發布時間:2023-04-17 17:25:04
序言:寫作是分享個人見解和探索未知領域的橋梁,我們為您精選了8篇的中國信息安全論文樣本,期待這些樣本能夠為您提供豐富的參考和啟發,請盡情閱讀。
1.論信息安全、網絡安全、網絡空間安全
2.用戶參與對信息安全管理有效性的影響——多重中介方法
3.基于信息安全風險評估的檔案信息安全保障體系構架與構建流程
4.論電子檔案開放利用中信息安全保障存在的問題與對策
5.美國網絡信息安全治理機制及其對我國之啟示
6.制度壓力、信息安全合法化與組織績效——基于中國企業的實證研究
7.“棱鏡”折射下的網絡信息安全挑戰及其戰略思考
8.再論信息安全、網絡安全、網絡空間安全
9.“云計算”時代的法律意義及網絡信息安全法律對策研究
10.計算機網絡信息安全及其防護對策
11.網絡信息安全防范與Web數據挖掘技術的整合研究
12.現代信息技術環境中的信息安全問題及其對策
13.處罰對信息安全策略遵守的影響研究——威懾理論與理性選擇理論的整合視角
14.論國民信息安全素養的培養
15.國民信息安全素養評價指標體系構建研究
16.高校信息安全風險分析與保障策略研究
17.大數據信息安全風險框架及應對策略研究
18.信息安全學科體系結構研究
19.檔案信息安全保障體系框架研究
20.美國關鍵基礎設施信息安全監測預警機制演進與啟示
21.美國政府采購信息安全法律制度及其借鑒
22.“5432戰略”:國家信息安全保障體系框架研究
23.智慧城市建設對城市信息安全的強化與沖擊分析
24.信息安全技術體系研究
25.電力系統信息安全研究綜述
26.美國電力行業信息安全工作現狀與特點分析
27.國家信息安全協同治理:美國的經驗與啟示
28.論大數據時代信息安全的新特點與新要求
29.構建基于信息安全風險評估的檔案信息安全保障體系必要性研究
30.工業控制系統信息安全研究進展
31.電子文件信息安全管理評估體系研究
32.社交網絡中用戶個人信息安全保護研究
33.信息安全與網絡社會法律治理:空間、戰略、權利、能力——第五屆中國信息安全法律大會會議綜述
34.三網融合下的信息安全問題
35.云計算環境下信息安全分析
36.信息安全風險評估研究綜述
37.淺談網絡信息安全技術
38.云計算時代的數字圖書館信息安全思考
39.“互聯網+金融”模式下的信息安全風險防范研究
40.故障樹分析法在信息安全風險評估中的應用
41.信息安全風險評估風險分析方法淺談
42.計算機網絡的信息安全體系結構
43.用戶信息安全行為研究述評
44.數字化校園信息安全立體防御體系的探索與實踐
45.大數據時代面臨的信息安全機遇和挑戰
46.企業信息化建設中的信息安全問題
47.基于管理因素的企業信息安全事故分析
48.借鑒國際經驗 完善我國電子政務信息安全立法
49.美國信息安全法律體系考察及其對我國的啟示
50.論網絡信息安全合作的國際規則制定
51.國外依法保障網絡信息安全措施比較與啟示
52.云計算下的信息安全問題研究
53.云計算信息安全分析與實踐
54.新一代電力信息網絡安全架構的思考
55.歐盟信息安全法律框架之解讀
56.組織信息安全文化的角色與建構研究
57.國家治理體系現代化視域下地理信息安全組織管理體制的重構
58.信息安全本科專業的人才培養與課程體系
59.美國電力行業信息安全運作機制和策略分析
60.信息安全人因風險研究進展綜述
61.信息安全:意義、挑戰與策略
62.工業控制系統信息安全新趨勢
63.基于MOOC理念的網絡信息安全系列課程教學改革
64.信息安全風險綜合評價指標體系構建和評價方法
65.企業群體間信息安全知識共享的演化博弈分析
66.智能電網信息安全及其對電力系統生存性的影響
67.中文版信息安全自我效能量表的修訂與校驗
68.智慧城市環境下個人信息安全保護問題分析及立法建議
69.基于決策樹的智能信息安全風險評估方法
70.互動用電方式下的信息安全風險與安全需求分析
71.高校信息化建設進程中信息安全問題成因及對策探析
72.高校圖書館網絡信息安全問題及解決方案
73.國內信息安全研究發展脈絡初探——基于1980-2010年CNKI核心期刊的文獻計量與內容分析
74.云會計下會計信息安全問題探析
75.智慧城市信息安全風險評估模型構建與實證研究
76.試論信息安全與信息時代的國家安全觀
77.IEC 62443工控網絡與系統信息安全標準綜述
78.美國信息安全法律體系綜述及其對我國信息安全立法的借鑒意義
79.淺談網絡信息安全現狀
80.大學生信息安全素養分析與形成
81.車聯網環境下車載電控系統信息安全綜述
82.組織控制與信息安全制度遵守:面子傾向的調節效應
83.信息安全管理領域研究現狀的統計分析與評價
84.網絡信息安全及網絡立法探討
85.神經網絡在信息安全風險評估中應用研究
86.信息安全風險評估模型的定性與定量對比研究
87.美國信息安全戰略綜述
88.信息安全風險評估的綜合評估方法綜述
89.信息安全產業與信息安全經濟分析
90.信息安全政策體系構建研究
91.智能電網物聯網技術架構及信息安全防護體系研究
92.我國網絡信息安全立法研究
93.電力信息安全的監控與分析
94.從復雜網絡視角評述智能電網信息安全研究現狀及若干展望
95.情報素養:信息安全理論的核心要素
96.信息安全的發展綜述研究
97.俄羅斯聯邦信息安全立法體系及對我國的啟示
98.國家信息安全戰略的思考
查看更多《中國信息界》雜志社信息請點擊: 《中國信息界》編輯部
戰略與政策
(5)廣播電視網絡在三網融合中的對策研究 李大珊 梁躍 魯英杰 袁韻峰 蔣安玲 裴多
實踐與應用
(9)村級電子政務現狀及發展對策分析 趙麗敏 廖桂平 陳艷 姚元森
(13)智慧城市的發展和問題淺析 彭保
(15)市民卡建設推廣的思路和路徑淺析——以南京市市民卡建設和推廣為例 顧穎
(17)團結湖智慧街道建設探索與實踐 李容珍 徐鋒 馬哲 邱逸
(19)科學規劃智慧萊州建設 加快推進縣域經濟 吳瓊 施瑞軍 曲錫峻 陳愛峰 吳開平
(21)大力推進智慧城市建設 鄧小勇
(27)資源整合下的政府數據中心建設研究與實現 嚴愛明
(31)省(市)國資委信息化建設策略與系統架構研究 杜羅砷
(33)淺析后危機時代江蘇省中小企業“云”改造模式 葛福江 姚立
(35)企業信息安全問題研究 劉文華
(37)基于itil理念的高校云服務資源管理研究 方力 沈鑫 葉昭暉
