前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络信息安全重要性主题范文,仅供参考,欢迎阅读并收藏。
中图分类号:TP309
网络与信息安全,是指计算机系统运转正常,不受到攻击、破坏,数据不被窃取、泄漏,网络服务正常等。随着计算机技术的发展,社会的信息化,互联网的应用越来越普遍,网络和信息安全越来越重要,它关系到了国家安全与社会稳定。互联网在给人们带来便利的同时也给人们的用网和信息安全带来了威胁,计算机病毒层出不穷,人们个人信息泄露严重,这都给人们的经济和精神带来了重大危害,人们对于网络与信息安全问题也越来越重视。所以,网络与信息安全技术的发展完善十分重要。
1 网络信息安全的涵义
网络信息既有存储于网络节点上的信息资源,即静态信息,又有传播于网络节点间的信息,即动态信息。而这些静态信息和动态信息中有些是开放的,如广告、公共信息等;有些是保密的,如:私人间的通信、政府及军事部门、商业机密等。网络信息安全的涵义经过学术界的研究,已日益丰富起来并逐渐取得共识,通常大家认为主要应该包含如下四个方面:
1.1 完整性。完整性是指信息在存储或传输过程中保持不被修改、不被破坏和不丢失。就是说网络中的信息安全、精确且有效,不因人为的因素而改变信息原有的内容和流向。保证信息的完整性是信息安全的基本要求,而破坏信息的完整性则是对信息安全发动攻击的目的之一。
1.2 真实性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
1.3 可用性。可用性指网络资源在需要时即可使用,不因系统故障或误操作使资源丢失或妨碍对资源的使用。网络可用性还包括在某些不正常条件下继续运行的能力。影响网络可用性的因素包括人为与非人为两种。前者如非法占用网络资源、切断或阻塞网络通讯,通过电脑病毒或蠕虫降低网络性能、甚至是网络瘫痪等。后者如灾害事故(火、水、雷击等)和系统死锁、系统故障等。
1.4 机密性。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知,即防止非法用户闯入系统、修改和窃取信息。从技术上说,任何传输线路,包括电缆(双绞线)、光缆、微波和卫星,都是可能被窃听的。电缆的窃听,通过电磁感应或利用电磁辐射来实施,其方式可以是接触式的,也可以是非接触式的。
2 网络与信息安全的现状
随着互联网技术的快速发展,信息共享逐渐在全球得到了实现,与此同时网络与信息安全也受到了更多的威胁。网络与信息安全所受到的威胁主要来自以下方面:
2.1 互联网的开放性特征。互联网的本质就是通过计算机的联接实现信息共享,这种开放性的本性使得互联网在构设之初就忽略了信息的安全性因素。然而,随着互联网技术的发展进步,信息共享化水平的大幅度提高,电子化商务逐渐成为人们生活的重要组成部分,人们的隐私信息的安全性在互联网上需要得到保障,这与互联网的本性相悖。
2.2 各种各样的计算机病毒。随着互联网的普及,计算机病毒也逐渐成为网络和信息安全的重要威胁。计算机病毒常常具有隐蔽性、潜伏性,而且还会随着信息共享而传染给其他的计算机,破坏性十分强大,会造成信息泄露、损坏,甚至导致网络堵塞等社会性危害。
2.3 计算机操作系统和应用软件存在漏洞。计算机的操作系统和应用软件在程序编制上都存在漏洞,这些漏洞是黑客攻击计算机的入手点。黑客攻击计算机,窃取、泄露用户信息或造成其他破坏,给用户带来经济和精神上的损失。
2.4 网络信息安全方面的法律法规不够完善。就我国来说,在网络与信息的安全保护方面的法律法规还有待进一步完善,而且网络处罚条例也没有得到有效实施。
3 网络与信息安全技术的重要性
3.1 互联网技术在经济领域快速发展。中国互联网信息中心的统计数据表明,我国的网民人数早已成为世界第一,而且人们对于网络的应用,越来越集中于商业性应用。电子商务近年来发展迅速,得到人们的普遍认可,创造了巨大的其经济产值,并且电子商务还会进一步的发展,因此,建设一个安全的网络环境十分重要。
3.2 网络信息安全与国家安全、社会稳定关系密切。随着计算机技术的发展,互联网逐渐应用到了我国各个领域,国家安全事物和人们生活与之息息相关。所以,网络与信息安全已经成为关系着国家安全和社会稳定的重要问题,引起了国家和人们的广泛关注。
3.3 用户安全意识提升。由于计算机病毒层出不穷而且具有传染性,很多用户的电脑都遭受过病毒的攻击,遭受到了或大或小的损失。此外,一些公司不注重客户信息的保护,出现了信息泄露事故,造成了很多不良影响。这些问题,都促使用户对个人信息的安全越来越重视。
3.4 网络发展的需要。随着计算机技术的发展,互联网的未来会走向多样化,但是基于互联网的开放性特征,信息共享程度增加的同时网络与信息安全所受到的威胁也会加大,所以网络信息的安全技术会一直被互联网需要。
4 网络与信息安全技术的发展前景
基于网络信息安全技术的重要性和互联网发展的需要,网络信息安全技术的发展前景会是一片光明,但是其发展过程也会存在一些曲折。
4.1 市场需求逐渐增加。安全类软件的市场发展迅速,其销售数量和销售额逐渐增长,已经成为软件市场的重要卖点之一,并且市场上安全软件的需求还在稳步上升。例如在用户的移动设备方面,大量的垃圾信息和隐藏在应用软件里的病毒等都让用户们逐渐意识到安全软件的重要性。近年来,移动客户对于安全软件的需求骤增,移动运营商们也加大了对于移动设备安全软件的开发。
4.2 用户范围广。随着互联网技术应用的普及,网络信息的安全保护不止普通网络用户需要,企业和国家的各个部门也都需要。所以网络信息安全软件的使用者很广泛,并且还有大量的潜在用户。现在,中小企业对于网络信息安全软件的需求很受重视,各软件开发商都在努力争取。
4.3 安全软件的开发向多元化发展。网络信息安全技术有很多种,例如防火墙技术、虚拟加密网络技术、加密技术、身份认证技术等,软件开发商所开发的软件除了上述技术对应的软件外,还有杀毒软件、系统安全性检测软件等。不同的软件投资力度、收益率、市场需求均不同,导致软件市场存在多样性的竞争。因此,软件开发商们应该综合考虑自身资金、对口技术等实际因素,选择适合的软件开发方向,做好发展规划。
