时间:2023-04-10 11:05:01
开篇:写作不仅是一种记录,更是一种创造,它让我们能够捕捉那些稍纵即逝的灵感,将它们永久地定格在纸上。下面是小编精心整理的12篇网络信息安全教育,希望这些内容能成为您创作过程中的良师益友,陪伴您不断探索和进步。
诚然,网络信息安全教育早已成为新时期教育的主题,目前,各方对安全教育的重视程度仍显不足,表现在:首先,尽管越来越多的学校已正式开设信息安全教育活动,并作为整个高校管理工作的组成内容,然而,几乎没有高校将信息安全教育纳入到教学规划中。从这个视角看,高校自身对信息安全教育的关注程度仍较低;其次,进行信息安全教育的方式不明确,教育实施方案欠完善,例如,一些高校将信息安全教育归入到学校安全小组的职能范围中,部分大学生将其纳入到学生处的工作职责中,高校对于信息安全教育工作的顺利进展尚未形成强大的合力。
(2)对大学生网络信息安全教育的观念相对滞后
在当下,高校对于信息安全教育的各种观念相对滞后,表现在两方面:其一,未能将培养综合素质高尚的新型人才同做好大学生的信息安全教育紧密联系在一起,诚然,大学生信息安全教育工作的成功进行离不开社会各界的广泛支持,同时也需综合素质过硬的新型人才做后盾;其二,对信息安全教育的认识落后于网络发展的客观形势,网络信息技术的迅猛发展,亟需高校不失时机地抓紧抓好对大学生的信息安全教育,确保大学生的理想信念不动摇,以同资产阶级领域的意识形态彻底分裂开来。(3)网络信息安全教育的说服力度不够目前,一批高校在信息安全教育过程中,所选用的教科书过于偏重理论探究,缺乏对大学生防范信息安全风险的技能培养,对大学生的说教仅停留于教材理论的层面,尚无法完全说服提升自我防范意识;除此以外,个别高校开展信息安全教育的手段十分老套,仍延续陈旧的方式方法,无法使学生对该项教育产生兴趣。
2强化大学生网络信息安全教育的有效途径和方法探析
(1)综合利用多种教育方式搞好教育工作
网络信息安全教育的方式切忌单一化,否则,会难以获得大学生的有效配合。有鉴于此,首先,高校要充分借助于学校的舆论及传媒工具,利用校报、校园广播网路、校园内部的宣传栏等多种途径开展规范的信息安全教育,引领大学生在潜移默化中接收正确的信息安全知识,使信息安全教育取得立竿见影的效果;其次,要依靠行政手段,通过定期举办各类会议开展教育活动;第三,可借由网络的交互性平台,开设网络论坛,为师生之间的双向经验交流提供新渠道;第四,通过教育的形式,举办信息安全经验研讨会、信息安全常识竞赛、安全常识讲座等搞好教育工作。
(2)引领学生踊跃参加网络信息安全的教育教学实践
信息安全教育决不能仅停留在教材理论灌输的层面,还要将书本理论同教学实践紧密结合起来。高校要不断地激励、鞭策学生投身于实践中,使其均能发挥主观能动性解决实际问题。大学生要具备这种能力,有赖于学校创设良好的实验环境,所以说,高校可在计算机专业设置信息安全教育实验室,该实验室的创建要以网络环境为前提,从连接到互联网,对内单独设定网络群,并安置若干应用普遍的信息安全设备及系统,根据较常见的信息安全问题,模拟信息安全实验环境,这不单为计算机专业的大学生创造必备的教学实践机会,更能充当高等学校开展系统地信息安全教育的实训基地。
(3)就网络信息安全教育设置专业化的课程
网络信息的安全教育是一个理论同实践紧密联系的学习过程,如若在教育中更直观地体现学以致用、用以促学的原则理念,势必会赢得大学生们的积极肯定和响应。有鉴于此,高校要设置专业化的网络信息安全课程,为全体大学生提供全面地、详细地了解和掌握信息安全常识的机会。高校要着力打造一支业务过硬、专业本领过强的师资团队,要在教材的编撰上体现“网络法制教育”的原则,学生们需按照各项网络法律规范的要求,预防和杜绝一切网络违法行为,通过网络普法教育,使学生们的网络法律意识得到有序提升,在利用网络时,便会正确地分辨是与非、错与对,做出合乎法律规章的行为。
(4)健全完善网络信息安全教育的长效运行机制,狠抓落实
完善高等院校的网络信息安全教育机制,首要的任务便是在全校范围内设立信息安全教育指导机构,担负起对学生进行系统的信息安全教育的任务,明确教育内容,编制详尽的安全教育实施规划,加大落实力度,安排富于经验的专业教师亲自讲授,并对教学效果进行科学考核。为抓紧落实,高校可把信息安全教育统一归入教学规划之中,在校教务处的统一领导和正确指挥下有条不紊地开展各项教育活动。
3结语
信息安全意识淡薄
以我们对唐山所在高校大学生的调查为例,有28.6%的学生由于计算机安全方面的事件对自己造成了不同程度的损失,造成网络安全事件发生的主要原因有37.5%的学生选择不清楚,由于未防范软件漏洞导致发生安全事件的占总数的45.2%,登录密码过于简单或未修改密码导致发生安全事件的占35.1%,足见学生的安全防范意识之薄弱。尽管如今众多专家学者已经认识到高校属于信息安全高危环境,但只有少数高校进行这方面意识的培养,也很少有高校能够达到指导教工和学生清楚地认识到信息系统安全在现有科技和新兴科技中所扮演的重要角色。一些学校中开展的尚不健全且目的不明确的教学研究项目可以反映出当前信息安全意识教育在高校中的地位很低。与此相反,信息技术的进步却不断要求学生具备更多信息安全的知识。显然,这两方面已经成为了一对尖锐的矛盾,学术界的相关研究也常常陷入孤军奋战的尴尬境地。多数研究局限于信息安全对于军事的价值和意义,工业、商业、社会生活等方面的用途没有得到应有的关注和投入。这种全民信息安全意识的缺乏将造成一个恶性循环,高校的大学生走向社会必将成为未来企业中的中流砥柱,由于网络安全意识的缺乏,可能在毫无察觉的情况下将重要的商业信息暴露于危险之中,或者在遇到这种不利的处境时束手无措,而给公司造成不必要的损失。
网络信息安全教育明显滞后
也以我们对唐山高校的调查为例,发现学校网络信息安全教育滞后。滞后的情况有以下几种:第一是对学生信息安全教育滞后于形势的发展。学校没有充分认识到快速发展的网络已经延伸到了校园的各个角落。搞好大学生网络信息安全教育,不但可以保证大学生身心健康发展,也是培养优质人才的需要。第二是高校加强大学生网络信息安全教育与培养健康、理性的高素质合格人才的关系处理不当。搞好大学生网络信息安全教育,不但能提高大学生自我防御、免受不良信息的侵害的能力,同时也避免大学生本身违法犯罪行为的发生。也是高校保证其“产品”高质量、高出品率的至关重要的因素。第三是未能处理好安全教育课程与其他专业课程设置的关系。不少高校片面认为大学生安全信息教育不是学校教学内容可有可无,因而大学生的安全信息教育也就不能列入学校的教学日程。在接受调查的大学生中有36.5%的同学表示,学校的信息安全教育不系统。
对大学生网络信息安全教育缺乏重视程度
学校的重视程度如何,直接影响大学生的信息安全意识的水平。通过我们的调查,发现在各个高校有不同程度的欠缺:第一是领导机制不健全。大多数学校没有专门的信息安全领导或管理机构。大学生信息安全教育采取什么样的运行机制,以什么形式纳入学校教学内容,没有明确的规定和安排,有的学校把大学生网络信息安全教育放在各院系办公室,有的放在学生处,教务处,有的放在保卫处等等,从管理体制上没有形成自上而下的统一。第二是没有把大学生网络信息安全教育作为学校教学工作的一部分。信息安全教育方面的专门课程、专业教师和教科书寥寥无几。对大学生网络信息安全教育一般也只是以报告、宣传等方式零敲碎打,致使大学生获取网络信息安全教育渠道不畅通信息不全面系统。第三是没有把大学生安全教育纳入教学计划。调查显示,大多数学校没有信息安全教育课程的教学计划,信息安全教育的时间、内容、教材、教师、教学效果等,都没有统一的规划。因此说,大学生信息安全教育在学校教学工作中一直没有应有的位置。
大学生信息安全教育缺乏力度
主要表现在几个方面:第一是制度不健全,没有纳入规范化、制度化的轨道。二是教育手段落后。多数高校教育手段都是老一套,没有根据时代的发展而有所创新,脱离实际,对大学生没有吸引力。三是缺乏系统性。教育过程比较随意,而在法律规范、伦理道德和防范技术、安全意识等方面存在缺陷,没有形成较完整的安全教育体系。(本文作者:单位:)
【关键词】计算机;信息安全
随着计算机网络的不断发展与普及,人类生活已经入信息化、数字化时代,在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹,而目前获取信息进行交流的主要手段也是网络。众所周知,一个国家国民教育程度的高低对整个国家国民素质的发展有着重要的影响。因此,网络化教育已经成为教育发展的必然趋势,国家的发展离不开教育,而教育的发展离不开网络。然而,由于种种原因,网络也有其不足之处,我们在进行网络教育的过程中必然存在很多问题。为了提供一个安全可靠的网络环境,在培养信息安全人才的同时,还必须加大网络安全系统建设的投入,这是确保信息安全的关键。
