序論:在您撰寫信息安全研究論文時��,參考他人的優(yōu)秀作品可以開闊視野�����,小編為您整理的7篇范文���,希望這些建議能夠激發(fā)您的創(chuàng)作熱情���,引導(dǎo)您走向新的創(chuàng)作高度。
第1篇
論文摘要:結(jié)合單位的實際���,分析了現(xiàn)有計算機專業(yè)課程特點和不足���,討論了高師計算機專業(yè)學(xué)生開設(shè)信息安全法律法規(guī)課程的必要性、可行性���,分析了信息安全技術(shù)課程�����、與信息安全有關(guān)法律法規(guī)課程的特點.給出了高師信息安全法律課程的教學(xué)目標(biāo)定位�、設(shè)置方法.
論文關(guān)鍵詞:高師計算機專業(yè);信息安全����;法律法規(guī)課程
人類進入21世紀(jì),現(xiàn)代信息技術(shù)迅猛發(fā)展����,特別是網(wǎng)絡(luò)技術(shù)的快速發(fā)展,互聯(lián)網(wǎng)正以其強大的生命力和巨大的信息提供能力和檢索能力風(fēng)靡全球.
網(wǎng)絡(luò)已成為人們尤其是大學(xué)生獲取知識�����、信息的最快途徑.網(wǎng)絡(luò)以其數(shù)字化�����、多媒體化以及虛擬性����、學(xué)習(xí)性等特點不僅影響和改變著大學(xué)生的學(xué)習(xí)方式生活方式以及交往方式�,而且正影響著他們的人生觀�、世界觀����、價值取向,甚至利用自己所學(xué)的知識進行網(wǎng)絡(luò)犯罪�,所有這些使得高師學(xué)生思想政治工作特別是從事網(wǎng)絡(luò)教學(xué)、實踐的計算機專業(yè)的教育工作者來說���,面臨著前所未有的機遇和挑戰(zhàn)�����,這不僅因為��,自己一方面要傳授學(xué)生先進的網(wǎng)絡(luò)技術(shù)����,另一方面也要教育學(xué)生不要利用這些技術(shù)從事違法活動而從技術(shù)的角度來看���,違法與不違法只是一兩條指令之間的事情���,更重要的是高師計算機專業(yè)學(xué)生將來可能成為老師去影響他的學(xué)生,由此可見����,在高師計算機專業(yè)學(xué)生中開設(shè)與信息安全有關(guān)的法律法規(guī)課程有著十分重要的意義.如何抓住機遇���,研究和探索網(wǎng)絡(luò)環(huán)境下的高師計算機專業(yè)學(xué)生信息安全法律法規(guī)教學(xué)的新特點、新方法��、新途徑�����、新對策已成為高師計算機專業(yè)教育者關(guān)心和思考的問題.本文主要結(jié)合我校的實際�,就如何在高師計算機專業(yè)中開設(shè)信息安全法律課程作一些探討.
1現(xiàn)有的計算機專業(yè)課程特點
根據(jù)我校人才培養(yǎng)目標(biāo)、服務(wù)面向定位����,按照夯實基礎(chǔ)、拓寬專業(yè)口徑���、注重素質(zhì)教育和創(chuàng)新精神���、實踐能力培養(yǎng)的人才培養(yǎng)思路����,溝通不同學(xué)科��、不同專業(yè)之間的課程聯(lián)系.全校整個課程體系分為“通識教育課程�、專業(yè)課程(含專業(yè)基礎(chǔ)課程����、專業(yè)方向課程)、教師教育課程(非師范除外)�、實踐教學(xué)課程”四個大類,下面僅就計算機專業(yè)課程的特點介紹.
1.1專業(yè)基礎(chǔ)課程專業(yè)基礎(chǔ)課是按學(xué)科門類組織的基礎(chǔ)知識課程模塊�����,均為必修課.目的是在大學(xué)學(xué)習(xí)的初期階段��,按學(xué)科進行培養(yǎng)����,夯實基礎(chǔ),拓寬專業(yè)口徑.考慮到學(xué)科知識體系��、學(xué)生轉(zhuǎn)專業(yè)等需要����,原則上各學(xué)科大類所涵蓋的各專業(yè)的學(xué)科專業(yè)基礎(chǔ)課程應(yīng)該相同.主要內(nèi)容包括:計算機科學(xué)概論、網(wǎng)頁設(shè)計與制作�����、C++程序設(shè)計、數(shù)據(jù)結(jié)構(gòu)�、操作系統(tǒng)等.
1.2專業(yè)方向課程各專業(yè)應(yīng)圍繞人才培養(yǎng)目標(biāo)與規(guī)格設(shè)置主要課程,按照教育部《普通高等學(xué)校本科專業(yè)目錄》的有關(guān)要求���,結(jié)合學(xué)校實際設(shè)置必修課程和選修課程.同時可以開設(shè)2—3個方向作為限選.學(xué)生可以根據(jù)自身興趣和自我發(fā)展的需要��,在任一方向課程組中選擇規(guī)定學(xué)分的課程修讀.主要內(nèi)容包括:計算機網(wǎng)絡(luò)�、匯編語言程序設(shè)計�����、計算機組成原理�、數(shù)據(jù)庫系統(tǒng)、軟件工程導(dǎo)論�、軟件工程實訓(xùn)、計算機系統(tǒng)結(jié)構(gòu)等.
1.3現(xiàn)有計算機專業(yè)課程設(shè)置的一些不足計算機技術(shù)一日千里���,對于它的課程設(shè)置應(yīng)該具有前瞻性��,考慮到時代的變化���,計算機應(yīng)用專業(yè)旨在培養(yǎng)一批適合現(xiàn)代軟件工程、網(wǎng)絡(luò)工程發(fā)展要求的軟件工程�、網(wǎng)絡(luò)工程技術(shù)人員,現(xiàn)有我校的計算機專業(yè)課程是針對這一目標(biāo)進行設(shè)置的����,但這一設(shè)置主要從技術(shù)的角度來考慮問題,沒有充分考慮到:隨著時代的發(fā)展�����,人們更廣泛的使用網(wǎng)絡(luò)�、更關(guān)注信息安全這一事實,作為計算機專業(yè)的學(xué)生更應(yīng)該承擔(dān)起自覺維護起信息安全的責(zé)任���,作為高師計算機專業(yè)的課程設(shè)置里應(yīng)該考慮到教育學(xué)生不得利用自己所學(xué)的技術(shù)從事不利于網(wǎng)絡(luò)安全的事情.
2高師計算機專業(yè)學(xué)生開設(shè)信息安全法律法規(guī)的必要性和可行性
2.1必要性信息安全學(xué)科群體系由核心學(xué)科群����、支撐學(xué)科群和應(yīng)用學(xué)科群三部分構(gòu)成�����,是一個“以信息安全理論為核心�����,以信息技術(shù)、信息工程和信息安全等理論體系為支撐�����,以國家和社會各領(lǐng)域信息安全防護為應(yīng)用方向”的跨學(xué)科的交叉性學(xué)科群體系.該學(xué)科交叉性�、邊緣性強,應(yīng)用領(lǐng)域面寬��,是一個龐大的學(xué)科群體系����,涉及的知識點也非常龐雜.
僅就法學(xué)而言,信息安全涉及的法學(xué)領(lǐng)域就包括:刑法(計算機犯罪�����,包括非法侵入計算機信息系統(tǒng)罪���、故意制作傳播病毒等)����、民商法(電子合同�����、電子支付等)、知識產(chǎn)權(quán)法(著作權(quán)的侵害���、信息網(wǎng)絡(luò)傳播權(quán)等)等許多法學(xué)分支.因此,信息安全教育不是一項單一技術(shù)方面的教育��,加強相關(guān)法律課程設(shè)置���,是信息安全學(xué)科建設(shè)過程中健全人才培養(yǎng)體系的重要途徑與任務(wù).
高師計算機專業(yè)����,雖然沒有開設(shè)與信息安全專業(yè)一樣多與信息安全的有關(guān)技術(shù)類課程.但這些專業(yè)的學(xué)生都有從事網(wǎng)絡(luò)工程�����、軟件工程所需要的基本編程能力�����、黑客軟件的使用能力���,只要具備這些能力且信息安全意識不強的人���,都可能有意識或無意識的干出違反法律的事情��,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學(xué)計算機系一名大學(xué)生.由此可見���,在高師計算機專業(yè)的學(xué)生中開設(shè)相關(guān)的法律法規(guī)選修課程是必要的.
