前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全保護措施主題范文,僅供參考,歡迎閱讀并收藏。
銀行借助于網絡技術獲得了飛速發展,借助于網絡技術,催生了網絡銀行。與此同時,銀行網絡信息安全受到了威脅,用戶信息安全不能得到保障,需要加強對銀行網絡信息安全保護,探索優化途徑。本文對銀行網絡信息安全的保護措施和優化途徑進行研究,旨在提高銀行網絡信息的安全性。
【關鍵詞】
銀行;網絡信息;安全保護;優化
引言:
網絡技術的發展中產生了網絡銀行,網絡銀行的發展有賴于網絡技術,但是與傳統銀行相比,網絡銀行有更多的風險和隱患。現階段,銀行網絡信息安全系統還不夠完善,其信息安全也得不到完善的法律保護,使得銀行網絡信息安全存在很大隱患,需要加強對銀行網絡信息安全保護,確保銀行用戶信息安全,促進銀行健康穩定發展。
一、產生網絡銀行信息安全問題的原因
產生網絡信息安全的原因主要有:①銀行借助于網絡技術業務范圍不斷擴大,網絡銀行優勢得到了充分發揮,但是銀行信息管理系統不完善,使得銀行信息安全出現問題。②網絡犯罪者攻擊銀行系統,竊取銀行機密信息和資金,并且其攻擊手段借助于網絡技術在不斷提高,銀行信息安全技術出現了很多漏洞和弊端。③很多網絡銀行用戶信息安全意識不強,并且不重視安全知識,不懂得如何規避網絡風險,這也是網絡犯罪案件不斷增多的原因。
二、銀行網絡信息安全保護措施
2.1要建立健全銀行的信息管理系統
銀行要定期進行隱患排查和入侵檢測,目的在于確保交易網絡和服務器的安全。銀行要及時對數據進行備份,合理利用加密和訪問控制技術,與客戶簽訂網銀安全協議證書,全面檢測系統漏洞。針對網絡病毒要建立網絡病毒安全防御體系,并且在銀行信息系統運行過程中,實時進行查殺病毒,以便隨時應對。
2.2加強網絡技術人員隊伍的建設
著眼于長遠可持續發展,增加網絡技術安全工作人員的數量,提高網絡運維技術人員的技術水平,以提高信息安全意識作為出發點,對其加強網絡安全培訓和新技術的學習,激發其的工作熱情。
2.3建立一套完備的應急處置系統
銀行應該在考慮自身網絡環境的前提下,從自身實際出發,通過縝密的測試工作,形成一套操作性較強的應急處理系統,一旦銀行內部管理系統遭到外部攻擊,能夠以最快的反應速度抵擋外來攻擊,減少攻擊帶來的損失。
2.4建立健全有關法律法規
網絡銀行中存在較多交易憑據,如:電子賬單、電子憑證、收支明細等資料,但是,目前該交易憑據的保護,暫時沒有完整的法律保護體系,這是制約網絡銀行發展的一個重要因素。此外,我國在銀行網絡信息安全方面的立法還不夠健全,因此,需要充分加強在保護銀行網絡信息安全方面的立法力度,確保銀行網絡信息安全。
三、銀行網絡安全問題優化策略
3.1解決系統漏洞
以光大銀行-網上銀行為例,廣大銀行的手機銀行系統,設置了超時自動退出功能,如果在15分鐘內不對手機銀行進行任何操作,操作系統會自動退出手機銀行客戶端,客戶要進行手機銀行操作需要再次登錄手機銀行。此外,廣大銀行為了確保手機銀行客戶端的安全,還專門設置了陽光令牌動態密碼,每分鐘自動刷新一次,使得手機銀行的使用更加安全可靠。
3.2解決手機銀行漏洞
為了確保手機銀行的安全,很多銀行采用的方法是綁定客戶信息與手機號,客戶要想登錄手機銀行就必須使用開戶時使用的銀行預留手機號,同時還需要輸入正確的登錄密碼,為了出現惡意探秘現象,手機銀行一般會設置輸錯累積次數,一般手機銀行錯輸三次密碼就會自動鎖定。
3.3雙密碼措施
很多銀行為了避免惡意攻擊,都設置了雙密碼功能。對此,建設銀行的做法是設置登錄密碼以及交易密碼兩種控制方式,并且對錯輸次數進行限制,超出錯輸次數,當日就無法正常登錄系統。首次登錄網上銀行,會提示用戶設置交易密碼,系統會對用戶設置的交易密碼進行自動檢測,太簡單的密碼會提示重新設置,確保用戶的賬戶安全。此外,部分銀行在用戶登錄網銀系統時,提供了附加碼和小鍵盤服務,防止用戶信息泄露。
總結:
綜上所述,我們應該提高銀行網絡信息安全防范意識,確保網絡銀行使用過程的安全。對于銀行網絡信息存在的安全隱患,我們要仔細分析原因,并且采取保護措施,探索優化途徑,不斷提高銀行網絡信息的安全性,確保銀行用戶信息安全。
作者:周奉強 單位:中國人民銀行濟南分行
參考文獻
[1]趙麗君.我國網絡銀行信息安全問題研究[J].管理學家,2014(6)
關鍵詞:國土資源;信息化;制度
中圖分類號:TP316 文獻標識碼:A文章編號:1007-9599 (2011) 10-0000-01
Talking on the Land System-level Protection Self-examination
Li Ling
(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)
Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.
