前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的網(wǎng)絡(luò)安全治理體系主題范文,僅供參考,歡迎閱讀并收藏。
一、中?檔案管理的現(xiàn)狀
中職使用的檔案管理網(wǎng)絡(luò)規(guī)模屬于中小型企業(yè)網(wǎng),其內(nèi)網(wǎng)不足50個用戶,外網(wǎng)則是依托校園網(wǎng)與Internet相互連接。中職檔案管理軟件主要來自以下兩種形式:第一種,學(xué)校購買商業(yè)化的檔案管理軟件;第二種,中職檔案館與軟件技術(shù)人員聯(lián)合開發(fā)的管理軟件。中職檔案管理系統(tǒng)不管使用商業(yè)化軟件還是自主研發(fā)軟件,安全性存在一些不足之處。中職檔案館缺少專門負責(zé)管理專業(yè)技術(shù)人員,極易產(chǎn)生安全隱患。
1.人們檔案管理意識不足
人們過度依賴現(xiàn)有的操作安全機制,單純的認為只需不泄露自己的用戶名和密碼就不會存在安全隱患。黑客可以采用字典攻擊工具、按鍵記錄器等方式獲取他人的賬戶與密碼安裝好殺毒軟件之后就認定系統(tǒng)絕對安全,有些人不懂對殺毒軟件進行升級和更新。過分相信防火墻,單一認為只要設(shè)置防火墻就可安全,其實防火墻軟件自身的也存在一系列漏洞。
2.缺乏完善的管理制度
目前在中職院校檔案管理系統(tǒng)中,主要使用的依舊是單一的安全管理模式,這種安全管理模式只對檔案管理系統(tǒng)進行簡單的安全防護,在網(wǎng)絡(luò)安全方面有所疏漏。在操作系統(tǒng)中存在的安全漏洞一旦被不法分子發(fā)現(xiàn),就會制出相應(yīng)的網(wǎng)絡(luò)代碼,通過網(wǎng)絡(luò)安全漏洞滲透進檔案管理計算機中,這種惡意入侵將會造成學(xué)校檔案的泄露丟失與網(wǎng)絡(luò)癱瘓,給學(xué)校造成嚴重的損失。
3.木馬、蠕蟲侵犯計算機
蠕蟲不會像病毒那樣自己附加至其它軟件感染用戶的程序和文件,蠕蟲常常采用受感染的系統(tǒng)文件傳輸功能,自行在網(wǎng)上進行傳播,致使網(wǎng)絡(luò)流量不斷增加及計算機運行速度降低。有一部分蠕蟲還可以刪除文件、由受感染計算機發(fā)出文件。特洛伊木馬是一種黑客攻擊,如果電腦中上木馬,該機器猶如一臺傀儡機,黑客可以在侵犯的電腦上下載或傳輸文件,盜取各種密碼和信息。
4.垃圾郵件及間諜軟件的侵犯
現(xiàn)階段,根據(jù)垃圾郵件過濾公司的相關(guān)統(tǒng)計得出,從互聯(lián)網(wǎng)發(fā)出的郵件中,每十封就有超過9封的郵件為垃圾郵件。垃圾郵件泛濫成災(zāi),從而占用更多的網(wǎng)絡(luò)資源,嚴重影響著電子郵件通信的正常運行。如果電子郵件被制造網(wǎng)絡(luò)病毒和黑客利用,就會成為殺傷力最大的病毒傳播工具。間諜軟件可以在使用者毫不知情的狀態(tài)下,在用戶電腦上安裝后門程序,用戶的隱私信息被這些程序獲取,這些后門程序也會幫助黑客遠程控制用戶電腦,黑客可以在用戶計算機上發(fā)送、接收郵件等操作。
二、完善中職檔案管理系統(tǒng)安全的措施
1.提升人員的安全防護意識
常言說:“防患于未然”,及早的防患可以避免計算機不遭受惡意侵害,中職設(shè)置的第一道網(wǎng)絡(luò)安全防線就是要強化計算機網(wǎng)絡(luò)安全意識。樹立安全操作意識,強化檔案館管理人員和用戶的責(zé)任心,在離開電腦時隨手把檔案系統(tǒng)退出,定期排查電腦存在的病毒,防止用戶名和密碼泄露。中職可以定期組織檔案管理人員進行網(wǎng)絡(luò)安全知識的培訓(xùn),讓他們熟練掌握各種安全威脅的因數(shù)和解決措施,定期檢查網(wǎng)絡(luò)軟件是否進行安全審計,不要把沒有保護的移動設(shè)備接入到網(wǎng)絡(luò)中,不要隨意使用來歷不明的軟件。
2.設(shè)置安全管理措施
中職進行檔案網(wǎng)絡(luò)安全管理中,使用必要的安全技術(shù)之外,還應(yīng)該制定相對應(yīng)的安全管理策略:例如:設(shè)置檔案信息安全管理的等級與范圍;設(shè)置標準的網(wǎng)絡(luò)系統(tǒng)操作規(guī)程和用戶訪問身份登錄制度;設(shè)置必要的網(wǎng)絡(luò)系統(tǒng)維護和應(yīng)急措施。各個中職檔案館在設(shè)置安全管理策略時,必須向?qū)I(yè)人員咨詢,確保設(shè)定的策略高效、安全。
3.配備殺毒軟件和防火墻
殺毒軟件可有掃描計算機上的所有文件,從檔案館計算機用戶的角度來說,先要為計算機安裝一套正版的殺毒軟件,之后設(shè)置自己的掃描日程,若沒有自動的掃描日程表,可以設(shè)定一個提醒裝置,保障檔案室管理人員可以定期對計算機展開掃描,并及時更新殺毒軟件。防火墻作為檔案館內(nèi)部網(wǎng)絡(luò)與互聯(lián)網(wǎng)之前的安全衛(wèi)士,有入侵者進入必須先穿越防火墻安全設(shè)定才能接觸到目標計算機。一般各大中職的網(wǎng)管中心都會為本校設(shè)置一個防火墻把中職的內(nèi)部網(wǎng)絡(luò)與Internet公用網(wǎng)絡(luò)隔開,這是中職檔案網(wǎng)絡(luò)系統(tǒng)設(shè)置的第一道安全防線,如果檔案館的電腦數(shù)量有限,可以購買軟件防火墻。同時要對防火墻進行相應(yīng)的安全設(shè)置:過濾信息報、屏蔽非信任的IP地址,禁止非信任IP訪問檔案管理系統(tǒng)。
4.防止垃圾郵件和間諜軟件的入侵
1.維護網(wǎng)絡(luò)安全是全社會共同的責(zé)任,需要廣泛動員各方面力量共同參與。
指出:“網(wǎng)絡(luò)安全為人民,網(wǎng)絡(luò)安全靠人民,維護網(wǎng)絡(luò)安全是全社會共同責(zé)任,需要政府、企業(yè)、社會組織、廣大網(wǎng)民共同參與,共筑網(wǎng)絡(luò)安全防線?!闭晟乒卜?wù),企業(yè)擔(dān)起社會責(zé)任,網(wǎng)絡(luò)社會組織加強行業(yè)自律,廣大網(wǎng)民自覺遵守法律法規(guī),才能形成共同維護網(wǎng)絡(luò)安全的強大合力。
2.維護網(wǎng)絡(luò)安全,最根本的是要推進網(wǎng)絡(luò)空間法治化。
互聯(lián)網(wǎng)不是法外之地,正法直度才能筑牢安全基石。近年來,網(wǎng)絡(luò)詐騙、侵犯[私、網(wǎng)絡(luò)攻擊等犯罪和威脅在世界各地時有發(fā)生,倒逼網(wǎng)絡(luò)法治化進程加速推進。這一年來,《互聯(lián)網(wǎng)信息搜索服務(wù)管理規(guī)定》《互聯(lián)網(wǎng)直播服務(wù)管理規(guī)定》《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)空間安全戰(zhàn)略》等多部法律法規(guī)密集出臺,對網(wǎng)絡(luò)違法違規(guī)行為形成持續(xù)有力震懾。
3.維護網(wǎng)絡(luò)安全,迫切需要在核心技術(shù)上取得突破。
互聯(lián)網(wǎng)核心技術(shù)是我國網(wǎng)絡(luò)安全最大的“命門”,核心技術(shù)受制于人是最大的隱患。突破核心技術(shù)的關(guān)鍵在于自主創(chuàng)新、自立自強。只有盡快超越跟跑階段,向并跑領(lǐng)跑轉(zhuǎn)變,爭取在某些領(lǐng)域、某些方面實現(xiàn)“彎道超車”,才能掌握互聯(lián)網(wǎng)發(fā)展主動權(quán),保障互聯(lián)網(wǎng)安全、國家安全。
關(guān)鍵詞:證券行業(yè) 信息安全 網(wǎng)絡(luò)安全體系
近年來,我國資本市場發(fā)展迅速,市場規(guī)模不斷擴大,社會影響力不斷增強.成為國民經(jīng)濟巾的重要組成部分,也成為老百姓重要的投資理財渠道。資本市場的穩(wěn)定健康發(fā)展,關(guān)系著億萬投資者的切身利益,關(guān)系著社會穩(wěn)定和國家金融安全的大局。證券行業(yè)作為金融服務(wù)業(yè),高度依賴信息技術(shù),而信息安全是維護資本市場穩(wěn)定的前提和基礎(chǔ)。沒有信息安全就沒有資本市場的穩(wěn)定。
目前.國內(nèi)外網(wǎng)絡(luò)信息安全問題日益突出。從資本市場看,近年來,隨著市場快速發(fā)展,改革創(chuàng)新深入推進,市場交易模式日趨集巾化,業(yè)務(wù)處理邏輯日益復(fù)雜化,網(wǎng)絡(luò)安全事件、公共安全事件以及水災(zāi)冰災(zāi)、震災(zāi)等自然災(zāi)害都對行業(yè)信息系統(tǒng)的連續(xù)、穩(wěn)定運行帶來新的挑戰(zhàn)。資本市場交易實時性和整體性強,交易時問內(nèi)一刻也不能中斷。加強信息安全應(yīng)急丁作,積極采取預(yù)防、預(yù)警措施,快速、穩(wěn)妥地處置信息安全事件,盡力減少事故損失,全力維護交易正常,對于資本市場來說至關(guān)重要。
1 證券行業(yè)倍息安全現(xiàn)狀和存在的問題
1.1行業(yè)信息安全法規(guī)和標準體系方面
健全的信息安全法律法規(guī)和標準體系是確保證券行業(yè)信息安全的基礎(chǔ)。是信息安全的第一道防線。為促進證券市場的平穩(wěn)運行,中國證監(jiān)會自1998年先后了一系列信息安全法規(guī)和技術(shù)標準。其中包括2個信息技術(shù)管理規(guī)范、2個信息安全等級保護通知、1個信息安全保障辦法、1個信息通報方法和10個行業(yè)技術(shù)標準。行業(yè)信息安全法規(guī)和標準體系的初步形成,推動了行業(yè)信息化建設(shè)和信息安全工作向規(guī)范化、標準化邁進。
雖然我國涉及信息安全的規(guī)范性文件眾多,但在現(xiàn)行的法律法規(guī)中。立法主體較多,法律法規(guī)體系龐雜而缺乏統(tǒng)籌規(guī)劃。面對新形勢下信息安全保障工作的發(fā)展需要,行業(yè)信息安全工作在政策法規(guī)和標準體系方面的問題也逐漸顯現(xiàn)。一是法規(guī)和標準建設(shè)滯后,缺乏總體規(guī)劃;二是規(guī)范和標準互通性和協(xié)調(diào)性不強,部分規(guī)范和標準的可執(zhí)行性差;三是部分規(guī)范和標準已不適應(yīng),無法應(yīng)對某些新型信息安全的威脅;四是部分信息安全規(guī)范和標準在行業(yè)內(nèi)難以得到落實。
1.2組織體系與信息安全保障管理模型方面
任何安全管理措施或技術(shù)手段都離不開人員的組織和實施,組織體系是信息安全保障工作的核心。目前,證券行業(yè)采用“統(tǒng)一組織、分工有序”的信息安全工作體系,分為決策層、管理層、執(zhí)行層。