2.2可行性技術(shù)與法律原本并不關(guān)聯(lián),但是在信息安全領(lǐng)域��,技術(shù)與法律卻深深的關(guān)聯(lián)在一起�����,在全世界各國都不難發(fā)現(xiàn)諸如像數(shù)字簽名�����、PKI應(yīng)用與法律體系緊密關(guān)聯(lián).從本質(zhì)上講��,信息安全對法律的需求��,實際上來源于人們在面臨信息技術(shù)革命過程中產(chǎn)生的種種新可能的時候��,對這些可能性做出選擇揚棄���、利益權(quán)衡和價值判斷的需要.這也就要求我們跳出技術(shù)思維的影響�,重視信息安全中的法律范疇.
根據(jù)前面對信息安全法律法規(guī)內(nèi)容的特點分析可知:信息安全技術(shù)與計算機應(yīng)用技術(shù)有著千絲萬縷的聯(lián)系.從事計算機技術(shù)的人員很容易轉(zhuǎn)到從事信息安全技術(shù)研究上,加之信息安全技術(shù)是當(dāng)今最熱門技術(shù)之一�����,因此�,在高師計算機專業(yè)中開設(shè)一些基本的信息安全技術(shù)選修課程、開設(shè)一些與法律體系緊密關(guān)聯(lián)的信息安全法律法規(guī)選修課程學(xué)生容易接受��,具有可操作性.
3信息安全技術(shù)課程特點
信息安全技術(shù)課程所涉及的內(nèi)容眾多,有數(shù)學(xué)、計算機����、通信、電子���、管理等學(xué)科�����,既有理論知識����,又有實踐知識����,理論與實踐聯(lián)系十分緊密�,新方法���、新技術(shù)以及新問題不斷涌現(xiàn)�����,這給信息安全課程設(shè)置帶來了很大的難度�����,為使我校計算機專業(yè)學(xué)生了解��、掌握這一新技術(shù)�����,我們在專業(yè)課程模塊中開設(shè)《密碼學(xué)基礎(chǔ)》���、《網(wǎng)絡(luò)安全技術(shù)》、《入侵檢測技術(shù)》等作為專業(yè)選修課.我校本課程具有以下特點:
(1)每學(xué)期都對知識內(nèi)容進行更新.
(2)對涉及到的基本知識面����,分別采用開設(shè)專業(yè)課�、專業(yè)選修課����、講座等多種方式,讓學(xué)生了解信息安全知識體系�,如有操作系統(tǒng)、密碼學(xué)基礎(chǔ)�、防火墻技術(shù)、VPN應(yīng)用�����、信息安全標(biāo)準(zhǔn)�����、網(wǎng)絡(luò)安全管理��、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學(xué)習(xí)信息安全技術(shù)課程之前����,都可設(shè)了相應(yīng)的先行課程讓學(xué)生了解�、掌握,如開設(shè)了計算機網(wǎng)絡(luò)基本原理����、操作系統(tǒng)�����、計算機組成原理�����、程序設(shè)計和數(shù)論基礎(chǔ)等課程.
(4)注重實踐教學(xué).比如密碼學(xué)晦澀難懂的概念�����,不安排實驗實訓(xùn)���,不讓學(xué)生親手去操作,就永遠不能真正理解和運用.防火墻技術(shù)只有通過親手配置和測試.才能領(lǐng)會其工作機理.對此我們在相關(guān)的課程都對學(xué)生作了實踐���、實訓(xùn)的要求.
4涉及到信息安全法律法規(guī)內(nèi)容的特點
信息安全的特點決定了其法律�����、法規(guī)內(nèi)容多數(shù)情況下都涉及到網(wǎng)絡(luò)技術(shù)�����、涉及到與網(wǎng)絡(luò)有關(guān)的法律����、法規(guī).
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣��,如利用網(wǎng)絡(luò)進行經(jīng)濟詐騙���;利用網(wǎng)絡(luò)獲取國家政治��、經(jīng)濟�����、軍事情報��;利用網(wǎng)絡(luò)顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復(fù)雜多樣的.
4.2涉及領(lǐng)域的廣泛性隨著網(wǎng)絡(luò)技術(shù)的迅速發(fā)展��,信息化的浪潮席卷全球,信息化和經(jīng)濟全球化互相交織�,信息在經(jīng)濟和社會活動中的作用甚至超過資本,成為經(jīng)濟增長的最活躍��、最有潛力的推動力.信息的安全越來越受到人們的關(guān)注���,大到軍事政治等機密安全�����,小到防范商業(yè)企業(yè)機密泄露����、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經(jīng)濟�����、政治�、軍事等的各個部門、各個領(lǐng)域.
4.3技術(shù)的復(fù)雜性信息安全不僅涉及到技術(shù)問題����,也涉及到管理問題,信息安全技術(shù)又涉及到網(wǎng)絡(luò)����、編碼等多門學(xué)科,保護信息安全的技術(shù)不僅需要法律作支撐��,而且研究法律保護同時,又需要考慮其技術(shù)性的特征����,符合技術(shù)上的要求.
4.4信息安全法律優(yōu)先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現(xiàn)的��,而是要靠涉及到信息安全技術(shù)各分支的信息安全法律法規(guī)體系來實現(xiàn).因此����,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法�、網(wǎng)絡(luò)法的雙重地位,必須與網(wǎng)絡(luò)技術(shù)和網(wǎng)絡(luò)立法同步建設(shè)���,因此�,具有優(yōu)先發(fā)展的地位.
5高師信息安全技術(shù)課程中的法律法規(guī)內(nèi)容教學(xué)目標(biāo)
對于計算機專業(yè)或信息安全專業(yè)的本科生和研究生�����,應(yīng)深入理解和掌握信息安全技術(shù)理論和方法��,了解所涉到的常見的法律法規(guī)��,深入理解和掌握網(wǎng)絡(luò)安全技術(shù)防御技術(shù)和安全通信協(xié)議.
而對普通高等師范院校計算機專業(yè)學(xué)生來說��,由于課程時間限制�,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學(xué)理論�,更不可能從法律專業(yè)的角度研究信息安全所涉到的法律法規(guī),為此�����,開設(shè)信息安全法律法規(guī)課程內(nèi)容的教學(xué)目標(biāo)定位為:了解信息安全技術(shù)的基本原理基礎(chǔ)上��,初步掌握涉及網(wǎng)絡(luò)安全維護和網(wǎng)絡(luò)安全構(gòu)建等技術(shù)的法律��、法規(guī)和標(biāo)準(zhǔn).如:《中華人民共和國信息系統(tǒng)安全保護條例》�����,《中華人民共和國數(shù)字簽名法》����,《計算機病毒防治管理辦法》等.
6高師信息安全技術(shù)法律法規(guī)課程設(shè)置探討
根據(jù)我校計算機專業(yè)課程體系結(jié)構(gòu),信息安全有關(guān)的法律法規(guī)課程���,其中多數(shù)涉及信息安全技術(shù)層面�����,主要以選修課�、講座課為主,作為信息安全課程的補充.主要可開設(shè)以下選修課課程或講座課程.
