序言:寫(xiě)作是分享個(gè)人見(jiàn)解和探索未知領(lǐng)域的橋梁��,我們?yōu)槟x了8篇的信息安全法律法規(guī)論文樣本���,期待這些樣本能夠?yàn)槟峁┴S富的參考和啟發(fā)����,請(qǐng)盡情閱讀��。
第1篇
論文提要:當(dāng)今世界已進(jìn)入了信息化時(shí)代�����,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個(gè)國(guó)家綜合國(guó)力的重要標(biāo)準(zhǔn)�����。黨的十七大明確提出了一條“以信息化帶動(dòng)工業(yè)化��,以工業(yè)化促進(jìn)信息化”的具有中國(guó)特色的信息化道路。信息資源隨之成為社會(huì)資源的重要組成部分���,但由于信息資源不同于其他資源的特殊性質(zhì)�,如何保證信息的安全性和保密性成為我國(guó)信息化建設(shè)過(guò)程中需要解決的重要問(wèn)題��。
一��、信息化的內(nèi)涵����、信息資源的性質(zhì)及信息的安全問(wèn)題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來(lái)的�����。經(jīng)過(guò)40多年的發(fā)展,信息化已成為各國(guó)社會(huì)發(fā)展的主題��。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)�,主要表現(xiàn)在知識(shí)性���、中介性、可轉(zhuǎn)化性�����、可再生性和無(wú)限應(yīng)用性�。由于其特殊性質(zhì)造成信息資源存在可能被篡改�、偽造�、竊取以及截取等安全隱患����,造成信息的丟失��、泄密,甚至造成病毒的傳播��,從而導(dǎo)致信息系統(tǒng)的不安全性��,給國(guó)家的信息化建設(shè)帶來(lái)不利影響����。因此�����,如何保證信息安全成為亟須解決的重要問(wèn)題��。
信息安全包括以下內(nèi)容:真實(shí)性���,保證信息的來(lái)源真實(shí)可靠;機(jī)密性����,信息即使被截獲也無(wú)法理解其內(nèi)容�����;完整性����,信息的內(nèi)容不會(huì)被篡改或破壞�����;可用性��,能夠按照用戶需要提供可用信息;可控性��,對(duì)信息的傳播及內(nèi)容具有控制能力�����;不可抵賴性,用戶對(duì)其行為不能進(jìn)行否認(rèn)����;可審查性��,對(duì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題提供調(diào)查的依據(jù)和手段���。與傳統(tǒng)的安全問(wèn)題相比,基于網(wǎng)絡(luò)的信息安全有一些新的特點(diǎn):
一是由于信息基礎(chǔ)設(shè)施的固有特點(diǎn)導(dǎo)致的信息安全的脆弱性�。由于因特網(wǎng)與生俱來(lái)的開(kāi)放性特點(diǎn)���,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開(kāi)放性的特點(diǎn)���,通過(guò)網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的����、開(kāi)放的���,而不是封閉的�����、保密的���。這種先天的技術(shù)弱點(diǎn)導(dǎo)致網(wǎng)絡(luò)易受攻擊�。
二是信息安全問(wèn)題的易擴(kuò)散性���。信息安全問(wèn)題會(huì)隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴(kuò)大����。由于因特網(wǎng)的龐大系統(tǒng)��,造成了病毒極易滋生和傳播�����,從而導(dǎo)致信息危害��。
三是信息安全中的智能性、隱蔽性特點(diǎn)���。傳統(tǒng)的安全問(wèn)題更多的是使用物理手段造成的破壞行為,而網(wǎng)絡(luò)環(huán)境下的安全問(wèn)題常常表現(xiàn)為一種技術(shù)對(duì)抗���,對(duì)信息的破壞、竊取等都是通過(guò)技術(shù)手段實(shí)現(xiàn)的����。而且這樣的破壞甚至攻擊也是“無(wú)形”的����,不受時(shí)間和地點(diǎn)的約束��,犯罪行為實(shí)施后對(duì)機(jī)器硬件的信息載體可以不受任何損失�����,甚至不留任何痕跡��,給偵破和定罪帶來(lái)困難��。
信息安全威脅主要來(lái)源于自然災(zāi)害、意外事故��;計(jì)算機(jī)犯罪���;人為錯(cuò)誤����,比如使用不當(dāng)�����,安全意識(shí)差等�;“黑客”行為�����;內(nèi)部泄密;外部泄密�;信息丟失�����;電子諜報(bào)����,比如信息流量分析����、信息竊取等����;信息戰(zhàn)����;網(wǎng)絡(luò)協(xié)議自身缺陷�����,等等���。
二����、我國(guó)信息化中的信息安全問(wèn)題
近年來(lái)���,隨著國(guó)家宏觀管理和支持力度的加強(qiáng)���、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對(duì)國(guó)際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素����,我國(guó)在信息安全管理上的進(jìn)展是迅速的����。但是����,由于我國(guó)的信息化建設(shè)起步較晚����,相關(guān)體系不完善�,法律法規(guī)不健全等諸多因素,我國(guó)的信息化仍然存在不安全問(wèn)題��。
1���、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱����。我國(guó)的信息化建設(shè)發(fā)展迅速�,各個(gè)企業(yè)紛紛設(shè)立自己的網(wǎng)站��,特別是“政府上網(wǎng)工程”全面啟動(dòng)后���,各級(jí)政府已陸續(xù)設(shè)立了自己的網(wǎng)站����,但是由于許多網(wǎng)站沒(méi)有防火墻設(shè)備��、安全審計(jì)系統(tǒng)�、入侵監(jiān)測(cè)系統(tǒng)等防護(hù)設(shè)備�,整個(gè)系統(tǒng)存在著相當(dāng)大的信息安全隱患���。美國(guó)互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報(bào)告稱,在網(wǎng)絡(luò)黑客攻擊的國(guó)家中�,中國(guó)是最大的受害國(guó)���。
2、對(duì)引進(jìn)的國(guó)外設(shè)備和軟件缺乏有效的管理和技術(shù)改造���。由于我國(guó)信息技術(shù)水平的限制�,很多單位和部門直接引進(jìn)國(guó)外的信息設(shè)備�,并不對(duì)其進(jìn)行必要的監(jiān)測(cè)和改造�����,從而給他人入侵系統(tǒng)或監(jiān)聽(tīng)信息等非法操作提供了可乘之機(jī)。
3�����、我國(guó)基礎(chǔ)信息產(chǎn)業(yè)薄弱�,核心技術(shù)嚴(yán)重依賴國(guó)外�,缺乏自主創(chuàng)新產(chǎn)品�����,尤其是信息安全產(chǎn)品����。我國(guó)信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來(lái)自國(guó)外��,這使我國(guó)的網(wǎng)絡(luò)安全性能大大減弱�,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”�����。由于缺乏自主技術(shù)����,我國(guó)的網(wǎng)絡(luò)處于被竊聽(tīng)��、干擾�、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)����。
4���、信息犯罪在我國(guó)有快速發(fā)展趨勢(shì)。除了境外黑客對(duì)我國(guó)信息網(wǎng)絡(luò)進(jìn)行攻擊���,國(guó)內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪,例如傳播病毒���、竊取他人網(wǎng)絡(luò)銀行賬號(hào)密碼等�����。
5、在研究開(kāi)發(fā)�、產(chǎn)業(yè)發(fā)展��、人才培養(yǎng)��、隊(duì)伍建設(shè)等方面與迅速發(fā)展的形勢(shì)極不適應(yīng)。
造成以上問(wèn)題的相關(guān)因素在于:首先��,我國(guó)的經(jīng)濟(jì)基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足�,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開(kāi)發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識(shí)���。其次,全民信息安全意識(shí)淡薄�,警惕性不高����。大多數(shù)計(jì)算機(jī)用戶都曾被病毒感染過(guò),并且病毒的重復(fù)感染率相當(dāng)高�����。
除此之外�,我國(guó)目前信息技術(shù)領(lǐng)域的不安全局面�,也與西方發(fā)達(dá)國(guó)家對(duì)我國(guó)的技術(shù)輸出進(jìn)行控制有關(guān)���。
三��、相關(guān)解決措施
針對(duì)我國(guó)信息安全存在的問(wèn)題,要實(shí)現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)�,還要有嚴(yán)格的法律法規(guī)和信息安全教育����。
1��、加強(qiáng)全民信息安全教育��,提高警惕性�����。從小做起�,從己做起�,有效利用各種信息安全防護(hù)設(shè)備�����,保證個(gè)人的信息安全,提高整個(gè)系統(tǒng)的安全防護(hù)能力��,從而促進(jìn)整個(gè)系統(tǒng)的信息安全���。
2��、發(fā)展有自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)��,加大信息產(chǎn)業(yè)投入。增強(qiáng)自主創(chuàng)新意識(shí),加大核心技術(shù)的研發(fā)��,尤其是信息安全產(chǎn)品����,減小對(duì)國(guó)外產(chǎn)品的依賴程度����。
