前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全保護(hù)措施主題范文,僅供參考,歡迎閱讀并收藏。
銀行借助于網(wǎng)絡(luò)技術(shù)獲得了飛速發(fā)展,借助于網(wǎng)絡(luò)技術(shù),催生了網(wǎng)絡(luò)銀行。與此同時,銀行網(wǎng)絡(luò)信息安全受到了威脅,用戶信息安全不能得到保障,需要加強(qiáng)對銀行網(wǎng)絡(luò)信息安全保護(hù),探索優(yōu)化途徑。本文對銀行網(wǎng)絡(luò)信息安全的保護(hù)措施和優(yōu)化途徑進(jìn)行研究,旨在提高銀行網(wǎng)絡(luò)信息的安全性。
【關(guān)鍵詞】
銀行;網(wǎng)絡(luò)信息;安全保護(hù);優(yōu)化
引言:
網(wǎng)絡(luò)技術(shù)的發(fā)展中產(chǎn)生了網(wǎng)絡(luò)銀行,網(wǎng)絡(luò)銀行的發(fā)展有賴于網(wǎng)絡(luò)技術(shù),但是與傳統(tǒng)銀行相比,網(wǎng)絡(luò)銀行有更多的風(fēng)險和隱患?,F(xiàn)階段,銀行網(wǎng)絡(luò)信息安全系統(tǒng)還不夠完善,其信息安全也得不到完善的法律保護(hù),使得銀行網(wǎng)絡(luò)信息安全存在很大隱患,需要加強(qiáng)對銀行網(wǎng)絡(luò)信息安全保護(hù),確保銀行用戶信息安全,促進(jìn)銀行健康穩(wěn)定發(fā)展。
一、產(chǎn)生網(wǎng)絡(luò)銀行信息安全問題的原因
產(chǎn)生網(wǎng)絡(luò)信息安全的原因主要有:①銀行借助于網(wǎng)絡(luò)技術(shù)業(yè)務(wù)范圍不斷擴(kuò)大,網(wǎng)絡(luò)銀行優(yōu)勢得到了充分發(fā)揮,但是銀行信息管理系統(tǒng)不完善,使得銀行信息安全出現(xiàn)問題。②網(wǎng)絡(luò)犯罪者攻擊銀行系統(tǒng),竊取銀行機(jī)密信息和資金,并且其攻擊手段借助于網(wǎng)絡(luò)技術(shù)在不斷提高,銀行信息安全技術(shù)出現(xiàn)了很多漏洞和弊端。③很多網(wǎng)絡(luò)銀行用戶信息安全意識不強(qiáng),并且不重視安全知識,不懂得如何規(guī)避網(wǎng)絡(luò)風(fēng)險,這也是網(wǎng)絡(luò)犯罪案件不斷增多的原因。
二、銀行網(wǎng)絡(luò)信息安全保護(hù)措施
2.1要建立健全銀行的信息管理系統(tǒng)
銀行要定期進(jìn)行隱患排查和入侵檢測,目的在于確保交易網(wǎng)絡(luò)和服務(wù)器的安全。銀行要及時對數(shù)據(jù)進(jìn)行備份,合理利用加密和訪問控制技術(shù),與客戶簽訂網(wǎng)銀安全協(xié)議證書,全面檢測系統(tǒng)漏洞。針對網(wǎng)絡(luò)病毒要建立網(wǎng)絡(luò)病毒安全防御體系,并且在銀行信息系統(tǒng)運(yùn)行過程中,實(shí)時進(jìn)行查殺病毒,以便隨時應(yīng)對。
2.2加強(qiáng)網(wǎng)絡(luò)技術(shù)人員隊(duì)伍的建設(shè)
著眼于長遠(yuǎn)可持續(xù)發(fā)展,增加網(wǎng)絡(luò)技術(shù)安全工作人員的數(shù)量,提高網(wǎng)絡(luò)運(yùn)維技術(shù)人員的技術(shù)水平,以提高信息安全意識作為出發(fā)點(diǎn),對其加強(qiáng)網(wǎng)絡(luò)安全培訓(xùn)和新技術(shù)的學(xué)習(xí),激發(fā)其的工作熱情。
2.3建立一套完備的應(yīng)急處置系統(tǒng)
銀行應(yīng)該在考慮自身網(wǎng)絡(luò)環(huán)境的前提下,從自身實(shí)際出發(fā),通過縝密的測試工作,形成一套操作性較強(qiáng)的應(yīng)急處理系統(tǒng),一旦銀行內(nèi)部管理系統(tǒng)遭到外部攻擊,能夠以最快的反應(yīng)速度抵擋外來攻擊,減少攻擊帶來的損失。
2.4建立健全有關(guān)法律法規(guī)
網(wǎng)絡(luò)銀行中存在較多交易憑據(jù),如:電子賬單、電子憑證、收支明細(xì)等資料,但是,目前該交易憑據(jù)的保護(hù),暫時沒有完整的法律保護(hù)體系,這是制約網(wǎng)絡(luò)銀行發(fā)展的一個重要因素。此外,我國在銀行網(wǎng)絡(luò)信息安全方面的立法還不夠健全,因此,需要充分加強(qiáng)在保護(hù)銀行網(wǎng)絡(luò)信息安全方面的立法力度,確保銀行網(wǎng)絡(luò)信息安全。
三、銀行網(wǎng)絡(luò)安全問題優(yōu)化策略
3.1解決系統(tǒng)漏洞
以光大銀行-網(wǎng)上銀行為例,廣大銀行的手機(jī)銀行系統(tǒng),設(shè)置了超時自動退出功能,如果在15分鐘內(nèi)不對手機(jī)銀行進(jìn)行任何操作,操作系統(tǒng)會自動退出手機(jī)銀行客戶端,客戶要進(jìn)行手機(jī)銀行操作需要再次登錄手機(jī)銀行。此外,廣大銀行為了確保手機(jī)銀行客戶端的安全,還專門設(shè)置了陽光令牌動態(tài)密碼,每分鐘自動刷新一次,使得手機(jī)銀行的使用更加安全可靠。
3.2解決手機(jī)銀行漏洞
為了確保手機(jī)銀行的安全,很多銀行采用的方法是綁定客戶信息與手機(jī)號,客戶要想登錄手機(jī)銀行就必須使用開戶時使用的銀行預(yù)留手機(jī)號,同時還需要輸入正確的登錄密碼,為了出現(xiàn)惡意探秘現(xiàn)象,手機(jī)銀行一般會設(shè)置輸錯累積次數(shù),一般手機(jī)銀行錯輸三次密碼就會自動鎖定。
3.3雙密碼措施
很多銀行為了避免惡意攻擊,都設(shè)置了雙密碼功能。對此,建設(shè)銀行的做法是設(shè)置登錄密碼以及交易密碼兩種控制方式,并且對錯輸次數(shù)進(jìn)行限制,超出錯輸次數(shù),當(dāng)日就無法正常登錄系統(tǒng)。首次登錄網(wǎng)上銀行,會提示用戶設(shè)置交易密碼,系統(tǒng)會對用戶設(shè)置的交易密碼進(jìn)行自動檢測,太簡單的密碼會提示重新設(shè)置,確保用戶的賬戶安全。此外,部分銀行在用戶登錄網(wǎng)銀系統(tǒng)時,提供了附加碼和小鍵盤服務(wù),防止用戶信息泄露。
總結(jié):
綜上所述,我們應(yīng)該提高銀行網(wǎng)絡(luò)信息安全防范意識,確保網(wǎng)絡(luò)銀行使用過程的安全。對于銀行網(wǎng)絡(luò)信息存在的安全隱患,我們要仔細(xì)分析原因,并且采取保護(hù)措施,探索優(yōu)化途徑,不斷提高銀行網(wǎng)絡(luò)信息的安全性,確保銀行用戶信息安全。
作者:周奉強(qiáng) 單位:中國人民銀行濟(jì)南分行
參考文獻(xiàn)
[1]趙麗君.我國網(wǎng)絡(luò)銀行信息安全問題研究[J].管理學(xué)家,2014(6)
關(guān)鍵詞:國土資源;信息化;制度
中圖分類號:TP316 文獻(xiàn)標(biāo)識碼:A文章編號:1007-9599 (2011) 10-0000-01
Talking on the Land System-level Protection Self-examination
Li Ling
(Guangxi Guigang Land&Resources Bureau,Guigang537100,China)
Abstract:Information Security Protection is a national economic and social information in the development process,improve the capacity and level of information security,national security,social stability and public interests, protect and promote the healthy development of basic information technology strategy.
