第一篇:加强生活中信息安全保护的必要性及对策研究
加强生活中信息安全保护的必要性及对策研究
0 引言
随着信息化对各行业及产业的快速渗透,企事业单位将各类数据梳理成信息并通过因特网与外界交流以增加核心竞争力。由此,信息安全的内涵发生了根本的变化,它从一般性的防卫变成了普遍性的防范,从专业领域扩展为无处不在。中国工程院院士何德全曾指出:“没有信息安全,就没有完全意义上的国家安全,也没有真正的政治安全、军事安全和经济安全。”生活中的信息安全
生活中可能遇到这些状况电脑中的数据突然被破坏,难以正常使用.手机信号很难接通;银联卡中的存款被别人从ATM机或网上转走......这些都是“信息疆域”遭侵犯的表现。黑客、受信任的内部人员、在网络上实施犯罪的犯罪性组织和敌对势力,已经成为“信息疆域”安全的威胁源。信息安全是中国在推进信息化建设时面临的最关键的战略问题之一,随着计算机的发展与普及,与信息安全相关的问题日益突出。
1.1网络上人们普遍关心的几个问题
计算机网络的应用给人们带来了许多问题:大量散布信息垃圾、传播黄色暴力信息、进行文化和意识形态领域的渗透、侵犯知识产权等。同时网络所具有的开放性使任何人可以在网络上随心所欲地发表作品,发泄牢骚,暴露隐私。隐蔽性使得任何人都可以采用匿名的方式在网络上参与讨论、发表言论攻击他人等,且社会难以进行有效的监督。目前人们在网络上普遍关心的问题主要有七个,分别是Privacy(隐私)、Piracy(盗版),Pricing(定价),Pornography(色情)、Policing(政策制定)、Psychological(心理学)、Protec—tion of the Network(网络保护)。这七个问题基本都涉及了网络信息安全。如QQ,MSN等聊天工具中的密码、个人资料和聊天记录是否安全?因网上聊天引发冲突、暴力的事件时有发生。“网络是把双刃剑,一方面它弘扬正气,促使人们加强道德上的自律,另一方面,因为它的匿名性,使得构建网络健康任重道远!”北京大学夏学銮教授的评价道出了网络的特质。
1.2因特网上个人信息被收集的主要途径及其影响:
(1)通过用户的IP地址收集。用户上因特网时会被分配一个唯一的IP地址。黑客常从网上获取用户的IP地址入侵其计算机中恣意盗其信息。
(2)通过Cookies获得。Cookies是一种由站点直接发送到用户计算机上的小文件,它会将用户所有的上网信息记录下来,包括访问过的页面和输入的账号、密码等供网络服务商利用。它通常只能由用户上网的站点阅读,但有些站点的服务商却借此买卖上网用户的信息。
(3)通过因特网服务商收集。某些网站常要求用户填写详细的个人资料(如:姓名、年龄、身份证号码等)进行欺骗性收集,或在用户毫不知情的情况下搜集和利用用户上网时无意间泄露出来的个人隐私材料并对他们认为不合适的内容任意删除,造成断章取义的现象。由此可见,对用户而言,其所有的网上行为都可置于服务商直接的监管和控制之下,数据一旦被输入到网上就可能成为所有用户的共享资源。这既为大家使用这些信息带来了便利,也为那些别有用心之人将这些数据用来谋求利益,甚至作出有害于当事人的事情提供了便利条件。
1.3培养信息安全意识的重要性
目前中国各基础信息网络和重要信息系统的核心设备,技术和高端服务主要依赖国外进口,在操作系统、专用芯片和大型应用软件等方面不能自主可控,给中国的信息安全带来了深层的技术隐患。一个典型的例子是,中国几乎所有的计算机都安装有美国的软件,相当多的人在使用Windows,甚至在以防火墙为代表的网络安全信息体系上也主要依赖进口。
另一方面,中国企业商业情报意识和秘密保护意识普遍比较薄弱,加上缺乏诚信及制约机制,使得商业机密泄露事件频发,许多企业因内部资料失窃而蒙受巨大经济损失,有的甚至因此遭受灭顶之灾。许多人将私人照片、信用卡号,存折密码等个人隐私信息,以及政府公文、商业秘密、技术文档等重要的业务数据都存储在计算机中。虽然目前很多政府机关和企事业单位都为电脑配备了防火墙,但每年仍有上亿元的信息资产通过电脑流失,超过80%以上的安全威胁来自泄密和内部人员犯罪,而非病毒和外来黑客引起。而由于个人信息丢失或被盗所引起的损失和由此衍生的金融欺诈危害更是严重。因此,在全社会大力宣传信息安全的重要性,提高普通民众的信息安全意识是十分必要和有意义的。信息资源网络化带来的影响与挑战
2.1对经济发展的影响
网络化造就了一体化世界,跨国公司对世界经济的垄断越来越明显。时代华纳与美国在线的联合、联想与IBM的结盟,对合作双方虽互利互惠,但对一些中、小企业却可能产生不利影响。现在全球大公司的兼并潮风起云涌,对世界经济的影响可能要到若干年后才会体现出来,而电子商务、金融业务全天侯、跨时空的服务模式也将对传统经济产生长远的影响。2.2对政治文化的影响
这种影响主要表现在以下几方面:
(1)现在因特网上绝大部分信息的提供者是欧美国家,而且网络系统从硬件到软件到各种标准,都是由发达国家来制造和制定的,无形之中落后的、不发达的国家就受到了种种的控制,这种控制不仅仅是在技术上,还会在政治文化上表现出来。
(2)网络上的言论自由及互动性也使得网民更关心政治、经济、文化等民生问题,各国政要及著名学者纷纷借助网络发表自己的见解,争取民众的认同。网民也愿意通过网络表达自己的观点,甚至可造成重大影响,如:著名的“孙志刚”事件改写了中国的相关法律。
