亚洲成色777777女色窝,777亚洲妇女,色吧亚洲日本,亚洲少妇视频

軟件安全論文

時間:2023-03-16 15:40:15

導(dǎo)語:在軟件安全論文的撰寫旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。

軟件安全論文

第1篇

1.1網(wǎng)絡(luò)的設(shè)計理念

計算機網(wǎng)絡(luò)安全涉及到計算機技術(shù)中的各個方面,如網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)等等。計算機網(wǎng)絡(luò)安全的標準是網(wǎng)絡(luò)中的硬軟件、系統(tǒng)的安全受到保護,在發(fā)生惡意侵入時不受破壞。在網(wǎng)絡(luò)剛產(chǎn)生時,人們對于網(wǎng)絡(luò)的要求側(cè)重于可用性以及其方便程度,那時對于網(wǎng)絡(luò)安全性的認識和重視度都不高。因為最初的網(wǎng)絡(luò)沒有遍布全球,主要是局域網(wǎng),所以基本不存在網(wǎng)絡(luò)安全的問題,于是人們也沒有做必要的防護。后來網(wǎng)絡(luò)技術(shù)日漸進步,互聯(lián)網(wǎng)遍布全球,將世界聯(lián)系起來,網(wǎng)絡(luò)安全問題便逐漸成為不可忽視的重大問題。網(wǎng)絡(luò)具有關(guān)聯(lián)性的特征,所以在進行網(wǎng)絡(luò)上的操作時,很容易在安全方面受到威脅。目前的眾多網(wǎng)絡(luò)產(chǎn)品,也是基于基礎(chǔ)網(wǎng)絡(luò)協(xié)議進行發(fā)展開發(fā)的,與互聯(lián)網(wǎng)有著同樣的安全問題。

1.2網(wǎng)絡(luò)開放性

開放性是互聯(lián)網(wǎng)的最基本特征,互聯(lián)網(wǎng)的基本準則之一就是自由開放。目前我們使用的網(wǎng)絡(luò),處于互聯(lián)網(wǎng)產(chǎn)生以來開放性最強的狀態(tài)?;ヂ?lián)網(wǎng)從最初的局域網(wǎng)發(fā)展成為今天的世界性的網(wǎng)絡(luò),為的就是更加方便人與人之間的交流。網(wǎng)絡(luò)的開放性為廣大用戶提供了豐富的資源,但也在同時為黑客提供了可乘之機。網(wǎng)絡(luò)安全便成了開發(fā)者和用戶共同關(guān)心的核心問題。

1.3網(wǎng)絡(luò)的控制管理性

互聯(lián)網(wǎng)將世界聯(lián)系在一起,每個用戶都是網(wǎng)絡(luò)中的一個元素,個人計算機以及局域網(wǎng)都連接在公共網(wǎng)絡(luò)中。網(wǎng)絡(luò)具有的關(guān)聯(lián)性使得對網(wǎng)絡(luò)進行攻擊時,只需要對網(wǎng)絡(luò)中的關(guān)鍵點進行攻擊,就可以對整個安全系統(tǒng)造成影響,就能夠擊潰整個安全系統(tǒng)?;ヂ?lián)網(wǎng)中的關(guān)鍵點十分重要,若這個關(guān)鍵部位的安全保護做到位,互聯(lián)網(wǎng)的安全便有了保障。若關(guān)鍵點喪失了安全性,整個互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全就難以維持。安全系統(tǒng)被破壞后,網(wǎng)絡(luò)運行環(huán)境就會變得復(fù)雜,缺乏可控性以及安全性。這對每個互聯(lián)網(wǎng)中的用戶都會造成嚴重的影響,輕則導(dǎo)致文件的丟失,重則造成金錢的損失。

2網(wǎng)絡(luò)安全威脅

網(wǎng)絡(luò)面臨著多方面的威脅,一方面在于網(wǎng)絡(luò)信息的威脅,另一方面在于網(wǎng)絡(luò)設(shè)施的威脅。網(wǎng)絡(luò)安全受到威脅的首要原因是人為的疏忽,在對計算機進行配置時,因為操作人員產(chǎn)生疏忽,產(chǎn)生安全漏洞,這樣便給了不法分子攻擊計算機的機會。用戶在對計算機進行設(shè)置時,沒有濃厚的安全意識,例如口令密碼設(shè)置不夠安全以及防火墻不能及時維護,這些因素都會給電腦帶來安全危害。網(wǎng)絡(luò)安全受到威脅的第二個原因是他人的惡意攻擊,其中包括兩個方面:第一,主動攻擊,這種方式是人為對數(shù)據(jù)流進行修改、延遲、刪除、插入以及復(fù)制的操作,通過這種操作讀計算機安全進行攻擊,主要是對信息進行篡改和偽造;第二,被動攻擊,這種方式是截獲信息,通過特殊手段監(jiān)視或是偷聽信息,以達到信息截獲的目的,這種方法比主動攻擊較難發(fā)現(xiàn)。網(wǎng)絡(luò)安全受到威脅的第三個原因在于軟件漏洞,軟件的漏洞通常會成為黑客進行攻擊的主要目標,通過攻擊漏洞可以摧毀整個安全系統(tǒng),除了軟件漏洞,開發(fā)人員在研發(fā)軟件時會留有一個“后門”,方便對軟件進行升級,這也容易成為黑客攻擊的對象。網(wǎng)絡(luò)安全受到威脅的第四個原因在于管理疏漏。

3基于軟件工程技術(shù)的網(wǎng)絡(luò)安全防御

3.1防火墻

防火墻可以在硬件上進行建設(shè),它起到了分離器、分析器和限制器的作用。它在兩個網(wǎng)絡(luò)進行連接和通信的時候發(fā)揮作用,對信息進行過濾和控制。防火墻包括很多類型,應(yīng)用型、檢測型和過濾型是最為常見的。使用防火墻,可以對內(nèi)外網(wǎng)絡(luò)正常運行提供保障,但防火墻也存在一定的弱點,它無法阻止LAN內(nèi)部的攻擊。

3.2訪問控制

訪問控制是通過對操作系統(tǒng)中訪問權(quán)限進行設(shè)置,限制訪問主體對訪問客體的訪問。訪問控制是通過軟件技術(shù)對網(wǎng)絡(luò)安全進行防御的主要手段,它通過對網(wǎng)絡(luò)資源進行保護,使網(wǎng)絡(luò)資源避免非法的訪問。訪問控制技術(shù)主要包括入網(wǎng)訪問控制、網(wǎng)絡(luò)權(quán)限控制、屬性控制以及目錄級控制等。

3.3殺毒軟件

病毒是主要以一個程序的方式存在和傳播的,也有些病毒是以一段代碼的形式。病毒運行后,會對計算機造成破壞,使計算機無法正常運行,嚴重的則會損傷計算機的操作系統(tǒng),使整個系統(tǒng)崩潰,乃至使硬盤遭到損害。計算機病毒還有自我復(fù)制的功能,他們可以自身進行復(fù)制后,通過移動設(shè)備和網(wǎng)絡(luò)大肆傳播出去,感染網(wǎng)絡(luò)內(nèi)開放的其他計算機,對其他計算機也造成破壞。對于計算機病毒的防治,可以分為幾個模塊,分別是病毒檢測、病毒防御和病毒清除。目前市面上有很多種類的殺毒軟件,選擇高質(zhì)量并且及時更新的殺毒軟件,是十分重要的。安裝殺毒軟件后,要及時對電腦進行病毒掃描,檢測出病毒的存在后,要及時進行處理和清除,保障計算機不被病毒感染,達到保護計算機安全的目的。安裝好的殺毒軟件,不僅是對于一臺計算機安全的維護,也是對網(wǎng)絡(luò)安全的維護,殺毒軟件及時清除病毒,防止了病毒通過網(wǎng)絡(luò)傳播出去,造成大批計算機系統(tǒng)遭到破壞。

4結(jié)語

第2篇

會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學(xué)院、國家網(wǎng)絡(luò)與信息安全信息通報中心等部門擔(dān)任指導(dǎo)單位,同時將出版論文集,經(jīng)專家評選的部分優(yōu)秀論文,將推薦至國家核心期刊發(fā)表。現(xiàn)就會議征文的有關(guān)情況通知如下:

一、征文范圍

1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級保護技術(shù):物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級保護支撐技術(shù),等級保護技術(shù)體系在新環(huán)境下的應(yīng)用方法;

2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護技術(shù):政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;

3. 國內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發(fā)展對策,網(wǎng)絡(luò)恐怖的特點、趨勢、危害研究;

4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測技術(shù),態(tài)勢感知預(yù)警技術(shù),安全監(jiān)測技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險評估技術(shù);

5. 信息安全等級保護建設(shè)技術(shù):密碼技術(shù),可信計算技術(shù),網(wǎng)絡(luò)實名制等體系模型與構(gòu)建技術(shù),漏洞檢測技術(shù),網(wǎng)絡(luò)監(jiān)測與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;

6. 信息安全等級保護監(jiān)管技術(shù):用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護技術(shù),安全態(tài)勢評估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績效評估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);

7. 信息安全等級保護測評技術(shù):標準符合性檢驗技術(shù),安全基準驗證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測試技術(shù),測評工具和測評方法;

8. 信息安全等級保護策略與機制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護策略,信息安全保障工作評價機制、應(yīng)急響應(yīng)機制、安全監(jiān)測預(yù)警機制。

二、投稿要求

1. 來稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實、可靠,未公開發(fā)表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內(nèi)容;

2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;

3. 稿件以Email方式發(fā)送到征稿郵箱;

4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;

5. 提交截止日期: 2014年5月25日。

三、聯(lián)系方式

通信地址:北京市海淀區(qū)首都體育館南路1號

郵編:100048

Email:.cn

聯(lián)系人: 范博、王晨

聯(lián)系電話:010-68773930,

13717905088,13581879819

第3篇

論文摘要:隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動中,在因特網(wǎng)開放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買賣雙方不謀面地進行各種商貿(mào)活動,實現(xiàn)消費者的網(wǎng)土購物、商戶之間的網(wǎng)交易和在線電子支付以及各種商務(wù)活動和相關(guān)的綜合服務(wù)活動的一種新型的商業(yè)運營模式。信息技術(shù)和計算機網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廠,然而由于互聯(lián)網(wǎng)的開放性,網(wǎng)絡(luò)安全問題日益成為制約電子商務(wù)發(fā)展的一個關(guān)鍵性問題。

