网络安全及信息化篇1
关键词:信息化建设;网络安全;发展现状;对策措施
如今信息化系统建设迅速发展,开放的网络带来了优势,同时开放性的存在也导致了许多安全方面的漏洞,诸如信息窃取、黑客攻击、网络恶意行为等,维护网络安全的压力越来越大。
一、信息化系统网络安全标志
(一)系统正常运行。系统正常运行是指信息化系统能够安全运行,避免出现系统损坏或崩溃而导致系统中需要传输、处理以及储存的信息出现损失或破坏。(二)系统信息安全。系统信息安全包含数据加密、病毒防治、安全问题跟踪、安全审计、方式控制、数据存取权限、用户存取限制以及用户的口令鉴别等内容。(三)网络信息安全。网络信息安全是指信息的保密性、完整性、可用性、可控性,防止攻击者利用系统安全漏洞对合法用户的信息进行诈骗、冒充以及窃听等。(四)传播途径安全。传播途径安全是指采取信息过滤,对有害和非法的信息进行控制及制止,防止在公用网络上出现大量失控的自由信息传输。
二、信息化系统网络安全威胁
(一)网络软件存在安全漏洞。系统的很多软件使用一段时间后,不可避免地会出现缺陷,需要及时补丁来进行漏洞弥补;系统使用的一些商用软件,源程序会逐渐变得公开或者半公开化,存在漏洞容易被攻击;管理员为方便维护管理,设置远程终端登录,加大了病毒或者黑客攻击的可能性,给网络系统造成了很大的安全漏洞。(二)网络协议存在安全缺陷。系统使用的基本协议tCp/ip存在着较多安全缺陷,主要包括:应用层协议中的Smt、Ftp等协议缺乏保密以及认证措施;以软件所配置的ip地址为基础,形成地址欺骗以及地址假冒;现有的ip地址可以支持源路由方式,在一定程度上为原路由的攻击提供了条件。(三)产品技术不能完全国产。目前,任何一个国家的信息技术发展不可能尽善尽美,完全依赖自主研发,我国也不例外。有调查数据显示,我国有67%左右的信息产品与技术都是从国外进口的。因此,信息化系统建设不可能达到完全国产化,硬件设施和操作系统难免会使用国外产品,这就可能存在安全陷阱,使网络安全管理受制于人。
三、信息化系统网络安全防护
(一)防火墙技术。在信息化系统中使用防火墙技术可以使数据、信息等在进行网络层访问时产生一定的控制。经过鉴别限制或者更改越过防火墙的各种数据流,可以实现网络安全保护,极大限度地对网络中出现的黑客进行阻止,在一定层面上可以防止黑客恶意更改、随意移动网络重要信息。(二)安全检查技术。安全检查技术主要用于对用户的合法性进行鉴别,在鉴别过程中,通常需要用户输入口令,由于口令本身较容易被猜到以及失窃,可能增加黑客入侵的几率。为了提高其安全性,用户可使用更为可靠、稳妥的认证方案,经过身份认证的技术可以在一定范围内保证信息的完整性机密性。(三)数字签名技术。所谓签名就是验证用户真实身份的一种独有信息,数字签名技术在使用过程中,通常采用解密、加密的方式对报文的数字签名进行实现。决定其安全性的主要因素就是密码体制的安全程度,随着密码体制的不断改进,其安全性也会随之提高。(四)入侵检测技术。防火墙只是保护内部的网络不被外部攻击,对于内部网络存在的非法活动监控程度还不够,入侵系统就是为了弥补这一点而存在,它可以对内部、外部攻击积极地进行实时保护,在网络受到攻击前就可以将信息拦截,提高信息的安全性。(五)漏洞扫描技术。如今网络不断复杂且变幻莫测,仅仅依靠网络管理员进行安全漏洞以及风险评估显然不行,只有依靠网络的安全扫描工具才可以在优化的系统配置下将安全漏洞以及安全隐患消除掉。在某些安全程度较低的状况下可以使用黑客工具进行网络的模拟攻击,这样可以一定层面地将网络漏洞暴露出来。
(六)密码技术。密码技术就是使用密码机对明文信息进行组合、交换,产生密文,然后将加密的信息在网络上传播。恶意者若将密文截获,必须进行正确的解码才能获取有用信息,否则也是徒劳无获,这就在一定程度上避免了信息的泄漏。(七)侦听监测技术。使用配置分析软件来对网络进行扫描,一旦发现原有的设置参数出现了改动,就必须采取相应的措施来对其进行处理。对内部网络中的违规操作行为进行实时监控。其响应对策主要有发送警告信息,拒绝存储。
作者:王艳单位:93897部队
参考文献
网络安全及信息化篇2
关键词:企业网络;网络安全;安全体系
前言
由于计算机与通信技术的快速发展,人们的工作方式以及生活方式都因为网络而逐步的发生改变。网络的共享性、开放性以及互联性程度逐渐扩大,对社会的影响也日益增大,网络也成为企业发展的主题。随着企业的信息化、办公的全球化以及网络贸易等业务的出现,网络安全也变得日益重要。为了保证企业网络自身的安全性,必须采取有效的手段面对网络中的各种威胁[1]。
1企业网络的威胁及其风险管理
企业网络的信息是自由传输的,尽管有各种各样的方式威胁着企业网络的安全,但终究都是由于信息的泄露以及信息资源的破坏。所以应从下列几点解决对企业网络构成的威胁,并根据这些威胁所导致的企业风险进行有效管理。首先,企业一定要确定哪些关键的内容或资产需要被保护。明确什么设备需要被保护,针对设备可以提供什么样的访问和怎么协调这样的工作。其次,评估需要进行网络安全保护的资源和财产。最后,分析所有对企业网络安全的可能威胁,并评估每个威胁的可能攻击性。威胁是指可能对网络和其中信息资源造成损失,它可以是偶然的,也可以是刻意的。威胁有很多方式,一般可以简单归纳为以下三种基本的类型:
1未经授权的访问。指未经过授权的人员却可以访问网络资产,而且也存在对网络资产进行篡改的可能。
2假冒。指由于伪造的凭证假冒其他人进行活动。
3拒绝服务。指服务中断。
2企业信息化的网络安全策略体系[2]
网络的安全策略是对网络的安全进行管理指导与支持。企业应该为网络安全制定一套安全方针,而且在内部网络的安全策略以及身份证明,从而为网络安全提供支持和认证。
2.1安全策略的文档结构
a)最高方针。是安全策略的主文档,属于纲领性的。陈述安全策略的适用范围、支持目标、对网络安全管理的意图、目的以及其它指导原则,网络安全各个方面所应遵守的原则方法和指导性策略。
b)技术的规范与标准。其内容包含:各个主机的操作系统、网络设备以及主要应用程序等应该遵守的管理技术的标准、安全配置以及规范。
c)管理的制度与规定.其中包含各种管理办法、管理规定或是暂行规定。从最高方针中引出一些具体的管理规定、实施办法以及管理办法。得到的规定或办法不但可操作,还能有效的推广及实行,是由最高方针引申而来,对用户协议具有规范作用。而用户协议对其不能违背。
d)组织机构以及人员的职责。负责安全管理的组织机构以及人员职责,包含负责安全管理的机构的组织形式以及运作方式,还有机构与人员的具体责任或是连带责任。是机构及员工工作时的依照标准。具有可操作性,需得到有效推广及实行。
e)用户的协议。与用户所签署的文档及协议,包含安全管理的网络、人员以及系统管理员的保密协议、安全使用承诺、安全责任书等等。作为用户及员工在日常工作中承诺遵守规定,并在违反安全规定时的处罚依据[3]。
2.2建立策略体系
目前,大部分企业都缺少完整的策略体系。也没有使其成为可操作的、成文的、正式的策略以及规定来体现出机关或是企业高层对于网络安全性的重视。企业应该建立好网络安全的策略体系,制定出安全策略的系列文档。
建议企业按照上文描述的安全策略的文档结构进行文档体系的建立。企业的安全策略的编制原则是一个一体式的企业安全的策略体系,其内容可以覆盖到企业中的全部人员、部门、网络、地点以及分支机构。目前,由于企业中机构间的网络现状与业务情况的差别较大,所以在基本的策略体系和框架下,可以让各个机构以自身情况为基础,对策略和体系中的组织、用户协议、操作流程、管理制度以及人员的职责逐步地细化。但细化后的策略所要求的安全程度不允许下降。
2.3策略的与执行
企业网络安全的策略系列文档在制定完成后,必须得到以及有效执行。与执行的过程除了需要得到高层领导的支持与推动外,而且还要有可行的、合适的以及正确的推动手段。同时在策略与执行前,还需要对每个员工进行相关的培训,以确保每个员工都掌握与内容中其相关的部分。而且还要明白这是一个艰苦的、长期的工作,需要经过艰苦努力。况且由于牵涉到企业内众多部门与大部分员工,工作的方式与流程可能还需要改变,所以其推行难度相当大;同时,安全策略的本身还可能存在这样那样的缺陷,例如太过复杂及繁琐、不切实际以及规定有所缺欠等,都会影响到整体策略的落实[4]。
