时间:2023-05-15 16:08:25
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇网络安全教育培训范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
中图分类号:TP393.08文献标识码:A 文章编号:1000-8136(2012)11-0151-02
互联网的出现引领了一次新的科技革命,它给人类带来了丰富的信息资源和多样的信息服务,并且对人们的工作、学习和生活方式产生了深刻的影响。在信息时代,教育培训同样面临着改革与发展。现代远程教育培训是依托数字卫星传输和计算机网络,采取多种媒体资源和手段相结合,形成的适应学员个别化学习的信息化教育形式――基于互联网的远程教育培训方式。与传统教育方式相比,它不受教育时间和空间的限制,有着鲜明的时代特点[1]。但随着网络的高速发展,产生的安全问题也越来越多。本文分析了系统可能出现的问题,并提出了解决方案。
1计算机网络安全的主要威胁
现代远程教育培训是伴随着网络技术和多媒体技术的飞速发展而产生的一种新的教育模式,现代远程教育培训的发展将大大加大延伸现有学校或单位的教育功能,优化资源利用,扩大教育供给,满足教育需求,对实现教育的平等化和顺应知识经济时展需要及终身教育体系的构建都具有十分重要的现实意义[2]。但是,在远程教育培训网络中,网络的很多安全隐患也被带到了服务器、网络机房与教室:黑客的恶意攻击、网络病毒的传播、有用数据的泄漏或丢失、非法用户的未授权访问、数据的完整性被破坏、学习者与老师之间的交互得不到保障等都极大地破坏了远程教育培训网络的正常开展。归结起来,远程教育培训网络中存在的安全隐患主要有以下几个方面:
1.1计算机病毒
计算机病毒已成为很多黑客入侵的先导,是目前威胁网络安全的祸首。它的侵入在严重的情况下会使网络系统瘫痪,重要数据无法访问甚至丢失。
1.2管理者与使用者的失误
如网络管理人员安全配置不当造成的安全漏洞;不合理地设定资源访问控制,一些资源就有可能被偶然或故意地破坏;学员安全意识不强,用户口令选择过于简单或容易破译,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁[3]。
1.3黑客的恶意攻击
黑客是网络上的一个复杂群体,他们以发现和攻击网络操作系统的漏洞和缺陷为乐趣,是网络面临的主要威胁。黑客的攻击和计算机犯罪就属于这一类,此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性,这就是纯粹的信息破坏,这样的网络侵犯者被称为积极侵犯者;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息,这种仅窃听而不破坏网络传输信息的侵犯者被称为消极侵犯者。这两种攻击均可对计算机网络造成极大的危害,并导致重要数据的泄漏[2]。
因此,面对网络安全方面的种种威胁,应该充分认识远程教育培训网络中安全工作的重要性。因为人们的生活越来越信息化,所以网络的安全也越来越受到更多的关注。网络危险无处不在,这需要我们随时保持警惕,不断学习网络技术,与之进行长期斗争。
2远程教育培训网络安全问题的分析和处理方案
2.1网络安全问题分析
网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、心理学、信息论等多种学科的综合性技术。网络安全是指网络系统资源和信息资源不受自然和人为有害因素的威胁和破坏。具体而言,网络安全要做到保护个人隐私,控制对网络资源的访问,保证信息在网络上传输的保密性、完整性和真实性。在远程教育培训中网络安全问题主要集中在以下几个方面:
2.1.1网络安全意识淡薄,没有严格的安全管理制度
“网络安全无小事”,这就要求我们的管理员、教师、学员给予足够的重视,进行相应的学习,提高使用网络的安全意识。而目前由于教学网络中的服务器开放程度很高,基本没有访问限制,由此导致服务器被攻击、侵入、丢失重要数据文件、邮件泄露的情况屡见不鲜。
2.1.2网络安全投入资金不足,相应配套设施缺乏
由于很多学校或者单位用于网络建设的经费不足,有限的经费主要投在网络应用建设上,对于网络安全建设没有比较系统的投入,根本无法抵挡现今网络上五花八门的病毒攻击,尽管如此也要保证24 h提供各种文字、声音、视频等服务,网络服务器处在一个非常开放的状态,简陋的安全体系基本没有有效的预警手段和防范措施[4]。
2.1.3内部网络管理混乱
一般来讲,大多数学校或单位都会安排特定的网络教室或者通过办公室计算机接入远程教育培训网,供学员和教职工进行学习。这在很大程度上缓解了部分学员由于没有条件上网而导致无法获取足够教辅资料的矛盾。但是,由于缺乏统一的管理软件和监控、日志系统,绝大多数机房的登记管理制度存在漏洞,上网用户的身份无法唯一识别;另外,有些机房为了管理上的方便安装了还原卡,关机后启动即恢复到初始状态,从而在安全管理上形成了漏洞,无法按照安全部门的要求保留上机和上网日志;更有甚者绕开统一管理和国家相关部门的监管,存在极大的安全隐患。
2.2相应的解决方法
2.2.1设计安全的网络拓扑结构
一般来讲远程教育培训网的结构比较简单,基本都是将E-mail、Web、FTP等应用服务器连接在内部网络(以下简称内网)上,在拓扑结构上,需要通过合理设置策略,将服务器群通过交换机与防火墙的DMZ区接入Internet,构筑服务器系统安全的第一道防线。在内网通过虚拟局域网的划分(VLAN),减少广播流量,释放带宽给用户应用;并且含有敏感数据的用户组可与网络的其余部分隔离,从而降低泄露重要信息的可能性。
2.2.2配备完整系统的网络安全设备
一般来讲,在内部网络和外网接口处配置统一的网络安全控制和监管设备即可将绝大多数外部攻击拒之门外。另外,远程教育培训网络由于需要传输图片、音频、视频等数据,对网络带宽的需求也很大,广大学员用户也需要高带宽、高速度的服务,因此配置安全设备既要考虑到功能,同时也必须考虑性能,将配置安全设备后对网络性能的影响尽可能地降到最低[5]。
3基于互联网的远程教育培训系统安全体系的实现
3.1分析需要解决的问题
远程网络教育成为传统教育最有力的补充,也成为了当今各大院校或单位积极建设推进的教育方式,但随着教育网络应用的扩大,其安全风险也变得更加严重和复杂,不安全的网络环境会给求知者带来诸多烦恼和不便。在考虑安全系统功能之前,应针对远程教育培训的网络应用系统特点,详细地分析系统可能出现的安全问题,并确定系统存在的安全漏洞和安全威胁,一般应考虑以下的安全问题:
3.1.1如何预防病毒
一旦染上病毒,轻则使各种服务器运行速度变慢,重则感染整个网络,使网络系统崩溃停止,所有的服务器数据遭到破坏,造成极大的损失。
3.1.2未经授权的访问
一些不拥有访问权限的人访问一些重要的信息,甚至进行恶意更改,例如修改网站的主页、查看并修改财务数据、修改考生的成绩、档案等。
3.1.3信息泄密
用户口令泄密、邮件内容泄密、网上考试的考题泄密等。
3.1.4网络服务无法使用
比如拒绝服务攻击使网络主机崩溃;大量的垃圾邮件使邮件服务器无法正常工作;网络操作系统本身存在的漏洞和缺陷导致黑客轻易地入侵等。
3.2提出解决方案
针对上述远程教育培训系统中存在的安全隐患,提出其中的一些解决方案:
3.2.1安全管理体系
大多数的外部安全问题是由内部管理不善、配置不当和不必要的信息泄露引起的。因此,建立组织的部门的网络安全体系是解决网络安全的首要任务,加强对网络安全体系的研究,应采用信息系统安全工程方法,形成完善的安全体系,才不会遗漏任何威胁因素,避免安全漏洞和隐患。以下将从管理和技术两个方面对高校网络系统的安全体系作进一步论述。
管理方面。从全局管理角度来看,要制订全局的安全管理策略,从用户管理角度来看,要实现统一的用户角色划分策略。
