時間:2022-07-04 08:54:05
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全技術論文,希望這些內容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進步。
摘要:隨著科學技術的發(fā)展和時代的日新月異,我們的生活在不知不覺中發(fā)生了翻天覆地的變化,就連最基本的購物和消費都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務如火如荼地闖入大眾的視野,“電子商務”這個在十幾年前聞所未聞的名詞如今成為人們口中常談的對象。在大眾的口中,“電子商務”這個名詞依舊略顯陌生和專業(yè),人們常常用“網購”和“網上支付”來代替“電子商務”,實際上說的是一回事。電子商務的出現,打破了空間的束縛,極大地方便了人們的購物行為,刺激了消費,一定程度上促進了經濟的繁榮和增長。
一、電子商務發(fā)展存在的風險
第三方的電子交易平臺在網絡上對于信息進行儲存、記錄、處理、和傳遞,以此來協(xié)助一次網絡消費行為的完成。一般情況下,這些信息都具有真實性和保密性,屬于大眾的隱私。但是,現在的網絡環(huán)境比較惡劣,有很多網絡陷阱以及刻意挖掘用戶信息的“黑客”,從而導致基本信息出現失真、泄露和刪除的危機,不利于正常電子商務交易的完成。對于電子商務信息大致上可以分為以下幾類:第一,信息的真實性;第二,信息的實時性;第三,信息的安全性。首先,是信息的真實性。電子商務上的基本信息是賣家和買家進行認識對方和分辨商品真實性可靠性的唯一途徑,應該絕對真實。一旦出現虛假信息,則屬于欺騙消費者,是危害消費者權益的不法行為。其次,是信息的實時性。信息的實時性主要是指信息的保質期。因為很多信息只在一段時間內有效,具有時效性,一旦錯過這段關鍵時期,那么該信息則失去自身的價值,變得一文不值。最后,就是信息的安全性,這也是消費者最為關心的問題。電子商務出現的安全性問題主要表現為客戶的信息被刪除、篡改從而失真,同時也表現為用戶的信息被竊取從而達成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務的信息安全技術的內容
2.1 備份技術。相信備份技術對于大眾來說不是很陌生。但是很多人卻錯誤的將備份理解為拷貝,從而片面的看待這個問題。電子商務對于網絡環(huán)境有很大的依賴性,網絡環(huán)境自身卻存在極大的不穩(wěn)定性,這就導致電子商務的發(fā)展存在不可避免的風險,如果沒有一個數據庫對于基本信息進行存儲,那么一旦出現系統(tǒng)故障或者誤刪的情況則信息永遠消失,這對于商家來說是極其可怕的,因此,電子商務的第三方有一個信息儲存庫,旨在在必要的時刻段時間內將客戶的信息及時恢復。這種恢復不是簡單的、傳統(tǒng)意義上的恢復,而是通過備份介質得以完成的。這樣的話,在系統(tǒng)故障或者其他原因導致信息在短時間內無法正常恢復時,可以借助儲存在備份介質中的信息將信息還原到原來的備份狀態(tài)。2.2 認證技術。所謂認證技術其實一個專業(yè)術語,道理實際上很簡單,就是我們常說的登錄口令。認證技術的目的主要在于阻止不具有系統(tǒng)授權的用戶進行非法的破壞計算機機密數據,是數據庫系統(tǒng)為減少和避免各種破壞電子商務安全的重要策略。登陸口令是我們正常用戶進行電子商務平臺登錄的方式,是大眾在網絡環(huán)境下的身份證。我們每一個用戶在使用某一個電子商務平臺之前都被要求進行注冊,從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨一無二的,是我們進行網上交易的身份認證和識別。因為電子商務平臺往往具有開放性,一旦沒有身份認證后果將不堪設想。人們的信息安全更是沒有任何保障。2.3 訪問控制技術。訪問控制技術也可以理解為訪問等級制度,電子商務的系統(tǒng)會根據用戶的不同等級對于用戶對于系統(tǒng)數據的訪問進行一定的控制。等級較低時,則用戶的訪問權限有限,一些重要的關鍵的信息則被系統(tǒng)禁止訪問,只要當等級較高時才能獲得相關權限,這就保證了一些重要信息不會被竊取。關于用戶的訪問權限也有兩層含義,首先是用戶能夠獲得數據庫中的信息種類和數量,另一層含義則是指用戶對于獲取的數據庫信息進行怎樣的操作。
電子商務的便利性和優(yōu)點遠遠大于其存在的信息安全技術風險給人們帶來的不便,盡管信息安全技術問題層出不窮,但是大眾們依然親睞和依賴電子商務。但電子商務想要獲得更廣闊的發(fā)展空間,虜獲更多人的心,則必須在信息安全技術問題上下一點功夫。其次,對于普通消費者來說,掌握一定的電子商務信息安全知識是十分必要的,它既能幫助我們在需要的時候解決自己原來束手無策的問題,更能讓自身的網購行為變得更加安全,減少甚至避免了很多不必要麻煩的出現,因此,不管你從事任何行業(yè),都需要對于電子商務的信息安全問題進行一定的了解。
作者:王傳 單位:四川化工職業(yè)技術學院網管中心
論文摘要:隨著我國信息技術的不斷發(fā)展,對中小企業(yè)電子信息安全的保護問題也成為人們關注的焦點。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設,對電子信息安全技術進行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問題的策略。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網絡傳送時被競爭對手或不法分子竊聽、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術的研究具有重要意義。
一、中小企業(yè)的信息化建設意義
在這個網絡信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務活動,基本上都采用電子商務的形式進行,企業(yè)的生產運作、運輸和銷售各個方面都運用到了信息化技術。如通過網絡收集一些關于原材料的質量,價格,出產地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用。通過對數據的分析,可以得到跟多的采購建議和對策,實現企業(yè)電子信息化水準。有關調查顯示,百分之八十二的中小企業(yè)對網站的應還處于宣傳企業(yè)形象,產品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時代已經到來,企業(yè)應該加快信息化的建設。
二、電子信息安全技術闡述
1、電子信息中的加密技術
加密技術能夠使數據的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種。其中對稱加密通常通過序列密碼或者分組機密來實現,包括明文、密鑰、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密。
加密技術對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復成明文。
2、防火墻技術
隨著網絡技術的發(fā)展,一些郵件炸彈,病毒木馬和網上黑客等對網絡的安全也造成了很大的威脅。企業(yè)的信息化使其網絡也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網絡不安全這種狀況,最初采取的一種保護措施就是防火墻。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認證技術
消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證。比如訪問高校的查分系統(tǒng)時,必須要經過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網才能進行訪問,非校園網的不能進入,除非付費申請一個合格的訪問身份。
三、中小企業(yè)中電子信息的主要安全要素
1、信息的機密性
在今天這個網絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。
2、信息的有效性
隨著電子信息技術的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關系的企業(yè)的經濟利益,也是個企業(yè)貿易順利進行的前提條件。所以要排除各種網絡故障、硬件故障,對這些網絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性。
3、信息的完整性
企業(yè)交易各方的經營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的。在對信息的處理過程中要預防對信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎。
四、解決中小企業(yè)中電子信息安全問題的策略
1、構建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行。在一般中小企業(yè)中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發(fā)揮應有的作用的。
2、利用企業(yè)的網絡條件來提供信息安全服務
很多企業(yè)的多個二級單位都在系統(tǒng)內通過廣域網被聯(lián)通, 局域網在各單位都全部建成,企業(yè)應該利用這種良好的網絡條件來為企業(yè)提供良好的信息安全服務。通過企業(yè)這一網絡平臺技術標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業(yè)員工提供一個交流經驗的場所。
3、定期對安全防護軟件系統(tǒng)進行評估、改進
隨著企業(yè)的發(fā)展,企業(yè)的信息化應用和信息技術也不斷發(fā)展,人們對信息安全問題的認識是隨著技術的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應該不斷的改進,定期對系統(tǒng)進行評估。
總之,各中小企業(yè)電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全。
參考文獻:
[1]溫正衛(wèi);信息安全技術在電子政務系統(tǒng)中的應用[J];軟件導刊,2010
[2]閆兵;企業(yè)信息安全概述及防范[J];科學咨訊,2010
網絡環(huán)境下保障企業(yè)信息的安全性對企業(yè)地發(fā)展具有重大的、直接的現實意義。深入研究與開發(fā)計算機信息安全技術,減少或避免網絡信息系統(tǒng)的破壞與故障,對企業(yè)發(fā)展具有積極的作用。但就現實發(fā)展來看,目前企業(yè)網絡信息安全建設仍處于探索階段,優(yōu)化企業(yè)網絡安全,吸取前沿的安全技術,實現企業(yè)網絡信息又快又好地發(fā)展成為眾企業(yè)關注的焦點問題。
一、企業(yè)網絡信息安全的基本目標
企業(yè)網絡信息安全技術的研究與開發(fā)最終目的是實現企業(yè)信息的保密性、完整性、可用性以及可控性。具體來講市場化的發(fā)展背景,企業(yè)之間存在激烈的競爭,為增強市場競爭力,出現盜取商業(yè)機密與核心信息的不良網絡現象。企業(yè)加強網絡信息安全技術開發(fā),一個重要的目的是防止企業(yè)關鍵信息的泄露或者被非授權用戶盜取。其次,保障信息的完整性,是指防止企業(yè)信息在未經授權的情況下被偶然或惡意篡改的現象發(fā)生。再次,實現數據的可用性,具體是指當企業(yè)信息受到破壞或者攻擊時,攻擊者不能破壞全部資源,授權者在這種情況下仍然可以按照需求使用的特性。最后,確保企業(yè)網絡信息的可控性,例如對企業(yè)信息的訪問、傳播以及內容具有控制的能力。
二、企業(yè)網絡信息安全面臨的主要威脅
根據相關調查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對企業(yè)網絡信息安全造成威脅的主要原因。黑客攻擊或者網絡詐騙也是影響企業(yè)網絡信息安全的重要因素。當然部分企業(yè)網絡信息安全受到破壞是由于企業(yè)內部工作人員的操作失誤造成。總之威脅企業(yè)網絡信息安全的因素來自方方面面,無論是什么原因造成的企業(yè)網絡信息安全的破壞,結果都會對企業(yè)的生產發(fā)展造成惡劣的影響,導致企業(yè)重大的損失。在信息化發(fā)展背景下,企業(yè)只有不斷提高網絡信息的安全性,才是實現企業(yè)持續(xù)發(fā)展的有力保證。
三、企業(yè)網絡信息安全保護措施現狀
當前企業(yè)在進行網絡信息安全保護方面的意識逐漸增強,他們?yōu)榇_保企業(yè)網絡信息安全時大都應用了殺毒軟件來防止病毒的入侵。在對企業(yè)網絡信息安全進行保護時,方式比較單 一,技術比較落后。對于入侵檢測系統(tǒng)以及硬件防護墻的認識不足,尚未在企業(yè)中普及。因此推進企業(yè)網絡信息安全技術的開發(fā),前提是提高企業(yè)對網絡信息安全保護的意識,增強企業(yè)應用網絡信息安全技術的能力,才能有效推動企業(yè)網絡信息安全技術的開發(fā)。
四、促進企業(yè)網絡信息安全技術開發(fā)的對策與建議
(一)定期實施重要信息的備份與恢復
