第一篇:信息安全研究论文信息安全论文计算机论文
信息安全研究论文(9 篇)-信息安全论文-计算机论文 ——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第一篇:中小企业信息安全管理问题分析
摘要:信息安全管理的有效落实,是新时期中小企业战略性发展的重要保障。本文分析中小企业信息安全管理中存在的问题与不足,并以此作为阐述的切入口,从体系的建立、制度的完善等方面,阐述新时期深化中小企业信息安全管理的应对措施。
关键词:中小企业;信息安全管理;制度
开放的互联网环境,快速发展的网络科技,都强调中小企业在立
足发展的同时,要着力于企业信息安全管理工作的开展。这是基于自身发展的内在要求,也是优化内控管理的重要之举。当前,中小企业信息安全管理问题突出,无论是制度的不完善性,还是管理体系的缺乏,都需要中小企业应立足于实际的经营管理需求,建立起完善的信息安全管理体系,并制定完善的管理制度,满足企业经营发展的需求,提高企业信息安全管理能力。
中小企业信息安全管理中存在的问题
1.1 对信息安全管理缺乏重视,安全管理流于形式
在网络信息时代,构建安全的信息环境是企业构建可持续发展战略的重要保障。在企业内控管理的优化与调整中,信息安全管理是其重要部分。然而,由于企业管理层缺乏足够重视,导致企业信息安全管理落实不到位。特别是对于中小企业而言,一是缺乏足够的资金投入,在安全信息管理的人员配置、硬软件设施的购买等方面,难以满
足企业信息安全管理的需求;二是中小企业信息化建设起步晚,缺乏一定的发展基础,信息安全管理措施不足。因此,中小企业在信息安全管理过程中,面临管理发展的尴尬与瓶颈,缺乏信息安全管理的基础建设,滞后于企业可持续发展的现实需求。
1.2 信息安全管理技术落后,难以构建完备的信息安全管理体系
快速发展的网络信息技术,推动中小企业现代信息化的建设,但也给企业信息安全管理带来新的要求。在传统的网络环境中,依托简单的加密技术、防火墙,便可以为企业信息安全管理构建完善的防御体系。但是,日益频繁的黑客、病毒攻击,强调信息安全管理技术的先进性,为企业构建完备的信息安全管理体系。而中小企业在信息安全管理体系的构建中,管理体系不完善,信息安全管理技术落后,单一的安全防御结构,显然难以确保信息安全管理工作的全面开展,企业信息安全问题突出。
1.3 信息安全管理制度不完善,缺乏完善的制度保障
完善的管理制度是规范和引导信息安全管理的重要保障。中小企业在发展过程中,更多地强调短期经济效益的追求,而忽视长远发展战略的构建。信息安全管理制度的建立,与企业经营管理制度的建立相分离,导致信息安全管理制度的主体地位不突出,制度的完善性、制度执行的保障性都存在明显不足。企业职工安全意识薄弱,在计算机操作等方面,浏览不安全网站,私自下载软件,对企业信息安全系统造成威胁。此外,企业计算机安全防御体系存在漏洞,相关的杀毒软件未能及时更新,为黑客、病毒攻击创造了一定的内在基础。
深化中小企业信息安全管理的应对措施
2.1 建立健全信息安全管理体系,提高安全管理的有效性
为更好地满足发展的需求,中小企业应重视信息安全管理体系的建立,优化现行的信息安全管理。中小企业在建立信息安全管理体系的过程中,应抓好三个方面的工作:一是信息安全管理体系应立足于企业的实际情况,针对企业的生产经营需求,建立具有企业特色的安全管理体系;二是着力于安全评估标准的建立,确保安全管理的科学化;三是强化企业信息安全文化的建立,规范并引导职工正确的思想行为。如图 1 所示,是中小企业信息安全管理模型。从图 1 可知,在信息安全管理体系的构建中,安全维度的建立从资源安全、技术安全和管理安全三个维度,全方位为企业信息安全管理构建良好的安全管理模式。这对于中小企业而言,不仅提高了信息安全管理的有效性,也推进了企业信息现代化建设,对企业可持续发展具有十分重要的意义。
2.2 建立健全信息安全管理制度,为安全管理提供制度保障
中小企业在内控管理方面,缺乏管理制度的有力保障。特别是信息安全管理制度的缺失,不利于企业内控管理工作的全面开展。因此,企业要扎实推进信息安全管理制度的建立,从组织部门的设立、管理责任的落实、人员的配置等方面,确保信息安全管理有效开展。同时。结合企业的实际情况,构建完善、可靠的信息安全防范体系。此外,企业要强化对信息安全管理工作的重视,从责任到人,到主要领导亲自负责,确保信息安全管理落地,也确保信息安全契合企业经营管理的内在需求,营造安全可靠的网络信息环境。
2.3 提供完备的技术保障,构建信息安全防范体系
在开放式互联网环境下,企业安全管理所面临的完全问题比较突出。多元化的问题风险,强调中小企业构建信息安全防范体系的必要性。信息安全防范体系的构建,建立在完备的技术保障之上。先进的杀毒软件、防火墙技术等,都是企业构建信息安全防范体系所必需的技术保障。对于黑客、病毒的恶意攻击,需要中小企业提高信息安全防范等级。如图 2 所示,是典型的 Internet/Intranet 防火墙设置。防火墙技术作为安全防范体系的重要组成部分,在企业信息安全防范中起到十分重要的作用。内外网络之间搭建起防范屏障,很大程度上能够确保企业的网络信息安全,保障企业网络操作正常进行。因此,无
论是杀毒软件还是防火墙技术,都是中小企业构建安全防御体系所必要的技术保障。此外,随着黑客、病毒的不断升级,也强调企业应不断更新杀毒软件,安装配置更高的防火墙等技术,从而提高企业信息安全防御能力,确保中小企业的信息安全。
结语
综上所述,中小企业所面临的信息安全管理问题比较突出。多样化问题强调中小企业在信息安全管理的过程中应扎实做到:(1)建立健全信息安全管理体系,提高安全管理的有效性;(2)建立健全信息安全管理制度,为安全管理提供制度保障;(3)提供完备的技术保障,构建信息安全防范体系。从本质上优化中小企业信息管理策略,确保企业信息安全,是推进企业可持续发展的重要基础,从而不断加速中小企业的现代化建设。
参考文献
[1]潘爱武.谈中小企业信息安全问题及对策[J].东方企业文化,2012(17).[2]江丽.我国中小企业融资难原因分析及对策[D].南昌:江西财经大学,2014.[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010(11):142-143.[4] 徐 黎 源.中 小 企 业 信 息 安 全 管 理 模 型 [J].科 技 经 济 市场,2009(9):88-89.[5]赵晓华.网络环境下河北中小企业信息安全问题研究[J].科技资讯,2013(11):140-141.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第二篇:信息安全管理中信息安全态势分析
摘要:信息安全管理是确保信息安全的重要基础。它更强调信息分析技术等的有效应用,从而为信息安全管理提供更完备的分析体系。本文研究信息安全动态分析,从微观动态分析、宏观动态分析两个方面,阐述信息安全态势分析在信息安全管理中应用,旨在强化对信息安全动态分析的认识,并为今后相关领域的研究提供一定的参考。
关键词:信息安全;管理;动态分析;微观;宏观
信息安全管理是一项复杂而系统的工作。安全管理的有效性、全面性,都强调信息动态分析的有效开展,从而为信息安全管理提供定量化的安全分析。当前,信息安全动态分析已广泛应用于信息安全管理中,通过宏观动态分析与微观动态分析,为信息安全管理提供了更加完善、科学的管理依据,提高了信息安全管理能力。当前,复杂的信息安全环境强调动态分析的立足点不仅仅在于构建局域性的安全环境,更强调立足于企业的战略性发展,从而为企业发展提供重要依据。因此,本文研究的重点在于如何依托动态分析,对信息安全管理进行优化与与调整,从而提高信息安全管理的有效性、科学性。
信息安全管理中宏观态势分析的应用
在信息安全管理中,宏观态势分析主要在于微观技术领域。基于有效的评估、预测,对信息安全的情况进行分析。一般情况下,宏观动态分析主要从稳定性、脆弱性及威胁性等几个方面对信息安全进行
描述,从而为信息安全管理构建多元化的发展基础。宏观动态分析在企业信息安全管理中的应用主要包括以下几个方面。
1.1 企业战略发展的构建及核心业务、资产
