時間:2023-03-30 11:36:16
引言:易發表網憑借豐富的文秘實踐,為您精心挑選了九篇信息安全論文范例。如需獲取更多原創內容,可隨時聯系我們的客服老師。
信息安全論文3900字(一):探究計算機網絡信息安全中的數據加密技術論文
【摘要】隨著近幾年網絡信息技術的發展,社會生產和生活對網絡數據的依賴程度越來越越高,人們對網絡信息安全重視程度也隨之提升。對于網絡信息而言,信息數據安全非常重要,一旦發生數據泄露或丟失,不僅會影響人們正常生活和財產安全,甚至還會影響社會穩定和安全。在此基礎上,本文將分析計算機網絡信息安全管理現狀,探索有效的數據加密技術,為網絡環境安全和質量提供保障。
【關鍵詞】計算機;網絡信息安全;數據加密技術
引言:信息技術的普及為人們生活帶來了許多便利和幫助,但是由于信息安全風險問題,人們的隱私數據安全也受到了威脅。但是,目前計算機網絡環境下,數據泄露、信息被竊取問題非常常見,所以計算機網絡信息安全保護必須重視這些問題,利用數據加密技術解決此難題,才能維護網絡用戶的信息安全。因此,如何優化數據加密技術,如何提升網絡信息保護質量,成為計算機網絡發展的關鍵。
1.計算機網絡安全的基本概述
所謂計算機網絡安全就是網絡信息儲存和傳遞的安全性。技術問題和管理問題是影響計算機網絡安全的主要因素,所以想要提升網絡信息安全性能,必須優化信息加密技術和加強信息管理控制,才能為計算機網絡安全提供保障。將數據加密技術應用于計算機網絡安全管理中,不僅可以提升數據保護權限,限制數據信息的可讀性,確保數據儲存和運輸過程不會被惡意篡改和盜取,還會提高網絡數據的保密性,營造良好的網絡運行環境。因此,在計算機網絡快速發展的環境下,重視網絡信息安全管理工作,不斷優化數據加密技術,對維護用戶信息安全、保護社會穩定非常有利。
2.計算機網絡信息安全現狀問題
2.1網絡信息安全問題的緣由
根據網絡信息發展現狀,信息安全面臨的風險多種多樣,大體可分為人文因素和客觀因素。首先:網絡信息安全的客觀因素。在計算機網絡運行中,病毒危害更新換代很快,其攻擊能力也在不斷提升,如果計算機防御系統沒有及時更新優化,很容易遭受新病毒的攻擊。例如,部分計算機由于系統長時間沒有升級,無法識別新木馬病毒,這樣便已遺留下一些安全漏洞,增加了信息安全風險。同時,部分計算機防火墻技術局限,必須安裝外部防護軟件,才能提升計算機網絡防護能力。其次:網絡信息安全的人文因素。所謂人為因素,就是工作人員在操作計算機時,缺乏安全防護意識,計算機操作行為不當,如:隨意更改權限、私自讀取外部設備、隨意下載上傳文件等等,嚴重影響了計算機網絡數據的安全性,涉密數據安全也得不到保障。例如,在連接外部設備時,忽視設備安全檢查工作,隨意插入電腦外部接口,容易導致計算機感染設備病毒,導致計算機網絡信息安全受到威脅。
2.2計算機網絡信息安全技術有待提升
信息安全是計算機網絡通信的重要內容,也是計算機網絡通信發展必須攻擊的難題。隨著信息技術的發展,我國計算機信息安全防御技術也在不斷創新升級,能夠有效應對病毒沖擊危害,但是相比先進國家而言,我國計算機信息技術起步較晚,網絡信息安全技術也有待提升。例如,根據我國計算機網絡信息安全現狀,對新病毒的辨識能力和清除能力較弱,無法有效控制病毒侵害,這對信息安全保護和系統運行都非常不利。因此,技術人員可以借鑒他國安全技術經驗,構建出針對性的信息安全防護技術,優化計算機系統安全性能,才能為網絡信息安全傳輸提供保障,避免造成嚴重的安全事故。
3.數據加密技術分析
3.1對稱加密技術
所謂對稱機密技術,就是指網絡信息傳輸中所采用的密鑰功能,利用加密和解密的方式,提升傳輸數據的安全性,常常被應用于電子郵件傳輸中。同時,對稱加密技術具有加密和解密密鑰相同的特征,所以密鑰內容可以通過其中一方進行推算,具備較強的可應用性。例如,在利用電子郵件傳輸信息時,傳輸者可以采用加密算法將郵件內容轉化為不可直接閱讀的密文,待郵件接收者收到數據信息文件后,再采用解密算法將密文還原可讀文字,既可以實現數據傳輸加密的目的,又能確保交流溝通的安全性。從應用角度來講,對稱加密技術操作簡捷方便,并且具備較高的安全度,可以廣泛應用于信息傳輸中。但是,對稱加密技術欠缺郵件傳輸者和接收者的身份驗證,郵件傳輸雙方密鑰有效的獲取途徑,所以也存在一定的安全風險。
3.2公私鑰加密技術
相對于對稱加密技術而言,公私鑰加密技術在進行信息加密時,加密密鑰和解密密鑰不具備一致性,密鑰安全性更佳。在公私鑰加密技術中,信息數據被設置了雙層密碼,即私有密碼和公開密碼,其中公開密碼實現了信息數據加密工作,并采用某種非公開途徑告知他人密鑰信息,而私有密碼是由專業人員保管,信息保密程度高。因此,在采用公私鑰加密技術時,需要先對文件進行公開密鑰加密,然后才能發送給接收者,而文件接收者需要采用私有密鑰進行解密,才能獲取文件信息。在這樣的加密模式下,網絡數據信息安全度提升,密碼破解難度也進一步加大,但是這種加密方式程序較為復雜,加密速度慢,無法實現高效率傳播,加密效率相對較低,不適用于日常信息交流傳輸。
3.3傳輸加密和儲存加密技術
在計算機網絡信息安全保護中,數據傳輸加密、儲存加密是重點保護內容,也是信息數據保護的重要手段,其主要目的是避免在數據傳輸過程中被竊取和篡改風險問題。線路加密和端對端加密是兩種主要的傳輸加密方式,實現了傳輸端和傳輸過程的信息安全保護工作。例如,傳輸加密是對網絡信息傳輸過程中的安全保護,通過加密傳輸數據線路,實現信息傳輸過程保護,如果想要停止加密保護,必須輸入正確的密鑰,才能更改數據加密保護的狀態。端對端加密技術是在信息發送階段,對數據信息實施自動加密操作,讓數據信息在傳遞過程中呈現出不可讀的狀態,直到數據信息到達接收端,加密密碼會自動解除,將數據信息轉變為可讀性的明文。此外,存取控制和密文儲存是儲存加密的兩種形式。在存取控制模式中,信息數據讀取需要審核用戶的身份和權限,這樣既可以避免非法用戶訪問數據的問題,又能限制合法用戶的訪問權限,實現了數據信息安全等級分層保護。
4.計算機網絡信息安全中數據加密技術的合理應用
4.1數據隱藏技術
在網絡信息數據加密保護中,將數據信息屬性轉變為隱藏性,可以提升數據信息的可讀權限,提升信息安全度。因此,將信息隱藏技術應用于網絡信息加密工程中,利用隱蔽算法結構,將數據信息傳輸隱蔽載體中,可以將明文數據轉變為密文數據,在確保信息安全到達傳輸目的地時,再采用密鑰和隱蔽技術對數據信息進行還原,將密文數據還原成明文數據。例如,在企業內部區域網絡信息傳輸時,便可以采用數據隱蔽技術控制讀取權限,提升網絡信息傳遞的安全性。因為在企業運行模式下,一些企業信息只限于部分員工可讀取,尤其是一些涉及企業內部機密、財務經濟等數據,所以需要采用隱蔽載體技術,通過密鑰將隱藏的提取數據信息。在這樣的加密模式下,企業數據信息安全性得到保障,不僅可以實現信息數據高效率傳播,還降低了二次加密造成的安全隱患,控制了員工讀取權限,對企業穩定發展非常有利。
4.2數字簽名技術