4.4 软件市场逐渐形成垄断性竞争。在软件市场上,虽然软件开发商越来越多,但是大企业对市场的垄断越来越强。一方面,由于大企业资金雄厚,对软件的开发投资力度大,并且软件技术具有垄断性,所以在软件开发水平上大企业越来越领先。另一方面,小企业的运行策略不成熟,影响力不足。安全软件市场上大企业的影响力越来越大,在现阶段可以促进我国安全软件的投资力度和开发水平,但也要防止大企业形成较强的市场垄断。
4.5 我国安全技术水平仍较落后。虽然我国在网络信息安全软件的研发方面发展很快,进步也很大,但总体水平仍落后与发达国家。网络安全技术水平和软件的用户满意度都有待提高,所以,我国的软件开发商们要多多学习国外先进技术,增加合作机会,互帮互助,提高国产软件在本土的市场占有率。
5 结束语
互联网不仅给人们带来了便利,也使得网络与信息安全受到了多方面的威胁,所以发展网络与信息安全技术十分重要。而且我们不仅要充分认识到网络与信息安全技术的重要性,也要注重分析网络与信息安全技术光明又不乏曲折的发展前景,促进各安全软件开发商认清实际情况,选择正确的软件开发方向,引进国外先进技术,提高安全软件的开发水平。
参考文献:
[1]陆成长,钟世红.论网络与信息安全的重要性以及相关技术的发展前景[J]计算机光盘软件与应用,2011(2):16.
关键词:信息网络;安全性;企业的发展;重要性
引言
信息网络看不见摸不着,却又切实围绕在每个人的身边,并渗透进了经济发展的每个细胞里。现代企业作为推动国家经济发展的细胞,繁荣衰盛牵动着国家经济的每一根神经,计算机网络在企业的应用是不可阻挡的趋势,他给企业,给社会经济的发展带来的益处不言而喻,数不胜数,可任何事情都有其发展的轨道和两面性,信息网络在带给社会便利的同时,其安全性也对大环境下经济发展构成威胁。现今,网络发展促使越来越多的计算机人才的涌现,利用好了便造福于社会,否则便会成为威胁网络安全的罪魁祸首。为了确保网络的安全性,全社会从上至下树立起安全用网的意识,完善相关法律法规的制定,各部门加强防范意识,坚持自主创新,具体情况具体分析,完善内部网络安全,创造网络发展良好环境,使得网络健康有序地服务于社会经济的发展。
一、网络使用在企业中的现状
信息网的安全性破坏绝非一朝一夕的事情,许多的网络木马病毒总是会从各种渠道悄无声息侵入到整个系统,致使信息网的瘫痪,造成不可估量的损失。现今,网络安全主要会从以下方面受到威胁:1.1、企业员工,员工的网络意识不高,多数员工并没有意识到网络信息不安全的事实,在使用内部计算机时,会因为安全配置不当,而造成的网络安全漏洞,随意浏览网页或与他人共享网络资源,用户口令选择不当安全意识不强,等等都会为网络病毒提供有乘之机.1.2、企业忽视对网络的建设,企业经营者注重的往往是网络效应,缺乏对构建安全网络的投入,使得许多的企业网络基本处于被动防御封堵网络漏洞的状态,缺乏安全意识,没有建立主动防范的网络体系,提高网络检测、防护和恢复能力.1.3、网络信息安全还有很大一部分原因要归咎与人为的恶意攻击。他们熟知网络的运作方式,拥有纯熟的网络技术和操作水平。如近年来,网络黑客以及其他的网络犯罪活动猖獗,他们攻击方式主要分为有目的的攻击,也就是主动窃取目标信息,有选择地破坏企业内部信息的完整性和机密性,另外一种是被动攻击,被动攻击是在不影响网络正常工作的前提下,截获或窃取公司的机密信息,这两种攻击破坏力都非常强,企业必须对此提高警惕,完善防范和监督体系。第四、相关法律法规的缺失,对恶意攻击网络的行为惩罚力度不够,间接促使了人为攻击和网络犯罪的频增。
二、保障信息网络安全,促进企业稳定发展
2.1、完善网络使用的规章制度,提高员工安全防范意识
网络安全从内部抓起,健全和完善企业网络使用的规章制度,监督体系,并建立明确奖惩规则,如严令禁止私人使用移动存储设备,强制性杜绝利用企业网络处理私人问题的行为;贴封条,并定期检查网络设备,加大对网络维护和监测力度,同时加强对员工的思想教育,提高员工的整体素质,明确滥用网络的危害性,增强员工的企业责任心,普及安全用网知识,人为的对网络进行控制和监管,防止信息泄露,和网络漏洞的出现。
2.2、完善企业信息网络的防范系统和监督体系
企业管理人员应加大对主动防范领域的投资,转被动封漏为主动出击,加强防范与监督,严防网络病毒的入侵,一旦发现病毒及时查杀,并定期更新完善杀毒软件,检查网络设备。注重企业的紧急预警,发生病毒侵入事故,立即执行有效的应对方案,及时减少不必要的损失,防患于未然。加强企业内部自身的防御体系建设,建立完备的防火墙,防水墙体系,定期按时监测。加大企业对计算机技术人才的投资,调高企业相关技术人员的技能和技术水平,加大网络建设的人才投资,调高技术员工的综合素质,完善企业内部的计算机信息网络,保障信息网络的安全,谨防企业内部的机密信息外泄,给企业带来的难以挽回的损失,对企业的持续,健康,稳定的发展十分重要。
2.3、建立健全的法律法规
市场经济条件下,企业之间,各部门之间资源流通,实现高度共享,充分利用资源,谋求发展。这个信息公开透明的环境,为网络犯罪活动提供良好的途径,除了企业自身应该加强防范系统的建设与监测以外,国家作为宏观调控的有效手段,应该加强网络市场的监管,为经济发展营造一个公平公正的环境。针对网络黑客的恶意攻击,国家应当完善当前网络犯罪惩治的法律法规,对网络犯罪行为施以重击,从源头上打击这类方法活动,使其望而却步。同时加紧完善网络监督体系,严格把关每一类流放市场的信息的合法性,这对社会经济充分发展,企业资源实现共享,发展新型健康经济,提供了重要的基础。
结语:
市场经济为企业的发展提供了良好的平台,实现了企业之间的资本快速流通,信息网络的发展则为企业发展实现资源共享,为经济良性循环发展提供了有效的方式,企业信息网络安全,对保护企业核心信息,保障企业核心竞争力十分重要;同时信息网络安全对市场经济健康发展,营造公平公正公开的市场竞争环境有着举足轻重的作用。加强企业信息网络安全,决不是只凭借一人之力就能完成的,个人,集体,社会必须统一加强网络安全意识,企业管理应注重完善内部网络的监督与防范体系,保护核心利益不受莫名损害,社会应从源头上,建立健全网络监督体制,和法律法规,对网络犯罪活动严惩不贷,上下齐心,打造安全的网络环境。
参考文献:
[1]陈舒.关于构建企业信息安全体系的探讨[J].网络安全技术与应用,2004,(11):33-35.
