时间:2023-11-16 11:00:04
导语:在国家信息安全的重要性的撰写旅程中,学习并吸收他人佳作的精髓是一条宝贵的路径,好期刊汇集了九篇优秀范文,愿这些内容能够启发您的创作灵感,引领您探索更多的创作可能。
【关键词】信息安全;国家安全;挑战;应对策略
最近媒体曝光的“棱镜门”事件警示我们,敌对势力网络监控和窃密无处不在无时不在,必须高度重视信息的安全问题。随着全球化和信息化的飞速发展,信息安全不仅成为国家安全的重要组成部分之一,而且其地位和作用也在日益凸显,已成为国家安全各个领域联系和交汇的纽带,是国家安全的基础性保障。因此,信息安全已提升到国家核心的战略层面,成为国家综合性安全战略的制高点和新载体。
一、信息安全的内涵和特征
1.信息安全的内涵
信息安全最初仅是一个技术领域里的概念,其被推广到国家安全领域中也经历了一个漫长的过程,直至20世纪90年代初,才被广泛运用。对信息安全的定义包括两个方面,狭义上来说,其主要是指信息的安全,即信息状态的安全存在与转移,包括信息的保密性、实用性、完整性、可控制性以及可靠性五个方面[1]。广义上,信息安全指信息的稳定与有序,即一个国家的信息化状态和信息技术整个体系未受到外来的威胁与侵犯,在国家经济、政治、军事和文化等各方面均不受外境的威胁和破坏,处在正常运行的状态。
2.信息安全的主要特征
信息安全具有脆弱性。目前,国家社会生活的各个领域越来越依赖信息网络系统,信息网络不仅是信息传递的工具,更是控制系统的中枢。在当代社会,由于缺乏合适的国际治理机制,的信息网络技术漏洞防不胜防,导致安全攻击和灾难也时有发生。社会对信息系统的高度依存,这必然导致社会安全的脆弱性,只要控制或摧毁了一个国家的信息系统,就能对这个国家带来灾难性打击。信息技术的开放性,攻击成本的低廉性,使任何组织或个人都可能成为信息攻击的发起者,导致信息系统遭受的威胁无时不在无处不在,信
作者单位:472000河南省三门峡军分区
息安全面临着高度的风险性。
信息安全具有潜伏性。在传统的国家安全中,一个国家的安全受到威胁具有透明性,敌对双方均可以做出较为准确的判断,可以使双方有充足的时间去应对。倘若国家的信息安全出现问题,极易遭攻击或损坏,且没有预兆,蔓延迅速,常导致信息系统的瘫痪,社会稳定遭受威胁,被侵国家的军事、文化、政治、经济等信息可能被渗透和侵犯。入侵方仅靠对方的硬件或在软件中设置一个“逻辑炸弹”就可在任一时间破坏对方的信息系统[2]。此外,黑客系统也可以利用某些程序或芯片潜伏到一个国家的重要信息管理中,执行某项指令,摧毁对方的信息系统。
信息安全具有跨国性。这是由网络结构的全球性、互联性、开放性、信息资源的数据共享性、通信信道共用性决定的。不论是在影响的地域范围、传播的速度或规模,还是在媒体的表现形式等各方面,互联网都已远远超出了其它大众传播媒体,它不仅极大地缩短了世界各国的时空距离,使地球人有了瞬间即可共享的信息。同时,互联网不仅互联,而且互动,过去人们尽管有选择信息的自由性,但只能被动地接受信息,无法利用媒介去主动地传播个人信息,然而现在,所在用户都可以利用网络平台成为信息的者,甚至可能成为引发某一全球性事件的根源。信息流动的便利性使得国家的边界显得异常脆弱,在某方面甚至形同虚设,来自世界各地的大量信息每时每刻都在其国土上流动,这为犯罪分子、等跨地域、跨国界作案提供了可能。同时,由于信息技术的放大效应和催化剂作用,某个国家的信息安全受到攻击和破坏时很容易波及给其他国家。
二、信息安全对国家安全带来的挑战
目前,世界已进入信息化时代,但是人类社会在感受信息网络高效便捷、资源共享等魅力的同时,也深刻感受到它给国家的政治安全、经济发展、军事安全和文化安全带来的种种隐患。
1.信息安全影响国家政治安全
当前,任何国家的政治安全都将不可避免地受到国际政治生活的影响和冲击,信息已成为国家重要构成部分,而维护国家就必须要确保国家信息安全,必须牢牢掌握国家的信息。从国内角度看,政府的权威因信息技术面临严重挑战。由于网络是全方位开放的,人们很容易地获取所需信息进行转发,但政府却没有能力做到对网上所信息进行有效筛选和控制,使得信息网络媒体的舆论效果愈加强大。如果对一些利用网络攻击政府的言论不加控制,任由其自由泛滥,必将导社会混乱,影响国家的政治稳定。
2.信息安全影响国家经济安全
目前,一个国家的经济安全和网络安全是密切相连的,经济的发展离不开信息网络。一方面,在世界经济一体化的背景下,经济信息的纽带作用十分明确,甚至已经渗透到了经济安全的核心地位,承担着国家农业、工业、商业、科技等方面的重要信息和战略安全,保障国家的经济健康有序的发展。因此,一旦经济信息遭受外境威胁,整个国家的安全也将受到严重的损害[3]。另一方面,计算机在国民经济各个部门的广泛应用,使以网络为构建的现代金融系统成为社会运行的核心系统。由于网络中总是存在很多无法克服的技术漏洞和安全缺陷,这在很大程度上增加了社会经济的不安全因素。如果一个国家的信息网络被敌对势力侵入,与国家经济密切相关的银行、证券交易所、空中交通、通讯网、电力网等系统受到破坏,那么很可能会导致整个国家财政金融崩溃,交通运输瘫痪,能源供应中断,从而引起人们的恐慌和社会的动荡。
3.信息安全对军事安全的影响
信息技术革命的蓬勃发展和信息网络的广泛应用,消除了海洋、大山、距离等国家的自然安全屏障,把军事活动扩展到整个世界。在和平时期,针对军事秘密的网络窃密和泄密防控难度大。随着信息网络不断深入到社会的各个方面,军用网络和民用网络的界限也日渐模糊,这加快了泄密速度,扩大了泄密范围,致使泄密事件屡有发生。同时军用网络与民用网络的互联也给了“黑客”提供了巨大的发挥空间,他们可以通过民用系统侵入军事系统,开展窃密破坏活动,行动防不胜防,给国家和军队带来了极大的隐患。由于信息技术在军事领域被广泛应用,信息的重要性也更加突出,“信息对于军队就像血液对于人体一样重要”。敌对双方通过信息网络,利用计算机技术侦察、获取、破坏另一方作战系统的重要信息,进而影响甚至决定战争发展的进程。可以说,战争的结果已主要取决于哪一方对信息掌握得更多、更准确以及谁对信息利用得更好,即完全取决于“制信息权”的归属。
4.信息安全对文化安全的影响
