对信息安全的认识大全11篇
时间:2023-12-18 09:54:17
对信息安全的认识篇(1)
机关档案安全问题一直是档案管理工作中的重点内容,档案管理工作时刻强调对档案安全的有效管理。档案安全通常包含两个方面,一方面是档案实体的安全问题,一方面是档案信息的安全问题,这两方面都关系到档案管理工作的质量。加强对档案安全的管理必须从思想上认识到档案安全的重要性,采取有效措施和先进技术对档案的实体安全和档案信息安全进行有效的保护。
一、档案安全问题的重要性
档案记录着人类活动的历史,是非常珍贵的物质遗产,对人们的生活也具有十分重要的影响。档案可以传承人类社会的文明,也可以为社会活动提供必要的信息服务,为子孙后代造福,可以说档案工作是关系到人类生存和发展的大事。机关档案安全问题一直是人们共同关注的话题,档案安全没有得到很好的保护,出现了问题,将会给机关带来无法估量的损失。加强档案安全体系的建设,保护档案实体与档案信息的安全也是党中央的一项重要指示,所以机关档案管理人员一定要履行好自己的职责,做好档案安全保护工作,预防和避免自然灾害以及人为损坏对档案实体与档案信息造成的损失。
二、影响机关档案实体安全与档案信息安全的因素
(一)影响机关档案实体安全的因素
档案实体是档案记录的重要纸质资源,影响档案实体安全的因素包含多个方面,首先是档案库房的影响,档案库房是档案进行保管的重要场所,对档案实体安全具有重大的影响。机关单位的档案库房只是对档案进行暂时的保管,一般保管期限在十年到二十年之间,之后就会转移到档案馆进行永久的保管,但即使这样,机关单位的库房也对档案实体具有重要影响。机关没有专门单独的档案库房,只是将办公大楼之中的几个房间作为档案库房之用,这样一来档案库房的承重就成为影响档案实体安全的重要因素。其次是档案装具对档案实体的影响,档案装具包括档案柜、档案盒和档案袋,对档案实体具有有效的保护作用。之前的档案柜通常是木质的,密封性和防水、防火的功能上存在缺陷,目前机关的档案柜基本上都使用铁皮柜,对档案实体的保护更加有效。最后是火灾、水灾等灾害的影响,一旦发生火灾或者是水灾,将对档案实体造成无法挽回的损失,所以必须加强对档案管理中的火灾、水灾预防工作。同时也要注意档案库房的防潮防水工作,避免潮湿对档案实体中的字迹、图片等造成的不良影响。
(二)影响档案信息安全的因素
机关档案信息大多都是重要的机密,与国家安全息息相关,必须加强对信息安全的保护,影响机关档案信息安全的因素也是由几个主要方面组成,首先是在档案信息数字化过程中,系统安全对档案信息安全的影响,电子信息的管理系统没有严格的安全保密设置,身份识别功能不够严密,经常会造成档案信息存储的丢失和泄密情况的出现。其次是在档案信息的利用过程中经常出现安全问题,机关档案在利用时没有统一的平台,档案信息的具有随意性、分散性特点,档案信息安全无法得到保证。档案信息利用时使用的计算机互联网络也存在安全隐患,由于防护方面的问题,有被不法分子入侵的危险,使档案信息泄漏。最后各种灾害也会对档案信息安全造成不利的影响,火灾的发生将会使纸质档案或者是光盘等造成无法恢复的损害。水灾也对对纸质档案的文字和图片造成影响,毁坏磁带、光盘等不同设备存储的档案的质量。
三、加强对机关档案实体安全与档案信息安全技术保护的措施
(一)加强对档案库房的建设
机关档案库房是档案存放和保管的重要场地,必须加强对档案库房的建设,即使客观条件不允许机关建设专门单独的档案库房,也要在现有基础上对机关档案库房进行改进。根据档案馆建设要求对机关档案库房的承重进行精密的计算,确保档案库房的承重能力达到档案存放的要求。档案库房的门窗要进行改造,门必须是密闭、保温、防火、防盗的门,耐火性要极强,窗户需要密闭性好的塑钢窗,并且窗外要安装铁栅栏,同时要注意遮阳、防潮、保温等。
(二)对档案装具进行及时更新
档案柜最好采用可移动的铁皮柜,密封性好,移动方便,避免发生灾难时来不及对档案进行转移。档案盒必须采取符合国家标准的档案盒或档案袋,尺寸和材料都要按照规定要求,档案盒要具有很好的密闭性,牛皮纸要经过去酸处理,并且具有长时间的阻燃作用。
(三)做好防火、防水、防潮工作
对档案库房进行定期和不定期的防火安全检查,预防火灾的发生对档案安全造成的损失,库房中要安装自动预警系统,当库房中的烟、光、温等超过正常标准时及时报警,避免火灾的发生。档案存放要与地面保持一定的距离,排水管道和采暖管道的漏水情况要进行及时的检查。适当调节库房内的温度和湿度,避免档案在存放过程中受潮。
(四)提高档案管理系统和计算机网络的安全性
对机关档案进行管理时,要对纸质档案和电子档案进行结合存储,并且做好备份工作,加强档案管理系统的安全性,在身份识别和认证方面进行及时的改进。在对档案信息进行利用时,要提高计算机网络的安全性,安装防火墙,避免黑客和不法分子的入侵,防止档案信息的泄漏。
机关档案实体安全与档案信息安全是机关档案管理工作中的重点,必须充分认识到其重要性。针对造成档案安全威胁的因素进行有效管理,强化档案安全技术保护措施,提高机关档案管理工作的质量。
参考文献
对信息安全的认识篇(2)
RFID系统作为物联网感知层数据信息采集的关键部件,为顶层的智能应用提供了巨大便利,系统中的标签及其敏感信息的安全性更是成为RFID系统安全性的研究重点。在RFID系统中读写器和标签之间采用无线通信方式传输数据,大量针对互联网和无线传感网的攻击手段都能对二者之间的数据传输构成威胁,使得标签内部数据安全和用户隐私受到严重威胁。故而设计鲁棒性好且效能高的安全防护机制是当前亟待解决的关键问题。
在RFID系统安全机制中,由于标签低廉的造价和系统运行成本的影响,目前大多数标签计算能力弱、存储空间小,导致传统成熟的加密算法和安全机制在被动标签上的实现十分困难。因此,安全有效的轻量级或超轻量级安全认证机制对于防护数据传输链路的安全性和隐私性具有重要意义。
1 UMAP协议族
UMAP协议族是最早提出的一类超轻量级RFID认证协议,其中包括M2AP(Minimalist Mutual Authentication Protocol)协议、EMAP(Efficient Mutual Authentication Protocol)协议、LMAP(Lightweight Mutual AuthenticationProtocol)协议。UMAP协议族使用了动态假名机制来保证匿名性等安全需求。同时,在互认证过程中,子密钥在标签和读写器两端共享,公开传输的数据中会使用到这些密钥信息,使用的位运算和模运算。
UMAP协议族都包括三个阶段:标签认证阶段,互认证阶段,更新阶段。在标签认证阶段,读写器发送请求信息,标签回应其假名信息;在互认证阶段,实现对标签和读写器的互认证,同时将标签的唯一标识信息安全地进行传输;在更新阶段,对假名和密钥信息进行更 新。
在RFID认证协议中UMAP协议族中使用的随机数据进行位与和位或运算方法对结果容易产生不均衡性;同时,在UMAP协议族中双方认证完成后,各自进行的更新操作存在安全隐患,攻击者经过篡改或者截获认证过程最后一次传输的数据后,会造成读写器和标签只有一端更新的情况,从而造成非同步攻击。
2 轻量级RFID系统安全模型
对UMAP协议出现的问题,从通信层引入信息位量,在认证框架设计上进行改进,将信息位量值作为安全协议运算的值降低轻量加密的不均衡型,同时在安全认证中也可有效避免非同步攻击。
轻量级安全模型在安全认证协议中利用标签信息产生密钥,使标签在认证阶段的信息能够得到,同时在认证阶段实行双向的认证模式,避免非同步化攻击的问题。
安全模型的体系涉及通信层和应用层两个层次,认证过程分为四个阶段构成:初始化阶段、标签识别阶段、双向认证阶段、更新阶段。安全模型的基本架构,在通信层对标签节点设计特别的信息位,并将这个位信息作为引用层安全认证的信息。在应用层则使用双向的认证机制完成认证。
在安全模型架构下,将通信层和应用层的认证结合起来,通过将位信息参与到认证过程中,将在防碰撞处理过程中的信息进行有效地获取,结合到标签,同时也传递给读写器。在识别认证过程中,对有信息传递的量进一步组合成为新的校验数据序列。在每一个标签中,位信息是独立的。在上行通信中,标签这个信息可以传递给读写器,便于标签的数据的识别,在认证过程中,信息同时作为认证信号。
3 安全模型的认证
R和T分别代表一对待认证的阅读器和标签。认证过程中分为四个阶段,分别是初始化阶段、标签识别阶段、双向认证阶段、更新阶段,通过四个阶段双向认证的方式确定安全型进而实现信息的认可和更新。
安全模型认证的四个阶段分别完成的操作如下:
(1)初始化阶段:由读写器R向标签T发出信号;
(2)标签识别阶段:标签T给出应答新号IDS;
(3)双向认证阶段:读写器接受信号IDS后准备开始双向认证环节;
(4)更新阶段:通过认证读写器与标签如果通过安全测试则开始更新,否则此次认证失败。
在认证过程中,由读写器向标签发出信息,标签使用IDS进行响应。在双向认证阶段,读写器给出认证的信息A,便签使用之前约定的计算方法对信息进行验算,同时抽取信息B,便签将信息B发送给读写器后,读写器通过计算得到信息C,最后由信息C在便签端完成最后一次识别,若读写器和标签的信息都确认则进行到更新阶段,否则认定没有通过安全检测。
根据安全模型的认证过程,标签和读写器共同存放了消息验证的计算方法,首次应答的信息可以使用通信层中标签存放的位信息量,在经过双向三次信息的确认后,结合首次应答的IDS以及最后一次的验证信息共同判别更新阶段的执行。对于验证在安全模型中将两个层级有效地进行的相关信息的融合,在安全信息的认证中通过双向的认证,大大提高到了非同步的非同步问题。
参考文献
[1]黄玉兰.物联网射频识别(RFID)核心技术详解(第二版)[M].北京:人民邮电出版社,2012.