在多元化的市场环境下,企业战略性发展的构建很大程度上依托于企业信息安全管理的推进,以更好地实现企业的战略性发展目标。为此,在宏观动态分析中,需要对企业未来一段时间(一般为 3-5 年)的战略发展变迁及核心业务、资产等情况进行考虑分析,这是动态分析助力企业战略发展的内在要求。例如,在宏观动态分析中,应针对企业的生产经营情况,确认核心业务、资产是否出现转移;核心资产是否出现折旧等。这对于企业战略性发展的构建以及战略性发展目标的达成,都具有十分重要的现实意义。
1.2 信息安全环境的发展趋势
网络信息时代的快速发展,强调宏观动态分析应对信息安全环境的发展趋势进行分析,这对于提高企业信息安全管理能力至关重要。对于现代企业而言,信息安全管理的开展一方面要基于自身实际情况,如业务、系统等,考虑自身内在信息安全的影响因素;另一方面,也要对信息技术的发展趋势、信息安全环境等进行重点考虑,针对可能引发额外风险的重点因素,重点考虑,重点防范,实现更有价值的信息安全管理。
1.3 社会环境及法律法规的影响要求
在企业生产经营发展的过程中,经济 对信息安全的影响,相关法律法规对企业经营的要求,都是动态分析中需要着重考虑和分析的要素。在宏观动态分析中,以上三点要素在风险定量评估中能够起到重要的指导作用。对实际操作情况而言,可以利用“Threat(威胁)=impact×likelihood(影响×可能性)”对风险影响进行表示。基于动态分析对风险实现定量评估,这对于信息风险管理而言,无疑具有重要的意义,可提高信息安全管理的针对性、有效性。当然,对于该公式,可以进行适当拓展,进而将风险的表达更加全面。即有“Risk(威胁)=asset×vulnerability×threat(资产×脆弱性×威胁)”由此可以知道,宏观层面的因素对“威胁”值起到了至关重要的影响。无论是社会环境,还是安全环境趋势,其值的增加都是构成威胁的重要来源。与此同时,基于宏观动态分析,为企业战略性的安全管理提供了一定的参考依据,且对微观动态分析提供了量化的重要依据。这进一步强化了动态分析的针对性,并对企业信息安全建设提供指导。
信息安全管理中微观态势分析的应用
在微观动态分析领域,无论是理论研究还是实践操作,都已发展到一定程度。理论与实践并重的应用及发展情形,强化其在企业信息安全管理中的重要作用。在对微观动态分析中,需要提及“Endsley 模型”。该模型最大的亮点在于将感知进行划分,分为“感知”“理解”“预测”三个层次,进而强化信息处理能力。“Endsley 模型”的成功构建,推动了动态分析在信息安全管理中的应用和推广。在“Endsley 模型”基础上,美国提出了“JDL 模型”。该模型在优化控制与管理功能等方
面进行有效优化与调整,进而提高了模型的应用性及实用价值。如图1 所示,是“JDL 模型”的应用图。从图 1 可以知道,基于数据采集、预处理及 关联性识别等功能模块的实现,进一步提高了动态分析的实效性。通过模型的不断优化与调整,强调模型在功能构建上更好地满足于信息安全管理的现实需求。与此同时,在模型不断优化、技术不断发展的大环境下,微观动态分析技术已逐步成熟,并在信息安全管理平台中得到有效应用。无论是在应用效果还是应用价值上,都表现出微观动态分析在信息安全管理中应用的重要性,对推进信息安全管理现代化发展起到重要的推动作用。因此,这也是大力发展动态分析技术,拓展其在信息安全管理领域应用发展的重要基础。微观动态分析的应用在很大程度上推动了动态分析技术的发展,也深化其在信息安全管理领域中的应用价值。当前,随着信息技术的不断发展、模型的不断优化,其在应用中的性能也在逐步提升,尤其是在风险分析、应急响应处理等方面。这些功能的优化与完善,有助于信息安全管理系统的构建,满足现代信息安全管理的现实需求。
结语
综上所述,信息安全管理是一项技术性强、系统性复杂的工作,强调技术性发展的完备性,更强调动态分析在其中的有效应用。当前,随着动态分析技术的不断发展,它在信息安全管理中的应用日益广泛。尤其是微观动态分析在信息安全管理平台的应用,进一步提高了动态分析的实际应用价值。本文阐述的立足面在于两点:一是基于宏观层面的动态分析,为企业战略性构建及发展环境的分析起到重要的指导性意义;二是基于微观层面的动态分析,依托各种模型的建立与优化(如“Endsley 模型”“JDL 模型”),强化动态分析的实际应用价值。此外,随着微观分析技术的不断发展,它在信息安全管理平台中的应用对推动微观动态分析技术应用及发展,具有十分重要的意义。
参考文献
[1]李汉巨,梁万龙,刘俊华.信息安全管理现状分析[J].信息与电脑,2013(11).[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务,2013(8):131.[3]王伟.资源视角的电力企业信息系统运维风险分析[J].西安邮电大学学报,2013(1):121-124.[4]毕海英.信息安全产品的现状及态势分析[J].现代信息技术,2013(7).[5]梁晶晶,黄河涛.局域网安全问题的现状及技术分析[J].科技信息,2010(26).[6]安睿.基于 bagging 的电力信息安全态势分析系统的研究与实现[D].:华北电力大学,2012.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第三篇:人事 信息安全管理思考
人事 是人事、组织、劳资等部门在培养、选拔和使用人员的工作活动中形成的,是个人经历、学历、社会关系、思想品德、业务能力、工作状况以及奖励处罚等方面的原始记录,是个人参与社会方方面面活动的记载和个人自然情况的真实反映。人事 信息安全管理是指存在于人事 信息的收集、整理、保管、鉴定、统计和提供利用全过程的安全管理活动。由于人事 涉及每个人的切身利益,如何实现人事 信息安全管理效率的最大化无疑成为了当前关注的重点话题。
一、加强人事 信息安全管理的必要性
1、人事 自身性质决定信息安全管理的重要性
人事 具有真实性、动态性、现实性、专业性、机密性等特点,它与个人职称申报、定级、政审等紧密联系在一起,是综合考察及使用的重要依据之一,更是对流动人员管理的重要凭证。当前我国养老、医疗、失业保险等福利政策的制定、完善、推广也是与人事 密切关联。因此,必须要全面加强人事 信息安全管理,保障人事 资料的完整性、真实性及有效性。
2、人事 信息安全管理的现实紧迫性
人事 信息安全管理的现实紧迫性主要体现在人事 对国家、用人单位及个人都具有至关重要的作用方面。从目前我国人事 信息管理的现状来看,弃档、死档、无头、丢失、资料失真等问题较为普
遍,给国家、用人单位及个人带来了巨大的损失,同时也造成了当前人事 管理效率的低下。因此,就必须进一步加强人事 信息安全管理,以强化人事 的社会功能。
3、人事 信息安全管理的技术可行性
信息时代快速发展的今天,新一代信息技术已经广泛渗透到我们的日常生活、学习和工作中。但是许多地区的人事 信息安全管理出于安全和保密的原则,其管理模式还是停留在纸质载体上,这俨然与当前社会信息化发展格格不入。为此,在保障人事 信息安全与保密的前提之下,应当适当的引入新一代信息技术,便于快速、方便的利用。总体而言,新一代信息技术既呼唤现有人事 管理的深化改革,同时又为人事 信息安全管理提供了有力的支撑条件。
二、当前人事 信息安全管理存在的突出问题
1、人事 信息安全管理基础设施滞后
本文人事 信息安全管理基础设施特指计算机网络系统、通信系统、电力分配系统等新一代信息网络技术手段,可实现人事 信息管理的简单化。由于人事 信息安全管理基础设施的滞后,包括人事 设备落后、运行环境恶劣、设备兼容匹配性差、信息存储介质保管环境等问题,又可直接导致人事 信息安全面临灾难性的后果。在这个过程中,人事 信息安全管理基础设施一旦发生致命性的损坏,就会使所有产生、流转和保管的人事 电子资料出现数据错误,不可读取或是全部丢失,严重威胁人事 信息安全。
2、人事 信息安全管理系统比较脆弱
人事 信息安全管理系统比较脆弱也是当前人事 信息安全管理存
在的一个突出问题。例如,人事 计算机网络可以提供相互交流的平台,也可间接影响到人事 信息安全。当人事 计算机网络出现硬件故障、软件故障或者其他技术性故障都会直接威胁到人事 信息安全。又例如,在人事 信息安全系统设计的过程中,受到设计者本身的技术能力和设计模式的限制,会给人事 信息安全管理系统留下不同程度的缺陷或漏洞。如再出现人事 信息安全管理人员在人事 资料的传送、存储及处理过程中的违规操 况,也会 削弱人事 信息安全管理系统的稳定性,威胁人事 信息安全。