网络系统的信息安全是指防止信息被故意或偶然的非法泄露、更改、破坏或使信息被非法系统识别、控制等[4]。所以,强化网络的信息安全,解决信息安全问题,才能使信息更加持续化,向健康的方向发展。
1. 目前学校网络教育中信息安全教育存在的问题
当前,尽管全球信息化正在飞速发展,但信息在网络上也面临着随时被窃取、篡改和伪造的危险,这就对保障信息安全带来了很多挑战。因此,我们在校园环境中也要认识到,现在学生上网已经是一种非常普遍的现象,而虚拟的网络环境在为学生的学习和生活提供广阔发展空间的同时,也对学生的健康成长起着直接或间接的负面影响,例如计算机病毒、黑客攻击等现象。如果不能正确引导学生认识,那么学生对于网络信息安全的理解就会走向误区。下面将针对网络教育中存在的信息安全问题做简单论述:
1.1 对信息安全教育的认识不足。
加强学校信息安全教育,不仅是保证学生身心健康发展的关键,也是同其他国家争夺人才的需要。目前很多学校未能意识到网络信息安全教育的重要性,不能深刻理解其内涵,因此,从现在开始就要培养学生对网络信息安全重要性的认识,掌握信息安全体系中最基本的原理和概念,能够熟练运用常用的工具和必要手段进行安全故障的排查等等[5]。我们要最大限度地保证学生免受不良信息的侵害,尽量避免学生自身违法犯罪的发生,为我国培养高素质、高水平人才提供保障。
1.2 对网络信息安全教育的重视力度不够。
目前很多学校对于如何将信息安全教育正规、科学的纳入到学校教学计划,还没有做出明确的规定。有些学校甚至只对个别专业的学生开设相关的信息安全教育课程,普及面非常狭窄,重视程度远远不够,导致学生对计算机软件和硬件知识体系的了解相当缺乏。为了全面提高我国高素质人才的计算机信息安全意识,我们不能仅仅对计算机专业的学生普及信息安全教育,还要将这项教育推广到非计算机专业,这对于增强我国经济社会全面信息化建设具有十分重要的保障作用。
1.3 对学校信息安全教育采用的方法不当。
很多学校所采用的信息安全教育的方法比较落后,依旧沿用老方法,跟不上当今网络时代快速发展的要求,脱离了实际。大部分的教材只局限于理论的讲述,而忽视了对信息安全技能方面的培养,缺少必要的实践经验,严重影响了信息安全教育的效果。
2. 计算机网络系统本身存在的主要信息安全问题
由于计算机网络的重要性和对社会活动的影响越来越大,大量数据需要进行存储和传输,某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题,并针对这些问题进一步提出了解决的策略。
2.1 影响计算机网络安全的因素有多种,主要是自然因素和人为因素。自然因素是指一些意外事故,例如服务器突然断电等;人为因素是指人为的入侵和破坏,这种情况危害性大且隐藏性较强。
2.2 无意的损坏,例如系统管理员安全配置不当而造成的安全漏洞,有些用户安全意识不强、口令选择不慎、将自己账户随意转借他人或与他人共享资源等带来的安全问题。
2.3 有意的破坏,例如黑客利用网络软件设计时产生的漏洞和“后门”对电脑系统的非法恶意攻击,从而使处于网络覆盖范围的电脑系统遭到非法入侵者的攻击,有些敏感数据就有可能被泄露或修改,这种破坏主要来自于黑客。
2.4 网络黑客和计算机病毒是造成信息安全问题的主要原因。网络黑客和计算机病毒的出现给计算机安全提出了严峻的挑战,因此要解决此问题,最重要的一点是树立“预防为主,防治结合”的思想,牢固树立计算机安全意识,防患于未然,积极地预防黑客的攻击和计算机病毒的侵入[4]。而病毒则以预防为主,主要是阻断病毒的传播途径。
3. 网络信息安全的防范措施
3.1 加强计算机防火墙的建设。
所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,保护内部网免受非法用户的入侵,能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散[2]。
3.2 建立一个安全的网络系统。
3.2.1 从技术上保障可行的资源保护和网络访问安全,主要包括网络身份认证,数据传输的保密与完整性,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防御病毒等。如加密技术,它是电子商务采取的主要安全保密措施,是最常用的安全保密手段,是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)的一种技术。
3.2.2 详细了解当前存在的网络信息安全问题,以及网络信息安全的攻击手段,积极采取相应的有效措施进行解决。
3.2.3 要从工作环境以及工作人员、外来人员方面切实做好保密工作,要有严格的岗位考核管理制度,对工作人员的安全意识要经常培训,以便从物理上断绝对网络安全的威胁。
3.2.4 用户本身方面,要有强烈的自我保护意识,对于个人隐私及与财产有关的相关信息要做好保密工作,不能轻易告知他人。
3.2.5 要对网络外部运行环境(温度、湿度、烟尘)进行不定期的检测、检查和维修,提供一个良好、畅通的外界环境。
随着信息化进程的加快和网络安全行业的快速发展,网络教育在学校教育中扮演着越来越重要的角色,推动新的教育模式不断向前发展。同样,我们也面临着新的威胁,因此我们必须运用新的防护技术。网络信息安全是一个系统的工程,我们不能仅靠硬件设备(杀毒软件、防火墙、漏洞检测)等的防护,还应意识到计算机网络系统是一个人机系统,计算机是安全保护的对象,但执行保护的主体是人,只有树立人的计算机安全意识,才有可能防微杜渐,同时还要不断进行网络信息安全保护技术手段的研究和创新,从而使网络信息能安全可靠地为广大用户服务。
参考文献
[1] 叶炳煜.浅论计算机网络安全[J].电脑知识与技术,2009,(03)
[2] 阎慧.防火墙原理与技术[M] .北京:机械工业出版社,2004
[3] 张红旗.信息网络安全[M].北京:清华大学出版社,2002
[4] 袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2003
[关键词] 信息 安全技术 教育
我们都知道一个政治经济学定律:生产力决定生产关系。根据这个定律,可以把人类文明分为三种:农业社会文明,工业社会文明,信息社会文明。农业文明使用的工具是镰刀、锄头,代表者是农民;工业文明使用的主要工具是锤子、机器(马克思说过,农业社会是水推磨,工业社会是机器磨),代表者是工人;信息社会文明使用的主要生产工具是计算机,代表者是知识分子。从世界范围来看,农业文明中国领先,工业文明中国落后,信息文明则全球在行动,这是大趋势。信息社会的根本是重视教育、重视人才。
信息社会文明从技术上讲有三个技术很重要:以CPU为核心的技术、操作系统技术、信息安全技术。三大技术中前两大技术国外暂时领先,我们不能掉以轻心,仍有追击之力。对于第三项信息安全技术,我们是大有希望占有较大技术份额,甚至有可能领先。试想:在整个信息化文明到来时,作为一个占全世界人口四分之一的民族,核心技术又一举占先,数字化经济、信息化社会将垂涎于整个国家和民族。那么国家的综合势力必定大上一个台阶。
1 信息安全概述
随着现代通信技术的发展和迅速普及,特别是计算机互联网连接到千家万户,信息安全问题日益突出,而且情况也变得越来越复杂。信息安全本身包括的范围很大,大到国家军事政治等机密安全,小范围的当然还包括如防范商业企业机密泄露,防范青少年对不良信息的浏览以及个人信息的泄露等。
在通信过程中,存在着人为因素和非人为因素造成的对通信安全的威胁。其中,以人为攻击所造成的威胁最大。“攻击”分被动攻击和主动攻击两类。被动攻击是不改变系统信息内容以及系统状态的一种攻击。例如,以合法或非法手段窃取系统中的信息,或者通过对系统长期监视和对有关参数的统计分析,从中掌握某些规律,或获取有价值的信息情报等,都属于这种类型。被动型攻击主要威胁信息的保密性。主动攻击意在窜改系统中所包含的信息内容,或改变系统的状态或操作。常见的攻击手段有冒充、篡改、抵赖等。冒充是指非法用户冒充合法用户,特权小的用户冒充特权大的用户等;篡改是指采取删除、偷换、添加信息内容的办法,以假乱真;抵赖是指通过否认自己曾过的消息或伪造、修改来信等手段来实现的欺骗。主动攻击主要是威胁信息的完整性、可用性和真实性。
2 信息安全技术
针对上述攻击,目前常用的保障通信安全的技术即信息安全技术主要有:
2.1 信息保密技术
