时间:2023-10-24 10:28:35
序论:速发表网结合其深厚的文秘经验,特别为您筛选了11篇对信息安全的理解范文。如果您需要更多原创资料,欢迎随时与我们的客服老师联系,希望您能从中汲取灵感和知识!
1 流通环节中食品安全信息不对称的表现与原因分析
1.1 分段监管的食品安全管理体制中存在信息不对称的现象
2010年2月以来我国实行在食品安全委员会统筹指导下,农业、卫生、工商、质检、食品药品监管等部门分段负责的食品安全监管体制。设立食品安全委员会的目的是为了协调各相关职能部门密切配合统一行动,以达到良好的监管效果。但是实践证明这种监管体制的效果并不理想,并未从根本上解决实际监管中出现的各部门的各自为政以及职能界限不清的体制弊病。原因在于食品安全委员会只是一个议事协调机构,对各部门缺乏统一指挥的权力,想让各部门实现监管信息共享进而实现监管行动无缝衔接就显得不太现实;各部门之间无隶属关系,在监管实践中仍然是各自为政,均不愿主动与其他部门实现监管信息的共享,其结果是各部门在监管中对食品安全违法行为的处理以“一罚了之”的简单处理方式为主,很少将食品安全违法事件告知其他部门进而统一行动,以达到良好的监管效果。2013年国务院机构改革方案中将各监管部门的职能得到了一定的整合,监管体制从多段管理到两段管理,近年来的实践已经有力的说明分段管理的模式很难达到良好的监管效果,这次的机构改革未必能起到预期的效果。
1.2 食品安全方面的法律法规和基本常识普及率不高,使得食品买卖双方之间存在信息不对称的现象
首先我国食品安全方面的法律法规在人民群众中的普及率并不高,他们大多法律意识淡薄,偏远农村的情况更为严重。城市中的农贸市场和农村的集贸市场中一定程度地存在着销售不合格不卫生食品的现象,他们大多只顾赚取利润,很少或从未想过销售劣质食品的危害以及应负的法律责任。其次我国食品安全方面的法律法规建设不够完善,还存在一些管理漏洞,一些靠批发或零售低劣食品牟取暴利并且对相关法律法规非常熟悉的企业或个人,他们故意在法律的盲区内活动,而依据现实的法律法规又很难将他们予以惩处;这样的事例在食品流通环节中并不罕见。
1.3 实际监管环节中存在信息不对称
依照法律法规的规定工商管理部门有打击流通领域的走私贩私行为和经济违法违章行为的职责。但在现实中由于工商部门执法人员力量的不足,所以很难充分掌握所管辖区域内的流通领域的遵纪守法状况;城市里人员众多且流动性大,由于执法人员数量极其有限,掌握流通领域全部的食品安全信息实现更好的流通领域的食品监管对于工商部门来说显得力不从心。农村地域广大,食品经营户较分散,基层监管力量明显不足[1],仅有的几名执法人员走访一遍所有村子就需要一两月的时间,对流通领域的食品监管难度很大,掌握的相关监管信息也是明显不足,很多的批发商就是利用农村的隐蔽性特点从事劣质食品的仓储工作。
1.4 市场信用体系建设滞后,加剧了各市场主体之间信息不对称的局面
目前工商部门只是对各市场主体进行简单的登记工作,这对不法商贩的监管力度极其有限。在实践中我们常常发现这样的情况:当工商部门对某一不法商贩查处后,由于社会对该商家的违法行为了解有限,该商家后续的经营几乎不受太大影响。这暴露出我们当前的管理体制的不足:市场信用体系建设滞后,对市场主体缺乏足够的约束。
1.5 执法信息不公开,使得人民群众与监管部门之间存在信息不对称
近年来随着市场经济的深入发展,我国政府一直在努力转变政府职能,深化行政执行方式的改革。政府信息公开化是深化行政执行方式改革的重要内容,虽然政府信息公开化的工作已经开展了多年,但从工商部门执法信息的公开现状来说,这方面的工作做得还远远不够,相当一部分的信息公开只是流于形式。为了实现更好的食品市场监管,从理论上来说工商部门应该将不涉及保密规定的具体执法信息公之于众,这样一方面可以接受公众的监督,另一方面也对不法商贩起到一定的震慑作用。
2 加强流通环节食品监管的对策建议
2.1 改革政府各职能部门分段监管的局面,建立信息通畅的管理体制
现代高效的行政组织系统必然是一个信息畅通、指挥统一、权责明确的有机系统,各部门不仅在信息上做到上下贯通左右协调,而且能够为了共同的目标统一行动。欧盟的统一监管和美国的分类监管启示我们,同一种类产品的全部生产流通环节受到同一部门的监督,这种监管方式在实际的运用中更加有效,并能节省监管成本[2]。鉴于我国食品安全分段管理体制的严重弊病,我们可以借鉴这种按产品种类进行监管的体制,从理论上来说,这种体制的权责划分明确,可有效避免现行体制中的部门信息沟通不畅的弊病,从而有利于流通环节的监管。
2.2 加强食品安全常识及法律法规的教育,改善消费者处于食品安全信息劣势的局面
鉴于我国食品安全法律法规及常识的普及率较低的现状,开展相关方面的教育工作显得尤为必要。政府相关部门以及消费者协会要切实负起责任,通过举办多种形式贴近人民群众的活动向公众宣传基本的食品安全常识及相关法律,提高公众辨别食品优劣的能力和法律水平。另外还要加强对市场流通主体的教育工作,增强他们的法制观念与守法意识,努力使他们自觉规范自身行为。
2.3 建立食品安全流通环节社会监管信息网络系统,实现监管网络的社会化
在当前深化食品安全监管体制改革的大背景下,相关监管部门应该更新管理观念创新管理方式,向社会让渡部分管理职能,建立全民参与的食品安全监管电子网络系统,让人民群众参与到流通环节食品安全的监管中来。这样一方面可以弥补工商等职能部门因监管力量不足而导致的所掌握的监管信息不足的缺陷;另一方面也在客观上充实了监管力量,对流通环节的食品安全违法行为也起到一定的震慑作用。可以说社会监管网络的建立对流通领域的食品安全监管工作将起到极大的促进作用。不法商贩生活在人民群众当中,人民群众在发现食品安全违法行为的时候可以积极通过监管网络向相关监管部门举报,这对监管部门实现良好地监管效果来说将起到事半功倍的作用;为保证社会监管网络系统的持续健康发展,必须建立健全相关配套机制,如对举报人的保密和奖励制度,采用这些措施将极大地激励人们参与到食品安全流通环节的监管中来。
2.4 建立食品安全流通环节信用体系,从深层次上解决信息不对称的局面
食品安全监管只是治本,开发建立流通领域食品安全社会信用体系是治本之策。在借鉴银行业系统建立的个人信用档案系统的基础上,工商部门应在对市场主体进行登记的基础上建立他们的市场行为的信用记录系统,并向社会公开相关信息方便公众查询,这有利于缓解目前市场经济活动中各市场主体占有信息不对称的局面。相比目前的事后监管模式,信用体系具有多方面的优势。一方面是诚信记录的公开化使食品流通环节的各参与者占有更多的食品安全方面的信息;另一方面这一措施将极大地促进整个市场诚信体系的建设,从而在更深层次上促进信息不对称的问题的解决。
2.5 加大政府信息公开力度,建立流通环节食品安全监管长效机制
没有监管的权力必然导致腐败,这是一条已被证明了无数次的真理。加强社会各界对食品安全相关监管部门的监督,将对相关职能部门认真履行职责起到巨大的促进作用,而取得良好监督效果的关键就是相关执法信息的公开。信息公开可以使公众了解更多食品流通环节执法的真实情况,这一方面可以使相关职能部门主动规范自身监督行为,有效减少监管过程中营私舞弊和走过场等不良现象;另一方面还有利于督促监管部门将监管工作常态化,改变现在靠开展专项行动突击检查的非良性监管模式,监管常态化有利于监管部门缓解对市场主体行为的相关信息了解有限的局面,极大的提高监管效果。
“民以食为天”。食品的质量安全与人体健康、生命安全有着极为密切的关系。食品安全一直是人类发展关心的话题。随着我国经济社会的进一步发展,人们对食品安全也越来越重视。近几年来,食品安全事故频频发生,三聚氰胺、苏丹红、瘦肉精、“染色馒头”、地沟油等事件更是引发了中国老百姓对食品安全的集体不信任,也引起了我国政府的高度重视。食品安全是关系人民群众身体健康和生命安全的大事,而食品质量监督检验机构是食品安全的重要守卫者。监管人员要以对人民群众高度负责的精神,加大监管力度,严把食品安全关,确保广大群众都能吃上放心的食品。
