時(shí)間:2022-03-21 12:02:24
序論:寫(xiě)作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內(nèi)心深處的真相,好投稿為您帶來(lái)了一篇信息安全論文范文,愿它們成為您寫(xiě)作過(guò)程中的靈感催化劑,助力您的創(chuàng)作。
摘要:介紹了國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)體系的現(xiàn)狀,在對(duì)目前系統(tǒng)安全問(wèn)題分析的基礎(chǔ)上,提出了信息安全技術(shù)參考模型和標(biāo)準(zhǔn)體系框架,探討了信息安全標(biāo)準(zhǔn)化工作存在的問(wèn)題,并提出了建議。
關(guān)鍵詞:信息安全標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)
信息系統(tǒng)安全體系的研制和建設(shè)是一個(gè)非常復(fù)雜的過(guò)程,如果沒(méi)有與之相配套的安全標(biāo)準(zhǔn)做支撐,就不能實(shí)現(xiàn)系統(tǒng)的安全可信,只有從系統(tǒng)的視角全面考慮信息系統(tǒng)的安全性,構(gòu)建起合理的信息安全標(biāo)準(zhǔn)體系,才能保證各信息系統(tǒng)和平臺(tái)的安全可控和高效運(yùn)行,也只有建立起涵蓋系統(tǒng)安全結(jié)構(gòu)的完整的技術(shù)標(biāo)準(zhǔn)體系,才能促進(jìn)安全組件之間的相互協(xié)作和關(guān)聯(lián)操作,實(shí)現(xiàn)系統(tǒng)安全性的最大化。
1信息安全標(biāo)準(zhǔn)體系分類(lèi)現(xiàn)狀
1.1信息安全國(guó)際標(biāo)準(zhǔn)現(xiàn)狀及分類(lèi)體系
1.1.1美國(guó)國(guó)防部信息安全標(biāo)準(zhǔn)體系
美國(guó)國(guó)防部(DoD)將美軍信息安全標(biāo)準(zhǔn)按安全部件與安全功能相結(jié)合的方法進(jìn)行分類(lèi),其標(biāo)準(zhǔn)體系見(jiàn)圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標(biāo)準(zhǔn)、信息傳輸安全標(biāo)準(zhǔn)、信息理解表示安全標(biāo)準(zhǔn)、安全管理標(biāo)準(zhǔn)和安全環(huán)境標(biāo)準(zhǔn)五類(lèi)。安全功能從信息安全的基本要素(機(jī)密性、完整性、可用性、可控性、抗抵賴(lài)性)來(lái)進(jìn)行劃分,分為鑒別安全服務(wù)標(biāo)準(zhǔn)、訪問(wèn)控制安全服務(wù)標(biāo)準(zhǔn)、保密性安全服務(wù)標(biāo)準(zhǔn)、完整性安全服務(wù)標(biāo)準(zhǔn)、抗抵賴(lài)性安全服務(wù)標(biāo)準(zhǔn)和可用性安全服務(wù)標(biāo)準(zhǔn)六類(lèi)。DoD的信息安全標(biāo)準(zhǔn)體系,雖然覆蓋全面,但安全部件和安全功能之間的標(biāo)準(zhǔn)交叉重復(fù)比較多,層次不夠清晰。
1.1.2聯(lián)合技術(shù)參考模型(JTA 6.0)
JTA 6.0中的信息安全標(biāo)準(zhǔn)體系為實(shí)現(xiàn)對(duì)國(guó)防部信息系統(tǒng)的安全防護(hù)提供了支撐,包括(本地)計(jì)算環(huán)境、飛地邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施和安全評(píng)估五類(lèi)標(biāo)準(zhǔn)。這種分類(lèi)比較合理,但分類(lèi)下面對(duì)應(yīng)的標(biāo)準(zhǔn)大部分是國(guó)際標(biāo)準(zhǔn)和美國(guó)國(guó)家標(biāo)準(zhǔn),因此,應(yīng)在借鑒該分類(lèi)的基礎(chǔ)上,針對(duì)目前我國(guó)已有的國(guó)家標(biāo)準(zhǔn),建立起合理的標(biāo)準(zhǔn)體系。
ISO信息安全工作組分類(lèi)如圖3所示。目前,ISO制定的信息安全標(biāo)準(zhǔn)按照工作組的分類(lèi)分為信息安全管理體系(ISMS)標(biāo)準(zhǔn)、密碼和安全機(jī)制、安全評(píng)價(jià)準(zhǔn)則、安全控制與服務(wù)和身份管理與隱私技術(shù)五類(lèi)。該分類(lèi)方法比較粗糙,對(duì)于建立安全運(yùn)行的信息系統(tǒng),針對(duì)性不太強(qiáng)。
1.1.4國(guó)際電信聯(lián)盟(ITU-T)標(biāo)準(zhǔn)
ITU-T SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測(cè)定、安全通信服務(wù),如圖4所示該分類(lèi)方法對(duì)信息安全技術(shù)分類(lèi)比較粗糙,信息安全技術(shù)也只側(cè)重于通信安全。
ITU-T頒布的比較有影響力的安全標(biāo)準(zhǔn)主要有:消息處理系統(tǒng)(X.400系列)、目錄系統(tǒng)(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標(biāo)準(zhǔn)是PKI的重要基礎(chǔ)標(biāo)準(zhǔn),X.805是端到端通信安全的重要標(biāo)準(zhǔn)。
目前,ITU-T在安全標(biāo)準(zhǔn)化方面主要關(guān)注NGN安全、IPTV安全、身份管理(IDM)、數(shù)字版權(quán)管理(DRM)、生物認(rèn)證、反垃圾信息等熱點(diǎn)問(wèn)題。
1.2國(guó)家信息安全標(biāo)準(zhǔn)體系
我國(guó)國(guó)家信息安全標(biāo)準(zhǔn)自1995年開(kāi)始制定,至2002年共制定標(biāo)準(zhǔn)19項(xiàng),全部由國(guó)際標(biāo)準(zhǔn)直接轉(zhuǎn)化而來(lái),主要是有關(guān)密碼和評(píng)估的標(biāo)準(zhǔn)。在這19項(xiàng)中,2004年后已有12項(xiàng)進(jìn)行了修訂。自全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2004年成立以來(lái)至目前我國(guó)實(shí)際現(xiàn)存正式信息安全標(biāo)準(zhǔn)87項(xiàng),這些標(biāo)準(zhǔn)中,既包括技術(shù)標(biāo)準(zhǔn),如產(chǎn)品和系統(tǒng)(網(wǎng)絡(luò))標(biāo)準(zhǔn),亦包括管理標(biāo)準(zhǔn),如風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)等,覆蓋了當(dāng)前信息安全主要需求領(lǐng)域。
由此可見(jiàn),目前我國(guó)信息安全標(biāo)準(zhǔn)的制定工作已經(jīng)取得了長(zhǎng)足的進(jìn)展,標(biāo)準(zhǔn)的數(shù)量和質(zhì)量都有了很大的提升,本著“科學(xué)、合理、系統(tǒng)、適用”的原則,在充分借鑒和吸收國(guó)際先進(jìn)信息安全技術(shù)標(biāo)準(zhǔn)化成果和認(rèn)真梳理我國(guó)信息安全標(biāo)準(zhǔn)的基礎(chǔ)上,經(jīng)過(guò)全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)各工作組的認(rèn)真研究,初步形成了我國(guó)信息安全標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)體系分類(lèi)相對(duì)合理、全面,涵蓋了體系結(jié)構(gòu)、安全保密技術(shù)、安全管理和安全測(cè)評(píng)等方面的標(biāo)準(zhǔn),但龐大繁雜的標(biāo)準(zhǔn)體系常常讓開(kāi)發(fā)人員無(wú)所適從,無(wú)法選取需要遵循的標(biāo)準(zhǔn)。因此,針對(duì)信息安全系統(tǒng)的開(kāi)發(fā)工作要進(jìn)一步精簡(jiǎn)標(biāo)準(zhǔn)體系,突出重點(diǎn),尤其是影響系統(tǒng)集成方面的安全接口標(biāo)準(zhǔn),進(jìn)而增強(qiáng)各個(gè)安全組件之間的互操作和安全技術(shù)間的協(xié)作,提升整個(gè)信息系統(tǒng)的安全防護(hù)能力。
支撐性基礎(chǔ)設(shè)施主要涉及到實(shí)現(xiàn)通信與網(wǎng)絡(luò)、應(yīng)用環(huán)境和數(shù)據(jù)安全所應(yīng)用的支撐性技術(shù),包括認(rèn)證、授權(quán)、訪問(wèn)控制、公鑰基礎(chǔ)設(shè)施(PKI)和密碼管理基礎(chǔ)設(shè)施(KMI)。
通信與網(wǎng)絡(luò)安全主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問(wèn)控制、數(shù)據(jù)傳輸?shù)谋C芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測(cè)的手段、網(wǎng)絡(luò)設(shè)施防病毒等。
應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:
終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。
應(yīng)用系統(tǒng)的安全問(wèn)題主要來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素,主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問(wèn)題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫(kù)系統(tǒng)的威脅主要來(lái)自:非法訪問(wèn)數(shù)據(jù)庫(kù)信息;惡意破壞數(shù)據(jù)庫(kù)或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)數(shù)據(jù);用戶通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)時(shí)受到各種攻擊,如搭線竊聽(tīng)等。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過(guò)數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過(guò)對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過(guò)隔離網(wǎng)絡(luò)攻擊來(lái)確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過(guò)鏈路加密和節(jié)點(diǎn)加密來(lái)確保數(shù)據(jù)不被截獲。
安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問(wèn)題的處理等系統(tǒng)安全保障工作。
3信息安全標(biāo)準(zhǔn)分類(lèi)體系
信息安全技術(shù)參考模型是建立信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)和前提,只有在信息安全技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上建立起覆蓋全面,分類(lèi)合理的標(biāo)準(zhǔn)體系,才能科學(xué)地預(yù)見(jiàn)需要制/修訂的標(biāo)準(zhǔn),進(jìn)一步明確信息安全標(biāo)準(zhǔn)化的研究方向,更好地支撐信息安全系統(tǒng)的開(kāi)發(fā)和集成,確 保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作。在前面提出的技術(shù)參考模型的基礎(chǔ)上,進(jìn)一步對(duì)信息安全標(biāo)準(zhǔn)體系進(jìn)行了劃分。
應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:
終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。
應(yīng)用系統(tǒng)的安全問(wèn)題主要來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素,主要包括身份認(rèn)證、訪問(wèn)控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問(wèn)題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫(kù)系統(tǒng)的威脅主要來(lái)自:非法訪問(wèn)數(shù)據(jù)庫(kù)信息;惡意破壞數(shù)據(jù)庫(kù)或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)數(shù)據(jù);用戶通過(guò)網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫(kù)訪問(wèn)時(shí)受到各種攻擊,如搭線竊聽(tīng)等。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過(guò)數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過(guò)對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過(guò)隔離網(wǎng)絡(luò)攻擊來(lái)確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過(guò)鏈路加密和節(jié)點(diǎn)加密來(lái)確保數(shù)據(jù)不被截獲。
安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問(wèn)題的處理等系統(tǒng)安全保障工作。
3信息安全標(biāo)準(zhǔn)分類(lèi)體系
信息安全技術(shù)參考模型是建立信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)和前提,只有在信息安全技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上建立起覆蓋全面,分類(lèi)合理的標(biāo)準(zhǔn)體系,才能科學(xué)地預(yù)見(jiàn)需要制/修訂的標(biāo)準(zhǔn),進(jìn)一步明確信息安全標(biāo)準(zhǔn)化的研究方向,更好地支撐信息安全系統(tǒng)的開(kāi)發(fā)和集成,確保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作。在前面提出的技術(shù)參考模型的基礎(chǔ)上,進(jìn)一步對(duì)信息安全標(biāo)準(zhǔn)體系進(jìn)行了劃分。
論文關(guān)鍵詞:軍事信息 信息安全 網(wǎng)絡(luò)環(huán)吮
論文摘要:在軍事活動(dòng)中,軍事信息的交流行為越來(lái)越效繁,局城網(wǎng),廣城網(wǎng)等技術(shù)也逐步成為了軍事活動(dòng)中不可或缺的內(nèi)容,信。息的劫持與反劫持等安全技術(shù)占據(jù)了一個(gè)舉足輕重的地位。本文擾為了保證我軍軍事秘密這個(gè)大前提,對(duì)網(wǎng)絡(luò)壞境下軍事信息安全加以闡述.
1軍事信息安全概述
軍事信息安全一般指軍事信息在采集、傳遞、存儲(chǔ)和應(yīng)用等過(guò)程中的完整性、機(jī)密性、可用性,可控性和不可否認(rèn)性。為防止自身的意外原因,實(shí)現(xiàn)軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用可靠、安全的信息傳輸網(wǎng)絡(luò)來(lái)保障信息采集、傳遞、應(yīng)用過(guò)程中信息的機(jī)密性,完整性、可利用性以及可控制性,信息安全狀態(tài)的確定性;信息的可恢復(fù)性等。
2網(wǎng)絡(luò)環(huán)境下軍事信息面臨的安全威脅
網(wǎng)絡(luò)軍事安全從其本質(zhì)上來(lái)說(shuō)是網(wǎng)絡(luò)計(jì)算機(jī)上的軍事信息安全,是指計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改和顯露,在確保系統(tǒng)能連續(xù)正常運(yùn)行的同時(shí),保證計(jì)算機(jī)上的信息安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問(wèn)題。軍事信息網(wǎng)絡(luò)安全威脅主要有以下幾點(diǎn)。
2.1計(jì)算機(jī)病毒
現(xiàn)代計(jì)算機(jī)病毒可以借助文件、郵件、網(wǎng)頁(yè)、局域網(wǎng)中的任何一種方式進(jìn)行傳播,具有自動(dòng)啟動(dòng)功能,并且常潛人系統(tǒng)核心與內(nèi)存,利用控制的計(jì)算機(jī)為平臺(tái),對(duì)整個(gè)網(wǎng)絡(luò)里面的軍事信息進(jìn)行大肆攻擊。病毒一旦發(fā)作,能沖擊內(nèi)存、影響性能、修改數(shù)據(jù)或刪除文件,將使軍事信息受到損壞或者泄露。
2.2網(wǎng)絡(luò)攻擊
對(duì)于網(wǎng)絡(luò)的安全侵害主要來(lái)自于敵對(duì)勢(shì)力的竊取、纂改網(wǎng)絡(luò)上的特定信息和對(duì)網(wǎng)絡(luò)環(huán)境的蓄意破壞等幾種情況。目前來(lái)看各類(lèi)攻擊給網(wǎng)絡(luò)使用或維護(hù)者造成的損失已越來(lái)越大了,有的損失甚至是致命的。一般來(lái)講,常見(jiàn)的網(wǎng)絡(luò)攻擊有如下幾種:
(1)竊取軍事秘密:這類(lèi)攻擊主要是利用系統(tǒng)漏洞,使人侵者可以用偽裝的合法身份進(jìn)入系統(tǒng),獲取軍事秘密信息。
(2)軍事信息網(wǎng)絡(luò)控制:這類(lèi)攻擊主要是依靠在目標(biāo)網(wǎng)絡(luò)中植人黑客程序段,使系統(tǒng)中的軍事信息在不知不覺(jué)中落人指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網(wǎng)絡(luò)協(xié)議與生俱來(lái)的某些缺陷,入侵者進(jìn)行某些偽裝后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙、電子郵件欺騙、源路由欺騙,地址欺騙等。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當(dāng)加密和強(qiáng)身份標(biāo)識(shí)、身份鑒別功能結(jié)合在一起時(shí),截獲攻擊便難以實(shí)現(xiàn)。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問(wèn)或病毒破壞,但是由于它本身在設(shè)計(jì)和實(shí)現(xiàn)上存在著缺陷。這就導(dǎo)致攻擊的產(chǎn)生,進(jìn)而出現(xiàn)軍事信息的泄露。
(6)網(wǎng)絡(luò)偵聽(tīng):它是主機(jī)工作模式,是一種被動(dòng)地接收某網(wǎng)段在物理通道上傳輸?shù)乃行畔?并借此來(lái)截獲該網(wǎng)絡(luò)上的各種軍事秘密信息的手段。
2.3人為因素造成的威脅
因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)是一個(gè)巨大的人機(jī)系統(tǒng),除了技術(shù)因素之外,還必須考慮到工作人員的安全保密因素。如國(guó)外的情報(bào)機(jī)構(gòu)的滲透和攻擊,利用系統(tǒng)值班人員和掌握核心技術(shù)秘密的人員,對(duì)軍事信息進(jìn)行竊取等攻擊;內(nèi)部人員的失誤以及攻擊。網(wǎng)絡(luò)運(yùn)用的全社會(huì)廣泛參與趨勢(shì)將導(dǎo)致控制權(quán)分散。由于人們利益、目標(biāo)、價(jià)值的分歧,使軍事信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空,從而使軍事信息安全問(wèn)題變得廣泛而復(fù)雜。
3網(wǎng)絡(luò)環(huán)境下軍事信息安全的應(yīng)對(duì)策略
3.1信息管理安全技術(shù)
軍事信息存儲(chǔ)安全最起碼的保障是軍事信息源的管理安全。隨著電子技術(shù)的快速發(fā)展,身份證、條形碼等數(shù)字密鑰的可靠性能越來(lái)越高,為了驗(yàn)證身份,集光學(xué)、傳感技術(shù)、超聲波掃描技術(shù)等一體的身份識(shí)別技術(shù)逐漸應(yīng)用到軍事信息安全中來(lái)。
3.1.1指紋識(shí)別技術(shù)
自動(dòng)指紋識(shí)別系統(tǒng)通過(guò)獲取指紋的數(shù)字圖像,并將其特征存儲(chǔ)于計(jì)算機(jī)數(shù)據(jù)庫(kù)中,當(dāng)用戶登錄系統(tǒng)時(shí),計(jì)算機(jī)便自動(dòng)調(diào)用數(shù)據(jù)庫(kù)中的信息,與用戶信息進(jìn)行比對(duì),以此來(lái)保證用戶對(duì)軍事信息使用權(quán)的不可替代性。
3.1.2虹膜、角膜識(shí)別技術(shù)
虹膜識(shí)別系統(tǒng)是利用攝像機(jī)來(lái)采集虹膜的特征,角膜掃描則是利用低密度紅外線來(lái)采集角膜的特征,然后將采集來(lái)的信息與數(shù)據(jù)庫(kù)中的注冊(cè)者信息進(jìn)行比對(duì),借此來(lái)保證登錄的權(quán)限,進(jìn)而起到保護(hù)軍事信息安全的作用。
3.2防火墻技術(shù)
防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)使用者的安全政策控制出入網(wǎng)絡(luò)的信息流。根據(jù)防火墻所采用的技術(shù)和對(duì)數(shù)據(jù)的處理方式不同,我們可以將它分為三種基本類(lèi)型:包過(guò)濾型,型和監(jiān)測(cè)型。
3.3數(shù)據(jù)加密技術(shù)
數(shù)據(jù)加密是對(duì)軍信息內(nèi)容進(jìn)行某種方式的改變,從而使其他人在沒(méi)有密鑰的前提下不能對(duì)其進(jìn)行正常閱讀,這一處理過(guò)程稱(chēng)為“加密”。在計(jì)算機(jī)網(wǎng)絡(luò)中,加密可分為“通信加密”和“文件加密”,這些加密技術(shù)可用于維護(hù)數(shù)據(jù)庫(kù)的隱蔽性、完整性、反竊聽(tīng)等安全防護(hù)工作,它的核心思想就是:既然網(wǎng)絡(luò)本身并不安全、可靠,那么,就要對(duì)全部重要的信息都進(jìn)行加密處理,密碼體制能將信息進(jìn)行偽裝,使得任何未經(jīng)授權(quán)者無(wú)法了解其真實(shí)內(nèi)容。加密的過(guò)程,關(guān)鍵在于密鑰。