Keywords:Land resources;Informatization;System
一、等級保護(hù)發(fā)展現(xiàn)狀
2007年由國土資源部信息化工作辦公室牽頭面開展了國土資源信息系統(tǒng)安全體系建設(shè)工作,其中嚴(yán)格根據(jù)等級保護(hù)管理辦法對全國整個國土信息系統(tǒng)安全等級保護(hù)工作主要分為定級、備案、整改、測評和監(jiān)督檢查五個環(huán)節(jié)。
二、等級保護(hù)定級簡法
等級保護(hù)政策將信息系統(tǒng)安全包括業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全,與之相關(guān)的受侵害客體和對客體的侵害程度可能不同,因此,信息系統(tǒng)定級也應(yīng)由業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全兩方面確定:
一是從業(yè)務(wù)信息安全角度反映的信息系統(tǒng)安全保護(hù)等級,稱業(yè)務(wù)信息安全保護(hù)等級。二是從系統(tǒng)服務(wù)安全角度反映的信息系統(tǒng)安全保護(hù)等級,稱系統(tǒng)服務(wù)安全保護(hù)等級。我們可以將其歸納為如下表格方便我們自己定級:(例如,A系統(tǒng)是某單位門戶網(wǎng)站。當(dāng)該網(wǎng)站被黑客攻擊后若篡改了系統(tǒng)內(nèi)容或者虛假新聞,則有可能對單位自身造成負(fù)面影響,使得公信力下降,屬于嚴(yán)重影響;其次該系統(tǒng)被黑客了虛假新聞有可能會煽動、迷惑社會群眾,造成社會混亂,屬于嚴(yán)重影響;但是該系統(tǒng)不涉及國家安全內(nèi)容,故對國家安全沒有任何影響)。
某單位A門戶網(wǎng)站系統(tǒng)定級:
業(yè)務(wù)信息安全被破壞時所侵害的客體 對相應(yīng)客體的侵害程度
一般損害 嚴(yán)重?fù)p害 特別嚴(yán)重?fù)p害
公民、法人和其他組織的合法權(quán)益 第一級 第二級 第二級
社會秩序、公共利益 第二級 第三級 第四級
國家安全 第三級 第四級 第五級
根據(jù)上表結(jié)果,某單位A門戶網(wǎng)站系統(tǒng)信息安全保護(hù)等級應(yīng)定為第三級(取最高級別)。
三、等級保護(hù)制度自查
安全管理制度主要涉及組織體系的運(yùn)作規(guī)則,確定各種安全管理崗位和相應(yīng)的安全職責(zé),并負(fù)責(zé)選用合適的人員來完成相應(yīng)崗位的安全管理工作,監(jiān)督各種安全工作的開展,協(xié)調(diào)各種不同部門在安全實(shí)施中的分工和合作,保證安全目標(biāo)的實(shí)現(xiàn)。
制度的文檔化管理是非常重要的工作。無論是人員管理、資產(chǎn)管理,還是技術(shù)管理和操作管理,都應(yīng)該建立起完備的文檔化體系,一方面讓安全活動有所依據(jù),另一方面也便于追溯和審查。安全策略文檔體系開發(fā)完成后,要形成包括信息安全方針、信息安全規(guī)范,相應(yīng)的安全標(biāo)準(zhǔn)和規(guī)范、各類管理制度、管理辦法和暫行規(guī)定等文檔。
各項(xiàng)制度自查項(xiàng)目如下:
1.存儲設(shè)備報廢銷毀管理規(guī)定;2.安全日志備份與檢查;3.人員離崗離職管理規(guī)定;4.固定資產(chǎn)管理制度;5.外部人員訪問機(jī)房管理情況;6.計(jì)算;7.機(jī)類設(shè)備維修維護(hù)規(guī)定;8.應(yīng)急預(yù)案;9.應(yīng)急演練;10.安全事件報告和處置管理制度;11.技術(shù)測評管理制度;12.安全審計(jì)管理制度。
四、等級保護(hù)技術(shù)自查
基本要求 技術(shù)要求控制點(diǎn) 技術(shù)防護(hù)措施
網(wǎng)絡(luò)安全 結(jié)構(gòu)安全 防火墻
訪問控制 防火墻或者路由器、交換機(jī)訪問控制列表
安全審計(jì) 安全審計(jì)系統(tǒng)
入侵防范 防火墻或者入侵防御系統(tǒng)
網(wǎng)絡(luò)設(shè)備防護(hù) 防火墻或者入侵防御系統(tǒng)
主機(jī)安全 身份鑒別 帳戶密碼、或者數(shù)字證書認(rèn)證
訪問控制 防火墻或者路由器、交換機(jī)訪問控制列表
安全審計(jì) 安全審計(jì)系統(tǒng)
入侵防范 防病毒軟件
惡意代碼防范 防病毒軟件
資源控制 防火墻或者路由器、交換機(jī)訪問控制列表
應(yīng)用安全 身份鑒別 帳戶密碼、或者數(shù)字證書認(rèn)證
訪問控制 防火墻或者路由器、交換機(jī)訪問控制列表
安全審計(jì) 安全審計(jì)系統(tǒng)
通信完整性 數(shù)字證書認(rèn)證
通信保密性 數(shù)字證書認(rèn)證或者VPN隧道
軟件容錯 雙機(jī)熱備系統(tǒng)
資源控制 防火墻或者路由器、交換機(jī)訪問控制列表
數(shù)據(jù)安全 數(shù)據(jù)完整性 數(shù)據(jù)庫加密
數(shù)據(jù)保密性 隔離網(wǎng)閘系統(tǒng)或者網(wǎng)絡(luò)隔離卡
安全備份 雙機(jī)熱備系統(tǒng)
建設(shè)財政信息的安全系統(tǒng)是財政管理改革發(fā)展中的要求。當(dāng)下財政信息化的應(yīng)用在全國各地的財政系統(tǒng)中正逐漸深入,覆蓋了各級財政部門和面向社會公眾的財政信息系統(tǒng)??梢哉f財政信息系統(tǒng)是各級財政系統(tǒng)進(jìn)行信息共享的平臺,目前由于大量需要保護(hù)的數(shù)據(jù)和信息存儲在財政信息系統(tǒng)中,所以對系統(tǒng)中運(yùn)行的安全保障提出了更高的要求。
【關(guān)鍵詞】等級保護(hù) 財政信息系統(tǒng) 信息安全
在財政信息系統(tǒng)安全建設(shè)的過程中,由于系統(tǒng)復(fù)雜、數(shù)據(jù)安全的屬性要求存在著差異,導(dǎo)致系統(tǒng)在不同程度上存在一定的脆弱性;在系統(tǒng)安全的規(guī)劃和設(shè)計(jì)中由于對策略認(rèn)識不夠,以致風(fēng)險延續(xù)到信息系統(tǒng)的運(yùn)行和維護(hù)管理階段。文章從我國信息安全等級體系的規(guī)范和標(biāo)準(zhǔn)著眼,對財政信息系統(tǒng)的安全保護(hù)等級模型進(jìn)行了分析,并提出了進(jìn)一步完善財政信息系統(tǒng)安全的措施。
1 信息安全的保護(hù)等級及其基本流程
目前信息安全技術(shù)和管理水平在不斷地提升和發(fā)展,人們逐漸意識到要想保障信息系統(tǒng)的安全,就要不斷完善信息安全管理和技術(shù)體系,構(gòu)建完整的信息系統(tǒng),并且為了把信息和信息系統(tǒng)的殘留風(fēng)險降低到最小級別,就要提高信息安全應(yīng)急處置的能力。由于當(dāng)前不同的信息和信息系統(tǒng),對其安全級別的要求也不盡相同,應(yīng)將管理策略、技術(shù)、工程過程等多個方面相結(jié)合,同時進(jìn)行客觀的綜合考慮,對信息系統(tǒng)的安全分類需要充分運(yùn)用信息安全等級保護(hù)的思想和方式。
1.1 信息系統(tǒng)安全保護(hù)等級
信息系統(tǒng)安全保護(hù)等級在《信息安全技術(shù)――信息系統(tǒng)安全等級保護(hù)基本要求》中劃分為五個等級,信息系統(tǒng)安全保護(hù)等級的第一級是用戶自主保護(hù)等級,用戶可根據(jù)自主訪問控制、身份鑒別和數(shù)據(jù)的完整性這三個條款進(jìn)行判斷;第二級是系統(tǒng)審計(jì)保護(hù)級,在第一級的基礎(chǔ)上增加了兩個條款,分別是客體重用和審計(jì);第三級是安全標(biāo)記保護(hù)級,在第二級的基礎(chǔ)上增加了強(qiáng)制訪問控制、標(biāo)記等條款;第四級是結(jié)構(gòu)化保護(hù)級,在第三級的基礎(chǔ)上增加了可信路徑和隱蔽信道分析;第五級是訪問驗(yàn)證保護(hù)級,在第四級的基礎(chǔ)上增加了可信恢復(fù)條款。這五個等級的基本內(nèi)容以信息安全的屬性為主,即網(wǎng)絡(luò)安全、系統(tǒng)安全、應(yīng)用安全、物理安全以及管理安全等五個方面,根據(jù)其不同要求,對安全信息系統(tǒng)的構(gòu)建、測評和運(yùn)行過程進(jìn)行管理和掌控,進(jìn)而實(shí)現(xiàn)對不同信息的類別按照不同的要求進(jìn)行等級安全保護(hù)的目標(biāo),盡管不同等級的條款中有些內(nèi)容是相似的,但在一定程度上仍然存在著差異,安全保護(hù)能力的要求會隨著保護(hù)等級的提升而逐漸增強(qiáng)。
1.2 信息系統(tǒng)安全等級保護(hù)實(shí)施的流程
信息系統(tǒng)安全等級保護(hù)實(shí)施的基本流程包括五個階段,分別是定級階段、備案階段、測評階段、整改階段、運(yùn)行和維護(hù)階段。其中等級保護(hù)工作的基本前提是系統(tǒng)劃分和定級工作,定級工作必須要首先確定,否則后面的工作將會無從做起;備案階段中,當(dāng)專家評審與自定級不同時,要重新定級,才能夠進(jìn)行備案工作;測評階段中指定的第三方測評機(jī)構(gòu)必須是權(quán)威機(jī)構(gòu),需要公正公平地對系統(tǒng)進(jìn)行測評;整改和復(fù)測階段中對于整改的項(xiàng)目要通過等級保護(hù)測評和風(fēng)險評估的方法進(jìn)行分析。等級保護(hù)工作要隨著信息系統(tǒng)建設(shè)的變化和發(fā)展而做出不斷循環(huán)的工作。
2 財政信息系統(tǒng)的等級保護(hù)
2.1 財政信息系統(tǒng)安全的架構(gòu)