為加強證券期貨業(yè)信息安全保障工作的組織協(xié)調(diào),建立健全信息安全管理制度和運行機制,切實提高行業(yè)信息安全保障工作水平,根據(jù)證監(jiān)會頒布的《證券期貨業(yè)信息安全保障管理暫行辦法》,參照iso/iec27001:2005,提出證券期貨業(yè)信息安全保障管理體系框架。該體系框架采用立方體架構(gòu).頂面是信息安全保障的7個目標(機密性、完整性、可用性、真實性、可審計性、抗抵賴性、可靠性),正面是行業(yè)組織結(jié)構(gòu).側(cè)面是各個機構(gòu)為實現(xiàn)信息安全保障目標所采取的措施和方式。
1.3 it治理方面
整個證券業(yè)處于高度信息化的背景下,it治理已直接影響到行業(yè)各公司實現(xiàn)戰(zhàn)略目標的可能性,良好的it治理有助于增強公司靈活性和創(chuàng)新能力,規(guī)避it風(fēng)險。通過建立it治理機制,可以幫助最高管理層發(fā)現(xiàn)信息技術(shù)本身的問題。幫助管理者處理it問題,自我評估it管理效果.可以加強對信息化項目的有效管理,保證信息化項目建設(shè)的質(zhì)量和應(yīng)用效果,使有限的投入取得更大的績效。
2003年lt治理理念引入到我國證券行業(yè),當(dāng)前我國證券業(yè)企業(yè)的it治理存在的問題:一是it資源在公司的戰(zhàn)略資產(chǎn)中的地位受到高層重視,但具體情況不清楚;二是it治理缺乏明確的概念描述和參數(shù)指標;是lt治理的責(zé)任與職能不清晰。
1.4網(wǎng)絡(luò)安全和數(shù)據(jù)安全方面
隨著互聯(lián)網(wǎng)的普及以及網(wǎng)上交易系統(tǒng)功能的不斷豐富、完善和使用的便利性,網(wǎng)上交易正逐漸成為證券投資者交易的主流模式。據(jù)統(tǒng)計,2008年我同證券網(wǎng)上交易量比重已超過總交易量的80%。雖然交易系統(tǒng)與互聯(lián)網(wǎng)的連接,方便了投資者。但由于互聯(lián)網(wǎng)的開放性,來自互聯(lián)網(wǎng)上的病毒、小馬、黑客攻擊以及計算機威脅事件,都時刻威脅著行業(yè)的信息系統(tǒng)安全,成為制約行業(yè)平穩(wěn)、安全發(fā)展的障礙。此,維護網(wǎng)絡(luò)和數(shù)據(jù)安全成為行業(yè)信息安全保障工作的重要組成部分。近年來,證券行業(yè)各機構(gòu)采取了一系列措施,建立了相對安全的網(wǎng)絡(luò)安全防護體系和災(zāi)舴備份系統(tǒng),基木保障了信息系統(tǒng)的安全運行。但細
追究起來,我國證券行業(yè)的網(wǎng)絡(luò)安全防護體系及災(zāi)備系統(tǒng)建設(shè)還不夠完善,還存存以下幾方面的問題:一是網(wǎng)絡(luò)安全防護體系缺乏統(tǒng)一的規(guī)劃;二是網(wǎng)絡(luò)訪問控制措施有待完善;三是網(wǎng)上交易防護能力有待加強;四是對數(shù)據(jù)安全重視不夠,數(shù)據(jù)備份措施有待改進;五是技術(shù)人員的專業(yè)能力和信息安全意識有待提高。
1.5 it人才資源建設(shè)方面
近20年的發(fā)展歷程巾,證券行業(yè)對信息系統(tǒng)日益依賴,行業(yè)it隊伍此不斷發(fā)展壯大。據(jù)統(tǒng)計,2008年初,在整個證券行業(yè)中,103家證券公司共有it人員7325人,占證券行業(yè)從業(yè)總?cè)藬?shù)73990人的9.90%,總體上達到了行業(yè)協(xié)會的it治理工作指引中“it工作人員總數(shù)原則上應(yīng)不少于公司員工總?cè)藬?shù)的6%”的最低要求。目前,證券行業(yè)的it隊伍肩負著信息系統(tǒng)安全、平穩(wěn)、高效運行的重任,it隊伍建設(shè)是行業(yè)信息安全it作的根本保障。但是,it人才隊伍依然存在著結(jié)構(gòu)不合理、后續(xù)教育不足等問題,此行業(yè)的人才培養(yǎng)有待加強。
2 采取的對策和措施
2.1進一步完善法規(guī)和標準體系
首先,在法規(guī)規(guī)劃上,要統(tǒng)籌兼顧,制定科學(xué)的信息技術(shù)規(guī)范和標準體系框架。一是全面做好立法規(guī)劃;二是建立科學(xué)的行業(yè)信息安全標準和法規(guī)體系層次。行業(yè)信息安全標準和法規(guī)體系初步劃分為3層:第一層是管理辦法等巾同證監(jiān)會部門規(guī)章;第二層是證監(jiān)會相關(guān)部門制定的管理規(guī)范等規(guī)范性文件;第三層是技術(shù)指引等自律規(guī)則,一般由交易所、行業(yè)協(xié)會在證監(jiān)會總體協(xié)調(diào)下組織制定。其次,在法規(guī)制定上.要兼顧規(guī)范和發(fā)展,重視法規(guī)的可行性。最后,在法規(guī)實施上.要堅持規(guī)范和指引相結(jié)合,重視監(jiān)督檢查和責(zé)任落實。
2.2深入開展證券行業(yè)it治理工作
2.2.1提高it治理意識
中國證券業(yè)協(xié)會要進一步加強it治理理念的教育宣傳工作,特別是對會員單位高層領(lǐng)導(dǎo)的it治理培訓(xùn),將it治理的定義、工具、模型等理論知識納入到高管任職資格考試的內(nèi)容之中。通過舉辦論壇、交流會等形式強化證券經(jīng)營機構(gòu)的it治理意識,提高他們it治理的積極性。
2.2.2通過設(shè)立it治理試點形成以點帶面的示范效應(yīng)
根據(jù)it治理模型的不同特點,建議證券公司在決策層使用cisr模型,通過成立lt治理委員會,建立各部門之間的協(xié)調(diào)配合、監(jiān)督制衡的責(zé)權(quán)體系;在執(zhí)行層以cobit模型、itfl模型等其他模型為補充,規(guī)范信息技術(shù)部門的各項控制和管理流程。同時,證監(jiān)會指定一批證券公司和基金公司作為lt試點單位,進行it治理模型選擇、剪裁以及組合的實踐探索,形成一批成功實施it治理的優(yōu)秀范例,以點帶面地提升全行業(yè)的治理水平。
2.3通過制定行業(yè)標準積極落實信息安全等級保護
行業(yè)監(jiān)管部門在推動行業(yè)信息安全等級保護工作中的作用非常關(guān)鍵.應(yīng)進一步明確監(jiān)管部門推動行業(yè)信息安全等級保護工作的任務(wù)和工作機制,統(tǒng)一部署、組織行業(yè)的等級保護丁作,為該項丁作的順利開展提供組織保證。行業(yè)各機構(gòu)應(yīng)采取自主貫徹信息系統(tǒng)等級保護的行業(yè)要求,對照標準逐條落實。同時,應(yīng)對各單位實施信息系統(tǒng)安全等級保護情況進行測評,在測評環(huán)節(jié)一旦發(fā)現(xiàn)信息系統(tǒng)的不足,被測評單位應(yīng)立即制定相應(yīng)的整改方案并實施.且南相芙的監(jiān)督機構(gòu)進行督促。
2.4加強網(wǎng)絡(luò)安全體系規(guī)劃以提升網(wǎng)絡(luò)安全防護水平
2.4.1以等級保護為依據(jù)進行統(tǒng)籌規(guī)劃
等級保護是圍繞信息安全保障全過程的一項基礎(chǔ)性的管理制度,通過將等級化的方法和安全體系規(guī)劃有效結(jié)合,統(tǒng)籌規(guī)劃證券網(wǎng)絡(luò)安全體系的建設(shè),建立一套信息安全保障體系,將是系統(tǒng)化地解決證券行業(yè)網(wǎng)絡(luò)安全問題的一個非常有效的方法。
2.4.2通過加強網(wǎng)絡(luò)訪問控制提高網(wǎng)絡(luò)防護能力
對向證券行業(yè)提供設(shè)備、技術(shù)和服務(wù)的it公司的資質(zhì)和誠信加強管理,確保其符合國家、行業(yè)技術(shù)標準。根據(jù)網(wǎng)絡(luò)隔離要求,要逐步建立業(yè)務(wù)網(wǎng)與辦公網(wǎng)、業(yè)務(wù)網(wǎng)與互聯(lián)網(wǎng)、網(wǎng)上交易各子系統(tǒng)間有效的網(wǎng)絡(luò)隔離。技術(shù)上可以對不同的業(yè)務(wù)安全區(qū)域劃分vlan或者采用網(wǎng)閘設(shè)備進行隔離;對主要的網(wǎng)絡(luò)邊界和各外部進口進行滲透測試,進行系統(tǒng)和設(shè)備的安全加固.降低系統(tǒng)漏洞帶來的安全風(fēng)險;在網(wǎng)上交易方面,采取電子簽名或數(shù)字認證等高強度認證方式,加強訪問控制;針對現(xiàn)存惡意攻擊網(wǎng)站的事件越來越多的情況,要采取措施加強網(wǎng)站保護,提高對惡意代碼的防護能力,同時采用技術(shù)手段,提高網(wǎng)上交易客戶端軟件使朋的安全性。
2.4.3提高從業(yè)人員安全意識和專業(yè)水平
目前在證券行業(yè)內(nèi),從業(yè)人員的網(wǎng)絡(luò)安全意識比較薄弱.必要時可定期對從業(yè)人員進行安全意識考核,從行業(yè)內(nèi)部強化網(wǎng)絡(luò)安全工作。要加強網(wǎng)絡(luò)安全技術(shù)人員的管理能力和專業(yè)技能培訓(xùn),提高行業(yè)網(wǎng)絡(luò)安全的管理水平和專業(yè)技術(shù)水平。
2.5扎實推進行業(yè)災(zāi)難備份建設(shè)
數(shù)據(jù)的安全對證券行業(yè)是至關(guān)重要的,數(shù)據(jù)一旦丟失對市場各方的損失是難以估量的。無論是美國的“9·11”事件,還是我國2008年南方冰雪災(zāi)害和四川汶川大地震,都敲響了災(zāi)難備份的警鐘。證券業(yè)要在學(xué)習(xí)借鑒國際經(jīng)驗的基礎(chǔ)上,針對自身需要,對重要系統(tǒng)開展災(zāi)難備份建設(shè)。要繼續(xù)推進證券、基金公司同城災(zāi)難備份建設(shè),以及證券交易所、結(jié)算公司等市場核心機構(gòu)的異地災(zāi)難備份系統(tǒng)的規(guī)劃和建設(shè)。制定各類相關(guān)的災(zāi)難應(yīng)急預(yù)案,并加強應(yīng)急預(yù)案的演練,確保災(zāi)難備份系統(tǒng)應(yīng)急有效.使應(yīng)急工作與日常工作有機結(jié)合。
2.6抓好人才隊伍建設(shè)