3���、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國(guó)信息安全的法規(guī)體系��,制定相關(guān)的法律法規(guī),例如信息安全法���、數(shù)字簽名法���、電子信息犯罪法��、電子信息出版法�����、電子信息知識(shí)產(chǎn)權(quán)保護(hù)法、電子信息個(gè)人隱私法��、電子信息進(jìn)出境法等����,加大對(duì)網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度��,對(duì)其進(jìn)行嚴(yán)厲的懲處。
4�、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)�。為了在高技術(shù)環(huán)境下發(fā)展自主知識(shí)產(chǎn)權(quán)的信息安全產(chǎn)業(yè)����,應(yīng)大力培養(yǎng)信息安全專業(yè)人才����,建立信息安全人才培養(yǎng)體系。
5���、加強(qiáng)國(guó)際防范,創(chuàng)造良好的安全外部環(huán)境��。由于網(wǎng)絡(luò)與生俱有的開(kāi)放性、交互性和分散性等特征�,產(chǎn)生了許多安全問(wèn)題�����,要保證信息安全�����,必須積極參與國(guó)際合作�,通過(guò)吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國(guó)際法律規(guī)范,防范來(lái)自世界各地的黑客入侵�����,加強(qiáng)信息網(wǎng)絡(luò)安全����。
第2篇
1 大數(shù)據(jù)概述
1)大數(shù)據(jù)的定義
大數(shù)據(jù)(big data�,mega data)�����,或者稱海量數(shù)據(jù)資源集���,是指嘗試一種全新處理模式和應(yīng)用思維方式才來(lái)預(yù)測(cè)行為的發(fā)生,提前做出準(zhǔn)備應(yīng)對(duì)�����。因?yàn)檫@種預(yù)測(cè)準(zhǔn)確性高,這種模式需要有更強(qiáng)有力地的決策手段���、洞察能力和流程優(yōu)化方法的大規(guī)模�、多樣化的信息資產(chǎn)���,以便更好地適應(yīng)企業(yè)進(jìn)行經(jīng)營(yíng)決策和資源整[3]��。
2)大數(shù)據(jù)的特點(diǎn)
特點(diǎn)如下:第一���,龐大的數(shù)據(jù)量�。從TB級(jí)別,躍升到PB級(jí)別��;其次,廣泛的數(shù)據(jù)類型����。網(wǎng)絡(luò)文字����、圖像����、影音、二維碼等信息���。然后,低密度的價(jià)值����。通過(guò)對(duì)數(shù)以萬(wàn)計(jì)的數(shù)據(jù)信息進(jìn)行地毯式挖掘���,但有提取的用信息只有一星半點(diǎn)。第四���,信息處理速度快。因?yàn)槭褂肦apidMiner數(shù)據(jù)分析技術(shù)和Apache Drill查詢手段�����,對(duì)數(shù)據(jù)的處理只需要1秒����。
2 信息安全問(wèn)題在大數(shù)據(jù)時(shí)代中的現(xiàn)狀
大數(shù)據(jù)��,已經(jīng)滲透到當(dāng)今每一個(gè)行業(yè)和業(yè)務(wù)職能領(lǐng)域�����,成為重要的生產(chǎn)因素。人們對(duì)于海量數(shù)據(jù)的挖掘和運(yùn)用�,預(yù)示著新一波生產(chǎn)率增長(zhǎng)和消費(fèi)者盈余浪潮的到來(lái)���。”這是麥肯錫宣稱的大數(shù)據(jù)策略。與此同時(shí)���,不少人認(rèn)為,我們現(xiàn)在身處于“玻璃房”當(dāng)中����,周圍都是疾速的數(shù)據(jù)流��。如何保護(hù)個(gè)人信息不被挖掘?當(dāng)下又該如何使用好大數(shù)據(jù)這把“雙刃劍”是亟待解決[4]��。
1)大眾非理性的對(duì)待
隨著智能手機(jī)和計(jì)算機(jī)技術(shù)的普及���,對(duì)數(shù)據(jù)處理的生活化十分普遍。同時(shí)���,衍生了網(wǎng)絡(luò)社會(huì)怪現(xiàn)象:網(wǎng)絡(luò)“曬”信息,微信搶紅包和微購(gòu)物等����。生活也漸漸成為了“自我量化”的模式�����,然而這些習(xí)以為常的舉動(dòng)�,很有可能泄露你的個(gè)人信息,造成不必要的損失��。我國(guó)處于在傳統(tǒng)數(shù)據(jù)和大數(shù)據(jù)時(shí)代的過(guò)渡期����,信息泄密事件也隨之泛濫成災(zāi)���。然而這個(gè)更迭的時(shí)期,個(gè)人信息與隱私邊界的模糊化�,人的自我保護(hù)意識(shí)逐漸淡薄�����,促使我們成為隱私度歸零的“透明人”�����。
2)傳統(tǒng)安全技術(shù)的缺陷
近年來(lái),網(wǎng)絡(luò)安全論文威脅層出不窮����,讓企業(yè)����、個(gè)人甚至政府機(jī)構(gòu)等防不勝防。網(wǎng)絡(luò)黑客們總能對(duì)攻擊方案進(jìn)行“創(chuàng)新”����,編輯出殺傷力強(qiáng)大的程序設(shè)計(jì)�。從而達(dá)到入侵網(wǎng)絡(luò)服務(wù)器獲取信息數(shù)據(jù)的目的[5]�����。傳統(tǒng)的防火墻和殺毒軟件只能來(lái)應(yīng)對(duì)移動(dòng)設(shè)備端的入侵手段,而無(wú)法解決黑客對(duì)云端大數(shù)據(jù)庫(kù)的攻擊�����。
3)數(shù)據(jù)價(jià)值屬性的隱患
由于大數(shù)據(jù)價(jià)值密度低的根本屬性�,黑客利用這個(gè)特點(diǎn)�,將制作并編寫(xiě)的攻擊型APT代碼�����,并將其安置隱藏在大數(shù)據(jù)中,使監(jiān)測(cè)的防護(hù)軟件無(wú)法被察覺(jué)。然后進(jìn)行程序運(yùn)行�,但由于其識(shí)別代碼的迅速性��,容易忽略病毒代碼�����,于是將病毒傳輸?shù)酱髷?shù)據(jù)庫(kù)的云端空間服務(wù)器中。然后執(zhí)行APT代碼�,開(kāi)始持續(xù)竊取工作并且進(jìn)行指令整合����,通過(guò)對(duì)用戶的細(xì)小的相關(guān)信息�,來(lái)挖掘出用戶的信息與資料。
3 大數(shù)據(jù)時(shí)代下的信息安全新威脅
1)移動(dòng)設(shè)備的信息泄露
大數(shù)據(jù)時(shí)代移動(dòng)設(shè)備的普及化�,app軟件的興起,不少非法廣告渠道商與黑客將黑手觸及其中���,將惡意代碼、釣魚(yú)代碼和廣告植入到官方軟件中����,然后將其從新包裝,并將包裝后的軟件放置第三方網(wǎng)絡(luò)應(yīng)用平臺(tái)中����,隨后攻擊者假裝成用戶認(rèn)識(shí)的人�����,向用戶發(fā)送短信軟件鏈接�,當(dāng)用戶點(diǎn)擊廣告鏈接�、下載應(yīng)用軟件時(shí)�,其惡意代碼將會(huì)啟動(dòng)��,被感染的移動(dòng)設(shè)備會(huì)對(duì)聊天記錄、上網(wǎng)記錄�����、照片���、性格愛(ài)好等個(gè)人價(jià)值微小信息,并向通訊錄的其他人發(fā)送相同短信�����。犯罪分子通過(guò)數(shù)據(jù)的傳輸把信息竊取出來(lái)���,然后通過(guò)大數(shù)據(jù)進(jìn)行的關(guān)聯(lián)性進(jìn)行深度分析����、挖掘和綜合利用���,導(dǎo)致個(gè)人信息的泄露。
2)網(wǎng)絡(luò)犯罪越演越烈
隨著大數(shù)據(jù)的興盛�,大規(guī)模的數(shù)據(jù)傳輸和網(wǎng)絡(luò)數(shù)據(jù)交易等都是通過(guò)大數(shù)據(jù)的平臺(tái)來(lái)進(jìn)行的����。數(shù)據(jù)平臺(tái)的虛構(gòu)性使得極多的犯罪分子鉆其漏洞����。其中網(wǎng)絡(luò)安全問(wèn)題已經(jīng)不再是最求眼下利益的破壞,而是損壞大數(shù)據(jù)下的關(guān)聯(lián)模式�,使預(yù)測(cè)的準(zhǔn)確性降低���。影響未來(lái)的信息安全。
3)云計(jì)算的安全管理隱患
云數(shù)據(jù)中心因大數(shù)據(jù)時(shí)代的來(lái)臨����,數(shù)據(jù)更加及集中密集��,如果這些數(shù)據(jù)出現(xiàn)問(wèn)題��,無(wú)論是丟失還是被篡改�����,對(duì)任何企業(yè)都會(huì)是一場(chǎng)毀滅性災(zāi)難���。不少企業(yè)對(duì)對(duì)安全防護(hù)的認(rèn)知還有存在較大的誤區(qū)[6]。云計(jì)算的發(fā)現(xiàn)與完善帶來(lái)了許多急待解決的問(wèn)題�,企業(yè)用戶的信息安全將面臨更加嚴(yán)峻的挑戰(zhàn)[7]����。有些云服務(wù)供應(yīng)商對(duì)登記注冊(cè)管理不嚴(yán)格導(dǎo)致了造成了云的泛濫����、惡意的使用以及對(duì)云服務(wù)的攻擊的嚴(yán)重后果�����,對(duì)于大數(shù)據(jù)時(shí)代的發(fā)展產(chǎn)生極為不良的后果�,嚴(yán)重干擾了數(shù)據(jù)的完整性和相關(guān)聯(lián)系[8]�。
4 造成大數(shù)據(jù)時(shí)代信息安全缺位的原因
1)自我量化導(dǎo)致安全意識(shí)淡薄
如今����,數(shù)據(jù)代表著某事物的描述��,這種數(shù)據(jù)可以進(jìn)行分析�����、整合與記錄�。在大數(shù)據(jù)的時(shí)代����,人們開(kāi)始利用數(shù)據(jù)的核心屬性“量化一切”來(lái)對(duì)生活進(jìn)行轉(zhuǎn)換��。然而在當(dāng)“文字轉(zhuǎn)換數(shù)據(jù)、方位轉(zhuǎn)換數(shù)據(jù)��、溝通轉(zhuǎn)換數(shù)據(jù)甚至世界萬(wàn)物轉(zhuǎn)換數(shù)據(jù)”時(shí)���,人們不會(huì)把個(gè)體看作成體事物����,而是視為一堆數(shù)據(jù)庫(kù)的集合時(shí)����,便會(huì)覺(jué)得生活本該就是由數(shù)據(jù)構(gòu)成[8]���。于是就開(kāi)始將圖片信息,個(gè)人資料肆無(wú)忌憚的公開(kāi)在網(wǎng)絡(luò)的大數(shù)據(jù)��,信息泄露的問(wèn)題也隨之降臨����。信息的泄露�����,會(huì)威脅著人們的信息保密工作[9],但這種泄露手段卻是大數(shù)據(jù)的掩蓋下神不知鬼不覺(jué)地發(fā)生著��。