从资源管理角度来看,要实现资源的分布配置和统一的资源目录管理。从技术管理角度来看,要实现安全的配置和管理。但是,安全的网络系统首先必须有健全的安全管理体系作保障。安全管理体系包括组织机构,安全管理制度,安全责任体系等。
技术方面。除了加强对网络系统的安全管理,我们要注意使用的安全产品在技术上是否成熟、有效,在使用安全产品时还应该采取合理的安全策略,以规避系统安全风险,减小所带来的损失。其中的安全策略和防范措施包括网络系统安全配置,系统自身安全,安全审计,数据保护和网络数据备份。
3.2.2身份认证机制
在远程教育培训环境中,网络安全就是指网络信息安全,所谓信息安全,即未经授权的信息不会被浏览;未经授权,信息不会被篡改或破坏。所以身份认证是网络安全中最重要的组成部分,也是安全体系的基础。较为常用的身份认证技术是基于静态口令的身份认证技术,该技术的特点是简单、易用,在一定的安全程度上可以进行有效的用户身份认证;也可以通过数字矩阵、USB-KEY或者手机短信模式进行身份认证。
3.2.3实施访问控制
基于Internet的远程教学系统的用户大致可分为三类:教师用户、学习者用户以及管理员,不同用户所能见到的内容、所拥有的权限是不同的。因此,为了保障信息不被越权访问,应加强访问控制工作,按用户类别进行注册,记录用户相关信息。同时,对系统中的资源也应进行分类,实行多级管理。
3.2.4注意防范“病毒”入侵
当前Internet已成为计算机病毒传播的重要途径,而为了丰富教学系统的资源从网上下载一些软件又在所难免,因此身处Internet的远程教学系统应建立多层次的“病毒”防范体系,采取及时升级杀毒软件,定时运行杀毒软件查找“病毒”,重点防范要害部位,对重要信息进行备份等措施。
4结束语
高等远程教育培训中的网络安全问题日益突显,为了保障远程教育培训网络的正常运行,为远程教育培训提供资源和操作平台的保障,我们必须对网络安全提高警惕,提高使用者的安全意识,加强技术学习,并采取相应的策略。相信经过不断的努力,我国的高等远程教育培训网络将越来越强健。我们相信,随着远程教育培训系统安全意识的提高,并对它深入地进行研究,远程教育培训必将给我们的学习带来越来越美好的明天,使我们最终实现终身教育。
参考文献:
[1]李明.增强校园网络的安全[J].教育信息化,2004(6).
[2]王蕊.计算机网络安全与对策[J].现代企业教育,2006(6).
论文摘要:针对传统安全教育模式内容单一、形式枯燥、培训效果不明显,难以满足电力企业开展实时教育的需求,推进网络安全教育模式,创新安全教育的新机制,提升企业安全教育文化水平。
温州电力局作为中国经济最活跃地区的电力能源供电终端企业,积极承担社会赋予的政治责任和经济责任,努力追求企业发展和实现价值最大化。近年来,高度重视安全教育文化的建设,始终坚持“以人为本”的安全管理理念,在秉承国家电网公司“诚信、责任、创新、奉献”的企业核心价值观的同时,结合企业实际特点,开展安全课件的制作,积极推进网络安全教育模式,先后成功开发并实施了《安全教育系列课件》、《安全风险教育培训系统》等网络安全教育平台,创新了安全教育的新机制,提升了企业的安全教育文化水平。
一、网络安全教育实施背景
温州地处东南沿海,以发达的个体私营经济闻名全国,受异常活跃的市场经济环境的影响,以及近年来大量农村电工的转型入网,温州电力企业员工的整体安全意识相对比较薄弱。据统计,2000年至2004年温州电力局每年发生一起人员责任原因引起的误操作事故,安全生产长期处于被动挨打局面。实时开展对员工的安全教育培训,提高员工的综合素质,成为确保企业安全、稳定的当务之急。
然而,传统的安全教学模式,缺乏统一的实施标准,且内容单一枯燥,员工自主学习的积极性和主动性不强,培训效果不明显。如何才能提高员工自主学习的积极性和主动性,提升员工安全综合素质,从而抓好安全生产的全员、全过程管理,扭转安全生产的被动局面,确保安全生产的长治久安?——这成为长期困挠温州局的一大难题。
二、网络安全教育实践
2005年,温州局提出了进行安全教育系列课件制作的设想,目标是将枯燥、单调的安全教育培训资料制作成生动、形象、规范、统一的安全课件,以提升安全教育质量,同时充分运用远程网络教育的优势,为系统员工提供一个灵活、生动、便捷的网络安全教育平台。之后《安全教育系列课件》作为温州局2005年的科技项目进行实施。经过近两年的实施与完善,《安全教育系列课件》开发完成,其主要包括事故案例分析、新员工入厂安全教育、特殊工种培训、消防和交通安全培训、习惯性违章及其纠正与预防、现场紧急救护知识、有关法律法规及规程规定查询、信息安全、网上考试等模块。《安全教育系列课件》开发完成后,得到浙江省电力公司等上级单位的充分认可,并作为优秀的安全教育培训平台上挂浙江省电力教育培训中心网站,在全省范围内进行推广应用。
2009年,在充分借鉴《安全教育系列课件》成功经验的基础上,温州局负责实施开发完成省公司科技项目《安全风险教育培训系统》,同时组织了近二十余位员工进行了典型事故案例课件的制作,对当前安全教育课件进行补充与完善,以丰富课件内容,同时为避免系统的重复配置,将原有《安全教育系列课件》与新系统进行整合。新开发的《安全风险教育培训系统》以国网公司《供电企业安全风险评估规范》、《供电企业作业安全风险辨识防范手册》、浙江省电力公司《作业流程节点风险控制研究成果》、《安全系列教育课件》、国网公司系统近年来典型安全事故等为基本培训素材,满足了当前安全风险教育培训需求,系统集成了系统权限维护和管理、事故案例管理、安全风险辨识管理、安全知识管理、试题库管理、培训学习、考核管理等功能模块,系统以剖析安全事故为主要学习途径,遍历出事故中存在的所有安全风险、自动提示相应的安全规程及预控措施,从而使各种安全规程和风险辨控知识能逐步并牢固地深植进学习者的潜意识。补充、完善的事故案例课件以近年来国网公司系统典型的事故案例尤其是2009年国网公司几起恶性误操作为素材,以FLASH为主要表现形式,具备了充分的趣味性和易读性。
三、网络安全教育实施效果
《安全教育系列课件》及《安全风险教育培训系统》实施前,温州电力局安全教育培训工作存在培训人员层次多、专业多、范围广、培训延续周期长、时间紧以及教学内容需结合安全生产实际及时更新等特点,这样无论从工学矛盾、教材内容及师资都无法保证安全教育的持续开展。另外,传统的安全教育培训模式也存在安全教育培训质量不高,效果不明显的弊端,难以保障安全教育工作在温州局的顺利推进。
《安全教育系列课件》及《安全风险教育培训系统》实施后,由于其提供了灵活、便捷、生动的安全教育方式,可以在全省公司系统范围内实现安全教育培训资源共享,极大缓解了日益突出的工学矛盾,并且该系统具有很强的适用性和灵活性,能满足各个层次、各个专业的教育培训需求,为安全教育培训提供了远程网络教育平台。《安全教育系列课件》及《安全风险教育培训系统》等系统在温州局实施以来,得到省公司及上级单位的充分认为,先后获得浙江省电力公司科技成果三等奖、浙江电力行业管理创新一等奖、全国电力企业管理现代化创新成果三等奖等荣誉,《安全风险教育培训系统》获省公司电力行业管理创新二等奖。2009年温州局员工自行制作的八个安全事故案例课件也作为省公司2010年安全周学习事故案例上挂省公司局域网在全省范围内实现共享。
温州局《安全教育系列课件》、《安全风险教育培训系统》等网络安全教育实施成效主要体现在以下几方面:
(1)其利用网络技术手段使安全教育培训信息或内容在很短的时间内被所有员工迅速了解,保证了企业在竞争上的速度优势。
(2)其以系统当前安全教育培训的实际需求为出发点,具有极强的实用性、针对性和深刻的教育意义。其中《安全风险教育培训系统》中的事故案例以近年来国网公司系统的典型事故为背景,并实现与风险辨识点的关联,在强化事故案例警示效果的同时,强化了学习者的安全风险辨识能力。
