信息安全研究報告范文
時間:2023-03-22 22:36:58
導語:如何才能寫好一篇信息安全研究報告,這就需要搜集整理更多的資料和文獻,歡迎閱讀由公務員之家整理的十篇范文,供你借鑒。
篇1
關鍵詞:民辦高校信息化建設;信息資源特性;信息資源安全保障
中圖分類號:G647
近年來,民辦高校逐步實現了管理手段的現代化,但是,由于民辦高校起步晚,信息安全技術相對落后,致使其信息資源安全無法得到有效地保障。因此,如何采取有效措施保障信息資源安全,提高自身的信息化水平,已經成為影響民辦學校“跨越式發展”的關鍵問題之一。
1 加強民辦高校信息資源安全保障的必要性
近年來,各民辦高校對計算機網絡與信息系統的依賴程度也越來越高,隨之而來的民辦高校信息資源安全[1-5]問題也日益突出。目前,關于民辦高校信息資源安全問題的研究,在理論和實踐上還不很成熟,國內外也缺少相對成熟的成套理論與通用模式,因此,如何有效地對民辦學校信息資源進行有效管理,探索各種民辦高校信息資源安全問題的應對策略,已經成為民辦高校信息化建設中迫切需要解決的問題。
2 民辦高校信息資源特性
概括下來,民辦高校信息資源具有以下特性:
(1)來源開放性。民辦高校的某些信息資源可由校內外人員以各種途徑和傳播。所以,這些信息資源是開放式的,也往往是比較難管理的。
(2)內容多元性。由于大多數民辦高校都已擁有了自己的各類信息系統,因此,信息資源也因信息系統內容不同而呈現出多元性。
(3)政策動態性。在民辦高校發展過程中,根據不同的信息資源現狀,決策者不同時期的決策也具有差異性,使得信息資源具有濃重的政策動態性。
(4)影響廣泛性。目前,民辦高校大部分信息系統師生參與度高,涉及面廣,若不能及時處理由此引發的安全問題,將會可能影響正常教學活動展開、科研辦公等,甚至可能會造成混亂。
(5)問題突發性。隨著民辦高校對計算機網絡的依賴程度越來越高,關于信息資源的問題復雜多變又非常隱蔽,若出現了安全問題,在極短時間內就可通過網絡引起校內外人員關注并被迅速傳播,極易引發突發性信息資源的安全事件。
3 民辦高校面臨的信息資源安全風險
由于民辦高校信息資源的不同特性,其引發安全問題也具有多樣性與復雜性。然而,由于信息資源安全問題的隱蔽性與復雜多變性,并未引起足夠的重視,使得民辦高校面臨各種可能的信息資源安全風險。
3.1 信息資源安全宣傳教育力度不夠,部分師生安全意識淡薄
由于自身體制的原因,大多數民辦高校對信息資源安全的重視不夠,較少開展關于信息資源安全的各種宣傳教育與培訓活動,導致部分師生安全意識不強,在使用相關信息系統時,往往只注重使用,并未過多地顧及信息資源的安全性,只能被動地解決信息資源安全問題。
3.2 信息資源安全培訓欠缺,信息安全人員技術水平有待提高
目前,雖然各種信息系統已在大多數民辦高校得到廣泛應用,但由于缺乏專業的信息資源安全管理人才和配套的信息安全培訓,造成現有信息安全人員技術水平相對不高,無法及時發現并處理信息資源的安全隱患,影響了民辦高校信息化建設進程。
3.3 信息資源安全保障投入有限,缺乏信息安全總體規劃
相對于公辦高校而言,民辦高校資金匱乏,對信息安全保障并未進行過多地投入,也沒有設置專門負責信息資源安全的部門。另外,民辦高校缺乏信息資源安全總體規劃,當出現信息資源安全問題時,往往只能被動地解決,沒有一整套的信息資源安全預警機制來防范,從而給民辦高校信息化建設帶來了一定的難度。
由于安全意識淡薄,宣傳不到位,沒能引起相關部門關于信息資源安全問題的足夠重視,使得民辦高校信息化建設發展緩慢,信息化水平相對落后。如何有針對性地解決信息資源安全風險,成為民辦高校信息化建設下一步的工作重點。
4 民辦高校信息資源安全保障的應對策略
為了更好地推進民辦高校信息化建設,民辦高校需要加大投入力度,大力宣傳信息資源安全,強化師生安全意識,開展必要的專業信息資源安全培訓,培養一批高水平的信息資源安全人才隊伍。要做好民辦高校信息資源安全保障,需要從以下幾個方面來應對。
4.1 強化監督與管理,加強信息資源安全培訓和宣傳教育,增強信息資源安全意識和責任感,切實提高信息資源安全管理水平
一方面,民辦高校可以每年度定期組織相關管理人員進行信息安全教育培訓,普及信息資源安全知識。另一方面,民辦高校可以通過講座、校報、校內廣播、網上瀏覽等多種形式來普及安全知識,對廣大師生進行信息資源安全宣傳教育,營造良好的信息安全環境。
4.2 加強信息資源安全人才隊伍建設,培養專業信息資源安全人才
信息安全人才隊伍建設是建立民辦高校信息資源安全保障體系和民辦高校信息化建設健康發展的重要保證。因此,各民辦高校應該圍繞信息資源安全需要,不斷完善信息資源安全人才培養方案,努力打造一支富有信息資源安全意識、信息管理技術過硬的信息資源安全人才隊伍。
4.3 多種方式提高民辦高校信息資源安全保障能力
民辦高校可以定期對已有的各種信息系統進行日常安全檢查,加強對各種信息資源的管理,及時進行信息安全產品更新換代,減少信息資源安全問題出現的可能性,努力提高民辦高校信息資源安全保障能力。
4.4 構建民辦高校信息資源安全保障體系
信息資源安全問題具有內容多元性的特點,正是這個特點,單一的信息資源安全防范措施并不能很好地解決出現的信息安全問題。通過構建民辦高校信息資源安全保障體系,將會有效提高民辦高校信息化水平。
5 結論
隨著高校信息化的逐步深入,民辦高校信息資源安全問題日益突出。在分析了民辦高校信息資源安全保障的必要性后,本文歸納了民辦高校信息資源安全特點,提出了目前民辦高校面臨的信息資源安全風險,在此基礎上,給出了民辦高校信息資源安全保障對策,力圖達到提高民辦高校信息化水平,保證民辦高校信息化建設健康發展的研究目的。
參考文獻:
[1]熊平.高校信息安全教育改革[J].科技咨詢導報,2007,10:167-168.
