前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的网络空间安全的概念主题范文,仅供参考,欢迎阅读并收藏。
关键词:意识形态安全;网络;安全教育
随着网络信息技术的迅猛发展,网络空间已经成为一个与国家意识形态安全息息相关的特殊场域。根据相关调查数据显示,截止2020年3月,中国网民数量约为9.04亿,互联网的普及率达到了64.5%。庞大在中国的网民群体中,大学生已经成为主力军,成为网络空间环境中的最主要群体。数据显示,在9亿多网民中,按照年龄结构来看,20-29岁的人群占了21.5%;按职业结构来看,学生群体所占比例达到了26.9%。上述数据突显以下两个重要问题:一是网络空间意识形态安全已经成为国家安全必不可少的组成部分;二是大学生作为网络空间中的主体,一方面其价值观念的形成深受网络空间信息、观念等环境因素的影响;另一方面,大学生在网络空间中的言行举止,又对网络空间环境进行着重构。因此,对大学生进行网络意识形态安全教育一方面是加强国家安全教育的必然举措,另一方面也有利于充分发挥大学生的主观能动性,塑造一个有利于国家意识形态安全的网络空间环境。本文在分析网络意识形态安全内涵的基础上,针对当前高校网络意识形态安全教育当中存在的问题,提出相应的对策建议。
一、网络意识形态安全的内涵
清晰的概念界定是科学研究的前提和基础,要厘清网络意识形态安全的内涵,首先必须理解和把握“意识形态”和“意识形态安全”的本质。意识形态,从其本质来看,可以概括为是一种观念的集合。每一个社会群体由于其特定的历史文化特征以及特定的社会经济条件,会形成一套完整的对人与人之间、人与社会群体之间、人与自然之间的种种认识观念和价值观念,意识形态就可以看作是这种观念的集合。在政治领域和社会文化领域,意识形态有其特定的功能。具体而言,意识形态主要为一个国家的社会政治制度、秩序提供思想观念层面的合法性阐释和支持。正是意识形态所具有的这一重要作用和功能,使其成为国家安全的重要组成部分。自然禀赋、制度体系以及文化观念,是构成现代民族国家的三要素。文化观念从国家构成的角度来看,就是指意识形态。自然禀赋是国家的物质基础,制度体系为国家的正常运转提供了规则和秩序,而意识形态则是将一个国家不同群体粘合起来,形成关于统一国家认同的“黏合剂”。因此,意识形态安全,从宏观上来讲就是一个国家的社会群体对于国家、民族能够形成稳定的文化价值认同;从中观角度来讲就是对政党制度、发展道路等等制度、文化、法律等等具体观念、制度能够形成相对统一的认同;从微观角度来看,就是在面对具体境遇和观念冲击时,有相对稳定的立场和清醒的判断。意识形态因其往往涉及思想观念、价值的特性,其安全往往有着自身的脆弱性,极易受到外界舆论场域、观念和具体事件的冲击和威胁。随着互联网在社会各领域的延伸,人们客观上已经进入了一个虚拟网络空间和现实社会空间叠加的时代。在这样一个时代背景下,现实社会中的事件、观点和价值观念往往能够借助网络空间迅速传播、发酵,从而在网络空间形成一定的舆论场;同样的,网络空间当中形成的舆论场,因其所引起的巨大传播效应,又反过来对现实社会形成客观的积极或消极的影响。如上所述,特定价值观念通过网络,对现实社会生活中人们意识形态的形成和发展发挥着非常巨大的影响力。这就揭示了网络意识形态安全的内涵,即网络空间价值观念等构成的网络空间环境,不会对网络空间中和现实社会生活中的主体的主流意识形态价值观的形成和培养构成威胁;反之,则可以说网络意识形态处于不安全状态。
二、当前高校网络意识形态安全教育存在的问题
一方面,进入大学阶段学习的大学生,因其年龄特点和知识层次特点,在摆脱中学阶段应试教育导向下的填鸭式知识学习阶段后,进入到了一个知识的自由探索阶段。通过对日常生活的观察,体验,理论知识的学习,以及网络世界的遨游,在此过程中,思想教育是否发挥了实效,个体自身科学理性思维是否形成等因素,决定了大学生认知自己、他人、社会以及国家的认知结构和特点,也决定了大学生以什么样的价值观念去认知发生在自己身边和所处社会空间中的事情。另一方面,接受了高等教育的大学生群体,在整个社会结构当中,属于拥有高级知识和技能的特殊群体,从社会经济发展层面来看,其掌握的知识和技能对整个社会的发展具有举足轻重的作用,也是社会发展的核心骨干力量之一;从社会进步角度来看,拥有相对较高素质的大学生群体,其所展现出的价值观、理想信念等,在推动社会文化价值观念进步方面都有着重要的作用;从社会主义事业的历史发展来看,大学生群体所形成的意识形态结构特点,则关系着我们事业的成败。正是基于上述两点,高校思想政治教育工作的重中之重就是对学生进行意识形态安全教育,具体来说,就是培养学生对中国特色社会主义的道路自信、理论自信、制度自信和文化自信。长期以来,高校思政教育课通过教育理念改革、教学方法改革、考核方式改革等多种多样的方式,力图强化学生对当前中国特色社会主义事业的总体认同感,也取得了令人瞩目的成效。但随着网络信息技术的快速发展,以及大学生成为网络空间主体这一客观事实,大学生已不再是过去被关在象牙塔中“两耳不闻窗外事,一心只读圣贤书”的群体,而是与校园围墙之外的社会时刻发生联系,积极参与社会事务的讨论,甚至是治理的年轻群体。与已经发生巨大现实变化相比,高校意识形态安全教育已经出现诸多局限性,影响着高校意识形态教育的实效性。具体表现为以下几个方面:第一,忽视网络空间意识形态安全教育。当前高校对学生的意识形态安全教育仍然主要通过思政课程来完成,即主要通过课堂思政理论课的教学来培养学生主流意识形态价值观念的形成。