(39)電子商務專業能力培養與課程設置滿意度研究 趙麗 付華
(41)提升黨校教師信息素養要念好“四字經” 張青
(43)我國汽車制造業erp系統應用研究 李志剛
(45)煙草農業信息化的困境與對策 彭俊
(47)可編程短波數據處理終端的設計與實現 朱賢斌
(49)it服務持續性管理的風險評估和預防措施的最優化選擇 朱光
(52)長春市政務信息資源目錄體系規劃設計研究 柳羽輝
(54)基于starlims平臺的實驗室信息管理系統工作流配置的研究 馬文俊 張家勇 羅承渺 胡衛民
(57)從“國家檢察官學院吉林分院內部辦公業務網”建設談項目的整體管理 趙淑霞
(59)基于oracle的epdm模型數據遷移策略研究 孔明華 顧娟
(61)探析物聯網在石油行業的應用 王偉 陳奇志
(63)基于云計算模式的應用系統集中管理技術開發與應用 單延明 吳鈞 李大勇 王志敏
(65)勘探戰略選區信息化平臺的建設及應用 馮紅君 馬玉龍 滕良娟 段非 張海勇
(67)應用油水生產數據分析技術判別水平井水侵類型的研究 劉斐
(69)云gis在石化行業總圖管理系統中的應用實踐 廖志銳 劉爭飛 劉力嘉 任宗雷 徐
(72)面向流程行業mes系統的虛擬化硬件架構 谷克宏 黃岷 張振宇 朱家兵
(74)萬兆交換機在企業中的應用研究 李淑倩 楊敏 關宇
(76)瑪河氣田智能建設試點設想 藺勝利 滑曉輝 單鴻飛
(78)智能安防報警系統的研究與應用 門虎 郭振杰 武旭
(81)智能巡檢系統在克拉美麗氣田的應用 楊斌 張揚 藺勝利
(83)石油企業網絡信息安全的監控系統研究與應用 于順安
學子園地
(85)“沙集模式”未來發展之路——在“小即是美”與“大是所趨”之間的抉擇 齊志強
(89)電子政務系統-環境生態學測評指標分析 夏宜君
報告與方案
(92)信息通信技術對超鏈接社會的影響分析 無
海外論文
(98)因特網是我們生活的主頁 張進京(譯)
資訊
(104)以信息生產力推動“新四化”及社會轉型 無
(104)《中國經濟向何處去——基于信息經濟學的分析》新書會在京召開 無
多年來,得安科技先后承擔并參與了30多項國家和地方科研項目和產業化任務,并在面向金融領域的關鍵安全技術、信息安全基礎設施關鍵技術體系研究等關鍵領域做出了突出貢獻,取得了創新性的科研成果。得安科技載譽業內的實事,讓我們不得不去關注隱藏在其高速發展背后的研發實力和技術動力。今天的得安,對其自身如何定位?其發展潛力何在?以得安科技為代表的密碼核心技術提供商又如何看待國內信息安全市場發展趨勢?為尋找這些問題的答案,中國信息化周報記者約訪了得安科技技術總監孔凡玉。
中國信息化周報:商用密碼產品及服務是信息安全產業的重要一環,也是得安的核心競爭力。基于怎樣的背景,得安投入商用密碼技術研發?
孔凡玉:所謂網絡安全、信息安全,最重要的目標是保證信息系統和網絡環境中的“數據”、“信息”的安全,而不單是對計算機設備、網絡設備自身的安全防護。大到一個國家,小到一個企業和個人,多數黑客進行攻擊的真正目的就是竊取機密數據和信息,而不僅僅是破壞信息系統本身。因此,商用密碼產品及服務作為保障數據的機密性、完整性等安全性的關鍵一環,是信息安全產業的重要組成部分。
得安公司成立于1997年10月7日,是我國最早致力于商用密碼產品研發及產業化的企業之一,這與我國當時對網絡安全和商用密碼產品的迫切需求密切相關:一個是隨著互聯網技術的發展,網上銀行、網上證券等金融業務的開展迫切需要商用密碼產品和網絡安全系統的出現;另一個是,我國信息化建設的飛速發展迫切需要實現商用密碼技術的國產化,以保證信息安全核心技術的獨立性和自主性。
中國信息化周報:得安現有哪些科研成果?具有哪些核心技術優勢?
孔凡玉:得安科技自主研發的“SMS100-1網絡安全平臺”,這是國內最早通過國家密碼管理機構組織鑒定的商用密碼PKI產品,并榮獲國家科技進步三等獎和密碼科技進步二等獎,此系統已在上海證券中國證券登記結算公司的證券系統中成功使用。此外,得安公司也順利完成了中國金融認證中心CFCA的商用密碼模塊的國產化開發項目,實現了商用密碼產品和接口的國產化,并逐漸將服務器密碼機、智能IC卡等產品廣泛應用于中國建設銀行等各大銀行以及郵政、電信、稅務、電力、煤炭、石化、廣電、煙草、航空等行業。
十六年以來,得安公司一直注重商用密碼和信息安全核心技術的創新,在高速密碼服務器、數字認證系統、智能IC卡、VPN設備、安全文件傳輸系統、云安全密碼服務平臺、大數據安全、移動安全計算等方面具備良好的技術積累,得安參與研發的多項產品和技術填補了國內外空白,保證了核心技術的領先優勢。
中國信息化周報:從國家政策層面強化網絡安全意識,到首席安全官漸成大型企業標配職位的發展現狀,您如何理解密碼安全對于企業信息安全堡壘建設的核心意義?
孔凡玉:在目前的互聯網時代,每一個企業和個人都在享受著互聯網給工作和生活帶來的便捷的同時,也遭遇著前所未有的信息安全的巨大風險。中央網絡安全和信息化小組的成立,標志著我國已經把網絡信息安全上升為國家戰略的層面。
在網絡信息安全防護中,以數據加密、身份認證、數字簽名等為代表的密碼技術和以網絡攻防、系統漏洞分析、防病毒、入侵檢測等為代表的系統安全技術是網絡信息安全的兩大類核心技術。所以,商用密碼安全產品和系統是信息安全市場的必不可少的重要組成部分。
近年來,發生的信息安全事件大致分為兩種:一種是單純的病毒、木馬、系統攻擊,沒有特別的針對性,造成的后果是計算機系統的崩潰或者網絡無法正常訪問;第二種是針對數據和信息的竊取,這會造成重要數據或個人隱私的泄露,帶來嚴重的后果。最近爆發的信息安全事件,八成以上都涉及到數據泄露問題,例如2013年底發生的美國第二大零售商Target的4000萬用戶的信用卡和借記卡信息泄露事件,近期爆出的OpenSSL的幾個嚴重漏洞,以及我國近年發生的多個網站的數據泄露問題,這都存在密碼技術防護措施不足的問題。這需要對數據的存儲和傳輸進行加密保護,并進行嚴格的身份認證、訪問控制、安全管理等。
得安科技大力推廣信息安全服務的理念,所提出的企業信息安全堡壘的建設方案,是一個從技術實現到管理制度、從硬件產品到軟件系統、從內部加固到外部防范的立體化的整體解決方案,實現服務端的核心數據的加密、安全可靠的網絡數據傳輸、遠程用戶的身份認證和訪問控制等功能,實現企業信息系統的高安全性和可靠性,為企業提供信息安全保障。
中國信息化周報:在與用戶接觸過程中,您認為目前企業信息安全系統普遍薄弱的環節有哪些?