(3)网络上的每个用户都可制造并传播信息给其他人,而网络又缺乏有效的信息审核系统,从而导致各种不健康、不文明、不科学的言论纷纷出台。同时,计算机犯罪活动也从偷窃数据、非法拷贝到散布病毒、破坏网络等低手段向高手段发展,甚至出现传播色情图像、性骚扰、电子毁誉等犯罪形式,这些对用户特别是青少年的健康成长毒害极大。
2.3对国家主权的挑战
美国前总统克林顿曾指出,“今后的时代,控制世界的国家将不是靠军事,而是信息能力走在前面的国家”。某些国家借助其在信息技术领域中的优势,对其他国家实施信息技术控制、信息资源渗透及信息产品倾销。网络间谍、黑客部队已成为各国获取情报的常规途径,信息战成为现代战争中不可或缺的一环。1999年7月,当台湾的李登辉提出两国论时,中国的政府网站两次受到黑客攻击。2007年台湾间谍又通过境外的服务器对中国军工企业进行攻击并窃取了部分机密信息。这些均证明网络时代的信息战是一场没有硝烟、没有战场的战争,它涉及的范围、人员远比常规战争广泛且复杂,不可掉以轻心。
由此可见,关系国计民生重要领域的信息系统是国家的关键基础设施,其安全性已严重关系到国家安全和社会稳定,关系到广大群众的切身利益。中国的信息安全保障工作基础薄弱,信息安全意识和安全防范能力较差,信息系统安全建设、监管缺乏依据和标准,安全保护措施和安全制度不落实、监管措施不到位的情况时有发生。金融,民航等信息系统已发生多次运行事故,造成了严重的社会影响。“科技奥运”和“数字奥运”也使中国的网络安全面临严峻考验。
目前,信息安全已上升为一个事关国家政治稳定、军事安全、社会安定、经济有序运行的全局性问题。党中央对信息安全极为重视,党的十六届四中全会明确提出,“坚决防范和打击各种敌对势力的渗透、颠覆和分裂活动,有效防范和应对来自国际经济领域的各种风险,确保国家的政治安全、经济安全、文化安全和信息安全”。技术、管理和法律手段相结合,构建安全的信息系统防范体系
信息的安全主要涉及信息传输、存储的安全及对信息内容的审计三方面。信息系统安全防范体系的主要内容包括网络系统安全,应用系统安全,数据及信息存储、访问,传递、发布的安全与保密,网站安全,基础服务设施的安全,机房安全以及有关安全保密的管理措施及规章制度等。
3.1技术是保障信息安全的关键
架构安全信息系统方法论MASS建议将网络信息系统的安全系统模型分为五个功能类别,如表1所示。
表1 通用标准功能表
与此相关的技术包括密码技术、身份认证、数字签名、防火墙、入侵检测、数字取证、扫描、信息隐藏与隐写分析、黑客入侵与防范技术等。这些技术随着攻防双方的反复交锋在不断提高与创新。针对信息安全建设,IBM提出可分为五个阶段周而复始地循环执行,如图1所示。
图1 IT管理策略五步法
此外,研发出拥有中国完全自主产权的信息安全核心技术及其产品,在预警、保护、检测、反应、恢复和跟踪等多个环节上实施也是极其重要的。
3.2完善的管理措施是建立良好的信息系统运行环境的必备条件
信息系统安全保护工作实行谁主管、谁负责、预防为主、综合治理、人员防范与技术防范相结合的原则。应成立信息安全领导小组,组织、协调、指挥、监督各项安全管理工作,制定相关规章制度,加强信息安全教育、培训工作,强化安全意识和法治观念,提升职业道德水准与业务水平。
3.3法律是信息系统安全运行的保障
由于不同国家的风俗习惯、道德观念有所不同,世界各国对计算机信息犯罪的定义各不相同,所采用的法律各有异同。而网络虚拟社会的无国界性和法律效力的有国界性及与网络相关的法律、法规之不完善性、滞后性,更使得对因特网上的信息管理有很大的缺陷,更需世界各国共同协作,共同管理。如何有效地管理网络中的信息资源也是各国政府很关注的问题。4 结语
信息在生活中无处不在,无处不有。因此,对信息的安全保护单独依靠技术手段是十分有限的,需要人人参与和适当的管理制度和法律法规来支持。加强信息安全教育,提高全民的信息安全意识,尤其是强化重要信息系统部门管理者的信息安全意识及技术水平是十分必要的。只有合理地协调法律、技术和管理三方面的因素,才能实现信息系统的安全性。
第二篇:等级保护与安全信息建设工作意义及必要性
一、信息系统安全等级保护建设的必要性
信息系统安全等级保护制度(以下简称“等级保护”)作为信息安全系统分级分类保护的一项国家标准,对于完善信息安全法规和标准体系,提高安全建设的整体水平,增强信息系统安全保护的整体性、针对性和时效性具有非常重要的意义。
国家相关部门一直非常重视信息系统的等级保护工作,颁布了一系列相关条例,如国务院颁布的《中华人民共和国计算机信息系统安全保护条例》,公安部等四部委联合签发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)、《信息安全等级保护管理办法(试行)》(公通字[2006]7号),公安部颁布的《公安部信息系统安全保护等级实施指南(试行稿)(2005年)》,以及北京市实施的《北京市公共服务网络与信息系统安全管理规定》(市政府第163号令)等。
中国长城资产管理公司(以下简称“公司”),作为国有独资金融企业,在业务高速发展的同时一直非常重视信息安全体系建设,早期已经部署了 “老三样”,即网络防病毒、防火墙和网络入侵检测,对保障业务系统的安全正常运转起到了重要作用。