关键词:信息安全;网络;分析;参考依据
中图分类号:TP393.08 文献标识码:A 文章编号:1674-7712 (2013) 06-0104-01
自第三次科技革命后,信息技术在全球飞速发展,信息技术对经济的影响越来越具有引导性,也有一些完全依赖信息技术盈利的行业,这就造就了信息网络的安全问题。当今信息网络的普及也使得企业之间也存在着竞争,因此烟草行业在利用信息网络带来的成果时也出现了很多问题,其中企业网络信息安全尤为突出,加强企业网络信息安全,做好控制管理工作,首先要从网络安全管理的认识开始,再去探究存在的问题,进而解决现有或潜在的问题。
一、充分认识网络安全管理对烟草行业的重要性
网络信息既是一个分享平台,也是一个方便巨大的信息储存库。伴随着信息化的工作和生活,信息系统中储存了许多真实、有价值的私人或企业机密的信息,这些信息诱惑着一些不法之徒,因此企业网络信息就成了许多黑客的攻击对象,且攻击手段越来越复杂,隐蔽性及破坏性越来越大,使企业防不胜防,措手不及。
据我国CNCERT在2007年的统计数据表明,仅在上半年我国处理的非扫描类的信息安全时间近达2000起,其中包括病毒木马、网页篡改和假冒网站等威胁网络信息安全的行为。在我国加入世界贸易组织后,国内烟草与国外烟草行业的竞争日趋激烈,为提高竞争力有些企业不择手段,导致烟草行业的网络安全出现很多问题,近些年来,我国烟草专卖局也相继出台了一些有关烟草行业中网路安全管理的法律法规,如《全国烟草行业信息化工作管理方法》、《烟草行业计算机网络和信息安全技术与管理方法》、《烟草行业计算机信息系统保密管理暂行规定》等。可见,网络信息安全管理不仅在其他行业重要,在烟草行业也是相当重要的。
二、烟草行业在网络信息安全控制方面存在的问题
(一)现有制度的执行力不够,员工对保密、安全意识淡薄
在现有制度中对网络信息安全管理方面的制度不够完善,没有太引起重视,制度的制度过于简单。另外企业对制度的执行也不够严格,一般企业执行时会有没出大问题就不太追究的习惯,导致了在烟草网络信息安全方面对员工的监督不够,使整个系统的管理员及信息系统的使用者应尽的职责模糊化,行动缺乏明确性。对于烟草信息、客户资源及数据的保密做不到位,信息安全意识淡薄,使内部网络信息安全无法得到保证。
(二)网络信息安全管理人才缺乏,技术欠缺,容易造成安全漏洞
由于大部分企业对烟草行业的网络信息安全的不太重视,导致招收的信息安全管理人员的网络信息安全管理技术水平有限,基本处于满足正常维护网络平台的层面。因此,信息安全平台就存在着安全漏洞,让黑客有机可趁。如果不能对系统中比较隐蔽性的通道进行防护,这也可能成为攻击者的入侵通道,从而造成潜在的安全隐患。
在网络信息技术中,网络协议和远程性的办公服务也可能带来安全隐患。因为网络协议自身的公开性使得该协议中很容易存在许多隐患,而远程办公无法控制用户的访问行为,从而容易造成信息安全问题。
三、行业网络信息安全体系的建设方案
(一)建立网络信息安全战略体系,明确责任,进行制度规范化
在烟草行业网络信息管理中,要有系统安全全局观,考虑到安全体系中管理体系和技术体系及应运维护体系,建立明确的信息安全制度,并加大执行力度。明确工作人员的责任,使安全管理者能以安全相关规定为标准,进行定期定时的检查记录,从而使管理体系起到企业信息安全的主导作用。在技术安全体系中,将更多的技术措施相结合,做好提高预防意识,定期检测,实时监控,做好应急方案等行动。
提高员工的信息安全意识,企业对员工进行定期培训,使其真正了解到烟草网络信息安全的重要性及各自岗位职能的利害关系,使员工能在观念上有充分的认识,做好保密工作,为增加员工的维护积极性,企业还可以进行维护网络信息安全技术竞赛。
(二)重视网络信息安全管理的前提下,招聘专业、高知识水平的管理和维护人员
企业重视网络信息安全的首要体现是聘用高技能的网络信息平台管理者。构建专业的、有效的网络信息管理团队,这个团队不仅要在网络管理上体现出专业的知识水准,还要具有丰富的经验,这样才能做到对系统中统一的窗口界面安全进行监视、检查和维护,一旦发现问题与隐患能及时做出反应;在平时可以对管理平台和系统进行升级或加护,使任务高效率、高质量地完成。在网络信息迅速发展的时代,许多软件和安全管理方法不出现,管理员还要加强团队的学习,不断更新安全系统,利用科技成果优势来保护企业高价值信息,不断学习不同系统的构成及差异,了解不同平台的管理方式,并适当地应用到自己的管理中。企业也应该将这方面的人才培养计划到投资中,这样可以建立一个长期有效的信息安全管理机制,
总之,烟草行业中的网络信息安全的影响因素很多,首先企业必须重视网络信息安全在烟草行业的重要性,了解到现在行业的竞争中信息是关键。其次,烟草企业要构建自己的网络安全控制体制,组织维护团队,对自己的网络系统进行专业的加护,利用科技发展的成果优势,使网络更好地为企业服务,为企业盈利。烟草行业的网络安全问题属于一个十分重要的课题,相关企业必须牢牢把握其要点,加强相关的控制与管理,才能保障烟草行业更加稳定高速的发展。
参考文献:
[1]申志辉.浅谈烟草行业中的网络安全控制管理[J].计算机光盘软件与应用,2011,17:63-64.
