问题
数据库管理系统大量的信息存储在各种各样的数据库里面,包括我们上网看到的所有信息,数据库主要考虑的是信息方便存储、利用和管理,但在安全方面考虑的比较少。例如:授权用户超出了访问权限进行数据的更改活动;非法用户绕过安全内核,窃取信息。对于数据库的安全而言,就是要保证数据的安全可靠和正确有效,即确保数据的安全性、完整性。数据的安全性是防止数据库被破坏和非法的存取;数据库的完整性是防止数据库中存在不符合语义的数据。
2.4 防火墙的脆弱性
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.它是一种计算机硬件和软件的结合,使Internet 与Intranet 之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入。
但防火墙只能提供网络的安全性,不能保证网络的绝对安全,它也难以防范网络内部的攻击和病毒的侵犯。并不要指望防火墙靠自身就能够给予计算机安全。防火墙保护你免受一类攻击的威胁,但是却不能防止从LAN 内部的攻击,若是内部的人和外部的人联合起来,即使防火墙再强,也是没有优势的。它甚至不能保护你免受所有那些它能检测到的攻击。随着技术的发展,还有一些破解的方法也使得防火墙造成一定隐患。这就是防火墙的局限性。
2.5 其他方面的因素
计算机系统硬件和通讯设施极易遭受到自然环境的影响,如:各种自然灾害(如地震、泥石流、水灾、风暴、建筑物破坏等)对计算机网络构成威胁。还有一些偶发性因素,如电源故障、设备的机能失常、软件开发过程中留下的某些漏洞等,也对计算机网络构成严重威胁。此外管理不好、规章制度不健全、安全管理水平较低、操作失误、渎职行为等都会对计算机信息安全造成威胁。
3、计算机网络安全的对策
3.1 技术层面对策
对于技术方面,计算机网络安全技术主要有实时扫描技术、实时监测技术、防火墙、完整性检验保护技术、病毒情况分析报告技术和系统安全管理技术。综合起来,技术层面可以采取以下对策:
(1)建立安全管理制度。提高包括系统管理员和用户在内的人员的技术素质和职业道德修养。对重要部门和信息,严格做好开机查毒,及时备份数据,这是一种简单有效的方法。
(2)网络访问控制。访问控制是网络安全防范和保护的主要策略。它的主要任务是保证网络资源不被非法使用和访问。它是保证网络安全最重要的核心策略之一。访问控制涉及的技术比较广,包括入网访问控制、网络权限控制、目录级控制以及属性控制等多种手段。
(3)数据库的备份与恢复。数据库的备份与恢复是数据库管理员维护数据安全性和完整性的重要操作。备份是恢复数据库最容易和最能防止意外的保证方法。恢复是在意外发生后利用备份来恢复数据的操作。有三种主要备份策略:只备份数据库、备份数据库和事务日志、增量备份。
(4)应用密码技术。应用密码技术是信息安全核心技术,密码手段为信息安全提供了可靠保证。基于密码的数字签名和身份认证是当前保证信息完整性的最主要方法之一,密码技术主要包括古典密码体制、单钥密码体制、公钥密码体制、数字签名以及密钥管理。
(5)切断传播途径。对被感染的硬盘和计算机进行彻底杀毒处理,不使用来历不明的U 盘和程序,不随意下载网络可疑信息。
(6)提高网络反病毒技术能力。通过安装病毒防火墙,进行实时过滤。对网络服务器中的文件进行频繁扫描和监测,在工作站上采用防病毒卡,加强网络目录和文件访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(7)研发并完善高安全的操作系统。研发具有高安全的操作系统,不给病毒得以滋生的温床才能更安全。
3.2 管理层面对策
计算机网络的安全管理,不仅要看所采用的安全技术和防范措施,而且要看它所采取的管理措施和执行计算机安全保护法律、法规的力度。只有将两者紧密结合,才能使计算机网络安全确实有效。
计算机网络的安全管理,包括对计算机用户的安全教育、建立相应的安全管理机构、不断完善和加强计算机的管理功能、加强计算机及网络的立法和执法力度等方面。加强计算机安全管理、加强用户的法律、法规和道德观念,提高计算机用户的安全意识,对防止计算机犯罪、抵制黑客攻击和防止计算机病毒干扰,是十分重要的措施。
这就要对计算机用户不断进行法制教育,包括计算机安全法、计算机犯罪法、保密法、数据保护法等,明确计算机用户和系统管理人员应履行的权利和义务,自觉遵守合法信息系统原则、合法用户原则、信息公开原则、信息利用原则和资源限制原则,自觉地和一切违法犯罪的行为作斗争,维护计算机及网络系统的安全,维护信息系统的安全。除此之外,还应教育计算机用户和全体工作人员,应自觉遵守为维护系统安全而建立的一切规章制度,包括人员管理制度、运行维护和管理制度、计算机处理的控制和管理制度、各种资料管理制度、机房保卫管理制度、专机专用和严格分工等管理制度。
3.3 物理安全层面对策
要保证计算机网络系统的安全、可靠,必须保证系统实体有个安全的物理环境条件。这个安全的环境是指机房及其设施,主要包括以下内容:
(1)计算机系统的环境条件。计算机系统的安全环境条件,包括温度、湿度、空气洁净度、腐蚀度、虫害、振动和冲击、电气干扰等方面,都要有具体的要求和严格的标准。
(2)机房场地环境的选择。计算机系统选择一个合适的安装场所十分重要。它直接影响到系统的安全性和可靠性。选择计算机房场地,要注意其外部环境安全性、地质可靠性、场地抗电磁干扰性,避开强振动源和强噪声源,并避免设在建筑物高层和用水设备的下层或隔壁。还要注意出入口的管理。
(3)机房的安全防护。机房的安全防护是针对环境的物理灾害和防止未授权的个人或团体破坏、篡改或盗窃网络设施、重要数据而采取的安全措施和对策。为做到区域安全,首先,应考虑物理访问控制来识别访问用户的身份,并对其合法性进行验证;其次,对来访者必须限定其活动范围;第三,要在计算机系统中心设备外设多层安全防护圈,以防止非法暴力入侵;第四设备所在的建筑物应具有抵御各种自然灾害的设施。
4、结语
计算机网络安全是一项复杂的系统工程,涉及技术、设备、管理和制度等多方面的因素,安全解决方案的制定需要从整体上进行把握。网络安全解决方案是综合各种计算机网络信息系统安全技术,将安全操作系统技术、防火墙技术、病毒防护技术、入侵检测技术、安全扫描技术等综合起来,形成一套完整的、协调一致的网络安全防护体系。我们必须做到管理和技术并重,安全技术必须结合安全措施,并加强计算机立法和执法的力度,建立备份和恢复机制,制定相应的安全标准。此外,由于计算机病毒、计算机犯罪等技术是不分国界的,因此必须进行充分的国际合作,来共同对付日益猖獗的计算机犯罪和计算机病毒等问题。
参考文献
[1]张千里,陈光英著.《网络安全新技术》.人民邮电出版社,2003.1.
