時間:2022-10-20 19:51:48
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇中國信息安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
1當前企業信息化建設中的信息安全問題
1.1信息安全管理問題
目前企業的信息安全管理上存在的問題,首先,信息管理人員缺乏或者人員經驗不足:計算機信息安全很大程度上取決于管理人才,調查顯示,我國七成IT企業信息安全系統保障不足,主要原因是管理人員沒有及時更新系統補丁程序、沒有及時維護系統。企業信息安全是上不斷完善的動態過程,需要不斷對現有系統進行安全檢查、評估,及時發現新的問題,跟蹤最新安全技術,及時調整安全策略,增強企業信息安全性。其次,在企業的信息化建設中信息安全管理系統不完善,信息安全管理系統,如果沒有一個很好的保障體系,會使得信息的管理錯亂,無秩序,重復管理、漏管等現象發生,使得信息系統出現漏洞,安全性降低。最后,安全以人為本,如果管理不善,人為原因,造成的操作失誤,誤用或濫用關鍵、敏感數據或資源等導致信息丟失泄露,外部人員和硬件的商家等對于企業的系統有一定的了解,有權限合法訪問,這也會造成信息的安全問題。
1.2信息化建設中的硬件問題
近年來,由于信息化發展較快,企業信息化建設的成本也在不斷提高,由于信息化建設投資大、回報慢,一些企業雖然有信息化建設的意愿,但是在實際投入上比較小,這就使得企業信息化建設過程中,企業的硬件設施跟不上時代的不發,導致企業信息化建設止步不前,計算機硬件設施的老化,對企業信息化建設過程中的安全問題存在這一定的隱患,而且,計算機的硬件決定著信息化建設的穩定性。另外在鏈路傳輸、網絡設備(路由器、交換機、防火墻、通訊線路故障)等以及物量的一些不可抗力造成的地震、水災、火災等環境事故使系統毀灰。
1.3信息化建設中的軟件問題
(1)國內的軟件水平與世界先進水平還存在較大的差距,更容易受到黑客和病毒的攻擊。這樣就會造成使用這些軟件的企業信息化建設中存在信息安全問題。
(2)配置中存在的問題,很多的系統和應用軟件在初裝后會使用默認的用戶名和口令以及開放的端口,而這些都容易造成信息的泄露。
(3)Web服務中的安全問題,www體系的主要特點是開放、共享、交互,這使得信息安全問題增加,安全漏洞多樣,如果服務器的保密信息被竊取,信息系統就會受到攻擊,獲取Web主機信息,使機器暫時不能使用,使機器暫時不能使用,服務器和客戶端之間的信息被監聽等。
(4)路由器信息的不安全行為,路由器簡單的密碼或共享密碼、安全功能沒有設置會導致信息的泄露。
2企業信息化建設中信息安全的對策
信息安全是企業信息化建設中的重要問題,只有保證信息的安全才能使企業在信息化建設中走得更遠。企業在信息化建設進行信息安全的建設,主要可以從強化信息安全觀念、加強硬件建設安全防護、提升軟件建設安全措施三個方面進行。
2.1強化信息安全觀念
在企業信息化建設中,一旦企業信息被盜取或丟失,對企業肯定會造成損失甚至是致命的打擊。要從企業的基層員工到管理者都要正確認識信息安全的重要性,強化信息安全的觀念,提高信息安全意識,從思想上認識提高信息安全的必要性。
2.2加強硬件建設安全防護
加強企業信息化建設過程中的硬件建設安全,首先要保證計算機的安全。企業的信息化建設離不開計算機,要保證計算機的安全就要對計算機進行定期的維護與保養,避免計算機在運行過程中出現突發性故障而導致企業信息的丟失。
另外,企業的信息化建設中,要加強網絡硬件的建設。目前,市場上應用比較廣泛的企業網絡協議就是TCP/IP協議,硬件組成有服務器、通信設備、網絡安全設備,主要應用技術是網絡交換、網絡管理、WEB數據庫技術、防火墻等技術,同時還有支持網絡運行的支撐系統,整個硬件建設安全、穩定、可靠。
2.3提升軟件建設安全措施
要解決企業信息化建設過程中的信息安全問題還需要加強企業信息系統的軟件安全防御措施,要采用高性能的安全軟件對系統進行防護,使用防護軟件要使其發揮其價值所在,不要因小失大。目前,大多數企業的軟件防護措施不到位,主要原因就在于軟件防護措施不到位,例如企業在公共區域設置無密碼的無線路由器,等于是向所有人公開企業的信息,安全無法保證。因此,企業在信息化建設過程中有必要采取高性能的安全防護軟件來保證信息的安全。
3小結
ICICS 2013將為國內外信息安全學者與專家齊聚一堂,提供探討國際信息安全前沿技術的難得機會。作為國際公認的第一流國際會議,ICICS 2013將進一步促進國內外的學術交流,促進我國信息安全學科的發展。本次學術會議將由中國科學院軟件研究所、北京大學軟件與微電子學院和中國科學院信息工程研究所信息安全國家重點實驗室主辦,并得到國家自然基金委員會的大力支持。
會議論文集均由德國Springer出版社作為LNCS系列出版。ICICS2013歡迎來自全世界所有未發表過和未投遞過的原始論文,內容包括訪問控制、計算機病毒與蠕蟲對抗、認證與授權、應用密碼學、生物安全、數據與系統安全、數據庫安全、分布式系統安全、電子商務安全、欺騙控制、網格安全、信息隱藏與水印、知識版權保護、入侵檢測、密鑰管理與密鑰恢復、基于語言的安全性、操作系統安全、網絡安全、風險評估與安全認證、云安全、無線安全、安全模型、安全協議、可信計算、可信賴計算、智能電話安全、計算機取證等,但又不局限于此內容。
作者提交的論文,必須是未經發表或未并行地提交給其他學術會議或學報的原始論文。所有提交的論文都必須是匿名的,沒有作者名字、單位名稱、致謝或其他明顯透露身份的內容。論文必須用英文,并以 PDF 或 PS 格式以電子方式提交。排版的字體大小為11pt,并且論文不能超過12頁(A4紙)。所有提交的論文必須在無附錄的情形下是可理解的,因為不要求程序委員閱讀論文的附錄。如果提交的論文未遵守上述投稿須知,論文作者將自己承擔論文未通過形式審查而拒絕接受論文的風險。審稿將由3位程序委員匿名評審,評審結果為:以論文形式接受;以短文形式接受;拒絕接受。
