時間:2022-03-21 12:02:24
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了一篇信息安全論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
摘要:介紹了國內外信息安全標準體系的現狀,在對目前系統安全問題分析的基礎上,提出了信息安全技術參考模型和標準體系框架,探討了信息安全標準化工作存在的問題,并提出了建議。
關鍵詞:信息安全標準體系標準
信息系統安全體系的研制和建設是一個非常復雜的過程,如果沒有與之相配套的安全標準做支撐,就不能實現系統的安全可信,只有從系統的視角全面考慮信息系統的安全性,構建起合理的信息安全標準體系,才能保證各信息系統和平臺的安全可控和高效運行,也只有建立起涵蓋系統安全結構的完整的技術標準體系,才能促進安全組件之間的相互協作和關聯操作,實現系統安全性的最大化。
1信息安全標準體系分類現狀
1.1信息安全國際標準現狀及分類體系
1.1.1美國國防部信息安全標準體系
美國國防部(DoD)將美軍信息安全標準按安全部件與安全功能相結合的方法進行分類,其標準體系見圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標準、信息傳輸安全標準、信息理解表示安全標準、安全管理標準和安全環境標準五類。安全功能從信息安全的基本要素(機密性、完整性、可用性、可控性、抗抵賴性)來進行劃分,分為鑒別安全服務標準、訪問控制安全服務標準、保密性安全服務標準、完整性安全服務標準、抗抵賴性安全服務標準和可用性安全服務標準六類。DoD的信息安全標準體系,雖然覆蓋全面,但安全部件和安全功能之間的標準交叉重復比較多,層次不夠清晰。
1.1.2聯合技術參考模型(JTA 6.0)
JTA 6.0中的信息安全標準體系為實現對國防部信息系統的安全防護提供了支撐,包括(本地)計算環境、飛地邊界、網絡和基礎設施、支撐性基礎設施和安全評估五類標準。這種分類比較合理,但分類下面對應的標準大部分是國際標準和美國國家標準,因此,應在借鑒該分類的基礎上,針對目前我國已有的國家標準,建立起合理的標準體系。
ISO信息安全工作組分類如圖3所示。目前,ISO制定的信息安全標準按照工作組的分類分為信息安全管理體系(ISMS)標準、密碼和安全機制、安全評價準則、安全控制與服務和身份管理與隱私技術五類。該分類方法比較粗糙,對于建立安全運行的信息系統,針對性不太強。
1.1.4國際電信聯盟(ITU-T)標準
ITU-T SG17組負責研究網絡安全標準,包括通信安全項目、安全架構和框架、計算安全、安全管理、用于安全的生物測定、安全通信服務,如圖4所示該分類方法對信息安全技術分類比較粗糙,信息安全技術也只側重于通信安全。
ITU-T頒布的比較有影響力的安全標準主要有:消息處理系統(X.400系列)、目錄系統(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標準是PKI的重要基礎標準,X.805是端到端通信安全的重要標準。
目前,ITU-T在安全標準化方面主要關注NGN安全、IPTV安全、身份管理(IDM)、數字版權管理(DRM)、生物認證、反垃圾信息等熱點問題。
1.2國家信息安全標準體系
我國國家信息安全標準自1995年開始制定,至2002年共制定標準19項,全部由國際標準直接轉化而來,主要是有關密碼和評估的標準。在這19項中,2004年后已有12項進行了修訂。自全國信息安全標準化技術委員會2004年成立以來至目前我國實際現存正式信息安全標準87項,這些標準中,既包括技術標準,如產品和系統(網絡)標準,亦包括管理標準,如風險管理標準等,覆蓋了當前信息安全主要需求領域。
由此可見,目前我國信息安全標準的制定工作已經取得了長足的進展,標準的數量和質量都有了很大的提升,本著“科學、合理、系統、適用”的原則,在充分借鑒和吸收國際先進信息安全技術標準化成果和認真梳理我國信息安全標準的基礎上,經過全國信息安全標準化技術委員會各工作組的認真研究,初步形成了我國信息安全標準體系。該標準體系分類相對合理、全面,涵蓋了體系結構、安全保密技術、安全管理和安全測評等方面的標準,但龐大繁雜的標準體系常常讓開發人員無所適從,無法選取需要遵循的標準。因此,針對信息安全系統的開發工作要進一步精簡標準體系,突出重點,尤其是影響系統集成方面的安全接口標準,進而增強各個安全組件之間的互操作和安全技術間的協作,提升整個信息系統的安全防護能力。
支撐性基礎設施主要涉及到實現通信與網絡、應用環境和數據安全所應用的支撐性技術,包括認證、授權、訪問控制、公鑰基礎設施(PKI)和密碼管理基礎設施(KMI)。
通信與網絡安全主要體現在網絡方面的安全性,包括網絡層身份認證、網絡資源的訪問控制、數據傳輸的保密與完整性、遠程接入的安全、域名系統的安全、路由系統的安全、入侵檢測的手段、網絡設施防病毒等。
應用環境安全主要包括終端安全和應用系統安全。其中:
終端安全主要包括計算機和服務器的安全。其中服務器可以歸結為廣義上的終端,防火墻、IDS、服務器存儲備份等技術可以為服務器提供安全服務。
應用系統的安全問題主要來自網絡內使用的操作系統和數據庫的安全,操作系統安全主要表現在三個方面:(1)操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等;(2)對操作系統的安全配置問題;(3)病毒對操作系統形成的威脅。數據庫系統的威脅主要來自:非法訪問數據庫信息;惡意破壞數據庫或未經授權非法修改數據庫數據;用戶通過網絡進行數據庫訪問時受到各種攻擊,如搭線竊聽等。
系統中的數據是系統運行的核心,數據的安全性保障關系到整個系統能否正常運行和服務。數據安全通過數據容災備份技術、網絡隔離技術和加密技術保障數據的完整性、不受損壞、不被竊取。數據容災備份主要通過對系統、數據、文件等進行快速、完整備份,保證數據的安全性,并支持快速恢復的機制。網絡隔離技術主要通過隔離網絡攻擊來確保網間數據的安全交換。數據加密主要通過鏈路加密和節點加密來確保數據不被截獲。
安全運維管理是在企業進行了一定的安全系統建設之后的工作,其目的是保證所應有的安全產品和技術能夠真正、充分發揮其預期應有的效果和效率。安全運維管理包括安全設備的策略配置、安全測評、安全監控和審計、安全應急響應等方面的技術,主要完成安全風險的實時監控和安全問題的處理等系統安全保障工作。
3信息安全標準分類體系
信息安全技術參考模型是建立信息安全標準體系的基礎和前提,只有在信息安全技術發展趨勢的基礎上建立起覆蓋全面,分類合理的標準體系,才能科學地預見需要制/修訂的標準,進一步明確信息安全標準化的研究方向,更好地支撐信息安全系統的開發和集成,確 保系統內部和系統之間形成安全可信的互連互通互操作。在前面提出的技術參考模型的基礎上,進一步對信息安全標準體系進行了劃分。
應用環境安全主要包括終端安全和應用系統安全。其中:
終端安全主要包括計算機和服務器的安全。其中服務器可以歸結為廣義上的終端,防火墻、IDS、服務器存儲備份等技術可以為服務器提供安全服務。
應用系統的安全問題主要來自網絡內使用的操作系統和數據庫的安全,操作系統安全主要表現在三個方面:(1)操作系統本身的缺陷帶來的不安全因素,主要包括身份認證、訪問控制、系統漏洞等;(2)對操作系統的安全配置問題;(3)病毒對操作系統形成的威脅。數據庫系統的威脅主要來自:非法訪問數據庫信息;惡意破壞數據庫或未經授權非法修改數據庫數據;用戶通過網絡進行數據庫訪問時受到各種攻擊,如搭線竊聽等。
系統中的數據是系統運行的核心,數據的安全性保障關系到整個系統能否正常運行和服務。數據安全通過數據容災備份技術、網絡隔離技術和加密技術保障數據的完整性、不受損壞、不被竊取。數據容災備份主要通過對系統、數據、文件等進行快速、完整備份,保證數據的安全性,并支持快速恢復的機制。網絡隔離技術主要通過隔離網絡攻擊來確保網間數據的安全交換。數據加密主要通過鏈路加密和節點加密來確保數據不被截獲。
安全運維管理是在企業進行了一定的安全系統建設之后的工作,其目的是保證所應有的安全產品和技術能夠真正、充分發揮其預期應有的效果和效率。安全運維管理包括安全設備的策略配置、安全測評、安全監控和審計、安全應急響應等方面的技術,主要完成安全風險的實時監控和安全問題的處理等系統安全保障工作。
3信息安全標準分類體系
信息安全技術參考模型是建立信息安全標準體系的基礎和前提,只有在信息安全技術發展趨勢的基礎上建立起覆蓋全面,分類合理的標準體系,才能科學地預見需要制/修訂的標準,進一步明確信息安全標準化的研究方向,更好地支撐信息安全系統的開發和集成,確保系統內部和系統之間形成安全可信的互連互通互操作。在前面提出的技術參考模型的基礎上,進一步對信息安全標準體系進行了劃分。
論文關鍵詞:軍事信息 信息安全 網絡環吮
論文摘要:在軍事活動中,軍事信息的交流行為越來越效繁,局城網,廣城網等技術也逐步成為了軍事活動中不可或缺的內容,信。息的劫持與反劫持等安全技術占據了一個舉足輕重的地位。本文擾為了保證我軍軍事秘密這個大前提,對網絡壞境下軍事信息安全加以闡述.