(3) 由于网络培训教育的方式使所有教育内容始终在线,员工可以随时随地地学习,从而可以按照自己的工作日程有效地安排学习时间,提高员工的学习效率,缩短员工的培训时间。系统可随时随地安排考试,并能做到真实、有效,员工也可随时在网上练习。
(4)初步解决了骨干员工不能离岗培训的问题,为员工提供个人发展和成长的环境及机会,提高了企业在人才方面的竞争力。
(5)节省大量的场地、差旅等诸多的培训费用。网络教学方式,实现了各种教育资源的优化和共享,打破了资源的地域和属性特征,提高了教育资源使用效率,降低了教学成本,同时网络教育学习方式打破了时空限制,由于不必安排集中授课,更不必为解决食宿交通等问题,方便了员工学习,节约了一批可观的教学成本。
(6)保证了安全教育的连续性和实时性。目前,电力企业在安全教育中存在的最大问题是从安全教育的内容、方式及对象来看,需要经常性地开展各类安全教育,教育内容及形式必须根据有关安全政策法规、企业安全工作现状结合安全事例分析进行及时更新,网络安全教育模式的灵活性及网上课件的丰富性,使安全教育能够按连续性和实时性的要求开展。
(7)通过发动内部员工进行安全课件的制作与竞赛,提高了员工的事故分析能力,同时营造了良好的企业安全文化氛围。
(8)其充分运用文字、图形、图像、动画、音频、视频等多媒体手段,改变了原有安全教育单一、古板的教学模式,内容生动、完整、规范,各模块之间知识点相互交错和融合,提高了员工学习的积极性和企业安全教育培训工作质量,为确保企业开创良好的安全生产局面奠定了扎实基础。《安全教育系列课件》及《安全风险教育培训系统》等系统自实施以来,温州局将其充分应用于安全生产管理和安全教育培训工作中,同时将其与“安康杯”、“安全月”,以及开展“爱心活动”、实施“平安工程”等活动有机结合,积极推动安全文化建设,有效促进了全局的安全管理水平的提高。2005年以来温州局未发生人身伤亡事故;未发生重特大电网、设备事故;未发生重大交通、消防事故;保持了连续五年无误操作的良好成绩。同时每年的电网、设备事故次数和障碍次数也在逐年下降,取得了安全生产无事故记录超2000天的可喜成绩。
四、网络安全教育实施难点
(1)网络安全教育内容需要实时的更新和维护。为确保安全教育的针对性和实效性,实时滚动和更新网络平台中的安全教育课件及相关素材是必要前提,因此每年必须投入大量的人力、财力和物力对网络教育内容进行更新。
(2)平台的运用需要常态化。一个好的网络教育平台,如果缺少规范运用就会失去其存在的价值,因此一方面需要完善一套行之有效的管理考核制度,以规范对平台的运用,另一方面需要确保和提高安全教育课件的易读性和趣味性,以充分激发员工自主学习的积极性。
(3)需要完善网络安全教育平台与SG186系统HR模块的接口功能,以实现人员信息和培训信息资源的共享,减少安全教育培训管理工作量。
五、结束语
安全教育是电力企业体现“以人为本”安全管理理念的重要内容,是提高职工安全意识和安全技术素质的重要手段。开展安全课件的制作,积极推进网络安全教育模式,创新安全教育的新机制,将有利于确保企业的“长治久安”。
参考文献
【关键词】消防安全 教育培训 网上学习 网上考试
1 消防安全教育培训管理系统需求分析
1.1 概述
消防安全教育培训主要完成的是公安部61号规定的应该列为消防安全重点单位的宾馆、饭店、公众聚集场所等11类场所,以及其它达不到列入消防安全重点保卫单位条件,但一旦发生火灾可能造成群死群伤重大事故的其它场所的机关、团体、企业、事业单位中《社会消防安全教育培训大纲》规定的13类从业人员作为培训对象的消防安全教育培训工作。相关从业人员在通过一定时间对相应岗位应掌握知识的学习、考核,从而达到履行消防安全管理岗位职能的要求。并对学员进行培训考核,考试合格者由消防监督机构核准,社会培训中介机构发给相关证书,消防部门加强从业人员的监督。教育培训过程按照工作流程主要分为注册、选课、学习、考核、发证、管理等阶段。
消防安全教育培训管理系统依托现有的互联网资源,完成以下主要内容:
1.1.1 培训“网络教室”构建
按照培训对象类别完成培训服务器的搭建及网络接入,依据培训管理机构制定的课程,完成培训课件制作及上传,以及相关培训班和相关课程参数设置。
1.1.2 培训对象管理
包括培训对象注册、选课、课件在线学习
1.1.3 培训学籍管理
培训对象学习按照学分制度,根据培训要求完成相应课程学习,系统自动记录学习完成情况。
1.1.4 培训考核
培训对象完成相关课程学时之后,申请参加课程考核。如果考核不合格根据规定重修或重考。
1.1.5 审核发证
所有参训科目合格,管理机关登记制作合格证。
1.1.6 培训监督
管理机关对所开培训班进行在线监督,检查培训课程设置,培训对象学习完成情况等。
1.1.7 培训档案管理
对参训培训对象课程学习、考核情况、合格证等相关资料进行电子档案管理,也是检查培训情况的依据。
1.2 主要应用模块需求分析举例
1.2.1 “网络教室”业务分析
“网络教室”是培训的虚拟环境,包括培训“讲稿”即培训课件及对课件的系统组织并提供学员访问学习。课件是构成培训系统的核心,包含了课件制作、、维护、管理。“网络教室”还对培训班级进行管理,通过“网络教室”可以制订相应的培训对象内容,对培训对象所要学习的课程进行选择,制订培训对象的时间计划(开始时间、报名时间、学习时间、考试时间等)。“网络教室”还对考试内容进行管理,包含考题制作、、维护、管理。“网络教室”还包括了对当前培训对象的管理,记录培训对象选课、学习的历史记录,同时它也是教育培训的入口和学习“活动场地”。
“网络教室”主要模块分为:课件管理、班级管理、考题管理。
1.2.2 课件管理系统分析
首先需要确定培训对象所需要使用的课程,教师通过系统指定相应课程以及课程的基本信息(名称、学分、编号等),同时对课程的基本信息进行保存。在课程指定完成后管理员可以对课程增加相应的课件。为了易于学习,课件应按照课程实际学习方式划分为不同的章节,并根据章节制作并上传保存。课程与课件制作完成后,管理员通过审核将课程及课件在“网络教室”平台上,提供学员学习。
课件管理模块涉及的资料有:课程信息、课件信息、课程状态。教师完成课程信息和课件信息的录入,管理员完成对课程状态的改变。课程状态主要包括:未审核、、停止使用。
1.2.3 课件管理用况分析
(1)参与者:教师、管理员
(2)用况:课程制作、课件制作、课程审核、课程修改、课件修改
1.2.4 课件管理活动图分析
从上面用况图分析可以看出,该模块涉及课程和课件的制作修改以及审核,模块完成数据的录入、修改和状态的改变。数据在教师和管理员之间完成,按照参与者的职责进行组织, 通过以用况图、活动图的方式从业务分析、系统分析两大方面对课程管理的举例分析,我们可以分析定义系统的功能需求包含:课程管理、培训对象管理、题库管理、学员管理、网上报名、网上学习、网上考试、证书管理等几部分。以上分析为理解用户需求及开发人员实现需求奠定了基础。
消防安全教育培训管理系统功能规划
根据消防安全教育培训的需求,将网上培训系统功能划分为:学员管理、教师管理、管理员管理和考试管理四个模块。其中学员管理主要完成学员的课程学习、考试申请、证书申请和学员信息管理等功能;教师管理主要完成课程课件管理、试题管理、试卷管理及相关查询等功能;管理员管理主要完成学员注册审核、培训对象管理、教师信息管理、考试审核、证书审核等功能;考试功能则完成学员的考试过程。系统架构采用B/S方式,需要建立一个起始页面便于人员的登录及相关信息的。
2 结束语
受篇幅所限系统功能模块及详细内容不能一一展现,且由于研发时间短,人个知识所限,待改善工作还很多。
(1)自动组卷功能过于简单,如何实现更为公正、公平的、易维护的组卷功能待研究解决。
(2)学员培训证书的防伪和身份认证的研究。
(3)培训费用在线支付功能的开发应用。
参考文献
[1]PMI,王勇,张斌译.项目管理知识体系指南(第四版)(PMBOK 2008)[M].北京:电子工业出版社,2005.
