對信息安全的理解精品(七篇)

序論：寫作是一種深度的自我表達。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內心深處的真相，好投稿為您帶來了七篇對信息安全的理解范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創作。

篇(1)

與其它計算機課程相比，計算機信息安全課程具有明顯的特點，主要有以下幾個方面：1計算機安全課程是一門綜合性的學科計算機信息安全是一個集數學、密碼學、計算機網絡與通信、人工智能數據庫、控制理論多個學科領域為一體的交叉性學科。因此在計算機安全教學過程往往會涉及到學生學習過的多門課程，主要有計算機網絡數據庫、密碼學、系統結構、通信原理、操作系統等等。換句話說，只要與信息安全有關的課程，都需要該專業的學生去掌握。2計算機信息安全課程的內容更新速度比較快計算機網絡技術在最近幾年得到快速的發展，并且也推動了信息防范理念和技術的不斷創新。不論普通技術和先進技術，只要有利可圖和存在缺陷，都會遭到不法分子的破壞和利用，甚至采用一些具有針對性的攻擊手段對相關的技術和系統進行破壞。由于信息技術的發展過于迅速，導致任何一種新型技術都存在缺陷，在滿足了用戶要求的同時，也給用戶或計算機網絡帶來了安全隱患，并且這些危險都是難以預知的，更不可能提前去預防了。因此高校計算機信息安全課程的建設要緊隨信息技術的發展潮流，并進行定期的更新，及時給學生補充新知識、新技術，以確保學生掌握更多的安全知識和技術。3計算機信息安全課程的實踐性比較強計算機信息安全課程中涉及到的很多知識都需要學生在實踐中去理解、掌握和鞏固。這主要是因為該課程所涉及到的內容可以大概的分為兩種類型：一種是與信息安全理論相關的內容，最顯著的例子就是與密碼學有關的各種算法，雖然本科生可以不掌握與密碼協議有關的數學原理，但是那些與密碼協議有關的數學算法如果學生不親自去實踐將很難理解和掌握。另一種是與實際的應用密切相關的內容。例如訪問控制設備與技術的部署和應用，如果沒有一個實際的應用環境學生對于那些知識框架將很難理解，就算理解其記憶也不會很深刻。

二、加強計算機信息安全課程建設的措施

1加強對教學手段的改革眾所周知，計算機信息安全課程所涉及的理念是相當抽象復雜的，傳統的教學手段和方法很難適應現在教學的要求。為了更好的滿足教學需求，新的教學手段層出不窮，例如現代化的多媒體CAI教學，如果對這些先進的方法加以利用，不僅可以提高信息安全的教學質量和教學效率，而且不斷的豐富和充實了課堂內容，將那些抽象畫的知識逐漸形象化，保證學生更好的掌握課堂知識。還可以利用計算機網絡集文字、影像、圖形、動畫、聲音于一體的優點，不斷開發網絡學習系統和網絡課件，努力為學生營造一個相互學習的氛圍，以更好的調動學生的學習積極性。與此同時，還可以通過比如“網絡論壇”“、在線學習”、“在線測試”等形式來激發學生自主學習的目的，以實現教學的情景化和智能自動化。2加強對教學內容的改革定期組織和參與關于信息安全的學術報告，以掌握國際上最前沿的發展趨勢。在關于計算機信息安全課程建設過程中，學校可以通過各種方式和渠道聘請一些國內外在信息安全方面和計算機網絡的專家和技術人員來我校做學術報告和講座，條件允許的情況下還可以讓他們承擔一些教學任務，向學生詳細的講解和傳授有關計算機信息安全領域的最新技術和知識。目前我校已經聘請的關于計算機信息安全方面的專家主要有美國的YaoLiang教授、ThomasHe教授、WeiderYu教授、JerryGao教授以及海外的DavidZhang博士和TaoyunWang博士。這些教授和專家還作為了我校的特聘專家參與了計算機信息安全課程的建設工作。逐漸增設一些關于計算機信息安全的實踐課程，并進一步的深化相關教學理論內容。為了能夠讓學生掌握更多與信息安全有關的新理念和新技術，我校開設了兩堂與課程設計有關的實驗課程。通過參與計算機信息安全的設計與實踐，有效的加深了學生對相關知識的理解和掌握，并將其應用到現實生活中，這將會更好的激發學生的學習積極性，增加了學生對于基礎知識和相關理論的掌握。大量的實踐證明，上述的方法不僅提高了學生對信息安全課程的信息，而且還提高了他們思考和理解問題的能力。3加強相關教學方法和手段的改進為了更好的推動計算機信息安全課程的實施，我校對傳統的教學手段進行了改革，目前已經逐步實現了計算機信息安全教學與多媒體教學、視頻教學、板書、討論、網絡學習的有機結合。除此之外，還加入了相關的實踐教學，促進了教學手段的多樣化，以更好的激發了學生的學習主動性和積極性，提高了他們對基本知識的理解和掌握。加強對相關教學方法的改革，添加一些實踐課程，以更好的培養他們的動手能力。在計算機信息安全課程開始的階段，學?？梢酝ㄟ^向學生發放調查問卷的方式來了解學生對教學方法的意見以及對相關專業知識的掌握能力，并及時修改已有的教學方法，使其更好的適應課堂的教學，提高教學的效率。除此之外，在進行課堂教學過程中，教師每堂課都要組織學生進行關于本堂課所講知識的測試，以更好的了解學生對每堂課所講知識的掌握和理解情況，該方法還可以作為督促學生進行課后復習和考勤的重要手段。同時，教師還要對本次課堂的測試進行及時的總結，以更好的幫助學生掌握本次課堂的重要概念和知識點，并根據課堂的測試結果以及學生的掌握情況來適當的調節下次課程的教學方法、教學內容以及教學進度等，以確保每位學生都能夠很好理解和掌握課堂的重點和難點。在總結完課堂測試時，對于那些將所有問題全部回答對的同學要公開給予表揚，這樣不僅可以激發其積極性，而且還能更好的激發其他同學的學習興趣，促進他們更加努力的學習。同時還要為學生設計一些與計算機信息安全有關的實驗課程設計，要求學生自己動手進行設計和編程，以更好的加深學生對相關知識的理解和掌握，提高他們的學習效率。

