中国信息安全论文范文

时间:2023-03-16 07:55:56

导语:如何才能写好一篇中国信息安全论文,这就需要搜集整理更多的资料和文献,欢迎阅读由公文云整理的十篇范文,供你借鉴。

篇1

1当前企业信息化建设中的信息安全问题

1.1信息安全管理问题

目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。

1.2信息化建设中的硬件问题

近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。

1.3信息化建设中的软件问题

(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。

(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。

(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。

(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。

2企业信息化建设中信息安全的对策

信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。

2.1强化信息安全观念

在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。

2.2加强硬件建设安全防护

加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。

另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。

2.3提升软件建设安全措施

要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。

3小结

篇2

论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

二、我国信息化中的信息安全问题

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。

2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。

5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。

篇3

关键词:信息安全,网络,措施作者,才让昂秀,单位,青海省交通通信信息中心

 

一、信息安全的概念

 

目前,我国《计算机信息安全保护条例》的权威定义是:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全,其基本属性有:完整性、可用性、保密性、可控性、可靠性。

 

二、计算机网络系统安全因素剖析

 

(一)来自计算机网络的病毒攻击

目前,计算机病毒的制造者大多利用Internet网络进行传播,所以广大用户很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响计算机网络的正常运行。

(二)软件本身的漏洞问题

任何软件都有漏洞,这是客观事实。就是美国微软公司,全球的软件霸主,也不例外。但是这些漏洞恰恰是非法用户窃取用户信息和破坏信息的主要途径。针对固有的安全漏洞进行攻击,主要有:①协议漏洞。利用POP3等协议的漏洞发动,获得系统管理员的特权;②缓冲区溢出。攻击者利用该漏洞发送超长的指令,超出缓冲区能处理的限度,造成系统运行的不稳定,使用户不能正常工作;③口令攻击。黑客通过破译,获得合法的口令,而入侵到系统中 。还有IP地址轰击等方法,不一一举例。

(三)来自竞争对手的破坏

俗话说:同行是冤家。有的企业利用不正当手段,对同行进行破坏。攻击对方的网站或篡改对方的信息,或在其他网站上散布谣言,破坏竞争对手的良好形象。有的轰击对方的IP地址,使对方的网站不能正常工作。论文参考,措施作者。

(四)用户使用不慎产生的后果

计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度。很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。

三、网络信息安全的应对措施

 

(一)加强入网的访问控制

入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。对用户账号、口令应作严格的规定,如:口令和账号要尽可能地长,数字和字母混合,避免用生日、工号等常见的东西作口令,尽量复杂化,而且要定期更新,以防他人窃取。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。论文参考,措施作者。

(二)加强病毒防范

为了能有效地预防病毒并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,要建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。论文参考,措施作者。主要从以下四个方面来阐述:

1.漏洞检测。主要是采用专业工具对系统进行漏洞检测,及时安装补丁程序,杜绝病毒发作的条件。

2.病毒预防。要从制度上堵塞漏洞,建立一套行之有效的制度;不要随意使用外来光盘、移动硬盘、U盘等存储设备。

3.病毒查杀。主要是对病毒实时检测,清除已知的病毒。要对病毒库及时更新,保证病毒库是最新的。这样,才可能查杀最新的病毒。

4.病毒隔离。主要是对不能杀掉的病毒进行隔离,以防病毒再次传播。

(三)进行数据加密传输

为防止信息泄漏,被竞争对手利用,可对传输数据进行加密,并以密文的形式传输。即使在传输过程中被截获,截获者没有相应的解密规则,也无法破译,从而保证信息传输中的安全性。比如:微软公司的WindowsXP就有这样的数据加密功能。

(四)采用防火墙技术

应用过滤防火墙技术能实现对数据包的包头进行检查,根据其IP源地址和目标地址做出放行或丢弃决定,但对其携带的内容不作检查;应用防火墙技术能对数据包所携带的内容进行检查,但对数据包头无法检查。因此,综合采用包过滤防火墙技术和防火墙技术,既能实现对数据包头的检查,又能实现对其携带内容的检查。论文参考,措施作者。

(五)应建立严格的数据备份制度

一要重视数据备份的重要性,认为它很有意义,是一个必要的防范措施;二要严格执行数据备份制度。要定期或不定期备份,对重要数据要有多个备份。因为杀毒软件不是万能的,以防万一,很有必要建立数据备份制度。

(六)加强安全管理

安全管理对于计算机系统的安全以及可靠运行具有十分重要的作用。就目前而言,应做到以下几点:

1.树立守法观念,加强法制教育。有关计算机和网络的一些法律知识,要了解并熟悉,如:《中国信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等条例,培养良好的法律意识。

2.制定并严格执行各项安全管理规章制度。论文参考,措施作者。论文参考,措施作者。包括出入机房制度、机房卫生管理制度、在岗人员责任制、机房维护制度、应急预案等。

3.建立检查机制。定期或不定期地对计算机系统进行安全例行检查,要有记录,看落实情况,以免流于形式。

(七)培养用户的信息安全意识

要注意个人信息的保护,不要将个人信息随意保存在纸质上,在ATM上交易时,也要防止是否有人偷窥,不要使用真实信息在网站上注册等等,时时刻刻培养自己的信息安全意识。

以上是本人对计算机网络信息安全的初浅认识。单位决策者不但思想上要高度重视,而且行动上也要给予大力支持,包括财力和人力。只有这样,才有可能保证单位用户对网络信息的安全使用。

篇4

任俊博自大学开始学习安全专业,工作后一直从事安全工作。他本人真心喜欢这个行业,十余年一直醉心于研究防御技术。他做过逆向,写过病毒木马,做过渗透,写过代码,还做过安全运维,分析过案件……多年来,他一直保持一个习惯,每天查阅国内外信息安全学术论文,阅读相关书籍,并在核心期刊上发表数篇学术论文。

任俊博十余年来不断探索新的安全防御方法,丰富自己的安全理论。他认为,安全是“七分管理,三分产品”。然而,安全管理的现状并不理想,更多的需要用产品、技术弥补管理的漏洞。而现有的产品技术,却多数令人不敢恭维。要想用好这些产品,一是需要参与研发的工程师、产品经理、用户、渗透工程师、协议分析工程师等各个岗位的人员集体参与配置,二是传统安全产品,如防火墙,技术方法已经使用了近20年,到现在依旧是老套的方法,缺乏新的思路、技术,难以支撑和推动产品的创新。此外,任俊博认为,安全应该是定制化的,而非通用的。安全工程师如同医生,每一个患者都可能有不同的病症,需要一个个把脉诊断,开不同的药方。当然,还有攻击方的原因,黑客的攻击方法的变化、攻击策略升级等,也是导致当前大多数安全产品无法满足现阶段安全需求的原因。

任俊博认为,原来的安全生态链是静态的、被动的、滞后的、死板的、同质化的,缺少了主动、对抗、趣味、定制化的安全防护。原有的生态链是“严防死守(防火墙等网关产品)-拿走打不开(加密类产品)-追究责任(溯源、取证、审计等产品)”的闭环。任俊博认为,这样的生态链是不完整的,缺少事中防御和实时对抗的环节。他认为,“严防死守”之后应是“无从下手”,即“严防死守(防火墙等网关产品)-无从下手(伪装欺骗技术产品)-拿走打不开(加密类产品)-追究责任(溯源、取证、审计等产品”,这才是完整的闭环。

任俊博为了打造便于配置和使用的安全产品,创新性地提出了“鼠标产品”和“鼠标公司”的概念。“鼠标产品”指的是无需键盘,仅动动鼠标就可以配置定制化的安全解决方案。“鼠标公司”即公司旗下所有产品都应该是“鼠标产品”。“鼠标产品”应具备机器学习的功能,需要对用户的业务十分熟悉。实现“鼠标产品”的关键,就是要研究不以漏洞检测挖掘为依托的安全技术。