孔凡玉:在云計算和大數據時代來臨之際,任何信息系統的核心都是“數據”,因此任何信息系統的安全最重要的就是保證“數據”的安全。而數據的安全,包括了數據的產生、存儲、傳輸、訪問、處理、共享、銷毀等各個環節的安全,這形成一個環環相扣的系統。
在與很多用戶進行交流時,我們了解到,現在企業信息安全系統普遍存在的問題是缺乏一個完整、系統的安全解決方案,僅在某一個或幾個方面進行了安全防護,但是仍然存在其他方面的漏洞,不能形成一個完整的防護體系。
中國信息化周報:對此,得安科技針對不同行業、不同應用場景下的安全問題,推出了哪些解決方案?
孔凡玉:得安公司一直專注于信息安全核心技術以及信息安全整體解決方案的研發和應用,針對不同行業、不同應用場景,已經在云計算安全、大數據安全、電子商務安全、企業級安全等領域形成了一系列先進的、成熟的、可靠的信息安全整體解決方案,包括云安全密碼服務平臺、遠程文件安全傳輸解決方案、數字證書認證系統解決方案、安全移動辦公解決方案、手機安全支付解決方案、桌面安全解決方案、統一認證授權平臺等。具體包括:
■云安全密碼服務平臺:這是得安公司研發的基于“云計算”技術的高性能密碼平臺,將多款高端密碼設備和軟件中間件技術有機融合,以高安全性、高效率、高穩定性為目標,以先進的分布式計算和并行處理技術為核心,提供高性能的數據加密、數字簽名、身份認證等密碼服務功能。
■遠程文件安全傳輸解決方案:此方案用于解決企業的總部與各分支機構、出差員工之間的文件安全傳輸問題,在數據的安全、可靠、高效的傳輸方面,可以解決FTP等傳統傳輸方式的種種不足,為廣大企業客戶所信賴。同時,該方案可以集成于各類企業的信息系統平臺中,實現企業的遠程文件的安全傳輸,目前已經廣泛應用于金融、證券、石油化工、電力等行業。
■數字證書認證系統解決方案:此方案用于解決企業內部的身份識別與認證的問題。數字證書是由權威機構―CA機構頒發的、標識身份信息的電子文件,提供了一種在網絡環境中驗證身份的方式,類似于日常生活中的身份證。得安數字證書認證系統簡稱CA系統,采用雙證書機制,利用PKI技術提供數字證書的簽發、驗證、注銷、更新等功能,將個人信息或單位信息及密鑰、密碼算法集合在一起,提供在虛擬的互聯網世界可用的“網上身份證”。得安數字證書認證系統,已經成功應用于廣東電子政務認證中心、貴州省數字認證中心的建設,并順利運行。
■安全移動辦公解決方案:此方案用于解決企業的各分支機構和出差員工的遠程辦公、移動辦公問題。通過采用IPSec VPN、SSL VPN、安全網關以及安全客戶端等產品,可實現各種復雜環境下的遠程和移動辦公系統。遠程用戶在通過互聯網登錄企業內部業務系統時,首先需要經過安全網關的身份認證,認證通過后才能訪問其權限范圍內的業務系統;可以在安全網關上進行細粒度的權限配置,保證接入終端的安全性;同時,安全網關支持客戶端訪問企業內網時不能同時訪問其它互聯網的功能,更加保證了接入的安全性。目前該解決方案已成功應用于國土資源、石油、煤炭、電力、電信、銀行等行業。
■手機安全支付解決方案:得安公司研發的智能SD卡以及軟件系統,是近年新興的一種信息安全產品,把高性能的安全模塊集成到SD卡中,這樣用戶既可以像使用普通SD卡那樣使用其大容量存儲功能,又可以像使用智能IC卡那樣使用SD卡中集成的安全模塊,具有密鑰管理、證書存儲、權限控制、數據加解密等功能,實現個人隱私數據的加密保護和安全支付。此方案已經在金融、電信以及中小企業中推廣使用。
■桌面安全解決方案:此方案用于解決企業內部計算機設備的安全控制和信息保密問題,采用智能密碼鑰匙、安全加密U盤、文件加密軟件、Word/PDF文件簽名等產品和技術,確保了信息在單位內的安全存儲,確保了計算機設備的安全使用。該系統是針對客戶端PC安全的整體解決方案,它的最大特點是既能“攘外”,又能“安內”,部署靈活且易于使用,特別適合金融、電信、政府機關、制造業等具有分布式網絡應用的行業。
■統一認證授權解決方案:本方案可以為企業的多個業務系統提供安全支撐,簡化業務系統的管理方式和使用方式,提高整體系統安全性。通過該解決方案,可以為企業提供各個業務系統的統一認證和登錄服務,提供數據傳輸的加密服務、高強度的身份認證、人員的集中管理和應用的集中管理,適合在具有多個業務信息系統的企業中部署實施。
中國信息化周報:在國內市場,用戶往往會在IT價值與IT風險之間尋求一個平衡。讓用戶為安全買單,很多用戶關心的問題是需要支付哪些成本?又能獲得哪些收益?得安科技的解決方案又是如何來降低用戶IT應用風險的?
孔凡玉:得安科技采用的是一套科學的、系統的信息安全工程建設方法,達到用戶的IT價值和風險、收益和成本之間的平衡。
首先,用戶的信息系統和數據的有形資產和無形資產是可以進行估算的。這些數據的重要程度,一旦泄露會產生什么樣的后果,決定了數據的價值。數據的價值越高,一旦泄露帶來的后果越嚴重,因此需要投入的安全成本就越高。舉例來說,價值100萬的數據,如果投入200萬進行安全防護可能是不必要的;同樣,價值1億的數據,僅投入1萬元進行安全防護則可能具有極大的安全風險。
評估了資產的價值后,然后就要分析信息系統存在的風險和威脅,包括目前的信息系統存在哪些漏洞和弱點,內部和外部可能有哪些潛在的攻擊威脅等。之后,就要和企業一起制定信息安全保障系統建設的內容,這主要取決于哪些風險必須要降低,降低到什么程度,采用哪些技術手段,成本是多少等。這樣,在系統建設之前,用戶很清楚建設目標是什么,需要花費多大的成本,會帶來怎樣的收益,做到有的放矢、未雨綢繆。在系統建設、維護運行以及管理等方面,還有一系列的方法和措施,以保證信息安全項目建設的可控性。
中國信息化周報:相比其他應用安全企業,得安科技有何自身特色?具體到商用密碼解決方案,相比其他軟件公司,得安科技有哪些獨特的優勢和創新?
