第一篇:信息安全研究論文信息安全論文計算機論文
信息安全研究論文(9 篇)-信息安全論文-計算機論文 ——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第一篇:中小企業信息安全管理問題分析
摘要:信息安全管理的有效落實,是新時期中小企業戰略性發展的重要保障。本文分析中小企業信息安全管理中存在的問題與不足,并以此作為闡述的切入口,從體系的建立、制度的完善等方面,闡述新時期深化中小企業信息安全管理的應對措施。
關鍵詞:中小企業;信息安全管理;制度
開放的互聯網環境,快速發展的網絡科技,都強調中小企業在立
足發展的同時,要著力于企業信息安全管理工作的開展。這是基于自身發展的內在要求,也是優化內控管理的重要之舉。當前,中小企業信息安全管理問題突出,無論是制度的不完善性,還是管理體系的缺乏,都需要中小企業應立足于實際的經營管理需求,建立起完善的信息安全管理體系,并制定完善的管理制度,滿足企業經營發展的需求,提高企業信息安全管理能力。
中小企業信息安全管理中存在的問題
1.1 對信息安全管理缺乏重視,安全管理流于形式
在網絡信息時代,構建安全的信息環境是企業構建可持續發展戰略的重要保障。在企業內控管理的優化與調整中,信息安全管理是其重要部分。然而,由于企業管理層缺乏足夠重視,導致企業信息安全管理落實不到位。特別是對于中小企業而言,一是缺乏足夠的資金投入,在安全信息管理的人員配置、硬軟件設施的購買等方面,難以滿
足企業信息安全管理的需求;二是中小企業信息化建設起步晚,缺乏一定的發展基礎,信息安全管理措施不足。因此,中小企業在信息安全管理過程中,面臨管理發展的尷尬與瓶頸,缺乏信息安全管理的基礎建設,滯后于企業可持續發展的現實需求。
1.2 信息安全管理技術落后,難以構建完備的信息安全管理體系
快速發展的網絡信息技術,推動中小企業現代信息化的建設,但也給企業信息安全管理帶來新的要求。在傳統的網絡環境中,依托簡單的加密技術、防火墻,便可以為企業信息安全管理構建完善的防御體系。但是,日益頻繁的黑客、病毒攻擊,強調信息安全管理技術的先進性,為企業構建完備的信息安全管理體系。而中小企業在信息安全管理體系的構建中,管理體系不完善,信息安全管理技術落后,單一的安全防御結構,顯然難以確保信息安全管理工作的全面開展,企業信息安全問題突出。
1.3 信息安全管理制度不完善,缺乏完善的制度保障
完善的管理制度是規范和引導信息安全管理的重要保障。中小企業在發展過程中,更多地強調短期經濟效益的追求,而忽視長遠發展戰略的構建。信息安全管理制度的建立,與企業經營管理制度的建立相分離,導致信息安全管理制度的主體地位不突出,制度的完善性、制度執行的保障性都存在明顯不足。企業職工安全意識薄弱,在計算機操作等方面,瀏覽不安全網站,私自下載軟件,對企業信息安全系統造成威脅。此外,企業計算機安全防御體系存在漏洞,相關的殺毒軟件未能及時更新,為黑客、病毒攻擊創造了一定的內在基礎。
深化中小企業信息安全管理的應對措施
2.1 建立健全信息安全管理體系,提高安全管理的有效性
為更好地滿足發展的需求,中小企業應重視信息安全管理體系的建立,優化現行的信息安全管理。中小企業在建立信息安全管理體系的過程中,應抓好三個方面的工作:一是信息安全管理體系應立足于企業的實際情況,針對企業的生產經營需求,建立具有企業特色的安全管理體系;二是著力于安全評估標準的建立,確保安全管理的科學化;三是強化企業信息安全文化的建立,規范并引導職工正確的思想行為。如圖 1 所示,是中小企業信息安全管理模型。從圖 1 可知,在信息安全管理體系的構建中,安全維度的建立從資源安全、技術安全和管理安全三個維度,全方位為企業信息安全管理構建良好的安全管理模式。這對于中小企業而言,不僅提高了信息安全管理的有效性,也推進了企業信息現代化建設,對企業可持續發展具有十分重要的意義。
2.2 建立健全信息安全管理制度,為安全管理提供制度保障
中小企業在內控管理方面,缺乏管理制度的有力保障。特別是信息安全管理制度的缺失,不利于企業內控管理工作的全面開展。因此,企業要扎實推進信息安全管理制度的建立,從組織部門的設立、管理責任的落實、人員的配置等方面,確保信息安全管理有效開展。同時。結合企業的實際情況,構建完善、可靠的信息安全防范體系。此外,企業要強化對信息安全管理工作的重視,從責任到人,到主要領導親自負責,確保信息安全管理落地,也確保信息安全契合企業經營管理的內在需求,營造安全可靠的網絡信息環境。
2.3 提供完備的技術保障,構建信息安全防范體系
在開放式互聯網環境下,企業安全管理所面臨的完全問題比較突出。多元化的問題風險,強調中小企業構建信息安全防范體系的必要性。信息安全防范體系的構建,建立在完備的技術保障之上。先進的殺毒軟件、防火墻技術等,都是企業構建信息安全防范體系所必需的技術保障。對于黑客、病毒的惡意攻擊,需要中小企業提高信息安全防范等級。如圖 2 所示,是典型的 Internet/Intranet 防火墻設置。防火墻技術作為安全防范體系的重要組成部分,在企業信息安全防范中起到十分重要的作用。內外網絡之間搭建起防范屏障,很大程度上能夠確保企業的網絡信息安全,保障企業網絡操作正常進行。因此,無
論是殺毒軟件還是防火墻技術,都是中小企業構建安全防御體系所必要的技術保障。此外,隨著黑客、病毒的不斷升級,也強調企業應不斷更新殺毒軟件,安裝配置更高的防火墻等技術,從而提高企業信息安全防御能力,確保中小企業的信息安全。
結語
綜上所述,中小企業所面臨的信息安全管理問題比較突出。多樣化問題強調中小企業在信息安全管理的過程中應扎實做到:(1)建立健全信息安全管理體系,提高安全管理的有效性;(2)建立健全信息安全管理制度,為安全管理提供制度保障;(3)提供完備的技術保障,構建信息安全防范體系。從本質上優化中小企業信息管理策略,確保企業信息安全,是推進企業可持續發展的重要基礎,從而不斷加速中小企業的現代化建設。
參考文獻
[1]潘愛武.談中小企業信息安全問題及對策[J].東方企業文化,2012(17).[2]江麗.我國中小企業融資難原因分析及對策[D].南昌:江西財經大學,2014.[3]陳俊豪.淺析中小企業電子商務中的信息安全問題[J].中國商貿,2010(11):142-143.[4] 徐 黎 源.中 小 企 業 信 息 安 全 管 理 模 型 [J].科 技 經 濟 市場,2009(9):88-89.[5]趙曉華.網絡環境下河北中小企業信息安全問題研究[J].科技資訊,2013(11):140-141.——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第二篇:信息安全管理中信息安全態勢分析
摘要:信息安全管理是確保信息安全的重要基礎。它更強調信息分析技術等的有效應用,從而為信息安全管理提供更完備的分析體系。本文研究信息安全動態分析,從微觀動態分析、宏觀動態分析兩個方面,闡述信息安全態勢分析在信息安全管理中應用,旨在強化對信息安全動態分析的認識,并為今后相關領域的研究提供一定的參考。
關鍵詞:信息安全;管理;動態分析;微觀;宏觀
信息安全管理是一項復雜而系統的工作。安全管理的有效性、全面性,都強調信息動態分析的有效開展,從而為信息安全管理提供定量化的安全分析。當前,信息安全動態分析已廣泛應用于信息安全管理中,通過宏觀動態分析與微觀動態分析,為信息安全管理提供了更加完善、科學的管理依據,提高了信息安全管理能力。當前,復雜的信息安全環境強調動態分析的立足點不僅僅在于構建局域性的安全環境,更強調立足于企業的戰略性發展,從而為企業發展提供重要依據。因此,本文研究的重點在于如何依托動態分析,對信息安全管理進行優化與與調整,從而提高信息安全管理的有效性、科學性。
信息安全管理中宏觀態勢分析的應用
在信息安全管理中,宏觀態勢分析主要在于微觀技術領域。基于有效的評估、預測,對信息安全的情況進行分析。一般情況下,宏觀動態分析主要從穩定性、脆弱性及威脅性等幾個方面對信息安全進行
描述,從而為信息安全管理構建多元化的發展基礎。宏觀動態分析在企業信息安全管理中的應用主要包括以下幾個方面。
1.1 企業戰略發展的構建及核心業務、資產