论文摘 要: 随着现代计算机网络信息技术的发展,计算机网络逐渐成为人们生活和工作中不可或缺的组成部分,它改变了人们传统的工作习惯和生活节奏。在人们越来越依赖网络的今天,伴随着计算机网络技术的逐步发展和完善,计算机网络的信息安全防护已经变得越来越重要。文章在计算机网络安全的概念基础上,分析了当前计算机网络安全的现状,最后提出几种常见的计算机网络安全防范策略。
计算机技术和网络技术的高速发展,对整个社会的科学技术、经济与文化带来巨大的推动和冲击,尤其近十几年来,计算机网络在社会生活各方面应用广泛,已经成为人们生活中不可或缺的部分,但同时也给我们带来许多挑战。随着我们对网络信息资源的开放与共享的需求日益增强,随之而来的信息安全问题也越来越突出,并且随着网络规模的不断扩大,网络安全事故的数量,以及其造成的损失也在成倍地增长,病毒、黑客、网络犯罪等给我们的信息安全带来很大威胁。因此计算机网络安全是一个综合的系统工程,需要我们做长期的探索和规划。
一、计算机网络安全的概念与现状
1.计算机网络安全的基本概念。
计算机网络安全是指“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”。计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
2.计算机网络安全的基本组成。
(1)网络实体安全:如计算机的物理条件、物理环境及设施的安全标准,计算机硬件、附属设备及网络传输线路的安装及配置等;(2)软件安全:如保护网络系统不被非法侵入,系统软件与应用软件不被非法复制、篡改、不受病毒的侵害等;(3)数据安全:如保护网络信息的数据安全,不被非法存取,保护其完整、一致等;(4)网络安全管理:如运行时突发事件的安全处理等,包括采取计算机安全技术,建立安全管理制度,开展安全审计,进行风险分析等内容。
3.计算机网络安全现状。
计算机网络安全是指网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。目前黑客的攻击方法已超过了计算机病毒的种类,而且许多攻击都是致命的。在Internet网络上,因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在一周内传遍全世界。这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门(Back-doors)、Rootkits、DoS(Denial of Services)和Sniffer(网路监听)是大家熟悉的几种黑客攻击手段。但这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次,从Web程序的控制程序到内核级Rootlets。黑客的攻击手法不断升级翻新,向用户的信息安全防范能力不断发起挑战。
二、当前可提高计算机网络安全的技术
1.网络安全的审计和跟踪技术。
审计和跟踪这种机制一般情况下并不干涉和直接影响主业务流程,而是通过对主业务进行记录、检查、监控等来完成以审计、完整性等要求为主的安全功能。审计和跟踪所包括的典型技术有:入侵检测系统(IDS)、漏洞扫描系统、安全审计系统,等等。我们以IDS为例,IDS是作为防火墙的合理补充,能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应),提高了信息安全基础结构的完整性。入侵检测是一种主动保护网络和系统安全的技术,它从计算机系统或网络中采集、分析数据,查看网络或主机系统中是否有违反安全策略的行为和遭到攻击的迹象,并采取适当的响应措施来阻挡攻击,降低可能的损失。它能提供对内部攻击、外部攻击和误操作的保护。入侵检测系统可分为基于主机的入侵检测系统和基于网络的入侵检测系统两类。
2.运用防火墙技术。
防火墙是目前最为流行、使用最广泛的一种网络安全技术,它的核心思想是在不安全的网络环境中构造一个相对安全的子网环境。防火墙的最大优势就在于可以对两个网络之间的访问策略进行控制,限制被保护的网络与互联网络之间,或者与其他网络之间进行的信息存取、传递操作。它具有以下特性:所有的从内部到外部或从外部到内部的通信都必须经过它;只有内部访问策略授权的通信才允许通过;系统本身具有高可靠性。不仅如此,防火墙作为网络安全的监视点,它还可以记录所有通过它的访问,并提供统计数据,提供预警和审计功能。防火墙的体系结构有三种:(1)双重宿主主机体系结构。它是围绕具有双重宿主功能的主机而构筑的,是最基本的防火墙结构。主机充当路由器,是内外网络的接口,能够从一个网络向另一个网络发送IP数据包。这种类型的防火墙完全依赖于主机,因此该主机的负载一般较大,容易成为网络瓶颈。对于只进行IP层过滤的安全要求来说,只需在两块网卡之间转发的模块上插入对IP包的ACL控制即可。但是如果要对应用层进行控制,其就要设置到这台双宿主主机上,所有的应用要先于这个主机进行连接。这样每个人都需要有一个登录账号,增加了联网的复杂性。(2)屏蔽主机体系结构,又称主机过滤结构,它使用一个单独的路由器来提供内部网络主机之间的服务,在这种体系结构中,主要的安全机制由数据包过滤系统来提供。相对于双重宿主主机体系结构,这种结构允许数据包从Internet上进入内部网络,因此对路由器的配置要求较高。(3)屏蔽子网体系结构。它是在屏蔽主机体系结构基础上添加额外的安全层,并通过添加周边网络更进一步把内部网络和Internet隔离开。为此这种结构需要两个路由器,一个位于周边网络和内部网络之间,另一个在周边网络和外部网络之间,这样黑客即使攻破了堡垒主机,也不能直接入侵内部网络,因为他还需要攻破另外一个路由器。
3.数据加密技术。
数据加密技术就是对信息进行重新编码,从而隐藏信息内容,使非法用户无法获取信息的真实内容的一种技术手段。数据加密技术是为提高信息系统及数据的安全性和保密性,防止秘密数据被外部破析所采用的主要手段之一。数据加密技术按作用不同可分为数据存储,数据传输、数据完整性的鉴别,以及密钥的管理技术。数据存储加密技术是防止在存储环节上的数据丢失为目的,可分为密文存储和存取两种,数据传输加密技术的目的是对传输中的数据流加密。数据完整性鉴别是对介入信息的传送、存取,处理人的身份和相关数据内容进行验证,达到保密的要求,系统通过对比验证对输入的特征值是否符合预先设定的参数,实现对数据的安全保护。
4.网络病毒的防范。
在网络环境下,病毒传播扩散快,仅用单机防病毒产品已经很难彻底清除网络病毒,必须有适合于局域网的全方位防病毒产品。学校、政府机关、企事业单位等网络一般是内部局域网,就需要一个基于服务器操作系统平台的防病毒软件和针对各种桌面操作系统的防病毒软件。如果与互联网相连,就需要网关的防病毒软件,加强上网计算机的安全。如果在网络内部使用电子邮件进行信息交换,还需要一套基于邮件服务器平台的邮件防病毒软件,识别出隐藏在电子邮件和附件中的病毒。所以最好使用全方位的防病毒产品,针对网络中所有可能的病毒攻击点设置对应的防病毒软件,通过全方位、多层次的防病毒系统的配置,通过定期或不定期的自动升级,及时为每台客户端计算机打好补丁,加强日常监测,使网络免受病毒的侵袭。
5.提高网络工作人员的素质,强化网络安全责任。
为了强化网络安全的责任,还有一项重要任务——提高网络工作人员的管理素质。要结合数据、软件、硬件等网络系统各方面对工作人员进行安全教育,提高责任心,并通过相关业务技术培训,提高工作人员的操作技能,网络系统的安全管理要加以重视,避免人为事故的发生。由于网络研究在我国起步较晚,因此网络安全技术还有待提高和发展。此外,为了保障网络能够安全运行,我们还应该制定完善的管理措施,建立严格的管理制度,完善法规、法律,提高人们对网络安全的认识,加大对计算机犯罪的法律制裁。
随着计算机网络技术的迅速发展和进步,信息和计算机网络系统已经成为社会发展的重要保证。由于计算机网络系统应用范围的不断扩大,人们对网络系统依赖的程度增大,对网络系统的破坏造成的损失和混乱就会比以往任何时候都大。这使我们对计算机网络系统信息的安全保护提出了更高的要求,也使得计算机网络系统信息安全学科的地位显得更加重要。现在,计算机网络系统的安全已经成为关系到国家安全和主权、社会的稳定、民族文化的继承和发扬的重要问题。因此,认清网络的脆弱性和潜在威胁,采取强有力的安全防范,对于保障网络的安全性将变得十分重要。
参考文献
[1]严有日.论计算机网络安全问题及防范措施.赤峰学院学报(自然科学版),2010.3.
[2]王华.浅谈计算机网络安全技术应用.科技经济市场,2010.9.
