时间:2023-03-20 16:26:56
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇信息安全研究论文范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
1.1基础设施的可用性:运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键,网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。
1.2数据机密性:对于内部网络,保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。
1.3网络域的可控性:电子政务的网络应该处于严格的控制之下,只有经过认证的设备可以访问网络,并且能明确地限定其访问范围,这对于电子政务的网络安全十分重要。
1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失,硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此,在电子政务安全体系中必须包括数据的容灾与备份,并且最好是异地备份。
2电子政务信息安全体系模型设计
完整的电子政务安全保障体系从技术层面上来讲,必须建立在一个强大的技术支撑平台之上,同时具有完备的安全管理机制,并针对物理安全,数据存储安全,数据传输安全和应用安全制定完善的安全策略
在技术支撑平台方面,核心是要解决好权限控制问题。为了解决授权访问的问题,通常是将基于公钥证书(PKC)的PKI(PublicKeyInfrastructure)与基于属性证书(AC)的PMI(PrivilegeManagementInfrastructure)结合起来进行安全性设计,然而由于一个终端用户可以有许多权限,许多用户也可能有相同的权限集,这些权限都必须写入属性证书的属性中,这样就增加了属性证书的复杂性和存储空间,从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题,作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成,在该模型中:
2.1终端用户:向验证服务器发送请求和证书,并与服务器双向验证。
2.2验证服务器:由身份认证模块和授权验证模块组成提供身份认证和访问控制,是安全模型的关键部分。
2.3应用服务器:与资源数据库连接,根据验证通过的用户请求,对资源数据库的数据进行处理,并把处理结果通过验证服务器返回给用户以响应用户请求。
2.4LDAP目录服务器:该模型中采用两个LDAP目录服务器,一个存放公钥证书(PKC)和公钥证书吊销列表(CRL),另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。
安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理,安全技术实际上只是实现管理的一种手段,再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实;安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。
转贴于中国论文下载中心www
3电子政务信息安全管理体系中的风险评估
电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析,构建电子政务系统的风险因素集。
3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义,结合系统面临的风险、系统特定安全保护要求和成本开销等因素,采取相应的安全保护措施以保障信息和信息系统的安全。
3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子,其他文献,例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法,另外,一些组织还提出了自己的风险评估工具,例如OCTAVE、CRAMM等。
电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南,从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中,资产的评估主要是对资产进行相对估价,其估价准则依赖于对其影响的分析,主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估,主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估,主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动,主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息,最终生成风险信息。
在确定风险评估方法后,还应确定接受风险的准则,识别可接受的风险级别。
4结语
电子政务与传统政务相比有显著区别,包括:办公手段不同,信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同,实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同,直接与公众沟通是实施电子政务的目的之一,也是与传统政务的重要区别。在电子政务的信息安全管理中,要抓住其特点,从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案,这样才能达到全方位实施信息安全管理的目的。
参考文献:
[1]范红,冯国登,吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.
一、电子商务网络信息安全存在的问题
电子商务的前提是信息的安全性保障,信息安全,胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:
1、网络信息安全方面
(l)安全协议问题。目前安全协议还没有全球性的标准和规范,相对制约了国际性的商务活动。此外,在安全管理方面还存在很大隐患,普遍难以抵御黑客的攻击。
(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介,不少新病毒直接以网络作为自己的传播途径,在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。