在多元化的市場環境下,企業戰略性發展的構建很大程度上依托于企業信息安全管理的推進,以更好地實現企業的戰略性發展目標。為此,在宏觀動態分析中,需要對企業未來一段時間(一般為 3-5 年)的戰略發展變遷及核心業務、資產等情況進行考慮分析,這是動態分析助力企業戰略發展的內在要求。例如,在宏觀動態分析中,應針對企業的生產經營情況,確認核心業務、資產是否出現轉移;核心資產是否出現折舊等。這對于企業戰略性發展的構建以及戰略性發展目標的達成,都具有十分重要的現實意義。
1.2 信息安全環境的發展趨勢
網絡信息時代的快速發展,強調宏觀動態分析應對信息安全環境的發展趨勢進行分析,這對于提高企業信息安全管理能力至關重要。對于現代企業而言,信息安全管理的開展一方面要基于自身實際情況,如業務、系統等,考慮自身內在信息安全的影響因素;另一方面,也要對信息技術的發展趨勢、信息安全環境等進行重點考慮,針對可能引發額外風險的重點因素,重點考慮,重點防范,實現更有價值的信息安全管理。
1.3 社會環境及法律法規的影響要求
在企業生產經營發展的過程中,經濟 對信息安全的影響,相關法律法規對企業經營的要求,都是動態分析中需要著重考慮和分析的要素。在宏觀動態分析中,以上三點要素在風險定量評估中能夠起到重要的指導作用。對實際操作情況而言,可以利用“Threat(威脅)=impact×likelihood(影響×可能性)”對風險影響進行表示。基于動態分析對風險實現定量評估,這對于信息風險管理而言,無疑具有重要的意義,可提高信息安全管理的針對性、有效性。當然,對于該公式,可以進行適當拓展,進而將風險的表達更加全面。即有“Risk(威脅)=asset×vulnerability×threat(資產×脆弱性×威脅)”由此可以知道,宏觀層面的因素對“威脅”值起到了至關重要的影響。無論是社會環境,還是安全環境趨勢,其值的增加都是構成威脅的重要來源。與此同時,基于宏觀動態分析,為企業戰略性的安全管理提供了一定的參考依據,且對微觀動態分析提供了量化的重要依據。這進一步強化了動態分析的針對性,并對企業信息安全建設提供指導。
信息安全管理中微觀態勢分析的應用
在微觀動態分析領域,無論是理論研究還是實踐操作,都已發展到一定程度。理論與實踐并重的應用及發展情形,強化其在企業信息安全管理中的重要作用。在對微觀動態分析中,需要提及“Endsley 模型”。該模型最大的亮點在于將感知進行劃分,分為“感知”“理解”“預測”三個層次,進而強化信息處理能力。“Endsley 模型”的成功構建,推動了動態分析在信息安全管理中的應用和推廣。在“Endsley 模型”基礎上,美國提出了“JDL 模型”。該模型在優化控制與管理功能等方
面進行有效優化與調整,進而提高了模型的應用性及實用價值。如圖1 所示,是“JDL 模型”的應用圖。從圖 1 可以知道,基于數據采集、預處理及 關聯性識別等功能模塊的實現,進一步提高了動態分析的實效性。通過模型的不斷優化與調整,強調模型在功能構建上更好地滿足于信息安全管理的現實需求。與此同時,在模型不斷優化、技術不斷發展的大環境下,微觀動態分析技術已逐步成熟,并在信息安全管理平臺中得到有效應用。無論是在應用效果還是應用價值上,都表現出微觀動態分析在信息安全管理中應用的重要性,對推進信息安全管理現代化發展起到重要的推動作用。因此,這也是大力發展動態分析技術,拓展其在信息安全管理領域應用發展的重要基礎。微觀動態分析的應用在很大程度上推動了動態分析技術的發展,也深化其在信息安全管理領域中的應用價值。當前,隨著信息技術的不斷發展、模型的不斷優化,其在應用中的性能也在逐步提升,尤其是在風險分析、應急響應處理等方面。這些功能的優化與完善,有助于信息安全管理系統的構建,滿足現代信息安全管理的現實需求。
結語
綜上所述,信息安全管理是一項技術性強、系統性復雜的工作,強調技術性發展的完備性,更強調動態分析在其中的有效應用。當前,隨著動態分析技術的不斷發展,它在信息安全管理中的應用日益廣泛。尤其是微觀動態分析在信息安全管理平臺的應用,進一步提高了動態分析的實際應用價值。本文闡述的立足面在于兩點:一是基于宏觀層面的動態分析,為企業戰略性構建及發展環境的分析起到重要的指導性意義;二是基于微觀層面的動態分析,依托各種模型的建立與優化(如“Endsley 模型”“JDL 模型”),強化動態分析的實際應用價值。此外,隨著微觀分析技術的不斷發展,它在信息安全管理平臺中的應用對推動微觀動態分析技術應用及發展,具有十分重要的意義。
參考文獻
[1]李漢巨,梁萬龍,劉俊華.信息安全管理現狀分析[J].信息與電腦,2013(11).[2]高鵬.電力企業信息安全問題探討[J].行政事業資產與財務,2013(8):131.[3]王偉.資源視角的電力企業信息系統運維風險分析[J].西安郵電大學學報,2013(1):121-124.[4]畢海英.信息安全產品的現狀及態勢分析[J].現代信息技術,2013(7).[5]梁晶晶,黃河濤.局域網安全問題的現狀及技術分析[J].科技信息,2010(26).[6]安睿.基于 bagging 的電力信息安全態勢分析系統的研究與實現[D].:華北電力大學,2012.——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第三篇:人事 信息安全管理思考
人事 是人事、組織、勞資等部門在培養、選拔和使用人員的工作活動中形成的,是個人經歷、學歷、社會關系、思想品德、業務能力、工作狀況以及獎勵處罰等方面的原始記錄,是個人參與社會方方面面活動的記載和個人自然情況的真實反映。人事 信息安全管理是指存在于人事 信息的收集、整理、保管、鑒定、統計和提供利用全過程的安全管理活動。由于人事 涉及每個人的切身利益,如何實現人事 信息安全管理效率的最大化無疑成為了當前關注的重點話題。
一、加強人事 信息安全管理的必要性
1、人事 自身性質決定信息安全管理的重要性
人事 具有真實性、動態性、現實性、專業性、機密性等特點,它與個人職稱申報、定級、政審等緊密聯系在一起,是綜合考察及使用的重要依據之一,更是對流動人員管理的重要憑證。當前我國養老、醫療、失業保險等福利政策的制定、完善、推廣也是與人事 密切關聯。因此,必須要全面加強人事 信息安全管理,保障人事 資料的完整性、真實性及有效性。
2、人事 信息安全管理的現實緊迫性
人事 信息安全管理的現實緊迫性主要體現在人事 對國家、用人單位及個人都具有至關重要的作用方面。從目前我國人事 信息管理的現狀來看,棄檔、死檔、無頭、丟失、資料失真等問題較為普
遍,給國家、用人單位及個人帶來了巨大的損失,同時也造成了當前人事 管理效率的低下。因此,就必須進一步加強人事 信息安全管理,以強化人事 的社會功能。
3、人事 信息安全管理的技術可行性
信息時代快速發展的今天,新一代信息技術已經廣泛滲透到我們的日常生活、學習和工作中。但是許多地區的人事 信息安全管理出于安全和保密的原則,其管理模式還是停留在紙質載體上,這儼然與當前社會信息化發展格格不入。為此,在保障人事 信息安全與保密的前提之下,應當適當的引入新一代信息技術,便于快速、方便的利用。總體而言,新一代信息技術既呼喚現有人事 管理的深化改革,同時又為人事 信息安全管理提供了有力的支撐條件。
二、當前人事 信息安全管理存在的突出問題
1、人事 信息安全管理基礎設施滯后
本文人事 信息安全管理基礎設施特指計算機網絡系統、通信系統、電力分配系統等新一代信息網絡技術手段,可實現人事 信息管理的簡單化。由于人事 信息安全管理基礎設施的滯后,包括人事 設備落后、運行環境惡劣、設備兼容匹配性差、信息存儲介質保管環境等問題,又可直接導致人事 信息安全面臨災難性的后果。在這個過程中,人事 信息安全管理基礎設施一旦發生致命性的損壞,就會使所有產生、流轉和保管的人事 電子資料出現數據錯誤,不可讀取或是全部丟失,嚴重威脅人事 信息安全。
2、人事 信息安全管理系統比較脆弱
人事 信息安全管理系統比較脆弱也是當前人事 信息安全管理存
在的一個突出問題。例如,人事 計算機網絡可以提供相互交流的平臺,也可間接影響到人事 信息安全。當人事 計算機網絡出現硬件故障、軟件故障或者其他技術性故障都會直接威脅到人事 信息安全。又例如,在人事 信息安全系統設計的過程中,受到設計者本身的技術能力和設計模式的限制,會給人事 信息安全管理系統留下不同程度的缺陷或漏洞。如再出現人事 信息安全管理人員在人事 資料的傳送、存儲及處理過程中的違規操 況,也會 削弱人事 信息安全管理系統的穩定性,威脅人事 信息安全。