加大對企業(yè)網絡信息安全技術的研發(fā)投入,一個重要的體現是對企業(yè)網絡信息的管理。企業(yè)對于重要的、機密的信息和數據應該定期進行備份或者是恢復工作。這是保障企業(yè)網絡信息安全簡單、基礎的工作內容。當企業(yè)網絡受到破壞甚至企業(yè)網絡系統(tǒng)出現癱瘓,企業(yè)能夠通過備份的信息保障生產工作的運行,把企業(yè)的損失降到最低。實現企業(yè)網絡信息安全技術開發(fā)的實效性的基礎工作是做好企業(yè)重要網絡信息的定期備份與恢復工作。
(二)構建和實施虛擬專用網絡(VPN)技術
以隧道技術為核心的虛擬專用網絡技術,是一項復雜的、專業(yè)的工程技術。該項技術對于保護企業(yè)網絡信息安全具有重要意義,并且效果顯著。它把企業(yè)專用的、重要的信息進行封裝,然后采取一定的方法利用公共網絡隧道傳輸企業(yè)專用網絡中的信息,如此一來可以實現對企業(yè)網絡信息的保護,避免出現對企業(yè)信息的竊取與惡意修改。當然提升虛擬專用網絡的兼容性、簡化應用程序是企業(yè)網絡信息安全技術研發(fā)重要課題。
(三)完善高效的防火墻技術
在企業(yè)內部網與外聯(lián)網之間設置一道保護企業(yè)網絡信息安全的屏障,即設置防火墻。這一技術是目前最有效、最經濟的保障企業(yè)網絡信息安全的技術。但由于當前大多數的遠程監(jiān)控程序應用的是反向鏈接的方式,這就限制了防火墻作用的發(fā)揮。在進行企業(yè)網絡信息安全技術開發(fā)過程中,應進一步優(yōu)化防火墻的工作原理或者研發(fā)與之相匹配的遠程監(jiān)控程序,來實現防火墻對企業(yè)網絡信息安全的保護。
(四)對關鍵信息和數據進行加密
增強企業(yè)對關鍵信息和數據的加密技術水平也是企業(yè)網絡信息安全技術研發(fā)的主要方面。更新加密技術,是保障企業(yè)網絡信息安全的重要環(huán)節(jié)。企業(yè)在對重要信息和數據進行加密時可以同時采取一些例如CD檢測或者Key File等保護措施,來增強企業(yè)重要信息的保密效果。
五、結束語
企業(yè)網絡信息安全體系的構建是一項系統(tǒng)的、長期的、動態(tài)的工程。網絡環(huán)境下,信息安全技術發(fā)展的同時,新的破壞、攻擊、入侵網絡信息安全的手段也會不斷出現。企業(yè)只有與時俱進,加大對網絡信息安全技術的投入力度,才能加強對企業(yè)核心信息與數據的保護。在未來的發(fā)展過程中,企業(yè)在堅持技術策略與管理策略相結合的原則下,不斷升級完善企業(yè)網絡信息安全系統(tǒng)的開發(fā)與建設,不斷提高企業(yè)的信息化水平。
許梅:國網四川省電力公司廣安供電公司三新電力服務有限公司,黨支部書記、副總經理,高級工程師。研究方向:信息工程。
論文摘要:隨著網絡技術的飛速發(fā)展和廣泛應用,信息安全問題正日益突出顯現出來,受到越來越多的關注。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全,從而充分發(fā)揮計算機網絡的作用。
論文關鍵詞:計算機,網絡安全,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發(fā)展.網絡攻擊與防御技術也在循環(huán)遞升,原本網絡固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統(tǒng)硬件、軟件及其系統(tǒng)中數據的安全。網絡信息的傳輸、存儲、處理和使用都要求處于安全狀態(tài)可見.網絡安全至少應包括靜態(tài)安全和動態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內容的秘密性、完整性和真實性:動態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網絡信息安全的現狀
中國互聯(lián)網絡信息中心(CNNIC)的《第23次中國互聯(lián)網絡發(fā)展狀況統(tǒng)計報告》。報告顯示,截至2008年底,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監(jiān)察局統(tǒng)計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂。
在機構或部門中.各層次人員的責任感.對信息安全的認識、理解和重視程度,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統(tǒng)管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監(jiān)督檢查建立嚴格的考核制度和獎懲機制是必要的。
③對網絡的管理要遵循國家的規(guī)章制度.維持網絡有條不紊地運行。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統(tǒng)的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障,以防止發(fā)生不可預測的、潛在破壞性的侵入。它通過監(jiān)測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況.以此來實現網絡的安全保護。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發(fā)送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發(fā)展有了更加廣闊的應用前景。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統(tǒng)及網絡系統(tǒng)中收集信息.再通過這此信息分析入侵特征的網絡安全系統(tǒng)IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統(tǒng)發(fā)生危害前.檢測到入侵攻擊.并利用報警與防護系統(tǒng)驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統(tǒng)的知識.添加入策略集中.增強系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測的作用包括威懾、檢測、響應、損失情況評估、攻擊預測和支持。入侵檢測技術是為保證計算機系統(tǒng)的安全而設計與配置的一種能夠及時發(fā)現并報告系統(tǒng)中未授權或異常現象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術。
[論文摘要]計算機網絡日益成為重要信息交換手段,認清網絡的脆弱性和潛在威脅以及現實客觀存在的各種安全問題,采取強有力的安全策略,保障網絡信息的安全,是每一個國家和社會以及個人必須正視的事情。本文針對計算機網絡應用相關的基本信息安全問題和解決方案進行了探討。
隨著計算機網絡技術的不斷發(fā)展,全球信息化己成為人類發(fā)展的大趨勢,計算機網絡已經在同防軍事領域、金融、電信、證券、商業(yè)、教育以及日常生活巾得到了大量的應用。但由于計算機網絡具有聯(lián)結形式多樣性、終端分布不均勻性和網絡的開放性、互連性等特征,致使網絡易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網上信息的安全和保密是一個至關重要的問題。因此,網絡必須有足夠強的安全措施,否則網絡將是尤用的,相反會給使用者帶來各方面危害,嚴重的甚至會危及周家安全。
一、信息加密技術
網絡信息發(fā)展的關鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術、安全認證技術、安全交易議等內容的信息安全機制作為保證,來實現電子信息數據的機密性、完整性、不可否認性和交易者身份認證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現虛假信息。
信息加密技術是保證網絡、信息安全的核心技術,是一種主動的信息安全防范措施,其原理是利用一定的加密算法,將明文轉換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數據,從而確保數據的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數叫做密鑰。
傳統(tǒng)上,幾種方法町以用來加密數據流,所有這些方法都町以用軟件很容易的實現,當只知道密文的時候,是不容易破譯這些加密算法的。最好的加密算法塒系統(tǒng)性能幾乎沒有影響,并且還可以帶來其他內在的優(yōu)點。例如,大家郜知道的pkzip,它既壓縮數據義加密數據。義如,dbms的一些軟件包包含一些加密方法使復制文件這一功能對一些敏感數據是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術
“防火墻”是一個通用術i五,是指在兩個網絡之間執(zhí)行控制策略的系統(tǒng),是在網絡邊界上建立的網絡通信監(jiān)控系統(tǒng),用來保障計算機網絡的安全,它是一種控制技術,既可以是一種軟件產品,又可以制作或嵌入到某種硬什產品中。防火墻通常是巾軟什系統(tǒng)和硬什設備組合而成,在內部網和外部網之間構建起安全的保護屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實際上,防火墻是加強intranet(內部網)之間安全防御的一個或一組系統(tǒng),它南一組硬件設備(包括路由器、服務器)及相應軟件構成。所有來自intemet的傳輸信息或發(fā)出的信息都必須經過防火墻。這樣,防火墻就起到了保護諸如電子郵件傳輸、遠程登錄、布特定的系統(tǒng)問進行信息交換等安全的作用。
防火墻可以被看成是阻塞點。所有內部網和外部網之間的連接郝必須經過該阻塞點,在此進行檢查和連接,只有被授權的通信才能通過該阻塞點。防火墻使內部網絡與外部網絡在一定條件下隔離,從而防止非法入侵及非法使用系統(tǒng)資源。同時,防火墻還日,以執(zhí)行安全管制措施,記錄所以可疑的事件,其基本準則有以下兩點:
(1)一切未被允許的就是禁止的。基于該準則,防火墑應封鎖所有信息流,然后對希單提供的服務逐項丌放。這是一種非常災用的方法,可以造成一種十分安全的環(huán)境,為只有經過仔細挑選的服務才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務范同受到限制。
(2)一切未被禁止的就是允許的。基于該準則,防火埔轉發(fā)所有信息流,然后逐項屏蔽可能有害的服務。這種方法構成了一種更為靈活的應用環(huán)境,可為用戶提供更多的服務。其弊端是,在口益增多的網絡服務面前,網管人員疲于奔命,特別是受保護的網絡范嗣增大時,很難提供町靠的安全防護。
較傳統(tǒng)的防火墻來說,新一代防火墻具有先進的過濾和體系,能從數據鏈路層到應用層進行全方位安全處理,協(xié)議和的直接相互配合,提供透明模式,使本系統(tǒng)的防欺騙能力和運行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術,如nat和vpn、病毒防護等、使防火墻的安全性提升到義一高度。
三、網絡入侵檢測與安全審計系統(tǒng)設計
在網絡層使用了防火墻技術,經過嚴格的策略配置,通常能夠在內外網之問提供安全的網絡保護,降低了網絡安全風險。但是,儀儀使用防火墻、網絡安全還遠遠不夠。因為日前許多入侵手段如icmp重定向、盯p反射掃描、隧道技術等能夠穿透防火墑進入網絡內部;防火墻無法防護不通過它的鏈接(如入侵者通過撥號入侵);不能防范惡意的知情者、不能防范來自于網絡內部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實時動態(tài)的保護等。
因此,需要更為完善的安全防護系統(tǒng)來解決以上這些問題。網絡入侵監(jiān)測與安全審計系統(tǒng)是一種實時的網絡監(jiān)測包括系統(tǒng),能夠彌補防火墑等其他系統(tǒng)的不足,進一步完善整個網絡的安全防御能力。網絡中部署網絡入侵檢測與安全審計系統(tǒng),可以在網絡巾建立完善的安全預警和安全應急反應體系,為信息系統(tǒng)的安全運行提供保障。
在計算機網絡信息安全綜合防御體系巾,審計系統(tǒng)采用多agent的結構的網絡入侵檢測與安全審計系統(tǒng)來構建。整個審計系統(tǒng)包括審計agent,審計管理中心,審計管理控制臺。審計agent有軟什和硬什的形式直接和受保護網絡的設備和系統(tǒng)連接,對網絡的各個層次(網絡,操作系統(tǒng),應用軟件)進行審計,受審計巾心的統(tǒng)一管理,并將信息上報到各個巾心。審計巾心實現對各種審計agent的數據收集和管理。審計控制會是一套管理軟件,主要實現管理員對于審計系統(tǒng)的數據瀏覽,數據管理,規(guī)則沒置功能。管理員即使不在審計中心現場也能夠使用審計控制臺通過遠程連接審計中心進行管理,而且多個管理員可以同時進行管理,根據權限的不同完成不同的職責和任務。
四、結論
關鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國家檔案局楊冬權局長在全國檔案安全系統(tǒng)建設工作會議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號召,把檔案安全的重要性提升到一個新高度。[1]近年來,檔案安全保障體系研究已引起學界的關注,成為較熱的一個研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對學者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數據庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結束年“2011”檢索到論文84篇。在維普中文科技期刊數據庫搜索到與“檔案安全保障體系”相關內容論文20篇,筆者對其中相關度較高的文章進行了分析研究,綜述如下:
1 檔案安全保障體系的內涵
檔案安全保障體系的建設具有持續(xù)性、多樣化、可完善性等特點,是一項復雜的系統(tǒng)工程。構建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實際應用的關系。
張美芳、王良城認為,目前,國內外關于檔案安全保障體系的理解大致有三層含義:其一,控制環(huán)境,降低風險。這里的“環(huán)境”,是指檔案保管環(huán)境、物理環(huán)境、社會環(huán)境、信息存儲環(huán)境等,降低環(huán)境因素對檔案安全的影響,最大可能降低風險。其二,建立安全保障平臺,采取安全防護措施,使檔案盡可能保持穩(wěn)定狀態(tài)。其三,對已經處于不安全環(huán)境中的檔案,采取各種措施使其達到新的穩(wěn)定狀態(tài),保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會因素、管理體制、組織體系、策略、政策法規(guī)、安全保障技術或安全保護效果的評價等較為宏觀的要素。[2]
2 檔案安全保障體系的構建目標和指導思想
2.1 構建目標。彭遠明認為,檔案安全保障體系建設的總體目標是:針對檔案的安全需求、管理現狀和存在問題進行安全風險分析,提出解決方案和預期目標,制定安全保護策略,形成集預測、保管、利用、搶救一體化的保障體系。[3]楊安蓮認為,檔案安全保障體系的構建目標應該是:采取全面、科學、系統(tǒng)的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數據的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導思想。彭遠明認為,構建檔案安全保障體系的指導思想是:在體系內合理進行安全區(qū)域劃分,以應用和實效為主導,管理與技術為支撐,結合法規(guī)、制度、體制、組織管理,明確等級保護實施辦法,確保檔案的安全。[5]張美芳、王良城認為,檔案安全保障體系建設的指導思想應是:堅持嚴格保護、有效管理、分類指導、合理利用,以健全法律法規(guī)、提高人員素質、加強規(guī)劃管理、完善基礎條件、強化監(jiān)管手段為重點,立足當前,著眼長遠,加快體制機制創(chuàng)新,加強統(tǒng)籌協(xié)調,全面增強檔案資源保護力度,推動我國檔案事業(yè)持續(xù)健康發(fā)展。[6]
3 檔案安全保障體系的建設原則
檔案安全保障體系的構建應該根據檔案安全現狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進行規(guī)范,在構建過程中應該遵循一定的原則。彭遠明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設原則,筆者采用統(tǒng)計歸納的方法,從中提煉出以下共性原則:
3.1 標準規(guī)范原則。檔案安全保障體系的建構和策略的選擇必須符合我國現行法律、法規(guī)的規(guī)定要求,必須遵循國際、國家的相關標準,嚴格遵照相關規(guī)章制度。[7][8]
3.2 科學實用原則。檔案安全保障體系應在充分調查研究的基礎上,以檔案安全風險分析結果為依據,探尋有針對性的特色理論,制定出科學的防范措施與方法,這些理論、措施與方法應當在實踐層面上具有可操作性。[9][10][11]
3.3 全面監(jiān)控原則。檔案安全保障工作是一個系統(tǒng)工程,需要對各個環(huán)節(jié)進行統(tǒng)一的綜合考慮、規(guī)劃和構架,任何環(huán)節(jié)的安全缺陷都會造成對檔案安全的威脅。[12]
3.4 適度經濟原則。根據檔案的等級決定建立什么水平的防范體系,根據風險評估和各單位的財力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統(tǒng)的可操作性,又要保證安全保密機制的規(guī)模與性能滿足需要,實現安全保護效率與經濟效益兼顧。[13][14][15]
3.5 動態(tài)發(fā)展原則。檔案安全保障體系的建設是一個長期的不斷完善的過程,所以,該體系要能夠隨著安全技術的發(fā)展、外部環(huán)境的變化、安全目標的調整,不斷調整安全策略,改進和完善檔案安全的方法與手段,應對不斷變化的檔案安全環(huán)境。[16][17][18][19]
3.6 自主創(chuàng)新原則。加強檔案安全保障方面的關鍵技術的研發(fā),密切跟蹤國際先進技術的發(fā)展,提高自主創(chuàng)新能力,努力做到揚長避短,為我所用。[20][21]
4 構建檔案安全保障體系的方案設計分析
許多學者對檔案安全保障體系的建設方案提出了自己的設想,他們從不同的角度切入問題,得出不同的結論,筆者根據學者的研究成果,總結出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實踐中取得并能指導實踐,為實踐指明前進的方向。在先進理論的指導下,實踐往往能取得較好的成果,理論水平的高低因此也往往預示著現實中該領域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動中是:檔案安全保障的標準化的建設與應用;為開展安全保障活動而制定的計劃方案、普查活動;人員配置合理和技術力量的前期儲備、設備的選擇和環(huán)境的控制、整個預防性安全保障活動的監(jiān)督、檢查和評估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應急預案、搶救預案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動。[23]包括日常維護、災難備份、利用與服務、恢復與搶救、質量檢查與評估、風險預測,等等。[24]
4.1.3 后期監(jiān)督。后期監(jiān)督包括安全保障活動的評估、人員技術水平的評估、財政結算、開展安全保障活動后的總結報告、制度、規(guī)范或標準的完善、提供參考性的開展安全保障活動的經驗、方法或模式。[25]
4.1.4 風險管理。構建檔案安全的風險管理機制,依次進行安全風險計劃制訂、風險評估、風險控制、風險報告以及風險反饋。通過評估風險,識別判定風險大小,判定每種風險相對的檔案安全保護對策,并通過一定的方式方法進行風險控制,規(guī)避、轉移或降低風險對檔案造成的損害。[26][27]
4.1.5 人才教育培養(yǎng)。樹立科學的人才培養(yǎng)觀,建立科學合理的檔案安全人才培養(yǎng)體系,建立系統(tǒng)的人才資源培訓和貯備機制,加大人才培養(yǎng)的力度。[28]做到“有計劃、有重點、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養(yǎng)。[29]
4.2 安全基礎設施
4.2.1 實體安全基礎設施。檔案實體安全基礎設施是指維護檔案安全、實施檔案正常管理、保障檔案開發(fā)利用,提供為全社會方便服務等工作而進行的基礎建設,包括檔案保管環(huán)境、檔案存儲設施、檔案利用設備、檔案維護監(jiān)控設備、檔案搶救與恢復設施等。[30]
4.2.2 信息安全基礎設施。檔案信息安全基礎設施是為信息安全服務的公共設施,為檔案部門的安全保障體系建設提供支撐和服務,主要包括:檔案信息系統(tǒng)PKI(網絡信任體系)、檔案信息災備中心、檔案信息系統(tǒng)應急響應支援中心、檔案信息安全測評認證中心、檔案信息安全服務中心(外包服務)、檔案信息安全執(zhí)法中心等。[31]
4.3 安全策略
4.3.1 實體安全策略。實體安全必須具備環(huán)境安全、設備安全和介質安全等物理支撐環(huán)境,注重環(huán)境防范、設備監(jiān)控、介質管理、技術維護等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對檔案安全的管理需求,在完善人員管理、資源管理、利用服務、重點部位維護、災害防范、突發(fā)事件應急處置、專業(yè)人才教育培訓的基礎上,建立健全安全管理機制和制度,并結合管理技術,形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網絡系統(tǒng)安全策略。強化操作系統(tǒng)、數據庫服務系統(tǒng)的漏洞修補和安全加固,對關鍵業(yè)務的服務器建立嚴格的審核機制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實施數據源隱藏,結構化和縱深化區(qū)域防御消防黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患,保證檔案系統(tǒng)的持續(xù)、穩(wěn)定、可靠運行。[35][36][37]
4.4 安全技術。技術是影響檔案安全的關鍵因素,檔案安全技術是多方面、多層次的,包含預防、保護、修復和維護等技術,可以有效保證檔案安全。
4.4.1 基于實體的保護技術。主要有:①各類檔案載體的管理與保護技術;②檔案損壞的測試與評估技術;③受損檔案的修復技術。[38]
4.4.2 基于環(huán)境的防護技術。主要有:①庫房建筑標準與圍護結構功能的設計、施工和實施;②檔案保管的設備設施和有效裝具;③檔案庫房和利用環(huán)境的監(jiān)測技術;④溫濕度調節(jié)與控制技術;⑤有害因素的控制和防護技術。[39]
4.4.3 基于信息的安全技術。主要有:①系統(tǒng)安全技術:操作系統(tǒng)安全和安全審計技術等;②數據安全技術:數據加密技術、應急響應技術、數據備份與容災技術、基于內容的信息安全技術和數據庫安全技術等;③網絡安全技術:防火墻技術、防病毒技術、漏洞掃描技術、入侵檢測技術、物理隔離技術、服務技術、網絡監(jiān)控技術和虛擬網技術等;④用戶安全技術:身份認證技術、數字簽名技術和訪問控制技術等。[40]
4.4.4 基于災害的保護技術。主要有:①災害的預警與防范技術;②檔案災害的應急處置技術;③檔案次生危害的防范技術;④災后受損檔案的搶救與恢復技術。[41]
4.5 安全法規(guī)制度。完善的檔案安全法律法規(guī)和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規(guī)制度,才能做到有法可依、違法必究,才能更好地維護檔案的安全。[42]
4.5.1 制定并遵循法規(guī)標準。各地方應根據國家標準,結合本地區(qū)、本系統(tǒng)、本單位的具體情況,制定相應的規(guī)范和標準,以使檔案安全管理規(guī)范化和標準化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責任制等。
4.5.3 建立完善檔案安全管理機制。包括:信息交換機制、法律保障機制、日常防范機制、災害預警機制、應急處置機制、[45]組織建設機制、制度建設機制、風險管理機制、人員管理機制等。
4.6 安全保護效果評價。對檔案安全保障體系評價的目的,是對檔案安全保障體系的有效性進行評估。[46]首先,確定待評價系統(tǒng)的范圍,選擇適當的評價方法,確定適當的評價指標。然后,收集有關數據進行統(tǒng)計分析,得出評價結果,再進行持續(xù)改進,以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評價方法。根據被評價對象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎上選擇合適的評價方法。目前,存在的綜合評價方法有:屬性融為一體評價方法、模糊綜合評價方法、基于灰色理論的評價方法、基于粗糙集理論的評價方法。[48]
4.6.2 評價指標。根據國內外的檔案安全評估標準,國家對檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評價指標體系。包括:①物理安全評價指標:環(huán)境安全評價、設備安全評價、載體安全評價;[49]②管理安全評價指標:規(guī)章制度評價、工作流程評價、管理措施評價、業(yè)務技術評價;③技術安全評價指標:保護技術評價、網絡技術評價。[50]
5 結語
縱觀學者對檔案安全保障體系的研究,研究角度和切入點各有不同,觀點紛呈,但還是缺乏深入、系統(tǒng)的研究,有待于我們進一步思考、探討。
注:本文是河南省檔案局科技項目《檔案安全保障體系現狀調查》(項目編號:2011-B-51)階段性成果之一。
參考文獻:
[1]張照余.對建設檔案安全保障體系的幾點認識[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設研究[J].檔案學研究,2010(1):62~65.