孔凡玉:與其它信息安全企業相比,得安公司的特色體現在三方面。
第一,在商用密碼及信息安全核心技術方面具有創新優勢。作為國內最早從事商用密碼產品研發及產業化的企業之一,得安公司在商用密碼以及信息安全核心技術方面具有18年的積累,在高速密碼算法實現、數字認證技術、云計算安全、大數據安全、移動互聯網安全等方面具備核心技術的創新優勢。
第二,在參與國家和行業標準制定方面具有領先優勢。作為商用密碼基礎設施技術標準組的成員單位,得安公司主持或參與了服務器密碼機技術規范等20多項國家標準、行業標準的制定,因此在把握行業的發展趨勢方面具有優勢。2012年,得安牽頭制定的《密碼應用標識規范》作為我國第一批密碼行業標準進行頒布;兩年來,《服務器密碼機技術規范》、《簽名驗證服務器技術規范》等行業標準也陸續正式頒布。
第三,具備成熟的信息安全服務理念,并在多個行業成功應用實施。得安一直秉承為用戶提供信息安全服務的理念,以可靠的技術實力、穩定的產品性能、優質的服務團隊、強大的分支網絡贏得了用戶的信賴,成功案例遍布于金融、證券、稅務、電信、郵政、石油、煤炭等行業。
得安科技的商用密碼解決方案,具有以下獨特的優勢和創新:
(1) 核心產品可靠性和高效性:解決方案中所采用的硬件產品和軟件系統必須具有高可靠性和高效性,才能保證整個信息系統的安全性和穩定性。例如,云安全密碼服務平臺采用了多機并行、動態分配、冗余配置、負載均衡等技術,保證整個平臺的可靠和高速。
(2) 量身定制的整體安全架構:這些解決方案不是單純的硬件和軟件的累加,而是經過系統的整體設計后形成的有機整體,而且每一個方案的確立和實施,都要根據用戶的信息系統的特點進行量身打造,以保證方案的科學性和合理性。
(3) 運維支持和管理制度:信息安全設施的建設,三分憑技術,七分靠管理。每一個解決方案中都包含了系統的運行維護方案和管理制體系,保證信息安全系統運行期間的動態實時監控和管理崗位的協同工作。
中國信息化周報:得安科技未來的市場競爭策略和發展目標是什么?
孔凡玉:得安未來的市場競爭策略和發展目標,可概括為兩個詞。
一是“共贏”。“共贏”是指與客戶的關系,是對“服務”理念的拓展。“服務”是被動地滿足用戶的安全需求;“共贏”是主動地去幫助客戶發現信息系統中的安全問題并提出科學的解決方案,從而達到與客戶共贏的最終目標。
二是“領先”。“領先”是指保持公司的核心競爭力,是對“創新”理念的拓展。不僅要“創新”,還要領先一步,在新的技術出現和產業變化來臨之際,率先致力于未來核心技術和產品的研發,領先于時代,領先于同行。
關鍵詞:醫院;信息安全系統;關鍵環節;策略
前言
醫院信息系統又被稱為醫院管理信息系統,主要是通過計算機技術、網絡通信技術以及信息技術等現代化手段,對醫院各部門的人流、物流以及財流進行綜合管理,并對醫院各個活動階段所產生的數據進行采集、整理、分析,從而加工成各種信息,用于醫院整體運行、管理,為醫院制定管理規劃提供充分的理論依據。尤其是隨著近幾年我國醫院信息系統規模日益擴大,醫院信息系統覆蓋的范圍也越來越廣,信息系統中的數據越來越多,對于數據安全性的要求也越來越高,使得醫院信息系統中存在的安全問題開始突顯出來。為了實現醫院可持續、長遠發展目標,醫院必須將建立完善的信息安全系統作為重任,重點研究醫院信息安全系統存在的問題。
一、醫院信息安全系統的關鍵環節
信息安全直接關系醫院發展,而醫院信息安全系統包括的內容比較多,其關鍵環節的安全對信息系統安全發揮著極為重要的作用。
(一)硬件安全
醫院信息安全系統中硬件屬于關鍵構成部分,決定醫院信息安全系統能否充分發揮其重要作用。硬件部分主要包括中心機房、服務器、網絡設備以及連接線路等,確保硬件安全,才能為系統安全運行提供充分的保障。其中,中心機房屬于醫院信息系統的核心構成部分,影響中心機房安全穩定運行的因素主要包括穩定的電源、專用的空調設備以及監控報警系統等,保證這些因素健全,就可以確保中心機房安全穩定運行。服務器在醫院信息系統中的重要性僅次于中心機房,對于醫院信息系統安全也具有十分重要的作用。網絡設備是醫院信息系統的核心交換機,其交換機等同于中轉站,通過連接各種信息設備,為醫院信息共享提供充分的保障。
(二)軟件安全
醫院信息系統中的軟件部分主要包括數據庫、終端和應用軟件,其中數據庫是醫院信息安全系統的關鍵環節,數據庫的安全運行建立在服務器安全運行的基礎上,它不僅關系數據庫軟件的安全運行,對于數據庫中數據的安全備份以及恢復也有著極為重要的作用。隨著網絡通信技術和信息技術在醫院廣泛應用,醫院數據信息、醫療資料的管理越來越依賴信息系統,信息系統中數據備份和恢復的功能,能夠充分確保信息安全,對于醫院制定發展規劃可以提供科學的理論依據,有利于實現醫院穩定、持續發展目標。
(三)其他因素
醫院信息安全系統運行質量不僅受系統自身的影響,還受其他因素的影響。其中,人的因素是最為重要的影響因素,主要是因為管理人員直接參與醫院信息管理,作為保證醫院信息安全系統安全穩定的關鍵環節之一,也需要不斷提高信息管理人員的綜合素質和專業水平,只有這樣才能為醫院信息系統安全運行奠定堅實的基礎。
二、醫院信息安全系統關鍵環節的有效策略
(一)硬件安全運行策略
醫院信息系統主要有硬件和軟件兩部分組成,直接關系著系統的運行質量。由于醫院信息系統中的中心機房一般處于溫度、濕度以及噪聲等比較惡劣的環境,為了確保中心機房安全運行,必須從這些方面出發做好安全策略。為了保證醫院信息系統反饋的信息具有有效性和可靠性,應該在中心機房中安裝報警系統,利用報警系統及時反饋信息,通過對信息的分析,找出中心機房運行中存在的故障,并采取有效措施及時解決故障。除此之外,中心機房還需要采取雙路供電,在中心機房中配備滿足要求的UPS設備,避免雷電襲擊對中心機房運行安全形成不利影響。服務器在醫院信息系統中的重要性僅次于中心機房,為了確保服務器可以充分發揮作用,應該對服務器進行定期的安全評估,對操作系統和應用軟件進行補丁升級,及時做好系統備份,安裝相應的殺毒軟件,及時查殺服務器中存在的安全隱患,防止黑客和病毒對服務器的攻擊,只有這樣才能確保中心機房可以安全穩定運行,促使醫院信息系統可以充分發揮重要作用。
(二)加強人員培訓,提高人員專業水平和職業素養
人為因素在醫院信息安全系統運行中發揮著不可替代的重要作用,而醫院信息系統主要以現代計算機技術為主,計算機應用能力直接決定信息系統的安全性和穩定性。為了促使醫院信息安全系統可以安全、穩定運行,必須加強信息從業人員職業道德和專業水平的培訓,不斷提高從業人員的職業素質和專業水平,促使從業人員可以在醫院信息安全系統管理工作中充分發揮重要作用,利用自身的專業水平及時解決系統運行中存在的故障。除此之外,對于應用軟件在醫院信息安全系統中存在的問題,應該從各個層面出發,確保應用軟件的安全。在應用軟件安裝前對其進行嚴格的測試,且對重要數據進行加密,促使應用軟件可以充分發揮重要作用。
結束語
綜上所述,醫院信息系統存在的主要目標是保障醫院的行政管理和事務處理業務,提高醫院工作效率和工作質量,通過龐大的數據庫,為醫院制定發展規劃和決策提供科學的理論依據,從而最大限度降低醫院管理成本,提高醫院的經濟效益和社會效益,為醫院實現長遠、可持續發展目標提供充分的保障。所以,必須從醫院信息安全系統關鍵環節出發,找出其有效策略,充分發揮信息系統在醫院發展中的重要作用。
參考文獻:
[1]茍文強.構建醫院網絡安全系統,保障信息系統安全[C].//2014中華醫院信息網絡大會論文集.2014:1-3.
