时间:2023-10-13 09:46:30
导语:在目前信息安全存在的问题的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
关键词:电子政务;安全隐患;解决措施
在信息网络中电子政务是一个特殊的应用领域,涉及领域内的众多信息都是具有保密性的。如果电子政务系统的安全性被破坏,造成敏感信息的泄露、黑客的入侵、网络信息的非法使用以及计算机病毒等都将对电子政务系统的正常运转构成威胁,甚至对政府部门和社会公众产生危害,严重的还将危害国家的信息安全及安全。
1 我国电子政务中信息安全存在的问题
1.1技术问题
1.1.1技术被动性:首先我国的芯片大多数均依赖进口,即便有部分是自己开发的也需要到国外去加工;其次,由于加入了WTO,为了减少与发达国家的差距,我国引进了不少国外设备,同时也带来了不容小觑的安全缺陷。另外我国大部分网络运行的主要是TCP/IP等网络协议,这些都不是为安全通讯而设计的,因此,在利用这些技术进行服务本身就存在着许多方面的安全威胁。
1.1.2网络技术本身的缺陷:中国是一个国土面积约960万平方公里的泱泱大国,不可避免包括了丘陵、高原、盆地等,要使全国都电子政务化,其网络规模不言而喻,这就造成了通信线路过长,其安全系数越低。另外现代通信分为有线和无线两种,有线线路容易遭受物理破坏,易被搭线窃听;无线线路易遭截获、监听等等,同样存在安全隐患。
1.1.3安全标准的不统一:目前全国缺乏统一的加密系统、密码算法和数据管理制度。在应用平台时,用户不规范造成病毒、黑客入侵;直接面向用户时存在信息泄露、信息篡改、信息抵赖、信息假冒等等,信息的绝对安全没有保障。
1.2管理问题
1993年,国务院成立了国家经济信息化联席会议,正式启动国民经济信息化工程,开始实施“三金工程”,及金桥工程、金关工程和金卡工程,以及以后的金质工程等。[1]随着政府全面上网工程模式的展开,形成了一定的规模,但是电子政务的安全管理的难度系数也加大,很多机关管理部门忽略其安全防范,放松安全意识,造成我国电子政务的损失。目前出现的管理薄弱问题,给不法分子和不少国家的敌对势力空档,通过在网上发表不实言论以损害国家利益。
2 维护电子政务信息安全的具体措施
2.1技术保障
针对存在的技术问题,可以提出防火墙技术、数据加密技术、入侵检测技术、防病毒技术和数据存储、备份技术。[2]
2.2强化组织和和管理
目前的管理方式停滞不前,仍是“看家护院”的传统模式。我们应该配合国家信息化领导机构,在个地区和部委建立相应的信息安全管理机构,以完成和强化信息安全的管理,形成自上而下的信息安全管理组织体系。同时,根据管理需求,可以对电子政务系统信息内容实施安全监控管理,来保护政务信息的安全,防止由于内部违规或外部入侵造成的网络泄密,同时也阻止了有害信息在政务网上的传播。
2.3法律和政策的健全
电子商务的工作内容和工作流程涉及到国家的秘密与核心政务,它的安全关系到国家的主权、国家的安全和公众利益,因此电子政务的安全实施和保障,必须以国家法规形式将其固化,形成全国共同遵守的规约,成为电子政务国际交往的重要依据。这样做的目的就是为了保护守法者和依法者的合法权益,为司法和执法者提供法律依据,对违法、犯法者形成严打的威慑。因此,制订相应的法规,适度的解密和规范开放的规则,保护政府部门间信息的正常交流,保护社会公众对信息的合法享用,打破对政务信息资源的垄断和封锁,提高政府行政透明度和民主进程,是非常有利的。[3]例如:《计算机软件保护条例》(1992年)、《中华人民共和国计算机信息系统安全保护条例》(1994年)、《警察法》(1995年)、《计算机信息网络国际联网安全保护管理办法》(1997年),都可作为执法人员执法时的依据。
2.4自主知识产权信息安全核心技术的研发
由于我国所用的核心技术不是依赖进口就是在国外生产,完全无任何安全保障,所以在未来的发展过程中我们除了做好防范安全隐患的措施外,搞好自主知识产权的研发作为维护电子政务信息安全的核心,更应该着力于研发具有自主知识产权的信息安全核心技术,生产出能与美国等发达国家相媲美的具有高密度信息安全的产品。
【参考文献】
[1] 陶学荣,朱旺力;中国电子化政府:历史、现状和挑战[J];江西社会科学;2004年02期
【 关键词 】 电子商务;信息安全;风险评估;对策
Risk Assessment and Countermeasures of Information Security based on Electronic Commerce
Xu Bin
(Business Management Department of People's Bank of China Beijing 100045)
【 Abstract 】 In recent years, the rapid development of e-commerce business in China, is highly attention to information security of e-commerce system problems and risk assessment. This article on China's e-commerce system information security problems are discussed on the basis of analyzing the status quo of China's e-commerce information security risk assessment and improvement measures, aimed at improving our country's e-commerce awareness and information security risk assessment technology, establish a perfect electronic commerce information security, and evaluation mechanism.
