信息安全研究(共12篇)
信息安全研究 篇1
0引言
当今社会已经步入信息知识经济时代,信息安全是目前发展的大趋势,趋势重点是BYOD条件下,移动4G、WIFI互联等多边界企业网络环境下,安全边界的界定和管理。可包括信息安全架构体系的搭建,其中包括网络边界安全、信息流安全、系统等级定义、CA认证、统一身份认证等方面。本文主要就这些方面深度论述信息安全在企业发展中的重要性,剖析对系统操作的意义,并提出某些改进措施及观点,以此来完善企业网络安全、系统安全等信息安全工作。
1企业信息化安全现状
当前,企业信息安全尚在起步阶段,发展不够成熟健全,还有更多需要解决的问题。随着网络技术的发展,经济信息量的大幅度上涨,处理信息必须依靠计算机才能完成,但计算机存在一定的弱点,例如计算机病毒、人员素质低下、黑客入侵等因素, 以及移动4G、WIFI互联等多边界企业网络环境下,由于内外部网络是直接连接,其互通性和网络访问无限制性易形成黑客或恶意份子入侵的切入口,若是没有设置任何的网络边界安全机制, 将造成企业信息受到潜在的安全威胁。企业要想持续发展,信息安全是基本保障。企业信息化程度越高,企业数据也就越安全。 企业发展的基础即信息安全,企业管理者要正确认识信息安全工作的长期性和紧迫性。从保护企业利益,促进经济发展,保证企业稳定与安全的角度来看,只有做好基础性工作和设施建设,建立信息安全保障,以及建设安全健康的网络环境,才能有助于信息化安全建设。其实不管科技如何发达,技术如何高超,都是人类智慧的结晶体,所以信息安全已无法离开人类。不少企业信息被泄露,多是人为因素导致,员工滥用企业信息将会给企业带来极大的损失。
2企业信息化安全建设
当今社会已经步入信息知识经济时代,信息对企业良性长久的发展尤为关键,但目前企业信息系统安全问题无疑是企业发展阶段所面临的重点难点。所谓的企业信息安全就是对企业信息资产采取保护措施,使其不受恶意或偶然侵犯而被破坏、篡改及泄露,确保信息系统可靠正常并连续的运行,最小化安全事件对业务的影响,实现业务运行的连续性。因此笔者认为以下几方面是关键。
2.1做好网络保护
其实要保证外网安全需要企业加大硬件设备的投入,信息安全产品在网络经济发展下正面临着新的挑战,传统防火墙、信息加密、防病毒等已无法有效的抵御外部入侵;同时由于内部操作不当,导致内网感染病毒造成信息泄露的现状也是信息安全的焦点问题。针对以上情况,建立事前有效防御,事后追究机制是企业信息化安全建设的当务之急。根据现代企业的特点,笔者认为从下面这几点入手,有助于保护网络的安全:
(1)身份认证技术。企业内网操作时,可采用身份认证技术,借助PKI、PKM等工具,控制网络应用程序的访问,以及进行身份认证,实现有效资源合法应用和访问的目的。
(2)审计跟踪技术。通过审计跟踪技术监控和审计网络, 控制外设备如MSN、QQ、端口、打印、光驱、软驱等,从而实现禁止使用指定程序,并促进员工操作行为及日志审计规范的目的。
(3)企业还应组建自身网络拓扑结构,利用严格密钥机制和加密算法,有机的结合加密、认证、授权、审计等功能,保护最底层不同密集评定和授权方式的核心数据,而非限制应用网络和控制网络,进而真正实现合理保护,确保企业信息数据资源的安全。
2.2安全边界的界定和管理
安全边界的界定通过分析现有网络边界安全的需求,笔者认为有几方面:首先,内部网段。即企业网内网,是防火墙的重点保护对象,安全级别和授信级别更高,主要承载对象是企业所有人员的计算机。其次,外部网段。即边界路由器以外的网络,比如移动4G、WIFI互联等多边界网络,安全级别和授信级别最低, 是企业信息数据泄露最大的安全隐患,需要严格禁止或控制。最后,DMZ网段。即对外服务器,安全级别和授信级别介于内外网络之间,其资源运行外部网络访问。
(1)由于外部用户访问DMZ区域中服务器的方式较为特殊,在系统默认情况下是不被允许的。可实际应用中是需要外部用户对其进行访问,所以防火墙上必须增加相应允许外部用户访问DMZ区域的访问控制列表,通过对列表的控制允许用户行为, 并对进行很好的监控管理,保证企业信息的安全性。
(2)内部用户对外部网络以及DMZ区域中服务器的访问。 按照ASA自适应安全算法,在系统默认情况下是允许高安全等级接口流向低安全等级接口流量的,外部网络安全级别远没企业内部网络安全级别高,所以在默认情况下这种访问方式是被允许的,不过实际应用过程中,需要限制对外访问流量。
(3)外部用户对内部网络的访问。在系统默认情况下这种情况是不被允许的,是对外部用户非法访问的有效抵御,能有效的保证企业信息的安全,促进企业信息化的安全建设。
2.3强化系统管理
由于任何安全软件都有被攻击或破解的可能性,单纯依靠软件技术来保障企业信息安全是不现实的,只有强化企业内部信息系统的管理才行之有效。所以,企业内部信息管理体制要完善, 尽可能促进管理系统规范性和可靠性的提高,才能为企业内部信息的安全提供更高保障。同时,要进行安全风险评估工作。因为各个信息系统使用的都是不同的技术手段和组成方式,其自身优势及安全漏洞也具有较大的差异,由此在选择企业所需的信息系统时,一定要先做各个系统的安全风险评估工作,信息安全系统的选择要针对企业自身特点,降低信息安全问题出现的概率。最后,就是加强系统管理。在实际生活中信息窃取和系统攻击大多是在网络上完成的,企业必须要强化网络管理工作,以便促进企业的运行更安全政策。
2.4加强企业信息安全管理团队建设
当前,企业信息安全体系的建设中已完全渗透“七分管理, 三分技术”的意识,强化企业员工信息安全知识培训,制定完善合理的信息安全管理制度,是企业信息安全建设顺利实施的关键保障。企业信息安全建设时要另立专门管理信息安全的部门,负责企业内部的信息安全防护工作,加强对企业内部计算机网络系统的维护及常规检查。企业信息安全管理团队的职责主要包括: 工作人员安全操作规范、工作人员守则以及管理制度的制定,再交由上级主管部门审批后监督制度规范的执行;定期组织安全运行和信息网络建设的检查监测,掌握公司全面的第一手安全资料,根据资料研究相关的安全对策和措施;负责常规的信息网络安全管理维护工作;定期制订安全工作总结,且要接受国家相关信息安全职能部门对信息安全的工作指导。
2.5入侵检测系统(IDS)与入侵防护系统(IPS)
IDS即入侵检测系统能够弥补防火墙的缺陷,能实时的提供给网络安全入侵检测,并采取一定的防护手段保护网络。良好的入侵检测系统不但可有助于系统管理员随时了解网络系统的变更,还能提高可靠的网络安全策略制订依据。因此,入侵检测系统的管理应配置简单,随时根据系统构造、网络规模、安全需求改变。IDS必须布置在能够监控局域网和Internet之间所有流量的地方,才能第一时间检测到入侵时,做出及时的响应,比如记录时间、切断网络连接等。
3总结
目前,我国社会经济发展速度很快,推动着企业的飞速发展, 而企业的健康发展离不开信息化建设。但在信息化建设发展进步的背景下,信息安全问题是企业需要高度重视的重要问题。信息安全问题包括企业内部机密信息,是企业生存发展的关键,因此企业要快速健康的发展,必须加大对网络的管理力度,强化对信息系统的管理,加强信息安全系统的建设,界定并管理安全边界, 通过全面的管理实现企业信息化的安全建设。当然企业信息化安全建设并非单一技术问题,而是整个信息系统的建立,以及整个系统在投入运行之后的日常维护和升级,针对企业而言信息化安全建设将是一项长久而艰巨的重要任务。
参考文献
[1]潘爱萍,于连峰,周仕良.浅谈企业信息化建设中的信息安全问题[J].消费电子,2014.
[2]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,2014.