相比公私鑰加密技術而言,數字簽名技術更加快捷便利,是公私鑰加密技術的發展和衍生。將數字簽名技術應用于網絡信息安全中,在數據傳輸之前,傳輸者需要先將數據文件進行私有密鑰加密,加密方式則是數字簽名信息,而數據文件接收者在收到文件信息后,要使用公共密鑰解密文件。由此可見,數字簽名技術在公私鑰加密技術的基礎上,增加了權限身份的審核程序,即利用數字簽名的方式,檢查數據文件傳輸者的權限和身份,進一步提升了網絡信息傳輸的安全性。同時,在計算機網絡信息安全管理中,根據信息數據管理要求,靈活運用對稱加密技術、公私鑰加密技術和數字簽名技術,充分發揮各項加密技術的優勢作用,落實數據傳輸和存儲加密工作。例如,針對保密程度較低的數據信息而言,可采用靈活便利的對稱加密技術,而對于保密級別較高的數據而言,即可采用數字簽名技術進行加密。通過這樣的方式,不僅可以保障網絡信息傳輸效率,優化信息傳輸的安全性能,還可以提升數據加密技術水平,為網絡信息安全提供保障。
4.3量子加密技術
隨著計算機信息技術的發展,數據加密技術也在不斷創新和優化,信息安全保護質量也隨之提升。相比以往的數據加密技術而言,量子加密技術的安全性更好,對數據安全控制效果更佳。將量子力學與加密技術進行有效融合,既可以實現數據傳輸時的加密操作,又能同時傳遞解密信息,節省了單獨的密鑰傳輸操作,加密方式也更加智能化。例如,在網絡信息傳輸中,一旦發現數據傳輸存在被竊取和被篡改的風險,量子加密技術會及時作出反應,轉變數據傳輸狀態,而數據傳輸者和接收者也能及時了解數據傳輸狀況。這種數據加密方式一旦發生狀態轉變是不可復原的,雖然有效避免的數據泄漏風險,但可能會造成數據自毀和破壞問題。同時,由于量子加密技術專業性強,并且仍處于開發試用狀態,應用范圍和領域比較局限,無法實現大范圍應用。
5.結束語
總而言之,為了提升計算機網絡信息的安全性,落實各項數據加密技術應用工作非常必要。根據網絡信息安全現狀問題,分析了對稱加密、公私鑰加密、數據隱蔽等技術的應用優勢和弊端,指出其合理的應用領域。通過合理運用這些數據加密技術,不僅強化了數據傳輸、存儲的安全性,營造了良好的網絡信息環境,還有利于提升用戶的數據加密意識,促進數據加密技術優化發展。
信息安全畢業論文范文模板(二):大數據時代計算機網絡信息安全與防護研究論文
摘要:大數據技術的快速發展和廣泛應用為計算機網絡提供了重要的技術支持,有效提高了社會經濟建設的發展水平。計算機網絡的開放性和虛擬性特征決定了技術的應用必須考慮信息安全與防護的相關問題。本文介紹了大數據時代計算機網絡安全的特征和問題,研究了如何保證網絡信息安全,提出了3點防護策略。
關鍵詞:大數據時代;計算機網絡;信息安全與防護
進入信息時代,計算機網絡技術已經逐步成為人們的日常工作、學習和生活必備的工具,如電子商務、網絡辦公、社交媒體等。計算機網絡相關技術的發展也在不斷改變人類社會的生產模式和工作效率,實現全球各地區人們的無障礙溝通。但在網絡世界中,信息的傳播和交流是開放和虛擬的,并沒有防止信息泄露和被非法利用的有效途徑,這就需要從技術層面上考慮如何提高計算機網絡信息安全。特別是近年來大數據技術的高速發展,海量數據在網絡中傳播,如何保證這些數據的可靠性和安全性,是目前網絡信息安全研究的一個重要方向。
1大數據時代計算機網絡信息安全的特征
大數據是指信息時代產生的海量數據,對這些數據的描述和定義并加以利用和創新是目前大數據技術發展的主要方向。大數據的產生是伴隨著全球信息化網絡的發展而出現的,在這個背景下誕生了大量的商業企業和技術組織,也為各行各業提高生產力水平和改變生產模式提供了有效幫助。大數據時代的網絡特征首先是非結構化的海量數據,傳統意義上的海量數據是相關業務信息,而大數據時代由于社交網絡、移動互聯和傳感器等新技術與工具快速發展產生了大量非結構化的數據,這些數據本身是沒有關聯性的,必須通過大數據的挖掘和分析才能產生社會價值;其次,大數據時代的網絡信息種類和格式繁多,包括文字、圖片、視頻、聲音、日志等等,數據格式的復雜性使得數據處理的難度加大;再次,有用信息的比例較低,由于是非結構化的海量數據,數據價值的提煉要經過挖掘、分析、統計和提煉才能產生,這個周期還不宜過長否則會失去時效性,數據的技術和密度都會加大數據挖掘的難度;最后,大數據時代的信息安全問題更加突出,被非法利用、泄露和盜取的數據信息往往會給國家和人民群眾造成較大的經濟社會損失。傳統計算機網絡的信息安全防護主要是利用網絡管理制度和監控技術手段來提高信息存儲、傳輸、解析和加密的保密性來實現的。在大數據時代背景下,網絡信息的規模、密度、傳播渠道都是非常多樣化的和海量的,網絡信息安全防護的措施也需要不斷補充和發展。目前網絡信息安全的主要問題可以概括為:一是網絡的自由特征會對全球網絡信息安全提出較大的挑戰;二是海量數據的防護需要更高的軟硬件設備和更有效的網絡管理制度才能實現;三是網絡中的各類軟件工具自身的缺陷和病毒感染都會影響信息的可靠性;第四是各國各地區的法律、社會制度、宗教信仰不同,部分法律和管理漏洞會被非法之徒利用來獲取非法利益。
2大數據時代背景下計算機網絡安全防護措施
2.1防范非法用戶獲取網絡信息
利用黑客技術和相關軟件入侵他人計算機或網絡賬戶謀取不法利益的行為稱為黑客攻擊,黑客攻擊是目前網絡信息安全防護體系中比較常見的一類防護對象。目前針對這部分網絡信息安全隱患問題一般是從如下幾個方面進行設計的:首先是完善當地的法律法規,從法律層面對非法用戶進行約束,讓他們明白必須在各國法律的范疇內進行網絡活動,否則會受到法律的制裁;其次是構建功能完善的網絡信息安全防護管理系統,從技術層面提高數據的可靠性;再次是利用物理隔離和防火墻,將關鍵數據進行隔離使用,如銀行、證券機構、政府部門都要與外部網絡隔離;最后是對數據進行不可逆的加密處理,使得非法用戶即使獲取了信息也無法解析進而謀利。
2.2提高信息安全防護技術研究的效率
大數據技術的發展是非常迅速的,這對信息安全防護技術的研究和發展提出了更高的要求。要針對網絡中的病毒、木馬和其他非法軟件進行有效識別和防護,這都需要國家和相關企業投入更多的人力物力成本才能實現。目前信息安全防護技術可以概括為物理安全和邏輯安全兩個方面,其中物理安全是保證網路系統中的通信、計算、存儲、防護和傳輸設備不受到外部干擾;邏輯安全則是要保障數據完整性、保密性和可靠性。目前主要的研究方向是信息的邏輯安全技術,包括安全監測、數據評估、撥號控制、身份識別等。這些技術研究的效率直接影響著網絡信息安全,必須組織科研人員深入研究,各級監管部門也要積極參與到網絡管理制度的建立和完善工作中來,從技術和制度兩個方面來提高信息防護技術的研究效率。
2.3提高社會大眾的信息安全防護意識
目前各國都對利用網絡進行詐騙、信息盜取等行為進行法律約束,也利用報紙、電視、廣播和網絡等途徑進行信息安全防護的宣傳教育。社會大眾要認識到信息安全的重要性,在使用網絡時才能有效杜絕信息的泄露和盜用,如提高個人電腦防護措施、提高密碼強度等。各級教育部門也要在日常的教學活動中對網絡信息安全的相關事宜進行宣傳和教育,提高未成年人的安全意識,這都是有效提高信息安全防護能力的有效途徑。
(一)檔案信息制度不健全帶來的信息安全隱患