(1)信息安全法律法規(guī)基礎(chǔ)講座:本講座力圖改變大家對信息安全的態(tài)度�����,使操作人員知曉信息安全的重要性�、企業(yè)安全規(guī)章制度的含義及其職責(zé)范圍內(nèi)需要注意的安全問題,讓學(xué)生首先從信息安全的非技術(shù)層面了解與信息安全有關(guān)的法律�����、法規(guī)�,主要內(nèi)容包括:國內(nèi)信息安全法律法規(guī)概貌、我國現(xiàn)有信息安全相關(guān)法律法規(guī)簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學(xué)習(xí)�,可以借此提高自己的安全意識,了解常見的安全漏洞�,識別黑客攻擊手法,熟悉提高系統(tǒng)抗攻擊能力的安全配置方法����,最重要的還在于掌握一種學(xué)習(xí)信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術(shù):計算機取證是計算機安全領(lǐng)域中的一個全新的分支,涉及計算機犯罪事件證據(jù)的獲取��、保存���、分析����、證物呈堂等相關(guān)法律�、程序、技術(shù)問題.本課程詳細介紹了計算機取證相關(guān)的犯罪的追蹤�、密碼技術(shù)、數(shù)據(jù)隱藏����、惡意代碼、主流操作系統(tǒng)取證技術(shù)����,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
第2篇
論文提要:當(dāng)今世界已進入了信息化時代�,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)。黨的十七大明確提出了一條“以信息化帶動工業(yè)化�����,以工業(yè)化促進信息化”的具有中國特色的信息化道路�。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質(zhì)���,如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題��。
一��、信息化的內(nèi)涵�、信息資源的性質(zhì)及信息的安全問題
“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的。經(jīng)過40多年的發(fā)展����,信息化已成為各國社會發(fā)展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)�,主要表現(xiàn)在知識性、中介性���、可轉(zhuǎn)化性��、可再生性和無限應(yīng)用性����。由于其特殊性質(zhì)造成信息資源存在可能被篡改��、偽造�����、竊取以及截取等安全隱患,造成信息的丟失��、泄密���,甚至造成病毒的傳播����,從而導(dǎo)致信息系統(tǒng)的不安全性���,給國家的信息化建設(shè)帶來不利影響。因此�,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內(nèi)容:真實性�,保證信息的來源真實可靠;機密性�,信息即使被截獲也無法理解其內(nèi)容;完整性����,信息的內(nèi)容不會被篡改或破壞;可用性����,能夠按照用戶需要提供可用信息����;可控性�,對信息的傳播及內(nèi)容具有控制能力;不可抵賴性����,用戶對其行為不能進行否認(rèn);可審查性�,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:
一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點����,從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點,通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的�����、開放的�����,而不是封閉的、保密的��。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊���。
二是信息安全問題的易擴散性���。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)��,造成了病毒極易滋生和傳播�,從而導(dǎo)致信息危害����。
三是信息安全中的智能性、隱蔽性特點��。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為���,而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗�,對信息的破壞�����、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的�,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失�����,甚至不留任何痕跡���,給偵破和定罪帶來困難��。
信息安全威脅主要來源于自然災(zāi)害�����、意外事故��;計算機犯罪�;人為錯誤��,比如使用不當(dāng)�����,安全意識差等;“黑客”行為�����;內(nèi)部泄密���;外部泄密����;信息丟失����;電子諜報,比如信息流量分析���、信息竊取等;信息戰(zhàn)�;網(wǎng)絡(luò)協(xié)議自身缺陷,等等����。
二、我國信息化中的信息安全問題
近年來�,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素�����,我國在信息安全管理上的進展是迅速的���。但是���,由于我國的信息化建設(shè)起步較晚,相關(guān)體系不完善���,法律法規(guī)不健全等諸多因素����,我國的信息化仍然存在不安全問題����。
1、信息與網(wǎng)絡(luò)安全的防護能力較弱��。我國的信息化建設(shè)發(fā)展迅速���,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站����,特別是“政府上網(wǎng)工程”全面啟動后,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站���,但是由于許多網(wǎng)站沒有防火墻設(shè)備���、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設(shè)備���,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患�����。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱��,在網(wǎng)絡(luò)黑客攻擊的國家中�����,中國是最大的受害國。
2�、對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制����,很多單位和部門直接引進國外的信息設(shè)備�����,并不對其進行必要的監(jiān)測和改造��,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機���。
3、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱����,核心技術(shù)嚴(yán)重依賴國外,缺乏自主創(chuàng)新產(chǎn)品����,尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外�����,這使我國的網(wǎng)絡(luò)安全性能大大減弱���,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”��。由于缺乏自主技術(shù)���,我國的網(wǎng)絡(luò)處于被竊聽�����、干擾��、監(jiān)視和欺詐等多種信息安全威脅中����,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)�����。
4��、信息犯罪在我國有快速發(fā)展趨勢���。除了境外黑客對我國信息網(wǎng)絡(luò)進行攻擊����,國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡(luò)犯罪�,例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等���。
5����、在研究開發(fā)��、產(chǎn)業(yè)發(fā)展�、人才培養(yǎng)、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)���。
造成以上問題的相關(guān)因素在于:首先���,我國的經(jīng)濟基礎(chǔ)薄弱,在信息產(chǎn)業(yè)上的投入還是不足����,尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次�,全民信息安全意識淡薄,警惕性不高�。大多數(shù)計算機用戶都曾被病毒感染過,并且病毒的重復(fù)感染率相當(dāng)高�。
除此之外����,我國目前信息技術(shù)領(lǐng)域的不安全局面����,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)。
三�����、相關(guān)解決措施
針對我國信息安全存在的問題���,要實現(xiàn)信息安全不但要靠先進的技術(shù)��,還要有嚴(yán)格的法律法規(guī)和信息安全教育�����。
1��、加強全民信息安全教育���,提高警惕性。從小做起,從己做起��,有效利用各種信息安全防護設(shè)備���,保證個人的信息安全,提高整個系統(tǒng)的安全防護能力�����,從而促進整個系統(tǒng)的信息安全��。超級秘書網(wǎng)
2�����、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)�����,加大信息產(chǎn)業(yè)投入�。增強自主創(chuàng)新意識,加大核心技術(shù)的研發(fā)���,尤其是信息安全產(chǎn)品�,減小對國外產(chǎn)品的依賴程度��。
3、創(chuàng)造良好的信息化安全支撐環(huán)境���。完善我國信息安全的法規(guī)體系��,制定相關(guān)的法律法規(guī)�����,例如信息安全法�、數(shù)字簽名法��、電子信息犯罪法���、電子信息出版法�、電子信息知識產(chǎn)權(quán)保護法���、電子信息個人隱私法����、電子信息進出境法等���,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度��,對其進行嚴(yán)厲的懲處�。
4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)�����。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)��,應(yīng)大力培養(yǎng)信息安全專業(yè)人才��,建立信息安全人才培養(yǎng)體系��。
5����、加強國際防范�,創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性�����、交互性和分散性等特征���,產(chǎn)生了許多安全問題��,要保證信息安全����,必須積極參與國際合作,通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范����,防范來自世界各地的黑客入侵,加強信息網(wǎng)絡(luò)安全�。
第3篇
關(guān)鍵詞:稅收信息化;信息狀態(tài)安全�;信息轉(zhuǎn)移安全;信息安全技術(shù)
從三個方面來考慮:首先是信息狀態(tài)安全��,即稅務(wù)系統(tǒng)安全���,要防止稅務(wù)系統(tǒng)中心的數(shù)據(jù)被攻擊者破壞�����。稅務(wù)系統(tǒng)要通過Internet對納稅人提供納稅便利�,必須以一定的方式將它的數(shù)據(jù)中心開放�����,這對稅務(wù)系統(tǒng)本身帶來了很大的風(fēng)險。其次是信息轉(zhuǎn)移安全�,即服務(wù)安全,如納稅人識別號�、口令、納稅金額等在傳輸中不被冒用�����、泄露和篡改��。再次是安全管理制度�����,即使用安全��,保證稅務(wù)人員正確�、安全的使用���。本文主要針對以上前兩個方面也就是信息安全技術(shù)進行研究�。
一���、信息狀態(tài)安全技術(shù)
信息狀態(tài)安全主要包括系統(tǒng)主機服務(wù)器安全����、操作系統(tǒng)安全和數(shù)據(jù)庫安全三個方面。
(一)系統(tǒng)主機服務(wù)器安全(ServerSecurity)