3、人事 信息安全管理人员责任意识落后
人事 信息安全管理人员责任意识落后,主要体现在对人事 信息安全管理的认识不足、重视程度不够、责任心不强,从而不能够及时发现并处理人事 信息安全管理中已存在的漏洞以及可能出现的安全隐患。同时,在实践操作过程中,部分人事 信息安全管理人员未能严格执行按期修改人事 信息安全管理系统密码等操作规程,降低了人事 信息安全程度。
三、加强人事 信息安全管理的实现途径
1、完善人事 信息安全管理法规与标准
完善人事 信息安全管理法规与标准,是在严格遵守人事 工作法律、法规、标准的同时,要求各级人事 管理部门还需结合本单位的实际情况制定有效的标准规范,且该规范还需要做到与相关法律法规相协调,与现行人事 信息安全管理的实践工作相配套,最大程度上确保人事 信息不丢失、不损坏、不失真、不泄密。同时,完备的人事 信息安全管理法规与标准,还要通过多种形式的活动提升自身和社会法律意识,真正建立一套以更好的维护人事 信息安全。完善人事 信息安全管理法规与标准。
2、建立人事 信息安全管理保障应急机制
结合当前人事 信息安全管理的新形势,从保护国家资源战略的高度出发,必须要建立人事 信息安全管理保障应急机制,预先估计潜在的危机和后果,提升人事 信息安全管理的处置能力,做好全方位的应急准备。要建立人事 信息安全管理责任制度,制定人事 和电子 保管、保密和利用操作流程,完善人事 的鉴定程度和方法,并对人事 信息安全管理制度的执行情况进行定期督查,确保各项制度能够高效、准确的运行。
3、强化人事 信息安全管理人员责任意识
强化人事 信息安全管理人员责任意识,首先需要人事 管理部门领导和 管理工作者树立正确的人事 信息安全管理观念,坚持“积极防御”、“综合防治”、“以防为主”、“防治结合”的方针,不断增强人事 信息安全管理的使命感、责任心,并提升人事 信息安全管理部门对建立和发展人事 信息网络的认识程度。同时也要重视人事 信息安全
管理人员的思想 和职业道德教育,多渠道、有目的的对 管理人员进行业务培训。通过开展形式多样的人事 信息安全管理教育活动,保障其深刻认识人事 信息安全管理的重要性。
——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第四篇:金保工程信息安全建设强化策略
摘要:金保工程信息安全建设能够确保我国电子政务信息平台有效工作,由于金保工程主要是应用电子信息技术对国家、省级、市级三个级别政府机构的基金监管、公共服务、宏观决策等工作进行数据统计和管理,因此,强化金保工程信息安全建设是对国家信息安全负责的重要体现。
关键词:金保工程;信息安全建设;建立健全管理制度;提高安
全技术水平
金保工程信息安全建设是我国三个级别政府机构电子政务信息安全的重要保障,其体现了我国现代化信息技术水平,因此,在强化金保工程信息安全建设时首先要加强我国现代化信息建设,培养大量现代化信息高端技术人才,在电子政务信息技术软件的设计中运用高端技术以保证金保工程信息安全建设。
金保工程概述
1.1 金保工程概念
金保工程是指我国应用现代电子信息技术对国家、省级和市级这三个级别政府中的公共服务、基金监管、宏观决策和社会保障四项基
本业务功能进行数据分析和统筹,最终使全国的劳动保障等电子政务工程统一。
1.2 金保工程特点
金保工程的具体特点包括以下几个方面。第一,金保工程的建设标准统一,具体包括信息技术标准统一和业务规范统一两个方面。其中信息技术标准统一是指信息技术中的 IP、接口、域名、和安全等方面统一[1]。业务规范化统一是指金保工程的业务工作流程从国家到省级再到市级按照严格的上下级规范进行统一标准。第二,金保工程具有纵向建设、横向对接一体化的特点。具体是指在金保工程建设工作中要从国家大局出发,对中央、省级和市级统一规划标准,在业务上的对接要进行一体化规划。
金保工程信息安全建设现状
目前,我国金保工程信息安全现状如下。第一,在国家金保工程信息安全建设管理中存在管理制度不够完善的问题。金保工程信息技术安全建设管理者没有建立完善的信息安全管理制度,在信息安全管理中没有行之有效的管理制度和管理原则。在金保工程信息安全管理工作中对管理人员的工作缺乏约束力,因此,导致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中没有建立健全奖惩制度,使信息安全管理人员在信息安全管理工作中缺乏对工作的热情和积极性,使他们在工作中出现怠慢工作的现象,影响了金保工程信息安全管理工作效率。第二,管理人员的信息安全管理意识不足。金保工程信息安全管理人员属于国家公务人员,目前部分管理人员工作态度不够端正,在信息安全管理工作中缺乏一定的责任心。其缺乏职业道德,在工作中出现混日子的问题。同时由于信息安全管理人员在入职前对其专业技能有严格要求,而在入职后由于工作态度的问题及信息安全管理意识不到位,导致没有继续加强职业技能学习与训练,使专业技能水平停滞不前,影响了金保工程信息安全技术升级,进而影响到我国金保工程信息安全管理质量。第三,由于我国信息技术起步较晚,因此,我国的信息技术水平在一定程度上与发达国家之间存在一定差距。而金保工程中对国家劳动保障等业务一体化电子政务管理存在大量 信息,因此,金保工程信息安全管理需要高端信息技术作为保障。目前,由于我国各行业对信息技术人才需求剧增,导致信
息技术人才供不应求,同时我国对信息技术人才的物质保障不及其他发达国家,也导致了大量超高端信息技术人才外流,使我国金保工程信息安全管理部门人才缺失,影响了金保工程信息安全建设质量。
强化金保工程信息安全建设的对策
3.1 建立健全管理制度
由于在我国金保工程信息安全建设中存在信息安全管理部门管理制度不健全的现状,影响了我国金保工程信息安全[3],因此,信息安全管理部门应建立健全管理体制,在信息安全管理制度中严格规范金保工程信息管理工作,将信息安全责任严格落实到每一位管理人员身上,使信息安全管理人员在工作中明确自身职责,避免由于职责不明导致部分人员消极怠工,为工作中的不负责任找借口。同时信息管理部门应制定严厉奖惩制度,给予积极工作表现优异的管理人员经济奖励和职称奖励,使表现出色的管理人员充分调动工作积极性,进而为
其他工作人员树立榜样。对在信息安全管理工作中缺乏责任心,混日子的工作人员给予降级惩罚,对在信息安全工作中由于不负责任导致出现严重信息安全问题的管理人员给予辞退的惩罚。这种严厉的奖惩制度能够起到立竿见影的作用,同时由于经济利益的驱使也能够充分调动信息安全管理人员的工作积极性。
3.2 提高管理人员安全建设意识
提高金保工程信息安全管理人员的安全建设意识,能够有效提高金保工程信息建设安全度。提高信息安全管理人员的安全意识,首先要提高他们的职业道德素质。信息安全管理部门应定期对信息安全管理人员进行职业道德素质培训,使他们时刻保持良好的职业道德素质,使其对金保工程信息安全管理工作有正确认识[4]。在培训信息安全管理人员的职业道德素质时,应重点培训金保工程信息安全的重要性,使管理人员意识到信息安全管理是保障 信息安全的重要前提,的外漏将会影响社会生活的安全稳定和人们的生命财产安全,因此,信息管理人员的信息安全管理工作具有重要意义。信息安全管理人员意识到自身工作对国家与社会的重要性,就会重新审视自己的工作,从而
充分自身的信息安全建设意识,使我国金保工程信息安全建设得到有效保障。
3.3 提高安全技术水平
由于金保工程是利用现代信息技术开展政府电子政务信息工作的,因此,信息技术水平直接影响金保工程信息安全。根据我国现阶段高端和超高端电子信息技术人才供不应求的局面[5],国家应大力扶持信息技术院校培养大量信息技术人才,同时对超高端信息技术人才委以重任,给其丰厚薪资报酬以吸引大量信息技术人才不断研发和更新信息安全系统,开发出更安全的信息安全软件为政府所用,为我国金保工程信息系统提供安全保障[6]。另外,还应进一步建立健全安全防护体系,对重要信息进行加密传输,避免信息在传输过程中被窃取;配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护;采用网络防病毒系统,并与单机防病毒软件相结合;建立重要系统数据的备份机制,并实现关键主机系统的冗余备份和灾难恢复;建立服务于金保工程信息系统的数字认证服务,利用数字证书系统实现重要数据的加密传输、身份认证等。从而最大程度地确保金保工程的安全,提高金保工程信息安全建设水平。
