序論:在您撰寫信息安全研究論文時�,參考他人的優秀作品可以開闊視野����,小編為您整理的7篇范文����,希望這些建議能夠激發您的創作熱情,引導您走向新的創作高度����。
第1篇
論文摘要:結合單位的實際,分析了現有計算機專業課程特點和不足���,討論了高師計算機專業學生開設信息安全法律法規課程的必要性����、可行性�,分析了信息安全技術課程、與信息安全有關法律法規課程的特點.給出了高師信息安全法律課程的教學目標定位��、設置方法.
論文關鍵詞:高師計算機專業;信息安全����;法律法規課程
人類進入21世紀,現代信息技術迅猛發展�����,特別是網絡技術的快速發展�����,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識�����、信息的最快途徑.網絡以其數字化���、多媒體化以及虛擬性���、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀�����、世界觀、價值取向�����,甚至利用自己所學的知識進行網絡犯罪���,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說����,面臨著前所未有的機遇和挑戰,這不僅因為���,自己一方面要傳授學生先進的網絡技術����,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看��,違法與不違法只是一兩條指令之間的事情���,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生�����,由此可見����,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點����、新方法、新途徑��、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際���,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標��、服務面向定位��,按照夯實基礎��、拓寬專業口徑��、注重素質教育和創新精神��、實踐能力培養的人才培養思路����,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程���、專業課程(含專業基礎課程��、專業方向課程)���、教師教育課程(非師范除外)、實踐教學課程”四個大類����,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊��,均為必修課.目的是在大學學習的初期階段�����,按學科進行培養�����,夯實基礎�,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要�����,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作���、C++程序設計���、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程����,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要����,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計����、計算機組成原理、數據庫系統����、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里����,對于它的課程設置應該具有前瞻性,考慮到時代的變化��,計算機應用專業旨在培養一批適合現代軟件工程�����、網絡工程發展要求的軟件工程���、網絡工程技術人員�,現有我校的計算機專業課程是針對這一目標進行設置的�,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展�,人們更廣泛的使用網絡���、更關注信息安全這一事實��,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任�,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群���、支撐學科群和應用學科群三部分構成�����,是一個“以信息安全理論為核心����,以信息技術、信息工程和信息安全等理論體系為支撐�����,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性���、邊緣性強��,應用領域面寬�����,是一個龐大的學科群體系��,涉及的知識點也非常龐雜.
僅就法學而言���,信息安全涉及的法學領域就包括:刑法(計算機犯罪�,包括非法侵入計算機信息系統罪�、故意制作傳播病毒等)、民商法(電子合同���、電子支付等)���、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此���,信息安全教育不是一項單一技術方面的教育��,加強相關法律課程設置����,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業���,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程����、軟件工程所需要的基本編程能力����、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人���,都可能有意識或無意識的干出違反法律的事情��,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見����,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯����,但是在信息安全領域,技術與法律卻深深的關聯在一起�����,在全世界各國都不難發現諸如像數字簽名��、PKI應用與法律體系緊密關聯.從本質上講���,信息安全對法律的需求��,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候��,對這些可能性做出選擇揚棄�����、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響��,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上���,加之信息安全技術是當今最熱門技術之一�����,因此���,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受��,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多����,有數學、計算機��、通信�、電子、管理等學科��,既有理論知識�����,又有實踐知識�,理論與實踐聯系十分緊密,新方法�����、新技術以及新問題不斷涌現���,這給信息安全課程設置帶來了很大的難度����,為使我校計算機專業學生了解����、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》����、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面���,分別采用開設專業課�����、專業選修課��、講座等多種方式�,讓學生了解信息安全知識體系,如有操作系統�����、密碼學基礎���、防火墻技術����、VPN應用��、信息安全標準��、網絡安全管理��、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解�、掌握,如開設了計算機網絡基本原理�����、操作系統���、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念�,不安排實驗實訓,不讓學生親手去操作�����,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐�、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術��、涉及到與網絡有關的法律�����、法規.
4.1目的多樣性作為信息安全的破壞者���,其目的多種多樣��,如利用網絡進行經濟詐騙��;利用網絡獲取國家政治�����、經濟����、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展����,信息化的浪潮席卷全球,信息化和經濟全球化互相交織��,信息在經濟和社會活動中的作用甚至超過資本���,成為經濟增長的最活躍��、最有潛力的推動力.信息的安全越來越受到人們的關注����,大到軍事政治等機密安全,小到防范商業企業機密泄露�、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟��、政治���、軍事等的各個部門�����、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題�,信息安全技術又涉及到網絡、編碼等多門學科�,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時�����,又需要考慮其技術性的特征��,符合技術上的要求.
4.4信息安全法律優先地位綜上所述����,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位���,兼具有安全法��、網絡法的雙重地位��,必須與網絡技術和網絡立法同步建設���,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生���,應深入理解和掌握信息安全技術理論和方法�����,了解所涉到的常見的法律法規��,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說�����,由于課程時間限制���,不能對信息安全知識作較全面的掌握���,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規����,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上�,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》�����,《中華人民共和國數字簽名法》��,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構���,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面�,主要以選修課、講座課為主��,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度���,使操作人員知曉信息安全的重要性����、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律����、法規,主要內容包括:國內信息安全法律法規概貌��、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習����,可以借此提高自己的安全意識,了解常見的安全漏洞�,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法�,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取�����、保存���、分析��、證物呈堂等相關法律�、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤���、密碼技術���、數據隱藏、惡意代碼����、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具�,還概要介紹了美國與中國不同的司法程序.