服務(wù)器是存儲數(shù)據(jù)�����、處理請求的核心���,因此服務(wù)器的安全性尤為重要�����。服務(wù)器的安全性主要涉及到服務(wù)器硬件設(shè)備自身的安全性防護�����,對非法接觸服務(wù)器配件具有一定的保護措施���,比如加鎖或密碼開關(guān)設(shè)置等;同時����,服務(wù)器需要支持大數(shù)據(jù)量及多線程存儲矩陣以滿足大數(shù)據(jù)量訪問的實時性和穩(wěn)定性�,不會因為大量的訪問導(dǎo)致服務(wù)器崩潰����;服務(wù)器要能夠支持基于硬件的磁盤陣列功能,支持磁盤及磁帶的系統(tǒng)�����、數(shù)據(jù)備份功能��,使得安裝在服務(wù)器上的操作系統(tǒng)和數(shù)據(jù)庫能夠在災(zāi)難后得到備份恢復(fù)�����,保證服務(wù)器的不間斷運行��;服務(wù)器設(shè)備配件的高質(zhì)量及運行可靠性也是服務(wù)器安全的非常重要的一個方面��,這直接關(guān)系到服務(wù)器不間斷運行的時間和網(wǎng)絡(luò)數(shù)據(jù)訪問的效率���。
(二)操作系統(tǒng)安全(OperatingSystemSecurity)
設(shè)置操作系統(tǒng)就像為構(gòu)筑安全防范體系打好“地基”。
1.自主訪問控制(DiscretionaryAccessControl�����,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問�����。為實現(xiàn)完備的自主訪問控制��,由訪問控制矩陣提供的信息必須以某種形式保存在稅務(wù)操作系統(tǒng)中���。訪問控制矩陣中的每行表示一個主體���,每列表示一個受保護的客體,矩陣中的元素表示主體可對客體的訪問模式�。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表��,根據(jù)表中信息的不同可分為三種形式:(1)權(quán)力表(CapabilitiesList)�����,它決定是否可對客體進行訪問以及可進行何種模式的訪問���。(2)前綴表(PrefixList)�����,它包括受保護客體名以及主體對客體的訪問權(quán)�����。(3)口令(Password)�����,主體對客體進行訪問前��,必須向稅務(wù)操作系統(tǒng)提供該客體的口令��。對于口令的使用�,建議實行相互制約式的雙人共管系統(tǒng)口令。
2.強制訪問控制(MandatoryAccessControl����,MAC)。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊����,這就需要利用強制訪問控制來采取更強有力的訪問控制手段�����。在強制訪問控制中,稅務(wù)系統(tǒng)對主體和客體都分配一個特殊的一般不能更改的安全屬性��,系統(tǒng)通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體�。稅務(wù)系統(tǒng)一般可采取兩種強制措施:(1)限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權(quán)系統(tǒng)的功能調(diào)用�,該功能依據(jù)用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下���,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅�����。(2)限制編程���。鑒于稅務(wù)系統(tǒng)僅需要進行事務(wù)處理,不需要任何編程的能力���,可將用于應(yīng)用開發(fā)的計算機系統(tǒng)分離出去���,完全消除用戶的編程能力。
3.安全核技術(shù)(SecurityKernelTechnology)���。安全核是構(gòu)造高度安全的操作系統(tǒng)最常用的技術(shù)���。該技術(shù)的理論基礎(chǔ)是:將與安全有關(guān)的軟件隔離在操作系統(tǒng)的一個可信核內(nèi)���,而操作系統(tǒng)的大部分軟件無須負(fù)責(zé)系統(tǒng)安全。稅務(wù)系統(tǒng)安全核技術(shù)要滿足三個原則:(1)完備性(Completeness)�,要求使主體必須通過引進監(jiān)控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統(tǒng)����。(2)隔離性(Isolation),要求將安全核與外部系統(tǒng)很好的隔離起來����,以防止進程對安全核的非法修改。(3)可驗證性(Verifiability)�,要求無論采用什么方法構(gòu)造安全核,都必須保證對它的正確性可以進行某種驗證�����。
其他常見措施還有:信息加密���、數(shù)字簽名�、審計等,這些技術(shù)方法在數(shù)據(jù)庫安全等方面也可廣泛應(yīng)用�����,我們將在下面介紹����。
(三)數(shù)據(jù)庫安全(DatabaseSecurity)
數(shù)據(jù)庫是信息化及很多應(yīng)用系統(tǒng)的核心�����,其安全在整個信息系統(tǒng)中是最為關(guān)鍵的一環(huán)��,所有的安全措施都是為了最終的數(shù)據(jù)庫上的數(shù)據(jù)的安全性�。另外,根據(jù)稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)中各種不同應(yīng)用系統(tǒng)對各種機密����、非機密信息訪問權(quán)限的要求,數(shù)據(jù)庫需要提供安全性控制的層次結(jié)構(gòu)和有效的安全性控制策略��。
數(shù)據(jù)庫的安全性主要是依靠分層解決的����,它的安全措施也是一級一級層層設(shè)置的,真正做到了層層設(shè)防。第一層應(yīng)該是注冊和用戶許可�,保護對服務(wù)器的基本存取�;第二層是存取控制,對不同用戶設(shè)定不同的權(quán)限�,使數(shù)據(jù)庫得到最大限度的保護;第三層是增加限制數(shù)據(jù)存取的視圖和存儲過程�,在數(shù)據(jù)庫與用戶之間建立一道屏障?����;谏鲜鰯?shù)據(jù)庫層次結(jié)構(gòu)的安全體系����,稅務(wù)網(wǎng)絡(luò)信息系統(tǒng)需要設(shè)置對機密和非機密數(shù)據(jù)的訪問控制:(1)驗證(Authentication),保證只有授權(quán)的合法用戶才能注冊和訪問���;(2)授權(quán)(Authorization)�,對不同的用戶訪問數(shù)據(jù)庫授予不同的權(quán)限�����;(3)審計(Auditing)���,對涉及數(shù)據(jù)庫安全的操作做一個完整的記錄���,以備有違反數(shù)據(jù)庫安全規(guī)則的事件發(fā)生后能夠有效追查��,再結(jié)合以報警(Alert)功能,將達到更好的效果����。還可以使用數(shù)據(jù)庫本身提供的視圖和存儲過程對數(shù)據(jù)庫中的其他對象進行權(quán)限設(shè)定,這樣用戶只能取得對視圖和存儲過程的授權(quán)��,而無法訪問底層表���。視圖可以限制底層表的可見列�,從而限制用戶能查詢的數(shù)據(jù)列的種類�����。
二��、信息轉(zhuǎn)移安全技術(shù)
信息轉(zhuǎn)移安全即網(wǎng)絡(luò)安全�����。為了達到保證網(wǎng)絡(luò)系統(tǒng)安全性的目的,安全系統(tǒng)應(yīng)具有身份認(rèn)證(IdentificationandAuthentication)�;訪問控制(AccessControl);可記賬性(Accountability)��;對象重用(ObjectReuse)���;精確性(Accuracy)���;服務(wù)可用性(AvailabilityofServices)等功能。
1.防火墻技術(shù)(FirewallTechnology)
為保證信息安全���,防止稅務(wù)系統(tǒng)數(shù)據(jù)受到破壞����,常用防火墻來阻擋外界對稅務(wù)局?jǐn)?shù)據(jù)中心的非法入侵��。所謂防火墻�,是一類防范措施的總稱,是指在受保護的企業(yè)內(nèi)聯(lián)網(wǎng)與對公眾開放的網(wǎng)絡(luò)(如Internet)之間設(shè)立一道屏障�����,對所有要進入內(nèi)聯(lián)網(wǎng)的信息進行分析或?qū)υL問用戶進行認(rèn)證����,防止有害信息和來自外部的非法入侵進入受保護網(wǎng)����,并且阻止內(nèi)聯(lián)網(wǎng)本身某個節(jié)點上發(fā)生的非法操作以及有害數(shù)據(jù)向外部擴散�,從而保護內(nèi)部系統(tǒng)的安全。防火墻的實質(zhì)是實施過濾技術(shù)的軟件防范措施����。防火墻可以分為不同類型����,最常見的有基于路由器的IP層防火墻和基于主機的應(yīng)用層防火墻。兩種防火墻各有千秋�����,IP層防火墻對用戶透明性好����,應(yīng)用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可����,常常將兩種防火墻結(jié)合使用�����,以互相補充�,確保網(wǎng)絡(luò)的安全��。另外����,還有專門用于過濾病毒的病毒防火墻,隨時為用戶查殺病毒���,保護系統(tǒng)��。
2.信息加密技術(shù)(InformationEncryptionTechnology)
信息加密包括密碼設(shè)計���、密碼分析、密鑰管理�����、驗證等內(nèi)容���。利用加密技術(shù)可以把某些重要信息或數(shù)據(jù)從明文形式轉(zhuǎn)換成密文形式����,經(jīng)過線路傳送,到達目的端用戶再把密文還原成明文�。對數(shù)據(jù)進行加密是防止信息泄露的有效手段。適當(dāng)?shù)脑黾用荑€的長度和更先進的密鑰算法����,可以使破譯的難度大大增加。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography)����,即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種�。分組密碼把明文符號按固定大小進行分組�����,然后逐組加密��。而序列密碼把明文符號立即轉(zhuǎn)換為密文符號��,運算速度更快�����,安全性更高。(2)公鑰加密體制(Public-keyCryptography)�,其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密�,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰�。
在傳輸過程中,只有稅務(wù)系統(tǒng)和認(rèn)證中心(AuthenticationCenter��,AC)才有稅務(wù)系統(tǒng)的公開密鑰����,只有納稅人和認(rèn)證中心才有納稅人的公開密鑰,在這種情況下��,即使其他人得到了經(jīng)過加密后雙方的私有密鑰��,也因為無法進行解密而保證了私有密鑰的重要性�,從而保證了傳輸文件的安全性。
3.信息認(rèn)證技術(shù)(InformationAuthenticationTechnology)
數(shù)字簽名技術(shù)(DigitalSignatureTechnology)�。數(shù)字簽名可以證實信息發(fā)送者的身份以及信息的真實性,它具備不可偽造性����、真實性、不可更改性和不可重復(fù)性四大特征。數(shù)字簽名是通過密碼算法對數(shù)據(jù)進行加密���、解密交換實現(xiàn)的�,其主要方式是:信息發(fā)送方首先通過運行散列函數(shù)���,生成一個欲發(fā)送報文的信息摘要��,然后用所持有的私鑰對這個信息的摘要進行加密以形成發(fā)送方的數(shù)字簽名��,這個數(shù)字簽名將作為報文的附件和報文一起發(fā)送給報文的接收方��。接收方在接收到信息后���,首先運行和發(fā)送方相同的散列函數(shù)生成接收報文的信息摘要,然后再用發(fā)送方的公開密鑰對報文所附的數(shù)字簽名進行解密�,產(chǎn)生原始報文的信息摘要,通過比較兩個信息摘要是否相同就可以確認(rèn)發(fā)送方和報文的正確性����。
完整性認(rèn)證(IntegrityAuthentication)��。完整性認(rèn)證能夠使既定的接收者檢驗接收到的信息是否真實��。常用的方法是:信息發(fā)送者在信息中加入一個認(rèn)證碼,經(jīng)加密后發(fā)送給接收者檢驗�,接收者利用約定的算法對解密后的信息進行運算,將得到的認(rèn)證碼與收到的認(rèn)證碼進行比較�����,若兩者相等����,則接收,否則拒絕接收���。
4.防病毒技術(shù)(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環(huán)��。我們建議采用由單機防毒和網(wǎng)絡(luò)防毒同時使用的這種防病毒措施���,來最大限度地加強網(wǎng)絡(luò)端到端的防病毒架構(gòu),再加上防病毒制度與措施���,就構(gòu)成了一套完整的防病毒體系��。
參考文獻:
[1]楊懷則.稅收信息化建設(shè)存在的問題及建議[J].草原稅務(wù),2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至陽.現(xiàn)代操作系統(tǒng)教程[M].北京:高等教育出版社,2000.