3企业信息化网络安全技术的总体方案
3.1引入防火墙系统[5]
通过引入防火墙系统,可以利用防火墙功能中的“访问控制+边界隔离”,从而实现控制企业网进出的访问。尤其是对一些内部服务器进行资源访问的,可以重点进行监控,以提高企业网络层面的安全。防火墙的子系统还能够与入侵检测的子系统联动,当入侵检测的系统对数据包进行检测,发现异常并告知防火墙时,防火墙可以生成相应的安全策略,并将访问源拒绝于防火墙之外。
3.2引入网络防病毒的子系统
防病毒的子系统是用来对网络病毒进行实时查杀的,从而保证企业免遭病毒的危害。企业需要在内部部署邮件级、服务器级、个人主机级和网关级的病毒防护。在整体范围内提高系统的防御能力,提高企业网络层面安全性。
3.3引入漏洞扫描的子系统
漏洞扫描的子系统可以定期分析安全隐患,并在其萌牙状态时就把安全隐患消灭。由于企业网络中包含众多类型的数据库系统和操作系统,还运行着人力资源系统、产品管理系统、客户的信息系统、财务系统等诸多重要系统,如何确保众多信息的安全以及各类系统的稳定应用,便成为需要高度关注的重点。对漏洞扫描的子系统进行定期扫描,并在定期扫描后提交漏洞和弱点分析报告,可使企业网的整体系统的安全性得以提高。
3.4引入数据加密的子系统
对企业网重要的数据进行加密,以确保数据以密文的形式在网络中被传递。能够有效防范窃取企业重要的数据,可以使企业网络的整体安全性得以提高。
4结语
通过以上对企业网络的安全和隐患进行的着重分析,提出了保护企业信息安全的解决方法。由于网络技术的快速发展和应用的广泛,所以对于企业网络安全的建设,需要遵循一个稳定的体系框架,同时还要不断更新技术。这样才能有效地降低企业网络安全隐患的系数,进一步保证企业信息化在网络时代能够更安全、更健康的发展。
参考文献
[1]顾晟.企业信息化网络的安全隐患及解决策略[J].计算机时代,2010,3:19~22.
[2]丁国华,丁国强.企业网络安全体系研究[J].福建电脑,2007,2:66~67.
[3]陆耀宾.企业网络安全体系结构[J].电子工程师,2004,4:55~56.
网络安全及信息化篇3
认识网络安全保障体系
1而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
网络安全保障体系的构建策略
1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
2确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。
网络安全及信息化篇4
关键词:公安;边防部队;网络信息;安全管理;问题;对策
网络信息技术在经济的激烈发展中变得日益先进化,设计到国家发展的各个领域,是国家经济发展的重要力量,但是网络信息技术作为一种无形的技术很容易受到威胁,在长期的使用中会出现一些不良的网络信息、干扰网络系统的病毒以及机密被窃取的现象。公安边防部队作为守卫国家安全的重要组织,在网络信息的安全管理上更是要引起重视,要查找在安全管理中所存在的威胁因素,例如:信息传递以及网络结构管理所面临的问题;网络设备的利用性不高;网络体系中出现恶意的程序;网络信息操作的安全性低。进而根据这些问题找出相应方案去除这些威胁,进而维护好国家的发展与居民的安定。
1公安边防部队网络信息安全管理面临的问题
在公安边防部队的网络信息使用中,由于一些威胁性因素的存在严重威慑着部队对网络信息的安全管理,下面笔者就和大家共同分析一下,在公安边防部队网络信息安全管理中所面临的为威胁性因素:
1.1光纤通信网络的安全隐患
在光纤通信网络信息传递的过程中由于缺乏安全的管理,致主要是物理链路方面。使很多病毒以及恶意的软件在中途植入,导致信息大量的丢失,一些不法的想窃取公安边防部队的机密的人员,使用一些高端的技术扫描公安边防部队网络体系所存在的漏洞。进而找出突破口,窃取机密。由于在网络结构的创建过程中,会用到很多的网络设备,在这些网络设备的使用中也会出现泄漏信息的状况,究其原因,主要是由于公安边防部队在信息传递以及网络结构的创建中缺乏安全的管理。
1.2网络设备的利用性不高
在网络信息的使用中,由于设备的管理与监督力度不够,最终致使设备被窃取;很多网络设备被修理的次数非常的多,导致设备断电等在使用中会出现很多故障以及意外,最终致使公安边防部队的信息以及机密被外泄;还有的情况是因为操作人员技术性能不强进而使用不当致使网络设备破损;由于地区的局限性,所用的设备过于落后,不能够跟得上信息技术的发展与变化,致使信息不灵通,网络设备的利用性不高。
1.3机房信息接入点的安全隐患,网络体系中出现恶意的程序
网络技术的日益发展使得网络体系也逐渐的日益先进,但是与此同时,相应的窃取机密以及信息的不法科技也在快速的发展。很多肆意窃取公安边防部队信息机密的不法分子,通过高端的科学网络技术,将恶意的程序例如:病毒、木马等植入到网络信息的各种软件之中,公安边防部队的工作人员在使用的过程中,在毫不知情的情况下,系统就会出现安全威胁,进而信息就会被他人窃取。
1.4网络信息操作安全性能低,违规使用的安全隐患
在网络信息的管理中由于相关管理人员缺乏有效的管理,致使网络信息操作的安全性降低,信息被大量的盗取的现象频频上演,除此之外,由于网络机器设备在使用中,由于各种原因,故障以及意外的高发性也致使网络信息操作的安全性能降低;由于在公安边防部队目前所用的网络信息体系中一些防范技术很少被使用,导致病毒以及木马的入侵,所以最终致使网络信息操作的安全性能降低,信息被盗取。
2解决公安边防部队网络信息安全管理问题的对策
2.1强化网络信息人才培养,完善网络安全防护技术
要想提升公安边防部队网络信息的安全管理首要措施一定是从相关的管理人员做起,提升相关的管理人员的综合性修养,进而提升管理的有效性。在提升相关的管理人员的综合性修养的过程中,公安边防部队要创建一套合理的、全面的管理制度。在目前的网络信息管理中缺乏有效的制度,既使有也不符合当下网络信息管理的要求。这样使得网络信息泄密的状况有法规以及法律的约束。在管理的过程中,要多汲取先进的管理经验,结合自身的问题,制度相应的管理制度,为了保证管理的高效性,可以制度相应的奖惩条例。进而在网络信息的管理中,相关的工作要做好分工,责任要有明确的划分,创建一定的责任体系,将公安边防部队的网络信息管理责任规划到专人身上,遏制信息泄露状况的发生。对于一些不是公安边防部队的工作人员,要加强管理以及防范工作,可以录指纹;签订协议等,以防不法人员浑水摸鱼,偷盗机密。相关的管理人员还要对工作中所用到的手机、电脑以及相机等移动的存储物体加强管理,要做好相应的使用登记。还要加强对相关管理人员的技能强化,保证其在工作中能够有足够的能力去应对相关的问题。
2.2要进一步完善网络安全保密工作
要想确保公安边防部队的网络信息管理的安全性,一定要注重对网络信息安全的防范工作,进而创建防范病毒以及各种威胁因素的检测体系,保证网络信息体系可以在全天中得到检测,进而能够有效的发现系统中所出现的漏洞,并做出相应的弥补和防范,找出问题的根源,将不法的窃取机密的科技以及人员一网打尽,为创建安全的网路信息体系提供可行的条件。要研制出相应的防火墙技能,进而提升对网络信息体系的管理与监督。防火墙虽然对增强网络信息安全方面的作用很重要,但是随着盗窃机密的技术的快速发展,防火墙的保护功能在日渐衰退,所以要想建立保护网络信息体系的防火墙一定要采用高端的科学技术,研发出高端技能的防火墙,进而能够对网络信息体系中的病毒、木马以及恶意的软件做出有效的控制,相关的管理人员要对文件以及机密的加密技术进行研究,使得加密技术能够更加的合理化、先进化、安全化。所以要想促进公安边防部队网络信息管理的安全化,要注重网络信息安全的防范工作,进而促进边防工作人员的信息技术的合理化、安全化。