3、人事 信息安全管理人員責任意識落后
人事 信息安全管理人員責任意識落后,主要體現在對人事 信息安全管理的認識不足、重視程度不夠、責任心不強,從而不能夠及時發現并處理人事 信息安全管理中已存在的漏洞以及可能出現的安全隱患。同時,在實踐操作過程中,部分人事 信息安全管理人員未能嚴格執行按期修改人事 信息安全管理系統密碼等操作規程,降低了人事 信息安全程度。
三、加強人事 信息安全管理的實現途徑
1、完善人事 信息安全管理法規與標準
完善人事 信息安全管理法規與標準,是在嚴格遵守人事 工作法律、法規、標準的同時,要求各級人事 管理部門還需結合本單位的實際情況制定有效的標準規范,且該規范還需要做到與相關法律法規相協調,與現行人事 信息安全管理的實踐工作相配套,最大程度上確保人事 信息不丟失、不損壞、不失真、不泄密。同時,完備的人事 信息安全管理法規與標準,還要通過多種形式的活動提升自身和社會法律意識,真正建立一套以更好的維護人事 信息安全。完善人事 信息安全管理法規與標準。
2、建立人事 信息安全管理保障應急機制
結合當前人事 信息安全管理的新形勢,從保護國家資源戰略的高度出發,必須要建立人事 信息安全管理保障應急機制,預先估計潛在的危機和后果,提升人事 信息安全管理的處置能力,做好全方位的應急準備。要建立人事 信息安全管理責任制度,制定人事 和電子 保管、保密和利用操作流程,完善人事 的鑒定程度和方法,并對人事 信息安全管理制度的執行情況進行定期督查,確保各項制度能夠高效、準確的運行。
3、強化人事 信息安全管理人員責任意識
強化人事 信息安全管理人員責任意識,首先需要人事 管理部門領導和 管理工作者樹立正確的人事 信息安全管理觀念,堅持“積極防御”、“綜合防治”、“以防為主”、“防治結合”的方針,不斷增強人事 信息安全管理的使命感、責任心,并提升人事 信息安全管理部門對建立和發展人事 信息網絡的認識程度。同時也要重視人事 信息安全
管理人員的思想 和職業道德教育,多渠道、有目的的對 管理人員進行業務培訓。通過開展形式多樣的人事 信息安全管理教育活動,保障其深刻認識人事 信息安全管理的重要性。
——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第四篇:金保工程信息安全建設強化策略
摘要:金保工程信息安全建設能夠確保我國電子政務信息平臺有效工作,由于金保工程主要是應用電子信息技術對國家、省級、市級三個級別政府機構的基金監管、公共服務、宏觀決策等工作進行數據統計和管理,因此,強化金保工程信息安全建設是對國家信息安全負責的重要體現。
關鍵詞:金保工程;信息安全建設;建立健全管理制度;提高安
全技術水平
金保工程信息安全建設是我國三個級別政府機構電子政務信息安全的重要保障,其體現了我國現代化信息技術水平,因此,在強化金保工程信息安全建設時首先要加強我國現代化信息建設,培養大量現代化信息高端技術人才,在電子政務信息技術軟件的設計中運用高端技術以保證金保工程信息安全建設。
金保工程概述
1.1 金保工程概念
金保工程是指我國應用現代電子信息技術對國家、省級和市級這三個級別政府中的公共服務、基金監管、宏觀決策和社會保障四項基
本業務功能進行數據分析和統籌,最終使全國的勞動保障等電子政務工程統一。
1.2 金保工程特點
金保工程的具體特點包括以下幾個方面。第一,金保工程的建設標準統一,具體包括信息技術標準統一和業務規范統一兩個方面。其中信息技術標準統一是指信息技術中的 IP、接口、域名、和安全等方面統一[1]。業務規范化統一是指金保工程的業務工作流程從國家到省級再到市級按照嚴格的上下級規范進行統一標準。第二,金保工程具有縱向建設、橫向對接一體化的特點。具體是指在金保工程建設工作中要從國家大局出發,對中央、省級和市級統一規劃標準,在業務上的對接要進行一體化規劃。
金保工程信息安全建設現狀
目前,我國金保工程信息安全現狀如下。第一,在國家金保工程信息安全建設管理中存在管理制度不夠完善的問題。金保工程信息技術安全建設管理者沒有建立完善的信息安全管理制度,在信息安全管理中沒有行之有效的管理制度和管理原則。在金保工程信息安全管理工作中對管理人員的工作缺乏約束力,因此,導致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中沒有建立健全獎懲制度,使信息安全管理人員在信息安全管理工作中缺乏對工作的熱情和積極性,使他們在工作中出現怠慢工作的現象,影響了金保工程信息安全管理工作效率。第二,管理人員的信息安全管理意識不足。金保工程信息安全管理人員屬于國家公務人員,目前部分管理人員工作態度不夠端正,在信息安全管理工作中缺乏一定的責任心。其缺乏職業道德,在工作中出現混日子的問題。同時由于信息安全管理人員在入職前對其專業技能有嚴格要求,而在入職后由于工作態度的問題及信息安全管理意識不到位,導致沒有繼續加強職業技能學習與訓練,使專業技能水平停滯不前,影響了金保工程信息安全技術升級,進而影響到我國金保工程信息安全管理質量。第三,由于我國信息技術起步較晚,因此,我國的信息技術水平在一定程度上與發達國家之間存在一定差距。而金保工程中對國家勞動保障等業務一體化電子政務管理存在大量 信息,因此,金保工程信息安全管理需要高端信息技術作為保障。目前,由于我國各行業對信息技術人才需求劇增,導致信
息技術人才供不應求,同時我國對信息技術人才的物質保障不及其他發達國家,也導致了大量超高端信息技術人才外流,使我國金保工程信息安全管理部門人才缺失,影響了金保工程信息安全建設質量。
強化金保工程信息安全建設的對策
3.1 建立健全管理制度
由于在我國金保工程信息安全建設中存在信息安全管理部門管理制度不健全的現狀,影響了我國金保工程信息安全[3],因此,信息安全管理部門應建立健全管理體制,在信息安全管理制度中嚴格規范金保工程信息管理工作,將信息安全責任嚴格落實到每一位管理人員身上,使信息安全管理人員在工作中明確自身職責,避免由于職責不明導致部分人員消極怠工,為工作中的不負責任找借口。同時信息管理部門應制定嚴厲獎懲制度,給予積極工作表現優異的管理人員經濟獎勵和職稱獎勵,使表現出色的管理人員充分調動工作積極性,進而為
其他工作人員樹立榜樣。對在信息安全管理工作中缺乏責任心,混日子的工作人員給予降級懲罰,對在信息安全工作中由于不負責任導致出現嚴重信息安全問題的管理人員給予辭退的懲罰。這種嚴厲的獎懲制度能夠起到立竿見影的作用,同時由于經濟利益的驅使也能夠充分調動信息安全管理人員的工作積極性。
3.2 提高管理人員安全建設意識
提高金保工程信息安全管理人員的安全建設意識,能夠有效提高金保工程信息建設安全度。提高信息安全管理人員的安全意識,首先要提高他們的職業道德素質。信息安全管理部門應定期對信息安全管理人員進行職業道德素質培訓,使他們時刻保持良好的職業道德素質,使其對金保工程信息安全管理工作有正確認識[4]。在培訓信息安全管理人員的職業道德素質時,應重點培訓金保工程信息安全的重要性,使管理人員意識到信息安全管理是保障 信息安全的重要前提,的外漏將會影響社會生活的安全穩定和人們的生命財產安全,因此,信息管理人員的信息安全管理工作具有重要意義。信息安全管理人員意識到自身工作對國家與社會的重要性,就會重新審視自己的工作,從而
充分自身的信息安全建設意識,使我國金保工程信息安全建設得到有效保障。
3.3 提高安全技術水平
由于金保工程是利用現代信息技術開展政府電子政務信息工作的,因此,信息技術水平直接影響金保工程信息安全。根據我國現階段高端和超高端電子信息技術人才供不應求的局面[5],國家應大力扶持信息技術院校培養大量信息技術人才,同時對超高端信息技術人才委以重任,給其豐厚薪資報酬以吸引大量信息技術人才不斷研發和更新信息安全系統,開發出更安全的信息安全軟件為政府所用,為我國金保工程信息系統提供安全保障[6]。另外,還應進一步建立健全安全防護體系,對重要信息進行加密傳輸,避免信息在傳輸過程中被竊取;配備實時監控及入侵檢測系統,加強對重要網段和關鍵服務器的保護;采用網絡防病毒系統,并與單機防病毒軟件相結合;建立重要系統數據的備份機制,并實現關鍵主機系統的冗余備份和災難恢復;建立服務于金保工程信息系統的數字認證服務,利用數字證書系統實現重要數據的加密傳輸、身份認證等。從而最大程度地確保金保工程的安全,提高金保工程信息安全建設水平。
