時間:2022-08-01 11:44:47
序論:寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感,挖掘那些隱藏在內心深處的真相,好投稿為您帶來了七篇信息安全論文范文,愿它們成為您寫作過程中的靈感催化劑,助力您的創作。
1.論信息安全、網絡安全、網絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業的實證研究
7.“棱鏡”折射下的網絡信息安全挑戰及其戰略思考
8.再論信息安全、網絡安全、網絡空間安全
9.“云計算”時代的法律意義及網絡信息安全法律對策研究
10.計算機網絡信息安全及其防護對策
11.網絡信息安全防范與Web數據挖掘技術的整合研究
12.現代信息技術環境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養的培養
15.國民信息安全素養評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數據信息安全風險框架及應對策略研究
18.信息安全學科體系結構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統信息安全研究綜述
26.美國電力行業信息安全工作現狀與特點分析
27.國家信息安全協同治理:美國的經驗與啟示
28.論大數據時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業控制系統信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網絡中用戶個人信息安全保護研究
33.信息安全與網絡社會法律治理:空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網融合下的信息安全問題
35.云計算環境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網絡信息安全技術
38.云計算時代的數字圖書館信息安全思考
39.“互聯網+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網絡的信息安全體系結構
43.用戶信息安全行為研究述評
44.數字化校園信息安全立體防御體系的探索與實踐
45.大數據時代面臨的信息安全機遇和挑戰
46.企業信息化建設中的信息安全問題
47.基于管理因素的企業信息安全事故分析
48.借鑒國際經驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網絡信息安全合作的國際規則制定
51.國外依法保障網絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業的人才培養與課程體系
59.美國電力行業信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰與策略
62.工業控制系統信息安全新趨勢
63.基于MOOC理念的網絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業群體間信息安全知識共享的演化博弈分析
66.智能電網信息安全及其對電力系統生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網絡信息安全問題及解決方案
73.國內信息安全研究發展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網絡與系統信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網絡信息安全現狀
80.大學生信息安全素養分析與形成
81.車聯網環境下車載電控系統信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調節效應
83.信息安全管理領域研究現狀的統計分析與評價
84.網絡信息安全及網絡立法探討
85.神經網絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產業與信息安全經濟分析
90.信息安全政策體系構建研究
91.智能電網物聯網技術架構及信息安全防護體系研究
92.我國網絡信息安全立法研究
93.電力信息安全的監控與分析
94.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望
95.情報素養:信息安全理論的核心要素
96.信息安全的發展綜述研究