2.3要建立网络安全防护机制,制定合理的网络控制措施
公安边防部队可以号召国家的一些重点部门以及单位合理规划自身所用的网络信息体系,站在国家的角度,将所用的网络信息体系融入国家的网络信息建设的规划中,进而扩大网络控制的范围,包括网络安全风险评估、网络安全应急演练等,增强网络控制的力度。公安边防部队可以在网络控制中发挥自身的主导作用,积极的协调、规划好网络信息系统管理的安全工作,并将其落实到位,号召各单位以及部门积极的配合好公安边防部队的网络信息管理的安全工作,进而将有效的管理落到实处。随着工作的信息化,很多部门在工作中都实现了网络化的发展,公安边防部队在网络化工作的过程中,要将报警技术植入到各网络体系的使用中,进而通过报警提示来考核网络信息体系的安全性,若出现问题报警体系就会有提示,然后工作人员可以及时的查找问题的所在位置,并做出相应的防范措施,进而消除病毒、木马、恶意软件等安全威胁。
3总结
网络信息技术在各个领域的广泛应用带动了我国的经济发展,但是在长期的使用中也出现了各种威胁网络信息安全的因素,尤其公安边防部门这种威胁的威慑性非常的严重,它影响着国家的经济发展以及居民生活的安定,所以一定要找出公安边防部队网络信息安全管理面临的问题,信息传递以及网络结构缺乏安全管理的问题,网络设备的利用性不高,网络体系中出现恶意的程序,网络信息操作安全性能低。针对这些问题,公安边防部队要提升相关管理人员的综合化的修养,并注重网络信息安全的防范工作,制定合理的网络信息控制措施,为公安边防部队的工作人员提供一个稳定的守卫环境以及可靠的信息利用系统。
参考文献:
[1]任志安、钱士侠,论公安机关在群体性治安事件中的法律定位[J].长白学刊,2011(03).
[2]郭会茹、孙静静,公安网络信息安全及其防范措施的研究[J].赤峰学院学报(自然科学版),2011(09).
[3]钟婧,群体性治安事件处置原则新探究[J].法制与社会,2010(21).
[4]苏伟,论社会转型期公安工作中的媒体应对[J].吉林公安高等专科学校学报,2010(01).
[5]许发见,从“维基解密”事件看公安网络安全管理重要性[J].信息网络安全,2011(02).
[6]翁杨华,浅谈公安信息网络安全问题及解决对策[J].福建电脑,2010(04).
网络安全及信息化篇5
关键词:网络;信息;安全;职业教育
截至2016年12月,中国网民规模达7.31亿,互联网普及率达到53.2%,超过全球平均水平3.1个百分点,超过亚洲平均水平7.6个百分点。随着信息化的深入发展,中国互联网大国的地位更趋明显。“互联网+”计划的大力推进,政府、金融、工业、商业、医疗等各行各业对网络和信息技术的依赖也日益加重,在这一过程中,各种可以预见和难以预见的风险明显增多,安全问题变得更加复杂、突出。
一、网络和信息安全职业教育的必要性
(一)网络安全形势日趋严重
以互联网为基础的信息系统几乎构成了国家和社会、企事业的“中枢神经系统”,被广泛应用于事务管理、财务管理、人力资源、统计决策等全业务流程中,人们通过互联网工具进行交流沟通、信息获取与、内部管理、商务服务等活动。但互联网是一把“双刃剑”,在给机关、企事业单位管理带来各种便利的同时,各种网络和信息安全的威胁也悄然而至,如经常出现勒索软件、大规模数据泄露、身份盗用的犯罪活动、DDoS(分布式拒绝服务)攻击、各种病毒的侵袭、各类网络陷阱等等,给经济社会发展带来巨大的潜在隐患。网络和信息系统的安全事件一旦发生,可能会危及国家安全、危及社会的和谐稳定,影响企事业单位正常运转和个人日常生活,等等,其损失及危害不可估量。近年来,在我们的生活中各种危害信息安全事件频发,如国内发生的支付宝2015年5月和2016年6月出现瘫痪、乐视视频受到恶意DDoS(分布式拒绝服务)、12306官网信息泄露、政府网站受到攻击被挂马,国外发生的Facebook的Ceo马克扎克伯格twitter帐号和其他的社交账号被黑客攻破,2016年7月美国民主党绝密邮件泄露等。我国近年各种诈骗案频发,特别是针对财务人员的精准诈骗案屡屡发生。这些案例有一个共同的特点,就是网络信息安全意识和技术手段先天不足。其中很多案件尤其是千万元以上的网络诈骗案都是由企事业单位财务人员的无意过失发生的。企事业单位内部人员安全意识和能力参差不齐,相关工作人员网络和信息安全素养低下,网络安全领域具备网络安全意识和能力人才匮乏,使得企事业单位在面对各种网络安全威胁时,显得捉襟见肘、束手无策,各类网络攻击事件屡屡发生。明确指出:“网络空间的竞争,归根结底是人才的竞争。”据统计,70%的网络安全事件都是“人的问题”,因此必须加强各类从业人员的网络和信息安全职业教育,才能提高国家、企业和个人的整体安全防范能力和水平。
(二)国家对网络安全教育提出了新的政策要求
2014年开始,网络和信息安全已经引起国家的高度重视,并已上升到战略问题予以关注。2014年2月27日,中央网络安全和信息化领导小组成立,中共中央总书记、国家主席、中央军委主席亲自担任组长,李克强、刘云山任副组长。在网络安全教育方面国家也出台了相关政策和措施,以实现维护国家网络安全、建设网络强国的目标。2014年和2015年,我国已经举办两届网络安全宣传周活动。2016年又下发《关于印发〈国家网络安全宣传周活动方案〉的通知》文件,确定网络安全宣传周活动统一于每年9月份的第三周举行。2016年4月19日,主席在《网络安全和信息化工作座谈会》上又发表重要讲话,将网络安全人才问题作为六个专题之一来阐述。2016年6月6日,由中网办等六部委联合印发《关于加强网络安全学科建设和人才培养的意见》中明确要求“建立党政机关、事业单位和国有企业网络安全工作人员培训制度,提升网络安全从业人员安全意识和专业技能。各种网络安全检查要将在职人员网络安全培训情况纳入检查内容。制定网络安全岗位分类规范及能力标准”。
(三)网络和信息安全教育在教育体系中存在历史缺失
在我国的教育体系中,信息化教育已经纳入了各级教育的重要内容。随着信息化教育的普及,小学生从入学开始就接受信息化教育,属于义务教育的一部分。计算机基础教育是高校学生的公共必修课之一,同时国家每年有两次全国的计算机等级考试,各省也有自己的省级计算机考试。但是,在上述全国及省级计算机等级考试中,基本不涉及网络和信息安全的内容,网络与信息安全只是作为计算机相关专业的专业课来设置,基础课几乎缺乏这方面的内容。不仅如此,国家层面关于网络及信息安全教育也尚未形成一个规范系统的计划。继续教育阶段,在对员工相关教育和培训中,也更注重信息系统功能的使用,而忽视了其信息安全的内容。“网络安全和信息化是一体之两翼、驱动之双轮”,这是2014年2月在中央网络安全和信息化领导小组第一次会议上提出的新论断和新要求。当前,我们迫切需要通过职业教育来弥补教育体系中网络和信息安全教育的历史缺失这一短板。
二、网络和信息安全职业教育存在的问题
(一)受教育的人员范围有限
在进行网络安全职业教育中,普遍存在一个误区,认为只有专业的信息安全技术人员才需要职业教育,进行知识的更新,提高安全防范的能力,对涉及使用信息系统的普通用户的安全常识和普及重视程度不够。还有一些企事业单位,根本就没有这方面的教育和培训计划。但实际上,很多网络安全事件通常是从相关工作人员(而不仅仅是网络安全专业技术人员)“下手”,运用社会工程学、心理学等知识找到人在网络生态系统中的“弱点”,而后再用技术手段打开突破口。近年来发生的多起大大小小的针对财务人员的网络诈骗案就说明了这一点。
(二)行业特性不明显
随着计算机和网络在能源、通信、金融、交通、公用事业、工业等各个行业的普及,以及越来越严重的网络和信息安全形势及国家的相关政策要求,使得信息安全的职业教育需求越来越广泛。虽然不同行业网络和信息安全的防范具有不同行业特点,但无论是学校的学历教育还是社会的教育培训机构,在课程体系的设置上行业特色不明显,多“行”一律。