《食品安全法》明确规定,食品生产者采购食品原料、食品添加剂、食品相关产品,应当查验供货者的许可证和产品合格证明文件;对无法提供合格证明文件的食品原料,应当依照食品安全标准进行检验;不得采购或者使用不符合食品安全标准的食品原料、食品添加剂、食品相关产品。食品生产企业应当建立食品原料、食品添加剂、食品相关产品进货查验记录制度,如实记录食品原料、食品添加剂、食品相关产品的名称、规格、数量、供货者名称及联系方式、进货日期等内容[1]。质监部门通过日常对企业的原料进货查验记录、生产过程控制记录等的查验,督促企业按照有关法律、法规、标准的有关规定,依法生产,规范生产活动,督促落实食品质量安全主体责任。
虽然我国已经有了一些关于食品安全的法律法规,但是
基金项目:天津师范大学大学生创新创业训练计划项目:“基于信息不对称理论的食品安全监管体系构建研究”(2012023)
作者单位:300387天津师范大学政治文化与政治文明建设研究院
食品安全问题的现状不容乐观,在食品的原料生产过程中仍然存在着许多问题。
一、存在的问题
1.农产品的生产者和养殖者存在违法行为
农产品的生产者和养殖者经常违法使用高毒高残留农药、抗生素、瘦肉精和激素等;违法使用食品添加剂和非食品原料生产加工食品;非法、超范围、超用量使用色素、防腐剂等食品添加剂;违法使用不合格原料生产加工食品,掺假制假,如使用发霉变质原料、过期产品、病死畜禽肉等。这些行为都对我国食品安全带来了极大的隐患。除此之外,我国还出现了一些在发达国家出现的食品污染,如在我国多个省份流行的大肠埃希菌等。在一些工业较为发达的地区,许多高污染企业不能按照有关部门的要求正常使用水污染物处理设施,而是直接将废水未经处理就排放至江河湖海甚至居民水源中,对人类的生命健康造成了直接影响。随着新技术、新工艺和新资源的不断发现并应用,我们的食品安全同样也面临着新隐患。转基因技术的应用、化学合成添加剂等新的食品添加剂的出现、食品新型包装材料所使用的化学材料等现象都应引起我们的高度重视。
2.信息不对称所导致食品安全问题
在食品安全问题中,其实许多方面都是由于信息的不对称所引起的。在食品方面的市场交易中,企业作为生产者,在信息方面拥有绝对的优势,对可能出现的问题和缺陷十分了解;销售者与生产企业相比,信息的拥有方面处于相对劣势的地位,但是依然可以根据自己的经验去了解产品的情况;而作为最广大群体的消费者,由于对产品信息缺乏了解的途径,就使得消费者不能准确辨别食品质量的优劣,一些消费者在贪图便宜的心理的驱使下,甚至还会选择一些价格便宜的低质量产品。一些生产者常常利用自身的优势,使用、滥用非法添加物以及食品添加剂,这对消费者的身体健康存在严重的影响。信息不对称问题成为我国食品安全生产加工中的重大问题,也是我国食品安全社会监督中最大的问题。
3.法律惩处力度较小
2006年出台的《农产品质量安全法》对之前的相关法律进行了很大的整理、修改和完善,但其惩处力度仍还不足,多数情况下的处罚以罚款或停业整改为主,这些惩处不足以震慑违法者。相比较国外的发达国家,他们严厉打击出现食品安全问题的企业,天文数字的罚款常常令商家无力支付,甚至陷入倒闭的境地,如此严厉的刑罚对不法供应商具有更高的威慑力,使其不敢再进行违法犯罪行为。
4.执法责任制不够完善,执法力度不足
当前,农产品安全监管权责不清是责任追究制度很难落实的重要原因之一。诸多行政部门都负责食品安全的具体事务。但是,大家都会争着抢着管那些对自身有利益的问题,而一旦真正出现了问题,却又会出现谁都不愿负责的局面。这样就严重影响了执法监督的权威性。此外,执法者自身也存在一定的问题。有些执法人员害怕得罪人,在执法行动中就会缩手缩脚;有的执法人员法律观念不强,就会导致野蛮执法的出现;还有的执法机构或执法人员实施重惩处而轻批评教育、重行政处罚而轻法制制裁。此外,大量的农业执法人员来自于专业技术领域,他们自身缺乏执法经验,执法水平和执法方式都有待进一步提高。
5.农产品质量检验标准及质量检验体系有待完善
我国现行的农产品质量安全标准体系很多是在上世纪七十年代制定的,当时我国农产品农药残留量比较高,而现在随着经济的不断发展,该标准体系执行到现在却没有进行较大的修订,一些食品标准项目指标陈旧落后,已经明显不符合现在的检测标准。政府部门在一些标准体系建设方面的落后,也严重影响着我国农业标准化生产、监管等工作的进行。目前我国大范围的快速检验体系还未建成,农产品质量监管的技术手段还没有完全发挥出它应有的作用。
6.食品原料生产检测设备差,检验检测水平较低,科研经费投入少。
在我国,国家质检总局、食品药品监管、农业部、卫生部等多个政府部门都有食品安全检验检测机构,各种检测机构职能叠加,使得本来稀缺的检测资源更加捉襟见肘,影响了食品安全的震慑威力和监督力度。在国外,基因探针等新的高科技检验检测手段已经应用在众多实践之中,而在我国却仍主要用于科研单位。在经费投入方面,我国与国外相比,更是少得可怜。
7.农产品市场准入门槛较低
农产品贸易的最后一道门槛是农产品市场准入制度,但目前我国还没有健全的市场准入制度。对于那些不集中的农贸批发市场,我们管理起来难度更大。我国还没有一个清晰完整的管理层次和体系,目前只有一些零散的法律法规散布在各级政府部门的规章规范之中。我国目前的市场准入制度还不够完善,这就直接导致了我国农业一体化程度较低,一些农产品市场主体在自己的生产经营活动中未能受到有效的监督。虽然上海、广州、北京等一些大城市已经初步建立起了农产品市场准入制度,但是该制度目前还不够完善,并且在全国范围内还未能建立起统一的格局。要想解决食品安全问题,我们要从全面抓起,从根本抓起。我们要重视食品原料的卫生质量监管这一环节,构建食品安全防护体系,建立统一、完善并具有统领能力的长效监管机制。我们要保证食用农产品和生产食品的原材料质量,加强对农资、农药的监管;加大对农药生产企业的监管;加大对食品原料、添加剂生产企业的监管,切实维护广大人民群众的健康安全。
二、对策及措施
1.正确全面地进行食品安全宣传
作为市场主体的企业,在食品安全问题的整个过程中,应树立起自己的第一责任人意识,监督企业建立相关的企业内部规范,树立正确的企业形象,加强企业自身的道德建设。对于分散程度较高的小作坊经营者,更应该引导其扩大自身的生产,坚持诚信守法的原则,加强自身的食品安全意识,我们还要指引整个食品行业共同去营造一种和谐的食品环境,最终提高食品的安全质量。
2.建立健全食品安全监管体系,从食品生产源头进行治理
各级检验监督机构都要对食品企业进行登记造册,对企业进行规范管理,全面建立起食品企业档案,努力做到随时有据可查。我们要加强对食品添加剂、食品原料、包装材料、食品用工具、消毒剂和食品标签等全方位的监管,逐步完善对食品原料生产领域的安全监管体系。我们还要建立健全安全风险监测分析和预警制度,提高原材料生产环节的安全监测、分析与预警的水平和能力。争取实现食品安全监管的早发现、早控制和早处理。
3.加大监管监测力度,对生产者进行动态跟踪监管
我们要加大监管监测力度,对生产者进行动态跟踪监管,对农村与城乡结合部等监管薄弱地区进行重点监管,加强对各面的监管。大力加强对违法滥用食品添加剂、违法滥用药等行为的打击,积极引导小作坊式生产者完善其食品生产条件,建立起更加行之有效的监管模式,落实好日常监管工作。
4.加强监管执法人员的教育和培训,加大部门间联合执法力度
目前,食品安全检验检测的工作人员总体水平还不够高,要大力加强监管工作人员的教育和培训工作,提高监管工作人员的整体素质和专业水准。进而积极协调各监督执法部门,加大联合执法力度,提高其执法效率。
5.加强有关食品安全信息的透明度
现阶段许多食品安全问题都是由于信息的不对称所引起的,面对此类情况,我们应加强信息的透明度,加强社会对生产者的监督。生产经营者和监管机构及时向市场昭示相关信息,建立起滞后性信息的修正机制,以便于社会公众及时准确地了解食品的相关信息。
参考文献
[1]食品安全法,2009, 第三十六条.