2)黑色產(chǎn)業(yè)鏈中的利益驅(qū)使
當(dāng)大數(shù)據(jù)方興未艾時(shí)���,一些app開(kāi)發(fā)商與病毒的制作者組織在一起進(jìn)行合作���,對(duì)一些知名軟件做出反編譯處理�,并在其中插入惡意����、廣告代碼等�。然后將這些被處理的軟件打包投放到應(yīng)用市場(chǎng)���,當(dāng)用戶點(diǎn)擊其中的應(yīng)用和廣告鏈接時(shí),將會(huì)產(chǎn)生一定的推廣利益�����。這是大數(shù)據(jù)時(shí)代下病毒制作者�����、app開(kāi)發(fā)商與非法廣告提供商三者形成的黑色產(chǎn)業(yè)鏈,而這種產(chǎn)業(yè)鏈將會(huì)污染大數(shù)據(jù)的環(huán)境�,并且會(huì)使數(shù)據(jù)資源出現(xiàn)斷層�����,其關(guān)聯(lián)性被損壞從而引發(fā)信息安全問(wèn)題�����。
3)安全法規(guī)的強(qiáng)滯后性
大數(shù)據(jù)的信息挖掘十分強(qiáng)大,它可以對(duì)網(wǎng)上數(shù)據(jù)源進(jìn)行索引�,尋得個(gè)人的細(xì)微信息,揭示其行為規(guī)律[10]��,這使安全隱私問(wèn)題頻頻發(fā)生���。當(dāng)人們用法律法規(guī)去駕馭大數(shù)據(jù)下的信息安全時(shí),發(fā)現(xiàn)法律法規(guī)的滯后性�����,無(wú)法滿足大數(shù)據(jù)時(shí)代的預(yù)測(cè)和關(guān)聯(lián)性使信息安全衍生的問(wèn)題具有多變性����。
5 大數(shù)據(jù)時(shí)代信息安全的措施
1)信息安全保護(hù)應(yīng)納入國(guó)家戰(zhàn)略資源的保護(hù)范疇
數(shù)據(jù)的運(yùn)用已滲入了社會(huì)生活的各個(gè)方面�����,大數(shù)據(jù)為國(guó)家及時(shí)掌握社會(huì)動(dòng)態(tài)�����,分析社會(huì)民情,觀察社會(huì)變化提供了重要的數(shù)據(jù)來(lái)源�����。例如網(wǎng)上購(gòu)物的發(fā)貨地址及其商品的變化�����,能很好地為國(guó)家分析各地的產(chǎn)業(yè)經(jīng)濟(jì)的變化提供有力的數(shù)據(jù),這些數(shù)據(jù)也屬于大數(shù)據(jù)的范疇���,這些數(shù)據(jù)對(duì)于國(guó)家有其特殊的戰(zhàn)略意義[11]。由此可見(jiàn)��,數(shù)據(jù)之于國(guó)家戰(zhàn)略的重要性�����,將其包含于戰(zhàn)略資源加以保護(hù)尤為重要。“國(guó)家網(wǎng)絡(luò)與信息安全戰(zhàn)略下的云”這一明確表述出現(xiàn)于2015年4月15號(hào)的中國(guó)數(shù)據(jù)中心大會(huì)中�,表明對(duì)于信息安全的保護(hù)已經(jīng)上升至國(guó)家戰(zhàn)略層面����,這事件對(duì)于我國(guó)在新形勢(shì)下對(duì)于網(wǎng)絡(luò)信息安全及個(gè)人信息的保護(hù)具有里程碑式的重要意義�。
2)加強(qiáng)信息安全的立法工作
在新形勢(shì)下����,相較于傳統(tǒng)的保護(hù)措施及僅從技術(shù)層面上加以防范已經(jīng)不能滿足如今的現(xiàn)實(shí)需求���,從法律層面出發(fā),制定研究能夠適應(yīng)大數(shù)據(jù)時(shí)代下的信息保護(hù)法律��,才能真正地為信息的保護(hù)樹(shù)立防范之本。許多IT企業(yè)的負(fù)責(zé)人呼吁國(guó)家應(yīng)頒布信息安全相關(guān)的法律和加強(qiáng)對(duì)信息安全的保護(hù)工作�����,信息安全問(wèn)題已引起了社會(huì)各階層的眾多討論[12]����。這表明信息保護(hù)已不再是一個(gè)行業(yè)問(wèn)題���,而演變?yōu)橐粋€(gè)與每個(gè)人都緊密相關(guān)的重要安全問(wèn)題,這對(duì)保護(hù)網(wǎng)絡(luò)安全意義重大�����。
3)加強(qiáng)對(duì)數(shù)據(jù)的行政監(jiān)管
在如今的互聯(lián)網(wǎng)時(shí)代�����,數(shù)據(jù)顯示出了其之前從不具有的巨大價(jià)值,某些商業(yè)機(jī)構(gòu)運(yùn)用個(gè)人信息數(shù)據(jù)能通過(guò)較小成本博取很高的經(jīng)濟(jì)利潤(rùn)����,在個(gè)人信息安全法律沒(méi)有制定的今天�,某些企業(yè)只需要面對(duì)較小的違法成本就能換取巨大的經(jīng)濟(jì)利益[14]。對(duì)于這種情況�����,我國(guó)應(yīng)制定與其相適應(yīng)的安全標(biāo)準(zhǔn)�,使這種行為始終處在透明的監(jiān)管環(huán)境下�,保護(hù)個(gè)人信息安全及隱私不被侵犯,使對(duì)個(gè)人數(shù)據(jù)的使用始終保持在正確的軌道上�����。2013年2月1日起實(shí)施的《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》指出對(duì)于數(shù)據(jù)的使用�����,必須要征得信息當(dāng)事人的明確同意�。在對(duì)信息的行政監(jiān)管上�,此指南的頒布意味著我國(guó)的信息保護(hù)工作走向了一個(gè)全新的層面[15]���。
4)加強(qiáng)對(duì)信息安全的技術(shù)保護(hù)
技術(shù)保護(hù)是法律保護(hù)的具體化、現(xiàn)實(shí)化���,它將法律保護(hù)落實(shí)到實(shí)質(zhì)層面,是體現(xiàn)法律保護(hù)的有力工具��。在相關(guān)法律還沒(méi)有正式實(shí)施的階段�,技術(shù)保護(hù)仍是我們保護(hù)信息不可或缺的有效武器[16]����。信息技術(shù)的發(fā)展日新月異�,需要我國(guó)大力重視信息技術(shù)的發(fā)展,不斷創(chuàng)造及創(chuàng)新����,突破新技術(shù)�,研發(fā)新技術(shù)�,提升我國(guó)在信息技術(shù)領(lǐng)域的競(jìng)爭(zhēng)力���,為我國(guó)的信息保護(hù)工作提供牢靠的技術(shù)保障�����。
5)加強(qiáng)行業(yè)自律與監(jiān)管
僅僅依靠國(guó)家機(jī)關(guān)的行政監(jiān)督仍不能有效保護(hù)信息的安全,我們應(yīng)引入行業(yè)競(jìng)爭(zhēng)��,使它們相互監(jiān)督����,這能在最大程度上保護(hù)信息安全��。所以���,國(guó)家有關(guān)部門應(yīng)組織相關(guān)企業(yè)組成行業(yè)委員會(huì),制定行業(yè)安全標(biāo)準(zhǔn)和條約�,明確它們的權(quán)利及義務(wù)��,使相關(guān)企業(yè)間的互相監(jiān)督變?yōu)楝F(xiàn)實(shí)�����,成為一個(gè)保護(hù)信息安全的有效辦法���。同時(shí)�����,國(guó)家有關(guān)部門應(yīng)給予相應(yīng)的資金及政策支持。
大數(shù)據(jù)為我們提供更為真實(shí)的數(shù)據(jù)的同時(shí)也大大降低了數(shù)據(jù)獲取的成本���,這使得我們能更好地服務(wù)社會(huì),適應(yīng)社會(huì)變化�����,改善社會(huì),我們的社會(huì)會(huì)應(yīng)大數(shù)據(jù)而變得更美好[17]���。大數(shù)據(jù)的運(yùn)用仍有其隱患,它就像把雙刃劍��,在最大程度上運(yùn)用它的關(guān)聯(lián)方面的“預(yù)測(cè)”同時(shí)也應(yīng)最大限度地避免其所帶來(lái)的風(fēng)險(xiǎn)����。這風(fēng)險(xiǎn)就是信息資源的泄露��,在運(yùn)用數(shù)據(jù)的同時(shí)不能忽視對(duì)數(shù)據(jù)的保護(hù)��。
參考文獻(xiàn):
第3篇
關(guān)鍵詞:電子政務(wù) 風(fēng)險(xiǎn) 防范措施
中圖分類號(hào):C93文獻(xiàn)標(biāo)識(shí)碼: A
一、 電子政務(wù)概述
電子政務(wù)���,亦稱電子政府、政府信息化管理,是政府機(jī)構(gòu)以計(jì)算機(jī)為媒介�����,應(yīng)用現(xiàn)代信息和通信技術(shù),將政府的管理和服務(wù)工作通過(guò)網(wǎng)絡(luò)技術(shù)進(jìn)行集合���,以實(shí)現(xiàn)政府部門工作的進(jìn)行以及組織結(jié)構(gòu)的優(yōu)化重組,從而及時(shí)向社會(huì)及公眾提供全方位�����、行之有效的管理和服務(wù)����。
電子政務(wù)是政府管理方式的革命����,它的運(yùn)行有助于建立一個(gè)開(kāi)放透明的政府���,一個(gè)勤政廉潔的政府。電子政務(wù)職能實(shí)現(xiàn)的前提是信息安全的有效保障���,大量政府公文在政務(wù)信息網(wǎng)絡(luò)上的流轉(zhuǎn),一旦存在信息安全問(wèn)題�����,則直接導(dǎo)致機(jī)密數(shù)據(jù)和信息的泄漏����,危及到政府的核心政務(wù)。如果電子政務(wù)信息安全得不到保障�����,電子政務(wù)的效率便無(wú)從保證��,這將給國(guó)家利益帶來(lái)嚴(yán)重威脅。所以說(shuō)��,信息安全是制約電子政務(wù)建設(shè)與發(fā)展的首要問(wèn)題和核心問(wèn)題�����。
二、 電子政務(wù)面臨的風(fēng)險(xiǎn)
(一) 認(rèn)知層面的風(fēng)險(xiǎn)