信息安全研究 篇2
摘要:随着我国互联网的迅速发展和网络经济时代的到来,网络的存在越来越成为社会必要的组成结构,也成为科研、管理和教学不能忽视的重要设施。
而对于网络信息的安全和防范亦随之更为重要起来。
在当今,经济、文化甚至社会活动中都依赖于网络信息,但是面对现有的网络系统,虽然给社会各界带来了不可估量的便捷和流通,但是它的不设防性、无主管性和无约束性也同时给社会带来了巨大的压力和风险。
因此,该文旨在从提出网络信息安全的内涵基础上,分析当今网络中的安全缺陷及其原因构成,从而提出一些有效的对策和策略来防范网络信息。
关键词:网络信息;安全与防范;内涵;缺陷;对策
当今计算机网络在人们的生活领域中被广泛应用,通过网络信息技术不仅可以实现网络内部局域性互联,而且可以使计算机网络信息与国际互联网络连接,以实现资源的共同享用和方便对外交流的目的。
但是与此同时,网络信息的安全性也成为人们所要关注的问题,近些年来,针对网络攻击事件的增加,使得网络信息资源和基础设施的安全受到极大威胁,这对国家的经济和社会生活产生严重影响,其损失也是难以估计的。
因此,我们要充分的了解当今计算机网络存在的问题和现状,并针对其提出有效的方案和解决措施,以确保网络信息的安全畅通,这已成我国所关注的重点问题。
1网络与信息安全的内涵
计算机网络,一般指的是对于不同地理位置的多台的独立计算机与自己的外部设备,通过线路连接在一起,在互联网络操作系统与网络通信协议的协调管理下,实现了信息资源的共享与传递的计算机系统。
相对简单地说,计算机网络是通过多条电缆、电话线或者无线通讯设备将两台以上的计算机相互连接起来的硬件系统。
整个网络系统能够由两台计算机组合起来,也可以是在一个大厦中成千上万台计算机组合起来。
我们在日常工作与生活中最常接触的Intemet网络是由多数的LAN和WAN网络共同组成的。
Intemet能够保障了它们之间的联系,但是没有专门的人们能够进行专业的管理(除了日常的维护连接与制定使用标准外)。
也就是说Internet是日常工作中最没有管理与限制的地方了。
在Internet中没有范围与国界之分,只要能够连接,这与地球另一边的计算机是没有任何差别的。
虽然国际上将网络标准能够划分地多元化,但是从地域来划分就可以分为我们所说的局域网、城域网、广域网与互联网等四种。
一般局域网只能在一个较小的区域里,而城域网是不同地区中网络的连接,然而我们对于网络并没有严格意义上的地理范围内的划分,一般只是定性的概念。
所谓计算机网络安全,就是指在互联网的信息交流过程中的安全,即指网络系统的数据不受到恶意的破坏和更改,网络服务系统可以在持续时间内可靠正常的运行。
从广义的角度来说,凡是涉及到网络上信息的真实性、可用性、完整性、可控性以及保密性的相关理论和技术都是网络安全的研究领域。
在当前时代中,网络是一种不可缺少的信传递工具,然而网络有了开放性、互联性与连接方式的多样性等特点,加上人们容易对其安全防范的疏忽,容易导致计算机网络受到病毒的入侵与黑客的肆意侵害,加上当前网络技术发展的不稳定,让网络信息容易遭受到种种威胁,因此需要我们去考虑计算机网络的安全问题。
一般我们对于计算机网络的安全分成网络安全和信息安全两种类型,网络安全一般包含系统安全,也就是保障硬件平台、操作系统等方面,而信息安全主要指的是电脑数据的安全,里面包括信息数据加密、备份、软件程序等方面等。
2当今计算机网络存在的安全问题
第一,计算机网络协议和软件的安全缺陷问题。
由于在网络中的基础是TCP/IP协议簇,而这种协议簇却只是注重对于效率的提升,却根本没有考虑自身的安全因素,因为这样会增大代码量,进而降低了TCP/IP在运行过程中的效率,因此我们可以说对于TCP/IP的设计上本身就是缺乏安全洗漱的,这就很容易被人们偷听和欺骗:在我们使用网络过程中,许多网上的流量并没有进行加密,一些口令与文件十分容易被人们监听。
这样来说,许多在TCP/IP的基础上进行的应用服务都会有着不同程度的安全问题,这就容易让掌握TCP/IP的人们进行控制。
许多网站的防火墙为了防范而扩大了访问权限,但是却忽略了这种情况下很有可能内部人员进行滥用权,一些黑客能够在服务中获得有用的数据,但是网站的维护人员却不知道怎么去禁止这种服务。
第二,黑客的手段复杂性。
到了之后,我国的网络范围一般都会采用翻新分散式阻断服务(DDOS)攻击方式,这样是依靠网络黄页的系统服务器进行攻击,能够扰乱在线的电子商务。
在网络条件下,一般能够拒绝服务攻击的方式有两种,首先是网络范围分子故意对这种服务和网络系统设备的DDOS攻击方式;其次就是用一些新的病毒进行攻击,例如蠕虫病毒等方式,这样能够让用 户的网络使用流量急剧增长,导致网络开始崩溃或者连接不上网。
通过美国的一项调查,从3月到2月之间,有85%以上的黑客能够凭借用户的资料与数据,在原有的用户身份认证的基础上,仅仅凭借相关的用户身份就能够肆意进入到网络,即使最严密的网络防护系统都难以抵抗。
第三,计算机病毒的侵入。
人们研究的计算机病毒能够专门破坏硬件的工作,有着很高的科技程序,它不能够单独存在,而是依附在其他的程序中。
它有着隐蔽性、潜伏性、传染性与破坏性等特点。
随着网络的飞速发展,世界上的病毒的种类急剧增加,据有关资料调查,全世界有超过20万种病毒的存在,不仅通过软件、硬盘等途径传播,还可以通过网络程序与下载软件等方式传播。
从开始,我国约有75%以上的用户感染了计算机病毒,这容易造成了用户的.系统崩溃与瘫痪,危害十分巨大。
3计算机网络安全的防护措施和有效对策
第一,加强对我国计算机网络信息安全的重视。
首先要从认识上进行加强与防范,我国有关部门已经建立与设置了相关的机构,制定了有关的法规,以便于加强对我国计算机网络安全的管理。
在1月,我国保密局出台了《计算机信息系统国际联网保密管理规定》,并且开始实施。
在同年的3月,我国的国家信息安全测评认证机构正式成立。
在4月份,我国的公安部颁布了《计算机病毒防治管理办法》。
在7月,中国信息产业部开始对网络信息安全成立了应急小组,并且在工作办公室举办了“计算机网络应急工作企业级研讨会”,所有的工作都能够反映出我国已经开始重视起计算机网络信息安全防范,进而推动我国的计算机网络产业发展。
第二,实现安全通信协议和有关标准。
我们在日常的网络安全技术领域中,设置了相应的安全通信协议的标准。
针对这些标准,各个企业能够很快地建立起相应的安全应用系统。
在当前主要有的安全通信协议准则有SSL(TLS)、IPsec和S/MIME SSL等可以对客户的安全标准模式进行保障,SSL(TLS)能够在传输层与应用层之中加入一个子层,为的能够实现在两个程序之中进行安全通讯机制,对网络连接进行保护;IP安全协议(IPsec)主要是能够在网关与网关之间实现安全通信标准,而IPsec能够保护整个网络;对于;S/MIME来说,可以对网络的应用层对网络信息进行安全的防护,一般用于对信息的存储与转发。
虽然这些安全通信协议都会有着相类似的安全服务,但是对于具体的范围还是不同的,因此我们需要在具体防范中去选择。
第三,建立计算机网络安全长效机制的重要手段。
我们需要不断完善法律法规,规范相关的网络秩序,能够对网络空间的需求与原则进行规范,制定以网络基础为秩序的法律框架。
我们还需要在道德层面上让每个网络适用者明确自己的义务,必须要承担起法律准则,并且以相关法律为基础来对多种网络犯罪进程严惩。
第四,设置代理服务器,在上网过程中隐藏自己的IP地址。
在网络浏览过程中,需要保护好自己的IP地址。
一般在计算机上即使安装了木马程序或者流氓软件,但是没有自己的地址,依然难以对计算机实施破坏的,而我们能够保护自己的地址最好的途径就是能够设置代理服务器。
它能够对外部网络申请访问内部网络的过程中起到中间转接作用,就像一个巨大的数据转发器,对于不同客户能够申请访问哪种服务类型的时候,代理服务器能够接受申请,然后对不同类型的服务对象或者申请时间来决定机器是否可以接受这项服务,如果可以接受,就会通过内部网络转发这项请求。
4结束语
网络信息安全代表着国家稳定与社会安宁的重要问题,我们需要认识到网络安全的重要性。
网络信息安全涉及到计算机科学、通讯技术、信息传达等多方面的科学,网络数据一旦遭到破坏,就会泄露了重要信息。
随着网络技术的日益提升,而网络安全的威胁也越来越大,我们需要对网络安全防范意识提升,通过多种安全产品来保障信息安全,从根本上保证我们正常的工作与生活。
参考文献:
[1]董越,孙宏斌,吴文传,等.EMS中公共信息模型导入/导出技术[J].电力系统自动化,(3).
[2]李文武,王先培,孟波,贺鹏.电力行业信息安全体系结构初探[J].中国电力, 2002(5).
[3]胡志奇.高校文件传阅自动化系统研究[J].计算机系统应用,(4).
[4]崔保胜.三层结构的证券公司计算机局域网络设计与实现[J].广西科学院学报,2006(4).
[5]白斌.网络漏洞探测技术分析[J].电脑知识与技术:学术交流,(17).
[6]王先培,李文武,陈春艳,高西.电力系统生产控制网络信息安全研究[J].科技进步与对策,(11).
[7]马东平.信息与网络系统整体安全解决方案[J].信息安全与通信保密,2002(1).
[8]张大兴.网络数据包分析系统的设计[J].计算机工程,2001(10).
[9]董越,孙宏斌,吴文传,张伯明,刘崇茹.EMS中公共信息模型导入/导出技术[J].电力系统自动化,2002(3).