【 Keywords 】 electronic commerce; information security; risk assessment and countermeasures
1 引言
电子商务是一项与传统交易完全不同的贸易活动,而其中的网络支付系统就是支持这种新的贸易方式的重要条件和必要支持,电子商务就是利用相关的计算机技术,借助Internet而实现在线支付,即传递商务信息和进行商务活动,所以它要求数据的传递、交换及处理在网络上能够保障有非常高的安全系数。这就要求电子商务相关部门或人员在进行业务或项目开发时,对整个项目的信息安全进行风险评估,得出项目实施可行性等一系列结果。
电子商务系统的信息安全风险评估运用科学合理的分析方法、手段,运用系统的观点来分析电子商务信息系统所面临的人为或自然因素的威胁以及所存在的脆弱性,努力在网络的“安全等级”和“风险投资”之间找到一个很好的平衡点。
因此,整合传统的网络信息安全技术,并结合现代化的新型技术应用,研究出一套既安全又可靠的电子商务交易安全体系已经成为当前电子商务网络信息安全研究的重要内容之一。
2 电子商务系统中存在的信息安全问题
一般来讲,电子商务中所涉及的信息安全性是指在电子商务交易过程中利用各种技术、法律等措施来保证交易信息不会因偶然或恶意原因而遭到破坏或泄露的要求。21世纪初,我国的金融系统所发生的计算机犯罪率不断攀升。据报道,2002年一起有关不法分子利用黑客入侵在银行网银服务器植入“木马”病毒程序,窃取多家客户的保密信息进行不法交易,所涉金额将近百万。我国金融网络的信息安全现状不容乐观,亟待改善。
下面我们来简单介绍一下电子商务网络中的信息安全问题,主要涉及以下几个方面。
(1)软件和应用漏洞
软件的复杂性以及程序编写的多样性导致电子商务系统中的软件会由于一些原因而留下安全漏洞。例如,网络操作系统本身就会存在一些安全漏洞,像I/O的非法访问、不完全中介及访问控制的混乱等都会造成数据库安全漏洞的产生,这些漏洞严重危害到电子商务系统的信息安全。尤其是在设计初期未考虑到安全性的TCP/IP通信协议,在连接Internet时就有可能受到外界的恶意攻击或窃取等。这些都显示了目前电子商务系统网络软件存在一些可避免或不可避免的安全漏洞。
(2)电脑病毒问题
随着网络技术的应用越来越广泛,压缩文件、电子邮件等已成为电脑病毒传播的主要途径, 加之病毒种类的多样化、破坏性的增强,使得电脑病毒的传播速度大大加快。而近年来新型病毒种类数量迅速增加,互联网更是给病毒传播提供了很好的媒介。这些病毒通过网络进行传播甚至是加速传播,稍有不慎就会造成不可弥补的经济损失。
(3)黑客入侵
目前,除了电脑病毒的迅速传播,黑客的恶意行为也越来越猖狂。黑客常用的木马程序相对于电脑病毒来说更具有目的性,使得计算机记录的登录信息被木马程序恶意篡改,最终造成重要信息、文件甚至是资金被盗。
(4)人为因素造成的安全问题
电子商务公司的大部分保密性工作都是通过工作人员的操作进行的,因此这需要工作人员具有很好的保密性、严谨性及责任心。如果工作人员的责任心不强、态度不端正,时常擅离职守,让无关人员随意进出机房重地,甚至向他人透露保密信息,就会让违法分子有机可乘窃取重要信息。再如,若工作人员缺乏良好的职业道德素质,便有可能非法超越权限而擅自更改或者删除他人的信息,也有甚者会利用自己的专业知识与工作职务来窃取相关的用户口令和标识符,将其非法出卖。
3 电子商务信息安全风险评估的现状及存在问题
通过上面的介绍,我们可以看出进行信息系统安全风险评估是十分有必要和重要的。目前,我国也有一些针对信息安全风险评估的研究和应用,其中常用的风险评估工具有风险评估矩阵、问卷、风险评估矩阵与问卷相结合的方法以及专家系统等。另外,网络信息安全风险评估常用的方法主要有定量的因子分析法、时序模型、决策树法和回归模型等风险评估方法。定性分析法主要涉及到逻辑分析法、Delphi法、因素分析法、历史比较法等。此外,还有定量与定性相结合的评估方法,主要包括模糊层次分析法、基于D-S证据理论的评估方法等。然而,目前我国的网络信息安全风险评估还存在一定的问题,需要在以后的研究创新中加以重视和研究。
3.1 对电子商务信息安全风险评估的认识不足
当前,很多相关人员还没有认识到电子商务信息系统所面临的大挑战,因此并没有认真重视信息安全风险评估的重要性,原因有以下几点。一,目前很多开展信息安全风险评估的公司或单位尚未通过标准、规范的培训,尚未系统地学习信息安全风险评估工作的相关理论、方法和技术工具等方面内容,这导致很多与信息安全评估工作相关的领导和工作人员对信息风险评估重要性的认识严重不足,自然其更没有将这种风险评估的工作纳入到现行的信息安全系统框架里。二,虽然有不少的单位想将信息安全工作放至重要位置,但却受到人力、物力、财力等方面的限制,同时也受到一些财务制度的约束阻碍,使得信息安全系统前期的信息安全风险评估准备工作得不到应有的重视。
3.2 缺少信息安全风险评估方面的专业技术人才
首先,就我国现有公司的信息安全风险评估现状来看,很多公司都缺乏专业的信息安全管理人员,更不用说专业的风险评估技术人员了。信息安全风险评估的技术含量非常高,它要求工作人员具有相当高的技术水平,而现在很多公司都是以普通的信息人员充当风险评估技术人员,这是不行的。其次,信息安全风险评估其实是一项综合性很强的工作,它不仅涉及公司全部的业务信息,还涉及各方面的人力物力财力,因此需要各部门相互配合完成,而现在大多数公司只依靠信息部门进行,很难较好的完成信息安全风险评估工作。
3.3 风险评估工具相对缺乏
目前,在电子商务执行过程中的应对工具,如防火墙、漏洞扫描等都相对成熟,但是在这些活动前期所涉及的信息安全风险评估工具却较缺乏。例如,上述我们提到的四个评估工具中,除专家系统以外,其他的技术工具都相对较简单,且缺少实际的理论基础。另外,这种信息风险评估工具的开发运用方面,呈现出国内、外极不平衡的状况,国内相对落后。
4 我国电子商务信息安全及风险评估工作的发展对策
4.1 增强电子商务系统信息安全及风险评估意识