(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心,所以服务器特别容易受到安全的威胁,并且一旦出现安全问题,造成的后果会非常严重。
2、电子商务交易方面
(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台,在这个平台上交易双方是不需要见面的,因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息,仿冒合法用户的身份与他人进行交易。
(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认,以推卸自己应承担的责任。
(3)交易的修改问题。交易文件是不可修改的,否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改,以保证商务交易的严肃和公正。
二、电子商务中的网络信息安全对策
1、电子商务网络安全的技术对策
(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证,应用数字签名可在电子商务中安全,方便地实现在线支付,而数据传输的安全性、完整性,身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能阻止网络中的黑客来访问你的网络,防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流,提供接人控制和审查跟踪,是一种访问控制机制。在逻辑,防火墙是一个分离器、限制器,能有效监控内部网和工nternet之间的任何活动,保证内部网络的安全。
(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地,对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点,全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说,应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。
2、电子商务网络安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑,根据轻重程度划分好不同的保密级别,并制定出相应的保密措施。
(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证,应由专职网络管理技术人员承担,为安全起见,其他任何人不得介人,主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。
(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性,除了安装防病毒软件之外,还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外,还可将网络系统中易感染病毒的文件属性、权限加以限制,断绝病毒人侵的渠道,从而达预防的目的。
(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统,应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份,通过以土保护措施可为系统数据安全提供双保险。
三、电子商务的网络安全体系结构
电子商务的网络信息安全不仅与技术有关,更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:
1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性,保证其可靠哇和为系统提供基础性作用的安全机制。
2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制,系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。
3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。
一、电子商务的安全需求
1.信息有效性、真实性
电子商务以电子形式取代了纸张,如何保证这种电子形式的贸易信息的有效性和真实性则是开展电子商务的前提。电子商务作为贸易的一种形式,其信息的有效性和真实性将直接关系到个人、企业或国家的经济利益和声誉。
2.信息机密性
电子商务作为贸易的一种手段,其信息直接厂代表着个人、企业或国家的商业机密。传统的纸面贸易都是通过邮寄封装的信件或通过可靠的通信渠道发送商业报文来达到保守机密的目的。电子商务是建立在一个较为开放的网络环境上的,商业防泄密是电子商务全面推广应用的重要保障。
3.信息完整性
电子商务简化了贸易过程,减少了人为的干预,同时也带来维护商业信息的完整、统一的问题。由于数据输入时的意外差错或欺诈行为,可能导致贸易各信息的差异。因此,电子商务系统应充分保证数据传输、存储及电子商务完整性检查的正确和可靠。
4.信息可靠性、不可抵赖性和可鉴别性
可靠性要求即是能保证合法用户对信息和资源的使用不会被不正当地拒绝;不可抵赖性要求即是能建立有效的责任机制,防止实体否认其行为;可鉴别性要求即是能控制使用资源的人或实体的使用方式。
5.系统的可靠性
电子商务系统是计算机系统,其可靠性是防止计算机失效、程序错误、传输错误、自然灾害等引起的计算机信息失误或失效。
二、电子商务的信息安全技术
1.数据加密技术
加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。面向网络的加密技术通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息,从而保证网络的连通性和可用性不受损害。面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出特殊要求,对电子邮件数据实现了端到端的安全保障。
1)电子商务领域常用的加密技术数字摘要(digitaldigest)
这一加密方法亦称安全Hash编码法,由RonRivest所设计。该编码法采用单向Hash函数将需加密的明文“摘要”成一串128bit的密文,这一串密文亦称为数字指纹(FingerPrint),它有固定的长度,且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。这样这串摘要便可成为验证明文是否是“真身”的“指纹”了。
数字签名(digitalsignature)
