首页资料文库正文

信息安全论文范文10篇

时间：2023-04-03 11:31:49

信息安全论文

信息安全论文范文篇1

论文摘要：结合单位的实际，分析了现有计算机专业课程特点和不足，讨论了高师计算机专业学生开设信息安全法律法规课程的必要性、可行性，分析了信息安全技术课程、与信息安全有关法律法规课程的特点．给出了高师信息安全法律课程的教学目标定位、设置方法．

论文关键词：高师计算机专业；信息安全；法律法规课程

人类进入21世纪，现代信息技术迅猛发展，特别是网络技术的快速发展，互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球．

网络已成为人们尤其是大学生获取知识、信息的最快途径．网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式，而且正影响着他们的人生观、世界观、价值取向，甚至利用自己所学的知识进行网络犯罪，所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说，面临着前所未有的机遇和挑战，这不仅因为，自己一方面要传授学生先进的网络技术，另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看，违法与不违法只是一两条指令之间的事情，更重要的是高师计算机专业学生将来可能成为老师去影响他的学生，由此可见，在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义．如何抓住机遇，研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题．本文主要结合我校的实际，就如何在高师计算机专业中开设信息安全法律课程作一些探讨．

1现有的计算机专业课程特点

根据我校人才培养目标、服务面向定位，按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路，沟通不同学科、不同专业之间的课程联系．全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类，下面仅就计算机专业课程的特点介绍．

1．1专业基础课程专业基础课是按学科门类组织的基础知识课程模块，均为必修课．目的是在大学学习的初期阶段，按学科进行培养，夯实基础，拓宽专业口径．考虑到学科知识体系、学生转专业等需要，原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同．主要内容包括：计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等．

1．2专业方向课程各专业应围绕人才培养目标与规格设置主要课程，按照教育部《普通高等学校本科专业目录》的有关要求，结合学校实际设置必修课程和选修课程．同时可以开设2—3个方向作为限选．学生可以根据自身兴趣和自我发展的需要，在任一方向课程组中选择规定学分的课程修读．主要内容包括：计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等．

1．3现有计算机专业课程设置的一些不足计算机技术一日千里，对于它的课程设置应该具有前瞻性，考虑到时代的变化，计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员，现有我校的计算机专业课程是针对这一目标进行设置的，但这一设置主要从技术的角度来考虑问题，没有充分考虑到：随着时代的发展，人们更广泛的使用网络、更关注信息安全这一事实，作为计算机专业的学生更应该承担起自觉维护起信息安全的责任，作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情．

2高师计算机专业学生开设信息安全法律法规的必要性和可行性

2．1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成，是一个“以信息安全理论为核心，以信息技术、信息工程和信息安全等理论体系为支撑，以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系．该学科交叉性、边缘性强，应用领域面宽，是一个庞大的学科群体系，涉及的知识点也非常庞杂．

仅就法学而言，信息安全涉及的法学领域就包括：刑法(计算机犯罪，包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支．因此，信息安全教育不是一项单一技术方面的教育，加强相关法律课程设置，是信息安全学科建设过程中健全人才培养体系的重要途径与任务．

高师计算机专业，虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程．但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力，只要具备这些能力且信息安全意识不强的人，都可能有意识或无意识的干出违反法律的事情，例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生．由此可见，在高师计算机专业的学生中开设相关的法律法规选修课程是必要的．

2．2可行性技术与法律原本并不关联，但是在信息安全领域，技术与法律却深深的关联在一起，在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联．从本质上讲，信息安全对法律的需求，实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候，对这些可能性做出选择扬弃、利益权衡和价值判断的需要．这也就要求我们跳出技术思维的影响，重视信息安全中的法律范畴．

根据前面对信息安全法律法规内容的特点分析可知：信息安全技术与计算机应用技术有着千丝万缕的联系．从事计算机技术的人员很容易转到从事信息安全技术研究上，加之信息安全技术是当今最热门技术之一，因此，在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受，具有可操作性．

3信息安全技术课程特点

信息安全技术课程所涉及的内容众多，有数学、计算机、通信、电子、管理等学科，既有理论知识，又有实践知识，理论与实践联系十分紧密，新方法、新技术以及新问题不断涌现，这给信息安全课程设置带来了很大的难度，为使我校计算机专业学生了解、掌握这一新技术，我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课．我校本课程具有以下特点：

(1)每学期都对知识内容进行更新．

(2)对涉及到的基本知识面，分别采用开设专业课、专业选修课、讲座等多种方式，让学生了解信息安全知识体系，如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等．

(3)对先修课程提出了较高的要求．学习信息安全技术课程之前，都可设了相应的先行课程让学生了解、掌握，如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程．

(4)注重实践教学．比如密码学晦涩难懂的概念，不安排实验实训，不让学生亲手去操作，就永远不能真正理解和运用．防火墙技术只有通过亲手配置和测试．才能领会其工作机理．对此我们在相关的课程都对学生作了实践、实训的要求．

4涉及到信息安全法律法规内容的特点

信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规．

4．1目的多样性作为信息安全的破坏者，其目的多种多样，如利用网络进行经济诈骗；利用网络获取国家政治、经济、军事情报；利用网络显示自己的才能等．这说明仅就破坏者方面而言的信息安全问题也是复杂多样的．

4．2涉及领域的广泛性随着网络技术的迅速发展，信息化的浪潮席卷全球，信息化和经济全球化互相交织，信息在经济和社会活动中的作用甚至超过资本，成为经济增长的最活跃、最有潜力的推动力．信息的安全越来越受到人们的关注，大到军事政治等机密安全，小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域．

4．3技术的复杂性信息安全不仅涉及到技术问题，也涉及到管理问题，信息安全技术又涉及到网络、编码等多门学科，保护信息安全的技术不仅需要法律作支撑，而且研究法律保护同时，又需要考虑其技术性的特征，符合技术上的要求．

4．4信息安全法律优先地位综上所述，信息安全的法律保护不是靠一部法律所能实现的，而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现．因此，信息安全法律在我国法律体系中具有特殊地位，兼具有安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位．

5高师信息安全技术课程中的法律法规内容教学目标

对于计算机专业或信息安全专业的本科生和研究生，应深入理解和掌握信息安全技术理论和方法，了解所涉到的常见的法律法规，深入理解和掌握网络安全技术防御技术和安全通信协议．

而对普通高等师范院校计算机专业学生来说，由于课程时间限制，不能对信息安全知识作较全面的掌握，也不可能过多地研究密码学理论，更不可能从法律专业的角度研究信息安全所涉到的法律法规，为此，开设信息安全法律法规课程内容的教学目标定位为：了解信息安全技术的基本原理基础上，初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准．如：《中华人民共和国信息系统安全保护条例》，《中华人民共和国数字签名法》，《计算机病毒防治管理办法》等．

6高师信息安全技术法律法规课程设置探讨

根据我校计算机专业课程体系结构，信息安全有关的法律法规课程，其中多数涉及信息安全技术层面，主要以选修课、讲座课为主，作为信息安全课程的补充．主要可开设以下选修课课程或讲座课程．

(1)信息安全法律法规基础讲座：本讲座力图改变大家对信息安全的态度，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题，让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规，主要内容包括：国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等．

(2)黑客攻击手段与防护策略：通过本课程的学习，可以借此提高自己的安全意识，了解常见的安全漏洞，识别黑客攻击手法，熟悉提高系统抗攻击能力的安全配置方法，最重要的还在于掌握一种学习信息安全知识的正确途径和方法．