公司综合经营管理系统经过四期建设,实现了数据集中和管理集中,为公司收购、管理与处置政策性不良资产以及商业化经营等业务的顺利开展提供了完整的业务操作平台。为了更好地保全国有资产,促进国有企业改革,进一步推动国民经济持续、快速、健康发展,公司希望进一步完善信息系统安全体系建设,规范信息安全管理,提高信息安全保障能力和水平,同时能够对信息系统安全整体进行审核、评估与完善。
二、确定综合经营管理系统的保护级别
根据《信息系统安全等级保护定级指南》中对信息系统的要求,考虑到综合经营管理系统是公司的核心业务系统,一旦受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害,因此,将保护级别定为3级,并形成了等级保护定级报告,这在资产管理公司里属于首家。
三、建设目标
在今年的《信息系统安全等级保护基本要求(报批稿)》中的3级基本要求中明确规定需要建立“监控管理和安全管理中心”,这说明公司的等级保护平台建设走在了行业的前头,为相关行业的等级保护测评工作提供了宝贵的经验。
等级保护保护整改与安全建设工作重要性
依据公通字[2007]43号文的要求,信息系统定级工作完成后,运营、使用单位首先要按照相关的管理规范和技术标准进行安全建设和整改,使用符合国家有关规定、满足信息系统安全保护等级需求的信息技术产品,进行信息系统安全建设或者改建工作。
等级保护整改的核心是根据用户的实际信息安全需求、业务特点及应用重点,在确定不同系统重要程度的基础上,进行重点保护。整改工作要遵循国家等级保护相关要求,将等级保护要求体现到方案、产品和安全服务中去,并切实结合用户信息安全建设的实际需求,建设一套全面保护、重点突出、持续运行的安全保障体系,将等级保护制度确实落实到企业的信息安全规划、建设、评估、运行和维护等各个环节,保障企业的信息安全。
启明星辰等级保护整改与安全建设过程
启明星辰等级保护整改与安全建设是基于国家信息系统安全等级保护相关标准和文件的要求,针对客户已定级备案的信息系统、或打算按照等保要求进行安全建设的信息系统,结合客户组织架构、业务要求、信息系统实际情况,通过一套规范的等保整改过程,协助客户进行风险评估和等级保护差距分析,制定完整的安全整改建议方案,并根据需要协助客户对落实整改实施方案或进行方案的评审、招投标、整改监理等工作,协助客户完成信息系统等级保护整改和安全建设工作。
启明星辰等保整改与建设过程主要包括等级保护差距分析、等级保护整改建议方案、等级保护整改实施三个阶段。
(一)等级保护差距分析
1.等级保护风险评估
1)评估目的
对信息系统进行安全等级评估是国家推行等级保护制度的一个重要环节,也是对信息系统进行安全建设和管理的重要组成部分。
等级评估不同于按照等级保护要求进行的等保差距分析。风险评估的目标是深入、详细地检查信息系统的安全风险状况,而差距分析则是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。可以说,风险评估的结果更能体现是客户信息系统技术层面的安全现状,比差距分析结果在技术上更加深入。风险评估的结果和差距分析结果都是整改建议方案的输入。
启明星辰通过专业的等级评估服务,协助用户完成以下的目标:
● 了解信息系统的管理、网络和系统安全现状;
● 确定可能对资产造成危害的威胁;
● 确定威胁实施的可能性;
● 对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
● 对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;
● 明确信息系统的已有安全措施的有效性;
● 明晰信息系统的安全管理需求。
2)评估内容
● 资产识别与赋值
● 主机安全性评估
● 数据库安全性评估
● 安全设备评估
现场风险评估用到的主要评估方法包括:
● 漏洞扫描
● 控制台审计
● 技术访谈
3)评估分析
根据现场收集的信息及对这些信息的分析,评估小组形成定级信息系统的弱点评估报告、风险评估报告等文档,使客户充分了解信息系统存在的风险,作为等保差距分析的一项重要输入,并作为后续整改建设的重要依据。
2.等保差距分析
通过差距分析,可以了解客户信息系统的现状,确定当前系统与相应保护等级要求之间的差距,确定不符合安全项。
1)准备差距分析表
项目组通过准备好的差距分析表,与客户确认现场沟通的对象(部门和人员),准备相应的检查内容。
在整理差距分析表时,整改项目组会根据信息系统的安全等级从基本要求中选择相应等级的基本安全要求,根据及风险评估的结果进行调整,去掉不适用项,增加不能满足客户信息系统需求的安全要求。
差距分析表包含以下内容:
● 安全技术差距分析:包括网络安全、主机安全、应用安全、数据安全及备份恢复;
● 安全管理差距分析:包括安全管理制度、安全管理机构、人员安全管理、系统建设管理;
● 系统运维差距分析:包括环境管理、资产管理、介质管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置;
● 物理安全差距分析:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
