時(shí)間:2022-07-04 08:54:05
開篇:寫作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全技術(shù)論文,希望這些內(nèi)容能成為您創(chuàng)作過程中的良師益友,陪伴您不斷探索和進(jìn)步。
摘要:隨著科學(xué)技術(shù)的發(fā)展和時(shí)代的日新月異,我們的生活在不知不覺中發(fā)生了翻天覆地的變化,就連最基本的購(gòu)物和消費(fèi)都在默默變化著。近年來,隨著亞馬遜、阿里巴巴等電子商務(wù)如火如荼地闖入大眾的視野,“電子商務(wù)”這個(gè)在十幾年前聞所未聞的名詞如今成為人們口中常談的對(duì)象。在大眾的口中,“電子商務(wù)”這個(gè)名詞依舊略顯陌生和專業(yè),人們常常用“網(wǎng)購(gòu)”和“網(wǎng)上支付”來代替“電子商務(wù)”,實(shí)際上說的是一回事。電子商務(wù)的出現(xiàn),打破了空間的束縛,極大地方便了人們的購(gòu)物行為,刺激了消費(fèi),一定程度上促進(jìn)了經(jīng)濟(jì)的繁榮和增長(zhǎng)。
關(guān)鍵詞:電子商務(wù);信息安全技術(shù)
一、電子商務(wù)發(fā)展存在的風(fēng)險(xiǎn)
第三方的電子交易平臺(tái)在網(wǎng)絡(luò)上對(duì)于信息進(jìn)行儲(chǔ)存、記錄、處理、和傳遞,以此來協(xié)助一次網(wǎng)絡(luò)消費(fèi)行為的完成。一般情況下,這些信息都具有真實(shí)性和保密性,屬于大眾的隱私。但是,現(xiàn)在的網(wǎng)絡(luò)環(huán)境比較惡劣,有很多網(wǎng)絡(luò)陷阱以及刻意挖掘用戶信息的“黑客”,從而導(dǎo)致基本信息出現(xiàn)失真、泄露和刪除的危機(jī),不利于正常電子商務(wù)交易的完成。對(duì)于電子商務(wù)信息大致上可以分為以下幾類:第一,信息的真實(shí)性;第二,信息的實(shí)時(shí)性;第三,信息的安全性。首先,是信息的真實(shí)性。電子商務(wù)上的基本信息是賣家和買家進(jìn)行認(rèn)識(shí)對(duì)方和分辨商品真實(shí)性可靠性的唯一途徑,應(yīng)該絕對(duì)真實(shí)。一旦出現(xiàn)虛假信息,則屬于欺騙消費(fèi)者,是危害消費(fèi)者權(quán)益的不法行為。其次,是信息的實(shí)時(shí)性。信息的實(shí)時(shí)性主要是指信息的保質(zhì)期。因?yàn)楹芏嘈畔⒅辉谝欢螘r(shí)間內(nèi)有效,具有時(shí)效性,一旦錯(cuò)過這段關(guān)鍵時(shí)期,那么該信息則失去自身的價(jià)值,變得一文不值。最后,就是信息的安全性,這也是消費(fèi)者最為關(guān)心的問題。電子商務(wù)出現(xiàn)的安全性問題主要表現(xiàn)為客戶的信息被刪除、篡改從而失真,同時(shí)也表現(xiàn)為用戶的信息被竊取從而達(dá)成其他目的,使得用戶的隱私被侵犯,正常的生活受到打擾。
二、電子商務(wù)的信息安全技術(shù)的內(nèi)容
2.1 備份技術(shù)。相信備份技術(shù)對(duì)于大眾來說不是很陌生。但是很多人卻錯(cuò)誤的將備份理解為拷貝,從而片面的看待這個(gè)問題。電子商務(wù)對(duì)于網(wǎng)絡(luò)環(huán)境有很大的依賴性,網(wǎng)絡(luò)環(huán)境自身卻存在極大的不穩(wěn)定性,這就導(dǎo)致電子商務(wù)的發(fā)展存在不可避免的風(fēng)險(xiǎn),如果沒有一個(gè)數(shù)據(jù)庫對(duì)于基本信息進(jìn)行存儲(chǔ),那么一旦出現(xiàn)系統(tǒng)故障或者誤刪的情況則信息永遠(yuǎn)消失,這對(duì)于商家來說是極其可怕的,因此,電子商務(wù)的第三方有一個(gè)信息儲(chǔ)存庫,旨在在必要的時(shí)刻段時(shí)間內(nèi)將客戶的信息及時(shí)恢復(fù)。這種恢復(fù)不是簡(jiǎn)單的、傳統(tǒng)意義上的恢復(fù),而是通過備份介質(zhì)得以完成的。這樣的話,在系統(tǒng)故障或者其他原因?qū)е滦畔⒃诙虝r(shí)間內(nèi)無法正常恢復(fù)時(shí),可以借助儲(chǔ)存在備份介質(zhì)中的信息將信息還原到原來的備份狀態(tài)。2.2 認(rèn)證技術(shù)。所謂認(rèn)證技術(shù)其實(shí)一個(gè)專業(yè)術(shù)語,道理實(shí)際上很簡(jiǎn)單,就是我們常說的登錄口令。認(rèn)證技術(shù)的目的主要在于阻止不具有系統(tǒng)授權(quán)的用戶進(jìn)行非法的破壞計(jì)算機(jī)機(jī)密數(shù)據(jù),是數(shù)據(jù)庫系統(tǒng)為減少和避免各種破壞電子商務(wù)安全的重要策略。登陸口令是我們正常用戶進(jìn)行電子商務(wù)平臺(tái)登錄的方式,是大眾在網(wǎng)絡(luò)環(huán)境下的身份證。我們每一個(gè)用戶在使用某一個(gè)電子商務(wù)平臺(tái)之前都被要求進(jìn)行注冊(cè),從而決定或者獲得自己的登陸口令即用戶名和密碼。這些登錄口令都是都是獨(dú)一無二的,是我們進(jìn)行網(wǎng)上交易的身份認(rèn)證和識(shí)別。因?yàn)殡娮由虅?wù)平臺(tái)往往具有開放性,一旦沒有身份認(rèn)證后果將不堪設(shè)想。人們的信息安全更是沒有任何保障。2.3 訪問控制技術(shù)。訪問控制技術(shù)也可以理解為訪問等級(jí)制度,電子商務(wù)的系統(tǒng)會(huì)根據(jù)用戶的不同等級(jí)對(duì)于用戶對(duì)于系統(tǒng)數(shù)據(jù)的訪問進(jìn)行一定的控制。等級(jí)較低時(shí),則用戶的訪問權(quán)限有限,一些重要的關(guān)鍵的信息則被系統(tǒng)禁止訪問,只要當(dāng)?shù)燃?jí)較高時(shí)才能獲得相關(guān)權(quán)限,這就保證了一些重要信息不會(huì)被竊取。關(guān)于用戶的訪問權(quán)限也有兩層含義,首先是用戶能夠獲得數(shù)據(jù)庫中的信息種類和數(shù)量,另一層含義則是指用戶對(duì)于獲取的數(shù)據(jù)庫信息進(jìn)行怎樣的操作。
電子商務(wù)的便利性和優(yōu)點(diǎn)遠(yuǎn)遠(yuǎn)大于其存在的信息安全技術(shù)風(fēng)險(xiǎn)給人們帶來的不便,盡管信息安全技術(shù)問題層出不窮,但是大眾們依然親睞和依賴電子商務(wù)。但電子商務(wù)想要獲得更廣闊的發(fā)展空間,虜獲更多人的心,則必須在信息安全技術(shù)問題上下一點(diǎn)功夫。其次,對(duì)于普通消費(fèi)者來說,掌握一定的電子商務(wù)信息安全知識(shí)是十分必要的,它既能幫助我們?cè)谛枰臅r(shí)候解決自己原來束手無策的問題,更能讓自身的網(wǎng)購(gòu)行為變得更加安全,減少甚至避免了很多不必要麻煩的出現(xiàn),因此,不管你從事任何行業(yè),都需要對(duì)于電子商務(wù)的信息安全問題進(jìn)行一定的了解。
作者:王傳 單位:四川化工職業(yè)技術(shù)學(xué)院網(wǎng)管中心
論文摘要:隨著我國(guó)信息技術(shù)的不斷發(fā)展,對(duì)中小企業(yè)電子信息安全的保護(hù)問題也成為人們關(guān)注的焦點(diǎn)。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設(shè),對(duì)電子信息安全技術(shù)進(jìn)行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問題的策略。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時(shí)被競(jìng)爭(zhēng)對(duì)手或不法分子竊聽、泄密、篡改或偽造,將會(huì)嚴(yán)重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。
一、中小企業(yè)的信息化建設(shè)意義
在這個(gè)網(wǎng)絡(luò)信息時(shí)代,企業(yè)的信息化進(jìn)程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動(dòng),基本上都采用電子商務(wù)的形式進(jìn)行,企業(yè)的生產(chǎn)運(yùn)作、運(yùn)輸和銷售各個(gè)方面都運(yùn)用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價(jià)格,出產(chǎn)地等信息來建立一個(gè)原材料信息系統(tǒng),這個(gè)信息系統(tǒng)對(duì)原材料的采購(gòu)有很大的作用。通過對(duì)數(shù)據(jù)的分析,可以得到跟多的采購(gòu)建議和對(duì)策,實(shí)現(xiàn)企業(yè)電子信息化水準(zhǔn)。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對(duì)網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時(shí)代已經(jīng)到來,企業(yè)應(yīng)該加快信息化的建設(shè)。
二、電子信息安全技術(shù)闡述
1、電子信息中的加密技術(shù)
加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對(duì)稱和非對(duì)稱加密兩種。其中對(duì)稱加密通常通過序列密碼或者分組機(jī)密來實(shí)現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個(gè)基本組成成分。非對(duì)稱加密與對(duì)稱加密有所不同,非對(duì)稱加密需要公開密鑰和私有密鑰兩個(gè)密鑰,公開密鑰和私有密鑰必須配對(duì)使用,用公開密鑰進(jìn)行的加密,只有其對(duì)應(yīng)的私有密匙才能解密。用私有密鑰進(jìn)行的加密,也只有用其相應(yīng)的公開密鑰才能解密。
加密技術(shù)對(duì)傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時(shí),發(fā)送人用加密密鑰或算法對(duì)所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。
2、防火墻技術(shù)
隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對(duì)網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對(duì)網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護(hù)措施就是防火墻。在我們的個(gè)人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。
3、認(rèn)證技術(shù)
消息認(rèn)證和身份認(rèn)證是認(rèn)證技術(shù)的兩種形式,消息認(rèn)證主要用于確保信息的完整性和抗否認(rèn)性,用戶通過消息認(rèn)證來確認(rèn)信息的真假和是否被第三方修改或偽造。身份認(rèn)證使用與鑒別用戶的身份的,包括識(shí)別和驗(yàn)證兩個(gè)步驟。明確和區(qū)分訪問者身份是識(shí)別,確認(rèn)訪問者身份叫驗(yàn)證。用戶在訪問一些非公開的資源時(shí)必須通過身份認(rèn)證。比如訪問高校的查分系統(tǒng)時(shí),必須要經(jīng)過學(xué)號(hào)和密碼的驗(yàn)證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進(jìn)行訪問,非校園網(wǎng)的不能進(jìn)入,除非付費(fèi)申請(qǐng)一個(gè)合格的訪問身份。
三、中小企業(yè)中電子信息的主要安全要素
1、信息的機(jī)密性
在今天這個(gè)網(wǎng)絡(luò)時(shí)代,信息的機(jī)密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機(jī)密,如何保護(hù)企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進(jìn)行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。
2、信息的有效性
隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進(jìn)行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟(jì)利益,也是個(gè)企業(yè)貿(mào)易順利進(jìn)行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對(duì)這些網(wǎng)絡(luò)故障帶來的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。
3、信息的完整性
企業(yè)交易各方的經(jīng)營(yíng)策略嚴(yán)重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對(duì)交易各方都是非常重要的。在對(duì)信息的處理過程中要預(yù)防對(duì)信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進(jìn)行交易的基礎(chǔ)。
四、解決中小企業(yè)中電子信息安全問題的策略
1、構(gòu)建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進(jìn)行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個(gè)信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術(shù)及手段將無法正常進(jìn)行,信息的安全性就得不到保證。完善,嚴(yán)格的電子信息安全管理制度對(duì)信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴(yán)格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。
2、利用企業(yè)的網(wǎng)絡(luò)條件來提供信息安全服務(wù)
很多企業(yè)的多個(gè)二級(jí)單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來為企業(yè)提供良好的信息安全服務(wù)。通過企業(yè)這一網(wǎng)絡(luò)平臺(tái)技術(shù)標(biāo)準(zhǔn),安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時(shí)為企業(yè)員工提供一個(gè)交流經(jīng)驗(yàn)的場(chǎng)所。
3、定期對(duì)安全防護(hù)軟件系統(tǒng)進(jìn)行評(píng)估、改進(jìn)
隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對(duì)信息安全問題的認(rèn)識(shí)是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時(shí),解決信息安全問題的安全防護(hù)軟件系統(tǒng)也應(yīng)該不斷的改進(jìn),定期對(duì)系統(tǒng)進(jìn)行評(píng)估。
總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè)辦公室逐漸趨向辦公自動(dòng)化,而且還確保了企業(yè)電子信息安全。
參考文獻(xiàn):
[1]溫正衛(wèi);信息安全技術(shù)在電子政務(wù)系統(tǒng)中的應(yīng)用[J];軟件導(dǎo)刊,2010
[2]閆兵;企業(yè)信息安全概述及防范[J];科學(xué)咨訊,2010
網(wǎng)絡(luò)環(huán)境下保障企業(yè)信息的安全性對(duì)企業(yè)地發(fā)展具有重大的、直接的現(xiàn)實(shí)意義。深入研究與開發(fā)計(jì)算機(jī)信息安全技術(shù),減少或避免網(wǎng)絡(luò)信息系統(tǒng)的破壞與故障,對(duì)企業(yè)發(fā)展具有積極的作用。但就現(xiàn)實(shí)發(fā)展來看,目前企業(yè)網(wǎng)絡(luò)信息安全建設(shè)仍處于探索階段,優(yōu)化企業(yè)網(wǎng)絡(luò)安全,吸取前沿的安全技術(shù),實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息又快又好地發(fā)展成為眾企業(yè)關(guān)注的焦點(diǎn)問題。
一、企業(yè)網(wǎng)絡(luò)信息安全的基本目標(biāo)
企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研究與開發(fā)最終目的是實(shí)現(xiàn)企業(yè)信息的保密性、完整性、可用性以及可控性。具體來講市場(chǎng)化的發(fā)展背景,企業(yè)之間存在激烈的競(jìng)爭(zhēng),為增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力,出現(xiàn)盜取商業(yè)機(jī)密與核心信息的不良網(wǎng)絡(luò)現(xiàn)象。企業(yè)加強(qiáng)網(wǎng)絡(luò)信息安全技術(shù)開發(fā),一個(gè)重要的目的是防止企業(yè)關(guān)鍵信息的泄露或者被非授權(quán)用戶盜取。其次,保障信息的完整性,是指防止企業(yè)信息在未經(jīng)授權(quán)的情況下被偶然或惡意篡改的現(xiàn)象發(fā)生。再次,實(shí)現(xiàn)數(shù)據(jù)的可用性,具體是指當(dāng)企業(yè)信息受到破壞或者攻擊時(shí),攻擊者不能破壞全部資源,授權(quán)者在這種情況下仍然可以按照需求使用的特性。最后,確保企業(yè)網(wǎng)絡(luò)信息的可控性,例如對(duì)企業(yè)信息的訪問、傳播以及內(nèi)容具有控制的能力。
二、企業(yè)網(wǎng)絡(luò)信息安全面臨的主要威脅
根據(jù)相關(guān)調(diào)查顯示,病毒入侵、蠕蟲以及木馬程序破壞是對(duì)企業(yè)網(wǎng)絡(luò)信息安全造成威脅的主要原因。黑客攻擊或者網(wǎng)絡(luò)詐騙也是影響企業(yè)網(wǎng)絡(luò)信息安全的重要因素。當(dāng)然部分企業(yè)網(wǎng)絡(luò)信息安全受到破壞是由于企業(yè)內(nèi)部工作人員的操作失誤造成。總之威脅企業(yè)網(wǎng)絡(luò)信息安全的因素來自方方面面,無論是什么原因造成的企業(yè)網(wǎng)絡(luò)信息安全的破壞,結(jié)果都會(huì)對(duì)企業(yè)的生產(chǎn)發(fā)展造成惡劣的影響,導(dǎo)致企業(yè)重大的損失。在信息化發(fā)展背景下,企業(yè)只有不斷提高網(wǎng)絡(luò)信息的安全性,才是實(shí)現(xiàn)企業(yè)持續(xù)發(fā)展的有力保證。
三、企業(yè)網(wǎng)絡(luò)信息安全保護(hù)措施現(xiàn)狀
當(dāng)前企業(yè)在進(jìn)行網(wǎng)絡(luò)信息安全保護(hù)方面的意識(shí)逐漸增強(qiáng),他們?yōu)榇_保企業(yè)網(wǎng)絡(luò)信息安全時(shí)大都應(yīng)用了殺毒軟件來防止病毒的入侵。在對(duì)企業(yè)網(wǎng)絡(luò)信息安全進(jìn)行保護(hù)時(shí),方式比較單 一,技術(shù)比較落后。對(duì)于入侵檢測(cè)系統(tǒng)以及硬件防護(hù)墻的認(rèn)識(shí)不足,尚未在企業(yè)中普及。因此推進(jìn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā),前提是提高企業(yè)對(duì)網(wǎng)絡(luò)信息安全保護(hù)的意識(shí),增強(qiáng)企業(yè)應(yīng)用網(wǎng)絡(luò)信息安全技術(shù)的能力,才能有效推動(dòng)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的開發(fā)。
四、促進(jìn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的對(duì)策與建議
(一)定期實(shí)施重要信息的備份與恢復(fù)