電子政務(wù)在國(guó)內(nèi)建設(shè)與使用時(shí)間不長(zhǎng)����,缺乏深入研究��。一些人只是簡(jiǎn)單地認(rèn)為電子政務(wù)系統(tǒng)就是信息化,只要實(shí)現(xiàn)了網(wǎng)絡(luò)數(shù)字化就可以推行電子政務(wù)����,從而出現(xiàn)盲目建設(shè)、脫離現(xiàn)實(shí)條件等問(wèn)題����;還有一部分人認(rèn)為電子政務(wù)就是運(yùn)用計(jì)算機(jī)代替?zhèn)鹘y(tǒng)手工模式,這就固化了現(xiàn)有政府結(jié)構(gòu)���,不利于政府的改造與職能的轉(zhuǎn)變���。
(二) 規(guī)劃層面的風(fēng)險(xiǎn)
規(guī)劃層面的風(fēng)險(xiǎn)主要有:規(guī)劃制定人員�、規(guī)劃的范圍和內(nèi)容��、規(guī)劃計(jì)劃的實(shí)施步驟�、規(guī)劃中的政策因素等等���。
信息技術(shù)的進(jìn)一步應(yīng)用,使得政府的組織形態(tài)正在由傳統(tǒng)的金字塔垂直模式向錯(cuò)綜復(fù)雜的網(wǎng)狀結(jié)構(gòu)轉(zhuǎn)變����,這就要求政務(wù)機(jī)構(gòu)的運(yùn)行方式作出相應(yīng)轉(zhuǎn)變,進(jìn)行電子政務(wù)的整體規(guī)劃����。電子政務(wù)是整個(gè)系統(tǒng)建設(shè)的基礎(chǔ),是項(xiàng)目成功的基本保障�。只有了解了本地區(qū)的發(fā)展現(xiàn)狀,了解地方政府的特點(diǎn)���,了解本地區(qū)的政務(wù)工作流程�����,才能編制出適合本地區(qū)電子政務(wù)的發(fā)展規(guī)劃。但目前�����,地方政府在電子政務(wù)方面的規(guī)劃明顯不足���,缺乏可操作性,這就導(dǎo)致在使用過(guò)程中面臨著很大風(fēng)險(xiǎn)��。
(三) 物理安全層面的風(fēng)險(xiǎn)
物理安全層面的風(fēng)險(xiǎn)主要指的是網(wǎng)絡(luò)環(huán)境和物理特性引起的網(wǎng)絡(luò)設(shè)備和線路的不可用�,從而造成網(wǎng)絡(luò)系統(tǒng)的不可用����。例如�,線路老化����、蓄意破壞����、設(shè)備意外故障�、自然災(zāi)害等�, 這些都屬于物理安全層面的潛在風(fēng)險(xiǎn)因素。
(四) 應(yīng)用層面的風(fēng)險(xiǎn)
應(yīng)用層面的風(fēng)險(xiǎn)主要表現(xiàn)為非法訪問(wèn)�,即竊取用戶口令���、用戶信息被剽竊或修改等,由于政府網(wǎng)絡(luò)對(duì)外提供WWW服務(wù)�����,Email服務(wù)��、DNS服務(wù)等���,因此也存在著外網(wǎng)非法用戶對(duì)內(nèi)部服務(wù)器的攻擊�。
(五) 系統(tǒng)層面的風(fēng)險(xiǎn)
當(dāng)前電子政務(wù)網(wǎng)通常采用的操作系統(tǒng)本身在安全方面的考慮較少����,服務(wù)器與數(shù)據(jù)庫(kù)的安全級(jí)別較低,這在很大程度上存在著安全隱患���,加之病毒的潛伏,這些都增加了系統(tǒng)在安全方面的脆弱性�。
(六) 技術(shù)層面的風(fēng)險(xiǎn)
技術(shù)層面的風(fēng)險(xiǎn)主要表現(xiàn)為技術(shù)線路����、設(shè)備選型、工程質(zhì)量�、系統(tǒng)性能等風(fēng)險(xiǎn)��。技術(shù)層面的風(fēng)險(xiǎn)不僅關(guān)系到項(xiàng)目的實(shí)施情況�����,也關(guān)系到項(xiàng)目后期的維護(hù)和應(yīng)用?���,F(xiàn)階段受技術(shù)發(fā)展的制約,我們?cè)诩夹g(shù)方面還存在著很大欠缺����,因此存在著一定的技術(shù)風(fēng)險(xiǎn)�。
(七) 資金層面的風(fēng)險(xiǎn)
受利益的驅(qū)使�����,有些部門在制定規(guī)劃時(shí)��,將電子政務(wù)的規(guī)模越做越大����,虛設(shè)資金越來(lái)越多��,這就使得電子政務(wù)的建設(shè)變得越來(lái)越困難。除此之外�����,在資金使用方面�����,由于缺乏對(duì)部門資金的有效監(jiān)督,使得資金浪費(fèi)現(xiàn)象嚴(yán)重�。如果不能合理計(jì)劃和控制資金的流向�����,這將直接影響電子政務(wù)的建設(shè)���,甚至促使一種新的腐敗的產(chǎn)生���。另外����,在后期維護(hù)上�����,電子政務(wù)系統(tǒng)也需要運(yùn)營(yíng)資金的支持,沒(méi)有了運(yùn)營(yíng)資金的有效支持�����,就沒(méi)有了電子政務(wù)的內(nèi)容來(lái)源�。
(八) 管理層面的風(fēng)險(xiǎn)
在電子政務(wù)運(yùn)行過(guò)程中需要管理的內(nèi)容主要有規(guī)劃管理���、技術(shù)管理�、過(guò)程管理、運(yùn)維管理�����、安全管理等���。管理的風(fēng)險(xiǎn)不僅體現(xiàn)在單個(gè)項(xiàng)目的管理���,也體現(xiàn)在根據(jù)規(guī)劃對(duì)相關(guān)項(xiàng)目群的管理風(fēng)險(xiǎn)�。管理風(fēng)險(xiǎn)是項(xiàng)目實(shí)施過(guò)程中最主要的風(fēng)險(xiǎn)���,是項(xiàng)目成敗與否的關(guān)鍵��。隨著信息系統(tǒng)建設(shè)和應(yīng)用規(guī)模的不斷擴(kuò)大�����,管理的難度和風(fēng)險(xiǎn)還將不斷加大,但與此同時(shí)���,政府部門缺乏信息化項(xiàng)目管理的專業(yè)人員����,缺乏項(xiàng)目管理的風(fēng)險(xiǎn)意識(shí)����,這與快速發(fā)展的電子政務(wù)管理要求不相匹配��。
三�、 電子政務(wù)管理防范措施
(一)強(qiáng)化信息管理人員的安全意識(shí)
電子政務(wù)信息安全是電子政務(wù)正常而高效運(yùn)轉(zhuǎn)的基礎(chǔ)����,是保障國(guó)家信息安全的重要前提,電子政務(wù)信息管理人員要正確認(rèn)識(shí)并高度重視�,及時(shí)發(fā)現(xiàn)影響信息安全的現(xiàn)象���。政府部門要對(duì)信息管理人員進(jìn)行必要的培訓(xùn),普及信息安全知識(shí)��,增強(qiáng)信息管理人員的安全意識(shí)��;積極開(kāi)展安全策略研究����,明確安全責(zé)任�����,增強(qiáng)信息管理人員的責(zé)任心;積極組織各種講座和培訓(xùn)班���,培養(yǎng)專業(yè)信息安全人才,確保防范手段和技術(shù)措施的先進(jìn)性和主動(dòng)性�。
(二)實(shí)施保障措施�����,建立系統(tǒng)安全保障體系
電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)的威脅無(wú)處不在����,它主要來(lái)自于物理環(huán)境、技術(shù)環(huán)境���、社會(huì)環(huán)境等。建立全方位的電子政務(wù)信息系統(tǒng)安全保障體系是規(guī)避電子政務(wù)安全威脅因素的必要方式�����。在充分分析系統(tǒng)安全風(fēng)險(xiǎn)的基礎(chǔ)上����,通過(guò)制定系統(tǒng)安全策略和采用先進(jìn)的安全技術(shù)���,才能對(duì)系統(tǒng)實(shí)施安全防護(hù)和監(jiān)控,使其真正成為智能型系統(tǒng)安全體系����。具體做法有:
1.實(shí)施監(jiān)測(cè)系統(tǒng)的運(yùn)行情況��,及時(shí)發(fā)現(xiàn)和制止可能對(duì)系統(tǒng)出現(xiàn)威脅的各種攻擊;
2.記錄和分析安全審計(jì)數(shù)據(jù)����,檢查系統(tǒng)中出現(xiàn)的違規(guī)行為��,判斷是否違反法律法規(guī),為改進(jìn)系統(tǒng)提供充足的依據(jù)���;
3.對(duì)數(shù)據(jù)恢復(fù)應(yīng)進(jìn)行應(yīng)急處理和響應(yīng),及時(shí)恢復(fù)信息��,降低被攻擊的破壞程度��,包括備份、自動(dòng)恢復(fù)���、快速恢復(fù)等�����。
(三)制定合理資金計(jì)劃�,確保有序利用
充足的資金是保證電子政務(wù)順利開(kāi)展的必要條件��。前期指定電子政務(wù)建設(shè)的方案中��,要根據(jù)本單位�����、本部門的實(shí)際情況制定合理的資金預(yù)算方案,確保不虛報(bào)資金預(yù)算��,杜絕腐敗滋生����;在后期維護(hù)過(guò)程中�,資金也要及時(shí)到位�,以確保電子政務(wù)信息系統(tǒng)的順利進(jìn)行�。
(四)健全電子政務(wù)法律法規(guī)建設(shè)
法律是保障電子政務(wù)信息安全的最有力手段���。政府立法部門應(yīng)加快立法進(jìn)程���,借鑒國(guó)外網(wǎng)絡(luò)信息安全立法方面的先進(jìn)經(jīng)驗(yàn)��,制定完備的信息網(wǎng)絡(luò)安全性法規(guī)�����,完善我國(guó)的網(wǎng)絡(luò)信息安全法律體系,使得電子政務(wù)信息安全管理走上法制化軌道�。
電子政務(wù)是實(shí)現(xiàn)“電子政府”的有效途徑��,在政府推動(dòng)信息化的同時(shí)�����,也要注意其過(guò)程中產(chǎn)生的風(fēng)險(xiǎn),正視風(fēng)險(xiǎn)本身�����,加快制定保障電子政務(wù)健康發(fā)展的政策法規(guī)�����,才能降低風(fēng)險(xiǎn)��,從而有力地推動(dòng)和改進(jìn)政府的管理方式�����,才能有助于更好的發(fā)揮其政府職能。
參考文獻(xiàn):
[1]方德英���,李敏強(qiáng).IT項(xiàng)目風(fēng)險(xiǎn)管理理論體系構(gòu)建[J].合肥工業(yè)大學(xué)學(xué)報(bào)(自然科學(xué)版)��,2003����,,2(8):907-908.
[2]費(fèi)朵���,鄒家繼.項(xiàng)目風(fēng)險(xiǎn)識(shí)別防范探討[J].物流科技�����,2008(08):139-141.