结语
随着我国信息技术飞速发展,各级政府部门采用电子政务信息平台进行办公。我国金保工程通过现代化信息技术对中央、省级和市级进行劳动保障等业务的统一,使国家政府部门实时有效开展国家上下级别政府部门之间的工作,使国家各级政府部门的工作得到统一规范,促进了国家社会发展。由于信息技术中存在一定的信息安全问题,导致国家金保工程信息安全受到威胁,对我国机密信息安全不利,因此,加强金保工程信息安全建设势在必行。
参考文献
[1]朱国丰.金保工程:建设统一规范的公共服务网络[N].中国劳动保障报,2008-10-30(003).[2]张竹松.社会保障工作要重视“金保工程”信息安全建设[N].大理日报(汉),2013-11-30(A03).[3] 洪 黎 明.医 保 跨 省 联 网 还 需 政 策 发 力 [N].人 民 邮电,2014-04-21(006).[4]秦子龙.中国电子政务信息安全现状与策略(二)[N].政府采购信息报,2013-07-19(007).[5]秦子龙.中国电子政务信息安全现状与策略(一)[N].政府采购信息报,2013-07-12(007).[6]边玉芳.服务下沉做贴近百姓的好帮手[N].中国劳动保障报,2010-01-09(006).——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第五篇:移动互联网的信息安全研究
【摘要】科学技术的进步推动了移动互联网技术的发展,移动互联网被广泛应用于生产和生活中的同时,也面临着一些发展问题,在信息传输和应用方面存在较大的安全问隐患,必须针对移动互联网应用中的问题制定有效的对策,加强信息的安全管理。本文结合移动互联网应用过程中暴露的安全问题,提出了移动互联网信息安全管理策略。
【关键词】移动互联网;信息安全;策略探讨
中国移动互联网发展于 2005 年,目前以 WAP 为主要的信息传输方式。在国内移动互联网产品不断完善的过程中,用户的上网速度和上网体验发生了重大的改变,多种通信产品成为移动互联网应用的主流。移动互联网用户将信息交换作为重要业务,因此信息交换的安全性成为人们的关注的热点。针对目前移动互联网产品应用中的安全问题,必须制定有效的防护措施,保证信息安全。近几年我国电力行业保持着较快的发展速度,作为国民经济的基础产业,电力产业也取得了很大的成绩,发电机容量和发电量居世界第二位。随着我国国民经济的快速发展和人民生活水平的不断提高,对电力的依赖程度也越来越高。电力需求与国民经济密切相关,电力弹性系数反映了用电增长速度与国民经济增长速度的相对关系。
移动互联网与电力建设背景分析
随着电网基础和分布式发电技术的改革,现代化输电和配电将体现出智能化特点,最大限度地节约能源,新能源技术也将重新定义人类新生活,其中移动互联网作为重要的纽带将电网技术和多种智能终端设备联系起来,为了人们的生活提供了便利。中国是全球最具活力的新兴市场,随着移动互联网的发展,智能设备成为人们生活的伴侣,近年来电力开发行业将移动互联网应用到电力建设中,很大程度上促进了电网建设的加速,电工产业不断优化升级。另外,在移动互联网兴起的过程中,电力开发生产技术不断发展,电力企业的营销模式也将发生巨大的转变。目前 4G 网络引领移动互联网发展,移动 APP 为电力生产带来了便利,以电力建设中的焊接工作为例,微信、QQ、拍照、微摄影、WPSOffice 办公平台、备忘录等智能 APP 功能在焊接工作中的作用日益重要,有利于办公平台的优化,移动互联网成为计划、任务、进度管理、会议通知、质量管理等的重要工具。为了拍出高清图片,焊接人员更新智能拍照软件,记录焊接的影像资料,通过微信、QQ 群在线交流,在施工过程中,充分应用 WPSOffice 办公平台软件,在施工现场查阅焊接规程、技能考核等文件,将智能终端作为迷你办公室,很大程度上提高了管理水平。移动互联网的发展带动信息消费的增长,信息消费的发展空间更加广阔,以电子商务和移动互联网信息的消费迅速增长,电力开发企业借助这一发展优势,将其作为发展就会促进产业进步。移动互联网主要信息安全问题
2.1 移动 APP 在电力应用中的问题
随着智能电网建设进度的加快,很多智能型移动 APP 被应用于电力建设中,其中有管理方面的软件,也有用户端的缴费软件,层出不穷的第三方软件为人们的生活提供了便利,同时也暴露出一定的安全问题。例如移动 APP 恶意读取用户位置信息、泄露企业管理计划、云端数据丢失等,移动 APP 的安全问题也成为人们关注的热点,电力规划和建设过程中必须保障数据安全,维护用户利益。
2.2 运营模式引起的安全问题
移动互联网产品应用过程中,将多种信息交换业务作为核心,成为互联网中重要的运营模式,传统运营商将网络作为核心,运营商和移动互联网有着本质的区别[1]。当今社会有很多丰富的个性化服务进入移动互联网中,例如手机广告、视频、APP 等。同时移动互联网可以为用户提供多种增值服务,体现出鲜明的产品特色,多种业务内容也成为移动互联网业务发展的重点,因此不同个性化服务的供应商成为移动互联网快速发展的直接动力,但是在发展过程中也暴露出一些问题,例如供应商为了获取更高的经济效益,将一些骚扰广告和不健康内容添加到 WAP 网站上,用户误点击后将会收取一定的费用,在违背社会道德的同时,逐渐演变为严重的产业问题和社会问题。
2.3 由 IP 引起的安全问题
与传统的多级和多层通信网络不同,移动互联网应用扁平化网络技术,将 IP 化作为网络核心,但是 IP 网络本身具有较大的安全漏洞,自身也存在着较大的安全威胁。在网络信息技术不断发展和普及的过
程中,安全问题也受到广泛关注,多种网络攻击逐渐成为公众网络的主要危害,作为承载网络的核心部分也必将受到较大的影响。在核心网架构上,移动互联网的管理信息、用户信息和控制信息将会同步传输,终端用户可以随时访问核心网,将会把核心网暴露在用户端。在这种网络环境下,运营商的核心网络和业务网络中不断出现严重的安全问题,例如 2009 年 5 月 19 日晚 9 点左右,华南地区出现大面积网络故障,不仅网络连接出现问题,而且用户的信息安全也受到严重的威胁,专家分析后确认该问题由 DNS 的零日溢出引起的,对 DNS 进行大量的查询请求导致 DNS 服务器出现 DDOS 攻击,运营商的 DNS出现问题。互联网应用过程中 DNS 服务器出现较多 DDOS 攻击,形式也逐渐多样化,例如利用缓冲区溢出、应用较大流量堵塞带宽、伪造的 DNS 服务器发送大量的查询请求等。网络技术应用的同时,移动互联网向全 IP 化发展,原来只在互联网上出现的安全问题现已逐渐转移到移动互联网上。
2.4 智能终端引起的安全问题
目前移动互联网在网络接入方面表现出鲜明的多样化特征,不仅
仅应用一种网络接入方式,用户可以按照需求采取多种接入方法,随时都可以进行移动互联网访问。针对手机用户而言,上网的粘性和上网时长不断增加,因此手机网络也表现出常态化特征,用户在使用手机的过程中实现了碎片化沟通,信息类应用逐渐向娱乐和商务方向发展。与传统网络用户不同的是,移动互联网应用多种形式的终端设备,传统用户终端一般包括通信网的所中附属设备,而移动互联网全部应用智能终端。在移动互联网能不断完善和成熟的过程中,移动智能终端也逐渐表现出多样化的特点,智能终端也因此成为安全问题频发的部分,安全风险不断加大,移动智能终端在推动移动数据业务进步的同时,很多用户都将面临着信息安全问题。另外,移动智能终端表现出多样化和开放化特点的同时,信息交换的安全风险加大,在移动互联网发展的过程中,移动企业一直处于市场发展的主导地位,企业的发展重点依旧是移动智能终端的研究和探索,因此一定给你智能终端的安全性很容易被企业忽视,与移动智能终端相关的安全问题也会逐渐暴露[2]。例如,收集 APP 会恶意设置吸费部分或者不健康内容的连接,手机上网规模不断增大的同时,手机使用过程中的安全问题也将逐渐明显。移动互联网的开发软件层出不穷,收集第三方软件的研究人员也不断增多,在商业发展需求不断提高的同时,应用软件逐渐增多,但是目前在第三方软件的控制管理方面还存在缺陷,无法保障信息安全。例如有些手机软件恶意读取用户位置信息和短信内容,给用户信息安全带来了较大的威胁[3]。