97.俄羅斯聯邦信息安全立法體系及對我國的啟示
98.國家信息安全戰略的思考
1.1高校信息安全的概念
目前,信息安全并沒有明確的定義。ISO/IEC17799中將信息安全定義為:通過實施一組控制而達到的、包括策略、措施、過程、組織結構及軟件功能,是對機密性、完整性和可用性保護的一種特性。美國對信息安全的定義是:對信息、系統以及使用、存儲和傳輸信息的硬件的保護。美國從技術和管理兩個角度出發,將信息安全概括為信息環境安全、信息數據安全、信息程序安全、信息運行系統安全四個方面。沈昌祥院士將信息安全定義為:“保護信息和信息系統不被未經授權的訪問、使用、泄露、修改和破壞,為信息和信息系統提供保密性、完整性、可用性、可控性和不可否認性。”我國關于信息安全的定義基本上從技術和管理角度提出(主要指信息系統安全)。在本文中,筆者將高校信息安全界定為:高校信息安全是指確保涵蓋信息處理系統的安全、信息自身的安全和信息利用安全在內的,從電腦硬件安全、處理系統運行安全、信息數據安全、信息內容本身安全四個維度出發,對具有機密性、完整性和可用性的高校信息保護的一種特性。
1.2高校信息安全的內容
通過上文對高校信息安全概念的界定,筆者認為高校信息安全主要內容歸納為以下四個方面:一是從物理安全維度看,主要是校園網絡內運行的硬件設備的安全。涉及的是動力安全、設備安全、電磁安全、環境安全等;二是從運行安全維度看,主要涉及網絡系統的可控性、可用性、可信賴性等,即保障信息系統不被篡改、破壞或不被非法操作等;三是從數據安全維度看,保障校園網絡中流通數據的安全,既網絡中的數據不被篡改、非法增刪、復制、解密、盜用等;四是從內容安全維度看,是對信息本身內容真實性的鑒定、隱藏信息的發現以及對信息的選擇性阻斷。其中物理安全和運行安全是信息安全的基礎。
1.3高校信息風險表現及信息安全保障之必要性
高校信息風險主要表現為:一是高校“信息風險人群”比例遠高于國內其他行業“風險人群”。據360安全中心的《2013年第一季度中國個人電腦網上安全報告》顯示,國內高校“風險人群”比例為28.7%。比全國“風險人群”的25.8%高近3個百分點。二是高校引發信息安全的因素種類繁多。除自然因素外,如計算機病毒、黑客、釣魚網站、非法入侵盜號、系統的漏洞、人為操作等。三是高校的私有機密信息如學校公共數據、師生的個人信息、財務信息、檔案信息、設備資產信息、教務信息等重要數據容易泄露或被非法竊取。針對高校信息風險表現,積極探索高校信息安全保障策略具有重大意義。一是有利于提高高校信息安全管理整體意識;二是有助于制定行之有效的信息安全管理制度,三是能促進高校信息安全保障機制的不斷完善,有效推進高校信息化進程;四是是能提高師生信息安全意識,促進我國信息安全專業人才的培養。
2高校信息安全風險分析
信息風險分析是一種主動識別信息風險的過程。筆者分別采用定性分析、定量分析、定性和定量相結合的方法對高?,F實信息系統的實際情況做了調查研究、結合學校信息泄露案例進行分析,從共性上看,認為信息安全風險因素可以歸納為以下幾類。
2.1高校信息安全保護機制普遍存在認識不足,防護不夠的現象
首先,高校網絡系統使用人員信息安全意識淡薄。主要表現為大學生對信息安全缺乏足夠的重視,高校沒有成型的大學生信息安全教育模式,對大學生進行信息安全教育處于形式。高校對大學生的信息安全教育不夠重視,嚴重滯后于信息技術的發展。大學生對學校信息安全缺乏正確認識,對相關信息安全法律法規缺乏了解,信息安全意識淡薄。作為系統使用人員的教師,由于缺乏必要的信息安全知識和信息技術,對信息安全防護漠不關心,片面的以為學校信息安全屬于專業技術人員,于己無關。其次,高校信息管理人員安全意識淡薄。對于缺乏信息安全教育專業培訓的技術管理人員來說,他們缺乏“防黑防毒”意識,對于來自外部或內部的惡意攻擊缺乏警惕性,缺乏積極防御、保障信息安全的主動性。再次,高校信息安全專業人才的培養尚處于起步階段,高校貧缺專業信息安全管理人才。由于缺乏專業信息安全人才的專業指導,導致高校信息安全建設缺乏系統規劃和整體布局,對信息風險認識不夠,分析不徹底,所制定的信息保障策略存在漏洞。最后,對信息系統安全漏洞未能及時、定期修復。安全漏洞是指在網絡系統硬件、軟件、協議和系統安全策略存在的缺陷和錯誤。攻擊者就是通過研究這些漏洞向高校的信息系統傳播病毒,或者人為控制計算機系統。管理者只有及時修復這些漏洞,才可以確保信息安全。
2.2高校信息安全制度不健全,存在信息安全管理漏洞
雖然高校信息化普及很快,但大部分高校對信息安全在監督和管理上都存在著漏洞。高校在信息安全管理上缺乏健全的制度,高校內部管理相對松散,已有的制度大多數是趨于形式的要求而設立,沒有嚴格的監督檢查機制,甚至連信息安全領導小組都未成立,對突發的信息安全問題缺乏應急處置預案,出現頭痛醫頭,腳痛醫腳的忙亂應對現象。據初步統計,大部分的信息安全問題是由于管理疏忽或者管理不善造成的,因此,從管理角度加強信息管理,是能夠有效保障信息安全的。