(3)计算机犯罪取证技术：计算机取证是计算机安全领域中的一个全新的分支，涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题．本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术，并详细介绍了计算机取证所需的各种有效的工具，还概要介绍了美国与中国不同的司法程序．

信息安全论文范文篇2

关键词：公安特色；信息安全；学科建设

中国刑警学院信息安全专业是伴随着全社会的信息化程度不断普及和提高，计算机犯罪侦查和电子物证检验工作面临着严峻的压力和挑战的形势下，于2002年2月26日申办成功的，成为继武汉大学后的第二批获批的信息安全专业，也是公安系统第一个具有信息安全专业的本科院校。2002年7月开始招收学生，目前该专业已招收六届本科生，2006年7月首批信息安全专业的本科生和二学位学生已经毕业，2007年7月第二届信息安全专业的本科生和研究生也已经走上了工作岗位，就业率为100%。用人单位无论是网警还是刑警反馈的信息都表明，学生在工作岗位上，办案能力强，业务全面，上手快。

目前我们的信息安全专业已经发展成以计算机犯罪侦查和电子物证检验为主干，以刑侦和法律为两翼的学科专业教育体系。形成了一个专业特色鲜明、教学计划科学合理、教学内容新颖实用、教学科研办案紧密结合，具有相当规模效应的特色专业。2007年被学院推荐为部级高等学校特色专业建设点。这样的结果得益于我们制定了特色鲜明科学合理的培养目标和与之相适应的教学计划。

1特色的培养目标

专业建设之初，在制定人才培养目标上，我们也走过了一段弯路。我们把培养合格的网络警察作为培养目标，而教学计划主要是在武汉大学信息安全专业教学计划的基础上，参考普通高等院校计算机专业的课程而制定的。经过大家的冷静思考我们认为，搞计算机专业我们和普通院校的计算机专业相比没有优势，做以密码学为核心课程的信息安全专业我们和地方院校信息安全专业相比也没有优势。网络警察出口面太窄，而且目前网络警察主要从地方高校引进计算机和法律专业人才，我们的毕业生从竞争角度也没有优势，这样不利于专业的长远发展。为此，我们把培养目标定位在大刑侦平台上，培养掌握计算机犯罪侦查理论与技能，能熟练进行涉计算机案件的侦查和电子物证检验的刑事警察。这样，不仅可以充分发挥中国刑警学院的专业优势，而且学生毕业分配出口广泛，到网警部门他们具有懂刑事办案、懂法律的优势，到刑警部门他们有计算机专业特色，懂涉计算机案件侦查和取证方法的优势。为所培养的学生受社会欢迎打下了坚实的基础。从教育理念上，我们占据了优势。有了一个科学的培养目标，才会有合理的教学计划。

2特色的教学计划

2004年，计算机犯罪侦查系对信息安全专业全面修订了教学计划。新计划以培养目标为指导，把“宽出口、实战型”作为教学质量控制的标准；把“点线面体”(主干课程是点、其前导后继构成线、主干课程线之间构成面、专业方向间构成体)作为讨论计划的过程控制，使新教学计划专家组的讨论意见空前的一致。这一教学计划也得到实战部门的好评，他们只听了教学计划就已经开始“订购”两年后的学生了。

该教学计划，把培养学生作为“大学生”、“警察”、“计算机专业人员”、“刑警”和“计算机案件侦查和取证人员”的基本理论、基本技能为模块进行设计。

“大学生”模块，这是教育部规定的所有大学工学本科生必须学习的课程集合。主要包括：大学英语、高等数学、普通物理学、大学生思想道德修养、马克思主义哲学原理、马克思主义政治经济学原理、思想概论、邓小平理论与“三个代表”概论、军事理论等课程。

“警察”模块，这是作为警察必须学习的课程。如，公安学概论、擒拿格斗、射击、犯罪心理学、犯罪情报学、公安应用写作、逻辑学等课程。

“计算机专业人员”模块，本着教学性大学培养应用性人才的这一目标，根据计算机犯罪侦查和电子物证检验的特点和工作需要，对计算机类专业课程进行筛选和调整。如，适当减少原理性课程门数或学时，增加应用性强的课程的设置，特别要强调语言类课程的学习，因为在计算机犯罪案件现场勘查时，如果不知道所遇到的文件类型和基本含义，会极大影响案件侦查的成功，也会丢掉很多线索。在教学计划中，我们先后共开设了C语言程序设计、汇编语言程序设计、可视化程序设计、ASP程序设计、数据库原理与应用、java程序设计等多门语言课程。但在强调语言的同时，也不能放弃能代表计算机专业特点的专业课程，这些课程可以培养学生的计算机专业功底。如，数据结构、计算机网络、操作系统原理、微机原理与接口等课程。

“刑警”模块，该模块是学生作为一名刑警应该掌握的基本原理和技能。我们把刑侦的专业主干课程均纳入了该模块。如，刑法学、刑事诉讼法学、行政法与行政诉讼法、刑事证据学、犯罪现场勘查、刑事案件侦查、预审学、查缉战术、侦查措施、经济犯罪案件侦查、治安案件查处等课程。

“计算机案件侦查和取证人员”模块，该模块主要是计算机犯罪侦查和电子物证检验人员所需要的知识。如，信息安全基础、网络安全技术与防范(含密码学)、计算机司法检验学、计算机犯罪案件侦查、计算机恶意代码原理与识别、常见操作系统分析、计算机信息系统安全法规、信息卡技术与安全等课程。

该教学计划以计算机专业理论和法律应用为基础，以计算机犯罪侦查和电子物证检验技术为重点，以刑事案件办理为特色的实用型教学计划。培养即懂传统刑事案件的办理，又具有涉计算机案件办理能力的复合型人才。

3特色的课程建设思路

为把信息安全专业办出刑警学院特色，我们将信息安全专业的课程划分为独有课、特色课和共享课。

独有课就是我们学院有，其他院校没有或非常薄弱的，如“计算机犯罪案件侦查”、“计算机司法检验学”和“计算机恶意代码原理与识别”等课程；特色课就是其他院校有，我们学院有特点的课程；共享课就是计算机及法律相关的课程，各院校开设的内容基本类似。

对各类课程采取不同的措施和思路。对共享课和特色课中的非特色部分，向重点大学靠拢，以他人之长补己之短，派计算机专业毕业的青年教师到在这些课程方面全国领先的重点大学学习，听一轮课，从中学习和了解他们的教学计划、教学内容、教学方法、教学手段、理论教材、实验教材、实验设备、实验方式等内容；特色课中的特色在于我们比地方大学有与公安实战联系密切的优势，比其他公安院校有刑警学院在刑侦和刑技方面的优势。要把握好以公安需要、应用办案为教学出发点，以培养实用型人才为教学目标的总体方向；而独有课是我们专业的拳头，要加大力量，选精兵强将，以老中青结合的方式，划分成课程攻关小组，甚至不惜重金聘请专家来共同搞好。

由于信息安全专业是刚刚兴起的专业，一些教师还没有进入角色，新课多，专业性强，任务量大，因此，提出“以课程建设促学科发展，全体动员，学生参与，加快发展”的课程建设总体思路。

将教学计划中的课程划分成课程小组，采取组长负责制，定时间、定任务、定目标。根据课程内容的需要，到重点大学进修加强理论基础，学习教学模式；到公安实战部门锻炼和听专业系的课程，了解公安一线需要，并学习涉计算机案件的办案方法。遇到难点形成科研课题，与各方面的专家共同进行攻关。再将办案方法和科研成果融入教学。这样就很好地实现了以课程建设促教学、科研和办案的发展，即实现了学科发展的目标。