一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問題

電子商務(wù)的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務(wù)活動中的信安全問題主要體現(xiàn)在以兩個方面:

1、網(wǎng)絡(luò)信息安全方面

(l)安全協(xié)議問題。目前安全協(xié)議還沒有全球性的標準和規(guī)范,相對制約了國際性的商務(wù)活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。

(3)防病毒問題?;ヂ?lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個十分緊迫的問題。

(4)服務(wù)器的安全問題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問題,造成的后果會非常嚴重。

2、電子商務(wù)交易方面

(1)身份的不確定問題。由于電子商務(wù)的實現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。

(2)交易的抵賴問題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴性。有些用戶可能對自己發(fā)出的信息進行惡意的否認,以推卸自己應(yīng)承擔(dān)的責(zé)任。

(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴肅和公正。

二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對策

1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對策

(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來保證信息傳輸過程中信息的完整和提供信息發(fā)送者身份的認證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全,方便地實現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩?、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動,保證內(nèi)部網(wǎng)絡(luò)的安全。

(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應(yīng)地,對數(shù)據(jù)加密的技術(shù)分為對稱加密和非討稱力日密兩類。根據(jù)電子商務(wù)系統(tǒng)的特點,全面加密保護應(yīng)包括對遠程通信過程中和網(wǎng)內(nèi)通信過程中傳輸?shù)臄?shù)據(jù)實施加密保護。一般來說,應(yīng)根據(jù)管理級別所對應(yīng)的數(shù)據(jù)保密要求進行部分加密而非全程加密。

2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略

(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級別,并制定出相應(yīng)的保密措施。

(2)建立系統(tǒng)維護制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長期安全、穩(wěn)定運行的基本保證,應(yīng)由專職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見,其他任何人不得介人,主要做好硬件系統(tǒng)日常借理維護和軟件系統(tǒng)日常管理維護兩方面的工作。

(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制,斷絕病毒人侵的渠道,從而達預(yù)防的目的。

(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個成功的電子商務(wù)系統(tǒng),應(yīng)針對信息安全至少提供三個層面的安全保護措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤陣中實現(xiàn)快照、鏡像;二是對數(shù)據(jù)庫及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動備份;三是對重要的數(shù)據(jù)做到通過廣域網(wǎng)專線等途徑做好數(shù)據(jù)的克隆備份,通過以土保護措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險。

三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)

電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:

1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護電子商務(wù)系統(tǒng)所涉及計算機硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機制。

2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標是使系統(tǒng)中信息的處理和傳輸滿足整個系統(tǒng)安全策略需求。

3.電子商務(wù)系統(tǒng)運行安全。主要指滿足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運行。

4.電子商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我國實際,借鑒國外先進網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗,完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。

第4篇

“我的信息安全嗎?”相信所有對信息技術(shù)有所了解的人都會存在這個擔(dān)憂。就我們所使用的IT設(shè)備而言,軟硬件的安全性將直接影響信息的安全。是否有什么手段來認定軟硬件的安全性呢?答案是肯定的,那就是對其進行安全認證。

多年來,嘉興市辰翔信息科技有限公司致力于IT軟硬件安全檢測認證,憑借著國際一流的技術(shù),為IT軟硬件“蓋”上了信息安全的“合格章”。

權(quán)威認證覆蓋全球

據(jù)國家工信部的《2013年電子信息產(chǎn)業(yè)統(tǒng)計公報》顯示,我國2013年電子信息產(chǎn)業(yè)銷售收入總規(guī)模達到12.4萬億元,同比增長12.7%。在信息安全日益受重視的今天,這意味著巨大的安全認證市場。就全球而言,反病毒軟件的檢測認證市場銷售規(guī)模在2億人民幣左右,而安全硬件提供商全球多達幾萬家,銷售額至少在幾百億人民幣。檢測認證行業(yè)作為IT軟硬件方案服務(wù)提供商的服務(wù)商,市場前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等幾家巨頭壟斷。

為了打破國外檢測機構(gòu)對計算機安全軟硬件檢測壟斷的局面,辰翔科技通過多年來的理論研究和實踐應(yīng)用研發(fā)了一系列符合計算機安全技術(shù)潮流發(fā)展的檢測技術(shù)和認證標準,并在一些關(guān)鍵的技術(shù)環(huán)節(jié)大量應(yīng)用了新的檢測標準和檢測技術(shù),是大中華區(qū)唯一專業(yè)從事計算機安全軟硬件測試認證的公司,也是公安部計算機病毒應(yīng)急響應(yīng)中心的合作伙伴和唯一具有公安機關(guān)病毒分析備案的公司。除了自行研發(fā)外,辰翔科技還通過與國內(nèi)高等院校的合作,研究如何將病毒流行度指標應(yīng)用在計算機安全檢測之上,相關(guān)論文也已經(jīng)在國際會議上發(fā)表。另外,其關(guān)于計算機安全軟硬件檢測的專用認證標志已經(jīng)在歐盟、美國和大陸成功注冊。

辰翔科技作為全球主要的安全軟件檢測認證服務(wù)提供商,客戶基本已經(jīng)涵蓋主要的殺毒軟件提供商。值得一提的是,在手機Android操作系統(tǒng)安全測試領(lǐng)域,公司已經(jīng)基本實現(xiàn)壟斷。除了手機端的安全認證外,辰翔科技還與美國微軟總部合作研發(fā)Windows安全認證體系。目前辰翔科技在全球安全軟件測試認證行業(yè)主要競爭對手有6個,目標客戶覆蓋率基本達到國外同行水平。未來,辰翔科技將以電源產(chǎn)品作為切入點,進一步開展通用IT硬件(如CPU、內(nèi)存、音響制品、顯示器等)與安全硬件(如嵌入式反病毒硬件,硬件防火墻,郵件過濾器等)的檢測認證工作。

打造全方位“防御體系”

通過從計算機軟件到硬件,再加上手機與網(wǎng)站的安全測評,辰翔科技打造了一個全方位的安全防御圈。

安全軟件測試

通過測試安全軟件的多層防御能力來判斷安全軟件的綜合防御能力。關(guān)鍵技術(shù)在于多層實時檢測技術(shù),傳統(tǒng)的安全軟件檢測比較單一、一般都只檢測安全的一個參數(shù)值,比如病毒的查殺率,誤報水平等,而辰翔科技對測評體系進行了升級,擺脫單一功能檢測無法反映軟件綜合性能的缺失,目前已經(jīng)基本運用到日常檢測認證中來。

云安全檢測認證

辰翔科技采集最新最全的病毒樣本,運用高性能的爬蟲系統(tǒng),通過大量的新出現(xiàn)的病毒和常用軟件來判斷云安全軟件對未知病毒的響應(yīng)能力、白名單庫的收集能力和誤報水平、云安全技術(shù)的穩(wěn)定性判斷,在國內(nèi)率先提出了云安全檢測技術(shù)的思路和測試基本框架。

手機安全軟件檢測認證

通過手機操作系統(tǒng)模擬器或真機來模擬或者重現(xiàn)手機安全軟件在各系統(tǒng)上的運行情況,包括對病毒的檢測查殺能力、常用功能的比較和不同病毒對手機用戶的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以為殺毒軟件公司提供分析支持和軟件配套服務(wù)。

軟件安全性評估

通過代碼和行為分析判斷軟件是否具有惡意行為,對驗證無惡意行為的軟件頒發(fā)認證標志。

非安全軟件類軟硬件檢測認證

通過輔助軟件對同類通用軟件和硬件進行性能評估和檢測認證,對達標產(chǎn)品相對應(yīng)的認證標志。通用軟硬件的測評和認證將由辰翔科技和中國計量學(xué)院、浙江質(zhì)監(jiān)局共同進行研發(fā),遠期將提供市場準入認證和產(chǎn)品改良服務(wù)。

網(wǎng)絡(luò)掛馬釣魚分析系統(tǒng)的建立和網(wǎng)站認證

第5篇

【關(guān)鍵詞】網(wǎng)站服務(wù)器;安全維護

隨著校園網(wǎng)絡(luò)環(huán)境的不斷改善和圖書館網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,依托校園網(wǎng)的各類資源也日益豐富和完善。為了確保信息系統(tǒng)的穩(wěn)定運行,必須全面細致的進行服務(wù)器的管理和維護工作,一點點小的疏忽都可能會導(dǎo)致嚴重的后果。

1.網(wǎng)站服務(wù)器安全維護內(nèi)容

為確保網(wǎng)站服務(wù)器的正常運行及使用應(yīng)及對服務(wù)器進行及時的更新,及時對服務(wù)器上各種應(yīng)用程序的安全補丁、安全隱患進行合理配置,及時修補服務(wù)器的安全漏洞,并及時解決服務(wù)器的相關(guān)不安全因素,通過這些手段使服務(wù)器的安全風(fēng)險降底到最小。對網(wǎng)站服務(wù)器進行定期安全性設(shè)置、檢查,對服務(wù)器上系統(tǒng)存在的各種木馬、后門進行全面防御,讓所有系統(tǒng)級、內(nèi)核級感染的惡意黑客軟件都無法正常使用,從而保障主機的安全穩(wěn)定運行;避免網(wǎng)站服務(wù)器發(fā)生不安全的現(xiàn)象。具體的維護內(nèi)容包括網(wǎng)站安全評估、網(wǎng)站安全檢測、網(wǎng)站安全加固、網(wǎng)頁木馬檢測、網(wǎng)頁病毒清除、網(wǎng)站中毒解決方案、防sql注入、sql漏洞、清除木馬、去除惡意代碼、木馬檢測、木馬檢測工具、流氓軟件清除、清除惡意軟件、清除木馬、網(wǎng)站程序漏洞修復(fù)、數(shù)據(jù)庫漏洞處理、數(shù)據(jù)庫漏洞加固、防數(shù)據(jù)庫木馬注入、網(wǎng)頁病毒處理、掛木馬、網(wǎng)站掛馬、惡意代碼清除、網(wǎng)站安全、病毒處理、病毒清除、病毒防范。本地帳戶系統(tǒng)維護,包括帳戶開通、停用及密碼更改、本地日志維護、審計。本地安全策略維護,包括安全策略的啟用、停用流量、服務(wù)及性能監(jiān)控信息檢查、系統(tǒng)配置維護、系統(tǒng)配置及注冊表備份、故障排查與處理、系統(tǒng)崩潰狀況下的系統(tǒng)重裝及配置恢復(fù)、軟件安全隱患排除、服務(wù)器系統(tǒng)木馬防御。