[2]卢莉杰. 我国食品安全生产加工环节的政府监管研究[D]. 河南大学,2012.
二、加强计算机信息安全课程建设的措施
1加强对教学手段的改革众所周知,计算机信息安全课程所涉及的理念是相当抽象复杂的,传统的教学手段和方法很难适应现在教学的要求。为了更好的满足教学需求,新的教学手段层出不穷,例如现代化的多媒体CAI教学,如果对这些先进的方法加以利用,不仅可以提高信息安全的教学质量和教学效率,而且不断的丰富和充实了课堂内容,将那些抽象画的知识逐渐形象化,保证学生更好的掌握课堂知识。还可以利用计算机网络集文字、影像、图形、动画、声音于一体的优点,不断开发网络学习系统和网络课件,努力为学生营造一个相互学习的氛围,以更好的调动学生的学习积极性。与此同时,还可以通过比如“网络论坛”“、在线学习”、“在线测试”等形式来激发学生自主学习的目的,以实现教学的情景化和智能自动化。2加强对教学内容的改革定期组织和参与关于信息安全的学术报告,以掌握国际上最前沿的发展趋势。在关于计算机信息安全课程建设过程中,学校可以通过各种方式和渠道聘请一些国内外在信息安全方面和计算机网络的专家和技术人员来我校做学术报告和讲座,条件允许的情况下还可以让他们承担一些教学任务,向学生详细的讲解和传授有关计算机信息安全领域的最新技术和知识。目前我校已经聘请的关于计算机信息安全方面的专家主要有美国的YaoLiang教授、ThomasHe教授、WeiderYu教授、JerryGao教授以及海外的DavidZhang博士和TaoyunWang博士。这些教授和专家还作为了我校的特聘专家参与了计算机信息安全课程的建设工作。逐渐增设一些关于计算机信息安全的实践课程,并进一步的深化相关教学理论内容。为了能够让学生掌握更多与信息安全有关的新理念和新技术,我校开设了两堂与课程设计有关的实验课程。通过参与计算机信息安全的设计与实践,有效的加深了学生对相关知识的理解和掌握,并将其应用到现实生活中,这将会更好的激发学生的学习积极性,增加了学生对于基础知识和相关理论的掌握。大量的实践证明,上述的方法不仅提高了学生对信息安全课程的信息,而且还提高了他们思考和理解问题的能力。3加强相关教学方法和手段的改进为了更好的推动计算机信息安全课程的实施,我校对传统的教学手段进行了改革,目前已经逐步实现了计算机信息安全教学与多媒体教学、视频教学、板书、讨论、网络学习的有机结合。除此之外,还加入了相关的实践教学,促进了教学手段的多样化,以更好的激发了学生的学习主动性和积极性,提高了他们对基本知识的理解和掌握。加强对相关教学方法的改革,添加一些实践课程,以更好的培养他们的动手能力。在计算机信息安全课程开始的阶段,学校可以通过向学生发放调查问卷的方式来了解学生对教学方法的意见以及对相关专业知识的掌握能力,并及时修改已有的教学方法,使其更好的适应课堂的教学,提高教学的效率。除此之外,在进行课堂教学过程中,教师每堂课都要组织学生进行关于本堂课所讲知识的测试,以更好的了解学生对每堂课所讲知识的掌握和理解情况,该方法还可以作为督促学生进行课后复习和考勤的重要手段。同时,教师还要对本次课堂的测试进行及时的总结,以更好的帮助学生掌握本次课堂的重要概念和知识点,并根据课堂的测试结果以及学生的掌握情况来适当的调节下次课程的教学方法、教学内容以及教学进度等,以确保每位学生都能够很好理解和掌握课堂的重点和难点。在总结完课堂测试时,对于那些将所有问题全部回答对的同学要公开给予表扬,这样不仅可以激发其积极性,而且还能更好的激发其他同学的学习兴趣,促进他们更加努力的学习。同时还要为学生设计一些与计算机信息安全有关的实验课程设计,要求学生自己动手进行设计和编程,以更好的加深学生对相关知识的理解和掌握,提高他们的学习效率。
关键词:
信息安全工程;理论;规范信息
随着信息时代的到来,给人们生活带来了方便,还带来了许多商机,同时各方面的隐患合危险也增加,黑客的攻击也已经逐渐的渗入到了政府机关、军事部门和商业企业等各个角落当中,给人们的日常生活造成了严重的干扰,对国家经济也造成了非常大的损失,严重的话还会对国家的安全造成严重的威胁。现阶段的情况是,大部分企事业单位都在遭受到攻击之后,再进行全方面的防护,然后非常迷茫的等待下一次攻击的到来。网络信息的安全不仅仅是技术方面的问题,也是必须要将策略和管理以及技术进行的有机结合的一个非常重要的过程。
1信息工程的安全理念
信息安全不仅是一项非常绝对的技术,也是一项非常复杂的系统性工程,这些主要指的就是信息安全的工程。其主要利用工程的概念、原理和技术以及方法,然后来对企业的信息和网络系统安全的过程进行深入的研究、开发和实施以及维护,并且必须要经过长期的考验和证明,才能够明确工程实施的流程和管理的技术,信息安全的工程当中的生命周期的模型,也是信息安全工程学当中的一个落脚点和支撑点,并且也是在信息安全工程学中进行重点研究的一项技术。作为一个信息时代的先导和主角,Internet不仅仅是一个让计算机连接起来的一个非常简单的组合体。所以,也可以说In-ternet是人类社会在数字空间中的一个投影。这样的事实都会导致Internet的某些行为的非常异常并且复杂,也非常明显的反映出网络的安全问题是Internet社会性一个非常明显的标注。在Internet发展的短短几年当中,人们对安全的理解,从早期是为了杀毒防毒到后来就是安装防火墙,到现在对相关系列的安全产品进行不断的购买,也是在对安全意识进行了逐渐的加深。
2信息安全工程的五大特性
第一,信息的安全具有着全面性的特点。对于信息各个方面的安全的问题,就必须要进行全方面的综合性的考虑,并且在系统当中的安全程度也对系统中最薄弱的环节有着非常重要和决定性的作用。第二,信息的安全周期性。一个比较完整的安全过程中就必须要包括安全的目标以及对原则的确定、风险的分析、需求的分析、安全策略的深入研究、安全体系结构的研究、安全实施领域的确定、安全技术和产品的测试与选型、安全工程的施工、安全工程的实施监理、安全工程的测试与运行、安全意识的教育和技术培训还有安全稽查与检查以及应急的响应等多个方面,这是在一个实际的过程中,而一个具有完整性的信息安全工程的生命周期,就必须要经过对安全方面进行全方面的稽核和检查之后,才能逐渐的形成新一轮的生命周期,也是不断反复和上升螺旋式一个安全的模型。第三,信息的安全也具有着动态性。我国信息技术不断的发展的同时,黑客的技术水平也在不断的提高,因此,安全策略和安全体系以及各方面安全技术就必须要进行全方面的调整,才能够在最大的程度上对安全系统进行促进,才能够根据实际情况的变化,来充分的发挥作用,从而就可以促使整个安全系统的发展,并且还能够一直处在一个不断更新和完善以及进步的实际动态的过程中。第四,信息的安全要具有层次性,就需要对多层次的安全技术和方法以及手段进行利用,对安全的风险进行分层次以及全方面的化解。第五,信息的安全也具有相对性。各方面安全是比较相对的,但是也没有绝对的安全可言,安全的措施应该和保护的信息以及网络系统的价值进行相应的结合。因此,信息安全工程进行实施保护的时候,要对风险严重的威胁以及防御措施的利弊和得失进行充分合理的平衡,在安全的级别和投资之间,找到一个比较合理能够使企业接受的一个平衡点。只有这样进行实际的施工,才能对信息安全进行有效的保证。
3信息安全工程涉及广泛领域
信息安全工程学,是具有着比较清晰研究范围,其中主要包括了信息安全工程的目标、原则与范围,信息安全风险的分析以及评估的方法和手段及流程,信息安全的需求主要的分析方法,安全的策略,安全体系的结构,安全实施的领域以及安全的相关解决方案。安全的技术和产品的测试以及选型的各个方面的方法,安全工程的实施规范,安全工程的实施监理方法和流程,安全工程的测试和运行,安全意识的教育与技术的培训,安全稽核和检查以及应急响应的技术和方法与流程等等。
4信息安全工程的前景
如果是一个非常系统的工程,那么就必须要对系统工程的观点和方法进行合理的利用。还要对信息安全的问题进行相应的对待和及时的处理。因此,就企业实际情况看,在建立和实施企业级的信息以及网络系统安全体系的时候,必须要对信息的安全进行全方面的考虑,还要必须要兼顾信息网络的风险评估与分析、安全需求的分析、整体安全的策略、安全的模型、安全体系结构的开发、信息网络安全技术标准规范的制定、信息网络安全工程的实施、监理和信息网络安全意识教育以及技术的培训等多个方面,只有这样,才能够实现真正意义上的信息安全系统安全。
5结束语
综合上文所述,随着全球信息化在不断进行发展和进步的同时,信息的革命也在各个层面中发展,促进了人类发生了翻天覆地的变化。我国现阶段的信息逐渐发展成具有代表综合国力的战略性的资源,但是信息安全,也成为保证国民经济信息化进程能够健康有序发展的一个非常重要的基础,与此同时,也会对国家的安全造成比较严重的影响。从信息安全工程的角度方面来说,如果对我国的信息安全进行全方面的构建和规范,也将大大的对我国的信息安全系统进行逐渐的稳固,从而对国家信息资源的安全进行保证。
参考文献
[1]王志强,李建刚,颜立,洪建光.电网信息安全等级保护纵深防御示范工程在浙江电力的试点建设[C].2010电力行业信息化年会论文集,2010(7):44-47.