由于教师数量少，工作任务重，有许多入门操作阶段的工作，以学生参与科研的模式，充分调动在校生特别是信息安全专业学生的积极性(在这方面已经在毕业论文和志愿者学生中进行了较成功的尝试)。在学生中成立“信息安全俱乐部”，教师为之提供理论和实战需要方面的指导，并提供适当的上机条件，让他们学会使用现有大量信息安全方面的软件，然后以讲座或交流的方式给全院师生讲解。这样不仅使教师摆脱了大量基础操作软件的调试，也极大地调动和提高了全体警院学生办理涉计算机犯罪案件的意识和能力。

为保证教学质量，所有新开课程上课前，课程组要对教学大纲和教学计划共同讨论，提出意见。在信息安全专业正式讲授前如果条件允许要在全院进行讲座或选修课，这样一轮教学过后专业教学就会较为成型。

4特色的实验室建设

根据我院信息安全专业以计算机犯罪侦查、电子物证检验和网络监察与监控为方向的特点，我们建成了全国高校第一个“电子数据取证实验室”和全国公安院校第一个“网络攻防实验室”。

“电子数据取证实验室”采用与公安实战无缝对接的思想，即公安实战单位用什么设备我们就学什么设备。这样使学生的动手能力和上手快的特点得以保障。这里不仅包括计算机取证专用机、还包括各种取证平台和取证软件。如图1所示。

“网络攻防实验室”重点解决在涉网案件中，网络痕迹的搜索以及网络监控、网络攻防技术演练等需要的实验室条件。该实验室不仅有核心交换机、路由器，还有防火墙、入侵检测系统、无线网络环境。单机上的主机与虚拟机、小组内的成员之间和小组间的攻防演练均可以实现。如图2所示。

这两个特色实验室的建成为专业课教学、为科研和办案提供了物质保证。

5特色的教学科研办案模式

信息安全论文范文篇3

论文提要：当今世界已进入了信息化时代，信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化，以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分，但由于信息资源不同于其他资源的特殊性质，如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。

一、信息化的内涵、信息资源的性质及信息的安全问题

“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展，信息化已成为各国社会发展的主题。

信息作为一种特殊资源与其他资源相比具有其特殊的性质，主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患，造成信息的丢失、泄密，甚至造成病毒的传播，从而导致信息系统的不安全性，给国家的信息化建设带来不利影响。因此，如何保证信息安全成为亟须解决的重要问题。

信息安全包括以下内容：真实性，保证信息的来源真实可靠；机密性，信息即使被截获也无法理解其内容；完整性，信息的内容不会被篡改或破坏；可用性，能够按照用户需要提供可用信息；可控性，对信息的传播及内容具有控制能力；不可抵赖性，用户对其行为不能进行否认；可审查性，对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比，基于网络的信息安全有一些新的特点：

一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点，从网络架到协议以及操作系统等都具有开放性的特点，通过网络主体之间的联系是匿名的、开放的，而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。

二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统，造成了病毒极易滋生和传播，从而导致信息危害。

三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为，而网络环境下的安全问题常常表现为一种技术对抗，对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的，不受时间和地点的约束，犯罪行为实施后对机器硬件的信息载体可以不受任何损失，甚至不留任何痕迹，给侦破和定罪带来困难。

信息安全威胁主要来源于自然灾害、意外事故；计算机犯罪；人为错误，比如使用不当，安全意识差等；“黑客”行为；内部泄密；外部泄密；信息丢失；电子谍报，比如信息流量分析、信息窃取等；信息战；网络协议自身缺陷，等等。

二、我国信息化中的信息安全问题

近年来，随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素，我国在信息安全管理上的进展是迅速的。但是，由于我国的信息化建设起步较晚，相关体系不完善，法律法规不健全等诸多因素，我国的信息化仍然存在不安全问题。

1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速，各个企业纷纷设立自己的网站，特别是“政府上网工程”全面启动后，各级政府已陆续设立了自己的网站，但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备，整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称，在网络黑客攻击的国家中，中国是最大的受害国。

2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制，很多单位和部门直接引进国外的信息设备，并不对其进行必要的监测和改造，从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱，核心技术严重依赖国外，缺乏自主创新产品，尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外，这使我国的网络安全性能大大减弱，被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术，我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中，网络安全处于极脆弱的状态。

4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击，国内也有部分人利用系统漏洞进行网络犯罪，例如传播病毒、窃取他人网络银行账号密码等。

5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于：首先，我国的经济基础薄弱，在信息产业上的投入还是不足，尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次，全民信息安全意识淡薄，警惕性不高。大多数计算机用户都曾被病毒感染过，并且病毒的重复感染率相当高。

除此之外，我国目前信息技术领域的不安全局面，也与西方发达国家对我国的技术输出进行控制有关。

三、相关解决措施

针对我国信息安全存在的问题，要实现信息安全不但要靠先进的技术，还要有严格的法律法规和信息安全教育。

1、加强全民信息安全教育，提高警惕性。从小做起，从己做起，有效利用各种信息安全防护设备，保证个人的信息安全，提高整个系统的安全防护能力，从而促进整个系统的信息安全。

2、发展有自主知识产权的信息安全产业，加大信息产业投入。增强自主创新意识，加大核心技术的研发，尤其是信息安全产品，减小对国外产品的依赖程度。

3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系，制定相关的法律法规，例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等，加大对网络犯罪和信息犯罪的打击力度，对其进行严厉的惩处。

4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业，应大力培养信息安全专业人才，建立信息安全人才培养体系。

5、加强国际防范，创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征，产生了许多安全问题，要保证信息安全，必须积极参与国际合作，通过吸收和转化有关信息网络安全管理的国际法律规范，防范来自世界各地的黑客入侵，加强信息网络安全。

信息安全论文范文篇4

论文摘要：信息安全问题持续受到高度重视,网络经济则不断受到再创新低的打击,信息安全市场硝烟四起,信息安全行业的市场、竞争与合作等关键问题,成为业界、投资者共同关心的话题,本文就此谈一点个人看法。

市场——“热中看冷”“冷中看热”

