发布时间:2023-04-17 17:25:04
序言:写作是分享个人见解和探索未知领域的桥梁,我们为您精选了8篇的中国信息安全论文样本,期待这些样本能够为您提供丰富的参考和启发,请尽情阅读。
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
查看更多《中国信息界》杂志社信息请点击: 《中国信息界》编辑部
战略与政策
(5)广播电视网络在三网融合中的对策研究 李大珊 梁跃 鲁英杰 袁韵峰 蒋安玲 裴多
实践与应用
(9)村级电子政务现状及发展对策分析 赵丽敏 廖桂平 陈艳 姚元森
(13)智慧城市的发展和问题浅析 彭保
(15)市民卡建设推广的思路和路径浅析——以南京市市民卡建设和推广为例 顾颖
(17)团结湖智慧街道建设探索与实践 李容珍 徐锋 马哲 邱逸
(19)科学规划智慧莱州建设 加快推进县域经济 吴琼 施瑞军 曲锡峻 陈爱峰 吴开平
(21)大力推进智慧城市建设 邓小勇
(27)资源整合下的政府数据中心建设研究与实现 严爱明
(31)省(市)国资委信息化建设策略与系统架构研究 杜罗砷
(33)浅析后危机时代江苏省中小企业“云”改造模式 葛福江 姚立
(35)企业信息安全问题研究 刘文华
(37)基于itil理念的高校云服务资源管理研究 方力 沈鑫 叶昭晖
(39)电子商务专业能力培养与课程设置满意度研究 赵丽 付华
(41)提升党校教师信息素养要念好“四字经” 张青
(43)我国汽车制造业erp系统应用研究 李志刚
(45)烟草农业信息化的困境与对策 彭俊
(47)可编程短波数据处理终端的设计与实现 朱贤斌
(49)it服务持续性管理的风险评估和预防措施的最优化选择 朱光
(52)长春市政务信息资源目录体系规划设计研究 柳羽辉
(54)基于starlims平台的实验室信息管理系统工作流配置的研究 马文俊 张家勇 罗承渺 胡卫民
(57)从“国家检察官学院吉林分院内部办公业务网”建设谈项目的整体管理 赵淑霞
(59)基于oracle的epdm模型数据迁移策略研究 孔明华 顾娟
(61)探析物联网在石油行业的应用 王伟 陈奇志
(63)基于云计算模式的应用系统集中管理技术开发与应用 单延明 吴钧 李大勇 王志敏
(65)勘探战略选区信息化平台的建设及应用 冯红君 马玉龙 滕良娟 段非 张海勇
(67)应用油水生产数据分析技术判别水平井水侵类型的研究 刘斐
(69)云gis在石化行业总图管理系统中的应用实践 廖志锐 刘争飞 刘力嘉 任宗雷 徐
(72)面向流程行业mes系统的虚拟化硬件架构 谷克宏 黄岷 张振宇 朱家兵
(74)万兆交换机在企业中的应用研究 李淑倩 杨敏 关宇
(76)玛河气田智能建设试点设想 蔺胜利 滑晓辉 单鸿飞
(78)智能安防报警系统的研究与应用 门虎 郭振杰 武旭
(81)智能巡检系统在克拉美丽气田的应用 杨斌 张扬 蔺胜利
(83)石油企业网络信息安全的监控系统研究与应用 于顺安
学子园地
(85)“沙集模式”未来发展之路——在“小即是美”与“大是所趋”之间的抉择 齐志强
(89)电子政务系统-环境生态学测评指标分析 夏宜君
报告与方案
(92)信息通信技术对超链接社会的影响分析 无
海外论文
(98)因特网是我们生活的主页 张进京(译)
资讯
(104)以信息生产力推动“新四化”及社会转型 无
(104)《中国经济向何处去——基于信息经济学的分析》新书会在京召开 无
多年来,得安科技先后承担并参与了30多项国家和地方科研项目和产业化任务,并在面向金融领域的关键安全技术、信息安全基础设施关键技术体系研究等关键领域做出了突出贡献,取得了创新性的科研成果。得安科技载誉业内的实事,让我们不得不去关注隐藏在其高速发展背后的研发实力和技术动力。今天的得安,对其自身如何定位?其发展潜力何在?以得安科技为代表的密码核心技术提供商又如何看待国内信息安全市场发展趋势?为寻找这些问题的答案,中国信息化周报记者约访了得安科技技术总监孔凡玉。
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1) 核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2) 量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3) 运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
