网络安全与信息化篇1
关键词:网络信息化建设;安全问题;阐述;讨论
在计算机与网络技术飞速发展的背景下,当代社会逐渐进入到信息化的时代当中。而在信息化时代环境中的企业与事业改革,发挥着关键性作用的就是网络信息化建设。但是,在信息化建设的过程中,伴随其发展与完善的同时,也存在一定的安全问题,只有有效地解决网络信息化建设中的安全问题才能够确保网络信息的安全。
1网络信息化建设中的安全问题分析
1.1安全基础不牢固。同发达国家相比,我国的网络信息化起步相对较晚,并且发展的速度也较为缓慢,而且,在网络信息产品进口方面也始终受到制约与阻碍,导致网络信息化建设的工作也处于被动状态。第一,硬件设备方面。网络信息化的建设,其中所需要的计算机需要在其他国家进口,虽然我国的超级计算机整体水平与国际先进水平几乎一致,但是,却始终无法摆脱进口的地位,更为严重的就是在制造核心的零部件时,我国的大多数厂商主要是加工与组装,在生产过程中严重缺乏原创的意识与想法[1]。第二,软件设备方面。现阶段,我国的电脑操作平台几乎是被美国的微软垄断,若对微软操作系统的应用不合理,就会使我国软件与网络的运行存在一定的难度,并且很容易使得网络信息化的建设位于被动的状态,最终受到其他人的限制与约束。我国的网络信息化建设,其中应用的管理软件大部分都是进口,在一定程度上使得网络信息化的建设受到威胁,但是,却使得国外的软件生产商获得了意外的高额利润[2]。由此看来,目前我国的网络信息化安全防护的系统不健全,并且其基础也并不牢靠,始终过于依赖国外软件设备,进而对网络信息化的建设发展带来了阻碍与制约。
1.2安全意识薄弱。我国的网络信息化建设,从其中的多数工作开展状况看来,因而未体现出对网络信息化建设安全问题的关注与重视,所以,技术与安全问题也同样被严重忽略。在网络信息化的建设过程中,人们更重视技术与设备,而忽视了安全投入,也忽略了安全问题的重要作用,进而导致网络信息化的建设过程中经常出现安全漏洞,使得安全事故频繁发生。除此之外,虽然政府的机关单位与企业有意愿重视网络信息化的建设安全,但是,却并没有采取具有针对性的安全管理措施,也并未营造出安全的工作环境,所以,目前看来,对网络信息化建设安全管理工作的强化十分重要。
1.3安全防护措施不健全。在网络信息化建设的过程中,不仅安全意识薄弱,同时,对于危险的抵御能力也严重匮乏,并且很难使用最佳的方法来实现自我保护。
1.4网络犯罪的影响较大。有些网络犯罪分子仅仅因为利益的驱动,就采取诈骗或者是木马病毒的投入等多种手段来对用户的私密信息进行窃取,对用户工作机密造成破坏,给用户带来严重的危害。即便是国家有意愿采取相应的抵御措施来避免网络犯罪行为的发生,但是,因为网络犯罪分子自身的隐秘性极强,并且十分狡猾,所以,最终的成效并不明显。
2网络信息化建设安全策略分析
2.1积极完善网络信息化建设安全法律法规。首先,应保证安全立法充分展现与时俱进的精神。目前,网络信息化建设的安全法律层次不高,即便是法律内容会涉及到较多方面,但是,其法规内容相对简单,无法及时对网络信息技术发展情况加以规范,所以,必须要强化网络信息化建设中安全法律法规的覆盖面与深度,并不断完善既有体系,积极引进并借鉴先进的经验,充分结合我国网络信息化建设的情况,具有针对性地强化网络信息化的建设。其次,应对网络信息与传播进行规范。当前,网络信息共享中的安全问题研究深度不够,并且责任制度不合理,所以,应尽量规范网络信息的和传播[4]。并站在国家与公众的利益角度上,重视网络信息的监管,防止危害网络信息的现象频繁发生。最后,应积极加快网络信息化建设安全立法的步伐。为了紧跟网络信息技术快速发展的脚步,一定要保证网络信息化建设安全立法具有预见性,同时,还应该对信息未来会出现的安全风险进行一定的评估,保证网络信息技术能够及时地做出反应,并确保法律法规在网络信息化建设的过程中进行有效地管理[5]。
2.2充分发挥网络信息化建设中安全管理在政府中的作用。我国的网络信息化建设,政府在安全管理工作中发挥主导性的作用,所以,一定要保证与其相关的安全法律法规完善,保证视网络信息化的建设处于正常的运行轨道中,对于威胁网络信息化建设安全的行为应予以严格地监管与处理。
2.3不断完善网络信息化建设的安全方式。第一,贯彻并落实许可与准入制度。在网络信息化的建设过程中,安全管理工作可以贯彻并落实许可和准入的制度,进而对其安全进行有效地监督与管理[6]。现阶段,大部分国家都已经应用了此方法,并且取得了一定的成效。然而,在我国内部实行该制度的时候,则应该积极地建立控制与审查机制,并保证其科学合理,对网络信息进行有效地控制,进而对其中存在的安全问题进行及时地解决。第二,积极提高安全技术层次。要想实现安全技术层次的提高,最重要的就是要积极引进先进的技术,对其操作进行严格地监管,进而获得理想的效果。
2.4更新安全防护设备。众所周知,网络信息化的建设,其灵活性十分显著,所以,一定程度上为网络的不良行为提供了契机。然而,为了降低该情况发生的几率,就应该保证互联网企业对防护设备进行定期地更新,并对设备防护的具体情况进行观察,避免网络不良信息的进入。
3结束语
综上所述,在我国的社会发展过程中,网络信息化的安全建设势在必行。由此看来,相关的职责部门需要充分展现自身的价值,对国家各种力量进行利用,进而对不良的网络信息化建设行为进行严格地打击,对不良现象进行预防。而网络信息化的建设对于国家的发展与进步具有重要作用,因而,在其建设的过程中,一定要积极完善相关的法律法规,并强化网络信息安全管理工作,对信息安全形式进行相应的优化,有效地提升其安全技术的层次,发挥政府主导地位,进而促进网络信息技术的进一步发展。
参考文献
[1]王守认.解析网络信息化建设存在的安全问题[J].中国化工贸易,2015,7(16):297.
[2]乔琦琦,段昆.信息化建设中的网络安全问题分析[J].消费电子,2014(24):142.
[3]孙丽睿.浅析网络信息化建设存在的安全问题及对策[J].信息与电脑,2015(21):156-157.
[4]王静.当前我国企业信息化建设中的网络安全问题研究[J].行政事业资产与财务,2014(6):224.
[5]李海舟.浅析网络信息化建设存在的安全问题及对策[J].电子世界,2012(23):134.
网络安全与信息化篇2
所谓的网络安全主要指的是网络系统中的数据、硬件、软件等能够受到良好的保护,不会受到恶意或者偶然的因素而泄露、更改或破坏,能够保证系统的正常稳定运行,且提供的网络服务不会发生中断现象。由于医院本身的性质较为特殊,医院信息系统必须是一个24h都能正常运行的网络系统。除此之外,医院信息系统的网络辐射范围是整个医院的所有部门,很多计算机联网后同时运行,其中包含了患者就诊的每一个环节,这使得医院开展的每一项业务都有着非常高的网络依赖性。除此之外,医院通过互联网实现了和医保联网,从而使医院网络模式变得更具有开放性,同时也在一定程度上增加了网络攻击病毒感染的可能性,只要医院网络信息系统出现故障,则会对医院的管理工作与医疗工作产生很大的影响,并且给患者和医院带来巨大的损伤及灾难。当前,医院信息化建设过程中主要存在的网络安全隐患包括三个不同的层面:网络安全、系统安全、数据安全。其中,系统安全包括应用程序安全、操作系统安全及物理安全,网络安全则会伴随着网络攻防技术的不断演变而呈现出复杂性、多样性的特征,数据安全主要包括数据防护安全及数据本身的安全。通常而言,医院信息化建设中网络安全问题主要包括应用服务、产品、技术及物理4个层面。从应用服务层面来说,网络安全问题主要指的是在网络终端将网络接入后发生的安全问题,例如垃圾邮件、黑客攻击、非法入侵、病毒感染及违规操作等,导致系统网络中断、服务器瘫痪、主机遭到劫持、患者账户隐私被盗、数据被篡改或丢失以及医疗信息失窃等等;从产品层面上来说,网络安全问题主要指的是软件操作系统与硬件设备和应用程序中被恶意植入的代码及隐藏的后门造成的安全问题;从技术层面来说,网络安全问题主要指的是信息产品本身存在的设计与研发方面的缺陷,也包括日常管理维护及信息技术引进中的可控性、非自主造成的安全隐患;从物理层面上来说,网络安全问题主要指的是由于受到错误操作、人为破坏、自然灾害以及计算机攻击行为,造成计算机网络系统无法继续正常运行下去。除此之外,随着当前网络科技信息的不断进步与变化,网络安全威胁也随之发生了很多方面的变化,新兴的网络威胁如apt攻击、钓鱼网站、僵尸网络等等,现阶段的网络安全问题可谓十分严峻。
2医院信息化建设过程中网络安全的防护对策分析
2.1构建科学的网络安全管理制度