(三)重技术和理论,轻管理和实践
网络安全是复杂的系统工程,涉及计算机、通信、法律、管理等多学科的知识,同时与政治、经济、文化等行业相互交融影响,是一个实践性和操作性要求更强的学科。但是,在实际的职业教育中,培训的内容绝大多数是信息安全技术类的,比如信息加密/解密、数字签名/数字水印、病毒与木马、防火墙技术、iDS技术、Vpn技术或者一些相关的测试,而忽略了信息安全道德、法律、法规的内容以及信息安全项目管理、规划以及具体的攻防演练。
三、网络和信息安全职业教育策略
(一)提高个人信息安全素养
个人信息安全素养是指人们在信息化条件下对信息安全的认识,以及针对信息安全所表现出的各种综合能力,主要包括安全意识、安全知识和技能,以及相应的法律法规。提升个人信息安全素养是网络和信息安全职业教育的基础,是每个个体都应该具备的基本技能,也是在网络安全事件中避免由于“木桶效应”形成缺口、造成损失的关键。
(二)基于角色确定网络和信息安全职业教育的内容
不同角色的人员在网络空间安全中的权限、作用、发生安全事件的风险各不相同。依据受教育人员所从事的行业、在使用网络和信息系统的作用来确定职业教育的内容,其一要全面,不仅要做好职业技能的培训,也要做好相关的安全管理的教育;其二要区分层次、梯度、重点,根据行业、角色的特点有的放矢,使得教育更具有针对性。
(三)利用多种途径实现网络和信息安全教育
由于网络信息安全领域的知识更新较快、专业的特殊性需要更加注重操作能力,使得其职业教育既要有理论知识的积累,也要具备职业的安全技能。同时,遵守网络空间相关法规和职业道德同样重要。基于当前网络信息安全所面临的严峻形势和信息技术发展的新特点,必须通过专题讲座、行业培训、继续教育、学历教育、线上线下自主学习等多种途径,加强网络信息安全教育,推动网络信息安全教育逐步形成长期、持久的教育机制。面对各种敌对势力、网络犯罪组织和个人借助技术漏洞等进行的多方位攻击,或者竞争对手借助技术手段在网络信息领域开展的恶性竞争,必须高度重视网络和信息安全专业技术人才的知识更新和专业技能培养,推动网络和信息安全专业人才充分利用互联网的多种学习渠道和攻防演练的实战平台来提高和储备自己的实战技能。
网络安全及信息化篇6
【关键词】电力企业;网络信息安全;管理
新时代是网络信息时代,全世界信息网络系统都在迅猛发展中。电力企业作为各行业中重中之重的国家基础行业,整个行业都对网络信息系统有着极大的依赖性,网络信息系统也以它快速、全面、及时的优点给电力企业带来了极大的经济效益。但是网络信息系统所带来的不仅是经济效益,同样还有信息泄露的巨大风险,一旦发生信息泄露或信息数据遭篡改,将为国家造成不可估计的经济损失。
近年来全球范围内计算机犯罪活动猖獗,不断发生黑客入侵、电脑病毒肆虐事件,给电力企业敲响了警钟,网络安全防范刻不容缓。很多受害者的网络硬件及软件技术都处于时展的主流,然而依然发生信息安全受损事件,这充分证明,仅仅依靠软硬件的更新是不能很好的提升网络信息安全水平的,除了安装网络安全产品,同样重要的还有网络信息的安全管理措施。所以,各电力企业都必须认真面对和研究当前网络信息安全问题,及时采取合理有效的防范措施。
1、我国电力企业网络信息安全现状
1.1电力企业信息化的优势
进入二十一世纪以来,随着网络技术的迅速发展,我国电力企业的信息化也有着很大的进步:电力行业信息化设施较其他行业更完善,各电力企业主要岗位使用计算机工作的比率已经基本达到100%,而且90%以上都建立起了覆盖本部机关工作的局域网;电力生产、调度自动化系统广泛应用,已经形成了较成熟的管理模式。其中发电生产自动化监控系统、电力调度SCaDa系统等,大大提高了生产过程和电力调度的自动化水平;电力营销管理系统在全国各大电力企业广泛应用,各地(市)级电力企业都已实现业务受理计算机化。同时各地也在大力建设客户服务中心,已经有一批服务中心先行初步建立起来;国家电网公司及其下各级子公司开发应用了电力生产、设备安检、电力负荷及营销管理的企业管理信息系统,各大电力企业也在积极规划企业信息化发展蓝图,大力进行企业信息化建设,推动实现电力工业现代化进程。
1.2当前存在的问题
上述信息化优势证明我国电力企业近年来关于网络信息化建设取得了一些成果,给行业信息化建设打下了良好的基础,但在网络信息安全管理方面仍普遍存在较多问题。
1.2.1信息化机构建设不健全。电力企业很少为信息管理部门专门设置机构,因而缺乏应有的规范的岗位及建制。大多信息部门附属在技术部、科技部或总经理工作部门下,甚至仅设置一个专责人员负责。信息化管理是一项系统性的工程,没有专门的部门负责是不能满足现代企业信息化安全的需求的。
1.2.2企业管理阻碍信息化发展。有些电力企业管理办法革新缓慢,大多采用较落后的、非现代信息化企业的管理模式。这样的企业即便引入最完善的信息管理系统、最先进的信息化设备,也只能受落后的企业管理模式所制约,无法发挥其应有的作用。
1.2.3网络结构不合理。电力企业大多将公司网络分为外网和内网,两种网络之间实行物理隔离措施,但很多企业的网络交换机是一台二层交换机,决定了内网和外网用户在网络中地位是平等的,导致安全问题只能靠完善管理系统去解决,给系统编写带来很多不必要的困难。
1.2.4身份认证缺陷。电力企业一般只建立内部使用的信息系统,而企业内部不同管理部门、不同层次员工有不同等级的授权,根据授权等级不同决定各部门和员工访问的数据和信息不同。这类授权是以身份认证为基础的信息访问控制,但在当前的企业身份认证系统中大多存在缺陷和漏洞,给信息安全留下隐患。
1.2.5软件系统安全风险较大。软件系统安全风险指两方面,一是编写的各种应用系统可能有漏洞造成安全风险,二是操作系统本身风险,随着近期微软停止对windowsXp系统的服务支持,大量使用windowsXp系统的信息管理软件都将得不到系统漏洞的修补,这无疑会给信息安全带来极大风险。
1.2.6管理人员意识不足。很多电力企业员工网络安全意识参差不齐,一方面是时代的迅速发展导致较年轻的管理人员安全意识较高,而对网络接触较少的中老年员工网络安全意识较为缺乏;另一方面也有电力企业管理制度不够完善、忽视对员工进行及时培训的原因。在这种人员背景下,如果管理人员配备不当、信息管理系统设置不合理都会给企业信息埋下安全隐患。
2、电力企业网络信息安全管理措施
要建立完善合理的网络信息安全管理体系,需要各企业认清企业现状,根据实际进行统一规划,分部建设,保证建设内容能科学有效的运行。
2.1加强信息安全教育培训
不论计算机程序有多么先进多么完善,如果操作管理人员素质和意识不足,那也不能保证企业信息化的安全。因此,实现企业网络信息安全管理的根本在人,可以根据员工职责分层次进行培训,一方面提高安全管理员工的专业知识水平及安全管理意识,另一方面加强对一线工作人员的安全意识教育,将网络信息安全变为企业文化和精神支柱的一部分。
2.2完善管理制度建设
电力企业要把网络信息安全管理视为一个系统工程来考虑,必须在企业内部建立起合理而完善的管理制度,比如:加强网络日志管理;对安全审计数据严格管理;在企业网络上安装病毒防护软件;规定不能随意在内网主机上下载互联网数据、不能在内网计算机上随意使用来历不明的移动存储设备等。
2.3不断更新完善信息安全管理系统
大力推进信息安全新技术的探索和应用,建立信息安全防护体系,可以围绕数据库安全、数据备份和恢复、网络服务完全、病毒防护系统的应用、数据加密技术及数据传输安全等方面建立一个多方面多层次联合的技术安全体系,从而提高信息系统安全防护能力,确保企业信息安全可靠。
3、总结
电力企业信息化是不可避免的发展趋势,因此要实现企业的可持续发展就必须做好企业信息网络安全的管理,电力企业要在不断的探索实践中,摸索新时期网络信息安全管理措施,不断完善和健全网络信息安全建设。
参考文献
[1]王隽.电力企业网络信息安全防护体系的建立[J].信息与电脑(理论版),2012,07:22-23.