[论文摘要]随着计算机技术的发展,在计算机上处理业务已由单机处理功能发展到面向内部局域网、全球互联网的世界范围内的信息共享和业务处理功能。在信息处理能力提高的同时,基于网络连接的安全问题也日益突出,探讨了网络安全的现状及问题由来以及几种主要网络安全技术。
随着计算机网络的发展,其开放性,共享性,互连程度扩大,网络的重要性和对社会的影响也越来越大。而网络安全问题显得越来越重要了。国际标准化组织(ISO)将“计算机安全”定义为:“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄漏”,上述计算机安全的定义包含物理安全和逻辑安全两方面的内容,其逻辑安全的内容可理解为我们常说的信息安全,是指对信息的保密性、完整性和可用性的保护,而网络安全性的含义是信息安全的引申,即网络安全是对网络信息保密性、完整性和可用性的保护。
一、网络的开放性带来的安全问题
众所周知,Internet是开放的,而开放的信息系统必然存在众多潜在的安全隐患,黑客和反黑客、破坏和反破坏的斗争仍将继续。在这样的斗争中,安全技术作为一个独特的领域越来越受到全球网络建设者的关注。为了解决这些安全问题,各种安全机制、策略和工具被研究和应用。然而,即使在使用了现有的安全工具和机制的情况下,网络的安全仍然存在很大隐患,这些安全隐患主要可以归结为以下几点:
(一)每一种安全机制都有一定的应用范围和应用环境
防火墙是一种有效的安全工具,它可以隐蔽内部网络结构,限制外部网络到内部网络的访问。但是对于内部网络之间的访问,防火墙往往是无能为力的。因此,对于内部网络到内部网络之间的入侵行为和内外勾结的入侵行为,防火墙是很难发觉和防范的。
(二)安全工具的使用受到人为因素的影响
一个安全工具能不能实现期望的效果,在很大程度上取决于使用者,包括系统管理者和普通用户,不正当的设置就会产生不安全因素。例如,NT在进行合理的设置后可以达到C2级的安全性,但很少有人能够对NT本身的安全策略进行合理的设置。虽然在这方面,可以通过静态扫描工具来检测系统是否进行了合理的设置,但是这些扫描工具基本上也只是基于一种缺省的系统安全策略进行比较,针对具体的应用环境和专门的应用需求就很难判断设置的正确性。
(三)系统的后门是传统安全工具难于考虑到的地方
防火墙很难考虑到这类安全问题,多数情况下这类入侵行为可以堂而皇之经过防火墙而很难被察觉。比如说,众所周知的ASP源码问题,这个问题在IIS服务器4.0以前一直存在,它是IIS服务的设计者留下的一个后门,任何人都可以使用浏览器从网络上方便地调出ASP程序的源码,从而可以收集系统信息,进而对系统进行攻击。对于这类入侵行为,防火墙是无法发觉的,因为对于防火墙来说,该入侵行为的访问过程和正常的WEB访问是相似的,唯一区别是入侵访问在请求链接中多加了一个后缀。
(四)只要有程序,就可能存在BUG
甚至连安全工具本身也可能存在安全的漏洞。几乎每天都有新的BUG被发现和公布出来,程序设计者在修改已知的BUG的同时又可能使它产生了新的BUG。系统的BUG经常被黑客利用,而且这种攻击通常不会产生日志,几乎无据可查。比如说现在很多程序都存在内存溢出的BUG,现有的安全工具对于利用这些BUG的攻击几乎无法防范。
(五)黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现
然而安全工具的更新速度太慢,绝大多数情况需要人为的参与才能发现以前未知的安全问题,这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力更正某方面的安全问题时,其他的安全问题又出现了。因此,黑客总是可以使用先进的、安全工具不知道的手段进行攻击。
二、网络安全的主要技术
安全是网络赖以生存的保障,只有安全得到保障,网络才能实现自身的价值。网络安全技术随着人们网络实践的发展而发展,其涉及的技术面非常广,主要的技术如认证、加密、防火墙及入侵检测是网络安全的重要防线。
(一)认证
对合法用户进行认证可以防止非法用户获得对公司信息系统的访问,使用认证机制还可以防止合法用户访问他们无权查看的信息。
(二)数据加密
加密就是通过一种方式使信息变得混乱,从而使未被授权的人看不懂它。主要存在两种主要的加密类型:私匙加密和公匙加密。
1.私匙加密。私匙加密又称对称密匙加密,因为用来加密信息的密匙就是解密信息所使用的密匙。私匙加密为信息提供了进一步的紧密性,它不提供认证,因为使用该密匙的任何人都可以创建、加密和平共处送一条有效的消息。这种加密方法的优点是速度很快,很容易在硬件和软件中实现。
2.公匙加密。公匙加密比私匙加密出现得晚,私匙加密使用同一个密匙加密和解密,而公匙加密使用两个密匙,一个用于加密信息,另一个用于解密信息。公匙加密系统的缺点是它们通常是计算密集的,因而比私匙加密系统的速度慢得多,不过若将两者结合起来,就可以得到一个更复杂的系统。
(三)防火墙技术
防火墙是网络访问控制设备,用于拒绝除了明确允许通过之外的所有通信数据,它不同于只会确定网络信息传输方向的简单路由器,而是在网络传输通过相关的访问站点时对其实施一整套访问策略的一个或一组系统。大多数防火墙都采用几种功能相结合的形式来保护自己的网络不受恶意传输的攻击,其中最流行的技术有静态分组过滤、动态分组过滤、状态过滤和服务器技术,它们的安全级别依次升高,但具体实践中既要考虑体系的性价比,又要考虑安全兼顾网络连接能力。此外,现今良好的防火墙还采用了VPN、检视和入侵检测技术。
防火墙的安全控制主要是基于IP地址的,难以为用户在防火墙内外提供一致的安全策略;而且防火墙只实现了粗粒度的访问控制,也不能与企业内部使用的其他安全机制(如访问控制)集成使用;另外,防火墙难于管理和配置,由多个系统(路由器、过滤器、服务器、网关、保垒主机)组成的防火墙,管理上难免有所疏忽。
(四)入侵检测系统
入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术,是一种用于检测计算机网络中违反安全策略行为的技术。在入侵检测系统中利用审计记录,入侵检测系统能够识别出任何不希望有的活动,从而达到限制这些活动,以保护系统的安全。在校园网络中采用入侵检测技术,最好采用混合入侵检测,在网络中同时采用基于网络和基于主机的入侵检测系统,则会构架成一套完整立体的主动防御体系。
(五)虚拟专用网(VPN)技术
VPN是目前解决信息安全问题的一个最新、最成功的技术课题之一,所谓虚拟专用网(VPN)技术就是在公共网络上建立专用网络,使数据通过安全的“加密管道”在公共网络中传播。用以在公共通信网络上构建VPN有两种主流的机制,这两种机制为路由过滤技术和隧道技术。目前VPN主要采用了如下四项技术来保障安全:隧道技术(Tunneling)、加解密技术(Encryption&Decryption)、密匙管理技术(KeyManagement)和使用者与设备身份认证技术(Authentication)。其中几种流行的隧道技术分别为PPTP、L2TP和Ipsec。VPN隧道机制应能技术不同层次的安全服务,这些安全服务包括不同强度的源鉴别、数据加密和数据完整性等。VPN也有几种分类方法,如按接入方式分成专线VPN和拨号VPN;按隧道协议可分为第二层和第三层的;按发起方式可分成客户发起的和服务器发起的。
(六)其他网络安全技术
1.智能卡技术,智能卡技术和加密技术相近,其实智能卡就是密匙的一种媒体,由授权用户持有并由该用户赋与它一个口令或密码字,该密码字与内部网络服务器上注册的密码一致。智能卡技术一般与身份验证联合使用。