要想充分保证当前医院网络环境的稳定健康运行,医院必须制定出科学的网络安全规章管理制度。医院应当结合自身的实际情况,采取科学的使用方法和合理的管理制度,例如机房安全管理制度、医疗资源数据存储备份制度、网络运行维护制度、医疗信息系统操作使用制度等,并且医院应当逐步培养工作人员的网络安全意识,从而保证医院网络安全能够有据可依、有章可循。此外,医院还可以成立网络安全应急小组,当发生网络安全事件问题时小组应当根据事件的严重程度采取措施。如果出现灾难时应当在第一时间内对网络安全进行恢复,并且尽可能将医院的社会影响、故障损失及网络中断时间降到最低,同时形成长效的问题整改机制。除此之外,医院还应当对所有的网络使用人员进行定期的考核,确保所有的工作人员能够完全胜任其所属的岗位职责。
2.2采取科学的网络安全管理措施
医院应当在充分结合自身发展实际情况的基础上,实施科学正确的网络安全管理措施,从而保证整个网络信息系统能够安全、高效、正常地运行。第一,为了进一步保证医院网络系统服务器能够高效、稳定可靠地运行,应当采取双机热备、双机容错等解决措施;第二,对于一些十分关键的设备,建议通过UpS进行主机设备供电,这能够在保证电压稳定的同时,有效避免发生突发事件;第三,网络架构设计方面,应当将主干网络链路也构建成冗余模式,一旦主干网络中发生线路故障时,则可以通过冗余线路保证网络信息数据依然能够得到正常的传输;第四,物理隔离措施同样是不可缺少的一种安全防护措施,医院专业的工作人员应当将网络外网和业务内网进行物理分离处理,从而防止发生互联网和医疗业务网络出现混搭的现象,这能够从根本上避免受到互联网因素的影响导致医疗业务数据发生外泄,还可避免非法用户借助外部网络进入医院信息系统和服务器实施一系列非法操作;第五,针对医疗业务信息安全,医院应当构建出系统和数据备份容灾体系,从而保障发生机房灾难和存储设备损坏时能够在短时间内快速恢复信息系统的正常运行;第六,采取权限分级管理的措施,避免修改数据以及越权访问等现象的发生,还能够对部分关键数据信息进行跟踪预警等。
2.3实施科学合理的技术手段
医院网络安全防范的对策较为繁多,在技术手段方面的对策应当变得多层次、多元化,从被动防护过渡到主动防御层面上来。第一,由于医院的网络架构是外网和内网隔离的,内网的网络安全需求更为高级,其应当安装一些强大的杀毒软件,同时还应当构建管理控制中心,以此来进行危险项修复、病毒库更新、病毒查杀、漏洞修复、全网体验等;第二,在医院的外网和内网之间构建出防火墙网关,从而将一些非法服务和不安全的服务过滤出去,对网络访问进行适当的限制,还能够在一定程度上探测及预警网络的攻击行为,避免出现潜在的、不可预测的恶意入侵现象;第三,要想有效弥补防火墙存在的漏洞,医院还应当采取专业化的入侵检测系统部署措施,将多个关键点分散在网络中,通过对审计数据、安全日志及行为或其他网络来检测所获取的各方面信息,并且从其中发现系统或网络中是否存在被攻击的现象或有违背网络安全的行为;第四,医院在信息化建设过程中,专业的技术人员还应当通过安全扫描技术,全面扫描网络中的网络服务和可能潜在的安全漏洞;第五,构建云安全管理平台。通常来说,通过虚拟化平台能实现网络安全的集中式管理,如终端保护方案、事件管理(Siem)、数据防丢失(DLp)等,从而为医院提供出相关的云服务功能,通过虚拟化的手段来压缩医院网络维护成本,并且能够对医院内部网络安全问题进行有效解决。例如,利用VmwarevSphere5与病毒厂商的结合,从而对服务器进行全方位的检测,这能够动态识别网络通信及对虚拟架构配置更改问题,同时还能够对用户中的未授权操作进行阻止,并且给在不会对系统安全运行产生影响的前提下防止oday攻击等行为。
3结语
网络安全与信息化篇3
关键词:现代企业;信息网络;安全优化
中图分类号:tp309.7文献标识码:a文章编号:1671-7597(2011)1210088-01
0前言
21世纪是一个发展的时代,也是网络高速发展的时代。科技推动社会的发展,同时也加快了网络信息的发展。但任何事物都具有两面性,信息网络为企业带来了便利同时也带来了安全隐患。比如企业与企业之间的斗争,网络犯罪、信息侵权以及信息市场不正当竞争等违法乱纪之事。只有进一步网络安全优化,确保现代企业信息网络安全性,才可以让企业更加放心的使用网络,进而解决企业对网络安全的后顾之忧。
1现代企业信息网络安全的现状
要对现代企业信息网络安全进行优化,就必须要抓住现状中存在的问题。目前现代企业信息网络安全技术还不完善。很多企业是网络大都还采用tCp/ip作为网络基础。虽然这种协议简单高效但没有考虑网络的安全性。
现代企业信息网络确实也采取了各种安全措施,无非是加密机制、数据签名、访问控制、认证机制、以及防火墙系统之类,其中构筑防火墙系统和加密机制是目前为主要的方法。但仍然无法有效的防治恶意不法人员入侵。
其中以地址和邮件的传输举例。为了提升网络资源的利用,现代企业信息网络技术有一个物理地址(maC)在缓存之中,从而给信息网络待命准备。该maC存在系统上的漏洞,不法分子很容易就找到要攻击目标的物理地址,从而种下不安全的因素。网络攻击不是单一的,而是各种各样都有,比如协议攻击、恶意远程攻击等。
总体来讲,现代企业信息网络安全主要问题在于:tCp/ip协议没有考虑信息安全性、电脑系统安装存在问题、缺乏有效的监控预防、对恶意病毒缺乏有效控制、以及企业操作人员的使用不正确等。
2优化网络信息的安全性
要优化企业信息网络的安全性,首先要在根源上做出相应的优化策略。这样才可以真正达到网络信息安全优化的目的。
2.1加强操作人员对网络信息安全意识
事实上,许多的网络安全问题都是源自于操作不当。究其原因,许多操作人员对网络信息安全的意识十分薄弱,没有意识到网络完全的重要性。而且一些操作人员对计算机操作不正确,带来安全问题。
所以,必须对现代企业信息网络操作人员进行安全培训,包括软硬件、机房、网络数据各个方面的安全问题。只有对操作人员进行专业化的安全教育和培训,才能够提升操作人员对网络信息安全的意识。也只有提升了操作人员的工作态度和责任,才可以有效地预防网络信息安全事故。同时不间断地加强操作人员的业务水平与技术的培训,从而提高工作人员的操作技能,才能够有效地优化信息网络的安全。
2.2提升网络信息的安全服务
如果在现代企业信息网络中实行实名身份认证验证,就能够在一定程度上提升安全指数,能够有效的抵御一些主动攻击行为,从而加强现代企业信息网络的安全。在身份认证时最好需要管理人员进行识别是否正确,只有双向认证确认无误之后才可以通过验证,这样进一步优化了信息网络安全。通过实施身份认证再加上对访问数量进行控制,这样就可以很好的防御越权行为。
除了对操作人员和安全服务优化之外,还必须要在数据上做一些必要的优化,提供现代企业信息网络的安全防范。同时现代企业信息网络的数据库也必须要加密,密码最好相对复杂一些,这样可以进一步让信息泄露的几率大大降低,从而更好地起到防范作用。然而随着信息网络技术的发展,一般的加密也不再适用,不断地被破译,就不得不提高加密技术。目前使用最为广泛的就是DeS算法与公开密钥算法等。
2.3加强网络信息主机的管理
网络信息机房中的主机安全尤为重要,优化主机安全势在必行。因为只有合理地管理网络信息主机,才有更加有效的防范手段。对主机的管理包含了安装的软件,以及计算机的硬件管理。作为现代企业信息网络主机,必须要注意信息来源和带来的通信大小,不可以很明显地增加或删减网络通信量的最高值。网络信息的主机管理主要划分了配置、故障、性能和安全等几个比较重要的部分,应该对每一个部分做出安全优化,才能够提高现代企业信息网络安全。
3网络信息安全优化的应用
3.1网络信息的安全部署与安全传输
nGn定义的各种边缘进入到核心网络,其中数据的安全性非常高,从而达到nGn网络的安全,保障了现代企业的信息不会被泄露。nGn的网络核心边缘一般分为以下几个大类。
其一,nGn是网络经过局域网将宽带和企业网以及因特网连接起来,从而形成了交界线。nGn就是通过这个边缘对所有用户提供业务和服务。
其二,nGn是网络与网络之间的交汇处。
其三,nGn是传统pStn网和网络的边缘交界。一般在边缘和边缘之间的交界处是不值得信赖,也是安全最大隐患处。所以在边缘和边缘之间可以设置边缘接入控制器(BoardaccessController),为防火墙与其他企业的业务提供保障,这样就为企业的安全起到了更好的保护作用。另外,通过一些安全机制让开放的网络ip也和tDm一样的安全性。
同时,运用mpLSVpn的构建技术也是非常独立的Vpe网络。这种方法是基于nGn的网络核心,从而把整个网络的ip和网络分成好几个不通的成分,并将彼此隔离开来使得用户无法进入nGn网络,进而保障企业网络信息的安全。
实际中,使用更多的是FirewallpC边缘作为一种保护机制。要求相对而言就会比较高,还需要不时地变化不同的密码。研究nGnDCi就必须得用带LinUX系统FirewallpC做防火墙用来隔离网络核心和因特网,从而更好的做到远程保护。
网络安全与信息化篇4