三、結束語

篇(2)

論文摘要：世界已進入了信息化時代，信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質，如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。

論文關鍵詞：信息安全；保護

信息安全包括以下內容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內容；完整性，信息的內容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比，基于網絡的信息安全有一些新的特點：信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰；網絡協議自身缺陷，等等。

1我國信息安全的現狀

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關體系不完善，法律法規不健全等諸多因素，我國的信息化仍然存在不安全問題。

①網絡安全的防護能力較弱。我國的信息化建設發展迅速，各個企業紛紛設立自己的網站，特別是“政府上網工程”全面啟動后，各級政府已陸續設立了自己的網站，但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備，整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱，在網絡黑客攻擊的國家中，中國是最大的受害國。

②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監測和改造，從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。

③我國基礎信息產業薄弱，核心技術嚴重依賴國外，缺乏自主創新產品，尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外，這使我國的網絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術，我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中，網絡安全處于極脆弱的狀態。

除此之外，我國目前信息技術領域的不安全局面，也與西方發達國家對我國的技術輸出進行控制有關。

2我國信息安全保護的策略

針對我國信息安全存在的問題，要實現信息安全不但要靠先進的技術，還要有嚴格的法律法規和信息安全教育。

①加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統的安全防護能力，從而促進整個系統的信息安全。

②發展有自主知識產權的信息安全產業，加大信息產業投入。增強自主創新意識，加大核心技術的研發，尤其是信息安全產品，減小對國外產品的依賴程度。

③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系，制定相關的法律法規，例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等，加大對網絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

篇(3)

【關鍵詞】大數據;信息安全;防護;措施

引言

大數據時代下，網絡信息成為了主要的信息交流平臺。隨著互聯網的發展，讓越來越多的生活和工作開始向著互聯網發展，并且以互聯網為中心，建立了諸多的互聯網關系網。

這些網絡的成立，讓人們開始習慣使用互聯網。對于互聯網的使用和信賴，也讓更多的使用者開始習慣將自己越來越多的信息公布到網上。雖然，在很大程度上互聯網是方便了人們的生活和工作，但是也在一定程度上威脅到了使用者的信息安全。隨著網絡安全不斷被重視，也讓信息安全成為了人們在使用互聯網的過程中，開始更加注重對信息安全的重視。

因此，本文將重點探討關于大數據下，信息安全的防護措施。

1.大數據下信息安全的解讀

互聯網造就了大數據時代的誕生，實際上從狹義的范圍內理解大數據，就是互聯網上數據的量已經足夠龐大，從而構成了一個非常龐大的信息數據庫。這個數據庫中，具有非常多的關鍵詞和潛在的關鍵搜索因子。一旦專業人士利用相關的編程技術，就可以實現對于整個數據庫的盲搜索，從而實現某種個人目的。因此，大數據對于互聯網時代而言，既是推動其發展的主要動力，也是影響到互聯網信息安全的主要因素。尤其是在信息安全的影響方面，其主要表現在以下幾個方面：

第一，大數據數據庫的形成，讓一些不相關因素成為了相關因素，從而影響了個人信息的安全。在不同的網站上以及站點內，留下了個人的碎片信息，利用相關性的求解方法，就可以實現潛在的分析手段，實現對于整個數據庫的搜索，從而得到所有相關的內容，那么，利用強大的相關性，就可以找到所需要的信息，從而造成個人信息安全的影響。

第二，信息安全是相對而言，對于一些潛在的問題而言，大數據成為了信息安全的主要原因。人肉搜索，在互聯網上興起了很久的時間，對于被搜索的人而言，是存在非常大的危害的。這也是因為互聯網的大數據造成的，一些不相關的信息，只要是通過搜索以及擴散，就足以達到最終的目的。因此，這就是一種現代的互聯網信息安全的隱患，讓個人的信息充分暴露，從而影響個人的生活和工作。

2.信息安全的防護措施分析

基于大數據時代的影響，讓越來越多的互聯網使用者開始重視對于信息安全的防護。那么，在實際的使用過程中，如何能夠有效的進行信息安全的防護呢？在使用的過程中，應該注意哪些細節，從而避免信息安全出現泄漏或者遭受攻擊呢？以下內容將重點解讀這些問題。

2.1 注重對個人網絡信息的防護工作

大數據時代背景下，個人信息成為了主要的搜索目標，在使用的過程中，應該特別注意自己的個人信息的防護工作。尤其是一些填寫個人資料的網站，一定要認準其信用與權威度，不要在一些不正規的網站上隨便注冊自己的信息，從而造成個人信息的泄漏。此外，在使用網絡安全軟件的過程中，一定要安裝防火墻這樣的安全防護軟件，可以有效的進行個人上網環境的保護工作，在一定程度上實現了對信息的保護。因此，建議互聯網的使用者，能夠在根本上意識到信息安全的嚴重性。因為一旦信息被泄漏，如果被一些不法分子所使用，就會造成極大的負面影響，不僅僅是工作，更會影響到人們的生活，從而造成個人的困擾。因此，有這樣的防護意識，是非常重要的。也是能夠有效防止個人信息受到影響的主觀原因。

2.2 加強互聯網信息安全防護工作

從客觀的角度分析，加強互聯網信息安全防護工作是非常必要的?，F如今，很多防護軟件開始使用，并且在互連網上收到了用戶的廣泛認可。因此，為了能夠真正意義上實現對于個人信息安全的防護，不僅僅是個人具備這樣的防護意識，還需要從客觀的角度上實現對于信息安全的防護手段和措施。例如，一些安全防護軟件，能夠給予使用者非常良好的建議，一些危險的網站，防護軟件會給予警示，這樣就能夠防止使用者因為好奇而造成信息泄漏的問題。因此，可以通過以下幾個方面來加強互聯網信息安全防護工作：

首先，一定要安裝互聯網的安全防護軟件，對于使用的網絡環境進行安全防護，并且將瀏覽器的安全級別設置的高一些，從而保證使用者能夠在客觀上得到一定的保護，有效的堵截了出現信息泄漏的可能性。