[2]张竹松,大理州人力资源和社会保障信息中心主任.社会保障工作要重视“金保工程”信息安全建设[J].大理日报(汉),2013(11):105-106.
[3]赵俊阁,朱婷婷,陈泽茂.优化信息安全工程课程建设的实践与探索[J].
【中图分类号】G633.67 【文献标识码】A 【文章编号】2095-3089(2014)10-0099-01
随着计算机网络的不断发展与普及,人类生活已经入信息化、数字化时代,在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹,而目前获取信息进行交流的主要手段也是网络。为了提供一个安全可靠的网络环境,在培养信息安全人才的同时,还必须加大网络安全系统建设的投入,这是确保信息安全的关键。
网络系统的信息安全是指防止信息被故意或偶然的非法泄露、更改、破坏或使信息被非法系统识别、控制等。所以,强化网络的信息安全,解决信息安全问题,才能使信息更加持续化,向健康的方向发展。
一、目前学校网络教育中信息安全教育存在的问题
当前,尽管全球信息化正在飞速发展,但信息在网络上也面临着随时被窃取、篡改和伪造的危险,这就对保障信息安全带来了很多挑战。因此,我们在校园环境中也要认识到,现在学生上网已经是一种非常普遍的现象,而虚拟的网络环境在为学生的学习和生活提供广阔发展空间的同时,也对学生的健康成长起着直接或间接的负面影响,例如计算机病毒、黑客攻击等现象。如果不能正确引导学生认识,那么学生对于网络信息安全的理解就会走向误区。下面将针对网络教育中存在的信息安全问题做简单论述:
1.对信息安全教育的认识不足。加强学校信息安全教育,不仅是保证学生身心健康发展的关键,也是同其他国家争夺人才的需要。目前很多学校未能意识到网络信息安全教育的重要性,不能深刻理解其内涵,因此,从现在开始就要培养学生对网络信息安全重要性的认识,掌握信息安全体系中最基本的原理和概念,能够熟练运用常用的工具和必要手段进行安全故障的排查等等。我们要最大限度地保证学生免受不良信息的侵害,尽量避免学生自身违法犯罪的发生,为我国培养高素质、高水平人才提供保障。
2.对网络信息安全教育的重视力度不够。目前很多学校对于如何将信息安全教育正规、科学的纳入到学校教学计划,还没有做出明确的规定。有些学校甚至只对个别专业的学生开设相关的信息安全教育课程,普及面非常狭窄,重视程度远远不够,导致学生对计算机软件和硬件知识体系的了解相当缺乏。为了全面提高我国高素质人才的计算机信息安全意识,我们不能仅仅对计算机专业的学生普及信息安全教育,还要将这项教育推广到非计算机专业,这对于增强我国经济社会全面信息化建设具有十分重要的保障作用。
3.对学校信息安全教育采用的方法不当。很多学校所采用的信息安全教育的方法比较落后,依旧沿用老方法,跟不上当今网络时代快速发展的要求,脱离了实际。大部分的教材只局限于理论的讲述,而忽视了对信息安全技能方面的培养,缺少必要的实践经验,严重影响了信息安全教育的效果。
二、计算机网络系统本身存在的主要信息安全问题
由于计算机网络的重要性和对社会活动的影响越来越大,大量数据需要进行存储和传输,某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题,并针对这些问题进一步提出了解决的策略。
1.影响计算机网络安全的因素有多种,主要是自然因素和人为因素。自然因素是指一些意外事故,例如服务器突然断电等;人为因素是指人为的入侵和破坏,这种情况危害性大且隐藏性较强。
2.无意的损坏。例如系统管理员安全配置不当而造成的安全漏洞,有些用户安全意识不强、口令选择不慎、将自己账户随意转借他人或与他人共享资源等带来的安全问题。
3.有意的破坏,例如黑客利用网络软件设计时产生的漏洞和“后门”对电脑系统的非法恶意攻击,从而使处于网络覆盖范围的电脑系统遭到非法入侵者的攻击,有些敏感数据就有可能被泄露或修改,这种破坏主要来自于黑客。
4.网络黑客和计算机病毒是造成信息安全问题的主要原因。网络黑客和计算机病毒的出现给计算机安全提出了严峻的挑战,因此要解决此问题,最重要的一点是树立“预防为主,防治结合”的思想,牢固树立计算机安全意识,防患于未然,积极地预防黑客的攻击和计算机病毒的侵入。而病毒则以预防为主,主要是阻断病毒的传播途径。
三、网络信息安全的防范措施
1.加强计算机防火墙的建设。所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,保护内部网免受非法用户的入侵,能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散。
2.建立一个安全的网络系统。
(1)从技术上保障可行的资源保护和网络访问安全,主要包括网络身份认证,数据传输的保密与完整性,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防御病毒等。如加密技术,它是电子商务采取的主要安全保密措施,是最常用的安全保密手段,是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)的一种技术。
(2)详细了解当前存在的网络信息安全问题,以及网络信息安全的攻击手段,积极采取相应的有效措施进行解决。
论文关键词:信息安全;保护
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
1我国信息安全的现状
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
2我国信息安全保护的策略
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
摘 要:基于前期的问卷调查结果,提出大学生信息安全教育的教学内容,说明教学案例和教学策略,介绍在新生计算机基础课程中进行教学实践的情况。
关键词 :大学生;信息安全教育;案例驱动;教学实践
基金项目:湖北省教育科学规划研究项目(2013B202);湖北省高等学校省级教学研究项目(2014370)。
第一作者简介:杨建强,男,副教授,研究方向为信息安全和无线网络技术,xfxy_yjq@126.com。
0 引 言
几年前,国内的一些学者已经对大学生信息安全教育提出了一些建议[1-4]。但是,受多种因素影响,大学生的信息安全教育问题并未引起大多数高校的重视。尽管如此,智能手机和计算机在大学生中的普及,却开始影响大学生对信息安全的认识。为了把握目前大学生的信息安全知识和安全意识情况,为大学生的信息安全教育提供参考,我们进行了问卷调查。结果表明,受电脑普及,特别是智能手机在学生中流行的影响,目前的大学生对信息安全知识有了一定的了解,具有一定的信息安全意识。不过,大学生的信息安全知识非常有限,缺乏系统性;他们的信息安全意识也不足以应付日益复杂的网络环境。调查结果还表明,大学生普遍非常重视信息安全教育,希望通过计算机基础课程学习信息安全知识,并建议采用案例驱动的教学方式[5]。基于调查结果,我们对信息安全的教学内容进行了总结和提炼,设计了教学案例和教学策略,并在部分班级计算机基础课程中进行了教学尝试。
1 教学内容
大学生信息安全教育包括3个方面的内容:①信息安全知识及防范技术;②信息安全法律法规;③信息安全伦理道德[1-2,4,6]。其中,第一部分是重点,第二、三部分也可以安排到法律基础、大学生思想道德修养等课程中[5]。信息安全内容非常庞杂,在计算机专业的信息安全课程中,通常需要30多个学时来完成理论课的教学。这意味着,要在计算机基础课程中嵌入信息安全教学内容,必须精简信息安全教学内容,压缩授课学时。所以,选择哪些信息安全知识作为教学内容就变得非常重要。我们认为,所选择的内容应该涵盖信息安全最基本的知识点,同时具有一定的系统性;学生学习后,能够对信息安全有一个系统的把握,掌握最基本的信息安全知识,提高信息安全意识,同时掌握实用信息安全防御技能。表1为知识单元及其对应的知识点。
2 教学案例设计