然而,课堂教育有其难以逾越的局限性,如课堂教学时间总是有限的,即使一趟课达到了非常理想的教学效果。但在离开课堂后,学生更多是被网络空间中的世界所包围。极有可能发生的是,刚刚在课堂上初步构建起的主流意识形态,转眼就会被网络空间中的热点事件以及围绕这一事件所形成的舆论场结构。从当前国内大多数高校意识形态教育的模式来看,只有极少数注意到了网络空间意识形态教育的重要性。第二,缺乏网络空间意识形态安全教育的措施、手段。随着网络空间对大学生群体思想价值观念的形成所发挥的作用和影响越来越大,越来越多的高校开始重视对大学生的网络空间意识形态安全教育的重要性。但通过什么样的方式和手段,才能在网络空间达到相对良好的意识形态安全教育效果,绝大多数的高校并没有清晰的认知。第三,对学生安全意识教育相对滞后。网络时代,各种各样的信息充斥网络空间的各个角落,成为网络空间环境的一部分。在这其中,不乏大量的谣言、抱有特定目的的价值观宣传以及网络营销宣传等,涉世不深的人生阶段特征以及信息的不对称,使身处网络包围中的大学生难以辨别信息真假,很容易受到错误的引导。这就需要高校加强对学生的网络安全意识教育。但在实践当中,受限于诸多主观、客观因素,高校此方面工作的开展和实效都难以尽如人意。
关键词:网络空间;生态系统;生态化治理一、网络空间生态污染的表象
(1)群体行为关系的失调。面对互联网的快速发展,作为行为主体的人类显露出了明显的窘迫状态,准备不足,适用不良,应对慌乱等,这些构成了网络行为活动主体责任缺位的危机。此外,网络空间中的网络污染物充斥着人们的视野,损害了诸多网络参与者的合法权益,对他人的姓名权、肖像权、隐私权等造成了一系列侵害。(2)网络环境的污染。网络行为活动的主体对互联网的违规使用,使得网络公共生活的环境处于混乱无序的状态。政治上一些和极端组织利用互联网散布不良的舆论信息,为其制造混乱和破坏提供便利;经济上互联网公司依靠强大的技术降低成本、锁定用户群,这样难免会随着食物链的延伸而拉大贫富差距;文化上网络空间宣扬的自由化导致了信息的泛滥,一些低俗消极的文化向人们的大脑传递偏颇的文化理念。这些构成了网络空间政治、经济、文化环境的污染。(3)资源的失衡。网络空间的资源是网络空间的物质基础,是推动网络空间进步与发展的不竭动力,然而这种资源的背后却暗藏风险,拿网络交易来说,它是一种非即时结清交易,通常是消费者金钱支付后,服务商才发送货物和提供服务,基于我国金融服务水平的限制,网络支付的信息很容易被泄露和冒用,网络安全难以得到保障。
二、生态化治理:网络空间治理的新路径
(一)网络空间生态化治理的内涵。网络空间与自然生态系统有着惊人的相似之处,是一个典型的生态系统,它以互联网为组织根基,各个互联网参与者互相依赖、相辅相成,共同构成的有机生态系统。生态化治理的内涵及其丰富,包括:在多个参与主体之间建立一种和谐共生、互惠互利、互帮互助的生态关系,从而达到有序有为、朝气蓬勃、欣欣向荣的生态化治理效果;生态化治理以网络规范为支撑和经验,互联网发展和规范兼顾;治理要创新。
(二)网络空间生态化治理的特点。(1)治理主体的多元化。生态化治理是一个多元主体联动的过程,从而构成了一个动态、复杂的治理网。在这一生态圈中,行为主体的治理属于核心层,政府的治理属于扩展层,相关参与者的治理属于社会层。(2)治理手段的多元化。网络规范的建构、网络基础设施的管理、网络安全的保障、网络主体的自律等网络空间的运行方式,可依托的具体生态化手段是多样的,有法律、市场、技术、柔性等手段。(3)治理机制的合作化。治理主体之间要密切配合,跨域协作,利益共生,彼此之间形成一个有机的整体,治理主体间的关系是互惠互利、充满活力和激情的、是一种欣欣向荣的有序有为的生态化关系。
三、网络空间生态化治理的具体措施
(一)完善不同主体的治理能力。首先要增强网络空间主体的自律。在认知上,个体应该拥有足够的辨别力和成熟的认识;在能力储备上,积极培养人的自我掌控能力;在实践活动上,检视自己的行为活动并施以约制。其次,要充分发挥立法、行政、司法等部门的职责,形成从引导到立法、从宏观调控到法律细化、从严格管理到自我约束的网络空间综合治理体系。最后要发挥相关社会治理者的作用,广泛动员网络参与者,全面激发社会成员的力量,积极引导和鼓励非政府组织参与网络建设。
(二)完善多元化治理手段,充分发挥多元化治理手段的优势。在经济方面,取消市场准入管制、优化市场环境。生态化治理应当学习经济的贴近生活性,重视市场的竞争原则,让更多的互联网企业加入进来提供多样化的网络产品和服务。在法律方面,要完善立法和加强执法。要在现行的网络法律法规的框架范围内,利用合法程序对原有的网络立法内容进行修改和补充,同时要加强各职能部门的执法力度,密切配合。在道德方面,弘扬正确的网络价值理念,构建和谐网络关系,树立正确的网络文明准则,尊重彼此的网络自由,在实际网络空间的行动中自持自律。
(三)健全跨域协作机制。首先,要实现行政领域和其他领域的跨域协作。生态化治理除了需要政府行政部门清晰定位、发挥职能之外,还需要将社会其它治理力量激发起来,充分发挥多种力量,各司其职、各尽其能、各展所长,最终将这些部门都统一于网络空间生态化治理的庞大工程里面。其次,要实现不同国家的跨域协作。互联网问题是一个全球性的问题,它关涉的利益是人类共同的利益,罗列于这张庞大网之内的各个国家在全球层面和跨国层面通过对话、协调、合作等方式来共同应对全球互联网存在的问题,管理人类共同的事物。
参考文献:
在我看来,公域主要应指海洋、极地、太空几大领域。我不赞成把网络空间也列入公域范围。网络空间是否属于公域?这与美国在克林顿政府时期进行的战略推动有一定关系的。克林顿政府推动网络自由化,把它作为美国重建全球领导地位的重要措施。我认为,网络就是一个互联互通的概念,它本身就是从一个局域网发展起来的,原是美军的内部网,扩展到民用后,从美国开始,其他国家一个个接上去。这无非就是信息联络设施的互联互通。铁路公路这些领域也都可以互联互通。如果只是因为互联互通了,就作为一个公域概念来理解,那么是不是很多基础设施也可以成为公域?只要有关国家愿意,它可以随时关闭。一经关闭,网络就是它范围之内的事。这是与其他公域问题不一样的。网络治理是国家范围层面可以做的,一个国家有权力立法来管理自己的网络空间,其他国家对它的网络实施攻击,可以视作侵略行为。如果网络属于公域,其他国家进入你的网络,你怎么说它是侵略呢。所以我觉得网络与其他领域还是有较大区别的。
在全球公域领域,中国必须有自己的战略考虑。
首先,我们必须认识全球公域问题的重要性。公域可以说是还没有被国家的所分割的区域。的确存在着这样一种趋势,即本应被视为公域的范围也在被国家所侵蚀。但是绝大部分公域还没有被国家所瓜分。这意味着,任何国家今后如果希望拓展自己的活动空间,公域就是一个方向。原因就是,如果要拓展到其他国家的疆域,会面临很多问题,例如要接受它的经济治理规则,或者说国际通行的国际规则。而公域则不同于此。从公域的发展看,之所以成为公域,在其第一个阶段肯定是处于绝对自由的状态,国家在公域范围的行动可以说是不受任何约束。而在第二个阶段,在一些问题上开始出现领土主义化,较为明显的例子,一是已有一些国家对南极提出了“领土”主张,二是原来被认为公海的海域,随着《联合国海洋法公约》的施行,国家实际上正向这里拓展。现在正在进入到第三个阶段,这就是在公域内进行公共秩序建构,这意味着公域越来越多地走向一种规制主义的治理。
公域为国家的生存发展提供了非常大的潜力或者说能力的供给,尤其是对大国来说。比如国家的安全能力。在太空,卫星构成国家安全的重要领域。在海洋,近海已经无鱼可捕,公海“海洋牧场”的概念已经越来越多地确立起来了,它对于国家食物安全也有重要作用。在区域内的矿物质大幅度消耗的情况下,人们已经明显把眼光转向了公域内的资源。不管现在怎么限制,如果范围之内的矿物资源消耗殆尽,人们肯定会去开采公域内的资源。所以从中长期来看,公域是给一个国家下一步的发展提供大量的资源和能力的区域。所以,应从这几个方面来认识公域问题的重要性。
作者:吴振学,陈家光
所谓信息国防,则是传统国防概念的最新发展,是指为捍卫涉及国家利益的军事、政治、经济、外交、科技等方面的信息安全所进行的建设与斗争。它包括信息主权、信息国防体系的构建等方面内容。它是为了保护本国安全和利益,夺取未来战争的胜利所拥有的有关信息战的资源、技术、装备和系统作战的能力。对于一个国家安全战略信息的防护,要求必须构建信息国防。同样地,要保持信息国防优势,就要谋求打赢信息战的能力。
而信息主权,是指一国在维系国家安全的信息技术、信息产业、信息资源和基础信息设施等方面,拥有独立自主的管辖、使用、研发、建设和不被侵犯的权力。为了捍卫信息主权,要发挥整体优势,加快信息经济的发展,切实制定出相应的规划与战略,为民族信息产业的发展提供战略服务。
许多国家加入WTO之后,尽力为本国信息产业创造一个相对密切配合的外部环境。诸如:倡导建立公正、合理的世界信息安全体系;倡导签订信息安全的国际合作公约,以公约的形式主动地、积极地捍卫国家主权;团结广大发展中国家,利用他们构建信息国防的要求,共同反对信息霸权主义。
关键词: 信息安全; 教学内容; 教学方法; 实践教学
中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2016)11-64-03
New teaching thought for information security
Liu Ya
(School of Optical-Electrical and Computer Engineering, Shanghai Key Lab of Modern Optical System, and Engineering Research Center of Optical Instrument and System, Ministry of Education, University of Shanghai for Science and Technology, Shanghai 200093, China)
Abstract: In this paper, the contents of information security are given. The problems existing in the information security teaching are presented. And four improvement measures are proposed, including arranging teaching contents carefully, adopting various teaching measures, attaching importance to practice and improving students' morals. All of these researches fully mobilize students to study with enthusiasm, stimulate students to initiative, and greatly improve the quality of teaching.