在信息化的发展过程中,一方面它大大推进了不同文化之间的交流,使人类的共同文化财富比以往所有时代都多;另一方面信息化发展的不平衡也带来了文化发展的失衡,弱势文化不断被强势文化所同化,导致弱小国家很容易出现价值观念的混乱,民族与国家认同感降低的问题。长期以来,以美国为首的西方国家一直把推行“文化扩张”作为一项长期战略,信息技术的发展又为这种扩张提供了有效的手段,他们利用本国信息科技的“技术霸权”,极力对不同意识形态和政治制度的国家进行文化扩张。网络时代信息霸权和强势文化的冲击更使网络文化交流变成了单向渗透。当今西方国家占据着互联网传播的制高点,互联网上 90%的信息是英语信息,他们依靠这种语言上的霸权,到处宣扬本民族文化的优越性,对其它文化横加指责,向别的国家大量倾销带有其政治模式、价值观念的各种信息,迫使别国接受他们的文化信仰,从而对众多国家的民族传统文化的保持和发展带来了严重威胁。
三、中国应对信息安全的对策
根据目前的国际形势及我国的现实情况,保证信息的安全首要任务是尽快形成一个科学的信息安全战略,使各项工作稳步有序发展,使我国的信息安全工作紧跟时展的进程。
1.加大信息安全教育的管理,提高公民维护信息安全的意识
信息安全一个最重要特征就是人与信息系统的结合,而人又是组织管理和决策的核心关键,因此强化人的信息安全意识是保障信息安全的首要工作。只有全民把信息安全意识和素质都提高了,中国的信息安全事业才会有更可靠的保证。要把提高全民安全意识放到战略地位,着眼于全民素质和教育水平的普遍提高,加强全国人民信息安全教育,不断提高广大人民群众特别是从事与信息相关的政府、企业等工作人员的信息安全的观念,提高信息安全的防范意识,使他们人人都能主动认识到信息安全的重要地位,并能以维护国家利益的全局出发,自觉保守国家的秘密,自觉维护国家信息安全。
2.增强信息技术创新能力,完善国家信息安全防卫体系
当前我国的信息技术及信息产业与发达国家还有较大的差距,许多关键技术还依赖进口,处于受控于人的状态,信息安全隐患较多。为了提高我国信息安全技术水平,必须在国家有关部门统一协调指导下,制定国家信息安全总体战略,增加信息技术研发投入,对我国信息安全研发机构进行整合,有计划地开展信息安全关键技术和设备的科技攻关,建立独立的信息安全核心技术平台,切实保证我国信息技术和装备体系的安全性,使我们有足够的实力去预防和抗击敌对势力对我国发动的一切信息战争和高技术犯罪活动。
3.加强信息安全的国际交流,建立国际信息的安全保障机制
信息流通是全球的,维护信息安全更需要国家间的合作,因此。建立全球性的信息安全保障制度已迫在眉睫。在发达国家信息技术霸权的氛围下,我国有必要加强国际信息安全秩序建设的投入力度,参与国际信息安全协议的制定,争取国际信息安全的主导权。要主动积极参与国际社会有关的网络传播和网络安全的研讨和谈判,不断推动信息的共享,反对信息的垄断,尤其是要制定国际网络信息的传播公约,有效地约束网络负面信息的自由流动,遏制网络犯罪和信息战,加强信息传播安全,从而更好地维护国家安全利益。
参考文献
[1]张静.国家安全中的信息安全研究[D].电子科技大学,2005.3:3.
关键词:计算机教育;信息安全;邮件
目前,网络大数据是全球信息化发展的趋势,人们越来越依赖于电脑、手机等电子设备,随之而来的信息在网络上被窃取,用于非法的事件也不断频发,对保障网络信息安全带来了新的挑战,愈发受到人们的重视。网络信息安全不仅跟个人生活密切相关,更是国家信息战略不可或缺的部分。根据中国互联网络信息中心的青少年上网行为研究报告显示,中国青少年网民规模庞大,占整体网民的42.7%,占青少年总体的79.6%。60.1%的青少年网民信任互联网上的信息,青少年网民对互联网有较强的依赖性,网络信息安全意识淡薄,因此,教师要从学生时代开始灌输信息安全的重要性。网络在给学生的学习和生活带来便利的同时,也可能对其身心健康造成不良影响。如果不能让学生认识到网络信息安全的重要性,那么,学生很可能错误地理解网络信息安全,更可能受到网络不良信息的侵害。下面就教育中的信息安全问题做个简单的探讨:
一、计算机网络安全教育面临的问题
1.学校对网络信息安全教育的重视不够
当前大多数学校对信息网络安全教育的重要性认识不足,比起当今网络的飞速发展,学校对于网络信息安全教育的认知相对滞后。加强网络信息安全教育,不仅可以让学生的身心健康发展得到保证,也是网络化社会安全的基本需求,可以最大限度地保证学生免受不良信息的侵害,避免学生因受网络不良信息的引导而做出违法犯罪的事情,更是为国家培养高素质信息安全人才提供了保障。
2.对信息安全教育的重要性认识不足
目前,学校校园网络随着国家信息化建设的步伐,已经逐步走上正轨。许多学校都配备了无线、有线网络,使学生和老师的生活和教学更加方便。义务教育阶段,学校也普遍开设信息课程,但是重视程度远远不够,开设信息安全教育只是较为简单的论述,导致学生对网络信息安全的知识没有一个系统的了解。学校也没有正规、科学地把网络信息安全教育纳入教学计划中。为了全面提高学生的网络信息安全意识,学校应该重视普及信息安全教育,这对加速国家网络信息安全建设的进程具有十分重要意义。
3.教育方法较为落后单一
部分学校信息安全教育的教材、教育方法落后,只有老旧的理论教育,缺乏与现实的紧密联系,相关信息安全的教育人才缺失也是影响教育效果的关键因素。学校应该顺应信息化时代的需求挑选教材和更新教育方法,使之更加适应当前社会网络信息安全发展的需求。
二、信息网络安全的危害及其表现形式
1.自然灾害
计算机是一个电子设备,其使用对环境有一定的要求,受环境影响也比较大。目前大部分学校机房没有相关的保护措施,抵御自然灾害和意外事故的能力较差。在日常学习工作中由于缺乏相关保护措施,导致电脑损坏、数据丢失的现象也时有发生。
2.“恶意”网络软件和“后门”
网络世界的开放及多样性导致软件的质量参差不齐,其安全性也没有统一的机构进行审核,犯罪分子往往利用软件中的漏洞或缺陷攻击或破坏计算机系统。另外,软件公司的开发人员出于某种目的,会在开发的软件代码中留有“后门”,一般不为普通用户所知,在特定的情况下,“后门”会被打开,其造成的影响和后果是不可估量的。2014年的“Shellshock”和美国的“棱镜门”事件是近年来最为典型的网络安全事件。
3.黑客的威胁和攻击