2.3高校信息安全投入不足,安全保障設施不健全
目前高校數字化建設已經取得一定成績,數字化教學、管理、服務基本普及。但在管理和保障信息安全的設備上投入資金十分有限。首先因為用于保障信息安全設備成本較高,而信息風險的不確定性導致信息安全本身又不被領導充分重視,大部分高校安全保障配套設施陳舊;其次伴隨高校擴張,大部分高校網絡缺乏戰略發展規劃,網絡邊界設備之間缺乏有效的聯動,網絡拓撲結構不合理,內網和外網在數據交換及數據流轉方面存在不安全因素;最后為節約網絡運行成本,學校采取與網絡營銷商合作的方式來減少學校網絡運行維護人員,忽視對網絡安全維護方面的投入。
2.4高校缺乏對BYOD、云計算和大數據安全問題應對方案
由于在智能手機、平板電腦、超極本的智能終端使用某些應用比在PC上操作方式更簡單快捷,2013年移動辦公設備的信息安全問題成為安全信息的新問題。調查顯示,高?;旧线€沒有制定相關的BYOD安全管理政策,以具體規定師生員工如何在學習工作場所中使用自己的移動。如何在確保信息安全的情況下更好的利用BYOD帶來好處成為高校信息安全風險分析的重要任務。高校在云計算信息安全方面專注于保護云計算主機站點的數據安全,對從移動終端訪問云數據的用戶安全重視不夠,他們經常面臨數據泄露、數據丟失、賬戶劫持、不安全的API、拒絕服務攻擊、內部人員的惡意操作、云計算服務的濫用、云服務規劃不合理、共享技術的漏洞等問題。
3高校信息安全保障策略
建立高效、協調、集成的數字化辦公系統是長春理工大學成為綜合性、研究型、開放式的國內一流大學的信息化保障,如何保障信息安全便成為建設數字化辦公系統需要面對的首要問題。
3.1加強信息安全知識教育和技能培訓,從信息主體層面增強網絡安全防護
為從根本上增強網絡安全防護,長春理工大學采取了一系列措施提高網絡信息主體——師生的信息安全防范意識和防范技能。一是加強國內外信息安全法律法規教育,增強師生信息安全法律意識。如:長春理工大學定期組織管理員、信息源接入人員、廣大師生學習《計算機信息網絡國際互聯網安全保護管理辦法》、《網絡安全管理制度》及《信息審核、登記制度》等國內外信息安全法律法規教育,普及信息安全知識,提高師生安全保密素質,讓師生明確維護信息安全的重要性和維護信息安全人人有責,充分發揮師生在信息安全維護中的主體作用。二是對師生進行信息安全技術培訓,提高師生信息安全防御技能。信息安全技術培訓主要是針對師生的實際需求,開展計算機應用和網絡運用技能的培訓,培養學生基本的網絡防御技能。長春理工大學多年來一直堅持定期邀請專職技術人員對學校師生進行信息安全技術培訓。如電腦操作系統定期更新,及時修補電腦安全漏洞,辨別不良網站等知識,讓師生學會日常的安全操作和系統維護。
3.2堅持校園網硬件投入和有效信息技術的充分融合,確保網絡運行安全
首先,建立完整的校園網絡病毒防御體系。一是安裝正版殺毒軟件。如:長春理工大學將正版的殺毒軟件掛在學校的信息中心網站上,讓學校教師免費使用正版殺毒軟件,通過利用正版殺毒軟件定期掃描殺毒,及時修復系統漏洞,遇到問題及時向軟件開發商發送錯誤報告并進行分析,定期升級防毒軟件、更新病毒庫等,有效保障了學校電腦的安全運行。二是詳細設置防火墻防范策略。對操作系統的端口配置嚴格把關,必須及時做到開放該開放的,關閉不需要的端口。對外提供網絡服務的服務器。把必須利用的端口開放,其他的端口必須全部關閉。三是安裝與配置IDS入侵檢測系統。入侵檢測系統主要監控內部網絡操作行為及多種攻擊,是檢測防火墻過濾后的隱匿攻擊。四是安裝漏洞掃描系統。如:長春理工大學為每位教工電腦安裝漏洞掃描系統,采用主動探測的方式快速獲取目標設備的脆弱點,從而協助系統操作人員對目標系統建立風險快照。分別采用ping掃描、端口掃描、OS探測、脆弱點探測等技術對指定的遠程或本地的計算機系統的安全威脅進行定期掃描檢測,及時修補各種漏洞。其次,以防內為主,內外兼防為輔,確保信息終端平臺的可信賴性。安全終端平臺的建設依靠密碼服務和安全操作系統支持。一是確保終端平臺用戶的合法性,用戶只能根據規定的權限和控制規則進行操作;二是采用身份認證、訪問控制、密碼加密等措施,構建計算機系統應用環境安全,如:長春理工大學教師采用一卡通的上網卡號進行身份認證;三是建立提供認證、授權、檢測、應急和處理非法訪問服務的信息安全管理中心,提供互聯互通的密碼配置,公鑰證書等密碼服務措施。具體保障措施如下:選用LOTUSNOTES/DOMINO作為辦公自動化系統的主要開發平臺。(1)數據加密。包括使用秘鑰對電子郵件文檔加密;網絡端口級加密;使用SSL對在INTERNET客戶機和DOMINO服務器間或在NOTES工作站和INTERNET服務器間傳送的住處進行加密;域、文檔和數據庫加密。(2)NOTES的數字簽名,身份認證包括NOTES工作站與DOMINO服務器之間的認證以及客戶端與mMmo服務器之間的認證。(3)NOTES還允許用戶通過建立群組的角色的方式來規劃NOTES數據庫的訪問安全性。(4)利用雙網卡主機技術實現辦公網絡安全隔離。(5)引入第三方的公鑰基礎結構(PK),進一步改善網絡系統的安全性。