2.網(wǎng)站服務(wù)器的維護技巧

2.1 終端服務(wù)器及固件出現(xiàn)故障

如果終端服務(wù)器以前工作正常而突然所有端口都不能工作,重新開啟后仍然不行,要檢查是否發(fā)生此類故障。這類故障大多可以通過機器前面板的指示燈如Alarm、Ready、Power等顯示出來。例如Ready指示燈不斷閃動,或Alarm燈持續(xù)亮,或者電源有電而Power燈不亮。此外當(dāng)健入命令有誤而不能恢復(fù)到提示符狀態(tài),也屬這種情況。這時用戶須和廠家技術(shù)人員聯(lián)系維修,自己不要拆卸機器。

2.2 賬號和密碼保護

在很多時候一臺服務(wù)器不僅運行了網(wǎng)站的應(yīng)用,而且還會運行許多服務(wù)器和流媒體服務(wù)器之類的網(wǎng)絡(luò)服務(wù)。在同一臺服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。這也就是說攻擊者只要攻擊一種服務(wù),就可以運用相關(guān)的技能攻陷其他使用。因為攻擊者只需要攻破其中一種服務(wù),就可以運用這個服務(wù)平臺從內(nèi)部攻擊其他服務(wù),一般來說,從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。賬號和密碼保護可以說是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對系統(tǒng)的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統(tǒng),那么前面的防衛(wèi)措施幾乎就沒有作用,所以對服務(wù)器系統(tǒng)管理員的賬號和密碼進行管理是保證系統(tǒng)安全非常重要的措施。

2.3 監(jiān)測系統(tǒng)日志

通過運行系統(tǒng)日志程序,系統(tǒng)會記錄下所有用戶使用系統(tǒng)的情形,包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現(xiàn)象。

2.4 關(guān)閉不需要的服務(wù)和端口

服務(wù)器操作系統(tǒng)在安裝的時候,會啟動一些不需要的服務(wù),這樣會占用系統(tǒng)的資源,而且也增加了系統(tǒng)的安全隱患。對于假期期間完全不用的服務(wù)器,可以完全關(guān)閉;對于假期期間要使用的服務(wù)器,應(yīng)關(guān)閉不需要的服務(wù)。另外,還要關(guān)掉沒有必要開的TCP端口。

2.5 禁用與設(shè)備運行、維護等工作無關(guān)的服務(wù)

操作系統(tǒng)在安裝后都會默認開啟一些服務(wù)進程,其中許多的服務(wù)都是與設(shè)備運行和維護無關(guān)的。這些開啟了卻不使用的服務(wù),由于存在著很多安全漏洞,就往往成為黑客訪問或破壞系統(tǒng)的入口點。為此應(yīng)該在不影響系統(tǒng)的正常使用和維護的前提下,禁用與設(shè)備運行、維護等工作無關(guān)的服務(wù)。

2.6 做好數(shù)據(jù)備份

為防止不能預(yù)料的系統(tǒng)故障或用戶不小心的非法操作,必須對系統(tǒng)進行安全備份。除了對全系統(tǒng)進行每月一次的備份外,還應(yīng)對修改過的數(shù)據(jù)進行每周一次的備份。同時,應(yīng)該將修改過的重要系統(tǒng)文件存放在不同的服務(wù)器上,以便出現(xiàn)系統(tǒng)崩潰時,可及時地將系統(tǒng)恢復(fù)到正常狀態(tài)。俗話說:“有備無患”,雖然大家都不希望系統(tǒng)突然遭到破壞,但是做好準備是必須的。作好服務(wù)器系統(tǒng)備份,萬一遭破壞的時候也可以及時恢復(fù)。

3.結(jié)束語

綜上所述,服務(wù)器在圖書館網(wǎng)站建設(shè)中具有舉足輕重的地位。各高校圖書館應(yīng)根據(jù)其具體情況選擇合適的服務(wù)器。管理維護好它,這樣才能更好的建設(shè)圖書館網(wǎng)站。更深入地開展圖書館網(wǎng)上信息服務(wù)。

參考文獻

第6篇

關(guān)鍵詞:會計電算化 內(nèi)部控制 內(nèi)部審計

會計電算化,是把以電子計算機為代表的現(xiàn)代化數(shù)據(jù)處理工具和以信息論、系統(tǒng)論、控制論、數(shù)據(jù)庫以及計算機網(wǎng)絡(luò)等新興理論和技術(shù)應(yīng)用于會計核算和財務(wù)管理工作中,以提高財會管理水平和經(jīng)濟效益,進而實現(xiàn)會計工作的現(xiàn)代化。會計電算化對事業(yè)部門內(nèi)部控制制度產(chǎn)生深刻的影響, 對事業(yè)單位內(nèi)部控制制度提出了新要求。環(huán)境的改變必然要求有新的內(nèi)部控制系統(tǒng)與之相匹配, 以全新的方法去建立一套行之有效的內(nèi)部控制系統(tǒng)已是形勢所需。

一、會計電算化對內(nèi)部控制的影響

內(nèi)部控制制度是企事業(yè)單位在會計工作中為維護會計數(shù)據(jù)的真實性、業(yè)務(wù)經(jīng)營的有效性和財產(chǎn)的安全完整而制定的各項規(guī)章制度、管理方法等的總稱。會計電算化使事業(yè)單位內(nèi)部控制制度發(fā)生深刻變化,具體體現(xiàn)為:

(1)內(nèi)部控制環(huán)境的變化

事業(yè)單位計算機處理會計和財務(wù)數(shù)據(jù)后,單位的會計核算環(huán)境發(fā)生了很大的變化,會計部門的組成人員從原來由財務(wù)、會計專業(yè)人員組成,轉(zhuǎn)變?yōu)橛韶攧?wù)、會計專業(yè)人員和計算機數(shù)據(jù)處理系統(tǒng)的管理人員及計算機專家組成。會計部門不僅利用計算機完成基本的會計業(yè)務(wù),還能利用計算機完成各種原先沒有的或由其他部門完成的更為復(fù)雜的業(yè)務(wù)活動,如銷售預(yù)測、人力資源規(guī)劃等。

(2)控制方式發(fā)生改變

計算機系統(tǒng)的內(nèi)部控制也由單一人工控制轉(zhuǎn)為人工和程序共同控制。例如,從前應(yīng)由會計人員處理的有關(guān)業(yè)務(wù)事項,現(xiàn)在可由其他業(yè)務(wù)人員在終端機上一次完成;以往應(yīng)由幾個部門逐步完成的業(yè)務(wù)事項,現(xiàn)在能集中在一個部門甚至由一個人完成。實行會計電算化后,單位的內(nèi)部控制是由會計人員通過會計軟件實施的,由會計人員和計算機來共同完成。

(3) 內(nèi)部控制的重點發(fā)生變化

實現(xiàn)會計電算化后,會計數(shù)據(jù)一般都集中由計算機數(shù)據(jù)處理部門進行處理,而財務(wù)部門人員往往只負責(zé)原始數(shù)據(jù)的收集、審核和編碼,并對計算機輸出的各種會計報表進行分析。這樣,會計系統(tǒng)內(nèi)部控制的重點就由對人的控制為主轉(zhuǎn)變?yōu)閷θ?、機控制為主。

(4) 內(nèi)部控制的范圍發(fā)生變化

傳統(tǒng)的內(nèi)部控制主要針對交易處理。計算機技術(shù)的引入,給會計工作增加了新的工作內(nèi)容,同時也增加了新的控制措施。由于系統(tǒng)建立和運行的復(fù)雜性,內(nèi)部控制的范圍相應(yīng)擴大,包含了傳統(tǒng)手工系統(tǒng)所沒有的控制,如網(wǎng)絡(luò)系統(tǒng)安全的控制、系統(tǒng)權(quán)限的控制、修改程序的控制等,以及磁盤內(nèi)會計信息安全保護、計算機病毒防治、計算機操作管理、系統(tǒng)管理員和系統(tǒng)維護人員的崗位責(zé)任制度等。

(5)會計檔案發(fā)生變化

由各種紙質(zhì)的原始單據(jù)、憑證、賬簿、報表變?yōu)榇蛴≥敵龅母鞣N憑證、賬簿、報表和存儲在計算機軟盤、硬盤或其他介質(zhì)中的會計數(shù)據(jù)。

二、會計電算化對事業(yè)單位內(nèi)部控制制度的新要求

會計電算化使事業(yè)部門內(nèi)部控制制度發(fā)生深刻變化, 對事業(yè)單位內(nèi)部控制制度提出了新要求,具體體現(xiàn)為:

1. 要確保原始數(shù)據(jù)操作的準確度

在電算化會計中, 確保輸入數(shù)據(jù)的精確度是最基本的前提。電腦中的原始數(shù)據(jù)必須是由人工事先進行審核和輸入計算機的, 一旦原始數(shù)據(jù)在輸入中發(fā)生錯誤, 計算機無法識別, 只會將錯就錯地進行各種計算工作。正因為會計電算化的這一固有弱點, 所以對內(nèi)部控制提出了一些新的具體要求: 一切數(shù)據(jù)的處理方法和過程都必須規(guī)范化, 并保持準確性和相對的穩(wěn)定性, 這樣才能保證會計信息質(zhì)量的真實性、完整性和準確性。為保證機房設(shè)備的安全, 計算機的正常運行, 會計數(shù)據(jù)和會計軟件的安全保密, 對應(yīng)用計算機的單位, 要求制訂硬、軟件管理制度, 修改會計核算軟件的審批和監(jiān)督制度。