[2]叶鹏华.烟草行业信息网络安全保障体系的构建[J].中国科技博览,2009,16:148-148.
关键词:医院网络信息安全管理;VLAN策略;应用
中图分类号:TP393.08
医院网络信息安全管理关系重大,不仅是贯穿医院网络工程建设的关键步骤,同时也是保证医院各类信息高效流通的基本方式。该项管理工作具有一定系统性,结合当前VLAN技术的广泛应用特征,将其在管理策略上所发挥的优势与医院网络信息建设实现对接,可为医院现代化发展提供坚实的技术保障。
VLAN(VirtualLocalAreaNetwork)技术。VLAN又称虚拟局域网,是指在交换局域网的基础上,采用网络管理软件构建的可跨越不同网段、不同网络的端到端的逻辑网络。VLAN是建立在物理网络基础上的一种逻辑子网,将网络分段成几个不同的广播组,从而有效的控制大的网络广播风暴的产生。建立VLAN需要相应的支持VLAN技术的网络设备。当网络中的不同VLAN间进行相互通信时,需要路由的支持,这时就需要增加路由设备。
1 医院网络信息安全管理采用VLAN技术的重要性
VLAN技术是指虚拟局域网技术,它的运行基础是交换技术,在应用中把局域网中的不同机器设备在逻辑层面上划分为不同网段,利用软件形式达到逻辑工作组的划分与管理目的。VLAN可以使同局域网中的各个成员之间实现信息无阻碍化交流,不同的VLAN之间的信息无法直接实现对接,如果要通讯就必需使用相关路由设备。在医院网络信息沟通与交流中应用VLAN技术则可以实现同一网络系统之间的信息交流,与此同时,信息的安全性也成为首要关注的对象,依据VLAN不同的划分策略,安全管理方式也具有针对性。
基于端口的VLAN划分方式是最为普遍的系统划分与运行方案,这是基于交换机上的网络设备类型来区别不同的网络区域,根据端口划分也是定义VLAN技术最为便捷的方法之一,具有网络成员的确定较为简单快捷的特点,只需要在全部端口进行统一指定即可。但是这种划分方式也具有明显的不足之处,即用户不能灵活选择端口,一旦确定后就不能改变,如果换到了另一个网络设备端口中,则需要重新对VLAN进行定义。基于MAC地址对VLAN进行划分主要依据和交换机主机相互联系的MAC地址,主机所在的VLAN与端口并没有关系,与IP地址也没有关系,该种划分方式便于用户的随时接入,在接入时无需重新定义就可以实现信息的管理,它的不足之处是最初系统的配置量非常大,需要对局域网系统中的每一台主机都实现一对一的VLAN技术配置,给网络系统安全维护的管理人员带来非常繁重的任务量。基于协议的VLAN技术划分主要依据网络主机运行中采用的网络协议类型,针对不同信息广播区域的网络地址,将事先定义好的信息分门别类归入具体VLAN中,接着依据生成树算法再将各种信息数据进行即时交换。该种划分方式和路由的操作没有直接的联系,当用户的物理位置变化时也不需要重新定义VLAN,但是该种方式总体操作效率比较低,对网络运行速度具有高要求的局域网络一般很少采用。
现阶段医院采用VLAN技术具有诸多的便利性。医院网络系统的管理员可以在VLAN技术平台上轻松进行各种网络活动的管理,并可以根据工作的需求,灵活而快捷地构建不同类型虚拟工作组,便于进行下一步的管理。采用VLAN将不同的用户划分到需要的工作组中,同一用户也可以不受具体时空范围的限制,将互相通信比较频繁的用户划分到一个工作组中,还可以提高信息传输与交流的效率,同时也可以防止同一VLAN中的广播风暴不会波及到其余系统中,这样整个网络系统的安全性就得以大幅度提升,而在日常工作中,网络子系统的构建与运行维护工作的便利性更加突出,大大提高了网络管理员的工作效率。
2 医院网络信息安全管理应用的具体策略
医院网络信息系统安全性建设服务体系的实践应用主要包括主干系统、医保服务器、办公楼、住院楼、门诊楼等系统的组合,这些组成部分运行的首要目的是为网络系统的正常使用建立一个可靠的外部环境,保证信息沟通与交流的及时性和准确性,为信息资料的使用者提供更为便捷的搜寻服务。当前很多医院都已经认识到网络信息安全管理的重要性,因此普遍增强了管理力度,具体策略包括以下几点:
一是成立网络信息安全保密管理委员会,具体工作实践中,以院长为中心,建立专门的管理机构,将网络信息安全的各项原则和方案贯彻到工作中来,保证信息使用和传递的安全。
二是不断完善现有的安全管理制度,总结经验教训,提高网络信息安全管理效率。医院各种网络设备和设施在应用过程中,每一环节都要建立相应的管理措施和制度,包括后期维护方面,并且要对服务器实行定期检查与不定期抽查结合的管理办法。网络信息系统运行过程中难免遇到停电或者运行障碍,事先要做好应急准备,以便在各种突发事件中确保信息安全和医院日常工作的进行,例如可以同时完善挂号、收费以及取药等的人工操作管理流程,在网络信息系统暂停服务时依然确保医院的正常运营秩序。
三是不断增强网络信息系统的硬件水平和软件水平,对系统进行维护时要选择品质较高的软件与硬件,可通过安装防火墙、病毒防治软件以及使用外来信息入侵监测设备进行系统的全面保护与管理。
四是提高医院全体成员网络信息系统操作与管理安全性教育水平。现阶段,医院普遍出现的信息安全事故都源于内部管理不善,例如各类移动硬盘随意接入医院的网络系统,导致信息网络受到病毒的入侵,或者在利用计算机系统进行现代化办公与管理过程中,导致用户信息的泄漏,这些安全意识方面的问题,不是仅仅通过使用高级网络安全管理硬件或软件就能彻底解决的,还需要各方成员的共同努力,从思想意识里树立牢固的安全意识,同时医院要定期组织安全教育和相关知识的考核,将安全管理策略落到实处,确保信息安全化水平更上一层楼。
3 结束语
综上所述,信息传输安全性一直为人们所关注,提高网络信息交流和应用的安全性,可以同时提高信息存储的完整性和保密性,为医院信息传输的高效性增添更多的便利。在实践管理中,利用VLAN技术能够实现信息的及时化管理操作,进一步推动医院网络信息安全管理的发展。
参考文献:
[1]吕晓娟.运用虚拟局域网技术加强医院网络安全建设[J].医学信息(中旬刊),2011(15).