Keywords:Land resources;Informatization;System
一、等級保護發展現狀
2007年由國土資源部信息化工作辦公室牽頭面開展了國土資源信息系統安全體系建設工作,其中嚴格根據等級保護管理辦法對全國整個國土信息系統安全等級保護工作主要分為定級、備案、整改、測評和監督檢查五個環節。
二、等級保護定級簡法
等級保護政策將信息系統安全包括業務信息安全和系統服務安全,與之相關的受侵害客體和對客體的侵害程度可能不同,因此,信息系統定級也應由業務信息安全和系統服務安全兩方面確定:
一是從業務信息安全角度反映的信息系統安全保護等級,稱業務信息安全保護等級。二是從系統服務安全角度反映的信息系統安全保護等級,稱系統服務安全保護等級。我們可以將其歸納為如下表格方便我們自己定級:(例如,A系統是某單位門戶網站。當該網站被黑客攻擊后若篡改了系統內容或者虛假新聞,則有可能對單位自身造成負面影響,使得公信力下降,屬于嚴重影響;其次該系統被黑客了虛假新聞有可能會煽動、迷惑社會群眾,造成社會混亂,屬于嚴重影響;但是該系統不涉及國家安全內容,故對國家安全沒有任何影響)。
某單位A門戶網站系統定級:
業務信息安全被破壞時所侵害的客體 對相應客體的侵害程度
一般損害 嚴重損害 特別嚴重損害
公民、法人和其他組織的合法權益 第一級 第二級 第二級
社會秩序、公共利益 第二級 第三級 第四級
國家安全 第三級 第四級 第五級
根據上表結果,某單位A門戶網站系統信息安全保護等級應定為第三級(取最高級別)。
三、等級保護制度自查
安全管理制度主要涉及組織體系的運作規則,確定各種安全管理崗位和相應的安全職責,并負責選用合適的人員來完成相應崗位的安全管理工作,監督各種安全工作的開展,協調各種不同部門在安全實施中的分工和合作,保證安全目標的實現。
制度的文檔化管理是非常重要的工作。無論是人員管理、資產管理,還是技術管理和操作管理,都應該建立起完備的文檔化體系,一方面讓安全活動有所依據,另一方面也便于追溯和審查。安全策略文檔體系開發完成后,要形成包括信息安全方針、信息安全規范,相應的安全標準和規范、各類管理制度、管理辦法和暫行規定等文檔。
各項制度自查項目如下:
1.存儲設備報廢銷毀管理規定;2.安全日志備份與檢查;3.人員離崗離職管理規定;4.固定資產管理制度;5.外部人員訪問機房管理情況;6.計算;7.機類設備維修維護規定;8.應急預案;9.應急演練;10.安全事件報告和處置管理制度;11.技術測評管理制度;12.安全審計管理制度。
四、等級保護技術自查
基本要求 技術要求控制點 技術防護措施
網絡安全 結構安全 防火墻
訪問控制 防火墻或者路由器、交換機訪問控制列表
安全審計 安全審計系統
入侵防范 防火墻或者入侵防御系統
網絡設備防護 防火墻或者入侵防御系統
主機安全 身份鑒別 帳戶密碼、或者數字證書認證
訪問控制 防火墻或者路由器、交換機訪問控制列表
安全審計 安全審計系統
入侵防范 防病毒軟件
惡意代碼防范 防病毒軟件
資源控制 防火墻或者路由器、交換機訪問控制列表
應用安全 身份鑒別 帳戶密碼、或者數字證書認證
訪問控制 防火墻或者路由器、交換機訪問控制列表
安全審計 安全審計系統
通信完整性 數字證書認證
通信保密性 數字證書認證或者VPN隧道
軟件容錯 雙機熱備系統
資源控制 防火墻或者路由器、交換機訪問控制列表
數據安全 數據完整性 數據庫加密
數據保密性 隔離網閘系統或者網絡隔離卡
安全備份 雙機熱備系統
建設財政信息的安全系統是財政管理改革發展中的要求。當下財政信息化的應用在全國各地的財政系統中正逐漸深入,覆蓋了各級財政部門和面向社會公眾的財政信息系統。可以說財政信息系統是各級財政系統進行信息共享的平臺,目前由于大量需要保護的數據和信息存儲在財政信息系統中,所以對系統中運行的安全保障提出了更高的要求。
【關鍵詞】等級保護 財政信息系統 信息安全
在財政信息系統安全建設的過程中,由于系統復雜、數據安全的屬性要求存在著差異,導致系統在不同程度上存在一定的脆弱性;在系統安全的規劃和設計中由于對策略認識不夠,以致風險延續到信息系統的運行和維護管理階段。文章從我國信息安全等級體系的規范和標準著眼,對財政信息系統的安全保護等級模型進行了分析,并提出了進一步完善財政信息系統安全的措施。
1 信息安全的保護等級及其基本流程
目前信息安全技術和管理水平在不斷地提升和發展,人們逐漸意識到要想保障信息系統的安全,就要不斷完善信息安全管理和技術體系,構建完整的信息系統,并且為了把信息和信息系統的殘留風險降低到最小級別,就要提高信息安全應急處置的能力。由于當前不同的信息和信息系統,對其安全級別的要求也不盡相同,應將管理策略、技術、工程過程等多個方面相結合,同時進行客觀的綜合考慮,對信息系統的安全分類需要充分運用信息安全等級保護的思想和方式。
1.1 信息系統安全保護等級
信息系統安全保護等級在《信息安全技術――信息系統安全等級保護基本要求》中劃分為五個等級,信息系統安全保護等級的第一級是用戶自主保護等級,用戶可根據自主訪問控制、身份鑒別和數據的完整性這三個條款進行判斷;第二級是系統審計保護級,在第一級的基礎上增加了兩個條款,分別是客體重用和審計;第三級是安全標記保護級,在第二級的基礎上增加了強制訪問控制、標記等條款;第四級是結構化保護級,在第三級的基礎上增加了可信路徑和隱蔽信道分析;第五級是訪問驗證保護級,在第四級的基礎上增加了可信恢復條款。這五個等級的基本內容以信息安全的屬性為主,即網絡安全、系統安全、應用安全、物理安全以及管理安全等五個方面,根據其不同要求,對安全信息系統的構建、測評和運行過程進行管理和掌控,進而實現對不同信息的類別按照不同的要求進行等級安全保護的目標,盡管不同等級的條款中有些內容是相似的,但在一定程度上仍然存在著差異,安全保護能力的要求會隨著保護等級的提升而逐漸增強。
1.2 信息系統安全等級保護實施的流程
信息系統安全等級保護實施的基本流程包括五個階段,分別是定級階段、備案階段、測評階段、整改階段、運行和維護階段。其中等級保護工作的基本前提是系統劃分和定級工作,定級工作必須要首先確定,否則后面的工作將會無從做起;備案階段中,當專家評審與自定級不同時,要重新定級,才能夠進行備案工作;測評階段中指定的第三方測評機構必須是權威機構,需要公正公平地對系統進行測評;整改和復測階段中對于整改的項目要通過等級保護測評和風險評估的方法進行分析。等級保護工作要隨著信息系統建設的變化和發展而做出不斷循環的工作。