关键词:石化行业;工业控制系统;安全区域;深度防御;信息安全
DoiDoi:10.11907/rjdk.161739
中图分类号:tp309
文献标识码:a文章编号文章编号:16727800(2016)009015103
基金项目基金项目:
作者简介作者简介:甄涛(1992-),男,河北石家庄人,上海理工大学光电信息与计算机工程学院硕士研究生,研究方向为工控信息安全。
0引言
信息时代,对石油化工等制造业而言,以震网蠕虫为代表的木马、病毒等对工业自动化生产安全带来了极大威胁,工业控制系统安全成为信息化时代企业安全生产的重中之重。最初的工控系统被设计为独立封闭的系统,其安全风险主要来自设备运行不稳定、操作不合理等方面。但是,随着信息化的推进和工业化进程的加速,越来越多的计算机和网络技术应用于工业控制系统,在为工业生产带来极大推动作用的同时也带来了诸如木马、病毒、网络攻击等安全问题。
1石化行业工控系统面临的信息安全问题
随着石化行业信息化的不断深入,管理的精细化和智能工厂的实施,都离不开实时的现场信息,因此管与控的结合就成为了必然趋势。DCS控制系统与外界不再隔离,控制网络和信息网络之间广泛采用opC通信技术;此外,先进过程控制(apC)也需要opC技术建立通讯。目前,常用的opC通讯随机使用1024~65535中的任意端口,采用传统it防火墙进行防护配置时,被迫需要开放大量端口,形成严重的安全漏洞;同时,opC的访问权限过于宽松,任意网络中的任意计算机都可以运行opC中的服务;且opC使用的windows的DCom和RpC服务极易受到攻击。普通it方后勤无法实现工业通讯协议过滤,网络中某个操作站/工程师站感染病毒,会马上传播到其它计算机,造成所有操作站同时故障,严重时可导致操作站失控甚至停车[1]。目前,存在的工控信息安全问题主要有[2]:
(1)操作系统漏洞。目前,工业计算机操作系统大多采用windows操作系统,甚至还有Xp系统,这些一般不允许安装操作系统的安全补丁和防病毒软件。针对性的网络攻击、病毒感染都会给系统造成严重后果,而且由于漏洞和病毒公布的滞后性,杀毒软件并不能有效地进行防护。此外,不正当的操作,比如,在项目实施和后期维护中使用U盘、笔记本等外设,也会存在一定的安全隐患。
(2)隔离失效。大多数石化企业通过opC的双网卡结构对数据采集网络与控制网之间进行了隔离,使得恶意程序无法直接攻击控制网络。但对于针对windows系统漏洞的病毒,这种设置就失去了效果,造成病毒在数采网和控制网之间传播。
(3)信息安全延迟性。若工业网络遭受黑客攻击,维护人员无法采取相应措施,并查询故障点和分析原因。通常情况下,小的信息安全问题直至发展成大的安全事故才会被发现和解决。
2柴油加氢控制系统安全防护简介
目前,我国炼油、石化等行业工业控制系统一般分为3部分:控制层、数据采集层和管理信息层,普遍采用DCS(分散控制系统)和pLC(可编程逻辑控制器)等数字化手段,自动化程度高,多以DCS系统为核心、pLC为辅机控制,形成对设备组命令的下达与控制,并对DCS和pLC反馈的数据进行分析以掌握设备组的整体运行状况。
某石化公司的柴油加氢系统采取安全防护后的拓扑结构如图1所示。
实时服务器和组态服务器组成管理信息层;监控层包括操作员站、工程师站、opC应用站和异构系统工作站,控制层包括以DCS为主控制温度显示仪表、液位计、继电器和阀门等仪表,pLC为辅控制报警器。其中,设备层与控制层通过模拟数字通信模块通信。
其中:①信息层与数据采集层之间添加纵向隔离平台,避免信息层向下采集数据时造成信息泄露;②异构系统应用站采用横向隔离平台,防止其它系统对加氢操作工艺产生不必要的影响;③引入智能防火墙,对工业协议和应用程序进行审计、监控。
3工业网络中的安全区域
按照ieC62443定义,“区域”由逻辑的或物理的资产组成,并且共享通用的信息安全要求。区域是代表需考虑系统分区的实体集合,基于功能、逻辑和物理关系[3]。
3.1使用操作域识别区域
安全区域的建立,第一步就是识别所有操作域,以确定每个区域的组成及边界所在。一般在工业网络中建立区域时,要考虑的操作域包括有网络连接控制回路、监控系统、控制流程、控制数据存储、交易通信、远程访问以及用户群体和工业协议组之类。其目的是通过隔离使各操作域受到攻击的风险最低,从而进一步使用各类安全产品和技术对每个操作域进行保护,成为安全区域。然而现实情况下,有必要使用操作域间功能共享来简化操作域,从而有效地将重叠的操作域结合成一个独立的更大的区域。
3.2区域边界建立
理想情况下,每个操作域与其它区域都有明确的边界,并且确保每个分区都采用独特的安全防护设备,这样边界防御才能部署在正确的位置上。
识别区域后,将其映射到网络,从而定义清晰的边界,Cip-005-3[4]的neRC规则中提到该过程的要求。只有存在已被定义和管理的接入点,区域才会被保护。
3.3网络架构调整
所有设备都应该直接连接到该区域或者该区域的任何设备上,然而,比如一台打印机不属于该区域,但是可能连接到本地交换机或路由器的接口或无线接入上。这种差错可能是不当的网络设计或网络寻址的结果。当定义了安全区域的划分并对网络架构作出了必要的调整,这样就具备了履行neRCCip、iSa99、CFatS等符合规范性要求的必要信息。
3.4区域及其安全设备配置
防火墙、iDS(入侵检测系统)和ipS(入侵防护系统)、安全信息和事件管理系统(Siem)以及许多其它安全系统支持变量的使用,使得边界安全控制与合规性要求相互关联。
对于每一个区域,如下几项都应保持在最低限度[5]:①通过ip地址,将设备划分到特定区域;②通过用户名或其它标志,获得修改区域权限的用户;③在区域中使用的协议、端口及服务。
创建这些变量将有助于制定用于增强区域边界的防火墙和iDS规则,同时也会帮助安全监管工具检测策略异常并发出警报。
4对安全区域边界和内部的安全防护
Cip-005-4R1要求在“任何关键网络资产”边界,以及该边界上的所有访问点都要建立通过对已建立、标识并记录归档电子安全边界(eSp)[6]。区域周围建立电子安全边界可以提供直接的保护,并且防止对封闭系统未经授权的访问,同时防止从内部访问外部系统,这是很容易忽略的一点。
要使建立的电子安全边界能有效保护入站和出站流量,必须达到两点要求[4]:①所有的入站和出站流量必须通过一个和多个已知的、能够被监控和控制的网络连接;②每个连接中应该部署一个或多个安全设备。
4.1区域边界安全防护
对于临界点,neRCCip和nRCCFR73.54[7]给出了安全评价标准以及建议的改进措施,如表1所示。
其中防火墙和ipS都被建议的原因是,防火墙和ipS设备具有不同的功能:防火墙限制了允许通过边界的流量类型,而ipS则检查已被允许通过的流量,目的是为了检测恶意代码或恶意软件等带有破坏目的的流量。这两种设备的优势在于:①ipS可以对所有经过防火墙的流量进行深度包检测(Dpi);②防火墙基于定义的安全区域变量限制了通过的流量,使ipS可以专注于这部分流量,并因此可以执行更为全面和强大的ipS规则集。
4.2区域内部安全防护
区域内部由特定的设备以及这些设备之间各种各样的网络通信组成。区域内部安全主要是通过基于主机安全来实现,通过控制终端用户对设备的身份认证、设备如何在网络上通信、设备能访问哪些文件以及可以通过设备执行什么应用程序。
主要的3种安全领域[5]:①访问控制,包括用户身份认证和服务的可用性;②基于主机的网络安全,包括主机防火墙和主机入侵检测系统(HiDS);③反恶意软件系统,如反病毒(aV)和应用程序白名单(awL)。
5结语
石油化工等关键基础设施和能源行业关系国计民生,在我国两化融合深入发展的同时,如何确保工控系统信息安全是石化行业信息化建设的重要研究课题。本文以某石化行业柴油加氢系统架构为例,重点介绍了如何识别和分隔操作域,确定每个区域的边界和组成,最终建立安全区域,并从外部使用防火墙、iDS、ipS以及应用程序监控器等安全设备,从内部使用主机防火墙、主机iDS和应用程序白名单等对工业控制系统进行保护。
参考文献参考文献:
[1]李东周.工控蠕虫病毒威胁,化企如何应对?[n].中国化工报,20140527.
[2]温克强.石化行业工控系统信息安全的纵深防御[J].中国仪器仪表,2014(9):3738.
[3]肖建荣.工业控制系统信息安全[m].北京:电子工业出版社,2015.
[4]noRtHameRiCanReLiaBiLitYCoRpoRation.StandardCip0053.cybersecurity―electronicsecurityperimeter[S].2009.
[5]纳普.工业网络安全:智能电网,SCaDa和其他工业控制系统等关键基础设备的网络安全[m].周秦,译.北京:国防工业出版社,2014.