[2]程晨.EPCglobal协议安全性分析和验证系统搭建[D].北京:北京邮电大学,2014.
[3]周艳聪,董永峰,张晶,顾军华.基于哈希分组的动态帧时隙ALOHA防碰撞算法[J].计算机工程与设计,2016,VOL37(02).
[4]肖锋,周亚建,周景贤等.标准模型下可证明安全的RFID双向认证协议[J].通信学报,2013,4(34).
[5]张学军,王娟,王锁萍.基于标签识别码分组的连续识别防碰撞算法研究[J].电子与信息学报,2011,33(05).
作者简介
对信息安全的认识篇(3)
21世纪是一个全方位大数据的时代,从纸张过渡到电子病历系统的医疗记录数据呈指数级增长[1,2],但在体验信息化带来的前所未有便捷的同时,巨大信息安全隐患也逐渐浮出水面,正逐渐引起大众的高度重视和警觉[3~5]。2014年医疗/保健行业在所有报告的数据泄露事件中所占比例超过42%,远高于其他行业(如银行/金融、商业、教育等)[6~8]。上海市执行了药品阳光采购平台,在此基础上建立了药品物流管理系统,该系统利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理。尽管目前实施了药品安全信息化监管,但是药品信息错综复杂、工作人员意识薄弱、药品信息管理人员复杂,一旦信息泄露,存在医保套用、患者信息泄露被不法分子利用、统方等隐患。药品信息的管理核心是人员的管理,监管的最终目标也是保障药品安全供应和合理使用。金山区自2016起开始阳光平台药品采购试点,在上海市率先执行了药品物流管理系统。本文结合工作实际,对金山区药品物流管理系统的信息管理人员和使用者的安全意识进行调查、评估和干预,为提高全市药品相关人员的信息安全水平,减少因信息泄露而导致的医疗安全事件的发生提供参考。
1对象与方法
1.1研究对象
金山区药品物流管理系统全部管理用户,包括药品阳光采购平台、药品物流管理系统、各医疗机构HIS系统药品信息管理人员、使用人员193人。
1.2研究内容与方法
1.2.1名词定义与指标计算方法药品物流管理系统:利用信息化技术手段和智能设施设备让药品在供应、分拣、配送等各个环节,实现公司、医院、科室、患者之间一体化、精细化管理的系统。信息安全素养:指人员在信息化条件下对信息安全的认识以及对信息安全表现的综合能力,包括信息安全动机、信息安全知识、信息安全能力、信息行为等内容[4]。指标计算方法:参考《中国居民健康素养调查》方案设计,正确回答题目的赋值1分,题目回答错误的赋值0分,计算每名调查对象最终的答题得分。根据专家咨询意见,所有问题全部回答正确视为具备总体信息安全素养,对信息安全知识问题、信息安全动机问题、信息安全角色认知问题、信息安全行为问题全部回答正确的分别视为该调查对象具备这四个方面的信息安全素养。1.2.2系统用户信息安全素养水平调查通过文献研究收集国内外关于信息安全的相关材料以及实践工作中的经验等内容,初步形成评估问卷和调查问卷,通过德尔菲法选择卫生信息化领域工作经验丰富的专家开展问卷设计咨询,所有专家均为卫生信息化领域或健康行为研究领域;本科及以上学历;工作经验丰富,从事相关工作5年以上,最终选择了上海市疾病预防控制中心信息所、金山区卫生信息中心等8名专家对问卷进行审核、修订,针对部分调查对象进行预调查后对存在的问题进行相应的修改,形成最终的评估和调查问卷,问卷由基本情况、信息安全知识、信息安全动机、信息安全角色认知、信息安全行为和系统用户信息等6部分条目构成。对金山区药品物流管理系统的所有用户开展面对面问卷调查。问卷调查在调查前向受访者进行调查说明,承诺调查信息保密,在受访者知情同意后开展调查,提高受访者的支持配合。问卷调查后及时整理和质控,确保信息完整。1.2.3信息安全干预措施实施后效果调查采用整群随机分组方法,以一个社区的系统用户为一个群组,将金山区11个社区的所有系统用户随机分为干预组和对照组,结合用户信息安全素养调查过程中发现的问题,对干预组进行进行信息安全干预,实施包括培训讲座、专项指导、发放信息安全宣传材料、微信宣传等一系列有针对性的干预措施;对照组则不给予任何干预措施。干预后对两组进行终末调查,对比两组在基线和终末调查时信息安全素养水平的变化情况。
1.3数据整理与分析
使用EpiData3.1软件建立数据库,用spss19.0软件进行统计分析。计数资料以构成比(%)表示,比较采用χ2检验;计量资料以x珋±s表示。P<0.05为差异有统计学意义。
2结果
2.1人口学特征
金山药品物流管理系统用户人数共计193人,发放问卷193份,收集到有效问卷共163份,问卷有效回收率84.46%。回收问卷的男女性别比为0.43∶1,平均年龄为(34.69±9.32)岁;用户角色中,58.9%是普通用户,41.1%是管理账户;52.15%的调查对象是各医疗机构药库工作人员,31.90%为各医疗机构信息科信息管理人员。调查对象的人口学特征分布见表1。
2.2问卷的信度效度分析
信度(reliability)目前最常用的是Alpha信度系数,一般情况下主要考虑量表的内在信度———项目之间是否具有较高的内在一致性。通过Alpha信度系数分析,本研究中,量表的信息安全知识、动机、角色认知、行为等四个维度的信度系数均>0.7,总体信度系数为0.732,问表明该问卷具有可接受的信度。问卷的效度分析主要采用因子分析了解结构效度,首先对问卷数据进行KMO样本测度和巴特莱特球体检验,以验证数据是否适合做因子分析,得到KMO值为0.713,巴特莱特球体检验P<0.01,适合作因子分析。按特征值>1的标准提取公共因子,共提取5个因子,并采用方差最大正交旋转进行因子旋转,所得因子间不相关,累计方差贡献率为60.023%。一般认为累计方差贡献率大于60%,问卷结构效度尚可。
2.3信息安全素养干预前后对比
干预组和对照组的基本情况见表2。两组性别、年龄、教育程度及账户角色构成等方面差异无统计学意义(P>0.05),具有可比性。基线调查时,干预组和对照组在总体素养、知识、动机、角色认知方面无明显差异(P>0.05)。终末调查时,在知识、角色认知、行为等三方面,干预组明显高于对照组(P<0.05),而在总体素养和动机方面两组没有显著差异(P>0.05)。干预后,干预组的总体素养、知识、动机、角色认知等水平素养均有显著提高(P<0.05或P<0.01),但信息安全行为水平无明显提升(P>0.05);对照组用户的各项安全素养水平与总体水平在基线和终末调查中均无明显变化(P>0.05)。见表3.