ICICS2013會議論文集可在會議其間獲取。凡接受論文的作者中,至少有1位必須參加會議,并在會議上報告論文成果。
投稿截止時間:2013年6月5日 通知接受時間:2013年7月24日 發表稿提交截止時間:2013年8月14日
會議主席:林東岱 中國科學院信息工程研究所 研究員
程序委員會主席:卿斯漢 中國科學院軟件研究所、北京大學軟件與微電子學院 教授
Jianying ZHOU博士 Institute for Infocomm Research,新加坡
程序委員會:由國際和國內知名學者組成(參看網站 http://icsd.i2r.a-star.edu.sg/icics2013/)
1.論信息安全、網絡安全、網絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業的實證研究
7.“棱鏡”折射下的網絡信息安全挑戰及其戰略思考
8.再論信息安全、網絡安全、網絡空間安全
9.“云計算”時代的法律意義及網絡信息安全法律對策研究
10.計算機網絡信息安全及其防護對策
11.網絡信息安全防范與Web數據挖掘技術的整合研究
12.現代信息技術環境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養的培養
15.國民信息安全素養評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數據信息安全風險框架及應對策略研究
18.信息安全學科體系結構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統信息安全研究綜述
26.美國電力行業信息安全工作現狀與特點分析
27.國家信息安全協同治理:美國的經驗與啟示
28.論大數據時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業控制系統信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網絡中用戶個人信息安全保護研究
33.信息安全與網絡社會法律治理:空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網融合下的信息安全問題
35.云計算環境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網絡信息安全技術
38.云計算時代的數字圖書館信息安全思考
39.“互聯網+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網絡的信息安全體系結構
43.用戶信息安全行為研究述評
44.數字化校園信息安全立體防御體系的探索與實踐
45.大數據時代面臨的信息安全機遇和挑戰
46.企業信息化建設中的信息安全問題
47.基于管理因素的企業信息安全事故分析
48.借鑒國際經驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網絡信息安全合作的國際規則制定
51.國外依法保障網絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業的人才培養與課程體系
59.美國電力行業信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰與策略
62.工業控制系統信息安全新趨勢
63.基于MOOC理念的網絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業群體間信息安全知識共享的演化博弈分析
66.智能電網信息安全及其對電力系統生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網絡信息安全問題及解決方案
73.國內信息安全研究發展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網絡與系統信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網絡信息安全現狀
80.大學生信息安全素養分析與形成
81.車聯網環境下車載電控系統信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調節效應
83.信息安全管理領域研究現狀的統計分析與評價
84.網絡信息安全及網絡立法探討
85.神經網絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產業與信息安全經濟分析
90.信息安全政策體系構建研究
91.智能電網物聯網技術架構及信息安全防護體系研究
92.我國網絡信息安全立法研究
93.電力信息安全的監控與分析
94.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望
95.情報素養:信息安全理論的核心要素
96.信息安全的發展綜述研究
97.俄羅斯聯邦信息安全立法體系及對我國的啟示
98.國家信息安全戰略的思考
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業化,以工業化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分,但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。