第2篇
論文提要:當今世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準�����。黨的十七大明確提出了一條“以信息化帶動工業化����,以工業化促進信息化”的具有中國特色的信息化道路��。信息資源隨之成為社會資源的重要組成部分���,但由于信息資源不同于其他資源的特殊性質�����,如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題����。
一、信息化的內涵���、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的�����。經過40多年的發展�,信息化已成為各國社會發展的主題����。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性���、中介性����、可轉化性�����、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改����、偽造、竊取以及截取等安全隱患���,造成信息的丟失�����、泄密����,甚至造成病毒的傳播�����,從而導致信息系統的不安全性�,給國家的信息化建設帶來不利影響���。因此��,如何保證信息安全成為亟須解決的重要問題�����。
信息安全包括以下內容:真實性���,保證信息的來源真實可靠��;機密性�,信息即使被截獲也無法理解其內容�;完整性,信息的內容不會被篡改或破壞�;可用性,能夠按照用戶需要提供可用信息�;可控性,對信息的傳播及內容具有控制能力���;不可抵賴性���,用戶對其行為不能進行否認;可審查性��,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比��,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性���。由于因特網與生俱來的開放性特點����,從網絡架到協議以及操作系統等都具有開放性的特點���,通過網絡主體之間的聯系是匿名的�、開放的����,而不是封閉的、保密的�。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性��。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大�����。由于因特網的龐大系統���,造成了病毒極易滋生和傳播�,從而導致信息危害����。
三是信息安全中的智能性、隱蔽性特點�����。傳統的安全問題更多的是使用物理手段造成的破壞行為���,而網絡環境下的安全問題常常表現為一種技術對抗�����,對信息的破壞��、竊取等都是通過技術手段實現的����。而且這樣的破壞甚至攻擊也是“無形”的����,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡����,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害�����、意外事故�;計算機犯罪;人為錯誤�,比如使用不當,安全意識差等����;“黑客”行為;內部泄密��;外部泄密��;信息丟失����;電子諜報,比如信息流量分析���、信息竊取等����;信息戰;網絡協議自身缺陷��,等等����。
二���、我國信息化中的信息安全問題
近年來���,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行���、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素��,我國在信息安全管理上的進展是迅速的����。但是���,由于我國的信息化建設起步較晚���,相關體系不完善�,法律法規不健全等諸多因素�����,我國的信息化仍然存在不安全問題��。
1�����、信息與網絡安全的防護能力較弱���。我國的信息化建設發展迅速�����,各個企業紛紛設立自己的網站���,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站���,但是由于許多網站沒有防火墻設備����、安全審計系統、入侵監測系統等防護設備����,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱��,在網絡黑客攻擊的國家中���,中國是最大的受害國。
2����、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制�����,很多單位和部門直接引進國外的信息設備�����,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機��。
3��、我國基礎信息產業薄弱�,核心技術嚴重依賴國外,缺乏自主創新產品����,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外���,這使我國的網絡安全性能大大減弱��,被認為是易窺視和易打擊的“玻璃網”����。由于缺乏自主技術���,我國的網絡處于被竊聽��、干擾��、監視和欺詐等多種信息安全威脅中�����,網絡安全處于極脆弱的狀態��。
4��、信息犯罪在我國有快速發展趨勢�����。除了境外黑客對我國信息網絡進行攻擊��,國內也有部分人利用系統漏洞進行網絡犯罪��,例如傳播病毒���、竊取他人網絡銀行賬號密碼等。
5��、在研究開發���、產業發展����、人才培養、隊伍建設等方面與迅速發展的形勢極不適應���。
造成以上問題的相關因素在于:首先���,我國的經濟基礎薄弱,在信息產業上的投入還是不足�����,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識�。其次,全民信息安全意識淡薄�,警惕性不高。大多數計算機用戶都曾被病毒感染過���,并且病毒的重復感染率相當高�����。
除此之外���,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
三�、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術���,還要有嚴格的法律法規和信息安全教育�。
1��、加強全民信息安全教育��,提高警惕性�����。從小做起�����,從己做起����,有效利用各種信息安全防護設備���,保證個人的信息安全����,提高整個系統的安全防護能力,從而促進整個系統的信息安全���。超級秘書網
2��、發展有自主知識產權的信息安全產業�,加大信息產業投入���。增強自主創新意識�����,加大核心技術的研發���,尤其是信息安全產品,減小對國外產品的依賴程度��。
