安全保密控制(共7篇)
安全保密控制 篇1
信息安全是任何国家、政府、部门、行业都必须十分重视的问题, 是一个不容忽视的国家安全战略。信息安全保密是国家工作的重要组成部分, 关系着一个国家和民族的根本利益, 关乎着国防建设、国家安全。但信息泄密案件比例却逐年上升, 信息安全保密形势非常严峻。因此, 必须提高保密意识, 加强保密管理, 积极查找泄密隐患, 制定切实可行的对策, 从制度上、安全措施和技术严防泄密事件的发生, 保障我国社会主义现代化建设的顺利发展。
信息安全保密存在的问题
1. 制度不完善
信息安全保密管理制度应包括:涉密计算机和非涉密计算机保密管理制度;涉密移动存储介质和非涉密移动存储介质保密管理制度;涉密网络保密管理制度;计算机维修、更换、报废保密管理制度;在公共信息网络发布信息保密管理制度等。有些部门没有制定相关的信息安全保密制度, 或是制度不完善。同时, 有些信息定密不准确, 没有按相关的规定要求随意定密级。
2. 管理存在薄弱环节
随意安装软件, 保密安全建设存在重硬件建设, 轻软件管理的现象, 网络安全未形成多部门联动机制。对技术人员缺乏全方位的继续教育培训, 现有信息安全人员以技术人员为主, 平常工作主要是日常维护, 无暇从总体角度把握信息安全建设的动态, 不能做到防患于未然。
3.信息安全保密意识淡薄
理论宣传过多, 缺乏具体生动的演示, 正面宣传过多, 反面警示教育过少。造成用户对安全规定知其然不知其所以然, 认为信息安全保密是保密部门和技术部门的事情, 与自己无关, 思想上容易麻痹大意。涉密与非涉密U盘混用, 没有采取主动防御措施防止泄密事件的发生。部分工作人员存在泄密离自己很远的错误认识, 将安全风险抛在脑后, 忘记“安全来自长期警惕、事故源于瞬间麻痹”的警示。
4.涉密和非涉密计算机使用不规范
涉密计算机与非涉密计算机混放, 涉密计算机没有专用的放置场所, 没有专人管理与负责, 没有设置密码, 处于开放状态。涉密计算机没有按要求安装涉密计算机违规上互联风监管软件, 或违规上互联网及其它公共信息网, 或使用非涉密移动存储介质, 或安装无线网卡等无线设备。非涉密计算机存储、处理涉密信息或曾经存储、处理过涉密信息, 使用过涉密移动存储介质等现象突出。
5.计算机感染病毒
操作人员病毒防护意识淡薄, 没有及时安装系统安全漏洞补丁程序, 没有及时升级防病毒软件, 违规使用U盘等移动介质, 接收资料没有先进行病毒查杀处理。计算机操作人员擅自安装、运行、查看、拷贝与工作无关的、从互联网下载的携带病毒的软件、文件资料、图片等, 导致计算机感染病毒。
信息安全保密措施
单一的保密措施很难保证信息的安全, 必须综合运用行政的、管理的、技术的手段, 实现对信息的保护, 以达到信息安全保密的目的。
1政策制度
有效的政策制度是保障信息安全的重要基础。
(1) 政策方面
政策是政府管理职能的体现, 包括政策的制订和执行两方面。信息安全需要政府综合运用各种手段, 采取切实有效的对策、措施, 不断提高防范和保障信息安全能力。
(2) 法律制度方面
法律制度的建立是依法行政所必需的, 也是政府行使职能的基础。信息安全保密已成为国家安全的一个重要组成部分和非传统安全因素的一个重要方面, 必须强化信息安全意识, 加快健全相关法律法规, 切实做到有法可依, 为保障信息安全提供良好的法律环境。
2信息安全措施
人是信息安全中最重要的一个环节, 同时也是最薄弱的一个环节。信息安全不是纯技术的问题, 要想保证信息的安全, 应当根据实际使用的要求, 制定合适的安全措施。
(1) 领导作用
要保证信息的安全, 提高各级领导的信息安全与保密素质尤为重要。各级领导干部要把做好信息安全保密工作作为自己的一项重要职责, 自觉地执行各项制度和规定, 提高警惕, 加强防范, 做保守秘密的模范。加强调查研究, 注意总结经验, 指导帮助保密工作部门增强工作的科学性、预见性, 把保密工作同经常性的各项工作结合起来, 形成齐抓共管、综合治理的局面。
(2) 全民信息安全教育
开展全民性的信息安全教育, 增强国民的信息安全意识, 提高国民信息安全的自觉性。做到任何情况下, 特别是在当前窃密与反窃密斗争日益尖锐复杂的形势下, 确保党和国家秘密的安全。利用舆论媒体宣传信息安全的重要性, 组织学习信息安全与保密工作的法规, 普及信息防护的常识, 介绍信息防护的技术。只要全民的信息安全意识增强了, 国家的信息安全才会有充分的保证。
(3) 涉密工作人员培训
涉密工作人员是秘密信息安全的重要管理者, 担负着秘密信息的收发和保密责任, 抓好涉密工作人员的队伍建设, 提高其素质, 是做好信息安全工作的关键。要提高涉密工作人员素质, 除了提高思想认识、培养科学严谨的作风、严守法纪和各项规章制度外, 还要进行高技术条件下信息安全保密的专业训练, 不断强化保密观念和保密意识, 使其掌握用现代技术管理信息的知识, 掌握排除各种隐患的本领, 以及掌握一定水平的反窃密技术, 提高规避风险的能力, 对可能造成失泄密的现象有较高的判断力和洞察力。
(4) 加强制度建设
制订信息安全各项规章制度, 完善和落实《涉密和非涉密计算机保密管理制度》、《涉密和非涉密移动存储介质保密管理制度》、《涉密网络保密管理制度》、《涉密计算机维修、更换、报废保密管理制度》、《建立在公共信息网络上发布信息保密管理制度》等规章制度, 使信息保密工作有章可循, 有法可依, 从制度上消除泄密隐患。做好定密工作, 严格按定密规程操作, 确保定密工作的严密、规范。严格执行涉密载体的保存和销毁制度, 在做好纸质涉密载体管理的同时, 重点加强移动硬盘、U盘等各类移动存储介质的使用、管理和销毁工作。
(5) 加强涉密计算机和涉密存储介质的管理
涉密计算机确定专人进行操作, 确定专人管理, 禁止任何非涉密移动介质插入USB接口, 保证涉密计算机的安全、保密和高效。规定涉密计算机不准上互联网以防泄密, 确保涉密计算机信息的安全。严禁在连接互联网的计算机上使用涉密存储介质, 严禁在非涉密计算机处理、保存各类涉密文件和其它任何涉密信息。对涉密文件的起草、制作、分发、传递、复制、保存和销毁过程, 进行严格规范管理, 实行全过程监管。
(6) 加大监督检查力度
坚持保密工作的检查制度, 采取全面检查与重点检查相结合、综合检查与专项检查相结合、定期检查与随机检查相结合的方式对相关部门 (单位) 的保密工作进行抽查, 及时发现和解决苗头性、倾向性问题, 加强对保密工作的长效管理, 督促、指导保密工作人员遵循相关制度。
信息安全保密技术
1.物理保护
加强信息保密场所硬件建设, 安排专用房间, 配备专用桌柜, 安装防盗门窗和报警装置, 实行专人专管, 做到设施配套、万无一失。防止信息在空间的扩散, 避免信息通过电磁辐射使信息被截获而泄密, 重要部门的涉密计算机机房采用电磁屏蔽措施。涉及机密以上信息的信息系统, 可根据辐射强度划定警戒区域, 并将设备置于建筑物的最内层, 禁止无关人员进入该区域。
2.计算机病毒的防治
要建立一套快速的预警机制, 能够在最短的时间内发现并捕获病毒, 提供计算机病毒的防治方案。制定严格的病毒防治技术规范, 树立牢固的计算机病毒的预防思想, 一旦遭受病毒攻击, 应采取隔离措施。涉密计算机必须安装经过国家安全保密部门许可的查、杀病毒软件, 坚持定期对计算机系统进行计算机病毒检测。定期更新防病毒定义文件和引擎, 及时打补丁, 确保病毒样本始终处于最新版本。对新软件和要做传递的磁盘坚持先杀毒后使用的原则, 确保计算机安全运行。
3. 访问控制技术