安全攻防战是看不见的战争,既然同是战争,两者的战略思想是不是有相通之处呢?安全攻防战是不对称战,防御方完全处于劣势,对于攻击方何时何地攻击标的物,以及用何种方式发起攻击等信息一无所知,而攻击方则步步为营,采集信息、制定计划,一步步达到攻击目的。

任俊博喜欢读书。他在读中国古代兵法奇书《孙子兵法》时颇有感悟。“兵者,诡道也。善守者,敌不知其所攻。”安全防御是不是可以借鉴传统战争理论呢?任俊博苦苦思考,并与业界多位技术专家、博士反复讨论、摸索,后组建团队进行产品化研发,刻苦钻研后终有所获,创立了数据机器人品牌。旗下所有产品本着“分担计算资源”“让黑客找不到北”的思路开发。比如,端点高级威胁感知系统,利用独创的幻影技术将不对称的防御战反转,变被动为主动,在黑客突破网关类防御产品准备入侵服务器时,释放诱惑性的非真实信息,逐步引导黑客掉入预设的陷阱,从而完全掌控黑客的攻击行为。

篇5

关键词:信息安全技术;三网融合环境

前言

所谓的“三网融合”,就是将计算机网络技术、电信网、有线电视网经过技术改造之后,向用户提供音频、视频、数据等信息的综合多媒体通信业务。中国的信息环境因三网融合而发生了改变,不仅新的信息传播渠道不断地被开发出来,而且信息传播成本也不断地降低。人们在享受丰富的信息资源的同时,也需要面临信息安全隐患所引发的各种风险。比如,互联网技术的普及,用户群不断扩大。一些不良用户会利用网络信息的共享性传播恶意信息,甚至在计算机网络上传播病毒,导致其他用户的切身利益受到损害。要使三网融合的优势得以充分发挥的同时,还要应用信息安全技术,以提高信息质量。

1关于“三网融合”的理解

传统的网络是广播电视网、电信网和计算机网络之间相互独立。三网融合是将广播电视网、电信网和计算机网络建立关联性,使三种网络技术实现了融合。三种网络技术不仅实现了信息共享,而且相互之间还进行了技术渗透,特别是进入到应用层面,使得各种形式的信息互通,对中国的信息化发展起到了重要的推动作用。按照中国《三网融合推广方案》,对三网融合哟实现的目标进一步明确,即所谓的“三网融合”并不是简单的物理技术层面的融合,而是在网络技术的应用上能够相互融合,特别是在业务领域中,三种技术相互渗透,使得传统的网络格局被打破,广播电视网、电信网和计算机网络在业务领域实现无缝融合[1]。比如,网络用户使用智能手机,不仅能上网,而且可以观看电视;用户在看电视的时候,还可以在电视上上网或者打电话;用户可以在电脑上看电视节目,也可以打电话。三网融合环境中,信息不断传播而且传播范围进一步扩大,使得通信网络统一化管理、一体化运行,信息传播效率有所提高。原有的单一化网络信息服务多元化发展,构成了多媒体为了环境,各项业务综合化,由此使得网络运行成本降低,网络资源得以高效利用。另外,三网融后合之后,还会产生各种新的业务,业务范围拓宽,从而是用户的各项需求得到了满足,信息传播过程中会获得更高的利润。网络运营商之前原有的恶性竞争转变为合作式的的竞争[2]。随着三网充分融合,就需要网络运行更为安全顺畅,要保证信息不会遭到损坏,就需要做好信息安全管理工作,以实现三网融合的预期目标。这也意味着,三网融合之后,对信息安全技术的要求更高,促进信息安全体系的完善是非常必要的,以将网络安全威胁消除,净化网络环境。

2三网融合环境中信息安全技术经验

三网融合环境下,信息安全技术成为需要重点研究的问题。信息安全技术管理中,所涉及的事务多,管理中还涉及到多项专项事务。要确保信息安全,就要将三网融合的技术保障体系构建起来,将现有的技术整合、优化,使信息安全技术水平得以提升。

2.1三网融合环境下要强化信息安全技术的研究工作

对信息技术实施安全管理,离不开高端专业技术的应用。要确保信息产业安全稳定地运行,就要基于信息技术将安全屏障建立起来,可以更好地控制信息产业稳定发展。特别是三网融合环境中所构建的虚拟社会,在投入信息技术的同时,还要实施必要的安全保障,包括计算机操作系统、安全芯片、信息技术软件以及移动终端产品等等,都要给予必要的安全保障,形成自主知识产权产品,同时还要从应用实践的角度将安全管理制度制定出来,确保三网融合规范运行[3]。特别是涉及到三网融合的各种安全技术,要采用研发的方式攻克难关,并对研发产品实施产业化发展,以从基层安全技术产品开始逐步升级,到核心安全技术环节实现技术的更新换代,促使三网环境下的信息得到有效管理。此外,为了确保三网融合下信息安全运行,还要将安全风险评估体现构建起来,以将网络风险因素量化为指标,对网络安全运行状况进行评估,以塑造良好的网络运行环境。对网络信息要做好专项检查工作,将安全管理策略制定出来,并针对网络运行中所存在的问题提出解决措施。同时,还要做好网络发展规划,将适合于三网融合环境的信息安全管理框架制定处理,以在框架下开展业务,确保网络信息安全。

2.2构建三网融合环境下的网络信息体系

中国目前正大力推进信息化建设,倡导改革行业实施“互联网+”战略,以将互联网技术充分地利用起来。将网络信息体系构建起来,就是要在三网融合环境下促进网络技术的融合,基于此在行业应用领域中对互联网技术有效应用。网络信息体系不仅诉诸到技术层面,更多的强调了道德层面,要通过强化网络管理提高网络诚信。在网络信息体系中,各种信息浏览记录都能够体现个人的信息应用情况,特别是密码技术的应用,就需要制定管理制度,并在法律的层面上予以约束,所有的技术工作都要基于网络设备和网络技术展开。面对网络信息不对称的现象,还要在信息体系运行中做好授权管理工作,认定承担责任的主题,还要做好身份认证,以对网络信息实施安全管理。提高网络信息体系的诚信度,就是要使用户在共享网络信息的同时,还要明确用户的真实身份。特别是在三网融合环境下,要求用户的身份要真实、而客观,对用户在网络上的各种行为要实时跟踪并做好监督管理工作。在授权管理中,要对身份认证严格管理,做好用户对信息的访问控制工作。在管理网络用户的时候,要合理利用网络信息,在提高信息使用效率的同时,还要对网络信息实施必要的保护,以避免信息丢失、滥用等等问题[4]。通过对网络基础设施的授权管理,做好责任认定工作,就需要配套使用相应的管理措施,包括调查和审定网络行为,对网络不当行为进行取证、保留调查信息,对信息进行判定等等。对于网络不良行为的肇事者,要按照规定的操作规程追究责任,以对用户的网络行为从法律的层面予以约束,以提高网络运行质量。

2.3三网融合环境下要避免安全隐患的扩散

三网融合环境下,信息量大而且传播速度快,一些安全隐患会伴随着信息快速扩散。这就需要加大监督力度,并将监督管理体系构建起来,从技术的层面和法律的层面入手对各种安全威胁采取防控措施。在网络系统中要将防火墙构建起来,行政监管、专业技术和法律规范等等整合,以提高网络信息安全系数[5]。这就需要开展网络安全技术培训工作,普及网络安全知识,将网络安全体系构建起来。另外,还要构建监督管理机构,对网络上传播的信息进行严格监管,并采取技术保障措施,以提高网络信息传播质量。

3结语

综上所述,信息化技术环境下,三网融合成为一种必然,对中国信息化建设起到了重要的推动作用。三网融合环境下提高信息安全度属于是系统化工程。特别是对于网络运行中所存在的各种安全隐患,要具有针对性地采取有效对策,确保网络安全稳定地运行。

参考文献:

[1]王宏宇,陈冬梅,王兴国.一种三网融合下的网络社会信息安全保障策略[J].信息安全与技术,2013.