[2]阮祖望,软件项目管理PPT[D].北京:北京大学软件与微电子学院,2011.
[3](C-PMBOK 2006)中国(双法)项目管理研究委员会.中国项目管理知识体系[M].北京:电子工业出版社,2005.
[4]范玉顺.工作流管理技术基础[M].北京:清华大学出版社,2001.
[5]Abraham Silberschatz,杨冬青译.数据库系统概念[M].北京:机械工业出版社,2000.
[6]高兴媛,古辉.在线考试系统自动组卷技术的研究与实现[J].计算机与现代化,2011.
[7]沈洪.多媒体技术与应用[M].北京:人民邮电出版社,2010.
[8]袁家政.计算机网络安全与应用技术[M].北京:清华大学出版社,2002.
作者简介
中图分类号:TP393.08 文献标识码:A 文章编号:1007-9599 (2012) 18-0000-02
1 网络安全现状
计算机网络以难以想象的速度发展至今,网络应用也复杂到一定程度,社会、民众乃至国家对网络的依赖日渐加深。利用计算机网络进行黑客攻击的不法分子或以危害别国安全为目的的不法势力越来越猖獗,计算机网络安全问题日渐凸显,表现在:(1)网民的安全意识还很薄弱,计算机网络防范技术还处于不完善阶段;(2)计算机犯罪和网络侵权名列现代社会犯罪榜首。网络安全问题可能影响到整个国家的经济发展,甚至国家的社会稳定。必须认清网络安全现状,提前部署计算机网络安全防范对策。
2 应对计算机网络安全危机
如今科技进步离不开网络,信息交流离不开网络,计算机网络安全工作在我国社会发展过程中有着非常重要的地位和作用。应对计算机网络安全危机必须坚持管理手段和技术防范并重。管理上立足我国网络实际情况,逐步完善相应法律法规,加强监督监管;网络防护技术上加大研发力度,与时俱进。能够始终贯穿最新的网络安全管理规范,保证计算机网络的安全管理。坚持管理和技术防范并重的原则,下面介绍应对计算机网络安全的几个对策:
2.1 构建网络安全保障机构
计算机网络体系复杂,给全社会提供便捷的网络服务。要构建一套有效的网络安全保障系统也离不开全体社会,是一个需要聚全社会之力完成的社会工程。非常有必要建立有执行力的组织机构。下面结合实际从两个方面进行网络安全保障机构构建:
2.1.1 建立地方的网络安全组织
国家对于计算机网络安全方面有组织机构,如国家计算机病毒应急处理中心,定期做病毒预报和病毒监测,网民可以从互联网上获取到信息,但是广大民众并没有习惯关注这些信息,因此有必要建立地方的网络安全组织机构。该组织机构由地方多个相关的部门人员组成,地方信息办办及时掌握最新的网络安全信息,应当列入组织。地方公安部门对地方网络安全使用进行监控,地方国家安全局对境外敌对势力的网络侵袭进行监控,都属于该组织机构的成员。该组织的责任是更有效的防范计算机网络安全隐患,建立地方的网络安全法律法规和网络行为规范。在地方范围内更有效的开发计算机网络安全防范技术培训,让更多的民众了解计算机网络安全存在的危机,提高网络安全防范技术,推动地方计算机网络安全提高到一个新的水平。
2.1.2 建立本单位基层网络安全组织
使用网络的基层单位组织本单位的网络安全组织,负责人由单位主管领导担任,成员应该由各领域的人才组成,首先需要熟悉本单位计算机网络信息系统的计算机技术人员,对本单位网络的安全有基本的了解,对计算机网络漏洞和系统及时进行升级和病毒防护,同时根据实际情况制定本单位的关于计算机安全方面的制度和规范;其次需要负责单位教育培训的人事部门人员,不定期在单位开展关于网络安全方面的培训教育,增强本单位人员网络安全防范意识;还要有参与单位安防的人员组成,对计算机机房重地进行重点防护;单位的计算机机房是比较重要的网络设施,该地域的网络安全管理应该能够更加重视,因此对于本单位的基层网络建设而言,需要建立健全完善的网络安全组织。
2.2 突出重点工作领域
我国目前使用计算机网络的数量非常庞大,网络安全性在不同行业重要性有强弱之分,关系国计民生的行业,如金融、证券、铁路等国家经济命脉部门行业和国家要害部门的企业网络安全尤为重要。国家要将有限的人财物资源投入到优先保护的计算机网络,以更好的保障社会安定平稳运行。计算机网络安全由于应用非常广泛,因此在很多重要领域都有着计算机网络的身影。类似于国家政府机关的网络管理设施,需要相关部门对此进行更加深入的安全管理。因此,在网络化、信息化不断发展的今天,越来越多的信息开始变得网络化,一些国有企业、安全管理部门等也将信息放在网络这样的大平台上。原因在于通过网络平台可以更加安全方便的进行管理。也正是这样的原因,造成在网络上的信息过于重要,其所在领域的网络安全也更加得以重视。安全部门的网络安全管理,重点在于如果建立完善的网络管理机制,在管理过程中如何做到内部与外部的管理安全。
2.3 有针对性的开展技术防范工作
计算机网络是计算机技术发展到一定水平的高科技产品,网络发展同时推动了计算机软硬件技术的高速发展,计算机网络安全是建立在高科技软硬件平台上。符合标准的计算机机房及机房内性能良好的硬件设备是计算机网络运行良好的物理前提。机房建设应该按照GB50174-2008《电子信息系统机房建设规范》、GB50462-2008《电子信息系统机房施工及验收规范》标准规定执行,操作系统不定期补丁程序,计算机网络管理员要定期关注更新操作系统,及时打补丁完善网络操作系统,增加计算机网络的安全性。目前计算机网络上的应用软件门类繁多,存在不同程度的安全隐患,系统管理员同样要关注应用软件的更新。
对于单位性质不同,计算机网络的安全性要求高低不同。对重要单位的机房有各种要求,消防设施需要安装自动灭火装置,监控系统,报警系统等。计算机网络由专业机构进行等级评估,设置与单位性质匹配的安全防护策略及安全防护体系。建立必要的防火墙平台、入侵检测平台、漏洞扫描平台。防病毒软件选用公安部认可的产品,定时升级,设置定时更新和定时查杀,完善计算机网络系统。
2.4 逐步完善监管法律法规
互联网安全立法是非常紧迫的,由于计算机网络发展的速度非常快,运用网络防护技术保障计算机网络安全和社会提供立法保障应同步。立法规范网络安全要用相当长一段时间,只能逐步完善网络安全监管法律法规。有了相应的网络安全法律、法规,国家执法机关能充分运用法律手段履行国家赋予的职权,对影响安全的各种行为进行查处,震慑不法分子。
2.5 网络安全教育培训到位
网络不安全会危害广大网民,公众对网络安全有了充分认识后自我防范意识加强,网络安全性也会相应提高。定期开展网络安全教育培训,宣传网络犯罪行为表现,增强网民自我保护意识。有关单位和个人通过网络安全教育培训,了解网络使用规范,学习网络防护技术,对提高计算机网络监测和抗击能力,迅速应对和预警网络安全,推动我国信息化建设起到积极的作用。
3 结束语
计算机网络安全问题是值得全社会关注并采取措施的社会系统工程,采用先进的技术手段结合科学的管理模式,全民参与,提高社会整体的防范意识,并且要通过坚持不懈的努力,才能使我国的计算机网络安全问题改善,使我国计算机网络安全达到健康发展的水平。
参考文献
[1]谢希仁.计算机网络(第4版)[M].北京:电子工业出版社,2003
一、网络安全自查开展情况
1.组织领导情况
我局成立了网络安全与信息化领导小组,负责全局网络安全相关工作的组织领导,网络安全职能部门在对全局信息系统进行了自查。
2.制度建设
全局已拟定了网络安全责任相关制度,根据政府机构网络安全制度指导下,实施网络安全相关制度。
3.经费保障
网络安全工作经费已纳入年度信息化预算中,本年度网络安全工作经费预算占信息化预算的5%,经费纳入单位财务统一管理,单独核算,确保了专款专用。
4.系统测评及备案
暂时没有对系统定级,没有完成等级保护测评与网安备案。全局网络系统为内外网的双网隔离系统,双网间的数据交互通过网闸实现。
5.日常运维