一、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
二、我國信息化中的信息安全問題
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
關鍵詞 信息政策;信息法規;定量分析
中圖分類號TP39 文獻標識碼 A 文章編號 1674-6708(2015)133-0146-02
隨著社會信息化水平的不斷提升,信息資源作為中國社會經濟發展的一種重要戰略資源受到了業界越來越多的關注。促進信息資源產業發展的相關政策的制定,信息資源在整個社會資源結構中的比重的攀升,使之成為許多國家增強國際競爭力的手段和提升全球影響力的重要戰略選擇。我國目前關于研究信息政策與法規研究的論文也與日俱增,對信息政策與法規的需求也在不斷擴大,對這些研究成果進行數據統計和內容分析,有利于研究者們了解信息政策與法規的研究現狀,預測其未來的發展趨勢。
1 文獻計量分析
筆者以“信息政策”、 “情報政策”、“信息法規”、 “信息立法”、“信息法學”為主題詞或關鍵詞,從CNKI“中國學術期刊網絡出版總庫”、“特色期刊”和“中國優秀碩博士學位論文全文數據庫中”4個數據庫進行了精確檢索,將其搜索結果合并,并去除重復結果,得到2003-2012年間發表的與含有這些關鍵詞的相關論文共576篇,其中65篇為畢業論文。
1.1 論文時間分布
一個學科或研究領域的成長過程與其研究文獻的數量和內容有密切的關系。研究相關文獻量,可在一定程度上反映我國信息政策與法規研究的水平、發展速度和研究規模等。
2003年是我國信息政策與法規研究的一個高峰,之后逐年減緩,2007年達到谷值,然后迅速回升,2009年的發文數量幾乎和2003年持平,后又有所減少。十年間的年均發文量是57.6篇,2003-2007這五年的年均發文量是56.4篇,2008-2012的年均發文量是58.8篇。總體來說,雖然我國的信息政策與法規研究有一定的起伏,但都在合理范圍之內,且年均發文量都在40篇以上,說明我國信息政策與法規研究正處在一個相對繁榮的時期,有眾多的學者為此付出了關注和研究。
1.2 論文期刊分布
排在前10位的期刊載文量都在10篇以上(含10篇),它們的載文量占總載文量的28.47%,因此在一定意義上可以說,《圖書館學研究》、《圖書情報工作》、《情報資料工作》、《現代情報》、《圖書館理論與實踐》、《情報科學》、《情報理論與實踐》、《情報探索》、 《情報雜志》、《科技情報開發與經濟》處于信息政策與法規研究的布拉德福核心區,是信息政策與法規研究的重要情報源。
1.3 論文作者分布
通過對幾位核心作者的研究范圍和研究內容進行分析可以發現,馬海群教授研究范圍廣泛,從信息政策的體系建構、方案優選到信息政策的運行機制和評價過程,都有專門的研究。馬海群教授和周麗霞共同研究了信息法學學科體系、學科價值及學科歸屬問題、研究模式及其研究方法等。肖希明教授和張新鶴博士側重于信息資源建設政策的研究。馬費成教授對中、美及歐盟信息政策法規建設進行了比較研究,詳細介紹了日本國家信息戰略的發展經驗,并在信息政策與法規的基礎理論研究方面做了深入探討。李東業主要做比較研究,對美國、日本和中國的信息政策進行對比。汪傳雷主要研究科技信息資源開發利用法規政策和企業信息政策模型。
1.4 論文作者合著率分析
1982年美國學者提出了分析合著率方法,他認為:一個學科的合著率可以用公式:C=Nm/(Nm+Ns)表示,其中C為合著率,即一個學科的合作程度,Nm為一個學科在1年內發表的多著者論文書,Ns為一個學科在1年內發表的單著者論文書。
從整體上來說,2003-2012我國信息政策和法規論文著者合著率呈上升趨勢,2007年的合著率達到一個高峰,2012年為48.08%,為十年間的最高值。這說明了,我國信息政策的相關研究越來越深入,與其他領域的溝通和交流也在逐漸加強,這符合信息政策與法規這一研究課題的交叉性、多學科性,以便于取各學科、各領域專家的特長,能夠更全面、更系統、更科學地分析信息政策與法律所涉及的各方面的復雜問題。
2 十年來我國信息政策與法規研究的主要內容
2.1 信息政策與法規的基礎理論研究
信息政策與法規的基礎理論研究一直是學者們關注的重點,包括信息政策與法規的目標、內容、體系結構、運行機制、保障機制、評估和反饋、與現實的協調性、國際兼容性等方面。馬海群等人在信息政策與法規的理論研究上取得的成就較為突出,在信息政策的方案優選上,他提出基于加權灰靶決策理論,依據靶心距離對多個方案進行排序,根據這些理論依據從而做出最優選擇;在信息政策的綜合評價上,他提出了信息政策方案的綜合評價指標體系,主要應用模糊綜合評價法建立了評價模型,并通過模擬實驗驗證了模型的可行性。
2.2 國外信息政策與法規研究
國外關于信息政策與法規的研究比國內更早,尤其是發達國家起步早,成就突出。因此,在2003-2012年發表的相關論文中,多數都是介紹、評價歐美日俄等國家的信息政策與法規的。根據其內容與范圍,主要分為以下兩種。
1)對國外信息政策與法規研究的總體介紹,主要介紹其發展道路、研究特點以及對我國的研究啟示,還出現了綜述類的研究。
2)對具體國家信息政策與法規的介紹,也出現了一些綜述類研究,如《20 世紀 90 年代以來俄羅斯國家信息政策綜述》,《美國國家信息安全政策綜述》等。
2.3 信息政策與法規的比較研究
比較研究主要包括:信息政策內容比較、信息政策環境比較研究、信息管理體制和組織機構比較、信息政策目標比較研究、以及政府在信息政策上參與程度比較研究。主要是美、日、俄、英等國與我國的比較,如《中美信息政策模式比較研究及對我國的啟示》。也有一些文章對國外兩國或者多國之間的信息政策與法規進行比較,以期對我國的理論和實踐建設提供有益的借鑒。如李東業等人的《美日信息政策比較及其啟示》。
2.4 信息保護政策與法規