[2]刘晨鸣,叶志强,刘伟东.三网融合背景下广电网络信息安全政策及技术措施思考[A].中国电子学会有线电视综合信息技术分会,2015.

[3]李小兰,刘晨鸣,叶志强.三网融合背景下广电网络信息安全问题分析与建议[J].广播与电视技术,2014.

[4]曾小丽,王宏宇,陈冬梅,王兴.三网融合环境中信息安全技术的经验分析[J].无线互联科技,2015.

篇6

[关键词]信息素养;影响因素;独立学院

doi:10.3969/j.issn.1673 - 0194.2016.18.153

[中图分类号]G645.5;G252.7 [文献标识码]A [文章编号]1673-0194(2016)18-0-02

1 调研背景

信息素养是信息社会一种必备能力,它涉及信息意识、信息能力和信息应用。新时期的教育理念将学生综合能力的培养放在一个重要的位置,提高大学生的信息素养,让他们更好地去适应信息社会的发展变化。

自1974年美国信息产业协会主席保罗・斯基从文化素养、信息意识和信息技能3个方面阐述信息素养理念以来,信息素养的内涵得到了不断的发展和完善。美国图书馆协会(ALA)在1989年的总结报告中将信息素养界定为:需要信息时具有确认信息、寻找信息、评价和有效使用所需要信息的能力。2000年国家统计局国际统计信息中心对世界28个主要国家与地区的信息能力的调研显示:中国的信息能力落后于许多国家地区。国内信息素养相关实证研究并不多,多数集中在学位论文中。国内外相关信息素养的调查研究,集中在理论性研究和整体性实证研究,对独立学院这一类特殊群体的研究较为薄弱。本文通过调查分析深入了解独立学院大学生信息素养现状,通过分析独立学院大学生信息素养培养中存在的问题,有针对性地提出提升对策,以适应信息社会对大学生信息素养的发展要求。

2 模型与方法

从信息素养内涵出发,对信息意识与知识、信息需求、信息能力与行为、信息安全和信息道德等5个方面对独立学院大学生信息素养进行调查研究。

根据信息素养的5个方面提取评价指标,并设计问卷,突出量表和要素相结合,既能客观评价独立学院大学生信息素养状况,又能有针对性地分析影响其信息素养的因素。调查以珠海三所独立学院(北京理工大学珠海学院、吉林大学珠海学院、北京师范大学珠海分校)为代表,采取便利抽样方法,并利用统计分析方法对调查数据进行统计分析。

本次调查发放问卷400份,回收有效问卷381份,有效回收率达95.3%。样本中男女比例达1.7:1,大一、大二、大三年级比例为1:1:2,经济学、法学、教育学、文学、理学、工学、医学、管理学和艺术学的专业分布比例是0.8%、16.2%、9.7%、0.3%、14.0%、10.5%、21.6%、1.6%、24.0%与1.3%。所在地区的分布中珠三角最多,其次是粤东和省外,粤北最少,分别占44%、19.5%、19.5%、11.8%和5.2%;在户口分布方面,城镇农村户口比例为2.4:1。

3 独立学院大学生信息素养评价

3.1 信息意识与知识

调查结果显示:三所独立学院大学生信息意识与知识总体水平处于中等,评价得分为73.89分。大学生信息来源选择分析调查显示,大部分学生在学习中遇到问题时会直接求助于互联网(占比达85.02%),其次是数据库(6.8%)、图书(5.44%),期刊杂志等方式则几乎无人问津。

3.2 信息需求

《信息素养全美论坛的总结报告》提到“一个有信息素养的人,他能够认识到精确和完整的信息是作出合理决策的基础;能够确定信息需求,形成基于信息需求的问题”。这在很大程度上能概括出一个具有良好信息需求的人会表现出来的行为。独立学院大学生在信息需求表达和意识方面未达及格水平,评价得分为57.89分。

调查显示,独立学院大学生信息需求的类型主要是学习资料,占比值为41.1%,其次是新闻资讯,占24.4%,信息交流的需求包括网上交流、网上娱乐和生活信息,但对信息需求的表达均显示出较差的水平。

3.3 信息能力与行为

信息能力与行为在信息素养中是非常核心的概念,信息素养高的人通常具有基本的科学理论常识,可以对生活中随处可见的信息进行科学的判断,并且能够很快地掌握信息,挑选出对自己有用的信息,同时,在海量信息的互联网中也可以快速地寻找到需要的资料。独立学院大学生信息能力与行为评价未达到及格水平,评价得分57.16分。以下对信息获取、信息评价、信息分析3个指标进行分析。

3.3.1 信息获取

信息获取方面的评价得分为51.69分。对独立学院大学生信息获取方式的调查显示,百科以36.2%的使用比例占据头名,其次是搜索引擎、文献数据库、论坛、博客等,占比分别达到29.3%、15.5%、7.8%、5.8%。从不同方式间的特点看来,百科以及搜索引擎更容易获取信息、更新频率高、所包含的信息种类多,但包含信息的专业性一般;论坛及博客则有着交互讨论以及经验分享的特点,RSS订阅等则有着专业度、集成度高的特点,由此表明,大学生更倾向于选择简单易用的方式来获取所需要的信息。

在获取信息遇到困难时,59.1%的大学生会选择询问朋友,18.5%的大学生会尝试向网络上的朋友提问求助,显示自主解决问题的能力稍差。

在获取学习研究参考资料的途径选择中,62.1%的大学生首先选择了互联网,其次25%和22.1%的大学生分别选择了朋友和专业图书,从写论文及更深入的学习角度看,专业期刊和专业数据库才是更加明智的选择。从数据看来,笔者发现仍有21.3%的同学意识到了专业期刊和专业数据库的使用价值。

在被问到关于信息获取的障碍时,39.2%的大学生认为障碍在于缺少必备的数据库,剩下的31.3%和24.6%的大学生则认为是不够了解数据资源的内容和缺少必备的检索知识。

3.3.2 信息评价

信息评价方面的评价得分为58.85分。在对大学生如何判断数据的准确性的调查中,51.3%的大学生选择靠自身经验进行判断,21.2%的大学生会自己去做实验检验真实性。40.5%的学生会在发送信息时根据特定的接受者或者内容选择特定的媒介,这部分学生更加懂得如何合理运用不同的媒介查找不同的内容,这种敏感性体现出信息素养的水平。

3.3.3 信息分析

信息分析方面的评价得分为58.40分。27.0%的同学有定期整理、备份文件的习惯;在整理文件的方式上,68.0%的学生喜欢“按照文件内容整理”,17.0%的学生更喜欢“按照时间顺序整理”,还有8.6%的学生选择“从不整理”。

3.4 信息安全与道德

3.4.1 信息安全

独立学院大学生信息安全评价得分为55.34分,部分学生存在信息安全意识缺乏、使用网络时不注重保护个人隐私的问题。在使用网络的过程中,有11.41%的学生完全没有意识到个人信息可能被泄露这个问题,还有50.93%的学生虽然意识到这个问题,但认为这不是很重要,37.67%的学生总是能意识到这个问题。