信息保密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。保密通信、计算机密钥、防复制软盘等都属于信息保密技术。信息保密技术是保障信息安全最基本、最重要的技术,一般采用国际上公认的安全加密算法实现。例如, 目前世界上被公认的最新国际密码算法标准AES,就是采用128、192、256比特长的密钥将128比特长的数据加密成128比特的密文技术。在多数情况下,信息保密被认为是保证信息机密性的唯一方法。它的特点是用最小的代价来获得最大的安全保护。
2.2 信息确认技术
信息确认技术是通过严格限定信息的共享范围来达到防止信息被伪造、篡改和假冒的技术。通过信息确认,应使合法的接收者能够验证他所收到的信息是否真实;使发信者无法抵赖他发信的事实;使除了合法的发信者之外,别人无法伪造信息。一个安全的信息确认方案应该做到:其一,合法的接收者能够验证他收到的消息是否真实;其二,发信者无法抵赖自己发出的信息;其三,除合法发信者外,别人无法伪造消息;其四,发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。 例如,当前安全系统所采用的DSA签名算法,就可以防止别人伪造信息。
2.3 网络控制技术
常用的网络控制技术包括防火墙技术、审计技术、访问控制技术和安全协议等。其中,大家所比较熟悉的防火墙技术是一种允许获得授权的外部人员访问网络,而又能够识别和抵制非授权者访问网络的安全技术。它起到指挥网上信息安全、合理、有序流动的作用。审计技术能自动记录网络中机器的使用时间、敏感操作和违纪操作等,它是对系统事故分析的主要依据之一。访问控制技术是能识别用户对其信息库有无访问的权利,并对不同的用户赋予不同的访问权利的一种技术。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。安全协议则是实现身份鉴别、密钥分配、数据加密等的安全机制。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。
3 信息安全教育
为了保证信息安全,防范计算机犯罪,需要从技术、法律、管理和教育等方面着手,缺一不可。信息安全教育也是信息安全的重要组成部分。信息安全教育是一项新的安全工作,不仅是一个技术问题,更重要的是它对社会各方面可能产生重大影响。信息安全问题影响到整个社会,并逐渐成为社会的公共问题。抓好信息安全教育,进行有效管理,对维护社会的稳定与发展具有深远的意义。信息安全教育的比较内容比较多,主要包括法规教育、安全基础知识教育。
3.1 法规教育
法规教育是信息安全教育的核心。现代社会中,计算机的社会化程度正在迅速提高,大量与国计民生、国家安全有关的重要数据信息,迅速地向计算机系统集中,被广泛地用于各个领域。同时计算机的脆弱性所导致的诈骗犯罪,已经给计算机发达国家和公众带来严重损失和危害,成为社会关注的问题。因此,许多国家都在纷纷采取技术、行政和法律措施,加强对计算机的安全保护,建立了计算机安全管理、监察和审计机构。
3.2 安全基础知识教育
安全基础知识主要包括安全技术教育、网络安全教育、运行安全教育,实体安全教育,所涉及的内容既深又广。正确使用计算机系统和规范上网操作是各行各业工作必备的基本技术素质。
针对青少年的特点,重视学校和家庭教育,一是加强青少年的法制教育、爱国主义、政治思想教育,使青少年在思想上提高自我约束、自我保护的能力。二是积极创造条件,在普及网络知识上下功夫,普及信息安全知识上加大投入,一方面促使青少年更好地学习信息安全知识,另一方面在学习的过程中提高青少年的水准。三是家长不但要有所意识,及早行动,通过提高自身素质,以便更好地教育、引导孩子,而且在情感方面也要不断地与孩子交流。
4 结语
信息安全十分重要,但是绝对安全也是不可能的。因此,加强信息安全知识的普及和教育十分重要。结合信息安全的特殊性,加强长期培训和短期培训相结合,面对面传授和网上远程教育相结合,尤其是重视对青少年的启蒙和引导教育,为他们的智力、能力的发挥提供更吸引人的正确的信息安全教育平台。
参考文献
(湖北文理学院 数学与计算机科学学院,湖北 襄阳 441053)
摘 要:基于前期的问卷调查结果,提出大学生信息安全教育的教学内容,说明教学案例和教学策略,介绍在新生计算机基础课程中进行教学实践的情况。
关键词 :大学生;信息安全教育;案例驱动;教学实践
基金项目:湖北省教育科学规划研究项目(2013B202);湖北省高等学校省级教学研究项目(2014370)。
第一作者简介:杨建强,男,副教授,研究方向为信息安全和无线网络技术,xfxy_yjq@126.com。
0 引 言
几年前,国内的一些学者已经对大学生信息安全教育提出了一些建议[1-4]。但是,受多种因素影响,大学生的信息安全教育问题并未引起大多数高校的重视。尽管如此,智能手机和计算机在大学生中的普及,却开始影响大学生对信息安全的认识。为了把握目前大学生的信息安全知识和安全意识情况,为大学生的信息安全教育提供参考,我们进行了问卷调查。结果表明,受电脑普及,特别是智能手机在学生中流行的影响,目前的大学生对信息安全知识有了一定的了解,具有一定的信息安全意识。不过,大学生的信息安全知识非常有限,缺乏系统性;他们的信息安全意识也不足以应付日益复杂的网络环境。调查结果还表明,大学生普遍非常重视信息安全教育,希望通过计算机基础课程学习信息安全知识,并建议采用案例驱动的教学方式[5]。基于调查结果,我们对信息安全的教学内容进行了总结和提炼,设计了教学案例和教学策略,并在部分班级计算机基础课程中进行了教学尝试。
1 教学内容
大学生信息安全教育包括3个方面的内容:①信息安全知识及防范技术;②信息安全法律法规;③信息安全伦理道德[1-2,4,6]。其中,第一部分是重点,第二、三部分也可以安排到法律基础、大学生思想道德修养等课程中[5]。信息安全内容非常庞杂,在计算机专业的信息安全课程中,通常需要30多个学时来完成理论课的教学。这意味着,要在计算机基础课程中嵌入信息安全教学内容,必须精简信息安全教学内容,压缩授课学时。所以,选择哪些信息安全知识作为教学内容就变得非常重要。我们认为,所选择的内容应该涵盖信息安全最基本的知识点,同时具有一定的系统性;学生学习后,能够对信息安全有一个系统的把握,掌握最基本的信息安全知识,提高信息安全意识,同时掌握实用信息安全防御技能。表1为知识单元及其对应的知识点。
2 教学案例设计
根据前面给出的信息安全知识单元和知识点,可以设计出11个教学案例,其知识点的对应关系见表2。
案例1、2是与恶意软件有关的两个典型案例。案例3是经典密码案例。因为现代密码比较抽象,难以理解,借助经典密码有助于学生理解现代密码的有关概念。案例4、5应用非常广泛,是了解公钥密码技术非常好的案例。案例6比较常见,不过学生通常并不知道它的作用及背后的工作机制。案例7、8、9都是比较典型的安全事件,学生或多或少都了解一些。案例10中的工具是学生容易忽视,但却非常重要的安全工具。这些工具所涉及众多的信息安全知识也是学生需要了解或掌握的。案例11与学生日常使用的智能手机相关,有助于提高学生的安全防范技能。
另外,除了知识单元①⑧没有专门设计教学案例外,其他知识单元都有相应的教学案例。不过,知识单元⑧实际上与大多数案例都有关系,其知识点可以放在其他案例中讲授。知识单元①是对信息安全基本概念的介绍,受学时的限制,不建议设置教学案例。
3 教学策略设计
总体上来说,信息安全的教学主要围绕表1的知识单元顺序进行。各知识单元的教学策略如下。
知识单元①。以图例的方式简单描述信息安全事件的一些发展趋势,比如近几年恶意软件的发展趋势图、网络攻击变化趋势图等,然后给出信息安全的含义、目标、需求和意义。知识单元①大约需要10分钟讲授完毕。
知识单元②。引入案例1,因为很多学生都遇到过U盘病毒,所以教师可以指出U盘病毒是一种蠕虫病毒,然后给出蠕虫病毒的特征、危害。之后以一个感染了蠕虫病毒的U盘为例,演示手工清除U盘蠕虫病毒的过程,同时提醒学生防范U盘感染病毒的方法。对于案例2,以生活中发生的手机恶意软件(大多是木马程序)事件为例,比如“超级手机病毒”事件,手机扫描二维码中毒事件等。然后指出木马的特征,与蠕虫的区别。指出手机恶意软件传播的途径及危害。告知学生防范恶意软件的方法。比如,下载软件的时候注意来源是否可靠,别人的评价如何;为手机安装软件的时候,注意软件所请求的权限是否超出了它的功能;安装安全软件等。之后,指出传统病毒与蠕虫、木马的区别,并简单介绍其他类型的恶意软件及流氓/间谍软件。最后,提醒制作恶意软件是计算机犯罪行为,将要受到法律的制裁,并给出计算机犯罪的含义,以及相关法律法规的条文说明。这部分内容大约需要40分钟完成。