网络安全与信息化篇5
1网络信息化建设中存在的安全问题
1.1网络信息化建设的安全基础不牢
与一些发达国家相比,我国网络信息化起步晚,发展较慢,在网络信息产品的进口方面受到了一定的阻碍,因此我国的网络信息化建设工作在很大程度上处于被动和落后的状态。1.1.1硬件设备方面我国在网络信息化建设过程中所需的计算机主要来源是一些进口国家,尽管我国在超级计算机方面的整体水平并不输于国际先进水平,但仍然不能摆脱进口国的地位,甚至在进行核心零部件制造时,国内大部分厂商也是以加工和组装为主,缺乏原创性。1.1.2软件设备方面由于我国电脑操作平台几乎被美国微软所垄断,如果不善加应用微软的操作系统,那么我国的大部分软件和网络在运行上都将有很大难度,容易导致网络信息化建设长期处于被动状态,受他人限制。在网络信息化建设过程中,我国管理软件几乎全依赖进口,这导致我国网络信息化建设受到一定程度威胁,而国外软件生产商却能获得高额利润。可见,我国网络信息化安全防护系统较为薄弱,基础也不牢固,对国外的软件设备依赖性强,这些都是阻碍网络信息化建设进步的不利因素。
1.2网络信息化建设中缺乏安全意识
在进行网络信息化建设的过程中,按照很多工作的展开情况来看,并没有体现出对于网络信息化建设安全问题的重视,技术和安全往往成为被忽略的对象。在网络信息化建设过程中,人们总是过于关注技术和设备,很少认识到对于安全的投入量,也忽略了安全的重要性,这导致网络信息化建设中的安全漏洞频繁出现,进而引起安全事故的发生。此外,政府机关单位和一些企业虽然有心加大对于网络信息化建设安全的重视程度,但网站管理系统仍存在不少系统漏洞和安全隐患,而且也没有做出对网络信息化建设安全和管理的重要强调,为给网络信息化建设创造一个安全的工作环境,强化在网络信息化建设中的安全管理工作很有必要。
1.3网络信息化建设缺乏安全防护措施
我国的网络信息化建设工作除了缺乏安全意识以外,还缺乏对于危险的抵御力,不能用最适合的方法进行自我保护。
1.4网络信息化建设工作受网络犯罪严重影响
为了谋取利益,网络犯罪分子经常利用诈骗、投入木马病毒等手段窃取用户私密信息,破坏用户工作机密,造成大量危害,虽然国家有心找到有效合理的方法抵御网络犯罪,但由于网络犯罪分子的狡猾和隐秘性,成效并不明显。
2网络信息化建设中的安全策略
2.1完善网络信息化建设安全的法律法规
2.1.1网络信息化建设安全立法应体现与时俱进精神我国现阶段所具备的网络信息化建设安全法律层次较低,虽然法律内容涉及多个方面,但法规太过简单,不能对网络信息技术的发展趋势做出及时反应,因此应该加强网络信息化建设安全法律法规的深度和涵盖面,同时进一步完善已有体系,在完善的过程中借鉴国外相关经验并结合自身实际情况来加强网络信息化建设。2.1.2规范网络信息的和传播我国在网络信息共享安全方面缺少有深度的研究,责任制度也并不完善,因此在规范网络信息的和传播时,应该从国家和公众利益出发加强认识网络信息监管的重要性,避免危害网络信息的情况发生。2.1.3加快推动网络信息化建设安全立法为跟上网络信息技术快速前进的脚步,网络信息化建设安全的立法方面应该具有一定的预见性,对信息可能产生的安全风险进行大致评估,对网络信息技术的发展做出适时反应,使法律法规对网络信息化建设进行更好的管理。只有这样才能加强法律的可行性。
2.2强化网络信息化建设安全管理对政府的作用
政府在网络信息化建设安全管理工作中起着主导作用,应当制定和完善对网络信息化建设安全相关的法律法规,注意网络信息化建设是否在正常轨道上健康运行发展,监管并处理对网络信息化建设安全存在威胁的行为。
2.3完善网络信息化建设安全方式
2.3.1实行许可与准入制度在网络信息化建设安全管理过程中实行许可与准入制度,可有效监管网络信息化建设的安全,现在很多国家都采用了这种方式,使网络信息化建设的安全管理得到很大成效,而我国在实行许可与准入制度时需要更多地完善并建立科学合理的控制机制和审查机制,通过控制在网络上的信息找出并解决在网络信息化建设过程中存在的安全问题。2.3.2提升安全技术层次提升网络信息化建设安全的技术层次需要运用最先进的技术,并对其进行监管操作,这样可以进一步加强实行网络信息监管的效果。
2.4对网络信息化建设安全防护设备进行更新
网络信息建设本身具备灵活性和连通性,给网络不良行为的发生创造了有利条件,而为了减少这种情况的发生并加快对网络信息化安全的建设,互联网企业需要持续更新防护设备,并随时观察设备的防护情况,以防网络不良信息的入侵。另外,为了使全球性的安全防护技术得以广泛应用,让网络信息化建设得到安全保障,我国网络信息建设安全相关负责人员需要加强和国际同行业的联系以达到网络信息化建设安全平稳运行的目的。除此之外,为了使局域网技术有效运用于特定范围内并起到对网络信息化安全建设的保护作用,实现网络灵活性的有效应对,国家网络信息化建设相关负责人员应将局域网技术作为重点加以应用。
3结语
网络安全与信息化篇6
论文关键词:网络文化网络安全网络安全文化
论文摘要:该文论述了文化对人的网络信息行为的影响,介绍了网络安全文化的产生背景和构成。并对网络安全文化的内涵及作用机制进行了研究。
1引言
网络环境的出现极大地方便了人们之间的信息交流,推动了人类社会的进步。但同时,它也是一把双刃剑,它在为我们提供了便利的同时,也带来了许多问题。其中网络安全问题已成为日渐棘手、迫切需要解决的一项任务。以往,人们注重从技术上去着手解决这个问题,而往往忽略了其它防护,虽然收到了一定的效果,却不能从根本上解决网络安全问题。事实上,信息管理的成功,关键在于人的因素。加强人的因素管理,是保障网络安全的重要途径。而人是社会的人,他生活在一定的文化背景之中,文化对人的信息安全行为产生巨大影响。因此,笔者从文化、网络文化、安全文化三者的内在联系入手,试图探讨一种新的文化—“网络安全文化”。本文就“网络安全文化”相关概念、与其它文化的联系及其意义进行了分析与探讨。有关“网络安全文化”的结构体系与实施途径等内容,将在另外的论文中予以研究,在此不作赘述。
2网络安全文化的产生背景和构成
互联网出现以后,人们的网络活动日见频繁,并随之产生网络文化,网络活动总会有意识或无意识地包含着安全活动。因此,安全文化便自然地融入其中,引导和制约着人们的网络信息安全行为,起到约束和管理人的网络信息行为的作用,形成了一种全新的、而被人们忽视了的“网络安全文化”。基于此,本文提出网络安全文化的概念,它是安全文化的子类,是安全文化和网络文化相互渗透的结果。它继承了安全文化与网络文化的共性,同时又具有自己的特性。它通过影响网络操控者人的行为来影响网络安全,它对网络安全的影响贯穿人们网络活动的始终。因此,我们认为网络安全文化是安全文化和网络文化的一个子类,它指人们对网络安全的理解和态度,以及对网络事故的评判和处理原则,是每个人对网络安全的价值观和行为准则的总和。如前所述,网络安全文化是网络文化与安全文化的交集,既是安全文化发展到网络时代的产物,属于安全文化的一部分,也是网络文化的安全影响因素,属于网络文化的一部分。
参照传统的文化结构划分方法,我们将网络安全文化分为三层,即网络安全物质文化、网络安全制度文化和网络安全精神文化。网络安全物质文化是网络安全文化的外显部分,也是最基本、最常见构成部分,它主要指包括像防火墙之类的各种网络安全硬件设备和软件产品,网络安全制度文化是更深一层次的文化,包括各种维护网络安全的法律法规和规章制度,网络安全精神文化是网络安全文化的核心,包括人们对网络安全的意识、心理、理论等。在这三层中,网络安全物质文化是物质体现,同时也是决定因素,它决定网络安全制度文化与网络安全精神文化,网络安全制度文化是中间层,既由网络安全物质文化决定,也受网络安全精神文化的影响,同时也反作用于网络安全物质文化和网络安全精神文化,网络安全精神文化是核心,是网络安全文化的本质,由网络安全物质文化和网络安全制度文化决定,同时内在于前二者,反作用于前二者,三者相互影响,相互促进。
3网络安全文化的作用机制
3.1网络安全文化的作用方式
1)网络安全文化影响人们的网络安全观念,安全观念即人们对网络安全的认识与评判准则,这个认识可以用几个问题来描述:网络应不应该安全;什么是网络安全;怎么评价网络安全;如何保证网络安全。这些问题都会影响到网络的安全,作为一种价值观,它可以直接影响到人的行为及其它方面。2)网络安全文化影响网络安全相关法律法规的制定,法律法规是统治阶级意志的表现,而这种意志毫无疑问是受价值观影响的,安全法律法规一旦颁行后就成为强制性的手段规范人们的网络安全行为。3)网络安全文化影响网络伦理的形成,网络伦理包括道德意识、道德关系、道德活动三个层次,与法律法规不同,网络伦理道德是人们在网络活动中慢慢形成的共同的价值观与行为准则,它虽然不像法律那样有强制性,但它能在不知不觉中制约人们的网络行为,起到一种软制约的作用,这种作用有时甚至比法律更有力。4)网络安全文化影响技术的发展,技术总是为生产力发展服务,而生产力又受到生产关系的制约,当人们越来越注意到网络安全的时候,那些更能满足安全需要的技术总能得到较快的发展,像各种安全理论和防火墙之类的安全设备正变得越来越科学与可靠,从而使网络更安全。5)网络安全文影响组织结构与权力分配,在网络发展初期,人们更看重的是速度与共享,人们自愿地接入网络而较少考虑安全方面的问题,那时的发展行成了今天网络的雏形,随着网络的发展及安全事故的增加,安全问题越来越受到人们的重视,安全考虑也越来越融入到网络建设中去,从而各种各样的网络安全管理组织应运而生,虽然在互联网中每个人都是平等的,但也总存在着一些特权组织与用户,他们拥有一般用户所没有的超级权限以便能够对网络安全进行管理与监控。
3.2网络安全文化的作用过程
网络是计算机技术与通信技术的结合,它从一开始就是为人们通信服务,它的根本任务始终是信息共享与交流,它的主体是人,客体是信息。网络安全文化则产生于人的网络信息活动并影响人的网络信息活动,它的影响过程是全过程的,即从信息的收集、加工、存储,到传输的整个过程。
1)网络安全文化对信息选取、收集的影响。网络安全文化通过前述各种方式对网络主体的信息收集行为的影响可以从以下几个问题来阐述:应该从哪些地方收集信息,原创还是下载;应该怎样收集信息,用合法手段还是非法手段;应该收集什么样的信息,有益信息还是有害信息,或者非法信息;为什么要收集信息,合法目的还是非法目的。网络安全文化就是通过回答这些问题而在行为主体心中形成一定的价值取向从而制约他们的安全行为。2)网络安全文化对信息加工、存储的影响。网络安全文化对信息加工与存储的影响可以通过以下几个问题阐述:为什么要加工信息,合法目的还是非法目的;加工什么样的信息,有益的还是有害的,或者是非法的;怎样加工、存储信息,安全可靠,还是不安全可靠。3)网络安全文化对信息、传输的影响。网络安全文化对信息、传输的影响可以从以下几下问题来阐述:应该什么样的信息,有益的信息还是无用信息,抑或非法信息,应该怎样信息,通过安全合理的渠道还是相反;如何保证信息传输的安全性,用技术手段还是管理手段抑或二者兼有。
4网络安全文化建设的意义和作用
网络安全文化存在于人的心里,是引导和规范人的网络行为的“心镜”。人们通过将自己的行为与之相比较,来判断自己的行为是否应该发生。它和行为主体的动机、情绪、态度等要素一起作用于主体,在很大程度上影响着主体的行为,并使得网络更加安全和谐,因此培育优秀、先进的网络安全文化具有重大的现实意义和作用。
1)能减少网络安全事故的发生,提高网络的安全系数并减少由网络安全事故带来的经济损失。
2)它能增强网络的安全性和提高网络的运行效率,网络安全文化通过影响人的行为来保证网络的安全高效运行。
3)它能营造和谐的网络环境,在网络中,没有种族、地域、财富的限制,人人平等,人们可以自由地交流,可以充分地展示自己。
4)能促进计算机网络技术的发展,先进的网络安全文化总是促使人们去自觉发掘网络中的不安全因素并解决它们,不断地改进网络性能,使网络更加安全,促进计算机网络技术的发展。
5)它促进了人类文化的发展,丰富了文化的内涵,推动了人类社会的进步,它能促使人类文化的交融,使优秀的文化得以发扬,使落后的文化得以摒弃。
5结束语
综上所述,网络安全文化是安全文化在网络时代的发展,是网络文化的一个重要组成部分,它产生于人们的网络安全活动,又反过来影响和制约人们的网络安全活动,它对解决目前日益紧迫的网络安全问题有着重大的意义,培养积极、健康的网络安全文化是我们目前面临的一个重要且紧迫的任务。
参考文献:
[1]罗益群.信息社会学[m].长沙:湖南人民出版社,2001.