实施访问控制是维护计算机安全运行、保护系统信息的重要技术手段, 它包括网络的访问控制技术、主机的访问控制技术、微型机的访问控制技术和文件的访问控制技术。访问控制技术可以起到保护存储在计算机中信息的保密性和机密性, 维护机器内信息的完整性, 减少病毒感染机会等作用。
4. 强制配备保密安全U盘
保密安全U盘安全防护性强, 使用方便, 能有效应对高技术条件下的保密工作需求。保密安全U盘包括有数据交换盘、保密安全盘、数据导入盘和数据导出盘。
(1) 数据交换盘
根据涉密环境和非涉密环境自动切换工作模式, 实现两环境之间单向文件交换。一次性全部导出文件, 杜绝可能的人为进程终止和反向导入。文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。
(2) 保密安全盘
非经授权涉密计算机无法读取任何信息, 即使插入安全盘也毫无反应。安全盘能自动切断网络, 并记录当前计算机信息向告警中心告警。能够有效地防止病毒, 木马主动传播。
(3) 数据导入盘
适用于非涉密环境到涉密环境的文件单向导入, 划分只读保护CDROM区, 一次性全部导出文件, 文件全部导出后, 全盘擦除文件痕迹, 杜绝非法获取文件行为。
(4) 数据导出盘
从指定的涉密计算机内单向导出数据到非涉密计算机, 划分只读保护的CDROM区, 登录后关闭某些系统程序。利用数据加密对涉密文件进行保护。如果非涉密互联网环境使用, 主动报警并自动切断网络。
保密安全U盘可以有效解决移动存储介质交叉使用、公私混用等重大泄密隐患, 提高保密技术防护能力, 确保国家秘密安全。
结束语
信息安全防范工作是一项综合性、系统性较强的工程, 要求严格按照《保密法》要求, 做到有领导管、有专人抓。要坚持把有关信息安全保密问题列入重要议事日程, 完善各项政策制度, 健全信息安全保密措施, 加强信息安全保密技术保证和检查指导, 不断提高保密工作水平和质量, 使信息安全保密工作充分发挥“保安全、促发展”的作用。
摘要:信息安全保密是国家工作的重要组成部分, 必须提高保密意识, 加强保密管理, 保障我国社会主义现代化建设的顺利发展。论文分析了信息安全保密存在的问题, 然后从信息安全保密措施和技术两方面论述如何保证信息安全, 使信息安全保密工作充分发挥“保安全、促发展”的作用。
关键词:信息安全,安全保密,保密措施,保密技术
参考文献
[1]国家保密法。
[2]中华人民共和国国家安全法。
[3]中华人民共和国保守国家秘密法实施办法。
[4]“磐固”USB安全移动存储及管理系统, 广州普欧电子科技有限公司, http://www.inlsd.com/
安全保密控制 篇2
一、高新技术产品应用中的泄密隐患
(一)无线移动技术的泄密隐患随着无线互联的迅驰技术强力推出,笔记本电脑进入了无线时代。目前,迅驰技术已成为主流高端笔记本电脑的标准配置。应用了迅驰技术的笔记本电脑无需外加模块即可进行无线联网,既能够以对等方式与其他有此功能的笔记本电脑实现无线互联,又能够以接入方式通过无线交换机组成无线网络系统,其无线联接的有效距离最远可达300米。无线互联技术带给人们更大的便利,一面世就受到广泛欢迎,但是这种技术存在的泄密隐患也不容忽视。
1.隐患1 当应用了迅驰技术的笔记本电脑作为涉密单机处理涉密信息时,能够在无意识的情况下被在有效距离内的其他装
入方式实行无线联通,其中存储的涉密信息就可能被非法获取。
2.隐患2 当应用了迅驰技术的笔记本电脑作为涉密终端接入涉密网络工作时,会被其他无线设备进行无线联通,从而获取该笔记本电脑的使用权限,造成整个网络内涉密信息的泄露。
(二)打印、复印、传真一体机的泄密隐患多功能一体机在涉密单位的应用较多,通常会与涉密计算机连接用于涉密文件打印,同时与市话网相连用于收发普通传真。这样就使得打印的涉密信息、传真的非密信息和复印的信息都存储在同一内存中,形成泄密隐患。
1.隐患1 根据有关部门的检测发现,有些型号的多功能一体机具有通过电话线或网络向其维修中心发送数据的功能。一般情况下,如果此种多功能一体机既连接涉密计算机又连接市话网,或是既用于涉密计算机打印又用于非涉密计算机打印,就可能造成存储在内存中的涉密信息在打印时被非法获取。
2.隐患2 检测发现,对于具有通过连接的电话线或网络向其维修
做一些技术改造,就可以通过市话网对其内存中的信息实现远程获取。
(三)数字复印机的泄密隐患数字复印机的一个特点是含有大容量存储硬盘,凡复印过的文件都记录在内。数字复印机一旦发生故障,通常需要该复印机的专业售后服务人员进行现场维修。由于复印机数字化程度较高,现场维修时一般需要使用售后服务人员的专用笔记本电脑连接进行故障分析,如果该复印机处理过涉密信息,那么就存在着泄密隐患。
1.隐患1 如对维修人员的监督不够,别有用心的维修人员会将存储在数字复印机硬盘中的涉密信息进行复制,从而造成泄密。
2.隐患2 如果数字复印机故障较严重,一般还需要带离现场进行维修。如果涉密单位不了解数字复印机原理,带离前没有将其硬盘进行拆除,那么就会造成涉密载体失控的局面。
(四)高性能网络交换机的泄密隐患
目前,一些网络交换机设备商生产的高端产品具有无线联网功能,能够以无线方式自动识别其周围的网络设备和计
可达几百米,同样存在着泄密隐患。
1.隐患1 根据目前的保密技术要求,泄密信息系统与其他网络均应实行物理隔离,同时涉密信息系统的交换机与非涉密信息系统的交换机必须距离1米以上。通过有关部门的检查发现,一些涉密单位涉密信息系统和非涉密信息系统均使用了具有无线功能的交换机,即使距离1米以上,但由于放置在同一房间内,2个交换机就能够实现自动通信,造成涉密信息系统与非涉密信息系统的互联,带来极大的泄密隐患。
2.隐患2 有的涉密单位外网使用了此类具有无线联网功能的交换机,会出现自动连接有效范围内无线终端的现象,具有无线功能的涉密计算机因此会被捕捉并连通,从而造成涉密信息外泄。
(五)计算机操作系统漏洞造成的泄密隐患
目前,大部分计算机使用的都是美国微软公司Windows操作系统,该操作系统存在许多漏洞,极易被利用,安全隐患突出。
1.隐患1 通常认为只要笔记本电脑不处理涉密信息,与互联网连
Win-dows操作系统共享会出现漏洞,通过互联网或使用无线互联能够取得该笔记本电脑的所有控制权,进而将其麦克风打开,变成窃听器。这样就能够通过网络监听到该笔记本电脑所在房间的通话内容。
2.隐患2 通过网络植入某些病毒,可使计算机在不知不觉中将硬盘的电子文档以电子邮件的形式发送出去。即使上网的计算机中没有秘密信息,但大量与工作有关的信息被窃取后,也具有威胁性。
(六)移动存储介质的泄密隐患移动存储介质,包括U盘、移动硬盘等,具有存储量大、使用方便的特点,目前在涉密单位使用非常普遍,同时存在着很多安全隐患。在缺乏有效技术保障的情况下,应通过管理手段加以解决。
1.隐患1 虽然对于存储涉密信息的介质有较严格的保密管理要求,外出携带需要严格控制并审批,但涉密介质丢失现象仍时有发生。这些涉密存储介质一旦丢失,就会造成秘密信息的外泄。当前急需采取严格的管理措施,规范存储介质的使用。
2.隐患2
一些涉密网在日常工作中经常需要从外网或互联网上复制数据,通常使用的是移动存储介质。检查发现,互联网上存在的一些病毒,如repoer病毒,可以感染在互联网上复制数据的移动存储介质。当该染病毒的移动存储介质在涉密网上使用时,病毒就会自动使用关键词检索等方式搜集涉密计算机上的信息,并自动复制到移动存储介质上。一旦该存储介质再次接入互联网,复制的信息就会自动发送出去,造成泄密。
二、做好计算机信息安全保密工作的建议