其次，主動認識到信息安全的重要性，并且能夠多多加強這些方面的學習。利用身邊的資源，來充分完善個人自身的安全防護意識，從而在主觀上不會受到外界的影響，使得自己能夠有效的掌握安全防護的措施。

最后，在日常的生活和工作中，自己的個人信息要做到不輕易外泄，不登陸不正規的網站，不在不正規的網站上隨意進行個人信息的填寫，從而造成一定的信息泄漏問題。

此外，在電腦使用的過程中，尤其是wifi的使用環境下，要充分擁有防護的意識，保證自身的信息不受到侵害，從而在根本上堵截外在的攻擊，保護自身信息安全。定要充分認識信息安全的重要性，并且能夠在日常的使用中注意一些細節，從而防止個人信息受到侵害。

3.結語

互聯網時代的到來，改變了傳統的生活與工作方式，人們在依賴互聯網的同時，也開始影響到了人們的信息安全。互聯網時代造就了大數據時代，但是大數據逐步成為了一種潛在的搜索資源，讓更多人的互聯網信息開始受到關注，并且通過這些潛在信息能夠挖掘深入的信息。因此，對于互聯網時代的信息安全而言，注重大數據為背景，是非常有意義的。

此外，為了能夠保證互聯網使用者的信息安全不受到侵害，一定要充分認識信息安全的重要性，并且能夠在日常的使用中注意一些細節，從而防止個人信息受到侵害。總之，大數據背景下的信息安全更加值得重視，并真正希望使用者以及維護者能夠共同努力，建設良好的互聯網使用氛圍。

參考文獻

[1]王佳雋，呂智慧，吳杰，鐘亦平.云計算技術發展分析及其應用探討[J]，計算機工程與設計，2010（20）：4404-4409.

篇(4)

論文關鍵詞：高師計算機專業；信息安全；法律法規課程

人類進入21世紀，現代信息技術迅猛發展，特別是網絡技術的快速發展，互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球．

網絡已成為人們尤其是大學生獲取知識、信息的最快途徑．網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式，而且正影響著他們的人生觀、世界觀、價值取向，甚至利用自己所學的知識進行網絡犯罪，所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說，面臨著前所未有的機遇和挑戰，這不僅因為，自己一方面要傳授學生先進的網絡技術，另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看，違法與不違法只是一兩條指令之間的事情，更重要的是高師計算機專業學生將來可能成為老師去影響他的學生，由此可見，在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義．如何抓住機遇，研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題．本文主要結合我校的實際，就如何在高師計算機專業中開設信息安全法律課程作一些探討．

1現有的計算機專業課程特點

根據我校人才培養目標、服務面向定位，按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路，溝通不同學科、不同專業之間的課程聯系．全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類，下面僅就計算機專業課程的特點介紹．

1．1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊，均為必修課．目的是在大學學習的初期階段，按學科進行培養，夯實基礎，拓寬專業口徑．考慮到學科知識體系、學生轉專業等需要，原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同．主要內容包括：計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等．

1．2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程，按照教育部《普通高等學校本科專業目錄》的有關要求，結合學校實際設置必修課程和選修課程．同時可以開設2—3個方向作為限選．學生可以根據自身興趣和自我發展的需要，在任一方向課程組中選擇規定學分的課程修讀．主要內容包括：計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等．

1．3現有計算機專業課程設置的一些不足計算機技術一日千里，對于它的課程設置應該具有前瞻性，考慮到時代的變化，計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員，現有我校的計算機專業課程是針對這一目標進行設置的，但這一設置主要從技術的角度來考慮問題，沒有充分考慮到：隨著時代的發展，人們更廣泛的使用網絡、更關注信息安全這一事實，作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任，作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情．

2高師計算機專業學生開設信息安全法律法規的必要性和可行性

2．1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成，是一個“以信息安全理論為核心，以信息技術、信息工程和信息安全等理論體系為支撐，以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系．該學科交叉性、邊緣性強，應用領域面寬，是一個龐大的學科群體系，涉及的知識點也非常龐雜．

僅就法學而言，信息安全涉及的法學領域就包括：刑法(計算機犯罪，包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支．因此，信息安全教育不是一項單一技術方面的教育，加強相關法律課程設置，是信息安全學科建設過程中健全人才培養體系的重要途徑與任務．

高師計算機專業，雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程．但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力，只要具備這些能力且信息安全意識不強的人，都可能有意識或無意識的干出違反法律的事情，例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生．由此可見，在高師計算機專業的學生中開設相關的法律法規選修課程是必要的．

2．2可行性技術與法律原本并不關聯，但是在信息安全領域，技術與法律卻深深的關聯在一起，在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯．從本質上講，信息安全對法律的需求，實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候，對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要．這也就要求我們跳出技術思維的影響，重視信息安全中的法律范疇．

根據前面對信息安全法律法規內容的特點分析可知：信息安全技術與計算機應用技術有著千絲萬縷的聯系．從事計算機技術的人員很容易轉到從事信息安全技術研究上，加之信息安全技術是當今最熱門技術之一，因此，在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受，具有可操作性．

3信息安全技術課程特點

信息安全技術課程所涉及的內容眾多，有數學、計算機、通信、電子、管理等學科，既有理論知識，又有實踐知識，理論與實踐聯系十分緊密，新方法、新技術以及新問題不斷涌現，這給信息安全課程設置帶來了很大的難度，為使我校計算機專業學生了解、掌握這一新技術，我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課．我校本課程具有以下特點：

(1)每學期都對知識內容進行更新．

(2)對涉及到的基本知識面，分別采用開設專業課、專業選修課、講座等多種方式，讓學生了解信息安全知識體系，如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等．

(3)對先修課程提出了較高的要求．學習信息安全技術課程之前，都可設了相應的先行課程讓學生了解、掌握，如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程．

(4)注重實踐教學．比如密碼學晦澀難懂的概念，不安排實驗實訓，不讓學生親手去操作，就永遠不能真正理解和運用．防火墻技術只有通過親手配置和測試．才能領會其工作機理．對此我們在相關的課程都對學生作了實踐、實訓的要求．