加大對(duì)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)的研發(fā)投入,一個(gè)重要的體現(xiàn)是對(duì)企業(yè)網(wǎng)絡(luò)信息的管理。企業(yè)對(duì)于重要的、機(jī)密的信息和數(shù)據(jù)應(yīng)該定期進(jìn)行備份或者是恢復(fù)工作。這是保障企業(yè)網(wǎng)絡(luò)信息安全簡(jiǎn)單、基礎(chǔ)的工作內(nèi)容。當(dāng)企業(yè)網(wǎng)絡(luò)受到破壞甚至企業(yè)網(wǎng)絡(luò)系統(tǒng)出現(xiàn)癱瘓,企業(yè)能夠通過備份的信息保障生產(chǎn)工作的運(yùn)行,把企業(yè)的損失降到最低。實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)的實(shí)效性的基礎(chǔ)工作是做好企業(yè)重要網(wǎng)絡(luò)信息的定期備份與恢復(fù)工作。
(二)構(gòu)建和實(shí)施虛擬專用網(wǎng)絡(luò)(VPN)技術(shù)
以隧道技術(shù)為核心的虛擬專用網(wǎng)絡(luò)技術(shù),是一項(xiàng)復(fù)雜的、專業(yè)的工程技術(shù)。該項(xiàng)技術(shù)對(duì)于保護(hù)企業(yè)網(wǎng)絡(luò)信息安全具有重要意義,并且效果顯著。它把企業(yè)專用的、重要的信息進(jìn)行封裝,然后采取一定的方法利用公共網(wǎng)絡(luò)隧道傳輸企業(yè)專用網(wǎng)絡(luò)中的信息,如此一來可以實(shí)現(xiàn)對(duì)企業(yè)網(wǎng)絡(luò)信息的保護(hù),避免出現(xiàn)對(duì)企業(yè)信息的竊取與惡意修改。當(dāng)然提升虛擬專用網(wǎng)絡(luò)的兼容性、簡(jiǎn)化應(yīng)用程序是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)重要課題。
(三)完善高效的防火墻技術(shù)
在企業(yè)內(nèi)部網(wǎng)與外聯(lián)網(wǎng)之間設(shè)置一道保護(hù)企業(yè)網(wǎng)絡(luò)信息安全的屏障,即設(shè)置防火墻。這一技術(shù)是目前最有效、最經(jīng)濟(jì)的保障企業(yè)網(wǎng)絡(luò)信息安全的技術(shù)。但由于當(dāng)前大多數(shù)的遠(yuǎn)程監(jiān)控程序應(yīng)用的是反向鏈接的方式,這就限制了防火墻作用的發(fā)揮。在進(jìn)行企業(yè)網(wǎng)絡(luò)信息安全技術(shù)開發(fā)過程中,應(yīng)進(jìn)一步優(yōu)化防火墻的工作原理或者研發(fā)與之相匹配的遠(yuǎn)程監(jiān)控程序,來實(shí)現(xiàn)防火墻對(duì)企業(yè)網(wǎng)絡(luò)信息安全的保護(hù)。
(四)對(duì)關(guān)鍵信息和數(shù)據(jù)進(jìn)行加密
增強(qiáng)企業(yè)對(duì)關(guān)鍵信息和數(shù)據(jù)的加密技術(shù)水平也是企業(yè)網(wǎng)絡(luò)信息安全技術(shù)研發(fā)的主要方面。更新加密技術(shù),是保障企業(yè)網(wǎng)絡(luò)信息安全的重要環(huán)節(jié)。企業(yè)在對(duì)重要信息和數(shù)據(jù)進(jìn)行加密時(shí)可以同時(shí)采取一些例如CD檢測(cè)或者Key File等保護(hù)措施,來增強(qiáng)企業(yè)重要信息的保密效果。
五、結(jié)束語
企業(yè)網(wǎng)絡(luò)信息安全體系的構(gòu)建是一項(xiàng)系統(tǒng)的、長(zhǎng)期的、動(dòng)態(tài)的工程。網(wǎng)絡(luò)環(huán)境下,信息安全技術(shù)發(fā)展的同時(shí),新的破壞、攻擊、入侵網(wǎng)絡(luò)信息安全的手段也會(huì)不斷出現(xiàn)。企業(yè)只有與時(shí)俱進(jìn),加大對(duì)網(wǎng)絡(luò)信息安全技術(shù)的投入力度,才能加強(qiáng)對(duì)企業(yè)核心信息與數(shù)據(jù)的保護(hù)。在未來的發(fā)展過程中,企業(yè)在堅(jiān)持技術(shù)策略與管理策略相結(jié)合的原則下,不斷升級(jí)完善企業(yè)網(wǎng)絡(luò)信息安全系統(tǒng)的開發(fā)與建設(shè),不斷提高企業(yè)的信息化水平。
許梅:國(guó)網(wǎng)四川省電力公司廣安供電公司三新電力服務(wù)有限公司,黨支部書記、副總經(jīng)理,高級(jí)工程師。研究方向:信息工程。
論文摘要:隨著網(wǎng)絡(luò)技術(shù)的飛速發(fā)展和廣泛應(yīng)用,信息安全問題正日益突出顯現(xiàn)出來,受到越來越多的關(guān)注。文章介紹了網(wǎng)絡(luò)信息安全的現(xiàn)狀.探討了網(wǎng)絡(luò)信息安全的內(nèi)涵,分析了網(wǎng)絡(luò)信息安全的主要威脅,最后給出了網(wǎng)絡(luò)信息安全的實(shí)現(xiàn)技術(shù)和防范措施.以保障計(jì)算機(jī)網(wǎng)絡(luò)的信息安全,從而充分發(fā)揮計(jì)算機(jī)網(wǎng)絡(luò)的作用。
論文關(guān)鍵詞:計(jì)算機(jī),網(wǎng)絡(luò)安全,安全管理,密鑰安全技術(shù)
當(dāng)今社會(huì).網(wǎng)絡(luò)已經(jīng)成為信息交流便利和開放的代名詞.然而伴隨計(jì)算機(jī)與通信技術(shù)的迅猛發(fā)展.網(wǎng)絡(luò)攻擊與防御技術(shù)也在循環(huán)遞升,原本網(wǎng)絡(luò)固有的優(yōu)越性、開放性和互聯(lián)性變成了信息安全隱患的便利橋梁.網(wǎng)絡(luò)安全已變成越來越棘手的問題在此.筆者僅談一些關(guān)于網(wǎng)絡(luò)安全及網(wǎng)絡(luò)攻擊的相關(guān)知識(shí)和一些常用的安全防范技術(shù)。
1網(wǎng)絡(luò)信息安全的內(nèi)涵
網(wǎng)絡(luò)安全從其本質(zhì)上講就是網(wǎng)絡(luò)上的信息安全.指網(wǎng)絡(luò)系統(tǒng)硬件、軟件及其系統(tǒng)中數(shù)據(jù)的安全。網(wǎng)絡(luò)信息的傳輸、存儲(chǔ)、處理和使用都要求處于安全狀態(tài)可見.網(wǎng)絡(luò)安全至少應(yīng)包括靜態(tài)安全和動(dòng)態(tài)安全兩種靜態(tài)安全是指信息在沒有傳輸和處理的狀態(tài)下信息內(nèi)容的秘密性、完整性和真實(shí)性:動(dòng)態(tài)安全是指信息在傳輸過程中不被篡改、竊取、遺失和破壞。
2網(wǎng)絡(luò)信息安全的現(xiàn)狀
中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心(CNNIC)的《第23次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》。報(bào)告顯示,截至2008年底,中國(guó)網(wǎng)民數(shù)達(dá)到2.98億.手機(jī)網(wǎng)民數(shù)超1億達(dá)1.137億。
Research艾瑞市場(chǎng)咨詢根據(jù)公安部公共信息網(wǎng)絡(luò)安全監(jiān)察局統(tǒng)計(jì)數(shù)據(jù)顯示.2006年中國(guó)(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項(xiàng).達(dá)20.9%.其次病毒造成的影響還表現(xiàn)為“數(shù)據(jù)受損或丟失”18%.“系統(tǒng)使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠(yuǎn)程控制”提及率為6.1%“無影響”的只有4.2%。
3安全防范重在管理
在網(wǎng)絡(luò)安全中.無論從采用的管理模型,還是技術(shù)控制,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理、人員的管理、制度的管理、機(jī)構(gòu)的管理等.它的作用也是最關(guān)鍵的.是網(wǎng)絡(luò)安全防范中的靈魂。
在機(jī)構(gòu)或部門中.各層次人員的責(zé)任感.對(duì)信息安全的認(rèn)識(shí)、理解和重視程度,都與網(wǎng)絡(luò)安全息息相關(guān)所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應(yīng)商、顧客或股東的參與和信息安全的專家建議在信息系統(tǒng)設(shè)計(jì)階段就將安全要求和控制一體化考慮進(jìn)去.則成本會(huì)更低、效率會(huì)更高那么做好網(wǎng)絡(luò)信息安全管理.至少應(yīng)從下面幾個(gè)方面人手.再結(jié)合本部門的情況制定管理策略和措施:
①樹立正確的安全意識(shí).要求每個(gè)員工都要清楚自己的職責(zé)分工如設(shè)立專職的系統(tǒng)管理員.進(jìn)行定時(shí)強(qiáng)化培訓(xùn).對(duì)網(wǎng)絡(luò)運(yùn)行情況進(jìn)行定時(shí)檢測(cè)等。
2)有了明確的職責(zé)分工.還要保障制度的貫徹落實(shí).要加強(qiáng)監(jiān)督檢查建立嚴(yán)格的考核制度和獎(jiǎng)懲機(jī)制是必要的。
③對(duì)網(wǎng)絡(luò)的管理要遵循國(guó)家的規(guī)章制度.維持網(wǎng)絡(luò)有條不紊地運(yùn)行。
④應(yīng)明確網(wǎng)絡(luò)信息的分類.按等級(jí)采取不同級(jí)別的安全保護(hù)。
4網(wǎng)絡(luò)信息系統(tǒng)的安全防御
4.1防火墻技術(shù)
根據(jù)CNCERT/CC調(diào)查顯示.在各類網(wǎng)絡(luò)安全技術(shù)使用中.防火墻的使用率最高達(dá)到76.5%。防火墻的使用比例較高主要是因?yàn)樗鼉r(jià)格比較便宜.易安裝.并可在線升級(jí)等特點(diǎn)防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的一道屏障,以防止發(fā)生不可預(yù)測(cè)的、潛在破壞性的侵入。它通過監(jiān)測(cè)、限制、更改跨越防火墻的數(shù)據(jù)流,盡可能地對(duì)外部屏蔽網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀況.以此來實(shí)現(xiàn)網(wǎng)絡(luò)的安全保護(hù)。
4.2認(rèn)證技術(shù)
認(rèn)證是防止主動(dòng)攻擊的重要技術(shù).它對(duì)開放環(huán)境中的各種消息系統(tǒng)的安全有重要作用.認(rèn)證的主要目的有兩個(gè):
①驗(yàn)證信息的發(fā)送者是真正的主人
2)驗(yàn)證信息的完整性,保證信息在傳送過程中未被竄改、重放或延遲等。
4.3信息加密技術(shù)
加密是實(shí)現(xiàn)信息存儲(chǔ)和傳輸保密性的一種重要手段信息加密的方法有對(duì)稱密鑰加密和非對(duì)稱密鑰加密.兩種方法各有所長(zhǎng).可以結(jié)合使用.互補(bǔ)長(zhǎng)短。
4.4數(shù)字水印技術(shù)
信息隱藏主要研究如何將某一機(jī)密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機(jī)密信息對(duì)信息隱藏而吉.可能的監(jiān)測(cè)者或非法攔截者則難以從公開信息中判斷機(jī)密信息是否存在.難以截獲機(jī)密信息.從而能保證機(jī)密信息的安全隨著網(wǎng)絡(luò)技術(shù)和信息技術(shù)的廣泛應(yīng)用.信息隱藏技術(shù)的發(fā)展有了更加廣闊的應(yīng)用前景。數(shù)字水印是信息隱藏技術(shù)的一個(gè)重要研究方向.它是通過一定的算法將一些標(biāo)志性信息直接嵌到多媒體內(nèi)容中.但不影響原內(nèi)容的價(jià)值和使用.并且不能被人的感覺系統(tǒng)覺察或注意到。
4.5入侵檢測(cè)技術(shù)的應(yīng)用
人侵檢測(cè)系統(tǒng)(IntrusionDetectionSystem簡(jiǎn)稱IDS)是從多種計(jì)算機(jī)系統(tǒng)及網(wǎng)絡(luò)系統(tǒng)中收集信息.再通過這此信息分析入侵特征的網(wǎng)絡(luò)安全系統(tǒng)IDS被認(rèn)為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對(duì)系統(tǒng)發(fā)生危害前.檢測(cè)到入侵攻擊.并利用報(bào)警與防護(hù)系統(tǒng)驅(qū)逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關(guān)信息.作為防范系統(tǒng)的知識(shí).添加入策略集中.增強(qiáng)系統(tǒng)的防范能力.避免系統(tǒng)再次受到同類型的入侵入侵檢測(cè)的作用包括威懾、檢測(cè)、響應(yīng)、損失情況評(píng)估、攻擊預(yù)測(cè)和支持。入侵檢測(cè)技術(shù)是為保證計(jì)算機(jī)系統(tǒng)的安全而設(shè)計(jì)與配置的一種能夠及時(shí)發(fā)現(xiàn)并報(bào)告系統(tǒng)中未授權(quán)或異常現(xiàn)象的技術(shù).是一種用于檢測(cè)計(jì)算機(jī)網(wǎng)絡(luò)中違反安全策略行為的技術(shù)。
[論文摘要]計(jì)算機(jī)網(wǎng)絡(luò)日益成為重要信息交換手段,認(rèn)清網(wǎng)絡(luò)的脆弱性和潛在威脅以及現(xiàn)實(shí)客觀存在的各種安全問題,采取強(qiáng)有力的安全策略,保障網(wǎng)絡(luò)信息的安全,是每一個(gè)國(guó)家和社會(huì)以及個(gè)人必須正視的事情。本文針對(duì)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用相關(guān)的基本信息安全問題和解決方案進(jìn)行了探討。
隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,全球信息化己成為人類發(fā)展的大趨勢(shì),計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)在同防軍事領(lǐng)域、金融、電信、證券、商業(yè)、教育以及日常生活巾得到了大量的應(yīng)用。但由于計(jì)算機(jī)網(wǎng)絡(luò)具有聯(lián)結(jié)形式多樣性、終端分布不均勻性和網(wǎng)絡(luò)的開放性、互連性等特征,致使網(wǎng)絡(luò)易受黑客、怪客、惡意軟件和其他不軌的攻擊。所以網(wǎng)上信息的安全和保密是一個(gè)至關(guān)重要的問題。因此,網(wǎng)絡(luò)必須有足夠強(qiáng)的安全措施,否則網(wǎng)絡(luò)將是尤用的,相反會(huì)給使用者帶來各方面危害,嚴(yán)重的甚至?xí)<爸芗野踩?nbsp;
一、信息加密技術(shù)
網(wǎng)絡(luò)信息發(fā)展的關(guān)鍵問題是其安全性,因此,必須建立一套有效的包括信息加密技術(shù)、安全認(rèn)證技術(shù)、安全交易議等內(nèi)容的信息安全機(jī)制作為保證,來實(shí)現(xiàn)電子信息數(shù)據(jù)的機(jī)密性、完整性、不可否認(rèn)性和交易者身份認(rèn)證忡,防止信息被一些懷有不良用心的人看到、破壞,甚至出現(xiàn)虛假信息。
信息加密技術(shù)是保證網(wǎng)絡(luò)、信息安全的核心技術(shù),是一種主動(dòng)的信息安全防范措施,其原理是利用一定的加密算法,將明文轉(zhuǎn)換成不可直接讀取的秘文,阻止非法用戶扶取和理解原始數(shù)據(jù),從而確保數(shù)據(jù)的保密忭。ⅱ月文變成秘文的過程稱為加密,南秘文還原成明文的過程稱為解密,加密、解密使用的町變參數(shù)叫做密鑰。
傳統(tǒng)上,幾種方法町以用來加密數(shù)據(jù)流,所有這些方法都町以用軟件很容易的實(shí)現(xiàn),當(dāng)只知道密文的時(shí)候,是不容易破譯這些加密算法的。最好的加密算法塒系統(tǒng)性能幾乎沒有影響,并且還可以帶來其他內(nèi)在的優(yōu)點(diǎn)。例如,大家郜知道的pkzip,它既壓縮數(shù)據(jù)義加密數(shù)據(jù)。義如,dbms的一些軟件包包含一些加密方法使復(fù)制文件這一功能對(duì)一些敏感數(shù)據(jù)是尢效的,或者需要用戶的密碼。所有這些加密算法都要有高效的加密和解密能力。
二、防火墻技術(shù)
“防火墻”是一個(gè)通用術(shù)i五,是指在兩個(gè)網(wǎng)絡(luò)之間執(zhí)行控制策略的系統(tǒng),是在網(wǎng)絡(luò)邊界上建立的網(wǎng)絡(luò)通信監(jiān)控系統(tǒng),用來保障計(jì)算機(jī)網(wǎng)絡(luò)的安全,它是一種控制技術(shù),既可以是一種軟件產(chǎn)品,又可以制作或嵌入到某種硬什產(chǎn)品中。防火墻通常是巾軟什系統(tǒng)和硬什設(shè)備組合而成,在內(nèi)部網(wǎng)和外部網(wǎng)之間構(gòu)建起安全的保護(hù)屏障。
從邏輯上講,防火墻是起分隔、限制、分析的作用。實(shí)際上,防火墻是加強(qiáng)intranet(內(nèi)部網(wǎng))之間安全防御的一個(gè)或一組系統(tǒng),它南一組硬件設(shè)備(包括路由器、服務(wù)器)及相應(yīng)軟件構(gòu)成。所有來自intemet的傳輸信息或發(fā)出的信息都必須經(jīng)過防火墻。這樣,防火墻就起到了保護(hù)諸如電子郵件傳輸、遠(yuǎn)程登錄、布特定的系統(tǒng)問進(jìn)行信息交換等安全的作用。
防火墻可以被看成是阻塞點(diǎn)。所有內(nèi)部網(wǎng)和外部網(wǎng)之間的連接郝必須經(jīng)過該阻塞點(diǎn),在此進(jìn)行檢查和連接,只有被授權(quán)的通信才能通過該阻塞點(diǎn)。防火墻使內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)在一定條件下隔離,從而防止非法入侵及非法使用系統(tǒng)資源。同時(shí),防火墻還日,以執(zhí)行安全管制措施,記錄所以可疑的事件,其基本準(zhǔn)則有以下兩點(diǎn):
(1)一切未被允許的就是禁止的。基于該準(zhǔn)則,防火墑應(yīng)封鎖所有信息流,然后對(duì)希單提供的服務(wù)逐項(xiàng)丌放。這是一種非常災(zāi)用的方法,可以造成一種十分安全的環(huán)境,為只有經(jīng)過仔細(xì)挑選的服務(wù)才被允許使用。其弊端是,安全件高于片j戶使片j的方便件,用戶所能使用的服務(wù)范同受到限制。
(2)一切未被禁止的就是允許的。基于該準(zhǔn)則,防火埔轉(zhuǎn)發(fā)所有信息流,然后逐項(xiàng)屏蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境,可為用戶提供更多的服務(wù)。其弊端是,在口益增多的網(wǎng)絡(luò)服務(wù)面前,網(wǎng)管人員疲于奔命,特別是受保護(hù)的網(wǎng)絡(luò)范嗣增大時(shí),很難提供町靠的安全防護(hù)。
較傳統(tǒng)的防火墻來說,新一代防火墻具有先進(jìn)的過濾和體系,能從數(shù)據(jù)鏈路層到應(yīng)用層進(jìn)行全方位安全處理,協(xié)議和的直接相互配合,提供透明模式,使本系統(tǒng)的防欺騙能力和運(yùn)行的健壯件都大大提高;除了訪問控制功能外,新一代的防火墻還集成了其它許多安全技術(shù),如nat和vpn、病毒防護(hù)等、使防火墻的安全性提升到義一高度。
三、網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)設(shè)計(jì)
在網(wǎng)絡(luò)層使用了防火墻技術(shù),經(jīng)過嚴(yán)格的策略配置,通常能夠在內(nèi)外網(wǎng)之問提供安全的網(wǎng)絡(luò)保護(hù),降低了網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。但是,儀儀使用防火墻、網(wǎng)絡(luò)安全還遠(yuǎn)遠(yuǎn)不夠。因?yàn)槿涨霸S多入侵手段如icmp重定向、盯p反射掃描、隧道技術(shù)等能夠穿透防火墑進(jìn)入網(wǎng)絡(luò)內(nèi)部;防火墻無法防護(hù)不通過它的鏈接(如入侵者通過撥號(hào)入侵);不能防范惡意的知情者、不能防范來自于網(wǎng)絡(luò)內(nèi)部的攻擊;無法有效地防范病毒;無法防范新的安全威脅;南于性能的限制,防火墻通常不能提供實(shí)時(shí)動(dòng)態(tài)的保護(hù)等。