知识单元③。首先说明加密的目的,然后给出密码学的一些基本概念,如明文、密文、密钥等。然后引入案例3,通过一个4×4阶的矩阵,演示整个“矩阵换位加密”过程,加密一个包含正好16个字符的明文。然后指出哪些是明文、密文和密钥。说明消息超过16个字符时的处理方法。然后指出“矩阵换位加密”中的密文字符仅仅是明文字符改变位置的结果,这叫置换;指出某些经典加密算法中的密文字符是不同于明文字符的另一类字符,这叫替代。之后,给出现代对称密码的基本原理,即现代对称加密算法本质上是置换和替代的多次重复。此时可以给出DES算法的框图,让学生进一步理解对称密码的基本原理。最后,指出目前广泛使用的对称加密算法3DES、AES等。这部分内容大约需要20分钟完成。
引入案例4,打开显示有下载软件的SHA1或MD5值的网页。提问学生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法,其作用是生成数据的指纹,可用来检测对原始数据的更改。接下来引入案例5,打开带有数字签名文件的属性对话框。比如QQ安装程序,查看数字签名的详细信息,指出数字签名的含义和作用,并说明QQ安装程序是经过腾讯公司签名的,如果显示“该数字签名正常”,则该程序是原始程序,否则被修改过,不要安装。接下来继续查看数字签名对应的数字证书,查看数字证书中的哈希算法(通常是SHA1)和签名算法(通常是SHA1RSA)。此时,就可以讲授公钥密码的一些概念了。和对称密码对比,指出公钥密码的特点。告诉学生RSA是流行的公钥密码算法。当学生记住这些概念之后,就可以指出数字证书的作用了:保证公钥的真实性。然后告诉学生证书对话框中的公钥。接着,进一步说明数字签名及验证签名的大致过程,并以QQ安装程序为例进行说明。到此,公钥密码、数字签名和数字证书的概念已经讲授完毕。建议进一步向学生说明,他们所看到的数字证书,实际上是由权威机构签名并颁发的,在证书路径上可以看到签名的权威机构,并让学生看一看计算机上已安装的“受信任的根证书颁发机构”列表。这部分内容大约需要30分钟完成。
知识单元④。引入案例6,打开启用了安全连接的网页,比如中国银行的“个人客户网银登录”,提问学生该网页与普通网页有什么不同?然后,单击浏览器上的小锁,让学生看到“连接是加密的”字样;单击“查看证书”,告诉学生这个证书如果是被信任的,则说明所访问的网站是官方网站。接下来,打开铁路12306网站,单击“购票”,指出证书不被信任时电脑的表现。单击“继续浏览网站(不推荐)”,单击浏览器上方的“证书错误”,提醒学生注意显示的信息。进一步“查看证书”,解释不被信任的原因。接下来,说明如果所访问的网站的确是官方网站,如何让计算机信任它。根据需要,可以进一步说明“受信任的根证书颁发机构”的作用。到这里,就可以指出https与SSL的关系,以及SSL的作用了。之后,简单介绍一下SET的作用,并指出SSL和SET在应用上的主要区别。
引入案例7,如果有现成的钓鱼网站,直接打开它。如果没有,则找一个以往钓鱼网站的图片示例。比较真实网站和钓鱼网站的差别,指出钓鱼网站的危害性,并给出被钓鱼网站欺骗的实际案例。然后,指出识别和防范钓鱼网站的方法,比如通过网址识别、启用浏览器的假冒网站检测功能等。告诉学生不要轻信邮件、QQ、微信、微博等上面的链接,特别是要求给出敏感信息的链接。同时提醒这种网络欺诈行为也是一种计算机犯罪。案例6、7所涉及的知识点大约需要30分钟完成。
知识单元⑤。引入案例8,给出典型的示例,比如2014年1月21日的国内大量网站无法访问这个事件。然后指出拒绝服务攻击的含义,并说明拒绝服务攻击只是网络攻击的一种形式。然后指出其他攻击形式,比如传播恶意软件、钓鱼网站、邮件欺骗、社会工程、网络窃听、网络扫描攻击等。给出网络攻击的目的、一般过程,以及防范技术和方法,比如防火墙及IDS。同时提醒学生,网络攻击也是一种犯罪行为。
引入案例9,指出从2011年年末开始,因特网用户资料不断遭到大规模泄露。打开与此相关的网络新闻报道,提问学生是否资料遭到泄漏。然后给出用户资料遭到泄漏的两种原因:用户资料库泄漏和撞库。告诉学生目前第一种情况越来越少,更多的是第二种情况。提醒学生不要在不同的网站上使用同样的账号和密码,特别是密码,否则会遭遇撞库攻击而影响到其他账户的安全。另外密码不能太简单,不要用生日、电话、QQ号码、亲朋好友宠物的名字等作为密码。案例8、9所涉及的内容大约需要30分钟完成。
知识单元⑥。引入案例10,首先说明Windows系统已经提供了许多保障系统安全的工具。然后逐个演示Windows系统更新、Windows防火墙、Windows Defender、MRT和EFS的基本操作。同时说明系统更新的作用及漏洞的含义,说明防火墙的作用,说明Windows Defender与MRT的作用和它们的区别,说明EFS与对称及公钥密码的关系,并指出使用EFS时需要注意的事项。接下来,演示Windows账户设置及访问权限设置,指出它们的含义、作用,通过创建新的账户,并设置某个文件夹或文件的NTFS访问权限,让学生切实感受到Windows账户和NTFS相结合的强大之处,促使学生理解并掌握相应的操作技能。这部分内容大约需要40分钟完成。
知识单元⑦。引入案例11,给出典型的示例。比如在公共的免费Wi-Fi环境中对信用卡信息进行操作,导致信用卡里的钱款被盗的新闻事件,使用公共Wi-Fi导致手机感染病毒的新闻事件,指出示例中的计算机犯罪行为。然后指出公共Wi-Fi可能带来的两类威胁:个人敏感信息的泄漏,和伪装Wi-Fi攻击。给出防范措施:不登录邮箱、微博,不操作网银等。另外,移动设备Wi-Fi连接仅在需要时打开;开启安全软件的网络保护和隐私保护功能。然后,指出移动设备的其他安全威胁,比如恶意软件、设备丢失等。提醒学生除了采用前面第②单元提到的安全措施,还应该经常备份手机中的重要数据,开启手机锁码功能。这部分内容大约需要20分钟完成。
知识单元⑧。本知识单元的知识点已经分散到他知识单元的案例中了,不需要专门的教学说明。
至此,信息安全的全部知识点都已讲授完毕。可以简单地总结一下所讲授的主要内容,并再次给出信息安全的含义和目标,促进学生对它们的理解和掌握。
4 教学实践及效果
在两个2014级新生班级的计算机基础课程中,按照上面的教学策略,我们进行了信息安全的教学尝试。时间安排在计算机网络部分结束之后的两周内,共3个下午,每次2学时,实际使用学时不到6个。
在计算机基础课程结束之后(三周后),我们再次使用原来的调查问卷对这两个班的学生进行了调查(回收问卷120份),并和上一次对2013级学生(当时也是新生)调查的结果进行了比较。见表3、表4、表5。顺便说一下,上一次的调查问卷是基于学生没有经过系统的信息安全学习而设计的,其中有不少题目选项并不适合本次调查,所以表3、表4、表5中的题目选项要比文献[5]中对应的表少一些。
很明显,和2013级学生相比,2014级学生对信息安全术语的了解比例大幅度提升。
结合上一次的调查结果及分析[5],表4中2014级学生对A、B、C三项的选择比例基本上是一致的,说明他们的确比较了解加密等安全技术。选项D的选择也说明了这一点。
很明显,2014级学生比2013级的学生有更强的信息安全意识。总之,经过比较系统的学习,尽管只使用了不到6个学时,学生对信息安全的基本知识已经有了比较深入的了解,信息安全意识也得到显著的提高。
5 结 语
信息安全素养是大学生应该具备的素养,许多学者都曾经对大学生信息安全教育进行过探索[1-4,6-7],但结果不尽如人意。为了找到解决大学生信息安全教育的有效方法,我们在2013年下半年对大学生进行了问卷调查。根据调查结果,我们对大学生信息安全的教学内容进行了提炼,并把它们融入到11个案例中。在2014级新生的计算机基础课程中,我们按照所设计的教学策略进行了教学实践。结果表明,在计算机基础课程中至多增加6个学时的课时,就可以基本上解决大学生的信息安全教育问题。我们的探索为大学生信息安全教育提供了一个有效的解决方案。
参考文献:
[1] 付沙, 肖叶枝. 试论加强高校网络信息安全教育[J]. 当代教育论坛:学科教育研究, 2007(5): 81-82.
[2] 肖红光, 谭作文, 周亚卉. 论大学生信息安全意识教育[J]. 当代教育理论与实践, 2009, 1(4): 29-31.
[3] 彭国军, 黎晓方, 张焕国, 等. 信息安全意识培养应纳入大学生素质教育培养体系[J]. 计算机教育, 2008(22): 44-45.
[4] 陈世伟, 熊花. 大学生网络信息安全教育探析[J]. 武汉科技学院学报, 2005, 18(1): 101-103.
[5] 杨建强, 姜洪溪, 郑毅, 等. 大学生信息安全知识、安全意识调查及分析[J]. 计算机教育, 2014(13): 51-55.
[6] 杨建强, 李学锋. 大学生信息安全教育探讨[J]. 襄樊学院学报, 2012(2): 46-49.