由于信息社會信息技術、網絡技術的廣泛應用,給信息的采集、加工、存儲、傳輸、使用等帶來了一系列安全與保密上的問題,同時現代信息網絡技術突破了傳統的信息存儲方式和獲取手段,使得具有產權性質的創造性智力成果可以被輕而易舉的復制和擴散,再加上信息社會信息自由和信息資源共享的原則被濫用,知識產權與信息產權被侵犯的現象屢屢發生,所以信息保護政策與法規的研究倍受學者們的關注。
2.5 信息資源建設政策
信息資源建設受到多方面因素的影響,比如社會政治、經濟、文化等,它不僅僅是一個單純的技術問題,它是國家信息化發展的重要內容,是國家和社會為實現信息資源建設目標而制定的方針、原則、策略、措施、對策等。論文內容分析的結果顯示,2003-2012年十年間我國關于信息資源建設的政策大多偏重于有關數字信息資源建設的相關政策、信息資源共建共享政策以及信息技術與標準化政策的研究。
2.6 網絡信息政策
網絡信息政策是針對互聯網的特殊性而制定的有關規范、管理和發展網絡信息活動的行為準則和指南。網絡信息政策的研究熱點大多集中在電子商務政策、電子政府政策等方面。內容涉及網絡信息安全、網絡信息服務、網絡信息的調控、網絡信息隱私權以及計算機犯
罪等。
參考文獻
查看更多《中國信息界》雜志社信息請點擊: 《中國信息界》編輯部
戰略與政策
(5)廣播電視網絡在三網融合中的對策研究 李大珊 梁躍 魯英杰 袁韻峰 蔣安玲 裴多
實踐與應用
(9)村級電子政務現狀及發展對策分析 趙麗敏 廖桂平 陳艷 姚元森
(13)智慧城市的發展和問題淺析 彭保
(15)市民卡建設推廣的思路和路徑淺析——以南京市市民卡建設和推廣為例 顧穎
(17)團結湖智慧街道建設探索與實踐 李容珍 徐鋒 馬哲 邱逸
(19)科學規劃智慧萊州建設 加快推進縣域經濟 吳瓊 施瑞軍 曲錫峻 陳愛峰 吳開平
(21)大力推進智慧城市建設 鄧小勇
(27)資源整合下的政府數據中心建設研究與實現 嚴愛明
(31)省(市)國資委信息化建設策略與系統架構研究 杜羅砷
(33)淺析后危機時代江蘇省中小企業“云”改造模式 葛福江 姚立
(35)企業信息安全問題研究 劉文華
(37)基于itil理念的高校云服務資源管理研究 方力 沈鑫 葉昭暉
(39)電子商務專業能力培養與課程設置滿意度研究 趙麗 付華
(41)提升黨校教師信息素養要念好“四字經” 張青
(43)我國汽車制造業erp系統應用研究 李志剛
(45)煙草農業信息化的困境與對策 彭俊
(47)可編程短波數據處理終端的設計與實現 朱賢斌
(49)it服務持續性管理的風險評估和預防措施的最優化選擇 朱光
(52)長春市政務信息資源目錄體系規劃設計研究 柳羽輝
(54)基于starlims平臺的實驗室信息管理系統工作流配置的研究 馬文俊 張家勇 羅承渺 胡衛民
(57)從“國家檢察官學院吉林分院內部辦公業務網”建設談項目的整體管理 趙淑霞
(59)基于oracle的epdm模型數據遷移策略研究 孔明華 顧娟
(61)探析物聯網在石油行業的應用 王偉 陳奇志
(63)基于云計算模式的應用系統集中管理技術開發與應用 單延明 吳鈞 李大勇 王志敏
(65)勘探戰略選區信息化平臺的建設及應用 馮紅君 馬玉龍 滕良娟 段非 張海勇
(67)應用油水生產數據分析技術判別水平井水侵類型的研究 劉斐
(69)云gis在石化行業總圖管理系統中的應用實踐 廖志銳 劉爭飛 劉力嘉 任宗雷 徐
(72)面向流程行業mes系統的虛擬化硬件架構 谷克宏 黃岷 張振宇 朱家兵
(74)萬兆交換機在企業中的應用研究 李淑倩 楊敏 關宇
(76)瑪河氣田智能建設試點設想 藺勝利 滑曉輝 單鴻飛
(78)智能安防報警系統的研究與應用 門虎 郭振杰 武旭
(81)智能巡檢系統在克拉美麗氣田的應用 楊斌 張揚 藺勝利
(83)石油企業網絡信息安全的監控系統研究與應用 于順安
學子園地
(85)“沙集模式”未來發展之路——在“小即是美”與“大是所趨”之間的抉擇 齊志強
(89)電子政務系統-環境生態學測評指標分析 夏宜君
報告與方案
(92)信息通信技術對超鏈接社會的影響分析 無
海外論文
(98)因特網是我們生活的主頁 張進京(譯)
資訊
(104)以信息生產力推動“新四化”及社會轉型 無
(104)《中國經濟向何處去——基于信息經濟學的分析》新書會在京召開 無
關鍵詞:信息安全,網絡,措施作者,才讓昂秀,單位,青海省交通通信信息中心
一、信息安全的概念
目前,我國《計算機信息安全保護條例》的權威定義是:通過計算機技術和網絡技術手段,使計算機系統的硬件、軟件、數據庫等受到保護,最大可能不因偶然的或惡意的因素而遭破壞、更改或泄密,系統能夠正常運行,使用戶獲得對信息使用的安全感。信息安全的目的是保護信息處理系統中存儲、處理的信息的安全,其基本屬性有:完整性、可用性、保密性、可控性、可靠性。
二、計算機網絡系統安全因素剖析
(一)來自計算機網絡的病毒攻擊
目前,計算機病毒的制造者大多利用Internet網絡進行傳播,所以廣大用戶很大可能要遭到病毒的攻擊。病毒可能會感染大量的機器系統,也可能會大量占用網絡帶寬,阻塞正常流量,如:發送垃圾郵件的病毒,從而影響計算機網絡的正常運行。
(二)軟件本身的漏洞問題
任何軟件都有漏洞,這是客觀事實。就是美國微軟公司,全球的軟件霸主,也不例外。但是這些漏洞恰恰是非法用戶竊取用戶信息和破壞信息的主要途徑。針對固有的安全漏洞進行攻擊,主要有:①協議漏洞。利用POP3等協議的漏洞發動,獲得系統管理員的特權;②緩沖區溢出。攻擊者利用該漏洞發送超長的指令,超出緩沖區能處理的限度,造成系統運行的不穩定,使用戶不能正常工作;③口令攻擊。黑客通過破譯,獲得合法的口令,而入侵到系統中 。還有IP地址轟擊等方法,不一一舉例。
(三)來自競爭對手的破壞
俗話說:同行是冤家。有的企業利用不正當手段,對同行進行破壞。攻擊對方的網站或篡改對方的信息,或在其他網站上散布謠言,破壞競爭對手的良好形象。有的轟擊對方的IP地址,使對方的網站不能正常工作。論文參考,措施作者。