3.3建構多重信息安全管理渠道,加強信息安全運行的制度保障
首先,設置層次明晰,職能合理的信息安全管理機構。依照“預防為主,綜合治理”、“制度防范和技術防范相結合”的原則,信息安全管理實行三級管理機制,由領導決策并負監督,中層干部管理,基層操作者具體執行。以長春理工大學為例,近年來學校建立了信息安全管理的三級管理機制,成立了專門的信息中心,處級單位,配備具有專業知識的工作人員,由一名副校長分管學校信息安全工作,中層領導分管本部門的信息安全工作,基層建立兼職信息員隊伍,具體負責本部門的信息安全工作,使得信息安全工作層層落實。同時學校還制定了具體的組織體系和信息安全工作職責,厘清三級體制下各級各部門的具體職責;制定了《長春理工大學信息員管理辦法》,詳細規定各信息安全崗位人員管理考核辦法,使信息安全工作落到實處。其次,建立常規管理制度、應急處理和定期評估制度。一是針對信息安全具有復雜性、動態性和突發性強的特點,制定常規化信息管理制度。如長春理工大學先后制定了《長春理工大學操作系統和數據庫的安全配置程序管理制度》、《長春理工大學網絡信息中心機房管理制度》、《長春理工大學計算機案件和事故報告制度》、《長春理工大學計算機病毒及有害數據報告制度》、《長春理工大學病毒檢測和安全漏洞檢測制度》、《長春理工大學網絡設備管理制度》、《長春理工大學信息審核制度》等多項信息管理制度。二是制定應急處理機制,對于突發的、涉及范圍廣,危害性大或影響深的信息安全事件采取有效的應對措施,有效控制信息危機的發生。如長春理工大學成立信息危機應急處理小組,及時應急處理方案和信息,有效控制信息危機的發生。三是注意日常信息安全動態,建立定時測評,不定期檢查,隨時抽查的信息檢查制度,如:長春理工大學建立了信息檢查制度,不定期檢查各基層單位信息安全情況,并對相關測評、檢查、抽查的情況進行匯總形成相關信息安全檢查日志,及時通報相關部門。
3.4設立信息技術咨詢指導部門,促進信息安全防護與前沿信息技術的緊密結合
沒有一勞永逸的信息安全保障策略。隨著信息技術的發展,保障策略要不斷更新、完善。例如:長春理工大學組建專業技術咨詢指導部門,成立了長春理工大學信息中心,由專職工作人員跟蹤最前沿的安全信息及新信息技術的發展動態,尋找已有防御網絡隱患,積極引進前沿網絡技術,并為信息安全保障系統建設提供專業、合理、可行化建議,積極完善和革新信息安全保護措施,取得了較好的效果。學校還將最新的技術發展及時體現在校園網絡系統中,并對相關信息維護人員進行專業化培訓,應對隨時可能爆發的信息安全事件,增加廣大師生的信息安全知識,提高信息安全意識,使學校的信息安全工作切實做到實處,收到了實效。
4結語
高校數字化的檔案信息從傳輸、存儲到顯示利用都要通過計算機來實現,計算機和網絡是生成和利用數字檔案信息的基礎和前提,離開計算機軟硬件和網絡的傳輸,數字化的檔案信息就不可能讀取和顯示,因此,數字化檔案信息對計算機及網絡有很強的依賴性。然而眾所周知,計算機及網絡具有一定的不安全性,因為計算機網絡的某些隱患,有時會使檔案信息遭到毀滅性的破壞,這就產生了檔案信息的安全問題。如何確保數字化檔案信息的保密性、完整性、真實性和可利用性,給高校檔案數字化工作帶來了極大的挑戰,對高校在檔案數字化進程中采取先進技術和有效措施,保障高校檔案信息安全提出了較高的要求。
二、數字化進程中高校檔案信息安全現狀
檔案數字化給高校檔案工作帶來了新的生機,數字化檔案信息的網絡傳輸和查詢在為社會提供廣泛信息服務的同時,也給高校檔案的信息安全帶來了嚴峻挑戰。例如:在數字化加工過程中,有的高校利用勤工助學學生或通過外包實現檔案全文數字化,存在對學生培訓不夠和對數字化加工服務機構、加工場地、加工人員和加工成果等方面監管不到位,管理不規范的問題;有的高校檔案管理人員沒有經過正規的機要保密培訓,在工作實踐中,對已觸“紅線”的檔案信息資料繼續以常規方法掛網;有的政府信息安全部門對進行檔案數字化工作的單位指導不到位等等。
1.高校檔案數字化進程中沒有完整的法律法規制度保護信息安全。
目前,各高校全文數字化工作主要依據《中華人民共和國檔案法》、《高等學校檔案管理辦法》、《電子公文歸檔管理暫行辦法》等法規。法規制度分散零亂,缺乏系統的規劃和設計,對于高校檔案信息安全保障法規不成體系,缺少專門的法規。