因此,需要更為完善的安全防護(hù)系統(tǒng)來解決以上這些問題。網(wǎng)絡(luò)入侵監(jiān)測(cè)與安全審計(jì)系統(tǒng)是一種實(shí)時(shí)的網(wǎng)絡(luò)監(jiān)測(cè)包括系統(tǒng),能夠彌補(bǔ)防火墑等其他系統(tǒng)的不足,進(jìn)一步完善整個(gè)網(wǎng)絡(luò)的安全防御能力。網(wǎng)絡(luò)中部署網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng),可以在網(wǎng)絡(luò)巾建立完善的安全預(yù)警和安全應(yīng)急反應(yīng)體系,為信息系統(tǒng)的安全運(yùn)行提供保障。
在計(jì)算機(jī)網(wǎng)絡(luò)信息安全綜合防御體系巾,審計(jì)系統(tǒng)采用多agent的結(jié)構(gòu)的網(wǎng)絡(luò)入侵檢測(cè)與安全審計(jì)系統(tǒng)來構(gòu)建。整個(gè)審計(jì)系統(tǒng)包括審計(jì)agent,審計(jì)管理中心,審計(jì)管理控制臺(tái)。審計(jì)agent有軟什和硬什的形式直接和受保護(hù)網(wǎng)絡(luò)的設(shè)備和系統(tǒng)連接,對(duì)網(wǎng)絡(luò)的各個(gè)層次(網(wǎng)絡(luò),操作系統(tǒng),應(yīng)用軟件)進(jìn)行審計(jì),受審計(jì)巾心的統(tǒng)一管理,并將信息上報(bào)到各個(gè)巾心。審計(jì)巾心實(shí)現(xiàn)對(duì)各種審計(jì)agent的數(shù)據(jù)收集和管理。審計(jì)控制會(huì)是一套管理軟件,主要實(shí)現(xiàn)管理員對(duì)于審計(jì)系統(tǒng)的數(shù)據(jù)瀏覽,數(shù)據(jù)管理,規(guī)則沒置功能。管理員即使不在審計(jì)中心現(xiàn)場(chǎng)也能夠使用審計(jì)控制臺(tái)通過遠(yuǎn)程連接審計(jì)中心進(jìn)行管理,而且多個(gè)管理員可以同時(shí)進(jìn)行管理,根據(jù)權(quán)限的不同完成不同的職責(zé)和任務(wù)。
四、結(jié)論
關(guān)鍵詞:檔案安全;保障體系;研究綜述
2010年5月12日,國(guó)家檔案局楊冬權(quán)局長(zhǎng)在全國(guó)檔案安全系統(tǒng)建設(shè)工作會(huì)議上提出“建立確保檔案安全保密的檔案安全體系,全面提升檔案部門的安全保障能力”的號(hào)召,把檔案安全的重要性提升到一個(gè)新高度。[1]近年來,檔案安全保障體系研究已引起學(xué)界的關(guān)注,成為較熱的一個(gè)研究課題。我們課題組也在做檔案安全保障體系的研究,筆者期望對(duì)學(xué)者以往的研究做以歸納提煉,以資研究探索。
筆者于2011年12月22日,在萬方數(shù)據(jù)庫中,以“檔案安全保障體系”為檢索詞,起始年“2000”,結(jié)束年“2011”檢索到論文84篇。在維普中文科技期刊數(shù)據(jù)庫搜索到與“檔案安全保障體系”相關(guān)內(nèi)容論文20篇,筆者對(duì)其中相關(guān)度較高的文章進(jìn)行了分析研究,綜述如下:
1 檔案安全保障體系的內(nèi)涵
檔案安全保障體系的建設(shè)具有持續(xù)性、多樣化、可完善性等特點(diǎn),是一項(xiàng)復(fù)雜的系統(tǒng)工程。構(gòu)建檔案安全保障體系的前提是分析檔案安全保障體系的理論定位與實(shí)際應(yīng)用的關(guān)系。
張美芳、王良城認(rèn)為,目前,國(guó)內(nèi)外關(guān)于檔案安全保障體系的理解大致有三層含義:其一,控制環(huán)境,降低風(fēng)險(xiǎn)。這里的“環(huán)境”,是指檔案保管環(huán)境、物理環(huán)境、社會(huì)環(huán)境、信息存儲(chǔ)環(huán)境等,降低環(huán)境因素對(duì)檔案安全的影響,最大可能降低風(fēng)險(xiǎn)。其二,建立安全保障平臺(tái),采取安全防護(hù)措施,使檔案盡可能保持穩(wěn)定狀態(tài)。其三,對(duì)已經(jīng)處于不安全環(huán)境中的檔案,采取各種措施使其達(dá)到新的穩(wěn)定狀態(tài),保存其信息的可讀、可用和可藏。這三層含義包括檔案安全保障體系中社會(huì)因素、管理體制、組織體系、策略、政策法規(guī)、安全保障技術(shù)或安全保護(hù)效果的評(píng)價(jià)等較為宏觀的要素。[2]
2 檔案安全保障體系的構(gòu)建目標(biāo)和指導(dǎo)思想
2.1 構(gòu)建目標(biāo)。彭遠(yuǎn)明認(rèn)為,檔案安全保障體系建設(shè)的總體目標(biāo)是:針對(duì)檔案的安全需求、管理現(xiàn)狀和存在問題進(jìn)行安全風(fēng)險(xiǎn)分析,提出解決方案和預(yù)期目標(biāo),制定安全保護(hù)策略,形成集預(yù)測(cè)、保管、利用、搶救一體化的保障體系。[3]楊安蓮認(rèn)為,檔案安全保障體系的構(gòu)建目標(biāo)應(yīng)該是:采取全面、科學(xué)、系統(tǒng)的安全保障策略,保證檔案信息的安全性、完整性和可用性,杜絕敏感信息、秘密信息和重要數(shù)據(jù)的泄密隱患,確保檔案信息的全面安全。[4]
2.2 指導(dǎo)思想。彭遠(yuǎn)明認(rèn)為,構(gòu)建檔案安全保障體系的指導(dǎo)思想是:在體系內(nèi)合理進(jìn)行安全區(qū)域劃分,以應(yīng)用和實(shí)效為主導(dǎo),管理與技術(shù)為支撐,結(jié)合法規(guī)、制度、體制、組織管理,明確等級(jí)保護(hù)實(shí)施辦法,確保檔案的安全。[5]張美芳、王良城認(rèn)為,檔案安全保障體系建設(shè)的指導(dǎo)思想應(yīng)是:堅(jiān)持嚴(yán)格保護(hù)、有效管理、分類指導(dǎo)、合理利用,以健全法律法規(guī)、提高人員素質(zhì)、加強(qiáng)規(guī)劃管理、完善基礎(chǔ)條件、強(qiáng)化監(jiān)管手段為重點(diǎn),立足當(dāng)前,著眼長(zhǎng)遠(yuǎn),加快體制機(jī)制創(chuàng)新,加強(qiáng)統(tǒng)籌協(xié)調(diào),全面增強(qiáng)檔案資源保護(hù)力度,推動(dòng)我國(guó)檔案事業(yè)持續(xù)健康發(fā)展。[6]
3 檔案安全保障體系的建設(shè)原則
檔案安全保障體系的構(gòu)建應(yīng)該根據(jù)檔案安全現(xiàn)狀及其面臨的威脅與隱患,從檔案安全保障工作的整體和全局的視角進(jìn)行規(guī)范,在構(gòu)建過程中應(yīng)該遵循一定的原則。彭遠(yuǎn)明、張艷欣、楊安蓮、黃昌瑛、張勇等都提出了檔案安全保障體系的建設(shè)原則,筆者采用統(tǒng)計(jì)歸納的方法,從中提煉出以下共性原則:
3.1 標(biāo)準(zhǔn)規(guī)范原則。檔案安全保障體系的建構(gòu)和策略的選擇必須符合我國(guó)現(xiàn)行法律、法規(guī)的規(guī)定要求,必須遵循國(guó)際、國(guó)家的相關(guān)標(biāo)準(zhǔn),嚴(yán)格遵照相關(guān)規(guī)章制度。[7][8]
3.2 科學(xué)實(shí)用原則。檔案安全保障體系應(yīng)在充分調(diào)查研究的基礎(chǔ)上,以檔案安全風(fēng)險(xiǎn)分析結(jié)果為依據(jù),探尋有針對(duì)性的特色理論,制定出科學(xué)的防范措施與方法,這些理論、措施與方法應(yīng)當(dāng)在實(shí)踐層面上具有可操作性。[9][10][11]
3.3 全面監(jiān)控原則。檔案安全保障工作是一個(gè)系統(tǒng)工程,需要對(duì)各個(gè)環(huán)節(jié)進(jìn)行統(tǒng)一的綜合考慮、規(guī)劃和構(gòu)架,任何環(huán)節(jié)的安全缺陷都會(huì)造成對(duì)檔案安全的威脅。[12]
3.4 適度經(jīng)濟(jì)原則。根據(jù)檔案的等級(jí)決定建立什么水平的防范體系,根據(jù)風(fēng)險(xiǎn)評(píng)估和各單位的財(cái)力、物力決定資金投入的多少及如何分配使用資金,將資金用在最迫切的地方。既要考慮到系統(tǒng)的可操作性,又要保證安全保密機(jī)制的規(guī)模與性能滿足需要,實(shí)現(xiàn)安全保護(hù)效率與經(jīng)濟(jì)效益兼顧。[13][14][15]
3.5 動(dòng)態(tài)發(fā)展原則。檔案安全保障體系的建設(shè)是一個(gè)長(zhǎng)期的不斷完善的過程,所以,該體系要能夠隨著安全技術(shù)的發(fā)展、外部環(huán)境的變化、安全目標(biāo)的調(diào)整,不斷調(diào)整安全策略,改進(jìn)和完善檔案安全的方法與手段,應(yīng)對(duì)不斷變化的檔案安全環(huán)境。[16][17][18][19]
3.6 自主創(chuàng)新原則。加強(qiáng)檔案安全保障方面的關(guān)鍵技術(shù)的研發(fā),密切跟蹤國(guó)際先進(jìn)技術(shù)的發(fā)展,提高自主創(chuàng)新能力,努力做到揚(yáng)長(zhǎng)避短,為我所用。[20][21]
4 構(gòu)建檔案安全保障體系的方案設(shè)計(jì)分析
許多學(xué)者對(duì)檔案安全保障體系的建設(shè)方案提出了自己的設(shè)想,他們從不同的角度切入問題,得出不同的結(jié)論,筆者根據(jù)學(xué)者的研究成果,總結(jié)出一套較為完善的檔案安全保障體系方案。
4.1 安全管理理論。理論從實(shí)踐中取得并能指導(dǎo)實(shí)踐,為實(shí)踐指明前進(jìn)的方向。在先進(jìn)理論的指導(dǎo)下,實(shí)踐往往能取得較好的成果,理論水平的高低因此也往往預(yù)示著現(xiàn)實(shí)中該領(lǐng)域的水平高低。
4.1.1 前端控制。前端控制思想具體到安全保障活動(dòng)中是:檔案安全保障的標(biāo)準(zhǔn)化的建設(shè)與應(yīng)用;為開展安全保障活動(dòng)而制定的計(jì)劃方案、普查活動(dòng);人員配置合理和技術(shù)力量的前期儲(chǔ)備、設(shè)備的選擇和環(huán)境的控制、整個(gè)預(yù)防性安全保障活動(dòng)的監(jiān)督、檢查和評(píng)估;為妥善保管檔案而選擇的裝具、包裝等;事先制訂的應(yīng)急預(yù)案、搶救預(yù)案,等等。[22]
4.1.2 全程管理。全程管理是伴隨著檔案的生命周期而開展的一切安全保障管理活動(dòng)。[23]包括日常維護(hù)、災(zāi)難備份、利用與服務(wù)、恢復(fù)與搶救、質(zhì)量檢查與評(píng)估、風(fēng)險(xiǎn)預(yù)測(cè),等等。[24]
4.1.3 后期監(jiān)督。后期監(jiān)督包括安全保障活動(dòng)的評(píng)估、人員技術(shù)水平的評(píng)估、財(cái)政結(jié)算、開展安全保障活動(dòng)后的總結(jié)報(bào)告、制度、規(guī)范或標(biāo)準(zhǔn)的完善、提供參考性的開展安全保障活動(dòng)的經(jīng)驗(yàn)、方法或模式。[25]
4.1.4 風(fēng)險(xiǎn)管理。構(gòu)建檔案安全的風(fēng)險(xiǎn)管理機(jī)制,依次進(jìn)行安全風(fēng)險(xiǎn)計(jì)劃制訂、風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制、風(fēng)險(xiǎn)報(bào)告以及風(fēng)險(xiǎn)反饋。通過評(píng)估風(fēng)險(xiǎn),識(shí)別判定風(fēng)險(xiǎn)大小,判定每種風(fēng)險(xiǎn)相對(duì)的檔案安全保護(hù)對(duì)策,并通過一定的方式方法進(jìn)行風(fēng)險(xiǎn)控制,規(guī)避、轉(zhuǎn)移或降低風(fēng)險(xiǎn)對(duì)檔案造成的損害。[26][27]
4.1.5 人才教育培養(yǎng)。樹立科學(xué)的人才培養(yǎng)觀,建立科學(xué)合理的檔案安全人才培養(yǎng)體系,建立系統(tǒng)的人才資源培訓(xùn)和貯備機(jī)制,加大人才培養(yǎng)的力度。[28]做到“有計(jì)劃、有重點(diǎn)、分層次、分類型、多形式、多途徑”地開展檔案安全人才的教育和培養(yǎng)。[29]
4.2 安全基礎(chǔ)設(shè)施
4.2.1 實(shí)體安全基礎(chǔ)設(shè)施。檔案實(shí)體安全基礎(chǔ)設(shè)施是指維護(hù)檔案安全、實(shí)施檔案正常管理、保障檔案開發(fā)利用,提供為全社會(huì)方便服務(wù)等工作而進(jìn)行的基礎(chǔ)建設(shè),包括檔案保管環(huán)境、檔案存儲(chǔ)設(shè)施、檔案利用設(shè)備、檔案維護(hù)監(jiān)控設(shè)備、檔案搶救與恢復(fù)設(shè)施等。[30]
4.2.2 信息安全基礎(chǔ)設(shè)施。檔案信息安全基礎(chǔ)設(shè)施是為信息安全服務(wù)的公共設(shè)施,為檔案部門的安全保障體系建設(shè)提供支撐和服務(wù),主要包括:檔案信息系統(tǒng)PKI(網(wǎng)絡(luò)信任體系)、檔案信息災(zāi)備中心、檔案信息系統(tǒng)應(yīng)急響應(yīng)支援中心、檔案信息安全測(cè)評(píng)認(rèn)證中心、檔案信息安全服務(wù)中心(外包服務(wù))、檔案信息安全執(zhí)法中心等。[31]
4.3 安全策略
4.3.1 實(shí)體安全策略。實(shí)體安全必須具備環(huán)境安全、設(shè)備安全和介質(zhì)安全等物理支撐環(huán)境,注重環(huán)境防范、設(shè)備監(jiān)控、介質(zhì)管理、技術(shù)維護(hù)等安全措施的完善,消除安全隱患,確保檔案安全。[32]
4.3.2 管理安全策略。針對(duì)檔案安全的管理需求,在完善人員管理、資源管理、利用服務(wù)、重點(diǎn)部位維護(hù)、災(zāi)害防范、突發(fā)事件應(yīng)急處置、專業(yè)人才教育培訓(xùn)的基礎(chǔ)上,建立健全安全管理機(jī)制和制度,并結(jié)合管理技術(shù),形成一套比較完備的檔案安全管理保障體系。[33][34]
4.3.3 網(wǎng)絡(luò)系統(tǒng)安全策略。強(qiáng)化操作系統(tǒng)、數(shù)據(jù)庫服務(wù)系統(tǒng)的漏洞修補(bǔ)和安全加固,對(duì)關(guān)鍵業(yè)務(wù)的服務(wù)器建立嚴(yán)格的審核機(jī)制;合理劃分安全域及邊界,建立有效的訪問控制制度;通過實(shí)施數(shù)據(jù)源隱藏,結(jié)構(gòu)化和縱深化區(qū)域防御消防黑客入侵、非法訪問、系統(tǒng)缺陷、病毒等安全隱患,保證檔案系統(tǒng)的持續(xù)、穩(wěn)定、可靠運(yùn)行。[35][36][37]
4.4 安全技術(shù)。技術(shù)是影響檔案安全的關(guān)鍵因素,檔案安全技術(shù)是多方面、多層次的,包含預(yù)防、保護(hù)、修復(fù)和維護(hù)等技術(shù),可以有效保證檔案安全。
4.4.1 基于實(shí)體的保護(hù)技術(shù)。主要有:①各類檔案載體的管理與保護(hù)技術(shù);②檔案損壞的測(cè)試與評(píng)估技術(shù);③受損檔案的修復(fù)技術(shù)。[38]
4.4.2 基于環(huán)境的防護(hù)技術(shù)。主要有:①庫房建筑標(biāo)準(zhǔn)與圍護(hù)結(jié)構(gòu)功能的設(shè)計(jì)、施工和實(shí)施;②檔案保管的設(shè)備設(shè)施和有效裝具;③檔案庫房和利用環(huán)境的監(jiān)測(cè)技術(shù);④溫濕度調(diào)節(jié)與控制技術(shù);⑤有害因素的控制和防護(hù)技術(shù)。[39]
4.4.3 基于信息的安全技術(shù)。主要有:①系統(tǒng)安全技術(shù):操作系統(tǒng)安全和安全審計(jì)技術(shù)等;②數(shù)據(jù)安全技術(shù):數(shù)據(jù)加密技術(shù)、應(yīng)急響應(yīng)技術(shù)、數(shù)據(jù)備份與容災(zāi)技術(shù)、基于內(nèi)容的信息安全技術(shù)和數(shù)據(jù)庫安全技術(shù)等;③網(wǎng)絡(luò)安全技術(shù):防火墻技術(shù)、防病毒技術(shù)、漏洞掃描技術(shù)、入侵檢測(cè)技術(shù)、物理隔離技術(shù)、服務(wù)技術(shù)、網(wǎng)絡(luò)監(jiān)控技術(shù)和虛擬網(wǎng)技術(shù)等;④用戶安全技術(shù):身份認(rèn)證技術(shù)、數(shù)字簽名技術(shù)和訪問控制技術(shù)等。[40]
4.4.4 基于災(zāi)害的保護(hù)技術(shù)。主要有:①災(zāi)害的預(yù)警與防范技術(shù);②檔案災(zāi)害的應(yīng)急處置技術(shù);③檔案次生危害的防范技術(shù);④災(zāi)后受損檔案的搶救與恢復(fù)技術(shù)。[41]
4.5 安全法規(guī)制度。完善的檔案安全法律法規(guī)和制度是保障檔案安全的基石,只有不斷制定和完善檔案安全法規(guī)制度,才能做到有法可依、違法必究,才能更好地維護(hù)檔案的安全。[42]
4.5.1 制定并遵循法規(guī)標(biāo)準(zhǔn)。各地方應(yīng)根據(jù)國(guó)家標(biāo)準(zhǔn),結(jié)合本地區(qū)、本系統(tǒng)、本單位的具體情況,制定相應(yīng)的規(guī)范和標(biāo)準(zhǔn),以使檔案安全管理規(guī)范化和標(biāo)準(zhǔn)化。[43]
4.5.2 建立健全檔案安全管理制度。包括:檔案歸檔安全制度、檔案整理安全制度、檔案查閱利用安全制度、檔案日常管理維護(hù)制度、檔案保密制度、檔案信息安全管理制度、檔案鑒定和銷毀制度、檔案資料出入庫管理制度以及重要檔案異地、異質(zhì)備份制度;[44]受損檔案搶救制度、電子檔案信息安全制度以及檔案安全行政責(zé)任制等。
4.5.3 建立完善檔案安全管理機(jī)制。包括:信息交換機(jī)制、法律保障機(jī)制、日常防范機(jī)制、災(zāi)害預(yù)警機(jī)制、應(yīng)急處置機(jī)制、[45]組織建設(shè)機(jī)制、制度建設(shè)機(jī)制、風(fēng)險(xiǎn)管理機(jī)制、人員管理機(jī)制等。
4.6 安全保護(hù)效果評(píng)價(jià)。對(duì)檔案安全保障體系評(píng)價(jià)的目的,是對(duì)檔案安全保障體系的有效性進(jìn)行評(píng)估。[46]首先,確定待評(píng)價(jià)系統(tǒng)的范圍,選擇適當(dāng)?shù)脑u(píng)價(jià)方法,確定適當(dāng)?shù)脑u(píng)價(jià)指標(biāo)。然后,收集有關(guān)數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析,得出評(píng)價(jià)結(jié)果,再進(jìn)行持續(xù)改進(jìn),以不斷提高檔案安全保障體系及其具體過程中的有效性和效率。[47]
4.6.1 評(píng)價(jià)方法。根據(jù)被評(píng)價(jià)對(duì)象本身的特性,在遵循客觀性、可操作性和有效性原則的基礎(chǔ)上選擇合適的評(píng)價(jià)方法。目前,存在的綜合評(píng)價(jià)方法有:屬性融為一體評(píng)價(jià)方法、模糊綜合評(píng)價(jià)方法、基于灰色理論的評(píng)價(jià)方法、基于粗糙集理論的評(píng)價(jià)方法。[48]
4.6.2 評(píng)價(jià)指標(biāo)。根據(jù)國(guó)內(nèi)外的檔案安全評(píng)估標(biāo)準(zhǔn),國(guó)家對(duì)檔案安全的基本要求,綜合考慮影響檔案安全的各種因素,建立檔案安全評(píng)價(jià)指標(biāo)體系。包括:①物理安全評(píng)價(jià)指標(biāo):環(huán)境安全評(píng)價(jià)、設(shè)備安全評(píng)價(jià)、載體安全評(píng)價(jià);[49]②管理安全評(píng)價(jià)指標(biāo):規(guī)章制度評(píng)價(jià)、工作流程評(píng)價(jià)、管理措施評(píng)價(jià)、業(yè)務(wù)技術(shù)評(píng)價(jià);③技術(shù)安全評(píng)價(jià)指標(biāo):保護(hù)技術(shù)評(píng)價(jià)、網(wǎng)絡(luò)技術(shù)評(píng)價(jià)。[50]
5 結(jié)語
縱觀學(xué)者對(duì)檔案安全保障體系的研究,研究角度和切入點(diǎn)各有不同,觀點(diǎn)紛呈,但還是缺乏深入、系統(tǒng)的研究,有待于我們進(jìn)一步思考、探討。
注:本文是河南省檔案局科技項(xiàng)目《檔案安全保障體系現(xiàn)狀調(diào)查》(項(xiàng)目編號(hào):2011-B-51)階段性成果之一。
參考文獻(xiàn):
[1]張照余.對(duì)建設(shè)檔案安全保障體系的幾點(diǎn)認(rèn)識(shí)[J]. 浙江檔案,2011(1):36~39.