数字签名将数字摘要、公用密钥算法两种加密方法结合起来使用。主要方式是报文的发送方从报文文本中生成一个128位的散列值(或报文摘要),用自己的私有密钥对这个散列值进行加密来形成发送方的数字签名。然后,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出128位的散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密,如果两个散列值相同,那么接收方就能确认该数字签名是发送方的,通过数字签名能够实现对原始报文的鉴别。概括的说,签名的作用有两点,一是因为自己的签名难以否认,从而确认了文件已签署这一事实;二是因为签名不易仿冒,从而确定了文件是真的这一事实。
数字时间戳(digitaltime-stamp)交
易文件中,时间是十分重要的信息。在电子交易中,需对交易文件的日期和时间信息采取安全措施,而数字时间戳服务(DTS)就能提供电子文件发表时间的安全保护。时间戳(time-stamp)是一个经加密后形成的凭证文档,它包括三个部分:需加时间戳的文件的摘要(digest);DTS收到文件的日期和时间;DTS的数字签名。
数字证书(digitalcertificate,digitalID)数字证书又称为数字凭证,是用电子手段来证实一个用户的身份和对网络资源的访问的权限。目前,最有效的认证方式是由权威的认证机构为参与电子商务的各方发放证书,证书作为网上交易参与各方的身份识别,就好象每个公民都用身份证来证明身份一样。认证中心作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任,是一个负责发放和管理数定证书的权威机构。因而网络中所有用户可以将自己的公钥交给这个中心,并提供自己的身份证明信息,证明自己是相应公钥的拥有者,认证中心审查用户提供的信息后,如果确认用户是合法的,就给用户一个数字证书。这样,每个成员只需和认证中心打交道,就可以查到其他成员的公钥信息了。对于在网上进行交易的双方来说,数字证书对他们之间建立信任是至关重要的。数字凭证有三种类型:个人凭证、企业(服务器)凭证、软件(开发者)凭证;大部分认证中心提供前两类凭证。
2.身份认证技术
为解决Internet的安全问题,初步形成了一套完整的Internet安全解决方案,即被广泛采用的公钥基础设施(PKI)体系结构。PKI体系结构采用证书管理公钥,通过第三方的可信机构CA,把用户的公钥和用户的其他标识信息(如名称、e-mail、身份证号等)捆绑在一起,在Internet网上验证用户的身份,PKI体系结构把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的机密性、完整性。
1)认证系统的基本原理
利用RSA公开密钥算法在密钥自动管理、数字签名、身份识别等方面的特性,可建立一个为用户的公开密钥提供担保的可信的第三方认证系统。这个可信的第三方认证系统也称为CA,CA为用户发放电子证书,用户之间利用证书来保证信息安全性和双方身份的合法性。
2)认证系统结构
整个系统是一个大的网络环境,系统从功能上基本可以划分为CA、RA和WebPublisher。
核心系统跟CA放在一个单独的封闭空间中,为了保证运行的绝对安全,其人员及制度都有严格的规定,并且系统设计为一离线网络。CA的功能是在收到来自RA的证书请求时,颁发证书。
证书的登记机构RegisterAuthority,简称RA,分散在各个网上银行的地区中心。RA与网银中心有机结合,接受客户申请,并审批申请,把证书正式请求通过建设银行企业内部网发送给CA中心。
证书的公布系统WebPublisher,简称WP,置于Internet网上,是普通用户和CA直接交流的界面。对用户来讲它相当于一个在线的证书数据库。用户的证书由CA颁发之后,CA用E-mail通知用户,然后用户须用浏览器从这里下载证书。
3.网上支付平台及支付网关
网上支付平台分为CTEC支付体系(基于CTCA/GDCS)和SET支付体系(基于CTCA/SET)。网上支付平台支付型电子商务业务提供各种支付手段,包括基于SET标准的信用卡支付方式、以及符合CTEC标准的各种支付手段。
支付网关位于公网和传统的银行网络之间,其主要功能为:将公网传来的数据包解密,并按照银行系统内部的通信协议将数据重新打包;接收银行系统内部的传回来的响应消息,将数据转换为公网传送的数据格式,并对其进行加密。此外,支付网关还具有密钥保护和证书管理等其它功能。
三、电子商务信息安全中的其它问题
1.内部安全
最近的调查表明,至少有75%的信息安全问题来自内部,在信用卡和商业诈骗中,内部人员所占的比例最大;
2.恶意代码
它们将继续对所有的网络系统构成威胁,并且,其数量将随着Internet的发展和编程环境的丰富而增多,扩散起来也更加便利,因此,造成的破坏也就越大;
3.可靠性差
目前,Internet主干网和DNS服务器的可靠性还远远不能满足人们的要求,而绝大
部分拨号PPP连接质量并不可靠,且速度很慢;
4.技术人才短缺
由于Internet和网络购物都是在近几年得到了迅猛的发展,因而,许多地方都缺乏足够的技术人才来处理其中遇到的各种问题,尤其是网络购物具有24x7(每天24小时,每周7天都能工作)的要求,因而迫切需要有一大批专业技术人员对其进行管理。如果说加密技术是电子交易安全的“硬件”,那么人才问题则可以说是“软件”。从某种意义上讲,软件的问题解决起来可能更不容易,因此,技术人才的短缺可能成为阻碍网络购物发展的一个重要因素。
5.Web服务器的保护意识差
在交易过程中对数据进行保护只是保证交易安全的一个方面。由于交易的信息均存储在服务器上,因此,即使保密信息被客户端接收之后,也必须对存储在服务器中的数据进行保护。目前,Web服务器是黑客们最喜欢攻击的目标。因此,建议尽量不要将Web服务和连接到任何内部网络,而且要定期对数据进行备份,以便于服务器被攻击之后对数据进行恢复。当然,这毕竟有些不太现实,现在许多流行的Web应用都需要Web服务器与公司的数据库进行交互式操作,这就要求服务器必须与公司内部网络相连,而这个连接也就成为黑客们从Web站点侵入企业内部网络的一条通路。虽然防火墙技术有助于对web站点进行保护,但商家却很少安装防火墙或对其缺乏有效的维护,因而没有对Web服务器进行很好的保护,这是商家的Web站点尤其要引起注意的地方。
四、与电子商务安全有关的协议技术讨论
1.SSL协议(SecureSocketsLayer)安全套接层协议———面向连接的协议。
SSL协议主要是使用公开密钥体制和X.509数字证书技术保护信息传输的机密性和完整性,它不能保证信息的不可抵赖性,主要适用于点对点之间的信息传输,常用WebServer方式。但它是一个面向连接的协议,在涉及多方的电子交易中,只能提供交易中客户与服务器间的双方认证,而电子商务往往是用户、网站、银行三家协作完成,SSL协议并不能协调各方间的安全传输和信任关系。