4涉及到信息安全法律法規內容的特點

信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規．

4．1目的多樣性作為信息安全的破壞者，其目的多種多樣，如利用網絡進行經濟詐騙；利用網絡獲取國家政治、經濟、軍事情報；利用網絡顯示自己的才能等．這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的．

4．2涉及領域的廣泛性隨著網絡技術的迅速發展，信息化的浪潮席卷全球，信息化和經濟全球化互相交織，信息在經濟和社會活動中的作用甚至超過資本，成為經濟增長的最活躍、最有潛力的推動力．信息的安全越來越受到人們的關注，大到軍事政治等機密安全，小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域．

4．3技術的復雜性信息安全不僅涉及到技術問題，也涉及到管理問題，信息安全技術又涉及到網絡、編碼等多門學科，保護信息安全的技術不僅需要法律作支撐，而且研究法律保護同時，又需要考慮其技術性的特征，符合技術上的要求．

4．4信息安全法律優先地位綜上所述，信息安全的法律保護不是靠一部法律所能實現的，而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現．因此，信息安全法律在我國法律體系中具有特殊地位，兼具有安全法、網絡法的雙重地位，必須與網絡技術和網絡立法同步建設，因此，具有優先發展的地位．

5高師信息安全技術課程中的法律法規內容教學目標

對于計算機專業或信息安全專業的本科生和研究生，應深入理解和掌握信息安全技術理論和方法，了解所涉到的常見的法律法規，深入理解和掌握網絡安全技術防御技術和安全通信協議．

而對普通高等師范院校計算機專業學生來說，由于課程時間限制，不能對信息安全知識作較全面的掌握，也不可能過多地研究密碼學理論，更不可能從法律專業的角度研究信息安全所涉到的法律法規，為此，開設信息安全法律法規課程內容的教學目標定位為：了解信息安全技術的基本原理基礎上，初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準．如：《中華人民共和國信息系統安全保護條例》，《中華人民共和國數字簽名法》，《計算機病毒防治管理辦法》等．

6高師信息安全技術法律法規課程設置探討

根據我校計算機專業課程體系結構，信息安全有關的法律法規課程，其中多數涉及信息安全技術層面，主要以選修課、講座課為主，作為信息安全課程的補充．主要可開設以下選修課課程或講座課程．

(1)信息安全法律法規基礎講座：本講座力圖改變大家對信息安全的態度，使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題，讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規，主要內容包括：國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等．

(2)黑客攻擊手段與防護策略：通過本課程的學習，可以借此提高自己的安全意識，了解常見的安全漏洞，識別黑客攻擊手法，熟悉提高系統抗攻擊能力的安全配置方法，最重要的還在于掌握一種學習信息安全知識的正確途徑和方法．

(3)計算機犯罪取證技術：計算機取證是計算機安全領域中的一個全新的分支，涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題．本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術，并詳細介紹了計算機取證所需的各種有效的工具，還概要介紹了美國與中國不同的司法程序．

篇(5)

 

1 網絡與信息安全實驗課程的教學目標

 

我院計算機類專業開設《網絡與信息安全實驗》課程，其目標不是為了培養網絡與信息安全方面的全才，也不是培養戰略人才，而是培養在實際生活和工作中確實能解決某些具體安全問題的實用性人才。即希望培養滿足社會和企業需求，具有一定的網絡安全意識，掌握網絡系統安全性維護和防范，構建安全的系統環境等技能的人才，因此，本門課程的教學目標是使學生掌握網絡與信息安全的基礎知識，了解網絡安全防御方面的最新技術，掌握網絡與信息安全的相關配置過程，認識網絡與信息安全的重要性，識別哪些系統資源需要被保護、網路環境經常受到那些安全威脅，以及如何建立有效的安全保護措施，針對常見的網絡入侵攻擊，能進行及時的網絡加固，清除常見的計算機病毒，保護網絡系統的安全穩定運行。

 

2 教學內容的選擇與設計

 

《網絡與信息安全實驗》課程是一門應用性很強的課程，同時又是一門新興的學科，研究內容沒有嚴格規范，所以，各學校的教學內容和方法都各不相同。作為一門具有普及性意義的實踐性很強的課程，必須在有限的學時內盡可能掌握網絡安全最重要、最基本和最實用的概念原理和方法，不可能漫無邊際、面面俱到。

 

現有的網絡與信息安全技術實驗教程等方面教材和專著很多，但是系統按照模塊編寫的網絡與信息安全方面的實驗教材很少，尤其是以案例為基礎的教材更少，而且，已有的教材大都從理論上系統地講解密碼學、協議安全、防火墻和入侵檢測技術等，專業性強，需具備較強數學和編碼基礎，不適合我校培養應用型人才的培養目標，而且，教材的可讀性及操作性較差。經過認真研究、對比分析，目前已有的教材或多或少的存在如下問題：(1)教材內容同質化嚴重，課本知識陳舊。我們發現，從重點大學到高職高專的網絡安全技術任務教材，內容大致相同，深度大致相同，目標大致相同。這樣的教材內容顯然不能體現我們國家倡導的分層次教學，實現人才教育的層次培養的教育目標。(2)教材內容組織形式單一，不利于初學者學習?，F有的教材，重點都放在對知識點的描述和解釋上，真正實用的例子較少。有些教材中也引入了案例或項目，但一般都是在教材的最后一章，而且，很多案例的解決方法在現有的系統中已經不可能在出現。(3)教材理論內容過多，實踐內容不足，課本知識與社會實踐有脫節，應用性不強。目前的教材內容嚴重偏離課程教學目標：培養應用性網絡與信息安全技術人才。(4)網絡與信息安全實驗內容不夠全面和深入。為了能夠滿足教學和學生對網絡與信息安全技術學習和參考的需求，根據近幾年從事網絡與信息安全技術相關課程教學的經驗體會，以任務引導教學法為主線，與現有教材[1]相配套，通過對網絡系統的安全配置的各個模塊進行演示和講解，使學生實際運用理論知識解決實際問題的能力得以提高，進而培養了學生的實踐動手能力。

 