[4]陸楠.現(xiàn)代網(wǎng)絡(luò)技術(shù)[M].西安:西安電子科技大學(xué)出版社,2003.
第4篇
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用�,信息安全問題正日益突出顯現(xiàn)出來�����,受到越來越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀.探討了網(wǎng)絡(luò)信息安全的內(nèi)涵��,分析了網(wǎng)絡(luò)信息安全的主要威脅��,最后給出了網(wǎng)絡(luò)信息安全的實現(xiàn)技術(shù)和防范措施.以保障計算機網(wǎng)絡(luò)的信息安全���,從而充分發(fā)揮計算機網(wǎng)絡(luò)的作用�。
論文關(guān)鍵詞:計算機�����,網(wǎng)絡(luò)安全�,安全管理,密鑰安全技術(shù)
當(dāng)今社會.網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升�����,原本網(wǎng)絡(luò)固有的優(yōu)越性����、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識和一些常用的安全防范技術(shù)�����。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全���。網(wǎng)絡(luò)信息的傳輸�、存儲���、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性�、完整性和真實性:動態(tài)安全是指信息在傳輸過程中不被篡改�、竊取、遺失和破壞��。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》�����。報告顯示�,截至2008年底,中國網(wǎng)民數(shù)達到2.98億.手機網(wǎng)民數(shù)超1億達1.137億����。
Research艾瑞市場咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計數(shù)據(jù)顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型��,還是技術(shù)控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理�、人員的管理、制度的管理����、機構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機構(gòu)或部門中.各層次人員的責(zé)任感.對信息安全的認(rèn)識�、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商����、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計階段就將安全要求和控制一體化考慮進去.則成本會更低、效率會更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進行定時強化培訓(xùn).對網(wǎng)絡(luò)運行情況進行定時檢測等�。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實.要加強監(jiān)督檢查建立嚴(yán)格的考核制度和獎懲機制是必要的。
③對網(wǎng)絡(luò)的管理要遵循國家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運行����。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級采取不同級別的安全保護。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達到76.5%��。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設(shè)置在被保護網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障�����,以防止發(fā)生不可預(yù)測的�����、潛在破壞性的侵入����。它通過監(jiān)測、限制�����、更改跨越防火墻的數(shù)據(jù)流�����,盡可能地對外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息�����、結(jié)構(gòu)和運行狀況.以此來實現(xiàn)網(wǎng)絡(luò)的安全保護����。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動攻擊的重要技術(shù).它對開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個:
①驗證信息的發(fā)送者是真正的主人
2)驗證信息的完整性,保證信息在傳送過程中未被竄改�����、重放或延遲等��。
4.3信息加密技術(shù)
加密是實現(xiàn)信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結(jié)合使用.互補長短�。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監(jiān)測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個重要研究方向.它是通過一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到����。
4.5入侵檢測技術(shù)的應(yīng)用
人侵檢測系統(tǒng)(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息.再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認(rèn)為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統(tǒng)發(fā)生危害前.檢測到入侵攻擊.并利用報警與防護系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關(guān)信息.作為防范系統(tǒng)的知識.添加入策略集中.增強系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測的作用包括威懾、檢測����、響應(yīng)、損失情況評估��、攻擊預(yù)測和支持�����。入侵檢測技術(shù)是為保證計算機系統(tǒng)的安全而設(shè)計與配置的一種能夠及時發(fā)現(xiàn)并報告系統(tǒng)中未授權(quán)或異?����,F(xiàn)象的技術(shù).是一種用于檢測計算機網(wǎng)絡(luò)中違反安全策略行為的技術(shù)�����。
第5篇
隨著電子政務(wù)應(yīng)用的不斷深入,信息安全問題日益凸顯��,為了高效安全的進行電子政務(wù)�����,迫切需要搞好信息安全保障工作��。電子政務(wù)系統(tǒng)采取的網(wǎng)絡(luò)安全措施[2][3]不僅要保證業(yè)務(wù)與辦公系統(tǒng)和網(wǎng)絡(luò)的穩(wěn)定運行���,另一方面要保護運行在內(nèi)部網(wǎng)上的敏感數(shù)據(jù)與信息的安全,因此應(yīng)充分保證以下幾點:
1.1基礎(chǔ)設(shè)施的可用性:運行于內(nèi)部專網(wǎng)的各主機��、數(shù)據(jù)庫�����、應(yīng)用服務(wù)器系統(tǒng)的安全運行十分關(guān)鍵��,網(wǎng)絡(luò)安全體系必須保證這些系統(tǒng)不會遭受來自網(wǎng)絡(luò)的非法訪問����、惡意入侵和破壞。