在財政信息系統(tǒng)安全的架構(gòu)模式中,既包含計(jì)算機(jī)網(wǎng)絡(luò)通信和環(huán)境平臺、又有多種相關(guān)的業(yè)務(wù)平臺,并且這些應(yīng)用的安全等級各不相同,所以采取的安全保護(hù)策略也有所不同。財政信息系統(tǒng)規(guī)模大、系統(tǒng)復(fù)雜,按照系統(tǒng)的功能可以分為核心數(shù)據(jù)中心、采購管理、預(yù)算管理、業(yè)務(wù)門戶網(wǎng)站等多個子系統(tǒng),要按照業(yè)務(wù)應(yīng)用數(shù)據(jù)的不同性質(zhì)進(jìn)行不同安全等級的保護(hù)。總之要根據(jù)財政信息系統(tǒng)的實(shí)際情況,構(gòu)建一個相對完善的財政信息系統(tǒng)模型。
2.2 財政信息系統(tǒng)安全的等級區(qū)域的劃分
財政信息系統(tǒng)安全等級保護(hù)要根據(jù)系統(tǒng)的特點(diǎn)和性質(zhì)進(jìn)行不同區(qū)域的安全劃分,以實(shí)現(xiàn)不同強(qiáng)度下的安全保護(hù)。針對財政信息系統(tǒng)中不同子系統(tǒng)的實(shí)際情況,可以將財政信息網(wǎng)絡(luò)劃分為不同的安全保密等級區(qū)域,分別為業(yè)務(wù)核心區(qū),辦公用戶區(qū)域、專線用戶區(qū)域、內(nèi)部網(wǎng)與互聯(lián)網(wǎng)信息交換的區(qū)域等。
3 財政信息系統(tǒng)的等級的保護(hù)措施
在財政信息系統(tǒng)安全等級保護(hù)的建設(shè)工作中,目前采取內(nèi)網(wǎng)與外網(wǎng)物理隔離的方式,從物理上把財政業(yè)務(wù)中各個子系統(tǒng)與對外服務(wù)區(qū)進(jìn)行劃分,分別劃分到不同的子網(wǎng),在財政業(yè)務(wù)的防火墻上可以設(shè)置權(quán)限為允許的策略,源地址是內(nèi)部桌面,目的地址是業(yè)務(wù)服務(wù)器,對于其他服務(wù)的子系統(tǒng),同樣需要防火墻進(jìn)行隔離,使各子系統(tǒng)都有充分的隔離和清晰的界限,同時可以配置漏洞掃描設(shè)備的檢測設(shè)備,不定期對各個服務(wù)器進(jìn)行掃描。
數(shù)據(jù)備份能夠進(jìn)一步保障財政信息系統(tǒng)的安全,在財政信息系統(tǒng)應(yīng)用中需要配備存儲備份設(shè)備以實(shí)現(xiàn)數(shù)據(jù)自動備份,一旦系統(tǒng)出現(xiàn)故障,通過數(shù)據(jù)備份即可恢復(fù)。為了進(jìn)一步支持財政信息系統(tǒng)的穩(wěn)步運(yùn)行,可建立一個異地財政信息數(shù)據(jù)備份中心,以防財政信息系統(tǒng)發(fā)生災(zāi)難性故障時實(shí)現(xiàn)異地遠(yuǎn)程恢復(fù)的功能。
在財政信息系統(tǒng)安全保障體系建立的過程中,要嚴(yán)格依照等級保護(hù)下的安全管理制度、系統(tǒng)建設(shè)制度和相關(guān)財政系信息管理的法律及標(biāo)準(zhǔn),在建立完善的網(wǎng)絡(luò)安全管理機(jī)制的同時明確管理人員的職責(zé)。
4 結(jié)論
綜上所述,文章從我國信息安全等級體系的規(guī)范和標(biāo)準(zhǔn)著眼,對財政信息系統(tǒng)的安全保護(hù)等級模型進(jìn)行了分析,并提出了進(jìn)一步完善財政信息系統(tǒng)安全的有效措施。在財政信息建設(shè)的過程中,設(shè)計(jì)出一個科學(xué)合理、全面的信息安全解決方案是一個關(guān)鍵的任務(wù),要從我國信息安全等級體系的規(guī)范和標(biāo)準(zhǔn)著眼,對財政信息系統(tǒng)安全保障的體系進(jìn)行深入的探討,以達(dá)到切實(shí)保護(hù)財政信息系統(tǒng)安全的目的。
參考文獻(xiàn)
[1]龔雷.應(yīng)用安全透明支撐平臺體系結(jié)構(gòu)與模型研究[D].鄭州:信息工程大學(xué),2013.
[2]王會.基于等級保護(hù)的黨校網(wǎng)絡(luò)安全體系的研究與應(yīng)用[D].廣州:中山大學(xué),2012.
[3]劉莎莎.NN市委辦政務(wù)信息系統(tǒng)安全等級保護(hù)策略研究[D].南寧:廣西大學(xué),2012.
[4]高朝勤.信息系統(tǒng)等級保護(hù)中的多級安全技術(shù)研究[D].北京:北京工業(yè)大學(xué),2012.
目前為止,我國尚未形成完善的物聯(lián)網(wǎng)安全信息技術(shù)體系,導(dǎo)致多數(shù)物聯(lián)網(wǎng)示范工程的安全能力相對較低,這對維護(hù)我國經(jīng)濟(jì)發(fā)展、社會和諧穩(wěn)定、人民生命財產(chǎn)安全有著不利的影響。由此可見,建立和完善物聯(lián)網(wǎng)信息安全技術(shù)體系尤為重要,切實(shí)保障人們的財產(chǎn)權(quán)益,維護(hù)我國社會穩(wěn)定和促進(jìn)經(jīng)濟(jì)的快速發(fā)展。提高物聯(lián)網(wǎng)信息的安全性,可以促進(jìn)物聯(lián)網(wǎng)更好發(fā)展。
1 物聯(lián)網(wǎng)安全技術(shù)的挑戰(zhàn)
物聯(lián)網(wǎng)技術(shù)的迅速發(fā)展,既給社會帶來了積極影響,又有消極影響的存在。物聯(lián)網(wǎng)技術(shù)如同一把雙刃劍,利弊共存,可以造福人類的同時,也可以危害社會。所以,維護(hù)物聯(lián)網(wǎng)的信息安全十分重要,卻需要物聯(lián)網(wǎng)通過自力更生而實(shí)現(xiàn)。要想切實(shí)維護(hù)物聯(lián)網(wǎng)的信息安全,不能一蹴而就,需要在社會的發(fā)展過程中不斷進(jìn)行探索和嘗試,進(jìn)而促進(jìn)物聯(lián)網(wǎng)技術(shù)的更好發(fā)展。
物聯(lián)網(wǎng)的綜合性較強(qiáng),因而既需要接受傳統(tǒng)挑戰(zhàn),又需要面臨新的挑戰(zhàn)。一是物聯(lián)網(wǎng)有著較多的接入點(diǎn)、入口,不便于管理人員的管理,致使物聯(lián)網(wǎng)信息系統(tǒng)易被不法分子所攻擊,使得信息安全性受到嚴(yán)重威脅。二是物聯(lián)網(wǎng)的一些感知信息、控制信息,會實(shí)現(xiàn)遠(yuǎn)程傳輸,傳輸過程中的保密性、完整性難以保證,可能會給用戶帶來損失。三是物聯(lián)網(wǎng)的感知端經(jīng)常處于環(huán)境較為惡劣的情況下,用戶的信息安全受到威脅,如果用戶在使用物聯(lián)網(wǎng)期間,突發(fā)糟糕的狀況,沒有有效的安全措施可以應(yīng)對。四是物聯(lián)網(wǎng)信息系統(tǒng)受到控制,對用戶的安全有直接影響。五是物聯(lián)網(wǎng)中許多信息建筑在異構(gòu)網(wǎng)絡(luò)的基礎(chǔ)上,而異構(gòu)網(wǎng)絡(luò)間的信任度不夠,使得安全性能大打折扣。六是現(xiàn)有的一些維護(hù)物聯(lián)網(wǎng)安全的設(shè)備,其安全能力相對較低,沒有完善的安全處理機(jī)制,一旦發(fā)生危險情況,難以確保物聯(lián)網(wǎng)信息的安全。七是物聯(lián)網(wǎng)中的大量信息需要集中存儲,但其完整性、保密性不能得到更多保障,使其存在嚴(yán)重的安全風(fēng)險。八是物聯(lián)網(wǎng)中一些信息涉及到我國保密問題,需要系統(tǒng)進(jìn)行隔離和處理,在此過程中,可能會引發(fā)新的信息管理問題[1]。
2 物聯(lián)網(wǎng)信息安全技術(shù)體系的探討
2.1 物聯(lián)網(wǎng)信息安全技術(shù)體系的研究思路
物聯(lián)網(wǎng)為用戶提供一個完整的整體,但其安全措施相加在一起,安全性能仍然相對較低。所以,要想建立有效的物聯(lián)網(wǎng)信息安全技術(shù)體系,必須要充分考慮物聯(lián)網(wǎng)中子系統(tǒng)間的安全等級,進(jìn)而提高物聯(lián)網(wǎng)信息的安全度,以解除物聯(lián)網(wǎng)中存在的安全隱患。一方面從技術(shù)著手,另一方面從管理著手,對物聯(lián)網(wǎng)信息系統(tǒng)中存在的風(fēng)險、隱患進(jìn)行有效分析,并在遵循安全原則的基礎(chǔ)上,使自主保護(hù)與重點(diǎn)保護(hù)相結(jié)合,更好維護(hù)物聯(lián)網(wǎng)的信息安全。建立物聯(lián)網(wǎng)信息安全技術(shù)體系,以等級保護(hù)為主要思想,通過對物聯(lián)網(wǎng)子系統(tǒng)的有效保護(hù),去實(shí)現(xiàn)對物聯(lián)網(wǎng)整體的保護(hù),不僅使得保護(hù)措施更加有效,而且為廣大用戶提供了更加安全的網(wǎng)絡(luò)空間 [2]。
2.2 建立物聯(lián)網(wǎng)信息安全技術(shù)體系的模型
架構(gòu)物聯(lián)網(wǎng)的安全等級、安全技術(shù)、安全網(wǎng)絡(luò)三個維度,可以使安全技術(shù)體系模型更加完善。就物聯(lián)網(wǎng)的安全等級而言,物聯(lián)網(wǎng)信息系統(tǒng)是一個整體,分為若干子系統(tǒng),對子系統(tǒng)進(jìn)行有效的安全防護(hù),以適度保護(hù)、重點(diǎn)保護(hù)等方法,鞏固物聯(lián)網(wǎng)的安全系統(tǒng)。就架構(gòu)物聯(lián)網(wǎng)的安全技術(shù)而言,可以從技術(shù)、管理、運(yùn)維三方面以建立防御體系,完善物聯(lián)網(wǎng)信息安全的基礎(chǔ)設(shè)施。就架構(gòu)物聯(lián)網(wǎng)的安全網(wǎng)絡(luò)而言,從物聯(lián)網(wǎng)信息系統(tǒng)的組成部分著手進(jìn)行安全防護(hù),對不同等級層次的安全問題進(jìn)行隔離和分解,使物聯(lián)網(wǎng)信息系統(tǒng)受到各層次的安全防護(hù)[3]。