[3][5][7][33][41]彭遠明.檔案安全保障體系構建及其實現策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構建[J].檔案學研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機構的構建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數字檔案信息安全防護對策分析[D].哈爾濱:黑龍江大學,2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學,2007.
[11][20][21]張勇.數字檔案信息安全保障體系研究[D].蘇州:蘇州大學,2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構建[J].中國檔案,2010(4):20~21.
[26]陳國云.從風險管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學,2011
[28]方國慶.數字檔案信息安全保障體系建設中的問題與策略[J].機電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設基本任務探析[J].中國檔案,2010(4):18~19.
[31] [40]項文新.檔案信息安全保障體系框架研究[J].檔案學研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設與思考[J].檔案學研究,2010(3):54~58.
[34]冉君宜.抓好“五個必須”構建檔案安全保障體系[J].辦公室業(yè)務,2010(9):55~56.
[35]陳慰湧,金更達.數字檔案館系統(tǒng)安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設實踐[J].貴州水力發(fā)電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設的研究[J].機電兵船檔案,2010(5):64~66.
[39]金玉蘭.關于加強檔案安全保障體系建設的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網絡背景下檔案信息的安全保障[J].蘭臺世界,2006(5):2~3.
[43]宗文萍.基于價值鏈理論的檔案信息安全管理[J].檔案學研究,2005(1):38~42.
[44]楊冬權.以豐富館藏、提高安全保障能力和公共服務能力為重點,實現檔案館事業(yè)跨越——在全國檔案館工作會議上講話[J].檔案學研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標體系建設研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學,2009.
關鍵詞: 高職教育; 應用型人才; 司法信息安全; 人才培養(yǎng)
中圖分類號:G710 文獻標志碼:A 文章編號:1006-8228(2014)10-30-02
Discussion on applied talent cultivation of judicial information security
Huang Shaorong
(Guangdong Justice Police Vocational College, Guangzhou, Guangdong 510520, China)
Abstract: Based on analysis of the social demands for information security talents, the importance of training applied information security talent is pointed out. According to the characteristics of the judicial information security talents of vocational education, some advice is presented in curriculum system, construction of teachers and professional certifications. Its cultured goal is to train higher technology applied talents that are needed, good at theory and application.
Key words: higher vocational education; applied talent; judicial information security; talent cultivation
0 引言
在云計算和大數據技術快速發(fā)展的形勢下,信息安全問題日顯突出,信息安全形勢持續(xù)惡化,信息安全事故不斷發(fā)生,信息安全建設已經成為維護國家安全和社會穩(wěn)定的一個焦點。目前,我國信息安全產業(yè)已經取得巨大成果,國家已制定了互聯(lián)網方面的法律、行政法規(guī)、部門規(guī)章與地方性法規(guī)270多部,對信息和網絡安全保護起到一定的作用,但信息安全形勢仍然嚴峻,主要存在的問題包括:信息安全技術發(fā)展和相關法律法規(guī)制訂滯后、信息安全科研和教育落后、信息安全人才存在巨大缺口[1]。信息安全專業(yè)人才是當前社會急需的專業(yè)人才,在許多領域需要大量掌握直接技能型知識、有更具體實踐能力、動手能力強的應用型專業(yè)人才。因此,高職院校應加大信息安全人才培養(yǎng)力度,積極培養(yǎng)有良好職業(yè)道德和法律意識、有全面信息安全專業(yè)知識、能夠防范計算機犯罪的專業(yè)執(zhí)法人才和計算機網絡應用與安全管理方面的應用型技術人才。
1 司法信息安全專業(yè)特點
“七分管理,三分技術”,信息安全不僅是單純的技術問題,而是法律、管理和技術等問題相結合的產物,法律和管理在司法信息安全專業(yè)中發(fā)揮著重要作用。在對社會需求、行業(yè)需要、就業(yè)市場進行廣泛調查,明確了人才需求情況的基礎上,浙江警官學院、廣東司法警官職業(yè)學院和北京政法職業(yè)學院等警察類高職院校先后開設了司法信息安全專業(yè)。
司法信息安全專業(yè)主要面向政法機關、行政機關和各類經濟管理部門,以及企事業(yè)單位的網絡管理中心、信息中心和信息安全部門,培養(yǎng)能夠從事計算機信息管理與維護、網絡管理與維護、信息安全設備維護和數據庫系統(tǒng)的開發(fā)與維護等技術工作和信息安全管理工作的人才。該專業(yè)的學生不僅要有信息安全技術專業(yè)知識,而且要有法律法規(guī)等多方面的素養(yǎng),畢業(yè)后能夠在政府部門、商業(yè)、軍事等信息安全防范工程應用領域及信息安全防范工程行業(yè)的企、事業(yè)單位從事網絡信息安全工作。
司法信息安全專業(yè)的學生通過三年學習,必須具備如下三方面的能力。
⑴ 基本素質 具有較強的思維能力、語言文字表達能力和應變能力;具有良好的溝通、協(xié)作和公共關系協(xié)調能力;具備一般軍事隊列指揮、擒拿格斗、防身自衛(wèi)及機動車駕駛等警體技能;具有較高的英語應用能力。
⑵ 信息安全處理能力 ①計算機操作能力:具有較好的專業(yè)理論基礎和較強的計算機安全意識,能夠操作和維護計算機信息系統(tǒng)。②信息安全和網絡安全維護能力:掌握網絡的基本原理,熟練應用網絡安全防范技術、信息處理技術,能進行網絡設備的日常維護、局域網絡的設計實施和網絡安全的監(jiān)測及防范工作。③數據處理等能力:具有一定的數學推理和編程能力,能夠用數據庫解決基層部門的數據統(tǒng)計、管理等問題。
⑶ 法律與警察崗位基本能力 掌握我國有關計算機信息系統(tǒng)安全保護的法律、法規(guī),具有較高的執(zhí)法能力;掌握計算機與計算機安全犯罪的特點,能夠主動采取相應的技術防范措施。
2 課程體系建設
司法信息安全專業(yè)培養(yǎng)的是法律與信息安全的復合型、應用型人才,圍繞司法信息安全專業(yè)的核心目標以及畢業(yè)生的能力要求,課程體系設置必須以“強化能力,突出應用”為思想,以就業(yè)為導向,以崗位職業(yè)能力為主線[2]。我們根據社會需求設計課程體系和教學大綱,及時引入行業(yè)的最新技術,突出職業(yè)教育的應用實踐性。注重法律基礎知識,突出信息安全技術的專業(yè)性。
司法信息安全技術課程群建設可以從法律和信息安全技術專業(yè)的課程上進行外延和拓展,課程體系的設置可分為基本素質課程、職業(yè)核心能力課程、專業(yè)基礎課、專業(yè)核心課程和拓展課程等。
⑴ 基本素質課程 包括大學生健康教育、大學英語、大學語文、形式邏輯、思想道德修養(yǎng)與法律基礎、思想與理論體系概論、廉政教育、大學生就業(yè)指導、形勢與政策、普通體育、警用槍械。
⑵ 職業(yè)核心能力課程 包括職業(yè)溝通、司法口才、禮儀訓練、畢業(yè)項目設計與論文。
⑶ 專業(yè)基礎課 包括法理、刑法、憲法、刑事訴訟法、網絡信息安全法規(guī)、高等數學、計算機導論、數據結構、操作系統(tǒng)、多媒體技術及應用、計算機組裝與維護、程序設計、數據庫技術與應用、安全防范技術與應用、動態(tài)網頁設計。
⑷ 專業(yè)核心課程 包括計算機網絡技術、信息安全技術應用、網絡監(jiān)控、電子取證、加密技術。
⑸ 拓展課程 包括軟件工程、網站建設與維護、信息檢索技術、警察業(yè)務、應用文寫作。
這樣培養(yǎng)出來的學生即能從事法律方面的工作也能從事信息安全技術方面的工作,為學生提供了更多的就業(yè)機會和進一步的發(fā)展空間。在教學時間安排上,由于教學內容比較多,課內教學時數中包括有大量的實踐性教學,實踐課教學時數占總學時數50%以上[3]。
3 實踐教學體系建設
司法信息安全是一個實踐性非常強的專業(yè),許多安全技術和方法必須在實踐過程中才能認識和掌握,實驗、實訓、實習是實踐教學的三個重要環(huán)節(jié)。在課程體系建設中,為了突出高職教育的應用性,我們開設了大量的實踐類課程,包括計算機組裝C語言程序設計實踐、數據結構實驗及課程設計、操作系統(tǒng)課程設計、數據庫實驗及課程設計、計算機網絡技術實驗、網絡課程設計、網絡安全技術仿真實驗、網站建設綜合實訓等[4]。
高職院校的實訓中心是組織實踐教學、強化技能培養(yǎng)、實現人才培養(yǎng)目標的重要場所。為切實保障實踐教學的順利進行,給信息化人才提供先進的實踐場所,必須完善專業(yè)核心能力培養(yǎng)所需場地與設施,積極推進實訓基地建設,建立信息安全綜合實訓中心(包括信息安全綜合實訓室、網絡安全攻防實驗室、網絡應用實訓室、數據分析綜合實訓室、電子物證鑒定設備、電子商務實訓室、計算機基礎實訓室、電子數據取證實訓室等)和提高司法能力的實訓環(huán)境(如三維模擬監(jiān)控實訓室、模擬監(jiān)所現場、亞偉速錄室、模擬法庭、安全監(jiān)控實訓室、刑事照相實驗室等),形成系統(tǒng)的實訓環(huán)境。
對于比較復雜的信息安全實驗,需要的設備較多,如果目前的教學條件不能滿足大量學生進行并發(fā)實驗,也可以采用虛擬實驗,借助多媒體、仿真和虛擬現實等技術在計算機上營造可輔助、部分替代甚至全部替代傳統(tǒng)實驗各操作環(huán)節(jié)的相關軟硬件操作環(huán)境,學生像在真實環(huán)境中一樣完成各項實訓任務[5]。