2.SET协议(SecureElectronicTransaction)安全电子交易———专门为电子商务而设计的协议。由于SET提供了消费者、商家和银行之间的认证,确保了交易数据的安全性、完整可靠性和交易的不可否认性,特别是保证不将消费者银行卡号暴露给商家等优点,因此它成为了目前公认的信用卡/借记卡的网上交易的国际安全标准。虽然它在很多方面优于SSL协议,但仍然不能解决电子商务所遇到的全部问题。
结束语
本文分析了目前电子商务的安全需求,使用的安全技术及仍存在的问题,并指出了与电子商务安全有关的协议技术使用范围及其优缺点,但必须强调说明的是,电子商务的安全运行,仅从技术角度防范是远远不够的,还必须完善电子商务立法,以规范飞速发展的电子商务现实中存在的各类问题,从而引导和促进我国电子商务快速健康发展。
[参考文献]
①姚立新,新世纪商务:电子商务的知识发展与运作,中国发展出版社,1999年。
论文关键词:电力;信息安全;解决方案;技术手段
1电力信息化应用和发展
目前,电力企业信息化建设硬件环境已经基本构建完成,硬件设备数量和网络建设状况良好,无论是在生产、调度还是营业等部门都已实现了信息化,企业信息化已经成为新世纪开局阶段的潮流。在网络硬件方面,基本上已经实现千兆骨干网;百兆到桌面,三层交换;VLAN,MPLS等技术也普及使用。在软件方面,各应用十要包括调度自动化系统、生产管理信息系统、营销信息系统、负荷监控系统及各专业相关的应用子系统等。计算机及信息网络系统在电力生产、建设、经营、管理、科研、设计等各个领域有着十分广泛的应用,安全生产、节能消耗、降低成本、缩短工期、提高劳动生产率等方面取得了明显的社会效益和经济效益,同时也逐步健全和完善了信息化管理机制,培养和建立了一支强有力的技术队伍,有利促进了电力工业的发展。
2电力信息网安全现状分析
结合电力生产特点,从电力信息系统和电力运行实时控制系统2个方面,分析电力系统信息安全存在的问题。电力信息系统已经初步建立其安全体系,将电力信息网络和电力运行实时控制网络进行隔离,网络间设置了防火墙,购买了网络防病毒软件,有了数据备份设备。但电力信息网络的安全是不平衡的,很多单位没有网络防火墙,没有数据备份的概念,更没有对网络安全做统一,长远的规划,网络中有许多的安全隐患。朝阳供电公司严格按照省公司的要求,对网络安全进行了全方位的保护,防火墙、防病毒、入侵检测、网管软件的安装、VerJtas备份系统的使用,确保了信息的安全,为生产、营业提供了有效的技术支持。但有些方面还不是很完善,管理起来还是很吃力,给网络的安全埋伏了很多的不利因素。这些都是将在以后急需解决的问题。
3电力信息网安全风险分析
计算机及信息网络安全意识亟待提高。电力系统各种计算机应用对信息安全的认识距离实际需要差距较大,对新出现的信息安全问题认识不足。
缺乏统一的信息安全管理规范。电力系统虽然对计算机安全一+直非常重视,但由于各种原因,目前还没有一套统一、完善的能够指导整个电力系统计算机及信息网络系统安全运行的管理规范。
急需建立同电力行业特点相适应的计算机信息安全体系。相对来说,在计算机安全策略、安全技术和安全措施投入较少。为保证电力系统安全、稳定、高效运行,应建立一套结合电力计算机应用特点的计算机信息安全体系。
计算机网络化使过去孤立的局域网在联成广域网后,面临巨大的外部安全攻击。电力系统较早的计算机系统一般都是内部的局域网,并没有同外界连接。所以,早期的计算机安全只是防止外部破坏或者对内部人员的安全控制就可以了,但现在就必须要面对国际互联网上各种安全攻击,如网络病毒、木马和电脑黑客等。
数据库数据和文件的明文存储。电力系统计算机网络中的信息一般存储在由数据库管理系统维护的数据库中或操作系统文件中。以明文形式存储的信息存在泄漏的可能,拿到存储介质的人可以读出这些信息;黑客可以饶过操作系统,数据库管理系统的控制获取这些信息;系统后门使软硬件系统制造商很容易得到这些信息。弱身份认证。电力行业应用系统基本上基于商业软硬件系统设计和开发,用户身份认证基本上采用口令的鉴别模式,而这种模式很容易被攻破。有的应用系统还使用白己的用户鉴别方法,将用户名、口令以及一些安全控制信息以明文的形式记录在数据库或文件中,这种脆弱的安全控制措施在操作人员计算机应用水平不断提高、信息敏感性不断增强的今天不能再使用了。没有完善的数据备份措施。很多单位只是选择一台工作站备份一下数据就了事,没有完善的数据备份设备、没有数据备份策略、没有备份的管理制度,没有对数据备份的介质进行妥善保管。
4电力信息网安全防护方案
4.1加强电力信息网安全教育
安全意识和相关技能的教育是企业安全管理中重要的内容,其实施力度将直接关系到企业安全策略被理解的程度和被执行的效果。为了保证安全的成功和有效,高级管理部门应当对企业各级管理人员、用户、技术人员进行安全培训。所有的企业人员必须了解并严格执行企业安全策略。在安全教育具体实施过程中应该有一定的层次性和普遍性。
主管信息安全工作的高级负责人或各级管理人员,重点是了解、掌握企业信息安全的整体策略及目标、信息安全体系的构成、安全管理部¨的建立和管理制度的制定等。负责信息安全运行管理及维护的技术人员,重点是充分理解信息安全管理策略,掌握安全评估的基本方法,对安全操作和维护技术的合理运用等。
信息用户,重点是学习各种安全操作流程,了解和掌握与其相关的安全策略,包括自身应该承担的安全职责等。当然,对于特定的人员要进行特定的安全培训。安全教育应当定期的、持续的进行。在企业中建立安全文化并纳入整个企业文化体系中才是最根本的解决办法。
4.2电力信息髓安全防护技术措旌
(1)网络防火墙:防火墙是企业局域网到外网的唯一出口,所有的访问都将通过防火墙进行,不允许任何饶过防火墙的连接。DMZ区放置了企业对外提供各项服务的服务器,既能够保证提供正常的服务,又能够有效地保护服务器不受攻击。设置防火墙的访问策略,遵循“缺省全部关闭,按需求开通的原则”,拒绝除明确许可证外的任何服务。
(2)物理隔离装置:主要用于电力信息网的不同区之间的隔离,物理隔离装置实际上是专用的防火墙,由于其不公开性,使得更难被黑客攻击。
(3)入侵检测系统:部署先进的分布式入侵检测构架,最大限度地、全天候地实施监控,提供企业级的安全检测手段。在事后分析的时候,可以清楚地界定责任人和责任时间,为网络管理人员提供强有力的保障。入侵检测系统采用攻击防卫技术,具有高可靠性、高识别率、规则更新迅速等特点。
(4)网络隐患扫描系统:网络隐患扫描系统能够扫描网络范围内的所有支持TCP/IP协议的设备,扫描的对象包括扫描多种操作系统,扫描网络设备包括:服务器、工作站、防火墙、路由器、路由交换机等。在进行扫描时,可以从网络中不同的位置对网络设备进行扫描。