社会信息化的程度越来越高,网络信息安全问题也日益突出。从大的方面来讲,网络信息安全是关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题;从个体角度来说,关系到公司单位重要经营信息,及个人隐私。当前,我国基础信息网络和重要信息系统安全面临的形势十分严峻,对于置身于网络社会的每一位在职人员,增强网络信息安全意识,加强自我防范,任务十分艰巨。
与此相对应,作为社会新生代的大学毕业生,应具备良好的信息安全素养,掌握必要的信息安全知识和防范技能;而作为培养社会骨干人才的各高校,在着力培养信息安全专业人才的同时,不应忽视网络信息安全在非计算机专业教学体系中的作用和地位,有必要将网络信息安全教育作为衡量大学生综合素质的一项重要指标。
2 非计算机专业“信息安全”教学现状
经过调研,大多数的高校针对非计算机专业信息安全教育仅限于两个方面,一是“计算机基础”课程中包含的计算机病毒及防范知识,这些教学内容过于简单和陈旧,难于应对当今复杂的信息安全形势;二是部分高年级同学选修的“网络信息安全”课程,该课程知识结构特点要求学生不仅要具备相当的计算机基础,而且还要具备较为深厚的数学功底。[1]对非计算机专业的学习者而言,教学内容显得过于理论化和专业化,晦涩难懂,教学手段和方法单一,实际效果不佳。
针对非计算机专业大二大三学生进行网络问卷调查,设计的问卷主要包括3个复选题:(A)您认为所学专业会涉及涉密信息的泄露吗?(B)您知道发生网络信息安全事件类型有哪些?(病毒、蠕虫、木马、网络钓鱼、篡改网页、拒绝服务攻击、应用软件纵、未经授权的入侵、移动无线应用入侵、数据库受到威胁、系统漏洞、垃圾邮件)(C)您知道网络信息安全造成的后果有哪些?(硬件损坏、网络瘫痪、网络不正常、知识产权被盗、ERP等关键应用瘫痪、文件丢失或被破坏、身份被盗用、客户资料泄密、被欺诈或被勒索、公司资料下载泄密、其他),最后将问卷结果量化分析,结果令人堪忧,反映出高校在网络信息安全教育上的缺失。如图1所示。
3 构建“三导一体”信息安全教学体系模型
网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科,对于非计算机专业信息安全教学而言,鉴于学习者的基础知识和就业岗位需要等差异,特别是受到专业侧重点和教学课时的约束,教学难度大。在分析非计算机专业在校生实际教学实际的基础上,尝试通过MOOC教学资源平台,[2]构建 “三导一体”网络信息安全教学模式,即以课堂教学为主体,以班级教育、知识(征文)竞赛、宣传活动(知识讲座、网络论坛等)为辅助的综合教育模式。
3.1 课堂教学为主体
课堂教学是素质教育的主渠道,是高校非计算机专业“网络信息安全”教学的主体。在原有的网络信息安全教学内容基础上,适当增加计划课时,补充相关教学内容,在有限的机房实验时间内,精选案例和演示,完善上机实践环节,激发学生好奇心和求知欲,力求教学效果最优化。
3.2 班级教育为指导
在日常班主任、辅导员的安全教育中融入网络商务犯罪和网络欺诈案例,从法律和道德层面去了解认识网络信息安全的重要性和必要性,指导日常相关言行。[3]
3.3 知识竞赛为引导
有计划地开展信息安全知识竞赛或征文比赛,教师收集网络信息安全知识形成若干难度适中的竞赛题库,在校园网络的MOOC平台中,充分调动学生积极性,起到以赛促学的目的。
3.4 主题宣传为传导
校园内定期开展信息安全宣传活动,通过网站专题、讲座、展览和微信等形式,传递信息安全知识,创建信息安全的良好教学氛围。
通过MOOC 网站平台实现资源整合,教师、班主任(辅导员)、学生、社团相互协同配合,多方联动,形成合力,最终达到预期的教学效果。
4 教学中存在问题与改革思路
“三导一体”信息安全教育体系模型确立后,将两个校区作为研究对象,开展了为期1学年的专项课题研究,通过SPSS工具的独立样本T检验,分别对两校区的期初和期末数据进行比对,得到的统计量表和独立样本检验表显示,两总体的均值存在显著差异,效果显著。针对研究工作中存在的问题和改革创新思路,摸索并总结出几个关键性的问题。
4.1 教学定位
准确定位课堂教学,明确教学目标,[4]有利于教师更好地把握教材、了解学生,有利于全面提升学生素质,不断提高学校教学质量。
各行业对信息安全的要求各异,教学目标大致可以分为三个层次:信息安全技术开发应用、信息安全服务管理员和信息安全工程师、信息安全相关理论科学研究。[5]对于非计算机专业信息安全教学,应明确定位在信息安全技术开发应用层面,即要求掌握信息安全的基础知识,在生活、学习和工作中可熟练地使用当前比较流行的软件,保护系统的基本网络安全,确保信息不被泄露,抵抗基本的攻击。
围绕教学定位,根据不同专业实际情况,调整并完善非计算机专业整个教学计划。
4.2 教材教案
教材与教案是巩固教学改革成果、提高教学质量、造就高素质人才的重要环节。针对非计算机专业的特殊性,教学内容方面尽可能贴近各专业实际,如财经类专业包含财经信息安全案例等,强化实际应用和操作实践,摈弃部分理论,如复杂的密码技术和算法等,结合实际,适时增加新的教学内容,如移动终端(手机、IPAD等)有关信息安全知识和防范技巧。
由于信息安全涉及的理论、技术比较丰富,采用深入浅出的多媒体动画、视频课件帮助学生理解深奥、庞杂的信息安全概念,加深学习者对知识印象。[6]
4.3 师资培养
教师是完成教学工作的基本保证,一支好的教师队伍必须要有素质优良的学科带头人。从专业化的角度,应该对教师的教学方向有所分工,有所侧重;从教师的角度,教师本身应该主动接受新生事物,关注信息安全的发展,主动学习信息安全新技术。[7]
4.4 实验建设
单纯的理论教学很难激发学生的学习兴趣,学习效果也达不到预期目标。通过精心组织实验教学,让学生亲身体会网络信息安全攻防演练,比如数据篡改,口令窃取等等,并不断完善和规范信息安全实验教学体系。[8]
网络信息安全的实验环境往往带有一定的开放性[9]、破坏性,网络机房采用了硬盘还原技术,或者采用VMWARE 等虚拟机软件技术,通过在一台实体计算机上安装任意台的虚拟机,模拟真实网络服务环境,解决了网络信息安全教学备课、教学演示中对于特殊网络环境的要求问题。[10]
4.5 网络资源
“三导一体”教学体系离不开信息安全教学资源的支撑作用,将收集到的教学案例、软件工具、教学课件和动画、视频等相关教学资源进行整合,建立相关资源库,通过网络媒介,有助于师生全天候高效地获取资源,更好地实现互动式教学,弥补非计算机专业信息安全教学课时不足的缺憾。
4.6 教学方式
充分调动非计算机专业学生积极主动学习网络信息安全的积极性。在授课过程中,结合课程特点,尝试采用探究式学习方法、问题驱动和任务驱动等教学方法,以具体问题为引导,使学生在解决问题过程中掌握和理解网络信息安全的基础理论和基本方法,引起同学们的兴趣,激发求知欲。[11]在教学过程和实验器材的管理中让有兴趣的同学参与管理和教学过程,组建相关学生社团,也起到了良好的辅助效果。
5 结语
网络信息安全是信息时展产生的一门重要学科,网络信息安全成为高校非计算机专业教学体系的重要一环是发展的必然趋势。目前,该项研究工作尚处于起步阶段,各院校应根据自己的实际情况和专业要求,加大教研力度,设定合理的信息安全教学目标,不断完善课程体系,充实教学内容,增大教学资源的投入,确定科学的考核要求,培养更全面、高素质、全方位的综合型人才。
关键词:职业学校;网络安全;教育
调查数据显示,截至2013年年底,中国互联网的使用人数已经超过了6亿,并且以每年新增5000万左右人数的速度向上攀升,且调查发现处于10岁到29岁年龄段的群众几乎全部都在使用互联网。互联网为人们的日常生活、工作办公以及自主学习都带来了很多便捷,丰富的信息资源更加可以帮助学生认识外界的社会。但是凡事有利就有弊,网络上虽然有着丰富的信息资源,但是网络上的信息也鱼龙混杂。学生经常接触到不良的信息,对于思想发展并不够成熟的青少年学生容易造成巨大的危害。公安机关公布的数据显示,青少年犯罪者中有近八成的是受到网络不良信息诱惑的学生。他们在网络世界中受不良信息的蛊惑,沉迷于网络或游戏当中。这类沉迷网络的青少年十分容易进行抢劫、打架斗殴以及等犯罪行为。目前国内职业学校的办学规模以及招生数量都日渐提高,在职业学校内如何展开网络安全教育已经是一个十分重要的问题,指导青少年学生们的成长健康是职业学校义不容辞的责任。
一、国内青少年学生上网情况调查
笔者为了保证本篇文章的针对性,在青少年学生当中做了一个关于上网情况的调查。在上网地点的选项当中,90%的学生是在家上网;13%的学生是在网吧上网;4%的学生是在同学或者亲戚家上网;仅仅只有2%的学生是在学校机房上网。在处理不良信息方法的选项当中,30%的学生表示从来不关心,随它去;21%的学习表示担心但是并不知道怎么解决;48%的学生会下载绿色上网软件;还有2%的学生会恶作剧一般故意传播给其他人。根据调查数据显示,目前大部分青少年上网的时候依然存在许多的安全隐患。在上网地点的选择当中,在家上网以及在网吧上网的选择人数最多,而在家上网以及在网吧上网的时候缺乏家长的监管,极容易接触到不良信息。同时大部分的青少年学生上网主要在使用聊天软件或者玩网络游戏,真正在网络上自主学习的学生所占的比例较低。并且我们发现大部分的学生在面对不良信息的时候没有引起重视,只是任由不良信息传播而未告诉家长或老师。
二、目前国内职业学校网络安全教育情况