自从世界第一台计算机”ENIAC“诞生以来,网络技术不断发展,其中也包括“黑客”技术。黑客通常指在未经他人许可的情况下,侵入他人系统,这是信息网络所面临的最大威胁。黑客攻击手段一般可分为破坏性攻击和假冒型攻击(非破坏型攻击)。破坏性攻击是为了达到某种目的,侵入网络电脑系统、盗取系统资料信息、破坏网络系统的数据。黑客们常用的攻击手段有获取口令、木马攻击、电子邮件攻击的欺骗技术和寻找系统漏洞等,假冒型攻击是指黑客冒用你的账号向别人输送信息。
4.垃圾邮件和间谍软件
一些不法分子利用电子邮件地址的“公开性”和“可广播性”强行给别人发送电子邮件,这些邮件一般是带有广告推销性质或是带有恶意代码,一旦打开邮件就可能导致不良后果。间谍软件的主要目的不在于对系统造成破坏,而是窃取系统或是用户数据。
三、加强学校信息安全教育的方法和途径
1.建立信息安全教育体制
首先将信息安全教育归纳进学校的安全教育中,制定切实可行的信息安全教育内容和计划。在日常教育与教学活动中开展信息网络安全教育工作。
2.增加学生信息网络安全意识
网络提供了求知学习的广阔空间,使学习能够不受空间和时间的限制,这对学生的学习有着巨大在帮助作用。在网络上学生能够接触到更多的知识,但是学生对这些信息缺乏辨别能力,自身的安全意识和对网络的自律能力不足,容易受到不良信息诱惑,使其人生观、价值观发生转变。因此,教师要注重培养学生的信息安全意识,使他们既能保护自己的信息,又能抵制进行网络犯罪,共创安全和谐信息网络环境。
3.加强信息安全的教学实践
信息安全不仅仅要进行理论学习,更要强化学生的实践环节,广泛组织以《青少年网络文明公约》为主题的各项活动,积极引导学生养成正确的网络观,竖立信息网络正能量,提高学生适应信息化社会的能力,使学生能够勇于直面网络的善与恶,投入到建设安全网络的实践中去。
参考文献:
持续推动的等级保护
信息化技术标准委员会副主任委员崔书昆认为,在基础信息网络和重要信息系统的安全严重关系到国家安全、社会稳定以及人民群众切身利益的今天,信息安全问题已然成为事关全局的战略性问题。近年来,有关部门围绕信息安全保障体系建设,在信息安全等级保护、风险评估、标准制定、产品开发及打击各种网络违法犯罪活动等方面取得了积极进展。在这种情势下,将信息安全等级保护确定为提高国家信息安全保障能力,维护国家安全、社会稳定和公共利益的一项基本制度,是非常必要的。
可以这样理解,我国信息安全各项工作快速推进,信息安全风险评估工作和保障体系建设、信息安全管理工作、信息安全法制化和规范化建设、信息化基础设施和体系建设取得了重要的成效。特别是从2007年7月20号开始,全国重要信息系统定级工作已经开始,并在各行业、各部门、各单位的支持下,取得了丰硕的成果。
从2008年开始,公安部会同国家保密局等部门,在重要信息系统定级工作的基础之上,部署和开展深入推进信息安全等级保护工作,它主要分为三个方面:
第一,依据国家行业标准,从管理和技术两个方面,开展信息系统安全建设整改,建立并落实安全管理制度,落实安全责任制。
第二,根据等级保护标准开展风险评估、灾难备份、应急处置、安全检查等工作。
第三,对信息系统应用的一些重要单位,开展等级保护工作检查。
公安部网络安全保卫局郭启全处长说:“目前全国范围内,大规模的重要系统定级工作已经基本完成,相关资料目前集中到公安部进行管理。定级工作的主要成效是了解重要信息系统的底数,掌握国家信息安全的基本情况,为全面贯彻落实信息安全等级保护制度,推动国家信息安全保障等工作的深入发展奠定坚实的基础。同时,某些地方、企业或者单位没有完成定级工作,但会纳入到我们下一阶段的检查工作当中完成。另外,有些企业会随后逐步执行该工作,不会影响国家等级保护制度的大规模推动。”
实施等级保护,充分体现了“适度安全、保护重点”的目的,可以把国家的重要网络、重要系统挑出来,把国家有限的精力、财力投入到信息保护当中去,提高国家基础网络和重要信息系统的安全保护水平,同时提高信息安全保障工作的整体水平。
奥运留下的财富
“2008年北京奥运会的信息网络安全工作给我们留下了很多财富。”郭启全曾经说过,奥运会对我们国家的信息网络安全工作进行了一次大考。它既考验了我们国家信息网络安全的工作,同时也考验了等级保护主管部门、公安部和很多部委的行业主管部门的信息安全工作。在这次大考中,各部门均表现得很优秀。在北京奥运会期间,无论是核心网络还是信息系统,都遭受了大规模的攻击和入侵,却没有出现相关安全事故,支撑北京奥运会顺利举办,这是我国信息网络安全领域经历的考验。
实际上,奥运会取得的经验和公安部下一步等级保护工作之间存在密切的相关性。公安部和有关部委会借鉴奥运会信息安全网络经验,充分利用好奥运留下的财富,进一步开展今后的工作。
记者了解到,在北京奥运会之前,成立了以公安部牵头的包括海关、银行、广电等14个部委参加的信息网络安全指挥部。由于有了这样的指挥部,使得各项工作的落实有了一个组织保障。如果没有这个指挥部,大家各干各的,在北京奥运会期间便无法保证重要系统和网络的安全。
在2008年,国家安全的核心问题便是保障奥运的安全,奥运安全采取的第一个措施就是等级保护。郭启全介绍说:“公安部把奥运核心网络和涉及奥运会的系统都定级、备案,针对风险和重要性搞等级测评和风险评估,反复查找问题、漏洞、脆弱性和安全风险。从历史经验来看,总会有一些黑客试图攻击奥运系统。所以,在这些黑客攻击之前,我们就需要开始做严格的攻击性自测。找到问题后进行系统加固,并且是有针对性地进行加固。这种安全建设、整改、加固还有等级测评,提升了我们的系统防范能力。”
郭启全强调:“我们当时还专门针对北京奥运会提出了风险评估的指南。北京奥运会期间最大的风险是什么?其实就是来自黑客的攻击破坏,所以搞风险评估要针对最大的风险去做。举个例子,我到国家体育总局去了三次,就是研究他们的网络安全问题、网站安全问题,这就有针对性,搞等级保护、风险评估非常有针对性。这使得我们的风险找得准,漏洞找得准,问题找得准,因此相关措施就有针对性。”
2009年的新工作
中国工程院院士沈昌祥指出,目前我国信息与网络安全的防护能力还处于发展的初级阶段,有些应用系统处于不设防状态。国防科技大学的一项研究表明,我国与互联网相连的网络管理中心有95%都遭到过境内外黑客的攻击或侵入,其中银行、金融和证券机构是攻击重点。