Key words: information security; teaching contents; teaching measures; practical teaching
0 引言
随着信息技术的飞速发展,信息安全问题也日显突出,国际上各个国家之间围绕着信息和网络安全的斗争也越来越激烈,争夺网络空间安全控制权是战略制高点。2013年,美国前中情局职员爱德华・斯诺登爆出了美国国安局的棱镜门计划说明了美国在很早就开始培养信息安全的人才,并在信息安全方面有规划、有计划、成体系的部署和构建攻击力量。
而我国由于技术基础相对薄弱,安全人才储备不足,目前还不是网络空间技术强国。2014年,中央成立网络安全与信息化领导小组,亲自担任组长,并强调指出,“网络安全和信息化是事关国家安全和国家发展、事关广大人民群众生活的重大战略问题。”“没有网络安全就没有国家安全。”因此培养和构建体系化、规模化、系统化的信息安全人才已经是我国非常紧迫的一个需求。
在本世纪初,我国就已经开展了信息安全相关专业人才,在信息安全教学和人才培养方面积累了一定的基础和经验,但相对于发达国家还有一定的差距。2001年,武汉大学成立了国内首个信息安全本科专业,此后许多高校都相继开设了此专业,并得到了飞速发展,例如:上海交通大学,西安电子科技大学,信息工程大学等。截至到2014年,教育部批准全国116所高校设置了信息安全相关的本科专业,为我国培养和输送了大批高质量的信息安全人才。随着网络空间安全一级学科的成立,许多没有信息安全本科专业的学校也加强了对计算机专业学生信息安全知识的教学工作,同时国家对信息安全技术人才的大量需求,信息安全专业的学生就业形势日渐良好,也使得学生对信息安全课程学习的兴趣越来越大,主动性越来越强。当前,许多学者已经对信息安全学科建设和人才培养进行了研究[1-4],也有部分研究者研究了信息安全专业信息安全课程的教学方法改进[5-7]。
本文研究了新形势下面向计算机专业学生信息安全课程教学方法的改进措施。首先,给出了学习信息安全必须先修的课程,并简单介绍了它所涵盖的内容;其次,结合实际情况,分析信息安全教学过程中碰到的问题,指出在新形势下信息安全教学的困难和不足;最后,对存在的问题,结合学生的特点,理论联系实际,采用灵活多样的教学方法,给出有效的教学改进手段和方法,以充分调动学生学习的主动性和积极性,完善教学过程。
1 信息安全本科课程内容
信息安全是一个庞大的主题,涉及了较多的硬件、软件、信息论、密码学、社会学法律等内容,概念多、比较抽象且知识面广,主要内容包括信息安全技术基础、密码理论和技术、网络安全技术、操作系统安全技术、信息安全产品技术、应用开发涉及的安全技术、信息安全建设、信息安全技术实践等[8]。其中信息安全技术基础、信息安全产品技术、信息安全建设、信息安全技术实践等内容是阐述性的,而密码理论和技术则比较理论、深奥、枯燥和难学,需求学生具有一定的信息安全数学基础;网络安全技术、操作系统安全技术等又与实际联系比较紧密,需要学生有一定的实践和动手能力。
2 信息安全课程的教学现状和薄弱环节
随着信息安全技术的不断升级,国家对信息安全人才的需求越来越多,同时对信息安全人才培养也有提出了一些新的要求,而传统的教学方式已经不能完全满足当前的社会需求,教学过程中的一些问题和薄弱环节日渐凸显。
⑴ 知识点多,理论基础知识深奥难懂
如上节所述,信息安全教学涉及内容非常多,而一般的本科院校给这门课仅安排三十二或者三十六个课时,在有限的课时内想把以上的内容都教的透彻是不可能的一件事情,这就要求教师根据当前国家的需求和实际情况,结合学生的特点,适当地选择适合的内容来进行教学,同时将教学内容分一般了解、掌握和重点掌握三个不同等级,有轻有重有主有次分级别来上好这门课。
此外,学习信息安全需要先修数学、信息论、密码学等基础知识,而这些基础知识比较难懂,尤其对部分计算机专业的学生来说是一个短板,这就造成一部分学生知难而退,失去了学习的兴趣和动力,不愿意继续钻研下去。
⑵ 传统的教学方法单一,以教师讲解为主
信息安全每部分内容都各有特点,而目前传统的教学方式主要以理论讲解为主,配有一定课时的实验课程,而学生往往在理论讲解的课上分心,注意力不集中,实验课上往往从网上找一些开源的代码和程序上交应付老师布置的软件编写作业。学生整体的学习的热情不高,上课思想不集中,缺乏兴趣。
⑶ 重理论教学,轻实践动手能力培养
目前,大部分高校缺乏相应的实验设备和环境,对一些攻防实验,教师一般都是纸上谈兵。他们主要是以信息安全理论知识的讲授为主,不注重学生实际动手能力的培养。然而信息安全的大部分知识都很抽象,只是单调的讲解,学生往往难以接受,且学生毕业后去单位的安全部门工作,不能很快的进入安全方面的相关工作,需要重新培训和锻炼。
⑷ 注重知识的传授,忽视信息安全法律法规的讲解
教师往往只是教授学生信息安全的知识和技术,而忽视了法律法规的介绍,学生在掌握了一些攻防技术后,抱着好奇的心理可能会尝试着做一些恶作剧而带来严重的后果。
3 信息安全教学方法的改进措施
针对上述信息安全教学中存在的问题,结合计算机专业学生信息安全课程目标,总结作者在信息安全教学方面的经验,提出如下一些改进的措施和方法,改进教学效果,提高学生学习的主动性和自觉性。
⑴ 教学内容的选取既要注重基础知识也应符合社会需求