加強校內實訓的同時還要進行校外實踐,學校應積極與企業(yè)合作,建設穩(wěn)固校價企合作關系,聯(lián)系定點的對口實習機構,或者建立校外實訓基地,有計劃地安排學生到實習機構或實訓基地進行專業(yè)實踐,配備校外指導人員,對學生實訓、實習進行指導和考核,把實踐性教學落到實處。同時引導建立司法行政單位、公安機關和企事業(yè)單位接收畢業(yè)生實習的制度,為學生實現教學與實習結合提供條件,實行“教學實習+頂崗實習”的實習模式,為培養(yǎng)學生的職業(yè)素質和職業(yè)能力提供了有效的保障。
4 師資隊伍建設
教師資源是學校辦學資源中最為關鍵的部分,建設一支雙師型的教師隊伍是高職教育發(fā)展必不可缺的重要條件[6]。信息安全技術快速更新,這就要求專業(yè)教師要掌握信息學科的多個領域及物理等學科的知識,而且還要不斷跟蹤信息安全的最新動態(tài)。學校應組建一支結構合理的司法信息安全教學團隊,促進校內司法信息安全專業(yè)建設,為專業(yè)教師提供技術培訓和進修學習的機會,及時派送教師進行行業(yè)培訓以及參加各種學術交流會議,不斷提高專業(yè)水平,更新知識結構和內容,同時要求教師積極參與科研,倡導教師之間互相學習、集體備課、討論交流,進一步提高教學能力。為了提高教師的動手能力,學校還要有計劃地選派專業(yè)教師到企事業(yè)單位進行掛職鍛煉或頂崗實踐。此外,也可邀請企事業(yè)單位一線專家、技術人員到學校承擔一定的教學任務,指導學生實踐操作,定期為學生開設講座或座談會,拓寬學生的知識面,提高學生綜合素質。
5 引入職業(yè)資格認證
由于專業(yè)設置的特殊性,要求本專業(yè)的畢業(yè)生除了掌握信息安全防范技術的專業(yè)技能,還需要具有相應的IT行業(yè)從業(yè)資格。在國家職業(yè)大典中,網絡信息安全行業(yè)的職業(yè)資格有網絡技術人員、網絡管理員、網絡工程師、安全防范評估師、信息安全工程師、數據恢復工程師等,國家頒發(fā)相應的職業(yè)資格證書。高職院校應結合專業(yè),引入適合的職業(yè)資格認證,同時跟企業(yè)合作,完成訂單式人才培養(yǎng)計劃,通過職業(yè)資格認證+訂單培養(yǎng),充分培養(yǎng)學生的職業(yè)能力[7]。
此外,為了提高教學質量,還必須在以下幾方面繼續(xù)改進:
⑴ 改革教學方法,以精品課程、視頻公開課教學等方法推動項目驅動教學法、分層教學法、任務實訓法、案例教學法和研究性教學法廣泛采用,建立視頻網站和教學資源庫,進行交互教學,與課堂教學形成互補。
⑵ 以工作流導向的實訓課程教學體系為基礎,建立課程配套教學資源庫,并以課程改革推動教材建設,編寫基于工作流導向的任務式實訓模式教材[8]。
⑶ 鼓勵學生參加技能大賽,突出學生的面向應用實踐能力,提高學生學習積極性。
⑷ 改進課程考核方式,實現無紙化考試,重點測試學生對知識的應用能力,以職業(yè)資格認證代替學科考試。
6 結束語
信息技術的高速發(fā)展,需要越來越多的信息安全專業(yè)人才,對其崗位能力的要求也越來越高。警察類高職院校必須從發(fā)展的角度來審視司法信息安全專業(yè),時刻關注相關專業(yè)領域發(fā)展趨勢和熱點,加強高職司法信息安全專業(yè)標準訂制、課程體系建設、實踐教學體系建設、教學模式改革、師資隊伍建設和實訓基地建設,注重工學結合,與企事業(yè)單位形成良性互動,不斷改進人才培養(yǎng)模式,提高人才的理論水平和實踐技能,培養(yǎng)出真正符合社會需求的理論水平較高、實踐能力強的高等技術應用型司法信息安全專業(yè)人才。
參考文獻:
[1] 劉任熊,李暢.高職院校信息安全專業(yè)人才培養(yǎng)初探[J].江蘇經貿職
業(yè)技術學院學報,2007.2:79-81
[2] 于璐.高職信息安全專業(yè)應用型人才培養(yǎng)模式探討[J].太原城市職業(yè)
技術學院學報,2011.6:26-27
[3] 陳曉明.信息類技術專業(yè)課程設置分析與實現―以“司法信息技術”
專業(yè)建設為例[J].計算機教育,2010.14:56-60
[4] 蔣文保,李忱.高校信息安全專業(yè)應用型人才培養(yǎng)模型探討[J].信息
安全與通信保密,2007.9:172-175
[5] 鄭洪英,廖曉峰,李傳冬等.設置信息安全專業(yè)教學體系的探討[J].教
育教學論壇,2012.9:114-115
[6] 李振汕.高職信息安全技術專業(yè)課程體系的開發(fā)和設計[J].職業(yè)時
空,2011.7(6):33-35
[7] 沈洋.高職院校信息安全人才能力培養(yǎng)的研究與實踐[J].廈門城市職
業(yè)學院學報,2012.14(2):13-16
【論文摘要】計算機網絡的技術發(fā)展相當迅速。隨著互聯(lián)網上黑客病毒泛溢,網絡犯罪等威脅日益嚴重,網絡安全管理的任務將會越來越艱巨和復雜,抓好網絡安全問題對保障網絡信息安全至關重要。因此文章對電子商務網絡支付安全問題進行探討分析。
0引言
美國等發(fā)達國家,通過Internet進行電子商務的交易已成為潮流。隨著internet的發(fā)展和網絡基礎設施的不斷完善,我國的電子商務雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務亟待解決的問題。電子商務過程中,買賣雙方是通過網絡聯(lián)系的,由于internet是開放性網絡,建立交易雙方的安全和信任關系較為困難,因此本文對電子商務網絡支付上的安全問題進行探討分析。
1電子商務的概念和特點
1)電子商務的概念:電子商務(Electronic Commerce)是通過電信網絡進行的生產、營銷、銷售、流通等活動,不僅是指基于因特網上的交易,而且還指利用電子信息技術實現解決問題、降低成本、增加價值、創(chuàng)造商機的商務活動[1]。
2)電子商務的特點:(1)電子商務將傳統(tǒng)的商務流程電子化、數字化。不僅以電子流代替了實物流,大量減少了人力物力,降低了成本;而且突破了時間空間的限制,使得交易活動可在任何時間、任何地點進行,大大提高了效率。(2)電子商務使企業(yè)能以較低成本進入全球電子化市場,也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源,提高了中小企業(yè)的競爭能力。(3)電子商務重新定義了傳統(tǒng)的流通模式,減少了中間環(huán)節(jié),使得生產者和消費者的直接交易成為可能,從而一定程度上改變了社會經濟的運行方式。(4)電子商務提供了豐富的信息資源,為社會經濟要素的重新組合提供了更多的可能,這將影響到社會的經濟布局和結構。
2電子商務安全的技術體系
1)物理安全。首先根據國家標準、信息安全等級和資金狀況,制定適合的物理安全要求,并經建設和管理達到相關標準[2]。再者,關鍵的系統(tǒng)資源(包括主機、應用服務器、安全隔離網閘GAP等設備),通信電路以及物理介質(軟/硬磁盤、光盤、IC卡、PC卡等)、應有加密、電磁屏蔽等保護措施,均應放在物理上安全的地方。
2)網絡安全。網絡安全是電子商務的基礎。為了保證電子商務交易順利進行,要求電子商務平臺要穩(wěn)定可靠,能夠不中斷地提供服務。系統(tǒng)的任何中斷(如硬件、軟件錯誤,網絡故障、病毒等)都可能導致電子商務系統(tǒng)不能正常工作,而使貿易數據在確定的時刻和地點的有效性得不到保證,往往會造成巨大的經濟損失。
3)商務安全。主要是指商務交易在網絡媒介中出現的安全問題,包括防止商務信息被竊取、篡改、偽造、交易行為被抵賴,即要實現電子商務的保密性、完整性、真實性、不可抵賴性。商務安全的各方面也要通過不同的網絡安全技術和安全交易標準實現,加解密技術保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數字簽名是實現對原始報文完整性的鑒別,它與身份認證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務安全的主要技術有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)、文件加密技術、數字簽名技術、電子商務認證中心(CA)。
4)系統(tǒng)安全。主要是保護主機上的操作系統(tǒng)與數據庫系統(tǒng)的安全。對于保護系統(tǒng)安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術設備,增強其安全防護能力。
3安全管理過程監(jiān)督
3.1加強全過程的安全管理
1)網絡規(guī)劃階段,就要加強對信息安全建設和管理的規(guī)劃。信息安全建設需要投入一定的人力、物力、財力。要根據狀況實事求是地確定網絡的安全總體目標和階段目標、分段實施、降低投資風險。2)工程建設階段,建設管理單位要將安全需求的匯總和安全性能功能的測試,列入工程建設各個階段工作的重要內容,要加強對開發(fā)(實施)人員、版本控制的管理,要加強對開發(fā)環(huán)境、用戶路由設置、關鍵代碼的檢查[3]。3)在運行維護階段,要注意以下事項:(1)建立有效的安全管理組織架構,明確職責,理順流程,實施高效管理。(2)按照分級管理原則,嚴格管理內部用戶帳號和密碼,進入系統(tǒng)內部必須通過嚴格的身份確認,防止非法占用、冒用合法用戶帳號和密碼。(3)制定完善的安全管理制度,加強信息網的操作系統(tǒng)、數據庫、網絡設備、應用系統(tǒng)運行維護過程的安全管理。(4)要建立應急預察體系,建立網絡安全維護日志,記錄與安全性相關的信息及事件,有情況出現時便于跟蹤查詢,還要定期檢查日志,以便及時發(fā)現潛在的安全威脅。
3.2建立動態(tài)的閉環(huán)管理流程
網絡處于不斷地建設和調整中,可能發(fā)現新的安全漏洞,因此需要建立動態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導下,通過安全評估和檢測工具(如漏洞掃描,入侵檢測等)及時了解網絡存在的安全問題和安全隱患,據此制定安全建設規(guī)劃和加固方案,綜合應用各種安全防護產品(如防火墻、身份認證等手段),將系統(tǒng)調整到相對安全的狀態(tài)。并要注意以下兩點:1)對于一個企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據這個策略制定詳細的流程、規(guī)章制度、標準和安全建設規(guī)劃、方案,保證這些系列策略規(guī)范在整個企業(yè)范圍內貫徹實施,從而保護企業(yè)的投資和信息資源安全。2)要制定完善的、符合企業(yè)實際的信息安全策略,就須先對企業(yè)信息網的安全狀況進行評估,即對信息資產的安全技術和管理現狀進行評估,讓企業(yè)對自身面臨的安全威脅和問題有全面的了解,從而制定針對性的安全策略,指導信息安全的建設和管理工作。
4結束語
本文分析了目前電子商務網絡支付安全方面的主要技術狀況,安全技術可以說是網絡技術中較為尖端的技術,都是非常先進的技術手段;只要運用得當,配合相應的安全管理措施,基本能夠保證電子商務中網絡支付的安全;但不是100%的絕對安全,而是相對安全。隨著網絡安全技術的進步與信用機制的完善,網絡支付定會越來越安全。
參考文獻
[1]柯新生.網絡支付與結算[M].北京:電子工業(yè)出版社,2004.