扫描结束后生成详细的安全评估报告,采用报表和图形的形式对扫描结果进行分析,可以方便直观地对用户进行安全性能评估和检查。
(5)网络防病毒:为保护电力信息网络受病毒侵害,保证网络系统中信息的可用性,应构建从主机到服务器的完善的防病毒体系。以服务器作为网络的核心,对整个网络部署查、杀毒,服务器通过Internet从免疫中心实时获取最新的病毒码信息,及时更新病毒代码库。同时,选择的网络防病毒软件应能够适应各种系统平台、各种数据库平台、各种应用软件。
(6)数据加密及传输安全:通过文件加密、信息摘要和访问控制等安全措施,来实现文件存储和传输的保密和完整性要求,实现对文件访问的控制。对通信安全,采用数据加密,信息摘要和数字签名等安全措施对通信过程中的信息进行保护,实现数据在通信中的保密、完整和不可抵赖性安全要求。对远程接入安全,通过VPN技术,提高实时的信息传播中的保密性和安全性。
(7)数据备份:对于企业来说,最珍贵的是存储在存储介质中的数据信息。数据备份和容错方案是必不可少的,必须建立集中和分散相结合的数据备份设施及切合实际的数据备份策略。
(8)数据库安全:通过数据存储加密、完整性检验和访问控制来保证数据库数据的机密和完整性,并实现数据库数据的访问安全。
4.3电力信息网安全防护管理措施
技术是安全的主体,管理是安全的灵魂。只有将有效的安全管理实践自始至终贯彻落实于信息安全当中,网络安全的长期性和稳定性才能有所保证。
(1)要加强信息人员的安全教育,保持信息人员特别是网络管理人员和安全管理人员的相对稳定,防止网路机密泄露,特别是注意人员调离时的网络机密的泄露。
(2)对各类密码要妥善管理,杜绝默认密码,出厂密码,无密码,不要使用容易猜测的密码。密码要及时更新,特别是有人员调离时密码一定要更新。
(3)技术管理,主要是指各种网络设备,网络安全设备的安全策略,如防火墙、物理隔离设备、入侵检测设备、路由器的安全策略要切合实际。
(4)数据的备份策略要合理,备份要及时,备份介质保管要安全,要注意备份介质的异地保存。
(5)加强信息设备的物理安全,注意服务器、计算机、交换机、路由器、存储介质等设备的防火、防盗、防水、防潮、防尘、防静电等。
(6)注意信息介质的安全管理,备份的介质要防止丢失和被盗。报废的介质要及时清除和销毁,特别要注意送出修理的设备上存储的信息的安全。
5电力信息网络安全工作应注意的问题
(1)理顺技术与管理的关系。
解决信息安全问题不能仅仅只从技术上考虑,要防止重技术轻管理的倾向,加强对人员的管理和培训。
(2)解决安全和经济合理的关系。安全方案要能适应长远的发展和今后的局部调整,防止不断改造,不断投入。
(3)要进行有效的安全管理,必须建立起一套系统全面的信息安全管理体系,可以参照国际上通行的一些标准来实现。
0引言
油田开发有点多、线长、面广、流动性大的特点,安全管理难度大,存在安全监督检查信息上传不及时和检查结果的传递效率低的问题。为不断提高安全监督工作的水平,便于及时传递安全监督检查信息,我们利用网络信息平台和便携手持机的组合,研究开发了“安全监督检查信息管理系统”,较好的解决了安全监督检查情况实时上传和同步查询的问题,便于各级管理部门对安全监督检查的情况进行适时跟踪处理,提高了安全监督检查信息的管理水平。
1应用技术简介和系统设计原则
1.1应用技术
信息管理系统依托3G网络、互联网技术构建,后台管理服务平台采用了B/S结构,客户端使用标准的微软IE浏览器,减少了系统出错的机率,降低了系统维护成本,便于软件的升级和扩展;系统主体平台采用了JAVA 语言开发,具有一次编译多次运行的特点,在不改动程序的情况下就可以部署到任何操作系统平台下运行;数据库服务器与WEB 服务器分离,采用三层应用程序架构,增强系统的稳定性与安全性以及扩展能力。流动终端则采用时下流行的.NET进行嵌入式应用开发,其操作系统采用Windows Mobile。
1.2系统设计原则
a)实用性。系统采用友好的图形用户界面方式,实现全屏幕菜单操作,用户能简单、方便地采集基础数据,实现信息共享与交换。
b)可靠性。系统在设计过程中,把可靠性作为系统设计成功与否的重要标准,在设计过程中考虑到安全管理人员对计算机知识的局限性,采用了较强的容错功能毕业论文ppt,对用户的非法操作均有限制和提示,数据出错时具有相应的提示信息及处理能力,并且每个处理环节都具有高度可靠性、保密性及安全性。
c)开放性。利用Web技术,使用户能进行分布式数据处理,各子系统能在Internet上进行数据处理和信息查询。
d)通用性。系统设计过程中,遵循企业安全管理中的一些通用的基本管理制度,在管理区采油队中具有通用性。
e)先进性。系统以软件工程理论为依据,采用目前流行的WEB应用程序框架进行开发。
f)可扩充性。系统采用了分布式设计原则,无论在系统部署、软件功能扩展、系统容量方面都有良好的扩充能力。在硬件资源紧张的情况下,系统可以部署到一台服务器,为提高系统的可靠性、稳定性及负载能力,我们可以将系统分布式安装到多台服务器上共同为用户提供服务。
2 管理网络
该信息管理系统依托胜利油田局域网络系统,以油田安全环保处监察支队为中心,辐射全油田各二级单位安全环保科以及三级安全管理部门。
2.1油田安全环保处用户
油田安全环保处用户主要是处领导、检查支队以及各管理科室,对安全检查情况进行监督和处理,以及整改结果的处理跟踪。
2.2二级单位用户
二级单位用户主要是二级分管领导、安全环保科、监督站以及分管人员,主要是对检查监督情况进行分析处理,下达整改意见和措施,并直接对整改结果负责,将整改结果上报安全环保处。
2.3三级单位用户
三级单位用户主要是三级单位领导和安全办公室管理人员,主要是负责对安全检查监督问题进行整改,并把整改结果上报二级安全部门审核。
3系统构成
安全监督检查网上实时录入查询管理系统由监督检查人员所持的便携手持机以及设备终端软件、系统平台管理软件和通讯信道组成。
3.1系统拓扑结构图
系统拓扑结构如图1。
图1系统拓扑结构图
通过图1我们可以清楚的了解系统的结构和连接关系,智能3G终端将采集好的监督检查数据,通过移动基站进入运营商的3G网络,再通过Internet传输到具有防火墙保护的油田网络的系统服务器上。
3.2便携手持机的性能与选型和终端选用
a) 便携手持机性能。安全监督检查地点分散,安全监督人员在监督检查现场需要使用便携手持机进行检查情况的记录及上报,上报资料需要实时传递。上传资料包括文字、声音、视频、照片等资料,这些资料容量较大,所以必须要有便携设备及高速无线网络的支持才能完成。
b) 3G设备的选型。为满足以上需求,我们选用3G网络作为数据传输通道,从用户的使用习惯、用户界面的友好程度出发在3G设备的选型上,我们选用具有以下特性的终端产品:为方便资料录入及显示,选择2.5寸屏以上3G终端;WindowsMobile 5.0及以上版本操作系统;带300万及以上分辨率摄像头,带GPS模块(可将检查信息在地图上展示,可以先不做,如果以后功能扩充使用,不至于重新换终端)。