档案信息安全保护研究 篇3
关键词:档案信息;安全;研究
伴随着档案数字化进程中,档案信息的安全威胁是各种各级全方位的。档案安全不仅影响人民的切身利益,同时直接关系到国家安全。在档案数字化过程中应该确保档案信息的准确性和真实性,在档案信息保存过程中需要对储存介质进行保护。黑客非法窃取档案信息严重影响着档案的安全。档案信息安全保护就是确保在档案从形成起始的所有过程的安全。档案数字化给档案管理工作便捷,同时数字档案面临着与传统有别的新型的威胁。本文阐述了影响数字档案信息安全的因素,探究加强档案信息安全的对策。
一、影响数字档案信息安全的因素
(一)储存档案信息的介质本身不安全
储存档案信息的介质一般包括光盘、磁盘等电子载体。储存档案信息的介质寿命远远比不上纸质档案,普通光盘的寿命也就几年。针对储存介质脆弱性,档案工作者不仅要定期对储存介质进行维护还需对档案信息进行备份。
(二)无纸化办公带来的不安全
无纸化办公趋势造成档案信息对计算机系统过度依赖。数字档案的使用离不开电子操作设备。无纸化办公造成档案信息存储形式的单一性是影响档案信息的安全的重要因素之一[1]。
(三)信息共享、网络互联带来的不安全
信息共享、网络互联使任何个人、机构都能在互联网上抓取信息。档案信息信息化之后储存的载体连接在互联网上,因此黑客攻击、网络爬虫等威胁互联网安全的因素严重威胁档案信息的安全。
二、应用技术手段确保档案信息安全
(一)建设安全操作系统
操作系统是网络能够正常工作的重要支撑。操作系统负责文件管理、进程管理、设备分配等基础工作。操作系统的扫描工具时刻检测系统漏洞,能够及时发现问题、防火墙给档案信息增加了一层保护、软件限制策略软件限制策略来限制系统上运行的未授权的可执行程序对档案信息的更改,以防止黑客等不安全人员对机密档案的套取。
(二)设置防火墙
防火墙给档案信息增加了一层保护。在系统的内、外网之间,设置防火墙是保护数字信息安全最主要的措施之一。防火墙的设置可以实现内、外网之间的隔离、控制访问手段和对档案信息的读写方式。防火墙应该可以控制对档案信息的读写方式、过滤流过网络的数据、禁止非法请求、记录信息内容和进程动态、检测网络攻击。
(三)防病毒技术
反病毒技术不仅可以检测网络非法行为还可以主动防御网络病毒的攻击。防毒技术具有查毒功能,可以对客户文件进行扫描,检查潜伏的病毒。同时防毒技术的在线功能可以及时监控网络病毒入侵并报警,网络管理人员将根据报警信息及时作出相应的措施。
(四)加密技术
档案记载着一个人在社会活动中具有一定价值的历史记录,为了保证档案的完整性和真实性,档案在形成之后就是非公开的,除了档案管理机构其他人都没有权利查看档案。采用加密技术可以确保档案信息在数字化储存中不被解密以保证档案信息的非公开性。加密使用的密钥基本决定了加密强度。密钥分为对称密钥与非对称密钥。非对称密钥加密技术具有两个密钥,一个是公钥一个是私钥,公钥是公开的,私钥是非公开的。公共密钥用来进行加密,私钥可以用来解密。发送档案信息时,发送者使用公钥对档案信息进行加密。接收者接受到档案信息时,只有使用密钥才能解密档案信息。秘钥只有接受方才有,因此互联网非法分子很难从截获的加密了的报文中解出完整档案信息,这在档案信息的传输过程中可以有效防止网络爬虫、黑客对档案信息的窃取。
(五)数据备份与恢复技术
储存档案信息的介质具有脆弱性。进行数据备份,备份的数据在数据丢失情况下就可以被恢复。除此之外,还应该增加的数据存储介质的多样性,如使用磁盘、光盘之后可以使用纸质对主要信息再备份。
三、加强档案信息安全保护对策
(一)建立健全档案管理制度
提高档案管理安全认识能有效确保档案信息的安全。档案信息安全的诸多问题根本上是由于档案管理规章制度的不建全。除了建设安全操作统、设置防火墙、防病毒技术、数据备份与恢复技术等应用技术手段之外,建立健全档案信息安全的管理制度也是加强档案信息安全保护有效对策之一。因此,需要完善现行管理制度、监督制度、赏罚制度、权责界定制度和信息网络病毒防范管理制度等相关制度。
(二)完善法规建设,形成规范体系
中国互联网分发展起步比较晚,相关互联网立法不健全,致使非法分子得不到惩治作案成本低造成作案更加猖獗。因此制定有效的档案信息安全法规显得尤为重要。立法部门应该联合档案部门制定出符合中国国情的网络安全法,保障网络信息流通的安全,维护数字档案信息安全[3]。
(三)提高档案管理人员的综合素质
互联网属于新兴行业,中国互联网分发展起步比较晚,因此档案管理人员缺乏信互联网知识、信息安全意识和操作现代化设备的水平。另外,档案工作人员的思想懈怠致使档案管理人员在档案管理过程中粗心大意、缺乏责任意识,因此需要加强档案人员互联网知识培训和思想教育,增强档案人员安全责任意识,提升档案人员的专业技能。
四、结束语
档案安全不仅影响人民的切身利益,同时直接关系到国家安全。信息化时代,档案信息的安全问题显得至关重要。通过笔者分析的研究影响数字档案信息安全的因素,认为为加强档案信息安全保护,我们应该建立健全档案管理制度;完善法规建设,形成规范体系提高档案管理人员的综合素质。笔者研究仓促,如有不足,希望不吝赐教。
参考文献:
[1]王玥.数字档案信息全程安全保护研究[D].黑龙江大学,2013.
[2]罗滦.档案信息“三轴四维能力”安全保障体系研究[D].浙江大学,2013.
[3]丁宜.档案异地备份研究[D].安徽大学,2013.
信息安全研究 篇4
关键词:医院信息系统,安全防范策略,信息安全
医院信息系统包含各个方面的业务,从收费记录、就诊记录、取药记录、化验记录等一系列患者的隐私信息都需要医院信息系统处于绝对安全的环境中。但是,很多医院个人存在越权操作系统等情况,最终导致医院专用网络瘫痪、业务中断、患者信息泄露等事故出现,给医院和患者都带来了不同程度的影响。
一、医院信息系统信息安全威胁
医院信息系统是包含了多个模块、多种角色、多项业务,受到的信息安全威胁复杂多变,主要来自外部和内部两个方面:
内部信息安全威胁包括:医院工作人员将带有病毒的个人计算机与医院专用网络连接时,由于病毒感染导致医院专用网络受到攻击,造成网络瘫痪或者中断发生;医院工作人员使用同一台计算机访问医院专用网络和互联网,当访问互联网时计算机受到病毒感染,并将病毒带入医院专用网络中;医院工作人员利用权限非法访问数据库系统,窃取蕴含巨大价值的数据信息,或者对病人的就医记录进行篡改,最终造成医疗纠纷事件产生。
外部信息安全威胁包括:医院外部人员通过没有进行认证授权的计算机接入医院专用网络,进而发动病毒攻击、窃取数据、篡改信息等;由于医院专用网络需要与医疗保障等网络相连,以保证信息的及时更新和传输,但也会给医院信息系统造成较大安全隐患。
二、医院信息系统信息安全需求
(一)身份认证,访问控制
身份认证策略是根据不同用户的级别、类型、权限等来进行身份的核实,确认用户合法登陆医院信息系统,对于不同的用户可以选择不同的身份认证方法。访问控制策略是在一定的时间、空间限制下,使得具有访问权限的用户在使用范围能够登陆医院信息系统。
(二)信息资源安全保障
医院信息系统中的信息资源有效保护包括硬件保护和软件保护两个方面,硬件方面需要保证医院信息资源置于安全稳定的物理环境中,保证网络设备的电源7×24小时不间断供电,对医院信息系统中的重要设备要做到适当冗余;软件方面要保证医院计算机操作系统和应用程序的可靠稳定。
(三)网络传输安全保障
医院信息系统要能够对专用网络中的数据流进行实时监测,对存在危险的网络行为进行隔离,自动检测网络安全事件,通过对网络故障的及时处理达到降低网络风险,确保网络业务数据信息的稳定与安全。
三、医院信息系统信息安全策略设计
(一)系统物理环境安全策略
1)网络机房安全保障。网络机房是医院信息系统的核心区域,网络机房要根据室内各类设备的要求严格控制工作环境,对网络机房的温度、湿度要格外注意,同时采取必要的智能门禁措施,控制医院工人员的频繁流动,防止外来人员非法进入网络机房,保证电源设备能够不间断稳定供电。2)服务器安全保障。网络服务器是医院信息系统的核心设备,在保证医院系统安全稳定运行中起着关键作用,一旦网络服务器发生故障,会导致大量有价值数据资源的丢失、医院正常业务的终端,严重的甚至出现整个系统全面瘫痪的情况。因此,需要采取合理的冗余设置,采用容错性能良好、自动进行备份的解决方案,还应该采用双服务器保证系统的正常运行,当一个服务器出现故障时,另一个服务器能够迅速投入工作。
(二)身份认证策略
医院信息系统在应用用户名和密码认证身份的同时,还可以将用户计算机的网络地址、MAC地址,与交换机相连接的接口地址等信息进行绑定,以此对接入医院专用网络的用户加以限制。但是由于绑定信息的工作量复杂繁多,操作起来更是比较麻烦,而且用户计算机的网络地址等还存在被非法用户篡改的危险,因此,信息绑定工作需要由医院信息中心部门的专业技术人员来统一完成,通过对安全管理服务器的配置将信息转发给下一层交换机。这样的身份认证测量不但可以保障用户的合法性操作,还能够提高认证用户身份的准确率。此外,还需要对医院计算机终端安装网络管理软件,通过软件系统来判断计算机是否合规,包括检查杀毒软件是否及时更新、系统补丁是否及时安装等,计算机安装的网络管理软件要能够主动收集计算机的操作信息,并将信息传输到服务器来判断该计算机是否具有合法性。