證券行業(yè)要采取切實可行的措施,建立吸引人才、留住人才、培養(yǎng)人才、發(fā)展人才的用人制度和機制。積極吸引有技術(shù)專長的人才到行業(yè)巾來,加強lt人員的崗位技能培訓(xùn)和業(yè)務(wù)培訓(xùn),注重培養(yǎng)既懂得技術(shù)義懂業(yè)務(wù)和管理的復(fù)合型人才。要促進從業(yè)人員提高水平、轉(zhuǎn)變觀念,行業(yè)各機構(gòu)應(yīng)采取采取請進來、派出去以及內(nèi)部講座等多種培訓(xùn)方式。通過建立規(guī)范有效的人才評價體系,對信息技術(shù)人員進行科學(xué)有效的考評,提升行業(yè)人才資源的優(yōu)化配置和使用效率,促進技術(shù)人才結(jié)構(gòu)的涮整和完善。
高校網(wǎng)絡(luò)建設(shè)信息安全
隨著現(xiàn)代社會科技水平的逐步提升,網(wǎng)絡(luò)資源在社會發(fā)展中的應(yīng)用范圍逐步擴大,高校網(wǎng)絡(luò)建設(shè)是現(xiàn)代教育結(jié)構(gòu)體系中不可或缺的一部分,也是我國網(wǎng)絡(luò)建設(shè)系統(tǒng)的重點建設(shè)區(qū)域,一方面,高校網(wǎng)絡(luò)建設(shè)要做好網(wǎng)絡(luò)資源的綜合開發(fā),為高校網(wǎng)絡(luò)建設(shè)的發(fā)展提供技術(shù)支持;另一方面,高校網(wǎng)絡(luò)建設(shè)也要加強UI安全管理,保障網(wǎng)絡(luò)信息的整體應(yīng)用安全性,為現(xiàn)代網(wǎng)絡(luò)技術(shù)在我國教育領(lǐng)域的拓展應(yīng)用提供保障。
一、高校網(wǎng)絡(luò)建設(shè)中信息安全管理的作用
1、高校網(wǎng)絡(luò)結(jié)構(gòu)的完善
高校網(wǎng)絡(luò)建設(shè)是高校軟件建設(shè)中的一部分,是我國教育結(jié)構(gòu)逐步優(yōu)化發(fā)展的主要結(jié)構(gòu)形式,加大高校網(wǎng)絡(luò)建設(shè)中的信息安全治理,是高校網(wǎng)絡(luò)建設(shè)結(jié)構(gòu)逐步拓展與優(yōu)化的發(fā)展新途徑,實現(xiàn)了高校網(wǎng)絡(luò)建設(shè)結(jié)構(gòu)體系內(nèi)部結(jié)構(gòu)之間合理性對接,進一步拓展現(xiàn)代高校網(wǎng)絡(luò)資源的綜合完善性發(fā)展,為我國教育事業(yè)的完善提供了更加安全可靠的技術(shù)保障。
2、高校網(wǎng)絡(luò)信息的暢通
高校網(wǎng)絡(luò)建設(shè)是現(xiàn)代高校獲取教育教學(xué)資源的重要途徑,加強校園網(wǎng)絡(luò)安全治理,實施網(wǎng)絡(luò)系統(tǒng)內(nèi)部及時更新,網(wǎng)絡(luò)信息資源安全應(yīng)用,制定合理有序的校園網(wǎng)絡(luò)管理制度,保障校園網(wǎng)絡(luò)應(yīng)用的信息暢通性,同時也可以提高高校內(nèi)部信息資源的安全管理,最大限度的發(fā)揮網(wǎng)絡(luò)在現(xiàn)代高校教育中發(fā)揮的輔助優(yōu)勢,促進現(xiàn)代教育資源的管理結(jié)構(gòu)逐步緊湊發(fā)展。
3、高校信息系統(tǒng)的良性循環(huán)
此外,高校信息系y的信息安全治理也是實現(xiàn)高校網(wǎng)絡(luò)資源良性循環(huán)的必要保障。一方面,現(xiàn)代化教育形式的開展注重,依托計算機網(wǎng)絡(luò)平臺作為主要的技術(shù)載體,其中包括教師的教學(xué)課件,研究成果以及校園日常工作的管理等部分,加強網(wǎng)絡(luò)安全治理,降低校園網(wǎng)絡(luò)受到其他網(wǎng)絡(luò)的干擾,保障校園工作的順利實施;另一方面,高校學(xué)生是校園網(wǎng)絡(luò)應(yīng)用的主體,加強高校網(wǎng)絡(luò)建設(shè)的信息安全管理,能夠為學(xué)生建立良好的網(wǎng)絡(luò)應(yīng)用環(huán)境,實現(xiàn)大現(xiàn)代學(xué)生網(wǎng)絡(luò)應(yīng)用的正確引導(dǎo),實現(xiàn)現(xiàn)代高校網(wǎng)絡(luò)建設(shè)中的信息系統(tǒng)的良性循環(huán)。
二、高校網(wǎng)絡(luò)建設(shè)中信息安全治理的途徑
1、做好網(wǎng)絡(luò)信息安全的宣傳
高校網(wǎng)絡(luò)建設(shè)是現(xiàn)代高校建設(shè)中不可缺少的一部分,提升高校網(wǎng)絡(luò)建設(shè)的治理,逐步開拓現(xiàn)代高校網(wǎng)絡(luò)建設(shè)安全管理的途徑。高校網(wǎng)絡(luò)安全信息管理不僅注重安全信息治理的技術(shù)措施,同時也要做好現(xiàn)代網(wǎng)絡(luò)安全資源的理念引導(dǎo),例如:某高校為了提升高校網(wǎng)絡(luò)建設(shè)中的信息安全治理,積極做好高校網(wǎng)絡(luò)安全管理工作的宣傳,為高校大學(xué)生對網(wǎng)絡(luò)信息安全管理得到正確的思想引導(dǎo),從而為現(xiàn)代高校網(wǎng)絡(luò)建設(shè)中的信息安全治理工作的開展奠定了良好的基礎(chǔ),推進我國網(wǎng)絡(luò)信息安全治理子在高校信息應(yīng)用的綜合性引導(dǎo)。
另一方面,高校網(wǎng)絡(luò)信息安全治理工作的制度管理與綜合性融合,也要開展網(wǎng)絡(luò)信息系統(tǒng)的管理制度,例如:某高校為了實現(xiàn)網(wǎng)絡(luò)建設(shè)信息安全治理工作的進一步開展,積極組織學(xué)生進行校園網(wǎng)絡(luò)信息系統(tǒng)開發(fā)大賽,善于發(fā)揮高校大學(xué)計算機系統(tǒng)開發(fā)與應(yīng)用的創(chuàng)新研發(fā)能力,同時也為高校網(wǎng)絡(luò)建設(shè)信息信息管理工作的進一步開展提供了源源不斷的技術(shù)支持,高校充分應(yīng)用現(xiàn)代校園網(wǎng)絡(luò)信息安全治理這一實際環(huán)境,靈活應(yīng)用,促進現(xiàn)代高校學(xué)生的發(fā)展。
2、網(wǎng)絡(luò)傳輸?shù)刂藩毩⒐芾?/p>
高校網(wǎng)絡(luò)信息安全治理,做好網(wǎng)絡(luò)傳輸?shù)刂返莫毩⒒芾怼,F(xiàn)代網(wǎng)絡(luò)信息傳輸?shù)慕?,是依托以太網(wǎng)為基礎(chǔ),在同一網(wǎng)絡(luò)地址的基礎(chǔ)上,分為多個子系統(tǒng),從而逐步構(gòu)建網(wǎng)絡(luò)傳輸結(jié)構(gòu),高校網(wǎng)絡(luò)建設(shè)中的信息安全治理的進一步開展,高校可以在基礎(chǔ)網(wǎng)絡(luò)建設(shè)的基礎(chǔ)上,實施網(wǎng)絡(luò)傳輸IP地址的創(chuàng)新改革,最終確定完善的信息網(wǎng)絡(luò)安全結(jié)構(gòu)。例如:某高校為了提升校園網(wǎng)絡(luò)信息安全管理,在現(xiàn)代社會網(wǎng)絡(luò)傳輸?shù)幕A(chǔ)上,采用數(shù)據(jù)模擬信號建立校園IP地址的綜合保護,數(shù)字模擬信號可以保護校園網(wǎng)絡(luò)安全傳輸,避免外部對網(wǎng)絡(luò)內(nèi)部數(shù)據(jù)傳輸?shù)谋I取,即使網(wǎng)絡(luò)校園網(wǎng)絡(luò)信息受到病毒干擾,IP地址的安全網(wǎng)絡(luò)也會及時對網(wǎng)絡(luò)信息進行數(shù)據(jù)保護,最大化降低校園網(wǎng)絡(luò)信息受到病毒侵害或者干擾。
3、高校網(wǎng)絡(luò)信息安全系統(tǒng)升級
現(xiàn)代網(wǎng)絡(luò)技術(shù)的發(fā)展為我國教育事業(yè)的發(fā)展提供了巨大的信息數(shù)據(jù)資源庫,拓展現(xiàn)代高校網(wǎng)絡(luò)的信息安全治理措施發(fā)揮安全管理作用,實現(xiàn)現(xiàn)代高校網(wǎng)絡(luò)信息安全系統(tǒng)升級。一方面,高校安全管理系統(tǒng)數(shù)據(jù)管理系統(tǒng)結(jié)構(gòu)可以定期進行系統(tǒng)內(nèi)部資源的綜合升級,保障高校網(wǎng)絡(luò)信息安全系統(tǒng)能夠?qū)宫F(xiàn)代網(wǎng)絡(luò)應(yīng)用領(lǐng)域的信息病毒或者信息竊取問題;另一方面,高校網(wǎng)絡(luò)信息安全系統(tǒng)融合計算機系統(tǒng)信息智能化管理,加強校園網(wǎng)絡(luò)信息資源傳輸與應(yīng)用的安全性。例如:某高校為了實現(xiàn)網(wǎng)絡(luò)系統(tǒng)管理的信息安全管理發(fā)揮保護作用,實施高校網(wǎng)絡(luò)信息系統(tǒng)登錄安全管理,采用指紋登錄和密碼登錄同時應(yīng)用,教師或者學(xué)生應(yīng)用校園網(wǎng)絡(luò)數(shù)據(jù)庫資源時,必須先登錄信息數(shù)據(jù)庫,確認信息資源傳輸環(huán)境安全,計算機信息資源才能夠登錄,體現(xiàn)了現(xiàn)代高校網(wǎng)絡(luò)信息安全治理系統(tǒng)升級。
4、網(wǎng)絡(luò)治理的安全制度實施
高校網(wǎng)絡(luò)信息安全治理工作的開展,也需要配合高校網(wǎng)絡(luò)建設(shè)中信息安全管理制度,高校加強對校園網(wǎng)絡(luò)信息傳輸管理,從高校管理實際出發(fā),制定與高校實際情況相互吻合的網(wǎng)絡(luò)安全治理制度。例如:網(wǎng)絡(luò)安全操作系統(tǒng),日常維護工作以及信息資源傳輸管理規(guī)定等,逐步引導(dǎo)現(xiàn)代高校網(wǎng)絡(luò)建設(shè)中信息安全管理體系內(nèi)部系統(tǒng)與外部保障系統(tǒng)的同步融合。
高校網(wǎng)絡(luò)建設(shè)是現(xiàn)代網(wǎng)絡(luò)結(jié)構(gòu)逐步優(yōu)化與完善的必然發(fā)展趨勢,為我國教育事業(yè)的發(fā)展提供良好的教育結(jié)構(gòu)發(fā)展趨勢,同時,加強現(xiàn)代高校網(wǎng)絡(luò)建設(shè)的安全管理,是實現(xiàn)網(wǎng)絡(luò)信息傳輸與教育完美結(jié)合的必然要求,從而引導(dǎo)高校網(wǎng)絡(luò)建設(shè)的科學(xué)發(fā)展。
參考文獻:
[1]林浩.淺析高校網(wǎng)絡(luò)與信息安全及其治理[J/OL].電腦知識與技術(shù),2015(23).