网络安全与信息化篇7
关键词:信息自由网络安全应对措施
引言
在社会经济飞速发展的今天,互联网已经成为人们获取、和传递信息的重要渠道,它在涉及人们生活的各个方面都发挥着重要作用。党的十六大提出“以信息化带动工业化、以工业化促进信息化、走新型工业化道路”的发展战略。这样,信息化已被提到国家战略的高度。同时,作为解决现实紧迫问题和发展难题的重要手段,互联网已成为经济社会发展的重要支撑。中国互联网信息中心2009年的统计报告显示:截至2008年12月31日,中国网民规模达到2.98亿人,普及率达到22.6%,超过全球平均水平。[1]但是,在互联网蓬勃发展的同时,网络上一些违法和不良现象开始蔓延滋长,整个网络社会管理缺位和道德失范的问题格外突出:恶意进行网络破坏活动;通过网络侵犯他人隐私、盗窃他人成果;利用网络炮制谣言、进行人身攻击、散布不良信息等诸多不法行为时有发生,网络信息自由受到挑战,安全问题变得十分严峻。所以,分析研究网络信息自由与网络安全问题,探讨解决网络信息自由与网络安全问题的办法,无不具有重要的技术意义和现实意义。网络信息自由与网络安全问题的解决能够倡导大众文明、道德地使用网络,保证互联网正常运行,并在此基础上保证我国经济和社会管理等领域中网络信息系统的安全运行。论文通过对网络信息自由、网络安全问题及由网络信息自由带来的网络安全问题的探讨和分析,提出有效的解决方案,使我国的互联网络健康、快速发展。
1、网络信息自由
网络传播摆脱了时间限制,地域限制和层层把关的审查机制限制。因此,在网络空间里,人们拥有从所未有的自由。[2]自由凝聚了人类自身的价值,人类发展是人类不断追求新的自由的历史,而网络本身也需要这种自由,网络发展史明确告诉人们,从几台互联的计算机发展到今天连接全球的网络世界,是因为网络本身具有的这种特别的自由状态,如果没有自由交往的特点,今天网络的绝大部分功能都不会得以正常发挥,网络本身甚至会消亡。因此,我们可以这样说,没有网络就没有自由,没有自由也没有网络。而网络的自由取决于网络信息的自由。
网络信息自由包含信息生产自由、信息传播自由和信息消费自由。在互联网上,没有中心、没有权威、没有开始也没有结束,自由成为网络的灵魂。互联网的这种特点为信息的生产、传播、消费提供了极大的自由,通过互联网络,利用数字化技术,任何人都具有广阔的天地,人们越来越能体会到创作的乐趣和生产的喜悦;通过互联网络,任何人都可在网络媒体上发表言论;通过互联网络,人们可以坐在家中“进入”图书馆、博物馆查阅资料、搜集信息,并且这些信息将可以任我们随选;通过互联网络丰富多彩的教育内容,人人都有机会接受适合其特点的、因材施教的多样化的教育;通过互联网络,可以方便地选购商品,订制自己需要的、适合自己个性的产品,还可以使家庭获得多种新型服务;通过互联网络,人们可以突破时空限制,直接取得决策所需的各类信息,经由网络直接参与公共事务。另一方面,政府也可以借助网络随时接收民意反馈,甚至获得来自人民的直接授权,从而随时修正施政方针。[3]可见,网络最令人激动的地方,莫过于个体获取、生产、发出和消费信息,以及由此产生的自由和交流的互动性,世界似乎尽在点击鼠标和敲打键盘的手中。正如美国天文学家史托尔所言:“因特网是有史以来,存在于现实世界中最接受无政府的东西。”
总体看来,网络自由对国家来说,网络的应用改变了传统的管理权力高度集中的金字塔型的组织管理结构,给国家的管理(统计、档案管理、收集和分析数据、公告和政令等)带来了便利,政府可以掌握网络使它成为有用的宣传工具。通过开展电子政务,提高国家机关的工作效率和培养人民的参政意识,为人民提供表达意见的论坛。对社会而言,方兴未艾的互联网络的发展,必将引起人们社会生活方方面面的变革,人们的生活方式将日益多样化、个性化。网络以迅捷、便利、廉价等优点,正在不断丰富社会文化生活与人们的精神生活。对个人生活来讲,随着计算机系统的网络化和大型数据库的建立,利用计算机网络对个人信息进行处理和存储已经变得越来越普遍。电子邮件、网络电话、电子信息卡等给网民提供便捷、低价的服务,大大提高网民的工作效率和生活质量。
但是,网络信息自由也是相对的,而不是绝对的、无边际的,它必须受一定社会权益和网络社会规范的约束。因为“在网上,你对生活的选择和实践会对网络中其他人的生活质地发生影响,这种影响可能比发生在地理世界中的影响要广泛得多[4]”。任何人都不能借网络信息自由之名侵害他人的正当利益,玷污他人名誉,伤害他人情感或破坏社会秩序,更不得泄露国家秘密,煽动危害国家安全的言论等。否则,就会变成对信息自由的滥用,滥用的结果,必定造成对信息网络安全的威胁。
2、网络安全问题
自internet诞生之日起,信息网络的安全问题就与之俱来。[5]随着人们对计算机网络的依赖越来越强,应用越来越广,网络安全问题也日益严重。互联网的自由使所有上网的人既可成为网络的一个用户,也可成为网络的破坏者。[6]
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。网络安全从其本质上来讲就是网络上的信息安全。而信息安全问题绝大部分来自于网络的信息自由。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全的具体含义会随着“角度”的变化而变化。
我们只讨论有网络信息自由带来的网络安全问题。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。网络安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的信息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。由于网络用户储存、传输和处理的信息包括政府宏观调控、商业经济信息、能源资源数据、科研数据等重要信息,因此,网络安全问题显得尤为重要。现在,随着互联网越来越生活化,安全已威胁到每一个人。例如,过去很多公开露面的恶意软件如今已转入地下,和病毒结合起来威胁着互联网。加之中国互联网正在进入一个新的应用高峰,如网上炒股、网上购物等,从而使安全形势更加严峻。
首先,网络信息的自由性、互联网的开放性和无疆界性的特点,使网络环境下的国家安全问题更为复杂和尖锐。如在网上,敌对势力散布反动言论,颠覆国家政权等有害信息,制作种族主义、恐怖的游戏软件等,目的在于危害国家安全,挑起种族情绪。更为严重的是,一旦有人利用网络黑手伸向国家事务、国防建设和尖端科技领域,乃至窃取国家、国防、科学研究等机密,其危害远甚于非网络状态下。美国参议员萨姆・纳恩曾说:“我们现在才认识到我们赖以管理社会的信息网络容易遭到扰乱和渗透。国防部估计,它的计算机大概每年会受到多达25万次的计算机攻击。……专家们一致认为我们只能查出最无能的侵入者[7]。保障国家安全,是一国稳定与发展的前提。可见,信息网络时代的国家安全问题如果解决不好,将全方面地危及我国政治、军事、经济和文化生活,使国家处于信息战高度经济、金融风脸的威胁之中。
其次,不法人员利用网络信息自由发送计算机病毒,轻者对网络造成危害和破坏,重者造成某种程度的网络瘫痪,带来难以挽回的损失;利用网络传播黄色、暴力、或迷信内容、教唆犯罪等有关违反国家法律、法规内容的有害信息,这不仅妨碍了人们对正确信息的获取和利用,而且也往往直接导致对信息的污染和滥用,如“”就利用这种快捷、便利的传播工具宣扬其歪理邪说,严重侵蚀人们的思想。随着越来越多的信息资源上网,一方面给人们共享信息资源创造了条件,另方面也为信息窃取和盗用提供了可乘之机。电子商务,作为一种新型的市场交易方式,正在渗透到社会的方方面面。电子商务最明显的标志便是增加了贸易机会,降低了贸易成本,提高了贸易效益。但在目前缺乏相应法律调整的电子商务世界,由于网上金融的发展尚不完善,网上黑客随时可能出现,网上交易安全性低于有形交易,网上购物的权益和安全性也无法保障。此外,在网上抢注域名,进行信息欺诈和勒索,利用网络宣传、销售假冒伪劣商品,搞不正当竞争等违法犯罪活动,也日益增加。所有这些,对网络时代的社会安全构成了巨大的威胁。因此必须采取有效措施,严厉打击、禁止这些破坏社会安全的违法犯罪行为,达到保障社会安全的目的。
再次,网络信息自由决定了网络系统的脆弱性和个人信息文档的不公开性,使得个人安全问题频频遭到挑战:如窥探、窃取或随意篡改他人个人隐私;也有人利用自身的计算机网络知识,翻译他人电子邮箱密码,破解他人网上信用卡密码,利用网络窃取他人钱财(表现为窃取可以用以支付的电子货币、账单、银行账目结算单等达到改变财产所有权的目的);乃至敲诈勒索,利用网络散布谣言,诽谤他人,侵犯他人隐私权等侵权或犯罪活动。此外,工作场所是一个介于私人住所与公共所之间的空间,雇员网上聊天、发送电子邮件等行为甚至邮件的内容都可能被雇主通过监视系统拦截获悉,雇员的隐私权在这里毫无保障。公民的个人隐私将受到极大的侵害。
3.网络信息自由带来的网络安全问题及其对策
2008年,有12000余家网络信息使用单位和计算机用户参加了调查活动。调查显示,我国网络信息安全问题发生比例继前3年连续增长后,今年略有下降,网络信息自由带来的安全问题发生比例为62.7%;计算机病毒感染率为85.5%。多次发生网络安全问题的比率为50%,多次感染病毒的比例为66.8%,说明我国互联网用户的网络安全意识仍比较薄弱。[8]2007年3月27日,赛门铁克在北京了《第十一期互联网安全威胁研究报告(internetSecuritythreatReport)》。根据报告显示:当前威胁环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。攻击者不断改进攻击方法以逃避检测,进而建立全球性的协作网络,用来支持持续增长的犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁,试图在窃取机密信息时逃避检测。[9]
3.1网络信息自由带来的网络安全问题