(四)用戶使用不慎產生的后果
計算機管理人員平時工作馬虎,不細心,沒有形成規范的操作,也沒有制定相應的規章制度。很多管理人員安全意識不強,將自己的生日或工號作為系統口令,或將單位的賬號隨意轉借他人使用,從而造成信息的丟失或篡改。
三、網絡信息安全的應對措施
(一)加強入網的訪問控制
入網訪問控制是網絡的第一道關口,主要通過驗證用戶賬號、口令等來控制用戶的非法訪問。對用戶賬號、口令應作嚴格的規定,如:口令和賬號要盡可能地長,數字和字母混合,避免用生日、工號等常見的東西作口令,盡量復雜化,而且要定期更新,以防他人竊取。目前安全性較高的是USBKEY認證方法,這種方法采用軟硬件相結合,很好地解決了安全性與易用性之間的矛盾。USBKEY是一種USB接口的硬件設備,用戶的密鑰或數字證書無需存于內存,也無需通過網絡傳播。因此,大大增強了用戶使用信息的安全性。論文參考,措施作者。
(二)加強病毒防范
為了能有效地預防病毒并清除病毒,必須建立起有效的病毒防范體系,這包括漏洞檢測、病毒預防、病毒查殺、病毒隔離等措施,要建立病毒預警機制,以提高對病毒的反應速度,并有效加強對病毒的處理能力。論文參考,措施作者。主要從以下四個方面來闡述:
1.漏洞檢測。主要是采用專業工具對系統進行漏洞檢測,及時安裝補丁程序,杜絕病毒發作的條件。
2.病毒預防。要從制度上堵塞漏洞,建立一套行之有效的制度;不要隨意使用外來光盤、移動硬盤、U盤等存儲設備。
3.病毒查殺。主要是對病毒實時檢測,清除已知的病毒。要對病毒庫及時更新,保證病毒庫是最新的。這樣,才可能查殺最新的病毒。
4.病毒隔離。主要是對不能殺掉的病毒進行隔離,以防病毒再次傳播。
(三)進行數據加密傳輸
為防止信息泄漏,被競爭對手利用,可對傳輸數據進行加密,并以密文的形式傳輸。即使在傳輸過程中被截獲,截獲者沒有相應的解密規則,也無法破譯,從而保證信息傳輸中的安全性。比如:微軟公司的WindowsXP就有這樣的數據加密功能。
(四)采用防火墻技術
應用過濾防火墻技術能實現對數據包的包頭進行檢查,根據其IP源地址和目標地址做出放行或丟棄決定,但對其攜帶的內容不作檢查;應用防火墻技術能對數據包所攜帶的內容進行檢查,但對數據包頭無法檢查。因此,綜合采用包過濾防火墻技術和防火墻技術,既能實現對數據包頭的檢查,又能實現對其攜帶內容的檢查。論文參考,措施作者。
(五)應建立嚴格的數據備份制度
一要重視數據備份的重要性,認為它很有意義,是一個必要的防范措施;二要嚴格執行數據備份制度。要定期或不定期備份,對重要數據要有多個備份。因為殺毒軟件不是萬能的,以防萬一,很有必要建立數據備份制度。
(六)加強安全管理
安全管理對于計算機系統的安全以及可靠運行具有十分重要的作用。就目前而言,應做到以下幾點:
1.樹立守法觀念,加強法制教育。有關計算機和網絡的一些法律知識,要了解并熟悉,如:《中國信息系統安全保護條例》、《計算機信息網絡國際聯網安全保護管理辦法》等條例,培養良好的法律意識。
2.制定并嚴格執行各項安全管理規章制度。論文參考,措施作者。論文參考,措施作者。包括出入機房制度、機房衛生管理制度、在崗人員責任制、機房維護制度、應急預案等。
3.建立檢查機制。定期或不定期地對計算機系統進行安全例行檢查,要有記錄,看落實情況,以免流于形式。
(七)培養用戶的信息安全意識
要注意個人信息的保護,不要將個人信息隨意保存在紙質上,在ATM上交易時,也要防止是否有人偷窺,不要使用真實信息在網站上注冊等等,時時刻刻培養自己的信息安全意識。
以上是本人對計算機網絡信息安全的初淺認識。單位決策者不但思想上要高度重視,而且行動上也要給予大力支持,包括財力和人力。只有這樣,才有可能保證單位用戶對網絡信息的安全使用。
這個人的重要性也可以從他的文字成果中得到證明:他曾在國際刊物和會議上發表100多篇論文,歐美著名的信息安全教科書引用他的定理,同時還擁有5個國際專利。
他的重要性還在于他的行動:他成功地攻擊了世界頂尖的網絡安全系統,發明了密碼物理分析方法,他的公開密鑰加/解密算法的工作處于國際領先地位。
黑客的“感覺”
能夠攻破美國和挑戰世界一流的網絡安全系統是一種什么樣的感覺?興奮、狂喜、還是不可言表的成就感?這種感覺,一個叫韓永飛的人知道。他曾經成功地攻擊了PGP系統、美國CIA和FBI的KR系統,讓美國政府最終放棄了一項投巨資并組織了包括微軟、惠普、波音在內的60多家大公司共同制定的密鑰托管方案。讓美國人掏錢是件難事,讓美國人掏冤枉錢更是要有點本事。這韓永飛究竟是何許人也,竟有如此大能耐?一個偶然的機會,我見到了這位“神秘人物”,他現在是北京密安信息技術有限責任公司的總裁。
讓我吃驚的是,這位英國倫敦大學的密碼學博士、國際知名的密碼學專家和信息安全專家,魁梧的身材、銅色的皮膚、一口東北音的普通話,全身充滿了中國特色,要不是他那么自然地一揮手就要了一杯咖啡作飲料,我真不敢想像眼前這位還是留洋回國的海歸人士。
“和一般意義上的黑客不同,我所進行的攻擊只是在學術上的研究,并不會對項目本身構成危害。黑客在信息社會是必然存在的,我們不能一味地否定。信息安全的防御和攻擊就是矛和盾的關系。這種對立和統一的關系會一直持續下去。特別是在新時期,國家出于打信息戰的需要,政府大規模投入到信息攻擊領域的可能性越來越大,攻擊技術會越來越發達。所以這就使得我們在信息安全上的技術也必須不斷提升,密安信息技術有限責任公司就是要為網絡和信息行業鍛造一面安全之盾。”真是三句話不離本行。
堅持:踏平坎坷所需要的
2004年5月6日,這是韓永飛和所有密安人都會記住的好日子。這一天,密安公司終于拿到了商用密碼定點生產許可證和銷售許可證。在國內,密安網絡是第一家也是惟一一家拿到“兩證”的信息安全公司。這就意味著,韓永飛終于可以在國內市場放開手腳大干一場了。