目前国内的职业学校在安全教育方面的情况分为两种:一种是高等专业人才教育方面的院校,大多数的院校将教育重点放在专业人才的培养方面,并没有开设网络安全专业,而就算有网络安全专业的院校也普遍教材内容老旧、教学方法过时并且缺乏专业教师;另一种便是在普及教育方面,仅仅有一部分院校在通识教育当中开设了公选课,而在大部分院校当中仅仅是在计算机文化基础课程当中捎带提起,只是十分简略地提到了一些网络安全意识的基础概念。以广东省的一个职业院校为例,该院校在计算机学院中并没有信息安全专业,而在应用数学学院当中有信息安全专业,但是每届仅仅只招生两个班,总共学生人数不过百人。该校在通识教育当中计算机学院开设有网络与信息安全以及信息安全风险评估的公选课,但是每个学期的选修人数也不过三百左右。而计算机学院中每个学生都必修的计算机文化基础课程中并未提及网络安全教育内容,学校也并没有在学生当中宣传网络安全意识的重要性。由此可见,国内大多数的职业学院对青少年网络安全意识教育并未引起重视。国内的职业院校对于青少年网络安全教育不够重视,青少年学生的网络安全意识不够成熟,极容易出现安全隐患,比如:青少年网络安全意识淡薄,缺少使用安全上网软件的意识,对安全防护措施不够重视;过于依赖安全上网软件,大多数青少年学生在安装了安全上网软件之后便完全失去安全意识,甚至觉得上网安全跟自己无关了,当安全事故发生时便完全不知道如何应对;对于个人信息的保护意识薄弱,对于某些网站需要填写身份证号、真实姓名、联系电话以及真实家庭住址这些私密信息的时候没有保护意识,极容易造成个人信息的泄露;青少年学生往往对他人的警惕性较低,极容易受到网友的欺骗;对网络安全没有责任心,青少年学生由于责任心不够成熟且比较单纯,经常不清楚自己在无心的时候已经造成了网络安全事故的发生,并且影响到了其他网民的用网安全;青少年学生对于网络安全的法律法规不够了解,有部分学生因为好奇心、好胜心、没有抵制住经济利诱或者纯粹是一种找乐子的心态而学习黑客知识或是钻研电脑病毒知识,对他人的电脑进行入侵或者破坏,常常并不知道自己已经犯法。
三、网络安全教育的重要性
目前,国内的大多数职业院校在网络课程教学当中仍然在重点研究教学策略以及教学内容的质量,向学生们灌输网络发展的重要性以及网络在全社会当中的作用,却并未向学生们强调网络不良信息的危害。许多的职业院校中的法律基础公开课以及计算机网络专业课没有将网络安全教育以及网络安全法律法规教育加入教学大纲当中,更加不存在相关课程的制订计划。国内的大多数青少年学生都未能及时接受系统的网络安全教育以及网络安全法律法规教育,网络安全意识薄弱,对于网络犯罪的定义以及网络犯罪的后果认知模糊。许多沉迷于网络的青少年学生由于自身的思想并未成熟,受到网络不良信息的影响,导致暴力、自私、孤僻甚至厌世的性格,还有的学生走上了犯罪的道路,由此可见网络的不良信息对于思想并为发展成熟的青少年学生来说危害巨大。在这个网络发展速度以及网络普及速度都越来越快的社会,在职业院校中开展网络安全教育是刻不容缓的,是保障青少年学生健康成长的重要教育任务。开设专门的网络安全教育课程以及网络安全法律法规课程,全面建立起青少年学生的网络安全意识,提升青少年学生的网络安全素质,是目前国内职业院校中最为重要的教育内容。只有在青少年学生中建立起明确的网络安全意识,加强对青少年学生的网络安全教育,才能够避免青少年学生受到网络不良信息的危害,才能够帮助青少年学生们健康成长。
四、开展网络安全教育的方法
1.网络安全法律法规知识教育
在网络世界当中最为显著的标签就是自由,但是网络世界中的自由与现实世界当中的自由一样需要有法律法规来进行约束。我国在互联网方面有着明确的法律规定,让互联网世界有法可依、有法必依。职业院校需要针对网络法律条例以及计算机法律基本知识对青少年学生进行系统的教育。教育内容应该以《刑法》《计算机软件保护条例》《中国公用计算机互联网国际联网管理办法》《计算机信息系统国际联网保密管理规定》以及《中华人民共和国计算机信息系统安全保护条例》这些国家规定的网络安全条例为基础展开。
2.青少年学生网络安全自律教育
青少年学生对于外界的诱惑力抵抗力较弱,尤其是在信息丰富的网络世界。他们的好奇心使得他们容易沉迷于网络世界,而青少年学生们的自我保护意识薄弱,网络安全素质较低,极容易受到网络不良信息的危害。首先职业院校网络中心的防火墙需要加强对校内微机房的信息安全管理,加强校园网络对外界网络隔离的可靠性。同时职业院校需要加强对青少年学生网络安全自律意识的教育,让青少年学生们清楚地认识到网络不良信息以及网络攻击的后果的严重性。除此之外要培养青少年学生们对网络攻击的防范技术,加强青少年学生们的防范意识,能够有效地避免他们受到网络不法分子的危害。
3.在教育当中多采用疏导的方法
青少年学生由于其自身的安全意识以及自律意识薄弱,容易沉迷于网络,若是没有及时发现并有效改善青少年学生的上网习惯,他们便容易走入歧途。家庭教育以及学校教育都极为重要,但是家庭教育以及学习教育的方法需要改善。大多数沉迷网络的青少年学生容易出现交友观以及性格的扭曲,需要通过疏导的方式让他们宣泄出内心压抑的情绪并指引他们去外面进行真实的人际交流,建立起正确的交友观以及世界观,帮助他们体验到现实中人际交往的乐趣,建立起他们的自信心。若是采取强硬的教育方式反而容易导致青少年学生们因为逃避和叛逆心理更加抗拒真实世界。
五、小结
综上所述,帮助青少年学生们建立起网络安全意识,健全学生们的素养教育,已经成为了目前职业学校极为重要的任务。在网络安全教育方面,西方发达国家对此极其重视,而国内对于网络安全教育的开展和重视程度都略微低于国外,职业院校学生们的网络安全意识都不够成熟。因而职业院校应该全面开展网络安全教育,重点培养青少年学生们的网络安全意识,让学生们避免受到网络不良信息的侵害,帮助学生们健康成长。
参考文献:
[1]张立敏,李玉堂,赵瑞兰等.北京市顺义区中学生健康危险行为现状调查[J].职业与健康,2011(10).
[2]陈瑞.中职校开展职业安全健康教育的路径探索——以南京市莫愁中等专业学校为例[J].江苏教育研究,2014(30).
一、初中生网络安全教育的特点
初中生作为未成年人,正处于青春期,有其特殊性;同时由于初中生安全关系整个社会千家万户,具有复杂性;因危险随时可能发生,所以安全教育具有长期性[2]。
1.初中生网络安全教育的特殊性
初中生网络安全教育具有其特殊性,首先是教育对象的特殊性,初中生的年龄段大约是12~15岁,正处于青春发育期,此时是自我意识发展的第二个飞跃期,他们具有强烈的“成人感”,认为自己已经长大成人,渴望参与成人角色,要求独立,渴望受到尊重,是初中生在个性发展中独立性增长的突出表现。其次是教育内容的特殊性,随着社会的发展与进步,学生接触网络的年龄越来越小,初中生大多已经熟练掌握上网冲浪的技能,由于其心智发育还未完全成熟,容易受到外界不良因素的诱惑从而沉迷于网络,不能很好地辨别是非真假,因此,培育学生的网络安全意识,形成文明的上网行为习惯更是成为了教育的重中之重。
2.初中生网络安全教育的复杂性
初中生网络安全教育需要学生、学校、家庭和社会共同作用,多方面的影响因素增加了网络安全教育的复杂性。在信息化时代,学生需要自觉遵守文明上网的规范,充分利用网络开放的学习资源提升自身素质,主动抵制和屏蔽不良信息,学会辨别是与非的能力。学校应当加强网络安全教育,学校和教师应通过级会、班会、宣传板等多种形式加强网络信息的安全教育,让学生学会文明上网。家庭需要发挥模范表率作用,家长以身作则为孩子树立起良好的上网行为的榜样,理解和配合学校对孩子加强网络安全教育,在家庭教育中增加网络安全教育的内容。社会应该承担网络安全教育应有的责任,校园周边严禁网吧的经营,网吧严禁未成年人入内,互联网形成绿色文明的网络环境,保护孩子的身心健康。
3.初中生网络安全教育的长期性
由于网络已经渗透到学生的日常生活当中,每一天都会接受到大量的网络信息,危险时刻都会发生,因此网络安全教育需要常抓不懈,一刻也不能放松。网络安全教育必须贯穿学生身心发展的全过程,是教育者长期的教育内容,需要预防性和补救性教育相结合,其中预防性教育更需要大力提倡和加强,而不总是等出现网络消极事件后再紧急补救进行教育,应多以正面的积极事例作为教育的样本,引导学生养成良好的上网习惯。初中生的认知能力还没有完全的发展,对网络上不良信息的鉴别能力还不是十分完善,作为教育者应该把网络安全的重要性融入日常的教育中,让学生潜移默化当中强化文明上网的意识和行为。
二、初中生网络安全教育的实施途径
1.初中生网络安全教育常规化
学校应加强网络安全教育,把网络安全教育纳入到学校的常规化教育当中。学校应严格按照国家教育部的规定,把安全教育作为必修课纳入教学计划排上课表,并确保授课时数。把防网吧危害作为安全教育内容进行系统的规划,根据不同年级确定安全教育的内容[3]。在日常教育的过程中,学校要在学科教学和综合实践活动课程中渗透网络安全教育内容。各科教师在学科教学中要挖掘隐性的公共安全教育内容,和显性的公共安全教育内容一起,与学科教学有机整合,按照要求,予以贯彻落实。教师在教学当中找到适当的切入点,因地因时制宜地开展网络安全教育。
2.初中生网络安全教育多样化
学校在实施网络安全教育时,需要考虑到初中生热爱新奇、喜好体验的心理特点,采取多种途径从不同角度开展教育内容,以提高学生参与教育活动的积极性和增强效果。在学生教育方面,除充分利用校会、班会、广播等形式进行安全教育之外,还可以采用电影放映、网络安全讲座、图片文字宣传、现场模拟体验、安全情景剧、安全知识问答、正面事迹报告和现身说法等形式,根据实际情况选择合适的教学形式组合,大力推进初中生的网络安全教育。在家庭和社会教育方面,改变以往教师在校内教育的单一形式,实行“走出去,请进来”的方法,定期请家长和社会共建单位代表参加学校网络安全教育的工作座谈会[3]。讨论研究学校安全教育活动的开展情况,集大家智慧,取众人之长,探索新思路,总结新经验,增强安全教育的实效性。
3.初中生网络安全教育活动化
开展安全教学活动要注重与学生生活经验和社会实践相联系,要采用能收到实效的、学生乐于参与的活动形式提高学生的兴趣,培养学生的自我保护能力[3]。学校可以针对一个或多个主题相应地设计出网络安全的主题活动,如情景剧扮演、班级板报宣传、知识讲座、网络安全征文比赛、“安全小卫士”评比等,把网络安全教育的思想融入到初中生喜闻乐见的体验式活动中去,做到寓教于乐,寓教于丰富多彩的教育活动中,全面提高网络安全教育的效果。同时,学校也要加强建设符合网络安全教育的物质环境和人文环境,让学生在潜移默化之中提高网络安全意识,促进学生掌握安全知识,提高抵御不良网络诱惑的能力。
4.初中生网络安全教育社会化
网络安全教育是学校、家庭和社会共同的教育责任。学校应充分利用日常学校教育的优势,培养学生网络安全的意识,同时还要发挥家庭教育的力量,向家长传授各种事故发生的特点和预防、逃生的知识,使家长能够根据子女的特点和具体情况,给子女传授各种安全知识。家长要注意对子女开展情境化训练,在生活中指导子女科学使用网络[4]。在网络安全教育方面,学校要加强与公安、治安、信息安全等部门的合作,建立起密切的联系,最好能聘请有关人员担任网络安全的校外辅导员,共同承担网络安全教育的责任,协助学校制定出网络安全的应急预案及相关纪律规范。
参考文献
[1] 教育部.中小学公共安全教育指导纲要.中国教育报,2007-03-01.