2.要制定嚴格的操作管理制度

嚴格的操作管理制度,也是會計電算化對內(nèi)部控制提出的新要求。電算化功能和知識的高度集中導(dǎo)致了職責(zé)的集中, 特別是會計人員的職能開始從核算型向管理型轉(zhuǎn)移。某些人員既可從事數(shù)據(jù)的輸入, 又可負責(zé)數(shù)據(jù)的輸出和報送;未經(jīng)授權(quán)的人員有可能通過計算機和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件,復(fù)制、偽造、銷毀單位重要的數(shù)據(jù)。

3、規(guī)范檔案管理制度

手工條件下,會計數(shù)據(jù)和信息記錄在紙介質(zhì)的單、證、賬、表上,修改困難,修改會留有明顯痕跡,從而便于查證、控制。實行了電算化會計后, 傳統(tǒng)手工會計系統(tǒng)下的有形記錄大為減少, 憑證、經(jīng)濟業(yè)務(wù)事項的說明和賬簿等大多要依賴計算機方可錄入、閱讀或查詢,而且眾多信息都轉(zhuǎn)化為數(shù)字形式存儲在磁(光)介質(zhì)上,因此極易被篡改甚至偽造而不留任何痕跡。另外,電磁介質(zhì)易受損壞,所以會計信息也存在丟失或毀壞的危險。因此,如何使磁性介質(zhì)上的數(shù)據(jù)安全可靠、防止數(shù)據(jù)被非法修改是一個非常重要的問題。

4、網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)控制能力

網(wǎng)絡(luò)技術(shù)無疑是目前IT發(fā)展的方向,電算化會計信息系統(tǒng)也不可避免受到其深遠的影響,特別是Internet在財務(wù)軟件中的應(yīng)用對電算化會計信息系統(tǒng)的影響將是革命性的。網(wǎng)絡(luò)的廣泛應(yīng)用在很大程度上彌補了單機電算化系統(tǒng)的不足,使電算化會計系統(tǒng)的內(nèi)控制度更加完善。

三、加強事業(yè)單位會計電算化條件下內(nèi)部控制制度的措施

會計電算化系統(tǒng)的內(nèi)部控制是一項范圍大、程序復(fù)雜的系統(tǒng)工程,完善事業(yè)單位會計電算化系統(tǒng)內(nèi)部控制的具體措施主要體現(xiàn)為:

1、加強對會計電算化的重視

  《內(nèi)部會計控制規(guī)范》規(guī)定“單位負責(zé)人對本單位內(nèi)部會計控制的建立健全及有效實施負責(zé)”因此,要保證會計電算化內(nèi)部控制的事實,首要問題就是要求各級領(lǐng)導(dǎo)加強對會計電算化的重視,自覺強化對電算化內(nèi)部控制的認識,更新管理觀念。會計電算化內(nèi)部控制的執(zhí)行程度很大程度上取決于領(lǐng)導(dǎo)層對會計電算化的重視程度。只有領(lǐng)導(dǎo)管理層真正認識和重視會計電算化內(nèi)部控制的重要性,才能夠以身作責(zé),從上到下組織力量去認真貫徹和執(zhí)行,才能充分發(fā)揮會計電算化信息系統(tǒng)內(nèi)部控制作用。

2、會計數(shù)據(jù)準確性控制

首先, 控制數(shù)據(jù)輸入的準確性與可靠性。事 業(yè)單位可以建立起一整套內(nèi)部控制制度以便對輸入的數(shù)據(jù)進行嚴格的控制,保證數(shù)據(jù)輸入的準確性。數(shù)據(jù)輸入控制要求輸入的數(shù)據(jù)應(yīng)經(jīng)過必要的授權(quán),并經(jīng)有關(guān)的內(nèi)部控制部門檢查;同時可以采用各種技術(shù)手段對輸入數(shù)據(jù)的準確性進行校驗,如總數(shù)控制校驗、平衡校驗、數(shù)據(jù)類型校驗、重復(fù)輸入校驗等。

其次,控制輸出數(shù)據(jù)的完整性與準確性。數(shù)據(jù)輸出控制是單位為了保證輸出信息的準確、可靠而采取的各種控制措施,包括輸出數(shù)據(jù)正確性控制與輸出結(jié)果的處理、分發(fā)控制。

3、會計操作系統(tǒng)的安全控制

這項控制是為了保證計算機系統(tǒng)的運行安全, 保證機房設(shè)備的安全, 保證會計數(shù)據(jù)和會計軟件安全保密, 避免由于外部環(huán)境因素導(dǎo)致系統(tǒng)運行錯誤的不安全隱患。其內(nèi)容主要包括接觸控制、實體安全控制、硬件安全控制、軟件安全控制、病毒的防范與控制等。

接觸控制是為了保證非系統(tǒng)維護人員不得接觸到程序的技術(shù)資料、源程序和加密文件,以減少程序被修改的可能性。實體安全控制涉及到計算機機房的環(huán)境、光和磁介質(zhì)等數(shù)據(jù)存儲體的存放和保護。硬件安全控制要求硬件設(shè)備的質(zhì)量必須有充分保證,為防萬一,關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份。

4、會計操作人員的權(quán)限與職能控制

為建立相互監(jiān)督和相互制約的機制保障會計信息的真實、可靠,需要從制度上對操作人員的工作職責(zé)和工作權(quán)限加以規(guī)定, 制訂相應(yīng)的組織和管理控制制度, 明確職責(zé)分工, 加強組織控制, 實現(xiàn)操作人員職能控制制度的創(chuàng)新。會計電算化所要求的完善的人員職能控制制度就是職責(zé)分工。首先是將會計電算化部門與用戶部門的職責(zé)相分離, 明確規(guī)定每個崗位的職責(zé), 以防止對處理過程的不適當(dāng)干預(yù)。

5.加強內(nèi)部審計

內(nèi)部審計通過檢查、評價內(nèi)部控制的健全、有效程度,來促成建立好的控制環(huán)境,它是單位內(nèi)部控制系統(tǒng)的重要組成部分。電算化內(nèi)部審計是內(nèi)部會計控制的一種特殊形式,在會計電算化中,由于是會計人員操作電腦進行大量數(shù)據(jù)運算,因而對內(nèi)部審計提出了更高、更嚴格的要求, 主要包括: 對會計資料定期進行審計, 審查機內(nèi)數(shù)據(jù)與書面資料的一致性, 監(jiān)督數(shù)據(jù)保存方式的安全、合法性以及對系統(tǒng)運行各環(huán)節(jié)進行審查等。加強內(nèi)部審計,可以對不妥或錯誤的賬表處理進行及時調(diào)整, 可以監(jiān)督數(shù)據(jù)保存方式的安全性、合法性, 防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象, 對系統(tǒng)運行各環(huán)節(jié)進行審查, 防止出現(xiàn)漏洞。

6.加強會計隊伍建設(shè)

高素質(zhì)的會計隊伍是實施內(nèi)部控制的關(guān)鍵,會計電算化系統(tǒng)的應(yīng)用不僅要求會計人員具有良好的職業(yè)道德和專業(yè)素質(zhì),更要具有計算機操作技能,嚴格和規(guī)范系統(tǒng)操作,因此需要加強具有扎實的會計專業(yè)基礎(chǔ),熟練的外語與計算機水平等綜合能力的高水平的復(fù)合型人才的培養(yǎng)。會計人員應(yīng)持證上崗,并經(jīng)常對會計人員進行計算機系統(tǒng)培訓(xùn),提高會計人員對電算化系統(tǒng)的認識和理解,了解會計電算化系統(tǒng)運行程序和內(nèi)部控制制度,加強會計電算化警戒教育和日常操作技能,對電算化會計信息樹立良好的思想認識和風(fēng)險防范意識,減少人為操作和系統(tǒng)運行出錯的可能性。

參考文獻:

1、 加強事業(yè)單位會計電算化條件下內(nèi)部控制制度芻議 薛康蓉 沿海單位與科技 2007(8) 129-130

2、 淺談會計電算化條件下的內(nèi)部控制制度。秦華 財會月刊 2006(2)77-78

第7篇

【 關(guān)鍵詞 】 新版ISO27000;軟件行業(yè);信息安全管理體系;PDCA模型

Based on the New ISO27000 to the Understanding of the Software Industry, Information Security

Wen Yan-ge Chen Wen-e Wang Gang

(Tianjin University of Commerce Tianjin 300134)

【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.