[2]張樂,劉黎.關注民生保障母嬰安全――無錫錫山人民醫院應用銀江嬰兒安全系統[J].中國信息界-e醫療,2010,(11):54-55.
論文摘要:結合單位的實際,分析了現有計算機專業課程特點和不足,討論了高師計算機專業學生開設信息安全法律法規課程的必要性、可行性,分析了信息安全技術課程、與信息安全有關法律法規課程的特點.給出了高師信息安全法律課程的教學目標定位、設置方法.
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文關鍵詞:政策 法律法規 標準 信息化水平
論文摘要:實現信息化就是要構造和完善信息化體系,而信息化的政策、法規和標準是國家信息化快速、有序、健康發展的保障。因此,為加速信息化建設,就必須制定一系列相應的政策,提供行政支持;為保證信息化建設的安全性、合法性,就必須完善法律法規;為保證信息化基礎設施建設可用度、高質童和互通性,就必須加快信息化標準體系建設。
2002年3月19日,國家信息化測評中心(NIEC)在京公布了國家信息化指標測算第一批數據,同時了國家信息化水平研究報告。據報告顯示,2000年國家信息化指數(NIQ)為38. 46,與1999年的30. 14和1998年的25. 89相比,有較大提高。其中,信息技術應用指數最高為65. 89,表明中國信息技術應用得到較快發展,信息技術和網絡技術正向各個領域廣泛滲透,對經濟結構調整和傳統產業的改造開始發揮重要作用,成為拉動中國信息化水平提高的主要因素。信息產品和服務發展指數為53. 78,表明我國信息產業持續高速發展,正在改變我國工業化的面貌,并逐步成為國民經濟的重要支柱產業。信息資源開發利用指數為45. 29,表明隨著互聯網絡的飛速發展,我國的互聯網絡信息資源也得到了很大的發展。但是我們仍不能樂觀,因為信息環境發展指數僅為21. 86,在各要素中水平較低,表明信息化發展與其軟環境建設的不相適應。
1 加強信息化發展的政策研究
近年來,我國已經推出了一系列的促進信息產業發展和加快信息化進程的政策,如加快我國微電子、軟件及通訊產業發展的一系列政策,對推動我國信息化的發展發揮了重要作用。信息化建設的不斷深人,迫切要求我們更進一步加強對信息化發展的政策研究,分清輕重緩急,逐項予以落實,以適應信息化發展的需要。例如,在信息產業發展方面.當前比較急需的有幫助我國信息產業提升競爭力的政策,鼓勵風險投資的政策,扶持信息技術相關中、小企業的政策,信息技術人才引進和出口的政策,加快信息技術人才培養力度的政策,鼓勵互聯網發展的政策等等。在政府信息化方面,有非密政府信息公開和政府信息資源共享及管理的政策,政府網絡與互聯網關系的政策,政府信息化中的技術政策和采購政策,政府信息化中的外資利用政策,私人企業在政府信息系統開發中的地位和作用的政策,政府的信息安全政策等等。在推動社會信息化方面,需要有縮小數字鴻溝的政策、幫助西部地區加快信息化發展的政策。考慮到信息技術和互聯網在未來的發展,適時制定促進電話網、數據通訊網、有線電視網和無線通訊網“四網合一”的政策,促進各個服務網絡互聯互通的政策,鼓勵境內網址在國內注冊域名和限制境內網址在境外注冊域名的政策等都會對我國互聯網絡的發展產生重要影響。信息化發展需要方方面面政策的指引,因此,很有必要組織人力進行研究,以分清輕重緩急,并逐項加以落實。
2完善信息化建設的法律法規
到目前,我國已出臺了一些規范信息化建設的法律、法規,但存在的問題仍不容忽視。一是缺少必要的基本法,立法層次低,多頭管理,相互沖突的情況時有發生;二是已有的立法中有諸多缺陷,難以適應規范信息化建設、打擊網絡犯罪的實際需要。如我國刑法對計算機犯罪的主體僅限定為自然人,而對其處罰卻既沒有罰金刑,也沒有資格刑;在訴訟法中也缺少對“電子證據”的規定;三是缺少大多數發達國家及一大批發展中國家有關電子商務的法律。我國網絡基礎設施已列世界第二,但網上經營的數額在世界上還排不上名次,原因之一就是我們缺乏法律規范,阻礙了網絡市場的發展;四是在以法律手段鼓勵網上傳播中國的聲音、防范國外不良文化與道德的人侵方面還顯得不夠。因此,完善法律法規,以規范和解決信息化建設中存在的問題很有必要。
首先,應認真研究信息化建設立法的國際動向,積極參與保障信息化建設安全的國際合作。因為,認真研究信息化建設立法與管理的國際動向,一可以使我們在制定相關國內法及實施管理時,借鑒國外成功的經驗“為我所用、二可以使我們在打擊跨國計算機網絡犯罪時,在因網絡侵權、網絡商務中違約等跨國的民、商事糾紛產生時,更好地開展國際合作。
其次,應將信息化建設立法問題作通盤研究,盡早列人國家立法規劃,立法重點要逐步向信息網絡轉移。一是應盡早制定一部網絡基本法。在網絡基本法出臺前,可先著手制定某些急需的單行法,成熟一個制定一個,如可在《電信條例》基礎上,盡快制定電信法。二是在正起草的有關法律中,注意研究與增加涉及信息網絡方面的內容,如正在起草的證據法,應重視“電子證據的有關內容”。三是在修訂現有法律時,也應注意增加涉及信息網絡的內容。如在修訂《刑法》時,應考慮針對計算機網絡犯罪的特點,增加法人(單位)犯罪、罰金刑等內容;修訂《合同法》、《著作權法》、《商標法》、《專利法》、《消費者權益保護法》時,應增加對網絡作品著作權的保護條款,增加對惡意搶注他人商標為域名的處罰條款等等,使現有法律外延包括電子商務活動。
第三,與政策的制定一樣,地方的法律法規制定也應在國家和省已有的法律法規框架下進行。但這并不意味著地方就無所作為,地方也需要研究國際上的經驗教訓和現有法規,需要研究國家已有的法律法規,對照本地的實際情況,加以落實或補充。
3加快信息化標準體系建設
信息化的先進性主要體現在信息資源的共享性,如果沒有統一標準,信息將無法共享,也將無法實現這一先進性。因此,為了推動信息化建設工作,使信息化工作能持續健康地發展,就必須首先研究和制定信息化的標準體系。因為,信息化標準體系的研究和制定是信息化工作實施的關鍵環節。信息化中的標準主要包括:數據/信息標準、技術標準和安全標準。下面以政府信息化為例來做一說明。
數據/信息標準主要是明確的定義和規定政府信息的標準和采集與應用的規范。同時,還應對政府信息的生命周期以及在其生命周期的每一個階段的管理問題作出規定。一切形式的政府信息,包括印刷品、音像制品、電子文件等都是國家和政府的一種戰略資源,在其整個生命周期都應妥善管理。此外,關于政府工作過程的信息,關于各種技術和應用的信息,也是一種信息資源,應該和政府信息本身一樣按相同的原則制定標準進行管理。在中央和地方各級政府,政府管理的業務流,如財務管理、人事管理、文檔管理等,也必須逐漸地走向規范化和標準化,從而使其所伴隨的信息流也趨于標準化和規范化。只有在這樣的基礎之上,政府管理信息系統的各個“要素”才有可能標準化和規范化。
技術標準是對政府信息化過程中所使用的計算機與通訊系統的軟、硬件制定統一的標準,以便于政府內信息的交流和共享。例如操作系統的標準,通訊協議的標準,計算機的標準,服務器的標準,瀏覽器的標準,電子郵件的標準,以及數據庫的標準等等。此外,技術標準還應包括方法學的標準、軟件工程管理的標準。
安全標準是系統安全管理的一個重要階段。對哪一級、哪一類的信息系統必須實行哪一級的安全管理,需要通過標準來加以規范。安全標準應首先明確信息的所有權和隸屬關系,明確信息安全的責任者。安全標準包括物理安全標準和技術安全標準。物理安全指對系統、設備、工作環境等在物理上采取的保護措施;技術安全則包括口令和密鑰、數據加密標準、防病毒、防黑客以及各種加密措施等等。
論文關鍵詞:高師計算機專業;信息安全;法律法規課程
人類進入21世紀,現代信息技術迅猛發展,特別是網絡技術的快速發展,互聯網正以其強大的生命力和巨大的信息提供能力和檢索能力風靡全球.