1軍事信息安全概述
軍事信息安全一般指軍事信息在采集、傳遞、存儲和應用等過程中的完整性、機密性、可用性,可控性和不可否認性。為防止自身的意外原因,實現軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用可靠、安全的信息傳輸網絡來保障信息采集、傳遞、應用過程中信息的機密性,完整性、可利用性以及可控制性,信息安全狀態的確定性;信息的可恢復性等。
2網絡環境下軍事信息面臨的安全威脅
網絡軍事安全從其本質上來說是網絡計算機上的軍事信息安全,是指計算機系統的硬件、軟件、數據受到保護,不因偶然的或惡意的原因而遭到破壞、更改和顯露,在確保系統能連續正常運行的同時,保證計算機上的信息安全。如何更有效地保護重要的信息數據、提高計算機網絡系統的安全性已經成為所有計算機網絡應用必須考慮和必須解決的一個重要問題。軍事信息網絡安全威脅主要有以下幾點。
2.1計算機病毒
現代計算機病毒可以借助文件、郵件、網頁、局域網中的任何一種方式進行傳播,具有自動啟動功能,并且常潛人系統核心與內存,利用控制的計算機為平臺,對整個網絡里面的軍事信息進行大肆攻擊。病毒一旦發作,能沖擊內存、影響性能、修改數據或刪除文件,將使軍事信息受到損壞或者泄露。
2.2網絡攻擊
對于網絡的安全侵害主要來自于敵對勢力的竊取、纂改網絡上的特定信息和對網絡環境的蓄意破壞等幾種情況。目前來看各類攻擊給網絡使用或維護者造成的損失已越來越大了,有的損失甚至是致命的。一般來講,常見的網絡攻擊有如下幾種:
(1)竊取軍事秘密:這類攻擊主要是利用系統漏洞,使人侵者可以用偽裝的合法身份進入系統,獲取軍事秘密信息。
(2)軍事信息網絡控制:這類攻擊主要是依靠在目標網絡中植人黑客程序段,使系統中的軍事信息在不知不覺中落人指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網絡協議與生俱來的某些缺陷,入侵者進行某些偽裝后對網絡進行攻擊。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙、電子郵件欺騙、源路由欺騙,地址欺騙等。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當加密和強身份標識、身份鑒別功能結合在一起時,截獲攻擊便難以實現。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設計和實現上存在著缺陷。這就導致攻擊的產生,進而出現軍事信息的泄露。
(6)網絡偵聽:它是主機工作模式,是一種被動地接收某網段在物理通道上傳輸的所有信息,并借此來截獲該網絡上的各種軍事秘密信息的手段。
2.3人為因素造成的威脅
因為計算機網絡是一個巨大的人機系統,除了技術因素之外,還必須考慮到工作人員的安全保密因素。如國外的情報機構的滲透和攻擊,利用系統值班人員和掌握核心技術秘密的人員,對軍事信息進行竊取等攻擊;內部人員的失誤以及攻擊。網絡運用的全社會廣泛參與趨勢將導致控制權分散。由于人們利益、目標、價值的分歧,使軍事信息資源的保護和管理出現脫節和真空,從而使軍事信息安全問題變得廣泛而復雜。
3網絡環境下軍事信息安全的應對策略
3.1信息管理安全技術
軍事信息存儲安全最起碼的保障是軍事信息源的管理安全。隨著電子技術的快速發展,身份證、條形碼等數字密鑰的可靠性能越來越高,為了驗證身份,集光學、傳感技術、超聲波掃描技術等一體的身份識別技術逐漸應用到軍事信息安全中來。
3.1.1指紋識別技術
自動指紋識別系統通過獲取指紋的數字圖像,并將其特征存儲于計算機數據庫中,當用戶登錄系統時,計算機便自動調用數據庫中的信息,與用戶信息進行比對,以此來保證用戶對軍事信息使用權的不可替代性。
3.1.2虹膜、角膜識別技術
虹膜識別系統是利用攝像機來采集虹膜的特征,角膜掃描則是利用低密度紅外線來采集角膜的特征,然后將采集來的信息與數據庫中的注冊者信息進行比對,借此來保證登錄的權限,進而起到保護軍事信息安全的作用。
3.2防火墻技術
防火墻是指設置在不同網絡或網絡安全域之間的一系列部件的組合,它是不同網絡或網絡安全域之間信息的唯一出入口,能根據使用者的安全政策控制出入網絡的信息流。根據防火墻所采用的技術和對數據的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監測型。
3.3數據加密技術
數據加密是對軍信息內容進行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀,這一處理過程稱為“加密”。在計算機網絡中,加密可分為“通信加密”和“文件加密”,這些加密技術可用于維護數據庫的隱蔽性、完整性、反竊聽等安全防護工作,它的核心思想就是:既然網絡本身并不安全、可靠,那么,就要對全部重要的信息都進行加密處理,密碼體制能將信息進行偽裝,使得任何未經授權者無法了解其真實內容。加密的過程,關鍵在于密鑰。
3.4數字簽名技術
數字簽名是通信雙方在網上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發信方也可以抵賴他發過該密文,若產生糾紛,將無法裁決誰是誰非。
由于公鑰密碼的每個用戶都有兩個密鑰,所以實際上有兩個算法,如用戶A,一個是加密算法EA,一個是解密算法DA。
若A要向B送去信息m,A可用A的保密的解密算法DA對m進行加密得DA(m),再用B的公開算法EB對DA(m)進行加密得:C=EB(DA(m)); B收到密文C后先用他自己掌握的解密算DDB對C進行解密得:DB(C)=DB(EB(DA(m)))=DA(m);再用A的公開算法EA對DA(m)進行解密得:EA(DA(m))二m,從而得到了明文m。由于C只有A才能產生,B無法偽造或修改C,所以A也不能抵賴,這樣就能達到簽名的目的。
4總結
要確保軍事信息網絡安全,技術是安全的主體,管理是安全的靈魂.當前最為緊要的是各級都要樹立信息網絡安全意識,從系統整體出發,進一步完善和落實好風險評估制度,建立起平時和戰時結合、技術和管理一體、 綜合完善的多層次、多級別、多手段的軍事安全信息網絡。
隨著互聯網技術的迅猛發展,網絡通信(如QQ及微信)、網絡購物、網絡銀行、網絡電影及網絡游戲等已成為人們現代化的生活方式,這些都是網絡信息技術帶給人們帶來的無限便利。但是,在網絡資源共享及通信的同時,網絡也伴隨各種風險,如黑客入襲、病毒泛濫、數據丟失、信息被盜等網絡安全問題的頻繁出現,這些非法行為嚴重威脅著個人電腦網絡信息的安全,也使電腦網絡系統運行緩慢,甚至出現系統崩潰等安全狀況。這些情況嚴重干擾了人們的正常生活,甚至給用戶造成重大經濟損失。本文結合多年電腦網絡通信和使用經驗,對個人電腦網絡信息安全與防范方面展開研究。
1個人電腦網絡信息安全面臨的威脅
電腦上網運行過程中面臨的威脅主要表現在以下幾個方面:
1.1個人電腦操作系統本身存在缺陷與漏洞。目前絕大多數個人電腦使用的Windows操作系統本身存在或多或少的漏洞,漏洞是在硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷,黑客和病毒制造者利用漏洞讓病毒或木馬侵入他人電腦,從而在未被授權的情況下訪問或破壞系統。
1.2人為惡意攻擊。這是目前個人電腦網絡面臨的最大安全威脅,計算機犯罪就屬于人為的惡意攻擊。它以各種手段破壞個人電腦網絡信息的完整性及有效性;竊取、截獲、破譯,從而獲取個人電腦網絡的數據信息。對個人電腦網絡安全造成很大的威脅,并造成個人數據信息的外泄。
1.3人為主觀因素。個人電腦用戶對電腦網絡的安全配置不當,而造成的安全威脅,用戶的網絡安全意識不高,對用戶口令的設置不重視等。
1.4計算機病毒入侵。計算機病毒具隱蔽性和潛伏性,個人電腦一旦被病毒侵入,系統將長期遭到損傷、破壞。計算機病毒激發后會通過格式化、改寫、刪除、破壞設置等破壞計算機儲存數據。竊取用戶隱私信息(如銀行密碼、賬戶密碼),盜用用戶財產或利用被病毒控制的用戶計算機進行非法行為。
2個人電腦網絡信息安全性的有效防范措施
針對面臨的各種威脅,我們必須采取相對應的有效防范措施,以保證我們的個人電腦網絡信息安全。
2.1及時更新電腦操作系統。電腦操作系統要不定期地更新,而新的操作系統在之初往往存在著安全漏洞,這就要求用戶在使用網絡時對操作系統及時進行更新。系統漏洞就是指操作系統軟件在開發過程中出現的缺陷,新出現的漏洞最先多由網絡攻擊者發現,微軟為了完善操作系統,就會通過不定期地補丁的方式,對新發現的系統漏洞進行修補完善。漏洞修復補丁是為完善操作程序另外編制的小程序。為了保證電腦網絡安全,使個人電腦網絡處于相對安全的狀態,就必須對操作系統進行及時的更新。因微軟已經停止對WindowsXP提供補丁更新,建議用戶使用Windows7以上的版本,并及時更新操作系統。
2.2部署網絡防火墻。個人電腦網絡系統在安裝網絡防火墻的情況下,一般能過濾掉一些非法攻擊,降低病毒或非法者入侵的風險。除此之外,防火墻還具備關閉不常用端口、對特定端口流出的通信進行封鎖等功能。最后,防火墻技術還可以識別特殊網站的訪問,使計算機免遭不明攻擊的侵入。
2.3安裝殺毒軟件。網絡病毒是影響個人電腦網絡安全系統的重要因素,因此安裝殺毒軟件勢在必行。除了安裝正版的防毒殺毒軟件之外,用戶在進行網絡使用時還可以開啟殺毒軟件實時監控、定期更新、定時升級,堅持“防殺結合(防為主,殺為輔)、軟硬互補、標本兼治”的原則,使個人電腦網絡系統在安全、無毒的環境中得以快速運行。
2.4合理設置Administrator賬號。個人電腦裝上系統后,系統會自動新建一個叫administrator的管理計算機(域)的內置賬戶,是擁有計算機管理的最高權限,它的密碼默認是空,很多用戶習慣空密碼使用這個賬號登錄系統,這是電腦上網的大忌。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺計算機至少需要一個帳戶擁有administrator(管理員)權限,但不一定非用“Administrator”這個名稱不可。所以,無論在那個Windows系統中,最好創建另一個擁有全部權限的帳戶,然后停用Administrator帳戶或改名。用戶帳戶建議設置足夠復雜的密碼,應盡量設置為數字字母組合,密碼的長度不應小于6位,最好在8位以上,避免使用純數字或常用英語單詞的組合。復雜的賬號密碼能夠增加窮舉破解軟件的破解密碼難度。
2.5合理使用文件共享與遠程桌面。建議平時停止系統默認打開的共享文件夾,關閉不使用的遠程連接端口。需要使用的必須有設置訪問權限控制,在安全環境下合理使用文件共享和啟用遠程桌面也是避免攻擊者侵入的有力措施。
2.6保護個人信息。個人電腦用戶要自覺養成良好的防盜習慣,各種賬號密碼千萬不要用文檔保存在電腦硬盤,登錄密碼、支付密碼以及證書密碼不應該設置相同,也不適宜選擇電話號碼、生日等容易猜中的數字作為密碼,密碼應該數字和字母混合,并且交易密碼與信用卡密碼應該定期進行更改。登錄網絡銀行系統交易過程遭遇的異常情況都需要格外重視,并及時查看已經發生的交易。用戶還應該定期查看網絡銀行辦理轉賬業務與支付業務的記錄,也可以采用短信定制帳戶變動通知,實時掌握帳戶的變動情況。
2.7防范釣魚網站。不少賬戶被盜的案例其實是因為訪問了釣魚網站。他們偽裝成正規的銀行頁面或是支付頁面,騙取你輸入的帳戶名和密碼,利用ARP欺騙,可以在用戶瀏覽網站時植入一段HTML代碼,使其自動跳轉到釣魚網站。避免被釣一方面需要對別人發來的網絡地址多留心,因為這個地址可能非常接近如淘寶、網上銀行的域名地址,打開的頁面也幾乎和真實的頁面完全一致,但是實際你進入的是一個偽裝的釣魚網站;另一方面,盡量選擇具有安全認證功能的瀏覽器,這些瀏覽器能夠自動提示你打開的頁面是否安全,避免進入釣魚網站。
2.8盡量避免瀏覽色情網站。眾所周知,色情網站一般都會掛上各種各樣的木馬,確實很危險。木馬傳播者通常是以色情視頻為誘餌,網民若想觀看則需安裝指定播放器,當下載這個播放器時便會將木馬下載器也一同下載到自己的電腦,在觀看視頻的過程中,一些遠程控制類木馬也被捆綁進播放器,用于竊取用戶的個人隱私信息,甚至于一些有價證券類的帳號密碼也被竊取。因此,個人電腦用戶要盡量避免瀏覽色情網站。
2.9選擇安全方式下載軟件。在互聯網中,通信與共享是計算機網絡的最基本應用,個人電腦用戶通常從網站下載各種應用軟件,但以欺騙手段窺探用戶隱私、竊取個人信息的各種惡意軟件及網絡釣魚活動嚴重威脅著網絡信息安全。這類軟件的制作者在對軟件反編譯后,進行重新封裝,在程序安裝時,隱藏在軟件中的木馬與不安全控件也會被裝入計算機,程序在運行時,用戶的信息隱私得不到保障,甚至網銀、賬號密碼等重要信息也會被竊取。下載文件的安全風險主要是木馬程序己被植入到文件中或是通過調用瀏覽器彈出網頁的方式,把用戶引入到含有木馬的危險網站。因此,個人電腦用戶應選擇正版軟件網站下載軟件,在完成下載任務后應先利用殺毒軟件對文件進行掃描,保證網絡下載安全。
2.10對個人電腦存放的重要數據定期進行備份。盡管網絡安全的防范措
施非常嚴密,也不能保證安全無憂,個人電腦在遭到攻擊癱瘓時,應用軟件程序和操作系統能夠重裝,而一些重要的數據卻無法恢復,因此應對個人電腦存放的重要數據進行定期備份。 2.11網絡支付配備U盾。目前的個人電腦的安全狀況在網絡支付的環境下已經不再值得信任,目前銀行都會配備U盾。為進一步確保客戶在支付領域的安全性,通用U盾設計了高級別、多層次的網絡交易安全防護技術,保障客戶資金安全,它內置微型智能卡處理器,采用1024位非對稱密鑰算法對網上數據進行加密、解密和數字簽名,確保交易的保密性、真實性、完整性和不可否認性。它的最大特點就是同時配備有USB接口和音頻接口,同時保障客戶在電腦和手機支付上的雙重安全,相當于為這兩個支付渠道都裝上了一道防火墻。
個人電腦已離不開網絡,個人電腦網絡信息安全與防范應該引起我們的重視。本文簡要的分析了一些個人電腦網絡中的一些主要的信息安全問題以及安全防范措施,可以根據這些措施定期或不定期的對個人電腦做一些檢查,這樣才能保證安全、高效的運行。
一、智能電網信息安全技術的作用
信息安全是智能電網高效穩定運營發展的重要保障基礎,是電力通信安全技術研究的一個重要課題。智能電網配電自動化系統信息安全體系可有效提高智能電網信息安全水平,促進智能電網的高效穩定、節能經濟的運營發展。我們所謂的智能電網信息安全技術,主要是保證信息的安全性,在保證安全性的同時,也提出了相應的技術要求,比如應用電網核心部件、建設業務系統安全、研究電網基礎信息、安全保障技術等,另外,它也負責研究和開發安全存儲和防范攻擊以及防范網絡病毒等方面,這些方面也需要高度重視。
二、智能電網信息安全體系的組成部分