3.4數(shù)字簽名技術(shù)
數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。在傳統(tǒng)密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發(fā)信方也可以抵賴(lài)他發(fā)過(guò)該密文,若產(chǎn)生糾紛,將無(wú)法裁決誰(shuí)是誰(shuí)非。
由于公鑰密碼的每個(gè)用戶都有兩個(gè)密鑰,所以實(shí)際上有兩個(gè)算法,如用戶A,一個(gè)是加密算法EA,一個(gè)是解密算法DA。
若A要向B送去信息m,A可用A的保密的解密算法DA對(duì)m進(jìn)行加密得DA(m),再用B的公開(kāi)算法EB對(duì)DA(m)進(jìn)行加密得:C=EB(DA(m)); B收到密文C后先用他自己掌握的解密算DDB對(duì)C進(jìn)行解密得:DB(C)=DB(EB(DA(m)))=DA(m);再用A的公開(kāi)算法EA對(duì)DA(m)進(jìn)行解密得:EA(DA(m))二m,從而得到了明文m。由于C只有A才能產(chǎn)生,B無(wú)法偽造或修改C,所以A也不能抵賴(lài),這樣就能達(dá)到簽名的目的。
4總結(jié)
要確保軍事信息網(wǎng)絡(luò)安全,技術(shù)是安全的主體,管理是安全的靈魂.當(dāng)前最為緊要的是各級(jí)都要樹(shù)立信息網(wǎng)絡(luò)安全意識(shí),從系統(tǒng)整體出發(fā),進(jìn)一步完善和落實(shí)好風(fēng)險(xiǎn)評(píng)估制度,建立起平時(shí)和戰(zhàn)時(shí)結(jié)合、技術(shù)和管理一體、 綜合完善的多層次、多級(jí)別、多手段的軍事安全信息網(wǎng)絡(luò)。
隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)通信(如QQ及微信)、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)電影及網(wǎng)絡(luò)游戲等已成為人們現(xiàn)代化的生活方式,這些都是網(wǎng)絡(luò)信息技術(shù)帶給人們帶來(lái)的無(wú)限便利。但是,在網(wǎng)絡(luò)資源共享及通信的同時(shí),網(wǎng)絡(luò)也伴隨各種風(fēng)險(xiǎn),如黑客入襲、病毒泛濫、數(shù)據(jù)丟失、信息被盜等網(wǎng)絡(luò)安全問(wèn)題的頻繁出現(xiàn),這些非法行為嚴(yán)重威脅著個(gè)人電腦網(wǎng)絡(luò)信息的安全,也使電腦網(wǎng)絡(luò)系統(tǒng)運(yùn)行緩慢,甚至出現(xiàn)系統(tǒng)崩潰等安全狀況。這些情況嚴(yán)重干擾了人們的正常生活,甚至給用戶造成重大經(jīng)濟(jì)損失。本文結(jié)合多年電腦網(wǎng)絡(luò)通信和使用經(jīng)驗(yàn),對(duì)個(gè)人電腦網(wǎng)絡(luò)信息安全與防范方面展開(kāi)研究。
1個(gè)人電腦網(wǎng)絡(luò)信息安全面臨的威脅
電腦上網(wǎng)運(yùn)行過(guò)程中面臨的威脅主要表現(xiàn)在以下幾個(gè)方面:
1.1個(gè)人電腦操作系統(tǒng)本身存在缺陷與漏洞。目前絕大多數(shù)個(gè)人電腦使用的Windows操作系統(tǒng)本身存在或多或少的漏洞,漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,黑客和病毒制造者利用漏洞讓病毒或木馬侵入他人電腦,從而在未被授權(quán)的情況下訪問(wèn)或破壞系統(tǒng)。
1.2人為惡意攻擊。這是目前個(gè)人電腦網(wǎng)絡(luò)面臨的最大安全威脅,計(jì)算機(jī)犯罪就屬于人為的惡意攻擊。它以各種手段破壞個(gè)人電腦網(wǎng)絡(luò)信息的完整性及有效性;竊取、截獲、破譯,從而獲取個(gè)人電腦網(wǎng)絡(luò)的數(shù)據(jù)信息。對(duì)個(gè)人電腦網(wǎng)絡(luò)安全造成很大的威脅,并造成個(gè)人數(shù)據(jù)信息的外泄。
1.3人為主觀因素。個(gè)人電腦用戶對(duì)電腦網(wǎng)絡(luò)的安全配置不當(dāng),而造成的安全威脅,用戶的網(wǎng)絡(luò)安全意識(shí)不高,對(duì)用戶口令的設(shè)置不重視等。
1.4計(jì)算機(jī)病毒入侵。計(jì)算機(jī)病毒具隱蔽性和潛伏性,個(gè)人電腦一旦被病毒侵入,系統(tǒng)將長(zhǎng)期遭到損傷、破壞。計(jì)算機(jī)病毒激發(fā)后會(huì)通過(guò)格式化、改寫(xiě)、刪除、破壞設(shè)置等破壞計(jì)算機(jī)儲(chǔ)存數(shù)據(jù)。竊取用戶隱私信息(如銀行密碼、賬戶密碼),盜用用戶財(cái)產(chǎn)或利用被病毒控制的用戶計(jì)算機(jī)進(jìn)行非法行為。
2個(gè)人電腦網(wǎng)絡(luò)信息安全性的有效防范措施
針對(duì)面臨的各種威脅,我們必須采取相對(duì)應(yīng)的有效防范措施,以保證我們的個(gè)人電腦網(wǎng)絡(luò)信息安全。
2.1及時(shí)更新電腦操作系統(tǒng)。電腦操作系統(tǒng)要不定期地更新,而新的操作系統(tǒng)在之初往往存在著安全漏洞,這就要求用戶在使用網(wǎng)絡(luò)時(shí)對(duì)操作系統(tǒng)及時(shí)進(jìn)行更新。系統(tǒng)漏洞就是指操作系統(tǒng)軟件在開(kāi)發(fā)過(guò)程中出現(xiàn)的缺陷,新出現(xiàn)的漏洞最先多由網(wǎng)絡(luò)攻擊者發(fā)現(xiàn),微軟為了完善操作系統(tǒng),就會(huì)通過(guò)不定期地補(bǔ)丁的方式,對(duì)新發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)完善。漏洞修復(fù)補(bǔ)丁是為完善操作程序另外編制的小程序。為了保證電腦網(wǎng)絡(luò)安全,使個(gè)人電腦網(wǎng)絡(luò)處于相對(duì)安全的狀態(tài),就必須對(duì)操作系統(tǒng)進(jìn)行及時(shí)的更新。因微軟已經(jīng)停止對(duì)WindowsXP提供補(bǔ)丁更新,建議用戶使用Windows7以上的版本,并及時(shí)更新操作系統(tǒng)。
2.2部署網(wǎng)絡(luò)防火墻。個(gè)人電腦網(wǎng)絡(luò)系統(tǒng)在安裝網(wǎng)絡(luò)防火墻的情況下,一般能過(guò)濾掉一些非法攻擊,降低病毒或非法者入侵的風(fēng)險(xiǎn)。除此之外,防火墻還具備關(guān)閉不常用端口、對(duì)特定端口流出的通信進(jìn)行封鎖等功能。最后,防火墻技術(shù)還可以識(shí)別特殊網(wǎng)站的訪問(wèn),使計(jì)算機(jī)免遭不明攻擊的侵入。
2.3安裝殺毒軟件。網(wǎng)絡(luò)病毒是影響個(gè)人電腦網(wǎng)絡(luò)安全系統(tǒng)的重要因素,因此安裝殺毒軟件勢(shì)在必行。除了安裝正版的防毒殺毒軟件之外,用戶在進(jìn)行網(wǎng)絡(luò)使用時(shí)還可以開(kāi)啟殺毒軟件實(shí)時(shí)監(jiān)控、定期更新、定時(shí)升級(jí),堅(jiān)持“防殺結(jié)合(防為主,殺為輔)、軟硬互補(bǔ)、標(biāo)本兼治”的原則,使個(gè)人電腦網(wǎng)絡(luò)系統(tǒng)在安全、無(wú)毒的環(huán)境中得以快速運(yùn)行。
2.4合理設(shè)置Administrator賬號(hào)。個(gè)人電腦裝上系統(tǒng)后,系統(tǒng)會(huì)自動(dòng)新建一個(gè)叫administrator的管理計(jì)算機(jī)(域)的內(nèi)置賬戶,是擁有計(jì)算機(jī)管理的最高權(quán)限,它的密碼默認(rèn)是空,很多用戶習(xí)慣空密碼使用這個(gè)賬號(hào)登錄系統(tǒng),這是電腦上網(wǎng)的大忌。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺(tái)計(jì)算機(jī)至少需要一個(gè)帳戶擁有administrator(管理員)權(quán)限,但不一定非用“Administrator”這個(gè)名稱(chēng)不可。所以,無(wú)論在那個(gè)Windows系統(tǒng)中,最好創(chuàng)建另一個(gè)擁有全部權(quán)限的帳戶,然后停用Administrator帳戶或改名。用戶帳戶建議設(shè)置足夠復(fù)雜的密碼,應(yīng)盡量設(shè)置為數(shù)字字母組合,密碼的長(zhǎng)度不應(yīng)小于6位,最好在8位以上,避免使用純數(shù)字或常用英語(yǔ)單詞的組合。復(fù)雜的賬號(hào)密碼能夠增加窮舉破解軟件的破解密碼難度。
2.5合理使用文件共享與遠(yuǎn)程桌面。建議平時(shí)停止系統(tǒng)默認(rèn)打開(kāi)的共享文件夾,關(guān)閉不使用的遠(yuǎn)程連接端口。需要使用的必須有設(shè)置訪問(wèn)權(quán)限控制,在安全環(huán)境下合理使用文件共享和啟用遠(yuǎn)程桌面也是避免攻擊者侵入的有力措施。
2.6保護(hù)個(gè)人信息。個(gè)人電腦用戶要自覺(jué)養(yǎng)成良好的防盜習(xí)慣,各種賬號(hào)密碼千萬(wàn)不要用文檔保存在電腦硬盤(pán),登錄密碼、支付密碼以及證書(shū)密碼不應(yīng)該設(shè)置相同,也不適宜選擇電話號(hào)碼、生日等容易猜中的數(shù)字作為密碼,密碼應(yīng)該數(shù)字和字母混合,并且交易密碼與信用卡密碼應(yīng)該定期進(jìn)行更改。登錄網(wǎng)絡(luò)銀行系統(tǒng)交易過(guò)程遭遇的異常情況都需要格外重視,并及時(shí)查看已經(jīng)發(fā)生的交易。用戶還應(yīng)該定期查看網(wǎng)絡(luò)銀行辦理轉(zhuǎn)賬業(yè)務(wù)與支付業(yè)務(wù)的記錄,也可以采用短信定制帳戶變動(dòng)通知,實(shí)時(shí)掌握帳戶的變動(dòng)情況。
2.7防范釣魚(yú)網(wǎng)站。不少賬戶被盜的案例其實(shí)是因?yàn)樵L問(wèn)了釣魚(yú)網(wǎng)站。他們偽裝成正規(guī)的銀行頁(yè)面或是支付頁(yè)面,騙取你輸入的帳戶名和密碼,利用ARP欺騙,可以在用戶瀏覽網(wǎng)站時(shí)植入一段HTML代碼,使其自動(dòng)跳轉(zhuǎn)到釣魚(yú)網(wǎng)站。避免被釣一方面需要對(duì)別人發(fā)來(lái)的網(wǎng)絡(luò)地址多留心,因?yàn)檫@個(gè)地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址,打開(kāi)的頁(yè)面也幾乎和真實(shí)的頁(yè)面完全一致,但是實(shí)際你進(jìn)入的是一個(gè)偽裝的釣魚(yú)網(wǎng)站;另一方面,盡量選擇具有安全認(rèn)證功能的瀏覽器,這些瀏覽器能夠自動(dòng)提示你打開(kāi)的頁(yè)面是否安全,避免進(jìn)入釣魚(yú)網(wǎng)站。
2.8盡量避免瀏覽色情網(wǎng)站。眾所周知,色情網(wǎng)站一般都會(huì)掛上各種各樣的木馬,確實(shí)很危險(xiǎn)。木馬傳播者通常是以色情視頻為誘餌,網(wǎng)民若想觀看則需安裝指定播放器,當(dāng)下載這個(gè)播放器時(shí)便會(huì)將木馬下載器也一同下載到自己的電腦,在觀看視頻的過(guò)程中,一些遠(yuǎn)程控制類(lèi)木馬也被捆綁進(jìn)播放器,用于竊取用戶的個(gè)人隱私信息,甚至于一些有價(jià)證券類(lèi)的帳號(hào)密碼也被竊取。因此,個(gè)人電腦用戶要盡量避免瀏覽色情網(wǎng)站。
2.9選擇安全方式下載軟件。在互聯(lián)網(wǎng)中,通信與共享是計(jì)算機(jī)網(wǎng)絡(luò)的最基本應(yīng)用,個(gè)人電腦用戶通常從網(wǎng)站下載各種應(yīng)用軟件,但以欺騙手段窺探用戶隱私、竊取個(gè)人信息的各種惡意軟件及網(wǎng)絡(luò)釣魚(yú)活動(dòng)嚴(yán)重威脅著網(wǎng)絡(luò)信息安全。這類(lèi)軟件的制作者在對(duì)軟件反編譯后,進(jìn)行重新封裝,在程序安裝時(shí),隱藏在軟件中的木馬與不安全控件也會(huì)被裝入計(jì)算機(jī),程序在運(yùn)行時(shí),用戶的信息隱私得不到保障,甚至網(wǎng)銀、賬號(hào)密碼等重要信息也會(huì)被竊取。下載文件的安全風(fēng)險(xiǎn)主要是木馬程序己被植入到文件中或是通過(guò)調(diào)用瀏覽器彈出網(wǎng)頁(yè)的方式,把用戶引入到含有木馬的危險(xiǎn)網(wǎng)站。因此,個(gè)人電腦用戶應(yīng)選擇正版軟件網(wǎng)站下載軟件,在完成下載任務(wù)后應(yīng)先利用殺毒軟件對(duì)文件進(jìn)行掃描,保證網(wǎng)絡(luò)下載安全。
2.10對(duì)個(gè)人電腦存放的重要數(shù)據(jù)定期進(jìn)行備份。盡管網(wǎng)絡(luò)安全的防范措
施非常嚴(yán)密,也不能保證安全無(wú)憂,個(gè)人電腦在遭到攻擊癱瘓時(shí),應(yīng)用軟件程序和操作系統(tǒng)能夠重裝,而一些重要的數(shù)據(jù)卻無(wú)法恢復(fù),因此應(yīng)對(duì)個(gè)人電腦存放的重要數(shù)據(jù)進(jìn)行定期備份。 2.11網(wǎng)絡(luò)支付配備U盾。目前的個(gè)人電腦的安全狀況在網(wǎng)絡(luò)支付的環(huán)境下已經(jīng)不再值得信任,目前銀行都會(huì)配備U盾。為進(jìn)一步確保客戶在支付領(lǐng)域的安全性,通用U盾設(shè)計(jì)了高級(jí)別、多層次的網(wǎng)絡(luò)交易安全防護(hù)技術(shù),保障客戶資金安全,它內(nèi)置微型智能卡處理器,采用1024位非對(duì)稱(chēng)密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名,確保交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。它的最大特點(diǎn)就是同時(shí)配備有USB接口和音頻接口,同時(shí)保障客戶在電腦和手機(jī)支付上的雙重安全,相當(dāng)于為這兩個(gè)支付渠道都裝上了一道防火墻。
個(gè)人電腦已離不開(kāi)網(wǎng)絡(luò),個(gè)人電腦網(wǎng)絡(luò)信息安全與防范應(yīng)該引起我們的重視。本文簡(jiǎn)要的分析了一些個(gè)人電腦網(wǎng)絡(luò)中的一些主要的信息安全問(wèn)題以及安全防范措施,可以根據(jù)這些措施定期或不定期的對(duì)個(gè)人電腦做一些檢查,這樣才能保證安全、高效的運(yùn)行。
一、智能電網(wǎng)信息安全技術(shù)的作用
信息安全是智能電網(wǎng)高效穩(wěn)定運(yùn)營(yíng)發(fā)展的重要保障基礎(chǔ),是電力通信安全技術(shù)研究的一個(gè)重要課題。智能電網(wǎng)配電自動(dòng)化系統(tǒng)信息安全體系可有效提高智能電網(wǎng)信息安全水平,促進(jìn)智能電網(wǎng)的高效穩(wěn)定、節(jié)能經(jīng)濟(jì)的運(yùn)營(yíng)發(fā)展。我們所謂的智能電網(wǎng)信息安全技術(shù),主要是保證信息的安全性,在保證安全性的同時(shí),也提出了相應(yīng)的技術(shù)要求,比如應(yīng)用電網(wǎng)核心部件、建設(shè)業(yè)務(wù)系統(tǒng)安全、研究電網(wǎng)基礎(chǔ)信息、安全保障技術(shù)等,另外,它也負(fù)責(zé)研究和開(kāi)發(fā)安全存儲(chǔ)和防范攻擊以及防范網(wǎng)絡(luò)病毒等方面,這些方面也需要高度重視。
二、智能電網(wǎng)信息安全體系的組成部分
2.1 基礎(chǔ)硬件設(shè)備
發(fā)電、輸電、配電、用電這四個(gè)環(huán)節(jié)中包括基礎(chǔ)硬件。其中,發(fā)電所覆蓋的范圍極廣,比如電源接入、電源光伏等,輸電所覆蓋的范圍包括網(wǎng)架、超導(dǎo)、高壓等;配電所涵蓋的范圍包括高級(jí)電表設(shè)備、虛擬電廠、配電微網(wǎng)等;用電所涵蓋的范圍包括電力供應(yīng)站、自動(dòng)控制設(shè)備、電力存儲(chǔ)設(shè)施等。
2.2 感知測(cè)量層的組成
感知測(cè)量層必須在應(yīng)用智能測(cè)控設(shè)備后,才能成功實(shí)現(xiàn)智能感知,進(jìn)一步評(píng)估電網(wǎng)是否穩(wěn)定和是否存在堵塞狀況以及監(jiān)控設(shè)備是否處于正常運(yùn)行狀況中。感知測(cè)量層主要由電磁信號(hào)測(cè)量系統(tǒng)、分析系統(tǒng)、數(shù)字繼電器、智能讀書(shū)系統(tǒng)等組成。通常情況下,上述所講的儀器表都是運(yùn)用射頻加以識(shí)別,與智能電網(wǎng)進(jìn)行連接。
2.3 信息通信層的組成
在信息通信層中,所使用的技術(shù)覆蓋配電自動(dòng)化、能量管理、數(shù)字移動(dòng)通信、采集數(shù)據(jù)、光纖通信等領(lǐng)域范疇之內(nèi),真正實(shí)現(xiàn)交換數(shù)據(jù)和信息以及進(jìn)行相應(yīng)的控制,保證系統(tǒng)的穩(wěn)定性和可靠性,充分運(yùn)用資產(chǎn)利用率,實(shí)現(xiàn)信息的安全共享。
2.4 調(diào)度運(yùn)維層的組成
智能電網(wǎng)還涉及其他方面很多因素,比如社會(huì)因素、自然因素、經(jīng)濟(jì)因素等,因此想要精確控制和管理,需要結(jié)合人工智能技術(shù)。為保證整個(gè)系統(tǒng)有序運(yùn)行,并更好地進(jìn)行協(xié)調(diào)控制管理,可將網(wǎng)狀控制結(jié)構(gòu)形式以及分布式智能化等設(shè)計(jì)理念與系統(tǒng)建設(shè)相結(jié)合。系統(tǒng)既可集中協(xié)調(diào),也可實(shí)施分布式?jīng)Q策控制。
三、應(yīng)用智能電網(wǎng)信息安全技術(shù)所涉及的內(nèi)容
3.1 智能電網(wǎng)物理安全
智能電網(wǎng)系統(tǒng)在正常運(yùn)行情況下,所需要的安全硬件設(shè)備稱(chēng)之為智能電網(wǎng)的物理安全。其中這些硬件設(shè)備通常包括測(cè)量?jī)x器和智能流量計(jì)等類(lèi)型的傳感器,在通信系統(tǒng)中,各種計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備以及存儲(chǔ)數(shù)據(jù)等各種類(lèi)型的存儲(chǔ)介質(zhì)。其所謂的物理安全實(shí)際指保證與智能電網(wǎng)系統(tǒng)有關(guān)的硬件安全以及硬件設(shè)備本身的安全等,這也是智能電網(wǎng)安全信息控制的主要工作內(nèi)容。物理安全主要是指防止人為因素破壞業(yè)務(wù)系統(tǒng)的安全性,同時(shí)也防止有人通過(guò)各種方式入侵系統(tǒng)中,這就需要無(wú)論在信息事件發(fā)生前,還是在信息事件發(fā)生后,都應(yīng)審查所有物理設(shè)備的接觸行為。
3.2 網(wǎng)絡(luò)的安全性
智能電網(wǎng)所具有的可靠性也就是指網(wǎng)絡(luò)方面的安全性,這就要求通信網(wǎng)絡(luò)應(yīng)完善的二次系統(tǒng)防護(hù)措施。安全分區(qū)、橫向隔離、縱向認(rèn)證等是網(wǎng)絡(luò)安全防護(hù)的標(biāo)準(zhǔn)。我國(guó)目前網(wǎng)絡(luò)安全方面遭遇到黑客攻擊,且黑客攻擊的技能技術(shù)也在不斷提高,傳統(tǒng)的網(wǎng)絡(luò)安全手段和方法已不能滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的要求。如果在這時(shí)應(yīng)用大量的智能電網(wǎng)設(shè)備將十分困難,有可能面臨電網(wǎng)癱瘓的局面。因此,在選擇安全加密算法時(shí)和建設(shè)整個(gè)網(wǎng)絡(luò)體系時(shí),都要具有充足的前瞻性,做好設(shè)計(jì)以及計(jì)劃工作。在網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)行中,要充分運(yùn)用虛擬專(zhuān)用網(wǎng)和防火墻以及網(wǎng)絡(luò)病毒查殺等技術(shù)進(jìn)一步保證網(wǎng)絡(luò)安全運(yùn)行。
3.3 數(shù)據(jù)傳送的安全
在應(yīng)用智能電網(wǎng)過(guò)程中,一定要保證信息數(shù)據(jù)的傳送安全,也需要掌握好數(shù)據(jù)的保密性、正確性、防復(fù)制等重要指標(biāo)。對(duì)于整個(gè)數(shù)據(jù)的安全認(rèn)證以及管理中心數(shù)據(jù)都要進(jìn)行備份,防止數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失。恢復(fù)數(shù)據(jù)庫(kù)以及備份數(shù)據(jù)庫(kù)都需要系統(tǒng)管理員操作。一些經(jīng)常變動(dòng)的數(shù)據(jù)每天既要做好記錄,也要做好備份。一些不常變化的數(shù)據(jù),可定期或者不定期進(jìn)行備份。另外,數(shù)據(jù)庫(kù)中所存儲(chǔ)的密鑰信息和加密信息以及關(guān)鍵信息等,都需要進(jìn)行加密存儲(chǔ)。
3.4 業(yè)務(wù)安全的任務(wù)
保證智能電網(wǎng)業(yè)務(wù)應(yīng)用的可靠性、穩(wěn)定性、完整性、科學(xué)性等是應(yīng)用業(yè)務(wù)安全的重要任務(wù),也更加要保證業(yè)務(wù)工作流程的可操作性和完整性。對(duì)于電力系統(tǒng)安全防護(hù)方面的特征,可運(yùn)用強(qiáng)制性的控制技術(shù)來(lái)提高網(wǎng)絡(luò)信息的安全性,防止網(wǎng)絡(luò)信息被損壞或者操控,進(jìn)一步加強(qiáng)電網(wǎng)信息業(yè)務(wù)系統(tǒng)的安全性。
3.5 加強(qiáng)網(wǎng)絡(luò)通信的安全
支撐智能電網(wǎng)基礎(chǔ)平臺(tái)運(yùn)行的是信息安全通信。一方面既需要有計(jì)劃和有目標(biāo)部署對(duì)應(yīng)的安全通信產(chǎn)品,做到通信技術(shù)與通信管理的要求相統(tǒng)一,另一方面也要提高網(wǎng)絡(luò)通信管理的安全性,規(guī)范管理員工的各項(xiàng)操作行為。通過(guò)對(duì)信息通信和重要網(wǎng)絡(luò)所進(jìn)行的主動(dòng)控制,比如網(wǎng)絡(luò)邊界保護(hù)系統(tǒng)、防御系統(tǒng)、數(shù)據(jù)傳輸系統(tǒng)等重要技術(shù),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的交換和控制,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)通信的安全。