全局有专人对网络日常运行情况进行监测,保证关键网络设备的业务处理能力具备冗余空间,目前防火墙、虚拟应用网关、核心交换机等内存使用均能满足日常办公使用需要。全局系统的网络处理能力和网络带宽足够,能避免业务高峰期出现阻塞现象。
在网络边界、区域均部署了防火墙,实现了边界隔离,系统通过对非法外联进行了管控,其安全审计和设备防护措施有效可控。通过VLAN划分与网络边界的防火墙应用控制策略,启用了访问控制功能。通过虚拟网关技术,建设内网服务保障信息传输的安全性和网络系统运行的可靠性。
二、当前网络安全方面存在的突出问题
1.网络安全意识程度不高
由于网络安全的专业性,部分使用人员对网络安全的防范意识不高,导致密码设置过于简单,对病毒文件、木马信息、钓鱼网站的处理完全依赖于杀毒软件。
2.网络安全风险防范技能有待进一步提升
由于网络环境、网络技术的复杂性,对使用人员的网络安全技术有较高的要求。但目前我局工作人对网络安全技术了解尚少,网络安全风险防范意识薄弱。
三、下一步网络安全工作计划
1.提升网络安全教育
加强网络安全教育培训,从安全意识角度,提升使用全局人员的安全防范意识。
中图分类号:G658.3 文献标识码:A 文章编号:1672-3791(2013)07(b)-0017-02
信息安全问题或许能够得到企业的认识,但更多的企业内部员工并没有认识到信息安全的重要性。甚至一些企业都没有预见到信息安全可能是阻碍企业长期发展的关键性问题。对此,企业普及信息安全的教育,确保企业信息的机密性、完整性和可用性变的越来越重要。
1 信息安全教育的必要性
信息安全对于企业来说是十分重要的。现在因为信息安全问题而造成经济损失的企业很多,其原因基本都是对信息安全的不够重视,而对于制造业来说信息安全则尤为重要。制造业面临着很多的问题,譬如说生产的产品都大同小异,没有技术方面的优势,产品属于劳动密集型的产品,在强手如林的市场经济中可以获得经济利益,却不能够实现企业的长足发展。对于此问题,各制造业都会将眼光放在产品的创新上,通过产品的研发设计优势、技术优势来冲破密集型产品给企业发展带来的阻碍。但是,如果企业保证产品优势的信息被别人窃取或是模仿,最终就可能导致产品的大众化,使企业产品的优势不复存在。即便企业知道信息安全的重要性,但企业内部员工如果没认识到信息安全的重要性和严重性,也可能导致信息的流失,从而损害企业的利益。对此,制造业更应该对信息安全问题加以重视。
2 信息安全的内容
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
2.1 管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。
环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。
企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。
其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。
最后就是对于企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
2.2 网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。
(1)网络。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。
造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。
在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
3 信息安全教育
3.1 保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁杂。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。
有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻开始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。
在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对于信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
3.2 信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。
(1)对于企业内部所有员工进行信息安全意识的教育培训。
(2)对于企业内部的信息技术人员进行相关技术知识的教育培训。
3.3 员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对于一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基本要求。
3.4 普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机上,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家里或是其他计算机上的病毒带到企业内部,导致企业的计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更高的信息安全意识。
4 结语
在企业当中,对于企业内部员工普及信息安全的教育是十分重要的。一个企业仅有对信息安全的意识是不足够的,它需要建立完善的信息安全管理制度,通过完善的信息安全管理制度去强制员工履行其信息安全的义务。其次,企业应该对员工进行信息安全教育培训,从信息安全知识、员工职业素养以及计算机及网络知识的培训来对员工进行深层次信息安全的教育。只有员工有了信息安全意识,才能够使整个企业具备防范信息安全威胁的能力。
参考文献
[1] 陈华.美国高校信息安全管理体系及其启示[J].科教导刊,2013(1).
[2] 范映红.关于大学生信息安全教育问题的思考[J].学理论,2012(29).
高校校园网作为高校这个特殊环境中传递信息的媒介,是学校重要的教学、科研信息基础设施,它提供教学,科研,娱乐,教育管理,招生。随着校园网的逐步发展,网络应用的逐渐普及,校内部的网络越来越多的暴露给了外部世界。因此,在校园网络及其信息系统中如何设置自己的安全措施,使它安全、稳定、高效地运转,发挥其应有的作用,成为各校越来越重视的问题。
针对层出不穷的校园网络安全问题,高校内设办公机构和部门都购置了各种网络安全产品,如防火墙、入侵检测系统、漏洞扫描器、系统实时监控器、VPN网关、网络防病毒软件等。毋容置疑,这些产品分别在不同的侧面保护着网络系统。但是,从系统整体安全考虑,这些单一的网络安全产品都存在着不同的安全局限性。并且网络安全不仅有着众多的技术安全因素,更多的在网络安全的管理、部署和操作方面,因此,将技术和管理相结合,建立一个多层次的校园网安全防御体系,对于构建安全的校园网环境有着重大的意义。
保障高校校园网络安全应该从网络安全技术和安全策略方面去同步加强,安全策略是先导,先进的网络安全技术是根本。
网络信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。信息安全的实现要依靠先进的技术、严格的安全管理、法律约束和安全教育。本文从此三个方面去综合考虑、规划建设校园网络,构建了一个多层次的校园网安全主动防御体系模型。
一、依托网络安全技术构建网络安全堡垒
1.合理规划设计校园网络物理结构