1.2數(shù)據(jù)機密性:對于內(nèi)部網(wǎng)絡(luò)�����,保密數(shù)據(jù)的泄密將直接帶來政府機構(gòu)以及國家利益的損失。網(wǎng)絡(luò)安全系統(tǒng)應(yīng)保證內(nèi)網(wǎng)機密信息在存儲與傳輸時的保密性����。
1.3網(wǎng)絡(luò)域的可控性:電子政務(wù)的網(wǎng)絡(luò)應(yīng)該處于嚴(yán)格的控制之下,只有經(jīng)過認(rèn)證的設(shè)備可以訪問網(wǎng)絡(luò)��,并且能明確地限定其訪問范圍��,這對于電子政務(wù)的網(wǎng)絡(luò)安全十分重要���。
1.4數(shù)據(jù)備份與容災(zāi):任何的安全措施都無法保證數(shù)據(jù)萬無一失,硬件故障�����、自然災(zāi)害以及未知病毒的感染都有可能導(dǎo)致政府重要數(shù)據(jù)的丟失�。因此,在電子政務(wù)安全體系中必須包括數(shù)據(jù)的容災(zāi)與備份���,并且最好是異地備份����。
2電子政務(wù)信息安全體系模型設(shè)計
完整的電子政務(wù)安全保障體系從技術(shù)層面上來講,必須建立在一個強大的技術(shù)支撐平臺之上����,同時具有完備的安全管理機制,并針對物理安全��,數(shù)據(jù)存儲安全���,數(shù)據(jù)傳輸安全和應(yīng)用安全制定完善的安全策略
在技術(shù)支撐平臺方面�����,核心是要解決好權(quán)限控制問題�。為了解決授權(quán)訪問的問題,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結(jié)合起來進行安全性設(shè)計����,然而由于一個終端用戶可以有許多權(quán)限,許多用戶也可能有相同的權(quán)限集�����,這些權(quán)限都必須寫入屬性證書的屬性中,這樣就增加了屬性證書的復(fù)雜性和存儲空間��,從而也增加了屬性證書的頒發(fā)和驗證的復(fù)雜度��。為了解決這個問題��,作者建議根據(jù)X.509標(biāo)準(zhǔn)建立基于角色PMI的電子政務(wù)安全模型��。該模型由客戶端�����、驗證服務(wù)器�、應(yīng)用服務(wù)器�、資源數(shù)據(jù)庫和LDAP目錄服務(wù)器等實體組成,在該模型中:
2.1終端用戶:向驗證服務(wù)器發(fā)送請求和證書����,并與服務(wù)器雙向驗證。
2.2驗證服務(wù)器:由身份認(rèn)證模塊和授權(quán)驗證模塊組成提供身份認(rèn)證和訪問控制��,是安全模型的關(guān)鍵部分���。
2.3應(yīng)用服務(wù)器:與資源數(shù)據(jù)庫連接�����,根據(jù)驗證通過的用戶請求�,對資源數(shù)據(jù)庫的數(shù)據(jù)進行處理,并把處理結(jié)果通過驗證服務(wù)器返回給用戶以響應(yīng)用戶請求��。
2.4LDAP目錄服務(wù)器:該模型中采用兩個LDAP目錄服務(wù)器���,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)���,另一個LDAP目錄服務(wù)器存放角色指派和角色規(guī)范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務(wù)安全體系的重要組成部分���。安全的核心實際上是管理,安全技術(shù)實際上只是實現(xiàn)管理的一種手段�,再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用���。需要制訂的制度包括安全行政管理和安全技術(shù)管理�。安全行政管理應(yīng)包括組織機構(gòu)和責(zé)任制度等的制定和落實����;安全技術(shù)管理的內(nèi)容包括對硬件實體和軟件系統(tǒng)����、密鑰的管理�����。
轉(zhuǎn)貼于中國論文下載中心www
3電子政務(wù)信息安全管理體系中的風(fēng)險評估
電子政務(wù)信息安全等級保護是根據(jù)電子政務(wù)系統(tǒng)在國家安全�����、經(jīng)濟安全��、社會穩(wěn)定和保護公共利益等方面的重要程度�����。等級保護工作的要點是對電子政務(wù)系統(tǒng)進行風(fēng)險分析���,構(gòu)建電子政務(wù)系統(tǒng)的風(fēng)險因素集。
3.1信息系統(tǒng)的安全定級信息系統(tǒng)的安全等級從低到高依次包括自主保護級����、指導(dǎo)保護級、監(jiān)督保護級�、強制保護級�����、專控保護級五個安全等級��。對電子政務(wù)的五個安全等級定義�����,結(jié)合系統(tǒng)面臨的風(fēng)險�、系統(tǒng)特定安全保護要求和成本開銷等因素,采取相應(yīng)的安全保護措施以保障信息和信息系統(tǒng)的安全����。
3.2采用全面的風(fēng)險評估辦法風(fēng)險評估具有不同的方法。在ISO/IECTR13335-3《信息技術(shù)IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險評估方法的例子����,其他文獻,例如NISTSP800-30���、AS/NZS4360等也介紹了風(fēng)險評估的步驟及方法,另外�,一些組織還提出了自己的風(fēng)險評估工具���,例如OCTAVE、CRAMM等��。
電子政務(wù)信息安全建設(shè)中采用的風(fēng)險評估方法可以參考ISO17799�、OCTAVE、CSE�����、《信息安全風(fēng)險評估指南》等標(biāo)準(zhǔn)和指南�����,從資產(chǎn)評估�、威脅評估、脆弱性評估�����、安全措施有效性評估四個方面建立風(fēng)險評估模型���。其中�����,資產(chǎn)的評估主要是對資產(chǎn)進行相對估價�����,其估價準(zhǔn)則依賴于對其影響的分析���,主要從保密性�����、完整性����、可用性三方面進行影響分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性的評估�����,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產(chǎn)脆弱程度的評估�����,主要從脆弱性被利用的難易程度�����、被成功利用后的嚴(yán)重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動���,主要對安全措施防范威脅�����、減少脆弱性的有效狀況進行分析;安全風(fēng)險評估就是通過綜合分析評估后的資產(chǎn)信息���、威脅信息、脆弱性信息��、安全措施信息�����,最終生成風(fēng)險信息���。
在確定風(fēng)險評估方法后����,還應(yīng)確定接受風(fēng)險的準(zhǔn)則���,識別可接受的風(fēng)險級別��。
4結(jié)語
電子政務(wù)與傳統(tǒng)政務(wù)相比有顯著區(qū)別����,包括:辦公手段不同�,信息資源的數(shù)字化和信息交換的網(wǎng)絡(luò)化是電子政務(wù)與傳統(tǒng)政務(wù)的最顯著區(qū)別;行政業(yè)務(wù)流程不同,實現(xiàn)行政業(yè)務(wù)流程的集約化��、標(biāo)準(zhǔn)化和高效化是電子政務(wù)的核心;與公眾溝通方式不同�����,直接與公眾溝通是實施電子政務(wù)的目的之一�,也是與傳統(tǒng)政務(wù)的重要區(qū)別。在電子政務(wù)的信息安全管理中�����,要抓住其特點�����,從技術(shù)�、管理、策略角度設(shè)計完整的信息安全模型并通過科學(xué)量化的風(fēng)險評估方法識別風(fēng)險和制定風(fēng)險應(yīng)急預(yù)案,這樣才能達到全方位實施信息安全管理的目的��。
參考文獻:
[1]范紅�����,馮國登����,吳亞非.信息安全風(fēng)險評估方法與應(yīng)用.清華大學(xué)出版社.2006.
[2]李波杰��,張緒國���,張世永.一種多層取證的電子商務(wù)安全審計系統(tǒng)微型電腦應(yīng)用.2007年05期.