結語
隨著我國信息技術飛速發展,各級政府部門采用電子政務信息平臺進行辦公。我國金保工程通過現代化信息技術對中央、省級和市級進行勞動保障等業務的統一,使國家政府部門實時有效開展國家上下級別政府部門之間的工作,使國家各級政府部門的工作得到統一規范,促進了國家社會發展。由于信息技術中存在一定的信息安全問題,導致國家金保工程信息安全受到威脅,對我國機密信息安全不利,因此,加強金保工程信息安全建設勢在必行。
參考文獻
[1]朱國豐.金保工程:建設統一規范的公共服務網絡[N].中國勞動保障報,2008-10-30(003).[2]張竹松.社會保障工作要重視“金保工程”信息安全建設[N].大理日報(漢),2013-11-30(A03).[3] 洪 黎 明.醫 保 跨 省 聯 網 還 需 政 策 發 力 [N].人 民 郵電,2014-04-21(006).[4]秦子龍.中國電子政務信息安全現狀與策略(二)[N].政府采購信息報,2013-07-19(007).[5]秦子龍.中國電子政務信息安全現狀與策略(一)[N].政府采購信息報,2013-07-12(007).[6]邊玉芳.服務下沉做貼近百姓的好幫手[N].中國勞動保障報,2010-01-09(006).——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第五篇:移動互聯網的信息安全研究
【摘要】科學技術的進步推動了移動互聯網技術的發展,移動互聯網被廣泛應用于生產和生活中的同時,也面臨著一些發展問題,在信息傳輸和應用方面存在較大的安全問隱患,必須針對移動互聯網應用中的問題制定有效的對策,加強信息的安全管理。本文結合移動互聯網應用過程中暴露的安全問題,提出了移動互聯網信息安全管理策略。
【關鍵詞】移動互聯網;信息安全;策略探討
中國移動互聯網發展于 2005 年,目前以 WAP 為主要的信息傳輸方式。在國內移動互聯網產品不斷完善的過程中,用戶的上網速度和上網體驗發生了重大的改變,多種通信產品成為移動互聯網應用的主流。移動互聯網用戶將信息交換作為重要業務,因此信息交換的安全性成為人們的關注的熱點。針對目前移動互聯網產品應用中的安全問題,必須制定有效的防護措施,保證信息安全。近幾年我國電力行業保持著較快的發展速度,作為國民經濟的基礎產業,電力產業也取得了很大的成績,發電機容量和發電量居世界第二位。隨著我國國民經濟的快速發展和人民生活水平的不斷提高,對電力的依賴程度也越來越高。電力需求與國民經濟密切相關,電力彈性系數反映了用電增長速度與國民經濟增長速度的相對關系。
移動互聯網與電力建設背景分析
隨著電網基礎和分布式發電技術的改革,現代化輸電和配電將體現出智能化特點,最大限度地節約能源,新能源技術也將重新定義人類新生活,其中移動互聯網作為重要的紐帶將電網技術和多種智能終端設備聯系起來,為了人們的生活提供了便利。中國是全球最具活力的新興市場,隨著移動互聯網的發展,智能設備成為人們生活的伴侶,近年來電力開發行業將移動互聯網應用到電力建設中,很大程度上促進了電網建設的加速,電工產業不斷優化升級。另外,在移動互聯網興起的過程中,電力開發生產技術不斷發展,電力企業的營銷模式也將發生巨大的轉變。目前 4G 網絡引領移動互聯網發展,移動 APP 為電力生產帶來了便利,以電力建設中的焊接工作為例,微信、QQ、拍照、微攝影、WPSOffice 辦公平臺、備忘錄等智能 APP 功能在焊接工作中的作用日益重要,有利于辦公平臺的優化,移動互聯網成為計劃、任務、進度管理、會議通知、質量管理等的重要工具。為了拍出高清圖片,焊接人員更新智能拍照軟件,記錄焊接的影像資料,通過微信、QQ 群在線交流,在施工過程中,充分應用 WPSOffice 辦公平臺軟件,在施工現場查閱焊接規程、技能考核等文件,將智能終端作為迷你辦公室,很大程度上提高了管理水平。移動互聯網的發展帶動信息消費的增長,信息消費的發展空間更加廣闊,以電子商務和移動互聯網信息的消費迅速增長,電力開發企業借助這一發展優勢,將其作為發展就會促進產業進步。移動互聯網主要信息安全問題
2.1 移動 APP 在電力應用中的問題
隨著智能電網建設進度的加快,很多智能型移動 APP 被應用于電力建設中,其中有管理方面的軟件,也有用戶端的繳費軟件,層出不窮的第三方軟件為人們的生活提供了便利,同時也暴露出一定的安全問題。例如移動 APP 惡意讀取用戶位置信息、泄露企業管理計劃、云端數據丟失等,移動 APP 的安全問題也成為人們關注的熱點,電力規劃和建設過程中必須保障數據安全,維護用戶利益。
2.2 運營模式引起的安全問題
移動互聯網產品應用過程中,將多種信息交換業務作為核心,成為互聯網中重要的運營模式,傳統運營商將網絡作為核心,運營商和移動互聯網有著本質的區別[1]。當今社會有很多豐富的個性化服務進入移動互聯網中,例如手機廣告、視頻、APP 等。同時移動互聯網可以為用戶提供多種增值服務,體現出鮮明的產品特色,多種業務內容也成為移動互聯網業務發展的重點,因此不同個性化服務的供應商成為移動互聯網快速發展的直接動力,但是在發展過程中也暴露出一些問題,例如供應商為了獲取更高的經濟效益,將一些騷擾廣告和不健康內容添加到 WAP 網站上,用戶誤點擊后將會收取一定的費用,在違背社會道德的同時,逐漸演變為嚴重的產業問題和社會問題。
2.3 由 IP 引起的安全問題
與傳統的多級和多層通信網絡不同,移動互聯網應用扁平化網絡技術,將 IP 化作為網絡核心,但是 IP 網絡本身具有較大的安全漏洞,自身也存在著較大的安全威脅。在網絡信息技術不斷發展和普及的過
程中,安全問題也受到廣泛關注,多種網絡攻擊逐漸成為公眾網絡的主要危害,作為承載網絡的核心部分也必將受到較大的影響。在核心網架構上,移動互聯網的管理信息、用戶信息和控制信息將會同步傳輸,終端用戶可以隨時訪問核心網,將會把核心網暴露在用戶端。在這種網絡環境下,運營商的核心網絡和業務網絡中不斷出現嚴重的安全問題,例如 2009 年 5 月 19 日晚 9 點左右,華南地區出現大面積網絡故障,不僅網絡連接出現問題,而且用戶的信息安全也受到嚴重的威脅,專家分析后確認該問題由 DNS 的零日溢出引起的,對 DNS 進行大量的查詢請求導致 DNS 服務器出現 DDOS 攻擊,運營商的 DNS出現問題。互聯網應用過程中 DNS 服務器出現較多 DDOS 攻擊,形式也逐漸多樣化,例如利用緩沖區溢出、應用較大流量堵塞帶寬、偽造的 DNS 服務器發送大量的查詢請求等。網絡技術應用的同時,移動互聯網向全 IP 化發展,原來只在互聯網上出現的安全問題現已逐漸轉移到移動互聯網上。
2.4 智能終端引起的安全問題
目前移動互聯網在網絡接入方面表現出鮮明的多樣化特征,不僅
僅應用一種網絡接入方式,用戶可以按照需求采取多種接入方法,隨時都可以進行移動互聯網訪問。針對手機用戶而言,上網的粘性和上網時長不斷增加,因此手機網絡也表現出常態化特征,用戶在使用手機的過程中實現了碎片化溝通,信息類應用逐漸向娛樂和商務方向發展。與傳統網絡用戶不同的是,移動互聯網應用多種形式的終端設備,傳統用戶終端一般包括通信網的所中附屬設備,而移動互聯網全部應用智能終端。在移動互聯網能不斷完善和成熟的過程中,移動智能終端也逐漸表現出多樣化的特點,智能終端也因此成為安全問題頻發的部分,安全風險不斷加大,移動智能終端在推動移動數據業務進步的同時,很多用戶都將面臨著信息安全問題。另外,移動智能終端表現出多樣化和開放化特點的同時,信息交換的安全風險加大,在移動互聯網發展的過程中,移動企業一直處于市場發展的主導地位,企業的發展重點依舊是移動智能終端的研究和探索,因此一定給你智能終端的安全性很容易被企業忽視,與移動智能終端相關的安全問題也會逐漸暴露[2]。例如,收集 APP 會惡意設置吸費部分或者不健康內容的連接,手機上網規模不斷增大的同時,手機使用過程中的安全問題也將逐漸明顯。移動互聯網的開發軟件層出不窮,收集第三方軟件的研究人員也不斷增多,在商業發展需求不斷提高的同時,應用軟件逐漸增多,但是目前在第三方軟件的控制管理方面還存在缺陷,無法保障信息安全。例如有些手機軟件惡意讀取用戶位置信息和短信內容,給用戶信息安全帶來了較大的威脅[3]。