校园网络是教学,科研,娱乐,教务管理、图书管管理等活动的基础设施。特别地,在科研、教务管理、图书馆管理等方面,对校园网络安全要求很高。对这些关键部门,构建相应的办公网络时,应该在物理上独立实施建设。与其他一些安全级别不同的部门在物理网络建设上应该尽量隔离,这样的物理安全设计为保证校园网信息网络系统的物理安全,除在网络规划和场地、环境等要求之外,还要防止系统信息在空间的扩散。
计算机系统通过电磁辐射使信息被截获而失密的案例已经很多,在理论和技术支持下的验证工作也证实这种截取距离在几百甚至可达千米的复原显示技术给计算机系统信息的保密工作带来了极大的危害。为了防止系统中的信息在空间上的扩散,通常是在物理上采取一定的防护措施,来减少或干扰扩散出去的空间信号。
正常的防范措施主要在三个方面:对主机房及重要信息存储、收发部门进行屏蔽处理,即建设一个具有高效屏蔽效能的屏蔽室,用它来安装运行主要设备,以防止磁鼓、磁带与高辐射设备等的信号外泄。为提高屏蔽室的效能,在屏蔽室与外界的各项联系、连接中均要采取相应的隔离措施和设计,如信号线、电话线、空调、消防控制线,以及通风、波导,门的关起等。对本地网、局域网传输线路传导辐射的抑制,由于电缆传输辐射信息的不可避免性,现均采用光缆传输的方式,大多数均在Modem出来的设备用光电转换接口,用光缆接出屏蔽室外进行传输。
2.构建应用级网关、实时入侵检测(IDS)
应用级网关作为防火墙(Firewall)中的一个主要类型,它通过侦听网络内部客户的服务请求,检查并验证其合法性,若合法,它将作为一台客户机一样向真正的服务器发出请求并取回所需信息,最后再转发给客户。对于内部客户而言,应用级网关好像原始的公共服务器,对于公共服务器而言,服务器好像原始的客户一样,亦即应用级网关充当了双重身份,并将内部系统与外界完全隔离开来,外面只能看到服务器,而看不到任何内部资源。
IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络受到危害之前进行拦截和响应。防火墙能够将一些预期的网络攻击阻挡于网络外面,而IDS还能对一些非预期的攻击进行识别并做出反应。将IDS与防火墙联动,能更有效地阻止攻击事件,把网络隐患降至较低程度。
3.建立多层次的病毒防护体系
这里的多层次病毒防护体系是指在Internet网关(具有垃圾邮件过滤功能)上安装基于Internet网关的反病毒软件;在服务器上安装基于服务器的反病毒软件;在校园网的每个台式机上安装台式机的反病毒软件。同时,还需要做好如下工作:定时对网络进行杀毒;对每台计算机都开启病毒监控;经常对服务器和客户机的杀毒软件进行升级。
二、加强和规范校园网络安全管理
1.加强黑客入侵检测与防范
校园网入侵者一般为校园网内部用户,有着窥探他人隐私的好奇性,攻入私人计算机。有的入侵者希望通过入侵学校数据库,以达到修改个人资料和学习成绩为目的。个别的电脑高手希望通过入侵,引起他人注意,以显示自己的能力,这样的人不会盗取别人的电脑资料,但会故意留下“足迹”,如进行破坏或是“留言”。
为了维护高校教务系统及图书馆管理系统安全,应该特别加强黑客入侵检测,并严格防范。主要可以采取以下几方面的措施:
(1)检测网络嗅探程序
网络嗅探是一种常用的收集网络数据包的方法,其基本原理是对经过网卡的数据包进行捕获和解码,从链路层协议开始进行解码分析,一直到应用层的协议,最后获取数据包中需要的内容,如账号、口令等。
当电脑系统被一些网络嗅探程序跟踪时,可能会出现网络通讯丢包率非常高或是网络带宽出现反常,这些情况是网络有嗅探器的可能反应。网络管理员就应该及时加以处理。通常,可以在关键的系统上部署检测嗅探器工具,例如AntiSniff工具,来自动检测网络嗅探程序。
(2)及时更新IIS漏洞
由于宽带的普及,给自己的计算机装上简单易学的IIS,搭建一个ftp或是web站点,已经不是什么难事。但是IIS层出不穷的漏洞实在令人担心。远程攻击着只要使用webdavx3这个漏洞攻击程序和telnet命令就可以完成一次对IIS的远程攻击防范措施:关注微软官方站点,及时安装IIS的漏洞补丁。
(3)选择性关闭IPC$共享、防止IPC$共享入侵
IPC$ (Internet Process Connection)是共享“命名管道”的资源,它是为了让进程间通信而开放的命名管道,通过提供可信任的用户名和口令,连接双方可以建立安全的通道并以此通道进行加密数据的交换,从而实现对远程计算机的访问。它有一个特点,即在同一时间内,两个IP之间只允许建立一个连接。2000/XP/2003在提供了IPC$功能的同时,在初次安装系统时还打开了默认共享,即所有的逻辑共享(c$,d$,e$)和系统目录winnt或windows(admin$)共享。所有的这些,微软的初衷都是为了方便管理员的管理,但在有意无意中,导致了系统安全性的降低。个人用户如果无网络服务的可关闭IPC$共享,最好的方法是给自己的账户加上强口令,并不定期地更换。
2.加强校园网络中服务器安全规范
(1)制定缜密的服务器管理制度,对服务器的操作从程序上进行规范。确保安装正版操作系统和杀毒软件,及时更新,打上漏洞补丁。各种密码必须做到定期更换,经常对服务器进行漏洞扫描,确保安全。
本文为全文原貌 未安装PDF浏览器用户请先下载安装 原版全文
(2)建立定期备份制度,服务器可以采用RAID5(磁盘阵列)技术,或者是双机容错技术等等,确保系统能不间断运行。
(3)根据分配工作的不同,赋予操作人员不同级别的权限,同时建立完备的日志系统,做到出现问题能立马有迹可循。
3.建立校园网的统一认证系统
认证是网络信息安全的关键技术之一,其目的是实现身份鉴别服务、访问控制服务、机密和不可否认服务等。校园网与 Internet没有实施物理隔离。但是,对于运行内部管理信息系统的内网,建立其统一的身份认证系统仍然是非常必要的,以便对数字证书的生成、审批、发放、废止、查询等进行统一管理。
三、加强高校网络安全教育
要确保高校网络安全,除了依赖最新的网络安全技术去构建网络安全屏障外,还要加强高校网络安全教育。主要有以下几方面的措施:
1.对网络管理员定期进行专业培训
有些网络管理员专业知识和技能不够、责任心不强,部分网络管理员在工作之前没有受过系统的专业培训。所以,不能很好地胜任本职工作。
严格的管理是校园网安全的重要措施。事实上,很多学校都疏于这方面的管理,对网络安全保护不够重视。为了确保整个网络的安全有效运行,有必要制定出一套满足网络实际安全需要的、切实可行的安全管理制度。
2.在高校师生中普遍开展网络安全教育
高校中教师作为知识的引导传播者,在信息化教育不断发展的高校教育中,教师网络安全意识的提高,首先要从提高教师对网络安全的认识做起。教师应了解相关的网络安全法律、法规,如内容分级过滤制度等。教师应意识到无论是在学校还是家庭,都应加强网络安全和道德教育,积极、耐心的引导学生,使他们形成正确的态度和观念去面对网络。同时,给学生提供丰富、健康的网络资源,为学生营造良好的网络学习氛围,并教育学生在网上自觉遵守道德规范,维护自身和他人的合法权益。
四、总结
高校校园网络信息安全是我们非常关注但又难以彻底解决的问题。校园网络建设没有统一的标准和规范,目前也没专门的技术或产品能够完全解决网络的安全问题。我们只能根据最新的信息安全保障体系理念,采用安全策略分析、授权访问、认证技术、密码技术、防火墙技术、IPSec技术(IP Security)信息与网络安全最新的技术去构建校园网络的安全体系,另外,我们在思想上要认识到网络安全的重要性,在校园网络安全建设硬件方面不但要有资金投入,还要不断加强校园网络管理人员和校园网用户的网络安全知识教育培训,树立大家的网络安全防范意识。这样,就可以使网络安全事故发生的可能性降低到最小。我们相信,随着教育信息化的发展,校园网络安全也越来越受到大家的关注,校园网也会越来越安全。
参考文献:
[1]陈新建.校园网的安全现状和改进对策[J].网络安全技术与运用.
[2]刘建炜.基于网络层次结构安全的校园网络安全防护体系解决方案[J].教育探究,2010,(3).