[2][6][24]張美芳,王良城.檔案安全保障體系建設(shè)研究[J].檔案學(xué)研究,2010(1):62~65.
[3][5][7][33][41]彭遠(yuǎn)明.檔案安全保障體系構(gòu)建及其實(shí)現(xiàn)策略研究[J].上海檔案,2011(4):14~17.
[4][12][15]楊安蓮.論電子文件信息安全保障體系的構(gòu)建[J].檔案學(xué)研究,2010(10):75~78.
[8] [13] [17]張艷欣.檔案安全保障管理機(jī)構(gòu)的構(gòu)建[J].檔案管理,2010(5):7~9.
[9][14][16][29]王茹熠.數(shù)字檔案信息安全防護(hù)對(duì)策分析[D].哈爾濱:黑龍江大學(xué),2009.
[10 ][18][19]黃昌瑛.電子檔案信息安全保障策略研究[D]. 福州:福建師范大學(xué),2007.
[11][20][21]張勇.數(shù)字檔案信息安全保障體系研究[D].蘇州:蘇州大學(xué),2007.
[22][23][25]張美芳,董麗華,金彤.檔案安全保障體系的構(gòu)建[J].中國(guó)檔案,2010(4):20~21.
[26]陳國(guó)云.從風(fēng)險(xiǎn)管理的視角探討電子文件安全管理問題[J].北京檔案,2008(6):16~18.
[27]張迎春.檔案安全保障體系研究[D].安徽大學(xué),2011
[28]方國(guó)慶.數(shù)字檔案信息安全保障體系建設(shè)中的問題與策略[J].機(jī)電兵船檔案,2010(5):59~61.
[30]王良城.檔案安全保障體系建設(shè)基本任務(wù)探析[J].中國(guó)檔案,2010(4):18~19.
[31] [40]項(xiàng)文新.檔案信息安全保障體系框架研究[J].檔案學(xué)研究,2010(2):68~73.
[32][38]許桂清,李映天.檔案信息安全保障體系的建設(shè)與思考[J].檔案學(xué)研究,2010(3):54~58.
[34]冉君宜.抓好“五個(gè)必須”構(gòu)建檔案安全保障體系[J].辦公室業(yè)務(wù),2010(9):55~56.
[35]陳慰湧,金更達(dá).數(shù)字檔案館系統(tǒng)安全策略研究[J].浙江檔案,2008(7):21~24.
[36]王凡,朱良兵.檔案安全保障體系建設(shè)實(shí)踐[J].貴州水力發(fā)電,2010(12):76~78.
[37]周向陽.電子檔案信息安全保障體系建設(shè)的研究[J].機(jī)電兵船檔案,2010(5):64~66.
[39]金玉蘭.關(guān)于加強(qiáng)檔案安全保障體系建設(shè)的思想[J].北京檔案.2010(8):22~23.
[42]曹書芝.網(wǎng)絡(luò)背景下檔案信息的安全保障[J].蘭臺(tái)世界,2006(5):2~3.
[43]宗文萍.基于價(jià)值鏈理論的檔案信息安全管理[J].檔案學(xué)研究,2005(1):38~42.
[44]楊冬權(quán).以豐富館藏、提高安全保障能力和公共服務(wù)能力為重點(diǎn),實(shí)現(xiàn)檔案館事業(yè)跨越——在全國(guó)檔案館工作會(huì)議上講話[J].檔案學(xué)研究,2009(6):23~29.
[45]卞咸杰.論檔案信息安全保障機(jī)制的建立與完善[J].2007(6):18~20.
[46][50]方婷,吳雁平.檔案安全保障指標(biāo)體系建設(shè)研究[J].檔案管理,2011(6):12~15.
[47]田淑華.電子檔案信息安全管理研究[D].太原:中北大學(xué),2009.
關(guān)鍵詞: 高職教育; 應(yīng)用型人才; 司法信息安全; 人才培養(yǎng)
中圖分類號(hào):G710 文獻(xiàn)標(biāo)志碼:A 文章編號(hào):1006-8228(2014)10-30-02
Discussion on applied talent cultivation of judicial information security
Huang Shaorong
(Guangdong Justice Police Vocational College, Guangzhou, Guangdong 510520, China)
Abstract: Based on analysis of the social demands for information security talents, the importance of training applied information security talent is pointed out. According to the characteristics of the judicial information security talents of vocational education, some advice is presented in curriculum system, construction of teachers and professional certifications. Its cultured goal is to train higher technology applied talents that are needed, good at theory and application.
Key words: higher vocational education; applied talent; judicial information security; talent cultivation
0 引言
在云計(jì)算和大數(shù)據(jù)技術(shù)快速發(fā)展的形勢(shì)下,信息安全問題日顯突出,信息安全形勢(shì)持續(xù)惡化,信息安全事故不斷發(fā)生,信息安全建設(shè)已經(jīng)成為維護(hù)國(guó)家安全和社會(huì)穩(wěn)定的一個(gè)焦點(diǎn)。目前,我國(guó)信息安全產(chǎn)業(yè)已經(jīng)取得巨大成果,國(guó)家已制定了互聯(lián)網(wǎng)方面的法律、行政法規(guī)、部門規(guī)章與地方性法規(guī)270多部,對(duì)信息和網(wǎng)絡(luò)安全保護(hù)起到一定的作用,但信息安全形勢(shì)仍然嚴(yán)峻,主要存在的問題包括:信息安全技術(shù)發(fā)展和相關(guān)法律法規(guī)制訂滯后、信息安全科研和教育落后、信息安全人才存在巨大缺口[1]。信息安全專業(yè)人才是當(dāng)前社會(huì)急需的專業(yè)人才,在許多領(lǐng)域需要大量掌握直接技能型知識(shí)、有更具體實(shí)踐能力、動(dòng)手能力強(qiáng)的應(yīng)用型專業(yè)人才。因此,高職院校應(yīng)加大信息安全人才培養(yǎng)力度,積極培養(yǎng)有良好職業(yè)道德和法律意識(shí)、有全面信息安全專業(yè)知識(shí)、能夠防范計(jì)算機(jī)犯罪的專業(yè)執(zhí)法人才和計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用與安全管理方面的應(yīng)用型技術(shù)人才。
1 司法信息安全專業(yè)特點(diǎn)
“七分管理,三分技術(shù)”,信息安全不僅是單純的技術(shù)問題,而是法律、管理和技術(shù)等問題相結(jié)合的產(chǎn)物,法律和管理在司法信息安全專業(yè)中發(fā)揮著重要作用。在對(duì)社會(huì)需求、行業(yè)需要、就業(yè)市場(chǎng)進(jìn)行廣泛調(diào)查,明確了人才需求情況的基礎(chǔ)上,浙江警官學(xué)院、廣東司法警官職業(yè)學(xué)院和北京政法職業(yè)學(xué)院等警察類高職院校先后開設(shè)了司法信息安全專業(yè)。
司法信息安全專業(yè)主要面向政法機(jī)關(guān)、行政機(jī)關(guān)和各類經(jīng)濟(jì)管理部門,以及企事業(yè)單位的網(wǎng)絡(luò)管理中心、信息中心和信息安全部門,培養(yǎng)能夠從事計(jì)算機(jī)信息管理與維護(hù)、網(wǎng)絡(luò)管理與維護(hù)、信息安全設(shè)備維護(hù)和數(shù)據(jù)庫系統(tǒng)的開發(fā)與維護(hù)等技術(shù)工作和信息安全管理工作的人才。該專業(yè)的學(xué)生不僅要有信息安全技術(shù)專業(yè)知識(shí),而且要有法律法規(guī)等多方面的素養(yǎng),畢業(yè)后能夠在政府部門、商業(yè)、軍事等信息安全防范工程應(yīng)用領(lǐng)域及信息安全防范工程行業(yè)的企、事業(yè)單位從事網(wǎng)絡(luò)信息安全工作。
司法信息安全專業(yè)的學(xué)生通過三年學(xué)習(xí),必須具備如下三方面的能力。
⑴ 基本素質(zhì) 具有較強(qiáng)的思維能力、語言文字表達(dá)能力和應(yīng)變能力;具有良好的溝通、協(xié)作和公共關(guān)系協(xié)調(diào)能力;具備一般軍事隊(duì)列指揮、擒拿格斗、防身自衛(wèi)及機(jī)動(dòng)車駕駛等警體技能;具有較高的英語應(yīng)用能力。
⑵ 信息安全處理能力 ①計(jì)算機(jī)操作能力:具有較好的專業(yè)理論基礎(chǔ)和較強(qiáng)的計(jì)算機(jī)安全意識(shí),能夠操作和維護(hù)計(jì)算機(jī)信息系統(tǒng)。②信息安全和網(wǎng)絡(luò)安全維護(hù)能力:掌握網(wǎng)絡(luò)的基本原理,熟練應(yīng)用網(wǎng)絡(luò)安全防范技術(shù)、信息處理技術(shù),能進(jìn)行網(wǎng)絡(luò)設(shè)備的日常維護(hù)、局域網(wǎng)絡(luò)的設(shè)計(jì)實(shí)施和網(wǎng)絡(luò)安全的監(jiān)測(cè)及防范工作。③數(shù)據(jù)處理等能力:具有一定的數(shù)學(xué)推理和編程能力,能夠用數(shù)據(jù)庫解決基層部門的數(shù)據(jù)統(tǒng)計(jì)、管理等問題。
⑶ 法律與警察崗位基本能力 掌握我國(guó)有關(guān)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)的法律、法規(guī),具有較高的執(zhí)法能力;掌握計(jì)算機(jī)與計(jì)算機(jī)安全犯罪的特點(diǎn),能夠主動(dòng)采取相應(yīng)的技術(shù)防范措施。
2 課程體系建設(shè)
司法信息安全專業(yè)培養(yǎng)的是法律與信息安全的復(fù)合型、應(yīng)用型人才,圍繞司法信息安全專業(yè)的核心目標(biāo)以及畢業(yè)生的能力要求,課程體系設(shè)置必須以“強(qiáng)化能力,突出應(yīng)用”為思想,以就業(yè)為導(dǎo)向,以崗位職業(yè)能力為主線[2]。我們根據(jù)社會(huì)需求設(shè)計(jì)課程體系和教學(xué)大綱,及時(shí)引入行業(yè)的最新技術(shù),突出職業(yè)教育的應(yīng)用實(shí)踐性。注重法律基礎(chǔ)知識(shí),突出信息安全技術(shù)的專業(yè)性。
司法信息安全技術(shù)課程群建設(shè)可以從法律和信息安全技術(shù)專業(yè)的課程上進(jìn)行外延和拓展,課程體系的設(shè)置可分為基本素質(zhì)課程、職業(yè)核心能力課程、專業(yè)基礎(chǔ)課、專業(yè)核心課程和拓展課程等。
⑴ 基本素質(zhì)課程 包括大學(xué)生健康教育、大學(xué)英語、大學(xué)語文、形式邏輯、思想道德修養(yǎng)與法律基礎(chǔ)、思想與理論體系概論、廉政教育、大學(xué)生就業(yè)指導(dǎo)、形勢(shì)與政策、普通體育、警用槍械。
⑵ 職業(yè)核心能力課程 包括職業(yè)溝通、司法口才、禮儀訓(xùn)練、畢業(yè)項(xiàng)目設(shè)計(jì)與論文。
⑶ 專業(yè)基礎(chǔ)課 包括法理、刑法、憲法、刑事訴訟法、網(wǎng)絡(luò)信息安全法規(guī)、高等數(shù)學(xué)、計(jì)算機(jī)導(dǎo)論、數(shù)據(jù)結(jié)構(gòu)、操作系統(tǒng)、多媒體技術(shù)及應(yīng)用、計(jì)算機(jī)組裝與維護(hù)、程序設(shè)計(jì)、數(shù)據(jù)庫技術(shù)與應(yīng)用、安全防范技術(shù)與應(yīng)用、動(dòng)態(tài)網(wǎng)頁設(shè)計(jì)。
⑷ 專業(yè)核心課程 包括計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)、信息安全技術(shù)應(yīng)用、網(wǎng)絡(luò)監(jiān)控、電子取證、加密技術(shù)。
⑸ 拓展課程 包括軟件工程、網(wǎng)站建設(shè)與維護(hù)、信息檢索技術(shù)、警察業(yè)務(wù)、應(yīng)用文寫作。
這樣培養(yǎng)出來的學(xué)生即能從事法律方面的工作也能從事信息安全技術(shù)方面的工作,為學(xué)生提供了更多的就業(yè)機(jī)會(huì)和進(jìn)一步的發(fā)展空間。在教學(xué)時(shí)間安排上,由于教學(xué)內(nèi)容比較多,課內(nèi)教學(xué)時(shí)數(shù)中包括有大量的實(shí)踐性教學(xué),實(shí)踐課教學(xué)時(shí)數(shù)占總學(xué)時(shí)數(shù)50%以上[3]。
3 實(shí)踐教學(xué)體系建設(shè)
司法信息安全是一個(gè)實(shí)踐性非常強(qiáng)的專業(yè),許多安全技術(shù)和方法必須在實(shí)踐過程中才能認(rèn)識(shí)和掌握,實(shí)驗(yàn)、實(shí)訓(xùn)、實(shí)習(xí)是實(shí)踐教學(xué)的三個(gè)重要環(huán)節(jié)。在課程體系建設(shè)中,為了突出高職教育的應(yīng)用性,我們開設(shè)了大量的實(shí)踐類課程,包括計(jì)算機(jī)組裝C語言程序設(shè)計(jì)實(shí)踐、數(shù)據(jù)結(jié)構(gòu)實(shí)驗(yàn)及課程設(shè)計(jì)、操作系統(tǒng)課程設(shè)計(jì)、數(shù)據(jù)庫實(shí)驗(yàn)及課程設(shè)計(jì)、計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)實(shí)驗(yàn)、網(wǎng)絡(luò)課程設(shè)計(jì)、網(wǎng)絡(luò)安全技術(shù)仿真實(shí)驗(yàn)、網(wǎng)站建設(shè)綜合實(shí)訓(xùn)等[4]。
高職院校的實(shí)訓(xùn)中心是組織實(shí)踐教學(xué)、強(qiáng)化技能培養(yǎng)、實(shí)現(xiàn)人才培養(yǎng)目標(biāo)的重要場(chǎng)所。為切實(shí)保障實(shí)踐教學(xué)的順利進(jìn)行,給信息化人才提供先進(jìn)的實(shí)踐場(chǎng)所,必須完善專業(yè)核心能力培養(yǎng)所需場(chǎng)地與設(shè)施,積極推進(jìn)實(shí)訓(xùn)基地建設(shè),建立信息安全綜合實(shí)訓(xùn)中心(包括信息安全綜合實(shí)訓(xùn)室、網(wǎng)絡(luò)安全攻防實(shí)驗(yàn)室、網(wǎng)絡(luò)應(yīng)用實(shí)訓(xùn)室、數(shù)據(jù)分析綜合實(shí)訓(xùn)室、電子物證鑒定設(shè)備、電子商務(wù)實(shí)訓(xùn)室、計(jì)算機(jī)基礎(chǔ)實(shí)訓(xùn)室、電子數(shù)據(jù)取證實(shí)訓(xùn)室等)和提高司法能力的實(shí)訓(xùn)環(huán)境(如三維模擬監(jiān)控實(shí)訓(xùn)室、模擬監(jiān)所現(xiàn)場(chǎng)、亞偉速錄室、模擬法庭、安全監(jiān)控實(shí)訓(xùn)室、刑事照相實(shí)驗(yàn)室等),形成系統(tǒng)的實(shí)訓(xùn)環(huán)境。
對(duì)于比較復(fù)雜的信息安全實(shí)驗(yàn),需要的設(shè)備較多,如果目前的教學(xué)條件不能滿足大量學(xué)生進(jìn)行并發(fā)實(shí)驗(yàn),也可以采用虛擬實(shí)驗(yàn),借助多媒體、仿真和虛擬現(xiàn)實(shí)等技術(shù)在計(jì)算機(jī)上營(yíng)造可輔助、部分替代甚至全部替代傳統(tǒng)實(shí)驗(yàn)各操作環(huán)節(jié)的相關(guān)軟硬件操作環(huán)境,學(xué)生像在真實(shí)環(huán)境中一樣完成各項(xiàng)實(shí)訓(xùn)任務(wù)[5]。