2.3 物聯(lián)網(wǎng)的等級保護(hù)
2.3.1 劃分物聯(lián)網(wǎng)信息的安全等級
依據(jù)國家對物聯(lián)網(wǎng)信息安全的有關(guān)規(guī)定,從信息安全和系統(tǒng)安全兩個角度分別實(shí)行安全等級保護(hù),前提條件是將物聯(lián)網(wǎng)信息系統(tǒng)有計(jì)劃的進(jìn)行等級劃分。一方面,可以根據(jù)作用域進(jìn)行等級劃分,以不同信息系統(tǒng)為單位實(shí)現(xiàn)安全保護(hù);另一方面,根據(jù)網(wǎng)絡(luò)域進(jìn)行等級劃分,以網(wǎng)絡(luò)為單位實(shí)現(xiàn)安全保護(hù)。通常情況下,將物聯(lián)網(wǎng)整體劃分為若干安全等級,可以更加有效的實(shí)現(xiàn)物聯(lián)網(wǎng)信息安全保護(hù)。
2.3.2 完善信息安全的基礎(chǔ)設(shè)施
完善物聯(lián)網(wǎng)信息安全的基礎(chǔ)設(shè)施,可以使物聯(lián)網(wǎng)中不同網(wǎng)絡(luò)、不同域之間互通,有利于實(shí)現(xiàn)物聯(lián)網(wǎng)的信息安全保護(hù)。現(xiàn)階段,我國有關(guān)部門出臺了物聯(lián)網(wǎng)信息安全相關(guān)的政策、意見等,并提出了統(tǒng)籌規(guī)劃物聯(lián)網(wǎng)信息安全基礎(chǔ)設(shè)施的明確計(jì)劃。在此基礎(chǔ)上,物聯(lián)網(wǎng)的信息安全可以得到較多保障,其安全技術(shù)體系愈加完善[4]。
2.3.3 建立有效的安全防御體系
(1)橫向防御體系。橫向防御體系指的是從感知、網(wǎng)絡(luò)、應(yīng)用三個層次進(jìn)行物聯(lián)網(wǎng)信息的安全考慮。首先,感知層通過感知端采集的數(shù)據(jù)信息方面進(jìn)行安全防護(hù),確保數(shù)據(jù)采集的安全可靠性。其次,網(wǎng)絡(luò)層確保數(shù)據(jù)傳遞的安全,用戶使用物聯(lián)網(wǎng)過程中,通過網(wǎng)絡(luò)可以實(shí)現(xiàn)數(shù)據(jù)信息的傳輸,從網(wǎng)絡(luò)層進(jìn)行物聯(lián)網(wǎng)的安全防御,可以有效避免數(shù)據(jù)傳輸?shù)牟煌暾F(xiàn)象出現(xiàn)和營造安全的遠(yuǎn)程傳輸環(huán)境。最后,應(yīng)用層確保主機(jī)數(shù)據(jù)的安全,對存儲數(shù)據(jù)進(jìn)行分析、處理。
(2)縱向防御體系。物聯(lián)網(wǎng)的信息數(shù)據(jù)由感知端獲取,通過網(wǎng)絡(luò)傳遞至應(yīng)用層,歷經(jīng)的過程就是縱向手段。建立縱向防御體系,使物聯(lián)網(wǎng)的各層級間有適度的安全隔離,可以有效規(guī)避安全隱患和風(fēng)險。感知端獲取數(shù)據(jù)信息時,需要與網(wǎng)絡(luò)層有通路,以可行的手段得到網(wǎng)絡(luò)層的認(rèn)可,方可實(shí)現(xiàn)數(shù)據(jù)信息的傳輸;應(yīng)用層與網(wǎng)絡(luò)層之間有適度的邊界防護(hù),有效發(fā)揮著隔離的作用。所以,數(shù)據(jù)信息在物聯(lián)網(wǎng)的整個過程中可以以其完整性形態(tài)存在。
2.4 根據(jù)等級化的信息建立安全防護(hù)策略
物聯(lián)網(wǎng)信息安全技術(shù)體系是一個整體,可以分為若干子系統(tǒng),要想確保物聯(lián)網(wǎng)信息安全技術(shù)體系的完整和有效,必須針對不同子系統(tǒng)、不同網(wǎng)絡(luò)域的安全等級而采取不同的安全防護(hù)措施,合理選擇重點(diǎn)保護(hù)或適度保護(hù),以充分發(fā)揮物聯(lián)網(wǎng)信息安全技術(shù)體系的有效性,用等級保護(hù)促使物聯(lián)網(wǎng)信息系統(tǒng)無懈可擊 [5]。
3 結(jié)束語
隨著我國經(jīng)濟(jì)水平和科技水平的不斷提高,物聯(lián)網(wǎng)技術(shù)的應(yīng)用更加廣泛,對人類生活有著較大的影響和作用,所以保障物聯(lián)網(wǎng)信息安全是重要的問題。本文對物聯(lián)網(wǎng)信息安全技術(shù)面臨的挑戰(zhàn)進(jìn)行了深入分析,以及對物聯(lián)網(wǎng)信息安全技術(shù)體系進(jìn)行了有效研究,為保障人民財產(chǎn)安全,促進(jìn)經(jīng)濟(jì)發(fā)展和維護(hù)社會穩(wěn)定發(fā)揮著良好的作用。
物聯(lián)網(wǎng)要實(shí)現(xiàn)進(jìn)一步地推廣和應(yīng)用規(guī)模,必須提高物聯(lián)網(wǎng)的安全性能,減少安全威脅。文章首先提出了物聯(lián)網(wǎng)存在的四個安全問題:物理安全問題、核心網(wǎng)絡(luò)的信息傳輸和安全問題、標(biāo)簽安全問題、加密機(jī)制問題,并提出解決問題的對策。
【關(guān)鍵詞】物聯(lián)網(wǎng) 感知節(jié)點(diǎn) 信息安全 法律法規(guī)
1 物聯(lián)網(wǎng)安全問題
和傳統(tǒng)的網(wǎng)絡(luò)相比,物聯(lián)網(wǎng)的感知節(jié)點(diǎn)通常被部署在缺少人力監(jiān)控的部位,因而物聯(lián)網(wǎng)具有保護(hù)能力不強(qiáng)、資源限制因素多的特點(diǎn)。再者物聯(lián)網(wǎng)的感知網(wǎng)絡(luò)和智能護(hù)理平臺都在建立在已有的傳輸網(wǎng)絡(luò)的基礎(chǔ)上擴(kuò)展而來,已有的網(wǎng)絡(luò)安全措施難以保障物聯(lián)網(wǎng)的安全,導(dǎo)致物聯(lián)網(wǎng)的安全問題存在很大的特殊性,物聯(lián)網(wǎng)安全問題主要體現(xiàn)在以下三個方面。
1.1 物理安全
物理安全主要指的是傳感器的安全問題。傳感器容易遭受安全威脅主要有三個原因,一是物聯(lián)網(wǎng)系統(tǒng)中使用了大量的傳感器用于標(biāo)識物品或設(shè)備,而且這是傳感器被布置在缺少安全監(jiān)控的環(huán)境中;二是傳感器本身也因功能少而攜帶的能量不多,傳感器自身缺乏復(fù)雜的安全保護(hù)能力;三是傳感器傳輸?shù)臄?shù)據(jù)和消息具有多樣性的特點(diǎn),傳輸?shù)男畔⒑蛿?shù)據(jù)的標(biāo)準(zhǔn)不統(tǒng)一和固定,難以形成統(tǒng)一的安全保護(hù)體系保護(hù)傳感器。所以,攻擊者很容易干擾、屏蔽傳感器,或直接截獲傳感器傳輸?shù)男盘柕取H绻麄鞲衅鞯耐ㄐ艆f(xié)議被他人攻破,傳感器會被他人操控;攻擊者也可以通過干擾傳感器影響標(biāo)示設(shè)備的正常運(yùn)行等等。
1.2 核心網(wǎng)絡(luò)的信息傳輸和安全問題
雖然物聯(lián)網(wǎng)的核心網(wǎng)絡(luò)具有較好的自我安全保護(hù)能力,但是核心網(wǎng)絡(luò)的信息傳輸和信息安全也存在問題。例如網(wǎng)絡(luò)擁擠和堵塞。在物聯(lián)網(wǎng)中存在數(shù)量眾多的節(jié)點(diǎn),而且這些節(jié)點(diǎn)以集群的方式存在于物聯(lián)網(wǎng)中,因而可能出現(xiàn)因大量機(jī)器同時進(jìn)行數(shù)據(jù)傳輸而導(dǎo)致網(wǎng)絡(luò)出現(xiàn)擁擠和堵塞的情況。除此之外,物聯(lián)網(wǎng)以人的通信角度來設(shè)計(jì)通信網(wǎng)絡(luò)安全架構(gòu),這種架構(gòu)只適用于人的通信,而機(jī)器不適合使用這種架構(gòu)進(jìn)行通信,物聯(lián)網(wǎng)機(jī)器之間的邏輯關(guān)系會因此被割裂。
1.3 標(biāo)簽安全
首先是標(biāo)簽自身安全問題。當(dāng)標(biāo)簽實(shí)體被他人盜取后,攻擊者可以通過專用工具拆除或改裝實(shí)體標(biāo)簽的芯片,就能直接獲取標(biāo)簽的信息,也可以直接復(fù)制、篡改或偽造射頻識別標(biāo)簽。其次是標(biāo)簽的掃描問題。標(biāo)簽的信息經(jīng)常在不經(jīng)許可的情況下被其它閱讀器隨意讀取,造成個人身份認(rèn)證、秘鑰等重要信息被他人竊取。標(biāo)簽通常會發(fā)出可以穿透墻體或金屬的無線射頻信號,閱讀器經(jīng)常利用無線射頻信號來讀取標(biāo)簽的信息。最后是標(biāo)簽的跟蹤和定位問題。無線射頻信號自身無法識別閱讀器的合法性,只要閱讀器的頻率和無線射頻信號頻率一致,即發(fā)出相應(yīng)信號,攻擊者可以通過信號掌握標(biāo)簽攜帶者的地理位置。
2 物聯(lián)網(wǎng)安全威脅的對策
在物聯(lián)網(wǎng)產(chǎn)業(yè)快速發(fā)展以及物聯(lián)網(wǎng)應(yīng)用不斷變化的背景下,只有解決物聯(lián)網(wǎng)安全危險才能滿足需求。在技術(shù)上,物聯(lián)網(wǎng)的安全機(jī)制的可靠程度要進(jìn)一步提高,部署的安全策略也應(yīng)更加有效和細(xì)粒度;在客觀上,政府要完善與物聯(lián)網(wǎng)相關(guān)的法律和法規(guī),為物聯(lián)網(wǎng)發(fā)展?fàn)I造和諧、安全的環(huán)境。