网络安全及信息化篇7
[关键词]电力信息;网络安全;存在问题;防范措施
中图分类号:tp393.08文献标识码:a文章编号:1009-914X(2014)29-0331-01
前言:近几年,我国信息网络技术不断发展与完善,信息网络应用于社会各个领域,为提高企业工作效率与管理水平,信息网络已经成为电力企业信息交互、传输、共享不可缺少的部分。而研究电力系统信息安全问题、制定和实施电力企业信息安全策略、建立全方位、动态的电力信息系统安全保障体系,己成为当前电力企业信息化工作的重要内容。由于信息网络具有多样性、开放性等特点,往往会因为忽略某一环节而造成重大损失。
一、电力信息网络概述
电力信息系统是一个复杂的系统,它由分布于各级变电站、营配终端、调度机构、办公场所等通过或紧或松的联系构成。它所处环境包括各个调度机构的局域网、本地计算机系统以及电力系统所连接的行业外网。因而,简单来说,电力信息网络是电力企业内依赖于计算机及网络的业务系统和通信数据网络的统称。电力信息网络系统从功能上可以分为以下几个系统:
1.监控系统
电力信息网络的监控系统包括用于电网生产运行过程中的各个监控和控制设备以及用计算机与网络执行的业务处理设备智能终端。详细包括变电站、电网调度系统、输配电线路等的自动监控系统以及配电网、计算机保护和安全装置、及调度自动化网络系统、电能计量计费及电量实时检测控制系统。
2.管理系统
管理系统是有计算机、操作者以及其他设备组成的复杂系统,其主要功能是进行信息的收集存储、加工传递以及使用和维护,主要进行日常事务的管理操作。内容包括eRp、门户、财务管理、市场交易及营销管理、人力资源管理、变电站管理、配电网管理、输电网信息管理系统等。
3.数据网络系统
电力数据网络系统主要由电力信息数据网和电力调度数据网组成,隶属于电力专用网。电力调度数据网络指的是电力生产所用拨号网以及专门用于调度的广域网络。电力信息数据网指的是用于电力系统内部的公用网络,包含的范围非常广阔,除去生产及调度外,该网络均有覆盖。电力企业的信息网络包涵了各个电力单位,并通过电力专用网络来实现信息的上传和下载以及各个单位间的互相连接。
二、电力信息网络安全问题分析
当前国家的电力信息网络体系已经相对健全,而且具有较强的电力信息安全体系,可以将电力信息网络以及电力执行时进行实时控制,各级单位信息安全设备已安装调试到位,信息安全检查工作已规范。可是依旧会有许多电力单位对信息安全性不够关注,信息安全事件和信息泄密事件频频发生,还具有很多安全风险和问题。
1、部分员工缺乏安全意识
电力企业实现信息化建设使电力企业得到了很大的发展,但是由于电力企业信息化时间较短,部分员工缺乏信息网络的安全意识,对信息安全问题的重视程度不够,存在人为的安全隐患。
2、需进一步规范管理制度
虽然我国电力企业已经初步建立起统一的、规范的信息网络信息系统的安全管理相关规定,制定了相关安全防范措施和安全保护机制,但同样由于起步较晚,在一定程度上仍然对基层电力企业的信息网络安全工作缺乏详细的维护指导。
3、信息安全管理仍然存在不统一的现象
现在信息网络已应用到电力生产、管理和营销的各个方面,但是信息网络安全仍然按主管部门分属于两个单位,分为生产办公区和调度区,两部分安全区域各自执行各自的信息安全标准,没有实现信息安全的统一管理。
4、基层电力信息网络安全的基础设施不完善
信息网络的基础安全设施建设是信息网络安全的基础,而基层电力信息网络的安全设施仍然比较薄弱,使电力信息网络安全无法得到保障。
三、电力信息网络安全防范措施
信息网络安全要加强防范措施,只有制定出严格的防范措施,才能保障电力信息网络的安全运行。
1、要加强人员管理和培训,提高员工安全意识
电力企业要定期开展内部信息网络安全培训,使员工增强信息网络安全防范的意识。电力企业要组织电力管理相关人员进行信息网络安全教育与培训,如部门负责人、用户、相关技术人员等,要求电力企业所有人员必须认识并严格遵守电力信息网络安全规定。
培养员工建立良好网络使用习惯,与工作无关的设备要禁止在企业电脑中使用。不允许在企业电脑安装盗版的软件和与工作无关的软件,严格执行“双机双网”,不允许内、外网混合使用,对电力信息网络开机口令和应用系统口令要定期进行修改,对屏幕要设置密码,对每台操作的电脑都要进行定期的杀毒和文件的备份工作等。只有提高企业所有人员的信息网络安全化意识.才能真正开展电力信息网络安全防范措施。
2、强化电力信息网安全管理
笔者认为一方面是要进行层次化管理模式。将电力信息安全网络进行层次化划分,每一层次进行隔离。另一方面是实行区域化管理模式。根据电力信息网络安全特点对电力企业信息进行划分为控制区、非控制、生产区、信息区等四大区域进行模式化管理。
3、通过不同的安全防护措施进行保护
为信息进行加密,密码作为信息领域的安全之琐,是一项非常实用的技术;为信息进行确认,为网络提供控制技术,目前一个较为成熟的信息确认技术以及网络安全控制技术需要以计算机网络开展为基础,对业务信息安全技术进行系统的策划;为计算机提供网络防病毒技术,计算机的病毒已经逐渐朝多元化、网络化等方向发展;微计算机提供防“黑客”技术,黑客大多针对的是信息系统网络以及主机内部具有的漏洞进行攻击;对数据进行备份,避免由于外界因素造成技术上的损失,让信息系统可以更加安全、数据可以更加可靠。
4、有效设置防火墙与入侵检测系统
防火墙可以有效防止恶意的入侵和攻击.是计算机系统自我保护的重要屏障。防火墙可以对各种软件进行识别,也可以对抵抗非授权的访问进行技术控制。内部的资源哪些可以被外界访问.外部的服务哪些可以被内部人员访问,都可以进行识别。防火墙的抗恶意攻击和免疫能力较强。可以对企业内部的网络进行划分Vpn.对各个网段进行隔离。限制重点或者敏感部分的网络安全。入侵检测系统作为防火墙的补充,为网络提供了主动的保护功能。可以探测网络的流量中有可能存在的入侵、攻击或者滥用模式的发生。通过上述这些措施,进一步提升电力信息网络的安全。
网络安全及信息化篇8
1引言
随着“互联网+”等现代信息技术的发展,新的网络时代已经到来。网络信息安全不仅关系到个人信息安全,更关系到国家安全稳定。所以网络信息安全是一个复杂的综合性问题,高速发展的信息技术为网络安全管理增加了难度,引发了新的网络安全问题,如何有效保障网络信息安全成为值得深思的重要问题。
2网络信息安全的内涵
网络信息安全是一个关系到国家安全和主权、社会稳定的重要问题。从内涵上来讲,网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学等多种学科的综合性学科。它主要是指要保护网络环境下系统的硬件、软件和相关数据的安全,让网络系统不能遭到破坏或泄露数据信息,使系统能够正常可靠运行,不停止网络服务。
3网络信息安全的特征
3.1保密性
网络信息安全的主要特征就是其具有保密性。网络信息需要按照既定的要求,传递过程中不得泄漏给非授权的个人、实体,或提供给其他人员利用,也就是强调有用的信息只能被授权对象所使用,非授权个人或实体无权使用。
3.2统一性
又称为“网络信息的完整性”。它主要是指信息在传输、交换、存储和处理过程中具有保持非修改、非破坏和非丢失的特性,即保持信息原样性,能正确生成、存储、传输信息,这是最基本的安全特征。要求数据结构和当前值严格保持一致和统一,预防未经授权的人擅自修改。