加強(qiáng)校內(nèi)實(shí)訓(xùn)的同時(shí)還要進(jìn)行校外實(shí)踐,學(xué)校應(yīng)積極與企業(yè)合作,建設(shè)穩(wěn)固校價(jià)企合作關(guān)系,聯(lián)系定點(diǎn)的對(duì)口實(shí)習(xí)機(jī)構(gòu),或者建立校外實(shí)訓(xùn)基地,有計(jì)劃地安排學(xué)生到實(shí)習(xí)機(jī)構(gòu)或?qū)嵱?xùn)基地進(jìn)行專業(yè)實(shí)踐,配備校外指導(dǎo)人員,對(duì)學(xué)生實(shí)訓(xùn)、實(shí)習(xí)進(jìn)行指導(dǎo)和考核,把實(shí)踐性教學(xué)落到實(shí)處。同時(shí)引導(dǎo)建立司法行政單位、公安機(jī)關(guān)和企事業(yè)單位接收畢業(yè)生實(shí)習(xí)的制度,為學(xué)生實(shí)現(xiàn)教學(xué)與實(shí)習(xí)結(jié)合提供條件,實(shí)行“教學(xué)實(shí)習(xí)+頂崗實(shí)習(xí)”的實(shí)習(xí)模式,為培養(yǎng)學(xué)生的職業(yè)素質(zhì)和職業(yè)能力提供了有效的保障。
4 師資隊(duì)伍建設(shè)
教師資源是學(xué)校辦學(xué)資源中最為關(guān)鍵的部分,建設(shè)一支雙師型的教師隊(duì)伍是高職教育發(fā)展必不可缺的重要條件[6]。信息安全技術(shù)快速更新,這就要求專業(yè)教師要掌握信息學(xué)科的多個(gè)領(lǐng)域及物理等學(xué)科的知識(shí),而且還要不斷跟蹤信息安全的最新動(dòng)態(tài)。學(xué)校應(yīng)組建一支結(jié)構(gòu)合理的司法信息安全教學(xué)團(tuán)隊(duì),促進(jìn)校內(nèi)司法信息安全專業(yè)建設(shè),為專業(yè)教師提供技術(shù)培訓(xùn)和進(jìn)修學(xué)習(xí)的機(jī)會(huì),及時(shí)派送教師進(jìn)行行業(yè)培訓(xùn)以及參加各種學(xué)術(shù)交流會(huì)議,不斷提高專業(yè)水平,更新知識(shí)結(jié)構(gòu)和內(nèi)容,同時(shí)要求教師積極參與科研,倡導(dǎo)教師之間互相學(xué)習(xí)、集體備課、討論交流,進(jìn)一步提高教學(xué)能力。為了提高教師的動(dòng)手能力,學(xué)校還要有計(jì)劃地選派專業(yè)教師到企事業(yè)單位進(jìn)行掛職鍛煉或頂崗實(shí)踐。此外,也可邀請(qǐng)企事業(yè)單位一線專家、技術(shù)人員到學(xué)校承擔(dān)一定的教學(xué)任務(wù),指導(dǎo)學(xué)生實(shí)踐操作,定期為學(xué)生開設(shè)講座或座談會(huì),拓寬學(xué)生的知識(shí)面,提高學(xué)生綜合素質(zhì)。
5 引入職業(yè)資格認(rèn)證
由于專業(yè)設(shè)置的特殊性,要求本專業(yè)的畢業(yè)生除了掌握信息安全防范技術(shù)的專業(yè)技能,還需要具有相應(yīng)的IT行業(yè)從業(yè)資格。在國(guó)家職業(yè)大典中,網(wǎng)絡(luò)信息安全行業(yè)的職業(yè)資格有網(wǎng)絡(luò)技術(shù)人員、網(wǎng)絡(luò)管理員、網(wǎng)絡(luò)工程師、安全防范評(píng)估師、信息安全工程師、數(shù)據(jù)恢復(fù)工程師等,國(guó)家頒發(fā)相應(yīng)的職業(yè)資格證書。高職院校應(yīng)結(jié)合專業(yè),引入適合的職業(yè)資格認(rèn)證,同時(shí)跟企業(yè)合作,完成訂單式人才培養(yǎng)計(jì)劃,通過職業(yè)資格認(rèn)證+訂單培養(yǎng),充分培養(yǎng)學(xué)生的職業(yè)能力[7]。
此外,為了提高教學(xué)質(zhì)量,還必須在以下幾方面繼續(xù)改進(jìn):
⑴ 改革教學(xué)方法,以精品課程、視頻公開課教學(xué)等方法推動(dòng)項(xiàng)目驅(qū)動(dòng)教學(xué)法、分層教學(xué)法、任務(wù)實(shí)訓(xùn)法、案例教學(xué)法和研究性教學(xué)法廣泛采用,建立視頻網(wǎng)站和教學(xué)資源庫,進(jìn)行交互教學(xué),與課堂教學(xué)形成互補(bǔ)。
⑵ 以工作流導(dǎo)向的實(shí)訓(xùn)課程教學(xué)體系為基礎(chǔ),建立課程配套教學(xué)資源庫,并以課程改革推動(dòng)教材建設(shè),編寫基于工作流導(dǎo)向的任務(wù)式實(shí)訓(xùn)模式教材[8]。
⑶ 鼓勵(lì)學(xué)生參加技能大賽,突出學(xué)生的面向應(yīng)用實(shí)踐能力,提高學(xué)生學(xué)習(xí)積極性。
⑷ 改進(jìn)課程考核方式,實(shí)現(xiàn)無紙化考試,重點(diǎn)測(cè)試學(xué)生對(duì)知識(shí)的應(yīng)用能力,以職業(yè)資格認(rèn)證代替學(xué)科考試。
6 結(jié)束語
信息技術(shù)的高速發(fā)展,需要越來越多的信息安全專業(yè)人才,對(duì)其崗位能力的要求也越來越高。警察類高職院校必須從發(fā)展的角度來審視司法信息安全專業(yè),時(shí)刻關(guān)注相關(guān)專業(yè)領(lǐng)域發(fā)展趨勢(shì)和熱點(diǎn),加強(qiáng)高職司法信息安全專業(yè)標(biāo)準(zhǔn)訂制、課程體系建設(shè)、實(shí)踐教學(xué)體系建設(shè)、教學(xué)模式改革、師資隊(duì)伍建設(shè)和實(shí)訓(xùn)基地建設(shè),注重工學(xué)結(jié)合,與企事業(yè)單位形成良性互動(dòng),不斷改進(jìn)人才培養(yǎng)模式,提高人才的理論水平和實(shí)踐技能,培養(yǎng)出真正符合社會(huì)需求的理論水平較高、實(shí)踐能力強(qiáng)的高等技術(shù)應(yīng)用型司法信息安全專業(yè)人才。
參考文獻(xiàn):
[1] 劉任熊,李暢.高職院校信息安全專業(yè)人才培養(yǎng)初探[J].江蘇經(jīng)貿(mào)職
業(yè)技術(shù)學(xué)院學(xué)報(bào),2007.2:79-81
[2] 于璐.高職信息安全專業(yè)應(yīng)用型人才培養(yǎng)模式探討[J].太原城市職業(yè)
技術(shù)學(xué)院學(xué)報(bào),2011.6:26-27
[3] 陳曉明.信息類技術(shù)專業(yè)課程設(shè)置分析與實(shí)現(xiàn)―以“司法信息技術(shù)”
專業(yè)建設(shè)為例[J].計(jì)算機(jī)教育,2010.14:56-60
[4] 蔣文保,李忱.高校信息安全專業(yè)應(yīng)用型人才培養(yǎng)模型探討[J].信息
安全與通信保密,2007.9:172-175
[5] 鄭洪英,廖曉峰,李傳冬等.設(shè)置信息安全專業(yè)教學(xué)體系的探討[J].教
育教學(xué)論壇,2012.9:114-115
[6] 李振汕.高職信息安全技術(shù)專業(yè)課程體系的開發(fā)和設(shè)計(jì)[J].職業(yè)時(shí)
空,2011.7(6):33-35
[7] 沈洋.高職院校信息安全人才能力培養(yǎng)的研究與實(shí)踐[J].廈門城市職
業(yè)學(xué)院學(xué)報(bào),2012.14(2):13-16
【論文摘要】計(jì)算機(jī)網(wǎng)絡(luò)的技術(shù)發(fā)展相當(dāng)迅速。隨著互聯(lián)網(wǎng)上黑客病毒泛溢,網(wǎng)絡(luò)犯罪等威脅日益嚴(yán)重,網(wǎng)絡(luò)安全管理的任務(wù)將會(huì)越來越艱巨和復(fù)雜,抓好網(wǎng)絡(luò)安全問題對(duì)保障網(wǎng)絡(luò)信息安全至關(guān)重要。因此文章對(duì)電子商務(wù)網(wǎng)絡(luò)支付安全問題進(jìn)行探討分析。
0引言
美國(guó)等發(fā)達(dá)國(guó)家,通過Internet進(jìn)行電子商務(wù)的交易已成為潮流。隨著internet的發(fā)展和網(wǎng)絡(luò)基礎(chǔ)設(shè)施的不斷完善,我國(guó)的電子商務(wù)雖已初具規(guī)模,但是安全問題卻成為發(fā)展電子商務(wù)亟待解決的問題。電子商務(wù)過程中,買賣雙方是通過網(wǎng)絡(luò)聯(lián)系的,由于internet是開放性網(wǎng)絡(luò),建立交易雙方的安全和信任關(guān)系較為困難,因此本文對(duì)電子商務(wù)網(wǎng)絡(luò)支付上的安全問題進(jìn)行探討分析。
1電子商務(wù)的概念和特點(diǎn)
1)電子商務(wù)的概念:電子商務(wù)(Electronic Commerce)是通過電信網(wǎng)絡(luò)進(jìn)行的生產(chǎn)、營(yíng)銷、銷售、流通等活動(dòng),不僅是指基于因特網(wǎng)上的交易,而且還指利用電子信息技術(shù)實(shí)現(xiàn)解決問題、降低成本、增加價(jià)值、創(chuàng)造商機(jī)的商務(wù)活動(dòng)[1]。
2)電子商務(wù)的特點(diǎn):(1)電子商務(wù)將傳統(tǒng)的商務(wù)流程電子化、數(shù)字化。不僅以電子流代替了實(shí)物流,大量減少了人力物力,降低了成本;而且突破了時(shí)間空間的限制,使得交易活動(dòng)可在任何時(shí)間、任何地點(diǎn)進(jìn)行,大大提高了效率。(2)電子商務(wù)使企業(yè)能以較低成本進(jìn)入全球電子化市場(chǎng),也使中小企業(yè)可能擁有與大企業(yè)一樣的信息資源,提高了中小企業(yè)的競(jìng)爭(zhēng)能力。(3)電子商務(wù)重新定義了傳統(tǒng)的流通模式,減少了中間環(huán)節(jié),使得生產(chǎn)者和消費(fèi)者的直接交易成為可能,從而一定程度上改變了社會(huì)經(jīng)濟(jì)的運(yùn)行方式。(4)電子商務(wù)提供了豐富的信息資源,為社會(huì)經(jīng)濟(jì)要素的重新組合提供了更多的可能,這將影響到社會(huì)的經(jīng)濟(jì)布局和結(jié)構(gòu)。
2電子商務(wù)安全的技術(shù)體系
1)物理安全。首先根據(jù)國(guó)家標(biāo)準(zhǔn)、信息安全等級(jí)和資金狀況,制定適合的物理安全要求,并經(jīng)建設(shè)和管理達(dá)到相關(guān)標(biāo)準(zhǔn)[2]。再者,關(guān)鍵的系統(tǒng)資源(包括主機(jī)、應(yīng)用服務(wù)器、安全隔離網(wǎng)閘GAP等設(shè)備),通信電路以及物理介質(zhì)(軟/硬磁盤、光盤、IC卡、PC卡等)、應(yīng)有加密、電磁屏蔽等保護(hù)措施,均應(yīng)放在物理上安全的地方。
2)網(wǎng)絡(luò)安全。網(wǎng)絡(luò)安全是電子商務(wù)的基礎(chǔ)。為了保證電子商務(wù)交易順利進(jìn)行,要求電子商務(wù)平臺(tái)要穩(wěn)定可靠,能夠不中斷地提供服務(wù)。系統(tǒng)的任何中斷(如硬件、軟件錯(cuò)誤,網(wǎng)絡(luò)故障、病毒等)都可能導(dǎo)致電子商務(wù)系統(tǒng)不能正常工作,而使貿(mào)易數(shù)據(jù)在確定的時(shí)刻和地點(diǎn)的有效性得不到保證,往往會(huì)造成巨大的經(jīng)濟(jì)損失。
3)商務(wù)安全。主要是指商務(wù)交易在網(wǎng)絡(luò)媒介中出現(xiàn)的安全問題,包括防止商務(wù)信息被竊取、篡改、偽造、交易行為被抵賴,即要實(shí)現(xiàn)電子商務(wù)的保密性、完整性、真實(shí)性、不可抵賴性。商務(wù)安全的各方面也要通過不同的網(wǎng)絡(luò)安全技術(shù)和安全交易標(biāo)準(zhǔn)實(shí)現(xiàn),加解密技術(shù)保證了交易信息的保密性,也解決了用戶密碼被盜取的問題;數(shù)字簽名是實(shí)現(xiàn)對(duì)原始報(bào)文完整性的鑒別,它與身份認(rèn)證和審查系統(tǒng)一起可杜絕交易的偽造和抵賴行為。保證電子商務(wù)安全的主要技術(shù)有:在線支付協(xié)議(安全套接層SSL協(xié)議和安全電子交易SET協(xié)議)、文件加密技術(shù)、數(shù)字簽名技術(shù)、電子商務(wù)認(rèn)證中心(CA)。
4)系統(tǒng)安全。主要是保護(hù)主機(jī)上的操作系統(tǒng)與數(shù)據(jù)庫系統(tǒng)的安全。對(duì)于保護(hù)系統(tǒng)安全,總體思路是:通過安全加固,解決管理方面安全漏洞;然后采用安全技術(shù)設(shè)備,增強(qiáng)其安全防護(hù)能力。
3安全管理過程監(jiān)督
3.1加強(qiáng)全過程的安全管理
1)網(wǎng)絡(luò)規(guī)劃階段,就要加強(qiáng)對(duì)信息安全建設(shè)和管理的規(guī)劃。信息安全建設(shè)需要投入一定的人力、物力、財(cái)力。要根據(jù)狀況實(shí)事求是地確定網(wǎng)絡(luò)的安全總體目標(biāo)和階段目標(biāo)、分段實(shí)施、降低投資風(fēng)險(xiǎn)。2)工程建設(shè)階段,建設(shè)管理單位要將安全需求的匯總和安全性能功能的測(cè)試,列入工程建設(shè)各個(gè)階段工作的重要內(nèi)容,要加強(qiáng)對(duì)開發(fā)(實(shí)施)人員、版本控制的管理,要加強(qiáng)對(duì)開發(fā)環(huán)境、用戶路由設(shè)置、關(guān)鍵代碼的檢查[3]。3)在運(yùn)行維護(hù)階段,要注意以下事項(xiàng):(1)建立有效的安全管理組織架構(gòu),明確職責(zé),理順流程,實(shí)施高效管理。(2)按照分級(jí)管理原則,嚴(yán)格管理內(nèi)部用戶帳號(hào)和密碼,進(jìn)入系統(tǒng)內(nèi)部必須通過嚴(yán)格的身份確認(rèn),防止非法占用、冒用合法用戶帳號(hào)和密碼。(3)制定完善的安全管理制度,加強(qiáng)信息網(wǎng)的操作系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)運(yùn)行維護(hù)過程的安全管理。(4)要建立應(yīng)急預(yù)察體系,建立網(wǎng)絡(luò)安全維護(hù)日志,記錄與安全性相關(guān)的信息及事件,有情況出現(xiàn)時(shí)便于跟蹤查詢,還要定期檢查日志,以便及時(shí)發(fā)現(xiàn)潛在的安全威脅。
3.2建立動(dòng)態(tài)的閉環(huán)管理流程
網(wǎng)絡(luò)處于不斷地建設(shè)和調(diào)整中,可能發(fā)現(xiàn)新的安全漏洞,因此需要建立動(dòng)態(tài)的、閉環(huán)的管理流程。要在整體安全策略的控制和指導(dǎo)下,通過安全評(píng)估和檢測(cè)工具(如漏洞掃描,入侵檢測(cè)等)及時(shí)了解網(wǎng)絡(luò)存在的安全問題和安全隱患,據(jù)此制定安全建設(shè)規(guī)劃和加固方案,綜合應(yīng)用各種安全防護(hù)產(chǎn)品(如防火墻、身份認(rèn)證等手段),將系統(tǒng)調(diào)整到相對(duì)安全的狀態(tài)。并要注意以下兩點(diǎn):1)對(duì)于一個(gè)企業(yè)而言,安全策略是支付信息安全的核心,因此制定明確的有效的安全策略是非常重要的。安全組織要根據(jù)這個(gè)策略制定詳細(xì)的流程、規(guī)章制度、標(biāo)準(zhǔn)和安全建設(shè)規(guī)劃、方案,保證這些系列策略規(guī)范在整個(gè)企業(yè)范圍內(nèi)貫徹實(shí)施,從而保護(hù)企業(yè)的投資和信息資源安全。2)要制定完善的、符合企業(yè)實(shí)際的信息安全策略,就須先對(duì)企業(yè)信息網(wǎng)的安全狀況進(jìn)行評(píng)估,即對(duì)信息資產(chǎn)的安全技術(shù)和管理現(xiàn)狀進(jìn)行評(píng)估,讓企業(yè)對(duì)自身面臨的安全威脅和問題有全面的了解,從而制定針對(duì)性的安全策略,指導(dǎo)信息安全的建設(shè)和管理工作。
4結(jié)束語
本文分析了目前電子商務(wù)網(wǎng)絡(luò)支付安全方面的主要技術(shù)狀況,安全技術(shù)可以說是網(wǎng)絡(luò)技術(shù)中較為尖端的技術(shù),都是非常先進(jìn)的技術(shù)手段;只要運(yùn)用得當(dāng),配合相應(yīng)的安全管理措施,基本能夠保證電子商務(wù)中網(wǎng)絡(luò)支付的安全;但不是100%的絕對(duì)安全,而是相對(duì)安全。隨著網(wǎng)絡(luò)安全技術(shù)的進(jìn)步與信用機(jī)制的完善,網(wǎng)絡(luò)支付定會(huì)越來越安全。
參考文獻(xiàn)
[1]柯新生.網(wǎng)絡(luò)支付與結(jié)算[M].北京:電子工業(yè)出版社,2004.