第6篇
論文摘要:世界已進入了信息化時代����,信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)��。但由于信息資源不同于其他資源的特殊性質(zhì)�,如何保證信息的安全性成為我國信息化建設(shè)過程中需要解決的重要問題。
論文關(guān)鍵詞:信息安全��;保護
信息安全包括以下內(nèi)容:真實性�,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內(nèi)容�;完整性,信息的內(nèi)容不會被篡改或破壞�;可用性,能夠按照用戶需要提供可用信息�����;可控性���,對信息的傳播及內(nèi)容具有控制能力�;不可抵賴性��,用戶對其行為不能進行否認(rèn)���;可審查性�����,對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段��。與傳統(tǒng)的安全問題相比����,基于網(wǎng)絡(luò)的信息安全有一些新的特點:信息安全威脅主要來源于自然災(zāi)害、意外事故�����;計算機犯罪��;人為錯誤�����,比如使用不當(dāng)�,安全意識差等��;“黑客”行為��;內(nèi)部泄密��;外部泄密�����;信息丟失��;電子諜報�����,比如信息流量分析、信息竊取等���;信息戰(zhàn)��;網(wǎng)絡(luò)協(xié)議自身缺陷��,等等�。
1我國信息安全的現(xiàn)狀
近年來����,隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行�、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素,我國在信息安全管理上的進展是迅速的����。但是,由于我國的信息化建設(shè)起步較晚��,相關(guān)體系不完善�,法律法規(guī)不健全等諸多因素,我國的信息化仍然存在不安全問題�。
①網(wǎng)絡(luò)安全的防護能力較弱�����。我國的信息化建設(shè)發(fā)展迅速���,各個企業(yè)紛紛設(shè)立自己的網(wǎng)站,特別是“政府上網(wǎng)工程”全面啟動后�,各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站,但是由于許多網(wǎng)站沒有防火墻設(shè)備��、安全審計系統(tǒng)����、入侵監(jiān)測系統(tǒng)等防護設(shè)備����,整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱�����,在網(wǎng)絡(luò)黑客攻擊的國家中�����,中國是最大的受害國。
②對引進的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造����。由于我國信息技術(shù)水平的限制,很多單位和部門直接引進國外的信息設(shè)備���,并不對其進行必要的監(jiān)測和改造��,從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機���。
③我國基礎(chǔ)信息產(chǎn)業(yè)薄弱,核心技術(shù)嚴(yán)重依賴國外����,缺乏自主創(chuàng)新產(chǎn)品,尤其是信息安全產(chǎn)品�����。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外�����,這使我國的網(wǎng)絡(luò)安全性能大大減弱���,被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”����。由于缺乏自主技術(shù),我國的網(wǎng)絡(luò)處于被竊聽�����、干擾�、監(jiān)視和欺詐等多種信息安全威脅中,網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)���。
除此之外�����,我國目前信息技術(shù)領(lǐng)域的不安全局面,也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)����。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現(xiàn)信息安全不但要靠先進的技術(shù)����,還要有嚴(yán)格的法律法規(guī)和信息安全教育�。
①加強全民信息安全教育�����,提高警惕性�。從小做起,從己做起�,有效利用各種信息安全防護設(shè)備,保證個人的信息安全����,提高整個系統(tǒng)的安全防護能力,從而促進整個系統(tǒng)的信息安全��。
②發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)����,加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識�����,加大核心技術(shù)的研發(fā)����,尤其是信息安全產(chǎn)品����,減小對國外產(chǎn)品的依賴程度�。
③創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系��,制定相關(guān)的法律法規(guī)��,例如信息安全法�、數(shù)字簽名法、電子信息犯罪法���、電子信息出版法�、電子信息知識產(chǎn)權(quán)保護法���、電子信息個人隱私法����、電子信息進出境法等�,加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度���,對其進行嚴(yán)厲的懲處��。
第7篇
關(guān)鍵詞:新形勢�����、金融業(yè)信息安全�、挑戰(zhàn)、對策
一��、面臨的挑戰(zhàn)
目前����,金融業(yè)的業(yè)務(wù)開展更加依賴于信息技術(shù)的應(yīng)用,特別是以綜合業(yè)務(wù)系統(tǒng)整合�����、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個新的階段����。因而,信息技術(shù)風(fēng)險也自然成為中國金融機構(gòu)操作風(fēng)險的重要方面���。金融業(yè)信息安全工作正面臨比以往更嚴(yán)峻的形勢����,圍繞信息網(wǎng)絡(luò)空間的斗爭日趨尖銳,境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢���,惡意代碼和網(wǎng)絡(luò)攻擊呈多樣化局面�����,金融業(yè)信息系統(tǒng)安全運行的難度加大�,挑戰(zhàn)增多�����。
一是人民銀行的業(yè)務(wù)指導(dǎo)�、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。
與金融業(yè)信息化的高速發(fā)展相比�,金融業(yè)信息安全的指導(dǎo)、監(jiān)管工作還需要進一步加強���。國內(nèi)曾有專家明確提出����,在金融信息化����、網(wǎng)絡(luò)化時代,“信息資產(chǎn)風(fēng)險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念����。”信息資產(chǎn)風(fēng)險指在信息化中����,信息資產(chǎn)的規(guī)劃、設(shè)計�����、開發(fā)��、生成�����、存在�、運用、服務(wù)�、管理、維護��、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信用、市場�����、操作與業(yè)務(wù)風(fēng)險�。人民銀行在金融信息規(guī)劃、信息標(biāo)準(zhǔn)��、信息安全等諸多方面承擔(dān)著重要職責(zé)�����,在2008奧運年中發(fā)揮了重要���、積極的作用�����。但總體來看��,人民銀行及其分支行對金融機構(gòu)信息安全工作的指導(dǎo)和監(jiān)管�����,還處于初級階段�����,由于人民銀行分支機構(gòu)對各金融機構(gòu)信息安全缺乏指導(dǎo)��、缺乏統(tǒng)一的監(jiān)管目標(biāo)�����、缺乏完整的認(rèn)識�����,以及缺乏監(jiān)督管理的依據(jù)和標(biāo)準(zhǔn)�����,從而導(dǎo)致監(jiān)管措施不到位����,監(jiān)管手段缺失���,致使基層行監(jiān)管缺乏主動性����。
二是核心設(shè)備和技術(shù)依賴于國外,底層技術(shù)難以掌握�,存在安全隱患。
目前����,我國金融業(yè)信息系統(tǒng)和網(wǎng)絡(luò)中,大量使用國外廠商生產(chǎn)的設(shè)備��,這些設(shè)備使用的操作系統(tǒng)�、數(shù)據(jù)庫、芯片也大多數(shù)是由國外廠商生產(chǎn)���。外方不可能提供設(shè)備的核心技術(shù)和專利���,我方很難判斷設(shè)備是否存在“后門”、“軟件陷阱”����、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞�。據(jù)調(diào)查,一些重要網(wǎng)絡(luò)系統(tǒng)中使用的信息技術(shù)產(chǎn)品�����,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預(yù)留���,也可能是無意疏忽造成的���。特殊情況下,特定安全漏洞可能被利用實施人侵��,修改或破壞設(shè)備程序��,或從設(shè)備中竊取機密數(shù)據(jù)和信息�。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”����,已經(jīng)為我們敲響了警鐘。
三是境內(nèi)外網(wǎng)絡(luò)違法犯罪活動呈快速遞增趨勢���,新技術(shù)的應(yīng)用使我們面臨更大的挑戰(zhàn)�。
金融業(yè)信息網(wǎng)絡(luò)和重要信息系統(tǒng)正成為敵對勢力�����、不法分子進行攻擊���、破壞和恐怖活動的重點目標(biāo)��。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊�����,整體信息安全形勢嚴(yán)峻�。2009年國防科技大學(xué)的一項研究表明,我國與互聯(lián)網(wǎng)相連的網(wǎng)絡(luò)管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人��,其中銀行�����、金融和證券機構(gòu)是攻擊重點�。
2005年6月18日,被稱為有史以來最嚴(yán)重的信息安全案件在美國爆發(fā)����,萬事達、VISA和美國運通公司的主要服務(wù)商的數(shù)據(jù)處理中心網(wǎng)絡(luò)被黑客程序侵人�����,導(dǎo)致4000萬個賬戶信息被黑客截獲,使客戶資金處于十分危險的狀態(tài)�����。