[2]王全民,陳智博,李華.信息安全防范視角下高校網(wǎng)絡(luò)管理員隊伍建設(shè)探究[J].西部素質(zhì)教育,2016,01:27.
[3]譚輝軍.淺談高校圖書館的網(wǎng)絡(luò)信息安全建設(shè)[J].中小企業(yè)管理與科技(中旬刊),2016,02:251-252.
關(guān)鍵詞:互聯(lián)網(wǎng);計算機;信息安全;網(wǎng)絡(luò)加密;黑客技術(shù);加密措施
0引言
隨著信息化的發(fā)展,很多信息都通過網(wǎng)絡(luò)技術(shù)傳輸?shù)交ヂ?lián)網(wǎng)中,黑客利用計算機網(wǎng)絡(luò),對計算機中的信息數(shù)據(jù)進行篡改和盜取,導(dǎo)致信息安全事件。影響信息安全的因素不但有黑客,而且還有很多的網(wǎng)絡(luò)因素,種種因素使得計算機的信息數(shù)據(jù)安全受到威脅。若不進行有效的處理,會影響到用戶對計算機信息的保存使用。信息加密技術(shù)是一項預(yù)防性和控制性的保密技術(shù)[1],能夠最大程度地保證計算機信息的安全,使得計算機的信息數(shù)據(jù)更具有保密性和完整性。
1計算機網(wǎng)絡(luò)信息安全及加密技術(shù)的概念
1.1網(wǎng)絡(luò)信息安全
計算機網(wǎng)絡(luò)信息安全通常定義為:以任何形式保護計算機網(wǎng)絡(luò)中的信息不受到破壞和盜取,使得其能夠安全有效地進行正常的運行[2]。其涉及的范圍比較廣,包含了計算機網(wǎng)絡(luò)范圍內(nèi)的所有內(nèi)容,組網(wǎng)和管理以及控制網(wǎng)絡(luò)的軟件都在其中,因此確保其信息安全十分關(guān)鍵。計算機網(wǎng)絡(luò)信息安全的特點主要表現(xiàn)在以下幾個方面。①機密性:在未經(jīng)本機用戶授權(quán)的情況下,不允許任何人對計算機網(wǎng)絡(luò)信息進行查看和使用,也不能給其他用戶盜取其信息的機會。②可控性:能夠?qū)τ嬎銠C網(wǎng)絡(luò)中的信息內(nèi)容進行一定的控制,使其健康、安全地在網(wǎng)絡(luò)進行傳播。③完整性:在計算機信息傳輸或保存的過程中不能對其進行改變和破壞,必須保證其信息的完整性。④可用性:無論用戶以何種形式將信息保存在計算機中,都需確保在用戶需要時能供其使用。⑤可審查性:當(dāng)用戶信息出現(xiàn)安全問題時,計算機可提供其查詢的依據(jù)和證明。
1.2信息加密技術(shù)
隨著計算機技術(shù)的不斷發(fā)展和普及,很多用戶為了能夠隨時使用信息數(shù)據(jù),大多會將其保存到計算機。不法分子盜取計算機信息的現(xiàn)象不斷發(fā)生,使得很多用戶越發(fā)關(guān)注計算機信息安全。信息加密技術(shù)可以在一定程度上保護計算機的網(wǎng)絡(luò)安全,其核心技術(shù)在于對信息進行保護,從而降低信息被盜的風(fēng)險。信息加密技術(shù)的原理主要是通過加密算法中明文和暗文的相互轉(zhuǎn)換,對盜取用戶信息的黑客進行阻斷,使其不能對用戶信息進行復(fù)制和查看,從而在很大程度上保護了計算機的保密性和安全性。加密技術(shù)是現(xiàn)在使用較為廣泛的一項計算機安全技術(shù),其通過一種加密密鑰對信息進行加密,在其他用戶進行盜取密碼時,其沒有加密秘鑰來進行解密,是盜取不到計算機中的信息數(shù)據(jù)的。
2加密技術(shù)在網(wǎng)絡(luò)安全管理中的應(yīng)用
2.1存儲加密技術(shù)
計算機用戶在對信息進行存儲時,很容易使信息數(shù)據(jù)泄漏。經(jīng)過相關(guān)研究后,出現(xiàn)了一種可以在存儲時對信息進行加密的技術(shù)。存儲加密技術(shù)有兩種控制信息加密的技術(shù),一種是密文存儲加密,另一種是存取控制加密。無論哪種加密技術(shù),都能有效保護計算機的信息安全。密文存儲采用的方法也較多,有加密模塊和加密算法轉(zhuǎn)換以及附加密碼等。存儲控制則是通過對象來對用戶的權(quán)限進行加密控制。在對用戶進行權(quán)限控制時,需要保證用戶的真實性和合法性。管理辦法主要有控制用戶權(quán)限、預(yù)防用戶跨權(quán)限查看信息和不法用戶存取信息等。使用存儲加密技術(shù)的目的在于保證存儲的圖片不被盜取和使用。
2.2網(wǎng)絡(luò)信息確認加密技術(shù)
計算機網(wǎng)絡(luò)中有些信息是有一定的共享性的,能夠供其他用戶查看,很多不法分子通過此渠道來對共享的信息進行改變和偽造,使得用戶共享的信息被破壞,降低其安全性。網(wǎng)絡(luò)信息確認加密技術(shù)主要是在一個共享的范圍內(nèi),對其進行一定的控制,防范對共享信息的盜取和破壞[3],使符合規(guī)定的接收者能夠確定其收到的信息是否是真實安全的,而其他用戶是不能通過信息的共享性來對其進行盜取的。在計算機網(wǎng)絡(luò)中的信息出現(xiàn)判定事件時,第三方是可以對其兩方進行仲裁管理的。在這種情況下,真實的接收信息者可以通過加密密文來對信息進行解密,而不法分子則因無法解密而很容易被查出。
2.3網(wǎng)絡(luò)傳輸加密技術(shù)
網(wǎng)絡(luò)傳輸加密技術(shù)能夠在信息的數(shù)據(jù)傳輸過程中對其進行加密性的保護[4]。目前我國采用的傳輸加密技術(shù)主要有兩種,一種是線路加密,另一種是端加密。線路加密主要是忽視信源和信宿,對不一樣的加密秘鑰進行線路的加密。端加密主要是指在信息發(fā)送源頭,由信息的發(fā)送者對其采取加密措施,使得信息在網(wǎng)絡(luò)傳輸過程中能自動進入TCP的數(shù)據(jù)包。在這種情況下,其他的用戶是不能對其進行查看和篡改的。信息在經(jīng)過傳輸?shù)竭_指定用戶端后,由用戶端的客戶對其進行解密,并查看其中的信息數(shù)據(jù)。很多黑客利用網(wǎng)絡(luò)傳輸中的一些特性,對計算機信息進行篡改和盜取,而網(wǎng)絡(luò)傳輸加密技術(shù)在很大程度下,避免了這些問題的發(fā)生。
2.4網(wǎng)絡(luò)密鑰管理加密技術(shù)
網(wǎng)絡(luò)密鑰管理加密技術(shù)是目前使用較為廣泛的加密技術(shù),在保護信息上有很大的優(yōu)勢。其優(yōu)勢在于使用信息數(shù)據(jù)時比較便捷有效,且在保護信息安全[5]上也非常的可靠。網(wǎng)絡(luò)加密技術(shù)主要是通過產(chǎn)生、分配、保存和銷毀這幾個環(huán)節(jié)進行加密,這些環(huán)節(jié)是在用戶允許的情況下進行操作的。加密技術(shù)中的密鑰有很多形式,基本上為磁卡、磁盤和半導(dǎo)體形式的存儲器,密鑰能在產(chǎn)生、分配等環(huán)境上對其進行相關(guān)的保密措施,從而使用戶的信息不被修改和使用[1]。
3計算機網(wǎng)絡(luò)安全的影響因素
3.1計算機病毒
計算機病毒對計算機信息的安全影響較大,其能夠在用戶無準備的情況下對計算機進行攻擊,使得計算機中的信息被隨意篡改和盜取,導(dǎo)致計算機用戶的信息安全遭到破壞。很多的計算機病毒都具有一定的復(fù)制性,即能夠自動地對計算機執(zhí)行自我復(fù)制指令,這不但使得用戶信息受到了危脅,其計算機的功能也會被破壞損亂[1]。
3.2操作系統(tǒng)存在漏洞
無論哪種品牌的計算機,其在操作系統(tǒng)中都存在一些無法避免的漏洞。即使對其進行處理升級,也還會有新的漏洞出現(xiàn),因此計算機的信息安全令人擔(dān)憂。甚至計算機的操作系統(tǒng)在未經(jīng)使用的情況下也是存在漏洞的,且隨著用戶的不斷使用漏洞會愈來愈多,即便用戶使用補丁程序?qū)ζ溥M行修補,也還是避免不了這種漏洞現(xiàn)象的發(fā)生。其原因在于:漏洞在進行升級修補時,也會生成新的系統(tǒng)漏洞,因此計算機的操作系統(tǒng)漏洞對信息的安全也是有一定的影響的。計算機的操作漏洞一旦被黑客利用[2],對計算機中的信息都是一個很大的威脅,甚至?xí)斐捎嬎銠C網(wǎng)絡(luò)系統(tǒng)的癱瘓。
4計算機信息安全加密的有效措施
4.1加強信息安全管理體系
為了提高計算機信息安全,相關(guān)管理人員可以通過建設(shè)計算機信息安全管理體系,控制網(wǎng)絡(luò)中的不法分子盜取信息的情況的發(fā)生,使得計算機的信息安全能夠得到一定的保障[3]。建設(shè)計算機信息安全管理體系能夠在對信息進行加密的情況下,再對其添加一重網(wǎng)絡(luò)的保護,使得信息能夠不被輕易地盜取,且同時也能對盜取信息的用戶進行監(jiān)管[6]。計算機信息管理體系需要有明確的預(yù)估風(fēng)險體制和安全管理技術(shù)的平臺,其目的在于降低計算機信息的危險性。
4.2對計算機病毒加強防范
即使計算機信息有加密技術(shù)進行保護,但遇到計算機病毒,加密技術(shù)也難以對其進行治理控制。因此,為了保障計算機信息的安全,必須要對計算機病毒進行管理和預(yù)防[7]。對此,計算機用戶除了要安裝殺毒軟件進行定時檢查外,也需要注意瀏覽網(wǎng)絡(luò)信息時的安全,對非法的計算機網(wǎng)絡(luò)信息不隨意查看,避免病毒在此過程中入侵計算機。若想最大化地提高計算機的信息安全,計算機用戶可以通過網(wǎng)絡(luò)層來對計算機進行監(jiān)控,以保障計算機中的信息數(shù)據(jù)安全。通過加強對計算機的病毒防范,能使計算機中的信息不被篡改,并進行一定的加密技術(shù)處理,確保信息能夠更完整地保存在計算機上。
4.3對訪問權(quán)限控制
用戶在對計算機信息進行加密技術(shù)處理后,若在訪問權(quán)限上管理不嚴,還是會被黑客高手盜取計算機信息數(shù)據(jù)。系統(tǒng)可以對用戶信息權(quán)限[8]進行一定的限制,使得黑客即使擁有加密技術(shù)密鑰,也不能隨意地進入計算機查看信息。對訪問權(quán)限進行控制的目的是為了避免一些黑客查詢加密技術(shù)秘鑰的情況下[9],對計算機中的信息進行盜取和復(fù)制,從而保證計算機信息的安全。
5結(jié)束語
綜上所述,科技的發(fā)達使得盜取信息的手段越來越高,為了提高計算機信息中的安全,必須預(yù)防性地對計算機進行加密技術(shù)處理,以在遇到不法分子盜取時,能夠防止其盜取行為。對計算機信息進行加密處理,不但有利于計算機信息的安全,也有利于提高網(wǎng)絡(luò)信息中的安全性,因此需要利用加密技術(shù)來保障個人計算機的信息安全。
參考文獻:
[1]陸莉芳.信息加密技術(shù)在計算機網(wǎng)絡(luò)安全中的應(yīng)用探討[J].電子測試,2013(10):22-28.