二是“领先”。“领先”是指保持公司的核心竞争力,是对“创新”理念的拓展。不仅要“创新”,还要领先一步,在新的技术出现和产业变化来临之际,率先致力于未来核心技术和产品的研发,领先于时代,领先于同行。
关键词:医院;信息安全系统;关键环节;策略
前言
医院信息系统又被称为医院管理信息系统,主要是通过计算机技术、网络通信技术以及信息技术等现代化手段,对医院各部门的人流、物流以及财流进行综合管理,并对医院各个活动阶段所产生的数据进行采集、整理、分析,从而加工成各种信息,用于医院整体运行、管理,为医院制定管理规划提供充分的理论依据。尤其是随着近几年我国医院信息系统规模日益扩大,医院信息系统覆盖的范围也越来越广,信息系统中的数据越来越多,对于数据安全性的要求也越来越高,使得医院信息系统中存在的安全问题开始突显出来。为了实现医院可持续、长远发展目标,医院必须将建立完善的信息安全系统作为重任,重点研究医院信息安全系统存在的问题。
一、医院信息安全系统的关键环节
信息安全直接关系医院发展,而医院信息安全系统包括的内容比较多,其关键环节的安全对信息系统安全发挥着极为重要的作用。
(一)硬件安全
医院信息安全系统中硬件属于关键构成部分,决定医院信息安全系统能否充分发挥其重要作用。硬件部分主要包括中心机房、服务器、网络设备以及连接线路等,确保硬件安全,才能为系统安全运行提供充分的保障。其中,中心机房属于医院信息系统的核心构成部分,影响中心机房安全稳定运行的因素主要包括稳定的电源、专用的空调设备以及监控报警系统等,保证这些因素健全,就可以确保中心机房安全稳定运行。服务器在医院信息系统中的重要性仅次于中心机房,对于医院信息系统安全也具有十分重要的作用。网络设备是医院信息系统的核心交换机,其交换机等同于中转站,通过连接各种信息设备,为医院信息共享提供充分的保障。
(二)软件安全
医院信息系统中的软件部分主要包括数据库、终端和应用软件,其中数据库是医院信息安全系统的关键环节,数据库的安全运行建立在服务器安全运行的基础上,它不仅关系数据库软件的安全运行,对于数据库中数据的安全备份以及恢复也有着极为重要的作用。随着网络通信技术和信息技术在医院广泛应用,医院数据信息、医疗资料的管理越来越依赖信息系统,信息系统中数据备份和恢复的功能,能够充分确保信息安全,对于医院制定发展规划可以提供科学的理论依据,有利于实现医院稳定、持续发展目标。
(三)其他因素
医院信息安全系统运行质量不仅受系统自身的影响,还受其他因素的影响。其中,人的因素是最为重要的影响因素,主要是因为管理人员直接参与医院信息管理,作为保证医院信息安全系统安全稳定的关键环节之一,也需要不断提高信息管理人员的综合素质和专业水平,只有这样才能为医院信息系统安全运行奠定坚实的基础。
二、医院信息安全系统关键环节的有效策略
(一)硬件安全运行策略
医院信息系统主要有硬件和软件两部分组成,直接关系着系统的运行质量。由于医院信息系统中的中心机房一般处于温度、湿度以及噪声等比较恶劣的环境,为了确保中心机房安全运行,必须从这些方面出发做好安全策略。为了保证医院信息系统反馈的信息具有有效性和可靠性,应该在中心机房中安装报警系统,利用报警系统及时反馈信息,通过对信息的分析,找出中心机房运行中存在的故障,并采取有效措施及时解决故障。除此之外,中心机房还需要采取双路供电,在中心机房中配备满足要求的UPS设备,避免雷电袭击对中心机房运行安全形成不利影响。服务器在医院信息系统中的重要性仅次于中心机房,为了确保服务器可以充分发挥作用,应该对服务器进行定期的安全评估,对操作系统和应用软件进行补丁升级,及时做好系统备份,安装相应的杀毒软件,及时查杀服务器中存在的安全隐患,防止黑客和病毒对服务器的攻击,只有这样才能确保中心机房可以安全稳定运行,促使医院信息系统可以充分发挥重要作用。
(二)加强人员培训,提高人员专业水平和职业素养
人为因素在医院信息安全系统运行中发挥着不可替代的重要作用,而医院信息系统主要以现代计算机技术为主,计算机应用能力直接决定信息系统的安全性和稳定性。为了促使医院信息安全系统可以安全、稳定运行,必须加强信息从业人员职业道德和专业水平的培训,不断提高从业人员的职业素质和专业水平,促使从业人员可以在医院信息安全系统管理工作中充分发挥重要作用,利用自身的专业水平及时解决系统运行中存在的故障。除此之外,对于应用软件在医院信息安全系统中存在的问题,应该从各个层面出发,确保应用软件的安全。在应用软件安装前对其进行严格的测试,且对重要数据进行加密,促使应用软件可以充分发挥重要作用。