2 財政信息系統的等級保護
2.1 財政信息系統安全的架構
在財政信息系統安全的架構模式中,既包含計算機網絡通信和環境平臺、又有多種相關的業務平臺,并且這些應用的安全等級各不相同,所以采取的安全保護策略也有所不同。財政信息系統規模大、系統復雜,按照系統的功能可以分為核心數據中心、采購管理、預算管理、業務門戶網站等多個子系統,要按照業務應用數據的不同性質進行不同安全等級的保護。總之要根據財政信息系統的實際情況,構建一個相對完善的財政信息系統模型。
2.2 財政信息系統安全的等級區域的劃分
財政信息系統安全等級保護要根據系統的特點和性質進行不同區域的安全劃分,以實現不同強度下的安全保護。針對財政信息系統中不同子系統的實際情況,可以將財政信息網絡劃分為不同的安全保密等級區域,分別為業務核心區,辦公用戶區域、專線用戶區域、內部網與互聯網信息交換的區域等。
3 財政信息系統的等級的保護措施
在財政信息系統安全等級保護的建設工作中,目前采取內網與外網物理隔離的方式,從物理上把財政業務中各個子系統與對外服務區進行劃分,分別劃分到不同的子網,在財政業務的防火墻上可以設置權限為允許的策略,源地址是內部桌面,目的地址是業務服務器,對于其他服務的子系統,同樣需要防火墻進行隔離,使各子系統都有充分的隔離和清晰的界限,同時可以配置漏洞掃描設備的檢測設備,不定期對各個服務器進行掃描。
數據備份能夠進一步保障財政信息系統的安全,在財政信息系統應用中需要配備存儲備份設備以實現數據自動備份,一旦系統出現故障,通過數據備份即可恢復。為了進一步支持財政信息系統的穩步運行,可建立一個異地財政信息數據備份中心,以防財政信息系統發生災難性故障時實現異地遠程恢復的功能。
在財政信息系統安全保障體系建立的過程中,要嚴格依照等級保護下的安全管理制度、系統建設制度和相關財政系信息管理的法律及標準,在建立完善的網絡安全管理機制的同時明確管理人員的職責。
4 結論
綜上所述,文章從我國信息安全等級體系的規范和標準著眼,對財政信息系統的安全保護等級模型進行了分析,并提出了進一步完善財政信息系統安全的有效措施。在財政信息建設的過程中,設計出一個科學合理、全面的信息安全解決方案是一個關鍵的任務,要從我國信息安全等級體系的規范和標準著眼,對財政信息系統安全保障的體系進行深入的探討,以達到切實保護財政信息系統安全的目的。
參考文獻
[1]龔雷.應用安全透明支撐平臺體系結構與模型研究[D].鄭州:信息工程大學,2013.
[2]王會.基于等級保護的黨校網絡安全體系的研究與應用[D].廣州:中山大學,2012.
[3]劉莎莎.NN市委辦政務信息系統安全等級保護策略研究[D].南寧:廣西大學,2012.
[4]高朝勤.信息系統等級保護中的多級安全技術研究[D].北京:北京工業大學,2012.
目前為止,我國尚未形成完善的物聯網安全信息技術體系,導致多數物聯網示范工程的安全能力相對較低,這對維護我國經濟發展、社會和諧穩定、人民生命財產安全有著不利的影響。由此可見,建立和完善物聯網信息安全技術體系尤為重要,切實保障人們的財產權益,維護我國社會穩定和促進經濟的快速發展。提高物聯網信息的安全性,可以促進物聯網更好發展。
1 物聯網安全技術的挑戰
物聯網技術的迅速發展,既給社會帶來了積極影響,又有消極影響的存在。物聯網技術如同一把雙刃劍,利弊共存,可以造福人類的同時,也可以危害社會。所以,維護物聯網的信息安全十分重要,卻需要物聯網通過自力更生而實現。要想切實維護物聯網的信息安全,不能一蹴而就,需要在社會的發展過程中不斷進行探索和嘗試,進而促進物聯網技術的更好發展。
物聯網的綜合性較強,因而既需要接受傳統挑戰,又需要面臨新的挑戰。一是物聯網有著較多的接入點、入口,不便于管理人員的管理,致使物聯網信息系統易被不法分子所攻擊,使得信息安全性受到嚴重威脅。二是物聯網的一些感知信息、控制信息,會實現遠程傳輸,傳輸過程中的保密性、完整性難以保證,可能會給用戶帶來損失。三是物聯網的感知端經常處于環境較為惡劣的情況下,用戶的信息安全受到威脅,如果用戶在使用物聯網期間,突發糟糕的狀況,沒有有效的安全措施可以應對。四是物聯網信息系統受到控制,對用戶的安全有直接影響。五是物聯網中許多信息建筑在異構網絡的基礎上,而異構網絡間的信任度不夠,使得安全性能大打折扣。六是現有的一些維護物聯網安全的設備,其安全能力相對較低,沒有完善的安全處理機制,一旦發生危險情況,難以確保物聯網信息的安全。七是物聯網中的大量信息需要集中存儲,但其完整性、保密性不能得到更多保障,使其存在嚴重的安全風險。八是物聯網中一些信息涉及到我國保密問題,需要系統進行隔離和處理,在此過程中,可能會引發新的信息管理問題[1]。
2 物聯網信息安全技術體系的探討
2.1 物聯網信息安全技術體系的研究思路
物聯網為用戶提供一個完整的整體,但其安全措施相加在一起,安全性能仍然相對較低。所以,要想建立有效的物聯網信息安全技術體系,必須要充分考慮物聯網中子系統間的安全等級,進而提高物聯網信息的安全度,以解除物聯網中存在的安全隱患。一方面從技術著手,另一方面從管理著手,對物聯網信息系統中存在的風險、隱患進行有效分析,并在遵循安全原則的基礎上,使自主保護與重點保護相結合,更好維護物聯網的信息安全。建立物聯網信息安全技術體系,以等級保護為主要思想,通過對物聯網子系統的有效保護,去實現對物聯網整體的保護,不僅使得保護措施更加有效,而且為廣大用戶提供了更加安全的網絡空間 [2]。
2.2 建立物聯網信息安全技術體系的模型
架構物聯網的安全等級、安全技術、安全網絡三個維度,可以使安全技術體系模型更加完善。就物聯網的安全等級而言,物聯網信息系統是一個整體,分為若干子系統,對子系統進行有效的安全防護,以適度保護、重點保護等方法,鞏固物聯網的安全系統。就架構物聯網的安全技術而言,可以從技術、管理、運維三方面以建立防御體系,完善物聯網信息安全的基礎設施。就架構物聯網的安全網絡而言,從物聯網信息系統的組成部分著手進行安全防護,對不同等級層次的安全問題進行隔離和分解,使物聯網信息系統受到各層次的安全防護[3]。