目前,信息安全的教材非常多,不同的教材侧重点各不相同,有的教材强调基础理论知识,有的教材强调实际应用技术,因此,选择一本合适的教材非常重要。此外,信息技术飞速发展、日新月异,信息安全问题也是层出不穷,不断更新。因此教学内容的选择应该贴合实际需求,才可以提高学生学习的兴趣,使得学生在工作中学以致用,而不是学习与现实脱节。
在实际的教学中,我们首先选择一些基础理论知识,譬如:信息安全基本概念,密码技术、认证技术、安全协议等;然后在此基础上选择一些安全保障技术知识,譬如:访问控制技术、网络攻击技术和防范方法一级恶意代码分析技术;最后,在此基础上介绍一些安全协议以及国内信息安全系统的标准。同时,除了讲解书本知识以外,多补充介绍当前出现的国内外重大的安全事件、实际安全问题案例技术分析、国内外重要的安全会议、信息安全竞赛以及国家对信息安全人才培养的一些举措等,调动学生学习的主动性和积极性。
⑵ 教学方法灵活多样
在信息安全教学过程中,不仅可以采用传统的理论讲解和实验教学的方法,还可以采用案例分析、专题报告、小组讨论、汇报演讲等多种教学手段和方法,增加学生在课程学习中参与互动的比例,引导学生从传统的听授式的学习方式转变到研究、拓展和自主的学习模式,从研究和学习中获得成功的喜悦。
对于比较难学的理论基础知识,应多联系实际,让学生觉得这些知识不是空的、不实际的,而是在现实中广泛运用的,从而提高学生的学习兴趣。譬如:在介绍密码算法时,可以介绍一些现实中使用的密码算法的实际场景,例如:智能卡、RFID、智能家居、智慧城市、云、区块链等。
对于实际的安全事件,可以运用案例分析的教学手段,首先介绍安全事件的背景,然后在此基础上运用所学的知识剖析安全问题出现的原因,最后结合所学知识和技术,提出安全事件的解决办法。
对于当前一个技术热点,譬如:区块链,可以采用专题报告的形式,系统地围绕区块链的概念、可以运用的场景以及存在的安全问题等详细介绍。
此外,我们将班级学生分组,以分组的方式让学生完成一个任务。如结合已经学习的知识,选择一个当前的安全事件,进行分析和讨论,最后以汇报演讲的方式展示小组讨论的成果。
⑶ 重视实践教学
信息安全是一门实践性很强的课程,因此在学习理论知识的同时,一定要注重学生动手能力的培养。譬如,在虚拟机环境下,以不破坏系统为前提,让学生进行攻防实验,这样即可以提高学生学习的兴趣,也可以锻炼学生的动手能力。同时,现在开源的算法和软件比较多,可以指导学生测试和分析这些软件的安全性,同时也可以设计和开发一些小的安全软件。
此外,现在国内外信息安全竞赛很多,可以提供给感兴趣的同学更多了解这些竞赛的途径,辅导有能力的学生参加信息安全竞赛。
⑷ 注重学生道德培养
信息安全是一门特殊的课程,学生在掌握相关知识后可以进行一些攻击实验,因此需要加强学生的道德培养,介绍一些法律和道德标准,引导学生正确的运用自己所学的知识。
4 结束语
网络空间安全受到的关注越来越多,信息安全也越来越被重视。本文结合教学实际,分析了当前信息安全的现状和薄弱环节,针对存在的问题,从严选教学内容、采用灵活多样的教学方法、加强实践课程教学和注重学生道德培养四个方面提出改进措施,以充分调动学生学习的主动性和积极性,收到了较好的教学效果。
目前,由于信息安全中密码学部分的学习难度较大,需要一定的数学理论基础,且比较枯燥,如果仅简单引入一些算法实例,还不能完全调动学生学习的积极性,可以考虑寻找一些算法运行的实际场景,创造相应的实验条件,让学生自己动手编程尝试去破解含有算法的系统,从而更加充分地调动学生学习的积极性。
参考文献(References):
[1] 张焕国,黄传河,刘玉珍等信息安全本科专业的人才培养与
课程体系[J].高等理科教育,2004.2:16-20
[2] 王清贤,朱俊虎,陈岩.信息安全专业主干课程设置初探[J].计
算机教育,2007.19:12-14
[3] 王伟平,杨路明.信息安全人才需求与专业知识体系、课程体
系的研究[J].北京电子科技学院学报,2006.1:47-49
[4] 马建峰,李凤华.信息安全学科建设与人才培养现状、问题与
对策[J].计算机教育,2005.1:11-14
[5] 张晓峰.信息安全课程教学方法探索[J].电脑知识与技术,
2014.10(25):5935-59364
[6] 杨军.信息安全教育与数学教学案例的研究[J].宜宾学院学
报,2008.9:118-120
[7] 徐明,龙军.基于MOOC理念的网络信息安全系列课程教学
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
注册信息系统安全专业人员通用知识体(CISSPCBK)提供了通用的信息安全术语和原理框架,使得全世界的信息安全专业人员能够以相同的术语和理念,讨论、辩论和解决信息安全相关问题。
【关键词】计算机病毒;信息安全;云计算
1、前言
近年来,我国信息产业持续快速发展,信息产业在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。各类计算机犯罪及“黑客”攻击网络事件屡有发生,手段也越来越高技术化,从而对各国的、安全和社会稳定构成了威胁。计算机互联网络涉及社会经济生活各个领域,并直接与世界相联,可以说是国家的一个政治“关口”,一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。
2、计算机病毒发展情况分析