对于涉密单位来讲,安全考虑应该放在第一位,如果不了解高新技术产品的技术特点和工作原理就盲目使用,难免会留下安全隐患,危害国家秘密的安全。目前,国家有关部门对高新技术产品在涉密部门的应用已经提出了一些具体的要求,保密要害部门部位应遵照执行。应用于涉密信息系统的设备,按照规定必须经过国家有关主管部门检测,未经检测的设备不能使用。另外,涉密单位还要针对高新技术产品的特点和本部门的实际情况,加强管理。国家有关部门也要加强对涉密计算机信息系统的安全保密管理和涉密产品的认证认可工作,积极开展针对高新技术应用的保密技术研究,解决高新技术产品使用中的保密难题。作为基层单位还
(一)围绕责任,认真落实保密、密码工作责任制加强学习,提高保密意识,签订保密责任书,明晰保密责任。按照保密、密码工作领导责任制的要求,及时研究保密工作中存在的问题,把保密作为强化内部管理、防范风险隐患的一项重要工作来抓,不断完善一级抓一级、层层抓落实的责任体系。进一步健全保密和密码工作领导责任制,把领导干部履行责任制的情况纳入领导干部民主生活会和领导干部绩效考核内容。根据人员调整情况,及时调整保密委员会,加强保密工作目标责任管理,将业务工作和保密工作同布置、同安排、同要求,确保各项保密工作任务的落实,严防泄密事件发生。
(二)围绕规范,切实加强保密基础工作,严格保密要害部门、部位管理认真落实上级单位要求,严格确认系统保密要害部门、部位,及时更新工作台账,修订完善有关制度,完善人防、物防、技防措施,确保保密要害部门、部位的安全;认真落实政务信息公开保密审查制度,进一步明确审查责任和程序,促进政务公开、依法、合规开展。
(三)围绕创新,不断深化保密宣传教育坚持贴近形势、贴近工作、贴近涉密人员,深入开展保密宣传教育工作。在对象上,坚持把领导干部、涉密人员、新参加工作人员和行
育、保密形势教育和保密知识教育,认真抓好《中共中央关于加强新形式下密码工作的决定》精神的学习、宣传和贯彻落实工作,把保密工作重要法规文件、制度纳入党委(党组)学习内容,发挥领导干部的带头示范作用;在形式上,充分利用内联网、宣传栏、保密工作简报、播放警示片等形式宣传相关保密法规、保密知识,编印《保密知识手册》,不断增强保密宣传教育的生动性和直观性,将保密宣传教育融入到“五五”普法、社会治安综合治理等工作中,使全体工作人员进一步了解和熟悉,充分认识到保密工作的重要意义,树立“为维护国家的安全和利益而保密”的神圣感、责任感和使命感,增强保密意识,提高法制观念。同时,加强调查研究,及时总结反馈工作动态和创新做法,不断推动保密宣传教育的深入开展。
(四)围绕安全,完善技防手段,努力提高保密技术防护水平加强对计算机网络安全保密管理。严禁用涉密计算机上国际互联网,严格做到内外网分离;及时安装系统补丁,修补计算机漏洞;及时升级防病毒软件病毒代码库,定期对计算机进行全面扫描,清除病毒、木马;严格落实《移动存储设备管理办法》,利用新技术手段加强对移动存储设备的使用实时监控和管理,对内网上使用的移动存储设备进行注
(即非内网使用的移动设备在内网计算机上不能用),内网使用的移动存储设备“拿不走”,内部使用的移动存储介质在外网计算机上“不能用、看不懂、改不了”(即内网上使用的移动设备进行了加密管理,在外网计算机上不能识别或信息无法读取),切实解决移动存储介质在内外网之间交叉使用的问题;完善涉密计算机、移动磁介质、涉密笔记本电脑、多功能一体机等办公设备的购置、领取、使用、清退、维修、销毁等环节的保密管理要求,抓好全过程安全保密职责的监督和落实;加强对重要涉密信息的保密管理,规范涉密文件传阅,严密跟踪公文流转,严格控制传阅范围,做到及时登记、专人专夹保管;加强对各种涉密载体的管理,对密件、密品的制作、传阅、销毁等各环节进行全过程监管,确保每一个环节不出差错。
(五)围绕落实,扎实开展密码保密、信息安全工作检查认真按照密码、保密和信息安全管理制度以及工作人员保守国家秘密各项禁令的要求,定期开展密码保密和计算机安全工作检查,全面排查工作中存在的问题和隐患,从源头上堵塞漏洞。重点抓好计算机信息系统、移动办公设备和绝密级文件资料等方面的检查,进一步明确工作标准、内容和程序,对发现的问题要迅速整改,切实做到“四个不放过”(一,规范建立整改台账,确保各项规章制度真正落到实处;及时修订并完善密码、保密及信息安全工作规章制度,制定保密、密码和信息安全应急预案,进一步细化工作流程,强化责任追究,不断提高信息安全、密码、保密工作规范化水平。
怎样认识现阶段我国保密知识教育普及的意义?举证浅谈如何有效进行新形势下的保密法制宣传教育?
现阶段主要的泄密途径包括哪些?举证浅谈作为大学生,如何去理解认识及防范这些泄密途径?
结合各类新时期泄密案例,预测未来科技发展趋势及保密管理工作的防范中心。
这两年,“网游大盗”、“熊猫烧香”、“德芙”、“QQ木马”、“灰鸽子”、“僵尸木马”等入侵用户电脑,盗取密码帐号、个人隐私、商业秘密、网络财产甚至国家机密等,就是典型的例子。这次出现的黑客利用“微软黑屏正版验证”传播变种灰鸽子新病毒,让用户电脑成为被远程控制的“肉鸡”,就是最新的佐证。严峻的现实是,一个以获利为核心的黑客培训、病毒制作、病毒加工、病毒贩卖、信息窃取等构成的灰色产业链,正严重侵害着用户的安全。如果不对这些木马、间谍病毒加以防范,就容易造成用户在不知不觉中被动泄密信息。
传统杀毒软件对付当前病毒新威胁勉为其难
记者:几乎所有的计算机都配置了杀毒软件,但用户为什么屡遭攻击甚至发生被动信息泄密,您如何看待?
刘旭:传统杀毒软件在过去病毒数量不多、传播速度不快的背景下还是比较有效的工具,但在互联网广泛应用、全球病毒特征出现了颠覆性变化的今天,显然已经力不从心。
记者:什么原因?
刘旭:传统杀毒软件采用的是特征值扫描技术--“病毒出现--用户提交――厂商人工分析――软件升级”的思路,对病毒的防范始终是落后于病毒出现。换句话说,当前病毒都已经自动化产业化了,杀毒厂商还在采用落后的人工分析的思路,必然做不到对未知病毒和新病毒的防范,更谈不上有效防止用户被动泄密。实现反病毒技术由被动事后杀毒到主动防御的变革,不仅是全球反病毒产业的共同课题和新的竞争焦点,更是计算机用户的迫切需求。
四项具体措施实现对用户信息资产的保护
记者:您认为,作为一个用户,怎样才能保护好自己的信息资产?
刘旭:我认为首先应养成良好的上网习惯。良好的习惯,应该是不该上的网站,尽量别上,往往一些不健康的网站也是造成用户病毒感染的重要原因。
其次,应有自觉的信息安全意识。在一个单位,同事之间,应给注意存储信息的工具不能轻易共享。随意通过U盘把自己的文件拷给别人,或者到别人机器上拷文件,不仅是感染并传播病毒的途径,也是造成病毒攻击、黑客入侵而导致信息被动泄密的重要原因。我认为,在实际工作中,特别是对信息安全要求高的用户,应该杜绝用U盘在不同的用户间来回拷文件的做法,并且还应加强对用户自身邮件安全的保护,拒收不明邮件。同时,有条件应该做到专机专用。
第三,采用安全可靠的反病毒工具。传统杀毒软件在原理和技术根基上就难以对付未知病毒和新病毒,依赖杀毒软件难以很好的保障用户信息安全。越来越多的例子已经证明,杀毒软件自身也容易被攻击。所以,我认为不仅要慎用非正版软件,还要谨慎选用反病毒工具。采用具有主动防御技术的反病毒工具是比较可靠的选择。
记者:能否说具体点,现在的杀毒软件不都称具有主动防御功能?
刘旭:您说的没错,现在绝大多数杀毒软件都自称具有主动防御功能,但是主动防御作为基于程序行为自主分析判断的实时防护技术,必须具备对未知病毒和新病毒自主识别、明确报出并自动清除三大基本特征,这是区分真假主动防御的试金石,尤其“明确报出”未知病毒和新病毒,大多数杀毒软件根本做不到。
记者:我国主动防御技术的研究,在国际上处于什么样地位?