2.3 物聯網的等級保護
2.3.1 劃分物聯網信息的安全等級
依據國家對物聯網信息安全的有關規定,從信息安全和系統安全兩個角度分別實行安全等級保護,前提條件是將物聯網信息系統有計劃的進行等級劃分。一方面,可以根據作用域進行等級劃分,以不同信息系統為單位實現安全保護;另一方面,根據網絡域進行等級劃分,以網絡為單位實現安全保護。通常情況下,將物聯網整體劃分為若干安全等級,可以更加有效的實現物聯網信息安全保護。
2.3.2 完善信息安全的基礎設施
完善物聯網信息安全的基礎設施,可以使物聯網中不同網絡、不同域之間互通,有利于實現物聯網的信息安全保護。現階段,我國有關部門出臺了物聯網信息安全相關的政策、意見等,并提出了統籌規劃物聯網信息安全基礎設施的明確計劃。在此基礎上,物聯網的信息安全可以得到較多保障,其安全技術體系愈加完善[4]。
2.3.3 建立有效的安全防御體系
(1)橫向防御體系。橫向防御體系指的是從感知、網絡、應用三個層次進行物聯網信息的安全考慮。首先,感知層通過感知端采集的數據信息方面進行安全防護,確保數據采集的安全可靠性。其次,網絡層確保數據傳遞的安全,用戶使用物聯網過程中,通過網絡可以實現數據信息的傳輸,從網絡層進行物聯網的安全防御,可以有效避免數據傳輸的不完整現象出現和營造安全的遠程傳輸環境。最后,應用層確保主機數據的安全,對存儲數據進行分析、處理。
(2)縱向防御體系。物聯網的信息數據由感知端獲取,通過網絡傳遞至應用層,歷經的過程就是縱向手段。建立縱向防御體系,使物聯網的各層級間有適度的安全隔離,可以有效規避安全隱患和風險。感知端獲取數據信息時,需要與網絡層有通路,以可行的手段得到網絡層的認可,方可實現數據信息的傳輸;應用層與網絡層之間有適度的邊界防護,有效發揮著隔離的作用。所以,數據信息在物聯網的整個過程中可以以其完整性形態存在。
2.4 根據等級化的信息建立安全防護策略
物聯網信息安全技術體系是一個整體,可以分為若干子系統,要想確保物聯網信息安全技術體系的完整和有效,必須針對不同子系統、不同網絡域的安全等級而采取不同的安全防護措施,合理選擇重點保護或適度保護,以充分發揮物聯網信息安全技術體系的有效性,用等級保護促使物聯網信息系統無懈可擊 [5]。
3 結束語
隨著我國經濟水平和科技水平的不斷提高,物聯網技術的應用更加廣泛,對人類生活有著較大的影響和作用,所以保障物聯網信息安全是重要的問題。本文對物聯網信息安全技術面臨的挑戰進行了深入分析,以及對物聯網信息安全技術體系進行了有效研究,為保障人民財產安全,促進經濟發展和維護社會穩定發揮著良好的作用。
物聯網要實現進一步地推廣和應用規模,必須提高物聯網的安全性能,減少安全威脅。文章首先提出了物聯網存在的四個安全問題:物理安全問題、核心網絡的信息傳輸和安全問題、標簽安全問題、加密機制問題,并提出解決問題的對策。
【關鍵詞】物聯網 感知節點 信息安全 法律法規
1 物聯網安全問題
和傳統的網絡相比,物聯網的感知節點通常被部署在缺少人力監控的部位,因而物聯網具有保護能力不強、資源限制因素多的特點。再者物聯網的感知網絡和智能護理平臺都在建立在已有的傳輸網絡的基礎上擴展而來,已有的網絡安全措施難以保障物聯網的安全,導致物聯網的安全問題存在很大的特殊性,物聯網安全問題主要體現在以下三個方面。
1.1 物理安全
物理安全主要指的是傳感器的安全問題。傳感器容易遭受安全威脅主要有三個原因,一是物聯網系統中使用了大量的傳感器用于標識物品或設備,而且這是傳感器被布置在缺少安全監控的環境中;二是傳感器本身也因功能少而攜帶的能量不多,傳感器自身缺乏復雜的安全保護能力;三是傳感器傳輸的數據和消息具有多樣性的特點,傳輸的信息和數據的標準不統一和固定,難以形成統一的安全保護體系保護傳感器。所以,攻擊者很容易干擾、屏蔽傳感器,或直接截獲傳感器傳輸的信號等。如果傳感器的通信協議被他人攻破,傳感器會被他人操控;攻擊者也可以通過干擾傳感器影響標示設備的正常運行等等。
1.2 核心網絡的信息傳輸和安全問題
雖然物聯網的核心網絡具有較好的自我安全保護能力,但是核心網絡的信息傳輸和信息安全也存在問題。例如網絡擁擠和堵塞。在物聯網中存在數量眾多的節點,而且這些節點以集群的方式存在于物聯網中,因而可能出現因大量機器同時進行數據傳輸而導致網絡出現擁擠和堵塞的情況。除此之外,物聯網以人的通信角度來設計通信網絡安全架構,這種架構只適用于人的通信,而機器不適合使用這種架構進行通信,物聯網機器之間的邏輯關系會因此被割裂。
1.3 標簽安全
首先是標簽自身安全問題。當標簽實體被他人盜取后,攻擊者可以通過專用工具拆除或改裝實體標簽的芯片,就能直接獲取標簽的信息,也可以直接復制、篡改或偽造射頻識別標簽。其次是標簽的掃描問題。標簽的信息經常在不經許可的情況下被其它閱讀器隨意讀取,造成個人身份認證、秘鑰等重要信息被他人竊取。標簽通常會發出可以穿透墻體或金屬的無線射頻信號,閱讀器經常利用無線射頻信號來讀取標簽的信息。最后是標簽的跟蹤和定位問題。無線射頻信號自身無法識別閱讀器的合法性,只要閱讀器的頻率和無線射頻信號頻率一致,即發出相應信號,攻擊者可以通過信號掌握標簽攜帶者的地理位置。
2 物聯網安全威脅的對策
在物聯網產業快速發展以及物聯網應用不斷變化的背景下,只有解決物聯網安全危險才能滿足需求。在技術上,物聯網的安全機制的可靠程度要進一步提高,部署的安全策略也應更加有效和細粒度;在客觀上,政府要完善與物聯網相關的法律和法規,為物聯網發展營造和諧、安全的環境。
2.1 構建安全網絡構架
雖然物聯網技術有了一定的提高,物聯網應用也較為廣泛,但從整體來看,物聯網技術和應用的發展仍處于初級階段,物聯網網絡層的節點之間沒有缺乏統一的使用標準和協議,且節點的使用標準和協議存在很強的地域性。節點協議的差別正是造成物聯網容易遭受惡意攻擊的主要原因。因此政府要加快制定統一節點協議的步伐,提高物聯網應用的安全性能。
2.2 信息安全保護措施