由于奥运网络和信息系统开展了等级保护工作,并对等级保护工作的政策标准、工作环节进行了检验,所以等级保护下一步的工作部署将充分借鉴北京奥运会的经验,健全完善等级保护领导体制和协调配合机制,例如等级保护原来有些领导体制可能还要进行补充,明确重点工作对象,比如说拿三级系统作为重点工作对象。
郭启全说:“我们会严格落实责任制,认真抓好三点工作,计划三年内完成安全系统的整改工作,总的目标就是:能力提高,事故降低,等级保护制度得到落实,国家信息网络安全基本得到保障。”
开展的重点工作主要分为三个方面。第一个方面是全面开展等级保护安全建设整改工作,要建设安全设施,落实安全措施,建立并落实安全管理制度,落实责任制。第二个方面是各单位建立安全整改工作规划,完成定级系统整改规划和制定具体实施方案。第三个方面是以三级以上系统为重点,确定安全需求,制定安全方案。“当然,一些单位可能不太明白具体的操作办法,届时我们会选择有代表性的信息系统进行安全建设试点、示范,结合行业特点制定行业标准规范,按照有关工作实施的规范要求组织实施信息系统安全建设工程。”
中国网络治理与信息安全监管的法律规范体系建设也取得了显著成效,要想保障网络信息的健康发展,就是要通过国家法律、司法解释、行政法规等,对信息的安全起到了积极的作用。不过,从总体上看,现在我国的法制化对于中国网络治安与信息安全监管是有很大的提升空间,网络信息的治理和安全是有区域问题的,所以需要全社会综合治理网络信息安全的。
现在国家最突出和核心的问题就是随着互联网的飞速发展使得信息时代的信息安全保障尤为重要。现如今网络的黑客、垃圾信息、网络病毒等多数都是人为的原因造成的,对网络信息的安全是有冲击,所以对于通过黑客的防范以及正确的引导,能更好的维护网络信息系统的安全性。针对现在网络信息安全的现状创新网络信息安全技术是有必要的,更重要的是要完善网络信息安全的立法,用法律来维护健康的网络信息环境。
(1)现今的网络主要是通过信息的互通,交流、共享等方式来实现的,给社会生活的服务提供很大的便利条件,信息的传播更多面化。随着网络技术的进步大大提高了工作效率,促进经济的发展,社会的进步。
(2)网络信息的开放性,互通性,虚拟性等特点,在客观上不可避免地被一些别有用心的组织和个人所利用,借助网络肆意传播、制造有害信息,攻击正常网络系统,窃取机密信息,这些活动给社会的稳定带来很大的隐患,为此,国家信息安全战略就是信息网络的安全,这对于国家是重要的一部分。
二、我国网络信息安全的立法突出问题与不足
(一)我国网络信息安全立法存在的问题
(1)网络信息方面的基本法是没有的。由于立法的层次比较低,使得法规缺乏权威性,造成了法律效力的降低,执法的困难。
(2)如今关于网络信息的安全的管理和法规多种多样,就造成了立法之间冲突的现象出现。在我国,有关网络信息的管理机构很多,但是出现了执行过程中的互相推卸责任,扯皮的现象很严重。同时,立法是通过多部门实行的,如针对一个问题各个部门的立足点会有所不同,就是法规的局限性会很大。其结果就造成有关法规分散不集中,有个别规定之间相互冲突了。
(3)立法缺乏整体性,比较严重的就是缺位或者是缺空。现在并没有对于网络信息出现的问题的管理和保护有明确的规定。例如对于消费者权益保护的信息网络中的纠纷,包括一些网络支付,电子证据等存在着法规的缺位。给实际的执行带来了很大的困难。
(二)我国网络信息安全立法的不足
(1)我国对网络信息安全的认识不足,对网络信息的立法不够重视。导致对于信息安全的模糊的认识,只注重网络信息技术的发展,而忽略了网络安全性的法治化,在社会经济促使下这种情况尤为突出。
(2)社会上有很多人对高技术、高科技有种盲目的推崇,认为高科技设备能完全的实现科学管理,提高效率,会万无一失实现无人工的全智能化。然而社会原有的监督管理部门和司法系统中的人员往往对这种高技术、高智能的设备不清楚,不了解,对于网络的危害性和高技术犯罪的认识不足,或没有足够的技术力量和相应的管理措施来对付它们。
(3)信息网络的全球性和技术性特征决定了信息网络立法具有全球的普遍性,因此,只需简单移植他国或国际立法就可以了,对我国网络发展的特点认识不足,不能更好的针对我国作出更合适的法律法规或章程。
(4)虽然加强我国信息安全法律保障体系的建设显得尤为迫切,但是也不应急于立法来压制网络,不应急于求成造成立法之间的冲突。
三、完善网络安全的行政责任的措施和建议
网络信息对社会的重要性和影响力是很大的,所以网络信息的安全的问题也突出的重要。所以就要有针对的法律来约束网络信息,能健康的发展。
(1)加强技术管理与网络安全管理的工作,一方面,要全面的改善计算机及网络技术系统,充分利用网络保护程序的特殊装置技术设立防火墙,来增加自身防范的能力。另一方面,网络使用者要有安全意识,同时,网络管理机构和网络管理人员要有专业的知识,或者有相关的培训来提高个人的素质和处理各种问题的能力。
(2)首先,对危害特别严重,造成国家各方面的重大损失的网络犯罪的要通过较重的法定刑来处理,或者更严重的刑期或刑罚。其次,对于利用计算机网络实施的传统性犯罪,因为影响范围广、危害性大,法定刑应比同类普通刑事犯罪高;再次,对于危害国家利益、社会公益以及侵财性网络犯罪,应加大财产刑的处罚力度,可规定并处高额罚金或没收全部财产等,以加大犯罪分子的犯罪成本;最后,对一些不同的网络犯罪主体,要通过一些限制或者剥夺的方式来处罚,或者永久的剥夺经营者的资格,多方面屏蔽的方式。
(3)一方面要大力的打击网络犯罪,强化国际合作,各国联合对网络犯罪方面进行执法和高技术的通力合作。进一步提高预防和打击网络犯罪的能力和效率。
综上所述,我国目前网络信息安全立法就是要以行政法规和各种规章为主要方式,现今最好的保护形式就是行政保护,但是在立法的具体实行中还会存在责任设定的不合理、责任设定冲突的各种缺陷。对此,应当对现行立法中行政责任的设定进行合宪性审查,针对网络信息安全保障组织法规范行政执法,改变一些具体的处罚形式来健全和完善行政责任。对于当前的中国来说,加强对涉及国家安全的网络信息法律保障的研究,在思想上有助于提高我们对信息安全重要性的认识,在实践上有利于加强我国的信息安全保障能力,更好地维护我国的国家安全。
参考文献:
[1]张冬梅.网络信息安全的威胁与防范[J].湖南财经高等专科学校学报,2002,04.