3���、創造良好的信息化安全支撐環境���。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法�����、數字簽名法�����、電子信息犯罪法���、電子信息出版法�、電子信息知識產權保護法�、電子信息個人隱私法、電子信息進出境法等��,加大對網絡犯罪和信息犯罪的打擊力度���,對其進行嚴厲的懲處��。
4�、高度重視信息安全基礎研究和人才的培養�。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才��,建立信息安全人才培養體系�。
5、加強國際防范���,創造良好的安全外部環境�����。由于網絡與生俱有的開放性�����、交互性和分散性等特征�����,產生了許多安全問題�,要保證信息安全����,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范�,防范來自世界各地的黑客入侵,加強信息網絡安全�。
第3篇
關鍵詞:稅收信息化����;信息狀態安全�;信息轉移安全;信息安全技術
從三個方面來考慮:首先是信息狀態安全�����,即稅務系統安全���,要防止稅務系統中心的數據被攻擊者破壞����。稅務系統要通過Internet對納稅人提供納稅便利�����,必須以一定的方式將它的數據中心開放����,這對稅務系統本身帶來了很大的風險。其次是信息轉移安全����,即服務安全��,如納稅人識別號��、口令、納稅金額等在傳輸中不被冒用�、泄露和篡改。再次是安全管理制度�,即使用安全,保證稅務人員正確���、安全的使用���。本文主要針對以上前兩個方面也就是信息安全技術進行研究。
一�、信息狀態安全技術
信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面���。
(一)系統主機服務器安全(ServerSecurity)
服務器是存儲數據�����、處理請求的核心����,因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護��,對非法接觸服務器配件具有一定的保護措施�����,比如加鎖或密碼開關設置等��;同時���,服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性�����,不會因為大量的訪問導致服務器崩潰�����;服務器要能夠支持基于硬件的磁盤陣列功能��,支持磁盤及磁帶的系統���、數據備份功能,使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復,保證服務器的不間斷運行����;服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面,這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率���。
(二)操作系統安全(OperatingSystemSecurity)
設置操作系統就像為構筑安全防范體系打好“地基”�。
1.自主訪問控制(DiscretionaryAccessControl���,DAC)。自主訪問控制是基于對主體(Subject)或主體所屬的主體組的識別來限制對客體(Object)的訪問�。為實現完備的自主訪問控制,由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中���。訪問控制矩陣中的每行表示一個主體�����,每列表示一個受保護的客體�����,矩陣中的元素表示主體可對客體的訪問模式�����。以基于行的自主訪問控制方法為例����。它是在每個主體上都附加一個該主體可訪問的客體的明細表,根據表中信息的不同可分為三種形式:(1)權力表(CapabilitiesList)���,它決定是否可對客體進行訪問以及可進行何種模式的訪問�����。(2)前綴表(PrefixList)���,它包括受保護客體名以及主體對客體的訪問權。(3)口令(Password)���,主體對客體進行訪問前��,必須向稅務操作系統提供該客體的口令��。對于口令的使用��,建議實行相互制約式的雙人共管系統口令�。
2.強制訪問控制(MandatoryAccessControl,MAC)���。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊�,這就需要利用強制訪問控制來采取更強有力的訪問控制手段��。在強制訪問控制中����,稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性,系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體����。稅務系統一般可采取兩種強制措施:(1)限制訪問控制的靈活性�����。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用����,該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下�����,用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。(2)限制編程����。鑒于稅務系統僅需要進行事務處理,不需要任何編程的能力���,可將用于應用開發的計算機系統分離出去���,完全消除用戶的編程能力。
3.安全核技術(SecurityKernelTechnology)�����。安全核是構造高度安全的操作系統最常用的技術�����。該技術的理論基礎是:將與安全有關的軟件隔離在操作系統的一個可信核內�,而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則:(1)完備性(Completeness)����,要求使主體必須通過引進監控器才能對客體進行訪問操作,并使硬件支持基于安全核的系統����。(2)隔離性(Isolation)�����,要求將安全核與外部系統很好的隔離起來����,以防止進程對安全核的非法修改�����。(3)可驗證性(Verifiability)���,要求無論采用什么方法構造安全核��,都必須保證對它的正確性可以進行某種驗證。
其他常見措施還有:信息加密��、數字簽名�、審計等,這些技術方法在數據庫安全等方面也可廣泛應用����,我們將在下面介紹�����。
(三)數據庫安全(DatabaseSecurity)