3.3肯定性
网络信息行为人发出信息后将无法否认自己曾经发出的信息,也无法否认接收方接收的信息是否与自己发出信息一致,故所有参与者都不可能否认或抵赖其真实身份,以及提供信息的原样性和完成的操作。网络信息安全的肯定性可以利用数字签字、数字邮戳、数字凭证和认证中心等技术和手段维护网络系统安全。
4网络信息安全保障体系
网络信息安全保障体系模式建设主要着眼在技术、立法和管理三个方面。技术是基础,立法是规范,管理是提升,这三个方面互相联系,互相制约,构成有机整体,如图1所示。因为信息安全本身就是一个需要综合治理的问题,仅靠一个方面并不能解决实际问题。
4.1技术方面
技术是网络信息安全保障体系的基础。网络病毒与反病毒、侵害与反侵害的斗争,主要是体现在技术方面。所以抓好信息安全的技术环节,将会有效遏制网络犯罪。
4.1.1网络认证技术
由于网络用户的不断增加,有些别有用心的人通过黑客技术进行信息盗取,危害网络环境。认证是防止主动攻击的重要技术,目的就是检查网络信息的统一性,检查信息发送者信息的真伪。目前主要的认证技术有身份认证、消息认证以及数字签名等。
4.1.2网络防火墙技术
网络防火墙技术是用来阻挡外部不安全因素影响内部网络的屏障,外界网络访问不经过防火墙的验证将无法连接到用户终端。常见的防火墙技术有基于服务技术、包过滤技术等,这些技术可以防止外部网络对内部网络中重要信息的非授权访问,有效提升网络的安全性。
4.1.3网络信息加密技术
网络信息加密技术主要是在网络上信息传输时,在发送端对信息进行加密,利用一定的加密算法,将明文转换成密文,再在信息的接收端对信息进行解密还原,这样就能够阻止非法用户获得和截取原始数据,从而确保网络信息的保密性。
4.2立法方面
4.2.1建立网络信息安全总法
总法主要体现在建立网络信息安全管理中主体、责任、义务等方面,主要阐述总法的目标和原则,明确网络中各个主体的权利及义务,建立网站身份认证,实施网络后台实名制,保护网络主体的隐私权,推进网络信息保密制度,完善行政机关对网络信息安全的监管程序和制度以及规定具体的诉讼救济程序等。
4.2.2建立网络信息安全单行法
鉴于网络社会更新发展速度快,而规范立法滞后的特点,在总法下,可建立专门保护网络商业信息安全以及网络个人信息安全的单行法。例如现可以通过立法保障电子支付等各个方面的网络信息安全问题,减少电子商务、通信服务的障碍,保障个人的信息安全,减少违法犯罪。
4.2.3完善其他法律中有关信息安全的规定
在总法或单行法未出台或者未规定前,新出现的网络信息安全问题可以通过修改现有法律来规范,及时处理网络发展、网络监管和网络服务中存在的问题,完善网络信息安全的相关条款,这也是网络信息安全立法的一部分。
4.3管理层面
网络信息安全不仅涉及到技术和立法,重要的是管理。要通过加强管理来提升重要信息的安全性。
4.3.1建立权威性的管理机构
针对国家面临的重大信息安全事件,统筹规划,做出决断。2014年“中央网络安全和信息化领导小组”在北京成立,说明国家高度重视网络安全和信息化工作。同时要求工业和信息化部、公安部做好网络安全及相关信息安全管理工作,维护国家信息安全,监督处理网络安全舆情,建设国家信息安全保障体系。
4.3.2明确具体执法部门职责
在网络安全执法过程中不能出现主体不清的现象。虽然《计算机信息系统安全保护条例》中明确规定由公安部负责全国计算机信息系统安全保护工作,而国家安全部、国家保密局等其他部门协助做好信息系统安全保护的有关工作,但是这些规定没有细化明确具体责任,容易造成在具体实施过程中出现职责冲突的情况。
4.3.3制定网络安全管理制度
一是明确网络信息系统中管理人员的权限、职责,制定人员管理制度,二是完善使用网络使用权限、身份认证、防火墙、数据备份等基本安全措施,制定计算机信息系统管理制度。
总而言之,“没有网络安全就没有国家安全,没有信息化就没有现代化”,在新环境下网络安全形势日益严峻,为了国家安全和社会稳定,我们要提高对网络信息安全的重视程度,增强网络信息的安全意识,重视网络信息安全技术应用,建立健全完善法律法规,加强信息安全管理,保障网络信息的安全。
作者简介:
网络安全及信息化篇9
关键词:网络安全;保障体系;构建策略
中图分类号:tp393.08文献标识码:a文章编号:1007-9599 (2012) 19-0000-02
1网络安全问题概述
1.1网络安全的现状。2011年,我国境内与互联网连接的用户有60%以上的用户受到境外用户的攻击。仅在过去的两年我国遭到网络安全攻击的计算机ip地址就超过了100多万个,被黑客攻击的网站将近5万个;在网络病毒威胁方面,我国仅被一种网络病毒感染的计算机数量就超过了1800万台,占全球感染主机总量的30%,位列全球第一。近些年关于漏洞多,木马、病毒猖獗;网络瘫痪、网站被篡改、系统被入侵;网银转款、网上诈骗等网络安全问题的报道也非常多,网络安全现状令人堪忧。
1.2网络面临的问题与挑战。随着计算机网络通信技术的高速发展,人们的工作和生活越来越离不开计算机网络信息通信系统,近些年,新涌现出来的网络信息安全问题已成为全球广泛关注的焦点问题,人们在在网络信息安全方面面临着各种各样的问题,来自网络安全的各种挑战非常严峻。
首先,计算机网络信息系统不断从传统的专有系统想当前的通用操作系统转变,也就是说,当前的网络信息系统越来越开放,再加上,绝大多数网络通信系统采用的是tCp/ip网络传输协议来进行网络通信服务的,而tCp/ip网络传输协议由于自身安全性不足,给网络信息系统的安全就带来了一定的挑战;其次,随着国际互联网网络这一大环境的不断改变,针对网络信息系统的安全威胁不断表现出多样化和多源化的特点,针对网络系统的安全威胁的多样化和多源化,需要构建一个纵深的、立体的、全方位的网络安全解决方案,这就为网络安全防御系统的复杂性和可控性问题提出了挑战;最后,在过去的几年中,有很多组织机构部门对自身的网络信息系统的安全建设进行了大量的人力和资金投入,并花费了大量的资金用来进行网络系统安全设备的采购,以采集大量的网络通信日志及网络安全攻击报警信息,但问题是,所采集的这些信息并没有被得到充分的利用,以至于许多未被明确的网络安全风险,依然保留在网络信息系统中,从而对网络信息系统的安全构成威胁。
2认识网络安全保障体系
2.1网络安全保障体系的提出。随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,网络安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的网络系统面临的风险能够达到一个可以控制的标准,进一步保障网络信息系统的安全稳定运行。
网络安全保障体系是针对传统网络安全管理体系的一种重大变革。它依托安全知识库和工作流程驱动将包括主机、网络设备和安全设备等在内的不同资产和存放在不同位置中的大量的安全信息进行范式化、汇总、过滤和关联分析,形成基于资产/域的统一等级的威胁与风险管理,并对威胁与风险进行响应和处理,该系统可以极大地提高网络信息安全的可控性。