[2] 陈慧萍.中小学安全教育机制研究.长沙:湖南师范大学,2010.
关键词:水电站;梯级调度网络;管理
1运行管理的安全原则
(1)制定并不断完善公司专用的安全策略。为了保护网络安全,最重要的事情就是编写安全策略,描述要保护的对象,保护的理由,以及如何保护它们。安全策略的内容最好具有可读性,同时,注意哪些是保密的,哪些是可以公开的。此外,应严格执行。最后,必须随时保持更新。
(2)安全防范应基于技术、动机和机会3个方面考虑,以减少攻击者的成功率。从技术上讲,系统应同时需要相当高的通用技术和专用技术,从而避免不同级别的人员滥用系统。攻击者的动机方面,应消除攻击者的满足程度,使其感到受挫。每次攻击失败时,安全系统让攻击者移动到网络系统的其它地方,使攻击者工作很辛苦。
(3)应尽可能少地向攻击者提供可攻击的机会。首先关闭不用或不常用的服务,需要时再打开。第二,访问控制权限的管理应合理。第三,系统应能自我监视,掌握违反策略的活动。第四,一旦发现问题,如果有补救措施,应立刻采用。第五,如果被保护的服务器不提供某种服务,如FTP,那么,应封锁FTP请求。
(4)安全只能通过自己进行严格的测试,才能达到较高的安全程度。因为每个人都可能犯错误,只有通过完善的安全测试,才能找到安全系统的不足。要做到主动防御和被动防御相结合,应能提前知道自己被攻击。如果知道自己被攻击,其实已经赢了一半。安全系统不但防御攻击者,同时防御他们的攻击。因为攻击者经常失败后就换个地方,再次实行新的攻击,因此,不但防御攻击的源地址,同时防御主机周围灵活选择的范围。
(5)战时和训练相结合,也就是说,主动防御必须严格测试,并不断改进。同时,安全软件的选择应基于应用的重要性和产品的更新周期,保证安全系统应能跟上新技术的发展。应经常维护、定期测试和检查防御系统的每一个部件,避免安全系统的能力退化。
(6)在企业内部,应让每一为员工都深刻理解安全是大家的事,不是口号,而是警告,安全和业务可能有冲突,最好能够得到领导和业务人员的理解和支持。安全管理过程中,对人员的信任应合理、明智,不能盲目信任。在企业的安全防御系统中,除了采用常规的防御方案,应尽可能采用一些适合行业特点的新方案,对攻击者而言,也就多了一层堡垒。要有运行规范,包括管理制度、审计评估、网络安全规划、工程管理、安全监督和灾难恢复。
2运行管理的组织结构
为实现整个梯级调度的网络安全,需要各种保证网络安全的手段。网络安全功能的实现,必须从安全管理功能和管理员的职责上结合。企业的调度中心的信息部门应成立安全系统运行小组管理整个安全系统的运行,负责完成全企业的安全系统总体运行方案的编制,负责安全管理中心的建设,制订全企业范围的安全管理规范,对相关人员进行基本培训,指导各电站(厂)完成其安全系统的运行。应有专人负责网络安全,成立网络安全管理组,其成员包括领导、系统管理员、网络工程师以及网络安全专家等组成。
3运行管理的培训支持
3.1建立安全教育培训体系
为企业建立信息安全教育培训的制度,包括安全教育政策制订、安全教育计划制订和安全教育实施支持方案。此外,文档包括《企业信息安全组织管理》、《企业信息安全人员岗位指南》和《企业信息安全教育培训体系》。
3.2提供教育培训课程
(1)安全基础培训。
对象:企业全部与网络安全相关的人员。
容:系统安全、网络安全及增强安全意识的重要性、主要网络安全威胁、网络安全层次、网络安全度量、主机安全、黑客进攻步骤、安全防范措施和商用安全产品分类等。
目标:增强系统管理员的安全意识,基本了解安全的实际要领,能够分辩出系统中存在的安全问题。
(2)Unix/Windows系统安全管理培训。
对象:公司安全相关的系统管理员。
内容:掌握Unix/Windows系统的安全策略,常见的攻击手段分析,各种流行安全工具的使用,在实验环境中实际编译、配置和使用各种安全工具。
目标:能够独立配置安全系统,独立维护Unix/Windows系统安全。在没有防火墙的情况下,使Unix/Windows系统得到有效的保护。
(3)防火墙、入侵检测、安全扫描、防病毒和加密等技术方面的培训课程。
对象:企业的安全运行和管理人员。
内容:安全软件和设备的基本概念和原理、作用与重要性、局限性、分类、安全设备安全策略、设计、自身的安全与日常维护、安全设备代表产品的演示和上机。
目标:了解Internet防火墙的基本概念,基本原理和基本的设计方法。能够对安全设备作日常维护。能够根据系统需求,做出相应的安全设备设计。能够对现有安全产品有一定的了解。
要求:具有基本UNIX/Windows, TCP/IP的知识,了解网络设计常识。
(4)安全开发培训课程。
对象:应用系统设计开发中与安全相关的人员。
内容:TCP/IP协议和传统Socket编程、IPSpoofing的详细剖析、StackOverflow的详细剖析、其他流行进攻方法IP Sniff: Sniff, Deny of Service,Connection Killing, IP hijacking等的解释、并配有实验。
目标:使系统管理员掌握黑客进攻的手段、原理和方法;并能在实际工作中保护系统的安全性。
3.3安全人员考核
协助企业建立信息安全人员考核体系,包括制订信息安全人员考核标准和建立安全相关人员定期的评估和考核制度。此外,文档包括《企业信息安全人员考核体系》。
4运行管理的技术服务
一、学校领导高度重视、组织落实是做好校园网络安全管理工作的重要前提
校党政主要领导和分管安全保卫工作的校领导高度重视网络与信息安全工作,经常在各种会议上强调做好校园网络与信息安全工作对维护学校安全稳定的极端重要性,对安全保卫部门上报的有关网络动态信息认真阅读和研判,并及时作出重要处理批示,在学校每次召开的有关维护校园稳定的工作会议上都要对加强校园网的安全管理与监控工作进行专门部署。学校还制定下发了《关于开展“平安校园”创建活动的实施意见》,其中指出“要坚持正确的舆论导向,防止信息传媒的管理失控,要健全网络管理机构,落实管理措施,强化网上监控”,为做好校园网络与信息的安全管理工作明确了目标和方法。
二、各职能部门分工明确、互相配合是做好校园网络安全管理工作的重要条件
在维护校园网络安全方面,学校有关职能部门根据自身的工作性质有着明确的分工。如校宣传部门主要负责全校网络安全教育,网络信息动态的监查、跟踪和掌握并进行相关处置;校网络主管部门主要负责加强整个校园网络技术方面的安全防范、保障、封堵和指导,采用合理的技术手段对网络运行安全进行有效的监查,为查处网络不良、有害信息及案事件提供技术支持;保卫部门主要负责对网络不良、有害信息及案事件进行查处,并根据自身工作性质对网络信息进行监查。各职能部门既各司其职又密切配合、协作形成合力,为做好校园网络安全工作提供了重要的基础条件,使工作更为顺利、效率更为提高、成效更为明显。
三、建全各项管理规章制度是做好校园网络安全管理工作的重要基础
学校根据国家网络与信息安全管理的有关法律法规,并结合学校的实际情况,制定了校园网络安全管理条例与规定,并根据上级有关规定、形势发展和学校具体实际情况,不断予以修订完善。各责任单位则根据学校有关规定和本单位的实际情况,制定网络与信息安全管理方面的各项具体规章制度,如日常安全管理制度、信息审核制度、安全检查制度、网管员工作职责等。由此校园网络与信息安全管理工作做到有章可依,有章可循,不断制度化、规范化。
四、建立和完善有效的管理机制是做好校园网络与信息安全管理工作的保障
(一)实行分级管理、逐级负责制
学校成立网络与信息安全领导小组,由主要领导担任双组长、分管领导担任副组长。领导小组定期不定期地对校园网络安全情况进行分析研判,研究制定涉及网络安全方面重大问题的对策、措施,并对一段时期内的网络与信息安全工作作出部署。领导小组下设办公室,主要负责全校网络与信息安全工作的管理和协调。各学院、部门、单位应当相应成立网络与信息安全工作小组,其主要负责人为第一责任人,并指定专人担任网管员,负责本级网络与信息安全工作。
(二)实行安全责任制
学校与各学院、部门、单位签订网络与信息安全责任书,各责任单位要将网络与信息安全管理责任层层落实到所属各部门和人员。其中,各责任单位的网管员,具体负责本单位日常的网络与信息安全工作,网络与信息系统的主管单位承担系统的安全管理和监督责任,运行维护单位和个人承担系统的技术安全保障责任,使用单位和个人承担系统操作与信息内容的直接安全责任。坚持“谁主管、谁负责,谁运行、谁负责”的原则,切实落实网络安全工作责任制。
(三)实行一票否决制
校园网络与信息安全工作实行一票否决制。对在网络与信息安全方面存在重大隐患和问题而不认真及时进行整改,或发生重大网络与信息安全事件的相关单位和责任人,实行一票否决制,取消当年评先评优及个人晋职晋级的资格。
(四)实行责任追究制
对网络与信息安全责任不落实、日常安全管理措施不落实、安全教育不到位等,导致网络与信息重大安全事故或事件的,学校将根据网络与信息安全责任书的有关规定,追究相关单位和责任人的责任,并予以全校通报批评。对触犯法律的,则移交司法机关依法处理。
(五)实行值班备勤制
各责任单位要指定专人进行日常网络与信息安全保障工作,确保24小时通讯联系保持畅通。在重要、敏感时期,重大节假日期间,安排值班人员,一旦发生问题快速反应,及时处置。
五、强化网络安全形势的预测研判是做好校园网络安全管理工作的重要环节
学校各职能部门密切关注国内外发生的重大事件及学校出台的重大举措,结合当下校园网络的具体实际并根据网络本身的特点,对一段时期内校园网络的安全形势进行分析研判并上报学校,为领导科学决策提供依据。特别是在每年重要敏感时间节点时,对校园网络安全形势进行预测研判并提出有关防范措施上报学校,使网络安全防范工作更趋主动和有的放矢,例如,在北京奥运会、上海世博会、G20峰会等时期,均及时对校园网络可能出现的舆情、动态预作研判,将防范工作做在前面。
六、切实加强宣传教育活动是做好校园网络安全管理工作的重要内容
关键词:电力企业信息系统安全防护