【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model

1 引言

如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展,信息資源也日漸成為所有企業(yè)維持正常運轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問題之一。大部分企業(yè)基于企業(yè)實際情況,通過引入國際信息安全管理體系IS027000以及通過最佳的業(yè)務(wù)實踐,建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系(即ISMS),實現(xiàn)對信息安全的預(yù)控、在控、可控、能控。

而隨著2013年的ISO27000的改版,各行各業(yè)勢必會根據(jù)自身信息安全的情況對信息安全體系作出調(diào)整。本文將針對軟件行業(yè)在調(diào)整下的信息安全管理體系下,如何更好地保持和改進信息安全體系作出解讀,使企業(yè)更好地依據(jù)標準體系和方法論,制定出符合企業(yè)長久發(fā)展的信息安全管理體系。

2 ISO標準

2.1 ISO標準及變化

ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎(chǔ)和術(shù)語,ISO/IEC 27000提供了ISMS標準族中所涉及的通用術(shù)語及基本原則,是ISMS標準族中最基礎(chǔ)的標準之一。最新版本于2013年9月25日。

相對于2005版,新版本對于ISMS建立的基礎(chǔ)進行了調(diào)整和明確,相較于2005年版本以資產(chǎn)和技術(shù)為主題,新版標準則把更多的目光投向組織業(yè)務(wù)關(guān)系,更多地考慮到組織自身及利益相關(guān)方的需求,這也是時展的整體趨勢。新版控制措施ISO27002從舊版的11個領(lǐng)域更新為14個領(lǐng)域,刪除了舊版中一些重復(fù)的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領(lǐng)域操作安全和通信安全,足以見新版對這兩個領(lǐng)域的重視;新增密碼學(xué)和供應(yīng)關(guān)系兩個獨立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨立成出來;為了使邏輯性更加嚴謹,人力資源安全、資產(chǎn)管理以及訪問控制位置發(fā)生一定改變;從章節(jié)上講,由8個章節(jié)拓展到10個章節(jié),重新構(gòu)建了ISO標準PDCA的章節(jié)構(gòu)架。

2.2 關(guān)于PDCA模型

此處對于PDCA模型以及新版標準的劃分做一簡單說明:PDCA模式是國際認可的模型,很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架,每個階段都與其他階段相關(guān)聯(lián)。

PDCA模型分別由四部分組成:P(Plan)――建立ISMS, 根據(jù)組織的整體策略和目標,確定活動的計劃,包括第四至七章(組織背景、領(lǐng)導(dǎo)力、計劃、支持);D(Do)――實施和運作ISMS,實際地去完成計劃中的內(nèi)容,包括第八章(運行);C(Check)――監(jiān)視和評審ISMS,總結(jié)實施和運作的結(jié)果,查找問題,包括第九章(績效評價);A(Action)――保持和改進ISMS,對評審的結(jié)果做出處理,成功的經(jīng)驗要進行保持和推廣,失敗的教訓(xùn)要尋找原因,避免下次再出現(xiàn)同樣的錯誤,沒有解決的問題放到下一個PDCA循環(huán)中,包括第十章(改進)。

PDCA模型是管理學(xué)中常用的一個模型。該模型在運作過程中,按照P-D-C-A 的順序依次進行,一次完整的循環(huán)可以看作是管理學(xué)上的一個管理周期,每經(jīng)過一次循環(huán),管理情況就會得到改善,同時進入更高的P-D-C-A周期循環(huán),組織的管理體系不斷的得到提升,管理水平也不斷提高。而這四個步驟成為一個閉環(huán),通過這個環(huán)的不斷運轉(zhuǎn),使信息安全管理體系得到持續(xù)改進,使信息安全績效螺旋上升。

新的內(nèi)容將使企業(yè)的側(cè)重點不同,從上面的論述中明顯可以看出新標準在企業(yè)建立信息安全體系之前加重了對企業(yè)內(nèi)外環(huán)境信息安全的重視,在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀,了解其發(fā)展所面臨的機遇與風(fēng)險,從而高標準、高精度、高要求來對待信息安全管理工作。

對于軟件行業(yè)來說,信息安全體系已初步建立和實施,主要是監(jiān)視評審并持續(xù)改進自身信息安全體系的工作――PDCA模型的C和A。

3 軟件行業(yè)信息安全現(xiàn)狀及新標準變化下應(yīng)對策略

軟件行業(yè)是對信息安全要求最高的行業(yè),也是企業(yè)引入國際信息安全管理體系IS027000通過認證最多的行業(yè)。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實施自己的信息安全體系,面對新版ISO27000的要求,大刀闊斧地重新開始構(gòu)建體系勢必會給企業(yè)帶來大的浪費和困擾。因此,在新的要求下如何監(jiān)視并改進ISMS是軟件行業(yè)中企業(yè)面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環(huán)境的了解,將原來的領(lǐng)導(dǎo)力、可實現(xiàn)信息安全的計劃、資源等的支持都放入構(gòu)建ISMS之前,也就是說軟件行業(yè)在監(jiān)控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面:管理和技術(shù)。企業(yè)需要通過管理和技術(shù)的雙方面進行控制和管理來改善信息安全體系。

3.1 管理角度分析

從管理角度考慮,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理,通過對風(fēng)險的技術(shù)性控制和管理的實施、部署后,在風(fēng)險控制管理中能保證防御大量存在的威脅,技術(shù)性的控制管理手段不僅包括從簡單直至復(fù)雜的各種具體的技術(shù)手段,還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備,這些措施和方式應(yīng)該配套使用,從而保護關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力、第六章計劃、第七章支持對企業(yè)的具體要求。

主要管理措施可以從幾個方面出發(fā)。

(1)建立信息安全管理體系監(jiān)督機制、在體系運行期間,要進行有效的檢查、監(jiān)督、反饋和溝通,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業(yè)務(wù)的需求。

(2)根據(jù)企業(yè)自身的特點,制訂可行的獎懲制度,將信息安全的管理納入到績效考核,直接與工作和獎金掛鉤,將對違反信息安全管理體系規(guī)定進行懲罰。

(3)建立內(nèi)部審核制度,各部門應(yīng)按照信息安全管理體系的要求,進行自查和由負責(zé)部門進行隨時抽查,并在每年定期組織檢查,對表現(xiàn)好的單位給予嘉獎,同時對違反的單位進行懲罰,并進行公示;同時對信息安全審計、安全事件處理和外部組織進行反饋溝通,檢查信息安全管理體系的有效性和合理性。

(4)考慮組織和技術(shù)等的變化對信息安全管理體系的影響,應(yīng)實時更新相關(guān)的規(guī)章制度,具體變化情況如:組織變化、技術(shù)變革、業(yè)務(wù)目標流程的改變、新的威脅和風(fēng)險點的出現(xiàn)、法律法規(guī)的變化等;通過不斷的優(yōu)化和改善,使信息安全管理體系能夠永遠適合企業(yè)業(yè)務(wù)的需要。

3.2 技術(shù)角度分析

新版ISO270002控制措施中新增和調(diào)整了一些措施,涉及信息系統(tǒng)開發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分,這些要求對軟件行業(yè)中企業(yè)的具體實行至關(guān)重要。從技術(shù)角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個方面。

3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全

這是無論舊版控制措施還是新版都沒有絲毫改變的控制項,也是軟件行業(yè)中企業(yè)應(yīng)加強管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上,首先對機房的硬件環(huán)境進行安全管理,包括溫度、濕度、消防、電力等安全管理,對關(guān)鍵的應(yīng)用需要采取UPS供電,同時采取相應(yīng)的備份,對硬件的使用率進行實時地監(jiān)控,避免硬件的使用率過高造成業(yè)務(wù)持續(xù)性的影響,另外需要對硬件的物理環(huán)境進行監(jiān)控,避免非法人員的進入,同時也是對管理員的日常行動進行監(jiān)控,最后需要對機房人員和物品的出入進行權(quán)限的管理和等級制度。

3.2.2操作系統(tǒng)與應(yīng)用程序安全

這是新版控制措施新增的安全開發(fā)策略和系統(tǒng)開發(fā)程序等對企業(yè)新的要求,保證操作系統(tǒng)與應(yīng)用程序的安全會保護企業(yè)在系統(tǒng)開發(fā)和集成工作的安全開發(fā)環(huán)境,使企業(yè)整個開發(fā)周期安全。

(1) 操作系統(tǒng)安全。除了進行必要的補丁和漏洞的管理和更新外,最主要的是進行防病毒管理,通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統(tǒng)的安全影響;應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性,通過硬件、軟件的安全保護來保證應(yīng)用程序的安全。

(2) 密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨立成為一個領(lǐng)域,這就是企業(yè)必須要引起重視的理由,密碼算法技術(shù),密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用,同時接收方能夠完整無誤的解讀發(fā)送者發(fā)送的原始信息。

(3) 安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強的技術(shù)。為減緩供應(yīng)商以及其他用戶訪問企業(yè)資產(chǎn)帶來的風(fēng)險,對于重要的系統(tǒng)和對外的訪問,進行安全的傳輸技術(shù),以此來保證信息在傳輸過程中的安全,避免被非法用戶竊取、篡改和利用。

(4) 安全協(xié)議技術(shù)。主要是指身份認證功能,目前企業(yè)系統(tǒng)的安全保護主要都是依賴于操作系統(tǒng)的安全,這樣入侵系統(tǒng)就非常容易,因此需要建立一套完善的身份認證系統(tǒng),其目的是保證信息系統(tǒng)能確認系統(tǒng)訪問者的真正身份,身份認證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來確認消息發(fā)送方的身份。

(5) 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施,要求企業(yè)識別信息系統(tǒng)可用性的業(yè)務(wù)需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性,應(yīng)該考慮冗余組建或架構(gòu)。在適當(dāng)情況下,對冗余信息系統(tǒng)進行測試,保證在發(fā)生故障時可以從一個組件順利切換到另外一個組件。

4 結(jié)束語

信息安全管理體系的建設(shè)改進工作是持續(xù)進行的,是會隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新、以及新標準的要求等不斷變化的。它需要采用科學(xué)的方法來保證體系的持續(xù)穩(wěn)定運行,從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上,使各行各業(yè)都有了新的指導(dǎo)。本文主要針對軟件行業(yè)做出一定解讀??傮w來講,我們需要對己經(jīng)建立的信息安全管理體系進行監(jiān)督、完善、優(yōu)化,這實際上還是要求企業(yè)貫徹執(zhí)行PDCA模型,無論從管理還是具體操作上不斷進行PDCA循環(huán),才能使得企業(yè)信息安全管理體系不斷改進和優(yōu)化。

參考文獻

[1] 高仁斗.企業(yè)安全工作中存在的問題與對策[J].中國職業(yè)安全衛(wèi)生管理體系認證,2004(05).

[2] 蔣永康,朱冬林,潘豐.我國中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對策[J].管理工程師,2012(06).

[3] 楊愛民.電子商務(wù)安全的現(xiàn)狀及對策探討[J].科技資訊,2006.6.