今年国内的信息安全市场形势，大致可用两句话来概括，那就是:“热中看冷”、“冷中看热”。热中看冷，是针对信息安全问题持续高温而言的，信息安全炙手可热，主要表现在四个方面，首先是各级政府的高度重视，近年来从国家领导到各部委、部门，尤其是执法部门和应用部门对信息安全问题均表现出极大的关注，不仅有大量具体、明确的指示，而且开始有相应的措施来推动;其次是全社会对信息安全的接受程度有较大提高，不象以前空谈信息安全，而是在经历了Y2K、病毒、黑客等安全事件后都有了切身的体会;第三是信息安全事件的频繁发生，尤其是最近的中美黑客大战，更使信息安全成为非常现实的问题。在一个多月的时间里，美国黑客黑了我们一千多个网站，5.1期间中国黑客也黑了美方一千多个网站。这一事件，给政府的网络管理、信息安全行业发展以及信息技术的使用都提出了很多现实的问题，虽然黑一个网站，把页面修改一下，没有多大的实际经济影响，但如拒绝服务等攻击所带来的后续损失可能就相当大，而且一些组织还有可能利用这个机会从事其它活动。所以中美政府都很关注这一事情，从另一个角度看这一事件对信息安全产业而言也是一个推动;第四方面是资本的投人。现在信息安全行业成为资本市场的新宠，强力介入信息安全行业的资本，主要有两类:一是工T界以外的公司，即上市公司想做信息安全行业;二是原IT行业的大公司介人到信息安全行业。据目前掌握的情况，截止今年底，直接介人到信息安全行业的资金预计可达20个亿。其中有一半来自国外，今年秋天将会有较大的信息安全公司在香港创业板挂牌上市，另一半来自国内，原国内上市公司也会采用收购、参股、并购等方式介人该行业。以上四个方面是信息安全“热”的一面。所谓热中看冷。就是指在这么热的形式下，黑客攻击这么多，信息安全企业却不好出来表态，是有其难言之隐。信息安全的防线构成是多方面的，与技术与管理与使用都可能有关，而黑客的攻击是破坏性的，我们不可能为了应付所有攻击而做一个天衣无缝的完善系统。信息安全不能高估也不能低估，这是一个需要强调的观点，尤其是对于业界，近几年，关于信息安全的舆论炒作和市场炒作都比较多，然而回过头来看，真正的安全需求解决了多少？许多时候大家关注的是商业式的安全需求，关注的是美国版的安全需求，而我们国家的政府信息化、金融电子化、企业信息化真正面临的安全需求并没有得到很好解决。所以我们要冷静地看，要解决很多现实的问题。这既是市场上一个良好的商机，也是行业界一个严峻的任务。要有效保证政府、金融、网络文化等方面信息系统的安全，我们现有的产品还远远不够。我们对多个政府网络的测试结果表明，大量现实的安全需求并没有被满足。这说明，我们的信息安全产业不能离开我国的实际去研究单纯的技术和产品，而应使技术和应用结合起来。国外产品所以在我国占有如此大的市场，其中一个重要的因素，就是它和应用结合得非常紧，大量的应用都是国外开发的。而我们的信息化应用如政务系统、商务系统，还找不到一个完整的很好和应用结合起来的解决方案。热中看冷就是要冷静地看待这些问题。否则，在时兴市场炒作的年代，刚刚兴起的信息安全产业就会有“虚热”之虞。

冷中看热，是针对当前网络经济的不景气而言的，当COM公司不再景气，特别是纳斯达克一落千丈时，如何看待信息安全产业?它是否也会一路下跌?我的回答基本上是否定的，因为发展和安全是一对矛盾，信息安全比信息化要略为滞后一些。.COM公司发展很快即信息化进程很快的时候，人们构建了大量的网络，同时也产生了很多的问题。现在网络界反思的时候就是信息安全界该做贡献的时候。网络界的反思不仅是投人的问题，关键是带动了很多新的应用，这些应用暴露出很多问题。客观上需要解决，基于此，信息安全产业不会下跌，反而会因此上涨。据调研，今年信息安全市场形势和去年相比又有很大的不同，最大的特点是国家的各个部门，都做了信息安全的经费计划，今年的财政预算里包含了信息安全设备的采购费用，这是信息安全市场的真正启动。这与过去该行业那种“有行无市”、“行大市小”的形势有很大的区别。去年大家还在说服、在宣传、在做市场，今年市场的购买力加大了，可以做销售了。从目前趋势看，今年的信息安全行业市场保守估计也在50亿左右。信息化尤其是电子商务的启动对信息安全的需求还会更大。在这之中，密码产品、防火墙产品、人侵检测、漏洞扫描、电子商务产品、防病毒产品和安全服务将占据主要地位。去年国外产品占领了我国市场三分之二的份额，今年我们可以高兴的看到国内产品将与国外产品平分秋色，这就是冷风中的热潮。没有这股热潮，瞰瞰待哺的信息安全行业就可能在网络经济的秋风落叶中“感冒”。竞争——“异中求同”“同中存异”

我国的信息安全行业是近10年突然发展起来的，速度之快，令人咋舌，10年前，我国的信息安全企业只有五家，主要为政府和军队服务。五年前包括商密企业也不超过10家，而到去年，信息安全公司就达350多家，到今年夏天，据工商部门统计全国登记注册的公司中与信息安全有哭的已超过1300家。这么多的企业一举进军信息安全这个新兴的行业，犹若千军万马过独木桥。竞争之激烈，前景之悲壮，不难预料。

从去年下半年开始，混乱的竞争局面已现端倪:从产品上看，仅防火墙产品一项，厂家数十，商家过百，仔细分析一下这些产品，一半以上是低水平重复，产品质量不是后来居上，而是每况愈下。政府的有限投人又不可能完全按照市场经济的规律去支持强者，相反国家投人的文化底蕴往往又特别倾情于那些市场上的小子、晚辈，结果市场博杀，最有力的筹码就只剩下了价格一种，而这种武器往往又是后来跟进者和质量难保者的最爱。到今年夏天，防火墙市场、扫描器市场等领域的价格战已近肉博，长此下去，不出半年，至少有三分之一的企业会壮烈牺牲。怎样竞争?已经是事关我国信息安全产业发展的重大问题，对此，我们的看法是:“异中求同、同中求异”。

所谓“异中求同”:是指大家共同营造信息安全产业。各企业经营的是不同的产品。但满足的一定是我们国家共同的需求。从商业上讲，任何企业都需要谋求它的利益。但如何谋利却大有文章可做。国外许多大公司的经验和做法很值得借鉴，这些不同的企业在市场利益上总是团结得很紧，形成市场上的一个联盟、一个团队。各公司尽管产品不一样，但在市场利益上却是一致的。他们不仅推销彼此的产品，而且要分享对方产品的增值。这都是值得国内企业学习的。现在需要不要盲目跟风，一窝蜂上一种产品，做重复劳动。而是整个行业界要向产业分工尤其是水平分工发展，各具特色，优势互补，共同将信息安全市场做大做好。

“同中求异”:指面向快速发展的国家信息化需求开发出不同的产品。我国的信息安全应该是一道长城，然而目前的现状却是一路纵队。政府各部门是这样，行业各厂商更是如此大家追逐同一种工作或产品，其他工作或产品却无人问津。对攻击者而言，就意味着其它方面毫无防卫，是很好的攻击机会。所以，我们产业能否成长得好，关键要看能否形成一道防线。即使我们在某一方面有一两支强军也不行，长城不是有两个碉堡就够了，它必须是一道完整的防线。其中有分工有协作，八仙过海，各显神通，应是我们市场竞争的理想境界。

合作——“以大带小”“以小集大”

信息安全论文范文篇5

（一）TCP/IP协议族分层

每一层有着具体的功能。链路层有时也被称为网络接口层，主要包括操作系统中相关的设备驱动程序与计算机硬件中相对应的网络接口卡，共同对与电缆（或其他任何传输媒介）的物理接口细节进行处理。网络层主要是对分组在网络中的活动进行处理，在TCP/IP协议族中主要包括了IP协议、ICMP协议以及IGMP协议。传输层的主要功能是为两台主机上的应用程序提供端到端的通信。在TCP/IP协议族中主要有两种互不相同的传输协议：TCP协议与UDP协议。在应用层主要是对应用程序的的细节进行处理。

（二）TCP/IP协议主要工作流程

TCP/IP协议主要工作流程如下（以文件传输为例）：

（1）源主机应用层将相关数据流传送给传输层。

（2）传输层将数据流进行分组，并加上TCP包头传送给网络层。

（3）在网络层加上包括源、目的主机IP地址的IP报头，生成IP数据包，并将生成的IP数据包传送至链路层。

（4）在链路层将MAC帧的数据部分装入IP数据包，然后将源、目的主机的MAC地址和帧头加上，并根据目的主机的MAC地址，将完整的MAC帧发往目的主机或者IP路由器。