2.4较薄弱的药品信息安全问题集中点
通过对调查结果逐一分析,回答正确标记1分,回答错误标记为0分,将各题目分数累计综合除以总人数,得到回答合格率。结果显示,系统用户部分问题的合格率较低,对合格率较低的重点问题进行汇总和分析,见表4。以准确发现在金山区药品物流管理系统用户之间存在的信息安全方面的问题,便于在后期干预工作中有针对性的开展干预和信息安全素养提升措施。
3讨论
3.1金山区药品物流管理系统用户的信息安全水平亟待于进一步的提高
信息的泄露主要是在于医疗机构和信息服务机构人员使用、管理过程中出现的无意泄露,更多时候信息泄露于无意识的情况下[9,10],另外组织环境也对用户提供参考,并对用户的某些行为有一定的积极或消极的作用[11]。本次调查发现金山区药品物流管理系统用户对信息安全的重视程度不够,用户在信息保护、信息安全风险防范方面的能力远不能达到实际的工作要求,尤其是在信息安全行为方面存在较为严重风险行为,医务工作者需要提高保护个人隐私信息的能力和意识,否则将在不经意的情况下,侵犯或泄漏医疗信息资料。同时,应通过增强信息系统安全性、建立相应的管理制度、加强培训宣传、规范工作流程以及用户操作行为等措施,提高信息系统的安全性。
3.2信息安全干预措施有效提升了用户的信息安全素养水平
通过实施一系列的干预措施,干预组的信息安全总体素养、信息安全知识、信息安全动机、信息安全角色认知在干预前后的差异具有统计学意义,均有了显著的提高,但信息安全行为干预前后没有显著的变化,知识、动机、认知的提高没有明显的转化为具体行为的改善,后期应注重在提高知识、动机、认知的同时注重行为的强化和培养。对照组用户的信息安全素养总体水平以及信息安全知识、信息安全动机、信息安全角色认知、信息安全行为等几方面水平在基线和终末调查中均没有明显的变化,可见对系统用户通过多途径的实施具有针对性的信息安全干预措施能有效提高用户的信息安全素养水平。
3.3组织管理制度的完善和系统安全设置要求的提升
干预结束后,通过梳理制定金山药品物流管理系统安全管理制度,对管理网络、组织分工、账户管理、数据流通等方面作了详尽的规定。根据管理制度的规定[12],通过系统运维人员在密码策略、用户权限、账户清理等方面从系统方面进行了设置和强制性要求。在信息安全素养干预手段没有有效发挥作用的部分,通过制度约束和技术手段强制,弥补了信息安全教育、培训等手段的不足,实现金山区药品物流管理系统安全性的全面提升。
对信息安全的认识篇(4)
我们都知道一个政治经济学定律:生产力决定生产关系。根据这个定律,可以把人类文明分为三种:农业社会文明,工业社会文明,信息社会文明。农业文明使用的工具是镰刀、锄头,代表者是农民;工业文明使用的主要工具是锤子、机器(马克思说过,农业社会是水推磨,工业社会是机器磨),代表者是工人;信息社会文明使用的主要生产工具是计算机,代表者是知识分子。从世界范围来看,农业文明中国领先,工业文明中国落后,信息文明则全球在行动,这是大趋势。信息社会的根本是重视教育、重视人才。
信息社会文明从技术上讲有三个技术很重要:以CPU为核心的技术、操作系统技术、信息安全技术。三大技术中前两大技术国外暂时领先,我们不能掉以轻心,仍有追击之力。对于第三项信息安全技术,我们是大有希望占有较大技术份额,甚至有可能领先。试想:在整个信息化文明到来时,作为一个占全世界人口四分之一的民族,核心技术又一举占先,数字化经济、信息化社会将垂涎于整个国家和民族。那么国家的综合势力必定大上一个台阶。
1 信息安全概述
随着现代通信技术的发展和迅速普及,特别是计算机互联网连接到千家万户,信息安全问题日益突出,而且情况也变得越来越复杂。信息安全本身包括的范围很大,大到国家军事政治等机密安全,小范围的当然还包括如防范商业企业机密泄露,防范青少年对不良信息的浏览以及个人信息的泄露等。
在通信过程中,存在着人为因素和非人为因素造成的对通信安全的威胁。其中,以人为攻击所造成的威胁最大。“攻击”分被动攻击和主动攻击两类。被动攻击是不改变系统信息内容以及系统状态的一种攻击。例如,以合法或非法手段窃取系统中的信息,或者通过对系统长期监视和对有关参数的统计分析,从中掌握某些规律,或获取有价值的信息情报等,都属于这种类型。被动型攻击主要威胁信息的保密性。主动攻击意在窜改系统中所包含的信息内容,或改变系统的状态或操作。常见的攻击手段有冒充、篡改、抵赖等。冒充是指非法用户冒充合法用户,特权小的用户冒充特权大的用户等;篡改是指采取删除、偷换、添加信息内容的办法,以假乱真;抵赖是指通过否认自己曾过的消息或伪造、修改来信等手段来实现的欺骗。主动攻击主要是威胁信息的完整性、可用性和真实性。
2 信息安全技术
针对上述攻击,目前常用的保障通信安全的技术即信息安全技术主要有:
2.1 信息保密技术
信息保密技术是利用数学或物理手段,对电子信息在传输过程中和存储体内进行保护,以防止泄漏的技术。保密通信、计算机密钥、防复制软盘等都属于信息保密技术。信息保密技术是保障信息安全最基本、最重要的技术,一般采用国际上公认的安全加密算法实现。例如, 目前世界上被公认的最新国际密码算法标准AES,就是采用128、192、256比特长的密钥将128比特长的数据加密成128比特的密文技术。在多数情况下,信息保密被认为是保证信息机密性的唯一方法。它的特点是用最小的代价来获得最大的安全保护。
2.2 信息确认技术
信息确认技术是通过严格限定信息的共享范围来达到防止信息被伪造、篡改和假冒的技术。通过信息确认,应使合法的接收者能够验证他所收到的信息是否真实;使发信者无法抵赖他发信的事实;使除了合法的发信者之外,别人无法伪造信息。一个安全的信息确认方案应该做到:其一,合法的接收者能够验证他收到的消息是否真实;其二,发信者无法抵赖自己发出的信息;其三,除合法发信者外,别人无法伪造消息;其四,发生争执时可由第三人仲裁。按照其具体目的,信息确认系统可分为消息确认、身份确认和数字签名。 例如,当前安全系统所采用的DSA签名算法,就可以防止别人伪造信息。
2.3 网络控制技术
常用的网络控制技术包括防火墙技术、审计技术、访问控制技术和安全协议等。其中,大家所比较熟悉的防火墙技术是一种允许获得授权的外部人员访问网络,而又能够识别和抵制非授权者访问网络的安全技术。它起到指挥网上信息安全、合理、有序流动的作用。审计技术能自动记录网络中机器的使用时间、敏感操作和违纪操作等,它是对系统事故分析的主要依据之一。访问控制技术是能识别用户对其信息库有无访问的权利,并对不同的用户赋予不同的访问权利的一种技术。访问控制技术还可以使系统管理员跟踪用户在网络中的活动,及时发现并拒绝“黑客”的入侵。安全协议则是实现身份鉴别、密钥分配、数据加密等的安全机制。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。
3 信息安全教育
为了保证信息安全,防范计算机犯罪,需要从技术、法律、管理和教育等方面着手,缺一不可。信息安全教育也是信息安全的重要组成部分。信息安全教育是一项新的安全工作,不仅是一个技术问题,更重要的是它对社会各方面可能产生重大影响。信息安全问题影响到整个社会,并逐渐成为社会的公共问题。抓好信息安全教育,进行有效管理,对维护社会的稳定与发展具有深远的意义。信息安全教育的比较内容比较多,主要包括法规教育、安全基础知识教育。
3.1 法规教育
法规教育是信息安全教育的核心。现代社会中,计算机的社会化程度正在迅速提高,大量与国计民生、国家安全有关的重要数据信息,迅速地向计算机系统集中,被广泛地用于各个领域。同时计算机的脆弱性所导致的诈骗犯罪,已经给计算机发达国家和公众带来严重损失和危害,成为社会关注的问题。因此,许多国家都在纷纷采取技术、行政和法律措施,加强对计算机的安全保护,建立了计算机安全管理、监察和审计机构。
3.2 安全基础知识教育
安全基础知识主要包括安全技术教育、网络安全教育、运行安全教育,实体安全教育,所涉及的内容既深又广。正确使用计算机系统和规范上网操作是各行各业工作必备的基本技术素质。
针对青少年的特点,重视学校和家庭教育,一是加强青少年的法制教育、爱国主义、政治思想教育,使青少年在思想上提高自我约束、自我保护的能力。二是积极创造条件,在普及网络知识上下功夫,普及信息安全知识上加大投入,一方面促使青少年更好地学习信息安全知识,另一方面在学习的过程中提高青少年的水准。三是家长不但要有所意识,及早行动,通过提高自身素质,以便更好地教育、引导孩子,而且在情感方面也要不断地与孩子交流。
4 结语
信息安全十分重要,但是绝对安全也是不可能的。因此,加强信息安全知识的普及和教育十分重要。结合信息安全的特殊性,加强长期培训和短期培训相结合,面对面传授和网上远程教育相结合,尤其是重视对青少年的启蒙和引导教育,为他们的智力、能力的发挥提供更吸引人的正确的信息安全教育平台。
对信息安全的认识篇(5)
一、加强顶层设计,确立信息安全教育国家战略
1.《网络空间安全国家战略》
布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。
2.《美国网络安全评估》报告
2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。
3.《国家网络安全综合计划》(CNCI)
2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”
4.《国家网络空间安全教育战略计划》
2011年8月11日,NIST授权《美国网络
安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。
二、做好立法工作,完善法规标隹体系
1.《联邦信息安全管理法案》(FISMA)
2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。
FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。
2.国防部(DoD)8570指令
2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。
3.联邦政府信息技术安全培训标准(FIPS)
FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。
4.网络安全法案
2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。
三、构建信息网络安全组织机构,健全安全教育培训管理体制
为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。
社会各界积极参与
行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。
(1)国际信息系统审计协会(丨SACA)