结束语
综上所述,医院信息系统存在的主要目标是保障医院的行政管理和事务处理业务,提高医院工作效率和工作质量,通过庞大的数据库,为医院制定发展规划和决策提供科学的理论依据,从而最大限度降低医院管理成本,提高医院的经济效益和社会效益,为医院实现长远、可持续发展目标提供充分的保障。所以,必须从医院信息安全系统关键环节出发,找出其有效策略,充分发挥信息系统在医院发展中的重要作用。
参考文献:
[1]苟文强.构建医院网络安全系统,保障信息系统安全[C].//2014中华医院信息网络大会论文集.2014:1-3.
[2]张乐,刘黎.关注民生保障母婴安全――无锡锡山人民医院应用银江婴儿安全系统[J].中国信息界-e医疗,2010,(11):54-55.
论文摘要:结合单位的实际,分析了现有计算机专业课程特点和不足,讨论了高师计算机专业学生开设信息安全法律法规课程的必要性、可行性,分析了信息安全技术课程、与信息安全有关法律法规课程的特点.给出了高师信息安全法律课程的教学目标定位、设置方法.
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
论文关键词:政策 法律法规 标准 信息化水平
论文摘要:实现信息化就是要构造和完善信息化体系,而信息化的政策、法规和标准是国家信息化快速、有序、健康发展的保障。因此,为加速信息化建设,就必须制定一系列相应的政策,提供行政支持;为保证信息化建设的安全性、合法性,就必须完善法律法规;为保证信息化基础设施建设可用度、高质童和互通性,就必须加快信息化标准体系建设。
2002年3月19日,国家信息化测评中心(NIEC)在京公布了国家信息化指标测算第一批数据,同时了国家信息化水平研究报告。据报告显示,2000年国家信息化指数(NIQ)为38. 46,与1999年的30. 14和1998年的25. 89相比,有较大提高。其中,信息技术应用指数最高为65. 89,表明中国信息技术应用得到较快发展,信息技术和网络技术正向各个领域广泛渗透,对经济结构调整和传统产业的改造开始发挥重要作用,成为拉动中国信息化水平提高的主要因素。信息产品和服务发展指数为53. 78,表明我国信息产业持续高速发展,正在改变我国工业化的面貌,并逐步成为国民经济的重要支柱产业。信息资源开发利用指数为45. 29,表明随着互联网络的飞速发展,我国的互联网络信息资源也得到了很大的发展。但是我们仍不能乐观,因为信息环境发展指数仅为21. 86,在各要素中水平较低,表明信息化发展与其软环境建设的不相适应。
1 加强信息化发展的政策研究
近年来,我国已经推出了一系列的促进信息产业发展和加快信息化进程的政策,如加快我国微电子、软件及通讯产业发展的一系列政策,对推动我国信息化的发展发挥了重要作用。信息化建设的不断深人,迫切要求我们更进一步加强对信息化发展的政策研究,分清轻重缓急,逐项予以落实,以适应信息化发展的需要。例如,在信息产业发展方面.当前比较急需的有帮助我国信息产业提升竞争力的政策,鼓励风险投资的政策,扶持信息技术相关中、小企业的政策,信息技术人才引进和出口的政策,加快信息技术人才培养力度的政策,鼓励互联网发展的政策等等。在政府信息化方面,有非密政府信息公开和政府信息资源共享及管理的政策,政府网络与互联网关系的政策,政府信息化中的技术政策和采购政策,政府信息化中的外资利用政策,私人企业在政府信息系统开发中的地位和作用的政策,政府的信息安全政策等等。在推动社会信息化方面,需要有缩小数字鸿沟的政策、帮助西部地区加快信息化发展的政策。考虑到信息技术和互联网在未来的发展,适时制定促进电话网、数据通讯网、有线电视网和无线通讯网“四网合一”的政策,促进各个服务网络互联互通的政策,鼓励境内网址在国内注册域名和限制境内网址在境外注册域名的政策等都会对我国互联网络的发展产生重要影响。信息化发展需要方方面面政策的指引,因此,很有必要组织人力进行研究,以分清轻重缓急,并逐项加以落实。
2完善信息化建设的法律法规