2.1 構(gòu)建安全網(wǎng)絡(luò)構(gòu)架
雖然物聯(lián)網(wǎng)技術(shù)有了一定的提高,物聯(lián)網(wǎng)應(yīng)用也較為廣泛,但從整體來看,物聯(lián)網(wǎng)技術(shù)和應(yīng)用的發(fā)展仍處于初級階段,物聯(lián)網(wǎng)網(wǎng)絡(luò)層的節(jié)點(diǎn)之間沒有缺乏統(tǒng)一的使用標(biāo)準(zhǔn)和協(xié)議,且節(jié)點(diǎn)的使用標(biāo)準(zhǔn)和協(xié)議存在很強(qiáng)的地域性。節(jié)點(diǎn)協(xié)議的差別正是造成物聯(lián)網(wǎng)容易遭受惡意攻擊的主要原因。因此政府要加快制定統(tǒng)一節(jié)點(diǎn)協(xié)議的步伐,提高物聯(lián)網(wǎng)應(yīng)用的安全性能。
2.2 信息安全保護(hù)措施
首先,提高信息傳輸安全。要提高物聯(lián)網(wǎng)信息傳輸安全,必須完善秘鑰管理機(jī)制。秘鑰可以分為臨時秘鑰和共享秘鑰兩種。用戶要根據(jù)具體情況在選擇秘鑰。如果選擇共享秘鑰,在使用前要檢查節(jié)點(diǎn)之間建立共享秘鑰,否則認(rèn)證方案難以順利實(shí)施。要提高秘鑰的安全性能,還可以從改進(jìn)秘鑰管理機(jī)制和機(jī)密算法兩個方面著手。其次,保護(hù)用戶隱私。用戶隱私被泄漏是物聯(lián)網(wǎng)最常見的問題之一,用戶隱私信息被他人竊取將直接威脅用戶的人身、財產(chǎn)安全。要保護(hù)用戶隱私信息不被泄露,可以采用加密和嚴(yán)格授權(quán)制度兩種方式提高用戶隱私信息的安全性。將用戶信息加密,并且只有解密秘鑰的持有者才能獲取其中信息,可以有效的提高傳輸過程中的安全性能而不被他人竊取。不過受傳感器自身節(jié)點(diǎn)的缺陷影響,輕量級的加密方式是最好的加密方式。
2.3 感知節(jié)點(diǎn)的本地安全
被破壞、復(fù)制以及更換軟硬件等問題是感知節(jié)點(diǎn)最容易出現(xiàn)的問題,解決些問題、提高感知節(jié)點(diǎn)的本地安全可以從兩個角度出發(fā)。第一,感知節(jié)點(diǎn)容易遭受外界破壞的主要原因在于傳感器網(wǎng)絡(luò)自身特點(diǎn),因此要提高感知節(jié)點(diǎn)的安全性能只能依賴其他技術(shù)的幫助。例如在和節(jié)點(diǎn)通信之間要加強(qiáng)節(jié)點(diǎn)的身份核實(shí)和認(rèn)證;設(shè)計(jì)和更新秘鑰協(xié)商方案,避免一個節(jié)點(diǎn)信息泄漏后而導(dǎo)致其它節(jié)點(diǎn)信息也被泄漏。第二,加裝感知節(jié)點(diǎn)保護(hù)設(shè)施。如建立遠(yuǎn)程終端控制平臺加強(qiáng)節(jié)點(diǎn)的管理和監(jiān)控;設(shè)置冗余節(jié)點(diǎn),提高節(jié)點(diǎn)在遭受攻擊時的網(wǎng)絡(luò)自我修復(fù)能力,避免網(wǎng)絡(luò)出現(xiàn)運(yùn)行故障。加裝節(jié)點(diǎn)保護(hù)設(shè)施需要大量的資金支持才能實(shí)現(xiàn),是制約該方式實(shí)現(xiàn)的主要原因。
2.4 完善物聯(lián)網(wǎng)相關(guān)法律法規(guī)
物聯(lián)網(wǎng)產(chǎn)在我國發(fā)展和應(yīng)用的時間較短,還是一個新興的產(chǎn)物,因而我國至今還沒有針對物聯(lián)網(wǎng)制定有針對性的安全管理及時以及其它技術(shù)標(biāo)準(zhǔn)。在缺少法律法規(guī)的約束下,物聯(lián)網(wǎng)的漏洞容易被不法分子竊取。因此,政府要根據(jù)物聯(lián)網(wǎng)的特點(diǎn)采取有針對性地防御保護(hù)措施,為打擊不法分析的行為提供法律依據(jù)。尤其在個人隱私信息的保護(hù)上,國家更加應(yīng)該盡快制定相應(yīng)的法律為個人隱私信息的保護(hù)提供支持。
3 結(jié)語
物聯(lián)網(wǎng)的應(yīng)用雖然為經(jīng)濟(jì)的發(fā)展帶來巨大的機(jī)遇,可以促進(jìn)我國社會經(jīng)濟(jì)發(fā)展、保障社會穩(wěn)定和諧,但是應(yīng)用物聯(lián)網(wǎng)的同時的個人信息安全問題也無法避免。因此政府和相關(guān)科研人員必須共同努力,在不斷完善物聯(lián)網(wǎng)技術(shù)的同時完善相關(guān)的法律法規(guī),共同打造一個可靠的物聯(lián)網(wǎng)服務(wù)平臺。
參考文獻(xiàn)
[1]王利,賀靜,張暉.物聯(lián)網(wǎng)的安全威脅及需求分析[J].信息技術(shù)與標(biāo)準(zhǔn)化,2011(05).
[2]邵華,范紅,張冬芳,張琪.物聯(lián)網(wǎng)信息安全整體保護(hù)實(shí)現(xiàn)技術(shù)研究[J].信息安全與技術(shù),2011(09).
[3]羅蓉.物聯(lián)網(wǎng)的發(fā)展和應(yīng)用研究[J].信息與電腦(理論版),2011(03).
作者簡介
李洪洋,男,大學(xué)本科學(xué)歷,現(xiàn)為山東消防總隊(duì)工程師,主要從事計(jì)算機(jī)業(yè)務(wù)應(yīng)用及網(wǎng)絡(luò)管理。
1.1防范sql的注入
一般來說,網(wǎng)站設(shè)計(jì)的程序員在進(jìn)行編寫代碼使需要對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,防止信息輕易被泄露,但是如果程序員在網(wǎng)站設(shè)計(jì)時沒有進(jìn)行這項(xiàng)操作的話,用戶就可以通過提交數(shù)據(jù)庫查詢代碼的方式。根據(jù)程序返回的結(jié)果獲得用戶想知道的數(shù)據(jù)信息資料,這就是所謂的sql注入。Spl的注入很容易就可以使信息被泄露,因此,網(wǎng)站的程序員一定要對用于輸入的數(shù)據(jù)進(jìn)行合法性判斷,對信息安全進(jìn)行防御保護(hù)。
1.2or1=1以及union語句的注入
‘or1=1’注入是指在登錄某系統(tǒng)時可以繞過密碼驗(yàn)證,利用任意用戶名登入系統(tǒng)內(nèi)的侵入方式,它是網(wǎng)絡(luò)應(yīng)用中非常經(jīng)典的注入語句。這種注入方式是利用程序員在編寫驗(yàn)證程序的時候,沒有驗(yàn)證用戶的輸入是否含有非預(yù)期的字符串,直接傳遞給計(jì)算機(jī)函數(shù)執(zhí)行用戶的操作請求,這種語句注入方式可以讓密碼匹配與否變得不再重要,而是直接繞過密碼驗(yàn)證進(jìn)入系統(tǒng),輕易地獲取用戶資料與信息。與or1=1注入語句不同的是,union可以通過該語句的特殊性讓程序原本默認(rèn)的語句出錯,通過讓程序執(zhí)行union之后自己構(gòu)造的sql語句來達(dá)到語句注入的目的,并直接侵入程序內(nèi)部。
1.3xss跨站攻擊
xss是一種常見的網(wǎng)站攻擊的手段。xss的工作原理與sql注入相差不大,只是xss是通過將javascript腳本注入到html標(biāo)簽中的方式,刻意的將惡意內(nèi)容輸入到網(wǎng)頁輸入框內(nèi),當(dāng)這些惡意的輸入內(nèi)容重新讀回到網(wǎng)站客戶端時,瀏覽器會自動解釋并執(zhí)行這些惡意的腳本內(nèi)容,通過影響網(wǎng)頁的正常顯示從而達(dá)到腳本片段注入的目的。
1.3.1xss探測
在判斷一個網(wǎng)站是否存在xss漏洞是,通常需要輸入探測語句進(jìn)行網(wǎng)站漏洞監(jiān)檢測,首先要輸入檢測語句,然后找到該語句執(zhí)行的地方,如果該地方有彈出窗口就意味著這個網(wǎng)站存在xss漏洞。如果確定該網(wǎng)站存在信息安全漏洞,黑客就會有很多種攻擊手法侵入計(jì)算機(jī)網(wǎng)絡(luò)內(nèi)部,他們可以通過將當(dāng)前的網(wǎng)頁重定向到其他的網(wǎng)頁中去的方式達(dá)到刷網(wǎng)站流量的目的,除此之外,黑客還可以通過在專享網(wǎng)站上掛上木馬程序的手段,給網(wǎng)站種下病毒,一旦有不知情的用戶進(jìn)入該網(wǎng)站,他們的電腦就會自動感染上木馬病毒。
1.3.2xss的利用
XSS是在web應(yīng)用中經(jīng)常出現(xiàn)的計(jì)算機(jī)安全漏洞,它通過將代碼植入網(wǎng)頁的方式利用XSS漏洞控制計(jì)算機(jī)。這種類型的安全漏洞也常常被黑客利用來編寫惡意的程序。我們在有些網(wǎng)站進(jìn)行瀏覽的時候,經(jīng)常會出現(xiàn)有廣告彈出的現(xiàn)象,黑客可以利用xss攻擊頁面,使那些正在瀏覽該網(wǎng)站信息的計(jì)算機(jī)用戶自動彈出窗口,并且利用這種彈窗在頁面掛上木馬病毒,讓網(wǎng)頁用戶無辜感染木馬病毒,以此來獲得用戶信息。1.3.3利用‘iframe’標(biāo)簽進(jìn)行xss攻擊iframe的主要功能是在網(wǎng)頁中嵌入其他網(wǎng)頁是一個很常用的html標(biāo)簽,它可以通過height屬性和src指定所嵌頁面的具體信息??梢詫㈨撁娴刂吩O(shè)置為被掛馬的網(wǎng)頁進(jìn)行cookie數(shù)據(jù)的竊取。
2安全防御常用方法
2.1安全措施對用戶透明