2.安全脆弱性扫描技术,它为能针对网络分析系统当前的设置和防御手段,指出系统存在或潜在的安全漏洞,以改进系统对网络入侵的防御能力的一种安全技术。
3.网络数据存储、备份及容灾规划,它是当系统或设备不幸遇到灾难后就可以迅速地恢复数据,使整个系统在最短的时间内重新投入正常运行的一种安全技术方案。
4.IP盗用问题的解决。在路由器上捆绑IP和MAC地址。当某个IP通过路由器访问Internet时,路由器要检查发出这个IP广播包的工作站的MAC是否与路由器上的MAC地址表相符,如果相符就放行。否则不允许通过路由器,同时给发出这个IP广播包的工作站返回一个警告信息。
5.Web,Email,BBS的安全监测系统。在网络的www服务器、Email服务器等中使用网络安全监测系统,实时跟踪、监视网络,截获Internet网上传输的内容,并将其还原成完整的www、Email、FTP、Telnet应用的内容,建立保存相应记录的数据库。及时发现在网络上传输的非法内容,及时向上级安全网管中心报告,采取措施。
论文关键词:金融信息系统金融信息化信息安全安全模型
1.我国金融信息化的产生和发展
中国的金融电子化建设开始于20世纪70年代,在80年代中期,由中国人民银行牵头成立了金融系统电子化领导小组,经过大量的调查研究,制定了金融电子化建设规划和远期发展目标;‘六五’做准备,‘七五’打基础,‘八五’上规模,‘九五’基本实现电子化。在最近的二三十年,我国的金融电子化建设经历了重要的、具有历史意义的四个发展阶段:第一阶段,大约70年代末到80年代,银行的储蓄、对公等业务以计算机处理代替手工操作;第二阶段,大约从80年代到90年代中,逐步完成银行业务的联网处理;第三阶段,大约从90年代初到90年代末,实现全国范围的银行计算机处理联网,互联互通,支付清算和业务管理、办公逐步实现计算机处理;第四阶段,从现在开始,完成业务的集中处理,利用互联网技术与环境,加快金融创新,逐步开拓网上金融服务,包括网上银行、网上支付等。科学技术是第一生产力。当人类走进21世纪时,步入了以网络、信息技术为特征的知识经济时代。在这一发展机遇面前,我国金融业也同时面临着加入世界贸易组织后更广阔的市场和来自发达国家同行业更严竣的竞争压力。金融信息化是我国金融业的必然选择。金融行业是国民经济的重要组成部分,是现代市场经济的核心,金融信息化是国家信息化中至关重要的、不可缺少的一环。金融信息化既是金融业本身为提高其竞争能力、降低经营成本、提高服务质量以应对日益激烈的市场竞争的内在要求,同时也是悦务、海关、贸易和电子商务等国民经济信息化的基础。金融信息化不仅实现了业务处理自动化和办公自动化、经营网络化,更进一步为监管电子化、管理和决策的科学化提供强有力的支持,同时也是金融服务创新、制度创新坚实的技术基础。
2金触信息系统的安全
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样,看作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
据英国PA咨询集团公司调查,在20世纪末的5年中,电脑诈骗每年使英国银行损失40-50亿英镑,美国每年因计算机犯罪造成银行损失也多达55亿美元,德国银行每年因此损失约50亿美元。在我国,自从1986年7月发生首例金融计算机犯罪以来,发案率逐年上升,给银行造成了巨大的损失。仅1997,1998两年,四家国有商业银行就发生了141起计算机犯罪案件,涉案人员166人,涉案金额16129万元,造成经济损失5853万元。朱铭基同志在扬州发生的一起利用遥控发射装置浸入银行电脑系统,盗取巨款的案件报告上批示:“这是一个信号,我们的银行家要抓电脑技术,不能落在犯罪分子的后面’。
2.1信息系统面临的威胁和攻击手段
信息安全从技术上讲,有如下几方面的含义:保密性、完整性、可用性、真实性、不可抵赖性、可控性。金融信息系统是一个网络环境下的计算机系统,它处理的对象是信息。信息资源具有先天的脆弱性,系统中存储的信息密度极高,信息的可访问性、信息的聚生性、系统工作时产生电磁辐射、磁性介质的剩磁效应等都使系统中的信息面临着安全风险。概括而言,金融信息系统面的威协主要有三种形式:通信过程中面临的威协、存储过程中面临的威胁和处理过程中面临的威协。对金融信息系统的攻击手段主要有窃取、推断绒分析(属于被动攻击)、冒充、墓改、重放和病毒(属于主动攻击)。
2.2信息安全技术
2.2.1密码技术。密码技术是信息安全技术的核心。要保证信息系统中信息的保密性,使用密码对其加密是最有效的办法;要保证信息的完整性同样可以使用密码技术实施数字签名,进行身份认证,通过对信息进行完整性校验来实现;保障信息系统和信息为授权者所用,利用密码进行系统登录管理,存取授权管理是有效的办法;保证电子信息系统的可控性也可以有效地利用密码和密钥管理来实施。
1949年Shannon发表了《保密系统的通信理论》,引起了密码学的一场革命,从而使密码真正成为一门科学。密码学(Crypto-graphy)是通信技术、计算机技术和应用数学之间的边缘学科,数学和计算机科学是其重要的工具,涉及到数论、信息论、算法复杂性理论等学科分支。保密系统的Shannon模型如图l所示。
70年代中期,在安全保密研究中出现了两个引人注目的事件:一是D}ffe和Hellman发表了《密码学的新方向》,冲破人们长期以来一直沿用的单钥体制,提出一种崭新的密码体制,即公开密码体制。该体制可使发信者和收信者之间无须事先交换密钥就可建立起保密通信。二是美国国家标准局(NBS)于1977年正式公布实施了美国数据加密标准(DES)。公开密码体制的出现是现代密码学研究的一项重大突破,它的主要优点是可以适应网络开放性的使用环境,密钥管理相对简单,可以方便、安全地实现数字签名和认证。对称密码体制下比较著名的算法有IBM公司开发的DES算法及其各种变形(如Tri讨eDES等)、欧洲的IDEA算法、LOKI,RCA,RCS等;公开密码体制下比较著名的算法有RSA算法、背包密码,Diffe一Hellman}ElGamal算法等等。与通信安全保密相比,计算机安全保密具有更广泛的内容,涉及计算机硬件、软件以及所处理数据等的安全和保密。除了沿用通信安全保密的理论、方法和技术外,计算机安全保密有自己独特的内容,并构成自己的研究体系。在计算机安全保密研究中,主体(subject)和客体(object)是两个重要概念,保护客体的安全、限制主体的权限构成了存取控制的主题。信息系统的安全保密相对于通信安全保密和计算机安全保密而言处在一个更高的层次,它涵盖了通信安全保密和计算机安全保密的所有内容,把整个系统的安全保密作为其目标。金融信息系统因其自身高机密性和高风险性的特点,不同于一般的信息系统,而类似于军事系统,有极高的安全保密需求。
2.2.2访问控制技术。限制主体的权限,防止非授权主体对客体的越权访问是访问控制的主要内容。存取控制的研究内容涉及到存取控制模型、存取控制策略、存取控制机制、存取控制的实现等。存取控制是建立在用户识别的基础上的,系统通过唯一标识符验证用户的合法性.决定是否允许用户进入系统。认证总是要求用户提供足够能证明他身份的特殊信息,这些信息是保密的,可以采用单向加密算法加密后保存在系统中。口令机制是一种简便易行的认证手段,但比较脆弱。生物技术是一种比较有前途的方法,如视网膜、指纹等,但限于技术条件,目前还不能广泛采用。信息系统中存在大量的主体和客体。主体与客体关系如何表示,主体对客体的存取权限如何获取,是存取控制研究中的两个基本问题。系统中所有主体与客体之间的相互关系构成存取控制数据库。主体、客体、存取控制数据库、存取控制策略之间的关系构成存取控制基本模型。