因此，我們以自己主編的教材內容為基礎，從而確定網絡與信息安全實驗教程包含的至少應包括：(1)操作系統加固，主要是網絡中主機的操作系統平臺的安全性。需要掌握安全等級標準及劃分準則，系統漏洞及后門等內容，尤其是操作系統的安全策略的添加、用戶賬戶的安全配置，這是網絡與信息安全的根基所在。(2)網絡通信安全，包括在網絡體系結構中，針對各層的安全協議進行解析這些安全協議是工作在網絡中的通用標準，為上層協議和應用提供透明服務，主要通過實戰攻擊說明網絡協議存在的問題，通過安全策略的添加來保證安全通信。(3)防火墻技術與VPN(虛擬專用網)技術，防火墻技術一種將相對安全的內部網和不安全的公網分開的隔離技術，對兩個網絡通信時執行的一種訪問控制技術，我們可以添加規則，進行安全通信。而VPN技術則是一種保證跨越Intemet進行安全的、點對點通信的有效技術，能夠實現保密通信和身份的認證。(4)密碼技術原理及應用，確保數據和資源免遭破壞時網絡安全的重要前提，密碼技術是保護信息安全的重要手段之一，也是防止偽造、篡改信息的認證技術的基礎。(5)病毒識別及檢測修復技術。這是計算機網絡用戶最關心的問題。(6)網絡攻擊與防范技術，通過網絡實戰攻擊讓學生了解攻擊者的方法和技術，總結出必要的防范措施，加固現有的網絡環境。

 

在選擇授課內容的同時，需要注意不能流于表面而局限于一些泛泛的、不夠系統的安全知識，同時也不能過多的研究深奧的理論細節。要根據所設定的教學目標，圍繞著在實際生活中會遇到的問題，精心設計授課內容，布置學習任務，讓學生將所學知識同現實情景相聯系，能夠根據具體情況解決實際問題，真正的將知識固化到自身，最終達到開設本課程的目的。

 

3 提高教學質量的探索

 

為了達到課程設置的目的、提高教學質量，如果使用一成不變的傳統教學方法和手段很難達到良好的效果，因此在教學方式方法上必須進行更多的改革。

 

3.1 教學手段改革。學習了網絡與信息安全的相關知識后，大家都知道，網絡與信息安全實驗課程內容中的原理概念非常抽象，十分枯燥而且晦澀難懂，目前信息安全技術方面的教材大多偏重于理論，不能激發學生的學習熱情。為此，我們以理論夠用、重在實踐為宗旨，以技術實用為原則，以任務驅動為導向組織編寫了《網絡與信息安全實驗》教程，引導學生學習，提高學生的學習興趣。同時，我們充分利用多媒體技術豐富多彩的特點，將圖片、動畫、錄像等元素都集成到教學活動中，將每個實驗內容的操作過程進行錄像，以直觀、生動的形式提高學生學習的興趣。這樣既避免了單純的理論說教，提高了學生的學習興趣，同時也便于學生理解抽象難懂的網絡安全知識，從抽象的概念上升到形象上的認識。

 

3.2 實驗環境改進。《網絡與信息安全實驗》課程的許多知識需要學生在實踐中進行理解，而目前絕大部分的學校在本門課程中只有簡單的工具演示及基本的操作性實踐，這些是遠遠不夠的，我們有設置專門的網絡安全實驗室，包括常用的路由器、交換機、服務器等硬件設備，構建一個小型局域網絡，搭建計算機網絡與信息安全的實驗平臺。設計一系列完整的實驗項目，既包含基本的教學內容，同時又給予學生一定的挑戰性還需要建立一個安全工具資源庫，幫助學生完成各種網絡管理和信息安全的學習任務，最后還應該制定實驗規范要求，嚴格管理制度，防止由于工作的疏忽導致學生將黑客軟件帶出實驗室，造成不必要的麻煩。

 

3.3 組織學生參加網絡攻防大賽。在老師的指導下，我們有一支穩定的網絡安全小組，對網絡安全感興趣的同學可以通過各種考核進入我們的小組，讓后我們按照等級進行指導性學習，興趣小組的一部分同學在老師組織課堂教學的過程中輔助老師進行教學，同時，他們還參加國家級的各類網絡安全、網絡攻防大賽。

 

3.4 加強課堂討論。對《網絡與安全實驗》的內容，大部分學生還是有強烈的好奇心的。上課前，給學生提出一個課題，讓學生課后查閱資料，在課堂上可以開展課堂討論，使學生在良好、互動的教學環境中取得良好的教學效果教師的角色從單純的講授者轉變為傾聽者、引導者，學生從被動的接受者轉變為主動的參與者，提高了學生的積極性和主動性，最終提高了學習質量通過這種交流，教師可以隨時了解學生對知識的掌握程度、學習興趣的高低等，這種方法還能加強師生間的溝通和交流。

 

3.5 考核形式改革。學習的目的不是為了通過考試，而是希望通過課程的教授過程，培養和提高學生分析和解決實際問題的能力，影響學生面對問題時的思維方式、道德素質和協作精神。因此在課程的考核形式上，可以綜合考慮卷面成績，課題討論表現，實際過程中通過查找資料和討論解決問題的能力等方面讓學生有足夠的機會來修正和改進他們的成績，以便從錯誤中學習，讓學習課程本身的樂趣來促進學生學習的興趣達到更好的教學目的。

 

結束語

 

《網絡與信息安全實驗》課程是一門實踐性強的課程，同時也是一門技術發展變化很快的課程，這些給我們的教學工作帶來難度，如何設計好講授的內容、課堂上教學的內容的深淺如何把握，如何把抽象的理論變成學生易懂的知識，要需要在以后的教學實踐中進行不斷的總結和提高。

 

作者簡介：王小英(1979-)，女，陜西涇陽人，防災科技學院災害信息工程系，副教授，碩士，研究方向為網絡安全與密碼學。

篇(6)