在檔案信息化突飛猛進的背景下,相關的檔案信息安全管理制度卻未及時地建立起來,給別有用心的人竊取和不當利用檔案信息以可乘之機,嚴重危害著檔案信息的安全。比如,有的檔案管理單位解答了檔案利用者的問題,因為認為該問題具有代表性,就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護制度和保密意識,沒有對咨詢人的個人信息進行必要的屏蔽和處理,可能會造成用戶信息的泄露,侵犯檔案利用者的隱私權。再比如,有的地市住房公積金管理網絡系統由于缺乏相應的安全制度和技術保障措施,只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況,而個人的收入狀況屬于個人不愿向外界透漏的的隱私,這就造成了個人檔案信息的泄露。
(二)檔案網絡化管理帶來的信息安全隱患
網絡化管理給檔案管理工作帶來便利。但是,計算機感染木馬病毒和遭受黑客惡意攻擊的風險給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統,很可能會破壞檔案信息數據,甚至會采取篡改、盜竊、銷毀檔案數據的破壞手段,造成檔案管理的混亂,給檔案數據的安全性帶來致命損害。另外,以光盤、硬盤等存儲介質為載體的電子數據檔案有其自身不可克服的缺點,如信息數據不夠穩定、易于損壞和難以固定保存等,加之檔案存儲設備更新速度很快,若不對檔案存儲設備以及相關的計算機硬件和軟件及時更新,解決數字檔案的格式轉換等問題,極易造成檔案數據丟失、毀損或無法順利讀取等情況發生。
(三)檔案管理造成的信息安全隱患
檔案信息化對檔案管理人員的素質提出了更高的要求,要求檔案管理人員不但要精通檔案管理知識,還要精通互聯網知識、計算機和相應檔案管理軟件的操作方法。但是,當前檔案管理人員的年齡結構存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時,仍然拘泥于傳統的檔案管理模式,對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設備和檔案管理軟件研究不夠深入,操作熟練程度不夠等原因,在管理過程中容易造成檔案數據意外刪除等丟失毀損情況,構成檔案信息的安全隱患。
二、加強檔案信息安全的舉措
(一)加強制度建設,提高檔案安全管理意識
首先,單位領導要充分認識到檔案信息安全管理的重要性,制定相應的檔案信息安全管理制度,與檔案管理人員簽訂檔案安全管理責任承諾書,安排專門檔案管理人員對所有檔案信息進行保密管理,規范檔案信息的保密審查程序和公開程序,確保做到公開的檔案信息不,的檔案信息不公開。同時,要完善檔案信息安全防范機制,嚴格禁止其他計算機對檔案管理系統網絡的接入和訪問,的檔案信息不允許與互聯網聯接,的計算機要設置專用密碼,在轉為非計算機時要按照《保密法》的規定對存儲硬盤進行拆除。
(二)不斷提高檔案安全管理技術,做好電子檔案的異質備份工作
首先,提升檔案安全管理技術是保障檔案信息安全的有效途徑,要定期對管理檔案的計算機設備進行殺毒軟件的升級,及時對病毒進行掃描和查殺,避免木馬程序和黑客惡意侵入檔案管理系統。同時,定期對檔案管理設備如計算機設備、打印機、復印設備等進行檢查,確保各種檔案管理設備的正常使用。其次,承載電子數據檔案的存儲設備有別于傳統的檔案載體文件,對它的讀取必須依靠必要的硬件設備和閱讀軟件才能夠實現,對這些電子文件檔案同時轉化為其他類型的載體就成為必要。做好電子檔案的異質備份工作,就可以防止隨著技術的發展出現現有的電子檔案因為缺乏相應的閱讀設備和軟件而不能順利讀取的尷尬局面。異質備份的常見方法主要有:將網絡下載文件轉變成紙質文檔;將紙質文檔通過掃描等手段轉換成電子文檔;將現有的電子照片通過拷貝等形式制作成多份備查等。
(三)優化檔案管理人員結構,提高檔案安全防范意識
檔案管理的信息化對檔案管理人員的素質提出了更高要求,要優化檔案管理人員結構,建立形成梯隊的復合型檔案管理隊伍。檔案管理人員不但要熟悉檔案管理方面的業務知識以及相關的檔案管理法規,還要對計算機操作、互聯網知識等現代化的科技知識做到熟練掌握。這就要求我們必須要建立健全檔案管理人員的管理制度,對檔案管理人員的配備、流入流出等規定嚴格的程序,明確各類管理人員的工作職責和違反規定造成檔案安全信息不當泄露應承擔的責任。要定期對檔案管理人員進行業務知識和檔案信息安全管理方面的培訓,提高他們的安全防范意識和防范技能水平。
三、結語
1.1對軟硬件系統的依賴性
電子文件是按照確定的某種標準規則,記錄在特定載體上的編碼信息集合,需要特定的軟硬件系統環境才能翻譯閱讀。脫離了這種特定環境,就根本無法看到電子文件的存在和記錄的信息內容,所以電子文件對產生的標準規則及軟硬件系統環境有極強的依賴性。隨著信息技術的發展,原標準規則及計算機軟硬件技術發展更新,就有可能導致原有電子檔案信息無法讀識。電子檔案信息對軟硬件系統的過度依賴性給今后的安全問題帶來了很大的困難。
1.2存儲的高密度性
電子信息的發展和數量,呈幾何倍數增漲,海量的數據需要大容量的存儲介質,隨著記錄技術的快速發展,數字信息由早期的紙帶打孔到后來的磁帶、磁盤再到現在的光盤等,存儲密度不斷提高。目前一塊硬盤容量已達數個TB,一張藍光光盤通過納米級波長的藍光激光光源及多層記錄技術的應用,可以記錄數百GB數據。光盤上構成0和1數據刻痕直徑小于0.15μm,1張光盤可存數百萬張打印在紙上的文字信息。電子檔案的高密度,一方面對節約空間、拓展應用帶來有利條件,另一方面卻對電子檔案的保護提出了嚴格的要求,任何一個小的失誤或一條輕微的劃痕都有可能導致數量巨大的檔案信息遭到破壞。
1.3信息與載體之間的可分離性
傳統檔案是固化在某種載體上,不能分離,稱之為檔案實體,有明顯的原始性特征,不易被復制加工。而電子檔案,雖然依賴于軟硬環境,但按一定的規則可以非常輕易地被復制、更改,傳輸,可以做到迅速而不留任何痕跡。因此電子檔案的原始性、真實性、憑證作用就受到威脅和質疑。這種信息與載體之間的可分離性,給電子檔案信息的安全提出了前所未有的挑戰,檔案管理人員不僅要保護電子檔案實體不受破壞,同時也要保護信息內容不被人為篡改。
2檔案信息的保護目標
電子文件技術隨著整個計算機信息技術的發展而發展,電子文件的產生環境、文件格式、存儲介質在不斷更新,而作為檔案的電子文件卻需要長期或永久保存并被查詢利用。因此,如何確保電子檔案的長期可用性是保護電子檔案安全的主要任務之一。同時,電子檔案的真實性、完整性、安全保密性也是主要保護目標。
3電子檔案保護的技術措施
3.1電子檔案系統安全