3.4.2 信息道德

独立学院大学生信息道德评价得分为76.30分,但在面对不良信息时,大部分的学生选择回避,没有主动协助维护绿色网络环境,学生的信息道德与责任感还是需要加强的。

3.5 独立学院大学生信息素养总体评价

综合以上分析,独立学院大学生信息素养总体水平不高,达到及格水平,评价得分为61.70分,信息意识与知识水平达到中等,信息需求、信息能力与行为、信息安全等均为接近及格水平,信息道德水平达到中等。

4 影响因素分析

运用单因素方差分析分别分析性别、专业、年级、户口状况、所在地区等因素对独立学院大学生信息素养的影响,分析结果显示为以下几点。

(1)不同年级、不同户口状况、不同地区的大学生信息素养无显著差异。说明作为信息原住民对于信息的基本感知不因为年龄、地区、户口而存在差异。

(2)不同性别大学生的信息素养存在显著差异,女性水平高于男性。而这种差异主要体现在信息意识与知识、信息需求,而在信息能力与行为、信息安全与道德方面并无显著差异。

(3)不同专业大学生的信息素养存在显著差异,专业学习对信息素养的提升有着潜移默化的影响。

5 提升居民健康信息素养的建议

5.1 针对专业开设检索课程,因材施教,分阶段教学

每个专业对信息素养的需求是不同的,在信息检索、信息评价、信息处理等上都有着不同程度的需求。因此,学校可以根据专业的需要开设难易程度不同的信息检索必修课或通选课,同时在教学过程中多注重实践教学。学校需要注重培养学生知识拓展的意识,引导学生对知识进行更深层次的发掘。

学校在组织开设检索课程的时候应注意因材施教,根据不同基础、不同层次的学生设置不同性质、难度的课程。同时,需要注重引导学生对信息进行评价性的看法和认识,提高信息认知能力、信息获取能力与传播意识,以及信息保密与安全意识。

5.2 加大搜索和媒介工具的推广力度

当前独立学院使用较多的信息获取方式虽然有着获取信息容易、种类多的特点,但所包含的信息专业性一般,当碰到比较专业的问题和领域时,只靠搜索工具无法解决人们所面临的问题。学生普遍表示缺乏必要的检索知识和途径。在检索课程上应鼓励学生学会对信息搜索时使用系统化分类,通过学术网站大全针对性选择不同的检索平台。

5.3 提升并发挥图书馆资源优势

图书馆资源是学校宝贵的资源,但却经常会被学生遗忘。第一,图书资源不够丰富,更新较慢。因此图书馆要扩大自己的藏书量,来满足学生的各种需求。第二,学生不了解图书馆布局和图书分类方法。所以图书馆应该制作出详细的图书指导手册,包括如何使用图书馆的电子系统及介绍图书馆分布和图书分类,配备专业的图书馆员,让学生的咨询得到及时的解答。第三,学生不清楚真正需要的是什么类型的书,所以图书馆还应该对本校的不同专业建立专业针对性强的导航库,为学生提供更方便的信息获取界面。

5.4 培养学生信息创造和传播能力

营造有利于创新的教学环境对提高学生的信息创造能力十分关键,能够使学生逐步具有创新的意识。老师在教学的过程中应该给予学生发表意见的机会,学生在表达自己想法的同时也将培养自身的语言组织能力和传播信息能力。因此,信息的传播能力只有在一次次的表达练习中才能得到质的提高。

5.5 宣传信息道德和信息安全

网络管理制度的不完善,让人们忽视了信息道德和伦理的重要性。随意下载文件和资料,没有尊重作者的版权,使网络上的维权变得艰难。高校要经常性地开设专门的讲座来说明维护信息道德和伦理的重要性,使学生成为建设信息安全、信息道德的宣传者和行动者。此外,学校应设置一些专门的讲座以宣传学生网络安全的相关教育,加强计算机操作安全培训并让学生学会保护个人信息,避免获取信息时受各种类型的威胁、干扰和破坏。

主要参考文献

[1]叶小艳,黄维跃.信息素养文献综述[J].情报探索,2010(12).

篇7

论文摘要:特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。为了进一步巩固发展信息管理与信息系统专业,优化该专业的结构,提升该专业建设的整体水平,满足企业对信息化人才的需求,文章从信息管理与信息系统专业背景分析入手,对中国计量学院信息管理与信息系统专业的特色定位和教学体系改革提出若干思考。

一、引言

教育部1998年颁布的专业目录中,将信管专业的培养目标确定为:“培养具备现代管理学理论基础、计算机科学技术知识及应用能力,掌握系统思想和信息系统分析与设计方法以及信息管理等方面的知识与能力,能在国家各级管理部门、工商企业、金融机构、科研单位等部门从事信息管理以及信息系统分析、设计、实施管理和评价等方面的高级专门人才。”从培养目标中不难看出一方面教育部进行专业整合的初衷是为了摒弃以前专业划得过细的做法,把目标转向培养既懂经济管理知识,又懂信息技术的高层次、跨学科的复合型人才上来。它不同于计算机科学与技术专业,也有别于工商管理专业。但另一方面,又由于新专业是由五个专业归并而成的,目录中确定的培养目标只能是具有宽泛性和普适性要求的基本目标,给各个高校的具体操作留下了很大的空间。

由于侧重点不同,信管专业课程体系设置在国内高校中出现了多种方案。2005年以前有主干学科结构、知识模块结构、功能模块结构等七种方案。2005年以后仍然是百家争鸣、百花齐放。对于专业方向,有三、四、两个之划分;对于能力组成,有五项、三项之划分;对于核心课程设置,有十一门、八门、十门之划分。有的认为应以“信息系统的开发与管理”为核心,有的则认为应围绕ERP企业资源计划课程。对于知识体系,有五模块、三模块之划分。总之,目前我国信管专业的课程体系多是一种多学科课程的拼盘式组合,没有形成专业自身的专业基础理论体系。

中国计量学院在“十二五规划”中明确指出“要坚持走特色化办学、差异化竞争之路,把特色办学理念贯穿于创建特色鲜明、国内知名的教学研究型大学实践中”。为了进一步巩固发展我校信息管理与信息系统专业,优化该专业的结构,突出该专业建设的特色,需要从信息管理与信息系统专业背景分析入手,结合计量学院的办学特色,对信息管理与信息系统专业特色重新进行定位。

二、专业特色定位

中国计量学院经济与管理学院信管专业是2000年设置的,10多年来专业在学校和分院的指导下取得了一些成就和发展:国家自然科学基金两项、浙江省精品课程一门、浙江省重点教材两部;在学生实践教学中连续两年获得全国电子商务大赛一等奖。但是随着社会和学校的进一步发展,专业的发展面临着许多困难和问题:一是专业定位不明确,特色不明显;二是课程体系设置不合理,课程体系的设置主要是采用“拿来主义”;只注重单科课程设置,忽视课程之间的整合,不少课程内容严重重复,浪费教学时间和教学资源;三是实践环节薄弱,纯理论的课程占的比重过大,实践课程占的比重太小,实践教学明显不足,学生动手能力不强,分析问题和解决问题的能力差;四是专业定位与教学体系之间的吻合度难以考评。

专业建设是普通高等院校主要教学基本建设项目之一,处于教学建设的龙头地位。特色是普通高等院校办学水平的标志,也是学校办学优势的具体体现。办学特色,是一所学校或专业在长期办学过程中积淀形成的,反映在人才培养方面的独特个性和明显优势。它具体体现在学校或专业的办学定位、培养模式、课程体系、教学方法和实践环节等诸多方面,它是学校或专业办学水平和竞争能力的综合反映。