網絡已成為人們尤其是大學生獲取知識、信息的最快途徑.網絡以其數字化、多媒體化以及虛擬性、學習性等特點不僅影響和改變著大學生的學習方式生活方式以及交往方式,而且正影響著他們的人生觀、世界觀、價值取向,甚至利用自己所學的知識進行網絡犯罪,所有這些使得高師學生思想政治工作特別是從事網絡教學、實踐的計算機專業的教育工作者來說,面臨著前所未有的機遇和挑戰,這不僅因為,自己一方面要傳授學生先進的網絡技術,另一方面也要教育學生不要利用這些技術從事違法活動而從技術的角度來看,違法與不違法只是一兩條指令之間的事情,更重要的是高師計算機專業學生將來可能成為老師去影響他的學生,由此可見,在高師計算機專業學生中開設與信息安全有關的法律法規課程有著十分重要的意義.如何抓住機遇,研究和探索網絡環境下的高師計算機專業學生信息安全法律法規教學的新特點、新方法、新途徑、新對策已成為高師計算機專業教育者關心和思考的問題.本文主要結合我校的實際,就如何在高師計算機專業中開設信息安全法律課程作一些探討.
1現有的計算機專業課程特點
根據我校人才培養目標、服務面向定位,按照夯實基礎、拓寬專業口徑、注重素質教育和創新精神、實踐能力培養的人才培養思路,溝通不同學科、不同專業之間的課程聯系.全校整個課程體系分為“通識教育課程、專業課程(含專業基礎課程、專業方向課程)、教師教育課程(非師范除外)、實踐教學課程”四個大類,下面僅就計算機專業課程的特點介紹.
1.1專業基礎課程專業基礎課是按學科門類組織的基礎知識課程模塊,均為必修課.目的是在大學學習的初期階段,按學科進行培養,夯實基礎,拓寬專業口徑.考慮到學科知識體系、學生轉專業等需要,原則上各學科大類所涵蓋的各專業的學科專業基礎課程應該相同.主要內容包括:計算機科學概論、網頁設計與制作、C++程序設計、數據結構、操作系統等.
1.2專業方向課程各專業應圍繞人才培養目標與規格設置主要課程,按照教育部《普通高等學校本科專業目錄》的有關要求,結合學校實際設置必修課程和選修課程.同時可以開設2—3個方向作為限選.學生可以根據自身興趣和自我發展的需要,在任一方向課程組中選擇規定學分的課程修讀.主要內容包括:計算機網絡、匯編語言程序設計、計算機組成原理、數據庫系統、軟件工程導論、軟件工程實訓、計算機系統結構等.
1.3現有計算機專業課程設置的一些不足計算機技術一日千里,對于它的課程設置應該具有前瞻性,考慮到時代的變化,計算機應用專業旨在培養一批適合現代軟件工程、網絡工程發展要求的軟件工程、網絡工程技術人員,現有我校的計算機專業課程是針對這一目標進行設置的,但這一設置主要從技術的角度來考慮問題,沒有充分考慮到:隨著時代的發展,人們更廣泛的使用網絡、更關注信息安全這一事實,作為計算機專業的學生更應該承擔起自覺維護起信息安全的責任,作為高師計算機專業的課程設置里應該考慮到教育學生不得利用自己所學的技術從事不利于網絡安全的事情.
2高師計算機專業學生開設信息安全法律法規的必要性和可行性
2.1必要性信息安全學科群體系由核心學科群、支撐學科群和應用學科群三部分構成,是一個“以信息安全理論為核心,以信息技術、信息工程和信息安全等理論體系為支撐,以國家和社會各領域信息安全防護為應用方向”的跨學科的交叉性學科群體系.該學科交叉性、邊緣性強,應用領域面寬,是一個龐大的學科群體系,涉及的知識點也非常龐雜.
僅就法學而言,信息安全涉及的法學領域就包括:刑法(計算機犯罪,包括非法侵入計算機信息系統罪、故意制作傳播病毒等)、民商法(電子合同、電子支付等)、知識產權法(著作權的侵害、信息網絡傳播權等)等許多法學分支.因此,信息安全教育不是一項單一技術方面的教育,加強相關法律課程設置,是信息安全學科建設過程中健全人才培養體系的重要途徑與任務.
高師計算機專業,雖然沒有開設與信息安全專業一樣多與信息安全的有關技術類課程.但這些專業的學生都有從事網絡工程、軟件工程所需要的基本編程能力、黑客軟件的使用能力,只要具備這些能力且信息安全意識不強的人,都可能有意識或無意識的干出違反法律的事情,例如“YAI”這個比CIH還兇猛的病毒的編寫者為重慶某大學計算機系一名大學生.由此可見,在高師計算機專業的學生中開設相關的法律法規選修課程是必要的.
2.2可行性技術與法律原本并不關聯,但是在信息安全領域,技術與法律卻深深的關聯在一起,在全世界各國都不難發現諸如像數字簽名、PKI應用與法律體系緊密關聯.從本質上講,信息安全對法律的需求,實際上來源于人們在面臨信息技術革命過程中產生的種種新可能的時候,對這些可能性做出選擇揚棄、利益權衡和價值判斷的需要.這也就要求我們跳出技術思維的影響,重視信息安全中的法律范疇.