国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。
(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。
GIAC认证程序有以下几个特点:
GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。
(3)国际信息系统安全认证联盟(ISC)2
国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。
对信息安全的认识篇(6)
中图分类号:TP393.03 文献标识码:A 文章编号:1007-3973(2012)012-153-03
1引言
2011年9月20日,国务院《关于加快培育和发展战略性新兴产业的决定》,明确将新一代信息技术产业列为“十二五”规划的新兴产业首位,未来发展空间值得期待。信息安全是国家安全战略的重要组成部分,设置面向市场需求的新兴技术和保障政府、军队、银行、电网、信息服务平台的网络安全技术必修课程,符合高新产业技术的市场需求和教育法规,以其为高新产业迅速发展和控制网络空间安全培养更多的高素质技能型人才。
信息安全学科是数学、物理、生物、通信、电子、计算机、法律、教育和管理等学科交叉融合而形成的一门新型学科。它与这些学科既有紧密的联系,又有本质的不同。信息安全学科已经形成了自己的内涵、理论、技术和应用,并服务于信息社会,从而构成一个独立的学科。本文从认识论的角度,探索信息安全学科的一个重要分支网络安全的课程体系内涵。
认识论,认识是实践基础上主体对客体的能动反映;人作为认识的主体,首先在于人是实践的主体;知识、技术作为认识的客体,首先在于它们是主体能动的实践活动的客体,应该从主体的感性的实践活动去理解,从主体的主观能动方面去理解;实践是认识的直接来源,认识只有在实践的基础上才能发展。人类认识事物的一般规律是从简单到复杂、从具体到抽象、从特殊到一般。
认识信息安全学科,必须遵循认识规律、专业规律。到目前为止,有关信息安全的学科体系和人才培养缤纷凌乱。在此,笔者以武汉大学空天信息安全与可信计算教育部重点实验室研究体系为基础,探讨网络安全的课程体系,以其为课程建设抛砖引玉。
2信息安全的学科体系
信息安全学科是研究信息获取、信息存储、信息传输和信息处理领域中信息安全保障问题的一门新兴学科。
2.1信息安全的理论基础
信息安全学科所涉及的主要研究内容包括:新型密码体制研究、密码编码与密码分析、信息安全风险评估、信息安全管理、入侵检测、灾难备份和应急响应、操作系统安全、数据库安全、身份认证与访问控制、协议安全、可信网络连接、信息隐藏与检测、内容识别与过滤、信息对抗理论、信息对抗技术,以及信息安全工程等。
网络安全以控制论和系统论为其理论基础,通过入侵检测、数据加密等技术实现安全威胁的识别和数据的安全传输,防止非法篡改和泄露保密信息。网络安全的基本思想是在网络的各个范围和层次内采取防护措施,以便检测和发现各种网络攻击威胁,并采取相应的响应措施,确保网络环境的数据安全。网络安全研究网络攻击威胁、网络防御理论、网络安全理论和网络安全工程等。
2.2信息安全的方法论基础
信息安全学科有自己的方法论,既包含分而治之的传统方法论,又包含综合治理的系统工程方法论,而且将这两者有机地融合为一体。具体概括为,理论分析、实验验证、技术实现、逆向分析四个核心内容,这四者既可以独立运用,也可以相互结合,指导解决信息安全问题,推动信息安全学科发展。其中的逆向分析是信息安全学科所特有的方法论。
3现代通信网的技术体系
现代通信网是一个多种异构网络技术融合的综合体系,本文只讨论计算机网络、移动互联网、射频识别网络、无线传感器网络。
3.1计算机网络
以Internet为代表的计算机网络实现了物理世界与信息世界的互联,指明了下一代网络应用的发展趋势。Cisco研究表明,下一代网络(Next Generation Network)基于IP,支持语音、数据、视频和多媒体的统一通信,充分整合面向行业的垂直应用,亦称为IP-NGN。具体地说,就是把社区、企业、机关、医院、交通、航空等元素互联起来,形成一个休闲、工作、学习、娱乐的虚拟社区。计算机网络是一种由多种异构平台组成的多样化技术结构体系,在这个平台中,设备构成主要体现在感知网络、交换路由、服务提供和信息安全等四个方面。
3.2移动互联网
移动互联网是将移动通信和互联网结合起来,以宽带IP为技术核心的,可同时提供话音、传真、数据、图像、多媒体等高品质电信服务的新一代开放的电信基础网络,短消息是移动互联网最早提供的服务。第三代移动通信技术简称3G,是指支持高速数据传输的蜂窝移动通信技术;3G能够在全球范围内更好地实现无线漫游,提供网页浏览、电话会议、电子商务、音乐、视频等多种信息服务,3G必须支持不同的数据传输速度,可根据室内、室外和移动环境中不同应用的需求,分别支持不同的速率。
3.3射频识别网络
RFID系统包括三部分:标签(RFID tags)、阅读器(tag reader)和企业系统。标签是一个微芯片附属于天线系统,芯片包含存储器和逻辑电路,接受和发送阅读器的数据;天线接受和回射阅读器的同频信号;标签作为专用鉴别器,可以应用到一定区域内任何对象(人、动物和物体等),代表对象的电子身份。阅读器发送同频信号触发标签通信,标签发送身份信息给阅读器,完成一次查询操作。企业系统是阅读器连接的计算机信息系统,阅读器提交身份信息由企业系统存储。RFID系统通常用于实时监控对象,可以实现物理世界到虚拟世界的映像。
3.4无线传感器网络
无线传感器网络是由大量静止或移动的传感器节点,以多跳路由和自组织方式构成的无线感知通信网络,其目的是同步地感知、采集、处理和传输网络覆盖地理区域内感知对象的监测信息,并报告给用户。每一个节点具有感知、计算、路由三种功能,某节点感知监测对象的数据,通过其它节点路由到汇聚节点,经其它网络发送给用户。RFID系统和无线传感器网络合作,可以很好的记录物体的状态(位置、温度、位移),加深对环境的认知,扮演物理世界与数字世界的桥梁。
4网络安全的课程体系
4.1计算机网络安全
计算机网络安全主要依靠防火墙技术、虚拟专用网(VPN)技术和公钥基础设施(PKI)。
(1)防火墙技术。防火墙技术原型采用了包过滤技术,通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态或它们的组合来确定是否允许该数据包通过。在网络层上,防火墙根据IP地址和端口号过滤进出的数据包;在应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则,并且允许受信任的客户机和不受信任的主机建立直接连接,依靠某种算法来识别进出的应用层数据。
(2)虚拟专用网。虚拟专用网是指在一个公共IP网络平台上通过隧道以及加密技术保证专用数据的网络安全性。VPN是一种以可靠加密方法来保证传输安全的技术。在智能电网中使用VPN技术,可以在不可信网络上提供一条安全、专用的通道或隧道。各种隧道协议,包括网络协议安全(IPSec)、点对点隧道协议(PPTP)和二层隧道协议(L2TP)都可以与认证协议一起使用。
(3)公钥基础设施。公钥基础设施能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。PKI可以为不同的用户按不同安全需求提供多种安全服务,主要包括认证、数据完整性、数据保密性、不可否认性、公正和时间戳等服务。
4.2移动互联网安全
在移动互联网环境下,由TCP/IP协议族脆弱性、终端操作系统安全漏洞、攻击技术普及等缺陷所导致的传统互联网环境中的安全问题依然存在。
(1)手机病毒。手机病毒是具有攻击性、破坏性的恶意软件代码,一般利用短信、微博、微信、@mail、WAP网站等方式在无线通信网络内传播;同时可利用蓝牙、wifi等方式在智能手机间传播。随着移动智能终端的普及和统一的操作系统平台,手机病毒的传播和爆发会泄露用户空间隐私、时间隐私等危害,并对移动通信网络的安全运行、维护管理和支撑业务造成一定威胁。
(2)隐私信息泄露。移动设备的隐私信息防泄露主要包括三类技术:控制类技术,设置用户的管理权限,集中控制和管理数据中心,实现对关键数据的加密保护和保密传输,并定期审计和检查权限日志,防止隐私数据的非法外泄。加密类技术,操作系统的文件系统加密技术,磁盘设备加密技术,安全芯片加密技术和通信网络的密钥预分发管理技术。过滤类技术,在内网和外网的边界出口,安装协议数据包过滤设备,可以分析通信网络协议HTTP、POP3、FTP、即时通讯的数据包,并对数据包内容分析和过滤隐私信息。
(3)无线局域网安全。无线局域网安全标准主要是IEEE制定的802.11n标准和西安电子科技大学制定的WAPI标准。802.11n采用基于密钥共享的双向身份认证,定义了WPA2/TKIP加密算法;WAPI采用基于数字证书的双向身份认证,定义了我国的首个商用SMS4加密算法。两项标准都要解决用户到AP无线接入的认证和加密问题,中国电信无线局域网是在用户接入AP后进行Web认证,验证用户实体身份。两项标准已在现有的无线局域网和移动智能互联网终端得到实施,并且应用广泛。
4.3射频识别网络安全
由于RFID的成本有严格的限制,因此对安全算法运行的效率要求比较高。目前有效的RFID的认证方式之一是由Hopper和Blum提出的HB协议以及与其相关的一系列改进的协议。HB协议需要RFID和标签进行多轮挑战——应答交互,最终以正确概率判断RFID的合法性,所以这一协议还不能商用。
4.4无线传感器网络安全
无线传感器网络中最常用到的是ZigBee技术。ZigBee技术的物理层和媒体访问控制层(MAC)基于IEEE 802.15.4,网络层和应用层则由ZigBee联盟定义。ZigBee协议在MAC层、网络层和应用层都有安全措施。MAC层使用ABE算法和完整性验证码确保单跳帧的机密性和完整性;而网络层使用帧计数器防止重放攻击,并处理多跳帧;应用层则负责建立安全连接和密钥管理。ZigBee协议在密钥预分发管理中有3种基本密钥,分别是主密钥、链接密钥和网络密钥。主密钥在设备出厂时由公司缺省安装。链接密钥在个域网络(PAN)中被两个设备直接共享,可以通过主密钥建立,也可以在出厂时由公司缺省安装。网络密钥通过CA信任中心配置,也可以在出厂时缺省安装。链接密钥、网络密钥需要循环更新。
5结束语
网络安全技术是一个与时代科技发展同步的新兴领域,这就决定了其课程体系必须嵌入一些无线局域网安全、无线传感器网络安全、射频标签网络安全、云计算安全等新兴技术。因此,在规划其教学内容时,要以学生掌握网络安全技能目标为基础,以当代大学生的认识规律为起点,以现代多媒体教学方法为手段,设计出符合市场需求的、青少年认识规律的、与时代同步的课程体系,才能培养出面向新兴产业发展所需的高素质技能型专门人才。
参考文献:
[1] 陈先达.马克思哲学原理[M].北京:中国人民大学出版社,2010.