目前国内信管专业的人才培养模式主要有三种:一是以清华大学、同济大学为代表的经济管理模式(即M模式);二是以武汉大学、北京大学为代表的综合性大学的信息资源管理模式(即I模式);三是以中国人民大学和中山大学为代表的侧重于计算机系统导向模式(即S模式)。经过前期多次学科讨论,参照国内外著名高校的经验,我们拟将“信息管理”作为学科定位,以“信息安全管理”作为专业特色定位。这样的专业定位是依靠学校优势学科,以社会需求和学生能力为导向,借鉴国内外办学经验,发挥自身优势,办出特色与水平。中国计量学院是我国质量监督检验检疫行业唯一的本科院校,是一所具有鲜明的计量标准质量检验检疫特色的浙江省重点建设大学。学校坚持“立足浙江,面向全国,依托行业,服务地方”,积极开展科学研究。中国计量学院经济管理学院是中国唯一获得全球首届“ISO标准化高等教育奖”的学院,是通过GBT/19001-2000idtISO9000:2000质量管理体系认证的学院。学院紧紧围绕学校建设国内知名的教学研究型大学的奋斗目标,深入实施“先进的标准,精密的计量,卓越的质量”教学管理方针,坚持以贡献求支持,以特色争优势,以创新谋发展,立足浙江,面向全国,走向世界,使学院成为我国培养质量管理高层次专门人才的摇篮。

三、专业教学体系

培养目标的实现是靠课程体系的整合和设计来支撑的,课程体系直接反映了人才培养的方向,体现知识、能力、素质、市场(就业)和特色五个方面的导向作用。课程是教学之根本,其主要任务在于结合社会对人才的实际需求,依据专业培养的总体目标来设计一套最优的课程体系。信管专业也是一门应用性非常强的专业,其培养目标是应用型、高级的信管人才。纯理论课教学是解决不了动手能力问题的,也无法培养出应用型、高级的信管人才,必须加强实践教学。通过社会实践、认识实习、专业实习、课程设计、毕业设计等一系列环节来锻炼学生的动手能力。信管专业本着专业定位、特色定位从知识、能力、素质、市场(就业)和特色五个方面来设计专业的教学体系。

(一)信息管理

毕业生应具备以下几方面的知识和能力:一是掌握经济学、管理学、计算机和信息管理的基本理论和基本知识;二是具有信息获取、组织、分析、研究、传播与开发利用的基本能力;三是掌握运用现代化技术手段进行文献信息检索、资料查询收集的基本方法和能力,能利用计算机网络采集和信息,具有一定的科研和实际工作能力;四是具备文档管理的能力,包括文档、数据、信息分类管理等;五是具有运用现代的管理方法和手段对与企业或组织相关的信息资源和信息活动进行组织、规划、协调和控制,以实现对企业或组织信息资源的合理开发和有效利用的能力。

毕业生应具备以下几方面的素质:一是胜任力——学习能力和读写能力。不断地、有计划、有组织地学习,不断地追随管理专业的新发展,能用最少的时间,花最小的精力,获得最大量的新知识,并不断地优化自己的知识结构。追踪科技与社会发展的前沿,不断地更新和扩展自己的知识信息,以适应未来社会日新月异的发展变化。具备读写能力,信息管理人员才能实现对信息的收集、存储和传递。二是敏锐感知外部世界的能力——信息获取能力。三是熟练操纵因特网的能力。熟练掌握网络技术,把已获取的新信息通过一定的综合分析、计算、试验操作,最终找出问题,设计解决方案,得出科学结论。四是良好的沟通能力和团队合作精神。五是创新能力。

开设的主要课程:专业主要课程:信息资源管理学、信息存储与检索,信息分析与预测,信息组织学,信息计量学,专业实践课程:统计软件实习,管理软件实习。   就业方向:可以在政府部门或企事业单位的信息管理机构,从事文献和文档管理、信息收集、分析、处理、咨询服务和管理工作等。毕业生经过考试可以成为信息处理技术员、国家信息分析师。

(二)信息安全管理

信息安全管理在当前是全球的热门话题,而建立一个符合国际标准的体系,是大家普遍关注的焦点。建立健全信息安全管理体系(ISO27001认证)对企业的安全管理工作和企业的发展意义重大。首先,此体系的建立将提高员工信息安全意识,提升企业信息安全管理的水平,增强组织抵御灾难性事件的能力,是企业信息化建设中的重要环节,必将大大提高信息管理工作的安全性和可靠性,使其更好地服务于企业的业务发展。其次,通过信息安全管理体系的建设,可有效提高对信息安全风险的管控能力,通过与等级保护、风险评估等工作接续起来,使得信息安全管理更加科学有效。最后,信息安全管理体系的建立将使得企业的管理水平与国际先进水平接轨,从而成长为企业向国际化发展与合作的有力支撑。

BS7799标准是全球第一份关于信息安全管理体系的标准,BS7799-1现在已经被采纳为ISO/IEC27002:2005;BS7799-2也于2005年被采纳为ISO27001:2005。该标准当前已被诸多国家采纳为国家标准。截至2007年9月已经有超过4000家组织通过了ISO27001:2005的审核,获得了信息安全管理体系认证的证书。

毕业生应具备以下几方面的知识和能力:一是信息安全管理技术能力;二是信息安全管理能力。此主要目的是要求学生了解信息安全及其重要性,认识什么是信息安全管理体系,建立一套信息安全管理体系为何需要ISO27001,学会如何建立一套符合企业(组织)需要的信息安全管理制度。

开设的主要课程:计算机安全与技术、网络安全、信息安全管理体系、信息安全风险评估与管理、信息安全管理体系ISO27001建立与实施。

就业方向:毕业的学生经过考试获得信息安全管理体系认证证书,可以从事企事业单位信息安全管理。

四、结论

信管专业的特色培育和课程体系建设并非一蹴而就、一劳永逸的工作。为此,我们将建立一套完整的教学质量管理体系,囊括管理机构和人员、管理的规章制度、管理手段和评价指标体系等,其作用是对整个体系中进行信息反馈和控制,评价专业定位、特色定位与教学体系之间的吻合程度。

参考文献

1、陶雷,莫赞,张立厚.应用型本科“信管”专业课程体系探究及建构实践[J].情报杂志,2010(2).

2、何永刚,黄丽华.信息管理与信息系统专业课程体系研究综述[J].情报杂志,2007(8).

3、CISC2005课题组.中国高等院校信息系统学科课程体系2005[M].清华大学出版社,2005.

4、邓晓红.基于职业能力分析的信息管理与信息系统专业核心课程体系研究[J].中国管理信息化,2009(6).

5、张劲松.信息管理与信息系统专业课程体系创新研究[J].情报杂志,2008(11).

6、张庆华,谭旭红.基于集成化模式开展信息管理与信息系统专业建设[J].中国管理信息化,2009(3).