作者簡介:

文艷閣(1993-),女,山西孝義人,天津商業(yè)大學(xué),本科(在讀)。

第8篇

論文關(guān)鍵詞:金融信息化;信息安全;計算機犯罪

隨著金融信息化的加速,金融信息系統(tǒng)的規(guī)模逐步擴大,金融信息資產(chǎn)的數(shù)量也急劇增加,如何對大量的信息資產(chǎn)進行有效的管理,使不同程度的信息資產(chǎn)都能得到不同級別的安全保護,將是金融信息系統(tǒng)安全管理面臨的大挑戰(zhàn)同時,金融信息化的加速,必然會使金融信息系統(tǒng)與國內(nèi)外公共互聯(lián)網(wǎng)進行互聯(lián),那么,來自公共互聯(lián)網(wǎng)的各類攻擊將對金融信息系統(tǒng)的可用性帶來巨大的威脅和侵害:

一、計算機網(wǎng)絡(luò)安全威脅及表現(xiàn)形式

計算機網(wǎng)絡(luò)具有組成形式多樣性、終端分布廣泛性、網(wǎng)絡(luò)的開放性和互聯(lián)性等特征,這使得網(wǎng)絡(luò)容易受到來自黑客、惡意軟件、病毒等的攻擊

(一)常見的計算機網(wǎng)絡(luò)安全威脅

1.信息泄露:指信息被透漏給非授權(quán)的實體。它破壞了系統(tǒng)的保密性。能夠?qū)е滦畔⑿孤兜耐{有網(wǎng)絡(luò)監(jiān)聽、業(yè)務(wù)流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權(quán)侵弛、物理侵入、病毒、術(shù)馬、后門、流氓軟件、網(wǎng)絡(luò)釣魚等:

2.完整性破壞??梢酝ㄟ^漏洞利用、物理侵犯、授權(quán)侵犯、病毒、木馬、漏洞等方式文現(xiàn)。

3.拒絕服務(wù)攻擊:對信息或資源可以合法地訪問,卻被非法地拒絕或者推遲與時間密切相關(guān)的操作:

4.網(wǎng)絡(luò)濫用:合法剛戶濫用網(wǎng)絡(luò),引入不必要的安全威脅,包括非法外聯(lián)、非法內(nèi)聯(lián)、移動風(fēng)險、設(shè)備濫用、業(yè)務(wù)濫用。

(二)常見的計算機網(wǎng)絡(luò)絡(luò)安全威脅的表現(xiàn)形式

1.竊聽。攻擊者通過監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的手段獲得重要的信息,從而導(dǎo)致網(wǎng)絡(luò)信息的泄密。

2.重傳。攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。

3.篡改。攻擊者對合法用戶之間的通信信息進行修改、刪除、插入,再將偽造的信息發(fā)送給接收者,這就是純粹的信息破壞,這樣的網(wǎng)絡(luò)侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。

4.拒絕服務(wù)攻擊:攻擊者通過某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓,阻止合法用戶獲得服務(wù)。

5.行為否認。通信實體否認已經(jīng)發(fā)生的行為。

6.電子欺騙。通過假冒合法用戶的身份進行網(wǎng)絡(luò)攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的:

7.非授權(quán)訪問。沒有預(yù)先經(jīng)過同意,就使用網(wǎng)絡(luò)或計算機資源

8.傳播病毒。通過網(wǎng)絡(luò)傳播計算機病毒,其破壞性非常高,而且用戶很難防范:

二、金融計算機犯罪的特征和手段

由于計算機網(wǎng)絡(luò)絡(luò)安全威脅的存存,不法分子通過其進行金融犯罪。金融計算機犯罪,已經(jīng)引起我國立法部門的高度重視,在新《刑法》中已將金融計算機犯罪列為重點,第285,286,287條有明文規(guī)定。

(一)銀行系統(tǒng)計算機犯罪的特征:

1.涉案人多為內(nèi)部人員。由于金融業(yè)務(wù)都是通過內(nèi)部計算機網(wǎng)絡(luò)完成的,所以了解金融業(yè)務(wù)流程、熟悉計算機系統(tǒng)運行原理、對金融內(nèi)部控制鏈上存在的漏洞和計算機程序設(shè)計上的缺陷比較清楚的內(nèi)部職員,往往比其他人員更容易了解軟件的“硬傷”,更容易掌握犯罪的“竅門”以達到犯罪的目的。據(jù)有關(guān)部門統(tǒng)計,我國金融系統(tǒng)發(fā)生的計算機犯罪案件,九成以上是內(nèi)部人員或內(nèi)外勾結(jié)作案的。

2.手段隱蔽,痕跡不明顯:計算機犯罪智能化程度高,大多數(shù)犯罪分子熟悉計算機技術(shù),可運用正常的操作規(guī)程,利用合法的賬戶進入金融計算機網(wǎng)絡(luò),篡改計算機源程序或數(shù)據(jù)。這種犯罪短時期內(nèi)不易被發(fā)覺。同時,犯罪分子作案迅速,所留痕跡甚少,隱蔽時間較長,一時不易暴露。

3.犯罪情節(jié)嚴重:犯罪分子突破計算機安全防護系統(tǒng)后,盜竊多少資金完全由犯罪分子任意輸人,動輒十幾萬、上百萬元,行為肆無忌憚,數(shù)目觸目驚心,導(dǎo)致了金融資金的巨大損失。

4.社會危害嚴重。由于金融的特殊地位和其在保持社會穩(wěn)定方面所起的審要作用,一旦發(fā)生計算機犯罪,會帶來一系列的連鎖反應(yīng),引起儲戶的不滿,再加上輿論導(dǎo)向的渲染,有可能造成堪設(shè)想的后果。

(二)銀行系統(tǒng)計箅機犯罪的手段

1.終端機記賬員作案。記賬員利用其直接在終端操作計算機,熟悉記賬過程及賬務(wù)處理過程的作方便,進行犯罪。

2.終端復(fù)核員(包括出納員)作案。終端復(fù)核員利用與記賬員一同辦理終端業(yè)務(wù)的機會,進行犯罪。

3.系統(tǒng)管理員(包括主任、主機管理員)作案。系統(tǒng)管理員借助管理系統(tǒng)的特殊權(quán)限,利用系統(tǒng)正常命令、程序反向錯誤操作作案;自編程序進行作案;修改賬務(wù)及數(shù)據(jù)資料作案;利用系統(tǒng)終端私自記賬、復(fù)核作案;為犯罪分子提供方便。

4.軟件人員作案:軟件人員利用t作之便偽造干旱序及熟悉操作程序,進行作案

5.硬件人員作案硬件人員利用t作之便,進行犯罪作案。

6.行內(nèi)其他人員作案。分理處、儲蓄所的其他人員利用接近計算機業(yè)務(wù)柜的機會,伺機作案:

7.行外人員作案:利用銀行管理中的某些漏洞作案;與行內(nèi)人員相互勾結(jié)作案:

三、金融計算機信息泄密途徑

金融行業(yè)是具備特有的高保密性的行業(yè),然而隨著信息技術(shù)的迅猛發(fā)展與廣泛應(yīng)用,竊密手段更加隱蔽,泄密的隱患增多,泄密所造成的危害程度加大,保密工作面臨許多新情況、新問題。具體而言,金融汁箅機信息泄密的途徑主要有以下幾個方面。

(一)計算機電磁波輻射泄密

計算機設(shè)備工作時輻射出的電磁波,可以借助儀器設(shè)備在一定范圍內(nèi)收到,尤其是利用高靈敏度的儀器可以穩(wěn)定、清晰地看到計算機正在處理的信息。因此,不法分子只要具有相應(yīng)的接收設(shè)備,就可以將電磁波接收,從中竊取秘密信息。

(二)計算機剩磁效應(yīng)泄密

計算機的存儲器分為內(nèi)存儲器和外存儲器兩種。存儲介質(zhì)中的信息被刪除后有時仍會留下可讀信息的痕跡,存有秘密信息的磁盤被重新使用時,很可能被犯罪分子非法利用磁盤剩磁效應(yīng)提取原記錄的信息。比如,計算機出故障時,存有秘密信息的硬盤不經(jīng)處理或無人監(jiān)督就帶修殫,就會造成泄密。此外,在有些信息系統(tǒng)中,刪除文件僅僅只刪掉文件名,原文還原封不動地保留在存儲介質(zhì)中,一旦被利用,就會造成泄密。

(三)計算機聯(lián)網(wǎng)泄密

計算機網(wǎng)絡(luò)化使我們可以充分地享受網(wǎng)上的信息資源,然而聯(lián)網(wǎng)后,計算機泄密的渠道和范圍大大增加,主機與用戶之間、用戶與用戶之間通過線路聯(lián)絡(luò),使其存在許多泄密漏洞。竊密者只要在網(wǎng)絡(luò)中任意一條分支信道上或某一個節(jié)點、終端進行截取,就可以獲得整個網(wǎng)絡(luò)輸送的信息。如果在計算機操作中,入網(wǎng)口令不注意保密和及時更換,入網(wǎng)權(quán)限不嚴密,超級用戶無人艙管,信息傳輸不進行加密處理,局域網(wǎng)和互聯(lián)網(wǎng)沒有做到完全的物理隔離,等等,都有可能使計算機遭到黑客、病毒等的攻擊,導(dǎo)致嚴重的泄密事件發(fā)生。

四、金融計算機網(wǎng)絡(luò)犯罪的成因

(一)防范意識和能力差

不少計算機主管領(lǐng)導(dǎo)和系統(tǒng)管理人員對計算機犯罪的嚴重危害性認識不足,防范意識低,堵截能力差,同時,計算機安全組織不健全,安全教育不到位,沒有彤成強有力的安全抵御防線。這些是導(dǎo)致計算機犯罪案件發(fā)生的重要原因:

(二)內(nèi)控機制不完善,管理制度不落實

主管部門對計算機安全檢查不到位,監(jiān)督檢查不力,不能及時發(fā)現(xiàn)和堵塞安全漏洞;不少單位在系統(tǒng)開發(fā)運行過程中,缺乏有效的內(nèi)部制約機制。

(三)現(xiàn)代管理手段滯后

金融電子化項目從立項、開發(fā),到驗收、運行等各環(huán)節(jié)沒有形成一套完整、科學(xué)的安全防范體系,從而使犯罪分子有機會利用計算機進行作案。