满足以上条件的3G终端有WCDMA、CDMA2000、TD-CDMA。三种3G标准中,TD-CDMA是国产标准、目前只有中国移动使用,支持TD的手机太少,并且价格不菲; CDMA2000是美洲3G标准,目前可用机型也不是很多;WCDMA是欧洲3G标准,由于WCDMA网络是比较成熟的网络,支持WCDMA的设备也相对丰富多样,可选择的范围很大,此类机型选择最多。综合考虑网络速度、终端产品支持类型来看支持WCDMA的3G终端是比较理想的选择。我们最终采用了WCDMA终端产品HTC HD2,见图2。
图2便携手持机
3.3便携手持机安全监督检查软件
从用户的使用习惯、用户界面的友好程度出发,便携手持机软件以WindowsMobile作为支撑系统,采用.net作为开发平台,依附微软成熟的嵌入式应用开发技术建立。见图3。
图3系统用户主界面图
a)终端软件功能划分:用户登录,法律法规、安全管理规定及文件内容查询毕业论文ppt,检查事务列表,列出当前终端中已经保存的检查事务,并可查看其状态;可以将未上传的检查事务上传到远程服务器。
b)检查事务录入:录入检查事务内容,拍摄检查现场照片,拍摄检查现场视频,被检查人签名,保存并通过3G网络上传到远程服务器。
3.4系统平台(服务器)管理软件
系统平台(服务器)管理软件采用流行的J2EE企业应用架构,主要由数据库系统、WEB应用服务系统与通讯服务系统三部分组成。
a)数据库系统。由于采用流行的JAVA数据库层持久框架,数据库类型本身变的不怎么重要,我们可以根据实际需要选择数据库服务软件,在此项目中我们采用了Sql-Server。
b)WEB应用服务系统。应用服务器采用Tomcat。我们将J2EE项目部署到应用服务器,来完成我们所需要的功能。
c)系统管理。单位管理是以树形管理单位资料;用户管理为不同的单位分配用户和权限;角色管理定义用户角色,分配角色可以访问的资源、菜单等;菜单管理定制系统菜单项;监督检查;检查列表及分单位查询;监督检查汇总统计。
d)安全监督检查资料管理。法律法规、新闻消息、其它资料的管理。
e)监督检查信息。将资料管理中,需要放在公开页面展示的内容向用户展示,形成一个安全监督检查的网站系统。
f)通讯服务系统。负责接收3G终端上传的检查内容、声音、视频、照片等资料。并保存到数据库,以供后台管理系统使用。
4结束语
“安全监督检查信息管理系统”研究开发应用后,实现的主要功能如下:
a)安全监督检查信息及时地上传到安全监督管理平台,便于相关管理人员及时分析和判断事故隐患,做出解决方案。
b)能及时查询安全监督检查信息和分类处理安全监督检查信息反馈的各类问题,提高安全监督检查的效率和质量。
c)实现了规章制度、法律法规、通知、上级文件、操作规范的网上查询,便于及时查询贯彻执行。
d)利用现有网络实现安全监督检查工作的网络联动,保证信息的上传下达。
e) 对安全监督检查的过程进行闭环管理,建立了先进的工作流程。检查纪要立即上网,实现无纸化办公,对检查内容的落实要有反馈。既保证检查内容的完整性和准确性,又保证信息上报的实时性。
f)建立完整、准确的安全监督检查档案,便于分析问题和查找资料。
参考文献
[1]李敏刘雅婷陈文戈.发电企业监督检查信息管理系统的研究与应用[J]. 工业安全与环保. 2009 (3)
1.信息安全保护等级划分为四级。
正确
错误
2.信息安全保护能力技术要求分类中,业务信息安全类记为A。
正确
错误
3.互联网安全管理法律法规的适用范围是互联网服务提供者、提供互联网数据中心服务的单位和联网使用单位。
正确
错误
4.在网络安全技术中,防火墙是第二道防御屏障。
正确
错误
5.入侵检测技术能够识别来自外部用户的入侵行为和内部用户的未经授权活动。正确
错误
6.VPN与防火墙的部署关系通常分为串联和并联两种模式。
正确
错误
7.电子商务是成长潜力大,综合效益好的产业。
正确
错误
8.电子商务的网络零售不包括B2C和2C。
正确
错误
9.电子商务促进了企业基础架构的变革和变化。
正确
错误
10.在企业推进信息化的过程中应认真防范风险。
正确
错误
11.物流是电子商务市场发展的基础。
正确
错误
12.科学研究是继承与创新的过程,是从产品到原理的过程,是从基础理论研究到应用研究、开发研究的过程。
正确
错误
13.科研课题/项目是科学研究的主要内容,也是科学研究的主要实践形式,更是科研方法的应有实践范畴,是科研管理的主要抓手。
正确
错误
14.科研方法注重的是研究方法的指导意义和学术价值。
正确
错误
15.西方的“方法”一词来源于英文。
正确
错误
16.论文是记录人类科技进步的历史性文件和研究成果的具体体现形式,是科技发展的重要信息源。
正确
错误
17.科研成果是衡量科学研究任务完成与否、质量优劣以及科研人员贡献大小的重要标志。
正确
错误
18.著作权人仅仅指作者。
正确
错误
19.著作权由人身性权利和物质性权利构成。
正确
错误
20.知识产权保护的工程和科技创新的工程是一个系统的工程,不是由某一个方法单独努力就能做到的,需要国家、单位和科研工作者共同努力。正确
错误
二、单项选择(每题2分)
21.信息安全策略的基本原则是()。
A、确定性、完整性、有效性
B、确定性、完整性、可靠性
C、完整性、可靠性、保密性
D、可靠性、有用性、完整性
22.()是实现安全管理的前提。
A、信息安全等级保护
B、风险评估
C、信息安全策略
D、信息安全管理体系
23.风险评估的相关标准不包括()。
A、GB/T 20984-2007
B、GB/T 9361-2005
C、GB/T 9361-2000
D、GB/T 22081-2008
24.()是密码学发展史上唯一一次真正的革命。
A、公钥密码体制
B、对称密码体制
C、非对称密码体制
D、加密密码体制
25.在进行网络部署时,()在网络层上实现加密和认证。
A、防火墙
B、VPN
C、IPSec
D、入侵检测
26.以下关于国际信息安全总体形势说法不正确的是()
A、网络无处不在,安全不可或缺
B、漏洞隐患埋藏,安全风险调整
C、漏洞隐患显现,安全风险调整
D、优化顶层设计,注重结构保障
27.美国()政府提出来网络空间的安全战略
A、布什切尼
B、克林顿格尔
C、奥巴马克林顿
D、肯尼迪
28.下列选项中属于按照电子商务商业活动的运作方式分类的是()
A、本地电子商务
B、直接电子商务
C、完全电子商务
D、商业机构对商业机构的电子商务
29.以下不属于社会科学的是()
A、政治学 B、经济学
C、医药学
C、医药学
D、法学
30.()是从未知到已知,从全局到局部的逻辑方法。
A、分析
B、综合
C、抽象
D、具体