[2]鄧吉平.論新時期高校信息安全保密工作[J].科技創新導報,2008(35):178-178.
[3]楊瑩.高校信息安全探討[J].電腦知識與技術,2008,4(36):2955-2956.
[4]楊建國.網絡環境下高校信息安全的管理[J].安慶師范學院學報(社會科學版),2004,23(2):61-63.
[5]孟壇魁,梁藝軍.高校信息安全體系建設與實踐[J].實驗技術與管理,2011,28(6):122-124.
作者簡介:何建倉(1984-),通訊作者,男,河南新鄉人,研究生,助教,研究方向:粗糙集、粒計算;巨筱(1976-),講師,研究方向:計算機教育;牛丹丹(1985-),女,助教,研究方向:LTE協議棧。
篇2
近日,綠盟科技了《個人網上銀行登錄安全研究報告》(下稱報告)。該報告樣本選自2012年末標準普爾的“中國50大銀行”,由綠盟科技的安全專家對這50家銀行的個人網上銀行登錄進行了調查、分析和深入研究,并給出了較為全面的比較和分析。無論是個人網上銀行用戶,還是銀行從事網上銀行安全工作的相關人士,都可以從中獲得借鑒。
安全策略豐富但仍有不足
安全會話、身份鑒別、輸入保護、驗證碼、失敗處理、瀏覽器功能屏蔽、預留信息、登錄提醒及限制策略……網上銀行安全防護策略層出不窮。報告顯示,安全措施日益多樣且細節豐富。然而,安全和便捷總是一體兩面,安全策略的應用必然會降低便捷和效率。比如,驗證碼仍然是給中國網上銀行用戶登錄帶來負面體驗的安全策略之一。
此外,需要指出的是,并非安全策略應用的越多就越安全。一方面,有些安全策略并未起到應有的作用或者作用并不明顯,比如預留信息的安全作用就并不明顯,又如與登錄限制相關的策略如“密碼有效期限制”、“登錄電腦限制”、“登錄時間或IP地址限制”和“登錄頻率或地域限制”雖然被11家銀行采用,但由于并非默認項,所以并未起到應有的作用。
另一方面,一些安全策略雖然有效但也存在不足。報告顯示,被調研的所有個人網上銀行網絡通信均采用超文本傳輸安全協議(HTTPS)方式,應用安全套接字層(SSL)來建立安全信道。然而,綠盟科技項目經理李海濤認為,SSL通常是安全可靠的,但有兩點可使SSL的安全性大大降低:一是低強度對稱加密算法的使用,弱加密可以使系統辛辛苦苦建立起來的會話密鑰輕易被破解;二是數字證書的公私鑰對可猜測。
解決五大威脅是關鍵
防與攻是信息安全與威脅永恒的博弈。報告指出,網絡釣魚、惡意代碼攻擊、暴力破解密碼、登錄的惡意濫用以及用戶身份假冒仍然是目前中國網上銀行登錄的五大安全威脅。
“釣魚網站的存活期以小時計算,僅靠黑名單的防護方法并不及時和足夠,如何在客戶端動態有效地甄別釣魚網站是一項有挑戰性的課題。”綠盟科技項目經理蔡昆認為。雖然釣魚網站的技術原理并不高深,但是利用了人的無知,釣魚網站仍然是個人網上銀行登錄安全的最大威脅。報告指出,在惡意代碼攻擊方面,目前在采用安全控件的網上銀行中,多數安全控件能夠防御常見的截獲攻擊,如Windows API截獲、HOOK截獲、鍵盤中斷等,且近半數的安全控件具備抗逆向分析的能力。另外,在使用軟鍵盤的網上銀行中,近半數軟鍵盤進行了防截屏設計。而暴力破解攻擊在逐步降低,但仍不可忽視。
篇3
第三方外包服務人員和移動型員工已經成為很多企業的重要組成部分,他們常常需要通過第三方工具訪問企業網絡,這種方法會給企業的敏感數據帶來風險,并對公司網絡構成威脅。
例如,移動辦公人員將公司數據儲存在家用電腦上,當孩子和其他家庭成員訪問P2P文件共享網站,或者通過即時通信工具發送附件,這就有可能在無意中泄漏公司信息。同樣,外包服務人員也有可能將公司數據意外地發送給其他客戶。不管他們這么做的意圖是什么,其結果給企業帶來的損害都是同樣嚴重的。
Check Point安全顧問吳航對敏感型數據泄露的主要原因進行了分析,他說:“一是用戶信息安全意識或技能不高,自身沒能保護好自己的敏感數據;二是所使用的信息系統或信息安全產品防護能力不夠強,給計算機黑客等攻擊者造成了竊取用戶隱私的機會;三是信息技術產品的開發者在無意間造成了產品的缺陷,導致了用戶隱私泄露;四是信息技術產品的開發者有意在產品中設置俗稱‘后門’的技術接口,收集甚至竊取用戶隱私。”