在英国,曾经做过一项关于信息系统安全问题的调查统计,结果显示约80%的信息损失是人为因素造成的;在国内,也经常有因用户口令设置不当、随意将账号借与他人而造成信息安全威胁的现象。防止人为造成的信息安全问题已经成为一个重要内容。因此,电子商务公司一定要对其从业人员进行必要的信息安全知识教育培训,最大化地提高他们的信息安全及风险评估意识,积极防范信息毁损和泄密情况的发生,从而保证信息的完整性和可靠性,保障用户利益的同时也可以提高企业的竞争力。
4.2 加强对专业技术人员的培训,提高风险评估人员的专业技能
针对信息安全风险评估技术人员,我们可以通过以下方法进行相应的培训:一,可以整合公司内部的人力资源,加大风险评估的培训力度,利用专业的培训教材,通过学习弥补评估人员的知识缺陷,提高其技术水平;二,实行互补型培训,根据风险评估技术的专业分类,组织技术人员据此进行相应的培训,从而培养技术互补型的风险评估队伍;三,合理利用社会资源,公司应该加大对技术资源的投资,可聘请经验丰富的专家学者来组成第三方评估方,以备公司不时之需;四,公司人力资源部门可以有计划地对技术人员进行规范化的认证培训,实施职业技术资格准入制度,这样就可以从源头提高信息安全风险评估技术人员进入的门槛,保证评估技术人员的综合素质,为后期电子商务的信息安全风险评估工作打下坚实的基础。
4.3 积极加强对信息安全防范技术的研究和应用
目前,常用的保障电子商务系统的信息安全技术主要包括防火墙技术、防病毒技术、入侵检测技术、数据加密和证书技术以及相应的信息安全协议等。电子商务提供了无限的商机与方便,企业也通过电子商务的开展使得竞争力有所提高。因此,为了开展安全可靠的电子商务业务,我们必须在加强对电子商务信息安全及风险评估研究的同时,进而建立较为科学合理的电子商务信息安全体制。
然而,如果我国在基础硬件与芯片等方面不能自主,那么会严重阻碍我们对信息安全监测或评估的实施。在建立自主的信息安全及评估体制时,要积极利用好国、内外的资源,统一组织对信息安全重大技术的攻关,建立创新性的电子商务信息安全及评估体制。
5 结束语
综上所述,电子商务信息系统的安全问题是一项极其复杂的工程,这个系统工程既涉及了信息动态传输的安全问题,还涉及到信息静态存储的安全问题;它既是一项技术问题,也是一项关乎策略、信用、制度法规和社会公众参与电子商务活动等的非技术问题。而在前面的内容中,我们就目前电子商务信息系统所可能存在的安全问题进行了介绍,电脑病毒、软件漏洞、人为因素等相关安全问题不容忽视,需要加以控制和制止。因此在此基础上,就需要在信息系统建立之前做好信息安全风险评估工作,然而面对当前我国信息安全风险评估所存在的缺陷和不足,要求我们积极做好与此相关的工作,从信息安全意识、专业人才、新型技术等方面着手加强我国电子商务信息安全风险评估的研究和发展,为电子商务的发展提供一个良好的信息平台。
参考文献
[1] 吴鹏程.电子商务信息安全与风险管理刍议[J].中国新技术新产品,2009年第7期.
[2] 赵刚,王杏芬.电子商务信息安全管理体系架构[J].北京信息科技大学学报,2011年第26卷第1期.
[3] 伍永锋.基于模糊支持向量机的电子商务交易安全风险评估方法[J].科技通报,2012年第28卷第9期.
[4] 高博.电子商务信息安全风险与防范策略研究[J].现代商贸工业,2011年第14期.
[5] 连秀珍.电子商务的安全评估与审计[J].经济研究导刊,2012年第13期.
[6] 范光远,辛阳.防火墙审计方案的分析与设计[J].信息网络安全,2012,(03):81-84.
[7] 郎为民,杨德鹏,李虎生.智能电网WCSN安全体系架构研究[J].信息网络安全,2012,(04):19-22.
关键词:烟草行业;信息化建设;信息安全;管理策略
一、引言
我国是烟草消费大国,烟民数量在3.5亿以上,占全世界烟民总数的百分之30左右,烟草市场庞大,烟草行业利税是财政收入的重要来源,进入21世纪以来,随着互联网平台的发展,网络信息化平台建设极快,对传统营销和管理模式造成了很大的冲击,烟草行业在此大背景下,也开始从线下向线上转变,信息化建设取得了一定成绩,然而,多种因素共同作用下,烟草行业信息安全问题又暴露了出来,这是目前烟草行业面临的挑战之一。
二、目前烟草行业信息安全管理存在的问题
1.没有行之有效的整体管理机制。随着信息技术的广泛应用,很多行业都面临着信息安全保护问题,目前看来,烟草行业并没有行之有效的整体管理体制,首先来说,烟草行业是一个庞大的行业,它的信息安全管理应该着眼于全局,生搬硬套外来的安全措施,往往不能起到最好的效果,应该在因地制宜的情况下,制定全局性质的管理办法,包括预防、整治、应急等方方面面,以一点带一面,以一面带全局,从上到下的进行整体管理。2.现有信息安全管理制度落实不到位。我国烟草行业信息安全管理已经进行了多年,但效果并不十分理想,很多烟草公司只是表面在表面施行安全管理制度,其内部信息管理实际上是混乱的,而且,烟草行业人员流动性是较大的,很多时候公司难以对相关人员进行系统的培训,其中少部分了解信息安全管理内容的人员存在素质低下的问题,这给信息安全管理工作带来很大的困难。3.网络环境整体建设不健全。多年来,我国致力于建设安全的网络环境,但依然无法达到尽善尽美的程度,同时,国内烟草行业在竞争中优胜劣汰,重组的烟草公司建立的信息安全管理体制不够健全,安全功能存在隐患,偏远地区、经济欠发达地区对于信息安全管理概念不强,也这也给管理工作带来了麻烦。
三、加强烟草行业信息安全管理的意义
加强烟草行业信息安全管理的意义。近些年来,烟草行业推陈出新,开始利用自媒体、网络平台、信息技术对传统的工作模式进行创新,虽然创造了很大收益,但弊端同样存在。信息安全管理问题是其中突出的一个。信息安全受到威胁,对网络和资料库来说是非常严重的问题,轻者资料流失、外泄,重者资料库和网络可能直接崩溃,对于越发依赖网络平台、信息技术的烟草行业来说,这是不容忽视的。我国烟草行业实行专营专卖制度,在合理控烟的同时,也可以为国家创造巨大财政收入,因此,烟草行业信息安全问题无论从企业、烟草行业来看,还是从国家层面来看,都是不能不重视、不能不解决的重要问题。