二、高职院校数字图书馆网络安全的影响因素
目前,高职院校数字图书馆发生的信息安全事件主要有图书馆工作电脑感染病毒、蠕虫、木马,服务器感染病毒、蠕虫、木马,垃圾邮件,端口扫描攻击,非法用户侵入Web和其他文件服务器,拒绝服务攻击,内部人员滥用网络端口或系统资源等。这些安全事件的攻击源有些来自于图书馆内部,有些来自于外部。具体影响因素有以下几点。
1.环境因素和意外事故。
外部环境对计算机网络系统有着一定的影响,例如数字图书馆网络中心机房的设计和环境,电源的质量,防火、防水、防雷击、防漏电等设备。当外部环境条件不符合有关标准时,会对数字图书馆的信息安全造成严重的危害。此外,地震、火灾、水灾、断电、硬盘老化、被盗等意外事故也会引起信息服务中断,从而造成信息丢失或泄密。
2.人为因素。
①安全管理体系不健全。
高职院校由于本身制度方面的不完善,在数字图书馆的安全管理制度建设上相较于本科院校而言存在很多问题。一是安全管理制度不够完善。大多数高职院校图书馆缺乏严格的、科学的管理体制,缺乏细致、有效的安全技术。二是缺乏安全教育培训。高职院校图书馆的工作人员及广大师生安全意识比较薄弱,网络安全知识严重缺乏。三是制度执行力度不够。从调研中得知有些高职院校图书馆工作人员因不能严格的遵守规章制度,导致不可挽回的一些后果。
②工作人员安全管理理念比较落后,对安全管理的重要性认识层度不高,导致管理不充分,使得数字图书馆面临严重威胁。
很多高职院校数字图书馆工作并非由专业的计算机专业人员负责,而是由图书馆内部人员兼任,其对于网络的管理理念仍以传统图书馆封闭式内部局域网安全管理模式为主,并没有认识到开放的网络环境给数字图书馆带来的严重影响,使得对网络信息安全的维护只能处于被动状态。
3.网络病毒和黑客攻击。
网络病毒和黑客攻击是高职院校数字图书馆来自外部最主要的信息安全威胁。病毒通过自我复制,隐藏在数以万计的信息中,在适当的时机使网络或终端遭到破坏。黑客的攻击往往目的性较强,若图书馆的服务器受到攻击,那么整个数字图书馆就将瘫痪。
4.硬件因素。
大多数校园网络建设的比较早,机器更新换代比较慢,造成许多设备老化、兼容性不好、性能跟不上,易产生设备负荷比较大,使系统出现故障,降低了系统的安全。
三、数字图书馆的网络安全管理措施
1.创建优良的网络运行环境,做好网络硬件和终端的使用与管理。
一个良好的环境,不仅可以增加服务器、路由等设备的使用寿命,同时对网络安全也提供了最基本的安全保证。其次,一个标准安全的终端对进入数字化图书馆系统也是必不可少的安全保证,对使用的终端我们要提倡开启防火墙和安装必要的杀毒软件,同时有周期性的对终端进行杀毒和系统垃圾文件的清理。此外,应取消共享文件夹,减少信息泄露的概率。最后,要定期进行系统备份,防止因意外或病毒造成的信息丢失,将损失降到最低。
2.加强安全教育和管理。
现代技术可以确保信息安全的实现,先进管理则可以确保信息安全得到落实。高职院校首先应建立数字图书馆安全管理,确立具体的负责人和人员职责。其次,通过组织开展多角度、多形式的网络信息安全宣传工作,树立图书馆员和读者的安全责任意识。通过技能培训、岗前培训、现场网络安全教育等形式做好图书馆员和读者的安全教育工作。最后应加大安全管理的检查力度,确保安全理念能落到实处。
为进一步加强全局信息网络系统安全管理工作,我局成立了以局长为组长、分管领导为副组长、办公室人员为成员网络安全工作领导小组,做到分工明确,责任具体到人。分工与各自的职责如下:局长为计算机网络安全工作第一责任人,全面负责计算机网络与信息安全管理工作。副组长分管计算机网络与信息安全管理工作。负责计算机网络安全管理工作的日常协调、督促工作。办公室人员负责计算机网络安全管理工作的日常事务。
二、计算机和网络安全情况
(一)网络安全。我局所有计算机均配备了防病毒软件,采用了强口令密码、数据库存储备份、移动存储设备管理、数据加密等安全防护措施,明确了网络安全责任,强化了网络安全工作。
(二)日常管理。切实抓好内网、外网和应用软件管理,确保“计算机不上网,上网计算机不”,严格按照保密要求处理光盘、硬盘、移动硬盘等管理、维修和销毁工作。重点抓好“三大安全”排查:一是加强对硬件安全的管理,包括防尘、防潮、防雷、防火、防盗、和电源连接等;二是加强网络安全管理,对我局计算机实行分网管理,严格区分内网和外网,合理布线,优化网络结构,加强密码管理、IP管理、互联网行为管理等;三是加强计算机应用安全管理,包括邮件系统、资源库管理、软件管理等。定期组织全局工作人员学习有关网络知识,提高计算机使用水平,确保网络安全。
三、计算机信息管理情况
近年来,我局加强了组织领导,强化宣传教育,加强日常监督检查,重点加大对计算机的管理。对计算机外接设备、移动设备的管理,采取专人保管、文件单独存放,严禁携带存在内容的移动介质到上网的计算机上加工、贮存、传递处理文件,形成了良好的安全保密环境。严格区分内网和外网,对计算机实行了与国际互联网及其他公共信息网物理隔离,落实保密措施,到目前为止,未发生一起计算机失密、泄密事故;其他非计算机及网络使用,也严格按照有关计算机网络与信息安全管理规定,加强管理,确保了我局网络信息安全。
四、硬件、软件使用置规范,设备运行状况良好
为进一步加强我局网络安全,我局对部分需要计算机设备进行了升级,为主要计算机配备了UPS,每台终端机都安装了防病毒软件,硬件的运行环境符合要求;防雷地线正常,防雷设备运行基本稳定,没有出现雷击事故;今年已更换了已经老化的一对光纤收发器,目前光纤收发器、交换机、等网络硬件设备运转正常,各种计算机及辅助设备、软件运转正常。
五、严格管理、规范设备维护
一、高校信息安全管理的现状
美国,作为当今世界信息化程度最高的国家,在信息安全管理的理论相关研究以及实践方面都处于世界领先地位。为了方便信息安全管理措施的执行,美国大部分知名高校单独设立了信息安全管理部门,并通过该部门向首席信息官汇报安全工作。与此同时,美国高校还建立了文件化的信息安全管理体系,并将这些规范应用到日常工作中。同样,在欧洲的大部分高校中,其信息安全管理体系都较为成熟。而我国信息安全管理工作起步较晚,在信息安全领域的研究,落后于发达国家。并且,技术手段是国内大部分高校保障信息安全的主要方式。但随着信息化建设进程的不断发展,国内高校信息化建设理论与实践也在不断进步。
二、高校面临的信息安全管理问题
技术和管理是网络信息安全的两个主要构成部分。如果没有合理有效的安全管理工作贯穿于信息活动中,即使有很好的安全技术,也是无法真正实现信息安全的。而国内大部分高校对管理的不重视,使得国内高校的信息安全管理存在着多方面的不足。1.过分依赖软硬件技术“三分技术,七分管理”,表明管理贯穿于信息安全的整个过程。而国内部分高校投入大量的经费购买杀毒软件、防火墙、漏洞扫描系统等安全防范产品,过分依赖软硬件技术,却忽视了信息安全管理。其网络信息安全防护仅仅是靠着产品与技术的堆砌,这只能起到隔靴搔痒的作用,而并不能真正地解决信息安全问题。2.信息安全管理人员配备不足高校信息系统的安全很大程度取决于高校信息系统管理人才的素质。当前,国内信息安全专业人才培训还处在起步阶段,缺乏信息安全管理人员。同时,很多高校只是在软硬件方面投入很多,而对信息安全技术人员的引进、培养却只做了很少的工作。在高校工作的部分信息安全管理人员缺乏信息安全管理的专业教育培训。这使得高校或是信息安全人员的缺乏,或是信息安全管理人员专业素质不高,对于恶意攻击事件缺乏防御。3.信息安全管理制度体系不健全通常来说,若想实现信息安全的管理,首先应当建立一套完整的信息安全管理制度体系。而目前高校在信息安全管理上缺乏一套完整、健全的制度体系,这就导致信息内部管理较为松散,相关信息安全指令不能够及时的被执行。并且缺少严格的安全监督检查机制,没有职能合理的信息安全管理机构,使得管理内部权责不分明,出现过失时,无法快速找出责任人。4.信息安全管理的参与度不高高校信息安全管理的重要部分之一是对校园网用户进行信息安全普及,而国内高校对大学生以及教职工的信息安全教育不够重视,只是把信息安全教育作为一种形式。使得大学生以及教职工对学校信息安全缺乏正确的认识,对计算机与网络安全相应的法律、行政法规和技术法规缺乏了解。