[2]宋恒球.基于医院网络安全管理的分析[J].数字化用户,2013(06).
[3]王蕾,朱刘松,孙瑛.军队医院网络安全管理[J].医疗卫生装备,2013(15).
[4]李飞.浅谈医院网络信息的不安全因素及防护措施[J].电子技术与软件工程,2014(15).
关键词 网络实验课程;教学改革;信息安全竞赛;创新实践能力
中图分类号:G642.423 文献标识码:B
文章编号:1671-489X(2013)24-0111-03
1 全国大学生信息安全竞赛简介
由工信部和教育部指导、教育部高校信息安全类专业教学指导委员会主办的“全国大学生信息安全竞赛”是国内信息安全领域最高水平的大学生科技活动[1]。此竞赛是全国大学生公益性的科技创新活动,目的在于提高大学生的团队合作精神、创新意识,普及信息安全基本知识,提高信息安全意识、综合设计开发能力和创新设计应用能力,开阔大学生的科技视野,推动高校计算机类专业尤其是信息安全学科授课内容、授课方法和专业课程体系的革新,吸引大学生积极参与课外科研开发活动,为培育、推荐杰出信息安全专业人才提供条件[2-3]。“全国大学生信息安全竞赛”为在校大学生提供了一个展示自己、表现自己的舞台,为培养大学生的创新实践能力提供了一个良好的平台,为信息安全知识的传播和信息安全意识的提高提供了一种良好的途径。
目前,“全国大学生信息安全竞赛”已成功举行了5届。第一届全国信息安全大赛决赛由电子科技大学于2008年10月举办,第二届决赛由北京邮电大学于2009年8月举办[2],第三届决赛由哈尔滨工业大学于2010年8月举办,第四届决赛由国防科学技术大学于2011年7月举办,第五届决赛由信息工程大学于2012年7月举办。此外,一些省级大学生信息安全竞赛也陆续在江苏、四川、山东等地举行。
经过4年的摸索和探索,安徽大学制定了一套行之有效的管理机制和参赛机制,并逐渐发挥出了作用,使学校的计算机科学与技术学院在“全国大学生信息安全竞赛”中取得了较好的成绩。近4年,学院代表安徽大学参加了第二届、第三届、第四届和第五届全国大学生信息安全竞赛,每年均有队伍在预赛中脱颖而出杀入决赛,共获得全国三等奖3项、优胜奖1项。
2 计算机网络实验内容
2.1 实验内容选择
计算机网络实验课程是计算机网络理论课程的实践和应用,对于加深对网络原理的理解,增强学生的网络应用能力具有重要作用,因此如何选择网络实验内容至关重要[4-5]。通过合理选择和设计实验内容,可以让学生在有限的课时内学到更多的知识和技能。通常,网络实验课程与理论课程交叉排课,这样既可以保证理论课和实验课的进度一致,又可以使理论课和实验课相得益彰,互相促进。一般来说,依据理论课教材来选择和设计网络实验内容。
笔者在网络教学中选用了谢希仁教授主编的经典教材《计算机网络》(第五版),并自编了与理论课教材配套的《计算机网络实验指导书》。理论课教材的主要章节及对应的配套实验安排如下:
1)概述实验安排,在第一章实验教学中,安排了常用网络测试工具及命令的使用、TCP/IP协议的安装及配置、常用网络协议分析仪的安装和使用等实验项目;
2)物理层实验安排,主要安排了双绞线的制作,实验平台的熟悉和使用等实验项目;
3)数据链路层实验安排,主要安排了交换机的基本配置、VLAN基本配置、VLAN高级配置、数据链路层协议的分析等实验项目;
4)网络层实验安排,主要安排了路由器的相关配置、路由协议的配置和使用、使用路由协议组建广域网等实验项目;
5)运输层实验安排,主要安排了Socket编程、运输层协议分析等实验项目;
6)应用层实验安排,主要安排了Windows Server 2003应用服务器(Web、FTP)的安装与配置,网络应用编程及应用层协议分析等实验项目;
7)网络安全实验安排,主要安排了网络地址转换NAT,包过滤防火墙、病毒防范等实验项目;
8)音频、视频实验安排,主要安排了视频监控、视频直播、流媒体服务器配置等内容的讲授和演示;
9)无线网络实验安排,主要安排了WLAN组网方法的讲授和演示;
10)下一代互联网实验安排,主要安排了IPv6、CERNet2的讲授和演示。
2.2 对网络实验中引入信息安全内容的思考
信息安全竞赛在培养大学生信息安全意识和信息安全技能的同时,也激发了网络实验课程教学改革的思考。在TCP/IP安全体系结构中,各层均提供了一定的安全措施。在日常教学中可以对各层的安全措施与基础协议进行对比讲解和实验,使学生在掌握网络原理的同时,丰富其网络安全知识,提高其网络安全意识和技能。TCP/IP各层安全措施如图1所示。
3 信息安全竞赛与网络实验教学改革