2.1 基礎硬件設備
發電、輸電、配電、用電這四個環節中包括基礎硬件。其中,發電所覆蓋的范圍極廣,比如電源接入、電源光伏等,輸電所覆蓋的范圍包括網架、超導、高壓等;配電所涵蓋的范圍包括高級電表設備、虛擬電廠、配電微網等;用電所涵蓋的范圍包括電力供應站、自動控制設備、電力存儲設施等。
2.2 感知測量層的組成
感知測量層必須在應用智能測控設備后,才能成功實現智能感知,進一步評估電網是否穩定和是否存在堵塞狀況以及監控設備是否處于正常運行狀況中。感知測量層主要由電磁信號測量系統、分析系統、數字繼電器、智能讀書系統等組成。通常情況下,上述所講的儀器表都是運用射頻加以識別,與智能電網進行連接。
2.3 信息通信層的組成
在信息通信層中,所使用的技術覆蓋配電自動化、能量管理、數字移動通信、采集數據、光纖通信等領域范疇之內,真正實現交換數據和信息以及進行相應的控制,保證系統的穩定性和可靠性,充分運用資產利用率,實現信息的安全共享。
2.4 調度運維層的組成
智能電網還涉及其他方面很多因素,比如社會因素、自然因素、經濟因素等,因此想要精確控制和管理,需要結合人工智能技術。為保證整個系統有序運行,并更好地進行協調控制管理,可將網狀控制結構形式以及分布式智能化等設計理念與系統建設相結合。系統既可集中協調,也可實施分布式決策控制。
三、應用智能電網信息安全技術所涉及的內容
3.1 智能電網物理安全
智能電網系統在正常運行情況下,所需要的安全硬件設備稱之為智能電網的物理安全。其中這些硬件設備通常包括測量儀器和智能流量計等類型的傳感器,在通信系統中,各種計算機和網絡設備以及存儲數據等各種類型的存儲介質。其所謂的物理安全實際指保證與智能電網系統有關的硬件安全以及硬件設備本身的安全等,這也是智能電網安全信息控制的主要工作內容。物理安全主要是指防止人為因素破壞業務系統的安全性,同時也防止有人通過各種方式入侵系統中,這就需要無論在信息事件發生前,還是在信息事件發生后,都應審查所有物理設備的接觸行為。
3.2 網絡的安全性
智能電網所具有的可靠性也就是指網絡方面的安全性,這就要求通信網絡應完善的二次系統防護措施。安全分區、橫向隔離、縱向認證等是網絡安全防護的標準。我國目前網絡安全方面遭遇到黑客攻擊,且黑客攻擊的技能技術也在不斷提高,傳統的網絡安全手段和方法已不能滿足現代網絡發展的要求。如果在這時應用大量的智能電網設備將十分困難,有可能面臨電網癱瘓的局面。因此,在選擇安全加密算法時和建設整個網絡體系時,都要具有充足的前瞻性,做好設計以及計劃工作。在網絡信息系統正常運行中,要充分運用虛擬專用網和防火墻以及網絡病毒查殺等技術進一步保證網絡安全運行。
3.3 數據傳送的安全
在應用智能電網過程中,一定要保證信息數據的傳送安全,也需要掌握好數據的保密性、正確性、防復制等重要指標。對于整個數據的安全認證以及管理中心數據都要進行備份,防止數據庫數據的丟失。恢復數據庫以及備份數據庫都需要系統管理員操作。一些經常變動的數據每天既要做好記錄,也要做好備份。一些不常變化的數據,可定期或者不定期進行備份。另外,數據庫中所存儲的密鑰信息和加密信息以及關鍵信息等,都需要進行加密存儲。
3.4 業務安全的任務
保證智能電網業務應用的可靠性、穩定性、完整性、科學性等是應用業務安全的重要任務,也更加要保證業務工作流程的可操作性和完整性。對于電力系統安全防護方面的特征,可運用強制性的控制技術來提高網絡信息的安全性,防止網絡信息被損壞或者操控,進一步加強電網信息業務系統的安全性。
3.5 加強網絡通信的安全
支撐智能電網基礎平臺運行的是信息安全通信。一方面既需要有計劃和有目標部署對應的安全通信產品,做到通信技術與通信管理的要求相統一,另一方面也要提高網絡通信管理的安全性,規范管理員工的各項操作行為。通過對信息通信和重要網絡所進行的主動控制,比如網絡邊界保護系統、防御系統、數據傳輸系統等重要技術,實現對網絡數據的交換和控制,加強網絡數據通信的安全。
四、結 語
在智能電網的快速發展下,雖然網絡信息的安全性得到進一步保證,但還存在很多問題,這需要深入分析和研究信息安全技術,在研究的同時,也需要與智能電網信息系統相結合,建立健全信息安全系統,保證網絡通信的安全,提高網絡業務的可信性和操作性。
科學技術的產生與實際廣泛運用總是在矛盾中發展,計算機網絡通信技術也不例外。21世紀是計算機技術蓬勃發展的時代,人們的日常生活極大程度的依賴其技術的發展與完善。然后,伴隨著計算機科學技術的不斷發展,我們也看到網絡信息技術的各種漏洞對人們個人信息和財產安全帶來的實際威脅。同時,我國的政治、經濟、國防等部分的正常運作也依賴于計算機科學技術,若出現安全漏洞對國家財產和公民安全所造成的危害是不可估量的。所以,無論是國家部門、企事業單位、集體組織以及個體都需高度重視計算機信息安全管理問題。
1 計算機信息安全的相關概念
計算機信息安全是指現代計算機網絡通信所需要的內部和外部環境,主要的保護對象為計算機信息通信系統中硬件及軟件等數據信息,在運行過程中使其免受木馬、盜號、惡意篡改信息等黑客行為,從而保障計算機網絡服務的安全、穩定運行。因此,計算機信息安全指的是保障信息在網絡傳輸是能抵御各種攻擊,并對系統產生的各種安全漏洞進行自我修復或發出預警指示提醒信息管理人員及時采取相應措施。計算機信息安全所涉及的系統信息數據極為龐大,主要包括計算機ID信息、硬件資源、網絡服務器地址、服務器管理員密碼、文件夾密碼以及計算機系統不斷變換與更新的各類登錄用戶名和密碼信息等內容。從整體來來歸類,可以將計算機信息安全劃分為信息的存儲安全和傳輸安全兩大類。
2 計算機信息安全技術防護的內容
計算機信息安全防護技術所包含的內容較為繁雜,從現階段安全技術應用的實際情況來看,強化計算機安全防護技術可以從安全技術管理入手。安全管理包含的主要內容為:對計算機系統進行安全檢測和漏洞修補、分析系統數據、安裝系統防火墻、設置管理員密碼、安裝正版殺毒軟件、對系統進行定期不定期的入侵檢測掃描等。同時,計算機安全防護管理人員應積極的研究并完善信息安全管理制度,嚴格根據管理條列規范安全防護行為,加強對管理人員的安全知識培訓,提高其安全防護意識。
3 提高計算機信息安全的策略
為了提高計算機信息安全防護水平,保護國家和個人的信息與財產安全,以充分發揮計算機科學技術的社會和經濟效益,我們應從以下幾個方面來加強計算機信息安全防護工作。
3.1 提高計算機信息安全防護意識,加強法律立法
隨著計算機網絡技術的高速發展以及個人PC機、移動終端的大眾化使用,隨之而來的信息安全威脅與日俱爭,一方面是由于計算機操作使用者的技術門檻要求過低;另一方面是計算機安全防護技術與黑客技術的發展所呈現出的矛盾性。無論是國家部門還是企事業組織對職工的安全防護知識力度的不足,更導致計算機安全事故頻發。因此,要提高計算機信息安全防護技術水平,首要加強法律立法,對各種黑客入侵和人為惡意破壞行為進行法律上的制裁;同時,國家應出臺并完善計算機安全防護管理條例,使計算機信息安全防護工作有法可依,有法可循。針對認為操作失誤而導致的計算機安全事故,應做好對相關人員的安全防護知識教育工作,提高其安全防護意識,從思想上認知到計算機安全防護知識對維護個人和集體財產安全的重要性。企事業單位應將掌握一定的計算機安全防護知識作為職工聘任標準之一,并將這一標準加入到職工考核之中,在各類組織結構內容構建計算機信息安全管理條例,以規范人們的日常行為。
3.2 計算機信息安全防護的具體技術
1)設立身份驗證機制。身份驗證機制即是確認訪問計算機信息系統的具體個人是否為系統所允許,最主要的目的是防止其他個人的惡意欺詐和假冒攻擊行為。對身份驗證通常有三種方法:①設立管理員登陸密碼和私有密鑰等;②通過特殊的媒介進行身份驗證,如網銀登陸所需要的U盾,管理員配置的IC卡和護照等;③通過驗證用戶的生物體征來達到密碼保護的功能,如IPHONE的HOME鍵指紋識別功能,或者其他的視網膜識別和筆跡識別等。
2)設定用戶操作權限。結合計算機信息數據的具體應用,設置不同的個體訪問、修改、保存、復制和共享權限,以防止用戶的越權行為對信息安全系統所帶來的潛在威脅。如設置計算機PC端的管理員和訪客密碼,文件的可修改、可復制權限等。
3)加密計算機信息數據。信息數據的加密即是通過美國改變信息符號的排列足組合方式或設置對象之間的身份識別機制,以實現只有合法用戶才能獲取信息的目的。計算機信息加密方法一般分為:信息表加密、信息記錄加密以及信息字段加密等。其中計算機信息記錄的加密處理方式因其操作方式便利、靈活性高、選擇性多而受到較為廣泛的應用。如網絡聊天工具的異地登錄聊天信息查詢的密碼登錄功能。
3.3 網絡安全監測
對計算機網絡傳輸帶寬進行合理分配,并預留相應的空間,以滿足網絡使用高峰期的資源需求,并控制網絡IP訪問,設置IP過濾和黑名單功能,關閉系統的遠程控制與撥號功能。局域網內設置用戶訪問、復制、修改與共享權限,有WIFI的局域網設置相應的密鑰。同時,要監測端口掃描、木馬攻擊、服務攻擊、IP碎片攻擊、惡意插件下載與安裝等潛在的信息安全威脅。對操作終端安裝殺毒軟件,定期的進行全盤掃描和殺毒,以及時的檢測系統是否存在惡意攻擊代碼,系統不能刪除的文件要進行手動清除。
4 結束語
隨著計算機信息網絡技術的不斷發展,對計算機信息安全防護工作也提出了更多的挑戰,我國的計算機信息安全防護技術已然取得了一定的成績,但仍存在著諸多的不足,這就需要科研人員不斷吸收更多先進的技術并積極的進行自主研發,在實踐工作中不斷的提高與完善計算機信息安全防護機制,使計算信息網絡技術更好的服務于人們的日常工作與生活。
1、提高企業信息系統的策略及措施解決企業信息安全方案分析
解決信息系統安全要有以下幾點認識:要解決信息系統要有統籌全局的觀念。解決信息系統的安全問題要樹立系統觀念,不能光靠一個面。從系統的角度分析信息系統是由用戶和計算機系統兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統可以根據信息系統具有動態性和變化性等特點進行調整。信息系統是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞。企業信息系統安全可以采取的策略是采用一套先進、科學及適用的安全技術系統,在對系統進行監控和防護,及時適當的分析信息系統的安全因素,使這套系統具有靈敏性和迅速性等響應機制,配合智能型動態調整功能體系。需要緊記的是系統安全來自于風險評估、安全策略、自我防御、實時監測、恢復數據、動態調整七個方面。其中,通過風險評估可以找出影響信息系統安全存在的技術和管理等因素產生的問題。在經過分析對即將產生問題的信息系統進行報告。
安全策略體現著系統安全的總體規劃指導具體措施的進行。是保障整個安全體系運行的核心。防御體系根據系統中出現的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監測系統實時檢測運行各種情況。在安全防護機制下及時發現并且制止各種對系統攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現數據恢復。盡量縮小計算機系統被攻擊破壞的程度。可以采取自主備份,數據恢復,確保恢復,快速恢復等手段。并且分析和審理安全數據,適時跟蹤,排查系統有可能出現的違歸行為,檢查企業信息系統的安全保障體系是否超出違反規定。
通過改善系統性能引入一套先進的動態調整智能反饋機制,可以促進系統自動產生安全保護,取得良好的安全防護效果。可以對一臺安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監測和數據恢復形成一套防御體系。在制度方面,結合安全跟蹤進行系統排查工作。系統還應具備一套完整的完整的動態自主調整的反饋機制,促進該體系模型更好的與系統動態性能結合。
信息安全管理在風險評估和安全策略中均有體現,將這些管理因素應用與安全保障體系保護信息安全系統十分重要。企業必須設立專門的信息系統安全管理部門,保障企業信息系統的安全。由企業主要領導帶頭,組織信息安全領導小組,專門負責企業的信息安全實行總體規劃及管理。在設立信息主管部門實施具體的管理步驟。企業應該制訂關于保證信息系統安全管理的標準。標準中應該明確規定信息系統中各類用戶的職責和權限、必須嚴格遵守操作系統過程中的規范、信息安全事件的報告和處理流程、對保密信息進行嚴格存儲、系統的帳號及密碼管理、數據庫中信息管理、中心機房設備維護、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統安全管理的標準。
相關部門應該積極開展信息風險評估工作。通過維護信息網的網絡基礎設施有拓撲、網絡設備和安全設備,對系統安全定期的進行評估工作,主動發現系統存在的安全問題。主要針對企業支撐的信息網和應用IT系統資產進行全方位檢查,對管理存在的弱點進行技術識別。對于企業的信息安全現狀進行全面的評估,可以制作一張風險視圖表現企業全面存在的問題。為安全建設提供指導方向和參考價值。為企業信息安全建設打下堅實的基礎。
最后,加強信息系統的運行管理。可以通過以下措施進行:規范系統電子臺帳、設備的軟件及硬件配置管理、建立完善的設備以及相關的技術文檔。系統日常各項工作進行閉環管理,系統安裝、設備運營管理等。還要對用戶工作進行規范管理,分配足夠的資源和應用權限。防御體系、實時檢測和數據恢復三方面都體現了技術因素,信息安全管理系統技術應用于安全保障體系中。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮。采用分步實施,逐步實現的手法。在信息安全方面采取必要的技術手段,加強系統采取冗余的配置,提高系統的安全性。
對中心數據庫系統、核心交換機、數據中心的存儲系統、關鍵應用系統服務器等。為了避免重要系統的單點故障可以采取雙機甚至群集的配置。另外,加強對網絡系統的管理。企業信息系統安全的核心內容之一是網絡系統。同樣也是影響系統安全因素最多的環節。網絡系統的不安全給系統安全帶來風險。接下來重點談網絡安全方面需要采取的技術手段。網絡安全的最基礎工作,是加強網絡的接入管理。
與公用網絡系統存在區別的是,企業在網絡系統中有專門的網絡,系統只準許規定的用戶接入,因此必須實現管理接入。在實際操作過程中,可以采取邊緣認證的方式。筆者在實際工作經驗總結出公司的網絡系統是通過對網絡系統進行改造實現支持802.1X或MAC地址兩種安全認證的方式。不斷實現企業內網絡系統的安全接入管理。網絡端口接入網絡系統時所有的工作站設備必須經過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業的網絡系統,從而保證系統安全。根據物理分布可以利用VLAN技術及使用情況劃分系統子網。這樣的劃分有以下益處:首先,隔離了網絡廣播流量,整個系統避免被人為或者系統故障引起的網絡風暴。其次是提高系統的管理性。通過劃分子網可以實現對不同子網采取不同安全策略,可以將故障縮小到最低范圍。根據一些應用的需要實現某些應用系統中的相對隔離。