第4篇
論文關(guān)鍵詞:信息系統(tǒng)�����;安全管理;體系
現(xiàn)代金融業(yè)是基于信息��、高度計(jì)算化�、分散�、相互依存的產(chǎn)業(yè)���,有人形象地把信息系統(tǒng)歸結(jié)為銀行業(yè)的“核心資本”。金融信息化帶來(lái)的是銀行業(yè)務(wù)信息系統(tǒng)在網(wǎng)絡(luò)結(jié)構(gòu)���、業(yè)務(wù)關(guān)系、角色關(guān)系等方面的復(fù)雜化�。而越是復(fù)雜的系統(tǒng)�����,其安全風(fēng)險(xiǎn)就越高��。在系統(tǒng)中每增加一種訪問(wèn)的方式就增加了一些入侵的機(jī)會(huì)��;每增加一些訪問(wèn)的人群就引入了一些可能受到惡意破壞的風(fēng)險(xiǎn)。據(jù)2003年一項(xiàng)對(duì)全球前500家金融機(jī)構(gòu)的安全調(diào)查(2003GlobaleS curity Survey���,Deloitte Touche Tohmat—su),39%受調(diào)查的機(jī)構(gòu)承認(rèn)2002年曾受到一定形式的系統(tǒng)攻擊�����;美國(guó)聯(lián)邦法院2004年所作的一系列有關(guān)信息犯罪的案件中����,有多件涉及金融機(jī)構(gòu)���。這些統(tǒng)計(jì)數(shù)字和報(bào)道出的事件�,只是我們面臨信息系統(tǒng)安全威脅的冰山一角,因此加速建設(shè)金融信息系統(tǒng)中的安全保障體系變得更加緊迫����。
長(zhǎng)期以來(lái),人們對(duì)保障信息系統(tǒng)安全的手段偏重于依靠技術(shù)��,從早期的加密技術(shù)��、數(shù)據(jù)備份�����、防病毒到近期網(wǎng)絡(luò)環(huán)境下的防火墻����、入侵檢測(cè)��、漏洞掃描�、身份認(rèn)證等等��。但事實(shí)上��,僅僅依靠安全技術(shù)和安全產(chǎn)品保障信息系統(tǒng)安全的愿望卻往往難盡人意���,許多復(fù)雜、多變的安全威脅和隱患靠安全產(chǎn)品是無(wú)法消除的����。據(jù)有關(guān)部門統(tǒng)計(jì)��,在所有的計(jì)算機(jī)安全事件中�,約有52%是人為因素造成的���,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起�����,技術(shù)錯(cuò)誤占10%��,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成�����。簡(jiǎn)單歸類���,屬于管理方面的原因比重高達(dá)6O%以上,而這些安全問(wèn)題中的95%是可以通過(guò)科學(xué)的信息安全管理來(lái)避免��。因此����,加強(qiáng)安全管理已成為提高信息系統(tǒng)安全保障能力的可靠保證�����,是金融信息系統(tǒng)安全體系建設(shè)的重點(diǎn)�����。
1安全管理體系構(gòu)建
信息安全源于有效的管理����,使技術(shù)發(fā)揮最佳效果的基礎(chǔ)是要有一定的信息安全管理體系��,只有在建立防范的基礎(chǔ)上�,加強(qiáng)預(yù)警、監(jiān)控和安全反擊�,才能使信息系統(tǒng)的安全維持在一個(gè)較高的水平之上。因此����,安全管理體系的建設(shè)是確保信息系統(tǒng)安全的重要基礎(chǔ)����,是金融信息系統(tǒng)安全保障體系建設(shè)最為重要的一環(huán)���。為在金融信息系統(tǒng)中建立全新的安全管理機(jī)制��,最可行的做法是技術(shù)與管理并重,安全管理法規(guī)�����、措施和制度與整體安全解決方案相結(jié)合����,并輔之以相應(yīng)的安全管理工具�,構(gòu)建科學(xué)�、合理的安全管理體系���。
金融信息系統(tǒng)安全管理體系是在金融信息系統(tǒng)安全保障整體解決方案基礎(chǔ)上構(gòu)建的�����,它包括信息安全法規(guī)、措施和制度��,安全管理平臺(tái)及信息安全培訓(xùn)和安全隊(duì)伍建設(shè)����,其示意圖如圖1所示。
2安全管理平臺(tái)
安全管理平臺(tái)是通過(guò)采用技術(shù)手段實(shí)施金融信息系統(tǒng)安全管理的平臺(tái)����,它包括安全預(yù)警管理�、安全監(jiān)控管理、安全防護(hù)與響應(yīng)管理和安全反擊管理���。
2.1安全預(yù)警管理
安全預(yù)警管理的功能由預(yù)警系統(tǒng)實(shí)現(xiàn),通過(guò)該系統(tǒng)�����,可以在安全風(fēng)險(xiǎn)動(dòng)態(tài)威脅和影響金融信息系統(tǒng)前�����,事先傳送相關(guān)的警示,讓管理員采取主動(dòng)式的步驟�,在安全風(fēng)險(xiǎn)影響運(yùn)作前加以攔阻��,從而預(yù)防全網(wǎng)業(yè)務(wù)中斷�����、效能損失或?qū)ζ涔娦抛u(yù)造成危害,達(dá)到提前保護(hù)自己的作用。安全預(yù)警系統(tǒng)通過(guò)追蹤最新的攻擊技術(shù)�,分析威脅信息以辨識(shí)出真正潛在的攻擊����,迅速響應(yīng)并提供定制化威脅分析及個(gè)性化的漏洞和惡意代碼告警服務(wù)���,幫助降低風(fēng)險(xiǎn)����,防患于未然��。
2.2安全監(jiān)控管理
通過(guò)安全監(jiān)控功能可以實(shí)時(shí)監(jiān)控金融信息系統(tǒng)的安全態(tài)勢(shì)、發(fā)生了哪些攻擊�����、出現(xiàn)了什么異常����、系統(tǒng)存在什么漏洞以及產(chǎn)生了哪些危險(xiǎn)日志等,因此安全監(jiān)控功能對(duì)于金融信息系統(tǒng)的安全保障體系來(lái)說(shuō)是至關(guān)重要的。
1)基于實(shí)時(shí)性的安全監(jiān)控����。通過(guò)在線方式管理金融信息系統(tǒng)中的資源狀態(tài)和實(shí)時(shí)安全事件��,及時(shí)關(guān)注IT資源和安全風(fēng)險(xiǎn)的現(xiàn)狀和趨勢(shì)�����,通過(guò)實(shí)時(shí)監(jiān)控來(lái)提高系統(tǒng)的安全性和IT資源的效能。
2)基于智能化的安全監(jiān)控�。利用智能信息處理技術(shù)對(duì)信息網(wǎng)絡(luò)中的各種安全事件進(jìn)行智能處理�,實(shí)現(xiàn)報(bào)警信息的精煉化��,提高報(bào)警信息的可用信息量�����,降低安全設(shè)備的虛警和誤警��,從而有效地提高安全保障系統(tǒng)中報(bào)警信息的可信度���。
3)基于可視化的安全監(jiān)控���。通過(guò)對(duì)安全事件分析過(guò)程與分析報(bào)告的可視化手段,如圖表/曲線/數(shù)據(jù)表/關(guān)聯(lián)關(guān)系圖等����,提供詳細(xì)的入侵攻擊信息乃至重現(xiàn)攻擊場(chǎng)景��,實(shí)現(xiàn)對(duì)入侵攻擊行為的追蹤��,使得對(duì)安全事件的分析更為直觀����,從而有效提高安全管理人員對(duì)于入侵攻擊的監(jiān)控理解�,使安全系統(tǒng)的管理更為有效�。
4)基于分布式的安全監(jiān)控���。通過(guò)系統(tǒng)分布式的多級(jí)部署方式�����,可以實(shí)現(xiàn)對(duì)金融信息系統(tǒng)內(nèi)各個(gè)子系統(tǒng)的監(jiān)控和綜合分析能力��,同時(shí)對(duì)不同安全保護(hù)等級(jí)的用戶提供相應(yīng)的監(jiān)控界面和信息�����,從而嚴(yán)格滿足其安全等級(jí)劃分的用戶級(jí)要求。
2.3安全防護(hù)與響應(yīng)管理
在金融信息系統(tǒng)的安全系統(tǒng)中由于安全的異構(gòu)屬性�,因此會(huì)采用不同的安全技術(shù)和不同廠家的安全產(chǎn)品來(lái)實(shí)現(xiàn)安全防護(hù)的目的�。通過(guò)安全防護(hù)與響應(yīng)管理可以及時(shí)響應(yīng)和優(yōu)化整個(gè)系統(tǒng)安全防護(hù)策略���;最直接的響應(yīng)就是提供多種方式,如報(bào)警燈��、窗日�、郵件����、手機(jī)短信等向安全管理員報(bào)警,然后日志保存在本地?cái)?shù)據(jù)庫(kù)或者異地?cái)?shù)據(jù)庫(kù)中�����。
1)優(yōu)化安全策略分析�����。通過(guò)實(shí)時(shí)掌握自身的安全態(tài)勢(shì)�,及各種安全設(shè)備����、網(wǎng)絡(luò)設(shè)備���、安全系統(tǒng)和業(yè)務(wù)系統(tǒng)的處理情況,輸出正常和非法個(gè)性化的安全策略報(bào)表��,然后直接通知相應(yīng)的安全管理人員或廠商對(duì)其自身策略進(jìn)行優(yōu)化調(diào)整���。
2)動(dòng)態(tài)響應(yīng)策略調(diào)整。通過(guò)對(duì)各種安全響應(yīng)協(xié)議的支持����,如SNMP�����、TOPSEC、聯(lián)動(dòng)協(xié)議等��,實(shí)現(xiàn)相關(guān)的安全防護(hù)技術(shù)策略的自動(dòng)交互���,同時(shí)通過(guò)專家知識(shí)庫(kù)能從全局的角度去響應(yīng)安全事件很好地解決安全誤報(bào)問(wèn)題。
3)安全服務(wù)自動(dòng)協(xié)調(diào)���。當(dāng)智能分析和安全定位功能確認(rèn)出安全事件或安全故障時(shí)�����,及時(shí)調(diào)派安全服務(wù)人員小組(或提供安全服務(wù)的供應(yīng)商)進(jìn)行相應(yīng)的安全加固防護(hù)�。
2.4安全反擊管理
安全反擊管理包括安全事件的取證管理和安全事件的追蹤反擊。