网络安全作为信息安全的重要组成部分,是实现信息安全的必要条件和关键环节。计算机网络知识和技能是从事网络安全项目的基础和前提。在信息安全问题日益突出的大背景下,信息安全竞赛已经成为大学生展示技能的良好平台。而计算机网络基础知识和技能是参与竞赛,设计作品必须具备的。因此,如何完善计算机网络实验内容,丰富计算机网络实验教学手段,这些都是值得探讨的问题。笔者就这些问题,给出自己的想法和建议。
3.1 引入弹性授课机制,改革网络实验课程教学手段
安徽大学每年都会开展大学生创新计划项目资助活动,从211三期经费中划拨专项资金面向全校师生征集大学生创新计划项目。大学生创新计划项目由学生依据自己的专业特长和兴趣爱好选择课题和指导教师,并在指导教师的指导下自主地确定项目方案,由学生申请,学校组织专家评审。指导教师在项目的实施过程中对项目提供指导,这些都是传统的实验教学做不到的。通过此项目的开展,很好地锻炼和培养了学生的创新实践能力。
在计算机网络实验教学过程中,可以借鉴大学生创新性实验计划项目的实施方法。针对实验课时和实验场所的限制,可以将一些扩展性实验项目布置下去,让学生利用课外时间在网络模拟器上开展相关扩展性实验。通过这种弹性授课方式,既可以让大多数学生在实验课堂上完成基本实验项目,又可以让学有余力的学生有机会选做扩展性实验项目。对完成扩展性实验项目的学生适当加分,给予相应激励。
3.2 设计研究创新型实验项目
计算机网络实验分为网络原理、路由协议、网络应用、网络管理、网络安全、网络新技术等六大模块。根据实验项目的深度不同,每个模块的实验项目可以分为基础实验、提高实验和研究创新型实验3个层次。这3个层次是循序渐进、逐步深入的过程。目前,很多高校的计算机网络实验课程以验证型实验为主,设计型尤其是研究创新型实验项目严重不足。
针对上述问题,可以在计算机网络实验课程中设计若干研究创新型实验项目。这些研究创新型实验项目往往有一定深度和难度,并不是面向所有学生,而是面向少数优秀的本科生。对于网络实验的6个模块,都可以设计相应的研究创新型实验项目。比如,在网络新技术模块中,可以设计IPv6、组播、MPLS、WSN等具有较大难度的网络新技术实验项目,让学有余力的学生在完成课程基本任务的同时,早日接触到新的网络技术。
3.3 增加信息安全实验项目
全国大学生信息安全竞赛为在校大学生提供了一个展示自己、表现自己的舞台,为培养大学生的创新实践能力提供了一个良好的平台。通过信息安全竞赛的组织和参与,深深地感受到网络基础知识对于信息安全的重要性,网络课程和网络实验课程对信息安全竞赛的重要性。同时,笔者也深深感受到在网络实验课程中引入网络安全和信息安全的重要性,这些对于培养大学生的信息安全意识至关重要。
在信息化的今天,网络早已深入人们的生活和工作,随之而来的信息安全问题也日益突出。因此,在今后的计算机网络课程的授课过程中,要加大信息安全知识的讲解,在网络实验课程中要增加信息安全实验项目的数量。这些技能的培养将使学生受益终身。
4 总结
作为教育部高校信息安全类专业教指委主办的一项全国性公益性大学生科技文化活动,全国大学生信息安全竞赛在培养大学生的团队合作精神、创新意识、信息安全知识、信息安全意识、综合设计能力、创新设计能力、科技视野等方面发挥了积极作用。随着此竞赛的不断开展和深入,将大大推动高校计算机学科尤其是计算机网络等课程授课内容、授课方法和课程体系的革新。
参考文献
[1]全国大学生信息安全竞赛章程[EB/OL].[2010-03-01].http:/// file/2.doc.
[2]蔡志平,姚丹霖,徐明,等.全国大学生信息安全竞赛的参赛经验探讨[J].计算机教育,2009(22):27-28.
[3]彭国军,张焕国,杜瑞颖,等.信息安全竞赛与本科生科研创新实践能力培养[J].计算机教育,2010(24):1-4.
目前,我国网络安全势态严峻。据工信部日前透露,1月4日至10日,我国境内被篡改的政府网站数量为178个,与前一周相比大幅增长409%。此消息的依据来自于国家互联网应急中心的监测结果。
紧接着,全球最大的中文搜索引擎百度也遭遇攻击,从而导致用户不能正常访问。众多网站最近频遭网络攻击的消息,不禁引起业界及广大网民的深刻反思:“我们的互联网真的安全吗?”
据中国互联网络信息中心的调查报告,2009年我国网民规模达到3.84亿人,普及率达28.9%,网民规模较2008年底增长8600万人,年增长率为28.9%。中国互联网呈现出前所未有的发展与繁荣。
然而,在高速发展的背后,我们不能忽视的是互联网安全存在的极大漏洞,期盼互联网增长的不仅有渴望信息的网民,也有心存不善的黑客,不仅有滚滚而来的财富,也有让人猝不及防的损失。此次发生的政府网站篡改事件、百度被攻击事件已经给我们敲响了警钟:“重视互联网安全刻不容缓!”