(三)访问控制策略
本文在充分考虑医院信息系统的各类安全威胁的前提下,提出了一套受时间和空间约束的角色访问控制模型,即TLRBAC, TLRBAC的应用能够改善传统基于角色的访问控制模型的缺陷,从而更好地保障医院信息系统的安全稳定运行。
本文设计的TLRBAC的基本思想是:医院信息系统的用户通过专属的角色身份对系统发起访问,访问行为会受到时间和空间的双方面约束,同时还会受到访问控制规则的限制,在访问规则中增加访问行为受到时间和空间约束的具体条件之后,可以对每个访问行为进行全方面控制。
(四)分布式授权策略
设置最高权限管理机构,该机构由医院信息中心负责,信息中心对医院分布式环境下所有信息资源进行统计,确定权限管理策略;再将医院信息系统信息资源的访问权限分配给存在于分布式环境之下的各个授权管理负责人;每层的授权管理负责人通过控制本层的权限策略,将权限再次分配给下属的角色。由此看来,高层权限管理者拥有上策管理策略,各个分布部门的管理者拥有下次管理策略,而上层策略是对下层策略的约束和管理。
四、结语
本文提出了一套应用于医院信息系统的安全管理策略,主要包括物理环境安全管理策略、系统身份认证策略、系统访问控制策略、分布式授权管理策略和入侵检测与服务器联动策略五个部分,该套安全管理策略具对保证医院信息系统的信息安全发挥了重要作用。
参考文献
企业信息安全问题研究论文 篇5
关键词:信息安全论文
【摘要】随着信息化技术的不断发展进步,我国企业信息化建设得到了广阔的发展空间,为提升企业在市场中核心竞争力带来了无限动力。然而,受企业传统经营理念以及信息化技术水平等影响,当前企业信息化建设中存在着诸多信息安全问题,例如信息风险与攻击、网络漏洞以及Web服务安全问题等,给企业持续、健康、稳定发展带来巨大安全隐患。因此,加强企业信息化建设中安全管理势在必行。本文在介绍企业信息化建设的基础上,就当前企业信息化建设中信息安全问题进行了分析,并阐述了其导致因素,着重就如何提升企业信息安全管理提出了相应的对策。
【关键词】企业信息化;信息安全问题;原因;对策
【中图分类号】F270.7【文献标识码】A【文章编号】1006-422201-0247-02
新时期下,信息化技术在各行业中运用日渐深入,给企业现代化建设与快速发展带来了无限动力。企业信息化建设已成为我国经济信息化建设能否成功的关键所在,也是提升企业自身市场竞争力与企业升级进步的重要保证和标志[1]。但是,企业信息化建设过程中不可避免的出现信息安全问题,给企业正常生产经营带来诸多不利影响。因此,加强企业信息化建设中信息安全管理,已成为现代企业经营管理的一个至关重要的工作。
1企业信息化概述
所谓的企业信息化,指的是实现企业的资金流、物流、作业流、信息流的数字化、网络化管理,实行企业运行的自动化和企业制度的现代化[2]。企业信息化建设涉及了企业生产经营中的各个部门,其主要利用现代化信息技术,通过完善企业内外网络信息系统,实现对企业内外知识与信息资源的开发。可见,建设企业信息化体系,不但可以及时有效的提供各种数据信息给企业决策层,也为企业未来规划设计提供参考依据,而且还有利于企业满足瞬息万变的市场需求,为企业市场核心竞争力的提升带来动力。
2当前企业信息化建设中信息安全问题
企业信息化建设与发展为企业持续、健康、稳定发展发挥了显著作用,但同时也存在着诸多信息安全问题,具体分析主要有以下几方面[3]:(1)当前,绝大多数企业缺乏完善的安全防御系统,导致企业内部使用的信息系统易遭受外部网络系统的攻击,引发企业信息资料被他人截获、篡改与伪造等问题,甚至企业信息系统中出现通信线路、硬盘设施以及其他文件系统遭恶意破坏现象,上述问题的发生不但致使企业信息系统无法正常运行,而且其内部机密信息易发生泄漏,造成企业严重的社会经济损失。(2)针对邮件系统攻击防不甚防。在企业信息系统中电子邮件具有重要的作用,通过电子邮件接收与传送,极大的方便了企业内部间与外部间信息交流与沟通。然而,电子邮件安全问题也日益突出,典型的如电子邮件病毒、垃圾邮件、机密信息泄露以及电子邮件炸弹等,给企业信息传输带来了巨大安全隐患。因此,电子邮件安全问题不可忽视。(3)漏洞攻击日益严重。按照漏洞问题发生原因可分为软件漏洞和协议漏洞两种,其中软件漏洞主要是受外部不法分子攻击软件自身存在的`漏洞,造成企业信息泄露等问题;而协议漏洞则主要是由于TCP/IP协议自身在安全机制方面存在的诸多漏洞问题导致,外部不法人员通过攻击TCP/IP协议漏洞,致使企业信息系统遭受破坏。目前情况,很多企业对自身信息系统缺乏成熟的漏洞检测手段和能力,往往事发后才采取补救措施。(4)是Web服务安全问题突出,根据Web服务流程,其发生安全问题的主要组成包括Web服务端安全问题、浏览器客户端安全问题两种。其中,Web服务端安全问题主要是企业Web主机遭受外部不法分子侵入,导致企业保密信息遭窃或者企业部分信息遭受非法篡改等;浏览器客户端安全问题则是企业浏览器客户端遭外部非法分子侵入,致使部分机密信息与数据遭窃等。
3导致企业信息化建设中信息安全问题因素
企业信息化建设中信息安全问题发生受诸多因素影响,具体分析主要有以下几方面[4]:(1)目前,绝大多数企业在信息化建设过程中,对于信息安全问题重视度严重不足。一方面,受传统经营观念影响,企业管理层偏重于对企业生产经营中的有形资产给予关注与重视,而忽略了企业知识与信息资料等无形资源,导致在企业信息安全管理方面各项投入严重不足,进而造成信息安全问题日益凸显;另一方面,多数企业在面对信息安全问题时,存在着盲目乐观现象,认为信息安全问题不至于导致企业正常生产经营,使得信息安全管理无法上升至企业发展规划战略之中,进而造成信息安全问题得不到及时有效解决。(2)由于企业信息化建设在我国尚处于起步阶段,各方面配套管理制度不够完善,特别是缺乏健全的企业信息安全管理体制。受此影响,企业信息化建设中信息安全问题一方面无法得到有效的预防措施,另一方面是一旦发生信息安全问题,无法采取及时有效的补救与解决对策。同时,由于缺乏科学、合理、有效的企业信息安全防护策略,使得企业信息管理人员缺乏必要的安全防护意识与业务素质能力,致使企业信息安全防护软硬件工作质量与效率明显不足。上述两个因素,导致企业无论是从人员配置,还是资金与技术投入方面都严重不足,受企业信息管理人员业务素质能力不足、信息安全技术方法落后以及配套的资金缺乏等影响,企业信息安全防护的措施、手段偏低,造成企业信息化建设存在着严重安全隐患。
4提升企业信息化建设中信息安全对策
针对当前企业信息化建设中存在的信息安全问题,为加强企业信息安全管理,提升企业信息安全保障,可通过采取以下几方面对策,具体有[5]:(1)转变传统企业信息化建设观念,在企业内部管理层从上至下加强对企业信息安全的重视,并树立正确的安全意识。一方面,通过组织各种信息安全管理培训等,增强全体企业员工信息安全意识,确保企业保密信息不外漏;另一方面,逐步加大企业信息化建设中信息安全管理各项资金、技术、人力投入,并建立科学、合理、有效的企业信息安全防护策略,保障企业信息系统安全稳定。
(2)不断的推进网络信息技术的发展与运用,促进企业组织结构网络化的实现,同时引进先进的安全防护技术,确保企业信息化系统安全稳定运行。任何网络信息系统都存在着或大或小的安全漏洞问题,而保证其不受外部不法分子侵入的一个关键方法就是安全防护技术的运用。通过选用先进的安全防护技术,可以有效的提高企业信息系统抵抗外来攻击,避免企业信息遭受窃取、篡改甚至破坏等,对于保障企业持续、健康、稳定发展具有显著作用。
(3)结合企业信息化建设实际情况,建立健全企业内部信息系统管理体制。一方面,针对信息安全问题,应建立科学、合理、规范的信息安全管理体制,保证企业信息系统安全运行;另一方面,建立健全企业安全风险评估机制,针对不同系统找出影响其安全的因素和漏洞,并制定出最佳的对策,降低企业信息安全风险;此外,加强相应的网络管理,防止外来不法分子通过网络侵入企业信息系统。
(4)根据新时期企业信息化建设需要,加强企业信息技术人才、信息管理人才队伍建设,为企业信息安全管理奠定坚实的人才基础。一方面,在企业内部,加强信息技术人才培训,提高企业内部相关人才业务素质能力;另一方面,在企业外部,采取有效措施,积极招聘人才,引进具有先进信息技术型人才;此外,建立健全企业信息安全管理用人机制,激发员工工作积极性,提高工作质量与效率。
5小结
总而言之,企业信息安全事关企业信息化建设是否成功,对于企业持续、健康、稳定发展具有至关重要的作用。因此,应提高企业信息安全管理意识,增强企业信息安全管理机制,促进企业信息安全管理工作质量与效率,保障企业信息化建设顺利开展。
参考文献
[1]毛志勇.企业信息化建设的信息安全形势与对策研究[J].科技与产业,,8,(1):43~45.
[2]纂振法,徐福缘.浅析企业信息化建设的意义、问题与对策[J].吉林省经济管理干部学院学报,,3:24~28.
[3]谢志宏.企业信息化建设中的信息安全问题研究[J].企业导报,(06):132~133.
[4]秦海峰.企业信息化建设中信息安全问题的分析研究[J].中国信息界,(05):61~62.