在RSA2010信息安全大會上,Check Point正式了與SanDisk攜手合作開發的安全虛擬辦公U盤――Abra。記者了解到,它表面上看起來像一個U盤,但它卻能給企業提供一個安全、成本合理并可讓第三方PC訪問公司網絡的解決方案。
該設備把Check Point多種技術整合在SanDisk的高性能U盤中,包括虛擬化、虛擬專用網絡(VPN)和安全技術,為用戶營造一個安全虛擬工作環境。用戶只需把Abra 盤插入任何一臺Windows PC上,并通過身份認證,即可把該PC變成企業電腦使用。
篇4
全國2013年1月高等教育自學考試
公安信息學試題
課程代碼:00372
請考生按規定用筆將所有試題的答案涂、寫在答題紙上。
選擇題部分
注意事項:
1.答題前,考生務必將自己的考試課程名稱、姓名、準考證號用黑色字跡的簽字筆或鋼筆填寫在答題紙規定的位置上。
2.每小題選出答案后,用2B鉛筆把答題紙上對應題目的答案標號涂黑。如需改動,用橡皮擦干凈后,再選涂其他答案標號。不能答在試題卷上。
一、單項選擇題(本大題共10小題,每小題1分,共10分)
在每小題列出的四個備選項中只有一個是符合題目要求的,請將其選出并將“答題紙”的相應代碼涂黑。未涂、錯涂或多涂均無分。
1.從覆蓋的地理范圍來說,“城市公安綜合信息系統”屬于
A.局域網B.城域網
C.廣域網D.有線網
2.下列不屬于數據處理系統的是
A.戶證信息系統B.電子會議系統
C.人事檔案信息系統D.工資發放信息系統
3.通過公安專用網絡和業務應用信息系統,系統內部成員間在網上開展警務活動的電子警務工作模式是
A.P-P模式B.P-C模式
C.P-G模式D.P-B模式
4.系統分析階段的技術文檔叫做
A.系統方案B.系統日志
C.系統說明書D.系統調查報告
5.在現代化組織中,首席信息官的縮寫為
A.CEOB.CNO
C.CFOD.CIO
6.信息收集人員將信息調查的事項,以面談、電話或網絡在線交流的形式,向被調查者詢問,以獲得所需信息的方法稱為
A.問卷法B.觀察法
C.訪問法D.調查法
7.信息系統安全包括信息系統實體安全、軟件安全、運行安全和
A.技術安全B.數據安全
C.人員安全D.環境安全
8.我國公安領域的電子政務,即電子警務啟動于
A.2002年B.2003年
C.2004年D.2005年
9.數字通信系統中,通常用來衡量其可靠性指標的是
A.信息速率B.波特率
C.信道容量D.誤碼率
10.通過公安計算機網絡,人們能夠共享的資源包括硬件資源、軟件資源和
A.人力資源B.操作系統資源
C.數據資源D.傳輸介質資源
二、多項選擇題(本大題共10小題,每小題2分,共20分)
在每小題列出的五個備選項中至少有兩個是符合題目要求的,請將其選出并將“答題紙”的相應代碼涂黑。錯涂、多涂、少涂或未涂均無分。
11.屬于公安工作信息化建設的公眾服務領域的信息系統有
A.戶證管理信息系統B.情報管理信息系統
C.駕駛員管理信息系統D.旅店業管理信息系統
E.機動車管理信息系統
12.公安信息分析與研判過程中,編寫的研究報告類型有
A.供專業人員參考的研究報告
B.供領導參考的研究報告
C.供將來使用的研究報告
D.供公安業務人員參考的研究報告
E.供多類用戶參考的研究報告
13.信息檢索方法中的常規方法包括
A.按文獻檢索B.按作者名檢索
C.按類別檢索D.按數據檢索
E.按主題詞檢索
14.公安信息系統規劃的主要方法有
A.關鍵成功因素法B.公安信息需求分析法
C.戰略目標集轉化法D.企業系統規劃法
E.可行性分析法
15.屬于公安業務信息系統的有
A.地理管理信息系統B.交通管理信息系統
C.人口管理信息系統D.違法犯罪人員信息系統
E.圖書管理信息系統
16.信息分析的基礎性功能包括
A.預測B.整理
C.反饋D.追蹤
E.評價
17.關于公安信息的分析與研判說法正確的有
A.以公安主體為用戶服務對象
B.以公安信息為分析、研究對象
C.以公安內部管理和公安業務為課題
D.以計算機技術為主要工具
E.以為公安機關制定出決策的直接依據為結果
18.從所傳遞信息的形式看,通信系統分為
A.有線傳輸系統B.語音傳輸系統
C.圖像傳輸系統D.無線傳輸系統
E.數據傳輸系統
19.公安信息系統需求分析的原則有
A.自頂向下全面展開B.客觀審視系統
C.自底向上分層解析D.工程化的工作方法
E.全面鋪開與重點調查相結合
20.按承載信息的載體分類整理時可使用的載體包括