“幾年來,我的朋友問我最多的一句話就是,‘你們是怎么活下來的?’”也許是因為跨過了最關鍵的一道門檻,韓永飛說這句話的時候嘴角明顯帶著勝利者的微笑。這種由衷的喜悅是有充分理由的。稍微對信息安全領域熟悉一點的人都知道,在沒有拿到國家頒發的商用密碼定點生產許可證和銷售許可證之前,任何涉及信息安全的企業都不可能公開地做市場。事實上,密安也有過非常困難的時期,有段時間韓永飛需要拿自己的銀行卡給員工發工資。“我們不是沒有遇到過困難,遇到困難就要看我們用什么樣的心態去面對。”
盡管受到國家相關政策的限制,但是憑著雄厚的技術實力和在專業領域的良好聲譽,密安開始承接國家部委和地方政府的研究項目。“在做項目的過程中陸續產生自己的產品,并逐步推向國際市場,是密安得以存活的一個重要原因。”現在的密安已經連續開發出了一系列具有鮮明特色的,擁有自主知識產權的網絡安全產品,像SJW47―I―IV加密機系列、安全的虛擬隱私網VPN、網絡安全整體保護系統SVN、無線傳輸WTLS等等,其中的SVN還是國際領先產品。這說明北京密安已經經受住了市場的考驗,成功突破了創業初期的瓶頸。
未來:國際一流的企業追求
基于計算機網絡、可移動通訊和衛星網絡的全球信息化正在成為人類發展的大趨勢,如何保障網絡安全,確保電子商務信息的安全性就是電子商務發展和應用的必要條件之一。只有當人們感到電子商務系統是安全的,他們才可能在網上交易、購物和訂貨等等。而由于網絡的開放性,網絡安全已從一種特殊的防衛變成了一種非常普遍的防范。攻擊者可以在網絡的任何一點對網絡進行攻擊,這種攻擊過去只是專業人員才能做成,而現在很多不安全因素是由業余者造成的,很多人出于熱愛和好奇而攻擊網絡,他們的攻擊所帶來的損失是巨大的。
說到國內的信息安全情況,韓永飛顯得憂心忡忡。他曾經用一句經典的話用來描述國內信息安全產業發展的狀況,那就是:“本人外出呆了一段時間,回來后發現家里沒關窗戶沒關門。”
“我們不得不承認,中國的網絡安全在技術上、結構上、管理上與西方發達國家存在著相當大的差距。原因是多方面的:一是網絡在中國出現得晚;二是我國網絡化具體應用的水平還沒有達到相當的程度;三是大家對網絡安全的麻痹和忽視。人們往往感到了網絡安全問題產生的嚴重后果,才開始意識到網絡安全的重要性。”韓永飛一字一頓地說。
“我們的目標是做國際一流的企業”,這是韓永飛常常提醒員工的一句話。盡管北京密安的發展速度可以用火箭式來形容,但韓永飛并沒有感到滿足,他給公司也是給自己提出了新的發展目標。“在中國第一并不意味著在世界上就是最好的。隨著經濟全球化進程的加快,中國加入WTO以及較為統一的全球商務規則的實行,企業間的競爭也將趨于全球化,要把眼光放得長遠一點。”把眼光放長遠一點就是要在注重實現公司利益最大化的同時講求公司的整體發展,主要體現的指標是公司的價值增長,其次就是隊伍建設、人員培訓等方面,都是公司須臾不可放松的地方。
面對成功,韓永飛這樣評價自己:“我這個人比較好強,凡事都想拿第一。”韓永飛憑實力獲得英國女王全額獎學金赴英國倫敦大學后,師從著名密碼學家Mitchell教授。他的博士論文《高速的公開密鑰算法》獲得優秀博士論文,并被編入西方密碼學教科書,這在華人中是第一次。
多年來,得安科技先后承擔并參與了30多項國家和地方科研項目和產業化任務,并在面向金融領域的關鍵安全技術、信息安全基礎設施關鍵技術體系研究等關鍵領域做出了突出貢獻,取得了創新性的科研成果。得安科技載譽業內的實事,讓我們不得不去關注隱藏在其高速發展背后的研發實力和技術動力。今天的得安,對其自身如何定位?其發展潛力何在?以得安科技為代表的密碼核心技術提供商又如何看待國內信息安全市場發展趨勢?為尋找這些問題的答案,中國信息化周報記者約訪了得安科技技術總監孔凡玉。
中國信息化周報:商用密碼產品及服務是信息安全產業的重要一環,也是得安的核心競爭力。基于怎樣的背景,得安投入商用密碼技術研發?
孔凡玉:所謂網絡安全、信息安全,最重要的目標是保證信息系統和網絡環境中的“數據”、“信息”的安全,而不單是對計算機設備、網絡設備自身的安全防護。大到一個國家,小到一個企業和個人,多數黑客進行攻擊的真正目的就是竊取機密數據和信息,而不僅僅是破壞信息系統本身。因此,商用密碼產品及服務作為保障數據的機密性、完整性等安全性的關鍵一環,是信息安全產業的重要組成部分。
得安公司成立于1997年10月7日,是我國最早致力于商用密碼產品研發及產業化的企業之一,這與我國當時對網絡安全和商用密碼產品的迫切需求密切相關:一個是隨著互聯網技術的發展,網上銀行、網上證券等金融業務的開展迫切需要商用密碼產品和網絡安全系統的出現;另一個是,我國信息化建設的飛速發展迫切需要實現商用密碼技術的國產化,以保證信息安全核心技術的獨立性和自主性。
中國信息化周報:得安現有哪些科研成果?具有哪些核心技術優勢?
孔凡玉:得安科技自主研發的“SMS100-1網絡安全平臺”,這是國內最早通過國家密碼管理機構組織鑒定的商用密碼PKI產品,并榮獲國家科技進步三等獎和密碼科技進步二等獎,此系統已在上海證券中國證券登記結算公司的證券系統中成功使用。此外,得安公司也順利完成了中國金融認證中心CFCA的商用密碼模塊的國產化開發項目,實現了商用密碼產品和接口的國產化,并逐漸將服務器密碼機、智能IC卡等產品廣泛應用于中國建設銀行等各大銀行以及郵政、電信、稅務、電力、煤炭、石化、廣電、煙草、航空等行業。
十六年以來,得安公司一直注重商用密碼和信息安全核心技術的創新,在高速密碼服務器、數字認證系統、智能IC卡、VPN設備、安全文件傳輸系統、云安全密碼服務平臺、大數據安全、移動安全計算等方面具備良好的技術積累,得安參與研發的多項產品和技術填補了國內外空白,保證了核心技術的領先優勢。
中國信息化周報:從國家政策層面強化網絡安全意識,到首席安全官漸成大型企業標配職位的發展現狀,您如何理解密碼安全對于企業信息安全堡壘建設的核心意義?