[2] 张焕国,赵波,等.可信计算[M].武汉:武汉大学出版社,2011.
[3] Luigi Atzori,Antonio Iera,Giacomo Morabito.The Internet of Things:A survey[J].Computer Networks 54 (2010):2787-2805.
[4] Debasis Bandyopadhyay,Jaydip Sen.Internet of Things:Applications and Challenges in Technology and Standardization[J].Wireless Pers Commun(2011)58:49-69.
对信息安全的认识篇(7)
中学生是当前社会信息活动中的一个重要参与者,而中学生信息安全素养也影响着信息活动的各个方面。
(二)中学生是信息安全未来的参与者和推动者
随着我国社会各方面信息化水平不断提高,中学生参与到信息活动的程度也越来越高,而在这些活动中涉及到信息安全问题,如近几年媒体报道的少年黑客事件,不断涌现,其中很多中学生走上了歧途,成为了信息安全的“建设者”。同时,也有一部分少年黑客在正确的引导下成为了“白帽子”走上了红客道路成为了信息安全的真正的建设者。由此可见,加强中学生信息安全教育其意义更在为我国信息安全领域培养后备力量。
二、加强中学生信息安全教育的建议
(一)加强中学生信息安全意识的培养
1.加强中学生信息安全道德伦理和法律法规教育,使中学生对信息安全有正确的认识,形成正确的价值观。
中学生作为当前社会中参与信息活动的一个重要群体,应该让每一各中学生了解和掌握一些信息安全方面的法律法规,《宪法》《国家安全法》《中华人民共和国信息系统安全保护条例》《中华人民共和国计算机信息网络国际互联网管理暂行规定》等一些相关的法律法规和对信息活动中涉及信息安全的相关规定增加到教学中,进而增强学生信息安全意识。
2.培养中学生识别信息安全威胁,提高信息安全意识。
中学生既是当前社会信息活动参与者,同时在信息活动中也是弱势群体。因此,培养中学生能够辨识信息安全威胁,对于保护青少年和提高其信息安全意识尤为重要。一是通过向中学生讲解信息活动中出的各种侵害和危害的案例和事件,让中学生认识到信息活动中有许多与现实生活相同的威胁存在。二是提高中学生对信息资产的认识,让学生懂得对个人信息及家庭信息等相关隐私信息的保护,尽可能的规避信息安全风险。三是通过演示一些信息危害手段,让学生感受到信息活动过程中会面临信息安全陷阱,让他们养成良好的操作习惯和思维习惯,进一步提高到信息安全意识。
(二)采用多层次教学模式提高中学生信息安全素养
1.利用课堂教学阵地进行信息安全知识的普及教育,使中学生普遍具有一般的信息安全素养。
中学课程标准和教材中已涉及到了信息安全的内容,一方面从法规层面;另一方面从技能培养上介绍计算机病毒的防治。通过学习这些内容可以使全体学生对信息安全知识和技能有初步的认识和掌握,可以应对简单的信息安全威胁。所以,要充分抓住课堂这个普及信息安全的教学主阵地,进行信息安全教育。
2.利用第二课堂对中学生进行信息安全知识的拓展,进一步提升中学生的信息安全素养。
通过开设兴趣班和学生社团等多种形式,给对信息安全感兴趣的学生开设第二课堂,如增加社会工程学入门、破解基础知识、渗透工具使用等课程。使学生的信息安全素养在原有的基础上得到进一步的发展。
对信息安全的认识篇(8)
引言:
信息技术和网络技术犹如一把双刃剑,它一方面促成了数字图书馆的诞生,让全球的用户享受到快捷、便利、丰富、实用的信息,增加了交流和沟通,改变了图书馆传统的服务方式,另一方面它又使数字图书馆陷入前所未有的危险境地,病毒泛滥、网络偷盗诈骗屡见不鲜。信息与数字图书馆如同书籍文献与传统图书馆,是其核心与灵魂,没有了信息,数字图书馆便成为一个空壳,再无任何用处。因此,数字图书馆的信息安全问题,随着数字图书馆的诞生而诞生,随其发展而更加严峻。
一、增强安全意识防范
信息安全是大多数图书馆非常敏感的一个问题,特别是数字图书馆,很多负责人不愿意对外公开。网络信息安全固然重要,但是图书馆负责人还依然存在很多片面认识,主要有三种认识;认为网络环境太过危险、认为购买了防火墙安全就能够得到保障、认为规模小的图书馆不会受到攻击。正因为存在这三种片面认识,才使得即便是图书馆的安全状况很糟糕,也不愿意通过加强网络信息安全来解决。有些图书馆或许安装了防火墙等安全工具,但是却忽略了防火墙的主要功能是外部防御,对于存在恶意攻击的内部工作人员而言,他们可以绕道而行,防火墙就起不到应有的作用。对于规模小的图书馆,不重视网络信息安全,才会存在自身系统不会受到攻击的错误认识。
现阶段很多图书馆管理员,素质普遍不高,更缺乏专业知识,才使得他们对图书馆网络信息安全的认识度不够。因此,提高图书馆工作人员的素质和网路信息安全意识是首要工作。
二、实施规范化管理模式
安全和管理是紧密相连的,图书馆不仅要拥有良好的安全设备和系统,还必须要有健全的安全管理方法,两者缺少任何一部分都是空谈。现阶段,部分数字图书馆出现网络信息安全事故,并不是没有良好的安全设备,而是由于没有健全的安全管理制度,或者是没有认真执行安全管理制度。根据调查分析得知,多数数字图书馆网络信息安全问题,是由人为因素造成的。因此,数字图书馆网络信息安全管理的目的要明确,第一、要最大限度确保网络安全稳定运行,第二、一旦遭受黑客攻击可以最大限度减少损失,这就要求图书馆内部要建立针对数字图书馆的网络信息安全管理制度,要定期对数字图书的入口进行安全检测,加强对口令、人才、策略以及备份和日志的安全管理,并且制定具体的安全管理制度。
三、提高信息安全人员技术水平
现阶段,国内信息安全技术人才相对缺乏,根据2016年4月《网络安全和信息化工作座谈会》中共中央总书记、中央网络安全和信息化领导小组组长重要讲话中指出:“要尽快在核心技术上取得突破,聚天下英才而用之,为网络信息事业的发展提供有力人才支撑。”由此体现,网络信息事业在国家改革发展稳定中的重要地位。
借助于网络技术,建立数字图书馆,不能仅是管理和设备的技术上进步了,图书馆管理技术水平,也应该有相应的提高,因此,现在的对在岗或者是新上岗的数字图书馆管理人员都要进行岗前培训,要安排具有专业网络知识的工作人员,对数字图书馆进行维护和管理,依靠工作人员的经验和过硬的专业技术,对发现的系统故障进行及时解决,为数字图书馆网络信息安全得到了有效保证,有必要提高图书馆工作人员的信息安全技能。
四、重视硬件、软件和环境因素
图书馆网路信息系统的物质基础,也是正常运转的物质保证是硬件。数字图书馆运行出现逻辑错误,大多是由于硬件配置不良,才使得系统安全得不到有效保障。影响数字图书馆系统安全运行的其它因素还有:网络操作系统支持软件、系统容错性差、管理系统的安全性能等,这些主要是内部因素。
此外,还有影响数字图书馆安全运行的外部因素,比如网络控制中心设置的位置,机房的设计以及防盗窃系统的设置等。
因此,要从硬件和软件两个方面共同努力,才能够确保数字图书馆网络信息安全。
五、总结
综上所述,影响数字图书馆网络信息安全的因素很多,硬件和软件方面都有影响,工作人员的素质和专业技能也是很重要的影响因素,因此需要从硬件、软件以及工作人员三个方面共同努力,才能够最大限度确保数字图书馆网络信息安全,促进数字图书馆安全稳定运行。
参 考 文 献
对信息安全的认识篇(9)
中图分类号:G726 文献标识码:A
一、依托继续教育培养信息安全人才的具体举措