存歇控制策略决定存取控制的水平。存取控制策略研究权限分配原则、方法和约束。等级授权方式是最常见的权力分配方式,根据权力分配细则,由安全专家根据一定的制度和规范制定。
权力分配原则则涉及一些誉遍适用的存取陀制策略:。.最小授权策略(leastprivilegepolicy),即只给主体授予执行任务所必须的最小仅力;b.最小泄露策略(leaseexposurepolicy),按需知(needtoknow)原则给主体完成任务所必须知道的那部分保密信息,得到信息的主体要承担信息保护的责任;;c.多级安全策略(multilevelsecuritypolicy),将主体和客体都进行分级,除了对主体对客体的访问权限进行规定外,还对主体对客体促使信息的流向加以控制。存取控制模型如图2所示。
自主访问控制(DAC)是一种最替扁的访问控制方式,在自主访问控制下,用户可以按自己的意愿对系统参数进行适当的修改,以决定哪些用户可以存取其文件。自主访问控制是安全操作系统需要具有的最基本的访问控制机制,对于军事鱿金融系统,它的访问控制能力尚嫌不足。自主访问控制不能抵御特洛伊木马、电子欺骗(Spoof),黑客(Hacker)的攻击。这样就产生了强制访问控制(MAC)。
所谓强制访问控制,就是系统中主体和客体的安全属性(存即类)是由系统安全管理员按照严格的规则进行分配的,用户和用户程序不能修改系统中确定的安全属性,就是客体的所有者也不能修改。强制访问控制增强了系统的安全性。金融信息系统是一个网络信息系统,为了保证其安全性,有必要提供一种网络访问控制手段。防火墙技术就是一种用于加强网络间的访问控制,防止外部用户非法使用内部网的资源,保护内部网络的资源不被破坏,避免内部网络的敏感数据被窃取的系统,它能增强机构内部网络的安全性。防火墙实际上是一种访问控制规则,它无法完全保护系统免受来自外部网络的攻击,另外,它对来自系统内部的攻击无能为力。
VPN(虚拟专用网)是一种为处于不同地点的两个分公司网络通过不安全的公共网络Inteme:建立可靠连接的技术。VPN所用的隧道技术就是用某种协议(如PPTP,IPsec等)建立双方通信隧道,将内部网所用协议和数据封装在IP包中,对隧道中传送的包进行加密/解密。VPN能从很大程度上解决网络面临不安全因素的威胁,作为远程用户利用公用网络接入公司内部网络的较简单的一种接入技术,现在正越来越体现出其价值。
2.2.3漏洞扫描和入浸检测技术。漏洞扫描与网络安全评佑紧密相关,其主要目的是先于入浸者发现安全漏洞并及时弥补,从而进行安全防护,是一种‘事前’(攻击发生前)防护手段。由于网络环境比较复杂,一般利用工具来进行漏洞检查,针对网络层、操作系统层、数据库层、应用系统层多个层面上进行。因为网络是动态变化的,所以漏洞扫描与评沽应该定期执行;入侵检测则是对网络活动和系统事件进行实时监控,检查是否有来自网络内部和外部的入浸。入浸检测强调时间连续性,是一种事中.防护手段。网络是动态变化的,所以应该不断跟踪分析黑客行为和手法,研究网络和系统的安全漏洞,提高漏洞扫描水平和入浸位测水平。
2.2.4响应和恢复技术。任何一个信息系统无论采取了多么先进、复杂的安全技术,也不可能保证系统是绝对安全的,响应和恢复技术就是在系统遭到入侵或破坏的时候,如何把损失降到最低程度,并在最短的时间内将系统恢复正常。响应和恢复技术是一种‘事后’防护手段。
2.2.5审计技术。审计类似机上的“黑匣子.,利用系统运行日志,对系统进行事故原因查询、定位,为事故发生后的处理提供详细可靠的依据戴支持,是一种‘事后’的补充防护手段。
2.2.6病毒防治技术。病毒防治技术是研究在网络环境下,如何及时识别、发现病毒,如何强化系统对病毒的免疫能力,以及如何消灭病毒,减轻戴完全消除病毒对系统的危害。
2.3安全模型金融信息系统的安全是一个系统工程,不仅与信息系统的安全技术有关,同时也与国家的法律与法规、金融行业的管理及其制度建设幽切相关。安全技术在金融信息系统安全中起着重要的作用,但决不能过分依赖信息安全技术,安全技术只是信息系统安全的基础,安全管理则是金融信息系统安全的关键。
在研究信息系统安全的过程中,人们建立了不同的信息系统安全模型。其中,P2DR充分考虑了信息系统随时间而不断改变的动态性,建立在基于时间的安全理论之上,并且体现了闭环控制的思想,是具有代表性的信息系统安全模型(如图3所示)。
P2DR是Policy(安全策略)、Protection(防护)、Detection(检测)和Response晌应)的缩写。安全策略是P2DR安全模型的核心,所有的防护、检测、晌应都是依据安全策略实施的。保护通常是通过采用一些传统的静态安全技术及方法来实现的,主要有防火墙、加密、认证等方法。在P2DR模型,检测是非常重要的一个环节,检测是动态晌应和加强防护的依据,它也是强制落实安全策略的有力工具,通过不断地检测和监控网络系统,来发现新的威胁和弱点,通过循环反馈及时做出有效的晌应。紧急晌应在安全系统中占有最重要的地位,是解决安全潜在性最有效的办法。从某种意义上讲,安全问题就是要解决紧急晌应和异常处理问题。要解决好紧急晌应问题,就要制汀好紧急晌应的方案,做好紧急晌应方案中的一切准备工作。
P2DR模型有自己的理论体系,有数学模型作为其论述基础—基于时间的安全理论。该理论认为,信息安全相关的所有活动都要消耗时间,因此可以用时间来衡里一个体系的安全性和安全能力。P2DR模型可以用一些典型的数学公式来表达安全的要求:
公式1:Pt>Dt+Rt
Pt代表系统的防护时间,续者理解为在安全措施保护下,黑客(入浸者)攻击目标所花费的时间;Dt代表从入浸者开始发动入浸开始,系统能够检测到入浸行为所花费的时间;Rt代表从发现入浸行为开始,系统能够做出足够的响应,将系统调整到正常状态的时间;那么,如果上述数学公式满足—防护时间大于检测时间加上响应时间,也就是在入浸者危害安全目标之前就能够被检测到并及时处理。
公式2:Et=Dt+Rt,如果Pt=0
公式2的前提是假设防护时间为0。这种假设对WebServer这样的系统可以成立。Dt代表从入浸者破坏了安全目标系统开始,系统能够检测到破坏行为所花费的时间。Rt代表从发现遭到破坏开始,系统能够做出足够的晌应,将系统调整到正常状态的时间。那么,Dt与Rt的和就是该安全目标系统的暴露时间Et针对于需要保护的安全目标,如果Et越小系统就越安全。
通过上面两个公式的描述,实际上给出了安全一个全新的定义:‘及时的检测和晌应就是安全,“及时的检测和恢复就是安全.P2DR模型阐述了这样一个结论:安全的目标实际上就是尽可能地增大保护时间,尽量减少检测时间和晌应时间。
3发展、深化金融信息化建设.保障信息安全
论文摘要:本文就会计电算化对会计信息的影响以及如何提高会计信息的质量问题进行了探讨。在提高会计信息质量方面,应从软件方面着手保证会计信息的完整性和可用性;建好内部控制制度,保证会计信息的保密性和安全性; 提高会计人员素质,做好会计基础工作。
由于会计电算化是一项系统工程,在发展过程中有许多工作要做,有许多问题要及时解决,否则将严重阻碍我国会计电算化向更深层次的发展。下面就当前我国会计电算化进程中必须重视和需要解决的几个问题进行探讨。
1 目前我国会计电算化工作中存在的问题