孔凡玉:在目前的互聯網時代,每一個企業和個人都在享受著互聯網給工作和生活帶來的便捷的同時,也遭遇著前所未有的信息安全的巨大風險。中央網絡安全和信息化小組的成立,標志著我國已經把網絡信息安全上升為國家戰略的層面。
在網絡信息安全防護中,以數據加密、身份認證、數字簽名等為代表的密碼技術和以網絡攻防、系統漏洞分析、防病毒、入侵檢測等為代表的系統安全技術是網絡信息安全的兩大類核心技術。所以,商用密碼安全產品和系統是信息安全市場的必不可少的重要組成部分。
近年來,發生的信息安全事件大致分為兩種:一種是單純的病毒、木馬、系統攻擊,沒有特別的針對性,造成的后果是計算機系統的崩潰或者網絡無法正常訪問;第二種是針對數據和信息的竊取,這會造成重要數據或個人隱私的泄露,帶來嚴重的后果。最近爆發的信息安全事件,八成以上都涉及到數據泄露問題,例如2013年底發生的美國第二大零售商Target的4000萬用戶的信用卡和借記卡信息泄露事件,近期爆出的OpenSSL的幾個嚴重漏洞,以及我國近年發生的多個網站的數據泄露問題,這都存在密碼技術防護措施不足的問題。這需要對數據的存儲和傳輸進行加密保護,并進行嚴格的身份認證、訪問控制、安全管理等。
得安科技大力推廣信息安全服務的理念,所提出的企業信息安全堡壘的建設方案,是一個從技術實現到管理制度、從硬件產品到軟件系統、從內部加固到外部防范的立體化的整體解決方案,實現服務端的核心數據的加密、安全可靠的網絡數據傳輸、遠程用戶的身份認證和訪問控制等功能,實現企業信息系統的高安全性和可靠性,為企業提供信息安全保障。
中國信息化周報:在與用戶接觸過程中,您認為目前企業信息安全系統普遍薄弱的環節有哪些?
孔凡玉:在云計算和大數據時代來臨之際,任何信息系統的核心都是“數據”,因此任何信息系統的安全最重要的就是保證“數據”的安全。而數據的安全,包括了數據的產生、存儲、傳輸、訪問、處理、共享、銷毀等各個環節的安全,這形成一個環環相扣的系統。
在與很多用戶進行交流時,我們了解到,現在企業信息安全系統普遍存在的問題是缺乏一個完整、系統的安全解決方案,僅在某一個或幾個方面進行了安全防護,但是仍然存在其他方面的漏洞,不能形成一個完整的防護體系。
中國信息化周報:對此,得安科技針對不同行業、不同應用場景下的安全問題,推出了哪些解決方案?
孔凡玉:得安公司一直專注于信息安全核心技術以及信息安全整體解決方案的研發和應用,針對不同行業、不同應用場景,已經在云計算安全、大數據安全、電子商務安全、企業級安全等領域形成了一系列先進的、成熟的、可靠的信息安全整體解決方案,包括云安全密碼服務平臺、遠程文件安全傳輸解決方案、數字證書認證系統解決方案、安全移動辦公解決方案、手機安全支付解決方案、桌面安全解決方案、統一認證授權平臺等。具體包括:
■云安全密碼服務平臺:這是得安公司研發的基于“云計算”技術的高性能密碼平臺,將多款高端密碼設備和軟件中間件技術有機融合,以高安全性、高效率、高穩定性為目標,以先進的分布式計算和并行處理技術為核心,提供高性能的數據加密、數字簽名、身份認證等密碼服務功能。
■遠程文件安全傳輸解決方案:此方案用于解決企業的總部與各分支機構、出差員工之間的文件安全傳輸問題,在數據的安全、可靠、高效的傳輸方面,可以解決FTP等傳統傳輸方式的種種不足,為廣大企業客戶所信賴。同時,該方案可以集成于各類企業的信息系統平臺中,實現企業的遠程文件的安全傳輸,目前已經廣泛應用于金融、證券、石油化工、電力等行業。
■數字證書認證系統解決方案:此方案用于解決企業內部的身份識別與認證的問題。數字證書是由權威機構―CA機構頒發的、標識身份信息的電子文件,提供了一種在網絡環境中驗證身份的方式,類似于日常生活中的身份證。得安數字證書認證系統簡稱CA系統,采用雙證書機制,利用PKI技術提供數字證書的簽發、驗證、注銷、更新等功能,將個人信息或單位信息及密鑰、密碼算法集合在一起,提供在虛擬的互聯網世界可用的“網上身份證”。得安數字證書認證系統,已經成功應用于廣東電子政務認證中心、貴州省數字認證中心的建設,并順利運行。
■安全移動辦公解決方案:此方案用于解決企業的各分支機構和出差員工的遠程辦公、移動辦公問題。通過采用IPSec VPN、SSL VPN、安全網關以及安全客戶端等產品,可實現各種復雜環境下的遠程和移動辦公系統。遠程用戶在通過互聯網登錄企業內部業務系統時,首先需要經過安全網關的身份認證,認證通過后才能訪問其權限范圍內的業務系統;可以在安全網關上進行細粒度的權限配置,保證接入終端的安全性;同時,安全網關支持客戶端訪問企業內網時不能同時訪問其它互聯網的功能,更加保證了接入的安全性。目前該解決方案已成功應用于國土資源、石油、煤炭、電力、電信、銀行等行業。
■手機安全支付解決方案:得安公司研發的智能SD卡以及軟件系統,是近年新興的一種信息安全產品,把高性能的安全模塊集成到SD卡中,這樣用戶既可以像使用普通SD卡那樣使用其大容量存儲功能,又可以像使用智能IC卡那樣使用SD卡中集成的安全模塊,具有密鑰管理、證書存儲、權限控制、數據加解密等功能,實現個人隱私數據的加密保護和安全支付。此方案已經在金融、電信以及中小企業中推廣使用。
■桌面安全解決方案:此方案用于解決企業內部計算機設備的安全控制和信息保密問題,采用智能密碼鑰匙、安全加密U盤、文件加密軟件、Word/PDF文件簽名等產品和技術,確保了信息在單位內的安全存儲,確保了計算機設備的安全使用。該系統是針對客戶端PC安全的整體解決方案,它的最大特點是既能“攘外”,又能“安內”,部署靈活且易于使用,特別適合金融、電信、政府機關、制造業等具有分布式網絡應用的行業。
■統一認證授權解決方案:本方案可以為企業的多個業務系統提供安全支撐,簡化業務系統的管理方式和使用方式,提高整體系統安全性。通過該解決方案,可以為企業提供各個業務系統的統一認證和登錄服務,提供數據傳輸的加密服務、高強度的身份認證、人員的集中管理和應用的集中管理,適合在具有多個業務信息系統的企業中部署實施。
中國信息化周報:在國內市場,用戶往往會在IT價值與IT風險之間尋求一個平衡。讓用戶為安全買單,很多用戶關心的問題是需要支付哪些成本?又能獲得哪些收益?得安科技的解決方案又是如何來降低用戶IT應用風險的?