[2]郑成思.运用法律手段保障和促进信息网络健康发展[J].网络安全技术与应用,2001,12.
作者简介:
在我国,信息安全人才培养分为学历和非学历两种方式,二者既密切联系又有区别,是我国现有信息安全人才教育培养体系的两个重要组成部分。学历教育为非学历教育提供必要的基本文化科学知识,非学历教育为学历教育提供发展的方向性引导。从70年代开始,我国普通高校已开始培养信息安全人才,武汉大学于3.000年获得教育部批准,次年建立了我国第一个信息安全本科专业,截至3.013年,全国已有80多所高校设置了信息安全本科专业,经过多年发展,我国信息安全人才已形成从本科、硕士到博士的完成体系。信息安全非学历教育主要分为继续教育和职业培训两种形式。继续教育或职业培训是以培养信息安全岗位技能型人才为目的的,主要包括技术和技能的学习和提升,这是普通高校本专科教育无法独立完成的,必须由高校以外的社会机构所提供的非学历教育和培训来承担。据工信部3.013年预测,未来5年我国从事信息安全应用的专业人才的需求将达到60到100万,而现有的信息安全专业人才总数不足3.0万,信息安全方面的专业人才不足已成为一大瓶颈。而同时,随着信息化建设的逐渐普及和网络的深入应用,企业或政府部门的网站、主机或服务器面临的网络攻击风险越来越高,因此,加大和掌握网络安全知识成为必要知识。通过十多年的发展,我国信息安全继续教育形成了以各种认证为核心,各种职业技能培训为辅的培养模式。如由国家信息化工程师认证考试管理中心与美国国家通信系统工程师协会(NACSE)合作的认证考试,考生通过国家信息安全技术水平考试后,可获得相应证书;另外由中国信息安全测评中心的推出“注册信息安全专业专家”(CISP)资质认证项目,系国家对信息安全人员资质的最高认可。
2、信息安全人才培训的必要和紧迫性
信息科技已发展成为当今影响力最为深远的技术,无论工作、生活还是学习,人们对其依赖性越来越强,网络科技在给我们带来便利和提升效率的同时,如果安全防范措施和手段没有到位,产生的后果将不堪设想。3.013年美国斯诺登引爆的“监控门”事件引起世界舆论一片哗然,包括中国在内的多个国家都受到美国情报部门的监听,可以说信息安全问题已成为影响到国家政局的稳定、经济的发展和国防的建设,是社会稳定发展的关键问题。当前信息技术发展迅速,这对信息部门人员,尤其是信息安全技术人员提出了更高的要求,而仅仅通过高校学历教育远远不够,还必须借助相关职业培训和继续教育,在此过程中,信息安全培训是成本最低、效果最快、最显著的信息安全管理措施。
3、信息安全人才培训对策
3.1加强信息安全管理方面的培训
信息安全涉及两个方面:信息安全技术和信息安全管理。传统上信息安全技术培训易得到重视,而信息安全规划与管理工作往往被管理层忽视。另外从实践中来看,信息安全首先是一项管理工作,其次才是一项技术工作,而管理工作的效果最终由具体实施人员的素质水平决定,因此我们提出更要从部门或组织全局的角度对信息安全进行规划与管理,建立科学信息安全保障计划,才能做到信息安全技术操作有细致周密的规划。同时加强对信息安全人员在国家法律法规、岗位职责、保密意识和管理流程等信息安全管理方面的培训和继续教育工作。
3.2加强信息安全培训的实践性
信息技术或信息安全自身就具有很强的实践属性,主要原因在于,信息技术的变化和更新迅速,这要求相关知识的能快速更新,另外信息技术属于工程领域学科,必然有高的实践性要求。因此在信息安全培训或继续教育课程的设计中,要多结合学员的实际工作情况,多采用案例教学的方式,不能光停留在理论层面的解读,而要将信息安全实际运作过程中碰到的技术或管理问题。
3.3加强人才培养产学研相结合
信息安全人才的培养可在政府的鼓励和支持下,以企业的实际需求为核心,通过政产学研合作的方式加以培养。信息安全的诸多问题来自企业和政府部门,在这个过程中,政府主要从政策、环境方面营造氛围,充分发挥高校和科研机构的重点实验室、工程研究中心等资源,以企业带动,将问题、需求、资源和人力有效地整合,必将提升信息安全人才培养的效果。
3.4打造完整信息安全人才培育体系
进一步完善学历教育和非学历教育的信息安全人才培养体系,建立以高等学历教育为主,以继续教育、职业培训为辅的信息安全人才培养体系。信息安全人才培养要得到保障,加强信息安全学科的重要性是重要一环,因此,在学科建设上,要努力提高信息安全学科的重要性,争取把信息安全学科提升为一级学科,同时进一步完善信息安全专业的本硕博的学科建设;另外政府在信息安全认证培训方面应加强立法,规范信息安全培训的市场行为,比如可强制规定哪些安全技术岗位的人员必须持什么样的信息安全证书,以及必须接受何种培训的管理等。
3.5构建信息安全人才培训市场
[关键词]信息安全;网络空间;网络空间安全管理
随着互联网技术在全世界范围内的普及,互联网已经成为国家安全的“无形疆域”,互联网安全威胁问题也日益成为世界性难题。美国等西方发达国家由于网络技术起步早、普及广,且垄断和控制着网络的核心技术,从而在信息化进程中占据主导地位。我国在内的大多数发展中国家,迄今仍处于“信息贫困”之中,被“数字鸿沟”分隔在另一边。由于技术、管理以及安全意识上的原因,中国面临的信息安全问题更为严重。主要表现在基础信息技术严重依赖国外、网络技术的廉价与跨国性使安全问题泛化、人员对保密认识模糊、保密观念薄弱、人员流动无序、保密法律约束力不强、缺少确保信息安全的核心技术等问题。其中,软件隐患、芯片“陷阱”、计算机病毒和“黑客”入侵是信息系统面临的普遍性的问题。如果我们不重视互联网安全问题,那么我们国家的政治、经济、文化、军事等各个领域都将存在巨大的风险,所以我们应当重视互联网安全技术的发展,采取有效的手段来抑制互联网安全威胁,保证我们在互联网世界中占据主动。
1强化网络空间安全教育管理