四、烟草行业信息安全管理的可行办法
1.提高信息安全相关人员的技术水平。从技术层面上讲,越是高新技术往往越安全,互联网行业、信息技术的发展是日新月异的,烟草行业、公司应该随时做到与时俱进,提高信息安全相关人员的技术水平,有效保证对信息安全的保护,较大的烟草公司可以成立专门的技术部门,以老带新的方式培养技术型人才,负责信息安全的保护问题,做到责任落实到个人。2.建立整体防护。从上到下的进行防护往往比专门防护更有深度,可以对已经成型的防护体系进行加强,定期检查和更新,对尚未成型的防护体系要尽量尽快完成,必要时可以借鉴其他公司的成功经验。整体防护应该包括从预防到应急等各个方面,尽量保证不出现信息安全管理问题,而即便出现紧急状况,整体防护下也有一定的挽救办法。3.加强竞争性。作家笔下的耕牛,在牛虻的叮咬下很快耕完了土地,这是一则很有教育意义的寓言故事,恶性竞争需要避免,但良性竞争是可以存在的。地方相关部门可以通过招商引资、减少贷款等办法,对烟草公司加强竞争性和压迫感,给烟草公司制造一定的压力,迫使部分散漫的烟草公司严肃起来,建立行之有效的信息安全管理体系,同时,良性的竞争可以带动经济更好的发展。4.优化商业环境。古语常说,盛世言商。商业环境的好坏,是企业能否盈利和发展的关键因素之一,尽管我国政治环境稳定,但在利益驱使下,不法分子依然为数不少,在条件允许的情况下,当地相关部门应该同时对线上、线下商业环境进行规范化管理,加大管理力度,聘请专业人员持续的进行整治,对不法分子的打击力度也可以适当加大,防止死灰复燃,从根本上减少、解决信息安全管理的麻烦,降低信息安全管理存在的威胁。5.加大扶持力度。企业是地方税收的重要来源,烟草行业由于需求量大,是值得相关部门重视的,很多烟草公司在信息安全管理上缺乏人才、技术,当地相关部门可以在条件允许的情况下进行扶持,保证烟草企业良好的发展,对于部分偏远地区、经济欠发达地区,当地相关部门也可以在条件允许的情况下在资金上给予一定补贴。6.企业本身也应加强管理。部分企业资料库的管理权限混乱,这不但给自己的管理造成麻烦,也给不法分子提供了可乘之机,应该加强自身管理,信息安全问题尽可能由专门的人员负责,资料库密码等只由专人负责,不能扩散、外泄,如相关工作人员离职、调动,也应妥善安置好交接工作。7.重视安全防范工作。部分企业在平时疏于管理,当问题出现时临时补救,往往无法挽回损失,有鉴于此,加强防护工作迫在眉睫,信息安全管理工作应有专员负责,同时建立审查制度,每隔一段时间,对信息安全防护措施进行一次检查,确保信息安全时刻都可以得到保证。
五、结语
在网络发达、信息技术使用广泛的情况下,信息安全管理是各行业工作的重要内容,烟草行业虽然实行国家专卖专营制度,伴随着互联网信息技术的使用,经济效益显著提高,但由于烟草行业本身商业价值巨大、影响广泛,信息安全问题绝对不容一丝马虎。只有充分保证信息安全,才能使烟草行业获得更良好的发展环境,创造更多的经济效益。
参考文献:
[1]朱益旻.烟草行业信息安全风险分析与控制策略研究[J].中国管理信息化,2015,24:182.
[2]宋朋飞.烟草行业信息安全管理的要点与对策探索[J].产业与科技论坛,2016,19:238-239.
[3]辛友顺.新形势下烟草行业信息安全的建设思路[J].信息与电脑(理论版),2015,09:106-107+111.
关键词:银行信息 信息系统 安全问题
前言
银行信息系统的安全保障要以缜密的分析为前提,制定详细的对策, 充分利用安全技术、安全产品来实现安全措施。本文以泰安农村信用 社为例阐述银行信息安全问题.
1.信息安全分析 银行信息系统具有服务范围广泛,平台复杂多样,业务品种不断 更新的特点。因此银行信息系统庞大而复杂,信息安全涉及方面众多, 我们大体可以按照安全管理、信息资产与环境、主机系统、网络系统、 日常运维五个方面进行分析.
1.1安全管理问题分析.
泰安农村信用社信息系统一贯重视系统安全,但对与系统安全的 管理仍处于比较传统的模式,即一种静态的、局部的、少数人负责的、 突击式的、事后纠正式的管理方式;安全管理偏重对业务的保障,在内 部管理上相对比较松散;一些安全管理策略和制度规范比较宏观,在 可操作性和实效性上还值得进一步探讨与改进.
1.2信息资产与环境问题分析.
泰安农信信息系统依照相关的规定进行建设。目前还需要改进的 问题为包括物理环境的单点故障隐患及不可抗力因素导致的系统安 全的风险;对信息资产的保护缺乏信息资产分类体系,无法实现对设 备的购置、维修、报废等环节的实时管理.
1.3主机系统问题分析 信息中心的主机上存放大量的业务数据,对全辖提供数据服务及 技术支持,保证辖内计算机系统全年365天、全天24小时不间断运 行,因此主机采用高可用性和全冗余结构的主机系统,配置磁盘阵列 存储数据.
目前面临维护错误和操作失误、未经授权访问和操作、权限滥用、 硬件故障、数据库本身存在的安全漏洞等威胁.
1.4网络系统问题分析 现行银行计算机网络是银行计算机信息系统中最易受攻击又最 难以防范的薄弱环节,为了保障网络安全,目前采取的的措施有增加 防火墙,对连接科技中心主机全部做了限制,安装了IDS入侵检测系 统。还存在以下问题:主交换机虽然划分了VLAN,但划分VLAN数量 少,无法满足业务高速发展需要;办公网现在没有逻辑划分;在省市和 市县之间没有实施QOS策略,存在一定网络拥塞的风险.
1.5日常运维问题分析 目前日常运维工作繁重,日常运维只是通过已有的书面的操作流 程进行操作,无法记录操作结果,对日常运维缺乏审计性;机房主要依 靠人工巡查等手段进行监控,存在不能及时发现问题的隐患。对于登 陆信息系统的网点柜员身份验证停留在“用户名+密码”阶段,存在非 法入侵的安全隐患.
2.信息安全风险识别 通过对泰安农村信用社进行信息资产识别,逐项进行风险评估, 并制订风险控制措施.
2.1确定资产风险等级 全面了解泰安农信信息系统安全现状,采用定性与定量相结合的 方法,并依据标准要求充分考虑到资产的安全价值、威胁、薄弱点、威 胁发生的可能性、威胁造成的潜在响应等因素,将各个资产所面临的 众多威胁因素统一起来描述.