首先,提高信息傳輸安全。要提高物聯網信息傳輸安全,必須完善秘鑰管理機制。秘鑰可以分為臨時秘鑰和共享秘鑰兩種。用戶要根據具體情況在選擇秘鑰。如果選擇共享秘鑰,在使用前要檢查節點之間建立共享秘鑰,否則認證方案難以順利實施。要提高秘鑰的安全性能,還可以從改進秘鑰管理機制和機密算法兩個方面著手。其次,保護用戶隱私。用戶隱私被泄漏是物聯網最常見的問題之一,用戶隱私信息被他人竊取將直接威脅用戶的人身、財產安全。要保護用戶隱私信息不被泄露,可以采用加密和嚴格授權制度兩種方式提高用戶隱私信息的安全性。將用戶信息加密,并且只有解密秘鑰的持有者才能獲取其中信息,可以有效的提高傳輸過程中的安全性能而不被他人竊取。不過受傳感器自身節點的缺陷影響,輕量級的加密方式是最好的加密方式。
2.3 感知節點的本地安全
被破壞、復制以及更換軟硬件等問題是感知節點最容易出現的問題,解決些問題、提高感知節點的本地安全可以從兩個角度出發。第一,感知節點容易遭受外界破壞的主要原因在于傳感器網絡自身特點,因此要提高感知節點的安全性能只能依賴其他技術的幫助。例如在和節點通信之間要加強節點的身份核實和認證;設計和更新秘鑰協商方案,避免一個節點信息泄漏后而導致其它節點信息也被泄漏。第二,加裝感知節點保護設施。如建立遠程終端控制平臺加強節點的管理和監控;設置冗余節點,提高節點在遭受攻擊時的網絡自我修復能力,避免網絡出現運行故障。加裝節點保護設施需要大量的資金支持才能實現,是制約該方式實現的主要原因。
2.4 完善物聯網相關法律法規
物聯網產在我國發展和應用的時間較短,還是一個新興的產物,因而我國至今還沒有針對物聯網制定有針對性的安全管理及時以及其它技術標準。在缺少法律法規的約束下,物聯網的漏洞容易被不法分子竊取。因此,政府要根據物聯網的特點采取有針對性地防御保護措施,為打擊不法分析的行為提供法律依據。尤其在個人隱私信息的保護上,國家更加應該盡快制定相應的法律為個人隱私信息的保護提供支持。
3 結語
物聯網的應用雖然為經濟的發展帶來巨大的機遇,可以促進我國社會經濟發展、保障社會穩定和諧,但是應用物聯網的同時的個人信息安全問題也無法避免。因此政府和相關科研人員必須共同努力,在不斷完善物聯網技術的同時完善相關的法律法規,共同打造一個可靠的物聯網服務平臺。
參考文獻
[1]王利,賀靜,張暉.物聯網的安全威脅及需求分析[J].信息技術與標準化,2011(05).
[2]邵華,范紅,張冬芳,張琪.物聯網信息安全整體保護實現技術研究[J].信息安全與技術,2011(09).
[3]羅蓉.物聯網的發展和應用研究[J].信息與電腦(理論版),2011(03).
作者簡介
李洪洋,男,大學本科學歷,現為山東消防總隊工程師,主要從事計算機業務應用及網絡管理。
1.1防范sql的注入
一般來說,網站設計的程序員在進行編寫代碼使需要對用戶輸入數據的合法性進行判斷,防止信息輕易被泄露,但是如果程序員在網站設計時沒有進行這項操作的話,用戶就可以通過提交數據庫查詢代碼的方式。根據程序返回的結果獲得用戶想知道的數據信息資料,這就是所謂的sql注入。Spl的注入很容易就可以使信息被泄露,因此,網站的程序員一定要對用于輸入的數據進行合法性判斷,對信息安全進行防御保護。
1.2or1=1以及union語句的注入
‘or1=1’注入是指在登錄某系統時可以繞過密碼驗證,利用任意用戶名登入系統內的侵入方式,它是網絡應用中非常經典的注入語句。這種注入方式是利用程序員在編寫驗證程序的時候,沒有驗證用戶的輸入是否含有非預期的字符串,直接傳遞給計算機函數執行用戶的操作請求,這種語句注入方式可以讓密碼匹配與否變得不再重要,而是直接繞過密碼驗證進入系統,輕易地獲取用戶資料與信息。與or1=1注入語句不同的是,union可以通過該語句的特殊性讓程序原本默認的語句出錯,通過讓程序執行union之后自己構造的sql語句來達到語句注入的目的,并直接侵入程序內部。
1.3xss跨站攻擊
xss是一種常見的網站攻擊的手段。xss的工作原理與sql注入相差不大,只是xss是通過將javascript腳本注入到html標簽中的方式,刻意的將惡意內容輸入到網頁輸入框內,當這些惡意的輸入內容重新讀回到網站客戶端時,瀏覽器會自動解釋并執行這些惡意的腳本內容,通過影響網頁的正常顯示從而達到腳本片段注入的目的。
1.3.1xss探測
在判斷一個網站是否存在xss漏洞是,通常需要輸入探測語句進行網站漏洞監檢測,首先要輸入檢測語句,然后找到該語句執行的地方,如果該地方有彈出窗口就意味著這個網站存在xss漏洞。如果確定該網站存在信息安全漏洞,黑客就會有很多種攻擊手法侵入計算機網絡內部,他們可以通過將當前的網頁重定向到其他的網頁中去的方式達到刷網站流量的目的,除此之外,黑客還可以通過在專享網站上掛上木馬程序的手段,給網站種下病毒,一旦有不知情的用戶進入該網站,他們的電腦就會自動感染上木馬病毒。
1.3.2xss的利用
XSS是在web應用中經常出現的計算機安全漏洞,它通過將代碼植入網頁的方式利用XSS漏洞控制計算機。這種類型的安全漏洞也常常被黑客利用來編寫惡意的程序。我們在有些網站進行瀏覽的時候,經常會出現有廣告彈出的現象,黑客可以利用xss攻擊頁面,使那些正在瀏覽該網站信息的計算機用戶自動彈出窗口,并且利用這種彈窗在頁面掛上木馬病毒,讓網頁用戶無辜感染木馬病毒,以此來獲得用戶信息。1.3.3利用‘iframe’標簽進行xss攻擊iframe的主要功能是在網頁中嵌入其他網頁是一個很常用的html標簽,它可以通過height屬性和src指定所嵌頁面的具體信息。可以將頁面地址設置為被掛馬的網頁進行cookie數據的竊取。
2安全防御常用方法
2.1安全措施對用戶透明
進行網站的信息安全保護時要盡量做到安全措施對用戶透明,讓用戶很難清除安全保護措施的應用。如果這種方法難以操作可以采用較為常見的信息安全防御措施。最直接的方式就是在用戶訪問受控信息或服務之前,讓他們輸入用戶名和密碼,這也是一種比較好的常用的信息安全保護措施。
2.2對數據進行隨時跟蹤
任何一個有責任意識的網絡程序開發者,都會對數據進行隨時的跟蹤。通過對數據信息的動向進行跟蹤觀測防止出現信息安全問題。數據信息的時時跟蹤其實是一種比較有難度的信息監測手段,特別是一些開發者對該運用原理不夠了解的情況下,進行尤其是當你對web的運做原理沒有進行深入理解時。一些開發者雖然對網站的開發環境很有經驗,但是對web不是很有經驗的時候,就會在程序開發中犯錯并制造安全漏洞。
2.3對輸入信息進行過濾