1)安全事件的取證管理���。取證在網(wǎng)絡(luò)與信息系統(tǒng)安全事件的調(diào)查中是非常有用的工具,通過(guò)對(duì)系統(tǒng)安全事件的存儲(chǔ)和分析���,實(shí)現(xiàn)對(duì)安全事件的取證管理,給相關(guān)調(diào)查人員提供安全事件的直接取證���。
2)安全事件的追蹤反擊。通過(guò)資源狀態(tài)分析�、關(guān)聯(lián)分析���、專家系統(tǒng)分析等有效手段,檢測(cè)到攻擊類型��,并定位攻擊源��。隨后���,系統(tǒng)自動(dòng)對(duì)目標(biāo)進(jìn)行掃描,并將掃描結(jié)果告知安全管理員����,并提示安全管理員查詢知識(shí)庫(kù)�����,從中提取有效手段對(duì)攻擊源進(jìn)行反擊控制。
3安全管理措施建議
在安全管理技術(shù)手段的基礎(chǔ)上���,還要提高安全管理水平。俗話說(shuō)“三分技術(shù)�����,七分管理”��,由于金融信息系統(tǒng)相對(duì)比較封閉���,對(duì)于金融信息系統(tǒng)安全來(lái)說(shuō),業(yè)務(wù)邏輯和操作規(guī)范的嚴(yán)密程度是關(guān)鍵。因此�,加強(qiáng)金融信息系統(tǒng)的內(nèi)部安全管理措施��,建立領(lǐng)導(dǎo)組織體系����,完善落實(shí)內(nèi)控制度,強(qiáng)化日常操作管理�����,是提升安全管理水平的根本����。
1)完善安全管理機(jī)構(gòu)的建設(shè)��。目前,我國(guó)已經(jīng)把信息安全提到了促進(jìn)經(jīng)濟(jì)發(fā)展��、維護(hù)社會(huì)穩(wěn)定�����、保障國(guó)家安全�、加強(qiáng)精神文明建設(shè)的高度���,并提出了“積極防御、綜合防范”的信息安全管理方針��,專門成立了網(wǎng)絡(luò)與信息安全領(lǐng)導(dǎo)小組�、國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心(簡(jiǎn)稱CNCERT/CC)�����、中國(guó)信息安全產(chǎn)品測(cè)評(píng)認(rèn)證中心(簡(jiǎn)稱CNITSEC)等,初步建成了國(guó)家信息安全組織保障體系�。為確保金融信息系統(tǒng)的安全����,在金融信息系統(tǒng)內(nèi)部應(yīng)組建安全管理小組(或委員會(huì))�����,安全管理小組制定出符合企業(yè)需要的信息安全管理策略����,具體包括安全管理人員的義務(wù)和職責(zé)��、安全配置管理策略���、系統(tǒng)連接安全策略、傳輸安全策略�����、審計(jì)與入侵安全策略���、標(biāo)簽策略��、病毒防護(hù)策略����、安全備份策略����、物理安全策略、系統(tǒng)安全評(píng)估體系等內(nèi)容�����。安全管理應(yīng)盡量把各種安全策略要求文檔化和規(guī)范化��,以保證安全管理工作具有明確的依據(jù)或參照。
2)在保證信息系統(tǒng)設(shè)備的運(yùn)行穩(wěn)定可靠和信息系統(tǒng)運(yùn)行操作的安全可靠的前提下�����,增加安全機(jī)制��,如進(jìn)行安全域劃分�,進(jìn)行有針對(duì)性的安全設(shè)備部署和安全策略設(shè)置,以改進(jìn)對(duì)重要區(qū)域的分割防護(hù)�;增加入侵檢測(cè)系統(tǒng)�����、漏洞掃描�����、違規(guī)外聯(lián)等安全管理工具����,進(jìn)行定時(shí)監(jiān)控����、事件管理和鑒定分析�,以提高自身的動(dòng)態(tài)防御能力�����;完善已有的防病毒系統(tǒng)�、增加內(nèi)部信息系統(tǒng)的審計(jì)平臺(tái)�,以便形成對(duì)內(nèi)部安全狀況的長(zhǎng)期跟蹤和防護(hù)能力���。
3)制定一系列必須的信息系統(tǒng)安全管理的法律法規(guī)及安全管理標(biāo)準(zhǔn)�,狠抓內(nèi)網(wǎng)的用戶管理����、行為管理��、應(yīng)用管理���、內(nèi)容控制以及存儲(chǔ)管理;進(jìn)一步完善互聯(lián)網(wǎng)應(yīng)急響應(yīng)管理措施���,對(duì)關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測(cè)試��,全面提高預(yù)案制定水平和處理能力�����;建立一支“信息安全部隊(duì)”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障��、安全監(jiān)管��、安全應(yīng)急和安全威懾方面的工作。
4)堅(jiān)持“防內(nèi)為主����,內(nèi)外兼防”的方針�����,加強(qiáng)登錄身份認(rèn)證�����,嚴(yán)格限制登錄者的操作權(quán)限���,充分利用操作系統(tǒng)和應(yīng)用系統(tǒng)本身的日志功能�,對(duì)用戶所訪問(wèn)的信息進(jìn)行跟蹤記錄�,為系統(tǒng)審計(jì)提供依據(jù)。
5)重視和加強(qiáng)信息安全等級(jí)保護(hù)工作���,對(duì)金融信息系統(tǒng)中的信息實(shí)施一般保護(hù)�����、指導(dǎo)保護(hù)���、監(jiān)督保護(hù)和強(qiáng)制保護(hù)策略,尤其對(duì)重要信息實(shí)施強(qiáng)制保護(hù)和強(qiáng)制性認(rèn)證����,以確保金融業(yè)務(wù)信息的安全�。
6)加強(qiáng)信息安全管理人才與安全隊(duì)伍建設(shè)���,特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度��。通過(guò)各種會(huì)議、網(wǎng)站���、廣播、電視��、報(bào)紙等媒體加大信息安全普法和守法宣傳力度�����,提高全民信息安全意識(shí)��,尤其是加強(qiáng)企業(yè)內(nèi)部人員的信息安全知識(shí)培訓(xùn)與教育�����,提高員工的信息安全自律水平。
第5篇
關(guān)鍵詞:信息網(wǎng)絡(luò)安全�����;課程��;教學(xué)方法
中圖分類號(hào):TP3 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-3044(2012)35-8466-03
1 概述
隨著人類進(jìn)入信息網(wǎng)絡(luò)社會(huì),信息網(wǎng)絡(luò)系統(tǒng)在人類的日常生活�、工作中發(fā)揮著越來(lái)越重要的作用�。由于操作不當(dāng)和網(wǎng)絡(luò)黑客的猖獗,大家對(duì)計(jì)算機(jī)中存儲(chǔ)的信息安全越來(lái)越擔(dān)心了���。怎樣才能使計(jì)算機(jī)與網(wǎng)絡(luò)中的信息更安全���,必須了解計(jì)算機(jī)信息安全的概念,了解經(jīng)常遇到的各種信息安全問(wèn)題和應(yīng)對(duì)策略����。
以為企事業(yè)單位第一線輸送實(shí)用型人才[1]為辦學(xué)宗旨的高等職業(yè)技術(shù)院校���,要適應(yīng)社會(huì)發(fā)展、經(jīng)濟(jì)建設(shè)需求�����,培養(yǎng)有一定的理論基礎(chǔ)��、扎實(shí)的實(shí)踐動(dòng)手能力和比較強(qiáng)的創(chuàng)新能力的實(shí)用型技術(shù)人才��。針對(duì)工作在各行各業(yè)最前沿的高職計(jì)算機(jī)及相關(guān)專業(yè)的學(xué)生而言,培養(yǎng)日常安全意識(shí)���,掌握信息安全相關(guān)技術(shù)已迫在眉睫�����。
為使學(xué)生能夠具有良好的職業(yè)道德,了解并認(rèn)識(shí)各類計(jì)算機(jī)病毒���、網(wǎng)絡(luò)黑客攻擊的危害性����,熟悉并初步掌握計(jì)算機(jī)網(wǎng)絡(luò)偵查與信息安全管理等基本理論知識(shí)及相關(guān)實(shí)際操作及處理技能,具有較強(qiáng)的信息安全應(yīng)用處理能力���,能勝任各級(jí)企事業(yè)單位計(jì)算機(jī)信息管理及基本的安全維護(hù),具備規(guī)劃企業(yè)安全方案的初步能力����,該文從明確課程教學(xué)目標(biāo)����、合理設(shè)計(jì)教學(xué)內(nèi)容及如何提高教學(xué)質(zhì)量三方面進(jìn)行了一些改革探索�����。
2 明確課程教學(xué)目標(biāo)
以培養(yǎng)學(xué)生實(shí)際動(dòng)手�、操作技能為核心目標(biāo)�����,理論知識(shí)的掌握應(yīng)服務(wù)于實(shí)際工作能力的建構(gòu)����。所謂實(shí)際工作能力�,應(yīng)當(dāng)是一種對(duì)職業(yè)世界的理解和認(rèn)同��,對(duì)職業(yè)任務(wù)的認(rèn)識(shí)和把握��,對(duì)職業(yè)活動(dòng)的控制與操作能力[2]��。高職計(jì)算機(jī)及相關(guān)專業(yè)開(kāi)設(shè)信息安全課程,其目的是培養(yǎng)在實(shí)際生活和工作中能夠解決第一線的具體信息安全問(wèn)題的實(shí)用性人才���,而不是培養(yǎng)信息安全方面的全才�����,也不是培養(yǎng)戰(zhàn)略人才。即培養(yǎng)滿足企事業(yè)單位社會(huì)需求���,具備一定的安全道德意識(shí)���,了解并熟練掌握信息網(wǎng)絡(luò)安全維護(hù)及安全防范技能�����,基本能夠勝任信息安全系統(tǒng)環(huán)境構(gòu)建的技能型的人才。