電子檔案系統安全,一般是由硬件系統和軟件系統構成。硬件系統本身的安全稱為物理安全,軟件系統的安全主要有操作系統的安全、網絡系統的安全、數據庫系統安全及各種功能的應用軟件系統安全等。因此,這種保護措施可分以下幾類:1)設備層的安全管理。設備層的安全主要通過采用物理防范,解決機房場地的防災保護,電源的穩定與凈化,重要服務設備的冗余設計,安全可靠的存儲,以及信息系統的異地存儲保護,不低于3套的脫機光盤保存等,同時制定完整物理層面的管理規范和措施提供安全技術方案,使設備免受外來攻擊造成意外損失。2)網絡層的安全管理。網絡層的安全任務主要是防止病毒、木馬、黑客的攻擊,防止檔案數據被非法訪問。最有效的辦法就是運行檔案信息系統的網絡與外界實行物理隔離,但電子檔案的最大優勢,如遠程查訊利用、共享資源等受到局限。而在公共網絡上,資源雖可以得到充分利用,但安全問題又成為難題。近年來,隨著政務信息的公開,檔案資源的逐步開放,公共網上出現了越來越多的應用。外網的安全是必須面對并努力解決的問題,目前可以通過使用路由器及交換技術設置、防火墻、入侵防御系統等網絡安全策略的制定提供相對安全的解決方案。3)應用層的安全管理。應用層的安全主要通過使用網絡監控與恢復技術,防病毒、漏洞檢測,入侵檢測技術,上網行為管理等對網絡安全進行掃描、實時監控、權限控制、自動報警,并對計算機信息網絡系統的使用情況建立日志記錄,及時發現系統中的異常情況。
3.2電子檔案信息內容安全
確保電子檔案真實性、完整性、長期可讀性,是檔案信息內容安全的基本要求。電子文件的存放壽命依賴于存儲介質的壽命,理論上光盤的壽命可達百年,但實際上誰也不能保證該光盤數據10年后還能夠完整讀出。尤其文件格式技術上的發展與改進,軟件環鏡與硬件系統的更新,都需要檔案人員對存檔的電子文件進行備份轉存、文件存儲格式的轉換等維護。這一過程,要建立制度,明確責任,嚴格審核、評估、管理,以延續電子檔案保存期限,確保檔案內容的安全。另外,應用軟件系統中針對用戶權限的管理;檔案數據密級劃分,目錄和文件的讀寫權限,開放范圍的劃控等,是對在線檔案信息內容安全管理的必要手段,是任何一個檔案信息管理系統重點思考解決的問題。
4電子檔案信息的災難恢復
4.1災難恢復含義
《信息安全技術信息系統災難恢復規范》(GB/T20988—2007)中表述災難恢復是指將信息系統從災難造成的故障或癱瘓狀態恢復到可正常運行狀態,并將其支持的業務功能從災難造成的不正常狀態恢復到可接受狀態。將災難圈定為由于人為或自然災害,技術風險、設備故障等原因,造成信息系統運行嚴重故障或癱瘓。主要涉及的技術和方案有數據的存儲、備份和恢復;本地的高安全防護和遠程異地防護方案等。
4.2災難恢復前的存儲備份方式
信息數據的存儲、備份,是災難恢復的前提,沒有安全可靠的存儲、備份,無從談起恢復。備份的方式有多種多樣,最常用的主要是全備份、增量備份、差分備份。全備份是將整個系統中相關軟件、數據全部備份一遍;增量備份就是每次備份的數據只是相當于上一次備份后增加的和修改過的數據;差分備份就是備份上一次全備份之后新增加的和修改過的數據。全備份所需時間最長,占用的空間最大,但恢復操作最簡單,當系統中數據量不大時,采用全備份是可行可靠的;增量備份恢復起來比較麻煩,但每次的備份任務少,系統資源占用最少;差分備份相對節省存儲空間,恢復較方便,但備份時較麻煩。因此,在備份時要根據他們各自的特點靈活使用。在實際應用中,采用的備份方式常是以上幾種的結合。
4.3災難恢復采用的技術
確保檔案信息安全是檔案工作中最基本、最核心的任務之一。檔案信息安全關系到國家檔案文獻遺產和歷史文化的長久傳承,關系到國家核心信息資源的有效控制。只有在切實保障檔案實體和檔案信息絕對安全的前提下,檔案事業才能健康順利地發展。檔案信息安全觀是檔案工作者在工作實踐中形成的對檔案信息安全本質的認識和看法。隨著形勢任務的發展變化,檔案信息安全管理的內涵在不斷豐富,外延在不斷拓展,形式在不斷更新,必須以全面的、開放的、發展的、多維的眼光來審視檔案信息安全工作,摒棄那些陳舊的、狹隘的、落后的思想觀念,確立新的檔案信息安全觀。與傳統的檔案信息安全觀不同,新的檔案信息安全觀強調檔案信息安全是一個全面的、動態的、均衡的防護整體。所謂全面的,即檔案信息安全觀要由過去單一的、傳統的檔案保管、保護觀念向全面的檔案信息安全保障體系建設戰略轉變。所謂動態的,就是要居安思危,提高風險意識,開展風險評估,根據存在的問題,動態調整檔案信息安全保障體系。所謂均衡的,就是避免檔案信息安全保障體系出現任何環節的短缺而對整個檔案信息安全系統構成的威脅。
二、完善檔案建立信息安全設施,夯實基礎,強化機制
為了確保檔案信息安全,必須首先將建立檔案信息安全體系作為第一要務,以科學、合理、完善的檔案信息安全管理體制機制達到保障檔案信息安全的目的。諸如建立檔案信息安全危機預防與危機管理機制;實施重要檔案信息備份制度,提高抵御各種突發事件影響的能力;處理好檔案信息利用與保護的關系,提高檔案利用過程中檔案實體與信息安全的保障能力;完善受損檔案搶救制度,采取搶救和保護措施,把損失降到最低等各項制度措施,認真做好檔案信息化建設過程中的檔案信息安全保障工作。
三、健全檔案建立信息安全制度,明確責任,形成常態
對檔案信息安全構成威脅的因素來自各個層面和各個領域。因此,需要構建一個全面的法規制度體系,即國家、地方和檔案部門從三個不同的層面建立健全檔案信息安全法律法規體系,來保障檔案的絕對安全。當前,檔案信息安全管理的條款分布在《保密法》、《國家安全法》、《檔案法》、《檔案法實施辦法》和檔案工作的各項條例條令等規范之中,尚未形成專門的檔案信息安全管理制度或法律體系,需要我們依據國家的有關法規、結合檔案信息安全保障的具體實際,建立一整套具體可行的檔案信息安全管理制度,明確規定檔案信息安全的管理職責、管理要求、管理目標、管理內容等,依法實施組織管理,并形成常態化的趨勢。有了科學完善的檔案信息安全管理的法規,關鍵就在于具體、有效落實。必須在建立健全各項規章制度的基礎上抓好落實,要加強對檔案資源監測,嚴格檔案的管理和利用活動,依法管理,按章辦事,科學有效地實現檔案的管理與保護。依法嚴厲查處破壞檔案、危害檔案信息安全的行為,對污染環境、盜竊檔案、破壞檔案的重大事件要嚴肅查處,堅決打擊。同時還應當注意到:檔案信息安全是檔案工作的中心內容,不但要確保檔案在收集、整理、保管、編研中的信息安全問題,還要進一步強調責任意識,通過各級檔案部門和業務人員的分層包干、分層負責,消除檔案業務管理工作中可能出現的各種檔案信息安全隱患,確保檔案信息安全,努力做到萬無一失。
四、建立檔案建立信息安全隊伍,注重科研,培育人擦
鐵路投產運行的信息系統很多,有的系統按照等級保護要求確定了安全等級并建立了安全系統;有的系統在設計中考慮了安全等級,但在建設過程中并未按設計要求實施安全方案;還有的系統沒有考慮安全措施。針對鐵路信息系統投產運行后的實際情況,鐵路總公司有必要組織內外部測評隊伍,根據國家和總公司對信息安全的建設要求,對信息系統開展技術和管理兩方面的現狀評估,檢查信息系統在物理安全、網絡安全、主機安全、應用安全、數據安全以及安全管理上與相應安全等級標準的差距,進行差距分析,提出建設整改意見。
2安全等級測評
在信息系統等級保護安全建設完成和投產之前,首先組織內部測評隊伍對安全建設情況進行效果測評,發現不符合性提出整改建議。內部測評結束及整改驗收后,再聘請有第三方測評資質的測評機構進行等級測評,驗證與國家及行業等級保護標準的符合性。通過總公司內部和專業測評機構的兩級測評,可有效地推進國家及行業信息安全標準在全路的落實完善。按照GB/T22239-2008《信息安全技術—信息系統安全等級保護基本要求》中的等級測評要求,信息系統在運行過程中,等級保護測評工作要定期開展,其中三級系統每年要測評一次,四級系統每半年要測評一次。根據該要求,結合每年鐵路安全大檢查工作的需要,制定每年的安全大檢查計劃,組織內外部專業測評隊伍,對三級及以上的信息系統開展安全等級測評工作。