移動互聯網信息安全策略
3.1 完善信息安全法規建設
結合國內目前的情況來看,在互聯網信息安全管理方面,立方層次較低,不同的層次見還存在一定的協調問題,目前已有的移動互聯網法律還有待完善,將現有的法律應用于移動互聯網建設中將會缺乏一定的科學性和權威性。目前,移動互聯網接入過程中面臨著較大的問題,移動互聯網行業還沒有施行手機實名制的法律,因此在移動互聯網應用的過程中缺乏針對性的法律,無法對網民的行為構成有力的約束,也不能保護人們的信息安全。法律是移動互聯網進行有效管控的保障。在完善法律法規的過程中,需要結合實際已發系誒套用戶和移動互聯網運營企業之間的關系,避免兩者出現較大的業務矛盾。為了建立科學有效的移動互聯網法律體系,必須結合國內的發展現狀,勇于借鑒國外的方法,將信息安全和移動互聯網安全 開,針對 額部分建立針對性的法律法規。結合國內移動互聯網發展的實際情況,移
動互聯網安全管理過程中的立法工作需要從以下三個方面著手:①完善手機實名制制度,加大隱私保護力度;②建立信息安全法,不斷完善與當今移動互聯網信息安全相關的法規;③不斷加強對互聯網管理和移動互聯網管理的監督。
3.2 加快移動互聯網信息安全機構建設
嚴格的立法是政府對移動互聯進行監督管理的重要依據,結合國家移動互聯網的發展形勢,必須經信息安全管理和移動互聯網安全管理分開。針對國內網絡監督管理機構建設,需要通信網絡的優勢對移動互聯網發展目標進行統一規劃,為信息安全的管理和監督提供有利的依據[4]。針對國家級信息安全管理機構而言,必須在互聯網信息安全管理的過程中切實負起責任,徹底改變信息安全制度制定過程中的問題。國家在建立統一的安全管理機構時,以法制建設為依托,設置專家咨詢委員會,專家咨詢委員會作為參謀機構的同時,對安全信息管理提供合理的建議。
3.3 完善移動終端管理方案
移動終端管理過程中,重點需要加大對安全技術的研究力度,將注意力集中到移動互聯網手機安全技術方面。同時協調不同管理機構之間的關系,構建科學嚴謹的管理鏈條,完善安全管理部門的監督政策,公安部門加大查處力度,完善與司法環節相關的法規。用戶應用手機的過程中,必須具有較高的安全意識,政府加強對用戶的安全教育,同時對第三方軟件商家進行有力的監督。企業單位不斷加強內部保密機制,對涉密文件進行嚴格管理。
結束語
移動互聯網不斷發展的過程中,用戶將重點放在智能產品的功能上,信息安全一直存在較大的安全隱患,為了保證移動互聯網健康穩定發展,必須針對具體問題制定有效的對策。本文從移動互聯網中暴
露的安全問題出發,提出了信息安全保障的策略,可以為移動互聯網信息安全建設提供就借鑒。
參考文獻
[1]羅軍舟,吳文甲,楊明,等.移動互聯網:終端、網絡與服務[J].計算機學報,2011,34(11):202.[2]陳遙,夏亮亮,譚輝,等.移動互聯網環境下終端與服務器安全交互的研究[J].南京信息工程大學學報,2015,7(5):142.[3]涂靜,田增山,周非,等.移動互聯網安全終端的設計與實現[J].電子技術應用,2013,39(10):162.[4]范紅,杜大海,王冠,等.移動互聯網安全測評關鍵技術研究[J].中興通訊技術,2015,36(3):38.——文章均為 WORD 文檔,下載后可直接編輯使用亦可打印——
第六篇:內網準入及終端管控在信息安全保護實踐思考
【摘要】為防范政府部門、金融機構等單位敏感信息泄露、提高信息安全保護能力,本文從單位內網準入及終端管控技術入手,在分析研究兩者技術原理的基礎上,結合自身項目實踐,給出了一種把住終端“準入”、“管住”兩個關鍵環節的技術方案。實踐證明,該方案有效提升了單位信息安全保護水平,達到了預期目標。
【關鍵詞】內網準入;終端管控;信息安全保護
引言
對數據保密性要求高的政府部門、金融機構等單位,防止敏感信息泄露始終是一個嚴峻的課題。在信息安全保護實踐中,各單位往往對數據集中的后臺服務端投入精力較多,對來自終端的威脅重視不足。來自終端的威脅主要為兩方面:一是內部網絡接入層侵入。二是內部計算機終端安全管理失控。信息安全 調查經驗表明,多數信息泄露安全 的突破口來自終端。因此,各單位在防范敏感信息泄露時,應對來自終端的威脅給予足夠的重視,牢牢把住終端“準入”、“管住”兩個關鍵環節。
原理分析
2.1 網絡準入與終端安全之間的關系
內部網絡準入,是指在人事管理層面識別用戶身份后,通過技術手段給予合法用戶、合法設備接入的過程。計算機終端安全,是指包含非法外聯監控、移動存儲管理等在內的一系列安全防范措施,是一個單位信息安全管理制度的技術化實現,構成了對合法接入終端的安全基線。達到終端安全基線是目的,網絡準入是重要的前置保障手段。在實踐中,只有把網絡準入與終端管控結合起來,才能有效實現內網信息安全保護。
2.2 網絡準入實現原理
當前國際主流的企業級實現技術主要有 802.1x 認證、安全網關認證等。實施 802.1x 認證方式的前提是交換機支持 802.1x 認證協議。交換機與認證服務器聯動,根據認證服務器下發的認證結果,提供基
于端口的準入控制。這種認證方式的優勢是若在接入層實施,終端互訪控制力度很強。認證前,交換機接入端口關閉,終端完全隔離。認證后,接入端口開啟,相同 VLAN 內的終端可以互訪。缺點是實施、維護過程中網絡部門的工作量很大,并且無法從原理上解決終端用戶在交換機端口以下私接 HUB 的問題。實施安全網關認證方式需要在生產網絡中添加硬件安全網關(防火墻)設備,旁路部署在核心交換機側或匯聚交換機側。然后通過在交換機上添加策略路由(Policybasedrouting),將需要認證的 IP 地址范圍內終端流量上拉至安全網關進行身份認證。安全網關接收認證服務器下發的動態 ACL,對流量選擇回注至交換機或丟棄,從而達到網絡準入的效果。這種認證方式的優勢是配置實施簡單,對現有生產網絡改動要求小,并且因為采取三層認證方式,對人員、部門遷移支持性好,同時還能夠有效防止私接 HUB 的情況。缺點是由于控制點在核心側或匯聚側,安全網關對終端之間的互訪行為控制力度較弱。
2.3 終端安全實現原理
為確保管控效果,企業級產品基本實現模式均為在計算機客戶端
駐留代理程序,對信息保密要求較高的單位常見的需求包括以下幾方面:安全狀態檢查。最基礎的要求包括是否安裝了要求版本的殺毒軟件,病毒庫定義是否保持更新等。此類功能主要通過安全代理軟件讀取系統注冊表及掃描特定位置文件系統實現。移動存儲管理。根據各單位信息安全管理要求等級不同,檢查是否存在違規使用移動存儲介質管理的情況。此類功能主要通過安全代理軟件提升運行權限后向操作系統底層驅動注入代碼實現。非法外聯監控。對信息保密要求高的單位,接入內網的計算機終端通常都是禁止與互聯網直接或間接連通的。檢查非法外聯的通常做法是安全代理軟件定期檢查與某個互聯網地址的連通性,若有連通便會觸發監控。
項目實踐案例
筆者作為項目負責人,于近期完成了一次單位內網準入與終端管控項目建設工作。該項目實施環境為政府機構辦公內網,實施目標網絡運行著單位內部辦公系統以及大量對外服務的業務系統,生產網絡割接需要慎重。同時,在嚴格管控 USB 存儲介質等外設使用的制度要求下,又因業務特點,需要使用品種型號各異的 Ukey 等特種設備。
因此該項目建設中必須遵循對現有生產網絡及系統影響最小的原則。為達到上述目標,筆者在對網絡準入及終端管控技術進行研究的基礎上,對市場相關主流產品進行了長達半年的多方調研與測試選型。根據單位綜合布線基礎設施現狀、業務系統特點等實際情況,最終確定了使用硬件安全網關實現準入,在客戶端駐留代理程序與安全網關聯動實現終端管控的技術路線。在項目實施中,筆者總結了以下幾點經驗:(1)終端安全管控軟件部署應嚴格遵循“充分測試,穩步推進”的原則。由于終端安全軟件本身原理決定的底層侵入性(提權運行、操作系統驅動及協議棧注入等),部署過程必須先選取運行重要業務系統、特種外設部門的計算機為試點,局部安裝客戶端,排查兼容性風險,積累部署經驗。(2)網絡準入實施應注意排查啞終端盲點,細粒度開展網絡割接。因網絡準入控制功能需要在終端安裝代理程序與防火墻交互實現,對不能安裝代理的啞終端(如網絡打印機等非 PC 類設備),需在硬...