A.紙張B.磁盤
C.光盤D.視聽材料
E.實物
非選擇題部分
注意事項:
用黑色字跡的簽字筆或鋼筆將答案寫在答題紙上,不能答在試題卷上。
三、填空題(本大題共10小題,每小題1分,共10分)
21.把經過描述、定義和揭示后的公安信息按照順序和格式要求進行存放、保管的過程稱作______。
22.對外保密的那部分公安信息稱為______。
23.按照通常的分類,被認為是EDP、MIS、DSS的一種具體應用形式的系統類型是______。
24.信息在存儲和傳輸過程中,不能被非法地篡改、破壞,也不能被偶然、無意地修改就是信息的______。
25.公安機關最主要的資源分為三大類,即人力資源、信息資源和______。
26.公安信息檢索大體經歷的三個階段是手工檢索、機械檢索和______。
27.經過分析和優化后,新系統擬采用的管理模型和信息處理方法是______。
28.對DBMS引擎存取信息的情況進行連續統計記錄的文件叫做______。
29.公安信息管理的目的是使用或利用______。
30.將信息分析研究成果提交給用戶的書面或電子文檔材料稱為______。
四、名詞解釋(本大題共5小題,每小題3分,共15分)
31.信息分析
32.電子警務(狹義)
33.語義信息
34.網絡通信協議
35.追蹤決策
五、簡答題(本大題共5小題,每小題5分,共25分)
36.簡述常見的公安信息檢索的方法。
37.簡述解決公安內部專網與公眾通過Internet獲取公安機關服務之間矛盾的途徑。
38.簡述公安信息基礎結構的內容。
39.簡述公安信息系統發展中的經驗和教訓。
40.簡述我國公安機關信息安全監察的概念和原則。
六、論述題(本大題共2小題,每小題10分,共20分)
篇5
白皮書率先提出“應用牽引是核心”,從應用出發,從應用軟件開始,從企業和國產軟件廠商的實際出發,通過優勢的國產應用軟件來帶動、牽引薄弱的國產基礎軟件、操作系統,分階段最終實現軟件的完全國產化,改變了直接從操作系統或中間件入手進行軟件國產化的思路。
吹起軟件國產化春風
沒有信息化,就沒有現代化;沒有信息安全,就沒有國家安全。“棱鏡門”事件、RSA后門、Heartbleed漏洞、XP退役等,都對國內信息安全提出了更高的要求。筆者認為,對國內用戶而言,實現信息安全的必要條件是信息化關鍵軟硬件產品的國產化。只有這樣,才能確保真正的信息安全。從“去IOE”到“去SOA”,中國的信息化快速掀起了一股國產化的浪潮,然而軟件國產化真正之路在哪、具體之對策在哪,人們一直迷茫困惑。
此次白皮書重點提出大型企業信息系統國產化的三大新思路和原則,即應用牽引、平臺重構、分階段實施,以及四條國產化路徑,即直接采用、對等替換、系統性替換、平臺替換,讓人感受到國產化春風已漸吹遍神州大地。
會中,以用友軟件、中標軟件、神舟軟件等為代表的50家重點國產軟件廠商成立中國信息化應用安全聯盟,就國產軟件產業鏈深度合作、共同為行業用戶打造安全可控、自主創新的信息化解決方案進行了深入交流與討論。國內IT企業并非第一次結盟。2013年9月,浪潮、中標軟件、金蝶、達夢、銳捷網絡等國內主要IT軟硬件企業成立了國產主機系統產業聯盟。中國工程院院士倪光南曾指出,全球信息領域競爭正由單一產品或技術的競爭轉向整個產業鏈的競爭,國內IT企業應聯合起來打造集成產業生態系統,將有助于擺脫對美國主導的全球IT產業鏈的依附。
如何讓“星火”去“燎原”
然而與國內數萬個軟件企業相比,這種力量還只能算是“星火”,要實現信息系統的徹底國產化,打破“單飛”的傳統觀念,真正實施“應用牽引”的發展思路,這種結盟還很軟弱,要真正做到“星火燎原”,國產化替代全面落地,筆者以為,政策引導、扶持是突破關鍵。
5月,中央機關率先明確不采購Windows 8操作系統,這將起到較好的示范效應。地方政府在采購時,也可能群起效仿,這勢必對“IOE”、“SOA”在華勢力產生不小沖擊。此消彼長,國產軟件就會趨勢而上,國產化替代的春天就會指日可待。然而筆者以為,這尚嫌不夠,從應用軟件到數據庫、操作系統,對“IOE”、“SOA”等洋品牌,我們是否應再來一次“明確不采購”?實有必要。我們知道,OA、ERP等應用軟件的國產化率已經超過80%,但操作系統、中間件、基礎軟件,以及復雜高端的應用軟件領域國產替代的能力較弱,與洋品牌還有一定差距,市場占有率很小,如果政府不加以明確支持,國產化替代還有很長的路要走。為了國家安全,政府有必要以更強的姿態引導扶持,加速國產化進程。