四、結(jié) 語(yǔ)
在智能電網(wǎng)的快速發(fā)展下,雖然網(wǎng)絡(luò)信息的安全性得到進(jìn)一步保證,但還存在很多問(wèn)題,這需要深入分析和研究信息安全技術(shù),在研究的同時(shí),也需要與智能電網(wǎng)信息系統(tǒng)相結(jié)合,建立健全信息安全系統(tǒng),保證網(wǎng)絡(luò)通信的安全,提高網(wǎng)絡(luò)業(yè)務(wù)的可信性和操作性。
科學(xué)技術(shù)的產(chǎn)生與實(shí)際廣泛運(yùn)用總是在矛盾中發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)也不例外。21世紀(jì)是計(jì)算機(jī)技術(shù)蓬勃發(fā)展的時(shí)代,人們的日常生活極大程度的依賴(lài)其技術(shù)的發(fā)展與完善。然后,伴隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,我們也看到網(wǎng)絡(luò)信息技術(shù)的各種漏洞對(duì)人們個(gè)人信息和財(cái)產(chǎn)安全帶來(lái)的實(shí)際威脅。同時(shí),我國(guó)的政治、經(jīng)濟(jì)、國(guó)防等部分的正常運(yùn)作也依賴(lài)于計(jì)算機(jī)科學(xué)技術(shù),若出現(xiàn)安全漏洞對(duì)國(guó)家財(cái)產(chǎn)和公民安全所造成的危害是不可估量的。所以,無(wú)論是國(guó)家部門(mén)、企事業(yè)單位、集體組織以及個(gè)體都需高度重視計(jì)算機(jī)信息安全管理問(wèn)題。
1 計(jì)算機(jī)信息安全的相關(guān)概念
計(jì)算機(jī)信息安全是指現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)通信所需要的內(nèi)部和外部環(huán)境,主要的保護(hù)對(duì)象為計(jì)算機(jī)信息通信系統(tǒng)中硬件及軟件等數(shù)據(jù)信息,在運(yùn)行過(guò)程中使其免受木馬、盜號(hào)、惡意篡改信息等黑客行為,從而保障計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的安全、穩(wěn)定運(yùn)行。因此,計(jì)算機(jī)信息安全指的是保障信息在網(wǎng)絡(luò)傳輸是能抵御各種攻擊,并對(duì)系統(tǒng)產(chǎn)生的各種安全漏洞進(jìn)行自我修復(fù)或發(fā)出預(yù)警指示提醒信息管理人員及時(shí)采取相應(yīng)措施。計(jì)算機(jī)信息安全所涉及的系統(tǒng)信息數(shù)據(jù)極為龐大,主要包括計(jì)算機(jī)ID信息、硬件資源、網(wǎng)絡(luò)服務(wù)器地址、服務(wù)器管理員密碼、文件夾密碼以及計(jì)算機(jī)系統(tǒng)不斷變換與更新的各類(lèi)登錄用戶名和密碼信息等內(nèi)容。從整體來(lái)來(lái)歸類(lèi),可以將計(jì)算機(jī)信息安全劃分為信息的存儲(chǔ)安全和傳輸安全兩大類(lèi)。
2 計(jì)算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容
計(jì)算機(jī)信息安全防護(hù)技術(shù)所包含的內(nèi)容較為繁雜,從現(xiàn)階段安全技術(shù)應(yīng)用的實(shí)際情況來(lái)看,強(qiáng)化計(jì)算機(jī)安全防護(hù)技術(shù)可以從安全技術(shù)管理入手。安全管理包含的主要內(nèi)容為:對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全檢測(cè)和漏洞修補(bǔ)、分析系統(tǒng)數(shù)據(jù)、安裝系統(tǒng)防火墻、設(shè)置管理員密碼、安裝正版殺毒軟件、對(duì)系統(tǒng)進(jìn)行定期不定期的入侵檢測(cè)掃描等。同時(shí),計(jì)算機(jī)安全防護(hù)管理人員應(yīng)積極的研究并完善信息安全管理制度,嚴(yán)格根據(jù)管理?xiàng)l列規(guī)范安全防護(hù)行為,加強(qiáng)對(duì)管理人員的安全知識(shí)培訓(xùn),提高其安全防護(hù)意識(shí)。
3 提高計(jì)算機(jī)信息安全的策略
為了提高計(jì)算機(jī)信息安全防護(hù)水平,保護(hù)國(guó)家和個(gè)人的信息與財(cái)產(chǎn)安全,以充分發(fā)揮計(jì)算機(jī)科學(xué)技術(shù)的社會(huì)和經(jīng)濟(jì)效益,我們應(yīng)從以下幾個(gè)方面來(lái)加強(qiáng)計(jì)算機(jī)信息安全防護(hù)工作。
3.1 提高計(jì)算機(jī)信息安全防護(hù)意識(shí),加強(qiáng)法律立法
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及個(gè)人PC機(jī)、移動(dòng)終端的大眾化使用,隨之而來(lái)的信息安全威脅與日俱爭(zhēng),一方面是由于計(jì)算機(jī)操作使用者的技術(shù)門(mén)檻要求過(guò)低;另一方面是計(jì)算機(jī)安全防護(hù)技術(shù)與黑客技術(shù)的發(fā)展所呈現(xiàn)出的矛盾性。無(wú)論是國(guó)家部門(mén)還是企事業(yè)組織對(duì)職工的安全防護(hù)知識(shí)力度的不足,更導(dǎo)致計(jì)算機(jī)安全事故頻發(fā)。因此,要提高計(jì)算機(jī)信息安全防護(hù)技術(shù)水平,首要加強(qiáng)法律立法,對(duì)各種黑客入侵和人為惡意破壞行為進(jìn)行法律上的制裁;同時(shí),國(guó)家應(yīng)出臺(tái)并完善計(jì)算機(jī)安全防護(hù)管理?xiàng)l例,使計(jì)算機(jī)信息安全防護(hù)工作有法可依,有法可循。針對(duì)認(rèn)為操作失誤而導(dǎo)致的計(jì)算機(jī)安全事故,應(yīng)做好對(duì)相關(guān)人員的安全防護(hù)知識(shí)教育工作,提高其安全防護(hù)意識(shí),從思想上認(rèn)知到計(jì)算機(jī)安全防護(hù)知識(shí)對(duì)維護(hù)個(gè)人和集體財(cái)產(chǎn)安全的重要性。企事業(yè)單位應(yīng)將掌握一定的計(jì)算機(jī)安全防護(hù)知識(shí)作為職工聘任標(biāo)準(zhǔn)之一,并將這一標(biāo)準(zhǔn)加入到職工考核之中,在各類(lèi)組織結(jié)構(gòu)內(nèi)容構(gòu)建計(jì)算機(jī)信息安全管理?xiàng)l例,以規(guī)范人們的日常行為。
3.2 計(jì)算機(jī)信息安全防護(hù)的具體技術(shù)
1)設(shè)立身份驗(yàn)證機(jī)制。身份驗(yàn)證機(jī)制即是確認(rèn)訪問(wèn)計(jì)算機(jī)信息系統(tǒng)的具體個(gè)人是否為系統(tǒng)所允許,最主要的目的是防止其他個(gè)人的惡意欺詐和假冒攻擊行為。對(duì)身份驗(yàn)證通常有三種方法:①設(shè)立管理員登陸密碼和私有密鑰等;②通過(guò)特殊的媒介進(jìn)行身份驗(yàn)證,如網(wǎng)銀登陸所需要的U盾,管理員配置的IC卡和護(hù)照等;③通過(guò)驗(yàn)證用戶的生物體征來(lái)達(dá)到密碼保護(hù)的功能,如IPHONE的HOME鍵指紋識(shí)別功能,或者其他的視網(wǎng)膜識(shí)別和筆跡識(shí)別等。
2)設(shè)定用戶操作權(quán)限。結(jié)合計(jì)算機(jī)信息數(shù)據(jù)的具體應(yīng)用,設(shè)置不同的個(gè)體訪問(wèn)、修改、保存、復(fù)制和共享權(quán)限,以防止用戶的越權(quán)行為對(duì)信息安全系統(tǒng)所帶來(lái)的潛在威脅。如設(shè)置計(jì)算機(jī)PC端的管理員和訪客密碼,文件的可修改、可復(fù)制權(quán)限等。
3)加密計(jì)算機(jī)信息數(shù)據(jù)。信息數(shù)據(jù)的加密即是通過(guò)美國(guó)改變信息符號(hào)的排列足組合方式或設(shè)置對(duì)象之間的身份識(shí)別機(jī)制,以實(shí)現(xiàn)只有合法用戶才能獲取信息的目的。計(jì)算機(jī)信息加密方法一般分為:信息表加密、信息記錄加密以及信息字段加密等。其中計(jì)算機(jī)信息記錄的加密處理方式因其操作方式便利、靈活性高、選擇性多而受到較為廣泛的應(yīng)用。如網(wǎng)絡(luò)聊天工具的異地登錄聊天信息查詢(xún)的密碼登錄功能。
3.3 網(wǎng)絡(luò)安全監(jiān)測(cè)
對(duì)計(jì)算機(jī)網(wǎng)絡(luò)傳輸帶寬進(jìn)行合理分配,并預(yù)留相應(yīng)的空間,以滿足網(wǎng)絡(luò)使用高峰期的資源需求,并控制網(wǎng)絡(luò)IP訪問(wèn),設(shè)置IP過(guò)濾和黑名單功能,關(guān)閉系統(tǒng)的遠(yuǎn)程控制與撥號(hào)功能。局域網(wǎng)內(nèi)設(shè)置用戶訪問(wèn)、復(fù)制、修改與共享權(quán)限,有WIFI的局域網(wǎng)設(shè)置相應(yīng)的密鑰。同時(shí),要監(jiān)測(cè)端口掃描、木馬攻擊、服務(wù)攻擊、IP碎片攻擊、惡意插件下載與安裝等潛在的信息安全威脅。對(duì)操作終端安裝殺毒軟件,定期的進(jìn)行全盤(pán)掃描和殺毒,以及時(shí)的檢測(cè)系統(tǒng)是否存在惡意攻擊代碼,系統(tǒng)不能刪除的文件要進(jìn)行手動(dòng)清除。
4 結(jié)束語(yǔ)
隨著計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,對(duì)計(jì)算機(jī)信息安全防護(hù)工作也提出了更多的挑戰(zhàn),我國(guó)的計(jì)算機(jī)信息安全防護(hù)技術(shù)已然取得了一定的成績(jī),但仍存在著諸多的不足,這就需要科研人員不斷吸收更多先進(jìn)的技術(shù)并積極的進(jìn)行自主研發(fā),在實(shí)踐工作中不斷的提高與完善計(jì)算機(jī)信息安全防護(hù)機(jī)制,使計(jì)算信息網(wǎng)絡(luò)技術(shù)更好的服務(wù)于人們的日常工作與生活。
1、提高企業(yè)信息系統(tǒng)的策略及措施解決企業(yè)信息安全方案分析
解決信息系統(tǒng)安全要有以下幾點(diǎn)認(rèn)識(shí):要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問(wèn)題要樹(shù)立系統(tǒng)觀念,不能光靠一個(gè)面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計(jì)算機(jī)系統(tǒng)兩者組成,這包括人和技術(shù)兩點(diǎn)因素。使用和維護(hù)計(jì)算機(jī)安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動(dòng)態(tài)性和變化性等特點(diǎn)進(jìn)行調(diào)整。信息系統(tǒng)是一項(xiàng)長(zhǎng)期屬于相對(duì)安全的工作,必須制訂長(zhǎng)銷(xiāo)機(jī)制,絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進(jìn)、科學(xué)及適用的安全技術(shù)系統(tǒng),在對(duì)系統(tǒng)進(jìn)行監(jiān)控和防護(hù),及時(shí)適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機(jī)制,配合智能型動(dòng)態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來(lái)自于風(fēng)險(xiǎn)評(píng)估、安全策略、自我防御、實(shí)時(shí)監(jiān)測(cè)、恢復(fù)數(shù)據(jù)、動(dòng)態(tài)調(diào)整七個(gè)方面。其中,通過(guò)風(fēng)險(xiǎn)評(píng)估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問(wèn)題。在經(jīng)過(guò)分析對(duì)即將產(chǎn)生問(wèn)題的信息系統(tǒng)進(jìn)行報(bào)告。
安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進(jìn)行。是保障整個(gè)安全體系運(yùn)行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問(wèn)題采用相關(guān)的技術(shù)防護(hù)措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過(guò)監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)運(yùn)行各種情況。在安全防護(hù)機(jī)制下及時(shí)發(fā)現(xiàn)并且制止各種對(duì)系統(tǒng)攻擊的可能性,假設(shè)安全防護(hù)機(jī)制失效必須進(jìn)行應(yīng)急處理,立刻實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計(jì)算機(jī)系統(tǒng)被攻擊破壞的程度。可以采取自主備份,數(shù)據(jù)恢復(fù),確保恢復(fù),快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù),適時(shí)跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。
通過(guò)改善系統(tǒng)性能引入一套先進(jìn)的動(dòng)態(tài)調(diào)整智能反饋機(jī)制,可以促進(jìn)系統(tǒng)自動(dòng)產(chǎn)生安全保護(hù),取得良好的安全防護(hù)效果。可以對(duì)一臺(tái)安全體系模型進(jìn)行分析,在管理方面,對(duì)安全策略和風(fēng)險(xiǎn)評(píng)估進(jìn)行測(cè)評(píng),在技術(shù)層面,實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面,結(jié)合安全跟蹤進(jìn)行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動(dòng)態(tài)自主調(diào)整的反饋機(jī)制,促進(jìn)該體系模型更好的與系統(tǒng)動(dòng)態(tài)性能結(jié)合。
信息安全管理在風(fēng)險(xiǎn)評(píng)估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護(hù)信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專(zhuān)門(mén)的信息系統(tǒng)安全管理部門(mén),保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專(zhuān)門(mén)負(fù)責(zé)企業(yè)的信息安全實(shí)行總體規(guī)劃及管理。在設(shè)立信息主管部門(mén)實(shí)施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類(lèi)用戶的職責(zé)和權(quán)限、必須嚴(yán)格遵守操作系統(tǒng)過(guò)程中的規(guī)范、信息安全事件的報(bào)告和處理流程、對(duì)保密信息進(jìn)行嚴(yán)格存儲(chǔ)、系統(tǒng)的帳號(hào)及密碼管理、數(shù)據(jù)庫(kù)中信息管理、中心機(jī)房設(shè)備維護(hù)、檢查與評(píng)估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)。而且在實(shí)際運(yùn)用過(guò)程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。
相關(guān)部門(mén)應(yīng)該積極開(kāi)展信息風(fēng)險(xiǎn)評(píng)估工作。通過(guò)維護(hù)信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓?fù)洹⒕W(wǎng)絡(luò)設(shè)備和安全設(shè)備,對(duì)系統(tǒng)安全定期的進(jìn)行評(píng)估工作,主動(dòng)發(fā)現(xiàn)系統(tǒng)存在的安全問(wèn)題。主要針對(duì)企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進(jìn)行全方位檢查,對(duì)管理存在的弱點(diǎn)進(jìn)行技術(shù)識(shí)別。對(duì)于企業(yè)的信息安全現(xiàn)狀進(jìn)行全面的評(píng)估,可以制作一張風(fēng)險(xiǎn)視圖表現(xiàn)企業(yè)全面存在的問(wèn)題。為安全建設(shè)提供指導(dǎo)方向和參考價(jià)值。為企業(yè)信息安全建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。
最后,加強(qiáng)信息系統(tǒng)的運(yùn)行管理。可以通過(guò)以下措施進(jìn)行:規(guī)范系統(tǒng)電子臺(tái)帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項(xiàng)工作進(jìn)行閉環(huán)管理,系統(tǒng)安裝、設(shè)備運(yùn)營(yíng)管理等。還要對(duì)用戶工作進(jìn)行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限。防御體系、實(shí)時(shí)檢測(cè)和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護(hù)信息安全保障體系過(guò)程中,需要多方面,多角度的進(jìn)行綜合考慮。采用分步實(shí)施,逐步實(shí)現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強(qiáng)系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性。
對(duì)中心數(shù)據(jù)庫(kù)系統(tǒng)、核心交換機(jī)、數(shù)據(jù)中心的存儲(chǔ)系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點(diǎn)故障可以采取雙機(jī)甚至群集的配置。另外,加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)。接下來(lái)重點(diǎn)談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強(qiáng)網(wǎng)絡(luò)的接入管理。
與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專(zhuān)門(mén)的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實(shí)現(xiàn)管理接入。在實(shí)際操作過(guò)程中,可以采取邊緣認(rèn)證的方式。筆者在實(shí)際工作經(jīng)驗(yàn)總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過(guò)對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造實(shí)現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式。不斷實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時(shí)所有的工作站設(shè)備必須經(jīng)過(guò)安全認(rèn)證,從而保證只有登記的、授權(quán)記錄在冊(cè)的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個(gè)系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過(guò)劃分子網(wǎng)可以實(shí)現(xiàn)對(duì)不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實(shí)現(xiàn)某些應(yīng)用系統(tǒng)中的相對(duì)隔離。
2、結(jié)語(yǔ)
本文結(jié)合了筆者實(shí)際工作經(jīng)驗(yàn)對(duì)企業(yè)信息系統(tǒng)的安全問(wèn)題提出了系統(tǒng)性的思考,對(duì)長(zhǎng)期存在相對(duì)動(dòng)態(tài)的信息系統(tǒng)安全解決的方法進(jìn)行探討。可以用一句話進(jìn)行概括總結(jié):系統(tǒng)安全六要素是組成的系統(tǒng)安全的必要因素。同時(shí),抓好規(guī)范管理,實(shí)現(xiàn)信息系統(tǒng)的安全技術(shù)。
一、計(jì)算機(jī)網(wǎng)絡(luò)信息所面臨的安全威脅分析
(一)網(wǎng)絡(luò)本身弱點(diǎn)
信息網(wǎng)絡(luò)具有開(kāi)放性的顯著特點(diǎn),既為網(wǎng)絡(luò)用戶提供了便捷高速的服務(wù)方式,也成為網(wǎng)絡(luò)信息需要面臨的一項(xiàng)安全威脅。同時(shí),運(yùn)用于信息網(wǎng)絡(luò)的相關(guān)通信協(xié)議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數(shù)據(jù)截取等安全問(wèn)題。
(二)人為惡意攻擊
人為惡意攻擊是網(wǎng)絡(luò)信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強(qiáng)的針對(duì)性,是有目的地進(jìn)行網(wǎng)絡(luò)信息數(shù)據(jù)完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對(duì)網(wǎng)路信息數(shù)據(jù)的竊取、破譯、篡改等,主要威脅到用戶的經(jīng)濟(jì)利益。
(三)計(jì)算機(jī)病毒
計(jì)算機(jī)病毒存在隱蔽性、傳染性、破壞性等特點(diǎn),往往隱藏或偽裝為正常程序,隨著計(jì)算機(jī)程序的啟動(dòng)而被運(yùn)行。計(jì)算機(jī)病毒通過(guò)破壞、竊聽(tīng)等方式,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統(tǒng)的運(yùn)行效率,重則破壞用戶的整體系統(tǒng)數(shù)據(jù),且難以被恢復(fù),形成不可挽回的損失。
二、網(wǎng)絡(luò)信息技術(shù)安全現(xiàn)狀分析