到目前,我国已出台了一些规范信息化建设的法律、法规,但存在的问题仍不容忽视。一是缺少必要的基本法,立法层次低,多头管理,相互冲突的情况时有发生;二是已有的立法中有诸多缺陷,难以适应规范信息化建设、打击网络犯罪的实际需要。如我国刑法对计算机犯罪的主体仅限定为自然人,而对其处罚却既没有罚金刑,也没有资格刑;在诉讼法中也缺少对“电子证据”的规定;三是缺少大多数发达国家及一大批发展中国家有关电子商务的法律。我国网络基础设施已列世界第二,但网上经营的数额在世界上还排不上名次,原因之一就是我们缺乏法律规范,阻碍了网络市场的发展;四是在以法律手段鼓励网上传播中国的声音、防范国外不良文化与道德的人侵方面还显得不够。因此,完善法律法规,以规范和解决信息化建设中存在的问题很有必要。
首先,应认真研究信息化建设立法的国际动向,积极参与保障信息化建设安全的国际合作。因为,认真研究信息化建设立法与管理的国际动向,一可以使我们在制定相关国内法及实施管理时,借鉴国外成功的经验“为我所用、二可以使我们在打击跨国计算机网络犯罪时,在因网络侵权、网络商务中违约等跨国的民、商事纠纷产生时,更好地开展国际合作。
其次,应将信息化建设立法问题作通盘研究,尽早列人国家立法规划,立法重点要逐步向信息网络转移。一是应尽早制定一部网络基本法。在网络基本法出台前,可先着手制定某些急需的单行法,成熟一个制定一个,如可在《电信条例》基础上,尽快制定电信法。二是在正起草的有关法律中,注意研究与增加涉及信息网络方面的内容,如正在起草的证据法,应重视“电子证据的有关内容”。三是在修订现有法律时,也应注意增加涉及信息网络的内容。如在修订《刑法》时,应考虑针对计算机网络犯罪的特点,增加法人(单位)犯罪、罚金刑等内容;修订《合同法》、《著作权法》、《商标法》、《专利法》、《消费者权益保护法》时,应增加对网络作品著作权的保护条款,增加对恶意抢注他人商标为域名的处罚条款等等,使现有法律外延包括电子商务活动。
第三,与政策的制定一样,地方的法律法规制定也应在国家和省已有的法律法规框架下进行。但这并不意味着地方就无所作为,地方也需要研究国际上的经验教训和现有法规,需要研究国家已有的法律法规,对照本地的实际情况,加以落实或补充。
3加快信息化标准体系建设
信息化的先进性主要体现在信息资源的共享性,如果没有统一标准,信息将无法共享,也将无法实现这一先进性。因此,为了推动信息化建设工作,使信息化工作能持续健康地发展,就必须首先研究和制定信息化的标准体系。因为,信息化标准体系的研究和制定是信息化工作实施的关键环节。信息化中的标准主要包括:数据/信息标准、技术标准和安全标准。下面以政府信息化为例来做一说明。
数据/信息标准主要是明确的定义和规定政府信息的标准和采集与应用的规范。同时,还应对政府信息的生命周期以及在其生命周期的每一个阶段的管理问题作出规定。一切形式的政府信息,包括印刷品、音像制品、电子文件等都是国家和政府的一种战略资源,在其整个生命周期都应妥善管理。此外,关于政府工作过程的信息,关于各种技术和应用的信息,也是一种信息资源,应该和政府信息本身一样按相同的原则制定标准进行管理。在中央和地方各级政府,政府管理的业务流,如财务管理、人事管理、文档管理等,也必须逐渐地走向规范化和标准化,从而使其所伴随的信息流也趋于标准化和规范化。只有在这样的基础之上,政府管理信息系统的各个“要素”才有可能标准化和规范化。
技术标准是对政府信息化过程中所使用的计算机与通讯系统的软、硬件制定统一的标准,以便于政府内信息的交流和共享。例如操作系统的标准,通讯协议的标准,计算机的标准,服务器的标准,浏览器的标准,电子邮件的标准,以及数据库的标准等等。此外,技术标准还应包括方法学的标准、软件工程管理的标准。
安全标准是系统安全管理的一个重要阶段。对哪一级、哪一类的信息系统必须实行哪一级的安全管理,需要通过标准来加以规范。安全标准应首先明确信息的所有权和隶属关系,明确信息安全的责任者。安全标准包括物理安全标准和技术安全标准。物理安全指对系统、设备、工作环境等在物理上采取的保护措施;技术安全则包括口令和密钥、数据加密标准、防病毒、防黑客以及各种加密措施等等。
论文关键词:高师计算机专业;信息安全;法律法规课程
人类进入21世纪,现代信息技术迅猛发展,特别是网络技术的快速发展,互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球.