根据前面给出的信息安全知识单元和知识点,可以设计出11个教学案例,其知识点的对应关系见表2。
案例1、2是与恶意软件有关的两个典型案例。案例3是经典密码案例。因为现代密码比较抽象,难以理解,借助经典密码有助于学生理解现代密码的有关概念。案例4、5应用非常广泛,是了解公钥密码技术非常好的案例。案例6比较常见,不过学生通常并不知道它的作用及背后的工作机制。案例7、8、9都是比较典型的安全事件,学生或多或少都了解一些。案例10中的工具是学生容易忽视,但却非常重要的安全工具。这些工具所涉及众多的信息安全知识也是学生需要了解或掌握的。案例11与学生日常使用的智能手机相关,有助于提高学生的安全防范技能。
另外,除了知识单元①⑧没有专门设计教学案例外,其他知识单元都有相应的教学案例。不过,知识单元⑧实际上与大多数案例都有关系,其知识点可以放在其他案例中讲授。知识单元①是对信息安全基本概念的介绍,受学时的限制,不建议设置教学案例。
3 教学策略设计
总体上来说,信息安全的教学主要围绕表1的知识单元顺序进行。各知识单元的教学策略如下。
知识单元①。以图例的方式简单描述信息安全事件的一些发展趋势,比如近几年恶意软件的发展趋势图、网络攻击变化趋势图等,然后给出信息安全的含义、目标、需求和意义。知识单元①大约需要10分钟讲授完毕。
知识单元②。引入案例1,因为很多学生都遇到过U盘病毒,所以教师可以指出U盘病毒是一种蠕虫病毒,然后给出蠕虫病毒的特征、危害。之后以一个感染了蠕虫病毒的U盘为例,演示手工清除U盘蠕虫病毒的过程,同时提醒学生防范U盘感染病毒的方法。对于案例2,以生活中发生的手机恶意软件(大多是木马程序)事件为例,比如“超级手机病毒”事件,手机扫描二维码中毒事件等。然后指出木马的特征,与蠕虫的区别。指出手机恶意软件传播的途径及危害。告知学生防范恶意软件的方法。比如,下载软件的时候注意来源是否可靠,别人的评价如何;为手机安装软件的时候,注意软件所请求的权限是否超出了它的功能;安装安全软件等。之后,指出传统病毒与蠕虫、木马的区别,并简单介绍其他类型的恶意软件及流氓/间谍软件。最后,提醒制作恶意软件是计算机犯罪行为,将要受到法律的制裁,并给出计算机犯罪的含义,以及相关法律法规的条文说明。这部分内容大约需要40分钟完成。
知识单元③。首先说明加密的目的,然后给出密码学的一些基本概念,如明文、密文、密钥等。然后引入案例3,通过一个4×4阶的矩阵,演示整个“矩阵换位加密”过程,加密一个包含正好16个字符的明文。然后指出哪些是明文、密文和密钥。说明消息超过16个字符时的处理方法。然后指出“矩阵换位加密”中的密文字符仅仅是明文字符改变位置的结果,这叫置换;指出某些经典加密算法中的密文字符是不同于明文字符的另一类字符,这叫替代。之后,给出现代对称密码的基本原理,即现代对称加密算法本质上是置换和替代的多次重复。此时可以给出DES算法的框图,让学生进一步理解对称密码的基本原理。最后,指出目前广泛使用的对称加密算法3DES、AES等。这部分内容大约需要20分钟完成。
引入案例4,打开显示有下载软件的SHA1或MD5值的网页。提问学生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法,其作用是生成数据的指纹,可用来检测对原始数据的更改。接下来引入案例5,打开带有数字签名文件的属性对话框。比如QQ安装程序,查看数字签名的详细信息,指出数字签名的含义和作用,并说明QQ安装程序是经过腾讯公司签名的,如果显示“该数字签名正常”,则该程序是原始程序,否则被修改过,不要安装。接下来继续查看数字签名对应的数字证书,查看数字证书中的哈希算法(通常是SHA1)和签名算法(通常是SHA1RSA)。此时,就可以讲授公钥密码的一些概念了。和对称密码对比,指出公钥密码的特点。告诉学生RSA是流行的公钥密码算法。当学生记住这些概念之后,就可以指出数字证书的作用了:保证公钥的真实性。然后告诉学生证书对话框中的公钥。接着,进一步说明数字签名及验证签名的大致过程,并以QQ安装程序为例进行说明。到此,公钥密码、数字签名和数字证书的概念已经讲授完毕。建议进一步向学生说明,他们所看到的数字证书,实际上是由权威机构签名并颁发的,在证书路径上可以看到签名的权威机构,并让学生看一看计算机上已安装的“受信任的根证书颁发机构”列表。这部分内容大约需要30分钟完成。
知识单元④。引入案例6,打开启用了安全连接的网页,比如中国银行的“个人客户网银登录”,提问学生该网页与普通网页有什么不同?然后,单击浏览器上的小锁,让学生看到“连接是加密的”字样;单击“查看证书”,告诉学生这个证书如果是被信任的,则说明所访问的网站是官方网站。接下来,打开铁路12306网站,单击“购票”,指出证书不被信任时电脑的表现。单击“继续浏览网站(不推荐)”,单击浏览器上方的“证书错误”,提醒学生注意显示的信息。进一步“查看证书”,解释不被信任的原因。接下来,说明如果所访问的网站的确是官方网站,如何让计算机信任它。根据需要,可以进一步说明“受信任的根证书颁发机构”的作用。到这里,就可以指出https与SSL的关系,以及SSL的作用了。之后,简单介绍一下SET的作用,并指出SSL和SET在应用上的主要区别。
引入案例7,如果有现成的钓鱼网站,直接打开它。如果没有,则找一个以往钓鱼网站的图片示例。比较真实网站和钓鱼网站的差别,指出钓鱼网站的危害性,并给出被钓鱼网站欺骗的实际案例。然后,指出识别和防范钓鱼网站的方法,比如通过网址识别、启用浏览器的假冒网站检测功能等。告诉学生不要轻信邮件、QQ、微信、微博等上面的链接,特别是要求给出敏感信息的链接。同时提醒这种网络欺诈行为也是一种计算机犯罪。案例6、7所涉及的知识点大约需要30分钟完成。
知识单元⑤。引入案例8,给出典型的示例,比如2014年1月21日的国内大量网站无法访问这个事件。然后指出拒绝服务攻击的含义,并说明拒绝服务攻击只是网络攻击的一种形式。然后指出其他攻击形式,比如传播恶意软件、钓鱼网站、邮件欺骗、社会工程、网络窃听、网络扫描攻击等。给出网络攻击的目的、一般过程,以及防范技术和方法,比如防火墙及IDS。同时提醒学生,网络攻击也是一种犯罪行为。
引入案例9,指出从2011年年末开始,因特网用户资料不断遭到大规模泄露。打开与此相关的网络新闻报道,提问学生是否资料遭到泄漏。然后给出用户资料遭到泄漏的两种原因:用户资料库泄漏和撞库。告诉学生目前第一种情况越来越少,更多的是第二种情况。提醒学生不要在不同的网站上使用同样的账号和密码,特别是密码,否则会遭遇撞库攻击而影响到其他账户的安全。另外密码不能太简单,不要用生日、电话、QQ号码、亲朋好友宠物的名字等作为密码。案例8、9所涉及的内容大约需要30分钟完成。
知识单元⑥。引入案例10,首先说明Windows系统已经提供了许多保障系统安全的工具。然后逐个演示Windows系统更新、Windows防火墙、Windows Defender、MRT和EFS的基本操作。同时说明系统更新的作用及漏洞的含义,说明防火墙的作用,说明Windows Defender与MRT的作用和它们的区别,说明EFS与对称及公钥密码的关系,并指出使用EFS时需要注意的事项。接下来,演示Windows账户设置及访问权限设置,指出它们的含义、作用,通过创建新的账户,并设置某个文件夹或文件的NTFS访问权限,让学生切实感受到Windows账户和NTFS相结合的强大之处,促使学生理解并掌握相应的操作技能。这部分内容大约需要40分钟完成。
知识单元⑦。引入案例11,给出典型的示例。比如在公共的免费Wi-Fi环境中对信用卡信息进行操作,导致信用卡里的钱款被盗的新闻事件,使用公共Wi-Fi导致手机感染病毒的新闻事件,指出示例中的计算机犯罪行为。然后指出公共Wi-Fi可能带来的两类威胁:个人敏感信息的泄漏,和伪装Wi-Fi攻击。给出防范措施:不登录邮箱、微博,不操作网银等。另外,移动设备Wi-Fi连接仅在需要时打开;开启安全软件的网络保护和隐私保护功能。然后,指出移动设备的其他安全威胁,比如恶意软件、设备丢失等。提醒学生除了采用前面第②单元提到的安全措施,还应该经常备份手机中的重要数据,开启手机锁码功能。这部分内容大约需要20分钟完成。