三、高校信息安全问题管理对策
1.转变重技术、轻管理的观念在信息安全管理活动中,将技术与管理充分融合,并更加注重管理措施的实行。将安全操作系统、防火墙、病毒防护、入侵检测、安全扫描技术等各种计算机网络信息系统安全技术融合在一起,形成一个完整的、连贯的网络安全体系。此外,安全技术必须与安全管理设施相结合,制定措施并加强执行力度,以确保校园网能够更加正常、高效、安全的服务于学校的教学、管理、研究等服务。2.加强信息安全管理人员的配备和管理充分认识到信息安全在信息化建设中的重要作用,加大信息安全投入,积极引进信息安全管理人员。同时,加强内部信息管理人员的专业素质,积极开展各种信息安全宣传教育活动。不定期的组织各种安全管理、技术培训,以增强安全意识与管理水平。并建立惩奖制度,对其工作行为进行约束,并调动信息安全管理人员的工作积极性,以培养信息化专业人才。3.制定和完善信息安全管理体系在信息安全建设中,管理制度对一个信息系统的安全至关重要。而技术手段只是作为一种辅助手段,用以配合管理制度。首先,制定信息安全管理体系,即通过分析安全风险、根据实际需求、整合规划,制定出完整、系统、高效率的信息安全管理体系。其次,明确信息安全管理体系的组织结构,各司其职,不去僭越他人职位,从根本上提高信息安全管理水平。4.加强全校师生的信息安全意识教育首先,通过信息安全法律法规教育,使得学生和教职工了解信息安全管理的重要性,增强师生的信息安全法律意识。其次,在全校师生中普及信息安全知识,提高他们的安全保密素质,让师生充分意识到维护信息安全工作的重要性,以及发挥自己在信息安全建设维护中的主体作用。最后,为了提高师生的信息防御以及简单处理技术问题的技能,对全校师生进行信息安全技术培训。
四、小结
网络安全是一个相对的概念,而非绝对的。随着网络的迅速发展,信息安全防范体系并不是一成不变的,新的安全隐患将层出不穷。高校应该根据实际情况,技术与管理相结合,致力于提高信息安全管理人员专业素质,加强对师生的安全教育,从而保障网络安全体系的高效运作,保证高校的信息安全。
参考文献
[1]黄瑞,邹霞,黄艳.高校信息化建设进程中信息安全问题成因及对策探析[J].现代教育技术,2014,(3):57-63.
[2]王延明,许宁.高校信息安全风险分析与保障策略研究[J].情报科学,2014,(10):134-138.
[3]李西明,鹿海涛.高校信息安全管理探讨[J].中国教育信息化,2010,(1):20-22.
[4]梁艺军.高校信息安全管理探讨[J].计算机科学,2012,(S2):195-197.
在信息技术飞速发展的今天,黑客技术和计算机病毒也在不断之变化,其隐蔽性、跨域性、快速变化性和爆发性使网络信息安全受到了全所未有的威胁。在这种攻与防的信息对抗中人、技术和管理都是不可或缺的重要环节。
一、网络信息安全的问题在哪里?
(一)技术层面的问题
1.网络通信线路和设备的缺陷
(1)电磁泄露:攻击者利用电磁泄露,捕获无线网络传输信号,破译后能较轻易地获取传输内容。
(2)设备监听:不法分子通过对通信设备的监听,非法监听或捕获传输信息。
(3)终端接入:攻击者在合法终端上并接非法终端,利用合法用户身份操纵该计算机通信接口,使信息传到非法终端。
(4)网络攻击。
2.软件存在漏洞和后门
(1)网络软件的漏洞被利用。
(2)软件病毒入侵。
(3)软件端口未进行安全限制。
(二)人员层面的问题
1.系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低;文档的共享没有经过必要的权限控制。
2.技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施。
3.专业人员利用工作之便,用非法手段访问系统,非法获取信息。
4.不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。
(三)管理层面的问题
1.安全管理制度不健全。缺乏完善的制度管理体系,管理人员对网络信息安全重视不够。
2.监督机制不完善。技术人员有章不循,对安全麻痹大意,缺乏有效地监督。
3.教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。
二.网络信息安全的防范策略
(一)技术层面的防范策略
1.网络的基础设施安全防范策略
(1)减少电磁辐射。传输线路做露天保护或埋于地下,无线传输应使用高可靠性的加密手段,并隐藏链接名。
(2)使用防火墙技术,控制不同网络或网络安全域之间信息的出入口,保护网络免遭黑客袭击。
(3)使用可信路由、专用网或采用路由隐藏技术。
(4)网络访问控制。访问控制是网络安全防范和保护的核心策略之一。包括入网、权限、目录级以及属性等多种控制手段。
2.软件类信息安全防范策略
(1)安装可信软件和操作系统补丁,定时升级,及时堵漏。
(2)应用数据加密技术。将明文转换成密文,防止非法用户理解原始数据。
(3)提高网络反病毒技术能力。使用杀毒软件并及时升级病毒库。对移动存储设备事前扫描和查杀。对网络服务器中的文件进行扫描和监测,加强访问权限的设置。在网络中,限制只能由服务器才允许执行的文件。
(4)使用入侵检测系统防止黑客入侵。一般分为基于网络和基于主机两种方式。还可以使用分布式、应用层、智能的入侵检测等手段。
(5)数据库的备份与恢复。
(二)人员层面的防范策略
1.对人员进行安全教育。加强对计算机用户的安全教育、防止计算机犯罪。
2.提高网络终端用户的安全意识。提醒用户不使用来历不明的U盘和程序,不随意下载网络可疑信息。
3.对人员进行法制教育。包括计算机安全法、计算机犯罪法、保密法、数据保护法等。
4.加强技术人员的安全知识培训。
(三)管理层面的防范策略
1.建立安全管理制度。对重要部门和信息,严格做好开机查毒,及时备份数据。
2.建立网络信息综合管理规章制度。包括人员管理、运维管理、控制管理、资料管理、机房管理、专机专用和严格分工等管理制度。
3.建立安全培训制度。使安全培训制度化、经常化,不断强化技术人员和使用者的安全意识。
三、安全三要素的保障作用更重要
在保证网络信息安全的过程中,技术是核心、人员是关键、管理是保障,我们必须做到管理和技术并重,技术和措施结合,充分发挥人的作用,在法律和安全标准的约束下,才能确保网络信息的安全。
(一) 技术的核心作用
不管是加密技术、反病毒技术、入侵检测技术、防火墙技术、安全扫描技术,还是数据的备份和恢复技术、硬件设施的防护技术等,都是我们做好网络信息安全防护的核心要素,技术支撑为我们建立一套完整的、协调一致的网络安全防护体系起到了核心的作用。
(二)人员的关键作用
人也是安全的一部分。人的作用是不可低估的,不管是使用者,还是程序开发人员、技术维护人员,还是网络黑客,都是我们构建网络安全环境的关键因素,成也在人,败也在人。
(三)管理的保障作用
管理是不可缺失的,不论是技术上的管理,还是对人的管理,不论是技术规则,还是管理制度,都是网络信息安全的保障。很多安全漏洞都来源于管理的疏忽或者安全培训的缺失。
四.多说两句
网络信息安全是一项复杂的系统工程,涉及人员、技术、设备、管理、制度和使用等多方面的因素,只有将安全三要素的保障策略都结合起来,才能形成一个高效安全的网络信息系统。世上没有绝对安全,只要实时检测、实时响应、实时恢复、防治结合,做到人、技术和管理的和谐统一,目标一致,网络信息就能安全。