【關鍵詞】電子商務 病毒入侵 黑客攻擊 信息安全
在互聯(lián)網信息技術飛速發(fā)展的大背景下,電子商務(簡稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務活動模式,從事互聯(lián)網商業(yè)活動的人越來越多。與傳統(tǒng)商務活動對比,在B/S方式下運轉,兩大主體完成商品交易不受時間和空間的限制,這也是電子商務是最大特點。
現如今,我國正處于網絡經濟蓬勃發(fā)展的黃金時代,各個領域中電子商務的普及度較高。新型的商業(yè)活動形式建立在網絡的基礎上,保證了商業(yè)活動的便捷性和高效性。不過電子商務在對企業(yè)運管效率進一步提升的同時,使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導致企業(yè)蒙受巨大虧損。所以,高度關注安全問題,才能保證電子商務平臺利用率提高。本論文以有關電子商務環(huán)境為切入點,對展開電子商務活動中出現的信息安全問題進行分析,并給出對應的方法和策略。
1 電子商務中網絡信息安全所存在的問題
1.1 電子商務網絡存在的問題
1.1.1 黑客攻擊
黑客對網絡進行攻擊是以偷取商業(yè)機要和攪擾系統(tǒng)正常運轉為目的,以下是常見的攻擊策略:竊聽;重發(fā)攻擊;迂回攻擊;假冒攻擊;越權攻擊等。
1.1.2 系統(tǒng)漏洞
侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據,將操作系統(tǒng)數據的權限得到。然而,管理系統(tǒng)未實時打補丁或者在設置安全方面一直選取默認設置等原因造成系統(tǒng)產生漏洞。
1.2 電子商務信息存在的問題
1.2.1 電子商務信息存儲安全隱患
在靜態(tài)時儲存電商信息的安全即信息儲存安全。其信息安全隱患主要包括:篡改信息內容和非授權調用信息。
1.2.2 電子商務信息傳輸安全隱患
在運轉電子商務時,資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業(yè)機密。大部分是以明文的形式來傳送電子商務信息,那么襲擊網絡的不法分子就極易截取或者監(jiān)聽電商信息;
(2)對商務網站施以攻擊。攻擊者運用計算機病毒傳送,屏蔽掉電商網站設置的防火墻,更改信息,使網站癱瘓;
(3)實行商務欺詐。非法人員將虛假信息到Internet上去,詐騙現金、賬號,導致用戶信任電子商務活動的信賴度降低,在很大程度上對電子商務順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實現自己的目標,把不良信息滲透到電子商務信息中。
2 應對電子商務中信息安全問題的對策
2.1 提高網絡信息安全意識
相比于西方l達國家,國內用戶網絡信息安全意識薄弱,忽視了自我權益的保護。再加上我國尚未建立完善的網絡信息安全監(jiān)管機制,出現安全事件之后無法及時采取相應的補救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導致信息非安全問題是重要內容。解決這一問題的關鍵在于為從事電子商務的用戶展開安全知識培訓活動,確保用戶充分認識信息安全的重要性,對信息安全常識了如指掌,進而降低電子商務中產生信息安全事件的幾率。
2.2 加強信息安全的技術防范
將來網絡安全技術會在計算機網絡所有層次中滲透,不過以電子商務安全防范技術為中心的網絡技術成為最近幾年研究的重要方向。以我國電子商務出現的安全問題為依據,可采取防火墻、虛擬專用網及認證、加密、安全審計、追蹤黑客、檢測系統(tǒng)漏洞等技術應對信息安全。另外還可以將加密路由器、翻譯網絡地址、動態(tài)包過濾、VPN等技術充分運用起來,確保構建一系列嚴實的安全防線將受保護資源與攻擊人員隔開。
2.3 強化網絡信息安全管理
信息安全管理在我國來說十分薄弱,面臨著管理能力弱且信息安全意識極其欠缺的問題。政府授權的第三方認證中心構建是電商信息安全管理中形式有效的一個方式,即用該認證中心來負責電子商務交易中的兩者主體的信息安全,保證整個交易流程的安全性和可靠性。
2.4 完善電子商務立法與信息安全立法
當前,我國正處于電子商務信息機制初級階段,只有在信用法制建設深入強化的大環(huán)境中,才能確保信息機制最大限度的施展其能力。故此,應當以國內電子商務安全問題為依據,不但要使現行法律的管理范疇擴大和加強,還要加大信息安全與電子商務立法的力度。另外還應當對第三方信用保證進行設置并使其得到強化,務必由商務、商檢認證中心、銀行共同協(xié)作才可確保交易不受阻礙。
3 結束語
本文以電子商務信息安全有關環(huán)境為切入點,對電商中出現的網信問題進行探析,并將用戶網信安全意識增強、加大網信安全管理力度、加大防范信息安全技術應用力度、健全信息安全和電子商務立法這四種策略,以期解決電子商務中出現的安全問題。電子商務安全性是一項龐大、系統(tǒng)的工程,要從技術和法律上加大保護力度,只有將電商中出現的所有安全問題一并處理好才能使電子商務更好的服務于用戶。
參考文獻
[1]田迎華,楊敬松,周敏.3G時代移動電子商務安全問題研究[J].情報科學,2010(10):1487-1490.
[2]王立萍.商業(yè)銀行電子商務安全風險管理研究[J].中南財經政法大學學報,2007(01):75-79+144.
[3]張濱,馮運波,吳秦建,江為強,喬矗王馨裕,楊明,何鵬.移動電子商務安全技術與應用實踐[J].通信學報,2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務個性化信息服務用戶滿意影響因素實證研究[J].情報雜志,2016(04):195-203.
[5]何培育.電子商務環(huán)境下個人信息安全危機與法律保護對策探析[J].河北法學,2014(08):34-41.
[6]王興泉,張寧.移動電子商務時代的信息安全與信息保護[J].蘭州學刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務環(huán)境下信息管理模式研究[J].圖書情報工作,2013(05):46-49.
論文摘要:當前,我國電子商務建設中以技術為主的安全管理體制,忽視了人員對電子商務的安全影響。但近幾年案例表明:企業(yè)缺乏針對內部人員的系統(tǒng)安全管理體制,是導致網絡交易過程中泄密和企業(yè)利益損失的主要原因。本文重點分析了企業(yè)在電子商務安全管理體制方面存在的不足和原因,提出了一些加強人員安全管理的建議,為我國電子商務企業(yè)的安全管理提供借鑒。
1、問題的提出
作為一種新的經濟模式,電子商務以高效、便捷、方便的優(yōu)勢和全新的企業(yè)經營理念、經營手段、經營環(huán)境吸引著廣大用戶,為世界經濟賦予了無限的發(fā)展空間。隨著電子商務應用范圍的日益擴大,針對電子商務的各種犯罪活動也19益猖獗。國內外調查顯示…,52.26%的用戶最關心的是網上交易的安全可靠性,超過6O%的人由于擔心電子商務的安全問題而不愿進行網上購物。加強電子商務實施過程中的安全管理已經成為促進電子商務高速發(fā)展的重要因素。
電子商務的安全,可分為技術安全和管理安全兩種類型。所謂技術安全,是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關的機密文件,甚至網絡銀行帳號、密碼等,給企業(yè)造成經濟損失。而管理安全則是指缺乏對參與電子商務過程中各個環(huán)節(jié)的人員的管理預防手段,最終導致的電子商務安全事件。從美國的花旗銀行和中央情報局到中國的某家國有商業(yè)銀行,都有過由于內部人員的違規(guī)和違法操作,導致數據被篡改和泄密的事件發(fā)生。
近幾年的電子商務安全案件表明:人員是網上交易安全管理中的最薄弱的環(huán)節(jié),近年來我國計算機犯罪大都呈現內部犯罪的趨勢,有的競爭對手利用企業(yè)招募新人的方式潛入對方企業(yè),或利用不正當的方式收買企業(yè)網絡交易管理人員。有的電子商務從業(yè)人員從本企業(yè)辭職后,迅速把客戶資料、產品研發(fā)成果等機密出售給競爭對手,給企業(yè)帶來了不必要的經濟損失。
2、原因分析
電子商務信息安全已經引起很多企業(yè)的重視,但大多數企業(yè)往往側重于加強技術措施,如購買先進的防火墻軟件,采用更高級的加密方法等,很多企業(yè)認為:員工泄密的安全事故只是偶然現象,很少從人員管理的角度來探討出現這些事故的根本原因。“重技術、輕管理”是當前很多電子商務企業(yè)的通病。由于管理手段不到位,很多先進的安全技術無法發(fā)揮應有的效能。之所以出現上述問題,主要有以下原因:
首先,很多企業(yè)管理高層對人員管理在信息安全中的地位認識不足。大多數企業(yè)將電子商務網絡作為一項純粹的技術工程來實施,企業(yè)內部缺乏系統(tǒng)的安全管理策略,只是被動的使用一些技術措施來進行防御,因此電子商務過程中一旦出現突發(fā)性事件,往往造成很大的經濟損失。現實中沒有一個網絡系統(tǒng)是完美無缺的,不安全因素隨時存在。因此,安全管理措施必須滲透到系統(tǒng)的每一個環(huán)節(jié)和企業(yè)組織的~個層面,只有構建一個人與技術相結合的安全管理體系,才能確保整個電子商務系統(tǒng)得安全。
企業(yè)沒有從整體上、有計劃地考慮信息安全問題。企業(yè)各部門、各下屬機構都存在“各自為政的局面,缺少統(tǒng)一規(guī)劃、設計和管理信息安全強調的是整體上的信息安全性,而不僅是某一個部門或公司的信息安全。而各部門、各公司又確實存在個體差異,對于不同業(yè)務領域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關內容。
缺少信息安全管理配套的人力、物力和財力。人才是信息安全保障工作的關鍵。信息安全保障工作的專業(yè)性、技術性很強,沒有一批業(yè)務能力強,且具有信息網絡知識、信息安全技術、法律知識和管理能力的復合型人才和專門人才,就不可能做好信息安全保障工作。應該從信息安全建設和管理對信息安全人才的實際需求出發(fā),加快信息安全人才的培養(yǎng)。
企業(yè)對員工的信息安全教育不夠。員工的信息安全意識薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內部人員使用各種高科技信息載體,如U盤、移動硬盤以及筆記本等移動辦公設備。
3、加強電子商務安全管理的建議
電子商務信息安全管理實踐表明,大多數安全問題是由于管理不善造成的。安全管理是一項系統(tǒng)工程,不僅涉及到企業(yè)的組織架構、信息技術、人員素質等各個方面,還牽扯到國家法律和商業(yè)規(guī)則。企業(yè)內部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全,必須在技術投人的基礎上融人人在管理方面的智慧i同時,不僅要防外,更要防內,即對組織內部人員的管理。信息安全問題的解決需要技術,但又不能單純依靠技術。整個電子商務的交易過程,是人與技術相互融合的過程,如何使管理與技術相得益彰十分重要。“三分技術,七分管理”闡述了信息安全的本質。