我们只讨论有网络信息自由带来的网络安全问题。网络信息自由带来的主要威胁:入侵,即未经授权的访问,试图入侵系统;攻击,如扫描系统漏洞,并加以攻击;来自互联网的病毒,尤其是电子邮件和文件下载,如CiH病毒,“爱虫”病毒;恶意代码,即可执行的恶意代码,如特洛伊木马、蠕虫;窃听;欺骗;否认(如否认个人签名等)。
新的攻击手段:会有更多针对windowsVista漏洞的恶意代码,并且攻击者将会集中攻击基于Vista的第三方厂商所开发的软件应用;第二,随着软件虚拟化日益普及,新兴攻击将随之展开,并且破坏虚拟环境将可能成为破坏主机系统的新途径。
网络安全问题的出现与网络信息自由有密不可分的关系。网络信息自由具有可以被入侵者用来侵入的弱点。通过考察在internet上发生的黑客攻击事件,发现网络攻击的手段都是在网络信息自由的前提下利用网络中存在的各种漏洞和安全缺陷。计算机系统及网络之所以存在着脆弱性,主要是存在着以下一些不安全因素:[10]
在网络信息自由的前提下,个人网络隐私与商业秘密在性质和侵权方式上存在的相似之处。比如,两者都是以信息形式存在,都具有非物质属性、秘密性、经济价值性,均可以盗窃、利诱或其他不正当手段被获取等。[11]
3.2网络信息自由带来的网络安全问题对策
计算机黑客的入侵、网络病毒的泛滥、保密信息的泄露、网络事故等,不仅给个人和单位造成难以弥补的经济损失,而且破坏和扰乱了正常的社会经济秩序以及人们的正常生产和生活秩序,严重的甚至威胁着国家政治、经济和军事安全,危及国家。网络的安全问题是在通向信息化社会的进程中遇到的,研究和解决这些问题已经远远不是单纯的技术问题,而且还涉及了法律政策问题和网络道德问题。我国目前正处于社会转型时期,信息网络建设正全面铺开,因而对网络安全问题进行全方位的研究和探讨,无疑是非常必要的。
3.2.1强化思想认识,完善管理制度
同志曾指出:“互联网是开放的,信息庞杂多样,既有大量进步、健康、有益的信息,也有不少反动、迷信、黄色的内容。互联网已成为思想政治工作一个新的重要阵地。国内外敌对势力正竭力利用它同我们党和政府争夺群众,争夺青年。我们要研究其特点,采取有力措施应对这种挑战。”当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,从思想上提高对计算机网络安全重要性的认识,是当前的首要任务。网络与人们的生活息息相关,网络道德教育更要从小抓起,大力普及网络安全知识,尤其要加强对大学生网络安全与道德的教育、道德风尚建设,借构建社会主义和谐社会之风,构建一个和谐网络。利用强制与自治结合,才能使整个网络长远的正常运行。
思想意识的提高意味着我们必须完善的宏观管理制度,在我国互联网初期建设初期,我国的互联网管理处于混乱状态,这从种程度上阻碍了互联网的发展,国家信息管理部门逐渐认识这一缺陷,相继成立信息产业部、信息安全中心等部门,并逐渐颁布一些相应的管理条例。这些管理制度促进了互联网的有序发展。但随着互联网的迅猛发展,我们的管理制度相对滞后,互联网发展出现了新的领域与新的问题,在这些方面,我们国家的管理制度还是一片空白。加强网络安全的防范,完善管理制度势在必行。
3.2.2以自主研发为主,适当借鉴强国经验。
我们国家早期的互联网技术主要来自西方发达国家,这样制约我们国家计算机信息技术的发展,并且对国家安全也是相当不利的,计算机网络信息技术的自发研发成为我们工作的重中之重。在瞬息万变的网络世界中,技术的更新速度非常快,在信息全球化的形势下,如何减少本国网络安全基础设施的脆弱性,巩固其安全性,一方面,信息安全问题是信息产业发展的必然产物;另外一方面,信息安全问题的解决,有赖于信息产业的发展。没有自主的信息产业就很难保证信息安全。我们应站在全球战略的高度,结合网络安全的脆弱性,立足国内市场,提高自主研发、生产相关的应用系统与网络安全产品的能力。国家应对信息产业进行战略性扶持和鼓励。
当然我们在确立互联网技术自主研发的同时,也应该适当借鉴发达国家的经验,这是必要的。目前国际上广泛应用的网络安全技术主流趋势主要有以下几个方面:[12]内网和外网的隔离:防火墙技术;防止来自网络上的病毒:防病毒网关;内部网络的管理和安全:pppoepDHCp网关;加密通信和虚拟专用网(Vpn):Vpn;入侵检测和主动防卫:iDS;审计和审计数据挖掘:审计服务器;网络的鉴别、授权和管理(aaa)系统:aaa。中国的信息化建设起步较晚,我们应当在国家安全的背景下,借鉴信息强国的有效战略,构建符合我国国情、科学可行的网络信息安全战略。政府应当加强网络安全应急处理工作的组织协调能力,加强国家网络安全设施的建设,统筹规划国家的信息资料备份体系。
3.2.3促进网络信息立法,规范网络健康发展
由于互联网发展迅速,对网络媒体的法制规范与制衡也只有短短几年的时间。法律是社会关系的调节器,为促进网络媒体的健康、有序、可持续发展,大力加强网络媒体的法律法规建设和内容监管显得非常迫切。[13]自1994年我国颁布《中华人民共和国计算机信息系统安全保护条例》,后来又陆续颁布实施了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等行政法规和规章制度。1997年修改的《刑法》第285条、286条以及287条也分别规定了“非法侵入计算机信息系统罪”、“破坏计算机信息系统罪”和利用计算机实施金融诈骗、贪污、窃取国家秘密等犯罪类别。我国在信息安全领域的法制建设工作取得了令人瞩目的成绩,现有的法律法规对保障我国信息化事业的健康发展起到了积极的作用。
然而,随着信息技术的发展和网络在我国社会生活各方面的作用日益突出,我国信息安全法律法规的滞后和不完善的问题也日益明显,其主要表现为:理论研究滞后,缺乏总体思路;认识不统一,监管多元化;重管理、轻保护,公权益与私权益的对比失衡;重防范性的处罚措施,缺促进发展的法制建设,信息安全立法工作仍然任重道远。相关法律应从信息安全的主体、内容和客体三个方面来完善立法框架,考虑规范实现的可行性。
3.2.4培育合格网民,纯化网络环境
网络的价值在于信息自由共享,但是越开放的网络,它自身的安全性受到的挑战就越大。有人认为,最安全的网络就是自我封闭的网络。因而开放和安全之间就构成一对矛盾,从理论上说,网络的安全性和开放性是呈反比的。[14]要解决这一矛盾,不但要发展网络安全技术,更需要建构全新的网络伦理规范。
4.结束语
网络信息自由是计算机网络的主要特征,人们充分享受着互联网给我们生活带来的自由性,然而我们却要看到任何事物都存在两面性,我们在享受其带自由性的同时,也要正视网络信息自由带来的较大的危险。在信息化国家中,信息的获取和传播更加方便快捷,公民的信息自由与个人信息保护的冲突更加突出。平衡与协调两者的冲突应从强化思想认识,完善管理;以自主研发为主,适当借鉴强国经验制度;促进网络信息立法,规范网络健康发展;培育合格网民,纯化网络环境四方面着手。网络信息自由带来的网络安全问题不能依靠一个国家、一个企业或一种技术来解决,它涉及方方面面,是一个跨部门、跨行业、跨地区、跨国界的带有全球性的问题,是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各地区、各部门和全社会、每个人共同关心、积极参与、携手面对。[15]使我国的互联网络健康、快速发展。
参考文献:
[1]国家互联网络信息中心.中国互联网络发展报告[R].北京:互联网周刊出版社,2009年
[2]周敏.论网络传播自由与自律.湖南农机[J].2008年第5期
[3]严耕,等:网络伦理[m],北京:北京出版社,1998年
[4]付立宏.图书馆学、信息科学、资料工作人大复印资料[J].论网民信息伦理,2oo2年4期业,2008年第2期
[5]CHiRiLLoJ.黑客攻击测试篇[m].北京:机械工业出版社,2004年
[6]张寅雪.我国网络安全现状与策略分析[n].电子科技大学学报,2008年第4期
[7]公安部.2008年全国信息网络安全状况暨计算机毒疫情调查报告.计算机安全[J],2008年11期
[8]Samnunn,StrategicSurveytopographic[J].aviationandtechnologyweek,1996年第11期
[9]金雷等.网络安全综述[J].计算机工程与设计,2003年第24期
[10]吴育珊等.网络信息自由与信息网络安全对策研究[J].南方经济,2003年第1期
[11]李晶晶.浅析我国网络隐私权保护现状暨展望[J].中国商界,2008年第7期
[12]符强等.互联网仿真现实监管侄重道远--网络文化信息监管模式研究[J].中国电信
[13]姜岭君.对完善网络舆论监督的理性探讨[J].青年记者,2008年第8期
网络安全与信息化篇8
【关键词】计算机;网络信息管理;安全;管理策略
前言
现阶段,计算机信息技术已广泛应用于各行业、各领域,由于其具备较强的开放性和共享性,给人们带来了大量的、丰富的信息资源的同时,也给人们带来了很多安全上的漏洞。例如网络数据窃密、网络黑客、网络诈骗、病毒攻击、特洛伊木马病毒、邮件传送等紧密附着在计算机系统中,导致网络系统安全事故层出不穷,计算机网络系统安全性也随之下降。在这一严峻形势下,深入对计算机网络信息管理及安全进行分析和研究势在必行,逐渐成为摆在相关研究人员和管理人员面前一项亟待解决的新课题。
一、计算机网络信息管理中主要存在的问题
计算机网络信息的安全指标包括网络信息的安全性、可用性、完整性和保密性,另一方面则是计算机用户的认证性、抗抵赖性及授权性,这一系列指标是衡量计算机网络信息是否安全的重要条件。据相关调查显示,我国目前仍然存在大量的网络信息安全问题,计算机网络受到的非法入侵和恶意攻击等现象十分普遍,用户在利用网络资源进行工作或娱乐的同时,经常受到网络安全问题的影响,致使网络信息安全问题逐渐成为一项十分重要且复杂的工作。计算机信息管理又分为网络信息资源管理和网络信息的服务两大类,其主要目的是针对计算机网络的应用、安全、服务及用户等资源进行规范化、有效的管理。为了保证计算机和互联网用户的财产、信息安全,软件工程师应致力于网络信息的安全性管理,从而最大限度控制计算机网络的脆弱性。