2、結語
本文結合了筆者實際工作經驗對企業信息系統的安全問題提出了系統性的思考,對長期存在相對動態的信息系統安全解決的方法進行探討。可以用一句話進行概括總結:系統安全六要素是組成的系統安全的必要因素。同時,抓好規范管理,實現信息系統的安全技術。
一、計算機網絡信息所面臨的安全威脅分析
(一)網絡本身弱點
信息網絡具有開放性的顯著特點,既為網絡用戶提供了便捷高速的服務方式,也成為網絡信息需要面臨的一項安全威脅。同時,運用于信息網絡的相關通信協議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數據截取等安全問題。
(二)人為惡意攻擊
人為惡意攻擊是網絡信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強的針對性,是有目的地進行網絡信息數據完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網路信息數據的竊取、破譯、篡改等,主要威脅到用戶的經濟利益。
(三)計算機病毒
計算機病毒存在隱蔽性、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行。計算機病毒通過破壞、竊聽等方式,實現對網絡信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統的運行效率,重則破壞用戶的整體系統數據,且難以被恢復,形成不可挽回的損失。
二、網絡信息技術安全現狀分析
目前,國內絕大部分企業、單位都已建立了相關的信息系統,實現了對各類豐富信息資源的充分利用。但隨著各行各業信息網絡系統的逐步成型,網絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發、改進了許多信息安全技術,用于網絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現在以下三方面:
第一,未建立健全的安全技術保障體系。當前大部分企業、單位,在信息安全設備上投入較多資金,以確保網絡信息系統的安全可靠。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現。
第二,缺乏制度化與常規化的應急反應體系。現階段,許多行業領域內,在網絡信息技術安全方面,還未建立健全相應的應急反應系統,而對已有應急反應系統,沒有進行制度化、常規化改進。
第三,企業、單位的信息安全標準與制度滯后。在網絡信息安全的標準與制度建設方面,企業與單位都為進行及時的調整與改進。同時,用戶缺乏信息安全意識,網絡信息安全管理員為經歷科學、系統的安全技術培訓,安全管理水平不高。而用于信息安全的經費投入較少,難以達到信息安全標準與要求。
三、現行主要信息安全技術及應用分析
(一)通信協議安全
作為下一代互聯網通信協議,IPv6安全性較高,強制實施Internet安全協議IPSec,由認證協議、封裝安全載荷、Internet密鑰交換協議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現。
(二)密碼技術
確保網絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現。在網絡系統中,采用加密技術能避免使用特殊網絡拓撲結構,便于數據傳輸的同時,確保網絡路徑的安全可靠,為網絡通信過程提供真正的保障。現階段,在網絡信息中,所采用的密碼技術主要為雙鑰與混合密碼。
1、公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度。
2、Hash函數
關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數安全現狀的評估及其今后設計。同時,由于MD5和SHA-1的破解,讓數字簽名的現有理論根基遭到質疑,給正在使用中的數字簽名方法帶來巨大威脅。
3、量子密碼
量子加密技術采用量子力學定律,讓用戶雙方產生私有隨機數字字符串,以代表數字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現象發生,通信就會結束,并生成新的密鑰。
(三)防火墻技術
防護墻技術是一組軟硬件的有機組合,為控制內部與外部網絡訪問的有效手段,能確保內部網安全穩定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單、透明度高的優點,在保持原有網絡應用系統功能的基礎上,最大限度滿足用戶的網絡信息安全要求,受到用戶的廣泛推崇。防火墻技術的應用,讓外部與內部網絡必須通過防火墻實現相互通信。企業、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息。目前,防火墻技術主要分為以下三類:
第一,包過濾技術(Packet filtering)。其技術主要作用于網絡層,結合不同數據包源IP地址、目的IP地址、TCP/UDP源端口號與目的端口號等進行區分、判斷,分析數據包是否符合安全策略,予以通行,其設計為過濾算法。
第二,(Proxy)服務技術。其技術主要作用于應用層,通過轉接外部網絡對內部網絡的申請服務,有效控制應用層服務。內部網絡無法接受外部網絡其它節點申請的直接請求,其接受的服務請求只能為模式。應用網關即為服務運行的主機,具備較強的數據流監控、過濾、記錄等相關功能。
第三,狀態監控(State Inspection)技術。其技術主要作用于網絡層,通過網絡層實現包過濾與網絡服務。現階段,較為可行的為虛擬機方式(即:Inspect Virtual Machine)。
防護墻技術作為網絡信息安全技術之一,操作簡單且實用性較強,被廣泛應用。但受其特點限制,缺乏對動態化與復雜化攻擊手段的主動響應,只能進行靜態安全防御,無法保障對所有外部攻擊都能進行有效阻擋。一些計算機水平較高的黑客便能翻過防火墻,達到攻擊目的。同時,防火墻無法阻擋內部攻擊。因此,為實現網絡安全,需進行數據的加密處理,加強內部網絡控制與管理。
論文關鍵詞:電子信息安全 安全技術 安全要素
論文摘要:隨著我國信息技術的不斷發展,對中小企業電子信息安全的保護問題也成為人們關注的焦點。本文以電子信息安全為主體,介紹中小企業信息化建設,對電子信息安全技術進行概述,提出主要的安全要素,找出解決中小企業中電子信息安全問題的策略。
在企業的管理信息系統中有眾多的企業文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業的發展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業的發展,所以,中小企業電子信息安全技術的研究具有重要意義。
一、中小企業的信息化建設意義
在這個網絡信息時代,企業的信息化進程不斷發展,信息成了企業成敗的關鍵,也是管理水平提高的重要途徑。如今企業的商務活動,基本上都采用電子商務的形式進行,企業的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統,這個信息系統對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業電子信息化水準。有關調查顯示,百分之八十二的中小企業對網站的應還處于宣傳企業形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業還未充分開發和利用商業渠道信息。中小企業信息化時代已經到來,企業應該加快信息化的建設。
二、電子信息安全技術闡述
1、電子信息中的加密技術
加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。
加密技術對傳送的電子信息能夠起到保密的作用。在發送電子信息時,發送人用加密密鑰或算法對所發的信息加密后將其發出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。
2、防火墻技術
隨著網絡技術的發展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業的信息化使其網絡也遭到同樣的威脅,企業電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認證技術
消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。
三、中小企業中電子信息的主要安全要素
1、信息的機密性
在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業的商業機密,如何保護企業信息不被竊取,篡改,濫用以及破壞,如何利用互聯網進行信息傳遞又能確保信息安全性已成為各中小企業必須解決的重要問題。
2、信息的有效性
隨著電子信息技術的發展,各中小企業都利用電子形式進行信息傳遞,信息的有效性直接關系的企業的經濟利益,也是個企業貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。
3、信息的完整性
企業交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業之間進行交易的基礎。
四、解決中小企業中電子信息安全問題的策略
1、構建中小企業電子信息安全管理體制
解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統的安全影響很大。在企業信息系統中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發揮應有的作用的。
2、利用企業的網絡條件來提供信息安全服務
很多企業的多個二級單位都在系統內通過廣域網被聯通, 局域網在各單位都全部建成,企業應該利用這種良好的網絡條件來為企業提供良好的信息安全服務。通過企業這一網絡平臺技術標準,安全公告和安全法規,提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業員工提供一個交流經驗的場所。
3、定期對安全防護軟件系統進行評估、改進
隨著企業的發展,企業的信息化應用和信息技術也不斷發展,人們對信息安全問題的認識是隨著技術的發展而不斷提高的,在電子信息安全問題不斷被發現的同時,解決信息安全問題的安全防護軟件系統也應該不斷的改進,定期對系統進行評估。
總之,各中小企業電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發展,不僅中小企業 辦公室逐漸趨向辦公自動化,而且還確保了企業電子信息安全。
摘 要:本文首先對傳統木桶理論和其在信息安全中的運用作了簡單的介紹,并結合作者在實際工作中對信息安全的理解,提出了對傳統木桶理論幾點思考,通過對幾點思考的闡述,指出了在信息安全工作中如何更好地結合木桶理論。
關鍵詞:木桶理論 信息安全 運用
引言
說到木桶理論,可謂眾所周知:一個由若干塊長短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值,而是取決于其中最短的那塊木板。要想提高木桶的整體效應,不是增加最長的那塊木板的長度,而是要下功夫補齊最短的那塊木板的長度。這個理論由誰提出,目前已經無從考究了,但這個理論的應用范圍卻十分廣泛,從經濟學、單位管理到人力資源,到個人發展。這個理論也被引進了安全領域,在信息安全中,認為信息安全的防護強度取決于安全體系最為薄弱的一環,因此出現的一個狀況是發現哪個安全問題嚴重就買什么樣的產品。這個理論的意義在于使我們認識到整個安全防護中最短木塊的巨大威脅,并針對最短木塊進行改進。
根據這個理論,我們會發現有些單位找出安全防護中的最短木塊,并買了很多安全產品進行防護:發現病毒對單位影響很大,就買了最好的反病毒軟件;發現邊界不安全,就用了最強的防火墻;發現有黑客入侵,就部署了最先進的入侵檢測系統。這其實只是一種頭痛醫頭,腳痛醫腳的做法,是治標不治本的方法。
1.木桶理論新解
經分析,傳統的木桶理論存在一定的缺陷,實際上一個木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關鍵信息:這個木桶是否有堅實的底板、木板之間是否有縫隙。
1.1 木桶底板是木桶能否容水的基礎
一個完整的木桶,除了木桶中長板、短板,木桶還有底板。正是這誰也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水。這只底板正是信息安全的基礎,即單位的信息安全架構、安全管理制度和安全流程。對于多數單位而言,目前還沒有整體的信息安全規劃和建設,也沒有完善的制度和流程。信息安全還沒有從整體上進行考慮,隨意性相當強。這就需要對單位進行一次比較全面的安全評估,然后結合單位的業務需求和安全現狀來做安全信息架構和安全建設框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒有,也不是不完備,最大的問題在于執行不力。目前在大型單位和運營商中,安全的最大問題是無法貫徹執行單位的安全政策和流程。所以可以說:“安全是一把手工程,只有得到領導的強有力支持,才可能把安全策略進行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度。”同時需要注意的是,由于單位不斷發展,安全是動態變化的,因此也就需要我們不定期的檢查信息安全這個“木桶”的桶底是否堅實,一個迅速長大的單位,正如一只容納了相當水量的木桶,越來越大的水容量將構成木桶底板的巨大挑戰,如果不時關注底板,最后可能因為不能承受之重而導致所有的蓄水都丟失。
1.2 木桶是否有縫隙是木桶能否容水的關鍵。
木桶能否有效地容水,除了需要堅實的底板外,還取決于木板之間的縫隙,這個是大多數人不易看見的。對于一個安全防護體系而言,其不同產品之間的協作和聯動有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深。安全產品之間的不協同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時,單位還把注意力放在最短的木板上,豈非緣木求魚?