显然,互联网以其网络的开放性、技术的渗透性、信息传播的交互性而广泛渗透到各个领域,有力地促进了经济社会的发展。但同时,网络信息安全问题日益突出,如不及时采取积极有效的应对措施,必将影响我国信息化的深入持续发展,对我国经济社会的健康发展带来不利影响。进一步加强网络安全工作,创建一个健康、和谐的网络环境,需要我们深入研究,落实措施。
二、关于互联网安全的几点建议
第一,要深刻认识网络安全工作的重要性和紧迫性。
党的十七大指出,要大力推进信息化与工业化的融合。推进信息化与工业化融合发展,对网络安全必须有新的要求。信息化发展越深入,经济社会对网络的应用性越强,保证网络安全就显得越重要,要求也更高。因此,政府各级主管部门要从战略高度认识网络安全的重要性、紧迫性,始终坚持一手抓发展,一手抓管理。在加强互联网发展,深入推动信息化进程的同时,采取有效措施做好网络安全各项工作,着力构建一个技术先进、管理高效、安全可靠的网络信息安全保障体系。
第二,要进一步完善网络应急处理协调机制。
网络安全是一项跨部门、跨行业的系统工程,涉及政府部门、企业应用部门、行业组织、科研院校等方方面面,各方面要秉承共建共享的理念,建立起运转灵活、反应快速的协调机制,形成合力有效应对各类网络安全问题。特别是,移动互联网安全防护体系建设包含网络防护、重要业务系统防护、基础设施安全防护等多个层面,包含外部威胁和内部管控、第三方管理等多个方位的安全需求,因此应全面考虑不同层面、多个方位的立体防护策略。
第三,要着力加强网络安全队伍建设和技术研究。
要牢固树立人才第一观念,为加强网络管理提供坚实的人才保障和智力支持。要发挥科研院所和高校的优势,积极支持网络安全学科专业和培训机构的建设,努力培养一支管理能力强、业务水平高、技术素质过硬的复合型队伍。不断加强创新建设,是有效提升网络安全水平的基础,要加强相关技术,特别是关键核心技术的攻关力度,积极研究制订和推动出台有关扶持政策,有效应对网络安全面临的各种挑战。
第四,要进一步加强网络安全国际交流与合作。
在立足我国国情,按照政府主导、多方参与、民主决策、透明高效的互联网管理原则的基础上,不断增强应急协调能力,进一步加强网络安全领域的国际交流与合作,推动形成公平合理的国际互联网治理新格局,共同营造和维护良好的网络环境。
第五,要加强网络和信息安全战略与规划的研究,针对网络信息安全的薄弱环节,不断完善有关规章制度。
如在当前的市场准入中,要求运营商必须承诺信息安全保障措施和信息安全责任,并监督其自觉履行相关义务。还要充分发挥行业自律及社会监督作用,利用行业自律组织完善行业规范、制定行业章程、推广安全技术、倡导网络文明。
第六,协调各方职能,建立网络安全管理的长效机制。
1.企业信息化建设的重要性
信息化发展对于企业人员日常的管理,相比较原来旧的方法而言更方便快捷、更高效;对于企业的整体发展的影响,相比较原来用人来发现风险,信息化大数据管控更能提前预知风险并帮助企业更好地解决问题;对于企业组织结构和流程的影响,集成化的网络信息系统是提高质效的一把利器。但现实使用中,企业的信息化进程存在安全度低、信息泄露严重和安全意识低等现象,导致企业和用户损失大量人力物力,甚至受到巨大损失。由此可见,信息化建设对企业发展有着不可小觑的作用,能比原来的模式更有效处理问题、促进企业发展,是所有企业在发展过程中不可或缺的一个环节。
2.企业信息化建设中的网络安全问题
2.1网络安全意识不强
科学技术的不断发展进步,对于企业发展的影响作用不言而喻,但是,相当一部分企业却只看到益处却忽略了“信息安全”的重要性。
近年来,在技术、社会和政府等多方面的努力下,企业的信息化建设发展速度加快,取得很大的进展,其重要作用毋庸置疑,各个企业都越来越重视信息化的进步。但在新闻报道中,经常见到有信息非法獲取、信息交易导致用户信息泄露,这也是每个企业需要反思的问题。数据泄露、信息是否安全等问题并没有引起所有企业的重视,严重的不仅会导致用户信息泄露,如果发生企业数据库被篡改、网络系统崩溃等事件,给企业带来的名誉和财产损失不可估量。
2.2技术水平不高
世界范围内都存在一个不好处理的网络难题———黑客。企业在信息化发展的过程中,免不了遇到技术问题,由于有关人员或团队自身的水平不够和相关方面的经验的缺失,不可避免会存在某些漏洞和问题,这些漏洞和问题恰恰给了黑客绝佳的机会,让他们有机会盗取信息。即使是市面上使用的各个“管家”与杀毒软件也完全检测不到,对企业的安全构成非常大的威胁。
2.3可使用的高水平软件少
一方面是供研发企业使用的高水平软件较少;另一方面是软件安全度低,很多公司虽然看到信息化发展的好处,但却贪图低成本的小利益,花费小成本购买使用安全保护性低的工作软件,结局只会带来难以挽回的后果。
3.企业信息化建设提高网络信息安全性的措施
3.1切实提高企业安全意识
科学技术的进步,促进企业重视信息安全,思考信息安全问题和公司发展之间不可分割的关系,因为信息泄露带来损失还是小事,如果因此减少了企业竞争力,甚至阻碍了企业发展才是最可怕的结果。因此,企业应当提高安全意识,提前准备对策、制定应对突况的策略,防止信息泄露等潜在威胁,将威胁扼杀在摇篮之中。通过建立高技术水平的团队,运用专业知识和工作经验切实增强防火墙安全度,定期维护信息系统,从源头的技术传输阶段维护信息安全,建立完善的信息保护制度,以此来保护信息安全、促进企业发展。
3.2提高信息系统的管理水平
虽然现在大家都在普遍使用《金山毒霸》《腾讯管家》等安全防护软件,但是这些软件也不能保证绝对的安全。改革旧的风险评估模式,健全信息筛选管理安全体系,在一定程度上可以提高安全系统等级、减小信息被盗的风险,在信息系统建立过程中,及早发现风险并妥善处理对企业发展尤其重要。
3.3使用安全性高的软件
归根结底,所有的安全问题都是安全性低所导致的。虽然说没有绝对安全的东西,但是相比于安全性低的软件,安全性越高的软件,保护能力也越强,能更好地保护信息安全。因此,企业千万不能贪图小利益使用低防护级软件,保护信息安全,维护自身发展利益才是最重要的。