[2]孫建龍.計算機信息數(shù)據(jù)的安全與加密技術(shù)研究[J].電子技術(shù)與軟件工程,2015(11):32-36.
[3]李書香.計算機網(wǎng)絡(luò)安全中信息加密技術(shù)的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(3):36-39.
[4]錢臨紅,羅勇.關(guān)于計算機信息數(shù)據(jù)的安全與加密技術(shù)的討論[J].科技創(chuàng)新與應(yīng)用,2013(17):46-47.
[5]崔鈺.關(guān)于計算機網(wǎng)絡(luò)安全中的應(yīng)用信息加密技術(shù)[J].山西電子技術(shù),2012(5):62-68.
[6]李宗育,王勁松,宋慶軍.基于WSE的SOAP消息部分信息加密機制[J].計算機工程與設(shè)計,2016(1):55-59.
[7]徐政五,龔耀寰.信息戰(zhàn)中的信息加密技術(shù)[J].電子科技大學(xué)學(xué)報,2000(6):469-474.
[8]李書香.計算機網(wǎng)絡(luò)安全中信息加密技術(shù)的應(yīng)用研究[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(3):38-40.
關(guān)鍵詞:新媒體;網(wǎng)絡(luò);個人信息保護
網(wǎng)絡(luò)新媒體時代,它對于我們當(dāng)前的政治、經(jīng)濟、文化乃至于我們普通老百姓的生活,都產(chǎn)生了重要的影響,那么究其歷史意義,我個人認為,它甚至超越了一千年以前的活字印刷術(shù),它對于我們當(dāng)前的一些政治、經(jīng)濟等確實有一個非常大的沖擊作用。網(wǎng)絡(luò)統(tǒng)計,有超過90%的人都使用過QQ、微信、微博或郵箱這些的網(wǎng)絡(luò)新媒體。
2013年7月,中國互聯(lián)網(wǎng)信息中心的第32次中國互聯(lián)網(wǎng)發(fā)展的調(diào)查報告,系統(tǒng)的闡述中國大陸地區(qū)的一個網(wǎng)民規(guī)模、結(jié)構(gòu)、特征、接入方式、網(wǎng)絡(luò)應(yīng)用、網(wǎng)絡(luò)普及率等等一些情況,相信,用不了多久,事實上還會有新的一種形態(tài)出現(xiàn),可能微博、微信立馬會過時,新的形態(tài)更新?lián)Q代,它的速度是越來越快。之前像BBS這樣的存在的有將近10年,博客的熱門成長存在期至少有四、五年,但是,我們知道開心網(wǎng)發(fā)展的很快,后來衰落的也很快,也就存在那么兩、三年,那么事實上微博現(xiàn)在也在慢慢的走下坡路,微信在崛起,所以這樣一個新的改朝換代,它的一個更新是越來越快,它的功能也越來越強大,它的數(shù)據(jù)也越來越豐富,所以說,新媒體對于我們每個人的生活,它都是一個非常大的一個沖擊。
我國全功能接入國際互聯(lián)網(wǎng)20年來,至今已經(jīng)擁有6.32億網(wǎng)民,成為世界第一的網(wǎng)絡(luò)大國。互聯(lián)網(wǎng)已經(jīng)融入社會生活的方方面面,深刻改變著經(jīng)濟社會發(fā)展和人們的生產(chǎn)生活方式,推動了我國社會管理創(chuàng)新和治理體系現(xiàn)代化,給我國的經(jīng)濟社會發(fā)展帶來了前所未有的新機遇、新挑戰(zhàn)。
我國互聯(lián)網(wǎng)雖然歷經(jīng)20年的發(fā)展,也已經(jīng)成為了網(wǎng)絡(luò)大國,但在實現(xiàn)互聯(lián)網(wǎng)高速發(fā)展的同時,我國互聯(lián)網(wǎng)水平距網(wǎng)絡(luò)強國還存在一定的差距,尤其是網(wǎng)絡(luò)安全始終是無法回避的一個重大課題。諸如,去年微軟停止對Windows XP系統(tǒng)提供服務(wù),蘋果手機收集用戶信息等,都充分反映了網(wǎng)絡(luò)安全具有極其復(fù)雜性,也充分表明網(wǎng)絡(luò)安全事關(guān)國家安全和廣大人民的切身利益。雖然國家主管部門在加快推動網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè),促進網(wǎng)絡(luò)經(jīng)濟快速發(fā)展的同時,不斷建立完善網(wǎng)絡(luò)安全相關(guān)規(guī)范和機制建設(shè),深入推進網(wǎng)絡(luò)安全防護體系建設(shè),提高網(wǎng)絡(luò)空間法治化水平,切實也取得了積極有效的成果。但是,在新形勢、新任務(wù)之下,網(wǎng)絡(luò)安全還存在諸多的問題。一方面,我國互聯(lián)網(wǎng)安全不僅來自境外的攻擊日益突出,且實施的手段更加復(fù)雜多變和更加隱蔽,而且還面臨著大數(shù)據(jù)時代的各種挑戰(zhàn),給我國網(wǎng)絡(luò)安全發(fā)展造成諸多的阻力;另一方面,從互聯(lián)網(wǎng)行業(yè)的發(fā)展來看,重經(jīng)營、輕管理,重效益、輕監(jiān)督,重形式、輕核心等問題仍然較為突出,一些網(wǎng)站經(jīng)營企業(yè)無視國家法律法規(guī),利用互聯(lián)網(wǎng)實施犯罪活動問題仍然較為普遍。這些都給建設(shè)網(wǎng)絡(luò)強國造成了巨大阻力。
近幾年,電商狂潮呼嘯而來,席卷了各個行業(yè)。例如,在網(wǎng)購時,需要注冊個人通聯(lián)信息,如果官兵警惕性不高,直接填寫部隊地址、名稱、番號,一旦在網(wǎng)上泄露,被間諜獲取,便可能分析出購物人的具體身份和相關(guān)信息。此外,訂票軟件會記住你的身份信息;打車軟件會暴露你的家庭和單位地址;購物軟件會留下你的消費能力及財務(wù)狀況;當(dāng)你搜索“附近交通”“附近美食”時,你的足跡時時刻刻都被跟蹤著……與此同時,一些新型電子產(chǎn)品,由于功能的多樣化,給大家工作帶來不小困擾。當(dāng)下“谷歌眼睛”、“蘋果手表”等智能穿戴設(shè)備由于外形炫酷、技術(shù)新穎受到一些年輕人的追捧。但是,這些智能穿戴設(shè)備大多具有拍照、攝錄、定位和獨立數(shù)據(jù)傳輸處理功能,還有的具備“自組網(wǎng)”特性,有可能破壞網(wǎng)絡(luò)物理隔離這一防護手段。而且這些智能穿戴設(shè)備的操作系統(tǒng)都被幾家外國公司所壟斷,它們在對用戶信息和大數(shù)據(jù)匯集統(tǒng)計方面獨占優(yōu)勢,極有可能被竊聽竊照。
因此,建設(shè)網(wǎng)絡(luò)強國,必須將網(wǎng)絡(luò)安全作為互聯(lián)網(wǎng)發(fā)展的有力保障,堅決清除阻礙我國網(wǎng)絡(luò)建設(shè)發(fā)展中的各種阻力。一是要推動網(wǎng)絡(luò)安全核心技術(shù)建設(shè),加大技術(shù)攻關(guān)的力度,研發(fā)出自主知識產(chǎn)權(quán)的軟硬件,拿出自己的拳頭產(chǎn)品,不斷完善安全網(wǎng)絡(luò)體系,用物理手段阻斷影響網(wǎng)絡(luò)運營的“黑手”,真正筑牢堤壩、把好關(guān)口、堵住后門,讓安全和信得過的信息在網(wǎng)絡(luò)中正常傳播;二是政府要加大實施互聯(lián)網(wǎng)法治化建設(shè),加強頂層設(shè)計,構(gòu)建互聯(lián)網(wǎng)資源、信息安全、垃圾信息、電子商務(wù)、網(wǎng)絡(luò)犯罪等方面及時開展相關(guān)的法規(guī)制定和法律修訂工作,用嚴格的法律機制實施有效的監(jiān)管,推動網(wǎng)絡(luò)經(jīng)營企業(yè)和自媒體遵守法律法規(guī)、行業(yè)規(guī)范,履行社會責(zé)任,恪守商業(yè)道德,讓法治為網(wǎng)絡(luò)安全提供有益的保障;三是要加強網(wǎng)民的教育宣傳,積極引導(dǎo)廣大網(wǎng)民正確用網(wǎng)、文明上網(wǎng)、理性表達,引導(dǎo)廣大網(wǎng)民積極傳播正能量,對他人的隱私要注重保護,做到不信謠、不傳謠、不造謠;四是國家部門要實施有效的監(jiān)管,積極發(fā)揮引領(lǐng)作用,建設(shè)好、管理好、應(yīng)用好互聯(lián)網(wǎng),推動國家網(wǎng)絡(luò)法制建設(shè),努力構(gòu)建良好的互聯(lián)網(wǎng)生態(tài)環(huán)境。
面對互聯(lián)網(wǎng)引發(fā)的挑戰(zhàn),如何監(jiān)管已經(jīng)成了各國政府需要認真對待的最為嚴肅的政務(wù)之一,法國總統(tǒng)奧朗德這樣形容互聯(lián)網(wǎng)治理的迫切性:“互聯(lián)網(wǎng)世界并不是一個不受法律和道德規(guī)則制約的獨立世界,政府的責(zé)任是保護公民,防止犯罪?!碑吘乖谛畔⒈ǖ臅r代,誰也不想在互聯(lián)網(wǎng)上成為一個被圍觀的裸奔透明人。