世界主要国家都非常重视依托继续教育培养信息安全人才,相关政府部门、专业组织、科研院所、企业机构采取各种积极举措,形成学位教育、职业培训、业余培训、资格认证等全方位多层次的信息安全人才继续教育体系。
(一)学位教育夯实专业理论实践基础
学位教育具有课程体系完善、覆盖面广等优势,通过学位教育,可以系统深入地把握信息安全及其相关学科理论和实践基础,吸引大量信息安全领域工作人员通过在校学习、远程教育等方式获取硕士、博士等专业学位。
国内外许多大学开设信息安全专业,为研究生提供信息安全类专业课程。乔治梅森大学提供了信息系统安全认证研究生课程;爱达荷大学的计算机科学部开设了网络安全和信息系统的硕士和博士课程;美国海军研究生院为美国国土安全部员工提供可获得“网络系统和运行”专业理科硕士学位的远程教育;我国四川大学信息安全研究所开展电子信息领域信息安全研究方向的专业硕士学位培养工作,还培养信息安全/密码学的博士研究生;北京大学的计算机系信息安全研究室为研究生提供信息安全方面的教育课程;山东大学制定信息安全专业研究生硕士、博士研究生培养方案,不断完善信息安全专业课程体系。
(二)职业培训提高从业人员履职能力
职业培训,即职业技能培训,是为满足经济和社会发展的需要提供充足劳动力的主要方式,其人才培养定位以市场需求出发,以企业对人才知识和技能的需求为依据。
美国詹姆斯麦迪逊大学(JMU)信息系统安全教育研究中心,专门为商业、工业、院校和政府培养信息系统安全专业人员。清华大学推出信息安全高级研修班,培训信息网络安全监管机关,各部委、地区的信息中心、计算中心,以及全国各地、各行各业企事业单位的计算机网络主管、专业技术骨干等信息安全工作人员。北京的高阳信安公司和北京理工大学计算机系联合创办了信息安全培训中心,旨在面向社会,为网络管理员、技术工程师、技术主管等提供必要的安全培训。中国电信开设信息安全培训班专门针对电信行业和应用行业进行培训。中国信息协会信息安全专业委员会、北京启明星辰有限公司和美国国际计算机安全协会合作策划推出了信息安全培训课程。
(三)业余培训增强全民信息安全意识
业余培训,通常不以就业为目的,而是个人为了提高个人素质、增强个人能力并与社会和经济发展保持同步发展而制定的个人学习和培训计划。业余培训是提高全民信息安全意识的重要手段。
欧美国家积极推动信息安全意识宣传,采取多种形式和媒介,成立高校信息安全协会、美国国家计算机网络安全联盟等与信息安全相关的非盈利组织,面向组织会员(包括上千所高等院校、教育机构、企业)提供业余培训服务。我国政府专项信息安全培训一般是公益性的,如原国家信安办和新闻办都曾组织过这类培训,培训对象多为政府机关和事业单位的人员,主要目的是推广和宣传网络安全知识,提高网络用户的安全意识。而且,当前互联网上有大量信息安全学习资料,方便个人学习。
(四)资格认证完善信息安全人才培养闭环
资格认证是对从事某一职业所必备的学识、技术和能力的基本要求的审查认证,是信息安全人才经过培养阶段步入职场的必经之路,也是考查检验培养质量的关键一环。通过资格认证,可以对信息安全人才的能力进行一个比较合理的定位。
当前,我国主要采取三类信息安全资格认证:一是以信息产业部、信息安全评测机构为代表的组织来管理实施的信息安全资格认证,包括中国国家信息安全认证(CISP)、全国信息化工程师认证体系(NCIE)、信息安全技术水平考试(NCSE)等;二是由国外软件、网络产品厂商组织管理的产品专家认证,包括微软、思科、IBM、赛门铁克等国际著名厂商提供的有关信息安全的认证;三是国际化专业资格认证,包括信息安全审计和控制协会(ISACA)提供的信息系统审计认证(CISA),国际信息系统安全认证协会(ISC2)提供的专业资格认证人士证书(CAP)、系统安全认证专员证书(SSCP)和信息系统安全专业人士证书(CISSP)等。
二、加强我国信息安全领域继续教育的几点思考
(一)加强学科建设,建设培训基地
一是要进一步理清信息安全学科的内涵外延。信息安全作为一门新兴学科,仍处于加速发展演变的过程中,需要结合学科发展不断厘清信息安全学科内涵外延,深入把握信息安全与其相近学科的关系,构建信息安全学科核心课程体系和延伸课程体系,不断推进信息安全学科内涵式发展。二是要在学科培养方案中强化实践能力培养。借鉴部分学校已有的成功经验,以科研实践促进人才培养,形成产、学、研、用之间的良性互动,积极引导学生协助导师完成国家课题实践,通过实践提升解决实际问题的能力。三是要不断加强信息安全培训基地建设。一方面应积极建立各类信息安全实验室,模拟构设各种工作环境,为培训对象提供仿真的模拟训练场景;另一方面培训机构应积极与行业部门共建培训基地,在实际工作环境中不断磨炼提高信息安全能力素质。
(二)注重分类培训,完善课程体系
一是要注重培养信息安全管理人才。面向信息系统和信息安全管理人员,以提升组织机构的信息安全管理水平和能力,帮助组织机构有效建立信息安全管理体系为目的,开设信息安全策略咨询与制定,安全评估,安全审计,信息系统安全分析与设计等相关课程。二是要注重培养信息安全技术人才。面向网络和系统管理员、专职安全人员、技术开发人员等,以熟悉安全攻防理论、掌握安全攻防技术、提升信息安全技术操作水平、掌握解决安全问题和杜绝安全隐患的技能为目的,开设信息安全理论,信息安全技术,黑客攻防手段,信息安全建设过程等相关课程。三是要注重培养全民信息安全意识。面向一般员工、非技术人员以及所有信息系统的用户,以提高普遍的安全意识和人员安全防护能力为目的,开设信息安全基本概念,信息系统安全操作,网络安全应用等相关课程。
(三)严格质量评价,强化法制教育
一是要不断完善岗位任职标准。信息安全岗位责任重大,具有很强的社会通用性,与公共利益联系紧密,具有建立统一岗位任职标准的前提条件,面对广泛的信息安全人才岗位需求,应对现有安全岗位进行合理分类,制定精细标准,满足任职标准条件才能上岗。二是要不断推动资格认证改革。参考医学和法律资格认证方法,公开公正地提供实际操作能力和学术资格评价,改革目前或者重视认证知识的广泛了解或者侧重针对特定计算机部件的操作知识的资格认证测试方法,综合考虑接受教育和实际经验等级、同级认可程度、继续教育要求、测试指导等内容。三是要不断深化法制观念教育。在信息安全人才培训中,加强信息安全方面法律法规的宣传教育,规范网上行为,使其明确网络犯罪或网络违规所要承担的责任,从而能够自觉地遵守法律。
(四)坚持训用一致,发挥培训效益
一是要围绕“用好人”完善选拔任用机制。在人力资源管理方面,应紧密围绕需求,任用经历过相关培训并获得相关资格认证的人,并充分给予其开展信息安全建设的职权,使其能力可以得到最大发挥。二是要围绕“留住人”健全激励保留机制。进一步提高工资待遇吸引高水平信息安全人才,并围绕从个人职务晋升、工作环境到住房医疗、家属就业、子女人学入托等各方面提供全方位政策支持,使其具有成就感和归属感,安心在岗位上工作。三是要围绕“育能人”建立岗位轮训机制。信息安全行业发展日新月异,应围绕信息安全领域的最新进展和发展动态,采取定期或不定期的方式分批次对岗位人才进行系统培训,通过不断提高素质、增强能力、拓宽视野孕育信息安全领域专家。
参考文献
[1]U.S.DoD.Department of Defense Strategy for Operating in Cyberspace[ER/OL].http://defense.gov/news/d20110714cyber.pdf.
[2]黄月江,祝世雄.信息安全与保密(第2版)[M].北京:国防工业出版社,2008.7:3.