2.2网络安全保障体系的作用。网络安全保障体系在网络信息安全管理中具有十分重要的作用,主要体现在如下三个方面:首先,网络安全保障体系可以对整个网络系统中不同的安全设备进行有效的管理,而且可以对重要的网络通信设备资产实施完善的管理和等级保护;其次,网络安全保障体系可以有效帮助网络安全管理人员准确分析现有网络信息系统所面临的安全威胁,从而可以帮助管理人员制定合理的网络安全应急响应流程;最后,网络安全保障体系可以通过过对网络风险进行量化,实现对网络风险的有效监控和管理。
3网络安全保障体系的构建策略
3.1确定网络安全保障体系构建的具体目标。网络安全保障体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。其中,信息安全的组织体系是指为了在某个组织内部为了完成信息安全的方针和目标而组成的特定的组织结构,主要包括决策、管理、执行和监管机构四部分组成;信息安全的策略体系是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。
3.2确定适合的网络安全保障体系构建的方法。(1)网络安全管理基础理论。网络安全保障体系的安全管理方法就是通过建立一套基于有效的应用控制机制的安全保障体系,实现网络应用系统与安全管理系统的有效融合,确保网络信息系统的安全可靠性。(2)建立有效的网络安全保障体系。一是网络信息安全组织保障体系作为网络信息安全组织、运作、技术体系标准化、制度化后形成的一整套对信息安全的管理规定,建立的网络安全保障体系可以在完善信息安全管理与控制的流程上发挥重要作用;二是网络信息安全技术保障体系作为网络安全保障体系的重要支撑,有效利用访问控制、身份鉴别、数据完整性、数据保密性等安全机制,是实现网络安全防护的重要技术手段;三是网络信息安全运维保障体系可以通过对网络信息系统的安全运行管理,实现整个网络信息系统安全监控、运行管理、事件处理的规范化,充分保障网络信息系统的稳定可靠运行。
3.3建立网络安全保障体系组织架构。网络安全组织体系是网络信息安全管理工作的保障,以保证在实际工作中有相关的管理岗位对相应的控制点进行控制。因此,需要根据该组织的网络信息安全总体框架结合实际情况,确定该网络组织信息安全管理组织架构。其中,网络安全保障体系组织架构主要包括如下内容:一是网络信息安全组织架构。针对该组织内部负责开展信息安全决策、管理、执行和监控等工作的各部门进行结构化、系统化的结果;二是信息安全角色和职责,主要是针对信息安全组织中的个体在信息安全工作中扮演的各种角色进行定义、划分和明确职责;三是安全教育与培训。主要包括对安全意识与认知,安全技能培训,安全专业教育等几个方面的要求;四是合作与沟通。与上级监管部门,同级兄弟单位,本单位内部,供应商,安全业界专家等各方的沟通与合作。
3.4建立网络安全保障体系管理体系。(1)网络访问控制。用户访问管理规范及对应表单、网络访问控制规范与对应表单、操作系统访问控制规范及对应表单、应用及信息访问规范及对应表单、移动计算及远程访问规范及对应表单。(2)网络通信与操作管理。网络安全管理规范与对应表单、internet服务使用安全管理规范及对应表单、恶意代码防范规范、存储及移动介质安全管理规范与对应表单。(3)网络信息系统的获取与维护。网络信息系统的获取与维护即要求明确网络信息安全项目立项管理规范及对应表单、软件安全开发管理规范及对应表单和相关的软件系统。
参考文献:
[1]刘明伟.网络安全保障体系构建及其实现策略研究[J].科技资讯,2010,13.
网络安全及信息化篇10
随着网络信息技术的普遍应用与发展,给人们的生产与生活带来了很大的便利,但是其中所显现出的网络安全问题,又给人们的生产与生活带来很大的困扰,甚至给我国国家安全带来很大的威胁,因此当前形势下如何有效的应对网络信息安全问题所带来的威胁成为当前最重要的任务目标。
1网络信息安全事件
网络安信息安全事件是指不管是因为偶然的自然因素,还是通过非法手段恶意等对网络信息进行篡改插入删除,导致网络信息的完整性以及安全性不能得到保障的情况。网络信息安全事件不仅会对人们的生活与生产造成很大的影响,而且还有可能会威胁到国家信息安全。目前主要产生的网络安全事件有以下几种:
1.1非授权进行的访问
非授权访问主要指的是没有得到系统相应的授权就对网络或者计算机资源进行访问,也就是通过非法的手段避开系统中的访问控制权限,非法使用网络中的各种信息资源。或者是超越权限范围访问某些信息。主要是以下形式出现:假冒身份、非法侵入以及身份攻击等机型网络系统进行为违法操作,由于是通过非法的渠道获取方位途径会对信息安全造成很大而隐性。
1.2信息泄露
信息泄露主要指的是有价值的信息数据或者是敏感数据被的泄露出去或是丢失。比如说:账号、密码以及邮件等重要资料在信息传输中出现的信息泄露或者是丢失。一般都是由于人为因素导致的,如利用黑客方式获取机密信息或者丢失有价值信息,会对正常的社会秩序造成很严重的影响。
1.3数据的完整性遭到破坏
数据的完整性遭到破坏这类信息安全事件主要是指通过非法的手段对某些重要信息进行删除、篡改等导致某些数据信息遭到破坏。从而严重影响了用户正常使用。
1.4拒绝服务攻击
这类安全事件主要指的是利用系统安全的操作漏洞以及协议漏洞等,对网络设备进行攻击,从而干扰网络服务系统正常的作业流程,使系统反应减慢或者是瘫痪,导致正常的合法客户被执行程序排至无法进行网络服务系统,无法得到相应的服务,对合法用户造成很严重的影响。
1.5恶意代码
这类网络攻击事件主要指的是通过病毒、木马、蠕虫、间谍软件以及其他后门等攻击特定的系统执行程序而引发的灾情,其中计算机病毒是引发网络信息安全的主要祸首,会导致系统瘫痪以及导致很多重要的数据丢失或者是丢失,无法正常使用。
2网络信息安全问题带来的威胁
随着网络信息技术的普及与发展,计算机网络已经普遍应用于社会活动各个领域当中,很多重要的信息都是通过网络进行传播,因此网络信息的安全,对人们的生产生活来说具有非常大影响,主义可以体现在以下几个方面:
2.1网络信息安全对个人方面的影响
首先,对个人购物网的影响,随着网络技术的发展,人们的购物模式也发生了很大的改变,更多的人更倾向于网络购物,主要是由于网络购物相对方便,可以在任何有网络覆盖的地方进行购物,比如说可以在家在办公室等随时可以购买自己需要的物品,而且非常的方便快捷。但是由于人们在支付过程中可能涉及一些重要资料。比如说:账号密码、银行卡信息等。如果在一些网络公共环境下或者是免费的wifi环境中有可能导致这些重要的信息被泄露,从而给用户个人带巨大的损失。其次,对个人的网络社交造成一定的影响。随着互联网技术的发展,以网络为依托的QQ、微信等社交平台也逐步取得了较快的发展,成为人们沟通交流的主要辅助工具,但是由于这些社交平台的头像以及资料等很容易被不法人员假冒并利用客户的信息向其他人骗取钱财等,甚至可能盗取账户中的钱财,这都给个人造成巨大的损失。
2.2对企业带来的影响