進(jìn)行網(wǎng)站的信息安全保護(hù)時要盡量做到安全措施對用戶透明,讓用戶很難清除安全保護(hù)措施的應(yīng)用。如果這種方法難以操作可以采用較為常見的信息安全防御措施。最直接的方式就是在用戶訪問受控信息或服務(wù)之前,讓他們輸入用戶名和密碼,這也是一種比較好的常用的信息安全保護(hù)措施。
2.2對數(shù)據(jù)進(jìn)行隨時跟蹤
任何一個有責(zé)任意識的網(wǎng)絡(luò)程序開發(fā)者,都會對數(shù)據(jù)進(jìn)行隨時的跟蹤。通過對數(shù)據(jù)信息的動向進(jìn)行跟蹤觀測防止出現(xiàn)信息安全問題。數(shù)據(jù)信息的時時跟蹤其實(shí)是一種比較有難度的信息監(jiān)測手段,特別是一些開發(fā)者對該運(yùn)用原理不夠了解的情況下,進(jìn)行尤其是當(dāng)你對web的運(yùn)做原理沒有進(jìn)行深入理解時。一些開發(fā)者雖然對網(wǎng)站的開發(fā)環(huán)境很有經(jīng)驗(yàn),但是對web不是很有經(jīng)驗(yàn)的時候,就會在程序開發(fā)中犯錯并制造安全漏洞。
2.3對輸入信息進(jìn)行過濾
對輸入的信息進(jìn)行過濾的方法是保證網(wǎng)絡(luò)信息安全的重要條件,也是驗(yàn)證輸入的數(shù)據(jù)合法性的過程。通過對用戶輸入信息的確認(rèn)對數(shù)據(jù)進(jìn)行過濾。這種信息過濾的方式可以避免一些病毒在未知的情況下被誤用。目前大多數(shù)常用的php應(yīng)用都存在缺少數(shù)據(jù)過濾引起信息安全漏洞。
2.4如何防止sql的注入
雖然網(wǎng)絡(luò)系統(tǒng)的注入的手段很豐富,但這些注入方式都有一個共同點(diǎn),就是它們都是利用程序沒有信息過濾這一弱點(diǎn)。因此,如果要防止非法注入,也就需要對查詢語句進(jìn)行過濾,一般來說,計(jì)算機(jī)程序的函數(shù)是通過正則表達(dá)式進(jìn)行常用語句匹配并對這些語句進(jìn)行過濾。因此,只要采用了過濾之后的函數(shù),利用注入的方式侵入系統(tǒng)的話都會是失敗的。
3結(jié)束語
關(guān)鍵詞:商業(yè)秘密;信息安全;保護(hù);資產(chǎn);大數(shù)據(jù)
1信息安全工作的本質(zhì)是商業(yè)秘密保護(hù)
商業(yè)秘密保護(hù)一直是企業(yè)內(nèi)部管理的薄弱環(huán)節(jié),企業(yè)也是信息安全泄密事件的高發(fā)群體,受到商業(yè)秘密侵權(quán)的損害也最大。其原因在于企業(yè)的創(chuàng)始人基本沒有商業(yè)秘密的意識,也沒有在機(jī)構(gòu)上設(shè)立保密部門,更沒有建立有效的商業(yè)秘密保護(hù)管理機(jī)制,因此導(dǎo)致商業(yè)秘密容易被侵權(quán)。按照我國《反不正當(dāng)競爭法》的規(guī)定,屬于商業(yè)秘密范疇的信息須具備以下三個條件:不為公眾所知悉、能帶來經(jīng)濟(jì)利益、采取保密措施。根據(jù)商業(yè)秘密的特點(diǎn),可以發(fā)現(xiàn)商業(yè)秘密屬于具有經(jīng)濟(jì)價值且被保護(hù)的企業(yè)信息資源,這種資源在企業(yè)內(nèi)部有限范圍內(nèi)共享。當(dāng)下,有關(guān)商業(yè)秘密的法律訴訟已不是新鮮事。2017年,安徽一橡塑制品公司員工辭職后入股競爭對手,不僅帶走老東家的技術(shù)資料,還“搶了”老顧客生意。法院采取“實(shí)質(zhì)性相同加接觸”規(guī)則推定其與新東家構(gòu)成侵權(quán),判賠80萬元。據(jù)德國《經(jīng)濟(jì)周刊》網(wǎng)站2017年12日報道,荷蘭警方日前逮捕了一名65歲男子,該男子為西門子員工,涉嫌將西門子商業(yè)機(jī)密泄露給中國企業(yè),荷蘭檢察院目前正對此案展開調(diào)查。以上兩個案例中的企業(yè)商業(yè)秘密保護(hù)的一個側(cè)面。大數(shù)據(jù)時代的核心是資源共享,任何企業(yè)都不是一個封閉的組織,任何組織和個人都可以有償或者無償獲得他們所需要的信息。因此,要做好企業(yè)的信息安全工作,必須厘清商業(yè)秘密保護(hù)與信息安全之間的關(guān)系。商業(yè)秘密保護(hù)的對象是企業(yè)的技術(shù)或經(jīng)營信息,因此商業(yè)秘密保護(hù)的本質(zhì)也是保護(hù)信息安全。泄密事件層出不窮,泄密手段越來越高科技。大部分企業(yè)在信息安全工作中,存在一些典型的誤區(qū):業(yè)務(wù)部門認(rèn)為沒有商業(yè)秘密可言,搞信息安全只是IT部門的事情;業(yè)務(wù)部門不知道哪些信息屬于商業(yè)秘密,信息安全工作推進(jìn)沒有依據(jù);業(yè)務(wù)部門的海量信息都需要保護(hù),保護(hù)范圍無限擴(kuò)大,見圖1。
2信息安全工作不能奔走救火
市場經(jīng)濟(jì)競爭越來越激烈,泄密風(fēng)險越來越多,商業(yè)秘密的價值越來越高。泄密的途徑和方式多種多樣,要想做好信息安全工作,我們必須要了解主要的泄密途徑。(1)內(nèi)部泄密。堡壘最容易從內(nèi)部被攻破,在企業(yè)商業(yè)秘密泄密事件中,由于核心員工跳槽帶走商業(yè)秘密而造成的泄密事件時有發(fā)生而且占有很大的比例。據(jù)統(tǒng)計(jì),企業(yè)內(nèi)部人員侵犯商業(yè)秘密案件占全部案例的82.5%。人員流動是企業(yè)發(fā)展過程中所面臨的并且是無法回避的問題,在企業(yè)的商業(yè)秘密保護(hù)工作中,如何防止核心員工跳槽帶走商業(yè)秘密,人員管理固然是很重要的一個環(huán)節(jié),但還應(yīng)伴隨著一系列的管理措施。對于企業(yè)來說,證明商業(yè)秘密的存在本身就很困難,要證明企業(yè)員工是否利用了這種信息難度更大,尤其是難以區(qū)分一般信息與商業(yè)秘密信息的差別。所以,應(yīng)通過競業(yè)限制條款以盡可能地避免員工利用商業(yè)秘密。(2)商業(yè)秘密信息管理不善。一些企業(yè)中存在著很多這樣的情況,企業(yè)一邊將一些技術(shù)文件、客戶資料和信息不分級別隨意管理,任何員工甚至未經(jīng)任何手續(xù)就能隨意使用和得到這些信息,另一邊聲稱自己的商業(yè)秘密被泄露要加強(qiáng)管理甚至要進(jìn)行索賠等,這種狀況是很難尋求到法律支持和保護(hù)的。所以,我們強(qiáng)調(diào)確定企業(yè)的商業(yè)秘密范圍,明確商業(yè)秘密保護(hù)的對象是商業(yè)秘密保護(hù)工作的關(guān)鍵環(huán)節(jié)。(3)接待外來人員采訪、參觀、考察、實(shí)習(xí)中疏忽大意。這樣的實(shí)例很多,我國一些具有“獨(dú)特工藝”的傳統(tǒng)產(chǎn)品企業(yè)就是在接待參觀和考察中,被人竊取“機(jī)密”。改革開放之初,日本人借著我國地方官員和民眾熱情迎接外賓,毫無商業(yè)保密頭腦的機(jī)會,來涇縣“參觀考察”中國宣紙制造,官員和工廠負(fù)責(zé)及技術(shù)人員陪同參觀,每一道制作工藝詳細(xì)講解,從而日本人輕而易舉獲取了宣紙制造的整個流程,以及“紙藥”的配方。如果企業(yè)能重視到商業(yè)秘密的保護(hù),此種損失完全可以避免或降低。參觀應(yīng)避開敏感區(qū)域,勿作詳細(xì)解釋,勿對生產(chǎn)制造工藝進(jìn)行演示,并要求來訪者參觀商業(yè)秘密設(shè)備時簽訂保密協(xié)議。(4)對外信息。競爭對手通過公開的信息收集的合法途徑同樣能夠獲取企業(yè)商業(yè)秘密。還有一些企業(yè)甚至盯著對手公司經(jīng)常使用的垃圾箱,從垃圾箱中翻閱廢棄資料,從而檢索有用信息。對此,企業(yè)一定要引起注意,最好建立嚴(yán)格的信息審批規(guī)章制度和辦事程序。比如信息公布、報廢產(chǎn)品、實(shí)驗(yàn)廢品和產(chǎn)品的處理,展覽、新聞和廣告等,均需通過嚴(yán)密的信息處理和審批,以防無意中泄密。為了解決一個個具體的問題而立即行動,效果不會很好,久而久之,信息安全保護(hù)措施會流于形式、奔走救火。企業(yè)要防止自己的商業(yè)秘密被競爭對手竊取,必要采取各種保護(hù)措施。保護(hù)措施越多,保護(hù)效果越好,但同時保護(hù)成本也會增大,消耗企業(yè)的財富。但如果企業(yè)對商業(yè)秘密投入不足,會使保護(hù)能力欠缺,導(dǎo)致重要的商業(yè)秘密資產(chǎn)被泄密,企業(yè)面臨的損失可能會更大。因此,企業(yè)必須使投入的保護(hù)成本與需要保護(hù)的商業(yè)秘密資產(chǎn)價值相適應(yīng)。
3保護(hù)信息安全的目標(biāo)是降低風(fēng)險
就商業(yè)秘密而言,沒有絕對的安全,只有相對的安全。信息安全的目的是,保護(hù)信息免受各種威脅的損害,以確保業(yè)務(wù)連續(xù)性,業(yè)務(wù)風(fēng)險最小化,投資回報和商業(yè)機(jī)遇最大化。泄密風(fēng)險只能降低,不可能杜絕。商業(yè)秘密范圍的確定是商業(yè)秘密保護(hù)最基礎(chǔ)的工作,只有準(zhǔn)確的定義、識別并確定自己企業(yè)需要保護(hù)的商業(yè)秘密范圍,才有可能采取有效措施對范圍之內(nèi)的商業(yè)秘密進(jìn)行保護(hù),如果范圍確定的不準(zhǔn)確,就可能使商業(yè)秘密面臨缺乏保護(hù)或保護(hù)過度的風(fēng)險。在明確商業(yè)秘密的范圍和定義的前提下,首先要做好“定密”工作,其次要做好“分級”工作,最后在采用各種手段去做“保密”工作。
參考文獻(xiàn)
[1]魏亮.云計(jì)算安全風(fēng)險及對策研究[J].郵電設(shè)計(jì)技術(shù),2011(10).