网络已成为人们尤其是大学生获取知识、信息的最快途径.网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式,而且正影响着他们的人生观、世界观、价值取向,甚至利用自己所学的知识进行网络犯罪,所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说,面临着前所未有的机遇和挑战,这不仅因为,自己一方面要传授学生先进的网络技术,另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看,违法与不违法只是一两条指令之间的事情,更重要的是高师计算机专业学生将来可能成为老师去影响他的学生,由此可见,在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义.如何抓住机遇,研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题.本文主要结合我校的实际,就如何在高师计算机专业中开设信息安全法律课程作一些探讨.
1现有的计算机专业课程特点
根据我校人才培养目标、服务面向定位,按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路,沟通不同学科、不同专业之间的课程联系.全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类,下面仅就计算机专业课程的特点介绍.
1.1专业基础课程专业基础课是按学科门类组织的基础知识课程模块,均为必修课.目的是在大学学习的初期阶段,按学科进行培养,夯实基础,拓宽专业口径.考虑到学科知识体系、学生转专业等需要,原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同.主要内容包括:计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等.
1.2专业方向课程各专业应围绕人才培养目标与规格设置主要课程,按照教育部《普通高等学校本科专业目录》的有关要求,结合学校实际设置必修课程和选修课程.同时可以开设2—3个方向作为限选.学生可以根据自身兴趣和自我发展的需要,在任一方向课程组中选择规定学分的课程修读.主要内容包括:计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等.
1.3现有计算机专业课程设置的一些不足计算机技术一日千里,对于它的课程设置应该具有前瞻性,考虑到时代的变化,计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员,现有我校的计算机专业课程是针对这一目标进行设置的,但这一设置主要从技术的角度来考虑问题,没有充分考虑到:随着时代的发展,人们更广泛的使用网络、更关注信息安全这一事实,作为计算机专业的学生更应该承担起自觉维护起信息安全的责任,作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情.
2高师计算机专业学生开设信息安全法律法规的必要性和可行性
2.1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成,是一个“以信息安全理论为核心,以信息技术、信息工程和信息安全等理论体系为支撑,以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系.该学科交叉性、边缘性强,应用领域面宽,是一个庞大的学科群体系,涉及的知识点也非常庞杂.
仅就法学而言,信息安全涉及的法学领域就包括:刑法(计算机犯罪,包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支.因此,信息安全教育不是一项单一技术方面的教育,加强相关法律课程设置,是信息安全学科建设过程中健全人才培养体系的重要途径与任务.
高师计算机专业,虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程.但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力,只要具备这些能力且信息安全意识不强的人,都可能有意识或无意识的干出违反法律的事情,例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生.由此可见,在高师计算机专业的学生中开设相关的法律法规选修课程是必要的.
2.2可行性技术与法律原本并不关联,但是在信息安全领域,技术与法律却深深的关联在一起,在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联.从本质上讲,信息安全对法律的需求,实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候,对这些可能性做出选择扬弃、利益权衡和价值判断的需要.这也就要求我们跳出技术思维的影响,重视信息安全中的法律范畴.