移动互联网信息安全策略
3.1 完善信息安全法规建设
结合国内目前的情况来看,在互联网信息安全管理方面,立方层次较低,不同的层次见还存在一定的协调问题,目前已有的移动互联网法律还有待完善,将现有的法律应用于移动互联网建设中将会缺乏一定的科学性和权威性。目前,移动互联网接入过程中面临着较大的问题,移动互联网行业还没有施行手机实名制的法律,因此在移动互联网应用的过程中缺乏针对性的法律,无法对网民的行为构成有力的约束,也不能保护人们的信息安全。法律是移动互联网进行有效管控的保障。在完善法律法规的过程中,需要结合实际已发系诶套用户和移动互联网运营企业之间的关系,避免两者出现较大的业务矛盾。为了建立科学有效的移动互联网法律体系,必须结合国内的发展现状,勇于借鉴国外的方法,将信息安全和移动互联网安全 开,针对 额部分建立针对性的法律法规。结合国内移动互联网发展的实际情况,移
动互联网安全管理过程中的立法工作需要从以下三个方面着手:①完善手机实名制制度,加大隐私保护力度;②建立信息安全法,不断完善与当今移动互联网信息安全相关的法规;③不断加强对互联网管理和移动互联网管理的监督。
3.2 加快移动互联网信息安全机构建设
严格的立法是政府对移动互联进行监督管理的重要依据,结合国家移动互联网的发展形势,必须经信息安全管理和移动互联网安全管理分开。针对国内网络监督管理机构建设,需要通信网络的优势对移动互联网发展目标进行统一规划,为信息安全的管理和监督提供有利的依据[4]。针对国家级信息安全管理机构而言,必须在互联网信息安全管理的过程中切实负起责任,彻底改变信息安全制度制定过程中的问题。国家在建立统一的安全管理机构时,以法制建设为依托,设置专家咨询委员会,专家咨询委员会作为参谋机构的同时,对安全信息管理提供合理的建议。
3.3 完善移动终端管理方案
移动终端管理过程中,重点需要加大对安全技术的研究力度,将注意力集中到移动互联网手机安全技术方面。同时协调不同管理机构之间的关系,构建科学严谨的管理链条,完善安全管理部门的监督政策,公安部门加大查处力度,完善与司法环节相关的法规。用户应用手机的过程中,必须具有较高的安全意识,政府加强对用户的安全教育,同时对第三方软件商家进行有力的监督。企业单位不断加强内部保密机制,对涉密文件进行严格管理。
结束语
移动互联网不断发展的过程中,用户将重点放在智能产品的功能上,信息安全一直存在较大的安全隐患,为了保证移动互联网健康稳定发展,必须针对具体问题制定有效的对策。本文从移动互联网中暴
露的安全问题出发,提出了信息安全保障的策略,可以为移动互联网信息安全建设提供就借鉴。
参考文献
[1]罗军舟,吴文甲,杨明,等.移动互联网:终端、网络与服务[J].计算机学报,2011,34(11):202.[2]陈遥,夏亮亮,谭辉,等.移动互联网环境下终端与服务器安全交互的研究[J].南京信息工程大学学报,2015,7(5):142.[3]涂静,田增山,周非,等.移动互联网安全终端的设计与实现[J].电子技术应用,2013,39(10):162.[4]范红,杜大海,王冠,等.移动互联网安全测评关键技术研究[J].中兴通讯技术,2015,36(3):38.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第六篇:内网准入及终端管控在信息安全保护实践思考
【摘要】为防范政府部门、金融机构等单位敏感信息泄露、提高信息安全保护能力,本文从单位内网准入及终端管控技术入手,在分析研究两者技术原理的基础上,结合自身项目实践,给出了一种把住终端“准入”、“管住”两个关键环节的技术方案。实践证明,该方案有效提升了单位信息安全保护水平,达到了预期目标。
【关键词】内网准入;终端管控;信息安全保护
引言
对数据保密性要求高的政府部门、金融机构等单位,防止敏感信息泄露始终是一个严峻的课题。在信息安全保护实践中,各单位往往对数据集中的后台服务端投入精力较多,对来自终端的威胁重视不足。来自终端的威胁主要为两方面:一是内部网络接入层侵入。二是内部计算机终端安全管理失控。信息安全 调查经验表明,多数信息泄露安全 的突破口来自终端。因此,各单位在防范敏感信息泄露时,应对来自终端的威胁给予足够的重视,牢牢把住终端“准入”、“管住”两个关键环节。
原理分析
2.1 网络准入与终端安全之间的关系
内部网络准入,是指在人事管理层面识别用户身份后,通过技术手段给予合法用户、合法设备接入的过程。计算机终端安全,是指包含非法外联监控、移动存储管理等在内的一系列安全防范措施,是一个单位信息安全管理制度的技术化实现,构成了对合法接入终端的安全基线。达到终端安全基线是目的,网络准入是重要的前置保障手段。在实践中,只有把网络准入与终端管控结合起来,才能有效实现内网信息安全保护。
2.2 网络准入实现原理
当前国际主流的企业级实现技术主要有 802.1x 认证、安全网关认证等。实施 802.1x 认证方式的前提是交换机支持 802.1x 认证协议。交换机与认证服务器联动,根据认证服务器下发的认证结果,提供基
于端口的准入控制。这种认证方式的优势是若在接入层实施,终端互访控制力度很强。认证前,交换机接入端口关闭,终端完全隔离。认证后,接入端口开启,相同 VLAN 内的终端可以互访。缺点是实施、维护过程中网络部门的工作量很大,并且无法从原理上解决终端用户在交换机端口以下私接 HUB 的问题。实施安全网关认证方式需要在生产网络中添加硬件安全网关(防火墙)设备,旁路部署在核心交换机侧或汇聚交换机侧。然后通过在交换机上添加策略路由(Policybasedrouting),将需要认证的 IP 地址范围内终端流量上拉至安全网关进行身份认证。安全网关接收认证服务器下发的动态 ACL,对流量选择回注至交换机或丢弃,从而达到网络准入的效果。这种认证方式的优势是配置实施简单,对现有生产网络改动要求小,并且因为采取三层认证方式,对人员、部门迁移支持性好,同时还能够有效防止私接 HUB 的情况。缺点是由于控制点在核心侧或汇聚侧,安全网关对终端之间的互访行为控制力度较弱。
2.3 终端安全实现原理
为确保管控效果,企业级产品基本实现模式均为在计算机客户端
驻留代理程序,对信息保密要求较高的单位常见的需求包括以下几方面:安全状态检查。最基础的要求包括是否安装了要求版本的杀毒软件,病毒库定义是否保持更新等。此类功能主要通过安全代理软件读取系统注册表及扫描特定位置文件系统实现。移动存储管理。根据各单位信息安全管理要求等级不同,检查是否存在违规使用移动存储介质管理的情况。此类功能主要通过安全代理软件提升运行权限后向操作系统底层驱动注入代码实现。非法外联监控。对信息保密要求高的单位,接入内网的计算机终端通常都是禁止与互联网直接或间接连通的。检查非法外联的通常做法是安全代理软件定期检查与某个互联网地址的连通性,若有连通便会触发监控。
项目实践案例
笔者作为项目负责人,于近期完成了一次单位内网准入与终端管控项目建设工作。该项目实施环境为政府机构办公内网,实施目标网络运行着单位内部办公系统以及大量对外服务的业务系统,生产网络割接需要慎重。同时,在严格管控 USB 存储介质等外设使用的制度要求下,又因业务特点,需要使用品种型号各异的 Ukey 等特种设备。
因此该项目建设中必须遵循对现有生产网络及系统影响最小的原则。为达到上述目标,笔者在对网络准入及终端管控技术进行研究的基础上,对市场相关主流产品进行了长达半年的多方调研与测试选型。根据单位综合布线基础设施现状、业务系统特点等实际情况,最终确定了使用硬件安全网关实现准入,在客户端驻留代理程序与安全网关联动实现终端管控的技术路线。在项目实施中,笔者总结了以下几点经验:(1)终端安全管控软件部署应严格遵循“充分测试,稳步推进”的原则。由于终端安全软件本身原理决定的底层侵入性(提权运行、操作系统驱动及协议栈注入等),部署过程必须先选取运行重要业务系统、特种外设部门的计算机为试点,局部安装客户端,排查兼容性风险,积累部署经验。(2)网络准入实施应注意排查哑终端盲点,细粒度开展网络割接。因网络准入控制功能需要在终端安装代理程序与防火墙交互实现,对不能安装代理的哑终端(如网络打印机等非 PC 类设备),需在硬...