(一)信息访问控制系统存在漏洞
随着科学技术的发展,计算机已经被广泛应用到人们的生活与工作当中,利用计算机网络进行交流和沟通的人越来越多,其在人们的日常生活中扮演着至关重要的角色。但是在计算机网络中,对于信息者与访问者都没有较强的规则约束力度,许多不法分子为了通过网络谋取暴利,导致网络信息资源中各类不良信息日益泛滥,人们无法对所有信息的真伪进行正确的辨别,并且十分容易受到这些信息的影响,进而制约了网络信息安全的管理进程。
(二)计算机病毒侵入与恶意攻击
计算机病毒是一种人为制造的恶意程序,一般隐藏在计算机文件中的可执行范围,并且具有自我复制、自我传播的特点。计算机一旦遭受病毒感染,则极有可能造成整个计算机系统瘫痪。现阶段,许多计算机病毒的主要目的并不是破坏计算机系统,而是为了盗取他人的网络账号、银行卡账号及密码等安全信息,从而造成他人在经济上的严重损失;恶意攻击是指有些人对计算机技术具有浓厚兴趣或其它原因,喜欢删除或篡改他人计算机系统或信息,导致他人计算机无法正常运行等。例如之前的“360”大战“QQ”的热点新闻事件,即是双方企业相互指责对方侵犯用户隐私权,非法盗取用户信息,由此可见,当前计算机网络系统安全的形式非常严峻。
(三)缺乏完善的安全检测系统
计算机网络信息具有极强的共享性,一定程度上导致计算机网络的脆弱性,两者相互对立,这就对计算机网络信息安全管理提出了极高的要求。而信息安全检测系统的构建则有效缓解了共享性和脆弱性之间的矛盾,促使工作人员正确、及时的面对非法入侵和恶意攻击事件,并充分利用有效措施,快速的进行修复和弥补,确保计算机信息系统关键数据的安全。但是,我国计算机网络安全检测系统尚不完善,部分环节还有待改进,无法满足现代化信息安全管理的理想要求。针对这一情况,建立健全计算机网络安全检测系统势在必行,迫切需要得到计算机软件开发人员的关注和投入,并不断总结和完善,有效确保计算机信息系统的安全性和可靠性。
二、强化计算机网络信息管理及安全的有效策略
(一)完善信息安全管理机制
现阶段,由于网络警察的存在,给大部分网络行为带来了一定的约束力,但是由于计算机网络具有范围广、数量多、复杂化等特征,很难实现计算机网络的实时监督和管理,这也是造成计算机网络事件频繁发生的主要因素。应建立健全统一的计算机网络信息安全管理体系,并出台详细、具体的法律法规,实现计算机网络信息安全法制化的管理。
(二)对入网访问者进行控制和限定
对入网访问者进行控制与限定是保证计算机网络系统安全的主要方法,能有效防止用户对其的违规性操作或非法使用,以保证网络系统资源在运行的过程中不受到损害。入网访问的控制与限定可以分为三个步骤:一是识别用户名、二是验证口令、三是验证用户身份。只有当用户名识别正确,用户才能进行口令输入操作,否则不能登录网络;当验证口令正确之后,用户才能利用磁条或智能卡使用网络。
(三)安装防火墙
应有效限制计算机网络的访问情况。可通过交换机对计算机网络进行合理控制,并对计算机使用人员的访问权限进行设置。在这一过程中,可充分利用内容过滤器的筛选作用,杜绝不良信息、非法网站及不良网站的传播,起到净化网络资源的作用。防火墙的使用也是一条重要途径,可有效保障计算机网络的安全性,可实现网络不安全信息的完全阻隔,保护计算机免受恶意攻击。
(四)完善密码技术
随着网络规模的不断扩大,计算机网络日趋复杂化,而有效的密码技术是防止网络安全事件的重要途径。完善的密码技术可使网络信息的准确性和安全性得到保障,杜绝非法窃取及恶意软件攻击问题的发生。同时,密码技术的充分利用,可在网络信息生成时,有效保证信息的安全性和完整性,从源头做起,强化计算机网络的安全性。
三、结束语
综上所述,计算机网络信息安全问题给人们的正常生活带来了严重的影响,耗费了大量的人力、物力和财力。迫切需要构建一个完整的安全监督管理体系,并尽快实现该系统的全面应用,强化计算机网络安全监督和管理。与此同时,还应提升互联网用户的自身素质,尽可能减少网络安全问题的发生,为广大网络用户提供清洁、有效的网络环境。但是,针对我国实际情况来看,还存在或多或少的管理漏洞和风险,给网络用户的个人信息及财产安全带来了威胁,这就要求软件开发人员积极、有效的采用信息安全管理措施,并付诸实践,为推动我国信息化社会的发展提供强有力的理论依据。
参考文献:
[1]王辰文.计算机网络信息管理及其安全性探讨[J].计算机光盘软件与应用,2014,(3):181-182.
[2]张原.计算机网络信息安全分析与管理探究[J].电子测试,2013,(14):195-196.
[3]李传志.计算机网络信息管理及其安全分析[J].计算机光盘软件与应用,2014,(11):183-184.
网络安全与信息化篇9
【关键词】医院网络;信息安全;问题与对策;探究
1目前我国医院网络信息建设的现状
近年来,我国的医院网络与信息安全在先进技术的带领下取得了长足的进步与发展,例如:网路通信技术和计算机技术与医院信息系统的完美融合,这就使得药品监控管理系统、医疗信息监控管理系统、病区信息管理系统等等应运而生。但是仍然存在着一些问题,这就给医院信息化建设带来了前所未有的机遇和挑战,希望医院的负责人对此引起重视。因此,只要医院的相关人员在设计信息系统时能够考虑周全些,对目前我国医院网络与信息建设的现状有一个清晰的认识,能够深刻意识到医院网络与信息安全的重要性,采取积极有效的措施来优化升级医院的网络管理制度,真正的使医院的信息化给其带来良好的社会效益与经济效益。
2医院网络与信息安全建设中存在的不足之处
2.1计算机病毒
计算机病毒严重制约着医院网络与信息的安全,它主要来源于使用盗版软件与光盘感染病毒、安装配发计算机时感染病毒、计算机使用者采用移动介质引入病毒、内网外联感染病毒等等。计算机病毒破坏性极强,作用范围广,在网络日益发达的今天其传播的渠道更加的多样化,速度也更快,对医院网络安全的危害性也更大。希望医院相关专业的负责人采取科学合理的措施来消除计算机病毒,进而把医院的网络与信息安全隐患降低到最小化,发挥出医院网络与信息的最大效能,实现医院综合能力与经济实力的显著增强,更好的造福于广大人民群众。
2.2网络安全问题
网络安全问题多种多样,它们造成的危害程度与后果都不尽相同,网络安全问题不仅制约着医疗数据的完整性与实用性,还威胁着医院网络与信息的正常运营。当前,大部分的医院网络信息系统所具有的鲜明特点就是透明度较高,这就加重了计算机黑客、网络病毒的入侵,使得医院的网络与信息安全受到了侵袭。另外,另一个重要的影响因素就是内部网络也不具有高度的安全性,主要表现为医院的内部人员没有认识到网络安全问题,擅自对医院的网络与信息系统进行任意的攻击,随意篡改患者的医疗记录等等。希望医院的相关负责人改善网络安全问题,使得医院造福于人民。
2.3软件与硬件的安全问题
一方面,就硬件安全问题来说,保障网络信息系统得以正常运行下去的基础就是硬件,它主要包括网络设备、服务器等,硬件存在的安全隐患问题主要就是设备老化、电压变化伏度比较大等,这都不利于医院网络与信息的安全与稳定。另一方面,就软件安全问题来说,它主要是由以下几个原因所造成的:软件运行过程中的意外而致使问题频发、对移动存储介质没有按照规范要求使用、医院员工的不熟练操作而导致难以进入操作系统等。总而言之,我国目前的医院网络与信息系统是繁琐复杂的,要注重软件、硬件的安全问题,促使医院内部的网络信息化建设取得突破性的进展。
3加强医院网络与信息安全建议的策略
3.1不断加大对医院的资金投入,完善医院的系统功能
当前,在我国大部分医院的日常运行管理中,之所以医院的网络与信息安全会存在着这样或那样的问题就在于缺乏足够的资金投入来完善、弥补这些不足。加大对医院的资金投入,配备功能健全的杀毒软件是必不可少的,不仅能够有效的防范系统面临的病毒危害,还有助于确保医院网络与医疗信息的准确性与严谨性;另外,选择质量过硬且有严格保障的设备,切忌因硬件的缺陷而造成医院正常系统功能的无法运转;还要对医院的网络中心机房设置防雷电装置,保护医院的网络服务器,安装防火墙以严防外来病毒的入侵。
3.2对网上重要的基础数据库采取最小化分割办法
①每次要想实施对医院信息数据的添加、修改、及时更新都应该由相关的职能部门出具书面证明通知,然后再在计算机室或者信息中心进行操作更改;②医院药库的各种用药情况都应该由药剂科进行整体的负责,材料库分医用材料库由设备库全权负责;③任何医院内计算机网络的使用部门假如对医院网络上的基础数据项目存在疑惑与不解之处,医院信息中心与计算机室的工作人员无权对此作出回复,必须要想专门对口的部门进行及时的上报,即对网上重要的基础数据库采取最小化分割办法,正确的发挥出医院应有的职能。
3.3建立健全医院网络信息系统安全的监控体系
建立健全医院网络信息系统安全的监控体系这一措施有利于在一定程度上抑制伪造医疗假账与医疗消费记录及报表的现象,还有助于杜绝随意私自修改医院网上的数据、泄露医院重要机密信息口令等的不良事故发生,因此,建立健全医院网络信息系统安全的监控体系具有重要的作用。医院还要加强对信息系统软件的维护,维护人员要严格控制杀毒软件能力的监控、医疗数据的存储等,医院还要设立安全管理人员,对于那些肆意登陆有潜在安全隐患的网站要予以严格的打击,还要辅助以必要的记录,进而从根本上确保医院网络与信息的安全可靠性。
4结束语
综上所述,我国医院的信息化建设在促进医院现代化进程中发挥着不可替代的作用,尤其是近年来先进科学技术的加快与人们生活水平的提高,促使大部分的医院也“与时俱进,开拓创新”,不断的进行改革升级。然而,促使医院加强现代化建设的另一大原因就是医院信息系统的安全稳定性难以得到有效的保障,这就要求医院把网络通信技术、计算机技术等高新科技引进到医院的日常管理工作中,进而实现医院网络信息的安全可靠性,加快医院业务开展与运营的步伐,因此,本文探究医院网络和信息安全的问题及对策具有重要的现实性意义。
参考文献
[1]张震江,赵军平,丛国强.浅谈医院计算机网络及信息安全存在的问题和对策[J].江苏卫生事业管理,2012(23):147~149.