刘旭:几年前,我们就率先提出了尽快研制以程序行为自动监控、程序行为自动分析、程序行为自动诊断为主要功能的主动防御型产品全新思路,并研发成功了世界首套主动防御软件--微点主动防御软件。微点主动防御软件模拟反病毒专家及其病毒判定机制,实现了“动态仿真反病毒专家系统,自动准确判定新病毒、程序行为监控并举、自动提取特征值实现多重防护、可视化显示监控信息”等五项核心技术的突破。经过近百万种病毒的测试,微点主动防御软件防杀未知病毒和新病毒的有效率达99%以上,在摒弃传统杀毒软件技术、推动反病毒产业变革方面取得了重大跨越。
记者:我很想了解微点主动防御软件使用案例。
刘旭:北京奥运会开闭幕式运营中心自采用国家863项目--微点主动防御软件以来,成功阻止了黑客和各种新老病毒的攻击和入侵,运营中心网络信息系统从未发生过开闭幕式有关方案等信息泄密事件,这标志着我国反病毒技术成功经受了北京奥运会、残奥会的重大考验。北京奥组委为此向微点公司颁发了“突出贡献”纪念证书,开闭幕式运营中心也专门致信感谢,应该说这是我国反病毒技术的光荣和骄傲。
记者:您前面提到了良好的上网习惯、自觉的安全意识、可靠的反病毒工具,作为单位的网络,如何防止信息被动泄密?
数据库安全保密技术 篇3
关键词:数据库;数据库安全保密;访问控制;数据加密
中图分类号:TP311.131 文献标识码:A文章编号:1007-9599 (2010) 04-0000-02
Database Security&Encryption Technology
Chen Qi
(Xiqing District Real Estate State Administration,Tianjin300380,China)
Abstract:According to the database system security model, the paper discuses the database security problems to enhance database users’ security consciousness. It also discusses the development trend of the access control and database security technology
Keywords:Database system;Database security;Access control;Data Encryption
随着国内外计算机技术合通信技术及应用的飞速发展,全球信息化己成为人类发展的大趋势。在这样的大环境下企业信息资源的深入开发可利用,以及更好地将企业的信息资源进行统一的规划和管理己经被各大企业提到日程上。因此,加快数据库安全保密技术的研究已经成为当务之急。
一、数据库安全保密的定义
数据库安全保密就是保证数据库中数据的保密性、正确性。即保护数据库中的数据不被非法用户获取,不因为操作员失误或者软硬件故障导致数据错误。
当前,数据库受到的主要威胁有:对数据库的不正确访问,引起数据库数据的错误;为了某种目的,故意破坏数据库,使其不能恢复;非法访问数据库信息;用户通过网络进行数据库访问时,有可能受到种技术的攻击;未经授权非法修改数据库数据,使其失去正确性;硬件毁坏、自然灾害、磁干扰等。
二、数据库安全保密常用技术
(一)用户身份认证。由系统提供一定的方式让用户标识自己名字或身份,当用户要求进入系统时,由系统进行核对。这种技术仅仅用于数据库安全维护,也常见于一般的软件安全维护和系统维中。常用的用户身份认证技术主要包括:传统的基于口令的身份认证、基于随机口令的认证技术、基于PKI体制的数字证书认证技术等。在数据库系统中,系统内部记录所有合法用户的用户标识和口令。系统要求用户在进入系统之前输入自己的用户标识和口令,系核对用户信息输入正确方可进入。这种方式的优点是构建方便、使用灵活、投入小,对于一些封闭的小型系统和安全性要求不是很高的系统来说是一种简单可信的方法,但是用户信息容易被人窃取。当前的基于口令的身份认证技术是单向认证,即服务器对用户进行认证,而用户不能对服务器进行认证,这种认证方式存在着很大的缺陷。基于PKI体制的数字证书的身份认证技术通过可信任的第三方提供了用户和服务器的双向认证。目前出现了在原始MDS算法的基础上,采用在用户口令中加入随机数的方式来抵御重放攻击和字典攻击,提高了数据库管理系统的安全性。
(二)授权机制,也称访问控制,主要是指系统依据某些控制策略对主体访问客体所进行的控制,用来保证客体只能被特定的主体所访问多数访问控制应用都能抽象为权限管理模型,包括个实体对象,权限声称者和权限验证者。基于传统访问控制框架的访问控制模型有自主访问控制模型DAC、强制访问控制模型MAC、基于角色的访问控制模型RBAC和基于任务的访问控制TBAC等等,这些传统访问控制模型中采用的执行单元和决策单元实际上分别是应用程序中实现访问控制的一段监听和判断逻辑程序,用来实现对访问请求的接收和决策。目前大部分的数据库管理系统都支持自主访问控制,目前的SQL标准是通GRANT和REVOKE语句来授予和收回权限。强制访问控制方法可给系统提供更高的安全性。在MAC中,数据库管理系统将实体分为主体和客体两大类。如果面对大量的应用系统和用户,这种方式将导致对用户的访问控制管理变得非常的复杂和凌乱,甚至难以控制还会增加系统开发费用,加重系统管理员的负担,带来系统的复杂度和不安全因素。因此,应采取新的解决数据库安全保密问题的方法。
(三)数据库加密。数据加密就是把数据信息即明文转换为不辨识的形式即密文的过程,目的是使不应了解该数据信息的人不能访问。将密文转变为明文的过程,就是解密。加密和解密过程形成加密系统。目前数据加密算法很多,根据密钥性质的不同,常见的加密方法可以分为对称加密算法和非对称加密算法。对称加密算法比非对称加密算法效率更高。最有名的算法是由美国颁布的数据加密标准DES为代表的传统密钥密码算法和以RSA算法为代表的公开密钥算法等等。
(四)视图机制。进行存取权限的控制,不仅可以通过授权来现,而且还可以通过定义用户的外模式来提供一定的安全保护功能。在关系数据库中,可以为不同的用户定义不同的视图,通过视图机制把要保密的数据对无权操作的用户隐藏起来,从而自动地对数据提一定程度的安全保护。对视图也可以进行授权。视图机制使系统具数据安全性、数据逻辑独立性和操作简便等优点。
(五)审计追踪与攻击检测。审计功能在系统运行时,自动将数据库的所有操作记录在审计日志中,攻击检测系统则是根据审计数据分析检测内部和外部攻击者的攻击企图,再现导致系统现状的事件分析发现系统安全弱点,追查相关责任者。
除了以上提到的安全技术以外,还有设置防火墙、可信恢复、蔽信道分析、推理控制、数据备份与恢复等技术。
二、数据库安全保密技术的发展趋势
数据库安全保密技术随着计算机网络安全技术的发展和面向服务的架构(SOA)的出现,呈现出以下发展趋势:
(一)SOA因为其动态性、开放性的特点,使其面临着传统的访问控制技术无法解决的潜在的服务消费者与服务提供者通常来自不同的安全域的问题,还面临存在大量的临时服务请求者的问题。传统的访问控制机制是静态的、粗粒度的。而面向服务的环境中服务请求者和服务提供者往往需要跨越组织边界,因此传统的访问控制机制不能很好的满足面向服务的环境的要求。针对面向服务的实现环境,需要新的访问控制机制来实现数据库安全保密。
(二)随着电子商务平台服务的增多及更复杂,对数据库安全保密技术的要求将更加严格,需要我们在数据库的身份认证、授权、访问控制等的实现技术上进行更深入的研究,以满足将来商务平台间信息高速交流的要求和企业对信息安全的更高需求。