第二篇:信息安全论文
信息安全
安全1101郑肖潇
信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。它的重要性不言而喻。随着电脑的普及,我们周围无时无刻不充斥着网络,电脑。随着电脑成为我们生活中不可或缺的一部分,信息安全的重要性愈加凸显。小到个人,达到国家,我们都需要加强,发展信息安全技术。
试想一下如果我们上网购物的时候,需要担心自己的网银的密码会不会被人盗取,自己的钱会因此被人转走,你还会很放心的进行网购吗?如果你的电脑很容易被人侵入,各种资料被人盗取,你会放心的使用你的电脑吗?如果国家的信息安全技术不够发达,国外敌对势力就很容易窃取我国的政治、军事、经济、科学技术等方面的秘密信息。
信息安全的主要威胁有信息泄露,破坏信息的完整性,拒绝服务,非法使用,窃听,业务流分析,假冒,旁路控制,授权侵犯,抵赖,计算机病毒等等。
就病毒来说,分为系统病毒,蠕虫病毒,木马病毒,黑客病毒,脚本病毒,宏病毒,后门病毒,病毒种植程序病毒,破坏性程序病毒,玩笑病毒,捆绑机病毒。各种各样的病毒,五花八门,让人应接不暇。试想如果我们的电脑上不装任何的杀毒软件,不做任何防护,可以说我们的电脑只要一联网,就会马上感染病毒。而且就说算是我在电脑上装了两三个杀毒软件但是网上有的东西,我还是不敢去碰,生怕一个不消息,电脑就会中招。
还有就是与我们生活息息相关的电子商务安全。传统的交易是面对面的,比较容易保证建立交易双方的信任关系和交易过程的安全性。而电子商务活动中的交易行为是通过网络进行的,买卖双方互不见面,因而缺乏传统交易中的信任感和安全感。而其中的安全隐患有篡改,信息破坏,身份识别和信息泄密。电子商务的安全性需求包括信息的保密性,信息的完整性,信息的不可否认性,交易者十分的真实性,系统的可靠性,基于这些需求,通常采用的安全技术主要有密钥加密技术,信息摘要技术,数字签名,数字证书以及CA认证。
我们的信息安全任然有待提高,如今比较流行且能够代表未来发展方向的安全产品大致有防火墙,网络安全隔离,虚拟专用网等等。
正所谓:道高一尺,魔高一丈。虽然今天我们的信息安全技术在迅猛发展,但是任然有很多安全问题还未解决,我们任然任重道远。
第三篇:信息安全论文
浅谈网上银行的发展及其安全问题
课程名称:信息安全
班级:********
学号:********
学生姓名:涛仔
指导教师:****
哈尔滨工程大学
**年
10月15日
浅谈网上银行的发展及安全问题
随着以信息技术为核心的现代计算机网络技术在传统银行业的应用和推广,银行业进入了一个新的发展时期,即网上银行发展时期。与传统银行相比,网上银行具有交易成本低、资金周转方便、不受时间和地域约束、覆盖面广等一系列的特点。这些特点不仅赋予了网上银行具有传统银行无法比拟的优势,改变了银行的经营理念,而且也使网上银行具有了新的风险内涵,网上银行的安全性问题日益突出。认真分析、准确把握影响网上银行安全运行的各种因素,采取有效措施,不断强化和提高网上银行运作的安全性能,增强其安全保障,是推动我国网上银行健康发展的当务之急。下面笔者从几个方面谈一下自己的看法。
一.什么叫网上银行
网上银行是借助于互联网数字通信技术,向客户提供金融信息发布和金融交易服务的电子银行,它是传统银行业务在互联网上的延伸,是一种电子虚拟世界的银行;它没有传统精致的银行装修门面,没有办理银行业务的柜台,也没有与客户面对面进行交流的穿着银行正装的柜员。
网上银行业务和运营模式与传统银行运营模式有很大区别。它是通过网络在线为客户提供办理结算、信贷服务的商业银行;它的服务对象和业务银行业务;
第四篇:信息安全论文
信息安全论文
统来说,这种需求显得尤为迫切。针对这种需求,目前发展起来的技术有防病毒技术和防火墙技术等等。有些文献将这些保护数据、阻挡非法数据访问的技术统称为计算机安全技术或系统安全技术。
信息安全技术的另外一个重要变化是由网络和通信设施的产生和变化应用引起的。这些通信设施用于在用户的各种终端及计算机之间传输数据信息,这种传输过程很容易受到非法窃听等攻击,这就需要对网络中传输的数据采取安全的保护措施。针对这种需求发展起来的技术有VPN、SSL等。有些文献将这种类型的技术统称为网络安全技术。
事实上,因为现在的绝大部分数据终端设备(包括计算机)基本上都是跟网络中其他设备相联的,所以无论是计算机安全、系统安全、还是网络安全,都不是完全独立的。
本文主要是使用基于密码学原理来进行数据保护的技术,尤其强调密码学在网络中保护传输中的数据的应用。
正如Bruce Schneier所说,安全问题就如一条链子一样,必须保证每一个环节的安全才能达到使整个链子具有安全性。所以,在解决任何一个实际的或抽象的系统安全问题之前,都应该首先分析其可能存在的安全缺陷,进而采取相应的安全措施。
第二章:网络隐私权
2.1网络隐私权侵权现象
1.个人的侵权行为。个人未经授权在网络上宣扬、公开、传播或转让他人、自己和他人之间的隐私;个人未经授权而进入他人计算机系统收集、获得信息或骚扰他人;未经授权截取、复制他人正在传递的电子信息;未经授权打开他人的电子邮箱或进入私人网上信息领域收集、窃取他人信息资料。
2.商业组织的侵权行为。专门从事网上调查业务的商业组织进行窥探业务,非法获取他人信息,利用他人隐私。大量网站为广告商滥发垃圾邮件。利用收集用户个人信息资料,建立用户信息资料库,并将用户的个人信息资料转让、出卖给其他公司以谋利,或是用于其他商业目的。根据纽约时报报道,BOO.com、Toysmart和CraftShop.com等网站,都曾将客户姓名、住址、电子邮件甚至信用卡号码等统计分析结果标价出售,以换取更多的资金。
3.部分软硬件设备供应商的蓄意侵权行为。某些软件和硬件生产商在自己销售的产品中做下手脚,专门从事收集消费者的个人信息的行为。例如,某公司就曾经在其生产的某代处理器内设置“安全序号”,每个使用该处理器的计算机能在网络中被识别,生产厂商可以轻易地收到用户接、发的信息,并跟踪计算机用户活动,大量复制、存储用户信息。
4.网络提供商的侵权行为
(1)互联网服务提供商(ISP Internet Service Provider)的侵权行为:①ISP具有主观故意(直接故意或间接故意),直接侵害用户的隐私权。例:ISP把其客户的邮件转移或关闭,造成客户邮件丢失、个人隐私、商业秘密泄露。②ISP对他人在网站上发表侵权信息应承担责任。
(2)互联网内容提供商(ICP Internet Content Provider)的侵权行为。ICP是通过建立网站向广大用户提供信息,如果ICP发现明显的公开宣扬他人隐私的言论,采取放纵的态度任其扩散,ICP构成侵害用户隐私权,应当承担过错责任。
5.网络所有者或管理者的监视及窃听。对于局域网内的电脑使用者,某些网络的所有者或管理者会通过网络中心监视使用者的活动,窃听个人信息,尤其是监控使用人的电子邮件,这种行为严重地侵犯了用户的隐私权。
2.2.网络隐私权问题产生的原因
网络隐私权遭受侵犯主要是由于互联网固有的结构特性和电子商务发展导致的利益驱动这两个方面的原因。
1.互联网的开放性。从网络本身来看,网络是一个自由、开放的世界,它使全球连成一个整体,它一方面使得搜集个人隐私极为方便,另一方面也为非法散布隐私提供了一个大平台。由于互联网成员的多样和位置的分散,其安全性并不好。互联网上的信息传送是通过路由器来传送的,而用户是不可能知道是通过哪些路由进行的,这样,有些人或组织就可以通过对某个关键节点的扫描跟踪来窃取用户信息。也就是说从技术层面上截取用户信息的可能性是显然存在的。
2.网络小甜饼cookie。某些Web站点会在用户的硬盘上用文本文件存储一些信息,这些文件被称为Cookie,包含的信息与用户和用户的爱好有关。现在的许多网站在每个访客进入网站时将cookie放入访客电脑,不仅能知道用户在网站上买了些什么,还能掌握该用户在网站上看过哪些内容,总共逗留了多长时间等,以便了解网站的流量和页面浏览数量。另外,网络广告商也经常用cookie来统计广告条幅的点击率和点击量,从而分析访客的上网习惯,并由此调整广告策略。一些广告公司还进一步将所收集到的这类信息与用户在其他许多网站的浏览活动联系起来。这显然侵犯了他人的隐私。
3.网络服务提供商(ISP)在网络隐私权保护中的责任。ISP对电子商务中隐私权保护的责任,包括:在用户申请或开始使用服务时告知使用因特网可能带来的对个人权利的危害;告知用户可以合法使用的降低风险的技术方法;采取适当的步骤和技术保护个人的权利,特别是保证数据的统一性和秘密性,以及网络和基于网络提供的服务的物理和逻辑上的安全;告知用户匿名访问因特网及参加一些活动的权利;不为促销目的而使用数据,除非得到用户的许可;对适当使用数据负有责任,必须向用户明确个人权利保护措施;在用户开始使用服务或访问ISP站点时告知其所采集、处理、存储的信息内容、方式、目的和使用期限;在网上公布数据应谨慎。