2011年,中国新增计算机病毒、木马数量呈爆炸式增长,总数量已突破千万。病毒制造的模块化、专业化以及病毒“运营”模式的互联网化成为计算机病毒发展的三大显著特征。同时,病毒制造者的“逐利性”依旧没有改变,网页挂马、漏洞攻击成为黑客获利的主要渠道。新增计算机病毒、木马数量呈几何级增长,据金山公司监测数据显示,2010年,金山毒霸共截获新增病毒、木马1589万个。
3、3G云计算时代“云安全”的概念
紧随云计算、云存储之后,“云安全”应运而生。云安全技术是P2P技术、网格技术、云计算技术等分布式计算技术混合发展、自然演化的结果。云安全是我国企业创造的概念,在国际云计算领域独树一帜。“云安全(Cloud Security)”计划是网络时代信息安全的最新体现,它融合了并行处理、网格计算、未知病毒行为判断等新兴技术和概念,通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到Server端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端如图1所示。
4、建立安全的防治体系
病毒、木马进入新经济时代后,肯定是无孔不入,网络的提速让病毒更加的泛滥。因此在2012年,我们可以预估vista系统,windows 7系统的病毒将可能成为病毒作者的新宠。当我们的智能手机进入3G时代后,手机平台的病毒/木马活动会上升。软件漏洞的无法避免,在新平台上的漏洞也会成为病毒/木马最主要的传播手段。
在病毒制作门槛的逐步降低,病毒、木马数量的迅猛增长,反病毒厂商与病毒之间的对抗日益激烈的大环境下,传统“获取样本->特征码分析->更新部署”的杀毒软件运营模式,已无法满足日益变化及增长的安全威胁。
病毒直接对电信系统的网络、操作系统、用户、应用程序、数据安全受到威胁。体现在企业商业信息安全、互联网站信息安全、个人隐私类信息安全、网络欺骗类、网友见面人身安全、无线局域网(蓝牙)、手机病毒、手机窍听等,所以必须建立电信系统工程网络安全的防治体系如下图2所示。
4.1提升电信网络信息安全的核心技术
“云安全”的概念来源于“云计算”,“云安全”是“云计算”技术在信息安全领域的应用。更简单的讲,“云安全”是指防毒安全厂商利用客户端搜集病毒样本,然后找到处理方式分发给用户,这样整个互联网就成了一个大的保障用户电脑安全的杀毒软件。它融合了并行处理,网格计算,未知病毒行为判断等技术和概念,是网络时代信息安全的最新体现。
(1) 云安全核心技术之一:智能网页脚本行为判断技术。
智能网页脚本行为判断技术主要分为:溢出攻击防御技术:
溢出攻击防御技术,可以准确的判断溢出代码,并通过溢出代码的典型特征进行判断。
恶意行为的监控技术:恶意行为监控技术,会在染毒脚本运行调用系统函数的功能执行之前将其发现。
智能启发监控扫描技术:智能启发扫描监控技术,可以将病毒代码剥离出来,使之变成明码,从而利用较少的资源达到明码杀毒的目的。
(2)云安全核心技术之二:本机程序行为判断技术
作为云安全架构的另一大核心技术,本机程序行为判断技术将一系列已经定义好的恶意行为进行规范,并且根据规范监视进入用户电脑的程序做了什么,进而根据规范判定这个行为是好是坏。
4.2落实网络信息安全防范措施
(1)网络安全措施
网络层安全性的核心问题是网络能否得到控制,即:是不是任何一个 IP地址的用户都能进入网络。通过网络通道对网络系统进行访问时,每一个用户都会有一个独立的IP地址,这个IP地址能够大致表明用户的来源地址和来源系统。目标站点通过对来源IP分析,能够初步判断来自这一IP的数据是否安全,是否会对本网络系统造成危害,以及来自这一IP的用户是否有权使用本网络的数据。我们设计系统能够自动记录那些曾经造成过危害的IP地址,使得它们的数据免于遭受第二次危害。
用于解决网络层安全性问题的产品主要有防火墙产品和VPN(虚拟专用网)。防火墙的主要目的在于判断来源IP,将危害或未经授权的IP数据拒之于系统之外,而只让安全的IP数据通过。一般来说,公司的内部网络若与公众Internet相连,则应该在二者之间设置防火墙产品,以防止公司内部数据的外泄。VPN主要解决的是数据传输的安全性问题,如果公司在地域上跨度较大,使用专网、专线过于昂贵,则可以考虑使用VPN。其主要目的在于保证公司内部的关键数据能够安全地借助公共网络进行频繁的交换。
(2)操作系统安全措施
在系统安全性问题中,主要防范的问题有两个:一是病毒对于网络的威胁;二是黑客对网络的破坏和侵入。病毒的主要传播途径已经由过去的软盘、光盘等存储介质变成了网络,多数病毒不仅能够直接感染网络上的计算机,也能够在网络上对自身进行复制。电子邮件、文件传输以及网络页面中的恶意Java小程序和ActiveX控件,甚至文档文件都能够携带对网络和系统有破坏作用的病毒,网络防病毒工具必须能够针对网络中可能的病毒入口进行防护。
(3)用户安全措施
对于用户的安全性问题,主要防范的问题是:是否只允许那些真正被授权的用户使用系统中资源和数据。
首先要做的是对用户进行分组管理,并且这种分组管理应该是针对安全性问题。应该根据不同的安全级别将用户分成若干等级,每一等级的用户只能访问到与其等级相对应的系统资源和数据。其次应该考虑的是强有力的身份认证,其目的是确保用户的密码不被他人猜测到。
(4)应用程序安全措施