企业邮箱的信息安全研究 篇6
关键词 企业 企业邮箱 信息安全
中图分类号:TP3 文献标识码:A
0前言
现在提供企业邮箱服务的IT厂商很多,无论是产品本身功能,还是产品品质也是鱼龙混杂,对于企业用户而言,选择一款安全稳定又功能全面的企业邮件产品,是企业IT人员所面临的重要工作内容,好的企业邮箱产品能为企业信息安全管理和稳定发展起到巨大的辅助与推动作用。
1企业邮箱的定义与功能
(1)企业邮箱的定义
企业邮箱是根据不同企业的对于电子邮箱的不同需求,而具有真对性性地为企业级用户量身打造的电子邮件服务,除了区别于个人邮箱的一些普通收发邮件服务以外,它还有以下一些典型的特性:可管理性、可监控性、企业域名支持工功能、企业地址本服务功能、内部邮件群发与文件共享功能等。
(2)企业邮箱的各项功能
近年来,各大网络运营商对于企业邮箱的研发和应用,为各大企业对于邮箱的应用提供了多种选择,多种企业邮箱模式层出不穷,邮箱的应用功能也十分广泛,为使用者提供了多种便利,企业对邮箱的大量需求也促进了企业邮箱的发展速度。
虽然我国企业邮箱的应用起步比较迟,但是我国大量的企业和人员需求,为企业邮箱提供了巨大的市场,而且企业邮箱的诸多强大的功能,使企业可以通过企业邮箱对企业内部员工和信息进行有效的自主管理,对于邮箱的个数和功能可以自由增减,并且企业邮箱由于其功能强大而多样化,邮箱储存空间的容量更大,这也极大程度的提高了邮箱在运行过程中的稳定性。除此以外,企业邮箱强大的反病毒功能和高效的传播效率,以及内部管理权限的设置和群发功能等等,都给企业邮箱的使用者提供了大量的应用空间,从而提高工作效率,保障公司内部信息数据的安全有效管理。
2企业邮箱的信息安全研究
(1)企业邮箱在网络信息安全系统中的需求
由于高科技信息技术的不断完善,企业在信息安全管理方面存在的隐患也在不断增加,企业在传输过程中,由于信息数据和传播渠道得不到良好的保护,导致企业信息流失率居高不下,企业信息安全面临严重威胁,从而影响企业的正常运行和员工利益保障的缺失。
从企业邮箱各项基本特征和功能上来看,企业邮箱可以有效提高信息安全管理的效率,并且完善企业网络信息安全体系,企业邮箱可以针对当前较严重的信息遗失和窃取问题加以有效防范。员工在离开公司的同时,其企业邮箱的账号也将自动收回,而且员工在应用企业邮箱时使用的是公司统一的密码,该密码规企业管理者所有,其他人无法擅自更改和使用,这样避免了企业员工在流动过程中造成不必要的信息安全隐患。
(2)企业邮箱在信息安全中的重要作用
公司的任何一种办公模式都离不开网络邮件的帮助,邮件是公司领导和与员工以及员工之间沟通的方便而快捷的渠道,网路邮件不仅具有时效性,其安全性能也很强,在传输过程中,可以避免信息的延迟传达和信息丢失等现象的发生,因此,企业的发展过程中,尤其是信息安全系统的建设中,企业邮箱的应用是至关重要的。企业邮箱与原有的外租邮箱相比,除了对于租金的节约以外,更有利于提高企业的管理效率和企业的安全运行。
企业邮箱在信息安全中的重要作用具体体现在以下几个方面:首先,企业邮箱可以将内部网络与外部网络之间的信息进行有效隔离,企业管理层可以查看企业外部相关信息,但是公司外部网路无法对公司内部的信息加以获取和查看,从而加强对内部信息的保护;第二,邮箱可以更为快速的对信息安全系统中的信息加以获取和传输,员工在邮箱中下载相应资料的速度也十分迅速,从而大大提高了员工的工作效率;第三,邮箱可以为内部员工提供公用的的地址簿,用户可以在公共地址簿上有效查询各种信息,并对信息进行加密保护,提高邮箱的应用效率;第四,企业邮箱在注册方式和注册渠道上都具有高保密性,用户注册的过程实现全程的加密保护,用户可以放心的用自己的真实姓名加以注册,以保证注册登记人员的安全性,使管理员实现对信息安全网络的全面控制,有效防止不法分子以匿名的形式侵入公司网络内部窃取相关信息,从而避免公司不必要的损失;第五,在企业邮箱上,管理者可以随时随地登陆邮箱,对邮箱内部信息加以修改和管理,促进其管理工作的高效进行。第六,企业邮箱在运行过程中稳定性很强,在对于邮件和各种文件的传输上面,都能做到信息的高度保密和全面有效的传输。
3结论
企业邮箱在近年来的发展逐渐趋于成熟,各大运营商也都将企业邮箱的各项功能予以合理的完善,企业对于企业邮箱的有效运用,不但可以树立和完善良好的公司形象,增强企业内部信息的安全性,更能促进企业有效地进行自我管理和完善,从而促进公司持续稳定发展。
参考文献
[1] 陈力,刘伯鹏,梁峥,等.运营商企业邮箱产品如何脱颖而出[J].通信企业管理,2013,01(16):36-38.
[2] 汪余宏.企业邮箱构建的新背景与MDaemon应用实践[J].计算机时代,2012,05(17):67-70.
信息安全管理研究 篇7
关键词:信息安全管理,手段,方法
在互联网时代, 可以说信息化是时代发展的必然结果。信息化给人们生活带来方便的同时也带来了信息安全问题, 许多国家军事机密和商业机密都与信息安全有关, 一旦这些信息受到安全威胁, 就会给国家、企业和人民带来巨大损失。因此我们说信息化有利有弊, 但是信息安全的弊端可以通过信息技术、安全管理得以解决。所以为了解决信息安全问题的弊端, 人们开始实行信息安全管理, 并且建立了信息安全管理系统。信息安全管理系统是通过国家制定的相关法律、信息技术人员对信息的安全维护以及信息安全管理手段组成的。现今, 信息安全事件连续不断的出现, 使得信息安全管理开始受到人们的重视, 特别是管理者开始意识到了信息安全管理中存在的问题以及信息安全管理的重要性。所以通过本文对信息安全管理相关问题的介绍和分析, 人们就可以了解到信息安全管理是当今不可忽视的话题。
1 信息安全管理的方法和手段
信息安全管理的方法可以说是信息安全管理的理论基础, 信息安全管理的手段是对信息安全管理方法的落实, 方法和手段是信息安全管理不可或缺的两件法宝。在信息安全管理中, 为了达到信息安全管理的目的, 让信息安全管理工作能够有序开展而采用的手段, 这就是信息安全管理的方法。信息安全管理方法的系统是通过国家法律实行信息安全行政管理的方法结合经济方面和宣传方面的信息安全管理方法形成的。
通过国家法律实行信息安全管理的方法是指信息管理者在国家规定的法律范畴内, 采取行政手段对信息安全实行有效管理, 并且信息管理者在信息安全管理中具有法律依据和执法能力。同时, 这种信息安全管理方法在各级信息管理部门中同样适用。
经济方面和宣传方面的信息安全管理方法其实指的是在社会经济发展中, 多注重涉及信息安全基础设施的投资与建设, 注重信息安全方面的专业技术人才和信息安全管理方面的专业人才的培养。由于大多数人对信息安全意识淡薄, 这就导致了人们信息存在安全隐患, 所以需要加强对人们的信息安全宣传教育, 通过宣传和教育让人们体会到信息安全的重要性。这就是在经济方面和宣传方面实行信息安全管理的方法。
信息安全管理的手段主要是对信息安全管理的方法实践, 它可分为两种手段, 第一种是专业技术人员对信息的管理手段, 第二种是具有执法能力的行政人员对与信息安全有关的人员管理。第一种信息安全管理手段是将自动进行信息资源安全管理的系统实行专业技术人员管理, 对保密性高的信息资源采用密钥逐层安全管理, 这样就可以保证信息资源在网络中的安全。第二种信息安全管理手段是相对于信息安全管理中的各层人员而言的, 它主要是发挥信息安全管理方案的执行力和信息安全人事管理的职能。在制定的信息安全管理方案中, 信息安全管理人员根据管理方案中的要求, 履行各自的职责。信息安全人事管理主要是对信息安全管理中各层人员进行任用、监督和调动, 因为信息安全管理人员在信息安全的保密方面有着重要作用, 所以必须实行信息安全管理人员的人事管理。
2 信息安全管理的内容
信息安全管理的内容包括四个:第一个是关于信息设施的安全管理;第二个是关于信息安全的管理;第三个是关于信息安全管理运行的安全管理;最后一个是关于信息安全的风险管理。这四个信息安全管理所涉及的管理不仅是信息管理的全部内容, 而且还是应对信息安全问题的管理措施。
信息设施的安全管理主要分为三个方面:一是对于网络的安全管理;二是对于保密设备的安全管理;三是对于硬件设备和场地设备的安全管理。网络的安全管理指的是高自动化下信息安全管理系统和网络运行安全管理系统的总和, 而且它涵盖的安全管理非常多。保密设备与硬件设备和场地设备息息相关。由于保密设备隐藏在硬件设备和场地设备中, 所以必须做好硬件设备和场地设备的防破坏、防盗窃的安全管理工作。
信息的安全管理主要分为四个方面:一是对于软件的安全管理;二是关于技术性文档的安全管理;三是对于存储设备的安全管理;四是对于上述提到的密钥进行安全管理。软件设施的安全管理包括对操作系统安全等级的提高, 对数据库系统的加密处理, 以及网络协议、应用软件和管理软件的安全管理。因为技术性文档里面主要有信息安全管理的核心机密不能被泄露, 所以就需要密钥层层加密管理。由于存储设备的多样化, 不同的存储设备所需要的安全管理要求不同, 所以就导致了存储设备安全管理要求也多样化。密钥管理就是对密钥的开发过程, 使用过程进行安全管理。
信息安全管理中运行的安全管理主要分为两个方面, 一个是对在信息安全管理运行过程中出现的安全问题进行安全审计, 另一个是对信息安全管理运行中出现的故障进行安全恢复。安全审计就是对信息安全管理中出现的问题进行统计, 并对存在的问题及时处理, 同时安全审计可以分为人工安全审计和自动安全审计。安全恢复是在信息安全管理中出现故障或是受到破坏时, 对故障或破坏进行系统自动恢复, 并且会对系统进行安全维护。
信息安全管理中的风险管理指的是, 在信息资源遇到安全风险时, 风险管理就会对风险进行评估, 如果风险较大就需要进行风险控制将风险降低, 使信息安全管理者可以将风险及时化解, 从而保证信息资源的安全。
3 结语
通过上述介绍, 人们可以了解到信息安全管理的方法、手段和内容, 同时人们也会加强信息安全管理意识。总之, 信息安全管理不仅需要信息技术专业人才, 而且还需要信息安全管理人员对信息安全进行管理。可见, 信息安全管理是当今不可忽视的话题。
参考文献
[1]谢宗晓, 林润辉, 王兴起, 等.用户参与对信息安全管理有效性的影响——多重中介方法[J].管理科学, 2013, 26 (3) :65-76.
[2]单磊敬, 郭晗, 刘继良, 等.信息安全管理工具包的设计与应用[J].医疗卫生装备, 2013, 34 (2) :50-52, 81.