目前,國(guó)內(nèi)絕大部分企業(yè)、單位都已建立了相關(guān)的信息系統(tǒng),實(shí)現(xiàn)了對(duì)各類(lèi)豐富信息資源的充分利用。但隨著各行各業(yè)信息網(wǎng)絡(luò)系統(tǒng)的逐步成型,網(wǎng)絡(luò)信息所面臨的黑客、惡意軟件與其他攻擊等安全問(wèn)題越來(lái)越多,雖已研發(fā)、改進(jìn)了許多信息安全技術(shù),用于網(wǎng)絡(luò)信息安全防護(hù),但仍舊存在許多問(wèn)題,究其原因,主要表現(xiàn)在以下三方面:
第一,未建立健全的安全技術(shù)保障體系。當(dāng)前大部分企業(yè)、單位,在信息安全設(shè)備上投入較多資金,以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠。但是,沒(méi)有建立健全相應(yīng)的技術(shù)保障體系,預(yù)期目標(biāo)難以被實(shí)現(xiàn)。
第二,缺乏制度化與常規(guī)化的應(yīng)急反應(yīng)體系。現(xiàn)階段,許多行業(yè)領(lǐng)域內(nèi),在網(wǎng)絡(luò)信息技術(shù)安全方面,還未建立健全相應(yīng)的應(yīng)急反應(yīng)系統(tǒng),而對(duì)已有應(yīng)急反應(yīng)系統(tǒng),沒(méi)有進(jìn)行制度化、常規(guī)化改進(jìn)。
第三,企業(yè)、單位的信息安全標(biāo)準(zhǔn)與制度滯后。在網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)與制度建設(shè)方面,企業(yè)與單位都為進(jìn)行及時(shí)的調(diào)整與改進(jìn)。同時(shí),用戶缺乏信息安全意識(shí),網(wǎng)絡(luò)信息安全管理員為經(jīng)歷科學(xué)、系統(tǒng)的安全技術(shù)培訓(xùn),安全管理水平不高。而用于信息安全的經(jīng)費(fèi)投入較少,難以達(dá)到信息安全標(biāo)準(zhǔn)與要求。
三、現(xiàn)行主要信息安全技術(shù)及應(yīng)用分析
(一)通信協(xié)議安全
作為下一代互聯(lián)網(wǎng)通信協(xié)議,IPv6安全性較高,強(qiáng)制實(shí)施Internet安全協(xié)議IPSec,由認(rèn)證協(xié)議、封裝安全載荷、Internet密鑰交換協(xié)議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務(wù)得到有效實(shí)現(xiàn)。
(二)密碼技術(shù)
確保網(wǎng)絡(luò)信息安全的核心與關(guān)鍵為信息安全技術(shù)中的密碼技術(shù),其密碼體質(zhì)包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對(duì)稱(chēng)密碼;雙鑰為不對(duì)稱(chēng)密碼;混亂密碼為單雙鑰的混合實(shí)現(xiàn)。在網(wǎng)絡(luò)系統(tǒng)中,采用加密技術(shù)能避免使用特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),便于數(shù)據(jù)傳輸?shù)耐瑫r(shí),確保網(wǎng)絡(luò)路徑的安全可靠,為網(wǎng)絡(luò)通信過(guò)程提供真正的保障。現(xiàn)階段,在網(wǎng)絡(luò)信息中,所采用的密碼技術(shù)主要為雙鑰與混合密碼。
1、公鑰密碼
為了加強(qiáng)公鑰密碼的安全性能,公鑰的長(zhǎng)度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運(yùn)算模式,通過(guò)乘法與模減運(yùn)算的同時(shí)進(jìn)行,大程度提升了運(yùn)算速度,被廣泛使用。同時(shí),部分廠商已成功研制出與IEEEPl363標(biāo)準(zhǔn)相符合的橢圓曲線公鑰密碼,并成功運(yùn)用于電子政務(wù)中,具備較強(qiáng)的保密性與較高的運(yùn)行速度。
2、Hash函數(shù)
關(guān)于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計(jì)算量,在很大程度上影響了Hash函數(shù)安全現(xiàn)狀的評(píng)估及其今后設(shè)計(jì)。同時(shí),由于MD5和SHA-1的破解,讓數(shù)字簽名的現(xiàn)有理論根基遭到質(zhì)疑,給正在使用中的數(shù)字簽名方法帶來(lái)巨大威脅。
3、量子密碼
量子加密技術(shù)采用量子力學(xué)定律,讓用戶雙方產(chǎn)生私有隨機(jī)數(shù)字字符串,以代表數(shù)字字符串的單個(gè)量子序列傳遞信息,并通過(guò)比特值進(jìn)行信息接收,確保通信不被竊聽(tīng)。一旦竊聽(tīng)現(xiàn)象發(fā)生,通信就會(huì)結(jié)束,并生成新的密鑰。
(三)防火墻技術(shù)
防護(hù)墻技術(shù)是一組軟硬件的有機(jī)組合,為控制內(nèi)部與外部網(wǎng)絡(luò)訪問(wèn)的有效手段,能確保內(nèi)部網(wǎng)安全穩(wěn)定運(yùn)行。防火墻技術(shù)為用戶提供存取控制與信息保密服務(wù),具有操作簡(jiǎn)單、透明度高的優(yōu)點(diǎn),在保持原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能的基礎(chǔ)上,最大限度滿足用戶的網(wǎng)絡(luò)信息安全要求,受到用戶的廣泛推崇。防火墻技術(shù)的應(yīng)用,讓外部與內(nèi)部網(wǎng)絡(luò)必須通過(guò)防火墻實(shí)現(xiàn)相互通信。企業(yè)、單位在關(guān)于防火墻技術(shù)的應(yīng)用上,需制定合理、科學(xué)的安全策略,在此基礎(chǔ)上設(shè)置防火墻,隔絕其它類(lèi)型信息。目前,防火墻技術(shù)主要分為以下三類(lèi):
第一,包過(guò)濾技術(shù)(Packet filtering)。其技術(shù)主要作用于網(wǎng)絡(luò)層,結(jié)合不同數(shù)據(jù)包源IP地址、目的IP地址、TCP/UDP源端口號(hào)與目的端口號(hào)等進(jìn)行區(qū)分、判斷,分析數(shù)據(jù)包是否符合安全策略,予以通行,其設(shè)計(jì)為過(guò)濾算法。
第二,(Proxy)服務(wù)技術(shù)。其技術(shù)主要作用于應(yīng)用層,通過(guò)轉(zhuǎn)接外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的申請(qǐng)服務(wù),有效控制應(yīng)用層服務(wù)。內(nèi)部網(wǎng)絡(luò)無(wú)法接受外部網(wǎng)絡(luò)其它節(jié)點(diǎn)申請(qǐng)的直接請(qǐng)求,其接受的服務(wù)請(qǐng)求只能為模式。應(yīng)用網(wǎng)關(guān)即為服務(wù)運(yùn)行的主機(jī),具備較強(qiáng)的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄等相關(guān)功能。
第三,狀態(tài)監(jiān)控(State Inspection)技術(shù)。其技術(shù)主要作用于網(wǎng)絡(luò)層,通過(guò)網(wǎng)絡(luò)層實(shí)現(xiàn)包過(guò)濾與網(wǎng)絡(luò)服務(wù)。現(xiàn)階段,較為可行的為虛擬機(jī)方式(即:Inspect Virtual Machine)。
防護(hù)墻技術(shù)作為網(wǎng)絡(luò)信息安全技術(shù)之一,操作簡(jiǎn)單且實(shí)用性較強(qiáng),被廣泛應(yīng)用。但受其特點(diǎn)限制,缺乏對(duì)動(dòng)態(tài)化與復(fù)雜化攻擊手段的主動(dòng)響應(yīng),只能進(jìn)行靜態(tài)安全防御,無(wú)法保障對(duì)所有外部攻擊都能進(jìn)行有效阻擋。一些計(jì)算機(jī)水平較高的黑客便能翻過(guò)防火墻,達(dá)到攻擊目的。同時(shí),防火墻無(wú)法阻擋內(nèi)部攻擊。因此,為實(shí)現(xiàn)網(wǎng)絡(luò)安全,需進(jìn)行數(shù)據(jù)的加密處理,加強(qiáng)內(nèi)部網(wǎng)絡(luò)控制與管理。
論文關(guān)鍵詞:電子信息安全 安全技術(shù) 安全要素
論文摘要:隨著我國(guó)信息技術(shù)的不斷發(fā)展,對(duì)中小企業(yè)電子信息安全的保護(hù)問(wèn)題也成為人們關(guān)注的焦點(diǎn)。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設(shè),對(duì)電子信息安全技術(shù)進(jìn)行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問(wèn)題的策略。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過(guò)網(wǎng)絡(luò)傳送時(shí)被競(jìng)爭(zhēng)對(duì)手或不法分子竊聽(tīng)、泄密、篡改或偽造,將會(huì)嚴(yán)重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。
一、中小企業(yè)的信息化建設(shè)意義
在這個(gè)網(wǎng)絡(luò)信息時(shí)代,企業(yè)的信息化進(jìn)程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動(dòng),基本上都采用電子商務(wù)的形式進(jìn)行,企業(yè)的生產(chǎn)運(yùn)作、運(yùn)輸和銷(xiāo)售各個(gè)方面都運(yùn)用到了信息化技術(shù)。如通過(guò)網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價(jià)格,出產(chǎn)地等信息來(lái)建立一個(gè)原材料信息系統(tǒng),這個(gè)信息系統(tǒng)對(duì)原材料的采購(gòu)有很大的作用。通過(guò)對(duì)數(shù)據(jù)的分析,可以得到跟多的采購(gòu)建議和對(duì)策,實(shí)現(xiàn)企業(yè)電子信息化水準(zhǔn)。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對(duì)網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說(shuō)明企業(yè)還未充分開(kāi)發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時(shí)代已經(jīng)到來(lái),企業(yè)應(yīng)該加快信息化的建設(shè)。
二、電子信息安全技術(shù)闡述
1、電子信息中的加密技術(shù)
加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對(duì)稱(chēng)和非對(duì)稱(chēng)加密兩種。其中對(duì)稱(chēng)加密通常通過(guò)序列密碼或者分組機(jī)密來(lái)實(shí)現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個(gè)基本組成成分。非對(duì)稱(chēng)加密與對(duì)稱(chēng)加密有所不同,非對(duì)稱(chēng)加密需要公開(kāi)密鑰和私有密鑰兩個(gè)密鑰,公開(kāi)密鑰和私有密鑰必須配對(duì)使用,用公開(kāi)密鑰進(jìn)行的加密,只有其對(duì)應(yīng)的私有密匙才能解密。用私有密鑰進(jìn)行的加密,也只有用其相應(yīng)的公開(kāi)密鑰才能解密。
加密技術(shù)對(duì)傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時(shí),發(fā)送人用加密密鑰或算法對(duì)所發(fā)的信息加密后將其發(fā)出,如果在傳輸過(guò)程中有人竊取信息,他只能得到密文,密文是無(wú)法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。
2、防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對(duì)網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對(duì)網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護(hù)措施就是防火墻。在我們的個(gè)人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認(rèn)證技術(shù)
消息認(rèn)證和身份認(rèn)證是認(rèn)證技術(shù)的兩種形式,消息認(rèn)證主要用于確保信息的完整性和抗否認(rèn)性,用戶通過(guò)消息認(rèn)證來(lái)確認(rèn)信息的真假和是否被第三方修改或偽造。身份認(rèn)證使用與鑒別用戶的身份的,包括識(shí)別和驗(yàn)證兩個(gè)步驟。明確和區(qū)分訪問(wèn)者身份是識(shí)別,確認(rèn)訪問(wèn)者身份叫驗(yàn)證。用戶在訪問(wèn)一些非公開(kāi)的資源時(shí)必須通過(guò)身份認(rèn)證。比如訪問(wèn)高校的查分系統(tǒng)時(shí),必須要經(jīng)過(guò)學(xué)號(hào)和密碼的驗(yàn)證才能訪問(wèn)。高校圖書(shū)館的一些資源要校園網(wǎng)才能進(jìn)行訪問(wèn),非校園網(wǎng)的不能進(jìn)入,除非付費(fèi)申請(qǐng)一個(gè)合格的訪問(wèn)身份。
三、中小企業(yè)中電子信息的主要安全要素
1、信息的機(jī)密性
在今天這個(gè)網(wǎng)絡(luò)時(shí)代,信息的機(jī)密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機(jī)密,如何保護(hù)企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進(jìn)行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問(wèn)題。
2、信息的有效性
隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進(jìn)行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟(jì)利益,也是個(gè)企業(yè)貿(mào)易順利進(jìn)行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對(duì)這些網(wǎng)絡(luò)故障帶來(lái)的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。
3、信息的完整性
企業(yè)交易各方的經(jīng)營(yíng)策略嚴(yán)重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對(duì)交易各方都是非常重要的。在對(duì)信息的處理過(guò)程中要預(yù)防對(duì)信息的隨意生成、修改,在傳送過(guò)程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進(jìn)行交易的基礎(chǔ)。
四、解決中小企業(yè)中電子信息安全問(wèn)題的策略
1、構(gòu)建中小企業(yè)電子信息安全管理體制
解決信息安全問(wèn)題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進(jìn)行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個(gè)信息系統(tǒng)的安全。如果安全管理制度出了問(wèn)題,那么圍繞著這一制度來(lái)選擇和使用安全管理技術(shù)及手段將無(wú)法正常進(jìn)行,信息的安全性就得不到保證。完善,嚴(yán)格的電子信息安全管理制度對(duì)信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒(méi)有嚴(yán)格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。
2、利用企業(yè)的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)
很多企業(yè)的多個(gè)二級(jí)單位都在系統(tǒng)內(nèi)通過(guò)廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來(lái)為企業(yè)提供良好的信息安全服務(wù)。通過(guò)企業(yè)這一網(wǎng)絡(luò)平臺(tái)技術(shù)標(biāo)準(zhǔn),安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時(shí)為企業(yè)員工提供一個(gè)交流經(jīng)驗(yàn)的場(chǎng)所。
3、定期對(duì)安全防護(hù)軟件系統(tǒng)進(jìn)行評(píng)估、改進(jìn)
隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對(duì)信息安全問(wèn)題的認(rèn)識(shí)是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問(wèn)題不斷被發(fā)現(xiàn)的同時(shí),解決信息安全問(wèn)題的安全防護(hù)軟件系統(tǒng)也應(yīng)該不斷的改進(jìn),定期對(duì)系統(tǒng)進(jìn)行評(píng)估。
總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè) 辦公室逐漸趨向辦公自動(dòng)化,而且還確保了企業(yè)電子信息安全。
摘 要:本文首先對(duì)傳統(tǒng)木桶理論和其在信息安全中的運(yùn)用作了簡(jiǎn)單的介紹,并結(jié)合作者在實(shí)際工作中對(duì)信息安全的理解,提出了對(duì)傳統(tǒng)木桶理論幾點(diǎn)思考,通過(guò)對(duì)幾點(diǎn)思考的闡述,指出了在信息安全工作中如何更好地結(jié)合木桶理論。
關(guān)鍵詞:木桶理論 信息安全 運(yùn)用
引言
說(shuō)到木桶理論,可謂眾所周知:一個(gè)由若干塊長(zhǎng)短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長(zhǎng)的那塊木板或全部木板長(zhǎng)度的平均值,而是取決于其中最短的那塊木板。要想提高木桶的整體效應(yīng),不是增加最長(zhǎng)的那塊木板的長(zhǎng)度,而是要下功夫補(bǔ)齊最短的那塊木板的長(zhǎng)度。這個(gè)理論由誰(shuí)提出,目前已經(jīng)無(wú)從考究了,但這個(gè)理論的應(yīng)用范圍卻十分廣泛,從經(jīng)濟(jì)學(xué)、單位管理到人力資源,到個(gè)人發(fā)展。這個(gè)理論也被引進(jìn)了安全領(lǐng)域,在信息安全中,認(rèn)為信息安全的防護(hù)強(qiáng)度取決于安全體系最為薄弱的一環(huán),因此出現(xiàn)的一個(gè)狀況是發(fā)現(xiàn)哪個(gè)安全問(wèn)題嚴(yán)重就買(mǎi)什么樣的產(chǎn)品。這個(gè)理論的意義在于使我們認(rèn)識(shí)到整個(gè)安全防護(hù)中最短木塊的巨大威脅,并針對(duì)最短木塊進(jìn)行改進(jìn)。
根據(jù)這個(gè)理論,我們會(huì)發(fā)現(xiàn)有些單位找出安全防護(hù)中的最短木塊,并買(mǎi)了很多安全產(chǎn)品進(jìn)行防護(hù):發(fā)現(xiàn)病毒對(duì)單位影響很大,就買(mǎi)了最好的反病毒軟件;發(fā)現(xiàn)邊界不安全,就用了最強(qiáng)的防火墻;發(fā)現(xiàn)有黑客入侵,就部署了最先進(jìn)的入侵檢測(cè)系統(tǒng)。這其實(shí)只是一種頭痛醫(yī)頭,腳痛醫(yī)腳的做法,是治標(biāo)不治本的方法。
1.木桶理論新解
經(jīng)分析,傳統(tǒng)的木桶理論存在一定的缺陷,實(shí)際上一個(gè)木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關(guān)鍵信息:這個(gè)木桶是否有堅(jiān)實(shí)的底板、木板之間是否有縫隙。
1.1 木桶底板是木桶能否容水的基礎(chǔ)
一個(gè)完整的木桶,除了木桶中長(zhǎng)板、短板,木桶還有底板。正是這誰(shuí)也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水。這只底板正是信息安全的基礎(chǔ),即單位的信息安全架構(gòu)、安全管理制度和安全流程。對(duì)于多數(shù)單位而言,目前還沒(méi)有整體的信息安全規(guī)劃和建設(shè),也沒(méi)有完善的制度和流程。信息安全還沒(méi)有從整體上進(jìn)行考慮,隨意性相當(dāng)強(qiáng)。這就需要對(duì)單位進(jìn)行一次比較全面的安全評(píng)估,然后結(jié)合單位的業(yè)務(wù)需求和安全現(xiàn)狀來(lái)做安全信息架構(gòu)和安全建設(shè)框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒(méi)有,也不是不完備,最大的問(wèn)題在于執(zhí)行不力。目前在大型單位和運(yùn)營(yíng)商中,安全的最大問(wèn)題是無(wú)法貫徹執(zhí)行單位的安全政策和流程。所以可以說(shuō):“安全是一把手工程,只有得到領(lǐng)導(dǎo)的強(qiáng)有力支持,才可能把安全策略進(jìn)行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度。”同時(shí)需要注意的是,由于單位不斷發(fā)展,安全是動(dòng)態(tài)變化的,因此也就需要我們不定期的檢查信息安全這個(gè)“木桶”的桶底是否堅(jiān)實(shí),一個(gè)迅速長(zhǎng)大的單位,正如一只容納了相當(dāng)水量的木桶,越來(lái)越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn),如果不時(shí)關(guān)注底板,最后可能因?yàn)椴荒艹惺苤囟鴮?dǎo)致所有的蓄水都丟失。
1.2 木桶是否有縫隙是木桶能否容水的關(guān)鍵。
木桶能否有效地容水,除了需要堅(jiān)實(shí)的底板外,還取決于木板之間的縫隙,這個(gè)是大多數(shù)人不易看見(jiàn)的。對(duì)于一個(gè)安全防護(hù)體系而言,其不同產(chǎn)品之間的協(xié)作和聯(lián)動(dòng)有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時(shí),單位還把注意力放在最短的木板上,豈非緣木求魚(yú)?