篇8

文章摘要:税收管理信息化是现代信沪息科学技术在枕收管理工作中的应用,能够推动税收征收管理水平的极大提高。本文通过时税收管理信息化建设中存在问题的分析,认为税收管理信息化的顺利进行就需要加强信息管理基础设施的建设,增强税收人员安全意识,提升税收人员专业化水平。

信息化是指在经济和社会活动中,通过大量的采用信息技术、电子装备及通讯网络等,更有效地开发和利用信息资源,使国民经济各部门由于信息技术的应用和信息产业的发展而获得巨大利益的过程。税收管理信息化是电子政务在政府部门管理工作中具体实施的表现形式之一。税收管理信息化建设作为税收管理现代化的突破口,不仅是降低税收成本、提高征收管理效率和征收管理质量的技术保障,也是加强税收征收管理、实现依法治税的重要措施。但目前我国税收管理信息化建设还不完善,还存在一定的问题。文章通过对税收管理信息化建设中存在问题的分析,认为税收管理信息化的顺利进行就需要加强信息管理基础设施的建设,增强税收人员安全意识,提升税收人员专业化水平。

1、税收管理信息化建设中存在的问题

1 .1资金投入不足

目前在信息化方面的资金投入还难以满足实际需要,同时,部分偏远地区税务部门至今仍存在计算机装备不足的情况,网络建设更是无从谈起。在一些经济比较发达的地区和沿海城市虽然税收工作的计算机装备充足,由于税务软件开发欠缺以及税务人员应用能力有限,导致高配置计算机只能充当简单的打字功能和存储功能,在相应的税收业务工作中难以发挥高配置计算机应有的作用,造成税收成本极大的浪费。

1.2网络管理体系不完善

税收管理网络安全涉及的内容既有技术方面的问题,也有管理方面的问题,两方面相互补充,缺一不可。技术方面主要侧重于防范外部非法用户的攻击,管理方面则侧重于内部人为因素的管理。技术方面,避免出现病毒和防御网络黑客的攻击,保证税收数据的真实性和完整性,避免非法人员恶意修改数据,对国家税款造成巨大损失。管理方面,加大对人员素质培训,增强安全意识,减少因专业水平不高所造成的数据丢失、毁坏、泄露;增加数据备份机制,防止因自然灾害所造成的数据丢失;增加监督和检查机制,防止恶意修改数据和安全配置参数,使税收信息化信息安全问题变得复杂化。税收是非常敏感的工作,收税管理的信息化要发挥其应有的作用,一定要健全税收管理制度,增加安全系数。

1 .3高素质人才缺乏

税务人员素质不高,计算机应用专业人才缺乏,制约了税务系统信息化建设的全面推进。部分的税务人员观念落后,认识不到税收信息化管理的必要性。他们开展工作方式陈旧,完全凭经验做事,尤其是部分管理层人员,带头作用较差,个别排斥情绪明显;税收人员安全意识差,数据丢失、输人错误现象时有发生;计算机专业人员缺乏,具有较高计算机应用水平的人才不多,精通技术管理,又熟悉业务规程的复合型人才则更少。税收信息化管理归根到底离不开人员的配备,人员素质不高,专业人才缺乏严重制约了税收信息化管理的实施进程。这就要求我们在增加投人,开发、配备硬件的基础上进行人员的专业化培训,提高税收人员素质,改变陈旧的观念意识,培养其安全意识,还要培训即懂技术有懂业务规程的专业化、复合型、高素质人才。

2、加强税收管理信息化建设的对策分析

2.1加强基础设施建设

我国信息化建设中设备和信息的利用率极低,对信息只录人,忽视了更为重要的分析整理,造成信息堆积,共享性、开放性不足,信息的录人成了井中月、水中花只是好看,却没有任何实际的意义。这都要求我们要强化计算机软件的开发应用。目前,我国税务应用软件的开发和应用管理都比较混乱,部分部门和单位仅从各自需求的出发,自行研制开发软件,没有统一的开发标准,管理和使用起来比较困难。因此,我们必须要在“业务统一、数据一致、信息共享、综合利用”的原则下,有计划的、稳妥地分步实施应用软件开发,实现软件开发的系统性、全面性、兼容性和规范性。同时加强对计算机硬件的配备,尤其是欠发达地区,计算机配备不足严重影响了我国税收管理信息化建设的进程,国家应加大对此地区税收改革的资金投人力度,提升其整体操作水平,缩小地区差距。对东部发达地区,计算机硬件配备较好的税收部门,而要加大软件的开发管理。

2.2加强信息安全管理

信息安全不单纯是技术问题,也是社会经济问题。信息安全问题的解决需要建立健全有效的信息安全管理体制,从技术安全和管理安全两方面人手,加强监督和检查力度;加强信息安全法制建设,蓄意破坏、工作不负责税收人员承担起相应的责任;

2.3注重专业人才培养

税收信息化离不开高素质的人才。目前,税务系统现有专业技术人员积极性不高,人员结构不合理,既懂技术又懂操作流程的复合型人才缺乏。解决这一问题,要求我们要拓宽育人、用人视野。税收管理信息化人才队伍应包括计算机、通信技术人才和信息管理、综合规划人才,杜绝人才一面倒情况;要加大税务系统内部计算机知识培训力度,提高税收人员技术水平;要从政治上、生活上、工作上关心信息专业人员,提高他们的待遇,为专业人员设立税务类别,设立管理专业方向,使他们在税务部门有中长期的工作前景,形成一个吸引人才、培养人才、人尽其才的良好环境。

篇9

关键词: 云计算; 云安全; 信息安全; 等级保护测评; 局限性

中图分类号:TP309 文献标志码:A 文章编号:1006-8228(2016)11-35-03

Discussion on the testing and evaluating of cloud computing security level protection

Liu Xiaoli, Shen Xiaohui

(Zhejiang Provincial Testing Institute of Electronic & Information Products, Hangzhou, Zhejiang 310007, China)

Abstract: Cloud computing has recently attracted extensive attention since Internet has accessed Web 2.0 with more freedom and flexibility. However, the cloud security has become the biggest challenge for cloud promotion. Combined with the problems of the actual testing and evaluation in cloud computing security, the limitations of the application of the current information security level protection evaluation standard to the cloud environment are analyzed, and the contents that cloud security should focus on are proposed.

Key words: cloud computing; cloud security; information security; testing and evaluation of security level protection; limitations

0 引言

近年来,随着网络进入更加自由和灵活的Web2.0时代,云计算的概念风起云涌。美国国家标准与技术研究院(NIST)定义云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络,服务器,存储,应用软件,服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。云计算因其节约成本、维护方便、配置灵活已经成为各国政府优先推进发展的一项服务。美、英、澳大利亚等国家纷纷出台了相关发展政策,有计划地促进政府部门信息系统向云计算平台迁移。但是也应该看到,政府部门采用云计算服务也给其敏感数据和重要业务的安全带来了挑战。美国作为云计算服务应用的倡导者,一方面推出“云优先战略”,要求大量联邦政府信息系统迁移到“云端”,另一方面为确保安全,要求为联邦政府提供的云计算服务必须通过安全审查[1]。我国也先后出台了一系列云计算服务安全的国家标准,如GB/T 31167-2014《信息安全技术云计算服务安全指南》、GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》等。本文关注的是云计算安全,包括云计算应用系统安全、云计算应用服务安全、云计算用户信息安全等[2]。

当前,等级保护测评的依据主要有GB/T 22239-

2008《信息安全技术 信息系统安全等级保护基本要求》、GB/T 28448-2012《信息安全技术 信息系统安全等级保护测评要求》和GB/T 28449-2012《信息安全技术 信息系统安全等级保护测评过程指南》等。然而,这些标准应用于传统计算模式下的信息系统安全测评具有普适性,对于采用云计算服务模式下的信息系统却有一定的局限性。

本文结合实际云计算服务安全测评中的问题,首先讨论现行信息安全等级保护测评标准应用到云环境的一些局限性,其次对于云计算安全特别需要关注的测评项进行分析。

1 云计算安全

正如一件新鲜事物在带给我们好处的同时,也会带来问题一样,云计算的推广也遇到了诸多困难,其中安全问题已成为阻碍云计算推广的最大障碍。

云计算安全面临着七大风险,主要包括客户对数据和业务系统的控制能力减弱、客户与云服务商之间的责任难以界定、可能产生司法管辖权问题、数据所有权保障面临风险、数据保护更加困难、数据残留和容易产生对云服务商的过度依赖等。文献[3]提出了云计算安全测评框架,与传统信息系统安全测评相比,云计算安全测评应重点关注虚拟化安全、数据安全和应用安全等层面。