2.2明确风险控制方法 根据风险评估表,对该资产已经识别出的风险点,在现有的控制 措施之外,进一步提出解决该风险点的新方法或新措施,以使风险降 低到可接受的程度,并明确责任人,制定一个切实可行的风险处理计 划。3.信息安全问题解决 根据风险评估的结果及风险控制方案,依照安全管理体系的要求 对准备阶段中涉及的各类问题集中解决,使得在信息系统受到侵袭 时,确保业务持续开展并将损失降到最低程度.
3.1安全管理的安全实现 针对目前泰安农信信息系统在安全管理方面存在的问题,信息安 全人员仔细分析问题,提出问题解决方案如下.
3.1.1明确指出系统中每位员工的责权问题.
3.1.2建立较完善的信息科技制度体系,明确泰安农信信息系统 工作流程,避免管理混乱.
3.1.3建立规范的信息系统风险防控和应急处置流程,逐步提高 突发事件的应急能力.
3.2信息资产与环境的安全实现 针对目前泰安农信信息系统在信息资产与环境方面存在的问题, 信息安全人员仔细分析问题,提出如下问题解决方案.
3.2.1引入“计算机设备管理系统”软件,规范设备管理。对设备的 购置、维修、报废等环节的管理的问题进行跟踪记录.
3.2.2对银行设备与物理环境进行容灾规划,实施容灾系统。对通 讯线路及硬件设备进行冗余备份;对重要数据制定完善的备份规则.
3.3主机系统的安全实现 针对目前泰安农信信息系统在主机系统方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.
3.3.1开发备份配置软件,保存每次设置变更情况,使设置变更有 迹可循.
3.3.2为保证数据信息安全,采用双机热备、重要数据远程备份、 异地存放等多种措施避免系统风险.
3.3.3应用“运维安全管理系统”对操作员的操作进行限制,杜绝 由于操作用户权限过大而造成的安全隐患.
3.4网络信息的安全实现 主要包括信用社内部数据传输线路的安全实现、第三方接入的安 全实现等。泰安农信采用SDH线路进行组网;通过端点隔离方式实现 业务和办公网络分离;通过整体路由规划和QOS规划实现对各业务 数据流的控制;内网配置了多套防火墙,实现对内网的通讯访问的控 制与隔离.
3.5日常运维的安全实现 针对目前泰安农信信息系统在日常运维方面存在的问题,信息安 全人员仔细分析问题,提出如下问题解决方案.
3.5.1建立网络化的运维机制。探索建立科技服务联动网.
3.5.2分析日常工作流程,开发“电子日志系统”,确保日常工作不 会遗漏,并记录操作员日常操作,保证操作过程的可审计性.
3.5.3建立机房自动监控系统,实时监控放置、设备的运行状态及 工作参数,发现部件故障或参数异常,及时报警,并可记录历史数据和 报警时间.
【关键词】信息化时代;计算机;信息安全;保密工作
计算机技术在我国的应用,在我国经济的发展和公共服务的完善工作中占据着十分重要的地位,但信息技术的双面性决定了其带来便利的同时也存在潜在威胁,为计算机信息安全保密工作的进行带来困难。目前,计算机信息安全保密工作越来越引起政府、企业和人民的重视,在信息化时代的背景下做好计算机信息安全保密工作成为亟待解决的问题。
一、信息安全定义
信息安全,简称信安,是指保护信息和信息系统免受未经授权的进入、使用、披露、破坏、修改及销毁等,保障计算机信息不被外界因素影响,从而保障信息及使用者隐私的安全性和计算机系统的正常平稳运行[1]。目前我国政府、军队、公司、金融机构、医院、私人企业等组织都已经采用了计算机信息系统来记录它们搜集和积累的员工、客人、产品及金融数据等大量的机密性信息,除此之外,还依靠信息技术进行数据和资料的传送等工作,在此过程中如果出现信息安全保密工作的疏漏,势必造成严重的后果,因此做好计算机信息安全保密工作十分必要。
二、信息化时代背景下计算机信息安全保密工作现状及存在的问题
2.1信息化时代背景下计算机信息安全保密工作现状
计算机技术应用的发展伴随着网络不法分子的出现和犯罪手段的不断发展,二者长期以来进行着激烈的斗争。当下,我国许多网络不法分子不再局限于国内,也出现了许多国际不法分子,犯罪形式层出不穷,致使网络警察和警务人员的执法工作很难正常进行,网络犯罪的打击工作力度难以加强,网络不法分子更加猖狂[2]。许多计算机信息安全保密系统的设计存在纰漏,更加大了信息安全保密的威胁性,加之越来越多的信息传达和发送需要借助计算机技术来完成,增加了网络风险,为网络不法分子的乘虚而入提供了更多的机会。
2.2信息化时代背景下计算机信息安全保密存在问题
1、计算机使用者信息安全保密意识淡薄。计算机带来的极大便利改变了人们的生活方式和组织的管理方式,但是,人们在计算机的使用中忽视了信息安全保密工作的重要性.一方面造成计算机使用不合理,一方面很大程度上给不法分子提供了可乘之机,为个人隐私带来威胁。
2、相关计算机安全保密法律条例不完善。为了保障我国广大网民群众计算机使用活动的规范,我国目前已经颁布了相关法律,但是涉及到计算机安全保密的法律尚不完善,使公安机关在办案过程中无法可依,打击网络犯罪显得力不从心。
三、加强信息安全保密工作的具体措施
1、加强计算机用户的安全防范意识和知识教育。计算机用户信息安全防范意识的淡薄从根本上增强了信息的风险性,要加强计算机信息安全保密工作,务必使计算机用户树立起安全防范意识。相关网络机构可以通过便利的互联网对网民进行在线安全教育,做出必要的信息安全指导;另一方面,网络管理者加强对钓鱼网站的控制和检测工作,尽可能避免钓鱼网站的出现,通过对网民计算机知识的教育,使网民意识到钓鱼网站的危害性,普及计算机信息安全知识。
2、完善计算机信息安全保密法律条例。我国相关网络管理部门应该尽快改善计算机信息安全保密的公安办案无法可依的局面,出台相关法律条例,就我国信息安全保密中存在的具体问题制定出相对应的条例。
3、强化计算机工作人员的培训。工作人员是计算机信息保密工作的重要保障,目前我国计算机信息人员构成专业度较低,且实践能力不强。面对这样的局面,相关部门应该强化人员的培训工作,定期对工作人员进行专业理论知识培训,或开展实训课程,落实各种保密技术和方法,培养人员责任意识和保密意识,激发人员创新精神,提升人员工作水准和效率[3]。另外要积极引进先进的保密技术,促进我国计算机信息保密技术的现代化。总结:综上所述,在信息化的大背景下,做好计算机信息安全保密工作具有重大意义,在保护用户隐私和机密等方面占据不可替代的地位。加强计算机用户的信息安全教育工作,提高网民安全意识,强化人员培训,不给网络犯罪分子可乘之机,完善相关信息安全保密法律条例,能够有效确保信息的泄露,保障我国信息网络的健康可持续发展。
参考文献
[1]郭燕华.如何做好信息化条件下计算机信息安全保密工作[J].通讯世界,2015(5):53-54.