在信息安全中,目前攻擊手法已經(jīng)是融合了多種技術(shù),比如蠕蟲(chóng)就融合了緩沖區(qū)溢出技術(shù)、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù),這時(shí)候,如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn),防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲(chóng)在網(wǎng)絡(luò)上的播,卻不能清除蠕蟲(chóng);補(bǔ)丁管理可以防止蠕蟲(chóng)的感染,卻不能查殺蠕蟲(chóng)。各個(gè)安全產(chǎn)品單獨(dú)工作,無(wú)法有效地查殺病毒、無(wú)法組織病毒的傳播。而且更為嚴(yán)重的是,每個(gè)系統(tǒng)都會(huì)記錄這些安全日志,這些日志之間沒(méi)有合并和關(guān)聯(lián),大量的日志將沖垮管理員,導(dǎo)致無(wú)法看到真正關(guān)心的日志。
目前出現(xiàn)的SOC產(chǎn)品可以說(shuō)是木桶的桶箍,它能把各種安全技術(shù)、安全產(chǎn)品、安全策略、安全措施等各種目標(biāo)等箍在一起,共同形成一個(gè)堅(jiān)實(shí)的木桶,保護(hù)里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長(zhǎng)期形成的知識(shí)中心,并通過(guò)流程優(yōu)化、系統(tǒng)聯(lián)動(dòng)、事件管理等方式減少木板與木板之間的縫隙,協(xié)調(diào)各方面資源,最高效率地處理安全問(wèn)題,保護(hù)整體安全。
2.木桶理論與信息安全的幾點(diǎn)闡述
2.1 如何處理木桶中的最短木板
通過(guò)上面的分析,我們可以知道木桶的底板是基礎(chǔ),桶箍是關(guān)鍵,而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板,通常做法是看準(zhǔn)了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實(shí)這陷入了一種慣性思維,如果要提高木桶的容量,有時(shí)候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個(gè)最短木板,然后重新用桶箍圍成桶,這個(gè)新桶的容量就有可能大于原來(lái)的舊桶。
這種做法其實(shí)在單位運(yùn)作中經(jīng)常會(huì)使用,對(duì)于一些非核心業(yè)務(wù),一些單位領(lǐng)導(dǎo)往往會(huì)采用外包的方式來(lái)處理,自己做最擅長(zhǎng)的事情。但是在信息安全領(lǐng)域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個(gè)可靠的外包供應(yīng)商才可以,另外的原因也可能是還沒(méi)有意識(shí)到這個(gè)問(wèn)題。目前越來(lái)越多的單位開(kāi)始重視安全,都在建立自己的政策體系和人員隊(duì)伍,但是由于信息安全具有專(zhuān)業(yè)性強(qiáng),知識(shí)面廣的特點(diǎn),要建立一個(gè)完善的體系和隊(duì)伍是比較困難的。
2.2 木桶理論與安全等級(jí)保護(hù)法
《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》中認(rèn)為,不同的信息系統(tǒng)有著不同的安全需求,必須從實(shí)際出發(fā),綜合平衡安全成本和風(fēng)險(xiǎn),優(yōu)化信息安全資源的配置,確保重點(diǎn),要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。
信息安全領(lǐng)域中,密級(jí)分類(lèi)、等級(jí)保護(hù)就是把信息資產(chǎn)分為不同等級(jí),根據(jù)信息資產(chǎn)不同的重要等級(jí),采取不同的措施進(jìn)行防護(hù)。它的出發(fā)點(diǎn)就是要突出重點(diǎn),要突出重點(diǎn)要害部位,分級(jí)負(fù)責(zé),分層實(shí)施。在單位的安全建設(shè)過(guò)程中,我們可以根據(jù)等級(jí)保護(hù)法,把系統(tǒng)分成幾個(gè)等級(jí),不同等級(jí)采用不同的“木桶”來(lái)管理,然后對(duì)每一個(gè)木桶再進(jìn)行安全評(píng)估和安全防護(hù),這樣就可以在投入
有限的情況下,確保重要信息的安全性。
2.3 木桶理論與內(nèi)核加固
如何在木桶有縫隙的情況下,還能保護(hù)桶里面的水嗎?有一個(gè)一個(gè)思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會(huì)馬上流走,可以為我們進(jìn)一步修復(fù)木桶提供時(shí)間。對(duì)于系統(tǒng)來(lái)說(shuō),加固操作系統(tǒng)內(nèi)核就是這個(gè)作用,比如在某個(gè)系統(tǒng)上發(fā)現(xiàn)了一個(gè)很?chē)?yán)重的漏洞,但是如果內(nèi)核是進(jìn)行了加固的,那么就不容易被利用進(jìn)行攻擊。
3.總結(jié)
傳統(tǒng)的木桶理論在信息安全中的運(yùn)用,讓我們了解了什么是當(dāng)前最為嚴(yán)重的問(wèn)題,但是如果只著眼于最短木板,而忽視了木桶的底板這個(gè)基礎(chǔ),忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個(gè)木桶還是很不成熟、不完善的。
一、實(shí)施數(shù)字化檔案信息安全管理的意義
隨著我國(guó)信息化水平的迅速提升,我國(guó)對(duì)數(shù)字化檔案信息安全管理也有了更為深刻的認(rèn)識(shí)。信息安全管理是維護(hù)數(shù)字化信息安全的重要手段,正所謂“三分技術(shù),七分管理”,由此可見(jiàn)信息安全管理的重要性。數(shù)字化檔案信息保障體系建設(shè)過(guò)程中必須有一套較為完善的制度,只有這樣才能保證信息保障體系建設(shè)各個(gè)環(huán)節(jié)開(kāi)展的規(guī)范性與合理性,而在信息保障體系建設(shè)中運(yùn)用信息安全管理制度就能夠達(dá)到保障信息安全的目的。對(duì)數(shù)字化檔案信息進(jìn)行安全管理,能夠使所有人員主動(dòng)參與到數(shù)字化檔案信息保障建設(shè)過(guò)程中,不僅能夠大大提高員工工作質(zhì)量,同時(shí)還能夠提高員工工作效率,因?yàn)榭茖W(xué)有效的安全管理能夠提高企業(yè)員工的凝聚力與向心力,對(duì)維護(hù)數(shù)字化信息安全及企業(yè)發(fā)展都有一定的積極作用。
二、數(shù)字化檔案的信息安全問(wèn)題分析
數(shù)字化檔案信息與計(jì)算機(jī)中其他普通數(shù)據(jù)一樣,都會(huì)受到多種不安全因素的影響。數(shù)字化檔案信息主要是以信息數(shù)據(jù)的形式儲(chǔ)存在于計(jì)算機(jī)內(nèi)部系統(tǒng)中,若出現(xiàn)安全問(wèn)題會(huì)直接影響檔案信息的完整性與安全性。據(jù)調(diào)查了解所知,目前數(shù)字化檔案信息主要存在的安全問(wèn)題有以下幾個(gè)方面:
(一)計(jì)算機(jī)硬件故障
現(xiàn)在大部分計(jì)算機(jī)中各個(gè)部件都采用了一定的保護(hù)機(jī)制,但這并不能阻止一些硬件故障的出現(xiàn)。硬件故障對(duì)數(shù)字化檔案信息的危害性很大,比如若計(jì)算機(jī)中的硬盤(pán)磁道出現(xiàn)損壞或者嚴(yán)重故障,那么在很大程度上會(huì)造成信息數(shù)據(jù)破壞或者丟失,導(dǎo)致數(shù)字化檔案信息的不完整。近年來(lái),隨著計(jì)算機(jī)設(shè)備的應(yīng)用量越來(lái)越大,其內(nèi)部硬件故障發(fā)生的頻率也隨之不斷增高。
(二)計(jì)算機(jī)軟件故障
要實(shí)現(xiàn)計(jì)算機(jī)對(duì)各項(xiàng)數(shù)字化檔案數(shù)據(jù)的處理,有賴(lài)于計(jì)算機(jī)操作系統(tǒng)及數(shù)據(jù)信息處理相關(guān)軟件。計(jì)算機(jī)軟件的性能高低直接關(guān)系著數(shù)字化檔案信息數(shù)據(jù)的安全性與完整性。隨著數(shù)字化檔案信息系統(tǒng)的不斷完善,信息系統(tǒng)對(duì)軟件的要求也越來(lái)越高,在這種情況下就出現(xiàn)了計(jì)算機(jī)軟件功能性無(wú)法滿足數(shù)字化信息系統(tǒng)的要求,在軟件使用中無(wú)法確保其性能的穩(wěn)定性。雖然在數(shù)字化檔案信息系統(tǒng)操作中存在一些計(jì)算機(jī)軟件故障,但與硬件故障相比,其發(fā)生故障的機(jī)率較小。
(三)病毒及黑客侵襲
病毒及黑客入侵是影響數(shù)字化檔案信息安全的主要問(wèn)題之一,這種問(wèn)題較為常見(jiàn),雖然一些計(jì)算機(jī)用戶設(shè)置了防火墻,安裝了多種殺毒軟件,但依然無(wú)法完全避免病毒及黑客的非法入侵。
(四)系統(tǒng)更換操作或者停機(jī)
硬軟件本身的兼容問(wèn)題或者系統(tǒng)中包含的諸多無(wú)用資源,很容易導(dǎo)致計(jì)算機(jī)出現(xiàn)停機(jī)或死機(jī)狀況,這是導(dǎo)致信息數(shù)據(jù)丟失的一個(gè)原因。
(五)人為操作引起的故障
在數(shù)字化信息數(shù)據(jù)安全維護(hù)過(guò)程中由于信息管理人員計(jì)算機(jī)操作不當(dāng),會(huì)對(duì)數(shù)字化檔案信息安全造成一定的威脅,比如誤刪除信息數(shù)據(jù)的現(xiàn)象在日常工作中時(shí)有發(fā)生。
三、數(shù)字化檔案的信息安全管理策略
針對(duì)上述問(wèn)題在數(shù)字化檔案信息安全維護(hù)中不僅要選擇可靠的硬件設(shè)備,采用先進(jìn)的信息安全保障技術(shù),更要進(jìn)行全方位的數(shù)字化檔案信息安全管理,只有這樣才能有效解決數(shù)字化檔案信息安全問(wèn)題,提高數(shù)字化檔案的安全性。以下是筆者結(jié)合目前數(shù)字化檔案信息安全問(wèn)題所提出的安全管理策略:
(一)硬件設(shè)備安全管理
據(jù)調(diào)查了解所知,計(jì)算機(jī)硬件故障發(fā)生率十分頻繁,嚴(yán)重影響了數(shù)字化檔案信息安全,因此在信息安全管理工作中的首要任務(wù)就是對(duì)硬件設(shè)備進(jìn)行科學(xué)選擇與管理。應(yīng)根據(jù)數(shù)字化檔案信息系統(tǒng)的實(shí)際情況選擇合適且性能良好的硬件及軟件設(shè)備。另外在選擇過(guò)程中應(yīng)重點(diǎn)考慮計(jì)算機(jī)服務(wù)器的品牌及客戶機(jī),全面審核硬件設(shè)備的兼容性及拓展性,這樣做的目的是為了當(dāng)系統(tǒng)升級(jí)時(shí)避免數(shù)據(jù)信息丟失。
(二)信息技術(shù)安全管理
在數(shù)字化檔案信息安全管理過(guò)程中僅靠管理人員的力量是不夠的,還需要信息技術(shù)的協(xié)助。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全性,在管理工作中可以運(yùn)用一些先進(jìn)的信息技術(shù)來(lái)提高數(shù)字化檔案信息安全。比如可以設(shè)置信息訪問(wèn)身份驗(yàn)證、防病毒體系,還可以對(duì)相對(duì)機(jī)密的數(shù)據(jù)進(jìn)行加密操作,采取數(shù)據(jù)加密的方式可以有效防止信息數(shù)據(jù)在傳輸過(guò)程中被一些木馬病毒及非法網(wǎng)站入侵,對(duì)保護(hù)數(shù)字化檔案信息十分奏效。
(三)完善信息安全管理制度
在數(shù)字化檔案信息安全管理工作中需要一套完善的信息安全管理制度,原因在于數(shù)字化檔案信息種類(lèi)較多,且具有一定的復(fù)雜性,若不制定完善制度,實(shí)行全面的制度化管理,很容易導(dǎo)致信息安全管理內(nèi)部一片混亂,為了避免這種狀況,企業(yè)應(yīng)積極建立并完善信息安全管理制度。一般建立完善的信息安全管理制度需要從二個(gè)方面入手:
1.建立數(shù)字化文檔管理制度。對(duì)于已儲(chǔ)存在計(jì)算機(jī)中的信息應(yīng)進(jìn)行分類(lèi)管理,大致應(yīng)將其分為秘密、機(jī)密、絕密與非保密等幾種保護(hù)類(lèi)型。另外對(duì)于一些相對(duì)機(jī)密及敏感信息不僅要采取加密措施,還要將其儲(chǔ)存在脫機(jī)的安全環(huán)境中,以免信息被他人非法竊取、破壞或修改。
2.建立人員安全管理制度。首先要將信息安全管理貫徹落實(shí)到實(shí)際信息維護(hù)中,讓管理人員對(duì)信息安全管理有一個(gè)清晰客觀的認(rèn)識(shí)。這樣一來(lái),管理人員就會(huì)在工作中認(rèn)真貫徹執(zhí)行,極力維護(hù)數(shù)字化檔案的安全。信息安全管理部門(mén)總負(fù)責(zé)人應(yīng)對(duì)各個(gè)管理人員的工作進(jìn)行考核,對(duì)于一些管理操作不當(dāng)或管理不夠嚴(yán)格的人員應(yīng)給予相應(yīng)的警告或處罰,讓其從思想上意識(shí)到信息安全管理的重要性。其次應(yīng)對(duì)信息安全管理人員進(jìn)行定期培訓(xùn),讓其及時(shí)學(xué)習(xí)其他企業(yè)及國(guó)外優(yōu)秀的信息安全管理方法及理念,為信息安全管理工作注入新的血液。這樣一來(lái),不僅能夠大大提高信息安全管理的時(shí)效性與合理性,同時(shí)還能夠提升信息安全管理人員的綜合素質(zhì),對(duì)數(shù)字化檔案信息安全管理工作的有效開(kāi)展具有一定的積極意義。在數(shù)字化檔案信息安全管理中,要想充分發(fā)揮管理的作用,全面維護(hù)檔案信息安全,保障檔案信息的完整性,就要結(jié)合數(shù)字化檔案信息系統(tǒng)的實(shí)際運(yùn)行特點(diǎn),全面考慮信息安全問(wèn)題,從而有針對(duì)性的采取相應(yīng)的管理策略,實(shí)現(xiàn)數(shù)字化檔案信息的制度化管理。
一、我國(guó)電子金融領(lǐng)域信息安全的現(xiàn)狀
全國(guó)相關(guān)的金融機(jī)構(gòu)陸續(xù)成立了專(zhuān)門(mén)的安全防范機(jī)構(gòu),并重點(diǎn)加強(qiáng)對(duì)系統(tǒng)需求設(shè)計(jì)、投產(chǎn)、推廣和軟件開(kāi)發(fā)等重點(diǎn)程序的監(jiān)管和保護(hù)以及風(fēng)險(xiǎn)防范;在系統(tǒng)設(shè)計(jì)開(kāi)發(fā)、防火墻選用、認(rèn)證密碼等方面加大了投入。但是,當(dāng)前的金融電子行業(yè)仍然存在著一些隱患,具體是傳遞信息的安全隱患和業(yè)務(wù)系統(tǒng)維護(hù)的風(fēng)險(xiǎn)防范隱患。
二、信息安全防護(hù)措施
(一)行業(yè)自律
行業(yè)或是客戶自身的信息包括最敏感機(jī)密部分對(duì)金融機(jī)構(gòu)而言往往是公開(kāi)的,金融機(jī)構(gòu)可以輕松的獲取這部分信息,其中有部分信息具有相當(dāng)?shù)慕?jīng)濟(jì)價(jià)值。對(duì)信息保護(hù),行業(yè)的自律有著相當(dāng)重要的意義,政府的監(jiān)管只是被動(dòng)的行為,防患于未然更多的在于金融結(jié)構(gòu)的自律行為。電子金融行業(yè)需制定一個(gè)有效的行業(yè)自律規(guī)范,從行業(yè)內(nèi)部規(guī)范從事人員的行為總則,爭(zhēng)取將非法信息來(lái)源斬?cái)唷?guó)外大多數(shù)國(guó)家在立法上對(duì)行業(yè)自律機(jī)制給予較高的肯定,我國(guó)其實(shí)也可以借鑒,進(jìn)一步發(fā)揮行業(yè)自律在信息安全上的作用。
(二)金融信息監(jiān)管
完善的信息安全法律法規(guī)是做好信息安全工作的基礎(chǔ)。我國(guó)在信息安全法律法規(guī)建設(shè)方面已經(jīng)做了很多工作,如今與信息安全有關(guān)的法律法規(guī)包括法律、行政法規(guī)、部門(mén)規(guī)章及規(guī)范性文件三個(gè)層面。但是,我國(guó)的信息安全法律法規(guī)仍然不夠完善,管理機(jī)構(gòu)存在多頭管理,要求從金融信息監(jiān)督開(kāi)始為信息安全做好第一步。同時(shí),中國(guó)人民銀行對(duì)網(wǎng)上銀行業(yè)務(wù)的監(jiān)管尚處于起步階段,應(yīng)在《人民銀行法》等相關(guān)法規(guī)中將網(wǎng)上銀行明確納入中國(guó)人民銀行、銀監(jiān)會(huì)監(jiān)管的對(duì)象。其次,金融服務(wù)業(yè)消費(fèi)者安全保障的投訴與受理機(jī)制欠缺,監(jiān)管機(jī)構(gòu)中缺乏專(zhuān)門(mén)負(fù)責(zé)金融消費(fèi)者安全保障方面事務(wù)的部門(mén),對(duì)于投訴問(wèn)題沒(méi)有從自律或者強(qiáng)制性法律機(jī)制角度進(jìn)行規(guī)范。建議在我國(guó)因成立一個(gè)獨(dú)立的電子金融監(jiān)管機(jī)構(gòu),它獨(dú)立于各個(gè)行政體系,采用直接負(fù)責(zé)制,這是由于電子金融領(lǐng)域如出現(xiàn)信息安全事故,它所牽扯的相關(guān)行政部門(mén)較多,地域范圍較廣,現(xiàn)有職能部門(mén)無(wú)法對(duì)它進(jìn)行有效的監(jiān)管,該機(jī)構(gòu)應(yīng)對(duì)電子金融機(jī)構(gòu)信息可審查,可回溯并構(gòu)建一個(gè)評(píng)價(jià)體系,將其評(píng)價(jià)結(jié)果對(duì)外公示,對(duì)于那些信息安全保護(hù)不當(dāng)?shù)臋C(jī)構(gòu)應(yīng)給予懲罰,改變我國(guó)對(duì)信息泄露或是保護(hù)不當(dāng)?shù)慕鹑跈C(jī)構(gòu)只罰不懲的局面。
(三)信息安全體系
電子金融主要的運(yùn)行手段是基于計(jì)算機(jī)網(wǎng)絡(luò)或是通信網(wǎng)絡(luò),必須要技術(shù)層面上保護(hù)其安全,傳統(tǒng)的金融交易手段是基于柜臺(tái)式、盤(pán)點(diǎn)式,早期電子金融只是較為粗獷的將原有的業(yè)務(wù)照搬于網(wǎng)絡(luò)環(huán)境中,又由于網(wǎng)絡(luò)是個(gè)開(kāi)放的平臺(tái),所以造成了較多的信息安全事故,在近幾年的發(fā)展中有了迅猛的進(jìn)步,但還存在諸多問(wèn)題:用戶認(rèn)證手段單一、支付手段繁雜、內(nèi)網(wǎng)權(quán)限過(guò)大、設(shè)備更新過(guò)于頻繁、客戶端保護(hù)不夠、異常行為監(jiān)管不到位、標(biāo)準(zhǔn)不統(tǒng)一等問(wèn)題。現(xiàn)應(yīng)構(gòu)建一個(gè)統(tǒng)一標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全體系。將用戶權(quán)限分割,將用戶不常用或是對(duì)其信息保護(hù)有隱患的功能部分需轉(zhuǎn)為傳統(tǒng)的柜臺(tái)辦理,用戶可對(duì)其權(quán)限進(jìn)行縮減,提供用戶常用功能及其權(quán)限。用戶認(rèn)證需多層次的,一般的安全層次認(rèn)證簡(jiǎn)單快捷,高層次需提供較多有效憑證方可使用。網(wǎng)絡(luò)模型要做到有效的內(nèi)外分離,對(duì)外網(wǎng)要設(shè)置多層安全防范,不能以單一的防火墻形式存在,應(yīng)具有動(dòng)態(tài)更新、行為分析、危害恢復(fù)等功能。對(duì)內(nèi)網(wǎng)必須將權(quán)限分割,無(wú)單一權(quán)限,在很多核心內(nèi)容上應(yīng)采用多人協(xié)同開(kāi)啟權(quán)限功能,防止某一個(gè)體權(quán)限過(guò)大造成過(guò)多損失等。客戶端應(yīng)該附加對(duì)客戶端安全的監(jiān)察,如發(fā)現(xiàn)客戶端存在隱患則盡到提醒義務(wù),保護(hù)客戶信息安全。
三、結(jié)束語(yǔ)
安全建設(shè)的研究一定要考慮到多方面,找到多種技術(shù)和管理方法,而不能只局限到某一種策略。單一的安全技術(shù)和產(chǎn)品已滿足不了行業(yè)用戶保障網(wǎng)絡(luò)安全的需求,防火墻、隔離卡、防病毒技術(shù)、信息加密技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、等級(jí)管理體系、安全認(rèn)證技術(shù)、漏洞掃描等相互配合,構(gòu)成網(wǎng)絡(luò)安全整體解決方案,并能在穩(wěn)定性及協(xié)同性整體配合上加強(qiáng)。信息的安全建設(shè)如今不僅僅只是技術(shù)的問(wèn)題,更需要管理與技術(shù)相融合而發(fā)揮作用的一項(xiàng)系統(tǒng)工程。當(dāng)然,不斷完善的規(guī)章制度、科學(xué)系統(tǒng)的管理以及高素質(zhì)、高執(zhí)行力的團(tuán)隊(duì)也是安全建設(shè)所必不可少的。
1計(jì)算機(jī)信息安全技術(shù)存在的弊端
1.1缺乏核心技術(shù)