根據前面給出的信息安全知識單元和知識點，可以設計出11個教學案例，其知識點的對應關系見表2。案例1、2是與惡意軟件有關的兩個典型案例。案例3是經典密碼案例。因為現代密碼比較抽象，難以理解，借助經典密碼有助于學生理解現代密碼的有關概念。案例4、5應用非常廣泛，是了解公鑰密碼技術非常好的案例。案例6比較常見，不過學生通常并不知道它的作用及背后的工作機制。案例7、8、9都是比較典型的安全事件，學生或多或少都了解一些。案例10中的工具是學生容易忽視，但卻非常重要的安全工具。這些工具所涉及眾多的信息安全知識也是學生需要了解或掌握的。案例11與學生日常使用的智能手機相關，有助于提高學生的安全防范技能。另外，除了知識單元①⑧沒有專門設計教學案例外，其他知識單元都有相應的教學案例。不過，知識單元⑧實際上與大多數案例都有關系，其知識點可以放在其他案例中講授。知識單元①是對信息安全基本概念的介紹，受學時的限制，不建議設置教學案例。

2教學策略設計

總體上來說，信息安全的教學主要圍繞表1的知識單元順序進行。各知識單元的教學策略如下。知識單元①。以圖例的方式簡單描述信息安全事件的一些發展趨勢，比如近幾年惡意軟件的發展趨勢圖、網絡攻擊變化趨勢圖等，然后給出信息安全的含義、目標、需求和意義。知識單元①大約需要10分鐘講授完畢。

知識單元②。引入案例1，因為很多學生都遇到過U盤病毒，所以教師可以指出U盤病毒是一種蠕蟲病毒，然后給出蠕蟲病毒的特征、危害。之后以一個感染了蠕蟲病毒的U盤為例，演示手工清除U盤蠕蟲病毒的過程，同時提醒學生防范U盤感染病毒的方法。對于案例2，以生活中發生的手機惡意軟件（大多是木馬程序）事件為例，比如“超級手機病毒”事件，手機掃描二維碼中毒事件等。然后指出木馬的特征，與蠕蟲的區別。指出手機惡意軟件傳播的途徑及危害。告知學生防范惡意軟件的方法。比如，下載軟件的時候注意來源是否可靠，別人的評價如何；為手機安裝軟件的時候，注意軟件所請求的權限是否超出了它的功能；安裝安全軟件等。之后，指出傳統病毒與蠕蟲、木馬的區別，并簡單介紹其他類型的惡意軟件及流氓/間諜軟件。最后，提醒制作惡意軟件是計算機犯罪行為，將要受到法律的制裁，并給出計算機犯罪的含義，以及相關法律法規的條文說明。這部分內容大約需要40分鐘完成。知識單元③。首先說明加密的目的，然后給出密碼學的一些基本概念，如明文、密文、密鑰等。然后引入案例3，通過一個4×4階的矩陣，演示整個“矩陣換位加密”過程，加密一個包含正好16個字符的明文。然后指出哪些是明文、密文和密鑰。說明消息超過16個字符時的處理方法。然后指出“矩陣換位加密”中的密文字符僅僅是明文字符改變位置的結果，這叫置換；指出某些經典加密算法中的密文字符是不同于明文字符的另一類字符，這叫替代。之后，給出現代對稱密碼的基本原理，即現代對稱加密算法本質上是置換和替代的多次重復。此時可以給出DES算法的框圖，讓學生進一步理解對稱密碼的基本原理。最后，指出目前廣泛使用的對稱加密算法3DES、AES等。這部分內容大約需要20分鐘完成。

引入案例4，打開顯示有下載軟件的SHA1或MD5值的網頁。提問學生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法，其作用是生成數據的指紋，可用來檢測對原始數據的更改。接下來引入案例5，打開帶有數字簽名文件的屬性對話框。比如QQ安裝程序，查看數字簽名的詳細信息，指出數字簽名的含義和作用，并說明QQ安裝程序是經過騰訊公司簽名的，如果顯示“該數字簽名正?！?，則該程序是原始程序，否則被修改過，不要安裝。接下來繼續查看數字簽名對應的數字證書，查看數字證書中的哈希算法（通常是SHA1）和簽名算法（通常是SHA1RSA）。此時，就可以講授公鑰密碼的一些概念了。和對稱密碼對比，指出公鑰密碼的特點。告訴學生RSA是流行的公鑰密碼算法。當學生記住這些概念之后，就可以指出數字證書的作用了：保證公鑰的真實性。然后告訴學生證書對話框中的公鑰。接著，進一步說明數字簽名及驗證簽名的大致過程，并以QQ安裝程序為例進行說明。到此，公鑰密碼、數字簽名和數字證書的概念已經講授完畢。建議進一步向學生說明，他們所看到的數字證書，實際上是由權威機構簽名并頒發的，在證書路徑上可以看到簽名的權威機構，并讓學生看一看計算機上已安裝的“受信任的根證書頒發機構”列表。這部分內容大約需要30分鐘完成。

知識單元④。引入案例6，打開啟用了安全連接的網頁，比如中國銀行的“個人客戶網銀登錄”，提問學生該網頁與普通網頁有什么不同？然后，單擊瀏覽器上的小鎖，讓學生看到“連接是加密的”字樣；單擊“查看證書”，告訴學生這個證書如果是被信任的，則說明所訪問的網站是官方網站。接下來，打開鐵路12306網站，單擊“購票”，指出證書不被信任時電腦的表現。單擊“繼續瀏覽網站（不推薦）”，單擊瀏覽器上方的“證書錯誤”，提醒學生注意顯示的信息。進一步“查看證書”，解釋不被信任的原因。接下來，說明如果所訪問的網站的確是官方網站，如何讓計算機信任它。根據需要，可以進一步說明“受信任的根證書頒發機構”的作用。到這里，就可以指出https與SSL的關系，以及SSL的作用了。之后，簡單介紹一下SET的作用，并指出SSL和SET在應用上的主要區別。引入案例7，如果有現成的釣魚網站，直接打開它。如果沒有，則找一個以往釣魚網站的圖片示例。比較真實網站和釣魚網站的差別，指出釣魚網站的危害性，并給出被釣魚網站欺騙的實際案例。然后，指出識別和防范釣魚網站的方法，比如通過網址識別、啟用瀏覽器的假冒網站檢測功能等。告訴學生不要輕信郵件、QQ、微信、微博等上面的鏈接，特別是要求給出敏感信息的鏈接。同時提醒這種網絡欺詐行為也是一種計算機犯罪。案例6、7所涉及的知識點大約需要30分鐘完成。知識單元⑤。引入案例8，給出典型的示例，比如2014年1月21日的國內大量網站無法訪問這個事件。然后指出拒絕服務攻擊的含義，并說明拒絕服務攻擊只是網絡攻擊的一種形式。然后指出其他攻擊形式，比如傳播惡意軟件、釣魚網站、郵件欺騙、社會工程、網絡竊聽、網絡掃描攻擊等。給出網絡攻擊的目的、一般過程，以及防范技術和方法，比如防火墻及IDS。同時提醒學生，網絡攻擊也是一種犯罪行為。引入案例9，指出從2011年年末開始，因特網用戶資料不斷遭到大規模泄露。打開與此相關的網絡新聞報道，提問學生是否資料遭到泄漏。