【參考文獻】
[1]齊愛民.個人信息保護法研究[J].河北法學(xué),2008,(04)
[2]汪美俠.試析我國個人信息保護現(xiàn)狀及完善對策[J].安徽農(nóng)業(yè)大學(xué)學(xué)報(社會科學(xué)版),2009,(04)
關(guān)鍵詞:煙草行業(yè) 信息安全 安全管理 安全防護體系
中圖分類號:TS48 文獻標識碼:A 文章編號:1674-098X(2013)03(c)-0-01
中國的卷煙市場是全球最大的市場,擁有30%的全球消費者,中國煙草行業(yè)實行專賣專營體制以來,緊緊圍繞“做精做強主業(yè),保持平穩(wěn)發(fā)展”的基本方針,實現(xiàn)了經(jīng)濟效益的連年增長。在取得成績的同時,中國的煙草行業(yè)也一直貫徹堅持科技進步,大力推進技術(shù)創(chuàng)新的思想,全面推進煙草行業(yè)信息化網(wǎng)絡(luò)的建設(shè)。但是隨著信息化應(yīng)用的日益廣泛,信息系統(tǒng)中存儲的信息和數(shù)據(jù)的數(shù)量的不斷加大,其安全形勢不容樂觀,該文先介紹煙草行業(yè)信息安全的概念,然后對其現(xiàn)狀進行描述,最后對如何推進信息安全體系建設(shè),加強煙草行業(yè)信息安全管理進行了研究與探索。
1 信息安全概述
信息安全本身包括的范圍很大,是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運行,信息服務(wù)不中斷。網(wǎng)絡(luò)環(huán)境下的信息安全體系是保證信息安全的關(guān)鍵,自中國加入世貿(mào)組織后,煙草行業(yè)的競爭日趨激烈,煙草行業(yè)在制造以及銷售方面信息化應(yīng)用的不斷擴大,所以其安全程度對整個煙草行業(yè)起到?jīng)Q定性的作用。信息安全主要包括保證信息的保密性、真實性、完整性、未授權(quán)拷貝和所寄生系統(tǒng)的安全性五個方面的內(nèi)容,其中任何一個方面的安全漏洞都能威脅到全局安全,因此必須做好信息安全的管理工作。
2 煙草行業(yè)信息安全所面臨的威脅
由于近年來煙草行業(yè)進行了幾輪大規(guī)模的重組合并,其網(wǎng)絡(luò)拓撲結(jié)構(gòu)也越來越復(fù)雜,信息集成共享也更加廣泛,所以煙草行業(yè)信息安全所面臨的威脅來自各個方面,下面主要從內(nèi)部和外部兩方面進行描述。
(1)由于煙草行業(yè)信息系統(tǒng)是由人員進行設(shè)計、監(jiān)管以及操作的,其本身就存在一定的薄弱環(huán)節(jié)和不安全因素,若內(nèi)部保密工作不到位、內(nèi)部管理出現(xiàn)漏洞則會對系統(tǒng)造成破壞,數(shù)據(jù)發(fā)生丟失,給信息安全系統(tǒng)構(gòu)成威脅。
(2)黑客可以利用信息安全系統(tǒng)自身的缺陷非法闖入,進行數(shù)據(jù)的“竊聽”和攔截,或者其他的破壞活動。一般的煙草企業(yè)的網(wǎng)絡(luò)與整個外部網(wǎng)絡(luò)是相互連接的,這就無法避免垃圾郵件的威脅,這是防不勝防的。病毒侵入由于其無孔不入的能力以及無法預(yù)防的特性,一直是行業(yè)信息系統(tǒng)的最大隱患。
3 煙草行業(yè)信息安全管理現(xiàn)狀
經(jīng)過多年的信息化建設(shè)和網(wǎng)絡(luò)安全建設(shè),對于煙草信息安全系統(tǒng),主要存在以下現(xiàn)象。
(1)網(wǎng)絡(luò)基礎(chǔ)設(shè)施不健全,信息安全設(shè)備不穩(wěn)固。由于大范圍的兼并重組,新建的網(wǎng)絡(luò)設(shè)施、設(shè)備的穩(wěn)定性依然無法得到保證,對設(shè)備運行的監(jiān)控參數(shù)沒有得到重視,不具備容災(zāi)功能。
(2)煙草行業(yè)信息安全管理制度和措施沒有得到有效的落實,專業(yè)人員的素質(zhì)無法得到保證。盡管國家制定和頒布的煙草信息安全管理制度大部分得到了較好的貫徹落實,但缺乏相關(guān)的管理制度,使得管理工作也只是流于形式,存儲設(shè)備的管理要求無法得到徹底落實。其次由于這個系統(tǒng)的動態(tài)特性,對工作人員的要求較高,所以培訓(xùn)工作的滯后影響著整個系統(tǒng)的安全。
(3)缺乏整體性的防護措施。盡管近年來的信息安全保障體系建設(shè)已經(jīng)取得了一定的成效,但在建設(shè)初期的缺乏對整個系統(tǒng)的全盤考慮或是預(yù)算的原因使得現(xiàn)在已經(jīng)成型的煙草信息安全系統(tǒng)缺乏整體性的防護措施。
4 提高安全管理的對策
4.1 技術(shù)層面的建設(shè)
一個有效的網(wǎng)絡(luò)信息安全技術(shù)體系是整個信息安全管理的基礎(chǔ),所以安全體系的建設(shè)是所有安全構(gòu)架的基礎(chǔ),運用先進的技術(shù)手段,進一步完善機房硬件設(shè)備等基礎(chǔ)設(shè)施;對不同的安全威脅要進行針對性的建設(shè),確保核心設(shè)備具有較高的安全級別并且要對其端口進行流量控制;對于核心信息資源所面臨的風(fēng)險要進行正確的評估,提高網(wǎng)絡(luò)信息化的安全保障能力;對于網(wǎng)絡(luò)存儲的大量信息和數(shù)據(jù)要做好備份工作,并對進行傳輸?shù)男畔⑦M行實時監(jiān)控,加強對突發(fā)安全事件的處理效率。通過以上技術(shù)層面的手段使整個安全體系在預(yù)警、防護、監(jiān)控等方面的能力得到提高。
4.2 管理層面的建設(shè)
管理層面的建設(shè)主要通過完善和優(yōu)化安全管理體系和建立相應(yīng)的措施來提高信息安全網(wǎng)絡(luò)的安全管理能力與監(jiān)督能力。制定出清晰完整的信息安全政策,從整體層面上指導(dǎo)整個網(wǎng)絡(luò)的安全建設(shè),對所有的管理人員以及工作人員實行法律化管理;建立嚴密的密碼管理制度,并且要定時更換,控制密碼的擴散;此外對使用安全體系網(wǎng)絡(luò)的人員要進行身份的辨別,對于管理員以及普通使用人員的權(quán)限進行分離,在信息控制中心成立安全管理小組,專門負責(zé)電腦的安全運行;重視煙草行業(yè)安全文化建設(shè),提高員工的基本安全意識和安全防范能力,營造出一個濃厚的網(wǎng)絡(luò)信息安全氛圍;最后要加強網(wǎng)絡(luò)信息安全專業(yè)人才的培養(yǎng),從安全意識和安全技術(shù)兩個方面著手,對這些人員進行定期、持續(xù)、系統(tǒng)地培訓(xùn)。
5 結(jié)語
盡管對煙草行業(yè)信息安全的管理存在很多困難,但是只要我們能做到將以人為本、技術(shù)、管理和法制這些手段綜合起來進行治理,網(wǎng)絡(luò)信息安全將會得到很好地解決,煙草行業(yè)的信息化進程將會為整個行業(yè)帶來更大的發(fā)展空間。
參考文獻
[1] 李益文.基于煙草行業(yè)業(yè)務(wù)可持續(xù)運行的信息安全運維管理體系的思考[J].東方企業(yè)文化,2012(22).
[2] 高萍,黃偉達.煙草企業(yè)信息安全方面的思考[J].黑龍江科技信息,2010(31).
[3] 林加忠,葉鵬華.淺析網(wǎng)絡(luò)環(huán)境下煙草信息資源建設(shè)[J].硅谷,2009(5).
關(guān)鍵詞 內(nèi)部網(wǎng)絡(luò);網(wǎng)絡(luò)安全
1 引言
目前,在我國的各個行業(yè)系統(tǒng)中,無論是涉及科學(xué)研究的大型研究所,還是擁有自主知識產(chǎn)權(quán)的發(fā)展中企業(yè),都有大量的技術(shù)和業(yè)務(wù)機密存儲在計算機和網(wǎng)絡(luò)中,如何有效地保護這些機密數(shù)據(jù)信息,已引起各單位的巨大關(guān)注!
防病毒、防黑客、數(shù)據(jù)備份是目前常用的數(shù)據(jù)保護手段,我們通常認為黑客、病毒以及各種蠕蟲的攻擊大都來自外部的侵襲,因此采取了一系列的防范措施,如建立兩套網(wǎng)絡(luò),一套僅用于內(nèi)部員工辦公和資源共享,稱之為內(nèi)部網(wǎng)絡(luò);另一套用于連接互聯(lián)網(wǎng)檢索資料,稱之為外部網(wǎng)絡(luò),同時使內(nèi)外網(wǎng)物理斷開;另外采用防火墻、入侵檢測設(shè)備等。但是,各種計算機網(wǎng)絡(luò)、存儲數(shù)據(jù)遭受的攻擊和破壞,80%是內(nèi)部人員所為!(ComputerWorld,Jan-uary 2002)。來自內(nèi)部的數(shù)據(jù)失竊和破壞,遠遠高于外部黑客的攻擊!事實上,來自內(nèi)部的攻擊更易奏效!