目前,我國(guó)使用的計(jì)算機(jī)核心技術(shù),像操作系統(tǒng)、網(wǎng)關(guān)、數(shù)據(jù)庫(kù)等大多是國(guó)外進(jìn)口而來(lái)的,我國(guó)自主研發(fā)的產(chǎn)品比較少。CPU芯片是計(jì)算機(jī)的核心,目前使用最多的品牌是由我國(guó)臺(tái)灣與美國(guó)共同研發(fā)的,同樣缺乏自主性。在操作系統(tǒng)方面,國(guó)外操作系統(tǒng)本身會(huì)存在一些漏洞,且設(shè)計(jì)上并不是根據(jù)我國(guó)居民上網(wǎng)操作習(xí)慣來(lái)設(shè)定的,因此容易讓一些病毒有機(jī)可乘。操作系統(tǒng)中的安全隱患主要表現(xiàn)在可恢復(fù)密鑰、嵌入式病毒以及隱性通道方面,且由于系統(tǒng)是由國(guó)外引進(jìn),因此即使我國(guó)發(fā)現(xiàn)了漏洞也沒(méi)有資格進(jìn)行大范圍整改,只能夠等到國(guó)外補(bǔ)丁再引入國(guó)內(nèi)進(jìn)行安裝。這些漏洞讓計(jì)算機(jī)的安全性大大降低,使得信息在傳輸過(guò)程中處于被監(jiān)視以及干擾的狀態(tài),安全級(jí)別較弱。
1.2傳輸過(guò)程中安全風(fēng)險(xiǎn)較多
信息在通過(guò)網(wǎng)絡(luò)進(jìn)行傳輸?shù)倪^(guò)程中,隱秘信息以及涉密信息與普通信息一樣,都是存在于網(wǎng)絡(luò)這個(gè)開(kāi)放性較強(qiáng)地區(qū)之中的,因此同樣容易造成泄密。信息在傳輸過(guò)程中會(huì)經(jīng)過(guò)多個(gè)外節(jié)點(diǎn),在其中一個(gè)節(jié)點(diǎn)出現(xiàn)問(wèn)題就會(huì)影響到信息傳輸?shù)陌踩?一旦發(fā)生安全事故,對(duì)出現(xiàn)故障的信息點(diǎn)是難以查證的。且傳輸環(huán)節(jié)中,任意一個(gè)節(jié)點(diǎn)都可能會(huì)被惡意修改,對(duì)數(shù)據(jù)進(jìn)行假冒或是篡改。
1.3外部攻擊較多
現(xiàn)如今,黑客已經(jīng)不再是犯罪的象征,在一定程度上,黑客也意味著著計(jì)算機(jī)能力較高,是現(xiàn)代少部分年輕人追逐的目標(biāo)。隨著計(jì)算機(jī)的全面普及,我國(guó)計(jì)算機(jī)用戶在年齡上呈現(xiàn)出下降趨勢(shì),且計(jì)算機(jī)能力越來(lái)越高。黑客有時(shí)并不是要進(jìn)行利益上的獲取,大多數(shù)情況下,他們只是希望通過(guò)這種方式來(lái)證明自己的能力。黑客們對(duì)用戶電腦中植入木馬,進(jìn)行數(shù)據(jù)信息的獲取,或是在網(wǎng)絡(luò)中偽裝成管理員進(jìn)行信息的有效攔截,另外,黑客們還會(huì)對(duì)一些網(wǎng)站進(jìn)行攻擊來(lái)發(fā)泄自身的不滿。據(jù)日本新聞網(wǎng)2012年8月18日消息,日本奈良國(guó)立博物館的網(wǎng)站17日遭到黑客攻擊,博物館網(wǎng)站主頁(yè)上用英文打上了“還我釣魚(yú)島”之類(lèi)的標(biāo)語(yǔ)。記者18日登陸該博物館網(wǎng)站主頁(yè)時(shí)發(fā)現(xiàn),頁(yè)面已恢復(fù)正常。據(jù)報(bào)道,日本國(guó)立文化財(cái)機(jī)構(gòu)發(fā)表的消息說(shuō),奈良國(guó)立博物館的館員于17日下午一點(diǎn)左右,發(fā)現(xiàn)博物館的網(wǎng)站主頁(yè)最上方的畫(huà)像檢索畫(huà)面遭到篡改,頁(yè)面上出現(xiàn)了“還我釣魚(yú)島”之類(lèi)的英文標(biāo)語(yǔ)口號(hào)。一個(gè)小時(shí)后,該英文標(biāo)語(yǔ)口號(hào)又換成了其他的英文詞句。另外,還有一些黑客進(jìn)行網(wǎng)站信息攻擊是為了從中謀取利益。在今年5月底,南京市公安局接到報(bào)警,報(bào)案人稱(chēng)自己公司經(jīng)營(yíng)的游戲網(wǎng)站遭到了黑客攻擊。與以往不同的是,在網(wǎng)站被攻擊后,發(fā)動(dòng)攻擊的黑客會(huì)主動(dòng)現(xiàn)身,通過(guò)網(wǎng)站客服QQ主動(dòng)聯(lián)系被攻擊者,承認(rèn)自己破壞了網(wǎng)站。他們并不是在炫耀自己的能力,而是以此為要挾收取“保護(hù)費(fèi)”。據(jù)該公司工作人員介紹,黑客實(shí)施的是大流量攻擊,就是通過(guò)網(wǎng)絡(luò)向公司服務(wù)器IP短時(shí)間內(nèi)發(fā)送大流量訪問(wèn),導(dǎo)致公司服務(wù)器癱瘓,網(wǎng)絡(luò)堵塞,用戶無(wú)法正常訪問(wèn)。該公司網(wǎng)絡(luò)游戲的IP地址隨即被租賃公司停用兩天,造成公司間接經(jīng)濟(jì)損失達(dá)10萬(wàn)余元。1.4內(nèi)部操作人員素質(zhì)欠缺在利益的驅(qū)使下,網(wǎng)絡(luò)管理人員并不能夠保證自己完全不被金錢(qián)所誘惑。另外,在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過(guò)程中,人們大多將重點(diǎn)放在網(wǎng)絡(luò)功能的建設(shè)上,很少會(huì)在安全性能方面加大投入。一些網(wǎng)絡(luò)執(zhí)行領(lǐng)導(dǎo)認(rèn)為,對(duì)網(wǎng)絡(luò)進(jìn)行安全性能的加強(qiáng)并不能夠在短期內(nèi)為網(wǎng)站帶來(lái)經(jīng)濟(jì)效益,且這種投資若是沒(méi)有碰到安全事故就相當(dāng)于無(wú)回報(bào)投資,因此覺(jué)得在網(wǎng)絡(luò)安全方面不投資影響也不大。正是因?yàn)檫@種思想,網(wǎng)絡(luò)安全事故屢禁不止,且在問(wèn)題發(fā)生之后,由于沒(méi)有進(jìn)行相應(yīng)投入,因此在補(bǔ)救措施上缺乏行之有效的管理,只能夠采取直接將網(wǎng)絡(luò)關(guān)閉的消極手段來(lái)應(yīng)對(duì),不能讓安全隱患得到實(shí)質(zhì)性的有效解決。
2信息安全改進(jìn)措施
2.1安裝防火墻及殺毒軟件
現(xiàn)如今,各項(xiàng)殺毒軟件與防火墻充斥著網(wǎng)絡(luò)資源市場(chǎng),用戶只需根據(jù)自己平時(shí)在計(jì)算機(jī)上進(jìn)行的主要操作來(lái)選取需要用到的軟件即可。防毒軟件的安裝能夠自動(dòng)檢測(cè)出瀏覽網(wǎng)站的不良信息,確保用戶不會(huì)進(jìn)行點(diǎn)擊操作,這樣一來(lái),一些病毒或是惡意程序就不會(huì)侵入到個(gè)人電腦中,也不會(huì)對(duì)電腦中信息造成損害了。同時(shí),殺毒軟件可以定期、定時(shí)的對(duì)計(jì)算機(jī)中的軟件進(jìn)行掃描,對(duì)于會(huì)修改計(jì)算機(jī)操作的程序或是目的地不明確的程序能夠及時(shí)找出并向用戶通報(bào)。同時(shí),殺毒軟件會(huì)將用戶在網(wǎng)絡(luò)上自行下載的資源進(jìn)行自動(dòng)掃描,對(duì)于含有病毒的程序或是發(fā)現(xiàn)有異常的程序能夠自動(dòng)將其毀滅,保障用戶計(jì)算機(jī)安全。
2.2信息備份
就目前網(wǎng)絡(luò)安全問(wèn)題而言,許多病毒都是以破壞用戶計(jì)算機(jī)內(nèi)的資料數(shù)據(jù)為目的的。因此要做好數(shù)據(jù)的備份工作,保障在數(shù)據(jù)丟失之后能夠被及時(shí)找回,不影響后續(xù)工作、學(xué)習(xí)。并且,數(shù)據(jù)的備份還需進(jìn)行技術(shù)上的完善,讓數(shù)據(jù)在丟失之后還能夠及時(shí)的被找回與回復(fù),這樣一來(lái),即使沒(méi)有及時(shí)進(jìn)行備份,也能夠避免丟失造成的損失。
2.3定期進(jìn)行補(bǔ)丁更新
對(duì)于局域網(wǎng)內(nèi)的計(jì)算機(jī)而言,病毒很容易就會(huì)通過(guò)局域網(wǎng)進(jìn)行傳播,因此要定期進(jìn)行網(wǎng)絡(luò)軟件以及計(jì)算機(jī)操作系統(tǒng)的維護(hù)工作。對(duì)于一般的維護(hù)而言,通常是以補(bǔ)丁形式的,省去了安裝的時(shí)間。若是沒(méi)有及時(shí)安裝補(bǔ)丁,一些系統(tǒng)的漏洞就容易被利用,相應(yīng)的病毒會(huì)進(jìn)入到系統(tǒng)內(nèi)部進(jìn)行攻擊。像是蠕蟲(chóng)病毒、沖擊波病毒,在補(bǔ)丁安裝之后就失去了進(jìn)入的通道,自然不會(huì)威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全。
2.4身份認(rèn)證
用戶對(duì)信息讀取的身份認(rèn)證是非常重要的。由于網(wǎng)絡(luò)是一個(gè)較為開(kāi)放的平臺(tái),因此黑客能夠利用其開(kāi)放性對(duì)信息進(jìn)行攔截、讀取與篡改。在這個(gè)過(guò)程中,文件是處于不被保護(hù)狀態(tài)的,因此就應(yīng)該提高文件傳輸?shù)陌踩?對(duì)文件進(jìn)行訪問(wèn)的用戶需要進(jìn)行身份驗(yàn)證才能夠繼續(xù)訪問(wèn)。這種身份的認(rèn)證一般是以用戶安裝安全密鑰或是協(xié)議的方式完成的。對(duì)于計(jì)算機(jī)信息中心管理人員而言,通過(guò)身份的鑒別能夠有效發(fā)現(xiàn)黑客的存在,并且設(shè)置文件的讀取權(quán)限,像一些加密的文件,權(quán)限范圍就要比不加密文件有效,保障加密文件的安全性。
3小結(jié)
隨著計(jì)算機(jī)的普及以及網(wǎng)絡(luò)化的不斷發(fā)展,我國(guó)計(jì)算機(jī)信息安全越來(lái)越受到用戶的廣泛關(guān)注。信息安全關(guān)系到信息傳輸雙方以及個(gè)人電腦的安全管理,因此應(yīng)該加大對(duì)這方面的重視程度,讓計(jì)算機(jī)在帶來(lái)方便快捷的同時(shí),不會(huì)對(duì)人們的工作、 生活、學(xué)習(xí)造成負(fù)面影響。相信通過(guò)各方面的不斷努力以及投入力度的增加,我國(guó)計(jì)算機(jī)信息安全能夠得到更好的改進(jìn)。
近年來(lái),隨著我省林業(yè)信息化建設(shè)進(jìn)程不斷加快,信息系統(tǒng)在政府服務(wù)企業(yè)人民群眾中得到廣泛應(yīng)用,使得生產(chǎn)效率大幅提高。然而,隨著社會(huì)經(jīng)濟(jì)對(duì)信息化依賴(lài)性不斷增長(zhǎng),信息系統(tǒng)的脆弱性日益暴露,信息安全問(wèn)題日益凸出。從我省林業(yè)信息安全現(xiàn)狀來(lái)看,不論是軟硬件系統(tǒng)本身還是組織和管理方面,都還不同程度地存在著各種安全隱患,因重大故障而引發(fā)系統(tǒng)停機(jī)、業(yè)務(wù)停頓的現(xiàn)象也時(shí)有發(fā)生,被黑客攻擊、病毒傳染致使系統(tǒng)癱瘓和數(shù)據(jù)丟失也不乏其例。因此,信息安全保障工作是一項(xiàng)關(guān)系我省國(guó)民經(jīng)濟(jì)和社會(huì)信息化全局的長(zhǎng)期性任務(wù)。在省內(nèi)的推廣和應(yīng)用對(duì)全省信息安全保障體系建設(shè)具有重要意義。本文全面地介紹了我省林業(yè)系統(tǒng)信息安全現(xiàn)狀,分析了我省林業(yè)信息安全保障取得的成果和存在的問(wèn)題,在通過(guò)參會(huì)、走訪、調(diào)研多種形式的基礎(chǔ)上,得到充分的信息安全保障資料,結(jié)合國(guó)家各信息安全相關(guān)標(biāo)準(zhǔn),提出林業(yè)系統(tǒng)信息安全保障的下一步工作研究。
1我省林業(yè)信息化安全形勢(shì)嚴(yán)峻
我省林業(yè)系統(tǒng)信息安全面臨的形勢(shì)不容樂(lè)觀,從省直機(jī)關(guān)及部分地市單位的調(diào)查結(jié)果看,有39%的單位發(fā)生過(guò)信息安全事件,說(shuō)明我省林業(yè)系統(tǒng)網(wǎng)絡(luò)和信息安全基礎(chǔ)還比較薄弱,保障機(jī)制尚待健全。主要有以下四個(gè)方面表現(xiàn)。
1.1從發(fā)生信息安全事件的結(jié)構(gòu)上看,超過(guò)半數(shù)的屬于感染病毒、木馬。引起事件的原因35.5%來(lái)自于單位外部,主要原因是未修補(bǔ)或升級(jí)軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴(yán)重。而對(duì)于事件的覺(jué)察,36%是通過(guò)網(wǎng)絡(luò)管理員工作監(jiān)測(cè)發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說(shuō)明,我省林業(yè)網(wǎng)絡(luò)安全形勢(shì)總體上是好的,但也說(shuō)明網(wǎng)絡(luò)與信息安全事件總體防范能力不足,缺乏對(duì)安全事件的提前預(yù)防。
1.2從信息安全管理來(lái)看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時(shí)進(jìn)行安全檢查,61.1%的部門(mén)在管理中采取口令加密。這說(shuō)明林業(yè)系統(tǒng)內(nèi)大部門(mén)單位已經(jīng)認(rèn)識(shí)到了信息安全的重要性,但管理手段單一,技術(shù)落后,缺乏有效的身份認(rèn)證、授權(quán)管理和安全審計(jì)手段。
1.3從信息安全投資來(lái)看,只有14.70%的單位信息安全投入達(dá)到了15%,70%的單位信息安全投資低于信息化項(xiàng)目總投資的10%,甚至還有7%的單位在信息安全方面從來(lái)沒(méi)有過(guò)投資。說(shuō)明整體網(wǎng)絡(luò)與信息安全投入明顯不足。
1.4從專(zhuān)職人員配備情況來(lái)看,只有46%的部門(mén)有專(zhuān)職的信息安全人員,大部分是兼職人員或外包服務(wù)。僅有3.8%的單位組織了對(duì)單位全體員工的信息安全培訓(xùn),而對(duì)于網(wǎng)絡(luò)安全管理技術(shù)人員的培訓(xùn)也只有46%的單位搞過(guò)。從業(yè)人員不足,安全培訓(xùn)少,也是影響信息安全的一個(gè)重要因素。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全意識(shí)淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應(yīng)急處理能力不強(qiáng),信息安全管理和技術(shù)人才缺乏。隨著我省林業(yè)信息化建設(shè)和應(yīng)用的加快,多樣化的侵害和信息安全隱患將會(huì)不斷地暴露出來(lái),使我省林業(yè)網(wǎng)絡(luò)與信息安全工作面臨著更大的威脅和風(fēng)險(xiǎn)。
2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務(wù)
省委省政府關(guān)于建設(shè)“平安山東”的決定,提出了把我省建設(shè)成為全國(guó)最穩(wěn)定、最安全的地區(qū)之一的明確目標(biāo)和任務(wù),切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作是大力推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的重要保障,是平安山東建設(shè)的重要內(nèi)容。省政府印發(fā)的山東省國(guó)民經(jīng)濟(jì)和社會(huì)信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一。在此基礎(chǔ)上,林業(yè)信息化建設(shè)以全面提高網(wǎng)絡(luò)與信息安全的保障能力為己任,努力開(kāi)創(chuàng)了我省信息化建設(shè)與信息安全保障體系相互適應(yīng)、共同進(jìn)步的新局面。
2.1信息安全保障工作的思路以科學(xué)發(fā)展觀為指導(dǎo),認(rèn)真貫徹“積極防御,綜合防范”的方針,加強(qiáng)網(wǎng)絡(luò)信任體系、信息安全監(jiān)控體系和應(yīng)急保障體系建設(shè),全面提高林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)和應(yīng)急事件處置能力,重點(diǎn)保障我省林業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全;強(qiáng)化林業(yè)信息安全制度建設(shè)和人才隊(duì)伍建設(shè),充分發(fā)揮各方面的積極性,協(xié)同構(gòu)筑我省網(wǎng)絡(luò)與信息安全保障體系。
2.2信息安全保障工作的主要任務(wù)
2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡(luò)與信息安全建設(shè)的作用,建立了信息安全的通報(bào)制度,形成我省林業(yè)信息安全相關(guān)部門(mén)密切配合的良好機(jī)制。
2.2.2積極推進(jìn)了信息風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度的建立。省信息辦制定了山東省信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施辦法,介紹了實(shí)施風(fēng)險(xiǎn)評(píng)估的方法和流程,十一五期間,已選取了多家單位作為試點(diǎn),下一步將根據(jù)自己工作實(shí)施風(fēng)險(xiǎn)評(píng)估,并爭(zhēng)取在全省范圍內(nèi)推廣。
2.2.3大力促進(jìn)網(wǎng)絡(luò)與信息安全的制度建設(shè),積極貫徹有關(guān)信息安全標(biāo)準(zhǔn)的應(yīng)用和推廣,出臺(tái)了林業(yè)系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的指導(dǎo)意見(jiàn)。
2.2.4加強(qiáng)信息安全應(yīng)急處置體系建設(shè),利用現(xiàn)有的專(zhuān)業(yè)隊(duì)伍和技術(shù)資源,規(guī)劃和建設(shè)林業(yè)數(shù)據(jù)備份中心,啟動(dòng)建設(shè)信息化應(yīng)急技術(shù)處理中心,逐步實(shí)現(xiàn)為我省林業(yè)網(wǎng)絡(luò)信息安全提供預(yù)警、評(píng)測(cè)等服務(wù),按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求,各部門(mén)出現(xiàn)問(wèn)題及時(shí)處理,如果處理不了,可以呼叫應(yīng)急中心通過(guò)技術(shù)手段判斷突發(fā)事件的原因。
2.2.5加強(qiáng)人才隊(duì)伍培養(yǎng)和建設(shè)。不定期的舉辦了面向工作人員提高安全意識(shí)、防范意識(shí)的培訓(xùn),對(duì)從事信息化的專(zhuān)業(yè)人員建立管理培訓(xùn)的制度。
3加快我省林業(yè)信息安全保障體系建設(shè)進(jìn)程的建議林業(yè)信息安全保障體系的建設(shè)是關(guān)系我省民生的大事,做好這項(xiàng)工作十分重要。
3.1充分認(rèn)識(shí)做好信息安全保障工作的重要意義。目前對(duì)信息安全問(wèn)題不少人仍然缺乏全面的、深刻的認(rèn)識(shí),現(xiàn)有各個(gè)部門(mén)在安全工作中缺乏安全防范的意識(shí),安全防護(hù)注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)、良性的提高,不能自主發(fā)現(xiàn)和及時(shí)消除安全隱患,對(duì)安全工作仍然不同程度的存在“說(shuō)起來(lái)重要,忙起來(lái)次要,干起來(lái)不要”的問(wèn)題。各單位各部門(mén)要從經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定的高度充分認(rèn)識(shí)信息安全的重要性,增強(qiáng)緊迫感、責(zé)任感和自覺(jué)性。
3 .2正確把握加強(qiáng)信息安全保障工作的總體要求。要堅(jiān)持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關(guān)系,堅(jiān)持以發(fā)展求安全、以安全保發(fā)展,同時(shí)管理與技術(shù)并用,大力發(fā)展信息技術(shù)的同時(shí),切實(shí)加強(qiáng)信息安全管理工作,努力從預(yù)防、監(jiān)控、應(yīng)急處理和打擊犯罪等環(huán)節(jié)在法律、管理、技術(shù)、人才各方面采取各種措施全面提升信息安全的防護(hù)水平。
3.3突出重點(diǎn),抓好落實(shí)。各部門(mén)要制定工作重點(diǎn),加強(qiáng)信息安全體系建設(shè)和管理,最大限度的控制和限制安全風(fēng)險(xiǎn),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全,做好應(yīng)急服務(wù)工作,盡可能的防止因信息安全問(wèn)題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問(wèn)題。防止數(shù)據(jù)丟失和錯(cuò)誤,避免對(duì)社會(huì)造成的損失。