（5）MAC帧到达目的主机后，在链路层将MAC帧的帧头去掉，并将去掉MAC帧头的IP数据包传送至网络层。

（6）网络层对IP报头进行检查，如果校验与计算结果不同，则将该IP数据包丢弃，如果结果一致就去掉IP报头，将TCP段传送至传输层。

（7）传输层对顺序号进行检查，判断是否是正确的TCP分组，然后再对TCP报头数据进行检查。如果正确就源主机发出确认信息，如果不正确或者是出现丢包，就想源主机发出重发要求。

（8）在目的主机的传输层将TCP报头去掉后根据顺序对分组进行组装，然后将组装好的数据流传送给应用程序。这样目的主机接收到的来自于源主机的数据量，就像直接接收来自源主机的数据一样。

二、TCP/IP协议的安全性

TCP/IP协议在设计之初没有对安全问题考虑很多，但是在安全性方面仍然有着其自身的优势。

（一）TCP/IP协议的安全性

首先，TCP协议是面向连接的协议，指的是在进行通信前，通信双方需要建立起连接才能够进行通信，在通信结束后终止连接。当目的主机接收到由源主机发来的IP数据包后，会通过TCP协议向源主机发送确认消息。同时在TCP协议中有一个重传记时器（RTO），源主机从IP包发送时开始计时，如果在超时前接收到了确认信号，计时器归零；如果计时超时，则表示IP包已丢失，源主机重传。利用这个计时器能够保证数据传输的完整性，而且TCP协议能够根据不同的情况来规定计时时长。TCP协议为应用层提供了面向连接的服务，从而保证了网络上所传送的数据包被完整、正确、可靠地接收。

其次，利用IP协议进行信息传送，就像信息的明信片传送，对于运营商设备、协议乃至网络拓扑对用户均属开放可见。这也就是说，安全服务的提供不需要应用程序、其他通信层次和网络部件做任何改动。但是这种透明性也是容易被利用的一种安全漏洞。

（二）TCP/IP协议存在的安全问题

TCP/IP协议所存在的安全性问题主要体现在以下的几方面。TCP/IP协议是建立在可信环境之下的，在考虑网络互联时缺乏对安全方面的考虑。TCP/IP协议是建立在三次握手的基础上的，三次握手本就存在一定的不安全因素。TCP/IP这种基于地址的协议本身就会泄露口令，并会经常运行一些无关程序。同时互联网技术对底层网络的硬件细节进行了屏蔽，使得不同种类的网络能够进行互相通信。这就给“黑客”攻击网络提供了更多的机会。因为很多程序都需要利用TCP协议来来作为传输层协议，因此TCP协议的安全性问题会为网络带来严重的后果。同时TCP/IP协议是完全公开的，这就使得攻击者利用远程访问就能够的手，同时所连接的主机基于互相信任的原则也容易处于各种威胁之下。

三、利用TCP/IP协议保护信息安全

虽然TCP/IP协议存在着较为严重的安全隐患，但是能够利用协议本身来实现信息隐藏，从而达到保护信息安全的目的。对TCP/IP协议头数据格式进行分析，能够发现在这两个头结构中存在多个没有用于正常的数据传送或者是数据包的发送的区域，或者是有一些可选项。利用这些区域可以对数据进行保存和传送从而达到保护信息安全的目的。当源主机与目的主机建立起TCP连接后，源主机就可以对要发送的数据进行编码转换，根据一定的算法将需要隐藏的数据为撞到IP标识域内。而在目的主机在接收到数据包后，首相将IP数据包的包体去掉只留下IP包头，通过对IP数据的头结构进行解析，将所隐藏的数据分离出来，然后利用编码算法对数据进行还原。利用时间戳实现信息隐藏。时间戮是一个单调递增的值，从TCP/IP协议中可知，当一个数据分组穿过互联网时，时间戳选修会使得各个系统将它但钱的时间标记在数据分组的相关选项中。TCP/IP协议中有TCP协议时间戳与IP协议时间戳两种。利用时间戳实现信息隐藏指的就是利用处理TCP包或者是IP包时所产生的轻微的延时来对TCP时间戳选项或者IP时间戳选项的低位段进行修改，当对协议的时间戳选项进行相应的修改后，根据TCP/IP协议的特点，会在网络中形成一个专门的信道来对隐藏信息进行传送。同时，现在的网络监控和检测技术很难对TCP/IP协议时间戳的值的改变进行监控与检测，同时也很难对时间戳的值的改变原因进行准确的判断，这就为信息的隐藏提供了良好的平台。

信息安全论文范文篇6

在这个网络信息时代，伴随着信息化的进程的发展，提升管理水平的重要手段就是信息，这也是企业成败的关键。而根据最新的调查结果显示，只有不到四分之一的企业应用了电子商务这样关系到交易。也就是说，约有82%的企业对网站的应用还处于初级阶段———即停留在对企业形象的宣传，对产品和服务信息的和对客户资料的简单收集。电子商务形势已被现在的企业商务活动采用，信息化技术已经被企业的生产运作，运输和销售等诸多方面加以运用。例如，利用网络收集各种原材料信息从而建立对采购有重要作用的原材料信息系统，电子信息化水准经由分析系统的网络数据得到采购建议和对策得以实现。但还不到四分之一这一数据说明企业还未充分开发和利用商业渠道信息。企业信息化时代已经到来，企业应该加快信息化的建设。

2电子信息安全技术阐述

2.1电子信息中的加密技术为保证数据的传送更加完整和安全，电子信息重要使用加密技术。对称加密技术和非对称加密技术是加密技术的两种类型。对称加密技术的实现经由包括明文、密钥、加密算法和解密算法这样的五个基本成分在内的分组机密或序列密码。而非对称加密技术解密和加密相对独立，经由两把不同的密钥进行加密和解密。被称为公钥的加密秘钥向公众公开，被称为私钥的加密秘钥秘密保存，二者必须配对使用。被传送的加密信息经过加密技术起到了保密作用。发送电子信息的过程中，所要发出的信息被发送人经过加密秘钥加密后发出，如果信息在传输过程被窃取，他也只能拿到没办法没理解的密文，但是密文可以被接受者用解密秘钥进行解密，得到明文。

2.2电子信息中的防火墙技术网络技术的发展也使网络安全收到了来自网络黑客，邮件炸弹以及木马病毒的威胁。其网络也同样被企业的信息化以这样的形式所威胁着以至于难以保证企业电子信息的安全。防火墙这一保护措施在这种网络极度不安全的情况下被最初采用。防火墙在阻止电脑信息被恶意篡改和防止被黑客入侵等方面也同样在个人电脑的保护中起到了重要的作用。

2.3电子信息中的认证技术电子信息的认证技术分为身份认证和消息认证两种。身份认证包括识别（明确并区分访问者身份）以及验证（确认访问者身份），用于对用户身份的鉴别。身份认证必须在用户访问不公开的资源时被通过。消息认证是用来辨别信息的真伪和信息有没有经过第三方的伪造或者修改，被用于确认和保证信息的完整性和抗否认性。

3企业电子信息的主要安全要素

3.1企业电子信息的机密性信息的保密工作随着网络的发展已经变得越来越困难。但是身为企业商业机密代表的信息其重要性也不言而喻。摆在各个企业面前的首要解决问题就是：应当怎样确保自己的信息安全地在互联网上传递而不被第三方进行窃取和篡改或者滥用和破坏。

3.2企业电子信息的有效性现今，企业的信息传递大多采用电子的形式，这是电子信息技术发展的必然结果。关系企业贸易能否顺利进行和整个企业的经济利益的前提条件就是信息的有效性。要保证信息传递的有效性，排除各类潜在的对信息有效传递存在威胁的因素尤为重要。