數據庫是信息化及很多應用系統的核心����,其安全在整個信息系統中是最為關鍵的一環�����,所有的安全措施都是為了最終的數據庫上的數據的安全性��。另外�,根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求�,數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。
數據庫的安全性主要是依靠分層解決的�,它的安全措施也是一級一級層層設置的,真正做到了層層設防��。第一層應該是注冊和用戶許可����,保護對服務器的基本存取�;第二層是存取控制���,對不同用戶設定不同的權限,使數據庫得到最大限度的保護���;第三層是增加限制數據存取的視圖和存儲過程����,在數據庫與用戶之間建立一道屏障�。基于上述數據庫層次結構的安全體系�����,稅務網絡信息系統需要設置對機密和非機密數據的訪問控制:(1)驗證(Authentication)����,保證只有授權的合法用戶才能注冊和訪問;(2)授權(Authorization)��,對不同的用戶訪問數據庫授予不同的權限�����;(3)審計(Auditing)�����,對涉及數據庫安全的操作做一個完整的記錄�,以備有違反數據庫安全規則的事件發生后能夠有效追查,再結合以報警(Alert)功能���,將達到更好的效果����。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定�,這樣用戶只能取得對視圖和存儲過程的授權,而無法訪問底層表��。視圖可以限制底層表的可見列��,從而限制用戶能查詢的數據列的種類��。
二��、信息轉移安全技術
信息轉移安全即網絡安全����。為了達到保證網絡系統安全性的目的,安全系統應具有身份認證(IdentificationandAuthentication)����;訪問控制(AccessControl)���;可記賬性(Accountability);對象重用(ObjectReuse)����;精確性(Accuracy);服務可用性(AvailabilityofServices)等功能����。
1.防火墻技術(FirewallTechnology)
為保證信息安全,防止稅務系統數據受到破壞�,常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻��,是一類防范措施的總稱�,是指在受保護的企業內聯網與對公眾開放的網絡(如Internet)之間設立一道屏障,對所有要進入內聯網的信息進行分析或對訪問用戶進行認證���,防止有害信息和來自外部的非法入侵進入受保護網����,并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散,從而保護內部系統的安全�����。防火墻的實質是實施過濾技術的軟件防范措施����。防火墻可以分為不同類型�����,最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻����。兩種防火墻各有千秋,IP層防火墻對用戶透明性好�,應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可���,常常將兩種防火墻結合使用�,以互相補充��,確保網絡的安全��。另外,還有專門用于過濾病毒的病毒防火墻�����,隨時為用戶查殺病毒����,保護系統。
2.信息加密技術(InformationEncryptionTechnology)
信息加密包括密碼設計����、密碼分析、密鑰管理����、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式���,經過線路傳送�,到達目的端用戶再把密文還原成明文��。對數據進行加密是防止信息泄露的有效手段��。適當的增加密鑰的長度和更先進的密鑰算法���,可以使破譯的難度大大增加�����。具體有兩種加密方式:(1)私鑰加密體制(Secret-keyCryptography)�,即加密與解密時使用相同的密碼����。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組����,然后逐組加密。而序列密碼把明文符號立即轉換為密文符號�����,運算速度更快�����,安全性更高���。(2)公鑰加密體制(Public-keyCryptography)����,其加密密鑰與解密密鑰分為兩個不同的密鑰,一個用于對信息的加密�,另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰���。
在傳輸過程中��,只有稅務系統和認證中心(AuthenticationCenter���,AC)才有稅務系統的公開密鑰,只有納稅人和認證中心才有納稅人的公開密鑰��,在這種情況下���,即使其他人得到了經過加密后雙方的私有密鑰�����,也因為無法進行解密而保證了私有密鑰的重要性�,從而保證了傳輸文件的安全性�。
3.信息認證技術(InformationAuthenticationTechnology)
數字簽名技術(DigitalSignatureTechnology)。數字簽名可以證實信息發送者的身份以及信息的真實性���,它具備不可偽造性�����、真實性����、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密��、解密交換實現的����,其主要方式是:信息發送方首先通過運行散列函數���,生成一個欲發送報文的信息摘要�,然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名����,這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后�����,首先運行和發送方相同的散列函數生成接收報文的信息摘要,然后再用發送方的公開密鑰對報文所附的數字簽名進行解密�����,產生原始報文的信息摘要�,通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。
完整性認證(IntegrityAuthentication)�。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是:信息發送者在信息中加入一個認證碼���,經加密后發送給接收者檢驗��,接收者利用約定的算法對解密后的信息進行運算�,將得到的認證碼與收到的認證碼進行比較���,若兩者相等�,則接收�����,否則拒絕接收�。
4.防病毒技術(Anti-virusTechnology)
病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施��,來最大限度地加強網絡端到端的防病毒架構,再加上防病毒制度與措施��,就構成了一套完整的防病毒體系����。