(三)防火墙技术。应用专用集成电路(ASIC)、FPGA特别是网处理器(NP)将成为高速防火墙设计的主要方法,除了提高速度外,能多样化和安全也是防火墙发展的一个趋势。防火墙将与入侵检测术、攻击防御技术以及VPN技术融合;防火墙的另一个发展趋势是多个安全产品实现集成化管理和联动,达到立体防御的效果。
(四)物理隔离技术的使用。安全专家认为,联网的计算机是安全隐患的,物理隔离的思想就是在保证安全的前提下,才互联通。
(五)在授权和认证中都将采用PKI技术。PMI即Privilege Management Infrastructure,意为权限管理基础设施,是属性证书、属性权威、属性证书库等部件的集合体,用来实现权限和证书的产生、管理、存储、分发和撤销等功能。在PKI的基础上,出现了一个新的信息保护基础设施,能够与PKI和目录服务紧密的集成。PKI技术可为网络环境中的身份认证、安全传输、不可否认性、数据完整性提供安全保证。PKI的发展非常快,已经从几年前的理论阶段过渡到目前的产品阶段,并且出现了大量成熟技术、产品和解决方案,正逐步走向成熟。PMI作为一个基础设施能够系统地建立起对用户的特定授权。PMI才处于起步阶段,相关标准还在制定中,在应用方面还有许多值得研究的地方。
三、结束语
安全保密问题不是数据库系统所独有的,所有的计算机系统都存数据安全保密问题。作为数据的仓库——数据库,要保证其安全性。随着计算机网络的发展。许多的系统安全和网络安全技术常常被用于数据库安全中。在安全技术越来越被人们重视的今天,数据库安全保密技术逐步发展成了数据库技术一个重要的方面。对数据库统安全保密问题的研究和探讨,也具有很现实的意义。
参考文献:
[1]李东风,谢昕.数据库安全保密技术研究与应用[J].计算机安全,2008
[2]张建军.浅析数据库系统管理加密技术及其应用[J].甘肃高师学报,2006,05
[3]陈志泊,李冬梅,王春玲.数据库原理及应用教程[M].北京:人民邮电出版社,2003
[4]吴溥峰,张玉清.数据库安全综述[J].计算机工程,2006,12
[5]李素华.数据库管理安全措施分析[J].黄河水利职业技术学院报,2007,1
[6]萨师煊,王珊.数据库系统概论[J].高等教育出版社,第三版
信息安全保密工作 篇4
(一) 信息安全管理的定义
所谓信息安全管理, 指的是一种管理和保护信息资产的体制, 通过指导、规范和管理等一系列活动对信息安全进行保障, 以达到保证信息的机密性、完整性和可用性的目的。
(二) 信息安全管理的内容
信息安全管理包括:信息安全战略管理、信息安全组织结构、信息安全领导、信息安全人力资源管理开发与管理、信息安全政策及法律法规、信息安全标准与认证、信息安全等级保护。
(三) 信息安全管理的重要性
第一、信息安全管理可以使员工的信息安全意识得到强化, 使组织的信息安全行为得到规范;
第二、信息安全管理可以将组织的关键信息资产得到全面的、系统的保护, 使组织的竞争优势得以维持;
第三、当组织的信息系统被恶意侵袭时, 信息安全管理可以使组织的业务开展不受影响, 将组织的损失降到最低;
二、我国信息安全管理的现状
(一) 法律法规问题
第一、还没有形成一个完整性、适用性、针对性的完善的法律体系
现有法律法规仅仅调整某一个方面的问题, 缺少综合性的信息安全法作为主导使之相互呼应形成体系。因而, 在实践中造成多环节、多部门分割管理的状况, 这在一定程度上造成了法律资源的严重浪费。
同时, 也说明了我国现行的信息安全法律基本上还处于法规规章的层次上, 在法律层面上的信息安全立法还比较少, 还很不完善。
第二、不具有开放性
法律结构比较单一、层次较低, 难以适应信息网络技术发展的需要和不断出现的信息安全问题。
第三、缺乏兼容性
我国的信息安全按法律法规存在着许多难以同传统法律原则、法律规范协调的地方。
第四、难以操作
如果一部法律难以操作, 那么该法律就难以起到应有的规范约束作用。我国的信息安全法律中就存在着这些问题。如, 同一行为有多个行政处罚主体;不同法律规定的处罚幅度不一致;行政审批部门及审批事项多等问题。
(二) 管理问题
管理包括三个层次的内容:组织建设、制度建设和人员意识。组织建设是指有关信息安全管理机构的建设。信息安全的管理包括安全规划、风险管理、应急计划、安全教育培训、安全系统的评估、安全认证等多方面的内容, 因此只靠一个机构是无法解决这些问题的。在各信息安全管理机构之间, 要有明确的分工, 以避免“政出多门”和“政策拉车”现象的发生。明确了各机构的职责之后, 还需要建立切实可行的规章制度, 即进行制度建设, 以保证信息安全。如对人的管理, 需要解决多人负责、责任到人的问题, 任期有限的问题, 职责分离的问题, 最小权限的问题等。有了组织机构和相应的制度, 还需要领导的高度重视和群防群治, 即强化人员的安全意识, 这需要信息安全意识的教育和培训, 以及对信息安全问题的高度重视。
(三) 国家信息基础设施建设问题
第一、缺乏信息安全意识与明确的信息安全方针
大多数组织的最高管理层对信息资产所面临威胁的严重性认识不足, 或者仅局限于IT方面的安全, 没有形成一个合理的信息安全方针来指导组织的信息安全管理工作, 这表现为缺乏完整的信息安全管理制度, 缺乏对员工进行必要的安全法律法规和防范安全风险的教育与培训, 现有的安全规章组织未必能严格实施等。
第二、重视安全技术, 轻视安全管理
目前组织普遍采用现代通信、计算机和网络技术来构建信息系统, 以提高组织效率与竞争能力, 但相应的管理措施不到位, 如系统的运行、维护和开发等岗位不清, 职责不分, 存在一人身兼数职现象。而大约70%以上的信息安全问题是由管理方面的原因造成的, 也就是说解决信息安全问题不仅应从技术方面着手, 同时更应加强信息安全的管理工作。
三、加强信息安全保密工作的措施
(一) 提高全体员工的保密意识
做好一个单位、一个部门的保密工作, 不仅是保密工作者的责任, 同时也是全体工作人员的义务。事实上, 保密工作所涉及的范围很广, 一张简单的图纸、一份普通的文件都有可能含有涉密内容。如果管理不善, 造成信息流失, 就可能给国家或者企事业单位造成无法挽回的损失。因此, 开展全体员工的保密知识培训, 培养全员的保密意识, 提高他们的保密素质, 也是保密工作的重要内容之一。
(二) 提升保密工作者的自身素质
随着改革开放的深化和科学技术的飞速发展, 保密工作所遇到的挑战和困难是前所未有的。保密工作者要严格执行国家及有关部委、我省的相关保密法规, 加强保密理论的研究, 更新观念, 与时俱进, 在探索中学习, 在实践中提高, 掌握新技能, 应用科学的思想方法和领导方法, 提高观察和处理保密工作中遇到的各种新问题的能力, 适应新形势发展对保密管理工作的要求, 确保信息安全。
(三) 确保经费投入, 保障保密工作的顺利开展。
保密经费是为了保守国家机关或企事业单位的秘密, 维护安全和利益, 用于保护秘密信息及改进保密技术、措施和装备等方面的经费。保密工作开展得好坏, 在很大程度上取决于经费的投入。要确保保密专项经费的投入, 开展保密教育活动, 配备必要的保密技术检查设备, 这是保密工作顺利开展的基础。要积极通过各种方式, 采取各种形式开展涉密人员的保密教育培训。人是保密工作中最为活跃的基本要素, 保密工作队伍的稳定、涉密人员的业务素质和管理水平直接影响保密工作的质量。必须确保保密经费的投入, 保障保密工作的顺利开展和保密工作的质量。
摘要:在本文中, 笔者首先对信息安全管理的内涵进行阐述, 然后对我国信息安全管理的现状进行分析, 最后提出加强信息安全保密工作的措施。
关键词:信息安全,管理,内涵,现状,措施
参考文献
[1]郑其明, 庄民芳, 邱华苗:新时期保密工作的实践与思考[J].办公室业务, 2006, (04) .