[2]顾泰龙,李远静.如何做好信息化条件下计算机信息安全保密工作[J].信息化建设,2015(12).
【关键词】电子商务 信息 安全
一、电子商务的概念
电子商务主要指当事人利用网络平台从事各种各样的商务活动。在整个商务的过程中,当事人不会碰面,资金以及合同等信息都在网络中实现完成。
二、电子商务环境下信息安全的涵义
当事人在网上进行商务活动中,商务活动包含的所有信息都属于电子商务环境下的信息。比如说产品信息、支付信息、合同信息以及身份信息等等。在电子商务进行中,如果当事人的信息出现泄漏或者丢失,将对当事人造成很大的危害,有时候不仅仅是财产问题,严重时关系到人身安全问题,因此,信息安全问题是电子商务中最重要的一个方面,需要采取有力的措施,保证信息的安全性。
三、在电子商务环境下存在的信息安全问题
利用虚假信息进行欺诈。电子商务活动主要在网络中进行,不是商家与客户面对面交流,这与传统的商务活动有很大的不同。网络中网站会员注册一般审核较为宽松,不法分子很容易申请相应会员,扮演商家或者顾客的身份。不法分子利用网络平台一些虚假信息销售或者购物,这样就会吸引相关人员与之联络,不法分子会对警惕性不高的相关人员进行诈骗,骗取对方的钱财以及货物。因为目前网络管理还有待完善,所以网上很多信息无法核实有效性,这就很容易出现信息安全性问题。
利用漏洞窃取信息。电子商务从事信息交流环境比较特殊,在网络中交流,而网络在运行中很容易出现漏洞,造成维护工作非常繁琐。一些黑客利用网络的漏洞,进入网络中窃取他人的信息,从而盗窃钱财或者将他人信息转卖。有的黑客或者商业竞争对手会利用网络漏洞进入企业的网络中,窃取公司的重要商业信息,给公司造成大量的经济损失。
信息出现泄露情况。随着网络的普及,越来越多的人开始在网络里了解时事,娱乐以及学习。很多人对网络的警惕性不够,将自己大量的信息,包括隐私信息都贴在网络中,这样就无形中给非法分子窃取的机会。一些黑客将病毒放在浏览网页中,当网民点击网页时,会将病毒不知不觉的下载到个人电脑中,电脑被他人控制或者电脑出现瘫痪状态。还有一些不法分子利用他人的隐私信息进入到相关网络,比如说邮件、电子账户中窃取更加重要的信息,直接造成他人巨大损失,严重的情况下,会引起人们的焦虑与恐慌。
企业信息安全隐患。对于企业而言,如果企业信息被泄漏,不仅关系到企业的生成规划及目标的泄漏,还会造成财产的巨大损失。目前,在电子商务环境下,企业信息安全主要有两种信息隐患。
(1)内部隐患。内部隐患指的是企业内部员工无意的或者有意的将信息出去或者删除信息,造成信息的泄漏和丢失。
(2)外部隐患。外部隐患指的是外部人员通过网络漏洞进入到企业内部,窃取企业信息或者将企业信息删除等等,给公司造成巨额损失。
四、针对信息安全问题采取的有效措施
加强信息安全方面意识。在电子商务环境下,如果用户或者从业人员不重视自身信息的安全性,对于电子帐号的密码保管不当,设置简单密码,都会造成信息泄漏,让非法分子利用。在某种程度上来讲,电子商务从业人员在目前技术条件下,如果提高自身信息安全意识,注重信息的保密性,完全可以减少信息泄漏问题,因此,为了更好的降低信息安全问题出现的频率,需要加强人们,特别是从事电子商务信息工作的人员,信息安全方面的意识。
完善电子商务管理规定。电子商务在发展过程中,一直缺乏良好的监督与规划,这也在无形中推动了不法分子钻漏洞,偷窃他人信息。因此,为了更好的推动电子商务发展,加强信息安全性,相关管理部门需要在现有的管理规定基础上,结合实际情况,制定更加完善的政策,政府部门需要做好电子商务发展的宏观规划,起到良好的监督作用,加强管理,只有这样,才可以约束不良分子盗窃他人信息。
注重信息化安全技术的研究工作。随着社会的发展,科技不断进步,越来越多的人有机会接触新产品,特别是网络设备。利用互联网,人们可以学习到各种知识,这其中也包括非法窃取他人信息的知识。很多人利用网络,学习电脑病毒知识,利用网络的漏洞从事破坏活动。因此,为了尽量防止信息丢失,加强安全管理,需要注重技术的研究工作,利用密码技术、数字认证技术、手机密保技术等等,加强信息安全工作,尽量减少网络漏洞的产生,及时对于电子商务网络维护与更新,防止病毒入侵,只有这样,才可以加强信息安全,更有利于电子商务的快速发展。
加快电子商务基础设施发展。电子商务是信息通信的基础,只有大力发展电子商务,提高电子商务水平,才会更好的解决信息安全问题。对于电子商务的基础设施建设,我国发展相对滞后,比如说信息传输问题、电子商务网络问题等等,为了加快解决信息安全问题,不能忽略电子商务基础设施的建设工作,改善网络质量,提高电子商务信息传输质量,只有这样,才会为信息安全奠定良好的基础。
五、结束语
随着网络的发展,人们在网络上从事的电子交易也开始频繁起来。而在电子商务环境下,信息安全问题却面临考研,人们开始更加关注电子商务的信息安全问题。目前,由于技术有限、管理不善等原因的存在,导致信息面临泄漏或者丢失等不安全性。为了更好的发展电子商务,推动网络交易,需要多管齐下,既要提高从业人员的安全意识,又要注重技术的提高以及管理规定的完善,只有这样,才能从根本上解决信息安全问题,促进我国电子商务的健康快速发展。
参考文献:
随着我国科学信息技术的快速发展,人与人之间信息的交流速度也越来越快,因而信息技术环境推动了国际化交流。但是,网络信息完全问题一直面临着巨大的挑战,从而也给网络信息的应用带来了很多隐患。为了进一步保证信息技术环境中的信息安全性,有必要提高我国对信息安全检测的能力,从而提高网络信息的安全性。
1.1信息的污染问题
随着网络信息时代的到来与发展,网络信息中包含的无用信息、劣质信息和有害信息等信息的污染也越来越广泛。针对这三种污染信息,一般需要采用具有针对性的解决措施:①无用信息。由于无用信息的存在,不仅会增大资源开发利用的压力,还会给用户带来很多干扰,进而降低了信息之间的交流速率。②劣质信息。劣质信息一般是其具有一定的实用性,但是相对价值较低,而且劣质信息在使用过程中没有质量和安全保障。当然,劣质信息也会带来一定的效益,同时也带来了信息开发方面的压力,并且劣质信息的使用还会给用户带来很大的损失。③有害信息。有害信息的使用会直接给用户带来不良的影响,并且增大了信息资源辨别的难度,因而有害信息的存在是现代信息技术环境中的一种主要的信息安全问题。
1.2信息的侵权问题
信息,一般都具有一定的产权,因而信息受到相关法律的保护。但是,现代信息技术环境中依然存在信息的侵权问题。尤其是随着网络信息技术的不断发展,信息的传播和利用也呈现出了多种多样的形式,与此同时,信息传播的载体也在相应的发生变化。所以,信息的侵权问题对现代信息技术环境中的信息安全问题带来了极大的影响。
1.3信息的泄露问题
在现代信息技术环境中,信息的泄露方式也呈现出多种多言的形式,一般主要包括窃听和个人入侵等。当然,信息泄露主要是指通过非法的途径盗取和篡改个人信息和公共信息等。当然,信息的泄露可能会发生在信息交流的各个阶段,比如信息的存储、传播和使用等阶段。对个人信息来说,个人信息的泄露主要是指个人隐私的泄露。然而,对受国家法律保护的公共信息来说,公共信息的泄露一般是指企业或者国家的机密等被盗窃的现象,公共信息的泄露会直接影响企业或者国家的安全。因此,一旦公共信息被泄露,不仅会给国家或者企业带来严重的威胁,甚至还会导致重要的机密被泄露出去,进而影响国家或者企业的重大决策。
2解决现代信息技术环境中信息安全问题的对策
2.1技术措施
在现代信息技术环境下,信息技术的广泛使用给人们的工作和学习等都带来了极大的方便。同时,信息安全问题也是一直存在的隐患,为了确保现代信息技术环境中的信息安全,首先应该从技术方面入手,从而技术层面解决信息安全问题。①针对现代信息技术环境中的信息安全问题,可以采用加密保护措施,从而提高信息的安全性和保密性。当然,在对信息进行加密的同时又会增大信息泄露的可能性,针对这种信息安全问题,一般采用的技术手段是对信息进行伪装保护。②针对信息在传播和利用过程中存在的信息安全问题,一般采用的信息安全保护手段是采用认证方式来提高信息的安全度。③针对网络信息传输过程中出现的信息安全问题,一般采用防火墙和杀毒等软件措施来提高信息的安全性。
2.2法律措施
在现代信息技术环境下,针对现代信息技术环境中的信息安全问题还可以采用法律措施,一般主要是构建信息安全认证机构,从而借助于法律手段来提高信息的安全性。针对现代信息技术环境中的信息安全问题,采用法律强制性措施对网络信息加以保护,并且政府还应该构建合法的信息安全法律法规,通过法律的明文规定来约束用户的行为。
2.3伦理措施
目前,解决现代信息技术环境中的信息安全问题一般采用的伦理措施包括加强网络信息的道德修养和制定相关的信息安全道德标准。通过将人们的思想道德素养和相关的思想道德规范结合起来,从而提高信息的安全性。
3结语
[关键词]信息安全;安全教育;人才培养
中图分类号:G64
文献标识码:A
文章编号:1006-0278(2013)08-220-01
为营造一个安全的网络环境,在加大信息安全系统投入的同时,还必须培养信息安全人才,这是确保信息安全的关键。当前信息安全领域最突出的问题是:信息安全产业发展滞后,信息安全科研和教育落后,信息安全人才匮乏。而高校中的大学生是面对信息的排头兵,所以从他们开始加强信息安全的教育显得尤为重要。
根据我国《国家信息安全报告》,有超过一半以上的计算机上网无任何防护措施,60%的计算机系统和电子邮件账户从不更改密码或常年使用空密码或简单密码。计算机基础教育的相对遍及化与信息安全知识的不足形成了极大的反差。
可以说信息安全形势日趋严峻。互联网上的恶意活动肆虐,网络钓鱼、垃圾邮件、僵尸网络、木马和零日威胁与日俱增。不同的威胁和方法相互贯通,互相利用。同时利用黑客/病毒技术的“产业链”逐步形成,攻击者利用这些技术或窃取机密信息、变卖牟利,或组建僵尸网络、敲诈勒索。
一、目前高校信息安全教育存在的问题
高校对于信息安全教育的认识滞后与当前形式的发展。加强信息安全教育,不仅是保证高校学生身心健康发展的需要,也是同其他国家争夺人才的需要。能够极大限度的保证学生免收不良信息的侵害,避免学生本身违法犯罪的发生,为培养高素质人才提供了保障。
对高校信息安全教育的重视程度不够。目前对于如何将信息安全教育正规的科学的纳入到学校教学计划,很多学校还没有做出明确的规定。或者,只对于个别专业的同学开设相关的信息安全教育的课程,普及面以及力度都不够。
对高校信息安全教育的方法不当。部分高校信息安全教育的方法比较落后,仍然沿用老方法,跟不上当今时代的要求,脱离了实际。大部分的教材只局限于理论的研究,而忽视了信息安全技能方面的培养,严重影响了信息安全教育的效果!