參考文獻:
[1]楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.
[4]陸楠.現代網絡技術[M].西安:西安電子科技大學出版社,2003.
第4篇
論文摘要:隨著網絡技術的飛速發展和廣泛應用,信息安全問題正日益突出顯現出來�����,受到越來越多的關注�。文章介紹了網絡信息安全的現狀.探討了網絡信息安全的內涵,分析了網絡信息安全的主要威脅��,最后給出了網絡信息安全的實現技術和防范措施.以保障計算機網絡的信息安全����,從而充分發揮計算機網絡的作用���。
論文關鍵詞:計算機����,網絡安全��,安全管理,密鑰安全技術
當今社會.網絡已經成為信息交流便利和開放的代名詞.然而伴隨計算機與通信技術的迅猛發展.網絡攻擊與防御技術也在循環遞升����,原本網絡固有的優越性、開放性和互聯性變成了信息安全隱患的便利橋梁.網絡安全已變成越來越棘手的問題在此.筆者僅談一些關于網絡安全及網絡攻擊的相關知識和一些常用的安全防范技術����。
1網絡信息安全的內涵
網絡安全從其本質上講就是網絡上的信息安全.指網絡系統硬件、軟件及其系統中數據的安全���。網絡信息的傳輸�����、存儲����、處理和使用都要求處于安全狀態可見.網絡安全至少應包括靜態安全和動態安全兩種靜態安全是指信息在沒有傳輸和處理的狀態下信息內容的秘密性���、完整性和真實性:動態安全是指信息在傳輸過程中不被篡改���、竊取、遺失和破壞���。
2網絡信息安全的現狀
中國互聯網絡信息中心(CNNIC)的《第23次中國互聯網絡發展狀況統計報告》�。報告顯示,截至2008年底����,中國網民數達到2.98億.手機網民數超1億達1.137億。
Research艾瑞市場咨詢根據公安部公共信息網絡安全監察局統計數據顯示.2006年中國(大陸)病毒造成的主要危害情況:“瀏覽器配置被修改”是用戶提及率最高的選項.達20.9%.其次病毒造成的影響還表現為“數據受損或丟失”18%.“系統使用受限”16.1%.“密碼被盜”13.1%.另外“受到病毒非法遠程控制”提及率為6.1%“無影響”的只有4.2%�。
3安全防范重在管理
在網絡安全中.無論從采用的管理模型,還是技術控制���,最重要的還是貫徹始終的安全管理管理是多方面的.有信息的管理����、人員的管理�、制度的管理、機構的管理等.它的作用也是最關鍵的.是網絡安全防范中的靈魂�。
在機構或部門中.各層次人員的責任感.對信息安全的認識�����、理解和重視程度��,都與網絡安全息息相關所以信息安全管理至少需要組織中的所有雇員的參與.此外還需要供應商�、顧客或股東的參與和信息安全的專家建議在信息系統設計階段就將安全要求和控制一體化考慮進去.則成本會更低���、效率會更高那么做好網絡信息安全管理.至少應從下面幾個方面人手.再結合本部門的情況制定管理策略和措施:
①樹立正確的安全意識.要求每個員工都要清楚自己的職責分工如設立專職的系統管理員.進行定時強化培訓.對網絡運行情況進行定時檢測等。
2)有了明確的職責分工.還要保障制度的貫徹落實.要加強監督檢查建立嚴格的考核制度和獎懲機制是必要的��。
③對網絡的管理要遵循國家的規章制度.維持網絡有條不紊地運行�。
④應明確網絡信息的分類.按等級采取不同級別的安全保護。
4網絡信息系統的安全防御
4.1防火墻技術
根據CNCERT/CC調查顯示.在各類網絡安全技術使用中.防火墻的使用率最高達到76.5%��。防火墻的使用比例較高主要是因為它價格比較便宜.易安裝.并可在線升級等特點防火墻是設置在被保護網絡和外部網絡之間的一道屏障����,以防止發生不可預測的、潛在破壞性的侵入����。它通過監測、限制�����、更改跨越防火墻的數據流��,盡可能地對外部屏蔽網絡內部的信息����、結構和運行狀況.以此來實現網絡的安全保護����。
4.2認證技術
認證是防止主動攻擊的重要技術.它對開放環境中的各種消息系統的安全有重要作用.認證的主要目的有兩個:
①驗證信息的發送者是真正的主人
2)驗證信息的完整性���,保證信息在傳送過程中未被竄改�����、重放或延遲等���。
4.3信息加密技術
加密是實現信息存儲和傳輸保密性的一種重要手段信息加密的方法有對稱密鑰加密和非對稱密鑰加密.兩種方法各有所長.可以結合使用.互補長短。
4.4數字水印技術
信息隱藏主要研究如何將某一機密信息秘密隱藏于另一公開的信息中.然后通過公開信息的傳輸來傳遞機密信息對信息隱藏而吉.可能的監測者或非法攔截者則難以從公開信息中判斷機密信息是否存在.難以截獲機密信息.從而能保證機密信息的安全隨著網絡技術和信息技術的廣泛應用.信息隱藏技術的發展有了更加廣闊的應用前景�。數字水印是信息隱藏技術的一個重要研究方向.它是通過一定的算法將一些標志性信息直接嵌到多媒體內容中.但不影響原內容的價值和使用.并且不能被人的感覺系統覺察或注意到。
4.5入侵檢測技術的應用
人侵檢測系統(IntrusionDetectionSystem簡稱IDS)是從多種計算機系統及網絡系統中收集信息.再通過這此信息分析入侵特征的網絡安全系統IDS被認為是防火墻之后的第二道安全閘門.它能使在入侵攻擊對系統發生危害前.檢測到入侵攻擊.并利用報警與防護系統驅逐入侵攻擊:在入侵攻擊過程中.能減少入侵攻擊所造成的損失:在被入侵攻擊后.收集入侵攻擊的相關信息.作為防范系統的知識.添加入策略集中.增強系統的防范能力.避免系統再次受到同類型的入侵入侵檢測的作用包括威懾��、檢測����、響應、損失情況評估�、攻擊預測和支持����。入侵檢測技術是為保證計算機系統的安全而設計與配置的一種能夠及時發現并報告系統中未授權或異?�,F象的技術.是一種用于檢測計算機網絡中違反安全策略行為的技術�����。
第5篇
隨著電子政務應用的不斷深入�,信息安全問題日益凸顯�����,為了高效安全的進行電子政務��,迫切需要搞好信息安全保障工作���。電子政務系統采取的網絡安全措施[2][3]不僅要保證業務與辦公系統和網絡的穩定運行��,另一方面要保護運行在內部網上的敏感數據與信息的安全���,因此應充分保證以下幾點:
1.1基礎設施的可用性:運行于內部專網的各主機、數據庫�����、應用服務器系統的安全運行十分關鍵,網絡安全體系必須保證這些系統不會遭受來自網絡的非法訪問����、惡意入侵和破壞。
1.2數據機密性:對于內部網絡���,保密數據的泄密將直接帶來政府機構以及國家利益的損失���。網絡安全系統應保證內網機密信息在存儲與傳輸時的保密性。
1.3網絡域的可控性:電子政務的網絡應該處于嚴格的控制之下����,只有經過認證的設備可以訪問網絡,并且能明確地限定其訪問范圍�,這對于電子政務的網絡安全十分重要。
1.4數據備份與容災:任何的安全措施都無法保證數據萬無一失�����,硬件故障�、自然災害以及未知病毒的感染都有可能導致政府重要數據的丟失。因此�,在電子政務安全體系中必須包括數據的容災與備份,并且最好是異地備份�。