信息技术是未来世界强国竞争的主题,谁掌握了信息制高点,谁就在未来世界竞争中处于优势,谁落后就要被淘汰。以军事为例,除了传统意义上的“陆、海、空、天”战场,电磁和信息领域的战斗更是不见硝烟的战场,信息战、电磁战等领域无不凸显信息安全的重要性,摧毁了敌方的信息安全防线,就能在未来战争中占有极大的优势。事实上,国内外的许多失泄密事件早已证明,就信息安全与保密而言,“内防”和“防内”才是真正的工作重点。以美国为例,与计算机有关的犯罪活动,80%都是内部人员所为。换言之,信息安全问题不能只限于保密规定和开会,应当落实在人的思想上,因为只有人的思想决定他的行为,是他对网络安全保密问题的认识。认识不到位,具体到工作上自然就“卡壳”,这也是一些单位安全保密意识淡薄,规章制度不落实,技术防范措施流于形式的主要原因。因此,对于信息安全的防控,除了要从硬件上进行把控,比如建立健全安全保密制度、应急处理机制,还应从人的管理上下功夫,要认识到不是把保密制度挂在墙壁上,或者开开保密会就可以把安全保密工作做好,网络是开放的,思想是开放的,但不是没有界限的,要对从事网络安全的人员进行深度的宣贯和思想教育,严把思想观,铸牢网络安全的防线,保证在任何时候都紧绷网络安全这根弦,发挥人在网络安全管理方面的主观能动性,在构建的安全管理机制中凸显人的基石作用,加强考核和监督监管机制建设,实行网络安全问题一查到底模式,追根溯源,全方位保证网络安全不出问题。
2注重网络空间安全人才梯队建设和技术创新
随着网络信息安全对国家安全影响的日益加剧,作为全球互联网用户最多的国家,应该做好筹建网络信息专门组织的准备,其主要任务,一是机密资料的防窃取;二是进行舆论战;三是直接的网络对抗。要实现这一目标,人才梯队建设至关重要。人才是信息化产生和发展之本,也是信息战和信息安全之本。除了要培养信息网络安全专家外,还要培养信息安全的法律和管理专家。要在高层次上开展网络攻击技术研究,以确保我国在未来信息战中处于主动地位。网络安全技术平台在网络安全问题上发挥基础作用,可以试想一个有着致命网络安全漏洞的系统再怎么补救也无济于事,会造成无可挽回的损失。因此,应该大力加强网络安全平台的设计研发工作,充分发挥网络信息安全技术人才的主观能动性,投入资金和力量,完善和健全网络安全平台,以技术为保障,人才为核心,安全为牵引,把握信息安全的主动权,在信息安全核心问题上下功夫,加大自主知识产权技术的研发,形成我们自主品牌的技术和产品,摆脱发达国家信息技术制约的瓶颈,力争在信息加密、信息安全测评等领域的理论和技术突破,实现安全路由器、防火墙、加密系统的国产化进程,确保硬件过关。
3制定网络空间安全战略目标,搞好规划及预测
信息安全战略目标是指一个国家在某一个时期内,在信息安全领域所需达到的目的、标准和水平。信息安全的战略目标既不能过高,又不能过低,应该是积极可靠的,通过努力可以达到的。只有网络信息安全作为国家安全战略的一部分,把网络基础设施列为战略资产,实施保护才能真正地将信息安全战略建设落到实处。应该增强对国家信息基础设施和重点信息资源的安全保障能力建设,开发可以保护国家主要机关设施的网络信息安全体系,逐渐在制度上和技术上完善网络信息安全战略,有效应对网络信息安全带来的威胁和挑战。对于网络安全问题,顶层规划是重点,如果顶层设计有缺陷漏洞,那么接下来无论投入再多,技术再先进也是徒劳。所以我们应做到:一是确保网络的用户密码都具有极强的健壮性,要对进入网络的管理员进行分级分类;二是要构建应急事故反应和处理机制,确保一旦有安全事故发生能将损失降至最低;三是确保网络安全平台的硬件和软件均处于受控状态,注重稳健性设计;四是保证信息传输的安全,预防机密信息的泄密。随着美国“斯诺登事件”的持续发酵,网络安全泄密问题已经成为每个国家的新的威胁,传统的安全防护技术已经无法满足新型信息泄密,我们必须有一体联防的思想,摒弃传统事后修补的做法,要系统分析网络安全的漏洞和可能存在的威胁,不但要深入研究防护技术,更要深入研究攻击技术及破解方法,只有这样,才能有效根治网络安全问题,变被动补牢为主动作为。
4构建全面网络空间安全监测系统
全面的网络空间安全检测系统可以包含恶意病毒侵袭、检测和监控及处理功能,这些功能分别实现如下意图:恶意病毒侵袭。现代病毒的攻击性、传播速度和途径都是传统病毒无法比拟的,它可以通过用户任何无意识操作或习惯进行传播,比如浏览文件等,一旦中毒,往往很难消除,这就需要网络具有实时监控、拦截骚扰、主动防御等方面的功能。入侵检测。入侵检测能力是衡量一个防御体系是否完整有效的重要因素。作为一种动态防御工具,其可以很好地作为防火墙等静态被动防御工具的补充,共同维护网络系统安全。现在比较常用的360、瑞星等国产杀毒软件都具有入侵检测功能,可以主动消除病毒带来的袭扰。网络漏洞检测。俗话说,“明枪易躲,暗箭难防”。除了网络自身存在的天然缺陷,比如网络自身方面的因素包括:通信线路遭到窃听;通信协议、操作系统平台本身存在的漏洞;“黑客”借助软件“后门”入侵电脑。还包括人物方面存在的非技术方面的因素,如系统安全配置不当、用户操作失误、执行保密规定不严格等。只有通过严格网络管理规范和安全制度,杜绝人为差错的存在,通过网络安全技术来使这种“不可避免”的网络安全漏洞变为真正的安全钥匙。
5形成“一揽子”网络空间安全决策方案
要发挥网络加密技术在网络安全领域的主体主导地位,其中包括防火墙技术、数据加密技术,以及网络协议、口令、身份认证和授权等。传统的设置防火墙技术已经很难适应大规模“黑客”频繁攻击的需要,被认为是一种被动技术,要大力寻求主动防御的技术,诸如加密技术,这种技术在现今被证明为一种无可替代的主动防御技术,它是一种可以将信息通过隐藏的方式和技术发送给客户的技术,其加密途径可以是隐藏,也可以是加上水印,比如我军现行的各级部门电脑中都加有水印系统,这种技术有效防止了机密文件被窃取的风险,还可以对所有处理的公文进行监控,一旦出现问题可以通过查询该系统立刻追根溯源,找到问题的根源。我们还需要通过电子屏蔽的手段来保护我们的机密信息,在重要场合进行电子屏蔽,防止电子辐射窃密。
参考文献:
[1][美]SingerP.W.,[美]FriedmanA..网络安全:输不起的互联网战争[M].北京:电子工业出版社,2015.