第二篇:信息安全論文
信息安全
安全1101鄭肖瀟
信息安全是指信息網絡的硬件、軟件及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,信息服務不中斷。信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。它的重要性不言而喻。隨著電腦的普及,我們周圍無時無刻不充斥著網絡,電腦。隨著電腦成為我們生活中不可或缺的一部分,信息安全的重要性愈加凸顯。小到個人,達到國家,我們都需要加強,發展信息安全技術。
試想一下如果我們上網購物的時候,需要擔心自己的網銀的密碼會不會被人盜取,自己的錢會因此被人轉走,你還會很放心的進行網購嗎?如果你的電腦很容易被人侵入,各種資料被人盜取,你會放心的使用你的電腦嗎?如果國家的信息安全技術不夠發達,國外敵對勢力就很容易竊取我國的政治、軍事、經濟、科學技術等方面的秘密信息。
信息安全的主要威脅有信息泄露,破壞信息的完整性,拒絕服務,非法使用,竊聽,業務流分析,假冒,旁路控制,授權侵犯,抵賴,計算機病毒等等。
就病毒來說,分為系統病毒,蠕蟲病毒,木馬病毒,黑客病毒,腳本病毒,宏病毒,后門病毒,病毒種植程序病毒,破壞性程序病毒,玩笑病毒,捆綁機病毒。各種各樣的病毒,五花八門,讓人應接不暇。試想如果我們的電腦上不裝任何的殺毒軟件,不做任何防護,可以說我們的電腦只要一聯網,就會馬上感染病毒。而且就說算是我在電腦上裝了兩三個殺毒軟件但是網上有的東西,我還是不敢去碰,生怕一個不消息,電腦就會中招。
還有就是與我們生活息息相關的電子商務安全。傳統的交易是面對面的,比較容易保證建立交易雙方的信任關系和交易過程的安全性。而電子商務活動中的交易行為是通過網絡進行的,買賣雙方互不見面,因而缺乏傳統交易中的信任感和安全感。而其中的安全隱患有篡改,信息破壞,身份識別和信息泄密。電子商務的安全性需求包括信息的保密性,信息的完整性,信息的不可否認性,交易者十分的真實性,系統的可靠性,基于這些需求,通常采用的安全技術主要有密鑰加密技術,信息摘要技術,數字簽名,數字證書以及CA認證。
我們的信息安全任然有待提高,如今比較流行且能夠代表未來發展方向的安全產品大致有防火墻,網絡安全隔離,虛擬專用網等等。
正所謂:道高一尺,魔高一丈。雖然今天我們的信息安全技術在迅猛發展,但是任然有很多安全問題還未解決,我們任然任重道遠。
第三篇:信息安全論文
淺談網上銀行的發展及其安全問題
課程名稱:信息安全
班級:********
學號:********
學生姓名:濤仔
指導教師:****
哈爾濱工程大學
**年
10月15日
淺談網上銀行的發展及安全問題
隨著以信息技術為核心的現代計算機網絡技術在傳統銀行業的應用和推廣,銀行業進入了一個新的發展時期,即網上銀行發展時期。與傳統銀行相比,網上銀行具有交易成本低、資金周轉方便、不受時間和地域約束、覆蓋面廣等一系列的特點。這些特點不僅賦予了網上銀行具有傳統銀行無法比擬的優勢,改變了銀行的經營理念,而且也使網上銀行具有了新的風險內涵,網上銀行的安全性問題日益突出。認真分析、準確把握影響網上銀行安全運行的各種因素,采取有效措施,不斷強化和提高網上銀行運作的安全性能,增強其安全保障,是推動我國網上銀行健康發展的當務之急。下面筆者從幾個方面談一下自己的看法。
一.什么叫網上銀行
網上銀行是借助于互聯網數字通信技術,向客戶提供金融信息發布和金融交易服務的電子銀行,它是傳統銀行業務在互聯網上的延伸,是一種電子虛擬世界的銀行;它沒有傳統精致的銀行裝修門面,沒有辦理銀行業務的柜臺,也沒有與客戶面對面進行交流的穿著銀行正裝的柜員。
網上銀行業務和運營模式與傳統銀行運營模式有很大區別。它是通過網絡在線為客戶提供辦理結算、信貸服務的商業銀行;它的服務對象和業務銀行業務;
第四篇:信息安全論文
信息安全論文
統來說,這種需求顯得尤為迫切。針對這種需求,目前發展起來的技術有防病毒技術和防火墻技術等等。有些文獻將這些保護數據、阻擋非法數據訪問的技術統稱為計算機安全技術或系統安全技術。
信息安全技術的另外一個重要變化是由網絡和通信設施的產生和變化應用引起的。這些通信設施用于在用戶的各種終端及計算機之間傳輸數據信息,這種傳輸過程很容易受到非法竊聽等攻擊,這就需要對網絡中傳輸的數據采取安全的保護措施。針對這種需求發展起來的技術有VPN、SSL等。有些文獻將這種類型的技術統稱為網絡安全技術。
事實上,因為現在的絕大部分數據終端設備(包括計算機)基本上都是跟網絡中其他設備相聯的,所以無論是計算機安全、系統安全、還是網絡安全,都不是完全獨立的。
本文主要是使用基于密碼學原理來進行數據保護的技術,尤其強調密碼學在網絡中保護傳輸中的數據的應用。
正如Bruce Schneier所說,安全問題就如一條鏈子一樣,必須保證每一個環節的安全才能達到使整個鏈子具有安全性。所以,在解決任何一個實際的或抽象的系統安全問題之前,都應該首先分析其可能存在的安全缺陷,進而采取相應的安全措施。
第二章:網絡隱私權
2.1網絡隱私權侵權現象
1.個人的侵權行為。個人未經授權在網絡上宣揚、公開、傳播或轉讓他人、自己和他人之間的隱私;個人未經授權而進入他人計算機系統收集、獲得信息或騷擾他人;未經授權截取、復制他人正在傳遞的電子信息;未經授權打開他人的電子郵箱或進入私人網上信息領域收集、竊取他人信息資料。
2.商業組織的侵權行為。專門從事網上調查業務的商業組織進行窺探業務,非法獲取他人信息,利用他人隱私。大量網站為廣告商濫發垃圾郵件。利用收集用戶個人信息資料,建立用戶信息資料庫,并將用戶的個人信息資料轉讓、出賣給其他公司以謀利,或是用于其他商業目的。根據紐約時報報道,BOO.com、Toysmart和CraftShop.com等網站,都曾將客戶姓名、住址、電子郵件甚至信用卡號碼等統計分析結果標價出售,以換取更多的資金。
3.部分軟硬件設備供應商的蓄意侵權行為。某些軟件和硬件生產商在自己銷售的產品中做下手腳,專門從事收集消費者的個人信息的行為。例如,某公司就曾經在其生產的某代處理器內設置“安全序號”,每個使用該處理器的計算機能在網絡中被識別,生產廠商可以輕易地收到用戶接、發的信息,并跟蹤計算機用戶活動,大量復制、存儲用戶信息。
4.網絡提供商的侵權行為
(1)互聯網服務提供商(ISP Internet Service Provider)的侵權行為:①ISP具有主觀故意(直接故意或間接故意),直接侵害用戶的隱私權。例:ISP把其客戶的郵件轉移或關閉,造成客戶郵件丟失、個人隱私、商業秘密泄露。②ISP對他人在網站上發表侵權信息應承擔責任。
(2)互聯網內容提供商(ICP Internet Content Provider)的侵權行為。ICP是通過建立網站向廣大用戶提供信息,如果ICP發現明顯的公開宣揚他人隱私的言論,采取放縱的態度任其擴散,ICP構成侵害用戶隱私權,應當承擔過錯責任。
5.網絡所有者或管理者的監視及竊聽。對于局域網內的電腦使用者,某些網絡的所有者或管理者會通過網絡中心監視使用者的活動,竊聽個人信息,尤其是監控使用人的電子郵件,這種行為嚴重地侵犯了用戶的隱私權。
2.2.網絡隱私權問題產生的原因
網絡隱私權遭受侵犯主要是由于互聯網固有的結構特性和電子商務發展導致的利益驅動這兩個方面的原因。
1.互聯網的開放性。從網絡本身來看,網絡是一個自由、開放的世界,它使全球連成一個整體,它一方面使得搜集個人隱私極為方便,另一方面也為非法散布隱私提供了一個大平臺。由于互聯網成員的多樣和位置的分散,其安全性并不好。互聯網上的信息傳送是通過路由器來傳送的,而用戶是不可能知道是通過哪些路由進行的,這樣,有些人或組織就可以通過對某個關鍵節點的掃描跟蹤來竊取用戶信息。也就是說從技術層面上截取用戶信息的可能性是顯然存在的。
2.網絡小甜餅cookie。某些Web站點會在用戶的硬盤上用文本文件存儲一些信息,這些文件被稱為Cookie,包含的信息與用戶和用戶的愛好有關。現在的許多網站在每個訪客進入網站時將cookie放入訪客電腦,不僅能知道用戶在網站上買了些什么,還能掌握該用戶在網站上看過哪些內容,總共逗留了多長時間等,以便了解網站的流量和頁面瀏覽數量。另外,網絡廣告商也經常用cookie來統計廣告條幅的點擊率和點擊量,從而分析訪客的上網習慣,并由此調整廣告策略。一些廣告公司還進一步將所收集到的這類信息與用戶在其他許多網站的瀏覽活動聯系起來。這顯然侵犯了他人的隱私。
3.網絡服務提供商(ISP)在網絡隱私權保護中的責任。ISP對電子商務中隱私權保護的責任,包括:在用戶申請或開始使用服務時告知使用因特網可能帶來的對個人權利的危害;告知用戶可以合法使用的降低風險的技術方法;采取適當的步驟和技術保護個人的權利,特別是保證數據的統一性和秘密性,以及網絡和基于網絡提供的服務的物理和邏輯上的安全;告知用戶匿名訪問因特網及參加一些活動的權利;不為促銷目的而使用數據,除非得到用戶的許可;對適當使用數據負有責任,必須向用戶明確個人權利保護措施;在用戶開始使用服務或訪問ISP站點時告知其所采集、處理、存儲的信息內容、方式、目的和使用期限;在網上公布數據應謹慎。