知识单元⑧。本知识单元的知识点已经分散到他知识单元的案例中了,不需要专门的教学说明。
至此,信息安全的全部知识点都已讲授完毕。可以简单地总结一下所讲授的主要内容,并再次给出信息安全的含义和目标,促进学生对它们的理解和掌握。
4 教学实践及效果
在两个2014级新生班级的计算机基础课程中,按照上面的教学策略,我们进行了信息安全的教学尝试。时间安排在计算机网络部分结束之后的两周内,共3个下午,每次2学时,实际使用学时不到6个。
在计算机基础课程结束之后(三周后),我们再次使用原来的调查问卷对这两个班的学生进行了调查(回收问卷120份),并和上一次对2013级学生(当时也是新生)调查的结果进行了比较。见表3、表4、表5。顺便说一下,上一次的调查问卷是基于学生没有经过系统的信息安全学习而设计的,其中有不少题目选项并不适合本次调查,所以表3、表4、表5中的题目选项要比文献[5]中对应的表少一些。
很明显,和2013级学生相比,2014级学生对信息安全术语的了解比例大幅度提升。
结合上一次的调查结果及分析[5],表4中2014级学生对A、B、C三项的选择比例基本上是一致的,说明他们的确比较了解加密等安全技术。选项D的选择也说明了这一点。
很明显,2014级学生比2013级的学生有更强的信息安全意识。总之,经过比较系统的学习,尽管只使用了不到6个学时,学生对信息安全的基本知识已经有了比较深入的了解,信息安全意识也得到显著的提高。
5 结 语
信息安全素养是大学生应该具备的素养,许多学者都曾经对大学生信息安全教育进行过探索[1-4,6-7],但结果不尽如人意。为了找到解决大学生信息安全教育的有效方法,我们在2013年下半年对大学生进行了问卷调查。根据调查结果,我们对大学生信息安全的教学内容进行了提炼,并把它们融入到11个案例中。在2014级新生的计算机基础课程中,我们按照所设计的教学策略进行了教学实践。结果表明,在计算机基础课程中至多增加6个学时的课时,就可以基本上解决大学生的信息安全教育问题。我们的探索为大学生信息安全教育提供了一个有效的解决方案。
参考文献:
[1] 付沙, 肖叶枝. 试论加强高校网络信息安全教育[J]. 当代教育论坛:学科教育研究, 2007(5): 81-82.
[2] 肖红光, 谭作文, 周亚卉. 论大学生信息安全意识教育[J]. 当代教育理论与实践, 2009, 1(4): 29-31.
[3] 彭国军, 黎晓方, 张焕国, 等. 信息安全意识培养应纳入大学生素质教育培养体系[J]. 计算机教育, 2008(22): 44-45.
[4] 陈世伟, 熊花. 大学生网络信息安全教育探析[J]. 武汉科技学院学报, 2005, 18(1): 101-103.
[5] 杨建强, 姜洪溪, 郑毅, 等. 大学生信息安全知识、安全意识调查及分析[J]. 计算机教育, 2014(13): 51-55.
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599 (2011) 17-0000-01
Cadet's Overall Training of Information Security Awareness
Luo Yi
(Equipment Institute,Beijing102206,China)
Abstract:This paper proposes to strengthen information security laws and regulations,ethics and education,make full use of educational resources for information security awareness and education measures.
Keywords:Cadets;Information security awareness;Training
进入21世纪,信息化早已深入到社会生活的各个角落。在信息化高速发展的同时,其所暴露的安全问题也越来越多,这些问题涉及到以信息安全为基础的军事安全、政治安全和社会安全等各个方面。随着对信息安全研究的逐步深入,我们发现,信息安全的决定因素并不是软硬件的缺陷和漏洞,而是其使用者本身。因此我们需要尽可能提高人员的安全防范意识,从安全问题的根源抓起,降低信息安全事故发生概率。军校里培养的是我国未来国防的支柱力量,更需要加大力度培养提高学员的信息安全意识。
一、军队院校信息安全意识培养的现状
(一)学员对信息安全意识教育认识不足。一直以来,很多学员并未注意到信息安全问题的严重性,也未对其有深入的认知,安全意识普遍较低,原因主要有以下几个方面:第一,学员通常会觉得无密可保。长时间的和平环境让他们的信息安全概念逐渐淡化,缺少必要的防范意识,导致有意无意的泄密事件频繁发生,带来了巨大的损失;第二,学员会觉得有密难保。他们自身所掌握的信息安全防御技术有限,同时觉得要防范的都是那种拥有高智商、创造能力强、拥有高科装备术的间谍,由此产生有密难保的想法;第三,学员未能意识到信息安全对国防安全的重要性。许多学员对国防的认知依旧停留在传统国防阶段,觉得只有当国家的领土、领海遭到外国侵略时,才会危害国家安全。在他们的思想里,信息安全不如领土、领海安全有着明确的概念,还未能将信息安全和国防安全有效地融合到一起,甚至有少部分学员认为保障信息安全并不是自己的使命责任,而是由专业的保密部门或保密人员、技术人员来负责的。
(二)信息安全意识培养的软硬件环境较落后。我国军校的网络化建设起步较晚,尚处于初级发展阶段,在保密意识培养、制度建立、技术研究和队伍建设等方面都有着诸多不足。同时信息安全环境的形势也不容乐观,不仅需要面对各类电脑病毒和众多黑客的威胁,还要解决硬件方面的难题。目前,我国网络产品的自给率低,计算机核心部件及打印机、传真机等办公设备都依赖进口,对方可很轻松的在设备的芯片内放置病毒程序;我国拥有自主知识产权的软件产品质量不高,主要开发的是应用软件,而核心软件和系统软件都被国外的大公司所掌控,开发商同样可以在其产品中安放“后门”和潜伏性病毒程序,严重危害了信息安全。总体来说,我国军校的软件环境处于较为封闭的网络环境,相关资源、资料不够丰富,使教员、学员不能及时的了解掌握信息安全的最新知识和培养模式,而硬件网络安全建设基本以防御、维护为主,更新换代较慢,缺乏网络信息安全的实例教学硬件环境。
二、国外信息安全意识培养的经验借鉴
(一)设立专门的教研中心。美国等发达国家为了培养军校学员的信息安全意识,设立了专门的教研中心。中心每年组织召开一到两次有关信息安全的学术研讨会,总结成功的经验,利用全新研究成果,同时还负责积极编纂并引进国外优秀的信息安全意识培养的教材及有关理论。
(二)开设信息安全课程和短训班。美国很早便通过在军校开办信息安全课程和短训班的方式促进信息安全教育的发展;瑞典的军校早在1985年就开设了一年制计算机信息安全课程,这些课程大体可分为:系统和网络、数据库、通信、密码、安全理论、网络犯罪、容错系统等;德国、新西兰、澳大利亚等国家的信息安全教育起步也较早,而且美、瑞(典)、德、加、英、澳、新等国家已相继出版了相当数量的有关教材和专著,以此来推动信息安全教育的发展。
(三)美联邦计算机服务(FCS)项目。这是一个综合性项目,它通过组建以某些高等院校为核心的信息技术优秀中心(CITE),参考美国政府取得的相关项目经验,来加强美国各级政府IT雇员信息安全教育和认证。
(四)服务奖学金(SFS)项目。服务奖学金项目的具体内容是,给予信息安全保障方面的本科生与研究生适当资助,保证信息安全领域内本科生与研究生的数量和质量,以此解决信息安全的后备人才问题。
三、提高军校学员信息安全意识的有效措施