不同安全保护级别的系统所使用的差距分析表的内容也不同。
2)现场差距分析
整改项目组依据差距分析表中的各项安全要求,对比信息系统现状和安全要求之间的差距,确定不符合项。
现场工作阶段,整改项目组可分为管理检查组和技术检查组两个小组。
在差距分析阶段,可以通过以下方式收集信息,详细了解客户信息系统现状,并通过分析所收集的资料和数据,以确认客户信息系统的建设是否符合该等级的安全要求,需要进行哪些方面的整改。
● 查验文档资料
● 人员访谈
● 现场测试
3)生成差距分析报告
完成现场差距分析之后,整改项目组归纳整理、分析现场记录,找出目前信息系统与等级保护安全要求之间的差距,明确不符合项,生成《等级保护差距分析报告》。
(二)等级保护整改建议方案
1.整改目标沟通确认
通过与客户高层领导、相关业务部门和信息安全管理部门进行广泛的沟通协商,启明星辰会依据风险评估和差距分析的结果,明确等级保护整改工作的工作目标,提出等级保护整改建议方案。
对暂时难以进行整改的部分内容,将在讨论后作为遗留问题,明确列在整改建议方案中。
2.总体框架
根据等保安全要求,启明星辰提出如下的安全整改建议,其中PMOT体系是信息安全保障总体框架模型。
图 信息安全PMOT体系模型
启明星辰根据建议方案的设计原则,协助客户制定总体安全保障体系架构,包括制定安全策略,结合等级保护基本要求和安全保护特殊要求,来构建客户信息系统的安全技术体系、安全管理体系及安全运维体系,具体内容包括: ● 建立和完善安全策略:最高层次的安全策略文件,阐明安全工作的使命和意愿,定义信息安全工作的总体目标。
● 安全技术体系:安全技术的保障包括网络边界防御、安全通信网络、主机和应用系统安全、检测响应体系、冗余与备份以及安全管理中心。
● 建立和完善安全管理体系:建立安全管理制度,建立信息安全组织,规范人员管理和系统建议管理。
● 安全运维体系:机房安全,资产及设备安全,网络与系统安全管理、监控和安全管理等。
展开后的等级保护整改与安全建设总体框架如下图所示,从信息安全整体策略Policy、安全管理体系Management、安全技术体系Technology、安全运维Operation四个层面落实等级保护安全基本要求。
图4 等级保护整改与安全建设总体框架 3.方案说明
● 信息安全策略
信息安全策略是最高管理层对信息安全的期望和承诺的表达,位于整个PMOT信息安全体系的顶层,也是安全管理体系的最高指导方针,明确了信息安全工作总体目标,对技术和管理各方面的安全工作具有通用指导性。
● 安全技术体系
启明星辰根据整改目标提出整改方案的安全技术保障体系,将保障体系框架中要求实现的网络、主机和应用安全落实到产品功能或物理形态上,提出能够实现的产品或组件及其具体规范,并将产品功能特征整理成文档。使得在信息安全产品采购和安全控制开发阶段具有依据,主要内容包括:网络边界护御、安全通信网络、主机与应用防护体系、检测响应体系、冗余与备份、信息安全管理中心。
● 安全管理体系
为满足等保基本要求,应建立和完善安全管理体系,包括:完善安全制度体系、完善安全组织、规范人员管理、规范系统建设管理。
● 安全运维体系 为满足等保基本要求,应建立和完善安全运维体系,包括:环境管理、资产管理、介质管理、设备管理、网络与系统安全管理、系统安全管理、备份与恢复、恶意代码防范、变更管理、信息安全事件管理等。
(三)等级保护整改实施
为了更好地协助客户落实等保的整改工作,启明星辰可以作为集成商、咨询方、或者监理方,协助客户落实整改实施方案,或协助进行整改实施方案的评审、招投标、项目监理等工作,以完成系统整改和安全建设工作。
1.制定整改实施方案
在确定整改实施的承建单位后,启明星辰会提交相关的工程实施文档,包括参照整改建议方案而编制的项目实施技术规划等文档,其中涵盖安全建设阶段的各项实施细节,主要有:
● 项目产品配置清单
● 实施设计方案
● 实施准备工作描述,实施工作步骤
● 实施风险规避方案 ● 实施验证方案
● 现场培训方案
工程实施文档应经客户方的项目负责人确认后,方可进行实施。
2.整改建设实施
启明星辰承担项目实施的工作,确保落实客户信息系统的安全保护技术措施,建立健全信息安全管理制度,全面贯彻落实信息安全等级保护制度。
3.整改实施项目验收
整改实施工作完成后,启明星辰提出验收申请和工程测试验收方案,由客户审批工程测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性。
4.等级保护运维
在整改建设与实施工作完成之后,启明星辰将协助用户完成安全运维策略的制定,协助用户培养专业人才,进行运行管理和控制、安全状态监控、安全事件处置和应急、安全检查和持续改进、等级保护测评和等级保护监督检查的工作。
第三篇:武警部队信息安全保密管理问题及对策研究