因此���,本門課程的教學(xué)目標(biāo)是培養(yǎng)學(xué)生良好的職業(yè)道德素質(zhì);幫助學(xué)生了解并掌握信息網(wǎng)絡(luò)安全的基本知識(shí)�����、原理和技術(shù)����,學(xué)會(huì)如何在開(kāi)放的網(wǎng)絡(luò)環(huán)境中保護(hù)自己的信息和數(shù)據(jù)�,防止黑客和病毒的侵害�����;重點(diǎn)學(xué)習(xí)目前在信息網(wǎng)絡(luò)安全領(lǐng)域應(yīng)用較多的技術(shù)�����,主要是防火墻技術(shù)�、入侵檢測(cè)(IDS)技術(shù)和基于公鑰基礎(chǔ)設(shè)施(PKI)等信息安全技術(shù)����,使學(xué)生在完成本課程學(xué)習(xí)后�����,能夠獨(dú)立進(jìn)行網(wǎng)絡(luò)信息安全方面的研究和工作�;在學(xué)習(xí)并掌握信息網(wǎng)絡(luò)安全知識(shí)的同時(shí)�,培養(yǎng)學(xué)生的創(chuàng)新精神���、實(shí)踐技能和創(chuàng)業(yè)能力���,并注重培養(yǎng)學(xué)生的認(rèn)真負(fù)責(zé)的工作態(tài)度和一絲不茍的工作作風(fēng)。
3 精心組織�����、設(shè)計(jì)教學(xué)內(nèi)容
信息網(wǎng)絡(luò)安全是一門綜合性學(xué)科�,同時(shí)又是一門普及性意義的實(shí)踐性很強(qiáng)的課程���,因高職學(xué)生的網(wǎng)絡(luò)基礎(chǔ)知識(shí)及所授教學(xué)課程學(xué)時(shí)所限�,全面介紹信息網(wǎng)絡(luò)安全各方面的理論知識(shí)及相關(guān)技能是不可能的�,也毫無(wú)必要����,應(yīng)有選擇��、有針對(duì)性地學(xué)習(xí)相關(guān)的信息安全知識(shí)�。故信息網(wǎng)絡(luò)安全課程的基本任務(wù)是讓學(xué)生掌握密碼學(xué)與信息安全基本的思想與方法,為今后工作�、生活及進(jìn)一步學(xué)習(xí)與研究奠定堅(jiān)實(shí)的基礎(chǔ)���。
根據(jù)高職計(jì)算機(jī)及相關(guān)專業(yè)學(xué)生,在掌握信息網(wǎng)絡(luò)安全基礎(chǔ)理論知識(shí)及相關(guān)技能的前提下���,應(yīng)盡可能多地了解當(dāng)前的信息網(wǎng)絡(luò)安全技術(shù)�����,以增強(qiáng)實(shí)際分析與解決信息安全實(shí)際問(wèn)題的能力����。高職信息安全課程的教學(xué)內(nèi)容至少應(yīng)包括:
1)網(wǎng)絡(luò)安全概述:理解網(wǎng)絡(luò)安全的基本概念和術(shù)語(yǔ)����,了解目前主要的網(wǎng)絡(luò)安全問(wèn)題和安全威脅�����,理解基本的網(wǎng)絡(luò)安全模型及功能���,了解信息網(wǎng)絡(luò)安全的重要性及各種信息安全法律法規(guī);
2)網(wǎng)絡(luò)操作系統(tǒng)命令及協(xié)議分析:需要掌握常用網(wǎng)絡(luò)協(xié)議及協(xié)議分析工具�,各種網(wǎng)絡(luò)服務(wù)及常用網(wǎng)絡(luò)命令����,系統(tǒng)漏洞及后門等內(nèi)容���,尤其是系統(tǒng)的安全配置,這是信息網(wǎng)絡(luò)安全的根基所在��;
3)防火墻技術(shù)與VPN技術(shù):防火墻技術(shù)是一種隔離內(nèi)部網(wǎng)和公眾訪問(wèn)網(wǎng)的安全技術(shù)�,對(duì)兩個(gè)通信網(wǎng)絡(luò)執(zhí)行訪問(wèn)控制��,而VPN則是一種跨越Internet進(jìn)行安全的、點(diǎn)對(duì)點(diǎn)通信的安全虛擬通道技術(shù)�;
4)密碼技術(shù)及應(yīng)用:密碼技術(shù)是保護(hù)信息安全的重要手段之一��,也是防止偽造����、篡改信息的認(rèn)證技術(shù)基礎(chǔ);課程中介紹密碼學(xué)的基本概念��,要求準(zhǔn)確理解并反復(fù)強(qiáng)化���,以形成對(duì)密碼學(xué)整體的初步印象;而對(duì)密碼學(xué)中的數(shù)學(xué)概念要求有一定的了解����,可以不必深入掌握�,留待以后加強(qiáng)�;
5)病毒及其防范:了解各種計(jì)算機(jī)病毒的原理、傳播方式及其危害����,從而更好地殺毒���、防毒;
6)網(wǎng)絡(luò)攻防和入侵檢測(cè):了解黑客與網(wǎng)絡(luò)攻擊、入侵檢測(cè)的基本知識(shí)��,掌握口令攻擊�、端口掃描���、網(wǎng)絡(luò)監(jiān)聽(tīng)、IP欺騙�、拒絕服務(wù)��、特洛伊木馬等攻擊方式的原理����、方法及危害�����,能夠識(shí)別和防范各類攻擊并利用入侵檢測(cè)工具檢測(cè)入侵行為�;
7)網(wǎng)絡(luò)安全管理:理解網(wǎng)絡(luò)管理的概念�、目標(biāo)����、功能及標(biāo)準(zhǔn)����,熟悉一些管理軟件的功能和應(yīng)用。
在選擇具體授課內(nèi)容時(shí)��,應(yīng)根據(jù)社會(huì)企事業(yè)及各方面需求及相關(guān)專業(yè)的學(xué)生作適當(dāng)調(diào)整��,尤其不能流于表面而局限于一些泛泛的、缺乏全面的安全知識(shí)�����,同時(shí)也不要過(guò)于追求一些深?yuàn)W的��、研究方面的理論知識(shí)��。要根據(jù)所設(shè)定的適合高職學(xué)生的教學(xué)目標(biāo),圍繞著在實(shí)際生活��、工作中可能遇到的一些信息安全問(wèn)題�����,精心設(shè)計(jì)相應(yīng)的授課內(nèi)容�����,布置學(xué)習(xí)任務(wù)���,以便讓學(xué)生能夠?qū)⒄n堂所學(xué)知識(shí)同現(xiàn)實(shí)安全問(wèn)題相聯(lián)系����,能夠根據(jù)出現(xiàn)的安全現(xiàn)象解決實(shí)際問(wèn)題,真正的將信息安全知識(shí)固化到自身����,最終達(dá)到開(kāi)設(shè)本信息安全課程的目的���。
4 提高教學(xué)質(zhì)量的探索
明確教學(xué)目標(biāo)����,規(guī)劃好教學(xué)內(nèi)容后��,還應(yīng)配有良好的教學(xué)方法和手段,如是才能真正產(chǎn)生好的教學(xué)效果���。我們一方面按照現(xiàn)代教育思想[3]組織教學(xué),一方面積極探索�,大膽改革,具體從以下幾個(gè)方面進(jìn)行探索:
4.1完善信息安全理念�����,認(rèn)識(shí)維護(hù)信息網(wǎng)絡(luò)安全的重要性
高職學(xué)生一般都有很強(qiáng)的好奇心�����,對(duì)新知識(shí)充滿濃厚的興趣�,尤其一部分學(xué)生更是對(duì)黑客技術(shù)有著耳聞,想進(jìn)一步深入了解和掌握一些黑客攻擊技術(shù)的迫切感����。其實(shí),在Internent網(wǎng)上有很多的黑客攻擊工具��,只要下載下來(lái)簡(jiǎn)單安裝配置后就可能產(chǎn)生嚴(yán)重的攻擊行為�����。例如,漏洞掃描���、網(wǎng)絡(luò)監(jiān)聽(tīng)等工具就是一把雙刃劍����。網(wǎng)絡(luò)管理人員使用這些工具可以了解網(wǎng)絡(luò)運(yùn)行情況及現(xiàn)有網(wǎng)絡(luò)存在的一些安全漏洞����,從而作出相應(yīng)的安全防范措施;而一些懷有好奇心的人及黑客則可以利用這些工具掃描���、監(jiān)聽(tīng)甚至攻擊相關(guān)網(wǎng)絡(luò)����,從而造成有意或無(wú)意的網(wǎng)絡(luò)攻擊���。因此����,我們?cè)谥v授信息安全課程的時(shí)候首先要讓學(xué)生認(rèn)識(shí)到網(wǎng)絡(luò)攻擊的危害性和維護(hù)信息網(wǎng)絡(luò)安全的重要性����。如何引導(dǎo)學(xué)生做一個(gè)信息安全衛(wèi)士而不是一個(gè)安全文盲及黑客�,是本課程教學(xué)的一個(gè)重要任務(wù)��。
在信息網(wǎng)絡(luò)安全的第一節(jié)課�����,首先給出一些CERT(Computer Emergency Response Team����, 計(jì)算機(jī)緊急應(yīng)變小組)統(tǒng)計(jì)出的一些信息安全事件數(shù)據(jù)���,讓學(xué)生初步認(rèn)識(shí)到信息安全攻擊事件的防不勝防和信息安全事件所帶來(lái)的慘重?fù)p失�����;然后通過(guò)講述一些國(guó)內(nèi)外網(wǎng)絡(luò)犯罪的事例�,使學(xué)生了解哪些網(wǎng)絡(luò)行為是違法的�,進(jìn)一步認(rèn)識(shí)到維護(hù)信息安全和遵守信息安全法律法規(guī)的重要性;最后讓學(xué)生明確信息網(wǎng)絡(luò)安全存在著木桶效應(yīng):只有保證每個(gè)環(huán)節(jié)的安全����,信息網(wǎng)絡(luò)安全才能有保障,從而讓學(xué)生一開(kāi)始就養(yǎng)成嚴(yán)謹(jǐn)?shù)男畔踩砟睢?/p>
4.2啟發(fā)式教學(xué)����,發(fā)揮學(xué)生的主觀能動(dòng)性
興趣是最好的老師,我們應(yīng)該充分利用科學(xué)的教學(xué)方法來(lái)提高學(xué)生的學(xué)習(xí)興趣�����,培養(yǎng)學(xué)生的鉆研精神����,增強(qiáng)學(xué)生學(xué)習(xí)的主觀能動(dòng)性��。教學(xué)課堂上可以充分利用多媒體教學(xué)���,將圖片�����、動(dòng)畫(huà)�、錄像等元素都集成到教學(xué)活動(dòng)中,以直觀�、生動(dòng)的教學(xué)形式提高學(xué)生的學(xué)習(xí)興趣���。這樣避免了單純的理論說(shuō)教����,讓學(xué)生能夠從抽象難懂的信息網(wǎng)絡(luò)安全知識(shí)上升到形象上的認(rèn)識(shí)��。