2 內(nèi)部網(wǎng)絡(luò)更易受到攻擊
為什么內(nèi)部網(wǎng)絡(luò)更容易受到攻擊呢?主要原因如下:
(1)信息網(wǎng)絡(luò)技術(shù)的應(yīng)用正日益普及,應(yīng)用層次正在深入,應(yīng)用領(lǐng)域從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展。網(wǎng)絡(luò)已經(jīng)是許多企業(yè)不可缺少的重要的組成部分,基于Web的應(yīng)用在內(nèi)部網(wǎng)正日益普及,典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)、ERP系統(tǒng)、SCM系統(tǒng)等,這些大規(guī)模系統(tǒng)應(yīng)用密切依賴于內(nèi)部網(wǎng)絡(luò)的暢通。
(2)在對Internet嚴防死守和物理隔離的措施下,對網(wǎng)絡(luò)的破壞,大多數(shù)來自網(wǎng)絡(luò)內(nèi)部的安全空隙。另外也因為目前針對內(nèi)部網(wǎng)絡(luò)安全的重視程度不夠,系統(tǒng)的安裝有大量的漏洞沒有去打上補丁。也由于內(nèi)部擁有更多的應(yīng)用和不同的系統(tǒng)平臺,自然有更多的系統(tǒng)漏洞。
(3)黑客工具在Internet上很容易獲得,這些工具對Internet及內(nèi)部網(wǎng)絡(luò)往往具有很大的危害性。這是內(nèi)部人員(包括對計算機技術(shù)不熟悉的人)能夠?qū)?nèi)部網(wǎng)絡(luò)造成巨大損害的原因之一。
(4)內(nèi)部網(wǎng)絡(luò)更脆弱。由于網(wǎng)絡(luò)速度快,百兆甚至千兆的帶寬,能讓黑客工具大顯身手。
(5)為了簡單和易用,在內(nèi)網(wǎng)傳輸?shù)臄?shù)據(jù)往往是不加密的,這為別有用心者提供了竊取機密數(shù)據(jù)的可能性。
(6)內(nèi)部網(wǎng)絡(luò)的用戶往往直接面對數(shù)據(jù)庫、直接對服務(wù)器進行操作,利用內(nèi)網(wǎng)速度快的特性,對關(guān)鍵數(shù)據(jù)進行竊取或者破壞。
(7)眾多的使用者所有不同的權(quán)限,管理更困難,系統(tǒng)更容易遭到口令和越權(quán)操作的攻擊。服務(wù)器對使用者的管理也不是很嚴格,對于那些如記錄鍵盤敲擊的黑客工具比較容易得逞。
(8)信息不僅僅限于服務(wù)器,同時也分布于各個工作計算機中,目前對個人硬盤上的信息缺乏有效的控制和監(jiān)督管理辦法。
(9)由于人們對口令的不重視,弱口令很容易產(chǎn)生,很多人用諸如生日、姓名等作為口令,在內(nèi)網(wǎng)中,黑客的口令破解程序更易奏效。
3 內(nèi)部網(wǎng)絡(luò)的安全現(xiàn)狀
目前很多企事業(yè)單位都加快了企業(yè)信息化的進程,在網(wǎng)絡(luò)平臺上建立了內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò),并按照國家有關(guān)規(guī)定實行內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的物理隔離;在應(yīng)用上從傳統(tǒng)的、小型業(yè)務(wù)系統(tǒng)逐漸向大型、關(guān)鍵業(yè)務(wù)系統(tǒng)擴展,典型的應(yīng)用如財務(wù)系統(tǒng)、PDM系統(tǒng)甚至到計算機集成制造(CIMS)或企業(yè)資源計劃(ERP),逐步實現(xiàn)企業(yè)信息的高度集成,構(gòu)成完善的企事業(yè)問題解決鏈。
在網(wǎng)絡(luò)安全方面系統(tǒng)內(nèi)大多企業(yè)或是根據(jù)自己對安全的認識,或是根據(jù)國家和系統(tǒng)內(nèi)部的相關(guān)規(guī)定,購置部分網(wǎng)絡(luò)安全產(chǎn)品,如防火墻、防病毒、入侵檢測等產(chǎn)品來配置在網(wǎng)絡(luò)上,然而這些產(chǎn)品主要是針對外部網(wǎng)絡(luò)可能遭受到安全威脅而采取的措施,在內(nèi)部網(wǎng)絡(luò)上的使用雖然針對性強,但往往有很大的局限性。由于內(nèi)部網(wǎng)絡(luò)的高性能、多應(yīng)用、信息分散的特點,各種分立的安全產(chǎn)品通常只能解決安全威脅的部分問題,而沒有形成多層次的、嚴密的、相互協(xié)同工作的安全體系。同時在安全性和費用問題上形成一個相互對立的局面,如何在其中尋找到一個平衡點,也是眾多企業(yè)中普遍存在的焦點問題。
4 保護內(nèi)部網(wǎng)絡(luò)的安全
內(nèi)部網(wǎng)絡(luò)的安全威脅所造成的損失是顯而易見的,如何保護內(nèi)部網(wǎng)絡(luò),使遭受的損失減少到最低限度是目前網(wǎng)絡(luò)安全研究人員不斷探索的目標。筆者根據(jù)多年的網(wǎng)絡(luò)系統(tǒng)集成經(jīng)驗,形成自己對網(wǎng)絡(luò)安全的理解,闡述如下。
4.1 內(nèi)部網(wǎng)絡(luò)的安全體系
筆者認為比較完整的內(nèi)部網(wǎng)絡(luò)的安全體系包括安全產(chǎn)品、安全技術(shù)和策略、安全管理以及安全制度等多個方面,整個體系為分層結(jié)構(gòu),分為水平層面上的安全產(chǎn)品、安全技術(shù)和策略、安全管理,其在使用模式上是支配與被支配的關(guān)系。在垂直層面上為安全制度,從上至下地規(guī)定各個水平層面上的安全行為。
4.2 安全產(chǎn)品
安全產(chǎn)品是各種安全策略和安全制度的執(zhí)行載體。雖然有了安全制度,但在心理上既不能把制度理想化,也不能把人理想化,因此還必須有好的安全工具把安全管理的措施具體化。
目前市場上的網(wǎng)絡(luò)安全產(chǎn)品林林總總,功能也千差萬別,通常一個廠家的產(chǎn)品只在某個方面占據(jù)領(lǐng)先的地位,各個廠家的安全產(chǎn)品在遵守安全標準的同時,會利用廠家聯(lián)盟內(nèi)部的協(xié)議提供附加的功能。這些附加功能的實現(xiàn)是建立在全面使用同一廠家聯(lián)盟的產(chǎn)品基礎(chǔ)之上的。那么在選擇產(chǎn)品的時候會面臨這樣一個問題,即是選擇所需要的每個方面的頂尖產(chǎn)品呢,還是同一廠家聯(lián)盟的產(chǎn)品?筆者認為選擇每個方面的頂尖產(chǎn)品在價格上會居高不下,而且在性能上并不能達到l+1等于2甚至大于2的效果。這是因為這些產(chǎn)品不存在內(nèi)部之間的協(xié)同工作,不能形成聯(lián)動的、動態(tài)的安全保護層,一方面使得這些網(wǎng)絡(luò)安全產(chǎn)品本身所具有的強大功效遠沒有得到充分的發(fā)揮,另一方面,這些安全產(chǎn)品在技術(shù)實現(xiàn)上,有許多重復(fù)工作,這也影響了應(yīng)用的效率。因此網(wǎng)絡(luò)安全產(chǎn)品的選擇應(yīng)該是建立在相關(guān)安全產(chǎn)品能夠相互通信并協(xié)同工作的基礎(chǔ)上,即實現(xiàn)防火墻、IDS、病毒防護系統(tǒng)、信息審計系統(tǒng)等的互通與聯(lián)動,以實現(xiàn)最大程度和最快效果的安全保證。目前在國內(nèi)外都存在這樣的網(wǎng)絡(luò)安全聯(lián)盟實現(xiàn)產(chǎn)品之間的互聯(lián)互動,達到動態(tài)反應(yīng)的安全效果。
4.3 網(wǎng)絡(luò)安全技術(shù)和策略
內(nèi)部網(wǎng)絡(luò)的安全具體來說包括攻擊檢測、攻擊防范、攻擊后的恢復(fù)這三個大方向,那么安全技術(shù)和策略的實現(xiàn)也應(yīng)從這三個方面來考慮。
積極主動的安全策略把入侵檢測概念提升到了更有效、更合理的入侵者檢測(甚至是內(nèi)部入侵者)層面。內(nèi)部安全漏洞在于人,而不是技術(shù)。因此,應(yīng)重點由發(fā)現(xiàn)問題并填補漏洞迅速轉(zhuǎn)向查出誰是破壞者、采取彌補措施并消除事件再發(fā)的可能性。如果不知道破壞者是誰,就無法解決問題。真正的安全策略的最佳工具應(yīng)包括實時審查目錄和服務(wù)器的功能,具體包括:不斷地自動監(jiān)視目錄,檢查用戶權(quán)限和用戶組帳戶有無變更;警惕地監(jiān)視服務(wù)器,檢查有無可疑的文件活動。無論未授權(quán)用戶企圖訪問敏感信息還是員工使用下載的工具蓄意破壞,真正的安全管理工具會通知相應(yīng)管理員,并自動采取預(yù)定行動。
在積極查詢的同時,也應(yīng)該采用必要的攻擊防范手段。網(wǎng)絡(luò)中使用的一些應(yīng)用層協(xié)議,如HTTP、Telnet,其中的用戶名和密碼的傳遞采用的是明文傳遞的方式,極易被竊聽和獲取。因此對于數(shù)據(jù)的安全保護,理想的辦法是在內(nèi)部網(wǎng)絡(luò)中采用基于密碼技術(shù)的數(shù)字身份認證和高強度的加密數(shù)據(jù)傳輸技術(shù),同時采用安全的密鑰分發(fā)技術(shù),這樣既防止用戶對業(yè)務(wù)的否認和抵賴,同時又防止數(shù)據(jù)遭到竊聽后被破解,保證了數(shù)據(jù)在網(wǎng)上傳輸?shù)目煽啃?。攻擊后恢?fù)首先是數(shù)據(jù)的安全存儲和備份,在發(fā)現(xiàn)遭受攻擊后可以利用備份的數(shù)據(jù)快速的恢復(fù);針對WWW服務(wù)器網(wǎng)頁安全問題,實施對Web文件內(nèi)容的實時監(jiān)控,一旦發(fā)現(xiàn)被非法篡改,可及時報警并自動恢復(fù),同時形成監(jiān)控和恢復(fù)日志,并提供友好的用戶界面以便用戶查看、使用,有效地保證了Web文件的完整性和真實性。
4.4 安全管理
安全管理主要是指安全管理人員。有了好的安全工具和策略,還必須有好的安全管理人員來有效的使用工具和實現(xiàn)策略。經(jīng)過培訓(xùn)的安全管理員能夠隨時掌握網(wǎng)絡(luò)安全的最新動態(tài),實時監(jiān)控網(wǎng)絡(luò)上的用戶行為,保障網(wǎng)絡(luò)設(shè)備自身和網(wǎng)上信息的安全,并對可能存在的網(wǎng)絡(luò)威脅有一定的預(yù)見能力和采取相應(yīng)的應(yīng)對措施,同時對已經(jīng)發(fā)生的網(wǎng)絡(luò)破壞行為在最短的時間內(nèi)做出響應(yīng),使企業(yè)的損失減少到最低限度。
企業(yè)領(lǐng)導(dǎo)在認識到網(wǎng)絡(luò)安全的重要性的同時,應(yīng)當(dāng)投入相當(dāng)?shù)慕?jīng)費用于網(wǎng)絡(luò)安全管理人員的培訓(xùn),或者聘請安全服務(wù)提供商來維護內(nèi)部網(wǎng)絡(luò)的安全。
4.5 網(wǎng)絡(luò)安全制度
網(wǎng)絡(luò)安全的威脅來自人對網(wǎng)絡(luò)的使用,因此好的網(wǎng)絡(luò)安全管理首先是對人的約束,企業(yè)并不缺乏對人的管理辦法,但在網(wǎng)絡(luò)安全方面常常忽視對網(wǎng)絡(luò)使用者的控制。要從網(wǎng)絡(luò)安全的角度來實施對人的管理,企業(yè)的領(lǐng)導(dǎo)必須首先認識到網(wǎng)絡(luò)安全的重要性,惟有領(lǐng)導(dǎo)重視了,員工才會普遍重視,在此基礎(chǔ)上制定相應(yīng)的政策法規(guī),使網(wǎng)絡(luò)安全的相關(guān)問題做到有法可依、有據(jù)可查、有功必獎、有過必懲,最大限度地提高員工的安全意識和安全技能,并在一定程度上造成對蓄意破壞分子的心理震懾。