国防科学技术大学硕士学位论文武警部队信息安全保密管理问题及对策研究姓名庾卓荣申请学位级别硕士专业公共管理指导教师张学礼20080601国防科学技术大学研究生院公共管理硕十伊学位论文摘要随着武警部队信息化建设步伐的加快维护武警信息安全的难度越来越大信息安全保密问题越来越突出如何把握新形势下信息安全保密管理的特点规律构建一种技术管理与制度法规管理相匹配的新型管理模式切实做好信息安全保密工作是摆在我们面前的一个重大课题。近年来武警部队在进行信息化建设同时对信息安全保密管理进行了一些探索和实践但许多工作尚在摸索之中一些经验也不成熟统一、高效、健全的武警部队信息安全保密管理运行机制和制度体系尚未建立。为丰富和完善武警部队信息安全保密管理理论研究增强信息安全保密工作的法制化、科学化、规范化本文以信息安全保密管理为研究对象以公共管理学关于信息安全保密的有关理论作依据重点分析了武警信息安全保密管理的现状、存在问题及原因通过借鉴国内外信息安全保密管理的经验实践结合武警部队自身的特点从思想建设、制度建设、技术建设三个方面提出做好信息安全保密管理的对策建议。主题词武警部队信息安全保密管理对策第页国防科学技术大学研究生院公共管理硕十学位论文受吐姗戗锄肌印伊丘„锄吼肌曲一Ⅲ‟珊—趾醯—印‟巧肿—„Ⅲ如聆够第页国防科学技术大学研究生院公共管理硕十学位论文图图图图图图图目录信息安全保密管理内容构成…………………………………………………年军地计算机泄密增幅图………………………………………�9�9外军专职信息安全保密人员编制图…………………………………………我军各兵种与武警部队专职信息安全保密人员编制图……………………年部分国家信息安全投入占投入的比例…………………………武警部队保密专业人才学历统计……………………………………………第页独创性声明本人声明所呈交的学位论文是我本人在导师指导下进行的研究工作及取得的研究成果尽我所知除了文中特别加以标注和致谢的地方外论文中不包含其他人已经发表和撰写过的研究成果也不包含为获得国防科学技术大学或其他教育机构的学位或证书而使用过的材料与我一同工作的同志所做的任何贡献均已在论文中作了明确的说明并表示谢意学位论文题目鸯茔叠丛焦曼窆全堡窒筻垄闻题丞盘筮班究学位论文作者签名日期年月日学位论文版权使用授权书本人完全了解国防科学技术大学有关保留、使用学位论文的规定。本人授权国防科学技术大学可以保留并向有关国家部门或机构送交论文的复印件和电子文档允许论文被查阅和借阅可以将学位论文的全部或部分内容编入有关数据库进行检索可以采取影印、缩印或扫描等复制手段保存汇编学位论文保密学位论文在解密后适用本授权书学位论文题目学位论文作者签作者指导老师签年月日年月日国防科学技术大学研究生院公共管理硕十学位论文第一章绪论研究背景及依据随着武警部队信息化建设步伐的加快信息安全保密日显重要。加强新形势下武警信息安全保密管理的特点规律研究增强做好保密工作的科学性、针对性是实现部队安全发展的迫切需要也是新时期部队管理工作的一个重大课题。信息安全保密是确保军事斗争胜利的重要前提当今世界随着科学技术的迅猛发展和信息网络技术的广泛应用信息己成为重要的战略资源信息控制能力是国力、军力的重要体现。托夫勒更是指出“谁掌握了信息控制了网络谁就将拥有整个世界。¨孙子兵法亦云“先为不可胜然后可以为胜”只有先将己方的信息安全防线筑得牢牢的才能全力以赴地对敌方发起攻击。因此世界各主要国家、军队竭力提升信息的获取与保护能力信息的争夺空前激烈信息安全保密工作面临着前所未有的复杂形势和严峻挑战。以抵御技术侦察窃密与破坏、保护涉密信息及信息系统安全、防止泄密为主要目的的信息安全保密已成为保密工作的主体。信息安全保密不仅是一个技术问题还是一个管理与控制问题更是一个事关国家根本利益的战略问题加强信息安全保密管理己成为维护国家安全的重要内容直接关系到部队建设全局和各项任务的顺利完成。加强武警部队信息安全保密管理是形势任务的迫切需要武警部队作为国家武装力量的重要组成部分肩负着保卫国家安全、维护社会稳定的神圣使命。部队驻地的相对分散性、营区的相对开放性、所涉事务的相对敏感性决定信息安全保密工作面临的形势十分严峻。一方面境内外敌对势力将涉密信息系统作为对我窃密与攻击的重要目标网络失泄密事件时有发生信息网络已成为泄密的重要渠道。典型的案件有陆军某集团军对抗团参谋叶×为境外窃取、非法提供军事秘密案空军某部干部杨×间谍案和武警某指挥学校教员周×向境外非法提供军事秘密案等。另一方面各级机关和重要涉密单位在涉密信息系统的技术防范与管理上存在明显的隐患和漏洞使军事秘密安全受到严重威胁。年武警部队保密委员会对全部队进行了信息安全保密大检查发现信息安全保密管理存在不少问题主要表现在部分单位领导和涉密人员第页国防科学技术大学研究生院公共管理硕十①学位论文的网络安全保密意识不强没有把网络安全保密工作摆上应有位置缺乏计算机网络安全保密基本常识。对涉密网络没有采取有效的防范措施系统共享情况比较普遍缺乏有效的访问权限控制对内不设防的现象比较普遍。一些涉密单位仍然一机两用有的直接在互联网上办公存在严重的泄密隐患。对笔记本电脑和各种移动存在介质疏于管理因丢失、被盗导致的泄密事件时有发生。对报废或改变用途的涉密计算机缺乏有效的技术处理保密管理存在很大漏洞。如何把握复杂环境下武警部队信息安全保密管理的新情况、新特点运用公共管理学的理论与实践成功“嫁接”构建一种技术管理与制度法规管理相匹配的新型管理模式对于掌握信息安全保密的主动权是部队形势任务的迫切需要。信息安全保密是实现武警信息化的根本保证随着新军事变革和信息革命浪潮的推进既给部队信息化建设带来了严峻同时也提供了难得的发展机遇。