在信息安全中,目前攻擊手法已經是融合了多種技術,比如蠕蟲就融合了緩沖區溢出技術、網絡掃描技術和病毒感染技術,這時候,如果我們的產品還卻還是孤軍作戰,防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網絡上的播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。各個安全產品單獨工作,無法有效地查殺病毒、無法組織病毒的傳播。而且更為嚴重的是,每個系統都會記錄這些安全日志,這些日志之間沒有合并和關聯,大量的日志將沖垮管理員,導致無法看到真正關心的日志。
目前出現的SOC產品可以說是木桶的桶箍,它能把各種安全技術、安全產品、安全策略、安全措施等各種目標等箍在一起,共同形成一個堅實的木桶,保護里面的水資源。SOC包含安全事件收集、事件分析、狀態監視、資產管理、配置管理、策略管理以及長期形成的知識中心,并通過流程優化、系統聯動、事件管理等方式減少木板與木板之間的縫隙,協調各方面資源,最高效率地處理安全問題,保護整體安全。
2.木桶理論與信息安全的幾點闡述
2.1 如何處理木桶中的最短木板
通過上面的分析,我們可以知道木桶的底板是基礎,桶箍是關鍵,而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板,通常做法是看準了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實這陷入了一種慣性思維,如果要提高木桶的容量,有時候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個最短木板,然后重新用桶箍圍成桶,這個新桶的容量就有可能大于原來的舊桶。
這種做法其實在單位運作中經常會使用,對于一些非核心業務,一些單位領導往往會采用外包的方式來處理,自己做最擅長的事情。但是在信息安全領域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個可靠的外包供應商才可以,另外的原因也可能是還沒有意識到這個問題。目前越來越多的單位開始重視安全,都在建立自己的政策體系和人員隊伍,但是由于信息安全具有專業性強,知識面廣的特點,要建立一個完善的體系和隊伍是比較困難的。
2.2 木桶理論與安全等級保護法
《國家信息化領導小組關于加強信息安全保障工作的意見》中認為,不同的信息系統有著不同的安全需求,必須從實際出發,綜合平衡安全成本和風險,優化信息安全資源的配置,確保重點,要重點保護基礎信息網絡和關系信息安全、經濟命脈、社會穩定等方面的重要信息系統,抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南。
信息安全領域中,密級分類、等級保護就是把信息資產分為不同等級,根據信息資產不同的重要等級,采取不同的措施進行防護。它的出發點就是要突出重點,要突出重點要害部位,分級負責,分層實施。在單位的安全建設過程中,我們可以根據等級保護法,把系統分成幾個等級,不同等級采用不同的“木桶”來管理,然后對每一個木桶再進行安全評估和安全防護,這樣就可以在投入
有限的情況下,確保重要信息的安全性。
2.3 木桶理論與內核加固
如何在木桶有縫隙的情況下,還能保護桶里面的水嗎?有一個一個思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會馬上流走,可以為我們進一步修復木桶提供時間。對于系統來說,加固操作系統內核就是這個作用,比如在某個系統上發現了一個很嚴重的漏洞,但是如果內核是進行了加固的,那么就不容易被利用進行攻擊。
3.總結
傳統的木桶理論在信息安全中的運用,讓我們了解了什么是當前最為嚴重的問題,但是如果只著眼于最短木板,而忽視了木桶的底板這個基礎,忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個木桶還是很不成熟、不完善的。
一、實施數字化檔案信息安全管理的意義
隨著我國信息化水平的迅速提升,我國對數字化檔案信息安全管理也有了更為深刻的認識。信息安全管理是維護數字化信息安全的重要手段,正所謂“三分技術,七分管理”,由此可見信息安全管理的重要性。數字化檔案信息保障體系建設過程中必須有一套較為完善的制度,只有這樣才能保證信息保障體系建設各個環節開展的規范性與合理性,而在信息保障體系建設中運用信息安全管理制度就能夠達到保障信息安全的目的。對數字化檔案信息進行安全管理,能夠使所有人員主動參與到數字化檔案信息保障建設過程中,不僅能夠大大提高員工工作質量,同時還能夠提高員工工作效率,因為科學有效的安全管理能夠提高企業員工的凝聚力與向心力,對維護數字化信息安全及企業發展都有一定的積極作用。
二、數字化檔案的信息安全問題分析
數字化檔案信息與計算機中其他普通數據一樣,都會受到多種不安全因素的影響。數字化檔案信息主要是以信息數據的形式儲存在于計算機內部系統中,若出現安全問題會直接影響檔案信息的完整性與安全性。據調查了解所知,目前數字化檔案信息主要存在的安全問題有以下幾個方面:
(一)計算機硬件故障
現在大部分計算機中各個部件都采用了一定的保護機制,但這并不能阻止一些硬件故障的出現。硬件故障對數字化檔案信息的危害性很大,比如若計算機中的硬盤磁道出現損壞或者嚴重故障,那么在很大程度上會造成信息數據破壞或者丟失,導致數字化檔案信息的不完整。近年來,隨著計算機設備的應用量越來越大,其內部硬件故障發生的頻率也隨之不斷增高。
(二)計算機軟件故障
要實現計算機對各項數字化檔案數據的處理,有賴于計算機操作系統及數據信息處理相關軟件。計算機軟件的性能高低直接關系著數字化檔案信息數據的安全性與完整性。隨著數字化檔案信息系統的不斷完善,信息系統對軟件的要求也越來越高,在這種情況下就出現了計算機軟件功能性無法滿足數字化信息系統的要求,在軟件使用中無法確保其性能的穩定性。雖然在數字化檔案信息系統操作中存在一些計算機軟件故障,但與硬件故障相比,其發生故障的機率較小。
(三)病毒及黑客侵襲
病毒及黑客入侵是影響數字化檔案信息安全的主要問題之一,這種問題較為常見,雖然一些計算機用戶設置了防火墻,安裝了多種殺毒軟件,但依然無法完全避免病毒及黑客的非法入侵。
(四)系統更換操作或者停機
硬軟件本身的兼容問題或者系統中包含的諸多無用資源,很容易導致計算機出現停機或死機狀況,這是導致信息數據丟失的一個原因。
(五)人為操作引起的故障
在數字化信息數據安全維護過程中由于信息管理人員計算機操作不當,會對數字化檔案信息安全造成一定的威脅,比如誤刪除信息數據的現象在日常工作中時有發生。
三、數字化檔案的信息安全管理策略
針對上述問題在數字化檔案信息安全維護中不僅要選擇可靠的硬件設備,采用先進的信息安全保障技術,更要進行全方位的數字化檔案信息安全管理,只有這樣才能有效解決數字化檔案信息安全問題,提高數字化檔案的安全性。以下是筆者結合目前數字化檔案信息安全問題所提出的安全管理策略:
(一)硬件設備安全管理
據調查了解所知,計算機硬件故障發生率十分頻繁,嚴重影響了數字化檔案信息安全,因此在信息安全管理工作中的首要任務就是對硬件設備進行科學選擇與管理。應根據數字化檔案信息系統的實際情況選擇合適且性能良好的硬件及軟件設備。另外在選擇過程中應重點考慮計算機服務器的品牌及客戶機,全面審核硬件設備的兼容性及拓展性,這樣做的目的是為了當系統升級時避免數據信息丟失。
(二)信息技術安全管理
在數字化檔案信息安全管理過程中僅靠管理人員的力量是不夠的,還需要信息技術的協助。為了保證數字化檔案信息數據的安全性,在管理工作中可以運用一些先進的信息技術來提高數字化檔案信息安全。比如可以設置信息訪問身份驗證、防病毒體系,還可以對相對機密的數據進行加密操作,采取數據加密的方式可以有效防止信息數據在傳輸過程中被一些木馬病毒及非法網站入侵,對保護數字化檔案信息十分奏效。
(三)完善信息安全管理制度
在數字化檔案信息安全管理工作中需要一套完善的信息安全管理制度,原因在于數字化檔案信息種類較多,且具有一定的復雜性,若不制定完善制度,實行全面的制度化管理,很容易導致信息安全管理內部一片混亂,為了避免這種狀況,企業應積極建立并完善信息安全管理制度。一般建立完善的信息安全管理制度需要從二個方面入手:
1.建立數字化文檔管理制度。對于已儲存在計算機中的信息應進行分類管理,大致應將其分為秘密、機密、絕密與非保密等幾種保護類型。另外對于一些相對機密及敏感信息不僅要采取加密措施,還要將其儲存在脫機的安全環境中,以免信息被他人非法竊取、破壞或修改。
2.建立人員安全管理制度。首先要將信息安全管理貫徹落實到實際信息維護中,讓管理人員對信息安全管理有一個清晰客觀的認識。這樣一來,管理人員就會在工作中認真貫徹執行,極力維護數字化檔案的安全。信息安全管理部門總負責人應對各個管理人員的工作進行考核,對于一些管理操作不當或管理不夠嚴格的人員應給予相應的警告或處罰,讓其從思想上意識到信息安全管理的重要性。其次應對信息安全管理人員進行定期培訓,讓其及時學習其他企業及國外優秀的信息安全管理方法及理念,為信息安全管理工作注入新的血液。這樣一來,不僅能夠大大提高信息安全管理的時效性與合理性,同時還能夠提升信息安全管理人員的綜合素質,對數字化檔案信息安全管理工作的有效開展具有一定的積極意義。在數字化檔案信息安全管理中,要想充分發揮管理的作用,全面維護檔案信息安全,保障檔案信息的完整性,就要結合數字化檔案信息系統的實際運行特點,全面考慮信息安全問題,從而有針對性的采取相應的管理策略,實現數字化檔案信息的制度化管理。
一、我國電子金融領域信息安全的現狀
全國相關的金融機構陸續成立了專門的安全防范機構,并重點加強對系統需求設計、投產、推廣和軟件開發等重點程序的監管和保護以及風險防范;在系統設計開發、防火墻選用、認證密碼等方面加大了投入。但是,當前的金融電子行業仍然存在著一些隱患,具體是傳遞信息的安全隱患和業務系統維護的風險防范隱患。
二、信息安全防護措施
(一)行業自律
行業或是客戶自身的信息包括最敏感機密部分對金融機構而言往往是公開的,金融機構可以輕松的獲取這部分信息,其中有部分信息具有相當的經濟價值。對信息保護,行業的自律有著相當重要的意義,政府的監管只是被動的行為,防患于未然更多的在于金融結構的自律行為。電子金融行業需制定一個有效的行業自律規范,從行業內部規范從事人員的行為總則,爭取將非法信息來源斬斷。國外大多數國家在立法上對行業自律機制給予較高的肯定,我國其實也可以借鑒,進一步發揮行業自律在信息安全上的作用。
(二)金融信息監管
完善的信息安全法律法規是做好信息安全工作的基礎。我國在信息安全法律法規建設方面已經做了很多工作,如今與信息安全有關的法律法規包括法律、行政法規、部門規章及規范性文件三個層面。但是,我國的信息安全法律法規仍然不夠完善,管理機構存在多頭管理,要求從金融信息監督開始為信息安全做好第一步。同時,中國人民銀行對網上銀行業務的監管尚處于起步階段,應在《人民銀行法》等相關法規中將網上銀行明確納入中國人民銀行、銀監會監管的對象。其次,金融服務業消費者安全保障的投訴與受理機制欠缺,監管機構中缺乏專門負責金融消費者安全保障方面事務的部門,對于投訴問題沒有從自律或者強制性法律機制角度進行規范。建議在我國因成立一個獨立的電子金融監管機構,它獨立于各個行政體系,采用直接負責制,這是由于電子金融領域如出現信息安全事故,它所牽扯的相關行政部門較多,地域范圍較廣,現有職能部門無法對它進行有效的監管,該機構應對電子金融機構信息可審查,可回溯并構建一個評價體系,將其評價結果對外公示,對于那些信息安全保護不當的機構應給予懲罰,改變我國對信息泄露或是保護不當的金融機構只罰不懲的局面。
(三)信息安全體系
電子金融主要的運行手段是基于計算機網絡或是通信網絡,必須要技術層面上保護其安全,傳統的金融交易手段是基于柜臺式、盤點式,早期電子金融只是較為粗獷的將原有的業務照搬于網絡環境中,又由于網絡是個開放的平臺,所以造成了較多的信息安全事故,在近幾年的發展中有了迅猛的進步,但還存在諸多問題:用戶認證手段單一、支付手段繁雜、內網權限過大、設備更新過于頻繁、客戶端保護不夠、異常行為監管不到位、標準不統一等問題。現應構建一個統一標準網絡信息安全體系。將用戶權限分割,將用戶不常用或是對其信息保護有隱患的功能部分需轉為傳統的柜臺辦理,用戶可對其權限進行縮減,提供用戶常用功能及其權限。用戶認證需多層次的,一般的安全層次認證簡單快捷,高層次需提供較多有效憑證方可使用。網絡模型要做到有效的內外分離,對外網要設置多層安全防范,不能以單一的防火墻形式存在,應具有動態更新、行為分析、危害恢復等功能。對內網必須將權限分割,無單一權限,在很多核心內容上應采用多人協同開啟權限功能,防止某一個體權限過大造成過多損失等。客戶端應該附加對客戶端安全的監察,如發現客戶端存在隱患則盡到提醒義務,保護客戶信息安全。