3安全建設整改
3.1機房物理環境整改
按照《鐵路行業信息機房設計及建設規范》、《鐵路行業信息機房管理規范》的要求,完善機房環境、設備管理、電源管理、安全管理和資料管理,并從防雷、防火、防水、防靜電、防盜竊、防破壞、電力供應、機房電源及環境監控等方面對機房環境進行改造。
3.2安全域劃分
按照《鐵路行業信息系統安全體系總體設計方案》,根據信息系統的安全等級,采用交換機劃分VLAN、設置訪問控制策略、部署防火墻等技術措施對信息系統進行安全域劃分。
3.3邊界網絡防護
明確總公司信息網絡、業務專網和互聯網的網絡邊界,對網絡邊界部署內、外部網絡訪問控制策略、入侵檢測等多項防護措施,并加強網絡邊界的監測。
3.4主機安全加固
遵照《鐵路行業信息系統安全加固實施指南》,通過配置安全策略、安裝安全補丁、修補系統漏洞、強化身份鑒別等方法對各類主機設備的操作系統、數據庫、中間件等及時進行策略配置和加固。
3.5應用及數據安全防護
依照國家和行業標準,從用戶身份認證、訪問控制、數據加密、容錯能力、日志審計等方面進行應用系統安全改造和建設。在數據安全防護方面,采用有效的數據備份策略對重要數據進行定期和增量備份,采用安全移動存儲介質進行必要的數據交換。
3.6強化信息安全隊伍建設
從安全管理、運行、監督、技術支持等方面加強行業內信息安全隊伍建設,確保安全責任落實。做好總公司、鐵路局兩級和一線服務、二線運維、三線技術支持安全運維服務隊伍,負責各系統日常安全運行維護工作。
3.7完善信息安全管理工作
為切實做好信息安全管理工作,總公司需要結合信息安全管理體系建設項目,以等級保護為抓手,將等級保護與信息安全日常管理緊密結合,將信息安全管理全面納入鐵路運輸安全生產管理體系,按照“誰主管誰負責、誰運行誰負責”和屬地化管理原則,逐級落實信息安全責任,建立與總公司信息化發展相適應的信息安全監督機制、應急機制、故障通報與處理機制、事件責任追究機制和風險管理機制。總公司在加強信息系統建設管理方面,需制定一系列的規章制度,包括《鐵路行業信息系統上下線管理規范》和《鐵路行業計算機應用軟件通用安全要求》等,明確系統定級備案、方案設計、產品采購使用、密碼使用、軟件開發、驗收交付、等級測評、安全服務等管理內容。
4安全措施落實
4.1建立鐵路信息系統安全技術體系
研究建立“一個中心(安全管理中心),三重防護(計算環境、區域邊界、信息網絡)”的鐵路信息系統安全縱深防護和主動防御的技術體系,按總公司、鐵路局、站段三級管理模式和信息系統運輸生產專網、內部服務網、外部服務網三網的特點,實現運輸組織及客貨營銷類信息系統“分級分區、專網專用、橫向隔離、縱向認證”的安全策略,經營管理類信息系統“三級獨立成域、主動防御、內外兼防”的安全策略。
4.2建設鐵路信息安全綜合管理平臺
鐵路信息安全綜合管理平臺是為總公司及下屬單位開展與信息安全管理相關工作的綜合工作平臺,功能將覆蓋總公司及其下屬單位的信息安全管理工作的主要內容,并支持公安部等級保護管理工作。平臺主要提供以下3類功能:
(1)以信息系統定級、備案、整改、測評和檢查等規定步驟為主線,實現等級保護工作任務的下發、執行、進度監控和督辦;
(2)風險管理、應急管理、安全檢查和事故通報等專項管理功能;
(3)日常辦公的綜合管理、培訓教育、標準管理等。
4.3建設鐵路信息安全一體化運行監控平臺
鐵路信息安全一體化運行監控平臺是集綜合網管、應用防護、IT運維、機房監控為一體的信息系統安全運行監控管理平臺,實現網絡監控、主機監控、機房監控、邊界防御、桌面終端安全的全方位監控功能。
4.4開展國產化和自主可控技術研究
在信息安全越來越重視國產化的大技術背景下,開展鐵路行業的信息安全國產化和自主可控技術的研究尤為重要。在國產化方面,緊緊圍繞鐵路網絡安全自主可控戰略目標,根據國產產品成熟情況,結合鐵路業務發展、業務需求,按照“統籌規劃、分步實施,應用牽引、平臺重構,項目推動、政策保障”的工作思路,采取“直接采用、對等替換、平臺替換”技術策略,進行信息系統國產化改造和構建鐵路信息安全等級保護技術體系的積極探索。在自主可控方面,通過統一標準、自主研發、自主實施、產權管理、風險評估、安全測評、安全管控、安全巡檢等手段實現信息系統全生命周期各階段的安全可控。
4.5開展基于云計算的安全技術探索
云計算已成為信息技術的重要發展方向,建立鐵路云應用平臺將對鐵路信息化應用技術產生深遠影響。云計算環境下的信息安全問題是信息安全技術領域面臨的一個新課題,在開展鐵路云應用平臺研究的同時,同步開展云安全應用技術的研究和探索,使基于云計算的鐵路應用平臺在設計、建設、投產3個環節將信息安全同步納入。
4.6建立鐵路信息安全評測體系與技術督查體系
采用安全檢查、風險評估、內外評測、安全運維等管理和技術手段,建立有效的安全測評與技術督查體系。通過在重要時間節點(如春運、暑運等)開展安全檢查和自查工作,使路局、站段管理人員保持安全意識;按照等級保護標準要求定期開展風險評估、等級評測等工作,確保等級保護安全手段能貫穿重要信息系統的始終;通過完善鐵路兩級三線安全運維服務體系,建立總公司、鐵路局兩級信息安全技術督查工作機制,將信息安全技術和管理有機結合起來,實現安全管理、運維、督辦相輔相成、相互監督的局面。
4.7等級保護示范工程仿真實驗環境及試點工程建設
1.1高校信息安全的概念
目前,信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為:通過實施一組控制而達到的、包括策略、措施、過程、組織結構及軟件功能,是對機密性、完整性和可用性保護的一種特性。美國對信息安全的定義是:對信息、系統以及使用、存儲和傳輸信息的硬件的保護。美國從技術和管理兩個角度出發,將信息安全概括為信息環境安全、信息數據安全、信息程序安全、信息運行系統安全四個方面。沈昌祥院士將信息安全定義為:“保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。”我國關于信息安全的定義基本上從技術和管理角度提出(主要指信息系統安全)。在本文中,筆者將高校信息安全界定為:高校信息安全是指確保涵蓋信息處理系統的安全、信息自身的安全和信息利用安全在內的,從電腦硬件安全、處理系統運行安全、信息數據安全、信息內容本身安全四個維度出發,對具有機密性、完整性和可用性的高校信息保護的一種特性。
1.2高校信息安全的內容
通過上文對高校信息安全概念的界定,筆者認為高校信息安全主要內容歸納為以下四個方面:一是從物理安全維度看,主要是校園網絡內運行的硬件設備的安全。涉及的是動力安全、設備安全、電磁安全、環境安全等;二是從運行安全維度看,主要涉及網絡系統的可控性、可用性、可信賴性等,即保障信息系統不被篡改、破壞或不被非法操作等;三是從數據安全維度看,保障校園網絡中流通數據的安全,既網絡中的數據不被篡改、非法增刪、復制、解密、盜用等;四是從內容安全維度看,是對信息本身內容真實性的鑒定、隱藏信息的發現以及對信息的選擇性阻斷。其中物理安全和運行安全是信息安全的基礎。