對輸入的信息進行過濾的方法是保證網絡信息安全的重要條件,也是驗證輸入的數據合法性的過程。通過對用戶輸入信息的確認對數據進行過濾。這種信息過濾的方式可以避免一些病毒在未知的情況下被誤用。目前大多數常用的php應用都存在缺少數據過濾引起信息安全漏洞。
2.4如何防止sql的注入
雖然網絡系統的注入的手段很豐富,但這些注入方式都有一個共同點,就是它們都是利用程序沒有信息過濾這一弱點。因此,如果要防止非法注入,也就需要對查詢語句進行過濾,一般來說,計算機程序的函數是通過正則表達式進行常用語句匹配并對這些語句進行過濾。因此,只要采用了過濾之后的函數,利用注入的方式侵入系統的話都會是失敗的。
3結束語
關鍵詞:商業秘密;信息安全;保護;資產;大數據
1信息安全工作的本質是商業秘密保護
商業秘密保護一直是企業內部管理的薄弱環節,企業也是信息安全泄密事件的高發群體,受到商業秘密侵權的損害也最大。其原因在于企業的創始人基本沒有商業秘密的意識,也沒有在機構上設立保密部門,更沒有建立有效的商業秘密保護管理機制,因此導致商業秘密容易被侵權。按照我國《反不正當競爭法》的規定,屬于商業秘密范疇的信息須具備以下三個條件:不為公眾所知悉、能帶來經濟利益、采取保密措施。根據商業秘密的特點,可以發現商業秘密屬于具有經濟價值且被保護的企業信息資源,這種資源在企業內部有限范圍內共享。當下,有關商業秘密的法律訴訟已不是新鮮事。2017年,安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術資料,還“搶了”老顧客生意。法院采取“實質性相同加接觸”規則推定其與新東家構成侵權,判賠80萬元。據德國《經濟周刊》網站2017年12日報道,荷蘭警方日前逮捕了一名65歲男子,該男子為西門子員工,涉嫌將西門子商業機密泄露給中國企業,荷蘭檢察院目前正對此案展開調查。以上兩個案例中的企業商業秘密保護的一個側面。大數據時代的核心是資源共享,任何企業都不是一個封閉的組織,任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此,要做好企業的信息安全工作,必須厘清商業秘密保護與信息安全之間的關系。商業秘密保護的對象是企業的技術或經營信息,因此商業秘密保護的本質也是保護信息安全。泄密事件層出不窮,泄密手段越來越高科技。大部分企業在信息安全工作中,存在一些典型的誤區:業務部門認為沒有商業秘密可言,搞信息安全只是IT部門的事情;業務部門不知道哪些信息屬于商業秘密,信息安全工作推進沒有依據;業務部門的海量信息都需要保護,保護范圍無限擴大,見圖1。
2信息安全工作不能奔走救火
市場經濟競爭越來越激烈,泄密風險越來越多,商業秘密的價值越來越高。泄密的途徑和方式多種多樣,要想做好信息安全工作,我們必須要了解主要的泄密途徑。(1)內部泄密。堡壘最容易從內部被攻破,在企業商業秘密泄密事件中,由于核心員工跳槽帶走商業秘密而造成的泄密事件時有發生而且占有很大的比例。據統計,企業內部人員侵犯商業秘密案件占全部案例的82.5%。人員流動是企業發展過程中所面臨的并且是無法回避的問題,在企業的商業秘密保護工作中,如何防止核心員工跳槽帶走商業秘密,人員管理固然是很重要的一個環節,但還應伴隨著一系列的管理措施。對于企業來說,證明商業秘密的存在本身就很困難,要證明企業員工是否利用了這種信息難度更大,尤其是難以區分一般信息與商業秘密信息的差別。所以,應通過競業限制條款以盡可能地避免員工利用商業秘密。(2)商業秘密信息管理不善。一些企業中存在著很多這樣的情況,企業一邊將一些技術文件、客戶資料和信息不分級別隨意管理,任何員工甚至未經任何手續就能隨意使用和得到這些信息,另一邊聲稱自己的商業秘密被泄露要加強管理甚至要進行索賠等,這種狀況是很難尋求到法律支持和保護的。所以,我們強調確定企業的商業秘密范圍,明確商業秘密保護的對象是商業秘密保護工作的關鍵環節。(3)接待外來人員采訪、參觀、考察、實習中疏忽大意。這樣的實例很多,我國一些具有“獨特工藝”的傳統產品企業就是在接待參觀和考察中,被人竊取“機密”。改革開放之初,日本人借著我國地方官員和民眾熱情迎接外賓,毫無商業保密頭腦的機會,來涇縣“參觀考察”中國宣紙制造,官員和工廠負責及技術人員陪同參觀,每一道制作工藝詳細講解,從而日本人輕而易舉獲取了宣紙制造的整個流程,以及“紙藥”的配方。如果企業能重視到商業秘密的保護,此種損失完全可以避免或降低。參觀應避開敏感區域,勿作詳細解釋,勿對生產制造工藝進行演示,并要求來訪者參觀商業秘密設備時簽訂保密協議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業商業秘密。還有一些企業甚至盯著對手公司經常使用的垃圾箱,從垃圾箱中翻閱廢棄資料,從而檢索有用信息。對此,企業一定要引起注意,最好建立嚴格的信息審批規章制度和辦事程序。比如信息公布、報廢產品、實驗廢品和產品的處理,展覽、新聞和廣告等,均需通過嚴密的信息處理和審批,以防無意中泄密。為了解決一個個具體的問題而立即行動,效果不會很好,久而久之,信息安全保護措施會流于形式、奔走救火。企業要防止自己的商業秘密被競爭對手竊取,必要采取各種保護措施。保護措施越多,保護效果越好,但同時保護成本也會增大,消耗企業的財富。但如果企業對商業秘密投入不足,會使保護能力欠缺,導致重要的商業秘密資產被泄密,企業面臨的損失可能會更大。因此,企業必須使投入的保護成本與需要保護的商業秘密資產價值相適應。
3保護信息安全的目標是降低風險
就商業秘密而言,沒有絕對的安全,只有相對的安全。信息安全的目的是,保護信息免受各種威脅的損害,以確保業務連續性,業務風險最小化,投資回報和商業機遇最大化。泄密風險只能降低,不可能杜絕。商業秘密范圍的確定是商業秘密保護最基礎的工作,只有準確的定義、識別并確定自己企業需要保護的商業秘密范圍,才有可能采取有效措施對范圍之內的商業秘密進行保護,如果范圍確定的不準確,就可能使商業秘密面臨缺乏保護或保護過度的風險。在明確商業秘密的范圍和定義的前提下,首先要做好“定密”工作,其次要做好“分級”工作,最后在采用各種手段去做“保密”工作。
參考文獻
[1]魏亮.云計算安全風險及對策研究[J].郵電設計技術,2011(10).