关键词:电子商务;信息安全;风险评估;对策
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
为移动数据库存储的数据进行加密以防止泄漏,采用不同的加密方法来保护数据安全,进行身份认证,数据恢复,数据加密存储,物理隔离,防火墙,网络,网络设备,网络入侵检测,网络漏洞扫描,网络设备备份,网络管理,专线,实现网络管理等一系列技术手段,从而提高数据库的安全性。同时提高认识到物理设施的重要性,定期维护物理设施。为了监测信息安全和实施评估系统,我们要保证基本硬件和芯片的独立在建立独立于信息安全的评估体系中,国内外统一组织重要的信息安全技术研究,建立创新的电子商务信息安全与评估体系。
[关键词] 企业网络信息安全信息保障
计算机网络的多样性、终端分布不均匀性和网络的开放性、互连性使联入网络的计算机系统很容易受到黑客、恶意软件和非法授权的入侵和攻击,信息系统中的存储数据暴露无遗,从而使用户信息资源的安全和保密受到严重威胁。目前互联网使用TCP/IP协议的设计原则,只实现简单的互联功能,所有复杂的数据处理都留给终端承担,这是互联网成功的因素,但它也暴露出数据在网上传输的机密性受到威胁,任何人都可以通过监听的方法去获得经过自己网络传输的数据。在目前不断发生互联网安全事故的时候,对互联网的安全状况进行研究与分析已迫在眉睫。
一、 国外企业信息安全现状
调查显示,欧美等国在网络安全建设投入的资金占网络建设资金总额的10%左右,而日韩两国则是8%。从国际范围来看,美国等西方国家网络基础设施的建设比中国完善,网络安全建设的起步时间也比中国早,因此发生的网络攻击、盗窃和犯罪问题也比国内严重,这也致使这些国家的企业对网络安全问题有更加全面的认识和足够的重视,但纵观全世界范围,企业的网络安全建设步伐仍然跟不上企业发展步伐和安全危害的升级速度。
国外信息安全现状具有两个特点:
(1)各行业的企业越来越认识到IT安全的重要性,并且意识到安全的必要性,并且把它作为企业的一项重要工作之一。
(2)企业对于网络安全的资金投入与网络建设的资金投入按比例增长,而且各项指标均明显高于国内水平。
二、 国内企业网络信息安全现状分析
2005年全国各行业受众对网络安全技术的应用状况数据显示,在各类网络安全技术使用中,“防火墙”的使用率最高(占76.5%),其次为“防病毒软件”的应用(占53.1%)。2005年较2004年相比加大了其他网络安全技术的投入,“物理隔离”、“路由器ACL”等技术已经得到了应用。防火墙的使用比例较高主要是因为它价格比较便宜、易安装,并可在线升级等特点。值得注意的是,2005年企事业单位对“使用用户名和密码登陆系统”、“业务网和互联网进行物理隔离”等措施非常重视。其他防范措施的使用也比2004年都提高了一定的比例,对网络安全和信息的保护意识也越来越高。生物识别技术、虚拟专用网络及数字签名证书的使用率较低,有相当一部分人不清楚这些技术,还需要一些时间才能得到市场的认可。
根据调查显示,我国在网络安全建设投入的资金还不到网络建设资金总额的1%,大幅低于欧美和日韩等国。我国目前以中小型企业占多数,而中小型企业由于资金预算有限,基本上只注重有直接利益回报的投资项目,对于网络安全这种看不到实在回馈的资金投入方式普遍表现出不积极态度。另外,企业经营者对于安全问题经常会抱有侥幸的心理,加上缺少专门的技术人员和专业指导,致使国内企业目前的网络安全建设情况参差不齐,普遍处于不容乐观的状况。
三、 企业网络信息系统安全对策分析
“三分技术,七分管理”是技术与管理策略在整个信息安全保障策略中各自重要性的体现,没有完善的管理,技术就是再先进,也是无济于事的。以往传统的网络安全解决方案是某一种信息安全产品的某一方面的应用方案,只能应对网络中存在的某一方面的信息安全问题。中国企业网络的信息安全建设中经常存在这样一种不正常的现象,就是企业的整体安全意识普遍不强,信息安全措施单一,无法抵御综合的安全攻击。随着上述网络安全问题的日益突显,国内网络的安全需求也日益提高,这种单一的解决方案就成为了信息安全建设发展的瓶颈。因此应对企业网络做到全方位的立体防护,立体化的解决方案才能真正解决企业网络的安全问题,立体化是未来企业网络安全解决方案的趋势,而信息保障这一思想就是这一趋势的体现。信息保障是最近几年西方一些计算机科学及信息安全专家提出的与信息安全有关的新概念,也是信息安全领域一个最新的发展方向。
信息保障是信息安全发展的新阶段,用保障(Assurance)来取代平时我们用的安全一词,不仅仅是体现了信息安全理论发展到了一个新阶段,更是信息安全理念的一种提升与转变。人们开始认识到安全的概念已经不局限于信息的保护,人们需要的是对整个信息和信息系统的保护和防御,包括了对信息的保护、检测、反应和恢复能力。为了保障信息安全,除了要进行信息的安全保护,还应该重视提高安全预警能力、系统的入侵检测能力,系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。区别于传统的加密、身份认证、访问控制、防火墙、安全路由等技术,信息保障强调信息系统整个生命周期的防御和恢复,同时安全问题的出现和解决方案也超越了纯技术范畴。由此形成了包括预警、保护、检测、反应和恢复五个环节的信息保障概念。
所以一个全方位的企业网络安全体系结构包含网络的物理安全、访问控制安全、系统安全、用户安全、信息加密、安全传输和管理安全等。充分利用各种先进的主机安全技术、身份认证技术、访问控制技术、密码技术、防火墙技术、安全审计技术、安全管理技术、系统漏洞检测技术、黑客跟踪技术,在攻击者和受保护的资源间建立多道严密的安全防线,增加了恶意攻击的难度,并增加审核信息的数量,同时利用这些审核信息还可以跟踪入侵者。
参考文献:
[1]付正:安全――我们共同的责任[J].计算机世界,2006,(19)
[2]李理:解剖您身边的安全[N].中国计算机报,2006-4-13