1.3高校信息風險表現及信息安全保障之必要性
高校信息風險主要表現為:一是高校“信息風險人群”比例遠高于國內其他行業“風險人群”。據360安全中心的《2013年第一季度中國個人電腦網上安全報告》顯示,國內高校“風險人群”比例為28.7%。比全國“風險人群”的25.8%高近3個百分點。二是高校引發信息安全的因素種類繁多。除自然因素外,如計算機病毒、黑客、釣魚網站、非法入侵盜號、系統的漏洞、人為操作等。三是高校的私有機密信息如學校公共數據、師生的個人信息、財務信息、檔案信息、設備資產信息、教務信息等重要數據容易泄露或被非法竊取。針對高校信息風險表現,積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識;二是有助于制定行之有效的信息安全管理制度,三是能促進高校信息安全保障機制的不斷完善,有效推進高校信息化進程;四是是能提高師生信息安全意識,促進我國信息安全專業人才的培養。
2高校信息安全風險分析
信息風險分析是一種主動識別信息風險的過程。筆者分別采用定性分析、定量分析、定性和定量相結合的方法對高校現實信息系統的實際情況做了調查研究、結合學校信息泄露案例進行分析,從共性上看,認為信息安全風險因素可以歸納為以下幾類。
2.1高校信息安全保護機制普遍存在認識不足,防護不夠的現象
首先,高校網絡系統使用人員信息安全意識淡薄。主要表現為大學生對信息安全缺乏足夠的重視,高校沒有成型的大學生信息安全教育模式,對大學生進行信息安全教育處于形式。高校對大學生的信息安全教育不夠重視,嚴重滯后于信息技術的發展。大學生對學校信息安全缺乏正確認識,對相關信息安全法律法規缺乏了解,信息安全意識淡薄。作為系統使用人員的教師,由于缺乏必要的信息安全知識和信息技術,對信息安全防護漠不關心,片面的以為學校信息安全屬于專業技術人員,于己無關。其次,高校信息管理人員安全意識淡薄。對于缺乏信息安全教育專業培訓的技術管理人員來說,他們缺乏“防黑防毒”意識,對于來自外部或內部的惡意攻擊缺乏警惕性,缺乏積極防御、保障信息安全的主動性。再次,高校信息安全專業人才的培養尚處于起步階段,高校貧缺專業信息安全管理人才。由于缺乏專業信息安全人才的專業指導,導致高校信息安全建設缺乏系統規劃和整體布局,對信息風險認識不夠,分析不徹底,所制定的信息保障策略存在漏洞。最后,對信息系統安全漏洞未能及時、定期修復。安全漏洞是指在網絡系統硬件、軟件、協議和系統安全策略存在的缺陷和錯誤。攻擊者就是通過研究這些漏洞向高校的信息系統傳播病毒,或者人為控制計算機系統。管理者只有及時修復這些漏洞,才可以確保信息安全。
2.2高校信息安全制度不健全,存在信息安全管理漏洞
雖然高校信息化普及很快,但大部分高校對信息安全在監督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度,高校內部管理相對松散,已有的制度大多數是趨于形式的要求而設立,沒有嚴格的監督檢查機制,甚至連信息安全領導小組都未成立,對突發的信息安全問題缺乏應急處置預案,出現頭痛醫頭,腳痛醫腳的忙亂應對現象。據初步統計,大部分的信息安全問題是由于管理疏忽或者管理不善造成的,因此,從管理角度加強信息管理,是能夠有效保障信息安全的。
2.3高校信息安全投入不足,安全保障設施不健全
目前高校數字化建設已經取得一定成績,數字化教學、管理、服務基本普及。但在管理和保障信息安全的設備上投入資金十分有限。首先因為用于保障信息安全設備成本較高,而信息風險的不確定性導致信息安全本身又不被領導充分重視,大部分高校安全保障配套設施陳舊;其次伴隨高校擴張,大部分高校網絡缺乏戰略發展規劃,網絡邊界設備之間缺乏有效的聯動,網絡拓撲結構不合理,內網和外網在數據交換及數據流轉方面存在不安全因素;最后為節約網絡運行成本,學校采取與網絡營銷商合作的方式來減少學校網絡運行維護人員,忽視對網絡安全維護方面的投入。
2.4高校缺乏對BYOD、云計算和大數據安全問題應對方案
由于在智能手機、平板電腦、超極本的智能終端使用某些應用比在PC上操作方式更簡單快捷,2013年移動辦公設備的信息安全問題成為安全信息的新問題。調查顯示,高校基本上還沒有制定相關的BYOD安全管理政策,以具體規定師生員工如何在學習工作場所中使用自己的移動。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風險分析的重要任務。高校在云計算信息安全方面專注于保護云計算主機站點的數據安全,對從移動終端訪問云數據的用戶安全重視不夠,他們經常面臨數據泄露、數據丟失、賬戶劫持、不安全的API、拒絕服務攻擊、內部人員的惡意操作、云計算服務的濫用、云服務規劃不合理、共享技術的漏洞等問題。
3高校信息安全保障策略
建立高效、協調、集成的數字化辦公系統是長春理工大學成為綜合性、研究型、開放式的國內一流大學的信息化保障,如何保障信息安全便成為建設數字化辦公系統需要面對的首要問題。
3.1加強信息安全知識教育和技能培訓,從信息主體層面增強網絡安全防護
為從根本上增強網絡安全防護,長春理工大學采取了一系列措施提高網絡信息主體——師生的信息安全防范意識和防范技能。一是加強國內外信息安全法律法規教育,增強師生信息安全法律意識。如:長春理工大學定期組織管理員、信息源接入人員、廣大師生學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核、登記制度》等國內外信息安全法律法規教育,普及信息安全知識,提高師生安全保密素質,讓師生明確維護信息安全的重要性和維護信息安全人人有責,充分發揮師生在信息安全維護中的主體作用。二是對師生進行信息安全技術培訓,提高師生信息安全防御技能。信息安全技術培訓主要是針對師生的實際需求,開展計算機應用和網絡運用技能的培訓,培養學生基本的網絡防御技能。長春理工大學多年來一直堅持定期邀請專職技術人員對學校師生進行信息安全技術培訓。如電腦操作系統定期更新,及時修補電腦安全漏洞,辨別不良網站等知識,讓師生學會日常的安全操作和系統維護。
3.2堅持校園網硬件投入和有效信息技術的充分融合,確保網絡運行安全