[2]徐祖哲.企業信息化與商業秘密保護[J].中國科技投資,2009(2).
[3]歐陽有慧.商業秘密的企業應對[J].商場現代化,2009(1).
[4]王紅一.免予公開的商業秘密的界定問題[J].暨南學報,2005(5).
[5]馮曉青.試論商業秘密法的目的與利益平衡[J].天中學刊,2004(12).
關鍵詞:協同辦公 信息安全 分析 建模
中圖分類號:TP3 文獻標識碼:A 文章編號:1672-3791(2012)09(a)-0195-01
隨著企事業單位信息化的不斷推進,協同辦公系統在企事業單位的應用越來越普遍。就企事業單位而言,協同辦公系統本身有其特有的重要性和特殊性,安全性問題就成為協同辦公系統實施過程中需要重點考慮的問題之一。在信息化實施過程中,任何安全保護措施要保證絕對的安全都是不可能的,所以要實現真正的數據安全,需要構建一個多重保護系統,結合多種不同層面的計算機安全技術來實現。
1 協同辦公系統信息的安全分析
協同辦公系統是借助互聯網,通過B/S結構來實現的,所以,客戶只要保證能正常使用瀏覽器,便可以進行正常的工作。現從辦公系統的使用環境、使用平臺及后期監督等幾個方面,對辦公系統的安全性予以分析。
1.1 軟硬件防護體系安全分析
協同辦公系統軟硬件防護體系,需要在多種軟硬件安全設備結合使用的平臺上,構成一個立體的防護體系。目前幾乎所有的辦公系統支持所有主流的軟件安全驗證解決方案,還能夠兼容采用PKI安全框架下標準技術的安全硬件,包括各種保存個人數字證書的硬件驗證設備,以及支持手機短信的動態密碼身份驗證功能等等。
1.2 信息數據傳輸安全分析
公文作為辦公系統中的主要傳輸數據,將成為傳輸過程中被竊取或篡改的主要對象。由于辦公網絡是多用戶進行接入訪問的,所以保證公文對象的傳輸安全是辦公系統建設面臨的主要問題之一。通常可以通過數據對象加密及傳輸協議加密的加密保護措施來實現對公文對象的安全保護。在加密保護過程中,數據對象本身的加密處理是通過對象加密保護來完成的,在上傳和下載數據的過程中,又是通過“加密-傳輸-界面-處理”的過程進行的,如此以來,惡意截取者在截取數據時將會截取到一堆毫無意義的數據,這也在一定意義上保證了數據對象的安全。通過Web Server提供的標準安全加密傳輸協議對數據加密,更能進一步增強公文傳輸的安全性。
1.3 身份確認及操作不可抵賴性安全分析
對于協同信息平臺而言,身份確認包括用戶身份的確認和服務器身份的確認兩部分。在協同辦公系統中,用戶身份的確認需要個人數字證書和密碼來保證,再通過公文內部記錄以及日志功能等的結合,來實現信息操作的不可抵賴性。服務器的身份認證是通過PKI結構下的服務器認證技術來無誤的確保服務器身份確認的,包括各種控件,只要是在該服務器下載,就要通過該服務器進行簽名,以此在用戶和機器之間建立起良好的信任關系。
1.4 數據存儲的安全性分析
多道機制的數據存儲,在協同辦公系統中應用較為普遍,主要有系統提供的訪問權限控制和數據的加密存放。當然,實現數據安全性保護,還可以通過數據的加密保存技術來實現,即將所有文件都經過64位加密處理后再存儲到數據庫里,經過這樣的處理后,惡意訪問者竊取到的數據也只能是加密后產生的毫無意義的亂碼。
2 協同辦公系統信息數據安全模型的構建
協同辦公系統中的信息數據安全性總體結構通常可分為三部分:系統安全體系、信息安全體系和安全服務體系。系統安全體系可以從物理和邏輯兩方面分別建立隔離平臺,網絡安全則要從系統結構、信息傳輸和物理設備幾方面入手,安全管理要注重的則是數據備份、日志審計、病毒防范和網絡管理等;信息安全體系包括安全門戶、信任授權和信任服務等;安全服務體系包括安全審計、安全響應、安全信息、安全實施和安全培訓等。
3 有效的信息數據安全管理措施
3.1 操作系統安全管理措施
眾所周知,操作系統是協同辦公主機系統的基礎。信息數據的安全性是建立在以操作系統的安全性之上的,要保證協同辦公系統的安全,協同辦公系統必須安裝在安全性很高的系統平臺上,如果協同辦公系統服務器的操作安全失效,所有的安全問題都將不能得到保障。對于主機操作系統,其數據安全性主要包括訪問控制、系統漏洞、系統配置等多方面。這就要求操作系統的選擇,安全性的選擇是第一位的。
3.2 數據庫系統安全管理措施
要保障數據庫系統的安全,首先從數據的完整性、不可篡改性和可用性三方面著手。在協同辦公系統中建立數據庫的安全管理,首先保證對數據庫使用者權限的劃分的嚴格性,尤其是數據的交換與共享,更是數據庫安全管理的重中之重。在運用高端技術手段處理一些十分重要的原始數據時,要想保留其原始狀態不被更改,就要及時備份不同的數據內容,可作為保障數據庫安全的有效措施。
3.3 建立管理規章制度
協同辦公系統安全管理規章制度也同樣是評價系統安全管理措施的重要內容之一。對于協同辦公系統數據的安全性,除了先進的技術作保障,還要制定嚴格的管理規章制度。多數人認為有了先進的完備的計算機科學技術作為安全保障,就不需要再制定傳統的管理規章制度了,殊不知操作系統和使用系統的都是人,所以人為因素在安全體系中絕不容忽視,這就是說更要嚴格制定執行安全管理相應的一切規章制度,另外,還要定期培訓系統使用人員,及時調整和完善系統實施過程中不合適宜的規章制度。
4 結語
在計算機技術飛速發展的今天,協同辦公系統的建設,必將充分整合多個應用軟件,要實現多個應用軟件之間的切換和協同運作,這對協同軟件本身的技術性提出了較高的要求。
運行較好的協同辦公系統不僅要有好的系統保障運行機制,還要有完備的管理規章制度。在設計和分析協同辦公系統安全問題的過程中,既要實用,又要方便,就要技術和管理兩手抓,兩手都要硬,應用和管理的同時進行,一定可以更好的展現協同辦公系統的優越性,大大提高企事業單位的辦公效率。
參考文獻
[1] 周偉.基于網絡的協同設計系統數據交換及管理關鍵技術研究[D].重慶大學,2007.