安全保卫保密制度 篇5
1、成立以粮库主任为组长的安全保卫保密领导小组。健全安全保卫保密制度,做到思想、组织、措施三落实。
2、加强门卫值班巡逻制度,发现可疑情况要及时处理和汇报。
3、库区内生产和仓储区域严禁烟火;库区禁止燃放烟花爆竹,严禁堆放易燃易爆物品。非经分管领导批准并采取严格防护措施,库区内不得明火作业。
4、对总配电房、药库等要害部门和财务室、金库、化验室等重要部门要加强防范措施,加固门窗或安装防盗报警装置,加强监控和检查。
5、后勤部和仓储部要定期组织安全大检查,重点检查督促各部门严格按照粮库制定的各项操作规程操作,杜绝人为事故的发生。对违反操作规程的职工要进行通报批评,给予经济处罚。屡教不改的报经主任办公会议研究后予以解聘或辞退。
6、后勤部要经常督促驾驶员及时搞好车辆保养维护,不得违章驾驶。
7、到银行提取大额现金要有后勤部2人以上护卫、确因需要提取巨额现金必须联系公安部门派员、派车押运;严格按照银行审批的额度库存现金,多余的现金应及时送银行存放。
8、粮库储备粮油数量、储备计划、统计、财务、购销等文件和报表均属国家机密,所有职工和经手及接触人员应严格遵守《保密法》,不得向外界泄露。上报含机密内容文件和报表要按规定通过机密渠道或采取加密措施传送。
9、职工不得泄露业务和职务上的机密,凡是涉及粮库和上级单位的,未经上级领导许可,不得对外发表;非本人工作职权范围内的机密,做到不打听、不猜测,不参与小道消息传播。
10、非经发放部门或文件管理部门允许,职工不得复印和拷贝有关文件;涉及粮库机密的书籍、资料、信息和成果,职工应妥善保管,若有遗失或被窃,应立即汇报。
浅谈计算机信息保密安全技术 篇6
【关键词】信息安全 保密技术
【中图分类号】F224-39【文献标识码】A【文章编号】1672-5158(2013)07-0129-01
引言
互联网以惊人的速度改变了人类的生活方式,处理银行事务、发送电子邮件、网络化办公等等都可以通过互联网,同时互连网是一把双刃剑,其开放性、黑客、病毒等“不速之客”不仅仅严重威胁着普通家庭的计算机信息的安全,甚至政府、军队等部门的信息安全也受到威胁,怎样保护网络信息安全,已成为亟需解决的问题。
1 计算机信息安全与保密的概述
计算机信息的安全与保密主要包括计算机系统的安全与数据保护和信息保密两个方面,系统安全是指通过安全技术,保护计算机的硬件、应用软件、操作系统和数据,防止被破坏或窃取,本质就是保护计算机信息资源免受各种威胁、干扰和破坏,系统连续可靠运行,网络服务不中断,数据保护和信息保密是对信息系统中的信息资源的存取、修改、扩散和其它使用权限的控制。国家计算机网络应急技术处理协调中心的权威统计,新的漏洞攻击恶意代码平均每天112次,每天捕获最多高达4369次。因此,加强计算机安全防范意识,提高防范手段,刻不容缓。
2 计算机信息安全的现状
随着计算机网络的开放性、信息的共享性, 特别是伴随着互联网的不断延伸, 计算机网络的作用日益凸显,计算机网络已广泛的应用到军事领域。然而计算机信息安全与保密问题越来越严峻,网站被黑、军事信息被窃取等黑客入侵事件都在增加,网络信息的安全与保密工作已引起各国的高度重视。
3 威胁信息安全的因素分析
计算机信息安全威胁因素,一方面是来自于其内在的“先天不足”,另一方面是缺乏系统安全的标准。
3.1 客观因素
3.1.1 资源共享。计算机信息的最重要功能是资源共享,网络的强大功能和资源共享是任何传播媒体无法替代的,这为部队搜索信息资源共享提供了很大的便利,同时也为攻击者进行破坏提供了可趁之机。
3.1.2 操作系统的漏洞。计算机操作系统的漏洞直接导致了网络的安全漏洞,操作系统主要是管理和控制统中的软件、硬件、操作,用户都是通过操作系统来进出网络的,因此操作系统的安全至关重要。据统计,在传统的UNIX操作系统中,已发现的安全漏洞超过100个,而在微软Windows中也是“漏洞百出”,办公软件、邮件软件、浏览器软件都是如此。
3.1.3 网络协议的开放性。网络协议是计算机之间互联、互通所共同遵守的规则。目前计算机的主要主协议 (TCP/IP),在设计初期因强调其开放性,安全性问题没有过多的考虑,存在原始安全漏洞,目前发现了100多种安全弱点,使得TCP/IP协议运行中存在威胁和攻击。
3.1.4 人为的恶意攻击。截至目前,恶意攻击已成为计算机网络面临的最严重的威胁,其又可分为主动攻击与被动攻击,通过各种途径有选择地破坏信息的有效性和完整性,包括对信息的修改、删除、伪造、乱序、冒充、病毒等;即为主动攻击,而被动攻击是在不干扰网络系统正常运转的前提下,窃取、截获、破译最终得到相关信息。人的恶意攻击是最难防范的信息安全威胁,其危害性相当大。
3.2 主观因素
人为因素也是造成安全漏洞的重要因素,即使系统有较好的安全机制,但管理人员专业知识和经验上的缺陷及安全防范意识差等因素,也容易造成安全漏洞。部队现有计算机系统多数安全管理的规范不达标,没有定期的安全测试与检查,再加上安全管理水平低、操作失误、错误、用户口令人为的泄漏等,即便再好的安全体系也是无济于事的。
4 计算机信息保密安全的防护技术
4.1 隐藏IP地址
黑客经常利用一些网络探测技术探测主机的IP地址,攻击者获取到一个IP地址,可以随时向IP地址发动各种进攻,例如DoS攻击、Floop溢出攻击等。使用代理服务器后,其它用户只能探测到代理服务器的IP地址,就可以达到隐藏用户IP地址的目的,保障了信息的安全。
4.2 强化管理员帐户管理
Administrator帐户拥有最高的系统权限,一旦该帐户被人利用,后果不堪设想。所以要重新配置Administrator帐号。一是为Administrator帐户设置一个复杂、有效的密码,二是重命名Administrator帐户,创建一个没有管理员权限的Administrator帐户,在一定程度上减少了危险性。
4.3 杜绝Guest帐户的入侵
Guest帐户可以有限制的访问计算机,这也就为黑客打开了方便之门,禁用、删除Guest帐户是最好的办法,但在必须使用Guest帐户的情况下,首先要给Guest设一个复杂的密码,再详细设置Guest帐户对物理路径的访问权限。
4.4 密码技术
加密是通过对信息的重新组合、加密,使得只有收发方才能解码并还原信息的一种技术手段。加密系统是以密匙为基础的,是对称加密,即用户使用同一密匙加密和解密。
4.5 身份认证技术
身份认证就是用户必须提供他是谁的证明,认证的目的就是弄清楚他是谁,具备什么样的特征。身份认证是最基本的安全服务,其本质是控制对信息的访问,这也是预防和信息泄露的主要方法。单机状态下的身份认证主要通过用户身份、口令、密钥等口令认证;用户的体貌特征、指纹、签字等生物特征认证等;网络状态下的身份认证一般采用高强度的密码认证协议技术进行。
4.6 数字签名技术
数字签名技术是通过电子形式存在于数据信息之中的,或作为其附件的或逻辑上与之有联系的数据,可用于辨别数据签署人的身份,并表明签署人对数据信息中包含的信息的认可。建立在公钥密码技术上的数字签名方法有很多,例如RSA签名、DSA签名和椭圆曲线数字签名算法(ECDSA)等等。
5 加强信息安全的辅助措施
要实现信息的安全和保密需要不断的改进技术外,还要做到以下几点:
5.1 制定严格的信息保密措施
安全管理既要保证网络用户和网络资源不被非法使用,又要保证网络管理系统本身不被未经授权的访问。部队信息安全管理的重点是:部队安全组织机构设立、安全责任分工监管等。
5.2 强化安全标准
网络安全标准是一种多学科、综合性的标准,目的在于保障信息系统的安全运行。一个完整、统一、先进的标准体系是十分重要的,世界各国的军方都在积极强化信息安全标准。
5.3 完善相关的法律法规
国家高度重视网络信息工作安全,在现在已制定的相关法律法规的基础上,制定严格的计算机信息安全保密的法律、法规。针对部队的保障信息安全工作,应该实行更为严格的保密制度。
6 结束语
随着互联网技术的快速发展,信息安全保密技术也越来越完善, 但黑客攻击技术、网络病毒等也愈演愈烈,网络信息保密安全仍然是一个很重要的课题,特别是加强部队的计算机的信息安全与保密技术,需引起我国军方的高度重视。
参考文献
[1] 张娟.网络安全与保密综述.文章编号:1008-7354(2003)01-0053-03
[2] 黄慧民,酒海峰.论网络信息安全与保密.文章编号:1008-3944(2002)02-0022-02
[3] 白青松.浅谈计算机网络系统安全与保密.文章编号:1673-260X(2007)02-0032-02
[4] (美)Anonymous等,Maximun Security Third Edition,SAMS Press,2003-1-1
安全保密控制 篇7
关键词:信息安全 计算机网络 保密
0 引言
“安全”,从汉语字面上解释,是“无危为安,无损为全”[1]。学校一贯重视对学生进行安全方面的教育,如学生在教学楼要注意上下楼梯、防坠落的安全;在宿舍里要防火灾、防偷窃,注意个人及物品的安全;在放假回家与返校时要注意交通安全;在组织集体活动时要注意人身安全等等。然而我们却忽视了另一个同样重要的安全教育:当下是信息化的时代,我们时时刻刻处在计算机信息网络之中。它就像空气和血液一般,我们使用之频繁以致感觉不到它了。网络的最大特点是开放,我们工作、生活都不曾离开的计算机信息网络,它总是安全的吗?