3.3企业电子信息的完整性对企业交易双方都十分重要的一点是要保证交易各方的信息的完整，因其经营的策略被交易方的信息完整性所制约。所以企业之间进行交易的基础就是防止信息在传送的过程中丢失，或被随意生成或者篡改，保证信息的完整性。

4企业中电子信息安全问题的解决策略

电子信息技术发展的安全性直接关系着企业以及个人发展的根本利益，因此，我们应该在这方面加强建设的力度，采取有效的措施提高网络信息的安全。

4.1提高电子信息发展的安全意识

随着社会发展的需要，各个领域的发展都在逐步走向智能化，这与网络信息技术的发展是息息相关的，尤其是网络技术在军事和经济上的应用更应该引起我们的重视，直接关系着整个国家的发展和国防的安全性。为此，我们应该清楚的认识到电子信息安全的重要性，树立维护电子信息安全的意识，促进网络的安全发展。

4.2构建企业信息安全管理体制

保证顺利进行信息安全的管理，除了对各种安全技术的使用之外，建立完善的电子信息安全管理的制度也是十分必要的。一个信息系统的安全被一开始建立的相关的信息管理制度所制约。这是一般的企业中都存在的。信息的安全性无法被保证都是因为相关的安全管理制度的问题所致，因为这一制度的相关安全管理技术都无法被正常进行，可见一个严格的管理制度极度影响着信息系统的安全。电子信息安全技术及其工具无法发挥相应作用的重要原因之一就是没有一套完善且严格的信息安全管理制度。

4.3培养专业技术人才

我国电子信息技术的发展还存在很大的发展空间，各方面的技术还有待提高，因此，应该进一步的进行发展和研究。而电子信息的发展离不开专业化、高素质的信息安全人才。为了提高信息技术安全发展的脚步，我们加大对人才的培养力度。通过加大对科研教育的投入，使他们能够拥有更高端的实验器材以及科研资金进行技术的研究和开发；同时与国际接轨，进行学术上的经验交流，学习优秀的技术并应用到我国发展的实际当中，提高我国信息技术的发展水平；加强对企业内部人员的培训，提高工作人员的专业水平和道德修养，保证工作团队的团结协作，为我国信息技术的发展凝聚力量。

4.4利用企业的网络条件来提供信息安全服务

很多企业的多个二级单位都在系统内通过广域网被联通，局域网在各单位都全部建成，企业良好的信息安全服务是经由优良的网络条件来提供的。技术标准、安全公告和法规经由企业网络平台，同时信息安全软件下载和安全设备选择也可通过这一平台提供。除此之外，企业的员工也可以利用这一平台进行经验交流，进行信息安全的在线教育培训等。4.5定期评估和改进安全防护软件系统企业的信息安全技术和应用随着企业的发展也在推进发展着，伴随技术发展，人们对信息安全问题的认识也在提高。安全防护软件系统———这一用来解决信息的安全问题的“解药”也应伴随着信息安全问题的发现而定期评估和改进。

5总结

信息安全论文范文篇7

廊坊市自2009年设立第1家村镇银行以来，目前已发展到5家，且均已开设了分支机构。另外还有5家新设村镇银行已进入筹备阶段。从科技方面看，不但没有专职科技部门，而且所谓的专职科技人员仅10人，占比不到4%。目前村镇银行的业务系统基本都是依托发起行和行来运行，各项规章制度都是照抄照搬发起行，缺乏具有自己行针对性的内控制度，有些村镇银行新设立的分支机构由于在农村条件有限，不具备双运营商线路备份的条件。

二、网络及信息安全管理存在的问题

（一）制度建设薄弱，安全意识有待提高。村镇银行由于成立时间短，急于开展存贷款业务，因而还没有建立起一套系统的、行之有效的网络及信息安全管理制度。如部分村镇银行没有结合自身实际制订制度，仅将发起行的信息安全规章制度改头换面，难以对信息安全管理进行有效约束，个别村镇银行连最基本的机房出入登记、应急演练记录都没有。即使制度制订较为完善的村镇银行也未能严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》的要求进行规范，反映出村镇银行普遍存在注重追求业务拓展而忽视制度建设与执行，信息安全意识不强的问题。

（二）未设立专职科技部门，兼职科技人员自身水平不高。村镇银行都没有设置专职的科技部门，从最初机房建设到后来发展分支机构，科技工作均是由发起行派科技人员实施和管理。从人员素质看，10名科技专管员中，计算机专业人员仅占5%，大部分专管员难以胜任科技工作。此外，各家村镇银行所谓的专职科技专管员实际上都是身兼数职，而且流动性大，更换频繁，不利于信息安全工作的开展。

（三）网络线路繁多，资源浪费严重。目前每个村镇银行需要硬性接入的网络线路为7到10条不等，比如人民银行省会中心支行城市金融网、地市中心支行城市金融网、发起行网络、行网络等，此外还要与银监局、下属支行互通，按照网络双线路备份的要求，一个村镇银行总行机房的网络线路达到近20条，不但给本来就不大的机房增添了不少负担，而且繁多的网络线路不便于日常管理，存在安全隐患。同时，一个村镇银行每年在网络线路上的花费均在30万元以上，高额的支出也给本来规模就不大的村镇银行增加了财务负担。

（四）过度依赖业务外包，不利于内部风险控制。廊坊辖内村镇银行业务系统升级改造由发起行来实施，发起行能否长期提供免费系统升级支持且升级是否及时，值得引起重视。日常设备维护、巡检基本由第三方IT外包服务公司来做。由于廊坊本地没有外包服务公司，出现问题不但不能第一时间进行维护，更为重要的是信息系统和数据的安全性无法保障，存在泄漏重要信息的可能。

（五）机房环境普遍不达标，存在安全隐患。按照《村镇银行信息科技建设与管理指引》，村镇银行要达到B级机房标准，而廊坊市的村镇银行机房环境设施过于简单，与指引相差甚远。主要表现：一是面积过小不能实现机房分区操作；二是装修没有达到国际有关要求；三是空调设备和供电未达到冗余要求。这不但对今后机房设备的拓展存在影响，而且存在一定的安全隐患。

三、相关建议

（一）加强科技制度建设和落实。人民银行应严格按照《商业银行信息科技风险管理指引》、《村镇银行信息科技建设与管理指引》，要求村镇银行针对自身实际，制定切实可行的科技管理制度。科技部门要加强对村镇银行的执法检查，评估科技管理制度的实用性和有效性，强化村镇银行科技制度建设和制度落实，切实提高信息安全意识。

（二）加强科技人员管理。每个村镇银行及其分支机构都必须设立至少一名科技专管员专司网络及信息安全管理工作，科技专管员要具有计算机专业学历，严禁非专业人员为应付监管部门检查而从事科技管理工作，现没有专业人员的要通过公开招聘尽快解决。要减少科技专管员兼职，有条件的机构应设立科技部门。

（三）建议全省村镇银行参照农村信用社的方式统一管理。由于村镇银行科技力量薄弱，没有能力自行开展信息化建设，而搭建独立的核心业务系统，需要投入较多的人力和财力，短期来说困难重重。农村信用社也为独立法人，与村镇银行类似，由省联社统一开发业务系统后各独立法人机构接入。建议村镇银行也采取此方式，在省一级成立公司，全省村镇银行业务系统以及人民银行相关系统的接入，系统升级和改造也由公司完成。采用此方式可以规范村镇银行的接入标准，减少对发起行或行的技术依赖，最重要的是通过整合可以节省人民银行网络资源，减少村镇银行的网络线路，节约经费。