根據前面對信息安全法律法規內容的特點分析可知:信息安全技術與計算機應用技術有著千絲萬縷的聯系.從事計算機技術的人員很容易轉到從事信息安全技術研究上,加之信息安全技術是當今最熱門技術之一,因此,在高師計算機專業中開設一些基本的信息安全技術選修課程、開設一些與法律體系緊密關聯的信息安全法律法規選修課程學生容易接受,具有可操作性.
3信息安全技術課程特點
信息安全技術課程所涉及的內容眾多,有數學、計算機、通信、電子、管理等學科,既有理論知識,又有實踐知識,理論與實踐聯系十分緊密,新方法、新技術以及新問題不斷涌現,這給信息安全課程設置帶來了很大的難度,為使我校計算機專業學生了解、掌握這一新技術,我們在專業課程模塊中開設《密碼學基礎》、《網絡安全技術》、《入侵檢測技術》等作為專業選修課.我校本課程具有以下特點:
(1)每學期都對知識內容進行更新.
(2)對涉及到的基本知識面,分別采用開設專業課、專業選修課、講座等多種方式,讓學生了解信息安全知識體系,如有操作系統、密碼學基礎、防火墻技術、VPN應用、信息安全標準、網絡安全管理、信息安全法律課程等.
(3)對先修課程提出了較高的要求.學習信息安全技術課程之前,都可設了相應的先行課程讓學生了解、掌握,如開設了計算機網絡基本原理、操作系統、計算機組成原理、程序設計和數論基礎等課程.
(4)注重實踐教學.比如密碼學晦澀難懂的概念,不安排實驗實訓,不讓學生親手去操作,就永遠不能真正理解和運用.防火墻技術只有通過親手配置和測試.才能領會其工作機理.對此我們在相關的課程都對學生作了實踐、實訓的要求.
4涉及到信息安全法律法規內容的特點
信息安全的特點決定了其法律、法規內容多數情況下都涉及到網絡技術、涉及到與網絡有關的法律、法規.
4.1目的多樣性作為信息安全的破壞者,其目的多種多樣,如利用網絡進行經濟詐騙;利用網絡獲取國家政治、經濟、軍事情報;利用網絡顯示自己的才能等.這說明僅就破壞者方面而言的信息安全問題也是復雜多樣的.
4.2涉及領域的廣泛性隨著網絡技術的迅速發展,信息化的浪潮席卷全球,信息化和經濟全球化互相交織,信息在經濟和社會活動中的作用甚至超過資本,成為經濟增長的最活躍、最有潛力的推動力.信息的安全越來越受到人們的關注,大到軍事政治等機密安全,小到防范商業企業機密泄露、青少年對不良信息的瀏覽、個人信息的泄露等信息安全問題涉及到所有國民經濟、政治、軍事等的各個部門、各個領域.
4.3技術的復雜性信息安全不僅涉及到技術問題,也涉及到管理問題,信息安全技術又涉及到網絡、編碼等多門學科,保護信息安全的技術不僅需要法律作支撐,而且研究法律保護同時,又需要考慮其技術性的特征,符合技術上的要求.
4.4信息安全法律優先地位綜上所述,信息安全的法律保護不是靠一部法律所能實現的,而是要靠涉及到信息安全技術各分支的信息安全法律法規體系來實現.因此,信息安全法律在我國法律體系中具有特殊地位,兼具有安全法、網絡法的雙重地位,必須與網絡技術和網絡立法同步建設,因此,具有優先發展的地位.
5高師信息安全技術課程中的法律法規內容教學目標
對于計算機專業或信息安全專業的本科生和研究生,應深入理解和掌握信息安全技術理論和方法,了解所涉到的常見的法律法規,深入理解和掌握網絡安全技術防御技術和安全通信協議.
而對普通高等師范院校計算機專業學生來說,由于課程時間限制,不能對信息安全知識作較全面的掌握,也不可能過多地研究密碼學理論,更不可能從法律專業的角度研究信息安全所涉到的法律法規,為此,開設信息安全法律法規課程內容的教學目標定位為:了解信息安全技術的基本原理基礎上,初步掌握涉及網絡安全維護和網絡安全構建等技術的法律、法規和標準.如:《中華人民共和國信息系統安全保護條例》,《中華人民共和國數字簽名法》,《計算機病毒防治管理辦法》等.
6高師信息安全技術法律法規課程設置探討
根據我校計算機專業課程體系結構,信息安全有關的法律法規課程,其中多數涉及信息安全技術層面,主要以選修課、講座課為主,作為信息安全課程的補充.主要可開設以下選修課課程或講座課程.
(1)信息安全法律法規基礎講座:本講座力圖改變大家對信息安全的態度,使操作人員知曉信息安全的重要性、企業安全規章制度的含義及其職責范圍內需要注意的安全問題,讓學生首先從信息安全的非技術層面了解與信息安全有關的法律、法規,主要內容包括:國內信息安全法律法規概貌、我國現有信息安全相關法律法規簡介等.
(2)黑客攻擊手段與防護策略:通過本課程的學習,可以借此提高自己的安全意識,了解常見的安全漏洞,識別黑客攻擊手法,熟悉提高系統抗攻擊能力的安全配置方法,最重要的還在于掌握一種學習信息安全知識的正確途徑和方法.
(3)計算機犯罪取證技術:計算機取證是計算機安全領域中的一個全新的分支,涉及計算機犯罪事件證據的獲取、保存、分析、證物呈堂等相關法律、程序、技術問題.本課程詳細介紹了計算機取證相關的犯罪的追蹤、密碼技術、數據隱藏、惡意代碼、主流操作系統取證技術,并詳細介紹了計算機取證所需的各種有效的工具,還概要介紹了美國與中國不同的司法程序.