虚拟化作为云计算最重要的技术,其安全性直接关系到云环境的安全。虚拟化安全涉及虚拟化软件安全和虚拟化服务器安全,其中虚拟化服务器安全包括虚拟化服务器隔离、虚拟化服务器监控、虚拟化服务器迁移等。云计算的虚拟化安全问题主要集中在VM Hopping(一台虚拟机可能监控另一台虚拟机甚至会接入到宿主机)、VM Escape(VM Escape攻击获得Hypervisor的访问权限,从而对其他虚拟机进行攻击)/远程管理缺陷(Hypervisor通常由管理平台来为管理员管理虚拟机,而这些控制台可能会引起一些新的缺陷)、迁移攻击(可以将虚拟机从一台主机移动到另一台,也可以通过网络或USB复制虚拟机)等[4]。

数据实际存储位置往往不受客户控制,且数据存放在云平台上,数据的所有权难以界定,多租户共享计算资源,可能导致客户数据被授权访问、篡改等。另外当客户退出云服务时,客户数据是否被完全删除等是云计算模式下数据安全面临的主要问题。

在云计算中对于应用安全,特别需要注意的是Web应用的安全。云计算应用安全主要包括云用户身份管理、云访问控制、云安全审计、云安全加密、抗抵赖、软件代码安全等[3]。

2 云计算下等级保护测评的局限性

信息系统安全等级保护是国家信息安全保障工作的基本制度、基本策略、基本方法。开展信息系统安全等级保护工作不仅是加强国家信息安全保障工作的重要内容,也是一项事关国家安全、社会稳定的政治任务。信息系统安全等级保护测评工作是指测评机构依据国家信息安全等级保护制度规定,按照有关管理规范和技术标准,对未涉及国家秘密的信息系统安全等级保护状况进行检测评估的活动。与之对应的是涉及国家秘密的信息系统安全测评,就是通常所说的分级保护测评。

信息系统安全等级保护的基本要求包括技术要求和管理要求两大类。其中技术要求包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个层面;管理要求包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个层面。

传统的安全已不足以保护现代云计算工作负载。换言之,将现行的等级保护相关标准生搬硬套到云计算模式存在局限性,具体体现在以下方面。

⑴ 物理安全

传统模式的信息系统数据中心或者在本单位,或者托管在第三方机构,用户可以掌握自身数据和副本存储在设备和数据中心的具置。然而,由于云服务商的数据中心可能分布在不同的地区,甚至不同的国家,GB/T 31167-2014明确了存储、处理客户数据的数据中心和云计算基础设施不得设在境外。

⑵ 网络安全

网络安全主要包括结构安全、边界防护、访问控制、入侵防范、恶意代码防范、安全审计、网络设备防护等测评项。网络边界是网络信息安全的第一道防线,因此在网络边界采取安全防护措施就显得尤为重要。但在云计算模式下,多个系统同时运行在同一个物理机上,突破了传统的网络边界。由此可见,网络边界的界定、安全域的划分成为了云计算模式下网络边界安全面临的新挑战[5]。

⑶ 主机安全

主机安全主要包括身份鉴别、访问控制、安全审计等测评项。但在云计算模式下,虚拟化技术能够实现在一台物理机上运行多台虚拟机。尽管虚拟机之间具有良好的隔离性,但在云计算平台,尤其是私有云和社区云中,虚拟机之间通常需要进行交互和通信,正是这种交互为攻击和恶意软件的传播提供了可能。因此,虚拟机之间的安全隔离、用户权限划分、数据残留、跨虚拟机的非授权访问是云计算环境下虚拟机安全需要重点关注的内容。

⑷ 应用安全

应用系统作为承载数据的主要载体,其安全性直接关系到信息系统的整体安全,因此对整个系统的安全保密性至关重要。然而,当前绝大多数单位的应用系统在设计开发过程中,仅仅考虑到应用需求、系统的性能及技术路线的选择等问题,缺少了应用系统自身的安全性。客户的应用托管在云计算平台,面临着安全与隐私双重风险,主要包括多租户环境下来自云计算服务商和其他用户的未授权访问、隐私保护、内容安全管理、用户认证和身份管理问题[6]。

⑸ 数据安全及备份恢复

在云计算模式下,客户的数据和业务迁移至云服务商的云平台中,数据的处理、存储均在“云端”完成,用户一端只具有较少的计算处理能力,数据的安全性依赖于云平台的安全。如何确保数据远程传输安全、数据集中存储安全以及多租户之间的数据隔离是云计算环境下迫切需要解决的问题。

3 云安全之等级保护测评

参照等级保护测评的要求,结合上述分析,云安全之等级保护测评应重点关注以下方面。

⑴ 数据中心物理与环境安全:用于业务运行和数据处理及存储的物理设备是否位于中国境内,从而避免产生司法管辖权的问题。

⑵ 虚拟网络安全边界访问控制:是否在虚拟网络边界部署访问控制设备,设置有效的访问控制规则,从而控制虚机间的互访。

⑶ 远程访问监控:是否能实时监视云服务远程连接,并在发现未授权访问时,及时采取恰当的防护措施。

⑷ 网络边界安全:是否采取了网络边界安全防护措施,如在整个云计算网络的边界部署安全防护设备等。

⑸ 虚拟机安全:虚拟机之间的是否安全隔离,当租户退出云服务时是否有数据残留,是否存在跨虚拟机的非授权访问等。

⑹ 接口安全:是否采取有效措施确保云计算服务对外接口的安全性。

⑺ 数据安全:多租户间的数据是否安全隔离,远程传输时是否有措施确保数据的完整性和保密性,租户业务或数据进行迁移时是否具有可移植性和互操作性。

4 结束语

云计算因其高效化、集约化和节约化的特点,受到越来越多党政机关、企事业单位的青睐,与此同时云计算带来的风险也是不容忽视的。本文结合云计算的特点分析了云计算模式下现行等级保护测评标准的一些局限性,并提出了云计算下等级保护测评需要特别关注的测评项,对云服务商、租户和测评机构提供借鉴。值得注意的是,租户在进行云迁移之前,首先应确定自身迁移业务的等级,其次是租用的云计算平台等级不能低于业务系统的等级。

参考文献(References):

[1] 尹丽波.美国云计算服务安全审查值得借鉴.中国日报网.

[2] 陈军,薄明霞,王渭清.云安全研究进展及技术解决方案发展

趋势[J].技术广角,2011:50-54

[3] 潘小明,张向阳,沈锡镛,严丹.云计算信息安全测评框架研究[J].

计算机时代,2013.10:22-25

[4] 房晶,吴昊,白松林.云计算的虚拟化安全问题[J].电信科学,

2012.28(4):135-140

[5] 陈文捷,蔡立志.云环境中网络边界安全的等级保护研究[C].

第二届全国信息安全等级保护技术大会会议论文集,2013.

篇10

关键词:组织内容; 内容安全; 风险识别方法; Web挖掘技术

中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)11-0021-02

互联网上的文本内容中,一部分信息和内容对组织以及个人具有积极的影响,而另一部分则会造成消极的影响。例如,某人通过淘宝网购买了一件商品,但是他认为该商品质量存在问题,于是他在商品的评价中发表了自己的观点,当认同此评价的个体越来越多的时候,该评价就演变成了热门评价,既而可能会引发个体对该商品的嘲讽、谩骂,最终对商品的销售产生无形的影响。在这种情况下,组织如何去识别可能发生的风险?如何去评价风险发生之后造成的影响?又如何去降低对资产所造成的损失?