由此可見����,基于開放性網(wǎng)絡(luò)的金融服務(wù)對我國金融信息安全工作提出嚴(yán)峻的挑戰(zhàn)。
四是數(shù)據(jù)大集中的同時��,也使技術(shù)風(fēng)險相對集中���。
伴隨著數(shù)據(jù)大集中的實現(xiàn)����,風(fēng)險也相對集中.一旦數(shù)據(jù)中心發(fā)生災(zāi)難����,將導(dǎo)致金融業(yè)的所有分支機構(gòu)����、營業(yè)網(wǎng)點和全部的業(yè)務(wù)處理停頓,或造成客戶重要數(shù)據(jù)的丟失����,其后果不堪設(shè)想���。
近年來,國內(nèi)外金融機構(gòu)因為信息技術(shù)系統(tǒng)故障導(dǎo)致大面積����、較長時問業(yè)務(wù)中斷的事件時有發(fā)生。2006年�,日本花旗銀行出現(xiàn)交易系統(tǒng)故障,5天內(nèi)約27.5萬筆公用事業(yè)繳費遭重復(fù)扣劃或交易后未作月結(jié)記錄����,造成該行的重大聲譽損失。
信息系統(tǒng)潛在的風(fēng)險已引起金融業(yè)的高度重視��,如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)安全穩(wěn)定運行���,是需要整個金融業(yè)深入研究的課題��。
五是我國金融業(yè)的災(zāi)難處理能力有待加強�����。
據(jù)人民銀行在2009年對21家全國性商業(yè)銀行災(zāi)備中心建設(shè)情況的調(diào)查顯示����,僅有3家建立了同城和異地災(zāi)備中心,9家建立了同城災(zāi)備中心���,6家建立了異地災(zāi)備中心��,尚有3家沒有建立災(zāi)備中心����。返觀國外同業(yè).多數(shù)國外銀行已經(jīng)做到了分行一級的災(zāi)難備份與恢復(fù)��。這表明���,我國金融業(yè)災(zāi)備中心建設(shè)同國外相比存在較大差距�。
此外�,國內(nèi)金融機構(gòu)的現(xiàn)有災(zāi)難備份中心布局不合理,過度集中在北京���、上海兩地,一旦發(fā)生區(qū)域性重大災(zāi)難��,將對我國金融業(yè)整體運行狀況帶來極大危害����,并造成過高的重建成本�����。
二���、應(yīng)對措施
按照《國務(wù)院辦公廳關(guān)于印發(fā)中國人民銀行主要職責(zé)內(nèi)設(shè)機構(gòu)和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定,人民銀行的主要職責(zé)之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃���,負(fù)責(zé)金融標(biāo)準(zhǔn)化的組織管理協(xié)調(diào)工作�,指導(dǎo)金融業(yè)信息安全工作����。
在新形勢下如何指導(dǎo)和協(xié)調(diào)金融業(yè)信息化建設(shè)和信息安全,是人民銀行尤其是人民銀行分支機構(gòu)需要認(rèn)真思考的問題�����。
金融業(yè)信息系統(tǒng)的安全是防范和化解金融風(fēng)險的重要組成部分����,要依靠法律、管理機制�、技術(shù)保障等多方面相互配合�,形成一個完整的安全保障體系���。
一是加強金融服務(wù)指導(dǎo)和行業(yè)監(jiān)管���。
應(yīng)建立跨部門的金融業(yè)信息安全協(xié)調(diào)機制以及重點時期的安保工作機制,強化信息安全手段和隊伍建設(shè)��,加強信息安全檢測和準(zhǔn)人制度��,實施信息安全等級保護����,建立信息資產(chǎn)風(fēng)險評估體系,提高信息安全水平���,保證金融穩(wěn)定和經(jīng)濟發(fā)展����。
人民銀行分支機構(gòu)應(yīng)加強對中小金融機構(gòu)的服務(wù)指導(dǎo)����,尤其是在核心業(yè)務(wù)系統(tǒng)建設(shè)����、災(zāi)備建設(shè)和信息安全方面給予具體指導(dǎo)�����,幫助中小金融機構(gòu)借鑒成功經(jīng)驗��,規(guī)避風(fēng)險�,實現(xiàn)跨越式發(fā)展�。
各級人民銀行,應(yīng)牽頭成立金融業(yè)信息安全領(lǐng)導(dǎo)小組����,并建立和完善信息安全通報制度、報告制度和聯(lián)席會議制度���,建立健全一個運轉(zhuǎn)靈活����、反應(yīng)靈敏的信息安全應(yīng)急處理協(xié)調(diào)機制��,隨時處置和協(xié)調(diào)金融機構(gòu)安全事件���,以迅速應(yīng)對突發(fā)事件的發(fā)生�,降低或消除金融機構(gòu)網(wǎng)絡(luò)和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。
二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡(luò)�����。真正實現(xiàn)對金融機構(gòu)信息安全風(fēng)險的及時��、動態(tài)����、全面、連續(xù)的監(jiān)管���。
在正確評估我國金融網(wǎng)絡(luò)現(xiàn)狀的基礎(chǔ)上�����,借鑒國外的組網(wǎng)模式�,盡快建立適應(yīng)我國金融業(yè)信息化建設(shè)和發(fā)展實際的高速���、安全和先進的網(wǎng)絡(luò)框架�,在建設(shè)時要充分考慮到網(wǎng)絡(luò)的兼容性和拓展性�,為下一步與各金融業(yè)的網(wǎng)絡(luò)互聯(lián)做準(zhǔn)備。同時促進各家金融機構(gòu)完善內(nèi)控機制,保障運行安全?����,F(xiàn)代金融業(yè)高度依賴信息技術(shù)���,必須充分認(rèn)識到金融業(yè)信息安全對整體業(yè)務(wù)和金融體系,乃至經(jīng)濟體系的影響���,牢固樹立風(fēng)險防范意識�����,把信息科技作為風(fēng)險管理的重要手段�。
三是人民銀行要協(xié)調(diào)督促金融機構(gòu)�,加強自主創(chuàng)新,加大對國產(chǎn)軟硬件采購力度��,努力減少和降低一些關(guān)鍵領(lǐng)域的對外技術(shù)依賴���。
對采購或使用的信息技術(shù)和產(chǎn)品����,能自主的就要千方百計地推進自主�,不能自主的���,也須保證其可知可控,也就是說�����,要對信息技術(shù)產(chǎn)品的風(fēng)險和隱患�、漏洞和問題做到“心中有底、手中有招���、控制有術(shù)”���。
對須引進的,實行市場準(zhǔn)人制度����,并引進權(quán)威機構(gòu)對其產(chǎn)品進行風(fēng)險、安全���、實用等綜合性評估����。
對各地區(qū)一些科技水平還比較低的中小金融機構(gòu),要加大支持力度���,加強行業(yè)內(nèi)部的交流合作��。針對目前金融業(yè)��,特別是中小金融機構(gòu)的信息系統(tǒng)的開發(fā)����、建設(shè)和運維采用IT外包的形式��,應(yīng)出臺相應(yīng)的政策�����、制度和措施���,促進IT外包健康快速發(fā)展,約定監(jiān)管機制�����,規(guī)范服務(wù)商的服務(wù)標(biāo)準(zhǔn)和流程��,使IT外包以服務(wù)行為的公司化、強大的配套支持能力����、靈活的外包服務(wù)方式成為金融機構(gòu)快速發(fā)展的可行之道。
四是建立健全信息安全管理制度����,定期進行信息安全檢查,加強網(wǎng)絡(luò)安全攻擊防范��。
由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務(wù)運營方式����,使網(wǎng)絡(luò)必定要建成一個同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu),各種網(wǎng)絡(luò)訪問上的安全問題也隨之產(chǎn)生���。金融網(wǎng)絡(luò)系統(tǒng)面臨的攻擊有來自內(nèi)部的�����,也有來自外部的��。攻擊的后果將造成信息失密�����、信息遭篡改���、身份遭假冒和偽造等��,特別是在網(wǎng)絡(luò)上運行關(guān)鍵業(yè)務(wù)時����,網(wǎng)絡(luò)安全問題更是要優(yōu)先解決的問題���。因此��,應(yīng)通過建立健全信息安全制度、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式��,促進銀行做好系統(tǒng)加固工作���,充分利用各種安全產(chǎn)品強化網(wǎng)絡(luò)安全防范�����,加強移動存儲介質(zhì)管理��,做好安全日志分析��、預(yù)警和監(jiān)測工作��,防止植入木馬導(dǎo)致信息泄漏和來自內(nèi)部的安全威脅����。
五是增加業(yè)務(wù)持續(xù)動作能力,切實采取措施防范數(shù)據(jù)處理集中后的技術(shù)風(fēng)險�����。
巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2006年8月了《業(yè)務(wù)連續(xù)性高級原則》將業(yè)務(wù)連續(xù)性管理定義為����,發(fā)生中斷事件時,確保某些業(yè)務(wù)保持運行或在短時間內(nèi)得到恢復(fù)的一整套辦法��,包括政策���、標(biāo)準(zhǔn)和程序�。
業(yè)務(wù)連續(xù)性管理的實施在組織上的保證至關(guān)重要���。人民銀行應(yīng)指導(dǎo)金融業(yè)參照國外先進經(jīng)驗�����,專門成立業(yè)務(wù)連續(xù)性管理指導(dǎo)委員會�,將業(yè)務(wù)部門、風(fēng)險管理部門和IT部門有關(guān)業(yè)務(wù)連續(xù)性的管理職責(zé)融于一處統(tǒng)籌管理�����。
目前�,國內(nèi)銀行災(zāi)難備份和業(yè)務(wù)連續(xù)性管理主要集中在系統(tǒng)故障、人員操作���、機房維護和短時間電力中斷等情況�。在防范自然災(zāi)害�����、重大疫情和恐怖襲擊等方面的應(yīng)對管理還需加強�。一是要強涮“突發(fā)”與“應(yīng)急”���。由于災(zāi)害事件的不確定性��,應(yīng)急管理與保障工作必須建立在高強度的實戰(zhàn)性基礎(chǔ)上��,使災(zāi)難應(yīng)急管理真正適應(yīng)“應(yīng)急”的要求���。二是要擴大應(yīng)急預(yù)案本身的覆蓋范圍�����。我國金融業(yè)災(zāi)難備份及業(yè)務(wù)連續(xù)性管理主要集中在IT部門�,遠遠不能適應(yīng)業(yè)務(wù)連續(xù)性的需要�����,應(yīng)當(dāng)強調(diào)業(yè)務(wù)部門的參與�,與IT部門共同構(gòu)建適應(yīng)現(xiàn)代金融業(yè)發(fā)展需要的應(yīng)急保障體系,確保運營安全�。
三、結(jié)束語