三、結束語
安全建設的研究一定要考慮到多方面,找到多種技術和管理方法,而不能只局限到某一種策略。單一的安全技術和產品已滿足不了行業用戶保障網絡安全的需求,防火墻、隔離卡、防病毒技術、信息加密技術、入侵檢測技術、安全評估技術、等級管理體系、安全認證技術、漏洞掃描等相互配合,構成網絡安全整體解決方案,并能在穩定性及協同性整體配合上加強。信息的安全建設如今不僅僅只是技術的問題,更需要管理與技術相融合而發揮作用的一項系統工程。當然,不斷完善的規章制度、科學系統的管理以及高素質、高執行力的團隊也是安全建設所必不可少的。
1計算機信息安全技術存在的弊端
1.1缺乏核心技術
目前,我國使用的計算機核心技術,像操作系統、網關、數據庫等大多是國外進口而來的,我國自主研發的產品比較少。CPU芯片是計算機的核心,目前使用最多的品牌是由我國臺灣與美國共同研發的,同樣缺乏自主性。在操作系統方面,國外操作系統本身會存在一些漏洞,且設計上并不是根據我國居民上網操作習慣來設定的,因此容易讓一些病毒有機可乘。操作系統中的安全隱患主要表現在可恢復密鑰、嵌入式病毒以及隱性通道方面,且由于系統是由國外引進,因此即使我國發現了漏洞也沒有資格進行大范圍整改,只能夠等到國外補丁再引入國內進行安裝。這些漏洞讓計算機的安全性大大降低,使得信息在傳輸過程中處于被監視以及干擾的狀態,安全級別較弱。
1.2傳輸過程中安全風險較多
信息在通過網絡進行傳輸的過程中,隱秘信息以及涉密信息與普通信息一樣,都是存在于網絡這個開放性較強地區之中的,因此同樣容易造成泄密。信息在傳輸過程中會經過多個外節點,在其中一個節點出現問題就會影響到信息傳輸的安全性,一旦發生安全事故,對出現故障的信息點是難以查證的。且傳輸環節中,任意一個節點都可能會被惡意修改,對數據進行假冒或是篡改。
1.3外部攻擊較多
現如今,黑客已經不再是犯罪的象征,在一定程度上,黑客也意味著著計算機能力較高,是現代少部分年輕人追逐的目標。隨著計算機的全面普及,我國計算機用戶在年齡上呈現出下降趨勢,且計算機能力越來越高。黑客有時并不是要進行利益上的獲取,大多數情況下,他們只是希望通過這種方式來證明自己的能力。黑客們對用戶電腦中植入木馬,進行數據信息的獲取,或是在網絡中偽裝成管理員進行信息的有效攔截,另外,黑客們還會對一些網站進行攻擊來發泄自身的不滿。據日本新聞網2012年8月18日消息,日本奈良國立博物館的網站17日遭到黑客攻擊,博物館網站主頁上用英文打上了“還我釣魚島”之類的標語。記者18日登陸該博物館網站主頁時發現,頁面已恢復正常。據報道,日本國立文化財機構發表的消息說,奈良國立博物館的館員于17日下午一點左右,發現博物館的網站主頁最上方的畫像檢索畫面遭到篡改,頁面上出現了“還我釣魚島”之類的英文標語口號。一個小時后,該英文標語口號又換成了其他的英文詞句。另外,還有一些黑客進行網站信息攻擊是為了從中謀取利益。在今年5月底,南京市公安局接到報警,報案人稱自己公司經營的游戲網站遭到了黑客攻擊。與以往不同的是,在網站被攻擊后,發動攻擊的黑客會主動現身,通過網站客服QQ主動聯系被攻擊者,承認自己破壞了網站。他們并不是在炫耀自己的能力,而是以此為要挾收取“保護費”。據該公司工作人員介紹,黑客實施的是大流量攻擊,就是通過網絡向公司服務器IP短時間內發送大流量訪問,導致公司服務器癱瘓,網絡堵塞,用戶無法正常訪問。該公司網絡游戲的IP地址隨即被租賃公司停用兩天,造成公司間接經濟損失達10萬余元。1.4內部操作人員素質欠缺在利益的驅使下,網絡管理人員并不能夠保證自己完全不被金錢所誘惑。另外,在計算機網絡建設過程中,人們大多將重點放在網絡功能的建設上,很少會在安全性能方面加大投入。一些網絡執行領導認為,對網絡進行安全性能的加強并不能夠在短期內為網站帶來經濟效益,且這種投資若是沒有碰到安全事故就相當于無回報投資,因此覺得在網絡安全方面不投資影響也不大。正是因為這種思想,網絡安全事故屢禁不止,且在問題發生之后,由于沒有進行相應投入,因此在補救措施上缺乏行之有效的管理,只能夠采取直接將網絡關閉的消極手段來應對,不能讓安全隱患得到實質性的有效解決。
2信息安全改進措施
2.1安裝防火墻及殺毒軟件
現如今,各項殺毒軟件與防火墻充斥著網絡資源市場,用戶只需根據自己平時在計算機上進行的主要操作來選取需要用到的軟件即可。防毒軟件的安裝能夠自動檢測出瀏覽網站的不良信息,確保用戶不會進行點擊操作,這樣一來,一些病毒或是惡意程序就不會侵入到個人電腦中,也不會對電腦中信息造成損害了。同時,殺毒軟件可以定期、定時的對計算機中的軟件進行掃描,對于會修改計算機操作的程序或是目的地不明確的程序能夠及時找出并向用戶通報。同時,殺毒軟件會將用戶在網絡上自行下載的資源進行自動掃描,對于含有病毒的程序或是發現有異常的程序能夠自動將其毀滅,保障用戶計算機安全。
2.2信息備份
就目前網絡安全問題而言,許多病毒都是以破壞用戶計算機內的資料數據為目的的。因此要做好數據的備份工作,保障在數據丟失之后能夠被及時找回,不影響后續工作、學習。并且,數據的備份還需進行技術上的完善,讓數據在丟失之后還能夠及時的被找回與回復,這樣一來,即使沒有及時進行備份,也能夠避免丟失造成的損失。
2.3定期進行補丁更新
對于局域網內的計算機而言,病毒很容易就會通過局域網進行傳播,因此要定期進行網絡軟件以及計算機操作系統的維護工作。對于一般的維護而言,通常是以補丁形式的,省去了安裝的時間。若是沒有及時安裝補丁,一些系統的漏洞就容易被利用,相應的病毒會進入到系統內部進行攻擊。像是蠕蟲病毒、沖擊波病毒,在補丁安裝之后就失去了進入的通道,自然不會威脅到計算機網絡安全。
2.4身份認證
用戶對信息讀取的身份認證是非常重要的。由于網絡是一個較為開放的平臺,因此黑客能夠利用其開放性對信息進行攔截、讀取與篡改。在這個過程中,文件是處于不被保護狀態的,因此就應該提高文件傳輸的安全性,對文件進行訪問的用戶需要進行身份驗證才能夠繼續訪問。這種身份的認證一般是以用戶安裝安全密鑰或是協議的方式完成的。對于計算機信息中心管理人員而言,通過身份的鑒別能夠有效發現黑客的存在,并且設置文件的讀取權限,像一些加密的文件,權限范圍就要比不加密文件有效,保障加密文件的安全性。
3小結
隨著計算機的普及以及網絡化的不斷發展,我國計算機信息安全越來越受到用戶的廣泛關注。信息安全關系到信息傳輸雙方以及個人電腦的安全管理,因此應該加大對這方面的重視程度,讓計算機在帶來方便快捷的同時,不會對人們的工作、 生活、學習造成負面影響。相信通過各方面的不斷努力以及投入力度的增加,我國計算機信息安全能夠得到更好的改進。
近年來,隨著我省林業信息化建設進程不斷加快,信息系統在政府服務企業人民群眾中得到廣泛應用,使得生產效率大幅提高。然而,隨著社會經濟對信息化依賴性不斷增長,信息系統的脆弱性日益暴露,信息安全問題日益凸出。從我省林業信息安全現狀來看,不論是軟硬件系統本身還是組織和管理方面,都還不同程度地存在著各種安全隱患,因重大故障而引發系統停機、業務停頓的現象也時有發生,被黑客攻擊、病毒傳染致使系統癱瘓和數據丟失也不乏其例。因此,信息安全保障工作是一項關系我省國民經濟和社會信息化全局的長期性任務。在省內的推廣和應用對全省信息安全保障體系建設具有重要意義。本文全面地介紹了我省林業系統信息安全現狀,分析了我省林業信息安全保障取得的成果和存在的問題,在通過參會、走訪、調研多種形式的基礎上,得到充分的信息安全保障資料,結合國家各信息安全相關標準,提出林業系統信息安全保障的下一步工作研究。
1我省林業信息化安全形勢嚴峻
我省林業系統信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調查結果看,有39%的單位發生過信息安全事件,說明我省林業系統網絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現。
1.1從發生信息安全事件的結構上看,超過半數的屬于感染病毒、木馬。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重。而對于事件的覺察,36%是通過網絡管理員工作監測發現,22.7%是事后分析發現。這說明,我省林業網絡安全形勢總體上是好的,但也說明網絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防。
1.2從信息安全管理來看,有74%的單位制定了安全管理規章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密。這說明林業系統內大部門單位已經認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資。說明整體網絡與信息安全投入明顯不足。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網絡安全管理技術人員的培訓也只有46%的單位搞過。從業人員不足,安全培訓少,也是影響信息安全的一個重要因素。上述現狀,反映出我省林業系統網絡與信息安全意識淡薄,信息系統綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業網絡與信息安全工作面臨著更大的威脅和風險。
2我省林業系統信息安全保障思路及主要任務
省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩定、最安全的地區之一的明確目標和任務,切實加強網絡與信息安全保障工作是大力推進國民經濟和社會信息化的重要保障,是平安山東建設的重要內容。省政府印發的山東省國民經濟和社會信息化的十二五規劃,把信息安全保障體系作為主要內容之一。在此基礎上,林業信息化建設以全面提高網絡與信息安全的保障能力為己任,努力開創了我省信息化建設與信息安全保障體系相互適應、共同進步的新局面。
2.1信息安全保障工作的思路以科學發展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網絡信任體系、信息安全監控體系和應急保障體系建設,全面提高林業系統網絡與信息安全防護和應急事件處置能力,重點保障我省林業基礎信息網絡和重要信息系統安全;強化林業信息安全制度建設和人才隊伍建設,充分發揮各方面的積極性,協同構筑我省網絡與信息安全保障體系。
2.2信息安全保障工作的主要任務
2.2.1建立健全我省信息安全管理體制,充分發揮網絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業信息安全相關部門密切配合的良好機制。
2.2.2積極推進了信息風險評估和等級保護制度的建立。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據自己工作實施風險評估,并爭取在全省范圍內推廣。
2.2.3大力促進網絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業系統網絡信息安全建設的指導意見。
2.2.4加強信息安全應急處置體系建設,利用現有的專業隊伍和技術資源,規劃和建設林業數據備份中心,啟動建設信息化應急技術處理中心,逐步實現為我省林業網絡信息安全提供預警、評測等服務,按照“誰主管誰負責、誰運營誰負責”的要求,各部門出現問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發事件的原因。
2.2.5加強人才隊伍培養和建設。不定期的舉辦了面向工作人員提高安全意識、防范意識的培訓,對從事信息化的專業人員建立管理培訓的制度。
3加快我省林業信息安全保障體系建設進程的建議林業信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要。
3.1充分認識做好信息安全保障工作的重要意義。目前對信息安全問題不少人仍然缺乏全面的、深刻的認識,現有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統外部,忽略了系統內部的安全管理措施,安全保障缺乏循環、良性的提高,不能自主發現和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題。各單位各部門要從經濟發展、社會穩定的高度充分認識信息安全的重要性,增強緊迫感、責任感和自覺性。