建设信息化武警实现“勤务管理可视化、指挥控制实时化、教育训练网络化、指挥办公自动化”的目标【】已成为各级共识。因此在建设信息化武警的同时加强信息安全保密管理确保军事信息绝对安全是完成任务和实现部队安全稳定的根本保证。加强对武警部队信息安全保密管理问题研究具有极为重要的意义。武警信息安全保密管理问题的研究要加大力度由于武警部队具有领导体制双重性、兵力部署分散性、接触社会广泛性、执行任务多样性等特点给信息安全保密管理带来了许多新情况、新问题。目前武警部队信息安全保密管理的特点是“实践先行理论滞后”存在三个方面的不足基础理论研究重视不够。对高技术条件下保密工作的内涵属性、特点规律、地位作用、组织领导、方针原则、发展趋势等问题进行深入的诠释和揭示不够需要尽快构建独具武警部队特色的保密理论体系。宏观策略研究有待加强。在改革开放、两岸交往增多的大环境下如何掌握窃密与反窃密斗争的主动权在信息交流日益增多的今天如何杜绝网络、通讯等泄密问题的发生在强敌联手对我全方位侦察的情况下如何构筑严密的反侦察、反窃密防线诸如此类的问题都需要进行深入研究以便为武警部队保密工作的持续发展提供及时有力的策略指导。应用研究不够。要研究新形势下如何改进保密教育方法增强教育效果研究如何科学管理真正将各项保密规章制度落实到位研究如何加强保密检查查隐患堵漏洞确保军事秘密安全等保密工作的重点、难点问题也要静下心来认真研究切实拿出可行的对策措施。第页国防科学技术大学研究生院公共管理硕十学位论文国内外研究现状综述国外关于信息安全保密管理的研究综述国外信息安全保密理论研究经历三个阶段靠纯技术实现信息安全阶段。其标志是年信息论奠基人香农发表的《保密通信的信息理论》他认为信息安全就是通信保密针对专业化的攻击手段采用的保护措施就是加密。世纪七、八十年代美国一些学者提出信息安全保密主要靠防护技术应该重视提高安全预警能力、系统的入侵检测能力、系统的事件反应能力和系统遭到入侵引起破坏的快速恢复能力。靠制定综合战略实现信息安全阶段。世纪九十年代随着信息的发展和互联网的兴起美国人曼纽尔�9�9卡斯特在《网络社会的崛起》一书中提出了包括预警、保护、检测、反应和恢复五个环节的信息安全保障概念。受他理论研究的影响这一时期以美国国家安全局制定的《信息保障技术框架》为标志信息安全的核心思想是深层防御战略即从战略层次考虑信息安全的全纵深防护人、技术和操作是三个主要核心因素。注重人的主观能动性阶段。英国学者约瑟夫�9�9赖特在《人与信息安全》一书中提出最先进的技术手段也要靠人去操作人出了问题再好的技术也不顶用实现信息安全关键是靠人对信息网络安全进行全方位的控制和管理从信息源、信息传输、信息处理和运用等各个环节严格把关要重视对信息管理人员的培训建设高素质的信息安全人才加强信息安全立法使信息安全制度化、规范化等观点。国内关于信息安全保密管理的研究综述目前国内地方和军队关于信息安全保密管理的研究专著不多信息安全管理的相关论述基本上出现在保密的相关教材和论文中。在理论著作方面代表作有丛友贵的《信息安全保密概论》。该书充分吸纳了当今信息安全保密理论的最新成果从军队保密工作实际出发对信息安全保密的基本理论和以计算机网络为重点的有关技术知识、防护技能等作了比较全面系统的介绍。秦立军主编的《信息安全保密工作系列谈》该书围绕信息安全保密这一主题全军多位领导、专家对信息安全保密形势、存在的威胁、防护技术和对策等问题进行了探讨。赵战生、杜虹、吕述望主编的《信息安全保密教程》专门用一章叙述了信息安全保密管理概述信息安全管理的组织机构、职责及机制涉密信息系统的安全保密管理等问题。№林建超、钱海皓主编的《军事保密学》系统介绍了军事保密管理的原则、手段和内容。∞。第页国防科学技术大学研究生院公共管理硕士学位论文在发表的论文中关于信息安全保密的观点概括起来有主张加强立法完善机制构建信息安全保密体系。如解放军保密委陈军荣专职委员在《关注新军事变革中的信息安全保密》中提出要着眼提高管理成效在保密管理、技术应用、监督检查、责任追究等方面建立规范、顺畅、高效的信息安全保密工作机制。…国家保密局丛兵副局长在《要加强信息安全保密管理工作》一文提出信息安全保密管理要实现电子文件与纸质文件管理相结合、防外与防内相结合、保密管理与业务工作相结合、技术措施与管理制度相结合按照依法行政的要求尽快制定信息系统保密管理的有关规定以规范通过信息系统存储、处理和传输涉及国家秘密信息的行为使信息系统的保密管理有章可循。哺李阳、吴新元两位学者在《军事信息安全法制建设刻不容缓》中提出要加强军事信息安全法律理论研究厘清军事信息安全法律建设主体的职责解决军事信息安全法律位阶过低、法律效力层次不高等问题。Ⅲ。主张培养人才建设信息安全保密队伍。如军队学者王志学在《信息战呼唤信息安全人才》中提出下一场战争的最后赢家是信息安全人才信息安全人才是指在信息安全领域理论与实践中通过运用综合知识承担保卫信息网络主权和执行信息网络作战任务为国家和国防事业作出贡献的人。目前我国信息安全人才匮乏人才流失严重信息安全检测技术滞后信息攻防能力偏低。因此必须加快人才培养的步伐以期在未来信息战中取得制胜的主动权。主张运用先进的防护技术与设备实现信息安全。如曹锐、孙厚钊在《军队信息安全保密防线的探讨》中提出技术的支撑与相应设备、设施的支持是做好信息安全保密工作的关键要坚持建设建立科学的技术防护体系保持系统的独立自主性和系统技术的先进性。