建立國產化的安全壁壘
篇6
關鍵詞:互動式探究教學 個性化教學 人才培養模式
中圖分類號:G64文獻標識碼:A 文章編號:1007-3973(2010)06-172-02
1引言
《信息與編碼》是一門理論與應用關系十分密切的學科。首先它是一門十分嚴謹的理論學科,從它的概念定義到問題模型,再到定理與它的證明都是用嚴格的數學語言和邏輯推導完成;同時,它的應用性很強,從它的產生背景、發展與應用內容來看,都可以看到它與電子、通信、計算機技術的發展密切相關,并得到一系列的重要應用。尤其是與近代網絡通信、數據加密與安全技術、多媒體技術密不可分。本文總結幾年的教學實踐體會,結合國內外相關教研成果,對信息與計算科學專業的《信息與編碼》課程教學,從教學內容和教學方法等方面進行了探索研究。
2互動式探究是符合《信息與編碼》課程的特點和學生的實際情況的
信息論是二十世紀五十年代由美國數學家香農提出的。信息論有狹義和廣義之分,狹義信息論即香農早期的研究成果,它以編碼理論為中心,主要研究信息系統模型、信息的度、信息容量、編碼理論及噪聲理論等。廣義信息論又稱信息科學,是以信息為主要研究對象,以信息及其運動規律為主要研究內容,以信息科學方法論為主要研究方法,以擴展人的信息器官的功能。它把各種事物都看作是一個信息流動的系統,通過對信息流程的分析和處理,達到對事物復雜運動規律認識的一種科學方法。它的特點是撇開對象的具體運動形態,把它作為一個信息流通過程加以分析。
《信息與編碼》課程教學,主要圍繞信息的度量、有效處理和可靠傳輸等一些列問題來展開。而且目前在校大學生都是出生于八十年代末期,獨生子女居多,這些學生在多元文化的熏陶下,有著不同的愛好和興趣,勇于追求自身的個性。教學中能否與時俱進,開展個性化教學,是搞好教學工作的重要環節。而對大四即將畢業的學生開設《信息與編碼》課程,這是對他們所學專業知識的有益補充和完善。
3課堂師生互動,是符合《信息與編碼》課程教學特點和任務的
互動式教學法是根據學生所學的專業、方向、自身的思維習慣、學習能力和學習對象等特點, 在教學過程中,圍繞主要教學內容,以學生為主體,教師為主導,有目的、不固定地對相關知識點引導學生討論、探究,教師最后作總結 。其中案例教學和專題討論 是互動式教學中經常采用的兩種教學方法。這兩種教學方法能夠引導學生以信息安全基本理論、基本原理和方法為基礎,圍繞實際應用問題展開學習。
案例教學主要是指在教學過程中,教師根據教學內容的需要,模擬一定場景下的問題,引導學生運用相關理論對問題展開分析和討論 。在案例教學實踐中,為使知識的新穎與激發學生的興趣,應當注意在選取問題時利用一些與學生日常生活中接觸的實際問題相結合的應用案例。例如,在講解“信息可靠傳輸”這一問題時,可以向學生介紹密鑰和消息傳輸的例子。
Alice和Bob可以在不需要密鑰交換協議的前提下,進行消息的安全傳輸。
(1)Alice產生一隨機會話密鑰,并用加密:。
(2)Alice從數據庫中得到Bob的公開密鑰。
(3)Alice用Bob的公開密鑰加密:。
(4)Alice將加密的消息和加密的會話密鑰傳送給Bob: 。
為了增加安全性,防止中間人攻擊,Alice可對傳輸簽名。
(5)Bob用他的私人密鑰將Alice的會話密鑰解密。
(6)Bob用會話密鑰將Alice的消息解密。
然后,教師和學生一起討論這個信息傳輸協議的安全性、傳輸過程存在的安全隱患。教學實踐表明,通過類似的案例教學,能夠有效地提高學生運用課堂所學理論進行分析解決實際問題的能力。同時,對實際問題的分析和解決過程也能夠有效培養學生的學習興趣,從而促進學生自主地圍繞實際應用問題進行課堂學習。
在進行專題討論 時,教師可以選取信息安全技術在管理中的一些重要應用問題,如“信息系統安全問題” 、“密鑰管理技術” 、“數字簽名技術” 、“信息安全協議”等,作為課程專題,教師提供相關信息和需要重點研究的問題,由學生進行文獻資料的查找和分析,完成對課程專題的分析和研究,最終提交研究報告或專題論文。教學實踐證明,課程專題研究這種教學方法能夠有效地調動學生的學習積極性,大部分學生能夠通過查找資料和撰寫研究報告不僅能夠有效地掌握該課程專題的理論知識,而且還能夠運用所學理論,對實際應用問題展開分析,并提出比較具體的解決方案。