3 .2正確把握加強信息安全保障工作的總體要求。要堅持積極防御、綜合防范的方針,正確處理發展與安全的關系,堅持以發展求安全、以安全保發展,同時管理與技術并用,大力發展信息技術的同時,切實加強信息安全管理工作,努力從預防、監控、應急處理和打擊犯罪等環節在法律、管理、技術、人才各方面采取各種措施全面提升信息安全的防護水平。
3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網絡和重要信息系統的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統的大面積的出現問題。防止數據丟失和錯誤,避免對社會造成的損失。
3.4建立相應的信息安全管理體制。明確信息安全的綜合建設和管理思路,搞好信息安全保障體系的建設,目前省級部門已經按照國家要求做了落實,現在要求地市的信息安全管理部門、相關人員也要按照要求做好這項工作。
3.5加快網絡信任體系、監控及應急保障體系等信息安全基礎設施建設。促進重要信息系統容災備份和災難存儲的建設,建立全覆蓋、多層次、高性能的全省林業信息安全保障基礎架構,深化在我省林業系統電子政務、電子商務中的應用,結合數字證書的應用,保證網上信息的安全和法律效力。信息安全保障體系的建設是一件大事,也是一件新興事物,將面臨著許多難以想象的困難和挑戰,我們一定要轉變觀念,一手抓信息化推進,一手抓網絡的信息安全,共同服務于社會發展的大局,全面提高我省信息安全保障的能力和水平,為國民經濟和社會信息化做好保障,為“平安山東”做出應有的貢獻。
一、計算機信息安全
計算機網絡技術不斷發展,應用較為廣泛,但是也存在安全性問題,使個人或者企事業單位面臨威脅。如果計算機信息管理的方法不恰當,會使機密的信息被竊取,引起經濟損失。對計算機信息進行安全管理成為重要的問題。計算機安全保護的目的主要是進行信息的安全管理,保證計算機在存儲信息方面具備完整性以及機密性,信息的效用價值被激發出來。
二、計算機信息安全存在的問題
信息安全威脅主要指的是人、事、物對某一資源信息造成的威脅,主要安全威脅表現在以下方面:機密性;完整性;可用性;真實性;可控性。安全威脅可以分為兩類:主動威脅、被動威脅。主動威脅指的是對信息作出修改,被動威脅指的是對信息只做監聽不做修改。
2.1攻擊方式
信息的安全問題一直受到人們的關注,對計算機進行侵襲的方式花樣百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒絕服務。無法訪問信息資源,延遲操作。(4)竊聽:(5)否認:(6)業務流分析:(7)病毒。
2.2網絡外部因素出現問題
網絡外部因素是出現信息安全的重要原因,在信息安全問題中處于關鍵地位。主要表現在:()l借助技術手段進行網絡干擾;(2)借助先進的設備,植人病毒等,威脅信息系統。
2.3網絡內部因素出現的問題
網絡系統具有脆弱性,是信息安全問題的內因。主要表現在:(l)安全策略與安全管理有待完善;(2)軟件系統存在漏洞;(3)網絡協議體系存在問題。
三、計算機信息安全管理的方法
3.1進行信息加密
在安裝防火墻軟件后,不能有效防御系統內部的威脅,在這種情況下,可以采用信息加密的技術,把明文文件、數據信息等進行優質化處理,進行密文的傳送,到達目的地后,錄人密鑰,重現原來的信息內容,對信息文件設置安全保護,使數據資源保持安全性。與加密過程相反的是解密,主要是轉化已經編碼的信息,還原本來的信息。根據系統功能的要求,選擇信息加密的手段,保證信息的安全性以及可靠性。
3.2采用安全性較高的系統軟件
安全性較高的系統軟件指的是操作系統以及數據庫等具有很高的安全性。在系統終端,操作系統應當版本統一,為維護以及管理提供了很大的方便。對系統的終端進行安全管理,主要指的是針對應用軟件進行遠程操控,對于不安全的端口以及軟件進行屏蔽。在系統的終端,安裝殺毒軟件,對系統的補丁進行自動的更新,便于進行集中的控管。對客戶端的操作系統進行定期的掃描殺毒。
3.3訪問控制技術
訪問控制主要指的是對用戶的訪問權限進行控制,允許特定的用戶進行網絡訪問,人網的用戶需要進行身份確認,用戶訪問系統的特定資源,規定資源的使用程度等等。訪問控制可以加強網絡系統的安全,對網絡資源進行有效的保護。訪問控制的措施包括:第一,設置口令;第二,應用數字證書等。通過以上方法,驗證、確認用戶的信息,設定訪問的權限,進行網絡跟蹤,并對網絡系統采取防護措施。為了確保口令的安全性,要注重口令的選取以及保護。進行訪問控制,主要是為了確保訪問操作的合法性,避免非授權的訪問。
3.4進行風險分析
采用信息加密算法可以增加計算機信息整體的安全性。從傳統的加密方法來看,主要是把密匙作為核心,也就是對稱加密。在進行解密和加密時,用戶可以采用相同的密鑰。近年來,加密算法發展較快,公開密鑰得到了廣泛的應用,也稱為非對稱加密。進行加密、解密,采用不同的密鑰,主體涵蓋的技術包括RsA以及DsA技術。現在比較常用的是DES、RSA算法,與PGP加密的方式相混合,能夠進行優質運用。與此同時,還要進行病毒的防御。計算機技術在不斷進步,病毒的形式更加多樣,分辨存在很大的難度,產生很大的危害。
因此,為了保證計算機信息的安全性,我們應當更新技術,不斷研發防御病毒的方式,使功能更加優質全面。我們必須進行風險分析,分析利弊,制定適當的管理方法,使計算機信息安全有所保證。養成規范操作的習慣,加強密鑰的管理。
四、結語
隨著計算機技術的廣泛應用,計算機信息安全受到了嚴重的威脅。在現階段,計算機網絡存在問題,網絡自身具有脆弱性,并容易受到潛在的威脅,注重管理,在必要的情況下,需要加強法律的治理,保證網絡系統的安全性。針對個人的使用,采取一定的管理方法。加強計算機的信息安全管理,保證網絡信息的安全性。
論文關鍵詞:經濟信息安全 國家經濟安全 信息化 法律保護
論文摘要:信息時代,信息資源的占有率已成為影響一國生產力發展的核心要素之一。面對日益激烈的市場競爭,世界各國對經濟信息的爭奪加劇。完善我國經濟信息安全的法律保護體系是維護國家經濟安全,保障生產力健康發展的重要任務。文章對經濟信息安全的概念進行了界定,通過分析我國經濟信息安全面臨的挑戰與現有法律保護的不足,提出完善經濟信息安全法律保護的對策。
一、信息化挑戰我國經濟信息安全
與西方發達國家相比,我國的經濟安全保障體系非常脆弱,對于經濟信息安全的保護更是一片空白。國家經濟數據的泄露,泄密案件的連續出現昭示著我國經濟信息安全面臨前所未有的嚴峻挑戰。
(一)對經濟信息的爭奪日益加劇
經濟競爭的白熾化與信息高速化在推動世界經濟迅速發展的同時也使得業已存在的竊取經濟信息活動更為猖獗,無論是官方的經濟情報部門還是各大財團、公司都有自己的情報網絡。世界各國在千方百計地保護本國經濟信息安全的同時也在千方百計地獲取他國的經濟情報。目前我國正處于泄密高發期,其中通過計算機網絡泄密發案數占泄密法案總數的70%以上,并呈現逐年增長的趨勢;在商業活動中,商業間諜與經濟信息泄密事件頻繁發生,據業內人士透露泄密及損失最滲重的是金融業;其次是資源行業,大型并購很多,而十次并購里面九次會出現信息泄密事故;高科技、礦產等領域也非常嚴峻,很多行業在經濟信息安全保護上都亮起了紅燈。
(二)竊密技術先進,手段多樣化
一方面,發達國家及其情報組織利用信息技術優勢,不斷監聽監視我國經濟情報,非法獲取、篡改我國信息或傳播虛假信息造成經濟波動,以獲取經濟乃至政治上的收益;另一方面,除技術手段,他們還通過商業賄賂、資助學術研究、舉辦研討會、派專人在合法范圍內收集企業簡報、股東報告甚至是廢棄垃圾通過仔細研究,分析出有價情報等方式大量收集我國經濟信息。正如哈佛大學肯尼迪政治學院的一位中國專家認為:“在中國,當前賄賂最主要的形式不再是支付現金,更多可能由公司付費途經洛杉磯或拉斯維加斯到公司總部考察。這種費用可以被看做是合法的營業支出,也可以為官員設立獎學金。”竊密技術日益先進與手段日趨多樣化、合法化對我國經濟安全,特別是經濟信息的安全造成嚴重威脅。
(三)經濟信息安全保密意識淡薄
近年來,每當政府機構公布國民經濟運行數據前,一些境外媒體或境外研究機構總是能準確“預測”;許多重要的經濟信息,包括經濟數據、經濟政策等伴隨學術報告、會議研討甚至是一句家常閑聊便被泄露出去;載有核心經濟信息的移動存儲介質被隨意連接至互聯網導致信息泄露等問題嚴重。有調查顯示,我國有62%的企業承認出現過泄密現象;國有以及國有控股企業為商業秘密管理所設立專門機構的比例不到20%,未建立任何機構的比例高達36.5%;在私營企業中,這樣的情況更加嚴峻。經濟信息安全保密意識的薄弱已成為威脅我國經濟安全,影響社會經濟穩定發展的制約因素之一。
二、經濟信息安全法律保護的缺失
安全的實質是一種可預期的利益,是法律所追求的價值主張。保障經濟信息的安全是信息時代法律在經濟活動中所追求的最重要的利益之一。法律保障經濟信息安全,就要維護經濟信息的保密性、完整性以及可控性,這是由信息安全的基本屬性所決定的。然而,由于我國立法上的滯后,對經濟信息安全的法律保護仍存在相當大的漏洞。
(一)缺乏對保密性的法律保護
保密性是指保證信息不會泄露給非授權者,并對需要保密的信息按照實際情況劃分為不同等級,有針對性的采取不同力度的保護。現行《保密法》對于國家秘密的范圍以及分級保護雖有相關規定,但其內容主要針對傳統的國家安全,有關經濟信息安全方面僅出現“國民經濟和社會發展中的秘密事項”這樣原則性的規定,對經濟秘密的劃定、保密范圍和措施等缺乏相應條款;對于跨國公司或境外利益集團等竊取我國經濟政策、產業關鍵數據等行為也缺乏法律上的界定,以至要追究法律責任卻沒有相應法律條款可適用的情況屢屢發生。
在涉及商業秘密的法律保護上,法律規定分散而缺乏可操作性,不同部門對商業秘密的定義不統一,商業秘密的概念模糊而混亂,弱化了商業秘密的保密性;①另一方面,與TRIPS協議第39條規定的“未披露的信息(undiscoveredinformation)”即“商業秘密”相比,我國《反不正當競爭法》要求商業秘密須具有秘密性、價值型、新穎性與實用性且經權利人采取保密措施,并將構成商業秘密的信息局限于技術信息和經營信息,這樣的規定不以商業秘密在商業上使用和繼續性使用為要件,使不具實用性卻有重大價值或潛在經濟價值的信息得不到保護,不利于經濟信息的保密。此外,人才流動的加快也使商業秘密伴隨著員工的“跳槽”而流失的可能性激增,但對商業秘密侵權威脅(ThreatenedMisappropriationofTradeSecrets)我國尚無沒有明確法律依據;對于泄露或竊取他人商業秘密的行為,《刑法》第219條雖增加了刑事處罰,但處罰力度過輕而又缺乏處罰性賠償規定,導致權利人的損失無法得到彌補。
(二)缺乏對完整性的法律保護
完整性是指信息在存儲或傳輸過程中保持不被未授權的或非預期的操作修改和破壞,它要求保持信息的原始面貌,即信息的正確生成、正確存儲和正確傳輸。目前,我國保障信息與信息系統完整性主要依靠《刑法》與《計算機信息系統安全保護條例》等法律法規,總體而言層級較低又缺乏統一性。《計算機信息系統安全保護條例》第4條規定了“計算機信息系統的安全保護工作,重點維護國家事務、經濟建設、國防建設、尖端科學技術等重要領域的計算機信息系統的安全”,但在第23和25條卻只規定對破壞和危害計算機信息系統安全造成財產損失的承擔民事責任,并對個人處以5000元以下罰款,對單位處以15000元以下罰款的較輕處罰規定;現行《刑法》第285條也只規定入侵國家事務、國防建設、尖端科學技術領域的計算機信息系統的行為構成非法侵入計算機信息系統罪。這就是說,行為人非法侵入包括經濟信息系統在內的其他信息系統并不構成本罪。可見,法律對信息安全的保障依然側重于政治、軍事等傳統安全領域,而忽略了對經濟信息安全的保護。
(三)缺乏對可控性的法律保護
可控性是對經濟信息的內容和信息的傳播具有控制能力,能夠按照權利人的意愿自由流動。網絡的盛行使得經濟間諜、商業賄賂等竊密手段的頻繁出現而使得經濟信息不能按照權利人的意愿流動。面對日趨“合法化”的竊密行為,《刑法》第110條的間諜罪與第11l條的為境外的機構、組織、人員竊取、刺探、收買、非法提供國家秘密或情報罪都只是籠統的規定了“危害國家安全”和“竊取、刺探、收買、非法提供國家秘密或情報”,缺乏有關經濟間諜罪的專門規定;而《國家安全法》也只是籠統的規定了國家安全整體的法律條文,并且側重的是傳統安全的政治和軍事領域,對于經濟安全,尤其是經濟信息安全這樣一個新的非傳統安全領域的存在的威脅仍缺乏適當的法律規制。