電子商務的安全管理,就是通過一個完整的綜合保障體系,來規(guī)避信息傳輸風險、信用風險、管理風險和法律風險,以保證網上交易的順利進行。網上交易安全管理,應采用綜合防范的思路,一是技術方面的考慮,如防火墻技術、網絡防毒、信息加密、身份認證、授權等,但必須明確,只有技術措施并不能完全保證網上交易的安全。二是必須加強監(jiān)管,建立各種有關的合理制度,并加強嚴格監(jiān)督,如建立交易的安全制度、交易安全的實時監(jiān)控、提供實時改變安全策略的能力、對現有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強企業(yè)電子商務的信息安全,我們提出如下建議:
(1)提高網絡安全防范意識。
現在許多企業(yè)沒有意識到互聯(lián)網的易受攻擊性,盲目相信國外的加密軟件,對于系統(tǒng)的訪問權限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱,其中的機密數據得不到應有的保護。據調查,目前國內90%的網站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識。某些企業(yè)網絡管理員甚至認為其公司規(guī)模較小,不會成為黑客的攻擊目標,如此態(tài)度,網絡安全更是無從談起。應該定期由公司或安全管理小組承辦信息安全講座,只有提高網絡安全防范意識,才能有效的減少信息安全事故的發(fā)生。
(2)建立電子商務安全管理組織體系。
一個完整的信息安全管理體系首先應建立完善的組織體系。即建立由行政領導、IT技術主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機構。其職責是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責,并檢查安全職責是否已被正確履行,核準新信息處理設施的啟用、組織安全管理專題會等。還應建立由網絡管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機構。該機構負責起草網絡系統(tǒng)的安全策略、執(zhí)行批準后的安全策略、日常的安全運行和維護、定期的培訓和安全檢查等。如果需要,還可建立安全顧問機構。安全顧問機構可聘請信息安全專家擔任系統(tǒng)安全顧問,負責提供安全建議,特別是在安全事故或違反安全策略事件發(fā)生后,可以被安全決策機構指定負責事故(事件)調查,并為安全策略評審和評估提供意見。
(3)制定符合機構安全需求的信息安全策略。電子商務交
易過程中,需要明確的安全策略主要包括客戶認證策略、加密策略、日常維護策略、防病毒策略等安全技術方案的選擇。安全執(zhí)行機構應根據本信息網絡的實際情況制定相應的信息安全策略,策略中應明確安全的定義、目標、范圍和管理責任,并制定安全策略的實施細則。安全策略文檔要由安全決策機構審查、批準,并和傳達給所有的人安全策略還應由安全決策機構定期進行有效性審查和評估:在發(fā)生重大的安全事故、發(fā)現新的脆弱性、組織體系或技術上發(fā)生變更時,應重新進行安全策略的審查和評估。
(4)人員安全的管理和培訓
參與網上交易的經營管理人員在很大程度上支配著企業(yè)的命運,他們承擔著防范網絡犯罪的任務。而計算機網絡犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續(xù)性、高效性的特點,因而,加強對有關人員的管理變得十分重要。首先,在人員錄用時應做好人員鑒別,人員錄用或人員職位調整時,一般要簽署保密協(xié)議。當人員到期離開或協(xié)議到期、工作終止時,要審查保密協(xié)議。其次對有關人員進行上崗培訓,建立人員培訓計劃,定期組織安全策略和規(guī)程方面的培訓。第三,落實工作責任制,在崗位職責中明確本崗位執(zhí)行安全政策的常規(guī)職責和本崗位保護特定資產、執(zhí)行特定安全過程或活動的特別職責,對違反網上交易安全規(guī)定的人員要進行及時的處理。第四,貫徹網上交易安全運作基本原則,包括職責分離、雙人負責、任期有限、最小權限、個人可信賴性等。
(5)增強法律意識,促進電子商務立法
面對電子商務這種新型的貿易形式,我國目前尚無專門法規(guī)可依,使得部分違法犯罪人員沒有得到應有的懲罰。近幾年里,國家加強了這方面的投入。在全國性的立法文件中,《合同法》的部分條款可以看作是針對電子商務的立法。此外,廣東省制定的《廣東省電子交易管理條例》這個地方性的法規(guī)可以看作是對加快我國電子商務立法的有益探索。《中華人民共和國電子簽名法》是對主要用于電子商務活動,電子政務等其他應用應該有新的適用法規(guī)。
盡管在電子商務信息安全立法方面取得了一些成就,但總的來說,我國的電子商務立法還很不健全,對電子商務活動的安全保護缺少直接性;相關立法比較分散,而且效力不高;對新出現的情況缺乏適應能力;立法速度慢。這些都需要電子商務企業(yè)和國家有關部門不斷探索,共同促進電子商務信息安全的法制環(huán)境建設。
論文摘要 計算機和通訊網絡的普及和發(fā)展從根本上改變了人類的生活方式與工作效率。網絡已經成為農業(yè)、工業(yè)、第三產業(yè)和國防工業(yè)的重要信息交換媒介,并且滲透到社會生活的各個角落。政府、企業(yè)、團體、個人的生活都發(fā)生了巨大改變。網絡的快速發(fā)展都得益于互聯(lián)網自身的獨特優(yōu)勢:開放性和匿名性。然而也正是這些特征,同時還決定了網絡存在著不可避免的信息安全隱患。本文主要通過介紹目前在計算機網絡中存在的主要安全威脅并提出構建網絡安全的防護體系,從而對網絡安全的防護策略進行探討。
0 引言
網絡給我們提供極大的方便的同時也帶來了諸多的網絡安全威脅問題,這些問題一直在困擾著我們,諸如網絡數據竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網絡安全問題的侵害,計算機廣泛地推廣使用了各種復雜的軟件技術,如入侵檢測、防火墻技術、通道控制機制、服務器,然后盡管如此,計算機信息安全和網絡安全問題還是頻發(fā)。網絡hacker活動日益猖獗,他們攻擊網絡服務器,竊取網絡機密,進行非法入侵,對社會安全造成了嚴重的危害。本文就如何確保網絡信息安全特別是網絡數據安全進行了安全威脅分析并且提出了實現網絡安全的具體策略。
1 目前網絡中存在的主要安全威脅種類
1.1 計算機病毒
計算機病毒是編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點。計算機病毒主要是通過復制、傳送數據包以及運行程序等操作進行傳播,在日常的生活中,閃存盤、移動硬盤、硬盤、光盤和網絡等都是傳播計算機病毒的主要途經。計算機病毒的產生是計算機技術和以計算機為核心的社會信息化進程發(fā)展到一定階段的必然產物。
1.2 特洛伊木馬
利用計算機程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進行惡意行為的程序,多不會直接對電腦產生危害,而是以控制為主。
1.3 拒絕服務攻擊
拒絕服務攻擊即攻擊者想辦法讓目標機器停止提供服務,是黑客常用的攻擊手段之。其實對網絡帶寬進行的消耗性攻擊只是拒絕服務攻擊的一小部分,只要能夠對目標造成麻煩,使某些服務被暫停甚至主機死機,都屬于拒絕服務攻擊。
1.4 邏輯炸彈
邏輯炸彈引發(fā)時的癥狀與某些病毒的作用結果相似,并會對社會引發(fā)連帶性的災難。與病毒相比,它強調破壞作用本身,而實施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個具體作品的程序邏輯被激活。
1.5 內部、外部泄密
由于黑客的目的一般都是竊取機密數據或破壞系統(tǒng)運行,外部黑客也可能入侵web或其他文件服務器刪除或篡改數據,致使系統(tǒng)癱瘓甚至完全崩潰。
1.6 黑客攻擊
這是計算機網絡所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網絡攻擊。即以各種方式有選擇地破壞對方信息的有效性和完整性;另一類是網絡偵察,它是在不影響網絡正常工作的情況下,進行截取、竊取、破譯以獲得對方重要的機密信息。這兩種攻擊均可對計算機網絡造成極大的危害
1.7 軟件漏洞
操作系統(tǒng)和各類軟件都是認為編寫和調試的,其自身的設計和結構始終會出現問題,不可能無缺陷或者無漏洞,而這些漏洞會被計算機病毒和惡意程序所利用,這就使計算機處于非常危險的境地,一旦連接入互聯(lián)網,危險就悄然而至。
2 網絡信息與網絡安全的防護對策
盡管計算機網絡信息安全受到威脅,但是采取恰當的防護措施也能有效的保護網絡信息的安全。本文總結了以下幾種方法并加以說明以確保在策略上保護網絡信息的安全。
2.1 技術層面上的安全防護對策
1)升級操作系統(tǒng)補丁
操作系統(tǒng)因為自身的復雜性和對網絡需求的適應性,需要及時進行升級和更新,除服務器、工作站等需要操作系統(tǒng)升級外,也包括各種網絡設備,均需要及時升級并打上最新的系統(tǒng)補丁,嚴防網絡惡意工具和黑客利用漏洞進行入侵。
2)安裝網絡版防病殺毒軟件
防病毒服務器作為防病毒軟件的控制中心,及時通過internet更新病毒庫,并強制局域網中已開機的終端及時更新病毒庫軟件。
3)安裝入侵檢測系統(tǒng)
4)安裝網絡防火墻和硬件防火墻
安裝防火墻,允許局域網用戶訪問internet資源,但是嚴格限制internet用戶對局域網資源的訪問。
5)數據保密與安裝動態(tài)口令認證系統(tǒng)
信息安全的核似是數據保密,一般就是我們所說的密碼技術,隨著計算機網絡不斷滲透到各個領域,密碼學的應用也隨之擴大。數字簽名、身份鑒別等都是由密碼學派生出來新技術和應用。
6)操作系統(tǒng)安全內核技術
操作系統(tǒng)安全內核技術除了在傳統(tǒng)網絡安全技術上著手,人們開始在操作系統(tǒng)的層次上考慮網絡安全性,嘗試把系統(tǒng)內核中可能引起安全性問題的部分從內核中剔除出去,從而使系統(tǒng)更安全。
7)身份驗證技術身份驗證技術
身份驗證技術身份驗證技術是用戶向系統(tǒng)出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2 管理體制上的安全防護策略
1)管理制度的修訂及進行安全技術培訓;
2)加強網絡監(jiān)管人員的信息安全意識,特別是要消除那些影響計算機網絡通信安全的主觀因素。計算機系統(tǒng)網絡管理人員缺乏安全觀念和必備技術,必須進行加強;
3)信息備份及恢復系統(tǒng),為了防止核心服務器崩潰導致網絡應用癱瘓,應根據網絡情況確定完全和增量備份的時間點,定期給網絡信息進行備份。便于一旦出現網絡故障時能及時恢復系統(tǒng)及數據;
4)開發(fā)計算機信息與網絡安全的監(jiān)督管理系統(tǒng);
5)有關部門監(jiān)管的力度落實相關責任制,對計算機網絡和信息安全應用與管理工作實行“誰主管、誰負責、預防為主、綜合治理、人員防范與技術防范相結合”的原則,逐級建立安全保護責任制,加強制度建設,逐步實現管理的科學化、規(guī)范化。
參考文獻
[1]簡明.計算機網絡信息安全及其防護策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區(qū)溢出的深入研究[j].電腦編程技巧與維護,2006(9).