2電子政務信息安全體系模型設計
完整的電子政務安全保障體系從技術層面上來講��,必須建立在一個強大的技術支撐平臺之上,同時具有完備的安全管理機制��,并針對物理安全�����,數據存儲安全���,數據傳輸安全和應用安全制定完善的安全策略
在技術支撐平臺方面�,核心是要解決好權限控制問題��。為了解決授權訪問的問題����,通常是將基于公鑰證書(PKC)的PKI(PublicKeyInfrastructure)與基于屬性證書(AC)的PMI(PrivilegeManagementInfrastructure)結合起來進行安全性設計,然而由于一個終端用戶可以有許多權限���,許多用戶也可能有相同的權限集��,這些權限都必須寫入屬性證書的屬性中���,這樣就增加了屬性證書的復雜性和存儲空間����,從而也增加了屬性證書的頒發和驗證的復雜度�。為了解決這個問題,作者建議根據X.509標準建立基于角色PMI的電子政務安全模型�����。該模型由客戶端�����、驗證服務器�����、應用服務器��、資源數據庫和LDAP目錄服務器等實體組成����,在該模型中:
2.1終端用戶:向驗證服務器發送請求和證書,并與服務器雙向驗證�����。
2.2驗證服務器:由身份認證模塊和授權驗證模塊組成提供身份認證和訪問控制,是安全模型的關鍵部分�。
2.3應用服務器:與資源數據庫連接,根據驗證通過的用戶請求��,對資源數據庫的數據進行處理���,并把處理結果通過驗證服務器返回給用戶以響應用戶請求。
2.4LDAP目錄服務器:該模型中采用兩個LDAP目錄服務器�����,一個存放公鑰證書(PKC)和公鑰證書吊銷列表(CRL)����,另一個LDAP目錄服務器存放角色指派和角色規范屬性證書以及屬性吊銷列表ACRL。
安全管理策略也是電子政務安全體系的重要組成部分����。安全的核心實際上是管理,安全技術實際上只是實現管理的一種手段�����,再好的技術手段都必須配合合理的制度才能發揮作用����。需要制訂的制度包括安全行政管理和安全技術管理���。安全行政管理應包括組織機構和責任制度等的制定和落實;安全技術管理的內容包括對硬件實體和軟件系統�、密鑰的管理。
轉貼于中國論文下載中心www
3電子政務信息安全管理體系中的風險評估
電子政務信息安全等級保護是根據電子政務系統在國家安全����、經濟安全、社會穩定和保護公共利益等方面的重要程度�����。等級保護工作的要點是對電子政務系統進行風險分析����,構建電子政務系統的風險因素集。
3.1信息系統的安全定級信息系統的安全等級從低到高依次包括自主保護級����、指導保護級、監督保護級��、強制保護級���、?����?乇Wo級五個安全等級�����。對電子政務的五個安全等級定義����,結合系統面臨的風險�����、系統特定安全保護要求和成本開銷等因素�����,采取相應的安全保護措施以保障信息和信息系統的安全�����。
3.2采用全面的風險評估辦法風險評估具有不同的方法��。在ISO/IECTR13335-3《信息技術IT安全管理指南:IT安全管理技術》中描述了風險評估方法的例子,其他文獻�����,例如NISTSP800-30����、AS/NZS4360等也介紹了風險評估的步驟及方法,另外����,一些組織還提出了自己的風險評估工具,例如OCTAVE�、CRAMM等。
電子政務信息安全建設中采用的風險評估方法可以參考ISO17799��、OCTAVE�����、CSE��、《信息安全風險評估指南》等標準和指南�����,從資產評估、威脅評估�、脆弱性評估、安全措施有效性評估四個方面建立風險評估模型�����。其中����,資產的評估主要是對資產進行相對估價,其估價準則依賴于對其影響的分析��,主要從保密性���、完整性、可用性三方面進行影響分析;威脅評估是對資產所受威脅發生可能性的評估�����,主要從威脅的能力和動機兩個方面進行分析;脆弱性評估是對資產脆弱程度的評估���,主要從脆弱性被利用的難易程度�、被成功利用后的嚴重性兩方面進行分析;安全措施有效性評估是對保障措施的有效性進行的評估活動,主要對安全措施防范威脅��、減少脆弱性的有效狀況進行分析;安全風險評估就是通過綜合分析評估后的資產信息��、威脅信息�、脆弱性信息、安全措施信息���,最終生成風險信息�����。
在確定風險評估方法后��,還應確定接受風險的準則���,識別可接受的風險級別。
4結語
電子政務與傳統政務相比有顯著區別�����,包括:辦公手段不同��,信息資源的數字化和信息交換的網絡化是電子政務與傳統政務的最顯著區別;行政業務流程不同�����,實現行政業務流程的集約化、標準化和高效化是電子政務的核心;與公眾溝通方式不同��,直接與公眾溝通是實施電子政務的目的之一�,也是與傳統政務的重要區別。在電子政務的信息安全管理中�����,要抓住其特點�,從技術、管理�����、策略角度設計完整的信息安全模型并通過科學量化的風險評估方法識別風險和制定風險應急預案�����,這樣才能達到全方位實施信息安全管理的目的�����。
參考文獻:
[1]范紅�����,馮國登�,吳亞非.信息安全風險評估方法與應用.清華大學出版社.2006.
[2]李波杰,張緒國���,張世永.一種多層取證的電子商務安全審計系統微型電腦應用.2007年05期.
第6篇
論文摘要:世界已進入了信息化時代��,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準��。但由于信息資源不同于其他資源的特殊性質�����,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題��。
論文關鍵詞:信息安全�;保護
信息安全包括以下內容:真實性��,保證信息的來源真實可靠����;機密性,信息即使被截獲也無法理解其內容���;完整性�����,信息的內容不會被篡改或破壞�����;可用性����,能夠按照用戶需要提供可用信息;可控性���,對信息的傳播及內容具有控制能力�;不可抵賴性����,用戶對其行為不能進行否認;可審查性����,對出現的網絡安全問題提供調查的依據和手段����。與傳統的安全問題相比����,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害����、意外事故;計算機犯罪���;人為錯誤����,比如使用不當�����,安全意識差等��;“黑客”行為����;內部泄密;外部泄密���;信息丟失��;電子諜報�����,比如信息流量分析���、信息竊取等���;信息戰;網絡協議自身缺陷��,等等���。
1我國信息安全的現狀