2.高校檔案數字化沒有統一技術規范標準。
目前,沒有一套具體全面、系統規范、科學合理、可操作性強的檔案數字化技術規范,來保證高校檔案數字化工作能夠安全、科學、規范、有序地進行。
3.高校檔案數字化評估、防范少,檔案信息安全缺乏預警能力。
高校檔案信息安全保障體系的各部分建設仍處于相對獨立的狀態,常將檔案信息安全保障與檔案信息安全保護混為一談。人員崗位職責不明確,業務操作不規范,有越崗代崗現象,有的操作人員在相關計算機上使用與檔案數字化無關的軟件,難免帶來病毒侵襲等隱患,造成數字化系統癱瘓,使得安全保障階段的能力僅僅停留在保護的水平上,不能主動防御和動態保護檔案信息安全。
4.高校檔案專業人才短缺,檔案信息安全保障缺乏發展能力。
在檔案信息開發和利用過程中,人始終參與其中,是檔案信息安全的制造者,也是檔案信息安全的護衛者。隨著檔案信息化的推進和檔案事業的發展,對檔案工作者的要求也越來越高。在檔案信息安全保障體系建設中,專業的信息安全人才是不可或缺的部分。
三、數字化進程中高校檔案信息安全策略
1.遵循法律制度是高校檔案信息安全的基礎。
法律制度是高校檔案數字化工作生成、管理、存儲、利用各環節的參與人員共同遵守的規章或準則的統稱,包括政策、法律、法規、標準、內部規定等多種形式。連續、有效、健全的制度是科學應對檔案數字化進程安全風險的保障。通過科學的制度建設,約束威脅數字檔案安全的人為因素,調動各方面人員應對安全風險的積極性才是根本。在數字化進程中,要保證高校檔案信息安全,必須加強法制管理,充分運用法律手段,規范檔案管理人員對數字化檔案信息的安全保障。把保障檔案信息安全的各項工作納入法制化、規范化的軌道,進而提高檔案管理部門對檔案信息安全工作的管理水平。目前,高校檔案數字化進程中應遵循的相關法律法規包括:《中華人民共和國檔案法》、《中華人民共和國檔案法實施辦法》、《高等學校檔案管理辦法》、《電子公文歸檔管理辦法》等等。這就要求高校有關部門一方面要依據現有法律法規,加大執法力度,嚴格執法,切實起到保障高校數字化檔案信息安全的作用,另一方面針對高校檔案信息安全面臨的復雜問題,上級有關部門要進一步完善高校檔案信息安全的法律法規,盡早出臺有效的專門的法律依據。同時,高校也要根據自身的實際情況,修訂數字化檔案信息安全管理辦法。
2.制定檔案信息安全標準是高校檔案信息安全的前提。
檔案信息安全標準是一種多學科、綜合性、規范性的標準,其目的在于保證檔案信息系統的安全運行,保證利用者和設備操作者的人身安全。面對數字化檔案事業的不斷發展,制定數字化檔案信息安全標準對保證高校數字化檔案信息安全與保密起著重要的作用。高校要根據國家相關標準與規范,結合學校實際情況,在充分調查研究的基礎上,制定一套具體全面、系統規范、科學合理、可操作性強的檔案信息安全標準,保證高校檔案數字化工作科學、規范、有序地進行。檔案信息安全標準包括以下幾個方面的內容:一是網絡基礎標準,主要涉及基礎通信工程建設、網絡平臺建設、網絡互聯互通技術等方面;二是應用標準,基于部分高校檔案數字化信息也會面向公眾,為社會提供必要的服務,所以要制定字符內部編碼標準、數據處理格式標準、信息輸出標準等;三是應用支撐標準,主要涉及信息交換平臺、電子記錄管理和數據庫方面的標準,能給高校檔案數字化提供各種支撐和服務;四是信息安全標準,主要涉及安全級別管理、身份認證、訪問控制、加密算法和數字簽名方面的標準;五是管理標準,主要涉及人員管理、制度管理和檔案信息管理等方面的內容。
3.安全技術保障是高校數字化檔案信息安全的核心。
數字化檔案信息是高科技產物,因此也需要高科技技術來保障檔案數字化信息服務、編研工作和檔案信息安全工作。高校檔案數字化進程中面臨的技術風險多種多樣,歸納起來主要有:軟硬件配置不當、數字化技術不成熟等等,這些都會對信息安全構成隱患,但只要有防范意識,絕大部分風險都可以規避。目前,高校檔案數字化進程中涉及到的信息安全技術主要有以下幾種:一是防火墻技術。它是設置在被保護網絡和外部網絡之間的一道屏障,在外部網與內部網之間建立起一個安全網關,從而防止發生不可預測的、潛在破壞性的侵入。它可以通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏敝網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。二是數據加密技術。數據加密技術一般與防火墻技術配合使用,它是為提高信息系統及數字檔案信息的安全性和保密性,防止機密信息被外部破析所采用的主要技術手段之一。三是反病毒技術。反病毒技術包括預防病毒、檢測病毒和消除病毒三種技術。四是訪問控制技術。在操作系統和數據庫系統中規定了訪問控制的權限,如規定文件建立者具有可讀、寫、修改或執行的權限。強制性訪問控制引入了安全管理員的機制,增加了安全保護,可防止用戶無意或有意地使用自主訪問的權利。五是安全審計技術。通過對網絡內發生的各種訪問情況記錄日志,并對日志進行統計分析,進而對資源使用情況進行事后分析,它也是發現和追蹤事件的常用措施。