…上述这些专著和专家、学者的理论研究为军队信息安全保密管理理论体系的构建奠定了坚实的基础。近年来武警部队一些专家、学者关于信息安全保密问题进行了研究提出了一些观点代表有武警部队信息安全重点实验室主任、信息安全专家扬晓元教授在《中国信息界》杂志年第期发表的《以自有技术捍卫国家信息安全》一文中指出一要在大力发展信息基础硬件建设的同时应重视配套软件和相应的保障二要加强信息安全关键技术的研究投入开发具有自主知识产权的信息安全体系三要完善和加强信息领域的法制建设使信息化建设健康发展。刘耀来、王鹏两位学者在《国防》杂志年第期发表的《做好武警部队军事信息安全保密工作应把握的问题》一文中提出要做好新形势下的信息安全管理工作一要创新科学的军事信息保密观念实现由行政管理为主向技术防范与行政管理相适应的转变由单纯通信要素保密向多层次、全方位保密转变由突出传统保第页国防科学技术大学研究生院公共管理硕士学位论文密向突出信息安全保密转变。二是建设高效的军事信息安全保密工作运行机制加强统一领导强化技术创新加快法规制度建设。三是实施强效的军事信息安全保密工作保障扎实开展保密教育加大检查督导力度加强人才队伍建设。最近由武警部队保密委员会专职委员侯建国主编的《武警部队信息安全保密基础教材》该书在充分吸纳当今信息安全保密理论的最新成果从武警部队实际出发对信息安全保密保密安全保密的内涵和属性、特点和规律、隐患和对策以及以计算机网络为重点的有关技术知识防护技能作了系统的阐述对进一步深化信息安全保密研究推动武警部队保密工作实践发挥了应有作用。总而言之武警部队在信息安全保密管理上的理论研究和实践尚处于起步阶段仍然缺乏系统研究的专著在理论研究与实践发展的结合上看理论也缺乏预见性。研究的意义和方法研究的意义以公共管理的人本管理、绩效管理理论和责权一致原则为指导尝试构建武警部队信息安全保密管理理论体系丰富和完善军事保密理论的研究在一定程度上填补武警部队信息安全保密管理理论研究的空白。有利于引起国家和军队有关部门对武警部队信息安全保密管理问题的关注。进一步丰富保密管理理论研究增强信息安全保密工作的有效性、针对性、科学性。研究的方法系统分析法。现代条件下的军事保密与窃密的斗争是系统与系统的较量通过把信息安全保密作为一个子系统置于军事斗争全局的大系统中进行研究才能全面把握系统内各个要素之间以及系统内部与外部环境之间的相互联系、相互影响和相互制约以发展的观点、系统的观点进行动态分析透过纷繁复杂的现象找出主要矛盾提出可行方案为信息安全保密的科学决策提供依据。调查研究法。信息安全保密管理涉及的问题纷繁复杂有些问题以处在不停的变化之中在写作过程中要深入到信息安全保密的实际工作中进行认真的调查了解虚心听取各方面的意见和反映力争使材料真实、全面、系统。比较分析方法。纵向比较以我军和武警部队信息安全保密管理问题的第页国防科学技术大学研究生院公共管理硕十学位论文历史实践为参照运用相关统计数据进行效益分析评价。横向比较主要进行国内国外比较介绍国内外信息安全保密管理问题的成功经验创造性地借鉴吸收以构建武警部队信息安全保密管理的制度设计。通过纵向比较和横向比较、宏观比较和微观比较揭示信息安全保密理论的发展规律预测信息安全保密的发展趋势使研究的结论更加符合客观实际。案例研究方法。以沿海地区的武警广东总队为例系统总结信息安全保密管理的实践经验确定信息安全保密管理的重点难点。研究的创新点与章节安排研究的创新点目前对武警部队信息安全保密管理还缺乏系统性、可行性研究尝试对信息安全保密概念、环境、技术等内涵进行界定完整地构建武警部队信息安全保密管理的理论基础、制度体系。运用管理学的人本理论、效益理论及相关原则来审视、评估信息安全保密管理问题提供了一个新的视角和标准。研究的章节安排第一章绪论。包括研究的背景、国内外信息安全保密管理研究现状与实践综述研究的意义和方法等。第二章信息安全保密管理的理论基础。主要内容是阐述信息安全保密的概念和信息安全保密管理应遵循的管理原则。第三章武警部队信息安全保密管理的特点、问题及原因。重点分析武警部队信息安全保密管理的特点、应遵循的基本规律信息安全保密管理面临的形势和存在的主要问题。以公.
第四篇:《信息安全及保护》教学设计方案
《信息安全及其保护》教学方案设计
以宜完小
王稳雄
教学目标
1.认知目标:理解计算机病毒是一组人为设计的计算机指令或者程序代码
构建对计算机病毒的认识,了解相关知识
2.情感目标:
(1)、认识到计算机病毒不单单是计算机学术问题,而且是一个严重的社会问题。
(2)、了解有关计算机的法规,知道使用计算机时应遵守的道德规范。3.能力目标:
(1)、计算机病毒的特点
(2)、计算机感染上病毒后的现象
(3)、预防计算机病毒的措施
(4)、计算机感染上病毒后应采取的措施(5)、学会用调整系统日期和时间的方法躲过病毒 精讲要点
1、计算机病毒的本质
2、计算机病毒的特点
3、预防计算机病毒的措施
互动提纲 1.自主学习:了解计算机 2.合作学习:一起学习计算机知识 3.探究学习:计算机病毒的危害 教学过程及主要教学内容 一.激趣导入。
1.、问题导入(同学们,大家在平时使用计算机或者U盘的时候有没有发现我们的内存会慢慢变小呢,不知道有没有同学知道这是什么现象啊?)