目前,網上的許多服務都是免費的,如免費電子郵箱、免費下載軟件、免費登錄為用戶或會員以接收一些信息以及一些免費的咨詢服務等,然而人們發現在接受這些免費服務時,必經的一道程序就是登錄個人的一些資料,如姓名、地址、工作、興趣愛好等,服務提供商會聲稱這是為了方便管理,但是,也存在著服務商將這些信息挪作他用甚至出賣的可能。
第三章:安全技術對網絡隱私權保護
1.1.電子商務中的信息安全技術
電子商務的信息安全在很大程度上依賴于安全技術的完善,這些技術包括:密碼技術、鑒別技術、訪問控制技術、信息流控制技術、數據保護技術、軟件保護技術、病毒檢測及清除技術、內容分類識別和過濾技術、系統安全監測報警技術等。
(1)防火墻技術。防火墻(Firewall)是近年來發展的最重要的安全技術,它的主要功能是加強網絡之間的訪問控制,防止外部網絡用戶以非法手段通過外部網絡進入內部網絡(被保護網絡)。
(2)加密技術。數據加密被認為是最可靠的安全保障形式,它可以從根本上滿足信息完整性的要求,是一種主動安全防范策略。數據加密原理是利用一定的加密算法,將明文轉換成為無意義的密文,阻止非法用戶理解原始數據,從而確保數據的保密性。
(3)數字簽名技術。數字簽名(Digital??Signature)技術是將摘要用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要。在電子商務安全保密系統中,數字簽名技術有著特別重要的地位,在電子商務安全服務中的源鑒別、完整性服務、不可否認服務中都要用到數字簽名技術。
(4)數字時間戳技術。在電子商務交易的文件中,時間是十分重要的信息,是證明文件有效性的主要內容。在簽名時加上一個時間標記,即有數字時間戳(Digita Time-stamp)的數字簽名方案:驗證簽名的人或以確認簽名是來自該小組,卻不知道是小組中的哪一個人簽署的。指定批準人簽名的真實性,其他任何人除了得到該指定人或簽名者本人的幫助,否則不能驗證簽名。
第四章:電子商務中的隱私安全對策
1.加強網絡隱私安全管理。我國網絡隱私安全管理除現有的部門分工外,要建立一個具有高度權威的信息安全領導機構,才能有效地統一、協調各部門的職能,研究未來趨勢,制定宏觀政策,實施重大決定。
2.加快網絡隱私安全專業人才的培養。在人才培養中,要注重加強與國外的經驗技術交流,及時掌握國際上最先進的安全防范手段和技術措施,確保在較高層次上處于主動。
3.開展網絡隱私安全立法和執法。加快立法進程,健全法律體系。結合我國實際,吸取和借鑒國外網絡信息安全立法的先進經驗,對現行法律體系進行修改與補充,使法律體系更加科學和完善。
4.抓緊網絡隱私安全基礎設施建設。國民經濟要害部門的基礎設施要通過建設一系列的信息安全基礎設施來實現。為此,需要建立中國的公開密鑰基礎設施、信息安全產品檢測評估基礎設施、應急響應處理基礎設施等。
5.建立網絡風險防范機制。在網絡建設與經營中,因為安全技術滯后、道德規范蒼白、法律疲軟等原因,往往會使電子商務陷于困境,這就必須建立網絡風險防范
第五篇:信息安全論文
內蒙古科技大學 本科生課程論文
題 目:大數據環境下的信息安全保證
策略
學生姓名:
學 號:
專 業:信息管理與信息系統 班 級: 任課教師:
目 錄
Abstract..............................................................................................................................引
言..............................................................................................................................1大數據研究概述...............................................................................................................1.1 大數據的概念.......................................................................................................1.2 大數據來源與特征...............................................................................................1.2.1 大數據來源...............................................................................................1.2.2 大數據特征...............................................................................................1.3 大數據分析目標...................................................................................................1.3.1 1.3.1知識方面.........................................................................................1.3.2 個體規律方面.............................................................................................1.3.3 辨別真實方面.............................................................................................2大數據環境下的信息安全..............................................................................................2.1大數據面臨的安全挑戰.......................................................................................2.1.1網絡化社會使大數據易成為攻擊目標..................................................2.1.2非結構化數據對大數據存儲提出新要求..............................................2.1.3技術發展增加了安全風險..............................................................................2.2大數據環境下信息安全的特征..........................................................................2.2.1信息安全的隱蔽關聯性.............................................................................2.2.2信息安全的集群風險性.............................................................................2.2.3 信息安全的泛在模糊性............................................................................3大數據環境下的信息安全保證策略...........................................................................-103.2加快大數據安全技術研發................................................................................-103.4運用大數據技術應對高級可持續攻擊.............................................................-11參考文獻............................................................................................................................-13