4建立網絡教學平臺是加強師生互動探究的又一有益補充
通過互動式課堂教學,學生可以了解到《信息與編碼》課程的絕大部分知識內容,但隨著人才培養模式的改變,《信息與編碼》課程的教學時間由原來的72學時壓縮為48學時,在這么短的時間內,要把主要知識完整地傳授給學生是有相當大困難的,更不利于互動式教學法的運用;后來雖然采用了多媒體教學手段,由于教學時間的限制,多數情況下仍是 “教師講、學生聽”的傳統的“演播式”教學模式T。這種教學模式雖則能夠講授的內容增多了,但還是相對呆板,師生之間的缺乏必要的互動性,不利于學生知識體系的形成。因此,利用互聯網技術和校園網資源,建立《信息與編碼》課程網絡教學平臺U,通過網上就可以為課堂教學提供必要的輔助教學手段。教師可以把多媒體課件、教學大綱、講稿、知識點、重點難點、案例實例、專題資料等放在網上,供學生自主學習,讓不同基礎的學生隨時根據自己的情況學習,可以充分發揮學生學習的主動性,照顧到學生的個性發展。網站還可以提供作業設置、答疑輔導、信息反饋和交流等功能,極大地方便師生之間的交流,掌握學生學習動態,給學生提供必要的指導,同時也有利于減輕教師的課業負擔。
5結束語
互動式探究教學是理論教學的補充和完善。它根據教學內容的需要,打破課堂教學的傳統模式,更好地體現“學生為主體、教師為主導”的教學規律,更多地面向全體學生,使教師真正成為培養學生的獨立思考能力、綜合運用能力、實際操作能力、思維創新能力和團隊協作意識的“領路人”。
(基金項目:江蘇省教育科學“十一五”規劃2009年度課題(169);徐州工程學院校科研項目(YGJ0961;YGJ0959).)
注釋:
匠縞對高職計算機基礎教學模式的探索與思考[J].教育與職業,2004,(31).
荒匣 新課程教學與多媒體的運用[J].新課程研究(教師教育),2008,(4)
跣廊曾一,文俊浩.《計算機文化基礎》課程研究與實踐[J].黑龍江高教研究,2005,(9).
絡骶馬建榮. 加強情感教育全面提高學生素質[J].浙江萬里學院學報,2000,(6).
篇7
云和移動化改變信息環境
如今,信息時代最顯著的變化便是云和移動化的快速普及與深入應用。研究報告預測,到2018年,用戶所使用的信息終端將會全面移動化,其中38%的用戶將會攜帶個人移動設備辦公,每個用戶平均擁有1.4臺接入網絡的移動設備,這催生了海量的移動應用程序,也為黑客提供了全新的攻擊目標與手段,企業的信息資產處于越來越危險的境地。
同時,服務器在進化,企業將數據中心虛擬化,并將工作負荷和數據擴展到公有云,數據中心逐漸縮小,隨著數據中心從物理轉換為虛擬,并最終轉移到云端。預測到2015年將有90%的大型企業與政府用戶部署云計算產品以及解決方案,企業業務將面臨新的安全、管理和投資回報率的挑戰。
在終端設備和服務器日益進化之時,各類新威脅態勢也呈現“進化”之勢,如何應對各種隱蔽性高、針對性強的高級持續性威脅帶來的挑戰,是擺在企業決策者面前的一道難題。
與過去企業用戶面臨的員工數據泄露等簡單威脅相比,現在威脅形勢已經越來越復雜,并越來越多的出現了像APT攻擊這種威脅極大的復雜攻擊。APT攻擊往往會針對目標企業的安全漏洞定制專門的攻擊手段,并靈活利用多個端口與多個協議進行攻擊,還會隨著時間不斷地演化,這些威脅將不斷地攪亂商業運營秩序,給企業帶來信息系統、知識產權、法律合規、品牌聲譽等方面的損失。
已經有多達63%的企業信息安全人員相信,基于目前威脅不斷進化的趨勢,自己的企業被攻擊只是時間問題。現在,平均每秒鐘就有一個新的安全威脅產生,每5分鐘就會發生一起網絡入侵行為,超過90%的企業內潛伏著惡意軟件,即使是一些防護措施非常嚴密的大型企業也難以幸免。2013年10月,Adobe遭到APT攻擊,數十G源代碼及290萬用戶信息失竊;2014年2月,eBay遭到神秘黑客的攻擊,海量用戶的電郵地址、密碼、生日和其他信息被盜。要化解針對性攻擊給企業核心信息資產帶來的威脅,企業平均要花費5,900萬美元來部署安全防護策略。
提前感知安全威脅
實現智能安全防護