电网信息安全技术研究 篇8
关键词:信息安全运营中心,数据日志,风险评估
1 前 言
随着电力企业信息化建设, 信息系统数量快性增长, 需要建设统一的安全运行管理中心 (英文简称SOC) , 落实电网信息安全管理体系架构, 完善云南电网的安全管理体系、技术体系、安全运维体系, 整合现有的安全系统, 发挥安全系统协同效应, 有效化解安全风险, 提高对于安全威胁的精确检测能力和一体化响应能力, 实现安全形势全局分析、动态监控和快速响应, 通过对安全风险的监控与统计, 为以后安全技术体系的完善提供建设分析依据。
2 SOC的内涵
SOC是将不同位置、不同资产中分散且海量的安全信息进行范式化、汇总、过滤和关联分析, 形成基于资产/域的统一等级的威胁与风险管理, 并依托安全知识库和工作流程驱动对威胁与风险进行响应和处理, 提供了网络架构的安全统一视点。SOC是一个能够将整体的安全组织、安全策略、安全技术、安全风险、安全事件、安全操作等统一的管理并保证其运转有效的一个平台, 包含以下三方面的内容:
1) 安全人员:人是信息系统的主体, 是信息系统的拥有者、管理者和使用者, 是信息保障体系的核心。在信息安全运营中心里, 信息安全运营中心的安全运维人员包括日常运维小组、应急响应小组和安全专家等三个主要组成。
2) 运维流程:IT服务管理是以流程和服务为中心的IT管理方法。IT服务管理中的两个核心要素就是质量和流程。 从定义上来讲, 流程是指按照一个既定的目标组织起来的一组逻辑上相关的活动, 流程管理的目标就是要通过规划和控制从而确保流程是有效的和有效率的。安全运维流程包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流程等一系列的管理流程, 是决定着信息安全运营中心服务质量的关键, 也是信息安全运营中心成功运行的关键。
3) 技术平台, 信息安全运营中心的技术平台则体现为一种集中的安全管理形式, 它能够将众多的安全设备、安全技术集中管理起来, 能够对安全设备及应用系统的日志进行集中管理、分析, 为系统的安全状态监控、故障快速定位、事件关联分析、系统分析报表等提供技术基础平台支持。信息安全运营中心技术平台的关键是事件收集机制、事件关联机制及与运维流程进行有效结合的实现。
3 SOC的功能
1) 安全策略管理功能:
实现企业安全策略的导入、存储、修订以及安全策略的集中管理, 在功能模块中可以对安全策略进行统计、进行定时发布及符合和性检查等功能。
2) 安全事件管理功能:
通过采集、过滤、汇集、关联分析等手段缩减甄别信息系统中可能产生安全事故信息, 并对安全事件进行分类, 优先呈现和处理严重性级别较高的安全事件。
3) 安全预警管理功能:
主要是接收来自第三方和上级主管单位提供的安全预警信息, 预警模块与安全对象管理模块关联后, 将预警信息转发给相应安全对象的管理责任人。
4) 安全对象风险管理功能:
是指一个有效的风险管理平台, 它能够对组织根据组织资产、威胁及系统的安全弱点等对组织的安全风险进行统一的管理, 包括风险的评估、风险的分级以及风险管理的措施等。
5) 流程管理功能:
对服务流程的控制。安全运维流程通常包括安全事件处理流程、安全故障定位流程、应急响应流程、日常操作流利等, 这些操作流程和制度是整体安全策略的组成部分, 通过信息安全运营中心的平台。
6) 安全知识管理功能:
主要体现在组织的安全知识库建设方面。信息安全运营中心的安全知识管理能够记录安全事件处理过程、处理方法等, 同时能够提供日常安全基础知识、安全漏洞信息、安全技术发展等, 形成组织内统一的安全知识管理平台。
4 电网SOC建设实例
4.1 电网SOC构架
SOC的实施建设, 从人员、管理和技术等方面都是一个非常复杂的体系, 这个体系从多个方面将上述内容整合在一起, 提供一个有效的的管理方式, 从而提高安全运维的效率。
某电网SOC构架分四层, 分别是目标日志源层、数据采集器层、管理服务器层和风险展现层。信息安全事件依次从目标日志源层、数据采集器层、管理服务器层过滤、归并、关联分析处理最后在风险展现层对全网业务系统进行风险评估, 展现出全网信息安全风险情况, 见图1。
1) 目标日志源层的主要对象是向SOC提供原始日志的应用系统、设备, 应用系统、设备将系统自身的日志发送到SOC数据采集器, 或者允许SOC数据采集器访问其日志存储位置, 提取相应的日志。
2) 数据采集器层主要包含代理和数据采集器, 采集器是SOC的收集模块。由于大多数系统的日志均拥有特定的格式和内容, 所以为了能够精确匹配目标日志, SOC针对特定的系统提供特定的采集器进行日志收集。代理为采集器提供运行环境, 并将采集器收集到的日志发送给管理服务器进行关联分析。一个代理可以对应多个采集器。
3) 服务器层的主要对象是两台管理服务器, 一台负责接收来自代理的事件日志, 进行标准化, 然后在指定的SAN空间存储详细日志, 同时转发一份日志到另外一台。另外一台管理服务器主要有安全知识库和全球安全风险预警, 它还将对转发来的事件日志执行关联分析、资产统计、概要提取等应用处理过程, 并将相应的处理结果记录在后台的数据库中。
4) 风险展现层主要对关联分析的数据进行风险分析和风险评估后, 展现全网的信息安全风险情况。
4.2 电网SOC功能实现
从图1可知, 电网SOC包含以下功能:
1) 资产信息管理对多种不同类型的设备集中化管理。首先把企业、机构中的信息资产进行分类, 然后根据资产价值评估策略对每个资产符予价值。从资产信息管理中可以知道资产的活跃状态, 资产在近期发生的安全事件, 以及资产安全事件相关性。
2) 管理服务器负责实时监控网络的安全事件。通过事件安全监控模块监控网络各个网络设备、主机应用系统等日志信息, 以及安全产品的安全事件日志信息等, 及时发现正在和已经发生的安全事件, 协助进行安全决策, 确保网络和业务系统的安全、可靠运行。这部分功能主要是在管理服务器中实现。
3) 通过提取漏洞扫描工具的数据, 可以收集到整个网络中各设备漏洞扫描情况, 对收集的数据信息进行的范式化处理和分析, 就可以获得设备的脆弱性, 并向管理人员提供脆弱性信息提供查询和展现功能, 使得管理人员可以清楚的掌握设备安全健康状况。
4) 数据采集器日志的过滤归并是对格式化过的安全事件进行过滤, 把冗余的、关联度不高的、错误的等安全事件过滤掉。
5) 管理服务器应用基于规则的关联分析, 对采集的安全事件进行格式化处理、重定义, 能够以集中地、统一的格式显示搜集上来的安全事件, 使安全管理人员和系统管理人员能及时、全面地了解和识别出信息系统中存在的安全威胁和异常事件。
6) 管理服务器综合关联分析完成各种安全关联分析功能, 关联分析能够将原始的设备报警进一步规范化并归纳为典型安全事件类别, 从而协助使用者更快速地识别当前威胁的性质。
7) 风险展现通过对设备的发生的事故、设备的脆弱性和设备价值做关联分析可以评估出设备风险情况, 同样也可以评估出业务系统风险。
8) 管理服务器的安全信息管理功能主要是提供一个信息管理中心, 将安全管理信息收集起来, 形成统一的安全共享知识库, 完成安全信息管理, 主要包括安全事件库、设备原始事件库、安全案例库、安全公告、处置预案库、CVE和安全链接等栏目的信息发布管理和浏览。目的是方便管理员进行信息管理和进行信息查询与浏览。
9) 信息安全知识库管理模块主要是第三方的提供的知识库, 知识库和相关的事件相关联, 在查看事件时就可以知道事件的原因和事件的处理方法。
10) 安全响应管理功能作为SOC的一部分, 与其它功能间有着丰富的数据交互, 通过与事件/业务监控、关联分析、全球性的安全预警等功能的接口, 接收这些功能模块产生的预警信息, 启动安全响应处理流程处理预警通知。
5 结束语
综上所述, 电网SOC能够将不同空间、不同资产中分散的设备日志进行范式化、汇总、过滤和关联分析, 并对威胁与风险进行响应和处理, 提供核心业务的风险评估情况, 保证电力信息安全运行。
参考文献
网络信息安全问题的研究 篇9
1、网络发展迅速, 网民规模迅速增加。
中国互联网络信息中心 (CNNIC) 发布报告称, 截至2013年6月底, 我国网民规模达5.91亿, 较2012年底增加2656万人。互联网普及率为44.1%, 较2012年底提升了2.0个百分点。截至2013年6月底, 我国手机网民规模达4.64亿, 较2012年底增加4379万人, 网民中使用手机上网的人群占比提升至78.5%。手机作为第一上网终端的地位更加稳固。
2、手机上网用户面临的威胁逐步加大。
2013年上半年, 360互联网安全中心截获新增手机木马、恶意软件及恶意广告插件451, 298款, 平均每天新增2500余款恶意软件, 感染总量超过4.8亿人次, 接近2012年一整年的感染量。
资费消耗仍是两大平台手机恶意软件的主要危害, 手机感染这类恶意软件后, 在后台偷偷下载各类推广应用, 严重消耗大量流量、电量。2013年上半年, 360互联网安全中心共截获新增215, 602款恶意广告插件, 感染用户429, 069, 563人次。在手机恶意软件的传播途径中, 第三方应用商店、手机论坛等下载渠道占比62%, 其次为手机ROM中内置占比22%。二维码、短网址紧随其后, 占9%。
二、对个人用户及单位信息安全的建议
1、提高领导干部的安全意识, 增强对网络虚假信息的应对能力
首先是要提高领导干部的信息安全意识, 因为我国的信息化建设道路基本上是至上而下发展的。要提高信息安全意识, 各级领导干部的信息安全素质尤为重要。只有领导提高信息安全意识, 才能认真抓信息安全工作, 严格落实各种法规和制度, 严密组织实施信息安全检查, 信息安全工作才能有成效、搞得好。更重要的是, 各级领导干部既是产生、传递、利用和贮存敏感信息的主体, 也是窃取敏感信息的主攻目标。如果保护不当, 带来的后果是非常严重的。