1.1 会计信息的完整性和可用性还不够完善
1.1.1 会计电算化未能站在企业管理信息化的高度进行研究。因过分注意软件的会计核算功能,而轻视了财务管理和控制、决策功能。会计软件相对于传统的思维方式,模拟手工核算方法,缺少管理功能。财务系统大多以记账凭证输入开始,经过计算机处理,完成记账、算账、报账等工作,并局限在财务部门内部。目前流通的会计核算软件大多功能在提高财务信息系统的范畴,只能完成事后记账、算账、报账以及提供初级管理功能,不具有事前预测、事中控制、事后分析决策等管理会计功能。近年来虽然倡导发展管理型会计软件,但由于各种原因,一般只从财务管理的要求出发,未能达到较为理想的效果。
1.1.2 会计信息系统与企业管理信息系统未能有机结合。会计信息系统不仅与生产、设备、采购、销售、库存、运输、人事等子系统脱节,而且会计软件内部各子系统也只以转账凭证的方式联系。从而造成数据在内外子系统之间不能共享,信息不能通畅,既影响财务管理功能的发挥,又不能满足企业对现代化管理的需要。在综合的企业管理信息系统中会计子系统应该从其他业务子系统获取诸如成本、折旧、销售、工资等原始数据,提高数据采集效率和管理能力各业务子系统也应从财务子系统取得支持,但由于各自独立发展,互相之间不能实现数据共享,往往一个子系统的打印输出成了另一个子系统的键盘输入。许多商品化会计软件在开发时,没有统一规划,而是采用单项开发,再通过“转账凭证”的方式传递各种数据,未能形成一个有机的整体,各个核算模块是彼此孤立的“孤岛”。
1.1.3 会计信息系统仍然是个封闭式的系统。会计系统的开放性除了体现在企业内部各子系统之间的信息共享之外,更体现在会计向外界披露信息的内容和方式上。但目前会计信息系统既不能通过Internet网络向股东财务报表等综合信息和明细信息,也不能通过网络直接向税务、财政、审计、银行等综合管理部门提供信息,更不能有选择地披露相关的人事、技术、设备以及股东所关心的其他信息。此外,普遍存在支持跨网集团的多方业务,使财务信息资源的价值得不到充分利用。
1.2 会计信息的保密性和安全性较差
会计电算化是建立在计算机网络技术和安全技术等信息技术基础之上的,会计信息是以足够的安全技术为保障,以一定的计算机硬件支撑。在相应的软件管理下在网络中流通、存储和处理,并最终以人们需要的形式变现出来。随着计算机应用的扩大,利用计算机进行贪污、舞弊、诈骗等犯罪现象屡见不鲜。在会计电算化环境下,会计信息以各种数据文件的形式记录在磁性存储介质上,这些存储介质上的信息机器可读形式存在的,因此很容易被复制、删除、篡改,而不留下任何痕迹。数据库技术的高度集中,未经授权的人员可以通过计算机和网络浏览全部数据文件,复制、伪造、销毁企业重要的财务数据。可见会计电算化犯罪是一种高科技、新技术下的新型犯罪,具有很大的隐蔽性和危害性,使会计信息安全风险大大增加。
1.3 会计人员计算机操作业务素质较低
目前,不少单位的电算化人员是由过去的会计、出纳等经过短期培训而来,他们在使用微机处理业务的过程中往往很多是除了开机使用财务软件之外,对微机的软硬件知识了解甚少,一旦微机出现故障或与平常见到的界面不同时,就束手无策,即使厂家在安装会计软件时都作了系统的培训,但一些从未接触过计算机的会计人员入门还是很慢,而且在上机时经常出现误操作,一旦出错,可能就会使自己很长时间的工作成果付诸东流,使系统数据丢失,严重的导致系统崩溃,这种低素质的会计人员是不能胜任会计电算化工作的。
2 改进会计电算化工作的对策
2.1 要解决人们对会计电算化的思想认识问题
我国电算化事业起步较晚,人们的思维观念还未充分认识到电算化的意义及重要性。多数单位电算化都是应用于代替手工核算,仅仅是从减轻会计人员负担、提高核算效率方面入手,根本未认识到建立完整的会计信息系统对企业的重要性,使现有会计提供的信息不能及时、有效地为企业决策及管理服务。
2.2 要做好管理基础工作,尤其是会计基础工作
管理基础主要指有一套比较全面、规范的管理制度和方法,以及较完整的规范化的数据;会计基础工作主要指会计制度是否健全,核算规程是否规范,基础数据是否准确、完整等,这是搞好电算化工作的重要保证。因为计算机处理会计业务,必须是事先设置好的处理方法,因而要求会计数据输入、业务处理及有关制度都必须规范化、标准化,才能使电算化会计信息系统顺利进行。没有很好的基础工作,电算化会计信息系统无法处理无规律、不规范的会计数据,电算化工作的开展将遇到重重困难。管理人员的现代化管理意识,在整个企业管理现代化总体规划的指导下做好会计电算化的长期、近期发展规划和计划并认真组织实施,重新调整会计及整个企业的机构设置、岗位分工,建立一系列现代企业管理制度,提高企业管理要求。还要修改扩建机房,选购、安装、调试设备,自行开发或购买会计软件,培训会计电算化人员,进行系统的试运行等等工作。以上所列的各项工作必须做好,否则电算化会计系统将不能正常工作,有损于会计电算化的整体效益并使其不能深入持久地开展下去,会计和企业管理现代化将无法实现。
2.3 要加强会计信息系统的安全性、保密性
财务上的数据往往是企业的绝对秘密,在很大程度上关系着企业的生存与发展。但当前几乎所有的软件系统都在为完善会计功能和适应财务制度大伤脑筋,却没有几家软件公司认真研究过数据的保密问题。数据保密性、安全性差。为了对付日益猖獗的计算机犯罪,国家应制定并实施计算机安全法律,在全社会加强对计算机安全的宏观控制,政府主管部门还应进一步完善会计制度,对危害计算机安全的行为进行制裁,为计算机信息系统提供一个良好的社会环境。对于重要的计算机系统应加电磁屏蔽,以防止电磁辐射和干扰。制定计算机机房管理规定,制定机房防火、防水、防盗、防鼠的措施,以及突发事件的应急对策等。
必要的内部控制:在电脑网络环境下,某些内部人员的恶意行为及工作人员的无意行为都可能造成会计信息的不安全性,因此建立内部控制制度是必要的。第一,实行用户权限分级授权管理,建立网络环境下的会计信息岗位责任。第二,建立健全对病毒、电脑黑客的安全防范措施。第三,从电算化网络软件的设计入手,增加软件本身的限制功能。第四,建立会计信息资料的备份制度,对重要的会计信息资料要实行多级备份。第五,强化审计线索制。第六,建立进入网络环境的权限制。
增强网络安全防范能力:网络会计实现了会计信息资源的共享,但同时也将自身暴露于风险之中,这些风险主要来自泄密和网上黑客的攻击等。为了提高网络会计信息系统的安全防范能力应采用一些措施,例如采用防火墙技术、网络防毒、信息加密存储通讯、身份认证、授权等。
加强数据的保密与保护:在进入系统时加一些诸如用户口令、声音监测、指纹辨认等检测手段和用户权限设置等限制手段,另外还可以考虑硬件加密、软件加密或把系统作在芯片上加密等机器保密措施和专门的管理制度,如专机专用、专室专用等。加强磁介质载体档案的管理:为确保档案的真实性和可靠性,实行纸质档案和新型载体档案双套保管,并逐渐向完全保管新型磁介质载体过渡。
总之,我国会计改革已迈出了稳健、有序的步伐,并取得了辉煌成就。但是,由于会计属于上层建筑范畴,其在观念、理论、方法等方面均应随着客观经济环境的变化而不断改革、发展和完善。在网络时代,要使我国的会计电算化工作能够健康的发展,我们必须从理论上和实践上进行认真的探讨。21世纪的会计应该是一个以信息技术为中心的崭新会计,而不是一个修修补补的会计。
参考文献
[1]常剑峰.电算化会计信息系统的数据库控制方法[J].中国会计电算化,2003(11).
[2]张卫.网络会计的信息安全与防范[J].市场周刊.商务,2004(12).