在这一系统中我们需要关注的问题是:是否只有合法的用户才能对特定的数据进行合法的操作。这涉及两方面的问题:一是应用程序对数据的合法权限;二是应用程序对用户的合法权限。
(5)数据安全措施
数据的安全性所要关注的问题是:机密数据是否还处于机密状态。在数据的存取过程中,机密的数据即使处于安全的空间,也要对其进行加密处理,以保证万一数据失窃,偷窃者(如网络黑客)也读不懂其中的数据内容。这是一种比较被动的安全手段,但往往能收到最好的效果。
(6)良好的操作习惯
注意无线网使用包括手机的蓝牙、邮件收发完毕要关闭、网吧上网离开时重启计算机,下载后和安装软件前一定要杀毒、经常升级杀毒软件的病毒库、不需要安装太多的杀毒软件,重要文档不要放在系统盘中,而且要备份好。建立Ghost镜像、系统必须设置密码、需要较长时间离开电脑时锁定电脑,或拔掉网线。确保启用网络防火墙、一定要小心使用移动存储设备、不要随便接收文件,使用安全的浏览器、隐私文件要加密等防备人为病毒入侵。
5、计算机病毒防治控制的法律实现
要求在立法上对职责、义务、法律责任分配作出强制性规定。
(1)政府职责:对互联网络安全负有责任(Everyone is responsible),网络安全保障不单是政府独立完成的事务,需要互联网用户的积极参与。
(2)企业义务:对企业、公司内部治理结构的网络信息安全风险控制提出了要求,这也反映在ISO/IEC17799、ISO/IEC27001等国际标准中。
(3)公众义务:公众教育是防治的基本,法律责任是风险控制的最终保障。按照木桶效应,网络信息安全由最低层次的保障程度决定的,即使个人和小型企业遭到病毒入侵,也会积累成对基础设施的重大威胁。
(4)病毒制作、传播者责任承担:将风险责任(病毒事故的损失风险)负由病毒制作和传播者承担,增大行为人违法成本,要求承担损失风险,弱化网络空间的安全风险是防治立法的最终落结。
(5)成立风险控制的机构设置,设立信息安全委员会和安全专员或安全经理。
(6)计算机病毒防治立法:加强我国关于计算机病毒防治的立法,《刑法》第286条、《治安管理处罚法》第29条、《计算机信息系统安全保护条例》第23条、《电信条例》第58条执行落实。
关键词:信息检索 个人隐私 个人信息 保护
1、信息检索的现状
信息检索起源于图书馆的参考咨询和文摘索引工作,随着科技发展,检索手段和方法都得到极大的提高。
1.1 信息检索的发展
近十年来,互联网上的信息资源以指数级的速度在增长,网络时代给我们带来了海量的信息,也推动了信息检索技术的产生和迅速发展。 1990年蒙特利尔大学学生Alan Emtage发明了Archie,它主要是检索网络中得的文件检索,再从“机器人”发展到1994年Michael Mauldin的Lycos,再到同年4月Stanford大学的两名博士生David Filo和美籍华人杨致远共同创办了超级目录索引Yahoo,它是以分类概念为主。搜索引擎进入了高速发展时期。现在比较有名的还有中国的百度,及美国的Google。现在自然语言的处理技术目前已广泛应用于网络信息资源的检索与标引,它能给用户一个很好的交互界面,通过对页面关键字进行倒排索引,用自然语言表达主题概念,当达到深度分类时,就可形成专指的主题概念,从而使对表达语义的概念产生与客观一致的分解。当某事物表达的是多个主题或同一主题的多个方面时,错综复杂的多个概念间便可建立起更为简便有效的方式,从而提高对索引的控制能力,大大降低标引工作的难度和成本,提高了检索效率。随着智能检索技术即可以模拟人脑的思维方式,分析用户以自然语言表达的检索请求,自动形成检索策略进行智能、快速、高效地检索,也就是近年来被称为“智能搜索引警”的网络工具。信息检索变得更加便捷。它的飞速发展在给我们带来效益、带来方面的同时,也把很多系统的漏洞和个人隐秘信息展示在大众面前,使得个人信息成为被侵犯的重要对象。
1.2 典型案例
案例1:2006年4月的“踩猫事件”。网民们辨识出视频中出现的大桥,认出了视频拍摄地点是黑龙江萝北县,并迅速挖出了踩猫者,一位离婚的中年护士。尽管并没有触犯法律,该护士仍然被单位解职。
案例2:2007年4月的“钱军打人”事件,肇事司机钱军蛮横地殴打老人,很快钱军和其妻子的电话号码、身份证号码、家庭住址、工作单位、孩子上学的学校全部曝光,许多人发短信给他的妻子,声称要弄死他们一家。钱军因涉嫌故意伤害罪被逮捕。
案例3:某女士在与人进行房屋交易时未能达成协议,发生点纠纷,竟被对方在某网站论坛上公开了赵女士的身份证号码、家庭住址和工作单位,并污蔑成一个专门借卖房子名义骗人骗钱的骗子。给赵女士生活带来众多困扰。
上面的这些大都是通过网络信息检索,利用搜索引擎进行搜索,获取他人个人信息,甚至他人隐私。智能搜索引擎的发展,给我们的信息检索带来了很大的方便,但对网络信息安全的影响也很大,尤其是对个人信息安全构成了巨大的威胁,其中存在严重的侵权问题。没有经过当事人同意就将当事人的真实情况,比如姓名、单位、图片、以及生活细节等个人详细信息公布于众,打破了当事人的正常学习、工作和生活秩序,造成不必要的精神压力,特别是对方有可能只是个无辜者。
2、个人隐私的定位
2.1 隐私权
隐私权是指作为一个自然人,享有的生活安宁与私人信息或秘密依法受到保护,不被他人非法侵扰、利用和公开的一种人格权,而且权利的主体对他人在何种程度上可以介入自己的私生活,对自己是否向他人公开隐私以及公开的范围和程度等具有决定权。作为一种基本人格权利,公民“享有的私人生活安宁与私人信息依法受到保护,不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权。”