对信息安全的认识篇(10)
[分类号]G203 X92
1 信息安全人因失误自我纠正策略
1.1信息系统反馈策略
目前,信息系统对信息安全行为人因失误的反馈策略主要有系统提示,如报警、限制或阻碍操作进程、自动关闭信息系统、启动与用户对话等。这些方法虽然明确地告诉信息人员已制造了失误,且在一定程度上阻止信息安全事件的发生,具有一定信息安全“强制”,但是这些方法不能帮助信息人员了解人因失误产生的具体原因,不利于失误纠正。另外,这些基于行为结果的信息系统反馈策略依赖于信息安全操作行为序列。如果信息系统正处于使用高峰期或信息硬件没备反应缓慢,对某种信息行为的技术处理需要花费较长时间,致使信息系统对操作人员行为反馈非常滞后,这时信息系统反馈的信息不一定代表信息操作人员最后行为序列的结果。
1.2自我反馈策略
自我反馈策略是网络信息安全人因失误自我纠正策略中最基本的策略。自我反馈是根据工作记忆或信息安全的敏感性,即已有的信息安全处理实现模式,自我信息安全行为的思维与反馈。这些反馈与信息人员行为序列及其后果无关,而是在信息安全执行阶段一种自我发现和纠正基于行为的出错失误。最简单的例子是信息操作人员的输入出错,大多数都是由操作人员自我发现与纠正的,它证明了自我信息反馈策略能够发现与纠正出错人因失误。信息安全敏感性,即怀疑与好奇心理是一种重要的自我信息反馈策略。怀疑与好奇心理有利于信息操作人员对工作环境的微小变化保持警惕,提前准备应对信息安全事件的措施。同时,怀疑与好奇心理能够降低信息人员对信息系统安全自动化的高度信任与依赖性。事实上,许多的信息安全事件伴随着对信息安全自动化技术的高度信任与依赖,而忽视人的因素与作用的结果。
1.3外部交流策略
由于人固有的思维定势与行为习惯,通常难以发现自身产生的信息安全出错失误,无论是在计划阶段还是在结果阶段,特别是对那些已花费很长时间还未纠正的人因失误,迫切需要采取外部交流策略,如同事之间正式与非正式的交流与专题讨论,信息安全事件分析的公开与透明,信息安全经验与事件的信息反馈等,从而获得纠正自我人因失误的方法,提高失误发现与纠正的机会。
1.4失误见识策略
失误见识策略是运用信息安全人因失误培训及实际工作中见识与学到的失误处理经验、方法与模式,及时纠正信息安全人因失误。两种最有益的失误见识策略是:①匹配熟悉的失误模型;②自适应知识转化,应对失误挫折。前者是在熟悉信息安全状态下的一种失误纠正策略,即具有类似的经历与模型,直接将实际的状态模型(行为与结果)与预计的状态模型进行比较,从中发现与纠正人因失误。后者通常针对那些不熟悉且要花费很长时间才能纠正的失误,它们需要借鉴各方面的见识与经验,综合分析与评价状态,自适应知识转化应用,重新制定人因失误纠正模型。
1.5计划行为策略
定期自我检查:在信息安全复杂系统中,信息人员主动运用人因失误发现的4种策略,定期检查自己的执行行为、实际结果与信息安全标准或信息计划行为与预期结果之问的失配,这种定期自我检查是出错与弄错失误纠正最有效的信息人员策略。定期自我检查可以是有目标的重点检查信息安全过程中的某个环节,也可以是一项常规工作,检查以前的、目前的信息安全行为执行情况。
提前制定应急措施:尽管信息安全管理决策非常完善,但人具有内在的弱点及难以控制性,网络信息安全人因失误事件会出乎意料的发生。提前制订应急措施,帮助信息安全人员了解他们信息安全行为决策标准,了解信息事件可能的最终演变过程与结果,发现信息安全行为计划中某些可能的人因失误,增加对信息安全操作过程中非安全状态与因素的警觉性,提示他们确定应对偶然事件的方法,有利于预防与纠正偶然或紧急信息安全事件。
修改原计划:当人因失误发生后,信息人员最常见的两种反应是重复最近的行为,或执行正好忘记的信息安全行为,而很少怀疑或修改原信息安全计划,其结果是信息人员重复错误的计划,或运用原计划中的某部分,而这部分事实上已不适用新的情况。对原计划的修改,可以采取事故前纠正和补偿纠正措施,需要将信息系统维持在一种中介稳定状态,重新评价当前信息系统状态,然后根据评价结果,修改以前的行为计划。最后,采取各种可能的补偿措施,将信息系统带进一个希望的信息安全状态。
2 信息安全人因失误自我纠正能力培训
2.1信息安全人因失误自我纠正能力培训的必要性与作用
上述5种人因失误自我纠正策略中,基于规则的信息系统反馈策略需要信息系统人一机界面支持,而其它4种策略的实现取决于信息人员的信息安全知识、经验与技能等综合能力。也就是说,除信息系统反馈纠正策略之外,信息安全人因失误能力培训是实现其它4种自我纠正策略的一种重要途径。然而,据2007年的调查,只有29%的组织表示需要对员工进行信息安全培训。被调查对象中只有22%的IT雇员曾接受过与信息安全有关的培训,而且这些培训内容主要是信息安全操作知识与技术教育,忽视甚至没有涉及人因失误纠正培训。但事实证明,对信息安全人员技能培训的重要性胜过选拔具有信息安全技能的信息安全人员,接受失误处理培训的信息人员比没有经历培训的信息人员有明显地自我行为纠正能力。正如Eugene Schultz指出的,信息安全问题是信息系统中的一个漏洞,信息人员人因失误纠正能力培训就是堵住这个漏洞的一块方木栓。
2.2培训的指导思想
基于行为科学与认知科学理论,Frese M.等认为人因失误对失误人员具有潜在的积极影响,将失误重新定义为失误情绪与认知应对策略的学习机会。他们利用这种积极影响,发展了一种安全人员培训方法,称之为失误处理培训(Error Management Training,EMT),即有意识地将失误融入到信息安全培训中,鼓励培训者从失误中学习纠正失误。他们提出对计算机人员进行失误回避培训,不如对他们进行失误处理培训。EMT培训方法问世后受到了广泛的关注,直至现在,EMT在信息安全培训中已应用了近十年。实践证明,将失误有意识地融合到培训中是一种有效的学习方法,促进了信息安全人因失误自我纠正策略的实现。此外,EMT有利于失误探索,更适合自适应人因失误纠正知识转化,解决所面临的人因失误问题。
本文吸取上述专家的失误培训观点与结果,将EMT整合到信息安全人因失误自我纠正培训中,强化人因失误纠正策略实施,提高人因失误纠正知识与技能自适应转化能力。同时,有关失误发现、失误纠正策略、失误纠正过程与失误类型之间的研究也为人因失误纠正培训提供了指导。网络信息安全人因失误纠正培训的主要指导思想:①倡导一种主动性策略行为,鼓励学习必备的信息安全知识与技能;鼓励竭尽全力主动控制与预防人因失误发生。②倡导一种积极、探索性的学习方法,鼓励探索未见识的人因失误事件;鼓励建立系统臆测与智能模型策略。③倡导人因失误忍受,鼓励制造人因失误;鼓励从失误中思考失误原因,形成人因失误模式;鼓励消除对人因失误的压力与恐惧心理。
2.3培训体系及其模块
网络信息安全人因失误自我纠正培训体系不仅要支持常见的人因失误预防,还要考虑人因失误分析与纠正行为,它应该是全方位、多层次的。信息安全人因失误自我纠正培训体系的全方位性是指纠正培训内容除了常规的失误控制与预防、信息安全知识、技术与任务学习外,还考虑了信息安全人因失误事件状态的复杂性与可变性,涵盖信息安全人因失误发现、见识、制造与纠正等技能培训,使得培训人员不但掌握主动控制与避免人因失误的技能,而且鼓励信息安全人员制造失误、主动发现失误、勇敢面对失误、积极纠正失误,在失误中得到锤炼与提高。培训体系的层次性体现在不同的人因失误类型有不同层次的纠正策略,对应不同的失误纠正培训模块。如任务与知识培训是基于规则的基础培训,模拟培训是基于技能的较高层次培训,而应急计划与失误培训是基于知识的高级培训。因此,一套完整的人因失误自我纠正能力培训体系由任务与知识培训、模拟培训、应急计划培训、失误培训等模块构成,且结合了各种培训手段与方法,应用这些模块进行独立、循环渐进、层次化的培训。
任务与知识培训。它是一种传统的人因失误预防与避免基础培训,即根据具体信息安全对象、任务与职责,进行相关的信息安全政策、法规、道德、任务与专业知识培训,促进自我反馈人因失误纠正策略与计划行为策略中定期自我定期检查的实现。任务与知识培训包括与任务完成及知识运用相关的辅助技能培训,如人与人之间关系处理技能、沟通与交流能力及小组团队精神、信息更新与跟踪,获得安全信息的技能、核对标准的方法、信息安全事件报告制度执行程序等。
任务与知识培训以课堂教学与讲座方式为主,其目的是使信息安全人员掌握信息安全标准、程序与规则及相关辅助技能,从而按部就班地进行信息安全操作与管理,设法避免与防止人因失误发生。尽管这种培训方法已被广泛地使用,但是,在该类培训中,信息安全人员没有经历人因失误见识,对偶然、不熟悉信息安全人因失误事件的纠正以及缓解信息人员的心理压力是不合适的。
模拟培训。信息安全人因失误模拟培训是一种人因失误见识与失误纠正技能培训,模拟真实或假设的信息安全人因失误事件与纠正经历,向培训人员系统地展示各种信息安全人因失误事件过程,扩大失误见识,帮助培训人员熟悉失误模型,有利于信息安全人因失误自我纠正见识策略的实现,避免在今后的信息安全工作中发生类似的人因失误。
真实事件模拟包括常见事件与偶然事件模拟。常见事件模拟培训有利于同类人因失误预防与纠正,偶然事件模拟培训为培训者增加经历偶然事件的机会。还有一种是假设事件模拟。Kraempf and Klein倡使用“智能模拟”技术进行假设人因失误模拟培训。“智能模拟”技术能够说明目前的情形是如何产生的(例如诊断事件原因),帮助信息人员推论他们未来的行为,从而及时制定应急纠正计划,应对可能的负面影响和其它不确定因素。可见,智能模拟技术对于偶然计划和诊断技能培训同样具有潜力。在此基础上,Com-mission of the European Communities研制了一种计算机化的人因失误预防系统――认知执行支持系统(Cog-nitive Execution Suppo Systems),它根据操作人员对任务环境的感知与行为,模拟操作人员真实环境,预测操作人员可能出现的失误,从而提前通知信息操作人员。