论文关键词:电力;信息安全;解决方案;技术手段
1电力信息化应用和发展
目前,电力 企业 信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;vlan,mpls等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。 计算 机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和 经济 效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力 工业 的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、verjtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全 教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。d m z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供 企业 级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为 网络 管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持tcp/ip协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过vpn技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全 教育 ,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、 计算 机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和 经济 合理的关系。安全方案要能适应长远的 发展 和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。
[关键词] 高校 网络安全人才 培养模式
随着网络技术的发展和信息化程度的日益提高,人们的社会生活对信息基础设施和信息资源的依赖程度越来越高。信息网络给人类带来方便的同时,其所带来的网络安全隐患问题日益严重。而网络安全人才在解决安全隐患和威胁方面的作用将越来越突出。
网络安全人才是指受过计算机网络技术、信息安全教育或培训,懂得计算机技术或是网络安全方面的知识并且能够解决实际问题的专门人才。网络安全人才在维护网络安全、保障网络运行中起着基础和决定性的作用。但我国网络安全人才培养却严重不足,人才供需矛盾突出。根据教育部统计资料表明,我国目前大学本科以上学历的网络安全人才只有2100人左右,而国内对网络安全专业人才的需要量高达10余万以上,每年全国能够培养的信息安全专业学历人才和各种安全认证人员大约不到5千人,供需缺口特别大。据统计,到2008年,全球网络安全行业的就业人数将由目前的130万上升到210万。目前,我国网络安全人员从人数和质量上都远不能满足市场的紧迫需求,加快网络安全人才的培养,已经成为影响信息化社会发展的速度和国家安全实现的关键性因素。
一、我国高校培养网络安全人才的现状
1.高校网络安全人才培养处于探索阶段。网络安全人才的培养是随着网络的快速普及而展开的。2000年,我国高校开始设置信息安全本科专业,标志着我国将网络安全人才的培养正式纳入高等教育体系中。据不完全统计,截止到目前,我国已有近50所高校开设了信息安全本科专业,部分高校已设立了信息安全方面的硕士点和博士点,初步形成了本科――硕士――博士的培养层次。
2.高校网络安全人才的培养尚未形成科学的模式。由于高校培养网络安全人才正处于起步和探索阶段,因此各个高校采取的方式和方法也不尽相同,体现出不同的办学思路。例如有的学校把信息安全专业办在安全工程系,以安全为教学内容的重点;有的学校把信息安全专业办在计算机系,以计算机和网络知识为重点;有的学校把信息安全专业办在数学系,以数学、物理等基础知识为其侧重点;有的学校把信息安全专业办在通信系,以密码学作为教学的重点;还有的学校将信息安全专业设置在管理学系,以电子商务为其教学重点和方向。
不同的办学思路,一方面是各个高校依照其自身的学科优势和办学格局,对信息安全学科初期发展进行的有益探索和尝试,符合高等教育发展和高校自身建设的规律;但另一方面也说明我国整个高等教育体系在信息安全学科方面缺乏统一的规划和指导,还没有形成科学合理的学科教育模式。
二、我国高校网络安全人才培养模式存在的问题
1.学科体系不成熟。我国部分高校已设置了信息安全专业,初步形成了从本科到博士的培养层次。但是信息安全是一门综合性的交叉学科,涉及数学、通信、计算机、微电子、网络工程、密码学、法律等诸多学科,我国高校在网络安全人才的培养过程中,还无法准确把握各学科之间的比重关系,表现在各高校在该专业的课程设置上比较盲目,随意性较大。目前的培养体系中,还存在重数量轻质量、重文凭轻素质的现象,培养的人才普遍是从理论到理论,动手实践能力不强,不能解决现实的网络安全问题。
2.培养目标、培养计划和相应的课程体系还不完善。现有培养模式中,信息安全学科建设的指导思想、人才培养的目标和方向都是各个高校根据其具体情况制定的,缺乏系统的学科指导体系和规划。各高校都处于一种“摸着石头过河”的状况,直接导致了培养的人才水平参差不齐、知识结构不合理,不能胜任企业和其他用人单位的工作需要。
3.精通网络安全理论和技术的尖端人才以及专门从事网络安全研究的科研人员缺乏。网络从其产生到现在也不过短短的几十年,网络安全的问题更是最近几年才引起人们的普遍关注。我国进行网络安全方面的研究起步较晚,网络安全人才不足,且多是“半路出家”(即由网络管理人员通过有关网络安全知识的自学或短期培训后从事这项工作的),缺乏大量精通尖端网络安全技术的专门人才。网络安全人才分布不均、人才队伍不稳定。这种状况使我国目前对网络安全方面的研究远远落后于网络技术的发展。
4.网络安全教育的普及率较低,一些公民缺乏网络安全意识。由于网络安全问题一直没有得到应有的重视,这就导致普通公民对此问题持无所谓的态度,即使是经常接触网络的人也没有形成网络安全的观念和常识,安全隐患较多。
5.缺乏网络安全教育所必需的实验设备和条件。开设信息安全专业的部分高校缺乏基本的基础课程实验室,教学实验和模拟设备。许多高校无法开展课程体系中所要求的实验,学生的学习只能是从理论到理论,极大的削弱了教学效果。
6.偏重理论学习,对实践环节重视不够。信息安全学科不仅具有很强的理论性,同时也具有非常强的实践性,许多安全技术与手段需要在实践过程中去认识、去体会。当前设有信息安全专业的高校,能够为学生提供实践的机会很少。许多高校无法为学生提供实践锻炼的机会,更不用说提供处理网络安全问题的模拟实践。这样培养出来的人才其解决实际问题的能力可想而知。
三、美国高校网络安全人才培养的模式
美国高校的网络安全人才培养模式主要有两种:“核心课程+课程模块”模式和“知识传授+科学创新+技术能力”模式。“核心课程+课程模块”模式是美国大学网络安全专业教学中采用的一种基本模式,它类似于我国高校中采用的“基础课+专业方向选修课”的模式。也就是说,学生在修完规定的专业基础课后,可以根据其爱好和特长,选择自己感兴趣的某个方向进行研究。“知识传授+科学创新+技术能力”模式承担着基础知识教育、专业技能培养和创新能力培养的重任,对网络安全人才的培养提出了更高的要求。
美国不仅在本科阶段培养网络安全人才形成了自己的特点,在硕士和博士阶段更加注重对某一领域的深入研究。美国的研究生教育通过补充课程论文和考试或者通过课程论文和硕士论文项目使研究生们在信息安全学科的某一个特定领域深入下去。硕士论文通常是开发一种理论到某一个或者一些特定场合的应用;而博士阶段更注重理论分析,对理论进行扩展,改进或者提出新的理论。
美国的网络安全人才培养模式的优势在于注重学生基础知识的获取和创新能力的培养。基础知识和专业理论教育是学生必须掌握的内容,培养出来的学生具有较广的知识面和知识体系,可以满足企业等用人单位的不同需求。通过大学及研究生阶段的学习,学生不但可以很快熟悉并巩固书本知识,并且可以在实践的过程中,不断研究发现新问题并予以解决,培养了学生的创新能力。
笔者认为,创新能力的培养必须以基础知识和专业技能为根基,是建立在扎实的基础知识和熟练的专业技能基础之上的一个更高层次的目标和要求,因此,与“核心课程+课程模块”模式相比,依据“知识传授+科学创新+技术能力”模式培养出来的人才不仅具有较强的专业知识和处理实际问题的能力,而且具有较强的创新能力。
四、完善我国高校安全人才培养模式的具体措施
我国应在借鉴美国高校网络安全人才培养模式优点的同时,探索适合我国国情的网络安全人才模式。笔者认为,可以采取“核心课程+课程模块+教学实践”这种理论和实践相结合的培养模式。在核心课程设置中,让学生掌握计算机、数学、通信、计算机、微电子、网络工程、密码学等基础知识;在课程模块设计中,让学生探讨研究其感兴趣的网络安全领域和内容;在教学实践环节,让学生总结出大量目前存在的网络安全问题,并尝试着让其进行研究解决,以此锻炼学生分析问题、解决问题的能力,使学生能将所学理论知识与实际应用结合起来。