不斷進化的威脅使越來越多的企業處于危險的境地,同時定制化的針對性攻擊也使得注重網絡通信和規則實施以及一次性設置的傳統安全防護手段瀕臨失效,迫使用戶對信息防護手段進行革新。與單純的策略實施相比,預知威脅將會來自哪里,察覺威脅具備怎樣的特征,進而采取防御也就體現更大的意義與價值。這就要求企業用戶更加注重了解黑客的行為和不斷發展的技術,在高偵測率與低誤報率之間平衡之后,進行風險管理。
趨勢科技(中國區)資深產品經理蔣世琪表示:“要想在面對不斷進化的安全威脅過程中占得先機,就需要在最大限度上調用所能利用的防護技術與資源,智能面對安全威脅。要實現智能安全防護,企業首先需要注意到的是,要智能保護所有層次與環境的信息安全,并部署多道防線,通過相互聯系和協同工作提供盡可能最好的保護。智能保護也應該是實時的,用戶最好通過云計算,而不是桌面模式提供安全更新。同時,智能安全防護對管理員和用戶應該是透明的,確保其安全策略的有效性。”
篇8
我們每天都在以各種方式創造著數據,而每個與互聯網相連的人,都在介入不同程度的社交環境中。Web 2.0的興起不僅幫助地球不同角落的用戶瞬間互聯,也在改變著企業與客戶之間的關系,并逐漸成為企業發展的重要推動力。我們越來越多地用消費類電子設備辦公,越來越多的移動終端成為我們日常獲取信息、郵件處理,甚至是企業辦公的首選工具。顯然,這類新興的應用模式也將在企業的業務效率、業務連續性、響應速度、業務模式,以及最終的客戶體驗上拉開差距,這最終決定著企業的興衰成敗。
現在,IT已從一個輔助與支撐工具,轉換為企業關鍵的業務增長促成器,以及面向用戶豐富多彩、互聯協作的紐帶,扮演著一個不可或缺的重要角色。但隨之而來的問題在于――我們是因不善于把握和利用信息而被其淹沒,還是要借助它的力量獲得新生?
目前,中國已是全球第二大經濟體,在越來越多的領域成為重要的領導者,已經成為全球最大的汽車市場和個人電腦市場。中國還擁有全球最多的互聯網用戶和手機用戶……這預示著中國在未來發展中,在面臨眾多發展機遇的同時,也將面臨巨大的挑戰。
第一個挑戰是信息的安全性。2011年所體現出的IT趨勢之一,就是加快了企業內部與外部的互聯互通,然而,這也增加了企業內部的信息安全威脅。隨著IT消費化不可逆轉,以及業務的發展與數據的積累,企業將擁有更多的應用、服務器及更多類型的終端,再加上長期固有的人為因素,使得企業信息安全的挑戰日益加劇。2011年,美國企業應對網絡犯罪的平均成本是590萬美元(最低150萬美元,最高達3650萬美元),較上一年研究報告增加了56%。對于不斷走出國門的中國企業來說,信息安全無疑是頭等大事,必須認真面對。
第二個挑戰來自于底層IT架構的復雜性。其實不僅僅是傳統的大型企業,越來越多的由小變大的中國企業都要面對繁雜的底層基礎設施與數量眾多的企業應用,這無疑增加了企業IT架構的復雜性。
第三個挑戰來自云計算。作為一個可以幫助企業迅速、動態、自動化地調配IT資源,高效進行應用交付的模式,云計算在2011年獲得了高度的關注與認可,中國企業對其尤為感興趣。據Forrester 2011年的一份全球性調查報告顯示,平均有63%的企業將云和虛擬化列為了IT投資的重點,中國企業的熱情更高,比例達到了71%。但在部署云的過程中,也給企業本身帶來了新的挑戰。安全性和互操作性成為中國企業所關注的首要話題,同時也是讓它們對云猶豫不決的原因。
最后一個挑戰是對信息的管理,前面所做的工作都是為這一目標打基礎。在當今,組織的成功在很大程度上取決于正確的人在正確的時間獲得正確的信息。所有人都想知道,如何能挖掘到蘊藏于大量豐富的、非結構化數據(根據IDC的報告,其占數據總容量的85%)中的關鍵信息,用于決策,以更好地服務于他們的客戶,并能保證創新,最終發展他們的業務。
隨著企業不斷增長的需求,這并不是一個產品就可解決的問題。企業需要其合作伙伴提供一個全面的策略來管理企業信息化,以降低成本和復雜性。
中國企業所面對的信息挑戰,不僅涉及存儲、服務器、網絡、安全、軟件等產品與技術,更需要強大而完善的解決方案與服務,單純的產品與簡單的方案提供,越來越無法滿足用戶的要求。而惠普能夠提供全方位的解決方案,使組織從這種新的需求帶來的新機遇中獲益。
作為中國惠普有限公司總裁,我對惠普在中國的發展及面臨的機遇激動不已。而早前我有在韓國與英國及愛爾蘭擔任惠普總裁的經驗,有助于我以更開闊的視野了解中國客戶日益國際化的需求。