首先,建立完整的校園網絡病毒防御體系。一是安裝正版殺毒軟件。如:長春理工大學將正版的殺毒軟件掛在學校的信息中心網站上,讓學校教師免費使用正版殺毒軟件,通過利用正版殺毒軟件定期掃描殺毒,及時修復系統漏洞,遇到問題及時向軟件開發商發送錯誤報告并進行分析,定期升級防毒軟件、更新病毒庫等,有效保障了學校電腦的安全運行。二是詳細設置防火墻防范策略。對操作系統的端口配置嚴格把關,必須及時做到開放該開放的,關閉不需要的端口。對外提供網絡服務的服務器。把必須利用的端口開放,其他的端口必須全部關閉。三是安裝與配置IDS入侵檢測系統。入侵檢測系統主要監控內部網絡操作行為及多種攻擊,是檢測防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統。如:長春理工大學為每位教工電腦安裝漏洞掃描系統,采用主動探測的方式快速獲取目標設備的脆弱點,從而協助系統操作人員對目標系統建立風險快照。分別采用ping掃描、端口掃描、OS探測、脆弱點探測等技術對指定的遠程或本地的計算機系統的安全威脅進行定期掃描檢測,及時修補各種漏洞。其次,以防內為主,內外兼防為輔,確保信息終端平臺的可信賴性。安全終端平臺的建設依靠密碼服務和安全操作系統支持。一是確保終端平臺用戶的合法性,用戶只能根據規定的權限和控制規則進行操作;二是采用身份認證、訪問控制、密碼加密等措施,構建計算機系統應用環境安全,如:長春理工大學教師采用一卡通的上網卡號進行身份認證;三是建立提供認證、授權、檢測、應急和處理非法訪問服務的信息安全管理中心,提供互聯互通的密碼配置,公鑰證書等密碼服務措施。具體保障措施如下:選用LOTUSNOTES/DOMINO作為辦公自動化系統的主要開發平臺。(1)數據加密。包括使用秘鑰對電子郵件文檔加密;網絡端口級加密;使用SSL對在INTERNET客戶機和DOMINO服務器間或在NOTES工作站和INTERNET服務器間傳送的住處進行加密;域、文檔和數據庫加密。(2)NOTES的數字簽名,身份認證包括NOTES工作站與DOMINO服務器之間的認證以及客戶端與mMmo服務器之間的認證。(3)NOTES還允許用戶通過建立群組的角色的方式來規劃NOTES數據庫的訪問安全性。(4)利用雙網卡主機技術實現辦公網絡安全隔離。(5)引入第三方的公鑰基礎結構(PK),進一步改善網絡系統的安全性。
3.3建構多重信息安全管理渠道,加強信息安全運行的制度保障
首先,設置層次明晰,職能合理的信息安全管理機構。依照“預防為主,綜合治理”、“制度防范和技術防范相結合”的原則,信息安全管理實行三級管理機制,由領導決策并負監督,中層干部管理,基層操作者具體執行。以長春理工大學為例,近年來學校建立了信息安全管理的三級管理機制,成立了專門的信息中心,處級單位,配備具有專業知識的工作人員,由一名副校長分管學校信息安全工作,中層領導分管本部門的信息安全工作,基層建立兼職信息員隊伍,具體負責本部門的信息安全工作,使得信息安全工作層層落實。同時學校還制定了具體的組織體系和信息安全工作職責,厘清三級體制下各級各部門的具體職責;制定了《長春理工大學信息員管理辦法》,詳細規定各信息安全崗位人員管理考核辦法,使信息安全工作落到實處。其次,建立常規管理制度、應急處理和定期評估制度。一是針對信息安全具有復雜性、動態性和突發性強的特點,制定常規化信息管理制度。如長春理工大學先后制定了《長春理工大學操作系統和數據庫的安全配置程序管理制度》、《長春理工大學網絡信息中心機房管理制度》、《長春理工大學計算機案件和事故報告制度》、《長春理工大學計算機病毒及有害數據報告制度》、《長春理工大學病毒檢測和安全漏洞檢測制度》、《長春理工大學網絡設備管理制度》、《長春理工大學信息審核制度》等多項信息管理制度。二是制定應急處理機制,對于突發的、涉及范圍廣,危害性大或影響深的信息安全事件采取有效的應對措施,有效控制信息危機的發生。如長春理工大學成立信息危機應急處理小組,及時應急處理方案和信息,有效控制信息危機的發生。三是注意日常信息安全動態,建立定時測評,不定期檢查,隨時抽查的信息檢查制度,如:長春理工大學建立了信息檢查制度,不定期檢查各基層單位信息安全情況,并對相關測評、檢查、抽查的情況進行匯總形成相關信息安全檢查日志,及時通報相關部門。
3.4設立信息技術咨詢指導部門,促進信息安全防護與前沿信息技術的緊密結合
沒有一勞永逸的信息安全保障策略。隨著信息技術的發展,保障策略要不斷更新、完善。例如:長春理工大學組建專業技術咨詢指導部門,成立了長春理工大學信息中心,由專職工作人員跟蹤最前沿的安全信息及新信息技術的發展動態,尋找已有防御網絡隱患,積極引進前沿網絡技術,并為信息安全保障系統建設提供專業、合理、可行化建議,積極完善和革新信息安全保護措施,取得了較好的效果。學校還將最新的技術發展及時體現在校園網絡系統中,并對相關信息維護人員進行專業化培訓,應對隨時可能爆發的信息安全事件,增加廣大師生的信息安全知識,提高信息安全意識,使學校的信息安全工作切實做到實處,收到了實效。
4結語
一般情況下,虛擬蜜罐系統將蜜罐技術Honeypot與虛擬化技術結合起來,在欺騙服務器設置不存在的漏洞,然后形成仿真流量,并且偽裝成現實所不存在的相關文件地址,對整個網絡進行模擬,充分利用看似真實和有利用價值的虛假信息使Honeypot更具備吸引力。
1.1設計IP空間欺騙
用一臺服務器就能夠實現多主機虛擬,主要是在網卡上設計許多個IP,此IP都要具備自身的MAC地址,這好像存在許多計算機,但實際只有一臺。
1.2網絡流量仿真
為了能有效蒙蔽攻擊者,虛擬蜜罐系統對網絡流量進行仿真,由于系統不會形成網絡流量,因此攻擊者難以依據流量的具體來源進行判斷。然后進行系統的動態配置,為了創建一個真實的虛擬網絡,利用系統的動態配置完成系統正常行為的模擬,從而使此虛擬系統狀態為動態,由于部分具備豐富經驗的黑客,會通過長期觀察的方法檢測虛擬蜜罐自身的真實性,若是系統的狀態始終不變,就很容易被黑客發現,造成虛擬蜜罐失效,難以實現長期誘騙攻擊者的作用。
1.3組織信息進行欺騙
為使虛擬蜜罐具備真實性,部分資源信息對外開放,例如為了不使攻擊者所察覺,DNS中的個人信息可以在虛擬蜜罐中設計相應的虛假信息,從而有效蒙蔽攻擊者。
1.4端口的重定向技術
運用重定向的服務,完成地址的及時轉換,把虛假網絡與真實網絡有效區分,同時利用計算機替換可信度相對較低的欺騙,然后使利用虛擬地址融合在欺騙的系統之中。另外,為了降低公共默認端口的損壞機率,一定要通過端口的重定向進行隱蔽,以達到虛擬蜜罐配置的目標。
2虛擬蜜罐在校園網安全中的應用
通過對校園網中出現的安全問題分析,研究表明,校園網中存在的安全隱患主要是因為管理人員信息安全意識不高,并且校園網中的信息安全軟件和硬件等相關配置欠缺,從而造成了管理人員難以管理。虛擬蜜罐技術中的蜜罐軟件Honeyd具備簡單實效和支持插件等特點,能夠對校園網的網絡安全防護進行有效補充。Honeyd作為一項先進的網絡框架,將很多的虛擬蜜罐和相應的網絡形式進行融合。此外,Honeyd支持IP協議,可依據虛擬蜜罐的相關配置提供服務,準確的處理網絡發送給蜜罐的網絡請求。
2.1利用虛擬蜜罐技術強化WEB服務器的安全性
通常,校園網中的信息資源通過WEB應用系統提供服務,大多數院校主要利用網絡防火墻技術對訪問用戶進行限制,但是在運行過程中,因多數WEB應用系統自身存在漏洞,因此WEB服務器常受到互聯網中的異常攻擊。
2.2查找安全隱患,進行預防
計算機病毒是校園網資源的致命威脅,病毒的擴散會造成網絡癱瘓,導致教育教學工作難以進行。一般的策略是強制用戶安全認證,在客戶端安裝病毒防護等安全軟件,但是對于新型病毒卻難以進行防護。利用虛擬蜜罐系統中的主動捕獲防范,能及時的發現新的安全威脅,然后利用傳統安全技術進行防御,從而加強校園網信息安全。綜上所述,虛擬蜜罐技術在校園網中的應用,提高了校園網絡的安全性能,有效的保證了院校信息化建設的順利推進,為教育教學工作提供了保障。