孔凡玉:得安科技采用的是一套科學的、系統的信息安全工程建設方法,達到用戶的IT價值和風險、收益和成本之間的平衡。
首先,用戶的信息系統和數據的有形資產和無形資產是可以進行估算的。這些數據的重要程度,一旦泄露會產生什么樣的后果,決定了數據的價值。數據的價值越高,一旦泄露帶來的后果越嚴重,因此需要投入的安全成本就越高。舉例來說,價值100萬的數據,如果投入200萬進行安全防護可能是不必要的;同樣,價值1億的數據,僅投入1萬元進行安全防護則可能具有極大的安全風險。
評估了資產的價值后,然后就要分析信息系統存在的風險和威脅,包括目前的信息系統存在哪些漏洞和弱點,內部和外部可能有哪些潛在的攻擊威脅等。之后,就要和企業一起制定信息安全保障系統建設的內容,這主要取決于哪些風險必須要降低,降低到什么程度,采用哪些技術手段,成本是多少等。這樣,在系統建設之前,用戶很清楚建設目標是什么,需要花費多大的成本,會帶來怎樣的收益,做到有的放矢、未雨綢繆。在系統建設、維護運行以及管理等方面,還有一系列的方法和措施,以保證信息安全項目建設的可控性。
中國信息化周報:相比其他應用安全企業,得安科技有何自身特色?具體到商用密碼解決方案,相比其他軟件公司,得安科技有哪些獨特的優勢和創新?
孔凡玉:與其它信息安全企業相比,得安公司的特色體現在三方面。
第一,在商用密碼及信息安全核心技術方面具有創新優勢。作為國內最早從事商用密碼產品研發及產業化的企業之一,得安公司在商用密碼以及信息安全核心技術方面具有18年的積累,在高速密碼算法實現、數字認證技術、云計算安全、大數據安全、移動互聯網安全等方面具備核心技術的創新優勢。
第二,在參與國家和行業標準制定方面具有領先優勢。作為商用密碼基礎設施技術標準組的成員單位,得安公司主持或參與了服務器密碼機技術規范等20多項國家標準、行業標準的制定,因此在把握行業的發展趨勢方面具有優勢。2012年,得安牽頭制定的《密碼應用標識規范》作為我國第一批密碼行業標準進行頒布;兩年來,《服務器密碼機技術規范》、《簽名驗證服務器技術規范》等行業標準也陸續正式頒布。
第三,具備成熟的信息安全服務理念,并在多個行業成功應用實施。得安一直秉承為用戶提供信息安全服務的理念,以可靠的技術實力、穩定的產品性能、優質的服務團隊、強大的分支網絡贏得了用戶的信賴,成功案例遍布于金融、證券、稅務、電信、郵政、石油、煤炭等行業。
得安科技的商用密碼解決方案,具有以下獨特的優勢和創新:
(1) 核心產品可靠性和高效性:解決方案中所采用的硬件產品和軟件系統必須具有高可靠性和高效性,才能保證整個信息系統的安全性和穩定性。例如,云安全密碼服務平臺采用了多機并行、動態分配、冗余配置、負載均衡等技術,保證整個平臺的可靠和高速。
(2) 量身定制的整體安全架構:這些解決方案不是單純的硬件和軟件的累加,而是經過系統的整體設計后形成的有機整體,而且每一個方案的確立和實施,都要根據用戶的信息系統的特點進行量身打造,以保證方案的科學性和合理性。
(3) 運維支持和管理制度:信息安全設施的建設,三分憑技術,七分靠管理。每一個解決方案中都包含了系統的運行維護方案和管理制體系,保證信息安全系統運行期間的動態實時監控和管理崗位的協同工作。
中國信息化周報:得安科技未來的市場競爭策略和發展目標是什么?
孔凡玉:得安未來的市場競爭策略和發展目標,可概括為兩個詞。
一是“共贏”。“共贏”是指與客戶的關系,是對“服務”理念的拓展。“服務”是被動地滿足用戶的安全需求;“共贏”是主動地去幫助客戶發現信息系統中的安全問題并提出科學的解決方案,從而達到與客戶共贏的最終目標。
二是“領先”。“領先”是指保持公司的核心競爭力,是對“創新”理念的拓展。不僅要“創新”,還要領先一步,在新的技術出現和產業變化來臨之際,率先致力于未來核心技術和產品的研發,領先于時代,領先于同行。