(四)密級不分,人人都是“千手觀音”

通過案發(fā)后,案件偵破時,案發(fā)單位員工都是懷疑對象這點,更反映出金融系統(tǒng)計算機管理的薄弱環(huán)節(jié)。只要是工作人員,都能輕車熟路進入計算機系統(tǒng)進行操作。而且使用的密碼和程序簡單易猜,造成人人都能使用,致使現(xiàn)問題后不能鎖定固定知情人。

五、金融計算機犯罪的防范措施

(一)制度保障

一定要根據(jù)本單位的實際情況和所采用的技術(shù)條件,參照有關(guān)的法規(guī)、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度,主要包括操作安全管理制度、場地與實施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫安全管理制度、計算機網(wǎng)絡(luò)安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。

制度的建立切忌流于形式,重要的是落實和監(jiān)督。尤其是在一些細小的環(huán)節(jié)上更要注意,如系統(tǒng)管理員應(yīng)定期及時審查系統(tǒng)日志和記錄;重要崗位人員調(diào)離時,應(yīng)進行注銷,并更換業(yè)務(wù)系統(tǒng)的口令和密鑰,移交全部技術(shù)資料,但不少人往往忽視執(zhí)行這一措施的及時性;又如防病毒制度規(guī)定,要使用國家有關(guān)主管部門批準的正版查毒殺毒軟件適時查毒殺毒,而不少人仍使用盜版殺毒軟件,使計算機查殺病毒時又染上了其他病毒。

(二)技術(shù)保障

1.減少輻射:為了防止電磁波輻射泄密,在選購計算機產(chǎn)品時,要使用低輻射計算機設(shè)備。根據(jù)輻射量的大小和客觀環(huán)境,對計算機機房或主機內(nèi)部件加以屏蔽,在專用的計算機上安裝微機視頻保護機等設(shè)施,并采取一定的技術(shù)措施,對計算機的輻射信號進行十?dāng)_,增加接收還原解讀的難度,保護計算機輻射的秘密信息。

2.物理隔離:涉及國家秘密的計算機信息系統(tǒng),不得直接或間接地與圍際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實行物理隔離。與外部網(wǎng)相連的計算機不得存儲、處理和傳遞內(nèi)部信息,在互聯(lián)網(wǎng)上提取的信息也必須經(jīng)殺毒處理后再接入局域網(wǎng)內(nèi)供內(nèi)部使用。

3.加強存儲介質(zhì)管理。對涉密信息進行清除處理時所采用的信息清除技術(shù)、設(shè)備和措施,應(yīng)符合國家相關(guān)保密規(guī)定。使用u盤時應(yīng)注意修改計算機系統(tǒng)中的注冊表,將系統(tǒng)各個磁盤的自動運行功能禁止;使用u盤進行數(shù)據(jù)文件存儲和拷貝時,打開計算機系統(tǒng)巾防病毒軟件的“實時監(jiān)控”功能,避免病毒文件入侵感染,同時打開“文件夾”選項中“隱藏受保護的操作系統(tǒng)文件”選項,并選擇“顯示所有文件和文件夾”選項,以便u盤被感染后能及時發(fā)現(xiàn)病毒;外來u盤接人計算機系統(tǒng)時,切勿雙擊打開,一定要先經(jīng)過殺毒處理,或是采用具有u盤病毒免疫功能的殺毒軟件查殺后,再接入計算機系統(tǒng),同時關(guān)閉“自動播放”功能。

4.?dāng)?shù)據(jù)加密。在軟件方面,應(yīng)加大在開發(fā)過程中加密軟件的開發(fā)投入,對重點涉密的應(yīng)用軟件,加密設(shè)計要達到網(wǎng)絡(luò)級水平,從而最大限度地保證信息的全與保密。對涉密信息要做到加密保存,對存儲有涉密信息的計算機要設(shè)置開機密碼、屏保密碼等。

5.設(shè)置權(quán)限。將內(nèi)部計算機維護權(quán)限與操作權(quán)限、數(shù)據(jù)權(quán)限分開,對不同的操作人員設(shè)置等級不同的權(quán)限,根據(jù)實際權(quán)限來分配查閱、修改文件內(nèi)容等業(yè)務(wù)范圍。

(三)管理保障

1.提高安全管理意識。一是要加強對“物”的管理。對錄有秘密文件的硬盤、軟盤,要明確標示密級標志和編號,執(zhí)行統(tǒng)一的登記和銷毀制度;對涉密較多的場所如打字室、機要室要設(shè)立相應(yīng)的保密控制區(qū),明確專人負責(zé)維護與保障;嚴格執(zhí)行“上網(wǎng)信息不涉密、涉密信息不上網(wǎng)”的規(guī)定,明確專人負責(zé)信息的審查與審核。二是要加強對人的管理。要抓好涉密人員的選配和日常的考察,做到不合格的人員堅決不用;對有問題的人員要及時處理,嚴明紀律。

2.加大安全管理力度。金融系統(tǒng)各級領(lǐng)導(dǎo)要充分認識到計算機犯罪對金融信譽和資金的危害,認真部署計算機安全防范工作,提高系統(tǒng)、網(wǎng)絡(luò)的管理能力;強化系統(tǒng)開發(fā)、管理、操作人員的政治思想和安全教育,嚴格要害崗位人員的審查和管理。

第9篇

[關(guān)鍵詞]信息安全 項目 教學(xué)改革

[中圖分類號] G642 [文獻標識碼] A [文章編號] 2095-3437(2013)09-0009-03

一、引言

積極為地方經(jīng)濟服務(wù),在服務(wù)中求生存與發(fā)展,對于地方高校,特別是新建本科院校的生存和發(fā)展,具有很強的現(xiàn)實意義。例如,梧州學(xué)院的辦學(xué)目標是成為廣西與粵港澳科技文化教育交流與合作的橋梁,成為一所適應(yīng)梧州市和泛珠三角經(jīng)濟區(qū)、中國-東盟自由貿(mào)易區(qū)支柱產(chǎn)業(yè)發(fā)展需要,特色和優(yōu)勢鮮明,充滿活力的綜合性、實用性本科院校。因此,在人才的知識結(jié)構(gòu)和能力體系培養(yǎng)方面,應(yīng)強調(diào)培養(yǎng)理論基礎(chǔ)扎實、知識結(jié)構(gòu)合理、動手能力強、具有創(chuàng)新精神的應(yīng)用型人才。

二、梧州學(xué)院2012年大學(xué)生學(xué)風(fēng)建設(shè)的調(diào)研對實踐教學(xué)改革的啟示

2012年10月-11月,學(xué)生工作部共發(fā)放問卷1200份,回收有效問卷1084份,問卷回收率為90.33%。其中,學(xué)生代表共753人,包括本科、???,覆蓋一、二、三、四年級,每個年級所發(fā)數(shù)目均等。問卷的主要內(nèi)容是學(xué)習(xí)狀態(tài)、學(xué)習(xí)動力、學(xué)習(xí)困難、學(xué)習(xí)習(xí)慣、讀書、自習(xí)、學(xué)風(fēng)中需要改進的問題。其中與實踐教學(xué)有關(guān)的調(diào)研結(jié)果如下:

(一)你認為我校學(xué)風(fēng)方面目前存在的最主要的問題是(多選)

A.缺乏學(xué)習(xí)動力,厭學(xué),為考試而學(xué)。(選擇A項的占總數(shù)的45.95%)

B.沒有學(xué)習(xí)、學(xué)術(shù)氣氛。(選擇B項的占總數(shù)的26.56%)

C.迷戀上網(wǎng)游戲。(選擇C項的占總數(shù)的8.63%)

D.學(xué)習(xí)紀律意識差,遲到曠課現(xiàn)象嚴重。(選擇D項的占總數(shù)的11.42%)

E.浮躁不踏實,考試突擊。(選擇E項的占總數(shù)的9.56%)

F.滿于現(xiàn)狀,進取心不強。(選擇F項的占總數(shù)的8.23%)

G.創(chuàng)新性不強,缺乏實踐能力。(選擇G項的占總數(shù)的15.14%)

H.考試作弊。(選擇H項的占總數(shù)的5.71%)

I.其他(為文字填充項)。(選擇I項的占總數(shù)的3.19%)

(二)你認為目前學(xué)習(xí)中最大的問題(此項為多選)

A.不喜歡所學(xué)專業(yè),負擔(dān)太重。(選擇A項的占總數(shù)的13.15%)

B.學(xué)習(xí)方法不科學(xué),效率不高。(選擇B項的占總數(shù)的30.68%)

C.所學(xué)內(nèi)容過于枯燥、陳舊,學(xué)習(xí)興趣不濃。(選擇C項的占總數(shù)的20.19%)

D.只掌握了書本知識、缺乏實踐能力。(選擇D項的占總數(shù)的28.82%)

E.沒有明確目標,很迷茫,不知道未來在哪里。(選擇E項的占總數(shù)的18.33%)

從結(jié)果中可以看到,為考試而學(xué)、缺乏學(xué)習(xí)氣氛、缺乏實踐能力會極大影響學(xué)生的學(xué)習(xí)積極性。而學(xué)習(xí)方法不科學(xué)、學(xué)習(xí)內(nèi)容枯燥、缺乏實踐能力是目前學(xué)習(xí)中遇到的主要問題。所以,在信息安全專業(yè)教學(xué)中,提高信息安全實踐性教學(xué)比例,加強培養(yǎng)學(xué)生的實踐動手能力,對專業(yè)教學(xué)效果的提升會有明顯作用。