3結束語
隨著全員信息安全意識的提高,外匯分局信息安全工作正日益完善,但與中央網信辦和外匯局的要求還有一定差距,存在一些薄弱環節,主要表現在以下幾方面。一是缺乏完整、成體系的信息安全制度。外匯分局已有的制度里沒有完全涵蓋從機構建設、人員管理到數據管理、運維管理、應急管理以及教育培訓等一系列規范的信息安全內容。二是人員管理方面。人員離崗離職后沒有及時收回或變更其在相關應用系統里的權限。三是網絡安全防護上方面。外匯分局網絡各區域間邊界不清晰,缺乏必要的安全防護設備。另外,對內部網絡的用戶管理較松,容易發生對系統的非授權訪問或者冒充合法用戶訪問等問題。四是終端計算機安全防護方面。外匯分局終端都由人民銀行科技部門統一管理,統一下發補丁軟件,但是存在業務人員在終端機上安裝與工作無關軟件的情況,導致植入病毒的幾率大大增加,為系統安全埋下隱患。五是安全教育培訓及安全檢查方面。外匯分局對于全員安全意識教訓及專業技能培訓比較欠缺,特別是對所轄中心支局業務人員的安全教育培訓不足,安全檢查的廣度和深度也不夠。
二、結合實際,提升信息安全保障措施
外匯分局在查找出信息安全風險隱患后,應結合自身實際,從管理和技術兩方面采取相應的防護措施。
(一)加大信息安全管理制度的體系建設
一是建立系統的信息安全管理制度。外匯分局應遵循“誰主管誰負責、誰運行誰負責”的原則,按照相關要求明確信息安全管理機構及責任人,制度應涵蓋人員管理、資產管理、數據管理、網絡管理、運維管理、應急管理、教育培訓等內容。二是加強信息安全應急管理。外匯分局應制定應急預案,保障應急資源,并定期或不定期地進行應急演練。
(二)加強信息安全技術防護措施
一是建立良好的網絡安全防護措施。針對近期的網絡改造工程,外匯分局應明確各區域的網絡邊界,做好邊界防護措施,并制定制度進一步規范網絡用戶的操作,完善網絡設備的安全配置及審計措施。二是做好應用系統的安全訪問控制。外匯分局對所有的應用系統,包括電子郵箱、門戶網等,都應做好用戶權限管理和劃分。三是規范終端計算機的安全操作行為。主要是建立相應制度規范業務人員操作,并在終端上設置賬戶密碼保障安全。針對WindowsXP停止安全服務的情況,外匯分局應卸載與工作無關的應用程序、關閉不必要的服務和端口等,不斷加強對使用WindowsXP系統終端計算機的管理。
(三)強化信息安全教育培訓
外匯分局應采取各種方法做好信息安全教育培訓。除開展提高安全意識的培訓外,還需要加強信息安全知識及安全防護技能的培訓。
(四)深入開展信息安全檢查工作
1.1計算機軟件的自身安全缺陷計算機軟件系統中分為兩大塊:操作系統軟件和應用系統軟件。而任何軟件在誕生之初,都或多或少有其自身的設計缺陷,也正是由于這種缺陷,給網絡不法分子以可趁的機會,如:網絡黑客能輕易的進入計算機核心內部,篡改或偷取計算機中的重要數據信息等。這也就嚴重威脅了計算機中的數據信息安全。
1.2用戶安全意識不強烈現在社會發生很多因為自身的網絡防范意識不高,而導致在網絡世界中上當受騙的事件,這不僅造成了受騙者的經濟損失,嚴重的還丟失了其重要的信息文件。使用互聯網的每一個用戶,都應該充分認識到網絡的虛假性這一特點,時刻保持對其自身信息安全的防范意識,如:在公共網絡場所(網吧、電腦房等地),不要探討網絡與信息安全的風險與對策楊玉娣上海科技管理學校200433輕易在其計算機內保存自己的重要文件信息或登記個人信息,這很容易被他人盜取或盜用其個人信息。并且,不要輕易接受陌生人的遠程操控要求。所以,用戶也應該增強自身對網絡信息安全的意識,對計算機多設置設置一些安全屏障。
1.3計算機病毒入侵計算機病毒是一種人為的特制程序。病毒若存在于計算機之中,會對其內部的信息進行存取、復制、傳送。因此,計算機病毒對其網絡信息安全起到了嚴重的威脅,具有巨大的破壞性和觸發性。病毒入侵于電腦之中的主要手段是:互聯網黑客將網絡病毒放入一些不法網站之中,只要用戶點擊進去,就會導致計算機軟件中病毒。而只要這些病毒存在于計算機之中,都會嚴重影響其計算機的運行速度,甚至導致計算機互聯網整體癱瘓,從而導致計算機內部的信息安全性被大大降低。
1.4黑客網絡攻擊黑客攻擊手段可分為非破壞性攻擊和破壞性攻擊兩類。非破壞性攻擊是指擾亂計算機系統的運行,并不盜取系統內部信息資料,通常采用的攻擊手段為拒絕服務攻擊或信息炸彈;破壞性攻擊是以侵入他人電腦系統、盜取系統保密信息、破壞目標系統數據為目的。其黑客攻擊手段主要為密碼破解。而一般黑客進行網絡攻擊的目標,還是為了獲取目標人中的電腦內部信息資料。所以,黑客在登陸目標主機之后,會直接進入文件系統中的/etc/hosts,把其中的信息資料復制回去。而這種黑客互聯網攻擊行徑,都對嚴重威脅到了網絡信息的安全。
2保障網絡信息安全的防范措施
2.1提高用戶的互聯網安全意識用戶在計算機保存重要信息的時候,隨時做好數據備份,并對其進行多重加密,以防止數據丟失或泄露。用戶定期維護計算機網絡系統的安全運行,且提高健康上網的意識,如:不瀏覽、不點擊非法網站,從而防止病毒入侵。
2.2建立網絡防火墻防火墻是一種連接內部互聯網和外部互聯網之間的互聯網安全系統。使用防火墻的主要作用有:
(1)防火墻可以強化計算機內部的安全系統。
(2)能對網絡上的所有活動進行有效記錄。
(3)防火墻可以保護網絡用戶點,可以防止有效防止用戶網絡信息的泄露。
(4)防火墻也是一個安全性能很高的檢查站,所有進出計算機網絡的信息都必須經過它的審核,只有安全的信息訪問才可能進入電腦之中;而對可疑的網絡,防火墻會把它拒絕在電腦之外。因此,建立網絡防火墻可以對網絡通信中的產生的數據流進行有效檢測和管理,能使合法的信息得到合法的傳輸,從而有效的防止了非法信息的入侵,避免了計算機內部重要的信息被黑客盜取或篡改。
2.3信息加密計算機網絡的信息安全通常主要使用的防護技術是信息加密。它主要是對信息進行傳輸之前,通過信息加密的算法進行操作,進而提高網絡使用安全。在電腦中使用信息加密的方式,可以有效的降低網站訪問權限,而加密設備也只有通過利用密鑰交換原始信息,才可以獲得到密文的,并把密文轉變成原始信息的整個過程被稱作解密。在實際的操作過程中,硬件上加密和解密的設備類型必須匹配,軟件上加密和解算法也要同時符合要求。
2.4安裝入侵檢測系統入侵檢測系統是指對計算機和網絡資源的惡意使用行為進行識別和對其相應處理的系統軟件。它是專門為保證計算機系統的安全而設置和配置的一種可以及時發現并報告計算機內部異常現象的技術,也是一種應用于檢測計算機網絡中違反安全策略行為的技術手段。而入侵檢測也一般被認為是防火墻的第二道安全閘門,它可以幫助系統對付網絡攻擊,擴展了系統管理員的安全管理能力(包括安全審計、監視、進攻識別和響應),提高了信息安全基礎結構的完整性。它從計算機網絡系統中的若干關鍵點中收集信息,并分析這些信息,看看網絡中是否有違反安全策略的行為和遭到襲擊的跡象。并在不影響網絡性能的情況下能對網絡進行監測,從而提供對內部攻擊、外部攻擊和誤操作的實時保護。因此,入侵檢測系統能有效防止網絡信息被泄露等問題的發生。
3結束語