具体来说,高校应从以下几方面入手,培养网络安全人才,使其具备较合理的知识结构:
1.研究信息安全专业特点,建立科学合理的学科知识体系。信息安全专业是一个交叉的新兴学科,需要许多学科的知识作为铺垫。高校网络安全人才培养的目标应是造就一批具有较高素质的网络安全管理和技术人才。我国高校应通过统一制定教学大纲和统编教材,使学生具备计算机、数学、密码学等健全合理的知识结构。合理采用美国高校对网络安全人才培养的先进理念和模式,通过严格的培养使信息安全专业毕业的学生具备以下素质:宽厚扎实的计算机科学和软件工程知识;娴熟的计算机科学技术综合应用能力;将信息系统及其安全领域的知识同某一应用领域业务相结合的能力;独立完成网络安全相关领域问题的能力。
2.开设法律课程,使网络安全人才具备相应的法律知识。虽然我国还没有专门的网络安全法,但在一些法律法规以及规章制度中都不同程度的涉及到了网络安全的内容。例如《刑法》、《计算机软件保护条例》、《中华人民共和国计算机信息系统安全保护条例》等都是有关网络安全的法律法规。作为网络安全人才必须了解上述法律、法规的相关规定。
3.将网络安全理论教育和实践相结合。高校应该将“网络安全设备操作指南”、“网络安全注意事项”等内容列入日常的教学活动中,这是培养网络安全人才,保证各项安全策略、制度、规程和操作在日常工作中得到贯彻落实的重要环节。还可以定期进行网络安全演练,如果条件成熟,甚至可以挑选一些真正的病毒加以分析、研究。这不仅是检查网络安全保障体系运作情况的重要手段,而且可以增强学生应付突发事件的能力。
4.网络安全人才的培养是一种持续教育,因此应加强和政府、公司的交流与合作,充分调动各方面积极因素,共同培养高素质的网络安全人才。美国高校的网络安全教育特别重视合作与交流,例如美国普渡大学(Purdue University),其COAST(Computer Operations Audit and Security Technology)项目是该校计算机科学系从事计算机安全研究的多项目、多投资的实验室,它促使政府机构、大公司的研究人员和工程师紧密合作。如今COAST已经是世界上最大的专职的、学术的计算机安全研究群体之一,培养了许多优秀的信息安全专业人才。我国高校应借鉴其有益的经验,加强师资队伍的建设,改善办学条件,对信息安全方面的研究给予经费支持和倾斜,改变教学条件,更新试验设备和仪器。同时,加强国内与国际的交流,搭建学校与企业的互动平台,和一些具有综合实力的大企业、公司合作,让学生进行有机的、双向的实践活动。
《国家信息安全报告》中指出:“从事信息技术的人才匮乏是当今世界的一大紧急警报。就信息安全的人才而言,其匮乏的程度更比一般的IT技术有过之而无不及。”《2006――2020年国家信息化发展战略》更是为我国网络安全人才的培养提出了宏伟目标:“建设国家信息安全保障体系,加快信息安全人才培养,增强国民信息安全意识。提高国民信息技术应用能力。提高国民受教育水平和信息能力。培养信息化人才。构建以学校教育为基础,在职培训为重点,基础教育与职业教育相互结合,公益培训与商业培训相互补充的信息化人才培养体系。”我国高校应按照《发展战略》的指引和要求,积极探索和建立网络安全人才培养的模式,为网络安全人才的培养提供更为广阔的空间和平台,构建更加坚固的网络安全保障体系,只有如此,才能营造出和谐、安全的网络空间。
参考文献:
[1]郑志彬吴昊辛阳:建立产学研结合的信息安全人才培养道路[J].北京电子科技学院学报,2006(3)
[2]刘宝旭:浅谈信息安全学科建设与人才培养[J].北京电子科技学院学报,2006(3)
[3]王海晖谭云松伍庆华黄文芝:高等院校信息安全专业人才培养模式的研究[J].现代教育科学,2006(3)
论文摘要:分析了电力系统信息安全的应用与发展存在的安全风险,安全防护方案、安全肪护技术手段及在网络安全工作中应该注意的问题,并对信息安全的解决方繁从技术和管理2个方面进行了研究,探讨了保证电力实时运行控制系统和管理信息网络系统信息安全的有关措施,同时以朝阳供电公司为例,进一步进行有针对性的剖析。
论文关键词:电力;信息安全;解决方案;技术手段
1电力信息化应用和发展
目前,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;VLAN,MPLS等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力工业的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
(4)网络安全是一个系统的、全局的管理问题,网络上的任何一个漏洞,都会导致全网的安全问题,应该用系统工程的观点、方法,分析网络的安全及具体措施。
1.机房软件系统的漏洞
在高校教学中,教师大多采用的操作系统就是XP和Windows2000两个版本,这些操作系统一向存在许多漏洞,经常需要进行更新和打补丁,使得教学机房的软件很容易受到黑客的攻击,造成大量教学资料的流失,存在很大的安全隐患。不仅会导致学生的各种账号被盗,造成一定的财产流失,还会影响教师上课的效率和质量,遇到病毒时,所有计算机都瘫痪。
2.网络不良信息的诱导
在学生通过学校机房上网查阅所需资料时,经常会在界面上跳出小对话框,学生出于好奇心,点开之后严重影响学生的人生观价值观和世界观的正确形成。因此,教学管理部门需要严格控制机房安全问题,让学生在使用机房电脑时杜绝看到不良信息,更好地防止此类不良信息在校园内进行传播,影响校园风气。
3.学校资源的安全问题
学生在使用校园网查阅信息时,如,考试题库、论文资料、学生档案和校内重大事件通知时,都不能让学生轻易翻墙和篡改内容,从而有效避免学校产生巨大的损失,甚至是学校机密信息的泄露。教学管理者要时刻加强对学校资源网络方面的安全监督,切不可疏忽大意,造成不必要的损失,影响学校的声誉,造成一定的社会危害。
4.网络硬件设施的问题
网络硬件设施是学校开设计算机课程必备的教学工具,教师在进行每节计算机课程前,都要对机房的电脑安全进行反复检查,避免老化的网线和电压等诸多因素造成计算机课程的正常进行,及时更换受损设备的机器仪表,避免给学生的身心带来一定的危害,降低计算机安全隐患的存在,保证机房教学的正常开展。
二、管理和维护的对策
1.加强校园网络的建设与管理
(1)网络机房和环境的物理安全。想要给高校学生提供安全的网络教学环境,就需要从网络机房的物理因素入手,主要包括以下几点:一是采用良好的屏蔽和避雷措施,以防无线电和雷电的干扰,影响正常教学活动;二是给机房计算机装上稳压电源和UPS,以保证机房电脑的电压始终保持稳定,防止其他电压和无线电波导致突然断电,使得教学内容和数据遭到丢失;三是安装各种监控设备和门锁,以防计算机等硬件设备被盗;四是对机房四周内要安装消防措施,避免发生火灾和电灾而不能及时得到遏制,降低学校成本等。
(2)构建防火墙,确保网络安全。为了有效控制和提高内部网络安全,构建防火墙是目前加强网络安全问题的主要方法,也是大家普遍采用的网络安全技术方法。这种方法的使用不仅可以有效阻止外网的入侵,也可以更好地加强内部网络之间的联系,内部网络只要通过客户设置的安全规则,就可以随时与外网取得联系,从而保障内外网的有效通讯,通过这种方式有效拦截了外网不法分子的入侵,给内部网络提供安全的网络环境,保证学生安全使用。
(3)运用检测技术防止外网攻击。目前已成功研制出对外网入侵进行检测,并采取有效的保护手段来对付外网的攻击,从而有效记录数据,保证数据的不丢失,以确保及时缩短黑客的入侵时间,加大黑客入侵的难度系数。运用检测技术来有效防范黑客入侵和外网入侵,给高校学生在进行计算机课程时有个良好的网络环境,提高课堂质量和效率。
2.加强机房的管理与维护
(1)软件系统的及时安装。教师在进行每次计算机课程时,都要对每台机器进行例行检查,尤其是对操作系统的安装,尽可能地安装最新的、性能最稳的操作系统,同时还要及时更新微软补丁,确保操作系统的顺畅使用。在安装软件系统时,特别是教学用的软件,一定要用有保障的正品软件,切不可盲目安装盗版软件,以免盗版软件中有木马或者其他病毒,导致数据流失找不回来,造成一定的损失,影响正常教学的进行。同时,我们在安装软件时,也要对机房内的电脑进行选择,首先查看计算机是否正常,有无病毒入侵,再进行安装软件。
(2)杀毒软件的及时安装。当操作系统成功安装后,对软件的安装也已准备就绪,接下来就是要安装杀毒软件了,一定要及时进行安装,下载最新的杀毒软件,对杀毒软件进行更新和升级,确保杀毒软件是最新版本,从而保证计算机的软件系统没有受到病毒和木马等病毒的入侵。在选用杀毒软件时,可以多次尝试多种品种的杀毒软件进行杀毒,从而找到最佳最符合电脑性能的杀毒软件,保证电脑的安全,有效提高机房计算机的网络安全,保证高校计算机课程的教学质量和效率不受网络安全问题的影响。
(3)软件系统的及时优化。机房的计算机在全部都装好软件系统时,同时杀毒软件也已成功安装,还需要对有些已更新的软件系统进行优化处理。最常见的就是360安全卫士,里面有个软件优化功能,可以确保机房计算机上的软件都是最优化的,优化计算机上的软件系统,不仅可以禁止一些系统不需要的服务,还可以腾出更多的空间来装其他软件,更可以把一些无关紧要的软件在开机时禁止启动项,加快计算机的运行速度,提高计算机流畅度。
3.加强学生网络信息安全教育