31.()主要是应用已有的理论来解决设计、技术、工艺、设备、材料等具体技术问题而取得的。
A、科技论文
B、学术论文
C、会议论文
D、学位论文
32.()是通过查阅相关的纸质或电子文献资料或者通过其他途径获得的行业内部资料或信息等。
A、直接材料
B、间接材料
C、加工整理的材料c
D、实验材料
33.()是整个文章的整体设计,不仅能指导和完善文章的具体写作,还能使文章所表达的内容条理化、系统化、周密化。
A、摘要
B、引言
C、写作提纲
D、结论
34.期刊论文的发表载体是()。
A、娱乐杂志
B、生活杂志
C、学术期刊
D、新闻报纸
35.()是指科研课题的执行人在科研过程中要向科研主管部门或课题委托方汇报研究工作的进度情况以及提交阶段性成果的书面材料。
A、开题报告
B、中期报告
C、结项报告
D、课题报告
36.我国于()年实施了《专利法》。
A、1985
B、1986
C、1987
D、1988
37.知识产权具有专有性,不包括以下哪项()。
A、排他性
B、独占性
C、可售性
D、国别性
38.知识产权的时间起点就是从科研成果正式发表和公布的时间,但有期限,就是当事人去世()周年以内权利是保全的。
A、30
B、40
C、50
D、60
39.知识产权保护中需要多方协作,但()除外。
A、普通老百姓
B、国家
C、单位
D、科研人员
40.关于稿费支付的方式说法不正确的是()。
A、一次版付一次稿费
B、再版再次付稿费
C、一次买断以后再版就不必再给作者支付稿费
D、刊登他人文章就要付稿费
三、多项选择(每题2分)
41.信息安全人员的素质主要涉及以下()方面。
A、技术水平
B、道德品质
C、法律意识
D、政治觉悟
E、安全意识
42.信息安全刑事犯罪类型主要有()
A、非法侵入计算机信息系统罪
B、破坏计算机信息系统罪
C、利用计算机作为工作实施的犯罪
D、盗窃计算机硬件与软件罪
E、非法复制受保护
43.信息系统安全的总体要求是()的总和。
A、物理安全
B、系统安全
C、网络安全
D、应用安全
E、基础安全
44.对信息的()的特性称为完整性保护。
A、防篡改
B、防复制
C、防删除
D、防转移
E、防插入
45.国家“十二五”电子商务规划是由()共同编制。
A、国家发改委
B、商务部
C、科技部
D、工商行政管理总局
E、工信部
46.发展电子商务的指导思想是()
A、强化宣传
B、统筹安排
C、构建完整市场体系
D、营造良好环境
E、优化资源配置
47.逻辑方法包括()
A、分析与综合
B、抽象与具体
C、归纳与演绎
D、统计与测量
E、观察与实验
48.理论创新的原则是()
A、理论联系实际原则
B、科学性原则
C、先进性原则
D、实践性原则
E、系统性原则
49.科研论文按发表形式分,可以分为()
A、期刊论文
B、学术论文
C、实验论文
D、应用论文
E、会议论文
50.知识产权是由()构成的。
A、工业产权
B、著作权
第二章,深入分析信息安全对我国和世界安全的影响。在信息网络广泛渗透于社会生活各个领域的条件下,信息安全成为国家安全的基石。主要体现在:信息安全成为影响政治安全的重要因素,国家的维护更加困难,难以控制的“网上政治总动员”危害社会稳定,颠覆性宣传直接危及国家政权,国家形象更易遭受攻击和歪曲;信息安全是经济安全的重要前提,它关乎国家经济安全的全局,信息产业自身安全令人担忧,网络经济犯罪成为经济安全的顽疾,金融业遭受的安全挑战更加严重;信息安全对文化安全的影响不容忽视,“网络文化帝国主义”威胁我国传统文化的继承和发扬,社会主义意识形态、价值观念和道德规范遭到冲击;信息安全对军事安全的作用更加突出,“制信息权”对战争结局意义重大,信息威慑、网络信息战、黑客攻击与军事泄密严重威胁军事安全。
第三章,中国信息安全面临的挑战与威胁。中国的信息化建设起步较晚,信息安全技术水平也比较滞后,网络安全系数很低,信息安全现状不容乐观,主要从信息流动途径、发达国家的技术遏制及世界信息强国信息战略对我国的威胁和启示等方面进行了分析。在本章中尤其分析了美国、英国、法国、日本、韩国、俄罗斯、印度等国家信息战略,以求对保障中国信息安全提供借鉴与思考。
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
21.数字证书交叉认证技术规范/应用规范/应用案例分析;
22.电子认证服务与云计算、物联网、移动互联网等新技术、新应用融合的相关技术、标准规范和应用发展情况;
23.工业控制系统信息安全标准;
24.信息安全和功能安全标准化;
25.信息安全和功能安全集成技术;
26.工业控制系统安全性的技术指标与经济成本;
27.信息安全产品设计和系统集成;
28.工业控制系统安全的评估与认证;
29.工业控制系统的信息安全解决方案;
30.工业自动化安全面临的风险;
31.国外工业控制系统安全的做法;
32.工业控制系统信息安全现状及其发展趋势;
33.工业控制系统安全性的建议;
34.工控系统与信息系统对信息安全的不同需求;
35.工业控制系统的安全性与可用性之间的矛盾与平衡;
36.应用行业工业控制系统的信息安全防护体系;
37.工业控制系统安全测评体系;
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2015)48-0087-02
财经应用领域的一个重要特征是实现了业务电子化,信息的获取、传递、处理等经济管理行为通过信息系统来完成。信息系统如同国民经济活动的大脑和神经中枢,财经应用领域对信息技术越来越依赖,其信息安全保障工作的难度也不断加大,信用风险、市场风险、流动性风险、操作风险、法律风险等传统风险在信息化过程中发生了重要变化。因此信息安全教育对财经管理专业人才培养尤为重要,提高财经管理专业人才的信息安全能力和意识迫在眉睫。
国内公开发表的文献涵盖信息安全专业人才培养、信息安全课程改革、信息安全实验平台建设等方向,但鲜见面向财经管理创新型人才培养的信息安全教学体系研究。
中央财经大学从2004年起开设信息安全相关课程,是国内最早为财经管理类专业开设信息安全课程的高校。十余年来,先后为电子商务、信息管理等专业本科生开设《电子商务安全》、《信息系统安全》课程(包括双语教学),为全校本科生开设大学生文化素质课《信息安全概论》,为经济类硕士研究生开设《信息安全》课程。学校从教学内容选择、讲授方法凝练、教学环境建设、评价体系完善、师资力量培养等方面不断研究探索,逐步形成了面向财经管理创新型人才培养的信息安全教学体系,取得了良好的教学效果。
一、4-3-3多维教学体系
面向财经管理创新型人才培养的信息安全4-3-3多维教学体系包括:四维教学内容(密码学、网络安全、信息系统安全、财经应用安全)、三种教学手段(课堂教学、实验教学、网络互动教学)、三类自主学习方案(金融信息安全案例分析、科研项目驱动、学术论文研究),很好地解决了在基础不够(不具备数学、密码学基础)、技术不强(没有网络技术)、时间不多(只开一门课)的情况下,开展信息安全教育的问题。在教学过程中,理论教学与实验教学相互印证,相辅相成;实验内容与实验手段有机衔接,注重培养创新意识和综合能力的考核方式。