3.4建立相應(yīng)的信息安全管理體制。明確信息安全的綜合建設(shè)和管理思路,搞好信息安全保障體系的建設(shè),目前省級(jí)部門(mén)已經(jīng)按照國(guó)家要求做了落實(shí),現(xiàn)在要求地市的信息安全管理部門(mén)、相關(guān)人員也要按照要求做好這項(xiàng)工作。
3.5加快網(wǎng)絡(luò)信任體系、監(jiān)控及應(yīng)急保障體系等信息安全基礎(chǔ)設(shè)施建設(shè)。促進(jìn)重要信息系統(tǒng)容災(zāi)備份和災(zāi)難存儲(chǔ)的建設(shè),建立全覆蓋、多層次、高性能的全省林業(yè)信息安全保障基礎(chǔ)架構(gòu),深化在我省林業(yè)系統(tǒng)電子政務(wù)、電子商務(wù)中的應(yīng)用,結(jié)合數(shù)字證書(shū)的應(yīng)用,保證網(wǎng)上信息的安全和法律效力。信息安全保障體系的建設(shè)是一件大事,也是一件新興事物,將面臨著許多難以想象的困難和挑戰(zhàn),我們一定要轉(zhuǎn)變觀念,一手抓信息化推進(jìn),一手抓網(wǎng)絡(luò)的信息安全,共同服務(wù)于社會(huì)發(fā)展的大局,全面提高我省信息安全保障的能力和水平,為國(guó)民經(jīng)濟(jì)和社會(huì)信息化做好保障,為“平安山東”做出應(yīng)有的貢獻(xiàn)。
一、計(jì)算機(jī)信息安全
計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展,應(yīng)用較為廣泛,但是也存在安全性問(wèn)題,使個(gè)人或者企事業(yè)單位面臨威脅。如果計(jì)算機(jī)信息管理的方法不恰當(dāng),會(huì)使機(jī)密的信息被竊取,引起經(jīng)濟(jì)損失。對(duì)計(jì)算機(jī)信息進(jìn)行安全管理成為重要的問(wèn)題。計(jì)算機(jī)安全保護(hù)的目的主要是進(jìn)行信息的安全管理,保證計(jì)算機(jī)在存儲(chǔ)信息方面具備完整性以及機(jī)密性,信息的效用價(jià)值被激發(fā)出來(lái)。
二、計(jì)算機(jī)信息安全存在的問(wèn)題
信息安全威脅主要指的是人、事、物對(duì)某一資源信息造成的威脅,主要安全威脅表現(xiàn)在以下方面:機(jī)密性;完整性;可用性;真實(shí)性;可控性。安全威脅可以分為兩類(lèi):主動(dòng)威脅、被動(dòng)威脅。主動(dòng)威脅指的是對(duì)信息作出修改,被動(dòng)威脅指的是對(duì)信息只做監(jiān)聽(tīng)不做修改。
2.1攻擊方式
信息的安全問(wèn)題一直受到人們的關(guān)注,對(duì)計(jì)算機(jī)進(jìn)行侵襲的方式花樣百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒絕服務(wù)。無(wú)法訪問(wèn)信息資源,延遲操作。(4)竊聽(tīng):(5)否認(rèn):(6)業(yè)務(wù)流分析:(7)病毒。
2.2網(wǎng)絡(luò)外部因素出現(xiàn)問(wèn)題
網(wǎng)絡(luò)外部因素是出現(xiàn)信息安全的重要原因,在信息安全問(wèn)題中處于關(guān)鍵地位。主要表現(xiàn)在:()l借助技術(shù)手段進(jìn)行網(wǎng)絡(luò)干擾;(2)借助先進(jìn)的設(shè)備,植人病毒等,威脅信息系統(tǒng)。
2.3網(wǎng)絡(luò)內(nèi)部因素出現(xiàn)的問(wèn)題
網(wǎng)絡(luò)系統(tǒng)具有脆弱性,是信息安全問(wèn)題的內(nèi)因。主要表現(xiàn)在:(l)安全策略與安全管理有待完善;(2)軟件系統(tǒng)存在漏洞;(3)網(wǎng)絡(luò)協(xié)議體系存在問(wèn)題。
三、計(jì)算機(jī)信息安全管理的方法
3.1進(jìn)行信息加密
在安裝防火墻軟件后,不能有效防御系統(tǒng)內(nèi)部的威脅,在這種情況下,可以采用信息加密的技術(shù),把明文文件、數(shù)據(jù)信息等進(jìn)行優(yōu)質(zhì)化處理,進(jìn)行密文的傳送,到達(dá)目的地后,錄人密鑰,重現(xiàn)原來(lái)的信息內(nèi)容,對(duì)信息文件設(shè)置安全保護(hù),使數(shù)據(jù)資源保持安全性。與加密過(guò)程相反的是解密,主要是轉(zhuǎn)化已經(jīng)編碼的信息,還原本來(lái)的信息。根據(jù)系統(tǒng)功能的要求,選擇信息加密的手段,保證信息的安全性以及可靠性。
3.2采用安全性較高的系統(tǒng)軟件
安全性較高的系統(tǒng)軟件指的是操作系統(tǒng)以及數(shù)據(jù)庫(kù)等具有很高的安全性。在系統(tǒng)終端,操作系統(tǒng)應(yīng)當(dāng)版本統(tǒng)一,為維護(hù)以及管理提供了很大的方便。對(duì)系統(tǒng)的終端進(jìn)行安全管理,主要指的是針對(duì)應(yīng)用軟件進(jìn)行遠(yuǎn)程操控,對(duì)于不安全的端口以及軟件進(jìn)行屏蔽。在系統(tǒng)的終端,安裝殺毒軟件,對(duì)系統(tǒng)的補(bǔ)丁進(jìn)行自動(dòng)的更新,便于進(jìn)行集中的控管。對(duì)客戶端的操作系統(tǒng)進(jìn)行定期的掃描殺毒。
3.3訪問(wèn)控制技術(shù)
訪問(wèn)控制主要指的是對(duì)用戶的訪問(wèn)權(quán)限進(jìn)行控制,允許特定的用戶進(jìn)行網(wǎng)絡(luò)訪問(wèn),人網(wǎng)的用戶需要進(jìn)行身份確認(rèn),用戶訪問(wèn)系統(tǒng)的特定資源,規(guī)定資源的使用程度等等。訪問(wèn)控制可以加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全,對(duì)網(wǎng)絡(luò)資源進(jìn)行有效的保護(hù)。訪問(wèn)控制的措施包括:第一,設(shè)置口令;第二,應(yīng)用數(shù)字證書(shū)等。通過(guò)以上方法,驗(yàn)證、確認(rèn)用戶的信息,設(shè)定訪問(wèn)的權(quán)限,進(jìn)行網(wǎng)絡(luò)跟蹤,并對(duì)網(wǎng)絡(luò)系統(tǒng)采取防護(hù)措施。為了確保口令的安全性,要注重口令的選取以及保護(hù)。進(jìn)行訪問(wèn)控制,主要是為了確保訪問(wèn)操作的合法性,避免非授權(quán)的訪問(wèn)。
3.4進(jìn)行風(fēng)險(xiǎn)分析
采用信息加密算法可以增加計(jì)算機(jī)信息整體的安全性。從傳統(tǒng)的加密方法來(lái)看,主要是把密匙作為核心,也就是對(duì)稱(chēng)加密。在進(jìn)行解密和加密時(shí),用戶可以采用相同的密鑰。近年來(lái),加密算法發(fā)展較快,公開(kāi)密鑰得到了廣泛的應(yīng)用,也稱(chēng)為非對(duì)稱(chēng)加密。進(jìn)行加密、解密,采用不同的密鑰,主體涵蓋的技術(shù)包括RsA以及DsA技術(shù)。現(xiàn)在比較常用的是DES、RSA算法,與PGP加密的方式相混合,能夠進(jìn)行優(yōu)質(zhì)運(yùn)用。與此同時(shí),還要進(jìn)行病毒的防御。計(jì)算機(jī)技術(shù)在不斷進(jìn)步,病毒的形式更加多樣,分辨存在很大的難度,產(chǎn)生很大的危害。
因此,為了保證計(jì)算機(jī)信息的安全性,我們應(yīng)當(dāng)更新技術(shù),不斷研發(fā)防御病毒的方式,使功能更加優(yōu)質(zhì)全面。我們必須進(jìn)行風(fēng)險(xiǎn)分析,分析利弊,制定適當(dāng)?shù)墓芾矸椒?使計(jì)算機(jī)信息安全有所保證。養(yǎng)成規(guī)范操作的習(xí)慣,加強(qiáng)密鑰的管理。
四、結(jié)語(yǔ)
隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)信息安全受到了嚴(yán)重的威脅。在現(xiàn)階段,計(jì)算機(jī)網(wǎng)絡(luò)存在問(wèn)題,網(wǎng)絡(luò)自身具有脆弱性,并容易受到潛在的威脅,注重管理,在必要的情況下,需要加強(qiáng)法律的治理,保證網(wǎng)絡(luò)系統(tǒng)的安全性。針對(duì)個(gè)人的使用,采取一定的管理方法。加強(qiáng)計(jì)算機(jī)的信息安全管理,保證網(wǎng)絡(luò)信息的安全性。
論文關(guān)鍵詞:經(jīng)濟(jì)信息安全 國(guó)家經(jīng)濟(jì)安全 信息化 法律保護(hù)
論文摘要:信息時(shí)代,信息資源的占有率已成為影響一國(guó)生產(chǎn)力發(fā)展的核心要素之一。面對(duì)日益激烈的市場(chǎng)競(jìng)爭(zhēng),世界各國(guó)對(duì)經(jīng)濟(jì)信息的爭(zhēng)奪加劇。完善我國(guó)經(jīng)濟(jì)信息安全的法律保護(hù)體系是維護(hù)國(guó)家經(jīng)濟(jì)安全,保障生產(chǎn)力健康發(fā)展的重要任務(wù)。文章對(duì)經(jīng)濟(jì)信息安全的概念進(jìn)行了界定,通過(guò)分析我國(guó)經(jīng)濟(jì)信息安全面臨的挑戰(zhàn)與現(xiàn)有法律保護(hù)的不足,提出完善經(jīng)濟(jì)信息安全法律保護(hù)的對(duì)策。
一、信息化挑戰(zhàn)我國(guó)經(jīng)濟(jì)信息安全
與西方發(fā)達(dá)國(guó)家相比,我國(guó)的經(jīng)濟(jì)安全保障體系非常脆弱,對(duì)于經(jīng)濟(jì)信息安全的保護(hù)更是一片空白。國(guó)家經(jīng)濟(jì)數(shù)據(jù)的泄露,泄密案件的連續(xù)出現(xiàn)昭示著我國(guó)經(jīng)濟(jì)信息安全面臨前所未有的嚴(yán)峻挑戰(zhàn)。
(一)對(duì)經(jīng)濟(jì)信息的爭(zhēng)奪日益加劇
經(jīng)濟(jì)競(jìng)爭(zhēng)的白熾化與信息高速化在推動(dòng)世界經(jīng)濟(jì)迅速發(fā)展的同時(shí)也使得業(yè)已存在的竊取經(jīng)濟(jì)信息活動(dòng)更為猖獗,無(wú)論是官方的經(jīng)濟(jì)情報(bào)部門(mén)還是各大財(cái)團(tuán)、公司都有自己的情報(bào)網(wǎng)絡(luò)。世界各國(guó)在千方百計(jì)地保護(hù)本國(guó)經(jīng)濟(jì)信息安全的同時(shí)也在千方百計(jì)地獲取他國(guó)的經(jīng)濟(jì)情報(bào)。目前我國(guó)正處于泄密高發(fā)期,其中通過(guò)計(jì)算機(jī)網(wǎng)絡(luò)泄密發(fā)案數(shù)占泄密法案總數(shù)的70%以上,并呈現(xiàn)逐年增長(zhǎng)的趨勢(shì);在商業(yè)活動(dòng)中,商業(yè)間諜與經(jīng)濟(jì)信息泄密事件頻繁發(fā)生,據(jù)業(yè)內(nèi)人士透露泄密及損失最滲重的是金融業(yè);其次是資源行業(yè),大型并購(gòu)很多,而十次并購(gòu)里面九次會(huì)出現(xiàn)信息泄密事故;高科技、礦產(chǎn)等領(lǐng)域也非常嚴(yán)峻,很多行業(yè)在經(jīng)濟(jì)信息安全保護(hù)上都亮起了紅燈。
(二)竊密技術(shù)先進(jìn),手段多樣化
一方面,發(fā)達(dá)國(guó)家及其情報(bào)組織利用信息技術(shù)優(yōu)勢(shì),不斷監(jiān)聽(tīng)監(jiān)視我國(guó)經(jīng)濟(jì)情報(bào),非法獲取、篡改我國(guó)信息或傳播虛假信息造成經(jīng)濟(jì)波動(dòng),以獲取經(jīng)濟(jì)乃至政治上的收益;另一方面,除技術(shù)手段,他們還通過(guò)商業(yè)賄賂、資助學(xué)術(shù)研究、舉辦研討會(huì)、派專(zhuān)人在合法范圍內(nèi)收集企業(yè)簡(jiǎn)報(bào)、股東報(bào)告甚至是廢棄垃圾通過(guò)仔細(xì)研究,分析出有價(jià)情報(bào)等方式大量收集我國(guó)經(jīng)濟(jì)信息。正如哈佛大學(xué)肯尼迪政治學(xué)院的一位中國(guó)專(zhuān)家認(rèn)為:“在中國(guó),當(dāng)前賄賂最主要的形式不再是支付現(xiàn)金,更多可能由公司付費(fèi)途經(jīng)洛杉磯或拉斯維加斯到公司總部考察。這種費(fèi)用可以被看做是合法的營(yíng)業(yè)支出,也可以為官員設(shè)立獎(jiǎng)學(xué)金。”竊密技術(shù)日益先進(jìn)與手段日趨多樣化、合法化對(duì)我國(guó)經(jīng)濟(jì)安全,特別是經(jīng)濟(jì)信息的安全造成嚴(yán)重威脅。
(三)經(jīng)濟(jì)信息安全保密意識(shí)淡薄
近年來(lái),每當(dāng)政府機(jī)構(gòu)公布國(guó)民經(jīng)濟(jì)運(yùn)行數(shù)據(jù)前,一些境外媒體或境外研究機(jī)構(gòu)總是能準(zhǔn)確“預(yù)測(cè)”;許多重要的經(jīng)濟(jì)信息,包括經(jīng)濟(jì)數(shù)據(jù)、經(jīng)濟(jì)政策等伴隨學(xué)術(shù)報(bào)告、會(huì)議研討甚至是一句家常閑聊便被泄露出去;載有核心經(jīng)濟(jì)信息的移動(dòng)存儲(chǔ)介質(zhì)被隨意連接至互聯(lián)網(wǎng)導(dǎo)致信息泄露等問(wèn)題嚴(yán)重。有調(diào)查顯示,我國(guó)有62%的企業(yè)承認(rèn)出現(xiàn)過(guò)泄密現(xiàn)象;國(guó)有以及國(guó)有控股企業(yè)為商業(yè)秘密管理所設(shè)立專(zhuān)門(mén)機(jī)構(gòu)的比例不到20%,未建立任何機(jī)構(gòu)的比例高達(dá)36.5%;在私營(yíng)企業(yè)中,這樣的情況更加嚴(yán)峻。經(jīng)濟(jì)信息安全保密意識(shí)的薄弱已成為威脅我國(guó)經(jīng)濟(jì)安全,影響社會(huì)經(jīng)濟(jì)穩(wěn)定發(fā)展的制約因素之一。
二、經(jīng)濟(jì)信息安全法律保護(hù)的缺失
安全的實(shí)質(zhì)是一種可預(yù)期的利益,是法律所追求的價(jià)值主張。保障經(jīng)濟(jì)信息的安全是信息時(shí)代法律在經(jīng)濟(jì)活動(dòng)中所追求的最重要的利益之一。法律保障經(jīng)濟(jì)信息安全,就要維護(hù)經(jīng)濟(jì)信息的保密性、完整性以及可控性,這是由信息安全的基本屬性所決定的。然而,由于我國(guó)立法上的滯后,對(duì)經(jīng)濟(jì)信息安全的法律保護(hù)仍存在相當(dāng)大的漏洞。
(一)缺乏對(duì)保密性的法律保護(hù)
保密性是指保證信息不會(huì)泄露給非授權(quán)者,并對(duì)需要保密的信息按照實(shí)際情況劃分為不同等級(jí),有針對(duì)性的采取不同力度的保護(hù)。現(xiàn)行《保密法》對(duì)于國(guó)家秘密的范圍以及分級(jí)保護(hù)雖有相關(guān)規(guī)定,但其內(nèi)容主要針對(duì)傳統(tǒng)的國(guó)家安全,有關(guān)經(jīng)濟(jì)信息安全方面僅出現(xiàn)“國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)”這樣原則性的規(guī)定,對(duì)經(jīng)濟(jì)秘密的劃定、保密范圍和措施等缺乏相應(yīng)條款;對(duì)于跨國(guó)公司或境外利益集團(tuán)等竊取我國(guó)經(jīng)濟(jì)政策、產(chǎn)業(yè)關(guān)鍵數(shù)據(jù)等行為也缺乏法律上的界定,以至要追究法律責(zé)任卻沒(méi)有相應(yīng)法律條款可適用的情況屢屢發(fā)生。
在涉及商業(yè)秘密的法律保護(hù)上,法律規(guī)定分散而缺乏可操作性,不同部門(mén)對(duì)商業(yè)秘密的定義不統(tǒng)一,商業(yè)秘密的概念模糊而混亂,弱化了商業(yè)秘密的保密性;①另一方面,與TRIPS協(xié)議第39條規(guī)定的“未披露的信息(undiscoveredinformation)”即“商業(yè)秘密”相比,我國(guó)《反不正當(dāng)競(jìng)爭(zhēng)法》要求商業(yè)秘密須具有秘密性、價(jià)值型、新穎性與實(shí)用性且經(jīng)權(quán)利人采取保密措施,并將構(gòu)成商業(yè)秘密的信息局限于技術(shù)信息和經(jīng)營(yíng)信息,這樣的規(guī)定不以商業(yè)秘密在商業(yè)上使用和繼續(xù)性使用為要件,使不具實(shí)用性卻有重大價(jià)值或潛在經(jīng)濟(jì)價(jià)值的信息得不到保護(hù),不利于經(jīng)濟(jì)信息的保密。此外,人才流動(dòng)的加快也使商業(yè)秘密伴隨著員工的“跳槽”而流失的可能性激增,但對(duì)商業(yè)秘密侵權(quán)威脅(ThreatenedMisappropriationofTradeSecrets)我國(guó)尚無(wú)沒(méi)有明確法律依據(jù);對(duì)于泄露或竊取他人商業(yè)秘密的行為,《刑法》第219條雖增加了刑事處罰,但處罰力度過(guò)輕而又缺乏處罰性賠償規(guī)定,導(dǎo)致權(quán)利人的損失無(wú)法得到彌補(bǔ)。
(二)缺乏對(duì)完整性的法律保護(hù)
完整性是指信息在存儲(chǔ)或傳輸過(guò)程中保持不被未授權(quán)的或非預(yù)期的操作修改和破壞,它要求保持信息的原始面貌,即信息的正確生成、正確存儲(chǔ)和正確傳輸。目前,我國(guó)保障信息與信息系統(tǒng)完整性主要依靠《刑法》與《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律法規(guī),總體而言層級(jí)較低又缺乏統(tǒng)一性。《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第4條規(guī)定了“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作,重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”,但在第23和25條卻只規(guī)定對(duì)破壞和危害計(jì)算機(jī)信息系統(tǒng)安全造成財(cái)產(chǎn)損失的承擔(dān)民事責(zé)任,并對(duì)個(gè)人處以5000元以下罰款,對(duì)單位處以15000元以下罰款的較輕處罰規(guī)定;現(xiàn)行《刑法》第285條也只規(guī)定入侵國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的行為構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪。這就是說(shuō),行為人非法侵入包括經(jīng)濟(jì)信息系統(tǒng)在內(nèi)的其他信息系統(tǒng)并不構(gòu)成本罪。可見(jiàn),法律對(duì)信息安全的保障依然側(cè)重于政治、軍事等傳統(tǒng)安全領(lǐng)域,而忽略了對(duì)經(jīng)濟(jì)信息安全的保護(hù)。
(三)缺乏對(duì)可控性的法律保護(hù)
可控性是對(duì)經(jīng)濟(jì)信息的內(nèi)容和信息的傳播具有控制能力,能夠按照權(quán)利人的意愿自由流動(dòng)。網(wǎng)絡(luò)的盛行使得經(jīng)濟(jì)間諜、商業(yè)賄賂等竊密手段的頻繁出現(xiàn)而使得經(jīng)濟(jì)信息不能按照權(quán)利人的意愿流動(dòng)。面對(duì)日趨“合法化”的竊密行為,《刑法》第110條的間諜罪與第11l條的為境外的機(jī)構(gòu)、組織、人員竊取、刺探、收買(mǎi)、非法提供國(guó)家秘密或情報(bào)罪都只是籠統(tǒng)的規(guī)定了“危害國(guó)家安全”和“竊取、刺探、收買(mǎi)、非法提供國(guó)家秘密或情報(bào)”,缺乏有關(guān)經(jīng)濟(jì)間諜罪的專(zhuān)門(mén)規(guī)定;而《國(guó)家安全法》也只是籠統(tǒng)的規(guī)定了國(guó)家安全整體的法律條文,并且側(cè)重的是傳統(tǒng)安全的政治和軍事領(lǐng)域,對(duì)于經(jīng)濟(jì)安全,尤其是經(jīng)濟(jì)信息安全這樣一個(gè)新的非傳統(tǒng)安全領(lǐng)域的存在的威脅仍缺乏適當(dāng)?shù)姆梢?guī)制。