二、加强高校信息安全教育的方法和途径
(一)建立健全的信息安全教育运行机制
首先应建立高校信息安全教育领导机构,负责对学生进行信息安全教育,确定安全教育内容、计划。其次,将信息安全教育纳入学校的教学计划,在学校教务处的指导下统一开展工作。
(二)开设科学的信息安全教育课程
信息安全的专业知识纷繁复杂,要在短期内传授信息安全所涉及的全部理论和专业知识是不现实的,因此在课程设置时必须有所倾向和取舍。在课程设置上应该瞄准“打牢计算机基础,提高数学素质,构建系统的信息安全知识体系,突出安全恭喜横时间能力”,以打造应用型人才、工程型人才为目标,兼顾研究型人才的培养。
(三)加强信息安全的教学实践
信息安全是一个直接面向工程、面向应用的专业领域,因此必须重视培养学生的安全管理能力和安全工程能力,强化学生的实践环节。实践环节可以分为基础课程实验、专业课程的课程设计和毕业设计三个部分。基础课程实验主要训练学生的科学研究的素养;专业课程的课程设计以综合性、设计性为主,旨在锻炼综合应用知识、解决实际问题的能力。
鼓励学生到用人单位或实习基地进行实习,了解实际的安全问题,从事实际的工程工作,提高实践能力。同时让更多的学生在课外时间参与信息安全相关的科研课题,承担具体的研究和开发工作。
关键词: 物联网;信息安全;金奥博;网络密码
北京金奥博数码信息技术有限责任公司在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域具有较为丰富的积累。金奥博是北京市密码产品定点生产和销售单位,他们研制的多项安全产品通过了国密办的安全鉴定。公司日前组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
为了更加深入地了解和探讨物联网的安全问题,《物联网技术》杂志记者日前对北京金奥博数码信息技术有限责任公司信息安全部技术总监、网络密码认证技术北京重点实验室副主任、北京市科技新星李瑛女士就物联网的安全问题进行了专访。
本刊记者:我们了解的北京金奥博数码信息技术有限责任公司在互联网安全领域有较为丰富的积累。新一代信息技术革命又让我们进入了物联网时代。请您谈谈物联网的安全和互联网的安全有什么不同,贵公司觉得物联网安全研究的现状是怎样的?
李瑛女士:物联网的推广使用能够给人们的生活带来便利,可以提高工作效率,同时推动国民经济的发展,但是也必须注意到物联网的大范围普及会存在巨大的安全隐患。信息化与网络化带来的风险问题,在物联网中会变得更加迫切与复杂。由于物联网连接和处理的对象主要是机器和物,以及相关的数据,其感知节点大都部署在无人监控的环境,具有能力脆弱、资源受限等特点,其“所有权”特性导致物联网对信息安全的要求比以处理文本为主的互联网更高,对保护隐私权和保障可信度的要求也更高。在物联网发展的高级阶段,由于物联网场景中的实体均具有一定的感知、计算和执行能力,广泛存在的这些感知设备对国家基础设施、社会和个人信息安全存在新的安全隐患。
我们都知道物联网目前存在安全问题,如果这些问题不能得到很好的解决,或者说没有很好的解决办法,将会在很大程度上制约物联网的进一步发展。我们在强调标准、技术、应用方案以及人才的同时,也不能忽视物联网安全的重要性。
根据物联网的特点,2009年欧盟物联网项目研究组制定的《未来物联网战略》中明确指出:物联网在安全和隐私方面的研究以节能高效的安全算法和低成本、安全、高效的安全认证设备为研究方向。国内对物联网安全技术的研究以安全框架和探索研究居多,具体安全技术的研究较少。我们的物联网密码认证系统是不是行业唯一的物联网安全系统,我不能肯定,但是我确实没有听到有类似的产品。在今年4月份北京召开的中国(北京)国际物联网博览会和8月份深圳召开的中国(深圳)国际物联网技术与应用博览会上,物联网安全系统方面的参展商只有北京金奥博数码信息技术有限责任公司一家。
本刊记者:请您简单介绍一下金奥博,贵公司是一个什么样的公司,公司在安全系统研究方面有什么积累或优势,最初又是怎样想到要做“物联网安全系统”的?
李瑛女士:北京金奥博数码信息技术有限责任公司是北京市科学技术情报研究所下属的、具有独立法人资格的股份制高新技术企业。金奥博是遵照科技部的有关科研机构改制要求,以北京市科技情报研究所的计算机部为基础,为更好地适应社会发展,转变经营管理模式而成立的具有独立法人资格的股份制高新技术企业。金奥博继承了以往服务政府和社会的优良传统,坚持为政府及广大企事业单位提供信息技术的研究与开发服务。近年来,金奥博在计算机及网络技术方面不断创新和提高,特别是在互联网安全领域有较为丰富的积累。公司目前是北京市密码产品定点生产和销售单位,所研制的多项安全产品都通过了国密办的安全鉴定。最近,北京金奥博数码信息技术有限责任公司组建的网络密码认证实验室也被认证为北京市重点实验室,承担物联网安全方面的研究工作。
在物联网概念兴起时,我们发现,物联网和互联网其实是密不可分的。现有网络安全体系中的大部分机制仍然可以适用于物联网,并能够提供一定的安全性,如认证机制、加密机制等,但是还需要根据物联网的特征对安全机制进行调整和补充。所以我们开始将多年积累的安全技术以及对数据安全的理解应用到物联网中来,并开始研究与物联网特征对应的安全机制。目前,国内都在谈物联网产业发展存在的问题,但很少有企业站出来表示能解决物联网的安全问题或者愿意着手解决这些安全问题。考虑到物联网对中国未来经济的重要性、国家安全的重要性,必须要有中国自己的企业来承担这一神圣使命。北京金奥博数码信息技术有限责任公司是为数不多的愿意承担这一使命的企业,也是为数不多的明确从事物联网安全研发且又有实际产品的企业。希望北京金奥博数码信息技术有限责任公司能为中国物联网的网络信息安全做出自己的贡献。