二、教学改革方面
采用多媒体教学,制作了包含音视频的课件,建立了完善的网络教学资源。通过网络课程可以获得更多的信息,运用网络课程复习、讨论成为不少学生课后辅助学习的有效手段。
1.修订和完善了信息安全教学体系的教学大纲。根据学校教学计划和国家培养面向新世纪人才的要求,教学团队参照教育部拟定的普通高等学校有关课程的教学大纲,并结合我校特色,根据本科生和研究生的不同层次,分别组织编写了详细的教学大纲,每年根据课程内容和实际需要及时调整和修改教学大纲,制订教学计划,使之符合信息安全教学体系的课程特点。同时,进一步完善教学总结及教学辅助材料。
2.科学合理选择高水平的教材。课程选用了国内知名专家编写的中文教材,在双语课程开设之后,选择相对权威的国外主流信息安全教材,积极引进原著和原版书目;后期,在完善教学内容及方法的同时,课程教学团队通过深入调研发现,目前国内外尚无完善的针对财经信息安全的高等教育教材。因此,教学团队组织编写并出版了适用于财经类院校的《电子商务安全》教材,着眼于信息安全在电子商务中的实际应用,突出案例丰富的特色,为学生学习提供充足、适宜的参考资料。
3.积极推进案例教学。信息安全是一门发展的学科,也是一门致用之学。如何使该门课程在实现它基础性作用的同时,还能够体现先进性和可操作性,已成为这门课程的方向。对于信息安全算法协议的描述,采用业内优秀的信息安全模拟软件CrypTool实现具体案例的演示,将重要的密码体制逐一展示成直观形象、易于理解的动态演示过程,加深学生的理解程度。此外,信息安全密码机制的创立以及应用场景问题对学生来说都比较陌生,在知识点讲解中适当引入视频来缩短与学生学习生活的距离,可以更好地启发学生思考及动手操作能力。
4.创新教学方法。把传统的课堂讲授作为教学方法的基础,积极开展启发式教学、案例教学、论坛式教学、学生自学、实践教学以及学术讲座等多种教学形式,注重学生思维方式和实践能力的提高。教学团队经常定期开展教研活动,集体备课,商讨教学中出现的一些问题,改善教学方式或教学手段;积极参加国内高水平的学术交流,并邀请国内知名教授开办教学手段和教学方法的讲座。
5.完善考试制度。规范信息安全教学体系的教考分离制度,完善试题库的建设。本课程采取平时考核与期末考试相结合的方式,即平时通过课堂提问、开卷小论文、测验等多种途径了解学生学习情况,重在考察学生分析、研究问题的能力;期末考试采取教考分离的方式,重在考察学生对基本理论、基本概念、基本观点的把握。试题覆盖面占讲授内容的90%以上,难易程度比较适宜,客观评卷,学生成绩公正,考试后有试卷分析及总结。
6.建设实验教学体系。中央财经大学计算机网络与信息安全实验室、金融网络与信息安全实验室为信息安全教学提供了实验环境。SimpleISES新一代信息安全实验教学系统将行业内主流的安全软件移植和转化为实验教学项目,该系统由一系列软、硬件设备构成,其最大的优势在于可随时根据技术的发展而不断更新实验模块,并且具备较高的知识系统性。该系统是基于真实网络、信息安全及安全设备等环境下搭建的一套信息安全综合实验平台,在这个平台中,学生通过独立操作或者分组合作,进行信息安全各个知识领域的学习和配套实验操作,这与未来实际工作中所用到的基本一致。
金融网络与信息安全实验室集成了多家银行的核心信息系统,通过具体的金融信息安全案例实现对金融信息安全的实验教学。实验室的“银行网络与信息化研究试验平台”被评为教育部首批“互联网应用创新开放平台示范基地”。
三、教学创新方面
坚持信息安全经典理论与学术前沿并重,强调方法论与实际案例分析相结合,注重研究型人才、应用型人才与复合型人才等多类型培养模式,教学改革与创新富有特色,成效显著。
1.采用启发引导、鼓励学生参与课堂讨论的教学方法。为了改变传统的灌输式教学方法,在教学过程中积极引导学生结合财经信息安全实际应用参与讨论,不仅加深学生对信息安全理论的理解,而且大大地提高了学习积极性,锻炼了学生的综合素质和能力,活跃了课堂气氛,增进了老师和学生之间的平等交流,收到了良好的教学效果。这种启发引导式的教学方法促使一线教学教师理论联系实际,迫使老师在备课过程中不断地思考问题、提出问题,并引导学生思考和讨论,在课堂上注意把握学生讨论的范围和对学生讨论的总结和评述,起到了以教学带动科研、科研促进教学的作用,大大提高了教师的业务水平和教学质量。
2.采取案例教学的教学方式。为了使学生能更好地运用所学的信息安全理论来分析和解释现实电子商务活动中的安全风险及保护手段,鼓励任课教师在教学过程中选择与信息安全原理密切相关的案例,组织案例教学,要求在案例教学的过程中,学生联系信息安全理论对实际案例进行理论层面的分析与探讨,并写出案例分析报告,并以此作为学生平时成绩的重要依据。
3.开设同步在线课程网站。2010年开设了“信息安全课程体系”网站,网站包含了教学大纲、多媒体教学课件、课程习题及答案、课外参考材料等资源。学生既可以通过网站预习、复习课程内容,又可以以网站提供的课外参考材料作为向导,自主独立开展学习和科研创新活动。本课程网站在借鉴同类站点特色的基础上,特别增设了BBS论坛一项,以供师生之间积极互动,以加强学生与老师之间的交流。师生间的讨论交流记录均可以以帖子的形式保存在BBS论坛中,以供其他同学或者后面即将学习该课程的低年级同学查看。同时,教学团队也可以从学生发帖的内容来判断学生对知识点的掌握情况,以对课程的难度和进度及时做出调整。
四、实践教学方面
1.学生科研环节的设计。通过课堂教学和学生自学,引导学生学会分析信息安全的风险,找到成因,提出解决方案,鼓励学生发表一定水平的科研论文,积极参加大学生科技类比赛项目。
2.教学实践环节的设计。一是组织和引导学生利用假期进行社会调查和实践,并撰写调研报告,既增强了学生对社会生产活动中信息安全问题和现象的感性认识,又锻炼了学生的社会实践能力,进而增进了学生对所学信息安全理论的进一步理解。二是支持学生组成学术社团,引导学生自觉开展学术活动。三是邀请国内外信息安全领域的著名专家学者到我校讲学,介绍当前国内外最新科研成果和学术动态,使学术氛围更加浓厚。
五、结语
面向财经管理创新型人才培养的信息安全4-3-3多维教学体系,探索出了一条财经类专业学习信息安全知识的有效途径,促进了财经管理创新型人才培养模式改革和人才培养质量的提高,取得了良好的教学效果和成果。但随着“互联网+”时代的到来,及MOOC、翻转课堂等的出现,在教学内容、教学方法和教学手段上仍需不断完善。
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