（四）以人民银行地市中支为节点一点接入。目前，村镇银行接入需直接由所在地连到省里，建议以人民银行地市中支为节点，村镇银行通过地市中心支行接入。随着担保公司、小额贷款公司通过接入征信系统逐渐提上日程，越来越多的金融机构需要接入，省网络资源会越来越紧张，以地市中支为节点接入可以有效分担省里压力。与此同时，以从廊坊到石家庄单条线路月租费5000元计算，仅网络租用费每年就可以为村镇银行节约10多万元。

（五）规范外包服务公司资质。由于村镇银行涉及资金往来，对外部人员的管理需要更加严格，而IT行业是人员流动很快的行业，建议确定外包服务公司资质标准，对现实用外包服务公司进行评定，指定统一符合条件的外包服务公司进行服务，此举可以有效避免泄密及失窃风险。

信息安全论文范文篇8

论文摘要：随着互联网技术的蓬勃发展，基于网络和多媒体技术的电子商务应运而生并迅速发展。所谓电子商务通常是指是在全球各地广泛的商业贸易活动中，在因特网开放的网络环境下，基于浏览器/服务器应用方式，买卖双方不谋面地进行各种商贸活动，实现消费者的网土购物、商户之间的网交易和在线电子支付以及各种商务活动和相关的综合服务活动的一种新型的商业运营模式。信息技术和计算机网络的迅猛发展使电子商务得到了极大的推厂，然而由于互联网的开放性，网络安全问题日益成为制约电子商务发展的一个关键性问题。

一、电子商务网络信息安全存在的问题

电子商务的前提是信息的安全性保障，信息安全，胜的含义主要是信息的完整性、可用性、保密险和可靠性。因此电子商务活动中的信安全问题主要体现在以两个方面:

1、网络信息安全方面

(l)安全协议问题。目前安全协议还没有全球性的标准和规范，相对制约了国际性的商务活动。此外，在安全管理方面还存在很大隐患，普遍难以抵御黑客的攻击。

(3)防病毒问题。互联网的出现为电脑病毒的传播提供了最好的媒介，不少新病毒直接以网络作为自己的传播途径，在电子商务领域如何有效防范病毒也是一个十分紧迫的问题。

(4)服务器的安全问题。装有大量与电子商务有关的软件和商户信息的系统服务器是电子商务的核心，所以服务器特别容易受到安全的威胁，并且一旦出现安全问题，造成的后果会非常严重。

2、电子商务交易方面

(1)身份的不确定问题。由于电子商务的实现需要借助于虚拟的网络平台，在这个平台上交易双方是不需要见面的，因此带来了交易双方身份的不确定性。攻击者可以通过非法的手段盗窃合法用户的身份信息，仿冒合法用户的身份与他人进行交易。

(2)交易的抵赖问题。电子商务的交易应该同传统的交易一样具有不可抵赖性。有些用户可能对自己发出的信息进行恶意的否认，以推卸自己应承担的责任。

(3)交易的修改问题。交易文件是不可修改的，否则必然会影响到另一方的商业利益。电子商务中的交易文件同样也不能修改，以保证商务交易的严肃和公正。公务员之家

二、电子商务中的网络信息安全对策

1、电子商务网络安全的技术对策

(1)应用数字签名。数字签名是用来保证信息传输过程中信息的完整和提供信息发送者身份的认证，应用数字签名可在电子商务中安全，方便地实现在线支付，而数据传输的安全性、完整性，身份验证机制以及交易的不可抵赖性等均可通过电子签名的安全认证手段加以解决。(2)配置防火墙。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。它能控制网络内外的信息交流，提供接人控制和审查跟踪，是一种访问控制机制。在逻辑，防火墙是一个分离器、限制器，能有效监控内部网和工nternet之间的任何活动，保证内部网络的安全。

(3)应用加密技术。密钥加密技术的密码体制分为对称密钥体制和公用密钥体制两。相应地，对数据加密的技术分为对称加密和非讨称力日密两类。根据电子商务系统的特点，全面加密保护应包括对远程通信过程中和网内通信过程中传输的数据实施加密保护。一般来说，应根据管理级别所对应的数据保密要求进行部分加密而非全程加密。

2、电子商务网络安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密码保密、通信地址保密、日常管理和系统运行状况保密、工作日记保密等各个方面。对各类保密都需要慎重考虑，根据轻重程度划分好不同的保密级别，并制定出相应的保密措施。

(2)建立系统维护制度。该制度是电子商务网络系统能否保持长期安全、稳定运行的基本保证，应由专职网络管理技术人员承担，为安全起见，其他任何人不得介人，主要做好硬件系统日常借理维护和软件系统日常管理维护两方面的工作。

(3)建立病毒防范制度。病毒在网络环境下具有极大的传染性和危害性，除了安装防病毒软件之外，还要及时升级防病毒软件版本、及时通报病毒人侵信息等工作。此外，还可将网络系统中易感染病毒的文件属性、权限加以限制，断绝病毒人侵的渠道，从而达预防的目的。

(4)建立数据备份和恢复的保障制度。作为一个成功的电子商务系统，应针对信息安全至少提供三个层面的安全保护措施:一是数据在操作系统内部或者盘阵中实现快照、镜像;二是对数据库及邮件服务器等重要数据做到在电子交易中心内的自动备份;三是对重要的数据做到通过广域网专线等途径做好数据的克隆备份，通过以土保护措施可为系统数据安全提供双保险。

三、电子商务的网络安全体系结构

电子商务的网络信息安全不仅与技术有关，更与社会因素、法制环境等多方面因素有关。故应对电子商务的网络安全体系结构划分如下:

1.电子商务系统硬件安全。主要是指保护电子商务系统所涉及计算机硬件的安全性，保证其可靠哇和为系统提供基础性作用的安全机制。

2.电子商务系统软件安全。主要是指保证交易记录及相关数据不被篡改、破坏与非法复制，系统软件安全的目标是使系统中信息的处理和传输满足整个系统安全策略需求。

3.电子商务系统运行安全。主要指满足系统能够可靠、稳定、持续和正常的运行。

4.电子商务网络安全的立法保障。结合我国实际，借鉴国外先进网络信息安全立法、执法经验，完善现行的网络安全法律体系。

信息安全论文范文篇9

随着电子政务应用的不断深入，信息安全问题日益凸显，为了高效安全的进行电子政务，迫切需要搞好信息安全保障工作。电子政务系统采取的网络安全措施[2][3]不仅要保证业务与办公系统和网络的稳定运行，另一方面要保护运行在内部网上的敏感数据与信息的安全，因此应充分保证以下几点：

1.1基础设施的可用性：运行于内部专网的各主机、数据库、应用服务器系统的安全运行十分关键，网络安全体系必须保证这些系统不会遭受来自网络的非法访问、恶意入侵和破坏。

1.2数据机密性：对于内部网络，保密数据的泄密将直接带来政府机构以及国家利益的损失。网络安全系统应保证内网机密信息在存储与传输时的保密性。

1.3网络域的可控性:电子政务的网络应该处于严格的控制之下，只有经过认证的设备可以访问网络，并且能明确地限定其访问范围，这对于电子政务的网络安全十分重要。

1.4数据备份与容灾:任何的安全措施都无法保证数据万无一失，硬件故障、自然灾害以及未知病毒的感染都有可能导致政府重要数据的丢失。因此，在电子政务安全体系中必须包括数据的容灾与备份，并且最好是异地备份。