論文摘要:金融機構網上業務的飛速發展,一方面使人們充分享受到網上金融服務帶來的便利性,另一方面,網絡應用層安全問題也日益受到人們的關注,成為金融機構亞待解決的問題。本文主要探討了金融部門網絡應用層安全現狀和存在的問題,并提出了防范網絡應用層安全問題的對策。
如今,金融部門越來越多的關鍵業務必須通過網絡進行,尤其是網上銀行、網上證券等新興業務對網絡的依賴性更強。然而,面對日益猖撅的黑客攻擊,如計算機病毒、垃圾郵件、網頁篡改、釣魚網站等,網絡應用層安全問題已經成為金融部門的頭等大事,也是必須要解決的問題。本文主要探討金融部門網絡應用層安全現狀和存在的問題,以及建設應用層安全防范體系的技術要求與管理要求。
一、金融部門網絡應用層安全現狀
網絡信息安全是指網絡系統的硬件、軟件及其系統中的數據受到保護,不會遭到偶爾的或者惡意的破壞、更改、泄露,系統能夠連續、可靠、正常地運行,網絡服務不中斷。網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的邊緣性綜合學科。根據美國信息保障技術框架(iatf>給出的信息安全分層模型,信息安全體系結構如圖1所示。
近年來,隨著新設備的應用、新技術的發展和各種標準建設的開展,金融部門在物理安全、系統安全、網絡安全防范等方面取得了長足的進步。但是,由于網絡采用tcp/ip開放協議,協議本身的漏洞和網絡技術的開放性,給信息安全帶來了巨大的隱患。此外,隨著金融部門網上增值業務的開展,特別是與網絡相關的各種網絡增值服務的不斷增加,金融部門信息安全日益受到質疑和挑戰。
二、金融部門網絡應用層存在的安全問題
當前,金融部門網上信息系統受到來自公共互聯網絡的各類攻擊和病毒人侵,對金融信息系統應用安全帶來了威脅和挑戰,如圖2所示。
(一)計算機病毒互聯網化、深度化、產業化帶來的威脅
根據瑞星公司《2008年度中國大陸地區電腦病毒疫情&互聯網安全報告》,2008年的病毒數量呈現出幾何級數的增長,比2007年增長12倍以上,其中木馬病毒5 903 695個,后門病毒1 863 722個,兩者之和超過776萬,占總體病毒的83.40}0。這些病毒都以竊取用戶網銀、網游賬號等虛擬財產為主,帶有明顯的經濟利益特征。2008年11月,中國金融認證中心對外《2008中國網上銀行調查報告》,報告顯示,2008年全國個人網銀用戶比例為19.9%,企業網銀用戶的比例達到42.8%,企業規模越大,使用網銀的比例就越高。但是,安全性仍然是用戶選擇網銀時最看重的因素。
(二)黑客人侵攻擊
當前,金融部門主要采用傳統的被動防御技術阻止黑客的人侵,通過采用防火墻、入侵檢測、防病毒網關、漏洞掃描、災難恢復等手段對重要金融信息系統進行防護。但隨著網絡攻擊的自動化、智能化、手段多樣化,這種靜態的、被動的基于特征庫的技術防御架構已經遠遠落后于網絡攻擊技術的發展,難以從根本上解決網絡安全問題。
(三)網頁篡改技術攻擊
近年來,由于黑客技術日益泛濫,越來越多的網頁篡改技術可以輕易穿透防火墻,繞過人侵檢測等安全設施。當前網頁篡改技術主要包括以下幾個方面。
1.利用各種漏洞進行木馬植人,然后利用木馬程序進行文件篡改。
2利用竊聽或者暴力破解的方法獲取網站合法管理員的用戶名、口令,然后以網站管理員的身份進行網頁篡改活動。
3.利用病毒進行攻擊。
4.網站管理員沒有對網站進行有效的管理和配置,特別是用戶名、密碼資源管理混亂,攻擊者往往利用這些漏洞進行網站攻擊,獲取權限,篡改網站。
網上拓展業務網頁被篡改將影響業務的正常運行,嚴重影響企業的聲譽。
(四)網絡釣魚技術攻擊
網絡釣魚者通過建立域名和網頁內容都與真正網上銀行系統、網上證券交易平臺極為相似的網站,引誘用戶輸人賬號和密碼信息,然后通過真正的網上銀行、網上證券系統或者偽造銀行儲蓄卡、證券交易卡盜竊資金,從而引起嚴重的社會問題。
三、金融部門網絡應用層安全問題的防范對策
針對上述金融部門網絡應用層存在的安全問題,在推廣金融信息系統安全等級保護的過程中,需要對各種安全風險進行合規性檢查和風險評估,尋找防范各種應用風險的技術要求和管理要求。
(一)金融信息系統保障體系的技術要求
在經歷了網絡建設、數據大集中、網絡安全基礎設施等階段后,為了能夠進一步滿足金融信息系統應用層安全的需要,構建起更加有效的整體防護體系。在技術方面,應該將更多的前沿技術融入到產品中,研發出效率更高、更加智能的反病毒引擎。同時,把防病毒、防垃圾郵件、防網頁篡改、防釣魚網站欺騙、防黑客攻擊、防火墻等功能進行有效集成,從而增強金融信息系統防范各種風險的能力。
1.反病毒技術
伴隨著網站掛馬傳播病毒、應用軟件漏洞、釣魚攻擊、rootkit病毒、僵尸網絡等安全隱患的持續增長,反病毒軟件處理互聯網問題的能力也持續得到增強。計算機病毒自動掃描技術從傳統的、被動的特征代碼技術,校驗和技術朝智能型、主動型的啟發式掃描技術,行為監測技術,虛擬機技術的方向發展。但面對“病毒產業”的互聯網化,僅靠一種防計算機病毒技術已經不能對金融系統信息網絡起到很好的保護作用。因此,金融部門網上銀行、網上證券等網上拓展業務必須采用立體式安全防護體系,通過網絡網關、互聯網防護、服務器防護和客戶端防護,綜合利用各種前沿技術,建立金融信息系統反病毒工作的“深層防護安全模型”,在計算機病毒進人金融信息系統之前就將其屏蔽,從而確保金融信息系統網絡安全。
2.主動防御技術
主動防御技術作為一種新的對抗網絡攻擊的技術,采用了完全不同于傳統防御手段的防御思想和技術,克服了傳統被動防御的不足。在主動防御技術體系中,由防護技術(邊界控制、身份認證、病毒網關、漏洞掃描)、檢測技術、預測技術、響應技術(人侵追蹤、攻擊吸收與轉移、蜜罐、取證、自動反擊)等組成,其優勢體現在以下幾個方面:一是主動防御可以預測未來的攻擊形勢,檢測未知的攻擊,從根本上改變了以往防御落后于攻擊的不利局面;二是具有自學習的功能,可以實現對網絡安全防御系統進行動態的加固;三是主動防御系統能夠對網絡進行監控,對檢測到的網絡攻擊進行實時的響應。
隨著網上金融的深入發展,金融系統防御體系必須由被動的防御體系轉人主動防御體系,將神經網絡技術、遺傳算法、免疫算法、基于貝葉斯概率的內容過濾技術等新概念引人主動防御體系中,增強金融信息系統防御網絡攻擊的自適應、自學習能力。
3.網頁防篡改技術
為了防止重要網上金融信息系統被篡改,金融部門除了需要對操作系統和應用程序進行合理配置外,還需要采用必要的技術手段對網頁進行監視,以便及時發現篡改現象并進行恢復和其他處理。一是盡可能堵塞所有操作系統漏洞、限制管理員的權限、防止黑客利用惡意的http請求人侵系統,例如對網頁請求參數進行驗證,防止非法參數傳人、sql注人攻擊,從而阻止黑客的侵人;二是利用成熟的輪詢檢測技術、事件觸發技術、核心內嵌技術等,以實現阻止黑客侵人后篡改的目的。但要想徹底地解決網頁篡改問題,僅僅利用上面的一種或者兩種技術是不夠的,應該綜合考慮和應用多種技術,才能夠有效地解決問題。
(二)金融信息系統保障體系的管理要求
金融部門網上拓展亞務必須要有一套完善的管理制度相配合,金融部門要建立完整的應用層安全管理體系、運行維護體系,明確崗位職責,并且按照規護百的運維流程進行操作,從而更好地促進金融部門網上業務的安全可靠運行。但是,目前金融部門信息系統保障體系建設往往忽略安全設計,重技術,輕安全,人的安全意識不足。
以計算機病毒為例,目前的病毒產業鏈條由4個部分組成:挖掘安全漏洞、制造網頁木馬、制造盜號木馬、制造木馬下載器,這些環節形成了分工明確、效率快捷的工業化‘生產線”。但挖掘安全漏洞是病毒傳播的基礎,只要我們能夠做好日常補丁更新工作,常見的病毒是很難侵人的,由此可見日常標準化、流程化管理的重要性。