2.、师生互动问答,引出课题
3、提问学生在使用电脑的过程中是否遇到过计算机病毒,遇到过什么病毒,还有其他什么不良的现象或影响。
4、出示课题
二.讲授新课:
1、计算机病毒,保护信息
计算机病毒是一组人为设计的计算机指令或者程序代码。建构对计算机病毒的认识。
(1)、上网自主探究,说说你对计算机病毒有哪些了解。(2)、合作交流。
互相交流,修正、完善对计算机病毒的认识,教师相机引导学生理解计算机病毒特点。
2、计算机病毒的特点
(1)传染性:有很强的再生机制,易传染;(2)潜伏性
(3)破坏性:被激发后会破坏计算机系统内的信息;(4)可触发性:在某些特定条件下或受到外界刺激便会发作。
3、计算机感染上病毒后通常表现出来的现象(1)系统运行不正常(2)屏幕显示不正常(3)磁盘存储不正常(4)文件长度不正常(5)减少可用内存空间
(6)文件丢失、电子邮箱不能收发邮件
4、常用的预防计算机病毒措施
(1)控制病毒传播的源头(哪一些是源头?)
(2)注意操作过程中计算机是否出现异常
(3)经常备份数据(从最根本上解决信息的安全问题)
5、计算机感染上病毒后采取的常用措施
(1)切断与网络的连接(2)保护好有用的数据(3)杀毒
(4)在确认已经清楚病毒之后,将数据和重要文件还原到计算机系统
6、了解注册论坛,成为论坛用户
学生通过网页了解规范。
1)使用计算机时应遵守哪些道德规范?
2)《全国青少年文明公约》是怎么规定的。
3)了解《中华人民共和国计算机信息系统安全保护条例》。
4)了解知识产权。
课堂训练、计算机病毒的本质、特点、现象以及预防措施和解决措施
2、了解论坛注册的基本情况
第五篇:《信息安全及保护》教学设计方案
《信息安全及其保护》教学方案设计
09级教育技术学一班
卢跃锋
40911074 【教学内容】:
信息安全及信息保护 【教学目标】:
一、认知目标:理解计算机病毒是一组人为设计的计算机指令或者程序代码
构建对计算机病毒的认识,了解相关知识
二、情感目标:
1、认识到计算机病毒不单单是计算机学术问题,而且是一个严重的社会问题。
2、了解有关计算机的法规,知道使用计算机时应遵守的道德规范。
三、能力目标:
1、计算机病毒的特点
2、计算机感染上病毒后的现象
3、预防计算机病毒的措施
4、计算机感染上病毒后应采取的措施
5、学会用调整系统日期和时间的方法躲过病毒 【重点难点】:
1、计算机病毒的本质
2、计算机病毒的特点
3、预防计算机病毒的措施
【教学准备】
1.学生:自学课文,了解相关知识。
2.教师:制作网络环境及搜集准备教学相关材料。【教学方法】
讲解法、网络探究法 【教 具】
多媒体电脑
【教学过程及主要教学内容】 一.激趣导入。
1.、问题导入(同学们,大家在平时使用计算机或者U盘的时候有没有发现我们的内存会慢慢变小呢,不知道有没有同学知道这是什么现象啊?)2.、师生互动问答,引出课题
3、提问学生在使用电脑的过程中是否遇到过计算机病毒,遇到过什么病毒,还有其他什么不良的现象或影响。
4、出示课题
二.讲授新课:
1、计算机病毒的本质
计算机病毒是一组人为设计的计算机指令或者程序代码。建构对计算机病毒的认识。(1)、上网自主探究,说说你对计算机病毒有哪些了解。(2)、合作交流。
互相交流,修正、完善对计算机病毒的认识,教师相机引导学生理解计算机病毒特点。
2、计算机病毒的特点
(1)传染性:有很强的再生机制,易传染;(2)潜伏性
(3)破坏性:被激发后会破坏计算机系统内的信息;
(4)可触发性:在某些特定条件下或受到外界刺激便会发作。
3、计算机感染上病毒后通常表现出来的现象
(1)系统运行不正常(2)屏幕显示不正常(3)磁盘存储不正常(4)文件长度不正常(5)减少可用内存空间
(6)文件丢失、电子邮箱不能收发邮件
4、常用的预防计算机病毒措施
(1)控制病毒传播的源头(哪一些是源头?)
(2)注意操作过程中计算机是否出现异常
(3)经常备份数据(从最根本上解决信息的安全问题)
5、计算机感染上病毒后采取的常用措施
(1)切断与网络的连接(2)保护好有用的数据(3)杀毒
(4)在确认已经清楚病毒之后,将数据和重要文件还原到计算机系统
6、了解常见病毒及杀毒软件
7、引导学习使用计算机的道德规范。
引入:在使用计算机时我们除了要增强“防病毒”意识,也应遵守使用计算机的道德规范。同学们都是学校遵规守纪的好学生,我知道大家肯定也想成为一个遵守计算机使用规范,保护计算机安全的好少年。
了解规范:
学生通过网页了解规范。
1)使用计算机时应遵守哪些道德规范?
2)《全国青少年文明公约》是怎么规定的。
3)了解《中华人民共和国计算机信息系统安全保护条例》。
4)了解知识产权。
三、课堂小结
1、计算机病毒的本质、特点、现象以及预防措施和解决措施
2、总结学生自主学习的情况
延伸:这一节课我们只是了解了一些有关病毒的知识,在以后的运用中,我们需要懂得更多、更细,互联网会帮助你们的,希望同学们课后继续探索有关计算机安全的问题。
四、布置作业:了解最新杀毒软件的功能及基本用法。