[2] 姚顧波,劉煥網.網絡安全完全解決方案[M].清華大學出版社,2003.
關鍵詞:高校;信息化;信息安全
21世紀高校信息化飛速發展,保障高校信息安全成為了眾多高校、專家關注的問題。沈昌祥院士提出21世紀是信息的時代,信息技術和產業空前繁榮。然而與此同時危害信息安全的事件頻頻發生,信息安全面臨巨大挑戰。2012年2月,教育部計劃用4年時間在100所本科院校中開展“以信息化促進人才培養模式創新為重點,在數字化校園建設、信息安全等方面開展研究”。世界各國也非常重視信息安全,1995年,美國國家安全局成立了信息安全學術人才中心,以期培養信息安全教育的人才。2011年,英國政府將信息安全教育納入所有中小學的必修課,使中小學生樹立信息安全意識。
1信息安全定義
1.1國際標準化組織
ISO定義信息安全信息安全指為保護數據處理系統而建立的技術和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的因素而遭受破壞、更改和泄露。
1.2美國定義信息安全
從技術和管理措施角度出發,NSTISSC將信息安全定義為對信息、系統以及使用、存儲和傳輸信息的硬件保護。從信息安全涉及的內容角度出發,將信息安全定義為保護存儲和傳輸中的數據不被他人有意或無意的竊取或破壞。如信息設施及環境安全、數據安全、程序安全、系統安全等。
1.3資深專家定義
信息安全沈昌祥院士將信息安全定義為:保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。
2我國高校信息安全問題及風險
高校由于具有業務廣泛、信息量大、人員眾多等特點,信息泄露的風險也相應較高。2016年8月21日,發生了震驚全國的徐玉玉被電話詐騙事件,致使徐玉玉不幸離世。究其根本原因還是徐玉玉的個人信息泄露,讓不法分子鉆了空子。2016年信息泄露報告顯示,社交媒體MySpace42700賬號被竊取。師生們與互聯網的接觸很頻繁,他們的閱讀習慣、檢索習慣以及搜索習慣等都掌握在互聯網商家手中,這些信息被大量收集后,個人隱私極有可能被暴露。2017年5月13日,全球發生了黑客劫持數據、勒索比特幣的病毒事件。病毒通過校園網傳播十分迅速。有報道稱賀州學院、桂林電子科技大學、桂林航天工業學院、大連海事大學、山東大學等高校均受到了不同程度的病毒攻擊。據BBC報道,病毒攻擊擴散到70多個國家,包括美國、英國、中國、俄羅斯、西班牙、意大利等。信息已然成為黑客追逐的主要目標,高校信息安全遭受攻擊嚴重影響了高校的正常教學秩序以及高校發展,那么避免高校重要數據泄露以及保護師生個人隱私安全成為了高校的重要職責。
3高校信息安全保護措施
我國高校信息安全工作起步較晚,目前還處于起步階段。美國高校信息化起步早,在信息安全領域技術成熟并處于全球領先位置。信息安全面臨的主要挑戰是權限被濫用、盜用與數據庫信息平臺存在漏洞、鑒定機制不健全等。筆者根據專業知識以及多年的工作經驗提出了以下幾種信息安全防護措施。
3.1不隨意連接未知網絡
對于師生來講,首先要有保護自身隱私的意識。一些不法分子利用公共場所的免費WiFi設置釣魚WiFi,一旦有設備連接到釣魚WiFi不法分子就會掃描到,如果在使用釣魚WiFi過程中輸入支付寶、微信等的賬號和密碼,這些信息就會被不法分子獲得,從而侵犯我們的隱私以及財產權益。
3.2提高信息安全技術
對于高校來講,提升信息安全技術是保障信息安全的基礎。高校可通過在教室、圖書館等場所安裝殺毒軟件,并及時更新升級軟件來抵御病毒的攻擊;通過加強認證系統,對訪問進行篩選,阻斷異常的訪問和查詢,防止重要信息泄露、被篡改或者被刪除;選擇性地對敏感信息進行加密,防止在線數據和備份數據的存儲介質丟失導致重要信息泄露。
3.3增加人力、財力的投入
高技術水平的信息安全管理人才能夠運用自己的專業知識以及實踐經驗來解決一些信息安全問題,為高校信息安全保駕護航。高校信息安全問題多數是由于安全防護強度低引起的。高校應提供充足的資金,購買具有完善的網絡病毒防御系統的產品,有效提高高校信息安全防護性能。
4結語
高校發展的必備條件是信息安全。目前我國高校在信息安全方面尚處于起步階段,信息安全管理制度還不夠完善。高校要根據自身發展情況,從培養師生信息安全意識、提升信息安全技術、加大人力與財力投入等方面,不斷完善信息安全保障體系。通過建立信息安全教育、信息安全管理、信息安全咨詢等機制減少信息風險的發生,提高信息安全保障強度,確保信息安全快速、良性發展。
參考文獻
[1]沈昌祥.關于加強信息安全保障體系的思考[J].計算機安全,2002(9).
[2]教育部信息安全專業教學指導委員會.信息安全類專業指導性專業規范[Z].2014.
[3]趙冬臣.歐盟國家的中小學網絡安全教育:現代與啟示[J].外國中小學教育,2010(9):12-15.
[4]教育部.教育部關于開展教育信息化試點工作的通知(教技函[2012]4號)[Z].2014.
[5]SurhoneLM,TennoeMT,HenssonowSF,etal.NationalSecurityTelecommunicationsandInformationSystems[M].2010.
[6]沈昌祥.關于強化信息安全保障體系的思考[J].信息安全與通信保密,2003,(6)6:16.