除了經濟間諜外,跨國公司對我國實施商業賄賂獲取經濟信息與商業秘密的案件不斷增加,經濟信息的可控性無法得到有效保證,在造成嚴重經濟損失的同時也威脅著我國經濟信息安全。目前我國尚無一部完備的《反商業賄賂法》,對于商業賄賂的法律規制主要體現在《刑法》與《反不正當競爭法》、《關于禁止商業賄賂行為的暫行規定》等法律法規上。然而,現行《刑法》并未直接對商業賄賂行為作出罪行定義,而《反不正當競爭法》第8條雖然規定商業賄賂的對象既可包括交易對方,又可包括與交易行為有關的其他人,但《關于禁止商業賄賂行為的暫行規定》中卻又將商業賄賂界定為“經營者為銷售或購買商品而采用財物或者其他手段賄賂對方單位或者個人的行為”縮小了商業賄賂對象的范罔,將除交易雙方以外能夠對交易起決定性作用或產生決定性影響的單位或個人被排除在外。另外,對于商業賄賂的經濟處罰力度畸輕,根據《反不正當競爭法22條,不構成犯罪的商業賄賂行為處以10000元以上200000元以下的罰款,并沒收違法所得。但事實上,通過商業賄賂手段所套取的經濟信息往往可以帶來高達上百萬的經濟利益,過輕的處罰完全不能發揮法律應有的威懾力。與美國的《反海外賄賂法》和德國的《反不正當競爭法》相比,我國對于商業賄賂,特別是跨國商業賄賂的治理仍存在不足。
三、完善我國經濟信息安全法律保護的對策
法律保護經濟經濟信息安全,既要求能預防經濟信息不受侵犯,也要求能通過國家強制力打擊各種侵犯經濟信息安全的行為,從而達到經濟信息客觀上不存在威脅,經濟主體主觀性不存在恐懼的安全狀態。因此,維護經濟信息安全需要構建全方位的法律保護體系。
(一)修訂《保密法》,增加保護經濟信息安全的專門條款
《保密法(修訂草案)》增加了針對涉密信息系統的保密措施以及加強涉密機關、單位和涉密人員的保密管理等五方面內容,總體上得到了專家學者的肯定,但仍存在許多值得進一步斟酌與完善的問題。特別是對于經濟領域的信息安全保密問題,應增設專門條款明確規定經濟秘密的保密范同,明確哪些經濟信息屬于國家經濟秘密,通過明確“密”的界限強化保密意識,維護經濟信息的安全。因此,在修訂《保密法》時,我們可以在保證法律的包容性與原則性的基礎上,可以借鑒俄羅斯的《聯邦國家秘密法》,采取列舉的方式將屬于國家秘密的經濟信息以法律的方式予以規定,將對國家經濟安全有重大影響的、過早透露可能危害國家利益的包括財政政策、金融信貸活動以及用于維護國防、國家安全和治安的財政支出情況等經濟信息包含在內,以具體形象的樣態將國家經濟秘密明確的歸屬于法律控制范疇,避免因法律缺乏明確性與可操作性而帶來的掣肘。
(二)制定《商業秘密保護法》,完善商業秘密的保護
針對我國商業秘密泄密案件的日益頻繁,商業秘密保護立法分散的問題,盡快制定專門的《商業秘密保護法》是維護經濟信息安全的重要措施。在制定《商業秘密保護法》時,可以借鑒國外以及國際組織的先進經驗,但應當注意以下問題:(1)在對商業秘密進行界定時,應采用列舉式與概括式相結合的體例明確商業秘密的內涵。同時在商業秘密的構成要件中剔除“實用性”的要求,使那些不為本行業或領域人員普遍知悉的,能為權利人帶來經濟利益或競爭優勢,具有“經濟價值”以及“潛在價值”并經權利人采取合理保護措施的信息也能納入法律的保護范圍;(2)要明確規定各種法律責任,包括民事責任、行政責任以及刑事責任。由于商業秘密侵權行為是一種暴利行為,但給權利人造成的損失卻往往十分巨大,如不以刑事責任方式提高違法成本便難以遏制其發生;(3)在制定《商業秘密保護法》時應當引入不可避免泄露規則(InevitableDisclosureDoctrine)。該原則主要是針對商業秘密潛在的侵占行為采取的保護方式,旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業秘密的問題。引入不可避免泄露原則更能有效地保護商業秘密,避免因人才流動為保密性帶來的威脅。
(三)制定統一《反商業賄賂法》,確保經濟信息的正向流動
隨著信息在經濟活動中作用加重,商業賄賂的目的不再局限于獲取商品銷售或購買的機會,通過商業賄賂獲取競爭對手經濟秘密已成為信息時代非法控制經濟信息流動的重要手段之一。制定統一的《反商業賄賂法》將分散在各法律法規中的有關條例加以整合,實現對國內外商業賄賂行為的有效監管,是堵截經濟信息非法流動、維護我國經濟信息安全與公平競爭市場環境的必然選擇。因此,在制定統一《反商業賄賂法》時首先應當對商業賄賂的概念進行準確的界定,借鑒《布萊克法律詞典》的解釋將商業賄賂定義為經營者通過不正當給予相關單位、個人或密切相關者好處的方式,獲取優于其競爭對手的競爭優勢;④其次,對于商業賄賂的管轄范圍應當適當擴大。根據《經合組織公約》與《聯合國反腐敗公約》的規定,締約國應確立跨國商業賄賂法律的域外管轄權制度,對故意實施的跨國商業行為予以制裁。因此,制定《反商業賄賂法》要求將我國經營者或該商業活動的密切相關者無論是向國內外公職人員、企業、相關個人以及國際組織官員行賄行為或是收受來自國內外企業、個人的財務或其他利益優惠的受賄行為都應列入該法管轄范圍內,并針對商業賄賂這種貪利性違法行為,完善民事、行政以及刑事法律責任;此外,在立法時還應借鑒國外的成功經驗加大制裁力度,取消現行法律中固定處罰數額的不合理規定,采用相對確定的倍罰制,并制定對不構成犯罪的商業賄賂行為的資質罰(指取消從事某種職業或業務的資格的處罰),使得經營者在被處罰后不再具備從事相同職業或業務再次進行商業賄賂的條件,從而有效遏止商業賄賂行為的蔓延,以確保經濟信息的合理正向流動。
(四)完善《刑法》,維護經濟領域信息安全
“只有使犯罪和刑罰銜接緊湊,才能指望相聯的刑罰要領使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過來”。故此,完善《刑法》并加重處罰力度,是維護經濟領域信息安全的必要保證。
首先,計算機與網絡的廣泛使用使得計算機信息系統安全成為影響經濟信息安全的關鍵因素。面對《刑法》對經濟領域計算機信息系統保護的缺位,增加維護經濟信息安全的專門條款是當務之急。因此,應首先對《刑法》第285條進行調整,規定凡侵入具有重大價值(包括經濟價值、科技價值與政治價值等)或者涉及社會公共利益的計算機信息系統的行為都構成犯罪;同時,針對目前竊取計算機信息系統中不屬于商業秘密或國家秘密但卻具有知識性或重大價值,特別是經濟價值的數據、資料現象日益嚴重,《刑法》中還應增設竊取計算機信息資源罪,對以非法侵入計算機信息系統為手段,以竊取他人信息資源為目的且造成嚴重后果的行為予以規制;此外,在《刑法》還中還應增設財產刑、資格刑,適當提高法定刑幅度,從多維角度預防和制裁危害計算機信息系統犯罪。
其次,在對商業秘密的保護上,應完善相關刑事責任與刑事訴訟中的保密規定。現行《刑法》規定了侵犯商業秘密的行為,但在刑罰的表述中并沒有詳細的劃分。縱觀國外立法,大多根據侵權行為社會危害程度的不同規定了多種量刑幅度。因此,對侵犯商業秘密罪的設置應根據危害程度的不同規定不同的刑罰,對侵犯商業秘密情節惡劣,后果嚴重者從重處罰,確保罪責刑相適應的同時保證法律的威懾力。此外,針對目前在審理涉及商業秘密案件除規定不公開審理外,沒有對參與商業秘密的訴訟人員規定保密義務的問題,在刑事訴訟中還應設置相關保密義務條款,在司法解釋中也應規定配套的保密措施,以確保權利人在伸張權利時其商業秘密的保密性不會因法律的漏洞而喪失。
最后,借鑒美國《經濟間諜法》,在《刑法》中增設經濟間諜罪。與侵犯商業秘密罪不同,經濟間諜罪重在預防和制裁圖利于外國政府、外國機構或外國政府的人且使之獲得不局限于經濟之上的利益的行為。因此,增設經濟間諜罪,應明確經濟間諜罪的界定、構成要件、刑罰以及及于域外的法律效力等,從立法的價值取向上注重從國家安全角度保護商業秘密,特別是經濟信息類秘密,對經濟間諜行為予以嚴懲,維護國家經濟信息安全。
總之,以法律預防和制裁各種侵犯經濟信息安全行為,是維護國家經濟安全,促進生產力健康發展的有效保證。針對信息安全的基本特性,建立健全經濟信息安全法律保護體系,實乃理論界與實務界當務之急。
論文摘要:利用網絡信息技術進行科研管理,加強了信息共享與協同工作,提高了科研工作的效率,但與此同時也存在一些安全隱患。介紹了科研網絡信息安全的概念和意義,分析了其存在的安全隱患的具體類型及原因,為保證科研網絡信息的安全,提出了加強網絡風險防范、防止科研信息被泄露、修改或非法竊取的相應控制措施。
論文關鍵詞:科研網絡信息;安全隱患;控制策略
1引言
隨著計算機網絡技術的普及,利用網絡信息技術來改造傳統科研管理模式已經成為一種歷史潮流。由于計算機網絡的互聯性和開放性,在提供信息和檢索信息的同時,也面臨著一些安全隱患,科研信息一旦泄露,會給科研項目的實施帶來致命的打擊。因此,加強網絡安全、防止信息泄露、修改和非法竊取已成為科研單位普及與應用網絡迫切需要解決的問題,及時掌握和控制網絡信息安全隱患是十分必要的。
2科研網絡信息安全的概念和意義
2.1概念
科研網絡信息安全主要包括以下兩個方面的內容:①科研數據的完整性,即科研數據不發生損壞或丟失,具有完全的可靠性和準確性。②信息系統的安全性,防止故意冒充、竊取和損壞數據。
2.2意義
根據信息安全自身的特點以及科研的實際情況。
網絡信息安全在科研單位的實施應該以信息安全技術做支撐,通過流程、審查和教育等的全面協同機制,形成一個適合科研管理的完整的信息安全體系,并依靠其自身的持續改進能力,始終同步支持科研項目發展對網絡信息安全的要求。
3科研網絡信息存在的安全隱患
3.1網絡管理方面的問題
科研網絡的信息化,由于覆蓋面大、使用人員多以及涉密資料、信息系統管理存在漏洞.有關人員缺乏保密意識,往往不能保證工作文稿、科研資料、學術論文等在網絡上安全、正確、實時的傳輸和管理。
3.2外部威脅
網絡具有方便、快捷的特點。但也面臨著遭遇各種攻擊的風險。各種病毒通過網絡傳播,致使網絡性能下降,同時黑客也經常利用網絡攻擊服務器,竊取、破壞一些重要的信息,給網絡系統帶來嚴重的損失。
4科研網絡信息安全的控制策略
4.1建立完善的網絡信息管理體系
4.1.1制定并網絡信息安全管理制度這是科研網絡信息安全工作的指導準則,信息安全體系的建立也要以此為基礎。
4.1.2建立網絡信息安全管理組織這為網絡信息安全體系的建立提供組織保障,也是網絡信息安全實施的一個重要環節,沒有一個強有力的管理體系,就不能保證信息安全按計劃推進。
4.1.3加強網絡信息保密審查工作堅持“誰公開、誰負責、誰審查”的原則,落實保密審查責任制,規范各科室、部門分工負責的保密審查制度,不斷完善和細化保密審查的工作制度、工作程序、工作規范和工作要求。
4.2開展充分的信息安全教育
工作人員信息安全意識的高低,是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素,所以需要對員工進行充分的教育,提高其信息安全意識,保證信息安全實施的成效。
科研單位可以采取多種形式對工作人員開展信息安全教育,充分利用科研單位內部的輿論宣傳手段,如觀看警示教育片、保密知識培訓、簽訂保密承諾書、保密專項檢查等,并將工作人員的信息安全教育納入績效考核體系。
4.3選擇合適的網絡信息安全管理技術
網絡信息安全管理技術作為信息安全體系的基礎,在信息安全管理中起到基石的作用。
4.3.1設置密碼保護設置密碼的作用就是安全保護,主要是為了保證信息免遭竊取、泄露、破壞和修改等,常采用數據備份、訪問控制、存取控制、用戶識別、數據加密等安全措施。
4.3.2設置防火墻防火墻在某種意義上可以說是一種訪問控制產品,它能強化安全策略,限制暴露用戶點,它在內部網絡與不安全的外部網絡之間設置屏障,防止網絡上的病毒、資源盜用等傳播到網絡內部,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。
4.3.3病毒防范和堵住操作系統本身的安全漏洞為了防止感染和傳播病毒,計算機信息系統必須使用有安全專用產品銷售許可證的計算機病毒防治產品。同時任何操作系統也都存在著安全漏洞問題,只要計算機接人網絡,它就有可能受到被攻擊的威脅,還必須完成一個給系統“打補丁”的工作,修補程序中的漏洞,以提高系統的性能。防止病毒的攻擊。
4.3.4使用入侵檢測技術人侵檢測系統能夠主動檢查網絡的易受攻擊點和安全漏洞。并且通常能夠先于人工探測到危險行為,是一種積極的動態安全檢測防護技術,對防范網絡惡意攻擊及誤操作提供了主動的實時保護。
4.4加強涉密網絡和移動存儲介質的管理
科研管理系統安全是由多個層面組成的,在實際的操作過程中.也要嚴格遵守操作規程。嚴禁在外網上處理、存儲、傳輸涉及科研秘密信息和敏感信息,嚴禁涉密移動存儲介質在內外網上交叉使用,嚴格上網信息保密審查審批制度,嚴格執行涉密計算機定點維修制度。
5結束語
為了確保科研網絡的信息安全,只有通過有效的管理和技術措施,使信息資源免遭威脅,或者將威脅帶來的損失降到最低限度,保證信息資源的保密性、真實性、完整性和可用性.才能提高信息安全的效果,最終有效地進行科研管理、降低信息泄露風險、確保各項科研工作的順利正常運行。