根据前面对信息安全法律法规内容的特点分析可知:信息安全技术与计算机应用技术有着千丝万缕的联系.从事计算机技术的人员很容易转到从事信息安全技术研究上,加之信息安全技术是当今最热门技术之一,因此,在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受,具有可操作性.
3信息安全技术课程特点
信息安全技术课程所涉及的内容众多,有数学、计算机、通信、电子、管理等学科,既有理论知识,又有实践知识,理论与实践联系十分紧密,新方法、新技术以及新问题不断涌现,这给信息安全课程设置带来了很大的难度,为使我校计算机专业学生了解、掌握这一新技术,我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课.我校本课程具有以下特点:
(1)每学期都对知识内容进行更新.
(2)对涉及到的基本知识面,分别采用开设专业课、专业选修课、讲座等多种方式,让学生了解信息安全知识体系,如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等.
(3)对先修课程提出了较高的要求.学习信息安全技术课程之前,都可设了相应的先行课程让学生了解、掌握,如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程.
(4)注重实践教学.比如密码学晦涩难懂的概念,不安排实验实训,不让学生亲手去操作,就永远不能真正理解和运用.防火墙技术只有通过亲手配置和测试.才能领会其工作机理.对此我们在相关的课程都对学生作了实践、实训的要求.
4涉及到信息安全法律法规内容的特点
信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规.
4.1目的多样性作为信息安全的破坏者,其目的多种多样,如利用网络进行经济诈骗;利用网络获取国家政治、经济、军事情报;利用网络显示自己的才能等.这说明仅就破坏者方面而言的信息安全问题也是复杂多样的.
4.2涉及领域的广泛性随着网络技术的迅速发展,信息化的浪潮席卷全球,信息化和经济全球化互相交织,信息在经济和社会活动中的作用甚至超过资本,成为经济增长的最活跃、最有潜力的推动力.信息的安全越来越受到人们的关注,大到军事政治等机密安全,小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域.
4.3技术的复杂性信息安全不仅涉及到技术问题,也涉及到管理问题,信息安全技术又涉及到网络、编码等多门学科,保护信息安全的技术不仅需要法律作支撑,而且研究法律保护同时,又需要考虑其技术性的特征,符合技术上的要求.
4.4信息安全法律优先地位综上所述,信息安全的法律保护不是靠一部法律所能实现的,而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现.因此,信息安全法律在我国法律体系中具有特殊地位,兼具有安全法、网络法的双重地位,必须与网络技术和网络立法同步建设,因此,具有优先发展的地位.
5高师信息安全技术课程中的法律法规内容教学目标
对于计算机专业或信息安全专业的本科生和研究生,应深入理解和掌握信息安全技术理论和方法,了解所涉到的常见的法律法规,深入理解和掌握网络安全技术防御技术和安全通信协议.
而对普通高等师范院校计算机专业学生来说,由于课程时间限制,不能对信息安全知识作较全面的掌握,也不可能过多地研究密码学理论,更不可能从法律专业的角度研究信息安全所涉到的法律法规,为此,开设信息安全法律法规课程内容的教学目标定位为:了解信息安全技术的基本原理基础上,初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准.如:《中华人民共和国信息系统安全保护条例》,《中华人民共和国数字签名法》,《计算机病毒防治管理办法》等.
6高师信息安全技术法律法规课程设置探讨
根据我校计算机专业课程体系结构,信息安全有关的法律法规课程,其中多数涉及信息安全技术层面,主要以选修课、讲座课为主,作为信息安全课程的补充.主要可开设以下选修课课程或讲座课程.
(1)信息安全法律法规基础讲座:本讲座力图改变大家对信息安全的态度,使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题,让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规,主要内容包括:国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等.
(2)黑客攻击手段与防护策略:通过本课程的学习,可以借此提高自己的安全意识,了解常见的安全漏洞,识别黑客攻击手法,熟悉提高系统抗攻击能力的安全配置方法,最重要的还在于掌握一种学习信息安全知识的正确途径和方法.
(3)计算机犯罪取证技术:计算机取证是计算机安全领域中的一个全新的分支,涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题.本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术,并详细介绍了计算机取证所需的各种有效的工具,还概要介绍了美国与中国不同的司法程序.