【關(guān)鍵詞】電子商務(wù) 病毒入侵 黑客攻擊 信息安全
在互聯(lián)網(wǎng)信息技術(shù)飛速發(fā)展的大背景下,電子商務(wù)(簡(jiǎn)稱EC,英文為Electronic Commerce)已逐步演變成人們慣用的商務(wù)活動(dòng)模式,從事互聯(lián)網(wǎng)商業(yè)活動(dòng)的人越來越多。與傳統(tǒng)商務(wù)活動(dòng)對(duì)比,在B/S方式下運(yùn)轉(zhuǎn),兩大主體完成商品交易不受時(shí)間和空間的限制,這也是電子商務(wù)是最大特點(diǎn)。
現(xiàn)如今,我國(guó)正處于網(wǎng)絡(luò)經(jīng)濟(jì)蓬勃發(fā)展的黃金時(shí)代,各個(gè)領(lǐng)域中電子商務(wù)的普及度較高。新型的商業(yè)活動(dòng)形式建立在網(wǎng)絡(luò)的基礎(chǔ)上,保證了商業(yè)活動(dòng)的便捷性和高效性。不過電子商務(wù)在對(duì)企業(yè)運(yùn)管效率進(jìn)一步提升的同時(shí),使企業(yè)的面臨著病毒侵入、黑客攻擊、信息抵賴等問題,導(dǎo)致企業(yè)蒙受巨大虧損。所以,高度關(guān)注安全問題,才能保證電子商務(wù)平臺(tái)利用率提高。本論文以有關(guān)電子商務(wù)環(huán)境為切入點(diǎn),對(duì)展開電子商務(wù)活動(dòng)中出現(xiàn)的信息安全問題進(jìn)行分析,并給出對(duì)應(yīng)的方法和策略。
1 電子商務(wù)中網(wǎng)絡(luò)信息安全所存在的問題
1.1 電子商務(wù)網(wǎng)絡(luò)存在的問題
1.1.1 黑客攻擊
黑客對(duì)網(wǎng)絡(luò)進(jìn)行攻擊是以偷取商業(yè)機(jī)要和攪擾系統(tǒng)正常運(yùn)轉(zhuǎn)為目的,以下是常見的攻擊策略:竊聽;重發(fā)攻擊;迂回攻擊;假冒攻擊;越權(quán)攻擊等。
1.1.2 系統(tǒng)漏洞
侵入到電商系統(tǒng)人員以系統(tǒng)自身存在的安全漏洞為據(jù),將操作系統(tǒng)數(shù)據(jù)的權(quán)限得到。然而,管理系統(tǒng)未實(shí)時(shí)打補(bǔ)丁或者在設(shè)置安全方面一直選取默認(rèn)設(shè)置等原因造成系統(tǒng)產(chǎn)生漏洞。
1.2 電子商務(wù)信息存在的問題
1.2.1 電子商務(wù)信息存儲(chǔ)安全隱患
在靜態(tài)時(shí)儲(chǔ)存電商信息的安全即信息儲(chǔ)存安全。其信息安全隱患主要包括:篡改信息內(nèi)容和非授權(quán)調(diào)用信息。
1.2.2 電子商務(wù)信息傳輸安全隱患
在運(yùn)轉(zhuǎn)電子商務(wù)時(shí),資金流、物流匯集成信息流之后傳送流程中的安全即信息傳送安全。它主要涵蓋以下四種安全隱患:
(1)盜取商業(yè)機(jī)密。大部分是以明文的形式來傳送電子商務(wù)信息,那么襲擊網(wǎng)絡(luò)的不法分子就極易截取或者監(jiān)聽電商信息;
(2)對(duì)商務(wù)網(wǎng)站施以攻擊。攻擊者運(yùn)用計(jì)算機(jī)病毒傳送,屏蔽掉電商網(wǎng)站設(shè)置的防火墻,更改信息,使網(wǎng)站癱瘓;
(3)實(shí)行商務(wù)欺詐。非法人員將虛假信息到Internet上去,詐騙現(xiàn)金、賬號(hào),導(dǎo)致用戶信任電子商務(wù)活動(dòng)的信賴度降低,在很大程度上對(duì)電子商務(wù)順利開展起阻礙作用;
(4)不良信息的傳送。非法人員為了實(shí)現(xiàn)自己的目標(biāo),把不良信息滲透到電子商務(wù)信息中。
2 應(yīng)對(duì)電子商務(wù)中信息安全問題的對(duì)策
2.1 提高網(wǎng)絡(luò)信息安全意識(shí)
相比于西方l達(dá)國(guó)家,國(guó)內(nèi)用戶網(wǎng)絡(luò)信息安全意識(shí)薄弱,忽視了自我權(quán)益的保護(hù)。再加上我國(guó)尚未建立完善的網(wǎng)絡(luò)信息安全監(jiān)管機(jī)制,出現(xiàn)安全事件之后無法及時(shí)采取相應(yīng)的補(bǔ)救措施,這些都是威脅信息安全的主要因素。故此,在信息安全中,防范人為因素導(dǎo)致信息非安全問題是重要內(nèi)容。解決這一問題的關(guān)鍵在于為從事電子商務(wù)的用戶展開安全知識(shí)培訓(xùn)活動(dòng),確保用戶充分認(rèn)識(shí)信息安全的重要性,對(duì)信息安全常識(shí)了如指掌,進(jìn)而降低電子商務(wù)中產(chǎn)生信息安全事件的幾率。
2.2 加強(qiáng)信息安全的技術(shù)防范
將來網(wǎng)絡(luò)安全技術(shù)會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)所有層次中滲透,不過以電子商務(wù)安全防范技術(shù)為中心的網(wǎng)絡(luò)技術(shù)成為最近幾年研究的重要方向。以我國(guó)電子商務(wù)出現(xiàn)的安全問題為依據(jù),可采取防火墻、虛擬專用網(wǎng)及認(rèn)證、加密、安全審計(jì)、追蹤黑客、檢測(cè)系統(tǒng)漏洞等技術(shù)應(yīng)對(duì)信息安全。另外還可以將加密路由器、翻譯網(wǎng)絡(luò)地址、動(dòng)態(tài)包過濾、VPN等技術(shù)充分運(yùn)用起來,確保構(gòu)建一系列嚴(yán)實(shí)的安全防線將受保護(hù)資源與攻擊人員隔開。
2.3 強(qiáng)化網(wǎng)絡(luò)信息安全管理
信息安全管理在我國(guó)來說十分薄弱,面臨著管理能力弱且信息安全意識(shí)極其欠缺的問題。政府授權(quán)的第三方認(rèn)證中心構(gòu)建是電商信息安全管理中形式有效的一個(gè)方式,即用該認(rèn)證中心來負(fù)責(zé)電子商務(wù)交易中的兩者主體的信息安全,保證整個(gè)交易流程的安全性和可靠性。
2.4 完善電子商務(wù)立法與信息安全立法
當(dāng)前,我國(guó)正處于電子商務(wù)信息機(jī)制初級(jí)階段,只有在信用法制建設(shè)深入強(qiáng)化的大環(huán)境中,才能確保信息機(jī)制最大限度的施展其能力。故此,應(yīng)當(dāng)以國(guó)內(nèi)電子商務(wù)安全問題為依據(jù),不但要使現(xiàn)行法律的管理范疇擴(kuò)大和加強(qiáng),還要加大信息安全與電子商務(wù)立法的力度。另外還應(yīng)當(dāng)對(duì)第三方信用保證進(jìn)行設(shè)置并使其得到強(qiáng)化,務(wù)必由商務(wù)、商檢認(rèn)證中心、銀行共同協(xié)作才可確保交易不受阻礙。
3 結(jié)束語
本文以電子商務(wù)信息安全有關(guān)環(huán)境為切入點(diǎn),對(duì)電商中出現(xiàn)的網(wǎng)信問題進(jìn)行探析,并將用戶網(wǎng)信安全意識(shí)增強(qiáng)、加大網(wǎng)信安全管理力度、加大防范信息安全技術(shù)應(yīng)用力度、健全信息安全和電子商務(wù)立法這四種策略,以期解決電子商務(wù)中出現(xiàn)的安全問題。電子商務(wù)安全性是一項(xiàng)龐大、系統(tǒng)的工程,要從技術(shù)和法律上加大保護(hù)力度,只有將電商中出現(xiàn)的所有安全問題一并處理好才能使電子商務(wù)更好的服務(wù)于用戶。
參考文獻(xiàn)
[1]田迎華,楊敬松,周敏.3G時(shí)代移動(dòng)電子商務(wù)安全問題研究[J].情報(bào)科學(xué),2010(10):1487-1490.
[2]王立萍.商業(yè)銀行電子商務(wù)安全風(fēng)險(xiǎn)管理研究[J].中南財(cái)經(jīng)政法大學(xué)學(xué)報(bào),2007(01):75-79+144.
[3]張濱,馮運(yùn)波,吳秦建,江為強(qiáng),喬矗王馨裕,楊明,何鵬.移動(dòng)電子商務(wù)安全技術(shù)與應(yīng)用實(shí)踐[J].通信學(xué)報(bào),2016(04):200.
[4]孫鴻飛,張海濤,宋拓,武慧娟.電子商務(wù)個(gè)性化信息服務(wù)用戶滿意影響因素實(shí)證研究[J].情報(bào)雜志,2016(04):195-203.
[5]何培育.電子商務(wù)環(huán)境下個(gè)人信息安全危機(jī)與法律保護(hù)對(duì)策探析[J].河北法學(xué),2014(08):34-41.
[6]王興泉,張寧.移動(dòng)電子商務(wù)時(shí)代的信息安全與信息保護(hù)[J].蘭州學(xué)刊,2014(12):175-180.
[7]姚梅芳,楊修,楊涵.電子商務(wù)環(huán)境下信息管理模式研究[J].圖書情報(bào)工作,2013(05):46-49.
論文摘要:當(dāng)前,我國(guó)電子商務(wù)建設(shè)中以技術(shù)為主的安全管理體制,忽視了人員對(duì)電子商務(wù)的安全影響。但近幾年案例表明:企業(yè)缺乏針對(duì)內(nèi)部人員的系統(tǒng)安全管理體制,是導(dǎo)致網(wǎng)絡(luò)交易過程中泄密和企業(yè)利益損失的主要原因。本文重點(diǎn)分析了企業(yè)在電子商務(wù)安全管理體制方面存在的不足和原因,提出了一些加強(qiáng)人員安全管理的建議,為我國(guó)電子商務(wù)企業(yè)的安全管理提供借鑒。
1、問題的提出
作為一種新的經(jīng)濟(jì)模式,電子商務(wù)以高效、便捷、方便的優(yōu)勢(shì)和全新的企業(yè)經(jīng)營(yíng)理念、經(jīng)營(yíng)手段、經(jīng)營(yíng)環(huán)境吸引著廣大用戶,為世界經(jīng)濟(jì)賦予了無限的發(fā)展空間。隨著電子商務(wù)應(yīng)用范圍的日益擴(kuò)大,針對(duì)電子商務(wù)的各種犯罪活動(dòng)也19益猖獗。國(guó)內(nèi)外調(diào)查顯示…,52.26%的用戶最關(guān)心的是網(wǎng)上交易的安全可靠性,超過6O%的人由于擔(dān)心電子商務(wù)的安全問題而不愿進(jìn)行網(wǎng)上購(gòu)物。加強(qiáng)電子商務(wù)實(shí)施過程中的安全管理已經(jīng)成為促進(jìn)電子商務(wù)高速發(fā)展的重要因素。
電子商務(wù)的安全,可分為技術(shù)安全和管理安全兩種類型。所謂技術(shù)安全,是指通過各種黑客手段竊取企業(yè)的用戶lD、密碼以及相關(guān)的機(jī)密文件,甚至網(wǎng)絡(luò)銀行帳號(hào)、密碼等,給企業(yè)造成經(jīng)濟(jì)損失。而管理安全則是指缺乏對(duì)參與電子商務(wù)過程中各個(gè)環(huán)節(jié)的人員的管理預(yù)防手段,最終導(dǎo)致的電子商務(wù)安全事件。從美國(guó)的花旗銀行和中央情報(bào)局到中國(guó)的某家國(guó)有商業(yè)銀行,都有過由于內(nèi)部人員的違規(guī)和違法操作,導(dǎo)致數(shù)據(jù)被篡改和泄密的事件發(fā)生。
近幾年的電子商務(wù)安全案件表明:人員是網(wǎng)上交易安全管理中的最薄弱的環(huán)節(jié),近年來我國(guó)計(jì)算機(jī)犯罪大都呈現(xiàn)內(nèi)部犯罪的趨勢(shì),有的競(jìng)爭(zhēng)對(duì)手利用企業(yè)招募新人的方式潛入對(duì)方企業(yè),或利用不正當(dāng)?shù)姆绞绞召I企業(yè)網(wǎng)絡(luò)交易管理人員。有的電子商務(wù)從業(yè)人員從本企業(yè)辭職后,迅速把客戶資料、產(chǎn)品研發(fā)成果等機(jī)密出售給競(jìng)爭(zhēng)對(duì)手,給企業(yè)帶來了不必要的經(jīng)濟(jì)損失。
2、原因分析
電子商務(wù)信息安全已經(jīng)引起很多企業(yè)的重視,但大多數(shù)企業(yè)往往側(cè)重于加強(qiáng)技術(shù)措施,如購(gòu)買先進(jìn)的防火墻軟件,采用更高級(jí)的加密方法等,很多企業(yè)認(rèn)為:員工泄密的安全事故只是偶然現(xiàn)象,很少?gòu)娜藛T管理的角度來探討出現(xiàn)這些事故的根本原因。“重技術(shù)、輕管理”是當(dāng)前很多電子商務(wù)企業(yè)的通病。由于管理手段不到位,很多先進(jìn)的安全技術(shù)無法發(fā)揮應(yīng)有的效能。之所以出現(xiàn)上述問題,主要有以下原因:
首先,很多企業(yè)管理高層對(duì)人員管理在信息安全中的地位認(rèn)識(shí)不足。大多數(shù)企業(yè)將電子商務(wù)網(wǎng)絡(luò)作為一項(xiàng)純粹的技術(shù)工程來實(shí)施,企業(yè)內(nèi)部缺乏系統(tǒng)的安全管理策略,只是被動(dòng)的使用一些技術(shù)措施來進(jìn)行防御,因此電子商務(wù)過程中一旦出現(xiàn)突發(fā)性事件,往往造成很大的經(jīng)濟(jì)損失。現(xiàn)實(shí)中沒有一個(gè)網(wǎng)絡(luò)系統(tǒng)是完美無缺的,不安全因素隨時(shí)存在。因此,安全管理措施必須滲透到系統(tǒng)的每一個(gè)環(huán)節(jié)和企業(yè)組織的~個(gè)層面,只有構(gòu)建一個(gè)人與技術(shù)相結(jié)合的安全管理體系,才能確保整個(gè)電子商務(wù)系統(tǒng)得安全。
企業(yè)沒有從整體上、有計(jì)劃地考慮信息安全問題。企業(yè)各部門、各下屬機(jī)構(gòu)都存在“各自為政的局面,缺少統(tǒng)一規(guī)劃、設(shè)計(jì)和管理信息安全強(qiáng)調(diào)的是整體上的信息安全性,而不僅是某一個(gè)部門或公司的信息安全。而各部門、各公司又確實(shí)存在個(gè)體差異,對(duì)于不同業(yè)務(wù)領(lǐng)域來說,信息安全具有不同的涵義和特征,信息安全保障體系的戰(zhàn)略性必須涵蓋各部門和各公司的信息安全保障體系的相關(guān)內(nèi)容。
缺少信息安全管理配套的人力、物力和財(cái)力。人才是信息安全保障工作的關(guān)鍵。信息安全保障工作的專業(yè)性、技術(shù)性很強(qiáng),沒有一批業(yè)務(wù)能力強(qiáng),且具有信息網(wǎng)絡(luò)知識(shí)、信息安全技術(shù)、法律知識(shí)和管理能力的復(fù)合型人才和專門人才,就不可能做好信息安全保障工作。應(yīng)該從信息安全建設(shè)和管理對(duì)信息安全人才的實(shí)際需求出發(fā),加快信息安全人才的培養(yǎng)。
企業(yè)對(duì)員工的信息安全教育不夠。員工的信息安全意識(shí)薄弱,9O%的安全事故是由于人為疏忽所造成。如有些企業(yè)不限制內(nèi)部人員使用各種高科技信息載體,如U盤、移動(dòng)硬盤以及筆記本等移動(dòng)辦公設(shè)備。
3、加強(qiáng)電子商務(wù)安全管理的建議
電子商務(wù)信息安全管理實(shí)踐表明,大多數(shù)安全問題是由于管理不善造成的。安全管理是一項(xiàng)系統(tǒng)工程,不僅涉及到企業(yè)的組織架構(gòu)、信息技術(shù)、人員素質(zhì)等各個(gè)方面,還牽扯到國(guó)家法律和商業(yè)規(guī)則。企業(yè)內(nèi)部存在著諸多影響信息安全的因素:改變lT系統(tǒng)不等于改變企業(yè)的信息安全管理,要使企業(yè)信息盡可能的安全,必須在技術(shù)投人的基礎(chǔ)上融人人在管理方面的智慧i同時(shí),不僅要防外,更要防內(nèi),即對(duì)組織內(nèi)部人員的管理。信息安全問題的解決需要技術(shù),但又不能單純依靠技術(shù)。整個(gè)電子商務(wù)的交易過程,是人與技術(shù)相互融合的過程,如何使管理與技術(shù)相得益彰十分重要。“三分技術(shù),七分管理”闡述了信息安全的本質(zhì)。
電子商務(wù)的安全管理,就是通過一個(gè)完整的綜合保障體系,來規(guī)避信息傳輸風(fēng)險(xiǎn)、信用風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn),以保證網(wǎng)上交易的順利進(jìn)行。網(wǎng)上交易安全管理,應(yīng)采用綜合防范的思路,一是技術(shù)方面的考慮,如防火墻技術(shù)、網(wǎng)絡(luò)防毒、信息加密、身份認(rèn)證、授權(quán)等,但必須明確,只有技術(shù)措施并不能完全保證網(wǎng)上交易的安全。二是必須加強(qiáng)監(jiān)管,建立各種有關(guān)的合理制度,并加強(qiáng)嚴(yán)格監(jiān)督,如建立交易的安全制度、交易安全的實(shí)時(shí)監(jiān)控、提供實(shí)時(shí)改變安全策略的能力、對(duì)現(xiàn)有的安全系統(tǒng)漏洞的檢查以及安全教育等。為了加強(qiáng)企業(yè)電子商務(wù)的信息安全,我們提出如下建議:
(1)提高網(wǎng)絡(luò)安全防范意識(shí)。
現(xiàn)在許多企業(yè)沒有意識(shí)到互聯(lián)網(wǎng)的易受攻擊性,盲目相信國(guó)外的加密軟件,對(duì)于系統(tǒng)的訪問權(quán)限和密鑰缺乏有力度的管理。這樣的系統(tǒng)一旦受到攻擊將十分脆弱,其中的機(jī)密數(shù)據(jù)得不到應(yīng)有的保護(hù)。據(jù)調(diào)查,目前國(guó)內(nèi)90%的網(wǎng)站存在安全問題,其主要原因是企業(yè)管理者缺少或沒有安全意識(shí)。某些企業(yè)網(wǎng)絡(luò)管理員甚至認(rèn)為其公司規(guī)模較小,不會(huì)成為黑客的攻擊目標(biāo),如此態(tài)度,網(wǎng)絡(luò)安全更是無從談起。應(yīng)該定期由公司或安全管理小組承辦信息安全講座,只有提高網(wǎng)絡(luò)安全防范意識(shí),才能有效的減少信息安全事故的發(fā)生。
(2)建立電子商務(wù)安全管理組織體系。
一個(gè)完整的信息安全管理體系首先應(yīng)建立完善的組織體系。即建立由行政領(lǐng)導(dǎo)、IT技術(shù)主管、信息安全主管、本系統(tǒng)用戶代表和安全顧問組成的安全決策機(jī)構(gòu)。其職責(zé)是建立管理框架,組織審批安全策略、安全管理制度,指派安全角色,分配安全職責(zé),并檢查安全職責(zé)是否已被正確履行,核準(zhǔn)新信息處理設(shè)施的啟用、組織安全管理專題會(huì)等。還應(yīng)建立由網(wǎng)絡(luò)管理員、系統(tǒng)管理員、安全管理員、用戶管理員等組成的安全執(zhí)行機(jī)構(gòu)。該機(jī)構(gòu)負(fù)責(zé)起草網(wǎng)絡(luò)系統(tǒng)的安全策略、執(zhí)行批準(zhǔn)后的安全策略、日常的安全運(yùn)行和維護(hù)、定期的培訓(xùn)和安全檢查等。如果需要,還可建立安全顧問機(jī)構(gòu)。安全顧問機(jī)構(gòu)可聘請(qǐng)信息安全專家擔(dān)任系統(tǒng)安全顧問,負(fù)責(zé)提供安全建議,特別是在安全事故或違反安全策略事件發(fā)生后,可以被安全決策機(jī)構(gòu)指定負(fù)責(zé)事故(事件)調(diào)查,并為安全策略評(píng)審和評(píng)估提供意見。
(3)制定符合機(jī)構(gòu)安全需求的信息安全策略。電子商務(wù)交
易過程中,需要明確的安全策略主要包括客戶認(rèn)證策略、加密策略、日常維護(hù)策略、防病毒策略等安全技術(shù)方案的選擇。安全執(zhí)行機(jī)構(gòu)應(yīng)根據(jù)本信息網(wǎng)絡(luò)的實(shí)際情況制定相應(yīng)的信息安全策略,策略中應(yīng)明確安全的定義、目標(biāo)、范圍和管理責(zé)任,并制定安全策略的實(shí)施細(xì)則。安全策略文檔要由安全決策機(jī)構(gòu)審查、批準(zhǔn),并和傳達(dá)給所有的人安全策略還應(yīng)由安全決策機(jī)構(gòu)定期進(jìn)行有效性審查和評(píng)估:在發(fā)生重大的安全事故、發(fā)現(xiàn)新的脆弱性、組織體系或技術(shù)上發(fā)生變更時(shí),應(yīng)重新進(jìn)行安全策略的審查和評(píng)估。
(4)人員安全的管理和培訓(xùn)
參與網(wǎng)上交易的經(jīng)營(yíng)管理人員在很大程度上支配著企業(yè)的命運(yùn),他們承擔(dān)著防范網(wǎng)絡(luò)犯罪的任務(wù)。而計(jì)算機(jī)網(wǎng)絡(luò)犯罪同一般犯罪不同的是,他們具有智能性、隱蔽性、連續(xù)性、高效性的特點(diǎn),因而,加強(qiáng)對(duì)有關(guān)人員的管理變得十分重要。首先,在人員錄用時(shí)應(yīng)做好人員鑒別,人員錄用或人員職位調(diào)整時(shí),一般要簽署保密協(xié)議。當(dāng)人員到期離開或協(xié)議到期、工作終止時(shí),要審查保密協(xié)議。其次對(duì)有關(guān)人員進(jìn)行上崗培訓(xùn),建立人員培訓(xùn)計(jì)劃,定期組織安全策略和規(guī)程方面的培訓(xùn)。第三,落實(shí)工作責(zé)任制,在崗位職責(zé)中明確本崗位執(zhí)行安全政策的常規(guī)職責(zé)和本崗位保護(hù)特定資產(chǎn)、執(zhí)行特定安全過程或活動(dòng)的特別職責(zé),對(duì)違反網(wǎng)上交易安全規(guī)定的人員要進(jìn)行及時(shí)的處理。第四,貫徹網(wǎng)上交易安全運(yùn)作基本原則,包括職責(zé)分離、雙人負(fù)責(zé)、任期有限、最小權(quán)限、個(gè)人可信賴性等。
(5)增強(qiáng)法律意識(shí),促進(jìn)電子商務(wù)立法
面對(duì)電子商務(wù)這種新型的貿(mào)易形式,我國(guó)目前尚無專門法規(guī)可依,使得部分違法犯罪人員沒有得到應(yīng)有的懲罰。近幾年里,國(guó)家加強(qiáng)了這方面的投入。在全國(guó)性的立法文件中,《合同法》的部分條款可以看作是針對(duì)電子商務(wù)的立法。此外,廣東省制定的《廣東省電子交易管理?xiàng)l例》這個(gè)地方性的法規(guī)可以看作是對(duì)加快我國(guó)電子商務(wù)立法的有益探索。《中華人民共和國(guó)電子簽名法》是對(duì)主要用于電子商務(wù)活動(dòng),電子政務(wù)等其他應(yīng)用應(yīng)該有新的適用法規(guī)。
盡管在電子商務(wù)信息安全立法方面取得了一些成就,但總的來說,我國(guó)的電子商務(wù)立法還很不健全,對(duì)電子商務(wù)活動(dòng)的安全保護(hù)缺少直接性;相關(guān)立法比較分散,而且效力不高;對(duì)新出現(xiàn)的情況缺乏適應(yīng)能力;立法速度慢。這些都需要電子商務(wù)企業(yè)和國(guó)家有關(guān)部門不斷探索,共同促進(jìn)電子商務(wù)信息安全的法制環(huán)境建設(shè)。
論文摘要 計(jì)算機(jī)和通訊網(wǎng)絡(luò)的普及和發(fā)展從根本上改變了人類的生活方式與工作效率。網(wǎng)絡(luò)已經(jīng)成為農(nóng)業(yè)、工業(yè)、第三產(chǎn)業(yè)和國(guó)防工業(yè)的重要信息交換媒介,并且滲透到社會(huì)生活的各個(gè)角落。政府、企業(yè)、團(tuán)體、個(gè)人的生活都發(fā)生了巨大改變。網(wǎng)絡(luò)的快速發(fā)展都得益于互聯(lián)網(wǎng)自身的獨(dú)特優(yōu)勢(shì):開放性和匿名性。然而也正是這些特征,同時(shí)還決定了網(wǎng)絡(luò)存在著不可避免的信息安全隱患。本文主要通過介紹目前在計(jì)算機(jī)網(wǎng)絡(luò)中存在的主要安全威脅并提出構(gòu)建網(wǎng)絡(luò)安全的防護(hù)體系,從而對(duì)網(wǎng)絡(luò)安全的防護(hù)策略進(jìn)行探討。
0 引言
網(wǎng)絡(luò)給我們提供極大的方便的同時(shí)也帶來了諸多的網(wǎng)絡(luò)安全威脅問題,這些問題一直在困擾著我們,諸如網(wǎng)絡(luò)數(shù)據(jù)竊密、病毒攻擊、黑客侵襲、木馬掛馬、陷門等。為 了有效防止網(wǎng)絡(luò)安全問題的侵害,計(jì)算機(jī)廣泛地推廣使用了各種復(fù)雜的軟件技術(shù),如入侵檢測(cè)、防火墻技術(shù)、通道控制機(jī)制、服務(wù)器,然后盡管如此,計(jì)算機(jī)信息安全和網(wǎng)絡(luò)安全問題還是頻發(fā)。網(wǎng)絡(luò)hacker活動(dòng)日益猖獗,他們攻擊網(wǎng)絡(luò)服務(wù)器,竊取網(wǎng)絡(luò)機(jī)密,進(jìn)行非法入侵,對(duì)社會(huì)安全造成了嚴(yán)重的危害。本文就如何確保網(wǎng)絡(luò)信息安全特別是網(wǎng)絡(luò)數(shù)據(jù)安全進(jìn)行了安全威脅分析并且提出了實(shí)現(xiàn)網(wǎng)絡(luò)安全的具體策略。
1 目前網(wǎng)絡(luò)中存在的主要安全威脅種類
1.1 計(jì)算機(jī)病毒
計(jì)算機(jī)病毒是編制或者在計(jì)算機(jī)程序中插入的破壞計(jì)算機(jī)功能或者破壞數(shù)據(jù),影響計(jì)算機(jī)使用并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或者程序代碼,它具有寄生性、傳染性、破壞性、潛伏性和可觸發(fā)性等特點(diǎn)。計(jì)算機(jī)病毒主要是通過復(fù)制、傳送數(shù)據(jù)包以及運(yùn)行程序等操作進(jìn)行傳播,在日常的生活中,閃存盤、移動(dòng)硬盤、硬盤、光盤和網(wǎng)絡(luò)等都是傳播計(jì)算機(jī)病毒的主要途經(jīng)。計(jì)算機(jī)病毒的產(chǎn)生是計(jì)算機(jī)技術(shù)和以計(jì)算機(jī)為核心的社會(huì)信息化進(jìn)程發(fā)展到一定階段的必然產(chǎn)物。
1.2 特洛伊木馬
利用計(jì)算機(jī)程序漏洞侵入后竊取文件的程序程序被稱為木馬。它是一種具有隱藏性的、自發(fā)性的可被用來進(jìn)行惡意行為的程序,多不會(huì)直接對(duì)電腦產(chǎn)生危害,而是以控制為主。
1.3 拒絕服務(wù)攻擊
拒絕服務(wù)攻擊即攻擊者想辦法讓目標(biāo)機(jī)器停止提供服務(wù),是黑客常用的攻擊手段之。其實(shí)對(duì)網(wǎng)絡(luò)帶寬進(jìn)行的消耗性攻擊只是拒絕服務(wù)攻擊的一小部分,只要能夠?qū)δ繕?biāo)造成麻煩,使某些服務(wù)被暫停甚至主機(jī)死機(jī),都屬于拒絕服務(wù)攻擊。
1.4 邏輯炸彈
邏輯炸彈引發(fā)時(shí)的癥狀與某些病毒的作用結(jié)果相似,并會(huì)對(duì)社會(huì)引發(fā)連帶性的災(zāi)難。與病毒相比,它強(qiáng)調(diào)破壞作用本身,而實(shí)施破壞的程序不具有傳染性。邏輯炸彈是一種程序,或任何部分的程序,這是冬眠,直到一個(gè)具體作品的程序邏輯被激活。
1.5 內(nèi)部、外部泄密
由于黑客的目的一般都是竊取機(jī)密數(shù)據(jù)或破壞系統(tǒng)運(yùn)行,外部黑客也可能入侵web或其他文件服務(wù)器刪除或篡改數(shù)據(jù),致使系統(tǒng)癱瘓甚至完全崩潰。
1.6 黑客攻擊
這是計(jì)算機(jī)網(wǎng)絡(luò)所面臨的最大威脅。些類攻擊又可以分為兩種,一種是網(wǎng)絡(luò)攻擊。即以各種方式有選擇地破壞對(duì)方信息的有效性和完整性;另一類是網(wǎng)絡(luò)偵察,它是在不影響網(wǎng)絡(luò)正常工作的情況下,進(jìn)行截取、竊取、破譯以獲得對(duì)方重要的機(jī)密信息。這兩種攻擊均可對(duì)計(jì)算機(jī)網(wǎng)絡(luò)造成極大的危害
1.7 軟件漏洞
操作系統(tǒng)和各類軟件都是認(rèn)為編寫和調(diào)試的,其自身的設(shè)計(jì)和結(jié)構(gòu)始終會(huì)出現(xiàn)問題,不可能無缺陷或者無漏洞,而這些漏洞會(huì)被計(jì)算機(jī)病毒和惡意程序所利用,這就使計(jì)算機(jī)處于非常危險(xiǎn)的境地,一旦連接入互聯(lián)網(wǎng),危險(xiǎn)就悄然而至。
2 網(wǎng)絡(luò)信息與網(wǎng)絡(luò)安全的防護(hù)對(duì)策
盡管計(jì)算機(jī)網(wǎng)絡(luò)信息安全受到威脅,但是采取恰當(dāng)?shù)姆雷o(hù)措施也能有效的保護(hù)網(wǎng)絡(luò)信息的安全。本文總結(jié)了以下幾種方法并加以說明以確保在策略上保護(hù)網(wǎng)絡(luò)信息的安全。
2.1 技術(shù)層面上的安全防護(hù)對(duì)策
1)升級(jí)操作系統(tǒng)補(bǔ)丁
操作系統(tǒng)因?yàn)樽陨淼膹?fù)雜性和對(duì)網(wǎng)絡(luò)需求的適應(yīng)性,需要及時(shí)進(jìn)行升級(jí)和更新,除服務(wù)器、工作站等需要操作系統(tǒng)升級(jí)外,也包括各種網(wǎng)絡(luò)設(shè)備,均需要及時(shí)升級(jí)并打上最新的系統(tǒng)補(bǔ)丁,嚴(yán)防網(wǎng)絡(luò)惡意工具和黑客利用漏洞進(jìn)行入侵。
2)安裝網(wǎng)絡(luò)版防病殺毒軟件
防病毒服務(wù)器作為防病毒軟件的控制中心,及時(shí)通過internet更新病毒庫,并強(qiáng)制局域網(wǎng)中已開機(jī)的終端及時(shí)更新病毒庫軟件。
3)安裝入侵檢測(cè)系統(tǒng)
4)安裝網(wǎng)絡(luò)防火墻和硬件防火墻
安裝防火墻,允許局域網(wǎng)用戶訪問internet資源,但是嚴(yán)格限制internet用戶對(duì)局域網(wǎng)資源的訪問。
5)數(shù)據(jù)保密與安裝動(dòng)態(tài)口令認(rèn)證系統(tǒng)
信息安全的核似是數(shù)據(jù)保密,一般就是我們所說的密碼技術(shù),隨著計(jì)算機(jī)網(wǎng)絡(luò)不斷滲透到各個(gè)領(lǐng)域,密碼學(xué)的應(yīng)用也隨之?dāng)U大。數(shù)字簽名、身份鑒別等都是由密碼學(xué)派生出來新技術(shù)和應(yīng)用。
6)操作系統(tǒng)安全內(nèi)核技術(shù)
操作系統(tǒng)安全內(nèi)核技術(shù)除了在傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)上著手,人們開始在操作系統(tǒng)的層次上考慮網(wǎng)絡(luò)安全性,嘗試把系統(tǒng)內(nèi)核中可能引起安全性問題的部分從內(nèi)核中剔除出去,從而使系統(tǒng)更安全。
7)身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)
身份驗(yàn)證技術(shù)身份驗(yàn)證技術(shù)是用戶向系統(tǒng)出示自己身份證明的過程嗎,能夠有效防止非法訪問。
2.2 管理體制上的安全防護(hù)策略
1)管理制度的修訂及進(jìn)行安全技術(shù)培訓(xùn);
2)加強(qiáng)網(wǎng)絡(luò)監(jiān)管人員的信息安全意識(shí),特別是要消除那些影響計(jì)算機(jī)網(wǎng)絡(luò)通信安全的主觀因素。計(jì)算機(jī)系統(tǒng)網(wǎng)絡(luò)管理人員缺乏安全觀念和必備技術(shù),必須進(jìn)行加強(qiáng);
3)信息備份及恢復(fù)系統(tǒng),為了防止核心服務(wù)器崩潰導(dǎo)致網(wǎng)絡(luò)應(yīng)用癱瘓,應(yīng)根據(jù)網(wǎng)絡(luò)情況確定完全和增量備份的時(shí)間點(diǎn),定期給網(wǎng)絡(luò)信息進(jìn)行備份。便于一旦出現(xiàn)網(wǎng)絡(luò)故障時(shí)能及時(shí)恢復(fù)系統(tǒng)及數(shù)據(jù);
4)開發(fā)計(jì)算機(jī)信息與網(wǎng)絡(luò)安全的監(jiān)督管理系統(tǒng);
5)有關(guān)部門監(jiān)管的力度落實(shí)相關(guān)責(zé)任制,對(duì)計(jì)算機(jī)網(wǎng)絡(luò)和信息安全應(yīng)用與管理工作實(shí)行“誰主管、誰負(fù)責(zé)、預(yù)防為主、綜合治理、人員防范與技術(shù)防范相結(jié)合”的原則,逐級(jí)建立安全保護(hù)責(zé)任制,加強(qiáng)制度建設(shè),逐步實(shí)現(xiàn)管理的科學(xué)化、規(guī)范化。
參考文獻(xiàn)
[1]簡(jiǎn)明.計(jì)算機(jī)網(wǎng)絡(luò)信息安全及其防護(hù)策略的研究[j].科技資訊,2006(28).