前言
随着企业的生产指挥,经营管理等经营活动越来越依赖于计算机信息系统,如果这些系统遭到破坏,造成数据损坏,信息泄漏,不能提供服务等问题,则将对电网的安全运行,电力企业的生产管理以及经济效益等造成不可估量的损失,高技术在带来便利与效率的同时,也带来了新的安全风险和问题。
一、电力企业信息安全风险分析
1、电力公司信息安全的主要风险分析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力公司信息系统面临的主要风险存在于如下几个方面:
(1)计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的。
在目前的局域网建成,广域网联通的条件下,计算机病毒的传播更加迅速,一台计算机感染病毒,在两三天内可以感染到区域内所有单位的计算机系统。病毒传播速度,感染和破坏规模与网络尚未联通之时相比,高出几个数量级。
(2)网络安全问题日益突出:企业网络的联通为信息传递提供了方便的途径。企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。企业开通了互联网专线宽带上网,企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等。
网络联通也带来了网络安全问题。企业内部广域网上的用户数量多且难于进行管理,互联网更是连接到国际上的各个地方,什么样的用户都有。内部网,互联网上的一些用户出于好奇的心理,或者蓄意破坏的动机,对电力公司网络上的连接的计算机系统和设备进行入侵,攻击等,影响网络上信息的传输,破坏软件系统和数据,非法使用网络资源等,给企业造成巨大的损失。更有极少数人利用网络进行非法的,影响国家安定团结的活动,造成很坏的影响。
如何加强网络的安全防护,保护企业内部网上的信息系统和信息资源的安全,保证对信息网络的合法使用,是目前一个热门的安全课题,也是电力企业面临的一个非常突出的安全问题。
二、电力信息网安全防护方案
1、加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
2、电力信息安全防护技术措施
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。D M Z区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
三、电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
[关键词] 电力企业;信息安全;风险
1、前言
随着计算机信息化建设的飞速发展而信息系统在电力企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变,其重要性日益越来越明显,信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性:保证非授权操作不能获取受保护的信息或计算机资源。完整性:保证非授权操作小能修改数据。有效性:保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息,确保信息在存储,处理,传输过程中及信息系统不被破坏,确保对合法用户的服务和限制非授权用户的服务,以及必要的防御攻击的措施。
2、电力企业信息安全风险探析
信息安全风险和信息化应用情况密切相关,和采用的信息技术也密切相关,电力企业信息系统面临的主要风险存在于以下几个方面:①计算机病毒的威胁最为广泛:计算机病毒自产生以来,一直就是计算机系统的头号敌人,在电力企业信息安全问题中,计算机病毒发生的频度大,影响的面宽,并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞,系统数据和文件系统破坏,系统无法提供服务甚至破坏后无法恢复,特别是系统中多年积累的重要数据的丢失,损失是灾难性的;②网络安全问题日益突出:电力企业网络的联通为信息传递提供了方便的途径。电力企业有许多应用系统如:办公自动化系统,用电营销系统,远程教育培训系统等,通过广域网传递数据。电力企业开通了互联网专线宽带上网,电力企业内部职工可以通过互联网方便地收集获取信息,发送电子邮件等;③信息传递的安全不容忽视。电力企业和外部的单位,以及外部有关公司都有着许多的工作联系,日常许多信息,数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如被非法用户截取从而泄露企业机密;被非法篡改,造成数据混乱,信息错误从而造成工作失误。非法用户、还有可能假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱,造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。④用户身份认证和信息系统的访问控制急需加强:电力企业中的信息系统一般为特定范围的用户利用,信息系统中包含的信息和数据,也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户,设置权限,管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。一是部分应用系统的用户权限管理功能过于简单,不能灵活实现更细的权限控制,甚至简单到要么都能看,要么都不能看。二是各应用系统没有一个统一的用户管理,企业的一个员工要利用到好几个系统时,在每个应用系统中都要建立用户账号,口令和设置权限,用户自己都记不住众多的账号和口令,利用起来非常不方便,更不用说账号的有效管理和安全了;⑤实时控制系统和数据网络的安全至关重要:电网的调度指挥,自动控制,微机保护等领域的计算机应用在电力企业中起步早,应用水平高,不但实现了对电网运行状况的实时监视,还实现了对电网一次设备的遥控及保护设备的远方管理。随着数据网的建设和应用,这些电网监视和控制方面的系统逐步从采用专线通道传输数据转移到通过数据网络来传送数据和下发控制指控令。由于这些计算机系统可以直接管理和操作控制电网一次设备,系统的安全可靠,数据网的安全可靠,信息指令传输的实时性等直接关系着电网的安全,其安全等级要求高于一般的广域网系统。
3、解决信息安全问题的基本原则
3.1采用信息安全新技术,建立信息安全防护体系。企业信息安全面临的问题很多,我们可以根据安全需求的轻重缓急,解决相关安全问题的信息安全技术的成熟度综合考虑,分步实施。技术成熟的,能快速见效的安全系统先实施
3.2计算机防病毒系统。计算机防病毒系统是发展时间最长的信息安全技术,从硬件防病毒卡,单机版防病毒软件到网络版防病毒软件,到企业版防病毒软件,技术成熟且应用效果非常明显。防病毒软件系统的应用基本上可以防治绝大多数计算机病毒,保障信息系统的安全。在目前的网络环境下,能够提供集中管理,服务器自动升级,客户端病毒定义码自动更新,支持多种操作系统平台,多种应用平台杀毒的企业版杀毒软件,是电力企业的首选。个人版本的杀毒软件适合家庭,小规模用户。
3.3网络安全防护系统。信息资源访问的安全是信息安全的一个重要内容,在信息系统建设的设计阶段,就必须仔细探析,设计出合理的,灵活的用户管理和权限控制机制,明确信息资源的访问范围,制定信息资源访问策略。 关于已经投入利用的信息系统,可以通过采用增加安全访问网管的方法,来增强原有系统的用户管理和对信息资源访问的控制,以及实现单点登陆访问任意系统等功能。这种方式基本上不需要改动原来的系统,实施的技术难度相对小一些。关于新建系统,则最好采用统一身份认证平台技术,来实现不同系统通过同一个用户管理平台实现用户管理和访问控制。
4、解决信息安全问题的对策
4.1依据国家法律,法规,建立电力企业信息安全管理制度。根据国家信息安全方面一系列的法律法规和技术标准,应结合电力企业实际,建立开发信息系统的管理标准、制度、规范和流程和技术体系,来指导信息安全工作。并建立信息安全工作的组织体系和机构,明确领导,设立专责人长期负责信息安全的管理工作和技术工作,保证信息安全工作长期有效的开展。
4.2充分使用企业网络条件,提供全面,及时和快捷的信息安全服务。我省电网公司广域网联通了系统内的各个二级单位,各单位的局域网全部建成,在这种良好的网络条件下,作为省公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台,安全公告,安全法规和技术标准,提供安全软件下载,搜集安全问题,解答用户疑问,提供在线的信息安全教育培训,并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间,空间和地域的限制,是信息安全管理和服务的重要方式。
4.3开展全员信息安全教育和培训活动。开展安全教育和培训应该注意安全教育知识的层次性。主管信息安全工作的负责人和各级信息安全员,重点要了解和掌握信息安全的整体策略及目标、安全管理部门的建立和管理制度的制定等;负责信息安全运行管理及维护的技术人员,重点要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系统的安全维护技术等;广大信息系统用户重点要学习各种安全操作流程和行为规范,了解和掌握与其相关的信息安全策略,包括自身应该承担的安全职责等。
5、结语
电力系统信息安全是一个系统的、全局的管理问题,我们应该用系统工程的观点方法,分析信息的安全及具体措施。一个较好的安全措施往往是多种方法适当综合的应用结果,只有从系统综合整体的角度去看待、分析,才能取得有效、可行的措施。即信息安全应遵循整体安全性原则,根据规定的安全策略制定出合理的信息安全体系结构,这样才能真正做到整个系统的安全。
参考文献:
[1] 时小明,浅谈我国网络安全现状及防范措施[J],黑龙江科技信息,2010(14).