近年來����,隨著國家宏觀管理和支持力度的加強�����、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素���,我國在信息安全管理上的進展是迅速的�。但是��,由于我國的信息化建設起步較晚���,相關體系不完善,法律法規不健全等諸多因素���,我國的信息化仍然存在不安全問題�����。
①網絡安全的防護能力較弱�����。我國的信息化建設發展迅速���,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后���,各級政府已陸續設立了自己的網站�,但是由于許多網站沒有防火墻設備、安全審計系統�、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患�����。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱�����,在網絡黑客攻擊的國家中�,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造����。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備�����,并不對其進行必要的監測和改造��,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機��。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外����,缺乏自主創新產品,尤其是信息安全產品����。我國信息網絡所使用的網管設備和軟件基本上來自國外�,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”���。由于缺乏自主技術�,我國的網絡處于被竊聽�����、干擾���、監視和欺詐等多種信息安全威脅中����,網絡安全處于極脆弱的狀態��。
除此之外,我國目前信息技術領域的不安全局面����,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題���,要實現信息安全不但要靠先進的技術��,還要有嚴格的法律法規和信息安全教育����。
①加強全民信息安全教育���,提高警惕性�。從小做起����,從己做起,有效利用各種信息安全防護設備�,保證個人的信息安全,提高整個系統的安全防護能力�����,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業��,加大信息產業投入���。增強自主創新意識���,加大核心技術的研發,尤其是信息安全產品�����,減小對國外產品的依賴程度���。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系����,制定相關的法律法規,例如信息安全法��、數字簽名法���、電子信息犯罪法���、電子信息出版法�、電子信息知識產權保護法���、電子信息個人隱私法��、電子信息進出境法等�����,加大對網絡犯罪和信息犯罪的打擊力度��,對其進行嚴厲的懲處����。
第7篇
關鍵詞:新形勢����、金融業信息安全、挑戰��、對策
一�、面臨的挑戰
目前,金融業的業務開展更加依賴于信息技術的應用���,特別是以綜合業務系統整合�����、數據集中為主要特征的金融業信息化發展到一個新的階段�。因而,信息技術風險也自然成為中國金融機構操作風險的重要方面��。金融業信息安全工作正面臨比以往更嚴峻的形勢���,圍繞信息網絡空間的斗爭日趨尖銳�����,境內外網絡違法犯罪活動呈快速遞增趨勢����,惡意代碼和網絡攻擊呈多樣化局面�����,金融業信息系統安全運行的難度加大�����,挑戰增多����。
一是人民銀行的業務指導、監督管理滯后于金融業信息化發展���。
與金融業信息化的高速發展相比����,金融業信息安全的指導�����、監管工作還需要進一步加強��。國內曾有專家明確提出���,在金融信息化����、網絡化時代����,“信息資產風險監管是現代金融監管體系的核心理念�?!毙畔①Y產風險指在信息化中,信息資產的規劃�����、設計����、開發、生成���、存在�����、運用�����、服務、管理��、維護���、監管以及其他相關過程中產生的信用����、市場、操作與業務風險��。人民銀行在金融信息規劃����、信息標準、信息安全等諸多方面承擔著重要職責���,在2008奧運年中發揮了重要��、積極的作用����。但總體來看�����,人民銀行及其分支行對金融機構信息安全工作的指導和監管���,還處于初級階段�����,由于人民銀行分支機構對各金融機構信息安全缺乏指導�、缺乏統一的監管目標、缺乏完整的認識�����,以及缺乏監督管理的依據和標準���,從而導致監管措施不到位���,監管手段缺失,致使基層行監管缺乏主動性�����。
二是核心設備和技術依賴于國外��,底層技術難以掌握�����,存在安全隱患�。
目前,我國金融業信息系統和網絡中�,大量使用國外廠商生產的設備,這些設備使用的操作系統���、數據庫�����、芯片也大多數是由國外廠商生產����。外方不可能提供設備的核心技術和專利����,我方很難判斷設備是否存在“后門”、“軟件陷阱”�����、“系統漏洞”�、“軟件炸彈”等安全漏洞。據調查����,一些重要網絡系統中使用的信息技術產品���,都不可避免地存在一定的安全漏洞。這些漏洞可能是開發過程中有意預留���,也可能是無意疏忽造成的����。特殊情況下�,特定安全漏洞可能被利用實施人侵,修改或破壞設備程序����,或從設備中竊取機密數據和信息。前一階段國外炒作的IC卡安全問題以及近年來出現的微軟“黑屏事件”��,已經為我們敲響了警鐘�。
三是境內外網絡違法犯罪活動呈快速遞增趨勢,新技術的應用使我們面臨更大的挑戰�����。
金融業信息網絡和重要信息系統正成為敵對勢力�、不法分子進行攻擊�����、破壞和恐怖活動的重點目標��。金融業信息系統已經遭受到多次攻擊,整體信息安全形勢嚴峻�。2009年國防科技大學的一項研究表明,我國與互聯網相連的網絡管理中心有95%都遭到過境內外黑客的攻擊或侵人��,其中銀行�����、金融和證券機構是攻擊重點����。
2005年6月18日,被稱為有史以來最嚴重的信息安全案件在美國爆發�����,萬事達�����、VISA和美國運通公司的主要服務商的數據處理中心網絡被黑客程序侵人,導致4000萬個賬戶信息被黑客截獲�,使客戶資金處于十分危險的狀態。
由此可見���,基于開放性網絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰����。
四是數據大集中的同時���,也使技術風險相對集中�����。