[2]郭宏生.网络空间安全战略[M].北京:航空工业出版社,2016.
关键词:民航企业;信息化建设;信息安全技术
0引言
互联网时代的到来,信息技术与网络技术已然成为人们生产生活的重要技术支撑,在民航领域中,信息化建设的进程也得以高效发展。与此同时,民航企业信息系统的安全隐患及安全防护问题也逐渐暴露,成为信息化建设过程中亟须应对与解决的问题。
1网络信息安全制度的建设
1.1建设网络信息安全制度
据调查,民航信息系统安全事件的发生,问题的主要成因在于未充分明确相关责任以确保网络信息安全管理工作的全面落实。基于此,民航企业需要充分结合自身的是情况,对网络信息安全管理责任制的健全及完善,充分明确人员相关责任,促进民航信息化建设水平的提升,促进民航的健康发展。民航企业应当搭建内部网络信息安全规范体系,以之为基础开展企业网络信息安全管理及部署工作,确保民航信息安全水平的有效提升。民航企业应当时刻紧随时展步伐,对网络信息安全保障体系加以完善,建立网络信息安全防范体系,采取合理的等级保护与分级保护措施,维护网络信息安全。民航企业应当将网络信息安全作为信息化建设的发展方向,积极配合并响应国防部、网络安全部门、公安机关等行政机关部门的规定与要求,实时更新并优化安全防护措施,实现网络安全整体覆盖范围的扩大。
1.2细分网络安全保障体系
对于民航企业而言,其信息网络安全保障体系的建设,主要包括三个方面,即信息网络安全技术体系、信息网络安全管理体系及信息网络安全运行维护体系。这三个安全防护体系是相互依存与相互促进的。信息网络安全管理体系的搭建,应当作为信息安全技术体系保障的重要方向,技术体系也是保障信息网络安全的技术设施与基础服务的重要支持。信息网络安全管理体系的建设也要求网络信息安全技术应用水平不断提升。民航企业的网络信息安全体系的建设,可以充分参考美国国家安全局所提出的IATF框架的网络安全纵深战略防御理念、美国ISS公司所提出的P2DR动态网络安全模型等相应信息网络安全防护体系,搭建“打击、预防、管理、控制”于一体的网络通信安全综合防护体系理念,是当前国际上最为先进、最为有效的安全保障框架体系,对重要体系采取有效的安全防护措施,搭建民航企业的信息安全防护与控制中心,实现对于信息网络体系的安全监控、安全终端、安全平台、主机安全、数据安全、应用安全相互结合、相互统一的信息安全平台建设,信息安全防护应当涵盖物理层面、终端层面、网络层面、主机层面、数据层面及应用层面,保证安全防护的全面性及全方位性[1]。
1.3发展民航网络信息安全产业
随着时代的发展,民航企业开始更多地强调民航网络信息安全事业的发展。在开展民航企业网络信息安全产业建设时,应及时跟踪和了解国际网络信息安全产业发展动向,了解信息安全防护技术水平的提升渠道,积极谋求与其他发达国家之间的技术合作,大力引进先进的管理技术与管理手段,大力培养并教育网络信息安全技术人才。民航企业要大力引进技术水平与管理理念较为先进的人才,并对所引进的人才采用科学合理的技术培训与安全教育措施,不断增强相关人员对于网络信息安全防护的意识与理解能力,安全理念先进、技术水平高超、应急处置及时的网络信息安全管理人才队伍。民航企业要搭建科学完善的网络信息安全管理体系,充分保证信息网络安全组织、网络信息安全流程、网络信息安全制度相互结合,搭建科学合理的安全管理体系。
2民航信息安全保障体系的建设
2.1国家信息系统安全等级保护
以ISO27001信息安全管理要求为基础,结合国家信息系统安全等级防护管理方面,对信息系统安全防护安全管理基本要求加以明确,开展民航企业网络安全防护及管理体系的建设工作。网络信息安全管理体系的设计,应当涵盖安全组织架构、安全管理人员、安全防护制度及安全管理流程等多个方面,结合自身实际需求,设计科学合理的网络信息安全管理体系等。对于网络系统安全组织架构的建设与完善,组建涵盖安全管理、安全决策、安全监督及安全执行等层次的管理架构,设置相应职责岗位,对安全管理责任进行分解与落实,做好人员录用、人员调动、人员考核及人员培训等相关方面的人员管理工作。民航企业在制定安全管理制度时,应建立网络信息安全目标、安全策略、安全管理制度及安全防护技术规范等多个层次,搭建安全管理制度体系。在建立安全管理流程方面,通过建立科学合理的组织内部安全监督检查与优化体系,保证网络信息安全管理工作的顺利开展。将内部人员与第三方访问人员、系统建设、系统运维、物理环境的日常管理规范化,将日常的变更管理、问题管理、事件管理、配置管理、管理等电子化、流程化与标准化[2]。
2.2合理运用先进安全防护技术
2.2.1入侵检测技术
目前,对信息安全防护技术手段研发与应用也愈发普遍,其中入侵检测技术的应用可以取得较好的技术效果。入侵检测技术的应用主要是通过对网络行为、网络安全日志、网络安全审计信息等技术手段,有效检测网络系统非法入侵行为,判断网络入侵企图,通过网络入侵检测以实现网络安全的实时监控,有效避免网络非法攻击的可能。通过应用入侵检测技术,民航企业可以构建入侵检测系统,能够对系统内部、外部的非授权行为进行同步检测,及时发现和处理网络信息系统中的未授权和异常现象,尽可能减少网络入侵所造成的损耗与安全威胁。为此,可采取NetEye入侵检测系统,该系统通过深度分析技术,实现对于网络环境的全过程监控,及时了解、分析并明确网络内部安全隐患及外部入侵风险,作出安全示警,及时响应并采取有效的安全防范技术,实现网络安全防护层次进行有效延伸。同时,该入侵检测系统具备较为强悍的网络信息审计功能,就可以实时监控、记录、审计并就重演网络安全运行及使用情况,用户能够更好地了解网络运行情况。
2.2.2文件加密技术
对称加密技术是常见的文件加密技术之一,所采用的密钥能够用以加密与解密,在技术应用时,以块为单位进行数据加密。这一方法在实际应用过程中,一次能够加密一个数据块。对对称加密技术的优化与改进,主要可采用密码块链的模式加以实现,即通过私钥及初始化向量进行文件加密[3]。如上所述,随着网络信息安全受到更多重视,民航企业信息化建设水平在进一步提升其网络建设水平的同时,也更多地意识到网络信息安全的重要性与必要性,不仅需要构建行业信息安全防御体系,还应当建立健全网络信息安全制度,构建网络安全防护人才团队。在此基础上,民航企业还可以充分利用文件加密和数字签名技术,通过该技术,可以合理避免相关数据信息受到窃取、篡改或遭到损坏而导致网络信息安全受到影响。文件加密和数字签名技术应用过程中,可以更好地对网络信息安全提供保证、维护相关信息数据的安全性。
关键词:信息;安全;思考
中图分类号:TU984 文献标识码:A 文章编号:
信息安全是指信息网络的硬件、软件及其系统中数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断。信息安全是一门设计计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上说,设计信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。
1 信息的概念
信息是物质的普遍性,是物质运动的状态与方式。信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性 、可传递性等。信息的功能是信息属性的体现 ,主要可以分为两个层次:基本功能和社会功能。信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