教學(xué)過(guò)程中,老師可以尋求學(xué)生的反饋���,打斷講課來(lái)提問(wèn),一次中斷十秒鐘�,注視學(xué)生;有時(shí)老師可以和學(xué)生開(kāi)些善意的玩笑���,允許他們提問(wèn),發(fā)表評(píng)論��,并在對(duì)話中保持主動(dòng)�����。這種教學(xué)無(wú)異于邀請(qǐng)學(xué)生圍著飯桌相互交流[4]。
針對(duì)信息網(wǎng)絡(luò)上出現(xiàn)的一些安全事件��,老師可以提出相應(yīng)的問(wèn)題(例如網(wǎng)絡(luò)支付中的身份識(shí)別和信息保密問(wèn)題)���,鼓勵(lì)學(xué)生獨(dú)立分析問(wèn)題和解決問(wèn)題��,引導(dǎo)學(xué)生表達(dá)�、傾聽(tīng)并能夠主動(dòng)回答問(wèn)題�、解決問(wèn)題的能力,從而養(yǎng)成學(xué)生積極思考�、主動(dòng)解決問(wèn)題的習(xí)慣�����。另外�,應(yīng)培養(yǎng)學(xué)生善于提出問(wèn)題�、積極主動(dòng)地分析比較的習(xí)慣,讓他們每時(shí)每刻都帶著問(wèn)題去學(xué)��,并及時(shí)總結(jié)已學(xué)過(guò)的知識(shí),逐漸培養(yǎng)學(xué)生學(xué)習(xí)的主觀能動(dòng)性���。
4.3理論聯(lián)系實(shí)際�����,盡快掌握所學(xué)知識(shí)
密碼技術(shù)及應(yīng)用理論性強(qiáng),是本課程的重點(diǎn)�����、難點(diǎn)��,為使學(xué)生能夠掌握密碼學(xué)的基礎(chǔ)理論����,教學(xué)過(guò)程中可以采用理論聯(lián)系實(shí)際的教學(xué)方法。首先講述密碼學(xué)的基本概念和術(shù)語(yǔ)����、對(duì)稱和非對(duì)稱密碼的區(qū)別、古典密碼學(xué)的基本方法及DES算法�、RSA算法的基本原理,使學(xué)生掌握密碼學(xué)的基礎(chǔ)知識(shí)�����,簡(jiǎn)單了解加密算法的原理�����、設(shè)計(jì)思路及使用場(chǎng)所��,對(duì)加密算法產(chǎn)生初步印象���;然后介紹密碼學(xué)應(yīng)用方面的知識(shí)��,包括密鑰管理���、消息認(rèn)證、數(shù)字證書(shū)�、以及Windows系統(tǒng)中的證書(shū)服務(wù)等方面的基本原理、方法和應(yīng)用��,從而加深對(duì)密碼學(xué)概念及各種應(yīng)用的理解�。
PGP,全稱Pretty Good Privacy�,一種在信息安全傳輸領(lǐng)域首選的加密軟件,其技術(shù)特性是采用了非對(duì)稱的“公鑰”和“私鑰”加密體系���。學(xué)習(xí)完非對(duì)稱密鑰理論知識(shí)后,試著讓學(xué)生各自動(dòng)手安裝PGP軟件����,生成一對(duì)的“公鑰”和“私鑰”����,并讓學(xué)生把自己的“公鑰”給同班的同學(xué),讓學(xué)生之間相互發(fā)送加密和簽名的文件�,從而實(shí)現(xiàn)安全文件傳輸,如此�,學(xué)生在實(shí)際操作過(guò)程中快速了解并掌握了非對(duì)稱密鑰體制的理論知識(shí)和實(shí)際使用方法�。
4.4遵循實(shí)踐動(dòng)手能力培養(yǎng)第一的原則,培養(yǎng)學(xué)生較強(qiáng)的實(shí)踐應(yīng)變能力
信息安全是一個(gè)復(fù)雜的�����、隱蔽性很強(qiáng)的問(wèn)題����,一般人很難發(fā)現(xiàn)[5]���。開(kāi)設(shè)信息網(wǎng)絡(luò)安全課程的目的就是讓學(xué)生能夠從復(fù)雜的網(wǎng)絡(luò)環(huán)境之后發(fā)現(xiàn)信息安全問(wèn)題��,針對(duì)信息安全問(wèn)題進(jìn)行分析,找到問(wèn)題根源所在��,并能夠及時(shí)解決所出現(xiàn)信息安全�����,以便進(jìn)一步培養(yǎng)學(xué)生具有敏銳的眼光��、清晰的思路及解決信息安全問(wèn)題的能力。從發(fā)現(xiàn)信息安全問(wèn)題���,分析解決問(wèn)題��,直至消除安全隱患��,時(shí)間越短越好����,以減少信息安全問(wèn)題所帶來(lái)的影響和損失���。同時(shí)針對(duì)信息安全問(wèn)題,要透過(guò)現(xiàn)象看本質(zhì)�����,主動(dòng)出擊����、防范�����,不能等到問(wèn)題爆發(fā)了�����,造成嚴(yán)重?fù)p失了再解決�。
“魔高一尺 道高一丈”�,信息網(wǎng)絡(luò)飛速發(fā)展��,病毒與黑客攻擊技術(shù)日新月異��,高職學(xué)生應(yīng)用“與時(shí)俱進(jìn)”的思想面對(duì)信息安全問(wèn)題����,在平時(shí)的工作學(xué)習(xí)中時(shí)刻了解信息安全動(dòng)向��,關(guān)注各種新病毒:網(wǎng)絡(luò)掛馬���、網(wǎng)絡(luò)釣魚(yú)、超級(jí)病毒工廠等�����,不斷學(xué)習(xí)����,接收最新信息安全技術(shù)及各種安全防范方法。
信息網(wǎng)絡(luò)安全課是一門實(shí)際應(yīng)用性很強(qiáng)的課程�����,要以“必需����、夠用”為度,淡化理論的片面推導(dǎo)過(guò)程�,應(yīng)加強(qiáng)培養(yǎng)學(xué)生理論成果的實(shí)際應(yīng)用能力,注重課堂教學(xué)內(nèi)容的精選和更新�����。在努力豐富課堂教學(xué)內(nèi)容的同時(shí)�����,必須加強(qiáng)學(xué)生善于總結(jié)�����、應(yīng)對(duì)各種最新安全問(wèn)題的能力��?����?梢怨膭?lì)學(xué)生課余時(shí)間自己上網(wǎng)查找最新安全技術(shù)資料�����,了解并掌握一些最新信息安全技術(shù)�����,以小論文方式提交并進(jìn)行適當(dāng)考核����,這樣提高了學(xué)生的自學(xué)能力�����、主動(dòng)應(yīng)變能力和文字表達(dá)能力�,為今后的工作學(xué)習(xí)打下堅(jiān)實(shí)信息安全權(quán)基礎(chǔ)��。
4.5 良好團(tuán)隊(duì)合作精神�����,善于與他人交流合作
高職計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生一般工作在計(jì)算機(jī)應(yīng)用的最前沿,網(wǎng)上辦公、網(wǎng)上事務(wù)處理��、電子商務(wù)���、電子政務(wù)等,這改變了企事業(yè)單位的工作模式�,大大提高了工作效率���,在給工作帶來(lái)極大便利的同時(shí)��,也帶來(lái)了嚴(yán)重的信息安全挑戰(zhàn)。信息網(wǎng)絡(luò)安全問(wèn)題面比較廣�����,參與討論的人越多����,解決問(wèn)題的速度就越快����、越完美,相應(yīng)的安全漏洞也會(huì)越少�,共同探討、爭(zhēng)辯過(guò)程中�����,甚至還會(huì)激發(fā)更多人的奇思妙想����,產(chǎn)生意想不到的效果��。因此,高職信息網(wǎng)絡(luò)安全課程應(yīng)積極培養(yǎng)學(xué)生之間交流溝通的能力��,平時(shí)鼓勵(lì)學(xué)生多讀��、讀懂信息安全方面的文章�,能把自己的想法寫(xiě)出來(lái)并在同學(xué)間實(shí)現(xiàn)共享�;另外���,信息網(wǎng)絡(luò)安全方面的問(wèn)題往往不是某個(gè)學(xué)生單獨(dú)能夠解決的�,需要同學(xué)們共同參與解決,這就需要學(xué)生具有良好的團(tuán)隊(duì)精神��,善于與他人交流合作���,集眾人智慧�,共同探討所遇到的信息安全問(wèn)題�����。
當(dāng)然�����,高職計(jì)算機(jī)相關(guān)專業(yè)的學(xué)生在學(xué)習(xí)探討各種信息安全問(wèn)題的同時(shí)����,可以充分利用各種網(wǎng)絡(luò)資源來(lái)學(xué)習(xí)充實(shí)自己����,例如可以經(jīng)常上一些殺毒軟件網(wǎng)站了解最新病毒信息��,從一些病毒案例分析解決中學(xué)習(xí)一些實(shí)際操作經(jīng)驗(yàn)�;同時(shí)可以注冊(cè)清華大學(xué)(水木清華)、東南大學(xué)等高等院校的BBS論壇���,學(xué)習(xí)探討一些信息安全問(wèn)題。
5 結(jié)束語(yǔ)
高職信息網(wǎng)絡(luò)安全課程是一門內(nèi)容更新很快的課程����,更是一門具有較高挑戰(zhàn)性的課程����,這勢(shì)必給我們的信息安全教學(xué)工作帶來(lái)一定的難度。該文在明確信息網(wǎng)絡(luò)安全課程教學(xué)目標(biāo)�、精心安排設(shè)計(jì)教學(xué)內(nèi)容以及如何提高教學(xué)質(zhì)量方面進(jìn)行了一些有益的嘗試�����,合理設(shè)計(jì)��、組織好信息網(wǎng)絡(luò)安全課程教學(xué),完善學(xué)生信息安全理念����,需要在以后的教學(xué)實(shí)踐中進(jìn)行不斷的總結(jié)和提高����。
參考文獻(xiàn):
[1] 賈少華. 面向市場(chǎng) 面向?qū)W生�����、面向?qū)嵺`——試論高職人才培養(yǎng)的基本原則[J]. 西北工業(yè)大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版)���,2005(1).
[2] 江鐵. 高職信息安全專業(yè)人才培養(yǎng)模式的研究[J].計(jì)算機(jī)教育�����,2009(2).
[3] 姬興華.《現(xiàn)代教育思想》課程“導(dǎo)學(xué)”思路問(wèn)題探析[M]. 淮北職業(yè)技術(shù)學(xué)院學(xué)報(bào)��,2010(2).