除了經(jīng)濟(jì)間諜外,跨國(guó)公司對(duì)我國(guó)實(shí)施商業(yè)賄賂獲取經(jīng)濟(jì)信息與商業(yè)秘密的案件不斷增加,經(jīng)濟(jì)信息的可控性無(wú)法得到有效保證,在造成嚴(yán)重經(jīng)濟(jì)損失的同時(shí)也威脅著我國(guó)經(jīng)濟(jì)信息安全。目前我國(guó)尚無(wú)一部完備的《反商業(yè)賄賂法》,對(duì)于商業(yè)賄賂的法律規(guī)制主要體現(xiàn)在《刑法》與《反不正當(dāng)競(jìng)爭(zhēng)法》、《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》等法律法規(guī)上。然而,現(xiàn)行《刑法》并未直接對(duì)商業(yè)賄賂行為作出罪行定義,而《反不正當(dāng)競(jìng)爭(zhēng)法》第8條雖然規(guī)定商業(yè)賄賂的對(duì)象既可包括交易對(duì)方,又可包括與交易行為有關(guān)的其他人,但《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》中卻又將商業(yè)賄賂界定為“經(jīng)營(yíng)者為銷(xiāo)售或購(gòu)買(mǎi)商品而采用財(cái)物或者其他手段賄賂對(duì)方單位或者個(gè)人的行為”縮小了商業(yè)賄賂對(duì)象的范罔,將除交易雙方以外能夠?qū)灰灼饹Q定性作用或產(chǎn)生決定性影響的單位或個(gè)人被排除在外。另外,對(duì)于商業(yè)賄賂的經(jīng)濟(jì)處罰力度畸輕,根據(jù)《反不正當(dāng)競(jìng)爭(zhēng)法22條,不構(gòu)成犯罪的商業(yè)賄賂行為處以10000元以上200000元以下的罰款,并沒(méi)收違法所得。但事實(shí)上,通過(guò)商業(yè)賄賂手段所套取的經(jīng)濟(jì)信息往往可以帶來(lái)高達(dá)上百萬(wàn)的經(jīng)濟(jì)利益,過(guò)輕的處罰完全不能發(fā)揮法律應(yīng)有的威懾力。與美國(guó)的《反海外賄賂法》和德國(guó)的《反不正當(dāng)競(jìng)爭(zhēng)法》相比,我國(guó)對(duì)于商業(yè)賄賂,特別是跨國(guó)商業(yè)賄賂的治理仍存在不足。
三、完善我國(guó)經(jīng)濟(jì)信息安全法律保護(hù)的對(duì)策
法律保護(hù)經(jīng)濟(jì)經(jīng)濟(jì)信息安全,既要求能預(yù)防經(jīng)濟(jì)信息不受侵犯,也要求能通過(guò)國(guó)家強(qiáng)制力打擊各種侵犯經(jīng)濟(jì)信息安全的行為,從而達(dá)到經(jīng)濟(jì)信息客觀上不存在威脅,經(jīng)濟(jì)主體主觀性不存在恐懼的安全狀態(tài)。因此,維護(hù)經(jīng)濟(jì)信息安全需要構(gòu)建全方位的法律保護(hù)體系。
(一)修訂《保密法》,增加保護(hù)經(jīng)濟(jì)信息安全的專(zhuān)門(mén)條款
《保密法(修訂草案)》增加了針對(duì)涉密信息系統(tǒng)的保密措施以及加強(qiáng)涉密機(jī)關(guān)、單位和涉密人員的保密管理等五方面內(nèi)容,總體上得到了專(zhuān)家學(xué)者的肯定,但仍存在許多值得進(jìn)一步斟酌與完善的問(wèn)題。特別是對(duì)于經(jīng)濟(jì)領(lǐng)域的信息安全保密問(wèn)題,應(yīng)增設(shè)專(zhuān)門(mén)條款明確規(guī)定經(jīng)濟(jì)秘密的保密范同,明確哪些經(jīng)濟(jì)信息屬于國(guó)家經(jīng)濟(jì)秘密,通過(guò)明確“密”的界限強(qiáng)化保密意識(shí),維護(hù)經(jīng)濟(jì)信息的安全。因此,在修訂《保密法》時(shí),我們可以在保證法律的包容性與原則性的基礎(chǔ)上,可以借鑒俄羅斯的《聯(lián)邦國(guó)家秘密法》,采取列舉的方式將屬于國(guó)家秘密的經(jīng)濟(jì)信息以法律的方式予以規(guī)定,將對(duì)國(guó)家經(jīng)濟(jì)安全有重大影響的、過(guò)早透露可能危害國(guó)家利益的包括財(cái)政政策、金融信貸活動(dòng)以及用于維護(hù)國(guó)防、國(guó)家安全和治安的財(cái)政支出情況等經(jīng)濟(jì)信息包含在內(nèi),以具體形象的樣態(tài)將國(guó)家經(jīng)濟(jì)秘密明確的歸屬于法律控制范疇,避免因法律缺乏明確性與可操作性而帶來(lái)的掣肘。
(二)制定《商業(yè)秘密保護(hù)法》,完善商業(yè)秘密的保護(hù)
針對(duì)我國(guó)商業(yè)秘密泄密案件的日益頻繁,商業(yè)秘密保護(hù)立法分散的問(wèn)題,盡快制定專(zhuān)門(mén)的《商業(yè)秘密保護(hù)法》是維護(hù)經(jīng)濟(jì)信息安全的重要措施。在制定《商業(yè)秘密保護(hù)法》時(shí),可以借鑒國(guó)外以及國(guó)際組織的先進(jìn)經(jīng)驗(yàn),但應(yīng)當(dāng)注意以下問(wèn)題:(1)在對(duì)商業(yè)秘密進(jìn)行界定時(shí),應(yīng)采用列舉式與概括式相結(jié)合的體例明確商業(yè)秘密的內(nèi)涵。同時(shí)在商業(yè)秘密的構(gòu)成要件中剔除“實(shí)用性”的要求,使那些不為本行業(yè)或領(lǐng)域人員普遍知悉的,能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益或競(jìng)爭(zhēng)優(yōu)勢(shì),具有“經(jīng)濟(jì)價(jià)值”以及“潛在價(jià)值”并經(jīng)權(quán)利人采取合理保護(hù)措施的信息也能納入法律的保護(hù)范圍;(2)要明確規(guī)定各種法律責(zé)任,包括民事責(zé)任、行政責(zé)任以及刑事責(zé)任。由于商業(yè)秘密侵權(quán)行為是一種暴利行為,但給權(quán)利人造成的損失卻往往十分巨大,如不以刑事責(zé)任方式提高違法成本便難以遏制其發(fā)生;(3)在制定《商業(yè)秘密保護(hù)法》時(shí)應(yīng)當(dāng)引入不可避免泄露規(guī)則(InevitableDisclosureDoctrine)。該原則主要是針對(duì)商業(yè)秘密潛在的侵占行為采取的保護(hù)方式,旨在阻止離職員工在新的工作崗位上自覺(jué)或不自覺(jué)地泄露前雇主商業(yè)秘密的問(wèn)題。引入不可避免泄露原則更能有效地保護(hù)商業(yè)秘密,避免因人才流動(dòng)為保密性帶來(lái)的威脅。
(三)制定統(tǒng)一《反商業(yè)賄賂法》,確保經(jīng)濟(jì)信息的正向流動(dòng)
隨著信息在經(jīng)濟(jì)活動(dòng)中作用加重,商業(yè)賄賂的目的不再局限于獲取商品銷(xiāo)售或購(gòu)買(mǎi)的機(jī)會(huì),通過(guò)商業(yè)賄賂獲取競(jìng)爭(zhēng)對(duì)手經(jīng)濟(jì)秘密已成為信息時(shí)代非法控制經(jīng)濟(jì)信息流動(dòng)的重要手段之一。制定統(tǒng)一的《反商業(yè)賄賂法》將分散在各法律法規(guī)中的有關(guān)條例加以整合,實(shí)現(xiàn)對(duì)國(guó)內(nèi)外商業(yè)賄賂行為的有效監(jiān)管,是堵截經(jīng)濟(jì)信息非法流動(dòng)、維護(hù)我國(guó)經(jīng)濟(jì)信息安全與公平競(jìng)爭(zhēng)市場(chǎng)環(huán)境的必然選擇。因此,在制定統(tǒng)一《反商業(yè)賄賂法》時(shí)首先應(yīng)當(dāng)對(duì)商業(yè)賄賂的概念進(jìn)行準(zhǔn)確的界定,借鑒《布萊克法律詞典》的解釋將商業(yè)賄賂定義為經(jīng)營(yíng)者通過(guò)不正當(dāng)給予相關(guān)單位、個(gè)人或密切相關(guān)者好處的方式,獲取優(yōu)于其競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)優(yōu)勢(shì);④其次,對(duì)于商業(yè)賄賂的管轄范圍應(yīng)當(dāng)適當(dāng)擴(kuò)大。根據(jù)《經(jīng)合組織公約》與《聯(lián)合國(guó)反腐敗公約》的規(guī)定,締約國(guó)應(yīng)確立跨國(guó)商業(yè)賄賂法律的域外管轄權(quán)制度,對(duì)故意實(shí)施的跨國(guó)商業(yè)行為予以制裁。因此,制定《反商業(yè)賄賂法》要求將我國(guó)經(jīng)營(yíng)者或該商業(yè)活動(dòng)的密切相關(guān)者無(wú)論是向國(guó)內(nèi)外公職人員、企業(yè)、相關(guān)個(gè)人以及國(guó)際組織官員行賄行為或是收受來(lái)自國(guó)內(nèi)外企業(yè)、個(gè)人的財(cái)務(wù)或其他利益優(yōu)惠的受賄行為都應(yīng)列入該法管轄范圍內(nèi),并針對(duì)商業(yè)賄賂這種貪利性違法行為,完善民事、行政以及刑事法律責(zé)任;此外,在立法時(shí)還應(yīng)借鑒國(guó)外的成功經(jīng)驗(yàn)加大制裁力度,取消現(xiàn)行法律中固定處罰數(shù)額的不合理規(guī)定,采用相對(duì)確定的倍罰制,并制定對(duì)不構(gòu)成犯罪的商業(yè)賄賂行為的資質(zhì)罰(指取消從事某種職業(yè)或業(yè)務(wù)的資格的處罰),使得經(jīng)營(yíng)者在被處罰后不再具備從事相同職業(yè)或業(yè)務(wù)再次進(jìn)行商業(yè)賄賂的條件,從而有效遏止商業(yè)賄賂行為的蔓延,以確保經(jīng)濟(jì)信息的合理正向流動(dòng)。
(四)完善《刑法》,維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全
“只有使犯罪和刑罰銜接緊湊,才能指望相聯(lián)的刑罰要領(lǐng)使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過(guò)來(lái)”。故此,完善《刑法》并加重處罰力度,是維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全的必要保證。
首先,計(jì)算機(jī)與網(wǎng)絡(luò)的廣泛使用使得計(jì)算機(jī)信息系統(tǒng)安全成為影響經(jīng)濟(jì)信息安全的關(guān)鍵因素。面對(duì)《刑法》對(duì)經(jīng)濟(jì)領(lǐng)域計(jì)算機(jī)信息系統(tǒng)保護(hù)的缺位,增加維護(hù)經(jīng)濟(jì)信息安全的專(zhuān)門(mén)條款是當(dāng)務(wù)之急。因此,應(yīng)首先對(duì)《刑法》第285條進(jìn)行調(diào)整,規(guī)定凡侵入具有重大價(jià)值(包括經(jīng)濟(jì)價(jià)值、科技價(jià)值與政治價(jià)值等)或者涉及社會(huì)公共利益的計(jì)算機(jī)信息系統(tǒng)的行為都構(gòu)成犯罪;同時(shí),針對(duì)目前竊取計(jì)算機(jī)信息系統(tǒng)中不屬于商業(yè)秘密或國(guó)家秘密但卻具有知識(shí)性或重大價(jià)值,特別是經(jīng)濟(jì)價(jià)值的數(shù)據(jù)、資料現(xiàn)象日益嚴(yán)重,《刑法》中還應(yīng)增設(shè)竊取計(jì)算機(jī)信息資源罪,對(duì)以非法侵入計(jì)算機(jī)信息系統(tǒng)為手段,以竊取他人信息資源為目的且造成嚴(yán)重后果的行為予以規(guī)制;此外,在《刑法》還中還應(yīng)增設(shè)財(cái)產(chǎn)刑、資格刑,適當(dāng)提高法定刑幅度,從多維角度預(yù)防和制裁危害計(jì)算機(jī)信息系統(tǒng)犯罪。
其次,在對(duì)商業(yè)秘密的保護(hù)上,應(yīng)完善相關(guān)刑事責(zé)任與刑事訴訟中的保密規(guī)定。現(xiàn)行《刑法》規(guī)定了侵犯商業(yè)秘密的行為,但在刑罰的表述中并沒(méi)有詳細(xì)的劃分。縱觀國(guó)外立法,大多根據(jù)侵權(quán)行為社會(huì)危害程度的不同規(guī)定了多種量刑幅度。因此,對(duì)侵犯商業(yè)秘密罪的設(shè)置應(yīng)根據(jù)危害程度的不同規(guī)定不同的刑罰,對(duì)侵犯商業(yè)秘密情節(jié)惡劣,后果嚴(yán)重者從重處罰,確保罪責(zé)刑相適應(yīng)的同時(shí)保證法律的威懾力。此外,針對(duì)目前在審理涉及商業(yè)秘密案件除規(guī)定不公開(kāi)審理外,沒(méi)有對(duì)參與商業(yè)秘密的訴訟人員規(guī)定保密義務(wù)的問(wèn)題,在刑事訴訟中還應(yīng)設(shè)置相關(guān)保密義務(wù)條款,在司法解釋中也應(yīng)規(guī)定配套的保密措施,以確保權(quán)利人在伸張權(quán)利時(shí)其商業(yè)秘密的保密性不會(huì)因法律的漏洞而喪失。
最后,借鑒美國(guó)《經(jīng)濟(jì)間諜法》,在《刑法》中增設(shè)經(jīng)濟(jì)間諜罪。與侵犯商業(yè)秘密罪不同,經(jīng)濟(jì)間諜罪重在預(yù)防和制裁圖利于外國(guó)政府、外國(guó)機(jī)構(gòu)或外國(guó)政府的人且使之獲得不局限于經(jīng)濟(jì)之上的利益的行為。因此,增設(shè)經(jīng)濟(jì)間諜罪,應(yīng)明確經(jīng)濟(jì)間諜罪的界定、構(gòu)成要件、刑罰以及及于域外的法律效力等,從立法的價(jià)值取向上注重從國(guó)家安全角度保護(hù)商業(yè)秘密,特別是經(jīng)濟(jì)信息類(lèi)秘密,對(duì)經(jīng)濟(jì)間諜行為予以嚴(yán)懲,維護(hù)國(guó)家經(jīng)濟(jì)信息安全。
總之,以法律預(yù)防和制裁各種侵犯經(jīng)濟(jì)信息安全行為,是維護(hù)國(guó)家經(jīng)濟(jì)安全,促進(jìn)生產(chǎn)力健康發(fā)展的有效保證。針對(duì)信息安全的基本特性,建立健全經(jīng)濟(jì)信息安全法律保護(hù)體系,實(shí)乃理論界與實(shí)務(wù)界當(dāng)務(wù)之急。
論文摘要:利用網(wǎng)絡(luò)信息技術(shù)進(jìn)行科研管理,加強(qiáng)了信息共享與協(xié)同工作,提高了科研工作的效率,但與此同時(shí)也存在一些安全隱患。介紹了科研網(wǎng)絡(luò)信息安全的概念和意義,分析了其存在的安全隱患的具體類(lèi)型及原因,為保證科研網(wǎng)絡(luò)信息的安全,提出了加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范、防止科研信息被泄露、修改或非法竊取的相應(yīng)控制措施。
論文關(guān)鍵詞:科研網(wǎng)絡(luò)信息;安全隱患;控制策略
1引言
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及,利用網(wǎng)絡(luò)信息技術(shù)來(lái)改造傳統(tǒng)科研管理模式已經(jīng)成為一種歷史潮流。由于計(jì)算機(jī)網(wǎng)絡(luò)的互聯(lián)性和開(kāi)放性,在提供信息和檢索信息的同時(shí),也面臨著一些安全隱患,科研信息一旦泄露,會(huì)給科研項(xiàng)目的實(shí)施帶來(lái)致命的打擊。因此,加強(qiáng)網(wǎng)絡(luò)安全、防止信息泄露、修改和非法竊取已成為科研單位普及與應(yīng)用網(wǎng)絡(luò)迫切需要解決的問(wèn)題,及時(shí)掌握和控制網(wǎng)絡(luò)信息安全隱患是十分必要的。
2科研網(wǎng)絡(luò)信息安全的概念和意義
2.1概念
科研網(wǎng)絡(luò)信息安全主要包括以下兩個(gè)方面的內(nèi)容:①科研數(shù)據(jù)的完整性,即科研數(shù)據(jù)不發(fā)生損壞或丟失,具有完全的可靠性和準(zhǔn)確性。②信息系統(tǒng)的安全性,防止故意冒充、竊取和損壞數(shù)據(jù)。
2.2意義
根據(jù)信息安全自身的特點(diǎn)以及科研的實(shí)際情況。
網(wǎng)絡(luò)信息安全在科研單位的實(shí)施應(yīng)該以信息安全技術(shù)做支撐,通過(guò)流程、審查和教育等的全面協(xié)同機(jī)制,形成一個(gè)適合科研管理的完整的信息安全體系,并依靠其自身的持續(xù)改進(jìn)能力,始終同步支持科研項(xiàng)目發(fā)展對(duì)網(wǎng)絡(luò)信息安全的要求。
3科研網(wǎng)絡(luò)信息存在的安全隱患
3.1網(wǎng)絡(luò)管理方面的問(wèn)題
科研網(wǎng)絡(luò)的信息化,由于覆蓋面大、使用人員多以及涉密資料、信息系統(tǒng)管理存在漏洞.有關(guān)人員缺乏保密意識(shí),往往不能保證工作文稿、科研資料、學(xué)術(shù)論文等在網(wǎng)絡(luò)上安全、正確、實(shí)時(shí)的傳輸和管理。
3.2外部威脅
網(wǎng)絡(luò)具有方便、快捷的特點(diǎn)。但也面臨著遭遇各種攻擊的風(fēng)險(xiǎn)。各種病毒通過(guò)網(wǎng)絡(luò)傳播,致使網(wǎng)絡(luò)性能下降,同時(shí)黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊服務(wù)器,竊取、破壞一些重要的信息,給網(wǎng)絡(luò)系統(tǒng)帶來(lái)嚴(yán)重的損失。
4科研網(wǎng)絡(luò)信息安全的控制策略
4.1建立完善的網(wǎng)絡(luò)信息管理體系
4.1.1制定并網(wǎng)絡(luò)信息安全管理制度這是科研網(wǎng)絡(luò)信息安全工作的指導(dǎo)準(zhǔn)則,信息安全體系的建立也要以此為基礎(chǔ)。
4.1.2建立網(wǎng)絡(luò)信息安全管理組織這為網(wǎng)絡(luò)信息安全體系的建立提供組織保障,也是網(wǎng)絡(luò)信息安全實(shí)施的一個(gè)重要環(huán)節(jié),沒(méi)有一個(gè)強(qiáng)有力的管理體系,就不能保證信息安全按計(jì)劃推進(jìn)。
4.1.3加強(qiáng)網(wǎng)絡(luò)信息保密審查工作堅(jiān)持“誰(shuí)公開(kāi)、誰(shuí)負(fù)責(zé)、誰(shuí)審查”的原則,落實(shí)保密審查責(zé)任制,規(guī)范各科室、部門(mén)分工負(fù)責(zé)的保密審查制度,不斷完善和細(xì)化保密審查的工作制度、工作程序、工作規(guī)范和工作要求。
4.2開(kāi)展充分的信息安全教育
工作人員信息安全意識(shí)的高低,是一個(gè)科研單位信息安全體系是否能夠最終成功實(shí)施的決定性因素,所以需要對(duì)員工進(jìn)行充分的教育,提高其信息安全意識(shí),保證信息安全實(shí)施的成效。
科研單位可以采取多種形式對(duì)工作人員開(kāi)展信息安全教育,充分利用科研單位內(nèi)部的輿論宣傳手段,如觀看警示教育片、保密知識(shí)培訓(xùn)、簽訂保密承諾書(shū)、保密專(zhuān)項(xiàng)檢查等,并將工作人員的信息安全教育納入績(jī)效考核體系。
4.3選擇合適的網(wǎng)絡(luò)信息安全管理技術(shù)
網(wǎng)絡(luò)信息安全管理技術(shù)作為信息安全體系的基礎(chǔ),在信息安全管理中起到基石的作用。
4.3.1設(shè)置密碼保護(hù)設(shè)置密碼的作用就是安全保護(hù),主要是為了保證信息免遭竊取、泄露、破壞和修改等,常采用數(shù)據(jù)備份、訪問(wèn)控制、存取控制、用戶識(shí)別、數(shù)據(jù)加密等安全措施。
4.3.2設(shè)置防火墻防火墻在某種意義上可以說(shuō)是一種訪問(wèn)控制產(chǎn)品,它能強(qiáng)化安全策略,限制暴露用戶點(diǎn),它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置屏障,防止網(wǎng)絡(luò)上的病毒、資源盜用等傳播到網(wǎng)絡(luò)內(nèi)部,阻止外界對(duì)內(nèi)部資源的非法訪問(wèn),防止內(nèi)部對(duì)外部的不安全訪問(wèn)。
4.3.3病毒防范和堵住操作系統(tǒng)本身的安全漏洞為了防止感染和傳播病毒,計(jì)算機(jī)信息系統(tǒng)必須使用有安全專(zhuān)用產(chǎn)品銷(xiāo)售許可證的計(jì)算機(jī)病毒防治產(chǎn)品。同時(shí)任何操作系統(tǒng)也都存在著安全漏洞問(wèn)題,只要計(jì)算機(jī)接人網(wǎng)絡(luò),它就有可能受到被攻擊的威脅,還必須完成一個(gè)給系統(tǒng)“打補(bǔ)丁”的工作,修補(bǔ)程序中的漏洞,以提高系統(tǒng)的性能。防止病毒的攻擊。
4.3.4使用入侵檢測(cè)技術(shù)人侵檢測(cè)系統(tǒng)能夠主動(dòng)檢查網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞。并且通常能夠先于人工探測(cè)到危險(xiǎn)行為,是一種積極的動(dòng)態(tài)安全檢測(cè)防護(hù)技術(shù),對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)。
4.4加強(qiáng)涉密網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)介質(zhì)的管理
科研管理系統(tǒng)安全是由多個(gè)層面組成的,在實(shí)際的操作過(guò)程中.也要嚴(yán)格遵守操作規(guī)程。嚴(yán)禁在外網(wǎng)上處理、存儲(chǔ)、傳輸涉及科研秘密信息和敏感信息,嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)外網(wǎng)上交叉使用,嚴(yán)格上網(wǎng)信息保密審查審批制度,嚴(yán)格執(zhí)行涉密計(jì)算機(jī)定點(diǎn)維修制度。
5結(jié)束語(yǔ)
為了確保科研網(wǎng)絡(luò)的信息安全,只有通過(guò)有效的管理和技術(shù)措施,使信息資源免遭威脅,或者將威脅帶來(lái)的損失降到最低限度,保證信息資源的保密性、真實(shí)性、完整性和可用性.才能提高信息安全的效果,最終有效地進(jìn)行科研管理、降低信息泄露風(fēng)險(xiǎn)、確保各項(xiàng)科研工作的順利正常運(yùn)行。