1 信息安全的基本概念
与信息安全相关的“安全”有两方面含义,一是安全的状态,二是指对安全的维护即安全措施和安全机构。实际上,信息安全可细分为计算机安全、计算机网络安全和计算机系统信息安全。
1.1 计算机安全
计算机安全是指计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改和泄露,系统能连续正常运行[2]。它从技术上又分为三种:①实体的安全性:它用来保证硬件和软件本身的安全。②运行环境的安全性:它用来保证计算机能在良好的环境中持续工作。③信息的安全性:它用来保证信息不会被非法阅读、修改和泄露。
1.2 计算机网络安全
计算机网络是一个扩大了的计算机系统,许多计算机为了共享资源、联合工作而加入了联网环境。联网是需要传输介质和传输设备的,只要有传输介质,就有电磁信号;有电磁信号,就会有电磁辐射;有电磁辐射,就能够被有目的的人(称为“黑客”)截获辐射量中的电磁信号,也就是经过传输介质的信息,从而对网络造成安全威胁。网络安全包括四个方面:①网络实体安全:计算机机房的物理条件、物理环境及设施的安全标准,计算机硬件、设备及网络传输线路的安装及配置等。②软件安全:保护网络系统不被非法侵入,系统软件与应用软件不被非法复制与篡改,以及不受病毒的侵害等。③网络中的数据安全:网络中的数据安全包括保护网络信息的数据安全,不被非法存取,保护其完整性与可靠性等。④网络安全管理:网络安全管理包括运行时突发事件的安全处理,采取计算机安全技术、建立安全管理制度、开展安全审计、进行风险分析等。
保护网络系统中的硬件、软件及其数据不为偶然或恶意原因而遭到破坏、更改与泄露,系统连续可靠地正常运行,网络服务不中断,是网络安全的主要内容。由此可见,计算机网络安全是指综合利用技术、管理和法律上的措施,以保证网络信息资源在存储和传输过程中的安全。
1.3 计算机系统信息安全
计算机系统信息安全是指系统中存储、传输和交换信息的保密效果和可控性高、完整性好、真实可靠且相关的全部操作行为不可抵赖。
2 信息安全的相关事件分析
我们讨论的信息安全涵盖了计算机安全、计算机网络安全、计算机系统信息安全。有学者认为,信息安全事件将出现以下趋势[3]:第一,泄露机密。人为的有意识或无意识的将保密信息外泄给他人均属泄露机密。第二,与计算机设备相关的网络攻击。这类信息安全事件通常威胁社会和国家安全,造成的损失严重,且方法多样、手段隐蔽。第三,变更或破坏内部信息资料。第四,信息情报不当处理。第五,黑客增加。第六,金融犯罪增长。第七,电脑淫秽物的传播和诈骗行为。第八,电脑病毒。第九,歪曲舆论调查、诽谤等。
日常中人们对黑客、网络金融犯罪与电脑病毒已经有了一定的认识,但是,防范这几个事件不等同于信息安全。
例一 网络舆论攻击
2011年7月6日腾讯新闻的社会万象栏目出现一条标题为“警校学生虐杀小猪手段残忍 称为法医课做实验”的新闻,此文一出,即引来众多网友的评论(网络截图内容见图1和图2)。经过调查,事件源于学校的一次正常进行的法医学基础课的实训环节,有学生出于新鲜好奇,将上课的过程用手机拍照,并上传到了个人网上博客。结果,经由各方网友转载、评论后,事情就此“变味”了,一次普通的课堂教学摇身一变成了“虐猪门”。除了腾讯新闻,许多网站和电子论坛都相继转载了这一“新闻”,网络上流言蜚语铺天盖地。一方面,作为广西区内一所严肃的公安院校,学校一直坚持政治建校和政治育警的方针,是八桂警官的摇篮,在广西全区4万多名公安民警中,学校毕业生就占了一半以上。某种程度上说,成为警校的学生,就成了“半个警察”。另一方面,警民关系是当今最基本的社会关系之一,人民警察和人民群众的关系(警民关系)是和谐社会的重要内容。在当前社会多元化的新形势下,各类矛盾错综复杂,出现了很多影响警民关系的不利因素。有一部分不明真相的群众,会跟风造谣,在网络中流露出对警察的不满情绪,总在寻找机会利用信息网络中的媒体,把一些事件大肆传播、炒作,或者歪曲,目的就是想给公安机关造成不良影响。“虐猪门”不仅成全了这样的人,也将学校推上了被社会舆论批评的风口浪尖,成了无辜的受害者,对学校的形象造成了很不利的影响。
例二 网络淫秽物
在校大学生姜某在一次上网时无意中登录了黄色网站,这之后为了能够浏览更多更刺激的内容,他申请成为了该网站的管理员,负责对“审阅编辑”上传的色情图片。然而令他想不到的是,在他“荣升”管理员若干天后,正在宿舍上网的他被民警找上了门,理由是他涉嫌传播淫秽物品。
曾有信息安全研究者说:“如果您在因特网上,那么很容易被监视。”时下的因特网是一个与现实世界不同的虚拟世界,信息安全时刻受到威胁,黄色网站是其中的一个重磅炸弹。五花八门的黄色网站利用网页链接、电子邮件、广告条、博客、网络游戏、即时通讯软件、电子论坛、网络聊天室等流行的营销手段将自己的网址和黄色信息四处传播。黄色网站,也称色情网站,是指传播淫秽、色情等信息的网站。这种信息对普通人特别是未成年人身心健康极其有害,因此在很多国家受到管制。在我国,黄色网站是非法的,传播淫秽和色情内容需要被追究法律责任[4]。大学生多数处于青年中期(18-24岁),在这个年龄阶段,个体的生理发育已接近完成,具备了成年人的体格及种种生理功能,但心理则尚未发育成熟。对大学生而言,其面临的重要任务之一就是促进个体心理日益成熟,成为一个心理健康的成年人,为走向社会做好充分的准备。在这个关键的时期,大学生由于生活阅历不多,还未正式踏入社会,他们在谈论、评价、思考各种问题的时候并不能十分切合实际;对事物的认识也表现出片面性,不能全面、深刻、准确地认识问题。黄色网站的出现势必影响大学生的心理。就本案例引发两个思考:①假设是我们这样一所公安院校的学生因类似事件被公安机关查办,如何向学生家长、社会交代?②如何预防和管理此类事件的发生?