2.2 网络隐私权
网络隐私权并不是法定概念,现在也没用相关的法律规定,只是一些学士研究的说法。一些学者研究认为网络隐私权,广义上说应该是网络隐私不受侵害、不被公开,不被利用的权利。也有一些学者认为“网络侵权是公民在网上享有的私人生活安宁和私人信息依法受到保护,不被他人非法侵扰。
现在的网络活动中,隐私内容通常包含着经济利益,为谋取利益最大化的商家往往会利用网络获得个人隐私,从而进行谋利。例如,你邮箱里会收到来自某些公司的广告;你在某网站注册时填写的手机号会收到垃圾短信,可能会导致是你额外支出等等。在网络信息时代,如何保护网络中的个人隐私,越来越成为亟待解决的重大课题。
2.3 网络隐私权的范围
信息技术下的个人隐私权表现为个人数据的隐私权,信息技术下个人隐私以数据的形式存在,个人数据是指有关可识别的自然人任何信息,因此也是最容易泄露的一种人格权。
然而更重要的是,当我们的工作、学习和生活都高度依赖互联网,黑客也在利用互联网的优势,对企业和消费者展开攻击。信息安全的形势越来越严峻:公共互联网信息安全形势不容乐观,政府信息系统、关键技术、IT基础设施面临前所未有的威胁。如何从法律、政策各方面积极采取应对措施,逐步改善信息安全状况,如何通过技术创新为网络空间构建起安全屏障,如何推出更加可靠的安全产品和解决方案,怎样的产品和服务才能满足用户的需求,如何更好地促进国际合作,共同推动信息安全产业的发展……这些信息安全领域关注的热点,在8月28日至29日举行的2012 RSA中国信息安全大会上,成为备受关注的话题,与会专家就这些问题进行了热烈的讨论。
企业IT突破三大边界
新世纪以来,企业IT的改变给安全带来极大挑战,当智能移动终端迅速崛起,当云计算开始“化云为雨”,当虚拟化技术在一些国家被高度应用,企业的IT部门却越来越倾向于在越来越多的无效网络边界进行安全防护工作。信息安全必须经历“涅槃”,才能重新让企业收获安全的IT基础设施和网络环境。
“IT的改变的确对信息安全造成很大挑战。”在2012 RSA中国信息安全大会上,赛门铁克中国区技术总监李刚认为,之所以给安全带来挑战,是因为当前的企业IT已经突破了三个边界:一是突破了应用的边界,因为云计算及IT的变化,使得应用开发的难度降低了,企业应用越来越多。二是服务的边界发生变化,企业所需的任何服务都可以通过第三方来提供,而云计算让服务的提供方式变得更加便捷,也使企业的边界不断拓展。三是企业内部IT资产的概念变得更加模糊,“现在很多基础设施并不是你拥有的,你真正拥有的是信息和数据”。在李刚的眼里,应用、服务和资产边界的变化,使IT主管对安全产品的控制力减弱,企业暴露出的安全隐患越来越多。
赛门铁克公司发展经理Dave Elliott认为,企业对于云计算安全的认识存在七大误区,即忽视信息的价值、抵触云计算技术、盲目乐观和轻视基础设施建设、信息孤岛、缺乏顶层设计和技术积累、缺乏风险预见能力,以及缺乏混合云、安全法规和合规政策的应对策略。在他看来,云计算固然为企业描绘了一个美好的蓝图,但是目前企业距离成功应用云计算还很远。
的确,很多企业还没有真正认识到网络威胁的严重性,并没有对云计算、虚拟化和移动互联网带来的安全问题有全面的、足够的了解,没有全面认识到风险的存在。但就在企业的CIO或CSO(首席信息安全官)还没有觉醒时,网络攻击却已经发生变化。现在,黑客更倾向于长时间潜伏在企业的网络内部,广泛收集企业和个人的信息,以最大限度地获取利益。在2012 RSA中国信息安全大会进行主题演讲时,EMC执行副总裁兼EMC信息安全事业部RSA执行主席亚瑟·科维洛介绍了一种新型的攻击技术——“水坑”,它专门针对那些存在安全隐患的涉及公共服务、政府、金融机构和学校的网站,将其作为自己的垫脚石,去攻击最终的目标。当木马被注入这些网站,用户在进行合法访问时,也将感染这些木马,“黑客就像是在水坑边上等待来饮水的动物的实质一样,等待被攻击对象的访问”。“水坑”不容易对付,要击败这类攻击,企业需要具备利用最新、最先进的检测能力,不仅是简单地检查每个数据包的流量和每个相关的日志文件,而且要明白这些数据背后的意义所在。
尽管“水坑”只是黑客攻击的众多工具中之一,但管中窥豹,我们可以看到信息安全的风险无处不在,黑客可能潜藏在网络的每个角落,随时准备对企业发起攻击。而这些攻击往往难以预测,大多数企业只能亡羊补牢,做事后诸葛,而在事前防范、事中检测和应急响应的阶段几乎没有作为。
基于智能的信息安全模式
当传统的防御方法开始逐渐失效,企业的安全防护也需要更加智慧的思路,能够洞察风险并及时有效地响应。
在本次大会上,亚瑟·科洛维给出了更加智慧地应对威胁的四点建议:致力于智能驱动型的信息安全建设,最佳的防御是分层防御,找到合适的安全专业人才和合作共赢。亚瑟·科洛维认为,在应对风险上,企业首先需要一个更加智能的网络安全模型。“这是一个以智能为基础并且囊括许多组成部分的安全体系,对风险具有透彻的理解。该模型以技术为导向,利用基于模式识别和预测分析的灵活控制以及大数据分析,来解析从多种来源得到的数据,从而及时获取有价值的信息。因此,该模型需要具备相关技能的专业人员,并且需要大规模的信息共享。”