论文摘要:金融机构网上业务的飞速发展,一方面使人们充分享受到网上金融服务带来的便利性,另一方面,网络应用层安全问题也日益受到人们的关注,成为金融机构亚待解决的问题。本文主要探讨了金融部门网络应用层安全现状和存在的问题,并提出了防范网络应用层安全问题的对策。
如今,金融部门越来越多的关键业务必须通过网络进行,尤其是网上银行、网上证券等新兴业务对网络的依赖性更强。然而,面对日益猖撅的黑客攻击,如计算机病毒、垃圾邮件、网页篡改、钓鱼网站等,网络应用层安全问题已经成为金融部门的头等大事,也是必须要解决的问题。本文主要探讨金融部门网络应用层安全现状和存在的问题,以及建设应用层安全防范体系的技术要求与管理要求。
一、金融部门网络应用层安全现状
网络信息安全是指网络系统的硬件、软件及其系统中的数据受到保护,不会遭到偶尔的或者恶意的破坏、更改、泄露,系统能够连续、可靠、正常地运行,网络服务不中断。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的边缘性综合学科。根据美国信息保障技术框架(iatf>给出的信息安全分层模型,信息安全体系结构如图1所示。
近年来,随着新设备的应用、新技术的发展和各种标准建设的开展,金融部门在物理安全、系统安全、网络安全防范等方面取得了长足的进步。但是,由于网络采用tcp/ip开放协议,协议本身的漏洞和网络技术的开放性,给信息安全带来了巨大的隐患。此外,随着金融部门网上增值业务的开展,特别是与网络相关的各种网络增值服务的不断增加,金融部门信息安全日益受到质疑和挑战。
二、金融部门网络应用层存在的安全问题
当前,金融部门网上信息系统受到来自公共互联网络的各类攻击和病毒人侵,对金融信息系统应用安全带来了威胁和挑战,如图2所示。
(一)计算机病毒互联网化、深度化、产业化带来的威胁
根据瑞星公司《2008年度中国大陆地区电脑病毒疫情&互联网安全报告》,2008年的病毒数量呈现出几何级数的增长,比2007年增长12倍以上,其中木马病毒5 903 695个,后门病毒1 863 722个,两者之和超过776万,占总体病毒的83.40}0。这些病毒都以窃取用户网银、网游账号等虚拟财产为主,带有明显的经济利益特征。2008年11月,中国金融认证中心对外《2008中国网上银行调查报告》,报告显示,2008年全国个人网银用户比例为19.9%,企业网银用户的比例达到42.8%,企业规模越大,使用网银的比例就越高。但是,安全性仍然是用户选择网银时最看重的因素。
(二)黑客人侵攻击
当前,金融部门主要采用传统的被动防御技术阻止黑客的人侵,通过采用防火墙、入侵检测、防病毒网关、漏洞扫描、灾难恢复等手段对重要金融信息系统进行防护。但随着网络攻击的自动化、智能化、手段多样化,这种静态的、被动的基于特征库的技术防御架构已经远远落后于网络攻击技术的发展,难以从根本上解决网络安全问题。
(三)网页篡改技术攻击
近年来,由于黑客技术日益泛滥,越来越多的网页篡改技术可以轻易穿透防火墙,绕过人侵检测等安全设施。当前网页篡改技术主要包括以下几个方面。
1.利用各种漏洞进行木马植人,然后利用木马程序进行文件篡改。
2利用窃听或者暴力破解的方法获取网站合法管理员的用户名、口令,然后以网站管理员的身份进行网页篡改活动。
3.利用病毒进行攻击。
4.网站管理员没有对网站进行有效的管理和配置,特别是用户名、密码资源管理混乱,攻击者往往利用这些漏洞进行网站攻击,获取权限,篡改网站。
网上拓展业务网页被篡改将影响业务的正常运行,严重影响企业的声誉。
(四)网络钓鱼技术攻击
网络钓鱼者通过建立域名和网页内容都与真正网上银行系统、网上证券交易平台极为相似的网站,引诱用户输人账号和密码信息,然后通过真正的网上银行、网上证券系统或者伪造银行储蓄卡、证券交易卡盗窃资金,从而引起严重的社会问题。