2 信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出, 给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
3 信息安全体系结构
3.1 信息安全的保护机制
信息安全保护存在的主要问题与政策: 正确的信息安全政策和策略是搞好国家信息安全保护工作的关键, 引发信息安全问题的因素有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
3.2 信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可控性和抗抵赖性,以及信息系统主体对信息资源的控制。完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DOD(Department Of Defense),国际标准化组织ISO,英国标准化协会BSI(British Standards Institute)等。
4 漏洞扫描技术与信息安全管理
4.1 漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着Internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。不管是存储在工作站、服务器中还是流通于Internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、VPN应用较为广泛。漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
4.2 信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。制定信息安全管理策略及制度才能有效的保证信息的安全性。
5 制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。根据安全工程的要求,对系统各阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。人员、资金、技术等多方面 综合保障。
(4)以人为本原则。技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
6 信息安全系统工程
安全系统工程运用系统论的观点和方法 ,结合工程学原理及有关专业知识来研究生产安全管理和工程的新学科,是系统工程学的一个分支。其研究内容主要有危险的识别、分析与事故预测;消除、控制导致事故的危险;分析构成安全系统各单元间的关系和相互影响,协调各单元之间的关系,取得系统安全的最佳设计等。目的是使生产条件安全化,使事故减少到可接受的水平。安全系统工程不仅从生产现场的管理方法来预防事故,而且是从机器设备的设计、制造和研究操作方法阶段就采取预防措施,并着眼于人――既系统运行的稳定性,保障系统的安全。
参考文献:
[1] 赵鹏,李剑.国内外信息安全发展新趋势[J].信息网络安全,2011,(7).
[2] 肖国煜.信息系统等级保护测评实践[J].信息网络安全,2010,(7).
关键词:装备科研 信息安全
重大装备科研往往担负着关于国家重大经济建设思路和国家装备发展等诸多理论研究和技术开发与应用的任务,在积极推进国家经济建设中发挥着重要作用,具有较高的密级,一旦泄露重大装备信息将给国家带来严重损失。随着形势的变化特别是技术的发展,装备科研信息安全与保密面临严峻挑战。我们必须面对新情况、新问题,采取新对策,确保重大装备科研工作永远能在安全保密的情况下顺利进行。
一、重大装备科研信息安全保密工作面临的形势
重大装备科研信息安全保密面临的形势相当复杂,既有与其它行业保密工作的相同之处,也有自身的独特特征。
在共性方面,信息安全保密工作面临的形势不管是思想上、管理上还是技术上,都与信息技术带来的变化息息相关。随着信息网络的不断普及,给我们的工作和生活带来许多便利,使装备科研工作也受益匪浅。科研人员利用现有各类信息网络可以方便查找到所需资料,了解本领域的前沿动态,与相关专家和机构可以及时交流信息,使科研条件得到较大改善,加速了科研进程。但信息网络在给科研工作带来方便的同时,也为敌情报机构窃取我科研机密信息提供了便利。再加上科研信息性高,前沿性强,己成为各国情报机构关注的焦点,他们采用各种招数获取我科研信息。首先是直接从因特网上获取科研信息。虽然各有关部门制定了严禁机器上网,密网与民网必须隔离的规定。由于部分科研人员保密意识不强,网上泄密的事件还是时有发生。有些科研人员在工作中一旦需要从网上查信息,就图省事直接连线上了因特网,或者即使删除了信息,也没有彻底删除,这就给敌情报人员提供了可乘之机。第二,敌情报机构可以在信息处理器泄露出来的电磁信号中,通过在几百米之内放置一台接收仪器,就可以使之还原成清晰图像,从而导致泄密。第三,部分科研人员在出差路途中,有时为节省时间,就在非保密场合从事科研活动,这样一旦有情报人员在场,其就可抽时机迅速把科研信息复制走。
在个性方面,装备科研工作在以下几个方面使信息安全保密面临着极大隐患。一是联合科研力度的加大。由于许多技术的通用性,使得许多装备科研项目是由不同部门合作来完成的。这既是未来发展的趋势,也是多个国家的普遍选择。美军的许多尖端武器科研及科研试验也都有地方各大公司的参与。但与之相对应的是,参与部门相互合作必须有一套完整的制度来确保装备科研信息的安全保密。由于我国联合进行科研的制度不健全,制定的一系列保密制度约束力不强,这种情况下很难保证失泄密案件不会发生。二是现有科研环境的制约。目前,从事装备科研的单位大都集中在科研院所。在内部环境上,科研人员的科研条件得到显著改善,但在外部环境上,特别是网络的利用上却有待进一步提高。例如,在不同地方的科研人员,如果利用机要等方式进行交流讨论装备科研工作时,往往嫌麻烦,总会有人抱着侥幸心态利用互联网传送信息,存在着泄密风险。三是现有制度的不完善。当前,科研人员的职称评定是与其数挂钩的。而部分科研人员从事的科研活动又是保密的,不允许公开发表。这使得科研人员不得不要么写些与本职工作无关的文章,要么对科研成果经去密处理后发表,但这种去密的界定很难把握,稍有疏忽就有可能泄密。
二、加强重大装备科研信息安全保密的对策
一是强化科研信息安全保密意识,增强科研信息安全保密观念。强化信息安全保密意识的关键是深入持久,有效的开展信息安全保密教育。装备科研信息安全保密要使科研工作人员充分认识到维护装备科研信息安全是自己的责任和义务,要树立敌情观念,纪律观念和法制观念,提高防范能力,形成自觉而有效的维护科研信息安全的风气。信息安全教育必须坚持把握正确的方向,持之以恒,要充分利用好报纸,广播,电视等宣传工具和手段,进行经常性信息安全的宣传教育。要结合分析典型泄密事件,不断加深广大科研人员对信息安全重要性和失泄密危害性的认识,以克服麻痹思想。有效的强化人们的信息安全意识,使信息安全保密工作更好的为国家经济建设服务,还必须加大依法管理的力度,真正树立起科研法规制度的权威和尊严,并保证其真正得到贯彻落实,
购物车(0)