[2]池瑞楠.windows緩沖區(qū)溢出的深入研究[j].電腦編程技巧與維護(hù),2006(9).
論文摘要:在介紹網(wǎng)絡(luò)安全概念及其產(chǎn)生原因的基礎(chǔ)上,介紹了各種信息技術(shù)及其在局域網(wǎng)信息安全中的作用和地位。
論文關(guān)鍵詞:網(wǎng)絡(luò)安全信息技術(shù)信息安全局域網(wǎng)
隨著現(xiàn)代網(wǎng)絡(luò)通信技術(shù)的應(yīng)用和發(fā)展,互聯(lián)網(wǎng)迅速發(fā)展起來,國(guó)家逐步進(jìn)入到網(wǎng)絡(luò)化、共享化,我國(guó)已經(jīng)進(jìn)入到信息化的新世紀(jì)。在整個(gè)互聯(lián)網(wǎng)體系巾,局域網(wǎng)是其巾最重要的部分,公司網(wǎng)、企業(yè)網(wǎng)、銀行金融機(jī)構(gòu)網(wǎng)、政府、學(xué)校、社區(qū)網(wǎng)都屬于局域網(wǎng)的范疇。局域網(wǎng)實(shí)現(xiàn)了信息的傳輸和共享,為用戶方便訪問互聯(lián)網(wǎng)、提升業(yè)務(wù)效率和效益提供了有效途徑。但是由于網(wǎng)絡(luò)的開放性,黑客攻擊、病毒肆虐、木馬猖狂都給局域網(wǎng)的信息安全帶來了嚴(yán)重威脅。
信息技術(shù)是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論和信息論諸多學(xué)科的技術(shù)。信息技術(shù)的應(yīng)用就是確保信息安全,使網(wǎng)絡(luò)信息免遭黑客破壞、病毒入侵、數(shù)據(jù)被盜或更改。網(wǎng)絡(luò)已經(jīng)成為現(xiàn)代人生活的一部分,局域網(wǎng)的安全問題也閑此變得更為重要,信息技術(shù)的應(yīng)用必不可少。
1網(wǎng)絡(luò)安全的概念及產(chǎn)生的原因
1.1網(wǎng)絡(luò)安全的概念
計(jì)算機(jī)網(wǎng)絡(luò)安全是指保護(hù)計(jì)算機(jī)、網(wǎng)絡(luò)系統(tǒng)硬件、軟件以及系統(tǒng)中的數(shù)據(jù)不因偶然的或惡意的原因而遭到破壞、更改和泄密,確保系統(tǒng)能連續(xù)和可靠地運(yùn)行,使網(wǎng)絡(luò)服務(wù)不巾斷。從本質(zhì)上來講,網(wǎng)絡(luò)安全就是網(wǎng)絡(luò)上的信息安全。網(wǎng)絡(luò)系統(tǒng)的安全威脅主要表現(xiàn)在主機(jī)可能會(huì)受到非法入侵者的攻擊,網(wǎng)絡(luò)中的敏感信息有可能泄露或被修改。從內(nèi)部網(wǎng)向公共網(wǎng)傳送的信息可能被他人竊聽或篡改等等。典型的網(wǎng)絡(luò)安全威脅主要有竊聽、重傳、偽造、篡改、非授權(quán)訪問、拒絕服務(wù)攻擊、行為否認(rèn)、旁路控制、電磁/射頻截獲、人員疏忽。
網(wǎng)絡(luò)安全包括安全的操作系統(tǒng)、應(yīng)用系統(tǒng)以及防病毒、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)監(jiān)控、信息審計(jì)、通信加密、災(zāi)難恢復(fù)和完全掃描等。它涉及的領(lǐng)域相當(dāng)廣泛,這是因?yàn)槟壳暗母鞣N通信網(wǎng)絡(luò)中存在著各種各樣的安全漏洞和威脅。從廣義上講,凡是涉及網(wǎng)絡(luò)上信息的保密性、完整性、可性、真實(shí)性和可控性的相關(guān)技術(shù)和理論,都是網(wǎng)絡(luò)安全所要研究的領(lǐng)域。網(wǎng)絡(luò)安全歸納起來就是信息的存儲(chǔ)安全和傳輸安全。
1.2網(wǎng)絡(luò)安全產(chǎn)生的原因
1.2.1操作系統(tǒng)存在安全漏洞
任何操作系統(tǒng)都不是無法摧毀的“饅壘”。操作系統(tǒng)設(shè)計(jì)者留下的微小破綻都給網(wǎng)絡(luò)安全留下了許多隱患,網(wǎng)絡(luò)攻擊者以這些“后門”作為通道對(duì)網(wǎng)絡(luò)實(shí)施攻擊。局域網(wǎng)中使用的操作系統(tǒng)雖然都經(jīng)過大量的測(cè)試與改進(jìn),但仍有漏洞與缺陷存在,入侵者利用各種工具掃描網(wǎng)絡(luò)及系統(tǒng)巾的安全漏洞,通過一些攻擊程序?qū)W(wǎng)絡(luò)進(jìn)行惡意攻擊,嚴(yán)重時(shí)造成網(wǎng)絡(luò)的癱瘓、系統(tǒng)的拒絕服務(wù)、信息的被竊取或篡改等。
1.2.2TCP/lP協(xié)議的脆弱性
當(dāng)前特網(wǎng)部是基于TCP/IP協(xié)議,但是陔?yún)f(xié)議對(duì)于網(wǎng)絡(luò)的安全性考慮得并不多。且,南于TCtVIP協(xié)議在網(wǎng)絡(luò)上公布于眾,如果人們對(duì)TCP/IP很熟悉,就可以利川它的安全缺陷來實(shí)施網(wǎng)絡(luò)攻擊。
1.2.3網(wǎng)絡(luò)的開放性和廣域性設(shè)計(jì)
網(wǎng)絡(luò)的開放性和廣域性設(shè)計(jì)加大了信息的保密難度.這其巾還包括網(wǎng)絡(luò)身的布線以及通信質(zhì)量而引起的安全問題。互聯(lián)網(wǎng)的全開放性使網(wǎng)絡(luò)可能面臨來自物理傳輸線路或者對(duì)網(wǎng)絡(luò)通信協(xié)議以及對(duì)軟件和硬件實(shí)施的攻擊;互聯(lián)網(wǎng)的同際性給網(wǎng)絡(luò)攻擊者在世界上任何一個(gè)角落利州互聯(lián)網(wǎng)上的任何一個(gè)機(jī)器對(duì)網(wǎng)絡(luò)發(fā)起攻擊提供機(jī)會(huì),這也使得網(wǎng)絡(luò)信息保護(hù)更加難。
1.2.4計(jì)算機(jī)病毒的存在
計(jì)算機(jī)病毒是編制或者存計(jì)箅機(jī)程序巾插入的一組旨在破壞計(jì)箅機(jī)功能或數(shù)據(jù),嚴(yán)重影響汁算機(jī)軟件、硬件的正常運(yùn)行,并且能夠自我復(fù)制的一組計(jì)算機(jī)指令或程序代碼。計(jì)算機(jī)病毒具有傳染性、寄生性、隱蔽性、觸發(fā)性、破壞性幾大特點(diǎn)。大量涌現(xiàn)的病毒在網(wǎng)上傳播極快,給全球地嗣的網(wǎng)絡(luò)安全帶來了巨大災(zāi)難。
1.2.5網(wǎng)絡(luò)結(jié)構(gòu)的不安全性
特網(wǎng)是一個(gè)南無數(shù)個(gè)局域網(wǎng)連成的大網(wǎng)絡(luò),它是一種網(wǎng)問網(wǎng)技術(shù)。當(dāng)l主機(jī)與另一局域網(wǎng)的主機(jī)進(jìn)行通信時(shí),它們之間互相傳送的數(shù)據(jù)流要經(jīng)過很多機(jī)器重重轉(zhuǎn)發(fā),這樣攻擊者只要利用l臺(tái)處于用戶的數(shù)據(jù)流傳輸路徑上的主機(jī)就有可能劫持用戶的數(shù)據(jù)包。
2信息技術(shù)在互聯(lián)網(wǎng)中的應(yīng)用
2.1信息技術(shù)的發(fā)展現(xiàn)狀和研究背景
信息網(wǎng)絡(luò)安全研究在經(jīng)歷了通信保密、數(shù)據(jù)保護(hù)后進(jìn)入網(wǎng)絡(luò)信息安全研究階段,當(dāng)前已經(jīng)…現(xiàn)了一些比較成熟的軟件和技術(shù),如:防火墻、安全路由器、安全網(wǎng)關(guān)、黑客人侵檢測(cè)、系統(tǒng)脆弱性掃描軟件等。信息網(wǎng)絡(luò)安全是一個(gè)綜合、交叉的學(xué)科,應(yīng)從安全體系結(jié)構(gòu)、安全協(xié)議、現(xiàn)代密碼理論、信息分析和監(jiān)控以及信息安全系統(tǒng)等方面綜合開展研究,使各部分相互協(xié)同,共同維護(hù)網(wǎng)絡(luò)安全。
國(guó)外的信息安全研究起步較早,早在20世紀(jì)70年代美國(guó)就在網(wǎng)絡(luò)安全技術(shù)基礎(chǔ)理論研究成果“計(jì)算機(jī)保密模型(Beu&Lapaduh模型)”的基礎(chǔ)上,提出了“可信計(jì)箅機(jī)系統(tǒng)安全評(píng)估準(zhǔn)則(TESEC)”以及后來的關(guān)于網(wǎng)絡(luò)系統(tǒng)數(shù)據(jù)庫方面的相關(guān)解釋,彤成了安全信息系統(tǒng)體系結(jié)構(gòu)的準(zhǔn)則。安全協(xié)議作為信息安全的重要內(nèi)容,處于發(fā)展提高階段,仍存在局限性和漏洞。密碼學(xué)作為信息安全的關(guān)鍵技術(shù),近年來空前活躍,美、歐、亞各洲舉行的密碼學(xué)和信息安全學(xué)術(shù)會(huì)議頻繁。自從美國(guó)學(xué)者于1976年提出了公開密鑰密碼體制后,成為當(dāng)前研究的熱點(diǎn),克服了網(wǎng)絡(luò)信息系統(tǒng)密鑰管理的閑舴,同時(shí)解決了數(shù)字簽名問題。另外南于計(jì)箅機(jī)運(yùn)算速度的不斷提高和網(wǎng)絡(luò)安全要求的不斷提升,各種安全技術(shù)不斷發(fā)展,網(wǎng)絡(luò)安全技術(shù)存21世紀(jì)將成為信息安全的關(guān)鍵技術(shù)。
2.2信息技術(shù)的應(yīng)用
2.2.1網(wǎng)絡(luò)防病毒軟件
存網(wǎng)絡(luò)環(huán)境下,病毒的傳播擴(kuò)散越來越快,必須有適合于局域網(wǎng)的全方位防病毒產(chǎn)品。針對(duì)局域網(wǎng)的渚多特性,應(yīng)該有一個(gè)基于服務(wù)器操作系統(tǒng)平的防病毒軟件和針對(duì)各種桌面操作系統(tǒng)的防病毒軟件。如果局域網(wǎng)和互聯(lián)網(wǎng)相連,則川到網(wǎng)大防病毒軟件來加強(qiáng)上網(wǎng)計(jì)算機(jī)的安全。如果使用郵件存網(wǎng)絡(luò)內(nèi)部進(jìn)行信息交換.則需要安裝基于郵件服務(wù)器平的郵件防病毒軟件,用于識(shí)別出隱藏在電子郵件和附件巾的病毒最好的策略是使川全方位的防病毒產(chǎn)品,針對(duì)網(wǎng)絡(luò)巾所有可能的病毒攻擊點(diǎn)設(shè)置對(duì)應(yīng)的防病毒軟件。通過全方位、多層次的防病毒系統(tǒng)的配置,定期或不定期地動(dòng)升級(jí),保護(hù)局域網(wǎng)免受病毒的侵襲。
2.2.2防火墻技術(shù)
防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡(luò)技術(shù)和信息安全技術(shù)基礎(chǔ);上的應(yīng)用性安全技術(shù),越來越多地應(yīng)用于專用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)境巾,尤其以接入lnlernel網(wǎng)絡(luò)的局域網(wǎng)為典型。防火墻是網(wǎng)絡(luò)安全的屏障:一個(gè)防火墻能檄大地提高一個(gè)內(nèi)部網(wǎng)絡(luò)的安全性,通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。南于只有經(jīng)過精心選擇的應(yīng)州協(xié)議才能通過防火墻,所以網(wǎng)絡(luò)環(huán)境變得更安全。防火墻可以強(qiáng)化網(wǎng)絡(luò)安全策略:通過以防火墻為中心的安全方案配置,能將所有安全軟件如口令、加密、身份認(rèn)證、審計(jì)等配置在防火墻上。對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì):如果所有的訪問都經(jīng)過防火墻,那么防火墻就能記錄下這些訪問并做出日志記錄,同時(shí)也能提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。
防火墻技術(shù)是企業(yè)內(nèi)外部網(wǎng)絡(luò)問非常有效的一種實(shí)施訪問控制的手段,邏輯上處于內(nèi)外部網(wǎng)之問,確保內(nèi)部網(wǎng)絡(luò)正常安全運(yùn)行的一組軟硬件的有機(jī)組合,川來提供存取控制和保密服務(wù)。存引人防火墻之后,局域網(wǎng)內(nèi)網(wǎng)和外部網(wǎng)之問的通信必須經(jīng)過防火墻進(jìn)行,某局域網(wǎng)根據(jù)網(wǎng)絡(luò)決策者及網(wǎng)絡(luò)擘家共同決定的局域網(wǎng)的安全策略來設(shè)置防火墻,確定什么類型的信息可以通過防火墻。可見防火墻的職責(zé)就是根據(jù)規(guī)定的安全策略,對(duì)通過外部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)的信息進(jìn)行檢企,符合安全策略的予以放行,不符合的不予通過。
防火墻是一種有效的安全工具,它對(duì)外屏蔽內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu),限制外部網(wǎng)絡(luò)到內(nèi)部網(wǎng)絡(luò)的訪問。但是它仍有身的缺陷,對(duì)于內(nèi)部網(wǎng)絡(luò)之問的入侵行為和內(nèi)外勾結(jié)的入侵行為很難發(fā)覺和防范,對(duì)于內(nèi)部網(wǎng)絡(luò)之間的訪問和侵害,防火墻則得無能為力。
2.2.3漏洞掃描技術(shù)
漏洞掃描技術(shù)是要弄清楚網(wǎng)絡(luò)巾存在哪些安全隱患、脆弱點(diǎn),解決網(wǎng)絡(luò)層安全問題。各種大型網(wǎng)絡(luò)不僅復(fù)雜而且不斷變化,僅僅依靠網(wǎng)絡(luò)管理員的技術(shù)和經(jīng)驗(yàn)尋找安全漏洞、做出風(fēng)險(xiǎn)評(píng)估得很不現(xiàn)實(shí)。要解決這一問題,必須尋找一種能金找網(wǎng)絡(luò)安全漏洞、評(píng)估并提…修改建議的網(wǎng)絡(luò)安全掃描工具,利刖優(yōu)化系統(tǒng)配置和打補(bǔ)丁等各種方式最大可能地彌補(bǔ)最新的安全漏洞和消除安全隱患。存網(wǎng)絡(luò)安全程度要水不高的情況下,可以利用各種黑客工具對(duì)網(wǎng)絡(luò)實(shí)施模擬攻擊,暴露出:網(wǎng)絡(luò)的漏洞,冉通過相關(guān)技術(shù)進(jìn)行改善。
2.2.4密碼技術(shù)
密碼技術(shù)是信息安全的核心與關(guān)鍵。密碼體制按密鑰可以分為對(duì)稱密碼、非對(duì)稱密碼、混合密碼3種體制。另外采用加密技術(shù)的網(wǎng)絡(luò)系統(tǒng)不僅不需要特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的支持,而且在數(shù)據(jù)傳輸過程巾也不會(huì)對(duì)所經(jīng)過網(wǎng)絡(luò)路徑的安全程度做出要求,真正實(shí)現(xiàn)了網(wǎng)絡(luò)通信過程端到端的安全保障。非對(duì)稱密碼和混合密碼是當(dāng)前網(wǎng)絡(luò)信息加密使川的主要技術(shù)。
信息加密技術(shù)的功能主要是保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息等網(wǎng)絡(luò)資源的安全。信息加密的方法有3種,一是網(wǎng)絡(luò)鏈路加密方法:目的是保護(hù)網(wǎng)絡(luò)系統(tǒng)節(jié)點(diǎn)之間的鏈路信息安全;二是網(wǎng)絡(luò)端點(diǎn)加密方法:目的是保護(hù)網(wǎng)絡(luò)源端川戶到口的川戶的數(shù)據(jù)安全;二是網(wǎng)絡(luò)節(jié)點(diǎn)加密方法:目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)川戶可以根據(jù)實(shí)際要求采川不同的加密技術(shù)。
2.2.5入侵檢測(cè)技術(shù)。
入侵檢測(cè)系統(tǒng)對(duì)計(jì)算機(jī)和網(wǎng)絡(luò)資源上的惡意使川行為進(jìn)行識(shí)別和響應(yīng)。入侵檢測(cè)技術(shù)同時(shí)監(jiān)測(cè)來自內(nèi)部和外部的人侵行為和內(nèi)部剛戶的未授權(quán)活動(dòng),并且對(duì)網(wǎng)絡(luò)入侵事件及其過程做fIj實(shí)時(shí)響應(yīng),是維護(hù)網(wǎng)絡(luò)動(dòng)態(tài)安全的核心技術(shù)。入侵檢測(cè)技術(shù)根據(jù)不同的分類標(biāo)準(zhǔn)分為基于行為的入侵檢測(cè)和基于知識(shí)的人侵檢測(cè)兩類。根據(jù)使用者的行為或資源使?fàn)顩r的正常程度來判斷是否發(fā)生入侵的稱為基于行為的入侵檢測(cè),運(yùn)用已知的攻擊方法通過分析入侵跡象來加以判斷是否發(fā)生入侵行為稱為基于知識(shí)的入侵檢測(cè)。通過對(duì)跡象的分析能對(duì)已發(fā)生的入侵行為有幫助,并對(duì)即將發(fā)生的入侵產(chǎn)生警戒作用