三、金融部门网络应用层安全问题的防范对策
针对上述金融部门网络应用层存在的安全问题,在推广金融信息系统安全等级保护的过程中,需要对各种安全风险进行合规性检查和风险评估,寻找防范各种应用风险的技术要求和管理要求。
(一)金融信息系统保障体系的技术要求
在经历了网络建设、数据大集中、网络安全基础设施等阶段后,为了能够进一步满足金融信息系统应用层安全的需要,构建起更加有效的整体防护体系。在技术方面,应该将更多的前沿技术融入到产品中,研发出效率更高、更加智能的反病毒引擎。同时,把防病毒、防垃圾邮件、防网页篡改、防钓鱼网站欺骗、防黑客攻击、防火墙等功能进行有效集成,从而增强金融信息系统防范各种风险的能力。
1.反病毒技术
伴随着网站挂马传播病毒、应用软件漏洞、钓鱼攻击、rootkit病毒、僵尸网络等安全隐患的持续增长,反病毒软件处理互联网问题的能力也持续得到增强。计算机病毒自动扫描技术从传统的、被动的特征代码技术,校验和技术朝智能型、主动型的启发式扫描技术,行为监测技术,虚拟机技术的方向发展。但面对“病毒产业”的互联网化,仅靠一种防计算机病毒技术已经不能对金融系统信息网络起到很好的保护作用。因此,金融部门网上银行、网上证券等网上拓展业务必须采用立体式安全防护体系,通过网络网关、互联网防护、服务器防护和客户端防护,综合利用各种前沿技术,建立金融信息系统反病毒工作的“深层防护安全模型”,在计算机病毒进人金融信息系统之前就将其屏蔽,从而确保金融信息系统网络安全。
2.主动防御技术
主动防御技术作为一种新的对抗网络攻击的技术,采用了完全不同于传统防御手段的防御思想和技术,克服了传统被动防御的不足。在主动防御技术体系中,由防护技术(边界控制、身份认证、病毒网关、漏洞扫描)、检测技术、预测技术、响应技术(人侵追踪、攻击吸收与转移、蜜罐、取证、自动反击)等组成,其优势体现在以下几个方面:一是主动防御可以预测未来的攻击形势,检测未知的攻击,从根本上改变了以往防御落后于攻击的不利局面;二是具有自学习的功能,可以实现对网络安全防御系统进行动态的加固;三是主动防御系统能够对网络进行监控,对检测到的网络攻击进行实时的响应。
随着网上金融的深入发展,金融系统防御体系必须由被动的防御体系转人主动防御体系,将神经网络技术、遗传算法、免疫算法、基于贝叶斯概率的内容过滤技术等新概念引人主动防御体系中,增强金融信息系统防御网络攻击的自适应、自学习能力。
3.网页防篡改技术
为了防止重要网上金融信息系统被篡改,金融部门除了需要对操作系统和应用程序进行合理配置外,还需要采用必要的技术手段对网页进行监视,以便及时发现篡改现象并进行恢复和其他处理。一是尽可能堵塞所有操作系统漏洞、限制管理员的权限、防止黑客利用恶意的http请求人侵系统,例如对网页请求参数进行验证,防止非法参数传人、sql注人攻击,从而阻止黑客的侵人;二是利用成熟的轮询检测技术、事件触发技术、核心内嵌技术等,以实现阻止黑客侵人后篡改的目的。但要想彻底地解决网页篡改问题,仅仅利用上面的一种或者两种技术是不够的,应该综合考虑和应用多种技术,才能够有效地解决问题。
(二)金融信息系统保障体系的管理要求
金融部门网上拓展亚务必须要有一套完善的管理制度相配合,金融部门要建立完整的应用层安全管理体系、运行维护体系,明确岗位职责,并且按照规护百的运维流程进行操作,从而更好地促进金融部门网上业务的安全可靠运行。但是,目前金融部门信息系统保障体系建设往往忽略安全设计,重技术,轻安全,人的安全意识不足。
以计算机病毒为例,目前的病毒产业链条由4个部分组成:挖掘安全漏洞、制造网页木马、制造盗号木马、制造木马下载器,这些环节形成了分工明确、效率快捷的工业化‘生产线”。但挖掘安全漏洞是病毒传播的基础,只要我们能够做好日常补丁更新工作,常见的病毒是很难侵人的,由此可见日常标准化、流程化管理的重要性。