4.有效的安全管理是高校數字化檔案信息安全的關鍵。
數字檔案信息安全管理是以數字檔案信息及其載體為對象的安全管理,它的任務是保證高校數字檔案信息的使用安全和信息載體的運行安全。數字檔案信息安全保障的管理體系是指以系統全面科學的安全風險評估為基礎的、體現“防患于未然”為核心的、動態的數字檔案信息安全管理。數字檔案信息安全管理活動包括建立機構、制定計劃、開展培訓、落實措施、檢查效果和實施改進等過程。學校檔案部門必須成立一個安全管理工作組,負責實施和監控整個檔案數字化信息安全管理活動,對檔案數字化信息及信息處理設施的威脅、影響、脆弱性及三者發生的可能性進行評估;不定期對人員進行安全策略及安全技術的培訓,有效地遏制來自外部和內部的攻擊,增強安全防護能力和隱患發現能力,確保高校數字檔案信息資源內容和信息載體的安全。
5.高素質的人才是高校數字化檔案信息安全的保證。
人員管理是高校數字化檔案信息安全工作中最關鍵的部分,也是最難的部分。應對各個時期的安全風險,有效管理參與人員應建立在以下兩個假設之上:一是人人都可能帶來不確定的安全風險因素,人人都肩負著保證信息安全的職責。在對外部非授權用戶制定防護措施時,也要加強對內部人員的管理、培訓、監督和審計工作。二是參與人員分工不同,每類人員參與檔案信息安全的工作分工也不同。在保證檔案信息安全工作計劃中,應明確主管領導、技術人員、管理人員、數字檔案形成者和利用者的權利、責任和義務。
四、結語
論文摘要:世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
1.人才緊缺
由于企業檔案信息安全保障技術是近年來才被廣泛應用的,對于企業檔案館來說,檔案人員的信息安全意識和技術水平有限,加之各個檔案分室的人員年紀偏大,接受能力和操作水平有限,這也是企業目前亟需解決的問題。人才是檔案信息安全保障建設的重要因素,檔案管理人員信息安全意識的強弱,現代化設備操作水平的高低,責任感的強弱等都會對檔案信息安全產生影響。可以想象,一個專業技能匱乏、責任感缺失、安全意識淡薄的檔案管理人員,無疑會使檔案信息安全如同置于一個無人防守的陣地,而被“敵人”不攻自破。
2.法制不健全
對于本企業來說,檔案信息安全建設剛剛起步,企業檔案信息安全方面的管理制度相對比較少,還需要在工作中不斷加強管理,制定各種管理制度,這樣才有利于實施檔案信息安全管理。
二、企業檔案信息安全保障體系建設的措施
檔案信息安全簡單地說就是檔案信息內容完整、可控,未被破壞和未被非法使用者知曉使用。檔案信息安全包括檔案實物信息安全和檔案信息管理系統安全兩個方面。
1.保證檔案信息的物理安全
物理安全策略的目的是保護電子檔案存放介質、計算機系統、網絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊。首先,通常情況下,電子檔案存儲在磁、光介質上,這樣就必須創造一個適合于磁、光介質保存的溫濕度環境。其次,確保電子檔案內容具有嚴謹的邏輯性。采用最新技術與方法,保證電子檔案內容、格式、編排上的一致,并采用先進技術加以轉換,保證電子檔案的原始性。再次,要保證保存電子檔案的計算機系統有一個良好的電磁兼容環境,建立完備的安全管理制度防止非法進入計算機控制室和各種偷竊、破壞活動的發生。物理安全策略是電子檔案信息安全的前提,如果得不到有效保障,那么整個檔案信息安全也就無法實現。
2.密切關注計算機技術的發展方向,確保檔案信息管理系統安全
(1)檔案信息管理系統軟件要安全可靠系統軟件必須要通過測評與審批方可投入使用。要學會運用多種先進的信息安全技術,檔案信息安全技術不僅涉及到傳統的“防”和“治”的技術,而且已經擴展到網絡安全技術和數據安全技術等多種現代信息新技術。要學會運用網絡安全技術,如訪問控制技術、防治病毒技術和安全檢測技術等。一是在防控技術方面可以設置入網訪問控制和網絡的權限控制,使內部網與互聯網之間物理隔網,可以對訪問者進行身份鑒別,主要是用戶名的識別與驗證、用戶口令的識別與驗證、用戶賬號的缺省限制檢查,同時也可以很好地控制網絡非法操作。二是運用防治病毒技術,及時在電腦上安裝殺毒軟件,定期升級殺毒軟件,定期查殺病毒,不使用來歷不明的U盤、光盤,不安裝不明軟件,以控制病毒的入侵。三是運用安全檢測技術,對計算機網絡所接入的服務器進行監視,同時在計算機中安裝入侵檢測系統,對電子檔案信息進行監控和保護。