伴隨著數據大集中的實現�,風險也相對集中.一旦數據中心發生災難��,將導致金融業的所有分支機構��、營業網點和全部的業務處理停頓��,或造成客戶重要數據的丟失�,其后果不堪設想。
近年來����,國內外金融機構因為信息技術系統故障導致大面積��、較長時問業務中斷的事件時有發生���。2006年,日本花旗銀行出現交易系統故障���,5天內約27.5萬筆公用事業繳費遭重復扣劃或交易后未作月結記錄,造成該行的重大聲譽損失�。
信息系統潛在的風險已引起金融業的高度重視,如何保障后數據大集中時代金融業信息系統安全穩定運行���,是需要整個金融業深入研究的課題���。
五是我國金融業的災難處理能力有待加強。
據人民銀行在2009年對21家全國性商業銀行災備中心建設情況的調查顯示���,僅有3家建立了同城和異地災備中心�,9家建立了同城災備中心���,6家建立了異地災備中心��,尚有3家沒有建立災備中心�����。返觀國外同業.多數國外銀行已經做到了分行一級的災難備份與恢復���。這表明��,我國金融業災備中心建設同國外相比存在較大差距��。
此外�����,國內金融機構的現有災難備份中心布局不合理���,過度集中在北京、上海兩地���,一旦發生區域性重大災難���,將對我國金融業整體運行狀況帶來極大危害,并造成過高的重建成本����。
二����、應對措施
按照《國務院辦公廳關于印發中國人民銀行主要職責內設機構和人員編制規定的通知》(新“三定”方案)規定�,人民銀行的主要職責之一是組織制定金融業信息化發展規劃,負責金融標準化的組織管理協調工作���,指導金融業信息安全工作��。
在新形勢下如何指導和協調金融業信息化建設和信息安全��,是人民銀行尤其是人民銀行分支機構需要認真思考的問題。
金融業信息系統的安全是防范和化解金融風險的重要組成部分��,要依靠法律��、管理機制�����、技術保障等多方面相互配合�,形成一個完整的安全保障體系。
一是加強金融服務指導和行業監管���。
應建立跨部門的金融業信息安全協調機制以及重點時期的安保工作機制��,強化信息安全手段和隊伍建設�����,加強信息安全檢測和準人制度�,實施信息安全等級保護,建立信息資產風險評估體系��,提高信息安全水平���,保證金融穩定和經濟發展����。
人民銀行分支機構應加強對中小金融機構的服務指導��,尤其是在核心業務系統建設���、災備建設和信息安全方面給予具體指導����,幫助中小金融機構借鑒成功經驗,規避風險���,實現跨越式發展����。
各級人民銀行�����,應牽頭成立金融業信息安全領導小組�����,并建立和完善信息安全通報制度�����、報告制度和聯席會議制度��,建立健全一個運轉靈活��、反應靈敏的信息安全應急處理協調機制�,隨時處置和協調金融機構安全事件��,以迅速應對突發事件的發生,降低或消除金融機構網絡和主要信息系統因出現重大事件造成的損失�����。
二是研究建立跨部門的現代化金融業信息安全管理網絡��。真正實現對金融機構信息安全風險的及時���、動態�、全面�、連續的監管。
在正確評估我國金融網絡現狀的基礎上�����,借鑒國外的組網模式����,盡快建立適應我國金融業信息化建設和發展實際的高速、安全和先進的網絡框架�����,在建設時要充分考慮到網絡的兼容性和拓展性�����,為下一步與各金融業的網絡互聯做準備。同時促進各家金融機構完善內控機制����,保障運行安全。現代金融業高度依賴信息技術����,必須充分認識到金融業信息安全對整體業務和金融體系,乃至經濟體系的影響���,牢固樹立風險防范意識����,把信息科技作為風險管理的重要手段�����。
三是人民銀行要協調督促金融機構�,加強自主創新,加大對國產軟硬件采購力度����,努力減少和降低一些關鍵領域的對外技術依賴。
對采購或使用的信息技術和產品��,能自主的就要千方百計地推進自主�,不能自主的,也須保證其可知可控��,也就是說�����,要對信息技術產品的風險和隱患��、漏洞和問題做到“心中有底�����、手中有招�、控制有術”。
對須引進的�����,實行市場準人制度��,并引進權威機構對其產品進行風險����、安全�、實用等綜合性評估�。
對各地區一些科技水平還比較低的中小金融機構,要加大支持力度��,加強行業內部的交流合作�����。針對目前金融業�,特別是中小金融機構的信息系統的開發、建設和運維采用IT外包的形式���,應出臺相應的政策���、制度和措施,促進IT外包健康快速發展����,約定監管機制,規范服務商的服務標準和流程���,使IT外包以服務行為的公司化�����、強大的配套支持能力��、靈活的外包服務方式成為金融機構快速發展的可行之道�。
四是建立健全信息安全管理制度�����,定期進行信息安全檢查����,加強網絡安全攻擊防范。
由于金融業的組織結構和業務運營方式��,使網絡必定要建成一個同Internet和外部線路有較密切關系的結構����,各種網絡訪問上的安全問題也隨之產生。金融網絡系統面臨的攻擊有來自內部的�����,也有來自外部的��。攻擊的后果將造成信息失密、信息遭篡改�、身份遭假冒和偽造等,特別是在網絡上運行關鍵業務時�����,網絡安全問題更是要優先解決的問題����。因此,應通過建立健全信息安全制度���、定期組織信息安全非現場和現場檢查等方式���,促進銀行做好系統加固工作,充分利用各種安全產品強化網絡安全防范��,加強移動存儲介質管理��,做好安全日志分析�、預警和監測工作,防止植入木馬導致信息泄漏和來自內部的安全威脅�。
五是增加業務持續動作能力,切實采取措施防范數據處理集中后的技術風險。
巴塞爾銀行業監管委員會共同論壇2006年8月了《業務連續性高級原則》將業務連續性管理定義為����,發生中斷事件時,確保某些業務保持運行或在短時間內得到恢復的一整套辦法����,包括政策��、標準和程序�����。
業務連續性管理的實施在組織上的保證至關重要����。人民銀行應指導金融業參照國外先進經驗,專門成立業務連續性管理指導委員會�����,將業務部門�、風險管理部門和IT部門有關業務連續性的管理職責融于一處統籌管理。
目前��,國內銀行災難備份和業務連續性管理主要集中在系統故障���、人員操作�、機房維護和短時間電力中斷等情況。在防范自然災害�、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發”與“應急”�����。由于災害事件的不確定性��,應急管理與保障工作必須建立在高強度的實戰性基礎上��,使災難應急管理真正適應“應急”的要求�����。二是要擴大應急預案本身的覆蓋范圍��。我國金融業災難備份及業務連續性管理主要集中在IT部門��,遠遠不能適應業務連續性的需要�����,應當強調業務部門的參與,與IT部門共同構建適應現代金融業發展需要的應急保障體系��,確保運營安全���。
三�����、結束語