然后給出用戶資料遭到泄漏的兩種原因：用戶資料庫泄漏和撞庫。告訴學生目前第一種情況越來越少，更多的是第二種情況。提醒學生不要在不同的網站上使用同樣的賬號和密碼，特別是密碼，否則會遭遇撞庫攻擊而影響到其他賬戶的安全。另外密碼不能太簡單，不要用生日、電話、QQ號碼、親朋好友寵物的名字等作為密碼。案例8、9所涉及的內容大約需要30分鐘完成。知識單元⑥。引入案例10，首先說明Windows系統已經提供了許多保障系統安全的工具。然后逐個演示Windows系統更新、Windows防火墻、WindowsDefender、MRT和EFS的基本操作。同時說明系統更新的作用及漏洞的含義，說明防火墻的作用，說明WindowsDefender與MRT的作用和它們的區別，說明EFS與對稱及公鑰密碼的關系，并指出使用EFS時需要注意的事項。接下來，演示Windows賬戶設置及訪問權限設置，指出它們的含義、作用，通過創建新的賬戶，并設置某個文件夾或文件的NTFS訪問權限，讓學生切實感受到Windows賬戶和NTFS相結合的強大之處，促使學生理解并掌握相應的操作技能。這部分內容大約需要40分鐘完成。知識單元⑦。引入案例11，給出典型的示例。比如在公共的免費Wi-Fi環境中對信用卡信息進行操作，導致信用卡里的錢款被盜的新聞事件，使用公共Wi-Fi導致手機感染病毒的新聞事件，指出示例中的計算機犯罪行為。然后指出公共Wi-Fi可能帶來的兩類威脅：個人敏感信息的泄漏，和偽裝Wi-Fi攻擊。給出防范措施：不登錄郵箱、微博，不操作網銀等。另外，移動設備Wi-Fi連接僅在需要時打開；開啟安全軟件的網絡保護和隱私保護功能。然后，指出移動設備的其他安全威脅，比如惡意軟件、設備丟失等。提醒學生除了采用前面第②單元提到的安全措施，還應該經常備份手機中的重要數據，開啟手機鎖碼功能。這部分內容大約需要20分鐘完成。知識單元⑧。本知識單元的知識點已經分散到他知識單元的案例中了，不需要專門的教學說明。至此，信息安全的全部知識點都已講授完畢?？梢院唵蔚乜偨Y一下所講授的主要內容，并再次給出信息安全的含義和目標，促進學生對它們的理解和掌握。

3教學實踐及效果

在兩個2014級新生班級的計算機基礎課程中，按照上面的教學策略，我們進行了信息安全的教學嘗試。時間安排在計算機網絡部分結束之后的兩周內，共3個下午，每次2學時，實際使用學時不到6個。在計算機基礎課程結束之后（三周后），我們再次使用原來的調查問卷對這兩個班的學生進行了調查（回收問卷120份），并和上一次對2013級學生（當時也是新生）調查的結果進行了比較。見表3、表4、表5。順便說一下，上一次的調查問卷是基于學生沒有經過系統的信息安全學習而設計的，其中有不少題目選項并不適合本次調查，所以表3、表4、表5中的題目選項要比文獻[5]中對應的表少一些。很明顯，和2013級學生相比，2014級學生對信息安全術語的了解比例大幅度提升。結合上一次的調查結果及分析[5]，表4中2014級學生對A、B、C三項的選擇比例基本上是一致的，說明他們的確比較了解加密等安全技術。選項D的選擇也說明了這一點。很明顯，2014級學生比2013級的學生有更強的信息安全意識?？傊?，經過比較系統的學習，盡管只使用了不到6個學時，學生對信息安全的基本知識已經有了比較深入的了解，信息安全意識也得到顯著的提高。

4結語

篇(7)

安全威脅變局

2007年，垃圾郵件、電腦病毒等傳統的安全問題依然是CIO需要防范的重點。不久前，Gartner了年度安全軟件市場增長評估報告，預測2007年的銷售額將在2006年全年82億美元的基礎上增長10.7%，其中將有53.8%，約為49億美元的銷售額來自反病毒市場。

與此同時，安全威脅的性質正在發生實質性的轉變?，F在的黑客和病毒編寫者已經不再傾向于使網絡癱瘓，他們更關注的是如何通過網絡獲取經濟利益。不同來源的行業報告均顯示，通過木馬程序等方式竊取商業和個人機密信息的行為，以及被遠程黑客控制的計算機數量均呈上升勢頭。隨著信息的海量增長，包括各種數據和應用的信息資產對于企業運營正發揮日益重要的作用，對企業應用和數據的進攻正在取代對企業網絡環境的進攻成為主要的威脅。

一份IBM專門針對中國企業安全性的調查顯示，有38%的中國企業已經意識到，信息安全比實際犯罪對他們的業務更具威脅，企業的品牌和聲譽很容易因此造成嚴重的損失。面臨變化了的安全環境和不斷加劇的威脅，企業需要加強信息安全意識，從信息資產管理的宏觀角度建立安全防御體系。