目前許多企業(yè)已認識到網(wǎng)絡(luò)安全的重要性,已采取了一些措施并購買了相應(yīng)的設(shè)備,但在網(wǎng)絡(luò)安全法規(guī)上還沒有清醒的認識,或者是沒有較為系統(tǒng)和完善的制度,這樣在企業(yè)上下往往會造成對網(wǎng)絡(luò)安全的忽視,給不法分子以可乘之機。國際上,以ISO17799/BSI7799為基礎(chǔ)的信息安全管理體系已經(jīng)確立,并已被廣泛采用,企業(yè)可以此為標準開展安全制度的建立工作。具體應(yīng)當(dāng)明確企業(yè)領(lǐng)導(dǎo)、安全管理員、財物人員、采購人員、銷售人員和其它辦公人員等各自的安全職責(zé)。安全組織應(yīng)當(dāng)有企業(yè)高層掛帥,由專職的安全管理員負責(zé)安全設(shè)備的管理與維護,監(jiān)督其它人員設(shè)備安全配置的執(zhí)行情況。單位還應(yīng)形成定期的安全評審機制。只有通過以上手段加強安全管理,才能保證由安全產(chǎn)品和安全技術(shù)組成的安全防護體系能夠被有效地使用。
圖謀實現(xiàn)境外指揮、境內(nèi)行動網(wǎng)絡(luò)化
目前,“”利用互聯(lián)網(wǎng)進行網(wǎng)上境外指揮、境內(nèi)行動、內(nèi)外趨動、聯(lián)合犯罪的趨向日漸明顯。從偵查掌握的情況來看,近幾年打掉的暴力恐怖團伙中有近50%的團伙使用互聯(lián)網(wǎng)進行通訊聯(lián)絡(luò),而且呈逐年增加的態(tài)勢。
在網(wǎng)上非法結(jié)社,發(fā)展組織、成員
2000年以來,分裂組織、分裂分子相繼在境外雅虎等網(wǎng)站的免費空間上建立了十幾個維吾爾網(wǎng)民聚集的“電子部落”(又稱為“網(wǎng)上沙龍”),逐漸形成了具有分裂傾向的網(wǎng)絡(luò)群體。他們以“東土耳其斯坦”“維吾爾穆斯林”“世界維吾爾”等為主題,進行分裂和宗教極端思想的交流,并進行勾聯(lián)活動。
“虛擬社會”反恐治安防控體系明顯滯后
進一步完善“虛擬社會”治安綜合治理體系
虛擬社會作為“第二社會”和一種“亞社會”狀態(tài),具有一定的活動形態(tài)和結(jié)構(gòu)層次,對其進行治理防控同樣是一項社會綜合工程,必須遵循社會治安綜合治理的理念和原則,按照“打擊、防范、教育、管理、建設(shè)、改造”的基本內(nèi)容,在各級黨委、政府的統(tǒng)一領(lǐng)導(dǎo)下,以政府為主體,發(fā)動和依靠各職能部門和社會力量,各單位、各部門協(xié)調(diào)一致,齊抓共管,運用政治的、經(jīng)濟的、行政的、法律的、文化的、教育的綜合手段,整治虛擬社會治安問題,不斷消除虛擬社會空間滋生犯罪的條件,建立虛擬社會綜合治理體系。一是緊緊抓住建設(shè)環(huán)節(jié)。加強對網(wǎng)絡(luò)運營服務(wù)商的監(jiān)管,堅持“誰運營、誰主管、誰負責(zé)”的原則,進一步明確其安全管理責(zé)任,責(zé)成其在推出各種網(wǎng)絡(luò)新技術(shù)、新應(yīng)用、新服務(wù)時,配套建設(shè)各種安全管理系統(tǒng),使網(wǎng)絡(luò)安全保護措施與網(wǎng)絡(luò)應(yīng)用技術(shù)同步發(fā)展,實現(xiàn)建設(shè)與管理的統(tǒng)一。二是緊緊抓住經(jīng)營環(huán)節(jié)。加強對網(wǎng)絡(luò)應(yīng)用重點單位、網(wǎng)絡(luò)經(jīng)營業(yè)主和網(wǎng)民的管理,嚴格落實“實名上網(wǎng)”制度,虛擬主體參與“虛擬社會”各項活動,均要實行實名申請IP、實名注冊賬號、實名登錄網(wǎng)站、實名驗證申請,建立起虛擬身份與現(xiàn)實身份的一一對應(yīng)關(guān)系,通過嚴格掌握上網(wǎng)人員的真實身份,將主動權(quán)牢牢掌控在監(jiān)管部門手中。三是緊緊抓住管控環(huán)節(jié)。嚴格落實互聯(lián)網(wǎng)信息監(jiān)控處置屬地與準屬地“雙負責(zé)制”和以互聯(lián)網(wǎng)服務(wù)單位開辦者所在地為主、以服務(wù)器所在地為輔的安全監(jiān)管“雙負責(zé)制”。四是緊緊抓住教育環(huán)節(jié)。在全民中深入開展網(wǎng)絡(luò)道德建設(shè),大力倡導(dǎo)文明辦網(wǎng)、文明上網(wǎng),自覺抵制不文明網(wǎng)絡(luò)行為,積極構(gòu)建和維護文明、健康、有序的“虛擬社會”環(huán)境。積極與互聯(lián)網(wǎng)新聞管理部門配合,通過開展“創(chuàng)建誠信網(wǎng)站”“評選示范網(wǎng)吧”和“推選網(wǎng)絡(luò)文明單位、網(wǎng)絡(luò)文明學(xué)?!钡然顒?讓全社會共同參與、齊抓共管。
進一步加強“虛擬社會”治安防控體系建設(shè)
從公安機關(guān)網(wǎng)絡(luò)監(jiān)管職責(zé)看,必須順應(yīng)互聯(lián)網(wǎng)時展的要求,把嚴打、嚴管、嚴防、嚴治有機結(jié)合起來,構(gòu)建高效、靈敏的“虛擬社會”治安防控體系。一是堅持“情報導(dǎo)偵”戰(zhàn)略,加強虛擬社會情報信息收集機制建設(shè)。突出強化網(wǎng)上偵查和情報職能,積極探索網(wǎng)上對敵斗爭的規(guī)律,增強網(wǎng)上發(fā)現(xiàn)、控制、偵查、處置和取證的能力,努力提高網(wǎng)上斗爭的能力和水平。要以網(wǎng)上偵查情報為主線,充分發(fā)揮安全監(jiān)督管理和網(wǎng)絡(luò)技術(shù)手段的優(yōu)勢,對虛擬空間中的重點“區(qū)域”“空間”進行高效、精確地控制,獲取深層次、有價值的網(wǎng)絡(luò)違法犯罪情報信息。及時發(fā)現(xiàn)、嚴密偵控、有效防范、依法打擊境內(nèi)外敵對勢力、敵對分子以及各種違法犯罪分子利用網(wǎng)絡(luò)進行的煽動、滲透、破壞活動。二是加快建立虛擬社會警務(wù)制度和機制,強化網(wǎng)監(jiān)基礎(chǔ)工作建設(shè)。搭建公安網(wǎng)絡(luò)監(jiān)控部門與各級政府信息中心、各互聯(lián)網(wǎng)運營單位、上網(wǎng)服務(wù)場所、安全行業(yè)單位、安全教育研究機構(gòu)和其他計算機信息系統(tǒng)使用單位的聯(lián)系渠道,建立網(wǎng)上案件舉報機制、查處網(wǎng)絡(luò)違法犯罪案件快速反應(yīng)機制和公安機關(guān)內(nèi)部各警種之間的信息共享及網(wǎng)上聯(lián)動協(xié)作等機制。以深化“e網(wǎng)平安”為載體,構(gòu)建由網(wǎng)絡(luò)警察、網(wǎng)上協(xié)管員、社會信息監(jiān)督員、網(wǎng)站網(wǎng)吧安全員和舉報群眾構(gòu)成的全方位、多層次的虛擬社會巡防力量;建立網(wǎng)上虛擬社區(qū)警務(wù)制度,建立網(wǎng)上案件報警網(wǎng)站和報警崗?fù)?對群眾的網(wǎng)上求助、咨詢,快速反應(yīng)、熱情服務(wù),幫助群眾排憂解難。2010年以來,巴音郭楞蒙古自治州公安局制定《巴州公安機關(guān)“網(wǎng)上警務(wù)室”建設(shè)標準》,全州48個派出所建成105個網(wǎng)上警務(wù)室;建立民警微博,收集社情民意,拓展公安業(yè)務(wù)網(wǎng)上服務(wù)14項,建立網(wǎng)上信息員隊伍195人;召開網(wǎng)上警民懇談會50次,群眾留言148條,通過公布的電子郵箱收到群眾建議76條,為群眾解疑釋惑225次,點擊量達11538次。三是加強虛擬社會重點管控陣地建設(shè)。發(fā)揮網(wǎng)監(jiān)隊伍的技術(shù)優(yōu)勢,將網(wǎng)絡(luò)電視、廣播、電話和博客、播客等新興網(wǎng)絡(luò)應(yīng)用納入網(wǎng)上重點陣地,按照“公秘結(jié)合、人防與技防結(jié)合”的要求,協(xié)同刑偵、治安部門,落實對電子市場、網(wǎng)吧、大專院校等重要場所的控制措施。制定和規(guī)范電子市場業(yè)主出售計算機及網(wǎng)絡(luò)設(shè)備、手機及手機卡、電視插播器等詳細信息登記制度。在當(dāng)?shù)攸h委、政府的統(tǒng)一組織領(lǐng)導(dǎo)下,加強與電信、文化、工商部門的協(xié)調(diào)配合,規(guī)范互聯(lián)網(wǎng)服務(wù)營業(yè)場所的經(jīng)營行為,嚴格安全審核和日常監(jiān)督管理,切實解決當(dāng)前“網(wǎng)吧”等互聯(lián)網(wǎng)上網(wǎng)服務(wù)營業(yè)場所過多過濫、違法違規(guī)經(jīng)營、管理無序的情況。四是加強網(wǎng)絡(luò)警察專業(yè)隊伍建設(shè)和能力建設(shè)。嚴格按照公安部“每萬名網(wǎng)民配備一名網(wǎng)絡(luò)警察”的標準,盡快配齊網(wǎng)安警力,建立一支統(tǒng)一指揮、機動精干、正規(guī)化、實戰(zhàn)化的網(wǎng)絡(luò)警察隊伍;不拘一格吸納網(wǎng)絡(luò)技術(shù)人才,強化專門力量,通過市場化、社會化選人、用人渠道,把最優(yōu)秀的網(wǎng)絡(luò)技術(shù)人才引進專門機關(guān),從技術(shù)水平、警力人數(shù)上不斷充實打擊網(wǎng)絡(luò)犯罪的網(wǎng)絡(luò)警察隊伍。五是加強網(wǎng)絡(luò)輿情引導(dǎo)工作機制建設(shè)。建立反應(yīng)靈敏、高效暢通的網(wǎng)上輿情收集、研判、反饋機制以及應(yīng)急處置聯(lián)動機制。及時進行輿情的采集存儲、輿情分析和處理,做好不良網(wǎng)絡(luò)輿情危機的監(jiān)管和引導(dǎo)工作,提高對不良網(wǎng)絡(luò)輿情預(yù)警的效率。
加強虛擬社會管理法律法規(guī)建設(shè),構(gòu)筑網(wǎng)絡(luò)安全的法律基礎(chǔ)
立法部門要立足我國網(wǎng)絡(luò)發(fā)展現(xiàn)狀,準確把握“虛擬社會”特征和網(wǎng)絡(luò)違法犯罪特點,加快信息網(wǎng)絡(luò)安全立法,完善現(xiàn)行刑法中計算機犯罪條款,擴大計算機信息系統(tǒng)概念外延,增加利用網(wǎng)絡(luò)犯罪罪名,明晰網(wǎng)絡(luò)犯罪立案標準。要借鑒互聯(lián)網(wǎng)發(fā)達國家的經(jīng)驗,將網(wǎng)絡(luò)運營商的安全管理責(zé)任以法律形式確定下來,由運營商同步承擔(dān)網(wǎng)絡(luò)安全系統(tǒng)建設(shè)的責(zé)任。網(wǎng)絡(luò)信息安全最薄弱的環(huán)節(jié)不是系統(tǒng)漏洞而是人的漏洞。完善的網(wǎng)絡(luò)信息安全法制建設(shè)應(yīng)當(dāng)是建立起一整套網(wǎng)絡(luò)信息安全評估、網(wǎng)絡(luò)信息安全責(zé)任和網(wǎng)絡(luò)信息安全應(yīng)急的法律對策。由此可見,“網(wǎng)絡(luò)法治”不應(yīng)過于遙遠,它應(yīng)盡快為人們享受網(wǎng)絡(luò)技術(shù)文明創(chuàng)造安全有序的環(huán)境,應(yīng)盡快為國家提高信息安全保障能力提供法律支持,使政府和民眾在面對網(wǎng)絡(luò)“天災(zāi)人禍”的考驗和挑釁時,能夠變得更加成熟、理性和從容不迫。
加強新疆民文官方網(wǎng)站建設(shè),提高民文網(wǎng)站建設(shè)者的整體素質(zhì)