(一)加强学员信息安全的道德伦理和法律法规教育。学员是军队院校计算机及网络的主要使用者,需要严格遵守信息安全相关的法律法规。我国相关的法律法规从不同角度对信息安全问题做出了规范,例如《宪法》、《国家安全法》、《国家保密法》等法律都有相应的条款,规范了公民、法人及其他组织的信息行为,尤其是对涉及到国家安全的行为还有更为严格的限制;《计算机信息网络国际互联网络安全保护管理办法》等法规对与计算机安全和互联网安全有关的行为做出了明文规定,而我国的刑法在其修订案中也完善了与网络犯罪相关的条款。通过不断组织学习与信息安全有关的法律法规,让学员能够在法律的层面上充分明确信息安全的重要性,了解信息安全问题所导致的严重后果,从而使其能够自发地规范各种信息行为,自觉地遵守国家、军队的相关法律法规。
(二)培养学员识别信息安全威胁、规避信息安全风险的能力。加深学员在信息及信息资产价值方面的理解,帮助他们有效地识别和规避风险。需要学员保护的信息大致可以分为两大类:一是个人身份资料类,包含姓名、电话、图像、生日、银行卡号、家庭住址、录音、电子邮件、财务状况、学校名称等,避免他人利用其中一项或者联合多项来确定个人信息;二是个人网络痕迹类,包含个人的行为特征、上网偏好、言论观点等。
(三)充分运用教育资源,开展信息安全意识教育。信息安全意识教育的重点是如何让学员将理论知识与实际技能有机地结合起来,笔者认为可以在借鉴国外经验的基础上通过下列方法来加强信息安全意识:第一,将信息安全作为一门常态化的课程加入到日常的基础教学中,让全体学员可以受到全面的、系统的网络和信息安全教育;第二,开展和信息安全相关的活动,如信息安全知识讲座、信息安全研讨会、信息安全知识竞赛等,通过这类寓教于乐的方法,提高学员的信息安全意识水平,并引导学员积极主动地扩充网络信息安全方面的知识;第三,充分利用军校的各种教育媒介,在校报、校刊、宣传栏开辟信息安全专区,同时借助校园网络、广播等实现对全体学员的覆盖。
参考文献:
引言
大数据时代下,网络信息成为了主要的信息交流平台。随着互联网的发展,让越来越多的生活和工作开始向着互联网发展,并且以互联网为中心,建立了诸多的互联网关系网。
这些网络的成立,让人们开始习惯使用互联网。对于互联网的使用和信赖,也让更多的使用者开始习惯将自己越来越多的信息公布到网上。虽然,在很大程度上互联网是方便了人们的生活和工作,但是也在一定程度上威胁到了使用者的信息安全。随着网络安全不断被重视,也让信息安全成为了人们在使用互联网的过程中,开始更加注重对信息安全的重视。
因此,本文将重点探讨关于大数据下,信息安全的防护措施。
1.大数据下信息安全的解读
互联网造就了大数据时代的诞生,实际上从狭义的范围内理解大数据,就是互联网上数据的量已经足够庞大,从而构成了一个非常庞大的信息数据库。这个数据库中,具有非常多的关键词和潜在的关键搜索因子。一旦专业人士利用相关的编程技术,就可以实现对于整个数据库的盲搜索,从而实现某种个人目的。因此,大数据对于互联网时代而言,既是推动其发展的主要动力,也是影响到互联网信息安全的主要因素。尤其是在信息安全的影响方面,其主要表现在以下几个方面:
第一,大数据数据库的形成,让一些不相关因素成为了相关因素,从而影响了个人信息的安全。在不同的网站上以及站点内,留下了个人的碎片信息,利用相关性的求解方法,就可以实现潜在的分析手段,实现对于整个数据库的搜索,从而得到所有相关的内容,那么,利用强大的相关性,就可以找到所需要的信息,从而造成个人信息安全的影响。
第二,信息安全是相对而言,对于一些潜在的问题而言,大数据成为了信息安全的主要原因。人肉搜索,在互联网上兴起了很久的时间,对于被搜索的人而言,是存在非常大的危害的。这也是因为互联网的大数据造成的,一些不相关的信息,只要是通过搜索以及扩散,就足以达到最终的目的。因此,这就是一种现代的互联网信息安全的隐患,让个人的信息充分暴露,从而影响个人的生活和工作。
2.信息安全的防护措施分析
基于大数据时代的影响,让越来越多的互联网使用者开始重视对于信息安全的防护。那么,在实际的使用过程中,如何能够有效的进行信息安全的防护呢?在使用的过程中,应该注意哪些细节,从而避免信息安全出现泄漏或者遭受攻击呢?以下内容将重点解读这些问题。
2.1 注重对个人网络信息的防护工作
大数据时代背景下,个人信息成为了主要的搜索目标,在使用的过程中,应该特别注意自己的个人信息的防护工作。尤其是一些填写个人资料的网站,一定要认准其信用与权威度,不要在一些不正规的网站上随便注册自己的信息,从而造成个人信息的泄漏。此外,在使用网络安全软件的过程中,一定要安装防火墙这样的安全防护软件,可以有效的进行个人上网环境的保护工作,在一定程度上实现了对信息的保护。因此,建议互联网的使用者,能够在根本上意识到信息安全的严重性。因为一旦信息被泄漏,如果被一些不法分子所使用,就会造成极大的负面影响,不仅仅是工作,更会影响到人们的生活,从而造成个人的困扰。因此,有这样的防护意识,是非常重要的。也是能够有效防止个人信息受到影响的主观原因。
2.2 加强互联网信息安全防护工作
从客观的角度分析,加强互联网信息安全防护工作是非常必要的。现如今,很多防护软件开始使用,并且在互连网上收到了用户的广泛认可。因此,为了能够真正意义上实现对于个人信息安全的防护,不仅仅是个人具备这样的防护意识,还需要从客观的角度上实现对于信息安全的防护手段和措施。例如,一些安全防护软件,能够给予使用者非常良好的建议,一些危险的网站,防护软件会给予警示,这样就能够防止使用者因为好奇而造成信息泄漏的问题。因此,可以通过以下几个方面来加强互联网信息安全防护工作:
首先,一定要安装互联网的安全防护软件,对于使用的网络环境进行安全防护,并且将浏览器的安全级别设置的高一些,从而保证使用者能够在客观上得到一定的保护,有效的堵截了出现信息泄漏的可能性。
其次,主动认识到信息安全的重要性,并且能够多多加强这些方面的学习。利用身边的资源,来充分完善个人自身的安全防护意识,从而在主观上不会受到外界的影响,使得自己能够有效的掌握安全防护的措施。
最后,在日常的生活和工作中,自己的个人信息要做到不轻易外泄,不登陆不正规的网站,不在不正规的网站上随意进行个人信息的填写,从而造成一定的信息泄漏问题。
此外,在电脑使用的过程中,尤其是wifi的使用环境下,要充分拥有防护的意识,保证自身的信息不受到侵害,从而在根本上堵截外在的攻击,保护自身信息安全。定要充分认识信息安全的重要性,并且能够在日常的使用中注意一些细节,从而防止个人信息受到侵害。
3.结语
互联网时代的到来,改变了传统的生活与工作方式,人们在依赖互联网的同时,也开始影响到了人们的信息安全。互联网时代造就了大数据时代,但是大数据逐步成为了一种潜在的搜索资源,让更多人的互联网信息开始受到关注,并且通过这些潜在信息能够挖掘深入的信息。因此,对于互联网时代的信息安全而言,注重大数据为背景,是非常有意义的。
此外,为了能够保证互联网使用者的信息安全不受到侵害,一定要充分认识信息安全的重要性,并且能够在日常的使用中注意一些细节,从而防止个人信息受到侵害。总之,大数据背景下的信息安全更加值得重视,并真正希望使用者以及维护者能够共同努力,建设良好的互联网使用氛围。
参考文献
在进行交易的时候,各个交易方的经营策略能够影响到自身的信息完整性,因此保持信息完整性对各个交易方都非常重要。在对信息进行处理的过程中,要预防随意生成或者修改信息,还要防止数据丢失,从而保证信息的完整性,这也是进行交易的基础。
1.2机密性
现代社会网络发达,想要保证信息的机密性,没有那么容易。但是企业的商业机密决定着企业的命运,所以要保证企业信息不被篡改、破坏、窃取。如何在网络传递信息的过程中保证信息的机密性是必须解决的问题。
1.3有效性
目前多数企业都使用电子形式传递信息,信息是否有效关系着企业的经济利益,也是企业交易的前提条件。所以在信息传递过程中要保证硬件,网络的安全。预防并且控制这些因素带来的威胁,保证信息的有效性。
2电子信息安全技术
2.1防火墙技术
网络给人们带来很大的方便,同时也有网络黑客以及病毒等威胁了网络的安全,网络受到威胁的同时,电子信息的安全也受到了严重的威胁。最初解决这种网络不安全因素的措施就是使用防火墙,在个人电脑中,防火墙可以组织非黑客的入侵以及电脑信息的篡改。
2.2加密技术