例三 网络泄密
有网友在网络“天涯论坛”上发帖称,2010年1月16日开考的广西公务员考试公共科目涉嫌试题泄露。部分网友指出,有公务员考试培训机构将申论和行政职业能力测验两门科目试题答案上传到相关培训的QQ群里,还有网友透露,这次考试广西北海的考生中,有来自于公安系统的,他们中的80%在行政能力测验考试这一科目上达到90多分。针对网友提出的“考前有人将考题泄露在网上”的说法,广西人事部门展开了调查。调查结果最终定性为轰动全国的“2010年广西公务员考试泄密案(以下简称泄密案)”。案件涉及多位就职于国家机关、企事业单位、公安系统(包括监狱、公安院校等)的工作人员,他们均因构成故意泄露国家机密罪受到了法律的严惩。泄密案之所以影响面广、后果严重,不仅是因为有人利用职务之便从中获利,更是因为一些拿到试题的考生“助人为乐”,把试题通过网络即时通讯工具、电子邮件等方式“分享”到了他们的网络社交圈,而网络社交圈里出现这样“有用的辅导资料”又备受希望考出好成绩的人的关注,一传十,十传百,才“帮助”了大量考生。从中可以看出,许多人是间接地促进了这次事件的发展,无意识地成了案件的中间人。这一次的公务员考试里高分考生很多是报考公安系统的,相当一部分人是公安院校的毕业生,受过专业高等教育的学生知法犯法,这在社会上造成了极其恶劣的影响。
这起事件暴露出一个问题:学生在使用网络共享信息资源的时候,更多地关注了发布与获取信息资源的快捷便利,却忽视了思考和审视信息资源本身的性质。面对网络信息,什么我们能够去获取,什么我们可以去传递,应该成为学校、特别是公安院校在教育和培养学生时考虑的一个重要教育内容。
例四 网络新媒体诈骗
计算机网络已经进入4G时代,高速、高效的移动互联网络和笔记本电脑、平板电脑、智能手机的飞速更新换代,让近年新生的“微博”、“微信”成为了继“QQ”之后网络用户的新宠。当下,无论在任何地方,都能看见用各种电子设备拍照“发微博、聊微信”的网友。与此同时,随着“微博”及“微信”开启手机支付功能,它们变成了淘宝之外网络购物的另一个主要环境,越来越多的商品通过新媒体来展示和售卖。其实,互联网是一把双刃剑,它已经成为了一个巨大的战场[5]。不同的人使用互联网,有不同的预期。一些不法分子盯上了网络新媒体,严重威胁到我们的信息安全:2013年,有网络监控系统监测到大量利用微博发布“打折”商品信息,售卖假冒伪劣产品、甚至制造“庞氏骗局”骗取网络用户钱财的事件。“庞氏骗局”又称为“拆东墙补西墙”或“空手套白狼”,即利用新投资人的钱来向老投资者支付利息和短期回报,以制造赚钱的假象进而骗取更多的投资。2013年5月,一名女子在微博上出售低价“自拍神器”(即照相机),赚取了人民币1000多万元。随后被曝光她并没有真正的低价货源,只是靠消费者的预付款进行资金运作。2013年10月底,媒体连续曝光了网友因在朋友圈购物而“被钓鱼”(各种各样的网络陷阱“花样翻新”,获得消费者的信任后循序渐进骗取金钱)的事件,轻者花几百元购买到的是假冒伪劣的“奢侈品”,重者则在付款后杳无音讯。
熟悉网络的用户都知道,微信和QQ同属于一个公司的产品,二者的账号是连通的,用户可以通过授权的方式让微信读取个人手机通讯录里的联系人列表及QQ中的好友列表,方便将他们加为微信朋友。黑客只要盗取了其中一个账号,另外一个也能同时丢失,如果被骗子利用,这可以使诈骗的对象范围扩大许多。由于早年QQ诈骗泛滥,被曝光的次数多了,大多数用户对它有了戒心,但是新媒体高度宣传的安全性在分隔了网络朋友圈的同时,让用户对其中的“好友”不设防备,因此这个网络社交媒体的新环境变成了不法分子“施展拳脚”的平台。
结合实际,在校学生大多数都有微博、微信和QQ聊天工具,几乎所有院系学生都有QQ或微信的群账号。为了方便日常联络和交流,管理学生的教师常在群中放置共享文件或者发通知通告,学生之间通过群上传、下载平时的课件与复习资料。公安院校的很多课程和校外任务(安保执勤)是普通院校没有的,是与公安工作紧密联系的,一定程度上说,这些课程和校外任务所涉及的内容是信息敏感的。部分教材虽然都是内部发行,并有一定的规章制度限制这类教材的外流;在校学生所承担的校外任务虽然是相对简单的,并且每次执行任务之前都有工作安排和动员大会,但是,网络新媒体这一环节的教育依然不能疏忽,学生通过网络通讯工具进行的很多看似普通的行为,如谈论上课内容;发课件、发资料、发照片;谈论校外任务的时间、地点和内容等,都有可能因为网络新媒体诈骗导致敏感信息泄密,产生不可预期的后果。综上所述,信息不安全因素无孔不入,已然开启了新一轮的“安全战争”,因此,我们应全面提高警惕,加强自我保护。
3 教育的可行性措施
不论学生学习什么专业,不论学生毕业以后从事什么工作,信息安全保密意识都非常重要。因此,从学生入学开始,学校就应该开展全面、立体化的信息安全保密教育。所谓全面,指学生从入学到毕业,根据年级开展教育;所谓立体化,指不仅仅开展相关专题教育,在入学教育、学年教育、实习教育和毕业教育各个阶段,增加相关知识点,把信息安全保密教育融合并贯穿到学生的每一个教育环节中去,使学生真正从意识形态上固化对信息安全的认识,从被动学习到主动接受。
信息安全有三方面的内容:首先是防御:目的是识别危险,通过一些机制和技术措施方面的努力,降低受到破坏和窃取的风险;其次是制止:目的是阻止危险,通过规范、制度、法律、纪律限制不正常行为。第三是检测:目的是防范危险。通过各种专业技术手段来检测攻击行为和系统漏洞。除了检测是计算机技术专业才需要学习,防御和制止的知识则是每个人都应该了解学习的。《周易·既济》里说:“君子以思患而豫防之”;《乐府诗集·君子行》里也提到:“君子防未然”。古人总结出经验:防止事故或祸害于尚未发生之前。只有我们的行为防范意识增强了,才能最大限度地降低出现信息安全危机的几率。
可将信息安全保密教育分成两部分:①安全防范教育;②保密行为教育。相关内容见表3.1,模块化的教育内容彼此独立。由于教育的目标不是让学生取得什么样的成绩,而是为了加强学生的安全保密意识,因此教育可采取多种形式:选修课、校园宣传栏、学期内思想教育、学术报告会、专题讲座、各种大型集体活动前的动员会、年级大会、班务会等,坚持教育不间断。
表3.1 信息安全保密教育内容安排表
■
3.1 针对学生的相关教育
公安院校一般有公安类专业和非公安类专业。相较于非公安类专业,公安类专业的学生应该具有更好的政治素养,更严肃的纪律作风,更强的对社会问题的敏感认识度,更专业的保密意识。公安类专业的学生毕业前都要到公安机关进行对口实习,公安机关内部信息安全管理规章制度很多,学生如果没有接受过相关教育,在实习时往往很容易出问题。出现问题后实习单位更多地是质疑学校是如何进行教育的。因此,对公安类专业的学生要特别注重保密行为教育。
3.2 针对教职人员的相关教育
韩愈在《师说》中有:“师者,所以传道授业解惑也。”“传道”一词在先,说的是老师首先要言传身教,培养学生的人格品质。在教育学生之前,首先是教育好我们的教学团队。
3.2.1 学生管理老师的教育
日常管理学生的政工人员、队长与学生接触最多,也最密切。对这部分老师应开展相关业务培训,讲解信息安全保密教育的重要性,使他们在管理过程中起到直接引导的作用。
3.2.2 专任教师的教育
公安院校的专任教师不仅是老师,也是人民警察,双重的身份要求专任教师既要有高水平的专业知识能够完成教学任务,又要有严肃的政治纪律以身作则影响学生。教师的教学包里都有大量电子课件和电子辅导资料。这些电子资料有可能是从信息网络上获取的,网络上的内容很多,容易左右教师对问题的客观态度。不少教师上课时的教学实例都参入了个人意见和观点,这是值得注意的。公安院校的教师和普通院校的教师在讨论问题时不应该一样。因此,学校一方面在鼓励教师使用电子媒体教学的同时,另一方面应继续加强督导听课制度,安排具备信息安全技术知识的成员加入督导组,如果发现教师在课堂内存在与信息安全或者保密制度相关的问题,应及时地提出意见和建议。
3.2.3 外聘教师的教育
外聘教师应接受一定的教育才上岗教学,确保这部分教师了解公安院校的纪律,遵守公安院校的行为规范,帮助学校培养好学生。
4 结语
早在2000年教育部就下发了《关于加强高等学校思想政治教育进网络工作的若干意见》(教社政[2000]10号)(以下简称《意见》)。《意见》指出:“要将管理和教育结合起来,自律与他律结合起来,通过各种形式增强师生上网的法律意识、责任意识、政治意识、自律意识和安全意识。”《意见》还强调:“各高校要培养一支既具有较高的政治理论水平、熟悉思想政治工作规律,又能较有效地掌握网络技术、熟悉网络文化特点,能够在网络上进行思想政治教育工作的队伍。”如今,信息技术飞速发展,带来了一系列新生无法预期的信息安全威胁,高校教育工作者面临重大的挑战。关注信息安全及保密教育,采取必要的措施开展教育工作,有助于培养更符合时代发展规律的合格人才,为社会尽一份力。
参考文献:
[1]姜波,李柏青.计算机网络技术基础与应用[M].大连:东软电子出版社,2013,7:217.
[2]李桂玲.计算机网络安全知识问答[M].北京:中国电力出版社,2008,6:11.
[3]杨永川,李冬静.信息安全[M].清华大学出版社.北京:中国人民公安大学出版社,2007,1:14.
[4]百度百科[EB/OL].http://baike.baidu.com/link?url=U38ptEXe
TI5ryBnm1lo _ 66gdHTpCJJk7eq - Kgyx5blM5hlhYNUM - 2QlndZP
hxp84b9F0g8zKmCvp-GHpezccna.
[5]Michal Zalewski.网络安全之道:被动侦查和间接攻击实用指南[M].北京:中国水利水电出版社,2007,1:81.
基金项目:2013年度广西法学会重点课题(2013-6)。