[2]刘乃丰,史伟斌,黄学宁.浅析当前医院网络信息安全的问题及对策[J].中国伤残医学,2012(16):87~89.
网络安全与信息化篇10
随着网络技术的进一步发展,它必将深入到社会的各个领域,为人类带来巨大的效益,但伴随而来的是计算机网络信息安全问题的不断加剧。本文首先分析了网络信息安全的现状;其次,从多个方面提出了网络信息安全存在的问题以及其解决办法。
[关键词]计算机网络信息安全
[中图分类号]tn915.08[文献标识码]a[文章编号]1672-5158(2013)06-0083-01
随着计算机技术的迅速发展,对生产力的发展和社会变革起到了巨大的推动作用,极大的改变了传统的生产和生活方式,同时计算机网络信息安全也受到前所未有的威胁。所谓计算机网络信息安全是指利用网络管理控制和技术措施,保证在一个网络环境里,数据的保密性、完整性及可使用性受到保护。计算机网络信息安全包括物理安全和逻辑安全两个方面:物理安全指系统设备及相关设施受到物理保护,使数据免于被破坏和丢失等;逻辑安全包括信息的完整性、保密性和可用性。本文主要从逻辑安全方面来讨论计算机网络信息安全的管理。
一、计算机网络信息安全现状
网络安全是研究与计算机科学相关的安全问题,包括网络系统的硬、软件及系统中的数据受到保护,不受偶然或恶意的原因而遭到破坏、更改、泄露,使得系统连续、可靠、正常地运行,网络服务不中断。计算机和网络技术具有的复杂性和多样性,使得计算机和网络安全成为一个需要持续更新和提高的领域。
随着信息技术的高速发展,黑客的攻击手段也在不断的更新。据中国互联网络信息中心在《2012年中国网民信息安全状况研究报告》中指出,在总体网民中,有84.8%的网民遇到过信息安全事件,总人数为4.56亿,在这些网民中,平均每人遇到2.4类信息安全事件。新型信息安全事件愈发严重,甚至超过了部分传统信息安全事件。总体网民中,38.2%的网民遇到过“欺诈诱骗信息”,这一比例甚至比传统的“中病毒或木马”的网民比例高出15.1个百分点。遇到“假冒网站”的网民比例也达到了17.6%。
二、我国计算机网络信息安全存在的问题
(一)计算机网络系统本身存在的问题。由于网络系统的脆弱性,目前计算机网络系统安全面临的威胁主要表现在三类:信息泄露、拒绝服务、信息破坏。目前,人们也开始重视来自网络内部的安全威胁。随着internet的发展,现代黑客则从以系统为主的攻击转变到以网络为主的攻击,已知白勺黑客攻击手段多达500余种。总而言之,对internet/intranet安全构成的威胁可以分为以下若干类型:黑客入侵、来自内部的攻击、计算机病毒的侵入、秘密信息的泄漏和修改网络的关键数据等,这些都可以造成intemet瘫痪或引起internet商业的经济损失等等。
(二)除系统外,存在于网络外部的问题。计算机网络具有开放性、国际性和自由性。首先,在黑客的威胁和攻击这一方面,黑客除了拥有极为熟悉的网络知识外,还能极为熟练的运用各种计算机技术和软件工具。其次,在计算机病毒侵害的方面,计算机病毒蔓延的速度非常快,波及范围特别广,因此,它成为计算机系统的最大威胁。最后,在间谍软件威胁和隐患上这一方面,间谍软件的功能多,不仅能窃取计算机信息网络系统存储的各种数据信息,还能在一定程度上监视用户行为,修改系统设置,直接威胁到用户隐私和计算机安全。并在一定程度上影响计算机系统工作的性能。
(三)网络系统管理制度存在的问题。在我国计算机工业起步较晚,基础薄弱,管理制度不健全,尚在摸索阶段,因此在这方面也存在很多问题。首先,由于工作人员的疏忽而造成网络系统安全受到威胁。其次,工作人员的故意泄露。在当今社会中,一些信息工作人员经常会为了一己之私而致客户的信息于不顾,在对网络安全破坏的同时,也使计算机的信息系统、数据库内的重要秘密泄露,对计算机的网络安全问题产生了严重的威胁。
三、加强对计算机网络信息安全的管理
(一)加强对网络信息安全的重视,加大网络安全人才培养力度。完善培养体系。一是建立并完善以高等学历教育为主,以中等职业教育和各科认证培训为辅的网络安全人才培养体系。高职高专院校应该根据社会需求,开设网络安全专业。暂时不具备条件的院校可以有选择地开设网络安全类课程,开设网络安全基础与防火墙、操作系统安全、数据加密与pKi技术等选修课,举办网络安全专题讲座,结合培训、认证机制,引进网络安全职业资格认证(如nCSe、CiSp、Ciw)等多种途径培养实用型人才,为我国网络系统安全建设做出应有的贡献。其次,走市场化道路。只有适应市场需求、被市场选择的认证,才是成功的认证培训。政府可以在这方面加强立法,依法进行管理,立法内容应该涉及到认证培训的教学体系和内容,培训时间和考试管理办法,还应该规定哪些岗位的人员必须持什么样的证书,以及接受培训的人员的管理等。最后,科学设置课程。网络安全课程体系应以网络安全技术为特点,全面贯彻适用性、科学性、超前性、层次性、交叉性的原则,可以引入专业资格认证体系,实行双证书制度,实行两条线培养网络安全专业人才。并且在网络安全专业的课程设置方面,还要多听取行业和企业的意见和建议。
(二)强化信息网络安全保障体系建设。2012年,工信部了《互联网行业“十二五”发展规划》和《通信业“十二五”发展规划》,提出了大力推进国民经济和社会信息化的战略举措,同时,要求强化信息网络安全保障体系。从信息系统的信息保障技术层面来说,可以分为应用环境、应用区域边界、网络和电信传输、安全管理中心以及密码管理中心。在技术保障体系下,首先要建立国家信息安全保障基础设施,其中包括:建立国家重要的信息安全管理中心和密码管理中心;建立国家安全事件应急响应中心;建立数据备份和灾难恢复设施;在国家执法部门建立高技术刑事侦察队伍,提高对高技术犯罪的预防和侦破能力;建立国家信息安全认证认可机构。目前,我们迫切需要根据国情,从安全体系整体着手,在建立全方位的防护体系的同时,完善法律体系并加强管理体系。只有这样,才能保证国家信息化的健康发展,确保国家安全和社会稳定。
(三)制定调整网络信息安全关系的基本法。我国有关网络信息安全的法律法规主要有:《中华人民共和国计算机信息系统安全保护条例》、《互联网信息服务管理办法》、《中国公用计算机互联网国际联网管理办法》等等。国家信息化领导小组在2005年制定的《国家信息化发展战略(2006-2020年)》中明确要求,注重建设信息安全保障体系,实现信息化与信息安全协调发展。由此可见,我国也进行了大量的网络立法,但是由于缺乏有效理论指导,立法水平普遍较低,各部门之间职责不清,权力冲突,因此笔者建议通过一部统一的基本法——《网络信息安全法》,调整网络信息安全法律关系。逐步建立安全制度、安全标准、安全策略、安全机制等一系列配套措施,进行全面系统的立法;同时,借鉴国外先进管理经验,创新管理方法,与时俱进地推进网络信息安全保障工作。
参考文献
[1]千一男,关于计算机网络安全风险的分析与防范对策的研究[J]电脑知识与技术,2011年29期