互联网上散布的虚假信息、有害信息对社会管理秩序造成的危害, 要比现实社会中一个造谣要大的多。近几年我们经历或闻听的抢购食盐、山西地震、保定非典、北京部队进京等等事件, 考验着领导干部处理网络谣言的能力, 要第一时间、第一角度对谣言进行揭穿, 防止谣言发酵形成强大的舆论, 造成社会秩序的短时间动荡, 维护社会稳定。据笔者调查, 辽宁省盘锦市根据省委2010年12月文件精神, 近40家与百姓生活的政府部门开通了政务微博, 在群众关心的热点问题中发出自己的声音, 向社会传递正能量, 并且取得了很好的社会效益。
2、手机安全的防护:
市场销售智能手机各类越来越多, 山寨机也是层出不穷。手机的安全保密问题, 直接关系到国家、企业根本利益, 必须加强防范, 严防泄密问题发生。为了个人信息的安全, 在使用手机上网时, 我们必须做到以下几点:
(1) 遵章守纪
对要害部位人员进行手机安全保密常识教育和保密法规制度教育, 增强保密意识, 提高遵章守纪的自觉性、主动性, 做到不在手机中谈论秘密和敏感事项, 不在手机中存储涉密数据, 不将手机带入重要涉密场所, 不使用手机拍照、摄录涉密内容, 不使用他人赠予的手机, 不将手机连接涉密计算机等。
(2) 严防病毒
养成良好的上网习惯, 避免浏览不正规网站和下载软件;坚持在正规的通信运营商处维修、维护手机, 防止被植入病毒木马程序。一定要通过正规的互联网网站或者手机网站下载软件。在不使用时, 请关闭手机的蓝牙功能, 不要随意接收陌生人发来的蓝牙附件。接收蓝牙传送的文件时要特别谨慎, 以免收到病毒文件。接收手机短信彩信, 请不要随意打开其中的未知链接, 防止联入“陷阱”网站。在手机中, 一定要安装可靠的安全防护软件, 并要定时进行病毒库更新, 保障手机的日常运行安全顺畅。
(3) 技术防范
一是在重要涉密场所安装覆盖3G频段的手机信号干扰器或采取电磁屏蔽措施, 切断手机与外界交换信息的途径。二是配置门禁检测系统, 防止将手机带入涉密场所违规使用。三是模拟基站发出通联信号, 诱使手机应答, 发现、定位已带入重要涉密场所的手机, 防止发生失泄密问题。
3、加强用户账号的安全
用户账号的涉及面很广, 包括系统登录账号和电子邮件账号、网上银行账号等应用账号, 而获取合法的账号和密码是黑客攻击网络系统最常用的方法。首先是对系统登录账号设置复杂的密码;其次是尽量不要设置相同或者相似的账号, 尽量采用数字与字母、特殊符号的组合的方式设置账号和密码, 并且要尽量设置长密码并定期更换。其中密码问题是最头疼的, 下面提到几种最危险的密码, 请千万不要使用。1) 密码和用户名相同。如:用户名和密码都是dangxiao00001。2) 密码为用户名中的某几个邻近的数字或字母。如:用户名为dangxiao001, 密码为dangxiao或001。3) 密码为连续或相同的数字。如123456789、1111111等。4) 密码为连续或相同的数字。如abcdefg、jjjjjjj等。5) 将用户名颠倒或加前后缀作为密码。如用户名为dangxiao, 密码为dangxiao123、aaadangxiao等。6) 使用8位以下的数字作为密码。使用5位以下的小写字母加数字作为口令。
4、安装防火墙和杀毒软件
使用防火墙对两个或多个网络之间传输的数据包按照一定的安全策略来实施检查, 以确定网络之间的通信是否被允许, 并监视网络运行状态。这样就能最大限度的过滤病毒, 提升网络安全系数。
物联网信息安全策略研究 篇10
近几年, 随着物联网技术在各个国家受到重视并蓬勃发展, 物联网中存在的信息安全问题越来越受到关注。物联网是以互联网为建设基础的, 那么互联网中遇到的安全问题都会出现在物联网中, 与此同时物联网的端系统与应用也会遭到攻击, 因此物联网面临的安全威胁比互联网要多很多。
1 物联网安全的相关技术特点
物联网安全的相关技术特点主要有可跟踪性、可监控性和可连接性。可跟踪性是可以采用电子标签和射频识别技术准确定位货物, 并能快速读取所需信息。可监控性是物联网可以对很多物品进行监控, 例如可以对人体的各种状况进行监控, 使医生随时了解病人的病情。可连接性是物联网技术与移动通讯技术相结合以实现有效控制。例如在超市的食品包装上侵入微型感应器, 顾客采用手机扫描就能查看食品的出产时间, 是否绿色安全。
2 物联网面临的信息安全威胁
(1) 感知节点的本地安全。物联网为了减少人力消耗大多用来做一些远程操控, 机械设备基本上是无人看管, 攻击者很容易接近控制设备, 对嵌入式传感器节点进行破坏[2]。更甚者攻击者可以更换设备的软硬件实现对它们的非法操控。目前有很多石油企业采用物联网技术远程操控石油转输设备, 攻击者可以轻易干扰传感器甚至篡改重要参数, 那么后果将非常严重。
(2) 感知节点资源受限, 资源容易被耗尽。物联网应用中通常要布置很多传感器, 而传感器体积小, 能量低, 存储能力有限, 无法设计复杂的安全协议, 导致感知节点不能得到有效保护。攻击者可以利用这个弱点通过不断发送通信的方式使感知节点的能量资源耗尽。例如攻击者可以采用错包重传机制, 使节点重复收到数据包, 由于其资源有限性最终使节点资源耗尽。
(3) RFID (无线射频技术) 的安全问题。RFID是一种非接触式的自动识别技术, 是物联网应用中的关键技术之一。RFID技术主要是电磁波在由标签和读写器之间通信实现的, 这种非接触式的无线通信存在严重的安全隐患。由于RFID标识缺乏自身保证安全的能力, 非法用户可以通过自制读写器与RFID表示通信, 造成RFID标识中的数据被轻易获取或篡改[3]。RFID采用的是无线通信信道, 那么攻击者可以通过发射干扰信号使读写器无法接收正常的标签数据, 造成通信拒绝服务。例如现在汽车自动上锁系统, 攻击者可以通过干扰信号使得上锁系统没有正常工作, 让车主以为锁好了, 从而很容易的实施犯罪。RFID读写器要与主机通信, 那么其本身也可以成为攻击的对象。因此, RFID本身存在很多安全问题, 影响了物联网的应用。
3 物联网信息安全防范措施
目前我国在大力发展物联网技术, 也逐步将其应用于各个行业, 面临物联网存在的多种威胁, 采取有效的防范措施很有必要。我们可以从以下几方面给出安全防范措施。
(1) 通过数据加密增强传输级安全。数据加密技术可以有效保障信息在传输中的安全性。加密不仅能阻止攻击者对传输信息的破译, 还能有效减少传输信息被窃听的风险。传输信息加密需要一个灵活的密钥交换管理方案, 它不仅能适合感知节点资源有限性的特点, 还必须保证某些节点的被操纵不会影响到整个网络的安全性。目前可以采用的加密方式有两种分别是节点到节点、端到端。节点到节点的加密在每个节点上实现密文转换, 实现统一平台上对不同业务的安全管理;端到端的加密只能在接收端解密, 为安全级别较高的企业服务。
(2) 加强认证与访问控制。由于感知节点容易被物理操纵, 因此必须对节点的合法性进行认证。我们可以通过用户身份认证、更新和加密口令、设置文件访问权限、控制设备配置权限等方式进行多等级认证。对于节点的认证, 可以通过节点与节点之间或者节点与网络之间的认证来确认其是否合法, 还可以设计新的密钥协商方案来确保小部分节点被操纵后不会使攻击者推导出其他节点密钥。物联网中的访问机制比传统网络复杂很多, 因为它涉及到人与物、物与物间的通信。目前网络中比较流行的访问控制机制是基于角色的, 但是因为使用的传感器节点种类繁多, 无法对节点角色一一定位, 所以实际使用中显得不够灵活。我们急需寻找新的访问控制机制来解决这个问题, 以实现有效的访问控制。
(3) 采用新的物理安全技术。物联网节点可以采用如阻塞标签、静电屏蔽、Kill命令机制和选择性锁定等物理方法实现其安全性能。阻塞标签能够中断读写器与制定标签的通信, 还能模拟多种标签, 使消费者有选择的中断读写器与标签之间的通信。为了避免标签在不必要的情况下被阅读, 静电屏蔽技术可以将标签屏蔽[4]。Kill命令机制使标签无法被跟踪和读取, 其实也是对标签的一种禁用机制, 但是与静电屏蔽不同的是, 这种方式是不可恢复的。选择性锁定方法能够阻止非授权的阅读器获取某个标签子集。这些物理技术使物联网节点的安全性得到了基本保障。
(4) 完善法律机制, 保护个人隐私。目前我国还没有完善的物联网隐私保护方面的法律、法规。随着物联网技术的不断应用, 对物品的实时定位与跟踪, 个人隐私遭到威胁。因此, 有必要对物联网应用引发的隐私问题做深入研究并制定相应的法律法规, 以确保个人隐私安全。制定的法律应确保用户知晓哪些信息在被收集, 什么时候为什么要收集这些信息, 这样做是否侵犯到个人隐私, 还有一旦侵犯了个人隐私过错方应当承担怎样的法律责任。同时我们要通过各种宣传途径提醒广大的互联网用户如何保护个人隐私以及增强防范意识。
4 结语
物联网是公认的第三次信息产业浪潮, 它的发展将涉及到我们社会生活的各个领域, 物联网的安全将直接影响我们的生活, 我们要在发展物联网的同时做好安全措施方面的建设, 使其平稳持续的发挥作用。
摘要:近年来物联网广泛应用与各个领域, 极大的改变了人们的生产、生活方式, 但由此带来的安全问题也日益凸显。本文探讨了物联网面临的信息安全威胁, 并提出了有效的安全防范措施。
关键词:物联网,RFID,数据加密
参考文献
[1]吴功宜.智慧的物联网:感知中国和世界的技术[M].北京:机械工业出版社.2010:238~242.
[2]胡向东.物联网研究与发展综述[J].数字通信.2010 (2) :17~21.
[3]欧阳常青, 黄生叶, 刘完芳.低成本RFID安全问题综述[J].网络安全技术与应用, 2007 (10) :45~46.