应急计划培训。应急计划培训是一种人因失误分析与纠正计划制定能力培训。在应急状态下,由于信息人员面临结果失败、信息安全问题解决时间限制、工作负荷、没有相关经验等认知压力,信息人员制造错误决策、降低操作技能及忽视重要提示信息等现象明显增加。在这种情况下,他们制定的应急计划通常非常脆弱,最终对于人因失误纠正是无效的。所以,信息安全人因失误应急计划培训是为了培养紧急状态下,信息人员分析与决策问题的能力,如状态评估、目标设置、应急计划制定等。这些是信息安全人员处理紧急信息安全人因失误事件必须的技能,以支持复杂和动态信息系统中人因失误纠正计划行为策略的实施。理想的应急计划培训采取启发式培训方法,诱导人因失误纠正知识,如失误原因关联知识,信息安全操作与处理知识,实现相关知识自适应转化与运用。
对动态的紧急事件的响应是一个复杂过程,应急计划培训包含认知与分析决策过程。COSMO(Con-finge Operator Stre Model)是一种在应急状态下,综合了认知与分析策略的准决策分析模型。基于该模型框架的应急计划培训,以CFS表(Consiste Fault Set)和DBS表(Decisional Balance Sheet)为工具,培养操作人员应急状态下的诊断与计划技能。CFS表记录了人因失误过程、失误可能的原因及说明,支持信息人员评估状态以及辨认事件潜在的原因。当人因失误原因诊断后,信息人员必须制定详细可行的应对失误计划。DBS是一种有效的调查研究、评价与制定计划工具,它督促当事人明确他们决策最佳纠正计划的标准与要求,帮助信息人员实施计划策略行为。将这两种工具综合运用在应急计划培训中,使得信息安全人员掌握了一种诊断和评价行为后果,制定应急计划的系统智能模型。
对信息安全的认识篇(11)
中图分类号:TP3-4 文献标识码:A 文章编号:1007-9599 (2012) 09-0000-02
一、计算机教学中信息安全教育的重要性
随着计算机技术的不断发展,互联网技术明显地改变了人们的生活方式与学习方式。一方面,互联网是一个大的信息库,为人们提供诸多信息便利,但另一方面,互联网络中的信息良莠不齐,也充斥着很多不安全因素,如:个人信息的泄露、黑客的攻击及计算机病毒等。基于这个角度,对于非机算机专业的学生而言,随着计算机网络的发展及普及,网络安全知识普及甚至比word、excel等办公软件的应用更重要,可是很多在校学生甚至还缺乏起码的安全认识。因此在计算机基础教学过程中融入信息安全知识非常必要,通过这些知识的学习与掌握,可以提高学生们自我保护的能力以及计算机技术的应用能力。
二、信息安全教学的主要内容
具体而言,计算机信息安全的教学内容包括以下几个方面:第一,信息安全的基础知识与安全技术,而实用技术则是指上述基础知识的实际应用,比如账户安全、系统还原、安全中心、PGP加密、恶意软件的防范、常见网络诈骗的防范等等;对于非计算机专业来说,基本知识部分只需讲清楚基本概念及工作原理即可,不要涉及太深入的专业知识。这一部分是信息安全教育的重要内容,它主要培养学生识别信息安全威胁、规避信息安全风险的能力,以及提高学生基本的信息安全防护能力。第二,法律层面,互联网络同样要遵循相应的法律法规。在教学过程中老师适当的对相关法律、法规进行介绍,可以增强学生的法律意识,加强其网络行为的自律性,并学会利用法律武器维护自身的权益。第三,网络伦理道德教育,强制性的法律条文以及相关的技术手段都带有一定的局限性与滞后性,所以要加强网络伦理道德教育,从道德层面加以约束。当然,现行的中职教材中上述内容介绍的很少,而这些确实是学生在今后的生活及工作中不可缺失的计算机基础知识,因此老师要结合教学实际以及学生的实际需要进行适当的增补。
三、常用的计算机安全软件
目前为止,常用的计算机安全软件有以下几种:第一,金山密保,这是一款启动很快的防护软件,安装后可以自动添加,在启动过程中不显示扫描程序,无延迟,支持手动与拖动添加功能;软件中包括安全桌面功能、木马速杀功能等,能够将常见木马及时清除;可以设置查杀时间频率,有隔离区功能。第二,江民密保,这是一款收费软件,提供网游、聊天、网银以及股票证券四个类别的保护;支持手动添加、自动识别;具有密码保存以及密码安全输入功能;自定义规则,指定监控或者扫描的模块;支持黑白名单,不过该软件需要收费。第三,360保险箱,该软件有较好的易用性,支持较多的保护工具,提供向导添加模式以及安装桌面选项,保护对象的修改或者添加比较方便;可以通过正在保护、保护历史功能查看软件的保护效果;提供云查杀引擎,对安全级别进行调整;包括硬盘还原保护器还原软件;如果提交的游戏无法识别,会默认添加360手机支付;第四,巨盾,一款多功能的防盗号软件,其功能包括五大项,即体检、查杀、密保、监控以及安全桌面等;默认密码保护功有几款网页游戏,可以手动添加;对保护对象设定单独保护策略,不支持自动添加;具备密保卡功能,选项中还包括文件粉碎、进程管理、文件修复以及一键清理等功能。第五,超级巡警保险箱,一款绿色软件,自动搜索功能将需要保护的软件添加进去,支持拖动添加,简洁的软件界面,对防护级别、交互模式可以设定,支持黑、白名单。
四、计算机教学中融入信息安全教育的措施
(一)制定科学、合理的教学目标
教学目标是指预先设定好的、在实际教学活动中要求达到的标准,可以说选择教学行为与教学内容均要以教学目标为中心。可以参照布卢姆的教育目标分类法,将教学目标分为认知、实践以及情感三个领域。计算机信息安全教育活动中,老师可以按照实际的课程特点以及非计算机专业中职学生的认知水平、知识结构来设计教学目标,在相关课程中融合信息安全教育。学生通过信息安全课程的学习,可以在认知领域了解、理解、掌握更多的信息安全方面的知识;而在实践方面,则可以熟练的应用一些安全防范措施或者保护工具等;在情感领域则树立起较强的信息安全意识,遵守信息技术的使用道德规范,培养良好的信息安全习惯,对信息技术的应用形成正确的价值观。
(二)将信息安全教育融入教学内容
完成教学目标的主要载体即是课堂教学内容,老师正是根据课堂教学内容完成教学活动。对于信息安全来说,其包括两个层面,即技术知识以及道德法规。上文中也提到,信息安全技术涉及到非常广泛的知识面,而要求学生掌握所有的知识也是不现实的,因此老师在实际的教学过程中,可以与所讲授的计算机课程内容相结合,将信息安全知识、信息安全防范以及相关的法律法规等有机的融入其中。比如在讲解操作系统的相关内容时,可以介绍系统漏洞、计算机病毒等基础知识,然后介绍如何下载、安装补丁程序,如何使用防毒软件与杀毒软件;在学习数据库时则将数据的备份与加密等知识点穿插在内;可以在网络课程中插入安全口令的设置方法、如何防止垃圾邮件、防火墙的基础知识与安装应用方法等,利用这些安全防范措施提高自我保护的意识。此外,对于非计算机专业的中职学生来说,还要注意对信息安全知识的优化处理,具体而言包括以下几点:
第一,要注意与计算机课程的衔接性,保证二者联系紧密,实现信息安全知识与计算机教学的无缝对接,提高教学内容的完整性;第二,教学内容的时效性与实效性,计算机技术的发展日新月益,相应计算机技术的学习也要与时俱进,而教材是几年才换一次,因此老师要选择与现实生活息息相关的、最新类型安全事件,结合实用性强的信息安全知识开展教学活动。比如介绍最新公布的病毒特征,讲解这些病毒的防范措施及查杀方法等,使学生可以感受到信息安全知识的实用性与可操作性;第三,要综合考虑学生的认知水平、知识结构以及接受能力等因素,对学生已掌握的计算机知识、实际的接受能力有全面的了解,再以此为基础选择教学内容,从而激发出学生的学习兴趣、学习热情;第四,计算机信息安全课程有较强的实践性,因此要充分利用学校现有资源,比如教学设备以及机房实验设备等,加强学生的实践操作。
(三)选择合理的教学方法
从某种意义上来讲,教学方法对教学效果会产生直接的影响,选择合理、适用的教学方法才可以更好的完成教学任务,提升教学质量,最终实现教学目标。将信息安全教育内容融入到计算机教学中去,可以利用引导式的教学手段,在课堂上创设信息安全相关知识的问题情境,拓展学生的思路,引导其积极探索,深入研究。例如在讲解文字处理软件时,讲解文件的保存方法,就可以创设如下问题情境:假如所保存的文件带有一定的机密性,那么如何才能保证只有作者本人、相关授权用户才能打开文件呢?学生立刻觉得这是一个非常实用的知识点,所以表现出很大的兴趣,此时再引入利用密码保护的方法,学生很容易就能接受,甚至会举一反三,提出“如何为文件夹加密”的问题。还可以采用任务驱动法,将信息安全的相关知识以任务的形式向学生提出来,让学生在解决任务的过程中掌握知识。需要注意的是,老师在讲解信息安全知识时要与课程计划相结合,主要的目标重心仍是顺利完成教学计划,不可主次不分;在课时安排方面,则要根据教学需要灵活掌握,以原教学内容课时为基础,将信息安全教育的内容穿插其中。也可以分层次教学,或开设选修课程,对于有兴趣或有知识需求的学生进行知识的拓展。
(四)法律道德教育
在计算机信息安全教育课程中,相关的信息安全法律法规、网络伦理道德教育等往往都是被忽略的内容,很多人都存在信息安全单纯属于技术层面的错误认识。其实这种认识带有强烈的片面性,信息安全最大的威胁因素就是人的行为,人们缺乏对信息安全法律法规的认识,网络道德行为存在严重缺失。现在我国已经制订了信息安全相关的法律、法规,在要信息安全课程中融入这些知识,引导学生了解信息犯罪需要承担的责任,做到自觉守法。此外,信息安全课程中还要融入法律的道德教育,构建一道有效的法律道德屏障。
总之,信息安全是一门综合性很强的交叉学科,目前处于迅速发展阶段,但它又是实用性很强的知识,计算机基础教学中的信息安全内容的与时俱进、融会贯通值得广大教育工作者探索、研究。
参考文献:
[1]于国华,于佳.计算机类专业信息安全教学研究[J].科技信息,2011,5
[2]王乐平.融信息安全教育于中职计算机教学中[J].职业教育苗研究,2009,5