論文摘要:在介紹網絡安全概念及其產生原因的基礎上,介紹了各種信息技術及其在局域網信息安全中的作用和地位。
論文關鍵詞:網絡安全信息技術信息安全局域網
隨著現代網絡通信技術的應用和發(fā)展,互聯(lián)網迅速發(fā)展起來,國家逐步進入到網絡化、共享化,我國已經進入到信息化的新世紀。在整個互聯(lián)網體系巾,局域網是其巾最重要的部分,公司網、企業(yè)網、銀行金融機構網、政府、學校、社區(qū)網都屬于局域網的范疇。局域網實現了信息的傳輸和共享,為用戶方便訪問互聯(lián)網、提升業(yè)務效率和效益提供了有效途徑。但是由于網絡的開放性,黑客攻擊、病毒肆虐、木馬猖狂都給局域網的信息安全帶來了嚴重威脅。
信息技術是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論和信息論諸多學科的技術。信息技術的應用就是確保信息安全,使網絡信息免遭黑客破壞、病毒入侵、數據被盜或更改。網絡已經成為現代人生活的一部分,局域網的安全問題也閑此變得更為重要,信息技術的應用必不可少。
1網絡安全的概念及產生的原因
1.1網絡安全的概念
計算機網絡安全是指保護計算機、網絡系統(tǒng)硬件、軟件以及系統(tǒng)中的數據不因偶然的或惡意的原因而遭到破壞、更改和泄密,確保系統(tǒng)能連續(xù)和可靠地運行,使網絡服務不巾斷。從本質上來講,網絡安全就是網絡上的信息安全。網絡系統(tǒng)的安全威脅主要表現在主機可能會受到非法入侵者的攻擊,網絡中的敏感信息有可能泄露或被修改。從內部網向公共網傳送的信息可能被他人竊聽或篡改等等。典型的網絡安全威脅主要有竊聽、重傳、偽造、篡改、非授權訪問、拒絕服務攻擊、行為否認、旁路控制、電磁/射頻截獲、人員疏忽。
網絡安全包括安全的操作系統(tǒng)、應用系統(tǒng)以及防病毒、防火墻、入侵檢測、網絡監(jiān)控、信息審計、通信加密、災難恢復和完全掃描等。它涉及的領域相當廣泛,這是因為目前的各種通信網絡中存在著各種各樣的安全漏洞和威脅。從廣義上講,凡是涉及網絡上信息的保密性、完整性、可性、真實性和可控性的相關技術和理論,都是網絡安全所要研究的領域。網絡安全歸納起來就是信息的存儲安全和傳輸安全。
1.2網絡安全產生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設計者留下的微小破綻都給網絡安全留下了許多隱患,網絡攻擊者以這些“后門”作為通道對網絡實施攻擊。局域網中使用的操作系統(tǒng)雖然都經過大量的測試與改進,但仍有漏洞與缺陷存在,入侵者利用各種工具掃描網絡及系統(tǒng)巾的安全漏洞,通過一些攻擊程序對網絡進行惡意攻擊,嚴重時造成網絡的癱瘓、系統(tǒng)的拒絕服務、信息的被竊取或篡改等。
1.2.2TCP/lP協(xié)議的脆弱性
當前特網部是基于TCP/IP協(xié)議,但是陔協(xié)議對于網絡的安全性考慮得并不多。且,南于TCtVIP協(xié)議在網絡上公布于眾,如果人們對TCP/IP很熟悉,就可以利川它的安全缺陷來實施網絡攻擊。
1.2.3網絡的開放性和廣域性設計
網絡的開放性和廣域性設計加大了信息的保密難度.這其巾還包括網絡身的布線以及通信質量而引起的安全問題。互聯(lián)網的全開放性使網絡可能面臨來自物理傳輸線路或者對網絡通信協(xié)議以及對軟件和硬件實施的攻擊;互聯(lián)網的同際性給網絡攻擊者在世界上任何一個角落利州互聯(lián)網上的任何一個機器對網絡發(fā)起攻擊提供機會,這也使得網絡信息保護更加難。
1.2.4計算機病毒的存在
計算機病毒是編制或者存計箅機程序巾插入的一組旨在破壞計箅機功能或數據,嚴重影響汁算機軟件、硬件的正常運行,并且能夠自我復制的一組計算機指令或程序代碼。計算機病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點。大量涌現的病毒在網上傳播極快,給全球地嗣的網絡安全帶來了巨大災難。
1.2.5網絡結構的不安全性
特網是一個南無數個局域網連成的大網絡,它是一種網問網技術。當l主機與另一局域網的主機進行通信時,它們之間互相傳送的數據流要經過很多機器重重轉發(fā),這樣攻擊者只要利用l臺處于用戶的數據流傳輸路徑上的主機就有可能劫持用戶的數據包。
2信息技術在互聯(lián)網中的應用
2.1信息技術的發(fā)展現狀和研究背景
信息網絡安全研究在經歷了通信保密、數據保護后進入網絡信息安全研究階段,當前已經…現了一些比較成熟的軟件和技術,如:防火墻、安全路由器、安全網關、黑客人侵檢測、系統(tǒng)脆弱性掃描軟件等。信息網絡安全是一個綜合、交叉的學科,應從安全體系結構、安全協(xié)議、現代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究,使各部分相互協(xié)同,共同維護網絡安全。
國外的信息安全研究起步較早,早在20世紀70年代美國就在網絡安全技術基礎理論研究成果“計算機保密模型(Beu&Lapaduh模型)”的基礎上,提出了“可信計箅機系統(tǒng)安全評估準則(TESEC)”以及后來的關于網絡系統(tǒng)數據庫方面的相關解釋,彤成了安全信息系統(tǒng)體系結構的準則。安全協(xié)議作為信息安全的重要內容,處于發(fā)展提高階段,仍存在局限性和漏洞。密碼學作為信息安全的關鍵技術,近年來空前活躍,美、歐、亞各洲舉行的密碼學和信息安全學術會議頻繁。自從美國學者于1976年提出了公開密鑰密碼體制后,成為當前研究的熱點,克服了網絡信息系統(tǒng)密鑰管理的閑舴,同時解決了數字簽名問題。另外南于計箅機運算速度的不斷提高和網絡安全要求的不斷提升,各種安全技術不斷發(fā)展,網絡安全技術存21世紀將成為信息安全的關鍵技術。
2.2信息技術的應用
2.2.1網絡防病毒軟件
存網絡環(huán)境下,病毒的傳播擴散越來越快,必須有適合于局域網的全方位防病毒產品。針對局域網的渚多特性,應該有一個基于服務器操作系統(tǒng)平的防病毒軟件和針對各種桌面操作系統(tǒng)的防病毒軟件。如果局域網和互聯(lián)網相連,則川到網大防病毒軟件來加強上網計算機的安全。如果使用郵件存網絡內部進行信息交換.則需要安裝基于郵件服務器平的郵件防病毒軟件,用于識別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產品,針對網絡巾所有可能的病毒攻擊點設置對應的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地動升級,保護局域網免受病毒的侵襲。
2.2.2防火墻技術
防火墻技術是建立在現代通信網絡技術和信息安全技術基礎;上的應用性安全技術,越來越多地應用于專用網絡與公用網絡的互聯(lián)環(huán)境巾,尤其以接入lnlernel網絡的局域網為典型。防火墻是網絡安全的屏障:一個防火墻能檄大地提高一個內部網絡的安全性,通過過濾不安全的服務而降低風險。南于只有經過精心選擇的應州協(xié)議才能通過防火墻,所以網絡環(huán)境變得更安全。防火墻可以強化網絡安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件如口令、加密、身份認證、審計等配置在防火墻上。對網絡存取和訪問進行監(jiān)控審計:如果所有的訪問都經過防火墻,那么防火墻就能記錄下這些訪問并做出日志記錄,同時也能提供網絡使用情況的統(tǒng)計數據。
防火墻技術是企業(yè)內外部網絡問非常有效的一種實施訪問控制的手段,邏輯上處于內外部網之問,確保內部網絡正常安全運行的一組軟硬件的有機組合,川來提供存取控制和保密服務。存引人防火墻之后,局域網內網和外部網之問的通信必須經過防火墻進行,某局域網根據網絡決策者及網絡擘家共同決定的局域網的安全策略來設置防火墻,確定什么類型的信息可以通過防火墻。可見防火墻的職責就是根據規(guī)定的安全策略,對通過外部網絡與內部網絡的信息進行檢企,符合安全策略的予以放行,不符合的不予通過。
防火墻是一種有效的安全工具,它對外屏蔽內部網絡結構,限制外部網絡到內部網絡的訪問。但是它仍有身的缺陷,對于內部網絡之問的入侵行為和內外勾結的入侵行為很難發(fā)覺和防范,對于內部網絡之間的訪問和侵害,防火墻則得無能為力。
2.2.3漏洞掃描技術
漏洞掃描技術是要弄清楚網絡巾存在哪些安全隱患、脆弱點,解決網絡層安全問題。各種大型網絡不僅復雜而且不斷變化,僅僅依靠網絡管理員的技術和經驗尋找安全漏洞、做出風險評估得很不現實。要解決這一問題,必須尋找一種能金找網絡安全漏洞、評估并提…修改建議的網絡安全掃描工具,利刖優(yōu)化系統(tǒng)配置和打補丁等各種方式最大可能地彌補最新的安全漏洞和消除安全隱患。存網絡安全程度要水不高的情況下,可以利用各種黑客工具對網絡實施模擬攻擊,暴露出:網絡的漏洞,冉通過相關技術進行改善。
2.2.4密碼技術
密碼技術是信息安全的核心與關鍵。密碼體制按密鑰可以分為對稱密碼、非對稱密碼、混合密碼3種體制。另外采用加密技術的網絡系統(tǒng)不僅不需要特殊網絡拓撲結構的支持,而且在數據傳輸過程巾也不會對所經過網絡路徑的安全程度做出要求,真正實現了網絡通信過程端到端的安全保障。非對稱密碼和混合密碼是當前網絡信息加密使川的主要技術。
信息加密技術的功能主要是保護計算機網絡系統(tǒng)內的數據、文件、口令和控制信息等網絡資源的安全。信息加密的方法有3種,一是網絡鏈路加密方法:目的是保護網絡系統(tǒng)節(jié)點之間的鏈路信息安全;二是網絡端點加密方法:目的是保護網絡源端川戶到口的川戶的數據安全;二是網絡節(jié)點加密方法:目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護川戶可以根據實際要求采川不同的加密技術。
2.2.5入侵檢測技術。
入侵檢測系統(tǒng)對計算機和網絡資源上的惡意使川行為進行識別和響應。入侵檢測技術同時監(jiān)測來自內部和外部的人侵行為和內部剛戶的未授權活動,并且對網絡入侵事件及其過程做fIj實時響應,是維護網絡動態(tài)安全的核心技術。入侵檢測技術根據不同的分類標準分為基于行為的入侵檢測和基于知識的人侵檢測兩類。根據使用者的行為或資源使狀況的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測,運用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識的入侵檢測。通過對跡象的分析能對已發(fā)生的入侵行為有幫助,并對即將發(fā)生的入侵產生警戒作用