“内容安全”是其中的一个核心问题。内容安全是指由信息内容所引发的信息安全事件以及由此所造成的损失。能够引发内容安全事件的风险即是信息内容风险。因为信息内容安全事件等相关概念不适用于社会组织,现对相关概念进行扩充,具体如下:“组织内容”是指在互联网上传播的信息中与组织相关的内容,以及个人或其他组织针对这些信息所持有的态度。“组织内容风险”是指与组织相关的内容可以为个人或者其他组织所利用,在利用过程中对组织的无形资产造成损失的可能性。1

本文主要研究组织内容风险的识别方法。第一部分为引言,第二部分描述了国内外有关信息内容安全的发展现状,第三部分介绍了组织内容风险识别方法体系,第四部分主要讨论了内容分析法,第五部分详细说明了网络计量法,第六部分对本文介绍的识别方法进行了问题分析并提出了改进方向,第七部分运用分析工具对广西师范学院的官方网站进行了外链分析,第八部分比较了不同类型组织的风险差异性,最后对本文的研究内容作了总结。

1组织内容风险识别常用分析方法体系

上文中提到,内容安全是由信息内容所引发的信息安全事件,那么对信息内容的分析可以参考情报分析的理念和方法,以及自然语言处理、数据挖掘、人工智能等技术,从而形成一套组织内容风险识别分析方法体系,如下图1所示:

1.1链接分析法

链接分析法是根据网站与网站之间的相关性来进行操作的,无论何种网站都是由许许多多的网页组成,而这些网页彼此之间存在着某种关系,这种相关性是指:1)内容相关性。网络信息从某个方面来讲是聚合的;2)结构相关性。网页与网页之间以某种结构相互关联;3)功能相关性。站点可以通过它和其他站点之间共享内容;4)附属相关性。网站的主体是内容、结构和功能,而相对于这些主体部分,网站上的广告、网站上的友情链接以及初次之外的其他链接等都暂且归为附属相关性。

网页中存在着大量动态的超链接,它是网页的重要元素,几乎所有的网页都是利用超链接来建立相互之间的联系。超链接一方面便于引导用户浏览网页;另一方面,网页链接的创建都带有一定的目的性,既超链接时常会指向它们认为想要网站访问者看到的网页,因此这些超链接隐含了大量人为设定的目的信息。所以,对互联网的链接结构信息进行充分挖掘,将对改善Web信息检索准确度、Web隐式社区的发现等方面产生极为重要的意义。

1.2文本挖掘法

文本挖掘主要由以下步骤构成:

(1)文本预处理:将文本对象转换成文本挖掘工具能够识别的格式。一般包括两个主要步骤,既特征抽取和特征选择。

(2)文本挖掘:是指采用数据挖掘以及模式识别等方法获取面向特定应用目标的知识和模式。

(3)模式评估和表示:利用已确定的评估标准进行评估。

1.3主题聚类法

主题发现也叫主题抽取或者主题识别,其作用是处理和分析大规模信息同时使用户以最迅速有效的方式理解信息内容,探究信息中的主题。当前对于主题发现并没有一个明确定义,只是将从复杂大规模信息源中获取主题并进行表现的一系列技术方法统称为主题发现。通过精读一系列相关项目和论文,笔者认为,主题发现可作广义和狭义两种解释。

广义的主题发现方式较为灵活,只要是可以发现代表性信息的方法都可以归纳为广义的主题发现。比如,针对文本的主题发现有:从高频被引论文中提取高频词来代表主题领域、基于语义局部性思想来判定主题领域等多种方式。

狭义的主题发现是指从文本中提取关键文字信息,将主题聚焦在某几个词上的方法。此种方法需要发现文档中的关键问题,聚焦关键词并选取适当方式呈现,其也是目前主流的主题发现方法研究模式。本文的主题聚类法主要基于此种定义。

主题发现的目标在于运用一系列语义理解方式,从文本中自动提取关键词或术语,然后在此基础上加以聚类,从而发现主题,并以恰当的方式呈现出来,该方法的关键作用在于利用语料自身的组织和结构来发现语义信息。聚类方法还有另一优势,传统方式是利用基于词的匹配来发现语料中的信息,其没有考虑到语料自身的结构在理解语料时会发挥的作用。所以,更准确地说,主题发现并不是某一项特定的技术,而是很多方面技术的综合运用。

2 链接挖掘工具应用及分析实例

目前,国内外有为数众多的免费链接分析工具。本文选取国内一款名为“站长工具”的外链查询工具进行实例分析。该软件是一款Web页面工具,其界面如下图所示:

该工具有三个文本框,第一个填写分析的域名对象,然后点击右侧“查询”按钮即可得出所需结果;后两个为附加项,可在查询的同时输入需要的外链文本或过滤不需要的域名,亦可对文本进行模糊匹配查询。

现使用该工具对广西师范学院官网进行链接分析,复制广西师范学院官网域名,粘贴到“请输入查询的域名”后面的对话框中,得到分析结果如下:

由图中可以看出,本域名有反链数74个,子域名数3个;点击“子域名”右侧展开按钮,可查看结果中的3个子域名,如下图:

每个子域名后面中括号内的数字显示了其反链数。该工具的排序方式有权重、PR、反链数三种;“只显示nofollow”为附加条件,可选择查看是否带nofollow的域名。网页主体内容显示了本域名所有的反链;每条反链下方的信息从左到右分别表示:该反链的域名、本域名在该反链中的权重、该反链的反链数、链接名称、是否带nofollow。

通过本工具,我们可以得出的信息如下:

a.本域名有74个反链,3个子域名及其完整域名。

b.所有反链的域名、反链自身的反链数以及该反链是否带nofollow。

c.本域名在各个反链页面中的链接名称。

d.在本域名的所有反链中,网页“广西师范学院_广西师范学院录取分数线,专业介绍,图片_新浪院校库_新浪教育”中所占的百度权重最高,下表为百度权重各指数域名数量:

e.在本域名的所有反链中,网页“广西师范学院_广西师范学院录取分数线,专业介绍,图片_新浪院校库_新浪教育”的PR(PageRank)值最高,PR值越高说明该网页在google搜索中越重要,下表为PR值各指数域名数量:

f.在本域名的所有反链中,网页“123网址之家-教育大学 教育网_中国教育网_教育部_教育论文_远程教育_成人教育_教案_教育培训”所拥有的反链数最多,约为1682个,下表为各反链数区间的域名数量:

[反链数区间\&2000~1501\&1500~1001\&1000~501\&500~1\&0\&域名数量\&2\&0\&1\&41\&29\&]

链接分析是组织内容风险识别的重要组成部分,在本次分析的基础上,可进一步分析其链接类型和链接动机,以便为组织内容风险识别提供基础。

3 结论

本文就组织内容安全风险识别对已有方法进行研究综述,列举了两种常用的方法和三种基于Web挖掘的法,并对列举的方法进行了详细的阐述,同时分析了各风险识别方法的不足,并给出各个方法的可能改进方向以及新的研究方向,为组织内容风险识别提供理论与技术支持。

参考文献:

[1] 中国信息安全测评中心.组织内容风险模型[C].2013.

[2] 扬益凡,朱明等.基于链接相似度Web挖掘算法的研究与改进[J].计算机应用与软件,2011.

[3] 扬中华,汪勇.程序员技能需求:基于内容分析法的分析[J].现代情报,2007.

[4] 王知津,闫永君.网络计量法与内容分析法比较研究[J].图书馆学研究,2006.

[5] 沙新光.基于主题的聚类检索技术研究[D].哈尔滨工业大学,2008.

[6] 丁宝琼.网络文本信息采集分析关键技术研究与实现[D].信息工程大学,2009.

[7]Edna Reid,Marc Sageman.The Dark Web Portal Project:Collecting and Analyzing the Presence of Terrorist Groups on the Web:Intelligence and Security Informatics[M].Springer,Berlin,2005.

[8]Deerweter S,Dunmaisst,Fumasgw.Indexing by latent semantic analysis[J].Journal of the American Society for Information Science,1990(6):391-407.