加密技术能够加强数据传送的安全性,主要分为对称以及非对称加密两种技术。对称加密技术主要是通过序列密码或者是分组机密来完成,主要的组成成分有:明文、密钥、加密算法、解密算法。非对称加密需要2个密码,分别是公开密钥和私有密钥,这两个密钥必要配对使用,公开密钥的作用是加密,私用密钥的作用是解密,反过来,用私用密钥加密,只能用相应的公开密钥才能解密。加密技术能够保证传送的电子信息不被窃取,在发送电子信息的时候,发件人用加密密钥发送信息,一旦在传输过程中被窃取,只能得到密文,而密文是无法理解的,只有使用解密密钥解读密文,才能得到正确的信息。
2.3认证技术
认证技术两种形式分别为消息认证和身份认证,消息认证能够确保信息的完整性,通过消息认证可以确认信息的真假,还能够确认信息是否被修改;身份认证是用来鉴别用户身份的,分为2个步骤:识别和验证,在访问一些非公开的资源时,是必须要通过身份认证的,例如访问二级建造师的考试成绩时,必须同时输入用户名和密码,才能查到自己的成绩,没有参加考试的人是不能够查到的。
3提高电子信息安全性的策略
电子信息的安全关系到每个人的利益,真正安全的网络信息产品能够保证个人、企业和国家的安全,下面是提高电子信息安全的策略。
3.1提高电子信息安全认识
网络已经渗透到社会各个领域,在未来的经济和军事对抗中,由于网络的崩溃而导致的失败是很有可能的,所以我们要认识到电子信息安全的重要性,把信息资源共享与信息安全联系到一起,树立维护电子信息安全能够促进发展的理念。
3.2构建电子信息安全管理体制
安全技术很重要,与此同时,还应该有一套完善的安全管理体制,最开始所建立的信息安全体制能够制约一个信息系统的安全,一旦安全管理体制出现问题,那么根据这个体制来选择的安全技术就不能正常运行,信息的安全性不能有效的保证,所以完善的管理体制是保证电子信息安全的基础。
3.3培养电子信息安全专业人才
目前我国需要大量的信息安全人才来保护电子信息安全,高水平的教育环境能够培养高素质的人才,因此需要加大科研教育的投入,多培养专业技术人才。在培养信息安全人才的时候,要加强与国际的交流,掌握先进的安全技术以及防范手段。还要加强对内部人员的培训,提升内部人员的素质,只有在高素质的队伍中才能保证工作人员能力的提高。
3.4定期对安全防护软件系统进行评估、改进
随着企业的发展,企业的信息化应用和信息技术也不断发展,人们对信息安全问题的认识是随着技术的发展而不断提高的,在电子信息安全问题不断被发现的同时,解决信息安全问题的安全防护软件系统也应该不断的改进,定期对系统进行评估。
中图分类号:G658.3 文献标识码:A 文章编号:1672-3791(2013)07(b)-0017-02
信息安全问题或许能够得到企业的认识,但更多的企业内部员工并没有认识到信息安全的重要性。甚至一些企业都没有预见到信息安全可能是阻碍企业长期发展的关键性问题。对此,企业普及信息安全的教育,确保企业信息的机密性、完整性和可用性变的越来越重要。
1 信息安全教育的必要性
信息安全对于企业来说是十分重要的。现在因为信息安全问题而造成经济损失的企业很多,其原因基本都是对信息安全的不够重视,而对于制造业来说信息安全则尤为重要。制造业面临着很多的问题,譬如说生产的产品都大同小异,没有技术方面的优势,产品属于劳动密集型的产品,在强手如林的市场经济中可以获得经济利益,却不能够实现企业的长足发展。对于此问题,各制造业都会将眼光放在产品的创新上,通过产品的研发设计优势、技术优势来冲破密集型产品给企业发展带来的阻碍。但是,如果企业保证产品优势的信息被别人窃取或是模仿,最终就可能导致产品的大众化,使企业产品的优势不复存在。即便企业知道信息安全的重要性,但企业内部员工如果没认识到信息安全的重要性和严重性,也可能导致信息的流失,从而损害企业的利益。对此,制造业更应该对信息安全问题加以重视。
2 信息安全的内容
信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。
2.1 管理层方面
管理层方面的信息安全大致也包括物理层方面和管理层方面。
(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。
环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。
(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。
企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。
其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。
最后就是对于企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。
2.2 网络层方面
网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。
(1)网络。
主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。
(2)系统。
造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。
(3)应用。
在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。
3 信息安全教育
3.1 保密协议
在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁杂。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。
有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻开始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。
在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对于信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。
3.2 信息安全管理制度
信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。
(1)对于企业内部所有员工进行信息安全意识的教育培训。
(2)对于企业内部的信息技术人员进行相关技术知识的教育培训。
3.3 员工职业素养的教育
在企业内部对员工的职业素养也需要进行培训。譬如对于一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基本要求。
3.4 普及计算机及网络知识的教育
企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机上,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家里或是其他计算机上的病毒带到企业内部,导致企业的计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更高的信息安全意识。
4 结语
在企业当中,对于企业内部员工普及信息安全的教育是十分重要的。一个企业仅有对信息安全的意识是不足够的,它需要建立完善的信息安全管理制度,通过完善的信息安全管理制度去强制员工履行其信息安全的义务。其次,企业应该对员工进行信息安全教育培训,从信息安全知识、员工职业素养以及计算机及网络知识的培训来对员工进行深层次信息安全的教育。只有员工有了信息安全意识,才能够使整个企业具备防范信息安全威胁的能力。
参考文献
[1] 陈华.美国高校信息安全管理体系及其启示[J].科教导刊,2013(1).
[2] 范映红.关于大学生信息安全教育问题的思考[J].学理论,2012(29).