引言
如今,IT世界正在迅速擁抱“大數據”,同時“大數據安全”問題不可避免的已經成了業界人所共知的名詞,各種探討信息安全的會議、論壇無不談及大數據安全。大數據技術在帶來機遇的同時,帶來更多安全問題。作為新的信息富礦,大數據容易成為黑客重點攻擊的對象,各種威脅數據安全的案例也層出不窮。
據統計,每年全球因安全問題導致的網絡損失已經可以用萬億美元的數量級來計算,我國也有數百億美元的經濟損失,然而安全方面的投入卻不超過幾十億美元。雖然國民整體的安全意識越來越高,但是人們普遍認為IT信息安全只是IT部門的事情,而且很多人都誤認為平時沒有出現信息危機就很安全。因此,大部分企業目前的安全投入也遠遠卻沒有滿足現實的需求。
如何才能讓企業信息安全更加穩固?國富安公司推出了全面的差異化安全解決方案以及定制化安全服務,幫助企業應對風險管理、安全合格的業務需求,實現在復雜IT運作狀態下不受任何安全問題的侵擾。
寫是對所做論文工作的總結和提高。1.2.2 大數據特征
大數據通常被認為是一種數據量大,數據形式多樣化的非結構化數據。隨著對大數據研究的進一步深入,大數據不僅指數據本身的規模,也包括數據采集工具,數據存儲平臺,數據分析系統和數據衍生價值等要素。其主要特點有一下幾點:
(1)數據量大
大數據時代,各種傳感器、移動設備、智能終端和網絡社會等無時不刻都在產生數據,數量級別已經突破TB,發展至PB乃至ZB,統計數據量呈千倍級別上升。
(2)類型多樣當前大數據不僅僅是數據量的井噴性增長,而且還包含著數據類型的多樣化發展。以往數據大都以二維結構呈現,但隨著互聯網、多媒體等技術的快速發展和普及,視頻、音頻、圖片、郵件。HTML/RFID/GPS和傳感器等產生的非結構化數據,每年都以60%速度增長,預計,非結構化數據將占數據總量的80%以上
(3)運算高效
基于云計算的Hadoop大數據框架,利用集群的威力高速運算和存儲,實現了一個分布式運行系統,而且,數據挖掘、語義引擎、可視化分析等技術的發展,可從海量的數據中深度解析,提取信息,掌握數據增值的“加速器”。
(4)產生價值
價值是大數據的終極目的。大數據本身是一個“金礦山”,可以從大數據的融洽中獲得一向不到的有價值的信息,特別是激烈競爭的商業領域,數據正成為企業的新型資產。同時,大數據價值也存在密度低的特性,需要對海量的數據進行挖掘分析才能得到真正有用的信息,形成用戶價值。
1.3 大數據分析目標
目前大數據分析應用于科學、醫藥、商業等各個領域,差異巨大。在“大數據”時代之前,民眾可以以保密的方式來保護隱私,但今天人們在不知不覺間就透露了隱私。而這就要求那些保存和管理信息的企業承擔更大的責任,這應該成為一種新的隱私保護模式:政府不應假定消費者在使用企業的通訊工具等產品的時候主動透露了自己的隱私,就意味著他們授權企業使用這些隱私。
2.1.1網絡化社會使大數據易成為攻擊目標
網絡化社會的形成,為大數據在各個行業領域實現資源共享和數據胡同搭建平臺和通道。基于云計算的網絡化社會為大數據提供了一個開放的環境,分布在不同區的資源可以快速整合,動態配置,實現數據集合的共建共享。而且,網絡訪問便捷化和數據流的形成為實現資源的快速彈性推動和個性化服務提供基礎。正因為平臺的暴漏,使得蘊含著海量數據和潛在價值的大數據更容易吸引黑客的攻擊。一旦遭受攻擊,失竊的數據量也是巨大的。2.1.2非結構化數據對大數據存儲提出新要求
在大數據之前,我們通常將數據存儲分為關系型數據庫和文件服務器兩種。而當前大數據洶涌而來,數據類型的千姿百態也使我們措手不及。對于將占數據總量80%以上的非結構化數據,雖然NoSQL數據存儲具有可擴展性和可用性等特點,利于趨勢分析,為大數據存儲提供了初步解決方案。
2.1.3技術發展增加了安全風險
隨著計算機網絡技術和人工智能的發展,服務器,防火墻,無線路由等網絡設備和數據挖掘應用技術等技術越來月廣泛,為大數據自動收集效率以及智能動態分析性提供方便。但是,技術發展也增加了大數據的安全風險。一方面,大數據本身的安全防護存在漏洞。雖然云計算對大數據提供了便利,但對大數據的安全控制力度仍然不夠。另一方面,攻擊的技術提高了,在用數據挖掘和數據分析等大數據技術獲得價值信息的同時,攻擊者也在利用這些大數據進行攻擊。
2.2大數據環境下信息安全的特征
2.2.1信息安全的隱蔽關聯性
互聯互通是當代互聯網發展的新特點。在大數據和云環境下,無論你是否愿意或知情,各類信息一旦進入互聯的覆蓋范圍,通過大數據的信息分析和數據挖掘,國家和地區、機構和企業、個人和家庭的各類信息都將可能成為被計算和監控的對象,這種計算和監控,既可以用于正當的需求,也可能用于不正當的目的。這種信息安全的隱蔽關聯
核心數據、政府的公開資訊與保密信息、信息的自由流動與謠言的違法傳播交織在一起,使網絡安全呈現出泛在模糊性的特征。
3大數據環境下的信息安全保證策略
作為“未來的新石油”,大數據正成為繼云計算、物聯網之后信息技術領域的又一熱點。然而,現有的信息安全手段已不能滿足大數據時代的信息安全要求。大數據在給信息安全帶來挑戰的同時,也為信息安全發展提供了新機遇。筆者認為,大數據已成為網絡攻擊的顯著目標,加大了隱私泄露風險,威脅到現有的存儲和安防措施,成為高級可持續攻擊的載體。一方面,大數據技術成為黑客的攻擊利用的手段,另一方面又為信息安全提供新支撐。
3.1 大數據及安全信息體系建設
大數據作為一個較新的概念,目前尚未直接以專有名詞被我國政府提出來給予政策支持。在物聯網“十二五”規劃中,信息處理技術作為4 項關鍵技術創新工程之一被提出來,其中包括了海量數據存儲、數據挖掘、圖像視頻智能分析,這都是大數據的重要組成部分。在對大數據發展進行規劃時,建議加大對大數據信息安全形勢的宣傳力度,明確大數據的重點保障對象,加強對敏感和要害數據的監管,加快面向大數據的信息安全技術的研究,培養大數據安全的專業人才,建立并完善大數據信息安全體系。
3.2加快大數據安全技術研發
云計算、物聯網、移動互聯網等新技術的快速發展,為大數據的收集、處理和應用提出了新的安全挑戰。建議加大對大數據安全保障關鍵技術研發的資金投入,提高我國大數據安全技術產品水平,推動基于大數據的安全技術研發,研究基于大數據的網絡攻擊追蹤方法,搶占發展基于大數據的安全技術先機。
3.3加強對重點領域敏感數據的監管
海量數據的匯集加大了敏感數據暴露的可能性,對大數據的無序使用也增加了要害信息泄露的危險。在政府層面,建議明確重點領域數據庫范圍,制定完善的重點領域數據庫管理和安全操作制度,加強日常監管。在企業層面,建議加強企業內部管理,制定設備特別是移動設備安全使用規程,規范大數據的使用方法和流程。
0
結論
本章介紹了大數據的有關概念、信息安全、大數據環境下的信息安全等內容,大數據正在為安全領域從業者提供一個更高、更廣的新視角,幫助其更有前瞻性地發現安全威脅。同時,大數據技術為信息安全防護提供了一個良好的彈性架構,信息安全服務商可以用它來更加全面地判斷用戶行為、進行數據異常流量的監控,將用戶數據的安全穩定性提高到傳統防護方式所無法企及的廣度和深度。大數據正在為安全領域從業者提供一個更高、更廣的新視角,幫助其更有前瞻性地發現安全威脅。同時,大數據技術為信息安全防護提供了一個良好的彈性架構,信息安全服務商可以用它來更加全面地判斷用戶行為、進行數據異常流量的監控,將用戶數據的安全穩定性提高到傳統防護方式所無法企及的廣度和深度。數據在未來社會中將會起到革命性的作用,大數據更將是下一個社會發展階段的“石油”和“金礦”。對于企業來說,更好地抓住數據、理解數據、分析數據,有助于在激烈的市場競爭中脫穎而出。通過對于數據的分析,同樣可以了解企業網絡中的安全狀態,甚至可以幫助企業及時發現潛在的安全威脅。立足于幫助企業獲得快速、簡單、可負擔的高水平安全保障,從大數據中獲得可行性安全情報,更好地進行威脅監測和防御,惠普通過獨特的情景感知能力,讓企業能夠自動將情緒分析和事件信息應用于大數據和安全事件平臺,以便實時了解其內部及外部的威脅狀況。將綜合、實時關聯與內容分析相結合,通過對與數據相關的人力情緒(如行為模式等)進行跟蹤和分析,企業能夠更迅速地識別之前被忽視的威脅。
致謝
本篇文章的順利完成,離不開王老師的教導,在這里我要特別感謝王老師,王老師用通俗易懂的講課風格,使我在課堂上學會了許多,雖然這是門專業選修課。在最后王老師提前向我們傳授了很多知識,使我受益匪淺。
在課下同學們有不懂的問題,會相互交流、溝通,把我的很多問題都給解決了,因此,在這,我要謝謝他們。
由于我的知識有限,在這篇論文里會有沒寫到、不準確的地方,真誠接受老師的指導。
點擊咨詢 