目前,网上的许多服务都是免费的,如免费电子邮箱、免费下载软件、免费登录为用户或会员以接收一些信息以及一些免费的咨询服务等,然而人们发现在接受这些免费服务时,必经的一道程序就是登录个人的一些资料,如姓名、地址、工作、兴趣爱好等,服务提供商会声称这是为了方便管理,但是,也存在着服务商将这些信息挪作他用甚至出卖的可能。
第三章:安全技术对网络隐私权保护
1.1.电子商务中的信息安全技术
电子商务的信息安全在很大程度上依赖于安全技术的完善,这些技术包括:密码技术、鉴别技术、访问控制技术、信息流控制技术、数据保护技术、软件保护技术、病毒检测及清除技术、内容分类识别和过滤技术、系统安全监测报警技术等。
(1)防火墙技术。防火墙(Firewall)是近年来发展的最重要的安全技术,它的主要功能是加强网络之间的访问控制,防止外部网络用户以非法手段通过外部网络进入内部网络(被保护网络)。
(2)加密技术。数据加密被认为是最可靠的安全保障形式,它可以从根本上满足信息完整性的要求,是一种主动安全防范策略。数据加密原理是利用一定的加密算法,将明文转换成为无意义的密文,阻止非法用户理解原始数据,从而确保数据的保密性。
(3)数字签名技术。数字签名(Digital??Signature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
(4)数字时间戳技术。在电子商务交易的文件中,时间是十分重要的信息,是证明文件有效性的主要内容。在签名时加上一个时间标记,即有数字时间戳(Digita Time-stamp)的数字签名方案:验证签名的人或以确认签名是来自该小组,却不知道是小组中的哪一个人签署的。指定批准人签名的真实性,其他任何人除了得到该指定人或签名者本人的帮助,否则不能验证签名。
第四章:电子商务中的隐私安全对策
1.加强网络隐私安全管理。我国网络隐私安全管理除现有的部门分工外,要建立一个具有高度权威的信息安全领导机构,才能有效地统一、协调各部门的职能,研究未来趋势,制定宏观政策,实施重大决定。
2.加快网络隐私安全专业人才的培养。在人才培养中,要注重加强与国外的经验技术交流,及时掌握国际上最先进的安全防范手段和技术措施,确保在较高层次上处于主动。
3.开展网络隐私安全立法和执法。加快立法进程,健全法律体系。结合我国实际,吸取和借鉴国外网络信息安全立法的先进经验,对现行法律体系进行修改与补充,使法律体系更加科学和完善。
4.抓紧网络隐私安全基础设施建设。国民经济要害部门的基础设施要通过建设一系列的信息安全基础设施来实现。为此,需要建立中国的公开密钥基础设施、信息安全产品检测评估基础设施、应急响应处理基础设施等。
5.建立网络风险防范机制。在网络建设与经营中,因为安全技术滞后、道德规范苍白、法律疲软等原因,往往会使电子商务陷于困境,这就必须建立网络风险防范
第五篇:信息安全论文
内蒙古科技大学 本科生课程论文
题 目:大数据环境下的信息安全保证
策略
学生姓名:
学 号:
专 业:信息管理与信息系统 班 级: 任课教师:
目 录
Abstract..............................................................................................................................引
言..............................................................................................................................1大数据研究概述...............................................................................................................1.1 大数据的概念.......................................................................................................1.2 大数据来源与特征...............................................................................................1.2.1 大数据来源...............................................................................................1.2.2 大数据特征...............................................................................................1.3 大数据分析目标...................................................................................................1.3.1 1.3.1知识方面.........................................................................................1.3.2 个体规律方面.............................................................................................1.3.3 辨别真实方面.............................................................................................2大数据环境下的信息安全..............................................................................................2.1大数据面临的安全挑战.......................................................................................2.1.1网络化社会使大数据易成为攻击目标..................................................2.1.2非结构化数据对大数据存储提出新要求..............................................2.1.3技术发展增加了安全风险..............................................................................2.2大数据环境下信息安全的特征..........................................................................2.2.1信息安全的隐蔽关联性.............................................................................2.2.2信息安全的集群风险性.............................................................................2.2.3 信息安全的泛在模糊性............................................................................3大数据环境下的信息安全保证策略...........................................................................-103.2加快大数据安全技术研发................................................................................-103.4运用大数据技术应对高级可持续攻击.............................................................-11参考文献............................................................................................................................-13