[2]徐祖哲.企業(yè)信息化與商業(yè)秘密保護(hù)[J].中國科技投資,2009(2).
[3]歐陽有慧.商業(yè)秘密的企業(yè)應(yīng)對[J].商場現(xiàn)代化,2009(1).
[4]王紅一.免予公開的商業(yè)秘密的界定問題[J].暨南學(xué)報,2005(5).
[5]馮曉青.試論商業(yè)秘密法的目的與利益平衡[J].天中學(xué)刊,2004(12).
關(guān)鍵詞:協(xié)同辦公 信息安全 分析 建模
中圖分類號:TP3 文獻(xiàn)標(biāo)識碼:A 文章編號:1672-3791(2012)09(a)-0195-01
隨著企事業(yè)單位信息化的不斷推進(jìn),協(xié)同辦公系統(tǒng)在企事業(yè)單位的應(yīng)用越來越普遍。就企事業(yè)單位而言,協(xié)同辦公系統(tǒng)本身有其特有的重要性和特殊性,安全性問題就成為協(xié)同辦公系統(tǒng)實(shí)施過程中需要重點(diǎn)考慮的問題之一。在信息化實(shí)施過程中,任何安全保護(hù)措施要保證絕對的安全都是不可能的,所以要實(shí)現(xiàn)真正的數(shù)據(jù)安全,需要構(gòu)建一個多重保護(hù)系統(tǒng),結(jié)合多種不同層面的計(jì)算機(jī)安全技術(shù)來實(shí)現(xiàn)。
1 協(xié)同辦公系統(tǒng)信息的安全分析
協(xié)同辦公系統(tǒng)是借助互聯(lián)網(wǎng),通過B/S結(jié)構(gòu)來實(shí)現(xiàn)的,所以,客戶只要保證能正常使用瀏覽器,便可以進(jìn)行正常的工作?,F(xiàn)從辦公系統(tǒng)的使用環(huán)境、使用平臺及后期監(jiān)督等幾個方面,對辦公系統(tǒng)的安全性予以分析。
1.1 軟硬件防護(hù)體系安全分析
協(xié)同辦公系統(tǒng)軟硬件防護(hù)體系,需要在多種軟硬件安全設(shè)備結(jié)合使用的平臺上,構(gòu)成一個立體的防護(hù)體系。目前幾乎所有的辦公系統(tǒng)支持所有主流的軟件安全驗(yàn)證解決方案,還能夠兼容采用PKI安全框架下標(biāo)準(zhǔn)技術(shù)的安全硬件,包括各種保存?zhèn)€人數(shù)字證書的硬件驗(yàn)證設(shè)備,以及支持手機(jī)短信的動態(tài)密碼身份驗(yàn)證功能等等。
1.2 信息數(shù)據(jù)傳輸安全分析
公文作為辦公系統(tǒng)中的主要傳輸數(shù)據(jù),將成為傳輸過程中被竊取或篡改的主要對象。由于辦公網(wǎng)絡(luò)是多用戶進(jìn)行接入訪問的,所以保證公文對象的傳輸安全是辦公系統(tǒng)建設(shè)面臨的主要問題之一。通常可以通過數(shù)據(jù)對象加密及傳輸協(xié)議加密的加密保護(hù)措施來實(shí)現(xiàn)對公文對象的安全保護(hù)。在加密保護(hù)過程中,數(shù)據(jù)對象本身的加密處理是通過對象加密保護(hù)來完成的,在上傳和下載數(shù)據(jù)的過程中,又是通過“加密-傳輸-界面-處理”的過程進(jìn)行的,如此以來,惡意截取者在截取數(shù)據(jù)時將會截取到一堆毫無意義的數(shù)據(jù),這也在一定意義上保證了數(shù)據(jù)對象的安全。通過Web Server提供的標(biāo)準(zhǔn)安全加密傳輸協(xié)議對數(shù)據(jù)加密,更能進(jìn)一步增強(qiáng)公文傳輸?shù)陌踩浴?/p>
1.3 身份確認(rèn)及操作不可抵賴性安全分析
對于協(xié)同信息平臺而言,身份確認(rèn)包括用戶身份的確認(rèn)和服務(wù)器身份的確認(rèn)兩部分。在協(xié)同辦公系統(tǒng)中,用戶身份的確認(rèn)需要個人數(shù)字證書和密碼來保證,再通過公文內(nèi)部記錄以及日志功能等的結(jié)合,來實(shí)現(xiàn)信息操作的不可抵賴性。服務(wù)器的身份認(rèn)證是通過PKI結(jié)構(gòu)下的服務(wù)器認(rèn)證技術(shù)來無誤的確保服務(wù)器身份確認(rèn)的,包括各種控件,只要是在該服務(wù)器下載,就要通過該服務(wù)器進(jìn)行簽名,以此在用戶和機(jī)器之間建立起良好的信任關(guān)系。
1.4 數(shù)據(jù)存儲的安全性分析
多道機(jī)制的數(shù)據(jù)存儲,在協(xié)同辦公系統(tǒng)中應(yīng)用較為普遍,主要有系統(tǒng)提供的訪問權(quán)限控制和數(shù)據(jù)的加密存放。當(dāng)然,實(shí)現(xiàn)數(shù)據(jù)安全性保護(hù),還可以通過數(shù)據(jù)的加密保存技術(shù)來實(shí)現(xiàn),即將所有文件都經(jīng)過64位加密處理后再存儲到數(shù)據(jù)庫里,經(jīng)過這樣的處理后,惡意訪問者竊取到的數(shù)據(jù)也只能是加密后產(chǎn)生的毫無意義的亂碼。
2 協(xié)同辦公系統(tǒng)信息數(shù)據(jù)安全模型的構(gòu)建
協(xié)同辦公系統(tǒng)中的信息數(shù)據(jù)安全性總體結(jié)構(gòu)通常可分為三部分:系統(tǒng)安全體系、信息安全體系和安全服務(wù)體系。系統(tǒng)安全體系可以從物理和邏輯兩方面分別建立隔離平臺,網(wǎng)絡(luò)安全則要從系統(tǒng)結(jié)構(gòu)、信息傳輸和物理設(shè)備幾方面入手,安全管理要注重的則是數(shù)據(jù)備份、日志審計(jì)、病毒防范和網(wǎng)絡(luò)管理等;信息安全體系包括安全門戶、信任授權(quán)和信任服務(wù)等;安全服務(wù)體系包括安全審計(jì)、安全響應(yīng)、安全信息、安全實(shí)施和安全培訓(xùn)等。
3 有效的信息數(shù)據(jù)安全管理措施
3.1 操作系統(tǒng)安全管理措施
眾所周知,操作系統(tǒng)是協(xié)同辦公主機(jī)系統(tǒng)的基礎(chǔ)。信息數(shù)據(jù)的安全性是建立在以操作系統(tǒng)的安全性之上的,要保證協(xié)同辦公系統(tǒng)的安全,協(xié)同辦公系統(tǒng)必須安裝在安全性很高的系統(tǒng)平臺上,如果協(xié)同辦公系統(tǒng)服務(wù)器的操作安全失效,所有的安全問題都將不能得到保障。對于主機(jī)操作系統(tǒng),其數(shù)據(jù)安全性主要包括訪問控制、系統(tǒng)漏洞、系統(tǒng)配置等多方面。這就要求操作系統(tǒng)的選擇,安全性的選擇是第一位的。
3.2 數(shù)據(jù)庫系統(tǒng)安全管理措施
要保障數(shù)據(jù)庫系統(tǒng)的安全,首先從數(shù)據(jù)的完整性、不可篡改性和可用性三方面著手。在協(xié)同辦公系統(tǒng)中建立數(shù)據(jù)庫的安全管理,首先保證對數(shù)據(jù)庫使用者權(quán)限的劃分的嚴(yán)格性,尤其是數(shù)據(jù)的交換與共享,更是數(shù)據(jù)庫安全管理的重中之重。在運(yùn)用高端技術(shù)手段處理一些十分重要的原始數(shù)據(jù)時,要想保留其原始狀態(tài)不被更改,就要及時備份不同的數(shù)據(jù)內(nèi)容,可作為保障數(shù)據(jù)庫安全的有效措施。
3.3 建立管理規(guī)章制度
協(xié)同辦公系統(tǒng)安全管理規(guī)章制度也同樣是評價系統(tǒng)安全管理措施的重要內(nèi)容之一。對于協(xié)同辦公系統(tǒng)數(shù)據(jù)的安全性,除了先進(jìn)的技術(shù)作保障,還要制定嚴(yán)格的管理規(guī)章制度。多數(shù)人認(rèn)為有了先進(jìn)的完備的計(jì)算機(jī)科學(xué)技術(shù)作為安全保障,就不需要再制定傳統(tǒng)的管理規(guī)章制度了,殊不知操作系統(tǒng)和使用系統(tǒng)的都是人,所以人為因素在安全體系中絕不容忽視,這就是說更要嚴(yán)格制定執(zhí)行安全管理相應(yīng)的一切規(guī)章制度,另外,還要定期培訓(xùn)系統(tǒng)使用人員,及時調(diào)整和完善系統(tǒng)實(shí)施過程中不合適宜的規(guī)章制度。
4 結(jié)語
在計(jì)算機(jī)技術(shù)飛速發(fā)展的今天,協(xié)同辦公系統(tǒng)的建設(shè),必將充分整合多個應(yīng)用軟件,要實(shí)現(xiàn)多個應(yīng)用軟件之間的切換和協(xié)同運(yùn)作,這對協(xié)同軟件本身的技術(shù)性提出了較高的要求。
運(yùn)行較好的協(xié)同辦公系統(tǒng)不僅要有好的系統(tǒng)保障運(yùn)行機(jī)制,還要有完備的管理規(guī)章制度。在設(shè)計(jì)和分析協(xié)同辦公系統(tǒng)安全問題的過程中,既要實(shí)用,又要方便,就要技術(shù)和管理兩手抓,兩手都要硬,應(yīng)用和管理的同時進(jìn)行,一定可以更好的展現(xiàn)協(xié)同辦公系統(tǒng)的優(yōu)越性,大大提高企事業(yè)單位的辦公效率。
參考文獻(xiàn)
[1] 周偉.基于網(wǎng)絡(luò)的協(xié)同設(shè)計(jì)系統(tǒng)數(shù)據(jù)交換及管理關(guān)鍵技術(shù)研究[D].重慶大學(xué),2007.