(2)運用數據安全技術檔案信息安全最重要的是數據安全,這樣才能保證檔案信息的完整,有效避免被修改、泄漏等。企業應建立數據信息網絡存儲中心,采取數據集中或雙機備份等方式規避風險,提高數據存儲安全度。一是采用數據備份管理制度,確保數據的安全??赏ㄟ^在線備份管理的方式,并根據實際情況采取近線存儲與離線存儲相結合的方式進行數據備份。為計算機系統配置多個磁盤、硬盤、硬盤陣列等,組成海量存儲器,用以解決容量不足的問題。服務器端應及時安裝操作系統及數據庫系統補丁程序,修補系統安全漏洞,提高系統安全性。二是采用密碼技術,對所有電子文件進行歸檔管理時應設置相應的密碼。對于有密級限制的電子檔案,為防止泄密,應該使用加密技術,防止被他人截獲或篡改。
(3)保證網絡安全網絡安全保護主要是針對計算機網絡及其節點面臨的威脅和網絡的脆弱性而采取的防護措施。網絡安全保護是檔案信息安全保護的重要內容。電子檔案信息的優越性之一表現在它能實時通過網絡暢通地提供給在線異地用戶使用。因此,網絡安全成為保障用戶真實有效地利用電子檔案信息的關鍵所在。確保網絡安全的主要方法是采取物理隔離、防火墻以及身份認證等安全技術。防火墻技術是實現同外網隔離與訪問控制的最基本、最流行、最經濟也是最行之有效的措施之一。
(4)對檔案信息載體實行異地備份制度對重要的檔案信息載體實施檔案備份制度,是提高抵御各種突發事件影響能力的一項重要舉措。俗話說,“雞蛋不能只放在一個籃子里”。我國較早就有對重要檔案實行多套異地備份的制度,在危害檔案安全的突發社會事件和自然災害頻發的今天,我們必須進一步強化風險防范意識,更加重視實施重要檔案異地備份制度,提高災害應對能力。
隨著企業信息化水平的提升,大多數企業在信息安全建設上逐步添加了上網行為管理、內網安全管理等新的安全設備,但信息安全防護理念還停留在防的階段,信息安全策略都是在安全事件發生后再補救,導致了企業信息防范的主動性和意識不高,信息安全防護水平已經越來越不適應當今企業IT運維環境和企業發展的需求。
2企業信息系統安全防護的構建原則
企業信息化安全建設的目標是在保障企業數字化成果的安全性和可靠性。在構建企業信息安全體系時應該遵循以下幾個原則:
2.1建立企業完善的信息化安全管理體系
企業信息安全管理體系首先要建立完善的組織架構、制定信息安全管理規范,來保障信息安全制度的落實以及企業信息化安全體系的不斷完善?;酒髽I信息安全管理過程包括:分析企業數字化資產評估和風險分析、規劃信息系統動態安全模型、建立可靠嚴謹的執行策略、選用安全可靠的的防護產品等。
2.2提高企業員工自身的信息安全防范意識
在企業信息化系統安全管理中,防護設備和防護策略只是其中的一部分,企業員工的行為也是維護企業數字化成果不可忽略的組成。所以企業在實施信息化安全管理時,絕對不能忽視對人的行為規范和績效管理。在企業實施企業信息安全前,應制定企業員工信息安全行為規范,有效地實現企業信息系統和數字化成果的安全、可靠、穩定運行,保證企業信息安全。其次階段遞進的培訓信息安全人才也是保障企業數字化成果的重要措施。企業對員工進行逐次的安全培訓,強化企業員工對信息安全的概念,提升員工的安全意識。使員工的行為符合整個企業信息安全的防范要求。
2.3及時優化更新企業信息安全防護技術
當企業對自身信息安全做出了一套整體完善的防護規劃時,就應當考慮采用何種安全防護技術來支撐整個信息安全防護體系。對于安全防護技術來說可以分為身份識別、網絡隔離、網絡安全掃描、實時監控與入侵發現、安全備份恢復等。比如身份識別的目的在于防止非企業人員訪問企業資源,并且可以根據員工級別分配人員訪問權限,達到企業敏感信息的安全保障。
3企業信息安全體系部署的建議
根據企業信息安全建設架構,在滿足終端安全、網絡安全、應用安全、數據安全等安全防護體系時,我們需要重點關注以下幾個方面:
3.1實施終端安全,規范終端用戶行為
在企業信息安全事件中,數字化成果泄漏是屬于危害最為嚴重的一種行為。企業信息安全體系建立前,企業員工對自己的個人行為不規范,造成了員工可以通過很多方式實現信息外漏。比如通過U盤等存儲介質拷貝或者通過聊天軟件傳遞企業的核心數字化成果。對于這類高危的行為,我們在建設安全防護體系時,僅僅靠上網行為管理控制是不能完全杜絕的。應該當用戶接入企業信息化平臺前,就對用戶的終端系統進行安全規范檢查,符合企業制定的終端安全要求后再接入企業內網。同時配合上網行為管理的策略對員工的上網行為進行審計,使得企業員工的操作行為符合企業制定的上網行為規范,從終端用戶提升企業的防護水平。
3.2建設安全完善的VPN接入平臺