引言
如今,IT世界正在迅速拥抱“大数据”,同时“大数据安全”问题不可避免的已经成了业界人所共知的名词,各种探讨信息安全的会议、论坛无不谈及大数据安全。大数据技术在带来机遇的同时,带来更多安全问题。作为新的信息富矿,大数据容易成为黑客重点攻击的对象,各种威胁数据安全的案例也层出不穷。
据统计,每年全球因安全问题导致的网络损失已经可以用万亿美元的数量级来计算,我国也有数百亿美元的经济损失,然而安全方面的投入却不超过几十亿美元。虽然国民整体的安全意识越来越高,但是人们普遍认为IT信息安全只是IT部门的事情,而且很多人都误认为平时没有出现信息危机就很安全。因此,大部分企业目前的安全投入也远远却没有满足现实的需求。
如何才能让企业信息安全更加稳固?国富安公司推出了全面的差异化安全解决方案以及定制化安全服务,帮助企业应对风险管理、安全合格的业务需求,实现在复杂IT运作状态下不受任何安全问题的侵扰。
写是对所做论文工作的总结和提高。1.2.2 大数据特征
大数据通常被认为是一种数据量大,数据形式多样化的非结构化数据。随着对大数据研究的进一步深入,大数据不仅指数据本身的规模,也包括数据采集工具,数据存储平台,数据分析系统和数据衍生价值等要素。其主要特点有一下几点:
(1)数据量大
大数据时代,各种传感器、移动设备、智能终端和网络社会等无时不刻都在产生数据,数量级别已经突破TB,发展至PB乃至ZB,统计数据量呈千倍级别上升。
(2)类型多样当前大数据不仅仅是数据量的井喷性增长,而且还包含着数据类型的多样化发展。以往数据大都以二维结构呈现,但随着互联网、多媒体等技术的快速发展和普及,视频、音频、图片、邮件。HTML/RFID/GPS和传感器等产生的非结构化数据,每年都以60%速度增长,预计,非结构化数据将占数据总量的80%以上
(3)运算高效
基于云计算的Hadoop大数据框架,利用集群的威力高速运算和存储,实现了一个分布式运行系统,而且,数据挖掘、语义引擎、可视化分析等技术的发展,可从海量的数据中深度解析,提取信息,掌握数据增值的“加速器”。
(4)产生价值
价值是大数据的终极目的。大数据本身是一个“金矿山”,可以从大数据的融洽中获得一向不到的有价值的信息,特别是激烈竞争的商业领域,数据正成为企业的新型资产。同时,大数据价值也存在密度低的特性,需要对海量的数据进行挖掘分析才能得到真正有用的信息,形成用户价值。
1.3 大数据分析目标
目前大数据分析应用于科学、医药、商业等各个领域,差异巨大。在“大数据”时代之前,民众可以以保密的方式来保护隐私,但今天人们在不知不觉间就透露了隐私。而这就要求那些保存和管理信息的企业承担更大的责任,这应该成为一种新的隐私保护模式:政府不应假定消费者在使用企业的通讯工具等产品的时候主动透露了自己的隐私,就意味着他们授权企业使用这些隐私。
2.1.1网络化社会使大数据易成为攻击目标
网络化社会的形成,为大数据在各个行业领域实现资源共享和数据胡同搭建平台和通道。基于云计算的网络化社会为大数据提供了一个开放的环境,分布在不同区的资源可以快速整合,动态配置,实现数据集合的共建共享。而且,网络访问便捷化和数据流的形成为实现资源的快速弹性推动和个性化服务提供基础。正因为平台的暴漏,使得蕴含着海量数据和潜在价值的大数据更容易吸引黑客的攻击。一旦遭受攻击,失窃的数据量也是巨大的。2.1.2非结构化数据对大数据存储提出新要求
在大数据之前,我们通常将数据存储分为关系型数据库和文件服务器两种。而当前大数据汹涌而来,数据类型的千姿百态也使我们措手不及。对于将占数据总量80%以上的非结构化数据,虽然NoSQL数据存储具有可扩展性和可用性等特点,利于趋势分析,为大数据存储提供了初步解决方案。
2.1.3技术发展增加了安全风险
随着计算机网络技术和人工智能的发展,服务器,防火墙,无线路由等网络设备和数据挖掘应用技术等技术越来月广泛,为大数据自动收集效率以及智能动态分析性提供方便。但是,技术发展也增加了大数据的安全风险。一方面,大数据本身的安全防护存在漏洞。虽然云计算对大数据提供了便利,但对大数据的安全控制力度仍然不够。另一方面,攻击的技术提高了,在用数据挖掘和数据分析等大数据技术获得价值信息的同时,攻击者也在利用这些大数据进行攻击。
2.2大数据环境下信息安全的特征
2.2.1信息安全的隐蔽关联性
互联互通是当代互联网发展的新特点。在大数据和云环境下,无论你是否愿意或知情,各类信息一旦进入互联的覆盖范围,通过大数据的信息分析和数据挖掘,国家和地区、机构和企业、个人和家庭的各类信息都将可能成为被计算和监控的对象,这种计算和监控,既可以用于正当的需求,也可能用于不正当的目的。这种信息安全的隐蔽关联
核心数据、政府的公开资讯与保密信息、信息的自由流动与谣言的违法传播交织在一起,使网络安全呈现出泛在模糊性的特征。
3大数据环境下的信息安全保证策略
作为“未来的新石油”,大数据正成为继云计算、物联网之后信息技术领域的又一热点。然而,现有的信息安全手段已不能满足大数据时代的信息安全要求。大数据在给信息安全带来挑战的同时,也为信息安全发展提供了新机遇。笔者认为,大数据已成为网络攻击的显著目标,加大了隐私泄露风险,威胁到现有的存储和安防措施,成为高级可持续攻击的载体。一方面,大数据技术成为黑客的攻击利用的手段,另一方面又为信息安全提供新支撑。
3.1 大数据及安全信息体系建设
大数据作为一个较新的概念,目前尚未直接以专有名词被我国政府提出来给予政策支持。在物联网“十二五”规划中,信息处理技术作为4 项关键技术创新工程之一被提出来,其中包括了海量数据存储、数据挖掘、图像视频智能分析,这都是大数据的重要组成部分。在对大数据发展进行规划时,建议加大对大数据信息安全形势的宣传力度,明确大数据的重点保障对象,加强对敏感和要害数据的监管,加快面向大数据的信息安全技术的研究,培养大数据安全的专业人才,建立并完善大数据信息安全体系。
3.2加快大数据安全技术研发
云计算、物联网、移动互联网等新技术的快速发展,为大数据的收集、处理和应用提出了新的安全挑战。建议加大对大数据安全保障关键技术研发的资金投入,提高我国大数据安全技术产品水平,推动基于大数据的安全技术研发,研究基于大数据的网络攻击追踪方法,抢占发展基于大数据的安全技术先机。
3.3加强对重点领域敏感数据的监管
海量数据的汇集加大了敏感数据暴露的可能性,对大数据的无序使用也增加了要害信息泄露的危险。在政府层面,建议明确重点领域数据库范围,制定完善的重点领域数据库管理和安全操作制度,加强日常监管。在企业层面,建议加强企业内部管理,制定设备特别是移动设备安全使用规程,规范大数据的使用方法和流程。
0
结论
本章介绍了大数据的有关概念、信息安全、大数据环境下的信息安全等内容,大数据正在为安全领域从业者提供一个更高、更广的新视角,帮助其更有前瞻性地发现安全威胁。同时,大数据技术为信息安全防护提供了一个良好的弹性架构,信息安全服务商可以用它来更加全面地判断用户行为、进行数据异常流量的监控,将用户数据的安全稳定性提高到传统防护方式所无法企及的广度和深度。大数据正在为安全领域从业者提供一个更高、更广的新视角,帮助其更有前瞻性地发现安全威胁。同时,大数据技术为信息安全防护提供了一个良好的弹性架构,信息安全服务商可以用它来更加全面地判断用户行为、进行数据异常流量的监控,将用户数据的安全稳定性提高到传统防护方式所无法企及的广度和深度。数据在未来社会中将会起到革命性的作用,大数据更将是下一个社会发展阶段的“石油”和“金矿”。对于企业来说,更好地抓住数据、理解数据、分析数据,有助于在激烈的市场竞争中脱颖而出。通过对于数据的分析,同样可以了解企业网络中的安全状态,甚至可以帮助企业及时发现潜在的安全威胁。立足于帮助企业获得快速、简单、可负担的高水平安全保障,从大数据中获得可行性安全情报,更好地进行威胁监测和防御,惠普通过独特的情景感知能力,让企业能够自动将情绪分析和事件信息应用于大数据和安全事件平台,以便实时了解其内部及外部的威胁状况。将综合、实时关联与内容分析相结合,通过对与数据相关的人力情绪(如行为模式等)进行跟踪和分析,企业能够更迅速地识别之前被忽视的威胁。
致谢
本篇文章的顺利完成,离不开王老师的教导,在这里我要特别感谢王老师,王老师用通俗易懂的讲课风格,使我在课堂上学会了许多,虽然这是门专业选修课。在最后王老师提前向我们传授了很多知识,使我受益匪浅。
在课下同学们有不懂的问题,会相互交流、沟通,把我的很多问题都给解决了,因此,在这,我要谢谢他们。
由于我的知识有限,在这篇论文里会有没写到、不准确的地方,真诚接受老师的指导。
点击咨询 