随着计算技术的发展,以经济为目的的各类信息安全事件逐渐增加,企业是社会经济发展的中的重要元素,而一些不法分子处于某种目的利用木马病毒、何黑客等对企业网加大进入或攻击的力度,是企业的一些重要的数据信息遭到破坏、删除或者是篡改,严重影响了企业利用网络进行正常的商业活动。比如说企业的竞争对手或者是对企业不满的员工可能会利用木马病毒植入企业计算机内部对企业中的重要文件进行的恶意的篡改以及删除,导致企业的内部私密文件造成损毁,这势必会给企业的生产运作带来很严重的影响。虽然企业逐步升级计算机软件,但是由于计算机网络总会或多或少的存在一些安全漏洞这就很容易被不法人员利用去窃取企业的机密文件或者是数据信息,导致企业的经济造成巨大的损失。另外,企业维护管理工作中的不足也会带来很大而信息安全隐患,给企业造成巨大的算是,比如说:网络维护管理人员的管理不到位,没有定期扫描病毒或者是进行杀毒等,这些都很容易被不法分子钻空子,给企业经济发展带来严重的影响,设置扰乱社会经济发展秩序。
2.3对国家安全带来的影响
网络信息安全问题也会对国家安全带来很大的威胁,主要可以体现在以下几个方面:首先,网络信息安全对国家的政治安全的影响,随着网络信息技术的发展,网络已经被普遍应用于社会生活的各个方面,国家之间也主要是通过网络信息传播意识形态的,尤其是西方国家的一些不良思想意识,从没有放弃利用网络技术对我国人民意识进行影响,甚至可能采取一些非主流的手段加速对我国公民的意识的渗透与影响,从而导致人们的意识形态朝着多元化发展,不利于我国政治秩序的稳定。其次对我国经济安全的影响,目前国际经济中的大量的金融信息与交易信息都是靠网络进行传输的,很容易成为不法分子攻击的对象,甚至会给国家经济造成严重的损失,因此要重视网络信息安全问题。再次,对国家文化安全造成影响,网络技术的发展,方便了过国家与国家之间的文化交流,但是有些国家可能会利用网络对我国的文化进行非法侵犯,从而对我国的文化安全造成很很重的影响。
3出现网络安全问题的原因
3.1自主创新能力不足
由于我国信息产业相较于国外来说起步相对较晚,再加上很多发达国家对我国采取遏制政策,使我国的信息产品进口受到阻碍,我国在信息产业发展中处于相对被动的地位,信息产业关键部件的对口较为依赖国外,导致我国信息产业的关键领域很容易遭受到攻击与破坏。以硬件来说,我国所使用的计算机中央处理器有很大一部分是需要从国外进口的,虽然我国研发的大型计算机水平已经在世界范围内处于领先地位,但是核心处理器部分仍旧依赖进口,很多核心零部件主要来自于西方发达国家,国内厂商只是在国内进行简单组装与加工相对简单的部分。从软件来看我国计算机网络所安装使用的操作软件也多是国外产品,而且国内的软件几乎都要依靠国外软件才能够正常运转,这不仅导致我国的网络技术安全管理技术水平无法有效的提高,而且可能导致管理中出现不足,给信息安全监管到来很大困难,使我国经济发展以及国家的整体安全受到威胁。
3.2网络信息安全意识有待提升
目前我国仍旧没有对网络信息安全引起足够的重视,相关部门更加注重提升各部门人员的网络技术水平,而忽视了网络信息安全问题的重视,比如说:很多部门更加注重引入先进的技术信息设备以及提升部门内部人员的技术水平,却在网络信息安全部分的投入相对不足,导致信息安全管理方面出现很大的漏洞,很容易导致关键信息被窃取。再加上网络信息传播具有传播速度快,途径隐蔽的特点导致网络信息安全监管出现很大的问题,随着信息技术的发展,信息安全事件中虽采用的技术手段也逐步更新。我国的网络信息安全管理的意识始终没有提升,欠缺网络信息安全的知识以及技术方面的了解,会对我国的网络安全问题的监管工作带来极大的不利。
3.3信息技术发展环境的变化
信息技术的快速发展,加速了世界各国对信息网络资源的争夺,网络间谍的活动也逐渐增多,尤其是西方一些敌对势力加大了网络信息渗透,并利用网络技术截获了我国大量机密信息,而由于他们采用的网络信息技术不断升级,并且隐蔽性逐渐建增强,给网络信息安全监管带来很大的问题,比如说:随着网络技术的升级,不仅能够利用软盘、优盘来获取重要信息,还可能通过电磁波传播泄密,并且计算机病毒以及黑客攻击程序的技术逐步升级,使网络信息战更加的激烈,稍有不慎就可能被敌对势力获取我国的机密资料危害我国的公共安全以及社会的稳定,因此在网络技术飞速发展的新时期使我国网络信息安全监管工作面临着更严峻的形式。
4如何有效应对网络信息安全问题所带来的威胁
4.1构建完善网络信息安全法律体系
完善的网络信息安全法律体系是网络信息安全的根本的保障,随着网络信息技术的快速发展,网络信息相关的法律法规也需要逐步完善才能够使网络信息安全问题得到有效的监管,保证国家政治、经济的安全,维护社会的稳定。首先完善网络安全信息安全立法体系,随着信息技术的飞速发展,网络信息安全的立法体系为了适应其发展速度也需要不断地完善更新,虽然目前我国出台了一系列的法律法规,但是由于其内容相对简单无法适应现代信息技术的发展,不利于我国信息安全管理工作的顺利开展,因此要逐步完善信息安全立法体系,可以在借鉴国际信息安全方面的相关方面的法律并结合我国国情,从维护国家利益出发,制定适合我国并具有特色的信息安全管理法律法规,维护我国网络信息安全。其次,完善网络内容责任制度,目前我国的网络内容责任制度尚不明确,没有对访问控制、流量控制、控制、ip控制以及时间控制等权限控制,导致管理员以及个人用户之间没有明确区分界定,给网络信息安全监管带来很大的困难,因此要逐步完善网络内容责任制度,使我国信息安全体系更加的完善,保障我国网络信息的安全。
4.2提升网络信息安全意识
随着网络信息技术的快速发展与普遍应用,世界各国逐渐认识到网络安全监管的重要性,网络监管的主要目的是为了维护我国主权的安全以及公众的利用,防止网络成为损害国家以及公民个人利益的途径,因此要逐步提升网络安全的意识,从而使为我国网络信息安全提供重要的保障。首先我国政府要充分发挥出信息安全管理主体的重要作用,从国家信息化发展的整体出发,积极采取综合防治预防的方法,把握信息安全问题的内部规律,科学规划与建设网络信息安全体系,及时投入必要的投入,促进我国信息产业发展的同时保障我国信息安全管理工作的顺利开展。其次,我国公民要逐步提升网络安全意识,维护国家主权完整以及保障国家利益是我国每个公民的责任,因此要逐步提升网络信息危机意识,清醒的认识到网络技术发展对国家安全的威胁,逐步提升网络安全技术并积极运用网络寻找应对网络安全问题的策略措施,减少网络信息安全问题给我国政治经济带来的损失。
4.3提高我国信息化产业的自主创新能力
信息化产业的发展是我国信息安全发展的基础。由于我国的信息产业发展主要是依靠发达国家提供的核心技术,这就导致我国的机密文件以及重要的资料很容易被西方国家所掌控欲获取,甚至影响我国的主权的完整,因此我国要支持与鼓励措施推动我国信息化产业的发展。首先优化我国网络信息产业发展的环境,完善信息产业发展的政策,并为企业发展提供物质与技术方面的支持,从而为国家信息产业自主创新能力的提升提供重要的保障。其次,企业自身要逐步提升自主创新能力。信息技术企业要逐步加大自主研发的投入力度,促使自身的自主创新能力得到提升。
总之,随着网络信息时代的快速发展,网络信息安全的监管环境也发生了很大的改变,网络信息安全问题已经成为当前形势下最为重要的问题,为了保障我国信息安全,更好维护我国国家主权的完整以及人们的利益必须提升网络信息安全意识,逐步完善我国的网络信息安全法律体系,不断提升我国信息化产业的自主创新能力,从而确保我国的政治、经济以及文化的安全,推动我国建设事业健康稳定发展。