全民信息安全教育改革研究 篇11
关键词:信息安全教育;法律法规;伦理道德;防范技术;教育管理
【中图分类号】TP309
1.信息安全教育改革的必要性
习近平主席指出,“网络和信息安全牵涉到国家安全和社会稳定,是我们面临的新的综合性挑战。”网络和信息安全已经成为国家安全的重要内容,形成以网络和信息安全为核心的国家安全观,推动网络和信息安全全民教育计划是提升国家网络和信息安全综合实力的有效途径。另外,我国的教育创新已经不再是以往单一的行业、单一的高校或者是单一的学科进行的封闭式发展,而是要加强各方面的结合,实现根本的创新。开展信息安全教育,提高全民信息安全意识和技能是形势发展所需。
2. 信息安全教育改革措施
2.1教育对象变革
传统的教育中,一般以高校信息安全专业学生为对象,但随着互联网的普遍,现在中小学生、任何行业人员都在用电脑、手机上网,中国网民增长速率块,但普遍缺乏安全意识。一是个人隐私泄露。当很多人沉浸于微博、微信、二维码扫描時,殊不知已有病毒嵌入系统,进行个人隐私的窥探,甚至会造成国家涉密内容的泄露。二是社会公众对信息安全的法律不了解。如个人在网络上的言论不能违反国家的相关法律,公众在网络上的信息发布与传播必须承担相应的责任。三是需要强化社会公众的网络道德,提倡道德自律,自觉抵制色情、暴力等不健康的网络内容。我国需要出符合国情的信息安全教育措施。此外,信息安全教育是针对全民的。从个人来讲,个人隐私泄露会造成个人经济损失、安全隐患。而从行业来讲,各行各业的经费管理、生产、销售、研究等都会涉及内部技术,需要工作人员高度的保密意识和技术,如果信息泄露,会对企业、对政府乃至国家带来不安。因此,国家有必要有序推动全民的信息安全教育。
2.2教育方式变革
目前采用最多的教育方式是课堂式教学,主要是针对各类院校、研究所进行信息安全理论人才培训,部分中小学也将信息安全引入课堂教学内容。但课堂式教学一般注重讲理论,只有极少数的专业培训学校具备操作演练,大多数学校缺乏操作实践环境;另一方面,即使理解并认识到安全隐患,了解了防范手段,但很多人在实际生活中无法做到。
因此,对教育方式进行改革很有必要,要针对不同类别的人员,采取不同的教育方式。
第一课堂是主要的培训方式。在课堂式教学中,教员应该充分发挥学生的主体作用,以问题为中心,坚持理论与实践结合,根据实际情况增加情景化、实战化的训练。在实验教学中,应该精选实验内容,让学生自己动手,教员启发诱导,并巡回指导。针对较复杂的实验,可以安排小组教学,让学生合作,共同解决问题。
第二应该增加一些非学历教育的培训班,并按层次开展培训,针对不同层次的学生,开展不同的教学内容,并采取不同的教学方式。各行各业都需要信息安全人才,因此需要开设有针对性的课程,举办有特色的班。
第三,应该举办信息安全竞赛,包括知识竞赛、辩论赛、攻防对抗、趣味游戏、情景模拟等,鼓励全民积极参与。信息安全的教育往往平淡无趣,通过举办这些活动,加深用户的理解。目前,举办的活动种类和数量都较少,且一般局限于中学生、大学生竞赛等,没有充分调动全社会公众的参与意识。
第四,应该充分利用媒体进行广泛宣传。日益增多的网民越来越热衷于通过网络媒体、丰富的综艺节目来充实自己的业余生活。如果开设以信息安全教育为主题,以娱乐互动为热点,以全民众为对象的综艺活动或游戏,将会吸引更多人的参与。
2.3教育内容变革
要使全民公众提高信息安全意识,并了解自己的责任,就需要进行有针对性的教学,加强教育内容的实用性。教学内容可分为法律法规、伦理道德和防范技术三个方面。法律规范介绍国外和国内相关法律法规,及一些约定成俗的行为规范。这是信息安全教育的核心。不管是信息安全专业技术人员,还是普通用户,都应该接受法律法规教育,了解网络犯罪活动。伦理道德阐述国内有关网络的伦理道德。教学内容应该设置一些真实的案例,让公众理解不文明、不道德的危害性,加强自我约束。防范技术讲解常用网络防技术,以及可用的软硬件产品。针对学生、普通公众、信息安全专业技术人员等开展不同内容的教育。如对于中小学生,可开设必修课程,学习上网行为准则,并能约束自己,通过的学生可获得学校颁发的证书。目前的教育偏重于基础知识和操作,而忽略了信息安全法规、伦理到底和管理制度等。需要将三者有机结合,推进信息安全全民教育行动。
2.4教育管理变革
首先政策的制订。目前,我国尚缺乏对全社会信息安全意识和技术培训的规章制度,只有制约青少年上网道德行为的规则,而且没有强制性执行,只停留在文字制约和自觉约束。因此有必要进行信息安全教育体系化建设,制定强有力的政策,充分发挥国家或院校实验室的培训作用,协调多方面力量,把信息安全和道德教育纳入正规课程体系,从顶层设计到底层实施,逐步全面开展全民信息安全教育活动。其次评估机制。建立信息安全教育评估机制,建制订评估计划,建立评估标准,用于评估参与信息安全培训的用户的学习效果。最后激励机制。政府可以设立奖学金或专项基金,用于信息安全教育培训、信息安全竞赛活动,用于培训单位的培训支出、相关媒体宣传报道、开展活动的经费支撑,提高普通用户参与的积极性。
3. 结语
信息安全教育不仅面对信息安全专业学习内容,也需向非信息安全专业学生开放;不仅要在高校中设置,也需要在中小学课程体系中增加;不仅面向院校学生,面向信息安全专业技术人员,更需要全民公众的理解认识。我们需要通过各种途径,加强信息安全法律法规、伦理道德和防范技术方面的教育,并健全信息安全教育机制,加强信息安全教育体系化建设,构建国家安全、健康的网络。
参考文献:
[1]曾艳.信息安全教育教学探讨[J] .计算机教育.2007.12,P70-72
[2]开红梅,杨茂云,王树梅.非信息安全专业的信息与信息安全课程教学初探.科技创新导报.2011年第31期
[3]罗根连.美国加快国家信息安全教育及人才培养步伐[J] .保密工作.2012年第8期
信息安全风险评估研究 篇12
1. 风险评估内涵
信息安全风险评估是指从内 (资产、脆弱性、已有控制) 和外 (威胁、安全事件) 2方面对信息处理系统综合分析评估, 计算出实际的安全风险等级, 判断面临的风险, 从而为选择实施各类防御管控措施提供依据。风险评估是一项周期性工作, 是进行风险管理, 采取技术与管理措施安全加固的前提。由于风险评估的结果将直接影响到信息系统防护措施的选择, 从而在一定程度上决定了风险管理的成效。风险评估可以概括为: (1) 风险评估是一个技术与管理的过程。 (2) 风险评估是根据威胁、脆弱性判断系统风险的过程。 (3) 风险评估贯穿于系统建设生命周期的各阶段。
2. 信息安全风险评估方法
(1) 安全风险评估。
信息安全风险指有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为确定这种可能性, 需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的, 按照科学的程序和方法, 对系统中的危险要素进行充分的定性、定量分析, 并作出综合评价, 以便针对存在的问题, 根据当前科学技术和经济条件, 提出有效的安全措施, 消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析, 得出系统发送危险的可能性和程度评价, 以寻求最低的事故率、最少的损失和最优的安全投资效益。
(2) 风险评估的主要内容。
(1) 技术层面。评估和分析网络和主机上存在的安全技术风险, 包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。
(2) 管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度, 分析业务运作和管理方面存在的安全缺陷。
(3) 风险评估方法。
(1) 技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查, 包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。
整体风险评估扩展了上述技术评估的范围, 着眼于分析组织内部与安全相关的风险, 包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。
(2) 定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重, 威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。
(3) 基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。
(4) 信息安全风险的计算。
(1) 计算安全事件发生的可能性。根据威胁出现频率及弱点的状况, 计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中, 应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。
(2) 计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度, 计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身, 还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。
(3) 计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。
3. 风险评估模型选择
参考多个国际风险评估标准, 建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型 (见图1) 。
(1) 安全风险管理过程模型。
(1) 风险评估过程。信息安全评估包括技术评估和管理评估。
(2) 安全风险报告。提交安全风险报告, 获知安全风险状况是安全评估的主要目标。
(3) 风险评估管理系统。根据单位安全风险分析与风险评估的结果, 建立本单位的风险管理系统, 将风险评估结果入库保存, 为安全管理和问题追踪提供数据基础。
(4) 安全需求分析。根据本单位安全风险评估报告, 确定有效安全需求。
(5) 安全建议。依据风险评估结果, 提出相关建议, 协助构建本单位安全体系结构, 结合组织本地、远程网络架构, 为制定完整动态的安全解决方案提供参考。
(6) 风险控制。根据安全风险报告, 结合单位特点, 针对面对的安全风险, 分析将面对的安全影响, 提供相应的风险控制建议。
(7) 监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序, 保证整个评估过程规范、安全、可信。
(8) 沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。
(2) 安全风险关系模型。
安全风险关系模型以风险为中心, 形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。
(3) 安全风险计算模型。
安全风险计算模型中详细、具体地提供了风险计算的方法, 通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。
4. 结语
本文在综合风险和比较多种评估标准和方法的基础上, 针对现行网络的安全现状和安全需求, 提出了网络风险评估的模型和风险计算方法, 以及时发现、弥补和减少信息安全漏洞, 为提高涉密信息系统的安全性, 降低网络失泄密风险提供一定的帮助。
参考文献
[1]向宏.信息安全测评与风险评估[M].北京:电子工业出版社, 2009.
【信息安全研究】推荐阅读:
档案信息安全保护研究07-22
公安信息安全专业研究10-20
医院信息系统安全研究05-23
金融行业信息安全研究07-02
信息安全评估标准研究09-01
企业信息安全管理研究05-31
电子政务信息安全研究11-16
论文:电子政务信息安全研究06-09
信息安全风险评估研究论文07-18
烟草行业信息安全风险分析与控制策略研究08-17