三、地方高校信息安全專業(yè)實踐教學(xué)需要解決的關(guān)鍵問題

(一)實踐教學(xué)基礎(chǔ)較為薄弱

對信息安全專業(yè)實踐教學(xué)要求認知不足,早期教學(xué)計劃中實踐環(huán)節(jié)內(nèi)容覆蓋不夠全面,多數(shù)信息安全實踐教學(xué)依托軟件工程等傳統(tǒng)的計算機專業(yè)教學(xué)環(huán)境。例如開設(shè)匯編語言、Java語言等課程時有相應(yīng)的實驗教學(xué)。而在網(wǎng)絡(luò)安全編程、入侵檢測、專業(yè)安全防御軟件實踐能力培養(yǎng)方面的實踐性教學(xué)比例偏低。另外,受實驗設(shè)備等客觀條件限制,信息安全硬件開發(fā)設(shè)計方面的教學(xué)在地方高校中缺少實踐教學(xué)環(huán)節(jié);對常用網(wǎng)絡(luò)安全設(shè)備安裝與配置等網(wǎng)絡(luò)安全實踐教學(xué),也由于缺少專門的信息安全設(shè)備很難進行。

(二)實驗室教學(xué)人員和任課教師需要提高專業(yè)技術(shù)水平

在地方高校由于缺乏足夠的培訓(xùn)和對外交流,以及對實驗室教學(xué)人員在高校中的地位和作用缺乏足夠認識,一般實驗室教學(xué)人員不具備實踐教學(xué)所需的管理能力,工作積極性也不高,對特殊實驗中使用的儀器設(shè)備了解很少,無法對實驗設(shè)備進行有效管理和充分利用,比如某些病毒、木馬實驗根本無法完成。實驗室教學(xué)人員要課前與任課教師做好充分溝通與測試評估,做好實驗環(huán)境規(guī)劃與安全防范措施。

(三)缺少實驗儀器設(shè)備以及未能對現(xiàn)有設(shè)備有效維護

梧州學(xué)院計算機教學(xué)實驗室配置的主要設(shè)備有臺式電腦、曙光服務(wù)器等。隨著信息安全技術(shù)的快速發(fā)展,對信息安全專業(yè)實踐教學(xué)要求的不斷提升,需要更復(fù)雜的軟硬件環(huán)境,不僅需要計算機、三層交換機、二層高性能交換機、路由器等網(wǎng)絡(luò)平臺設(shè)施,還需要防火墻、IDS等在實際商用環(huán)境中常見的專用信息安全設(shè)備系統(tǒng)。而作為地方高校的財力投入,未能一步到位購置最新的完整軟硬件實踐教學(xué)平臺是正常情況,這對培養(yǎng)應(yīng)用型人才有一定制約作用。另外在設(shè)備出現(xiàn)故障時,經(jīng)常遇到本地設(shè)備提供商快速響應(yīng)能力不足、維修技術(shù)有限,導(dǎo)致售后不能進行及時有效的維修,造成一些精密儀器設(shè)備破損。

(四)實踐教學(xué)體系不夠完善

早期制定的信息安全專業(yè)培養(yǎng)計劃側(cè)重于理論教學(xué),實踐教學(xué)的內(nèi)容是作為理論教學(xué)的輔助和補充,沒有結(jié)合自身辦學(xué)特點建立有針對性的信息安全專業(yè)實踐教學(xué)體系。實踐教學(xué)內(nèi)容只是單一地圍繞課程知識點進行驗證性實驗,缺少專門的實驗課程和增強性的實踐環(huán)節(jié)。由于實驗內(nèi)容偏重于驗證,結(jié)論已知,學(xué)生只是按照課本所示得到最終結(jié)果,沒有自主發(fā)揮的地方,造成學(xué)生的學(xué)習(xí)興趣下降,容易敷衍完成。這樣的實踐教學(xué)不容易培養(yǎng)學(xué)生的創(chuàng)新能力、動手能力和解決實際問題的能力,缺乏師生之間的互動,不利于教師了解教學(xué)效果,改進教學(xué)方法。

四、依托科研項目建立科學(xué)合理的信息安全專業(yè)實踐教學(xué)體系

在信息安全本科專業(yè)應(yīng)用型人才培養(yǎng)中,強調(diào)理論與實踐的結(jié)合,要求培養(yǎng)的人才具有寬闊的知識面、較強的實踐動手能力、快速的知識更新能力。[5]因此,基于實踐能力培養(yǎng)的規(guī)律性,按強化基礎(chǔ)、循序漸進、重視創(chuàng)新的原則,根據(jù)梧州學(xué)院人才培養(yǎng)目標是為地方經(jīng)濟建設(shè)培養(yǎng)高級應(yīng)用型人才的特點,依托學(xué)院與政府部門和企事業(yè)單位簽訂的大量科技開發(fā)項目,我們研究探索了依托科研項目來建設(shè)信息安全專業(yè)實踐教學(xué)體系。主要包含以下三個部分。

(一)項目團隊建設(shè)與實驗室建設(shè)并重

2010年以來信息安全專業(yè)分別引進博士,從中國移動公司引進有豐富實踐經(jīng)驗的高級工程師,參與實踐教學(xué)環(huán)節(jié),充實了實踐教學(xué)的一線教師隊伍。

同時,學(xué)院還設(shè)立網(wǎng)絡(luò)與信息安全研究所,給予一定啟動經(jīng)費,資助年輕教師依托各級科研項目和本地科技開發(fā)項目鍛煉團隊,有效提升了教師隊伍解決實際問題,進行科技攻關(guān)的能力,為實踐教學(xué)提供很多真實案例和經(jīng)驗。而且在項目開發(fā)過程當(dāng)中,需要針對客戶需要,構(gòu)建出各種適合業(yè)務(wù)要求的網(wǎng)絡(luò)與硬件測試運營環(huán)境,通過溝通,實驗室教學(xué)人員從中可得到很好的綜合型實驗思路,有效完成對相關(guān)知識的更新,進一步推動了實驗室教員自身素質(zhì)的提高。

(二)課程實驗與項目產(chǎn)品研發(fā)配合

基本課程實驗依據(jù)具體課程設(shè)立,要求學(xué)生必須完成。綜合實驗面向高年級本科生開設(shè),需要綜合運用多門專業(yè)課知識。部分綜合實驗由任課教師融入項目產(chǎn)品的測試環(huán)節(jié),將產(chǎn)品測試流程、測試技術(shù)與測試工具使用說明編入實踐教學(xué)內(nèi)容,利用教學(xué)實驗平臺,鍛煉學(xué)生的專業(yè)實踐能力,讓學(xué)生實際參與項目產(chǎn)品的測試。

為了滿足信息安全專業(yè)實踐教學(xué)工作需求,要建立信息安全實驗環(huán)境??紤]到應(yīng)該優(yōu)先利用現(xiàn)有硬件條件,在學(xué)院網(wǎng)絡(luò)中心進行服務(wù)器虛擬化操作,建立集中且易于管理的資源池給原來分散的學(xué)院各個業(yè)務(wù)系統(tǒng)使用,然后把剩余的服務(wù)器,跟軟件實驗室組成封閉的網(wǎng)絡(luò)。因為網(wǎng)絡(luò)信息安全專業(yè)課程實驗具有一定破壞性,建立封閉的實驗環(huán)境很有必要,這樣實驗時不會對其他網(wǎng)絡(luò)系統(tǒng)帶來影響。信息安全實驗環(huán)境所需要的軟件平臺,學(xué)院給予教學(xué)改革項目立項,由專業(yè)課程任課教師承擔(dān),根據(jù)專業(yè)課程要求,指導(dǎo)學(xué)生開發(fā)各門課程的實驗軟件,這個過程能夠加強學(xué)生理解專業(yè)知識。利用上述方法建成的信息安全專業(yè)基礎(chǔ)實驗平臺,主要承擔(dān)密碼學(xué)、入侵檢測技術(shù)、計算機病毒原理等課程中的基礎(chǔ)驗證項目,如密碼學(xué)實驗中的DES、AES、RSA密碼、數(shù)字簽名、計算機文件加密、通信加密等實驗項目,計算機病毒原理及軟件安全實驗中的軟件漏洞機理分析、軟件漏洞利用實例分析、安全防護工具分析等實驗項目。

(三)推進項目研發(fā)成果產(chǎn)業(yè)化與本地網(wǎng)絡(luò)安全服務(wù)外包

為了培養(yǎng)學(xué)生的實踐能力和創(chuàng)新意識,利用學(xué)過的知識及積累經(jīng)驗,針對各級業(yè)余科研項目、校內(nèi)外科研競賽項目、校外實踐基地項目、信息安全應(yīng)用領(lǐng)域科研子課題,鼓勵學(xué)生以團隊方式提出有創(chuàng)意的設(shè)計方案并加以實現(xiàn),從而提高實踐創(chuàng)新能力,培養(yǎng)團隊合作與協(xié)作能力。這些項目研發(fā)成果的產(chǎn)業(yè)化過程,為學(xué)生自主創(chuàng)業(yè)提供了動力。

除了利用各級科研項目,學(xué)生還能依靠梧州學(xué)院校內(nèi)實踐平臺――大學(xué)生綜合發(fā)展中心,通過課程體系、模訓(xùn)體系、實踐體系和行動體系進行教育實踐活動,承接本地企事業(yè)單位的網(wǎng)絡(luò)安全服務(wù)外包項目,在實踐中得到更大的成長空間。

五、結(jié)束語

針對學(xué)院信息安全專業(yè)實踐教學(xué)方面存在的不足之處,通過將項目團隊建設(shè)與實驗室建設(shè)并重,課程實驗與項目產(chǎn)品研發(fā)配合,推進項目研發(fā)成果產(chǎn)業(yè)化與本地網(wǎng)絡(luò)安全服務(wù)外包等措施,推動為項目服務(wù)的實踐教學(xué)改革,提高信息安全專業(yè)實踐性教學(xué)比例。

[ 參 考 文 獻 ]

[1] 顧純祥,徐洪,鄭永輝.信息安全專業(yè)實踐教學(xué)方法探討[J].Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security,2011,(1).

[2] 王小軍,劉順蘭,黃騫儒.信息安全專業(yè)實踐教學(xué)體系的構(gòu)建與探索[J].杭州電子科技大學(xué)學(xué)報(社會科學(xué)版),

2011,(7):66-68

[3] 延霞,關(guān)于高職信息安全技術(shù)專業(yè)實踐教學(xué)體系建設(shè)的思考[J].職業(yè)教育研究,2011,(10):116-117

相關(guān)期刊