2电子政务信息安全体系模型设计

完整的电子政务安全保障体系从技术层面上来讲，必须建立在一个强大的技术支撑平台之上，同时具有完备的安全管理机制，并针对物理安全，数据存储安全，数据传输安全和应用安全制定完善的安全策略

在技术支撑平台方面，核心是要解决好权限控制问题。为了解决授权访问的问题，通常是将基于公钥证书（PKC）的PKI（PublicKeyInfrastructure）与基于属性证书（AC）的PMI（PrivilegeManagementInfrastructure)结合起来进行安全性设计，然而由于一个终端用户可以有许多权限，许多用户也可能有相同的权限集，这些权限都必须写入属性证书的属性中，这样就增加了属性证书的复杂性和存储空间，从而也增加了属性证书的颁发和验证的复杂度。为了解决这个问题，作者建议根据X.509标准建立基于角色PMI的电子政务安全模型。该模型由客户端、验证服务器、应用服务器、资源数据库和LDAP目录服务器等实体组成，在该模型中：

2.1终端用户：向验证服务器发送请求和证书，并与服务器双向验证。

2.2验证服务器：由身份认证模块和授权验证模块组成提供身份认证和访问控制，是安全模型的关键部分。

2.3应用服务器：与资源数据库连接，根据验证通过的用户请求，对资源数据库的数据进行处理，并把处理结果通过验证服务器返回给用户以响应用户请求。

2.4LDAP目录服务器：该模型中采用两个LDAP目录服务器，一个存放公钥证书（PKC）和公钥证书吊销列表（CRL），另一个LDAP目录服务器存放角色指派和角色规范属性证书以及属性吊销列表ACRL。

安全管理策略也是电子政务安全体系的重要组成部分。安全的核心实际上是管理，安全技术实际上只是实现管理的一种手段，再好的技术手段都必须配合合理的制度才能发挥作用。需要制订的制度包括安全行政管理和安全技术管理。安全行政管理应包括组织机构和责任制度等的制定和落实；安全技术管理的内容包括对硬件实体和软件系统、密钥的管理。

转贴于中国论文下载中心www

3电子政务信息安全管理体系中的风险评估

电子政务信息安全等级保护是根据电子政务系统在国家安全、经济安全、社会稳定和保护公共利益等方面的重要程度。等级保护工作的要点是对电子政务系统进行风险分析，构建电子政务系统的风险因素集。

3.1信息系统的安全定级信息系统的安全等级从低到高依次包括自主保护级、指导保护级、监督保护级、强制保护级、专控保护级五个安全等级。对电子政务的五个安全等级定义，结合系统面临的风险、系统特定安全保护要求和成本开销等因素，采取相应的安全保护措施以保障信息和信息系统的安全。

3.2采用全面的风险评估办法风险评估具有不同的方法。在ISO/IECTR13335-3《信息技术IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子，其他文献，例如NISTSP800-30、AS/NZS4360等也介绍了风险评估的步骤及方法，另外，一些组织还提出了自己的风险评估工具，例如OCTAVE、CRAMM等。

电子政务信息安全建设中采用的风险评估方法可以参考ISO17799、OCTAVE、CSE、《信息安全风险评估指南》等标准和指南，从资产评估、威胁评估、脆弱性评估、安全措施有效性评估四个方面建立风险评估模型。其中，资产的评估主要是对资产进行相对估价，其估价准则依赖于对其影响的分析，主要从保密性、完整性、可用性三方面进行影响分析;威胁评估是对资产所受威胁发生可能性的评估，主要从威胁的能力和动机两个方面进行分析;脆弱性评估是对资产脆弱程度的评估，主要从脆弱性被利用的难易程度、被成功利用后的严重性两方面进行分析;安全措施有效性评估是对保障措施的有效性进行的评估活动，主要对安全措施防范威胁、减少脆弱性的有效状况进行分析;安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息、安全措施信息，最终生成风险信息。

在确定风险评估方法后，还应确定接受风险的准则，识别可接受的风险级别。

4结语

电子政务与传统政务相比有显著区别，包括:办公手段不同，信息资源的数字化和信息交换的网络化是电子政务与传统政务的最显著区别;行政业务流程不同，实现行政业务流程的集约化、标准化和高效化是电子政务的核心;与公众沟通方式不同，直接与公众沟通是实施电子政务的目的之一，也是与传统政务的重要区别。在电子政务的信息安全管理中，要抓住其特点，从技术、管理、策略角度设计完整的信息安全模型并通过科学量化的风险评估方法识别风险和制定风险应急预案，这样才能达到全方位实施信息安全管理的目的。

参考文献：

[1]范红，冯国登，吴亚非.信息安全风险评估方法与应用.清华大学出版社.2006.

[2]李波杰，张绪国，张世永.一种多层取证的电子商务安全审计系统微型电脑应用.2007年05期.

信息安全论文范文篇10

随着全员信息安全意识的提高，外汇分局信息安全工作正日益完善，但与中央网信办和外汇局的要求还有一定差距，存在一些薄弱环节，主要表现在以下几方面。一是缺乏完整、成体系的信息安全制度。外汇分局已有的制度里没有完全涵盖从机构建设、人员管理到数据管理、运维管理、应急管理以及教育培训等一系列规范的信息安全内容。二是人员管理方面。人员离岗离职后没有及时收回或变更其在相关应用系统里的权限。三是网络安全防护上方面。外汇分局网络各区域间边界不清晰，缺乏必要的安全防护设备。另外，对内部网络的用户管理较松，容易发生对系统的非授权访问或者冒充合法用户访问等问题。四是终端计算机安全防护方面。外汇分局终端都由人民银行科技部门统一管理，统一下发补丁软件，但是存在业务人员在终端机上安装与工作无关软件的情况，导致植入病毒的几率大大增加，为系统安全埋下隐患。五是安全教育培训及安全检查方面。外汇分局对于全员安全意识教训及专业技能培训比较欠缺，特别是对所辖中心支局业务人员的安全教育培训不足，安全检查的广度和深度也不够。

二、结合实际，提升信息安全保障措施

外汇分局在查找出信息安全风险隐患后，应结合自身实际，从管理和技术两方面采取相应的防护措施。

（一）加大信息安全管理制度的体系建设

一是建立系统的信息安全管理制度。外汇分局应遵循“谁主管谁负责、谁运行谁负责”的原则，按照相关要求明确信息安全管理机构及责任人，制度应涵盖人员管理、资产管理、数据管理、网络管理、运维管理、应急管理、教育培训等内容。二是加强信息安全应急管理。外汇分局应制定应急预案，保障应急资源，并定期或不定期地进行应急演练。

（二）加强信息安全技术防护措施

一是建立良好的网络安全防护措施。针对近期的网络改造工程，外汇分局应明确各区域的网络边界，做好边界防护措施，并制定制度进一步规范网络用户的操作，完善网络设备的安全配置及审计措施。二是做好应用系统的安全访问控制。外汇分局对所有的应用系统，包括电子邮箱、门户网等，都应做好用户权限管理和划分。三是规范终端计算机的安全操作行为。主要是建立相应制度规范业务人员操作，并在终端上设置账户密码保障安全。针对WindowsXP停止安全服务的情况，外汇分局应卸载与工作无关的应用程序、关闭不必要的服务和端口等，不断加强对使用WindowsXP系统终端计算机的管理。

（三）强化信息安全教育培训

外汇分局应采取各种方法做好信息安全教育培训。除开展提高安全意识的培训外，还需要加强信息安全知识及安全防护技能的培训。

（四）深入开展信息安全检查工作