樹立風險導向意識

目前中國的安全市場仍然以安全產品的銷售為主。廠家和用戶從購置產品的角度看待威脅，在應對病毒破壞、黑客攻擊等問題時，基本停留在“兵來將擋”的階段。總體而言，企業在安全項目方面的回報并不很好，花了很多錢卻沒有用在企業需要用的地方。其中一個原因是企業難以認識到自己的風險所在，也就難以從投資回報的角度衡量安全投資。同時，安全又是一個涵蓋很廣的領域，不同的廠家、集成商和用戶對安全的理解各有千秋，但有限范圍內最好的選擇未必在全局上發揮最好的效果。

內部的安全漏洞和來自外部的威脅在數量和范圍上都呈現愈演愈烈之勢，也給企業用戶提出了嚴重的挑戰。針對企業在信息安全領域的管理、項目規劃及信息技術的投資比例，筆者認為企業在信息安全管理方面可劃分為四種模型，分別為事件導向、工具導向、流程導向和風險導向。

事件導向型企業或者對信息安全的認識較為薄弱，或者缺乏足夠的技能和資源來應對安全問題，對安全攻擊基本處于遇到問題再解決的被動響應狀態。面對每年數量呈直線上升的各類病毒在網絡上流行并不斷生成新的變種，購置一些基本的防毒設備不可能做到萬事大吉。同時，攻擊者正在不斷改進攻擊方法和逃避檢測，并更快地利用已知漏洞發起“零日攻擊”。這都對事件導向型企業的信息安全管理提出挑戰，由于缺乏業務連續性規劃，一旦遭受攻擊就會導致業務中斷，給這類企業帶來損失。

工具導向型企業擁有較多的安全預算，能夠主動意識到安全問題，遇到問題習慣于通過安全技術或工具來解決，安全管理呈分布式。這類企業通常都在業務運營中大量應用IT技術，對于業務連續性、時效性具有很高的要求，不能承受業務中斷帶來的損失。由于業務擴展和防范未知風險的需要，他們不可能等待一個安全問題暴露出來才去應對，因此有較完善的安全規劃，并主動投資、積極部署最新的安全技術。電信、金融等行業是這一類別的典型。他們需要關注的是需要加強安全管理方面的工作，以配合相關安全技術與工具真正發揮作用。

流程導向型企業受預算等限制，在安全方面的投入不會很多，而側重于從管理的角度減少安全威脅，加強對人員和流程的控制力度。通常企業會建立較為完善的安全制度和組織。這類企業包括在中國市場的一些外資企業和信息安全觀念較強的民營企業。需要關注的是如何將安全的管理制度落地。

以上三種類型的企業在信息安全上都存在不足，沒有從企業風險控制的全局出發來看待安全威脅。IBM提倡風險導向型的信息安全管理，這是一種采用工具與流程相結合的方式，也是最為成熟的風險管理模式。風險導向型的企業能夠識別風險和確定風險的優先級，根據識別出來的不同類別的風險，決定是加強管理、改善流程，還是進行技術投資，從而做到有的放矢，集中有限的資源應對企業面臨的主要威脅。

如何掌控風險

安全項目最大的回報在于降低風險對企業運營帶來的損失，但如何才能真正從風險管理的角度進行信息安全建設呢？筆者建議，企業首先需要了解有哪些風險存在，預測、評估其發生的可能性以及對企業的影響程度，盡可能量化風險，然后根據優先順序，采取適當的預防措施。

僅僅通過預防只能在一定程度上降低風險，而無法解決所有的問題，這時還需要通過制定周密的安全策略以保護企業的關鍵信息。在防范信息安全風險的同時，用戶也應該認識到，任何企業都不會有足夠多的人力、物力和財力完全消除風險，要達到100%的信息安全其實是一種不符合客觀實際的期望。筆者認為信息安全管理的目標是通過控制方法，把信息風險降到最低，使成本支出達到一個非常合理的狀態?？傆幸恍╋L險是不能避免的，把這些風險分類記錄下來，并最終接受它，才是一個理智的風險管理者應有的態度。

信息安全的基本原則要求我們了解風險，并在了解情況的前提下進行決策，以根據消除風險所需要的成本，決定對風險做出反應或者接受。樹立風險導向的信息安全管理意識，最終目的在于提高信息安全項目的投資回報，將IT風險作為企業運營風險中的一部分加以管理。

建立完整安全架構

當前信息安全的發展趨勢已經不僅僅是升級傳統的安全產品，而是從業務策略和整體系統上來考慮安全問題，幫助企業建立安全、完善的IT環境，以應對來自內外部的攻擊，降低風險和損失。因此，全方位的安全策略及解決方案對保護企業信息系統的安全不可或缺。

對于多數企業而言，目前都已制定了相關的制度和流程，但還沒有企業級整體的信息安全規劃和建設，信息安全還沒有或很少從整體上進行考慮。IBM企業IT安全服務是一套針對企業信息安全管理的完善解決方案，能夠協助企業更加全面地認識信息技術、評估企業的信息安全隱患及薄弱環節，進一步完善企業安全架構，為企業的應用構建高度信息安全的運行環境，共同規劃、設計、實施、運作，從而保護企業信息系統的安全。

隨著中國信息化進程的發展，信息資產在企業中的重要性不斷提升。企業管理者不應該再將信息安全看作一個孤立的或是純技術的問題，而要從企業運營的全局角度整體看待，制定與企業特點和成長潛力相適應的安全管理架構。

關注市場變化

完善的安全架構必須能夠因應市場的變化進行調整，IT部門的決策者必須密切關注市場的變化。2007年安全用戶在三類需求上將有突出的增長。CIO需要更好地應對日益增長的法規遵從性要求，更多地關注應用層面，與此同時，積極利用外包的機遇實現更好的投資回報。

在中國，隨著信息安全和上市公司相關立法的完善，法規遵從性和相關審計在行業中的要求也正在不斷普及，越來越多的公司和行業正努力去滿足法律所規定的安全要求。企業在信息管理方面需要做到三點:信息的完整性、信息的保密性和要求信息能夠在適當的時間以適當的格式被訪問，這都與信息安全密不可分。保護企業數據安全，達到法規遵從性的要求將是CIO們2007年的一大職責。