[2] 姚顧波,劉煥網(wǎng).網(wǎng)絡(luò)安全完全解決方案[M].清華大學(xué)出版社,2003.
關(guān)鍵詞:高校;信息化;信息安全
21世紀(jì)高校信息化飛速發(fā)展,保障高校信息安全成為了眾多高校、專家關(guān)注的問題。沈昌祥院士提出21世紀(jì)是信息的時代,信息技術(shù)和產(chǎn)業(yè)空前繁榮。然而與此同時危害信息安全的事件頻頻發(fā)生,信息安全面臨巨大挑戰(zhàn)。2012年2月,教育部計(jì)劃用4年時間在100所本科院校中開展“以信息化促進(jìn)人才培養(yǎng)模式創(chuàng)新為重點(diǎn),在數(shù)字化校園建設(shè)、信息安全等方面開展研究”。世界各國也非常重視信息安全,1995年,美國國家安全局成立了信息安全學(xué)術(shù)人才中心,以期培養(yǎng)信息安全教育的人才。2011年,英國政府將信息安全教育納入所有中小學(xué)的必修課,使中小學(xué)生樹立信息安全意識。
1信息安全定義
1.1國際標(biāo)準(zhǔn)化組織
ISO定義信息安全信息安全指為保護(hù)數(shù)據(jù)處理系統(tǒng)而建立的技術(shù)和管理的安全保護(hù),保護(hù)計(jì)算機(jī)硬件、軟件、數(shù)據(jù)不因偶然的或惡意的因素而遭受破壞、更改和泄露。
1.2美國定義信息安全
從技術(shù)和管理措施角度出發(fā),NSTISSC將信息安全定義為對信息、系統(tǒng)以及使用、存儲和傳輸信息的硬件保護(hù)。從信息安全涉及的內(nèi)容角度出發(fā),將信息安全定義為保護(hù)存儲和傳輸中的數(shù)據(jù)不被他人有意或無意的竊取或破壞。如信息設(shè)施及環(huán)境安全、數(shù)據(jù)安全、程序安全、系統(tǒng)安全等。
1.3資深專家定義
信息安全沈昌祥院士將信息安全定義為:保護(hù)信息和信息系統(tǒng)不被未經(jīng)授權(quán)的訪問、使用、泄露、修改和破壞,為信息和信息系統(tǒng)提供保密性、完整性、可用性、可控性和不可否認(rèn)性。
2我國高校信息安全問題及風(fēng)險
高校由于具有業(yè)務(wù)廣泛、信息量大、人員眾多等特點(diǎn),信息泄露的風(fēng)險也相應(yīng)較高。2016年8月21日,發(fā)生了震驚全國的徐玉玉被電話詐騙事件,致使徐玉玉不幸離世。究其根本原因還是徐玉玉的個人信息泄露,讓不法分子鉆了空子。2016年信息泄露報告顯示,社交媒體MySpace42700賬號被竊取。師生們與互聯(lián)網(wǎng)的接觸很頻繁,他們的閱讀習(xí)慣、檢索習(xí)慣以及搜索習(xí)慣等都掌握在互聯(lián)網(wǎng)商家手中,這些信息被大量收集后,個人隱私極有可能被暴露。2017年5月13日,全球發(fā)生了黑客劫持?jǐn)?shù)據(jù)、勒索比特幣的病毒事件。病毒通過校園網(wǎng)傳播十分迅速。有報道稱賀州學(xué)院、桂林電子科技大學(xué)、桂林航天工業(yè)學(xué)院、大連海事大學(xué)、山東大學(xué)等高校均受到了不同程度的病毒攻擊。據(jù)BBC報道,病毒攻擊擴(kuò)散到70多個國家,包括美國、英國、中國、俄羅斯、西班牙、意大利等。信息已然成為黑客追逐的主要目標(biāo),高校信息安全遭受攻擊嚴(yán)重影響了高校的正常教學(xué)秩序以及高校發(fā)展,那么避免高校重要數(shù)據(jù)泄露以及保護(hù)師生個人隱私安全成為了高校的重要職責(zé)。
3高校信息安全保護(hù)措施
我國高校信息安全工作起步較晚,目前還處于起步階段。美國高校信息化起步早,在信息安全領(lǐng)域技術(shù)成熟并處于全球領(lǐng)先位置。信息安全面臨的主要挑戰(zhàn)是權(quán)限被濫用、盜用與數(shù)據(jù)庫信息平臺存在漏洞、鑒定機(jī)制不健全等。筆者根據(jù)專業(yè)知識以及多年的工作經(jīng)驗(yàn)提出了以下幾種信息安全防護(hù)措施。
3.1不隨意連接未知網(wǎng)絡(luò)
對于師生來講,首先要有保護(hù)自身隱私的意識。一些不法分子利用公共場所的免費(fèi)WiFi設(shè)置釣魚WiFi,一旦有設(shè)備連接到釣魚WiFi不法分子就會掃描到,如果在使用釣魚WiFi過程中輸入支付寶、微信等的賬號和密碼,這些信息就會被不法分子獲得,從而侵犯我們的隱私以及財產(chǎn)權(quán)益。
3.2提高信息安全技術(shù)
對于高校來講,提升信息安全技術(shù)是保障信息安全的基礎(chǔ)。高??赏ㄟ^在教室、圖書館等場所安裝殺毒軟件,并及時更新升級軟件來抵御病毒的攻擊;通過加強(qiáng)認(rèn)證系統(tǒng),對訪問進(jìn)行篩選,阻斷異常的訪問和查詢,防止重要信息泄露、被篡改或者被刪除;選擇性地對敏感信息進(jìn)行加密,防止在線數(shù)據(jù)和備份數(shù)據(jù)的存儲介質(zhì)丟失導(dǎo)致重要信息泄露。
3.3增加人力、財力的投入
高技術(shù)水平的信息安全管理人才能夠運(yùn)用自己的專業(yè)知識以及實(shí)踐經(jīng)驗(yàn)來解決一些信息安全問題,為高校信息安全保駕護(hù)航。高校信息安全問題多數(shù)是由于安全防護(hù)強(qiáng)度低引起的。高校應(yīng)提供充足的資金,購買具有完善的網(wǎng)絡(luò)病毒防御系統(tǒng)的產(chǎn)品,有效提高高校信息安全防護(hù)性能。
4結(jié)語
高校發(fā)展的必備條件是信息安全。目前我國高校在信息安全方面尚處于起步階段,信息安全管理制度還不夠完善。高校要根據(jù)自身發(fā)展情況,從培養(yǎng)師生信息安全意識、提升信息安全技術(shù)、加大人力與財力投入等方面,不斷完善信息安全保障體系。通過建立信息安全教育、信息安全管理、信息安全咨詢等機(jī)制減少信息風(fēng)險的發(fā)生,提高信息安全保障強(qiáng)度,確保信息安全快速、良性發(fā)展。
參考文獻(xiàn)
[1]沈昌祥.關(guān)于加強(qiáng)信息安全保障體系的思考[J].計(jì)算機(jī)安全,2002(9).
[2]教育部信息安全專業(yè)教學(xué)指導(dǎo)委員會.信息安全類專業(yè)指導(dǎo)性專業(yè)規(guī)范[Z].2014.
[3]趙冬臣.歐盟國家的中小學(xué)網(wǎng)絡(luò)安全教育:現(xiàn)代與啟示[J].外國中小學(xué)教育,2010(9):12-15.
[4]教育部.教育部關(guān)于開展教育信息化試點(diǎn)工作的通知(教技函[2012]4號)[Z].2014.
[5]SurhoneLM,TennoeMT,HenssonowSF,etal.NationalSecurityTelecommunicationsandInformationSystems[M].2010.
[6]沈昌祥.關(guān)于強(qiáng)化信息安全保障體系的思考[J].信息安全與通信保密,2003,(6)6:16.