企業在信息化建設中,考慮總部和分支機構的信息化需要,必然會采用VPN方式來解決企業的需求。不論是采用SSLVPN還是IPSecVPN,VPN加密傳輸都是通用的選擇。對于分支機構可以考慮專用的VPN設備和總部進行IPSec連接,這種方式更安全可靠穩定。對于移動終端的接入可以考慮SSLVPN方式。在這種情況下,就必須做好對于移動終端的身份認證識別。其實我們在設備采購時,可以要求設備商做好多種接入方式的需求,并且幫助企業搭建認證方式。這將有利于企業日常維護,提升企業信息系統的VPN接入水平。
3.3優化企業網絡的隔離性和控制性
在規劃企業網絡安全邊際時,要面對多個部門和分支結構,合理的規劃安全網絡邊際將是關鍵。企業的網絡體系可以分為:物理層;數據鏈路層;網絡層;傳輸層;會話層;表示層;應用層。各體系之間的相互隔離和訪問策略是防止企業信息安全風險的重要環節。在企業多樣化網絡環境的背景下,根據企業安全優先級及面臨的風險程度,做出適合企業信息安全的防護策略和訪問控制策略。根據相應防護設備進行深層次的安全防護,真正實現OSI的L2~L7層的安全防護。
3.4實現企業信息安全防護體系的統一管理
為企業信息安全構建統一的安全防護體系,重要的優勢就是能實現對全網安全設備及安全事件的統一管理,做到對整個網絡安全事件的“可視、可控和可管”。企業采購的各種安全設備工作時會產生大量的安全日志,如果單靠相關人員的識別日志既費時效率又低。而且不同安全廠商的日志報表還存在很大差異。所以當安全事件發生時,企業管理員很難實現對信息安全的統一分析和管理。所以在企業在構建信息安全體系時,就必須要考慮安全設備日志之間的統一化,設定相應的訪問控制和安全策略實現日志的歸類分析。這樣才能做到對全網安全事件的“可視、可控和可管”。
4結束語
協議隔離技術,就是通過安置協議分離器達到內網與外網的分離。利用設置上的兩個接口,完成內網和外網通過協議隔離進行信息的交流。在使用協議隔離技術的時候,內網和外網都是斷開的,只有在需要進行信息交流的時候才會進行安全的暫時性連接。防火墻技術,就是在內網和外網之間樹立一塊安全的分離屏障,把那些無法預判的惡性攻擊和破壞進行有效的攔截掉。同時最大程度的對外隱蔽和保護內網的信息與構造,確保內網能夠安全正常的運行。
2電力信息系統信息安全技術的應用
2.1構建和完善電力系統
構建和完善電力系統主要有三方面的工作需做好。首先,創建和完善電力調度數據網絡,需要在專門通道上通過多種手段達到物理層面和公共信息網絡的安全分隔。方法有:使用專線,數字序列同步處理和準同步處理,通過專一的網絡設施組裝網絡等。電力調度數據網只能夠被允許傳送和電力調度生產密切有關的數據業務信息。然后,電力監控系統和電力調度數據網絡都不準與外面的因特網進行直接關聯,同時做好對電子郵件的嚴格限制收發工作。最后,電力監控系統可以利用專一的局域網(內網)做到和當地另外的電力監控系統的關系與連接。還可以利用電力調度數據網絡完成不同層級之間在不同的地方對電力監督系統的相互聯系。所用的電力監督系統和辦公智能化系統還有其他信息系統互相之間在進行網絡關聯時,一定要得到國家相關部門的審核與批準才可以,并且要使用相關的專一,有效的安全隔離設備。
2.2改革和創新網絡安全技術
改革和創新網絡安全技術主要包括了以下幾個方面的措施,第一,提升相關人員的安全防范意識和管理水平。安全意識的缺乏導致的系統安全隱患遠遠大于系統自身存在的錯誤與缺陷。把未經過掃描查殺病毒的優盤,軟盤插入電腦中、不妥當,不合理的設置相關密碼、把密碼寫在另外的地方或者存放在電腦文件中、沒有定期的修改密碼,在網絡上下載一些不安全的文件、還有企業自身合法獲得許可的用戶進行非法的行為等等都會導致企業的信息網絡存在較大的風險。第二,實時的監督網絡端口和節點信息的走向,定期對企業的信息網絡進行安全檢查,信息日志的審核與統計,還有病毒的掃描排查工作,對很重要的數據要及時的備份保存,在整個網絡領域創建一套正確有效的安全管理體制,都有利于企業信息網絡的安全運轉。第三,正確安全的設定和存儲密碼。密碼的安全是網絡安全中至關重要的。如果密碼被破解或泄密將給非法用戶有機可乘,進入相關系統。隨著窮舉軟件的興起,根密碼的位數要在十位以上,普通用戶的密碼也要求在八位以上,并且有大小寫字母和數字及其他符合穿插隨機組成的設定規則。也要避免把自己的生日或者名字等比較容易破解的信息作為密碼使用。
2.3更加先進的網絡安全框架
電力企業信息網絡在安全問題上有它自己的特點,遇到的安全威脅也是比較嚴重的,如果不處理好就會影響國家經濟和人們的正常生活。未來一定會使用更加優越有效的網絡安全框架,密碼算法,入侵檢測系統(IDS)與病毒查殺軟件和更加智能化的防火墻技術等,來保證電力信息系統的信息安全。然而防護往往是先從自身被瓦解的,所以在這些技術方面的防護基礎上,還要制定一套有效的安全體系和培養員工的安全防范意識,它們是保證系統信息安全的核心。
3結語