可以預見的是,“在中國為中國”的指導方針、完整清晰的發展戰略、豐富而卓越的產品組合與解決方案,強大的服務能力,將使中國惠普更好地融入中國經濟改革的浪潮中,并在其中貢獻自己的積極力量,展現自己的價值,最終與中國企業攜手和諧發展,在海量信息中獲得新生。
篇9
北京國宇祥工程咨詢公司認為國家已從戰略層面上肯定了智慧城市在利用新一代信息技術、提高社會管理和城市運行水平中的積極作用,并成為國家鼓勵支持信息化發展的新方向,也為智慧城市的健康發展提供了明確的指導方針。
一、總 論
(一)項目背景
1、項目名稱
2、建設單位概況
3、可行性研究報告編制依據
4、可行性研究報告編制單位
(二)項目實施的背景及必要性
1、實施背景
2、實施必要性
(三)項目概況
1、擬建項目
2、建設規模與目標
3、主要建設條件
4、項目總投資及效益情況
5、主要技術經濟指標
(四)主要問題說明
1、項目資金來源問題
2、項目技術設備問題
3、項目供電供水保障問題
二、市場預測
(一)項目市場分析
1、智慧城市簡介
2、國外智慧城市建設
3、國內智慧城市建設
(二)市場需求預測
(三)主要競爭企業分析
(四)營銷策略
1、服務策略
2、技術領先策略
3、客戶定位策略
三、項目架構方案及商業模式
(一)項目總體架構方案
(二)重點領域架構方案
1、數據中心
2、公共信息平臺
3、智慧應急
4、智慧交通
5、智慧城管
6、智慧醫療
7、智慧養老
8、智慧農業
9、智慧排水防澇
(三)項目B2B、B2C、O2O相結合的商業模式
四、場址選擇
(一)場址所在位置現狀
1、地點與地理位置
2、場址土地權屬類別及占地面積
3、土地利用現狀
(二)場址建設條件
五、技術方案、設備方案、裝修方案
(一)技術方案
1、數據中心
2、公共信息平臺
3、智慧應急
4、智慧交通
5、智慧城管
6、智慧醫療
7、智慧養老
8、智慧農業
9、智慧排水防澇
(二)技術要求
1、數據中心
2、公共信息平臺
3、智慧應急
4、智慧交通
5、智慧城管
6、智慧醫療
7、智慧養老
8、智慧農業
9、智慧排水防澇
(三)設備方案
1、設備及軟件選配原則
2、設備選型表
3、軟件選型表
(四)數據中心裝修方案
1、編制依據
2、裝修要求
3、裝修工程量及造價
六、主要原材料、燃料供應
(一)主要原料材料供應
(二)燃料及動力供應
(三)主要原材料、燃料及動力價格
(四)主要原材料、燃料年需要量表
七、場地使用、公用輔助工程
(一)場地布置
(二)公共輔助工程
1、供水工程
2、供電工程
3、通信系統設計方案
4、通風采暖工程
5、防雷設計
6、防塵設計
7、接地系統
8、安防系統
9、消防系統
八、節能措施
(一)節能措施
1、節能規范
2、設計原則
3、節能方案
(二)能耗指標分析
1、用能標準與能耗計算方法
2、能耗狀況和能耗指標分析
九、節水措施
(一)節水措施
(二)水耗指標分析
十、環境影響評價
(一)場址環境條件
(二)項目建設和生產對環境的影響
1、項目建設對環境的影響
2、項目運營對環境的影響
(三)環境保護措施方案
1、設計依據
2、環保措施
(四)環境保護投資
(五)環境影響評價
十一、勞動安全衛生與消防
(一)勞動安全與職業衛生
1、設計依據
2、設計執行的主要標準
3、設計內容及原則
4、職業安全
5、職業衛生
6、輔助衛生用室
7、職業安全衛生機構
(二)消防
1、設計依據
2、總平面布置
3、建筑部分
4、電氣部分
5、給排水部分
十二、組織機構與人力資源配置
(一)組織機構
1、項目法人組建方案
2、管理機構組織方案
(二)人力資源配置
1、工作班次
2、項目勞動定員
3、職工工資福利
4、員工來源及招聘方案
5、員工培訓
十三、項目實施進度
(一)建設工期
(二)項目實施進度安排
(三)項目實施進度表
十四、招標方案
(一)編制招標計劃的依據
(二)招標內容
十五、投資估算
(一)投資估算依據
(二)建設投資估算
1、建筑工程費
2、安裝工程費
3、設備購置費
4、軟件購置及開發費
5、期間費
(三)鋪底流動資金估算
(四)項目總投資
(五)投資使用計劃
十六、融資方案
(一)資本金籌措
(二)融資方案分析
十七、財務評價
(一)計算依據及相關說明
1、項目測算參考依據
2、項目測算基本設定
(二)銷售收入、銷售稅金及附加和增值稅估算
1、銷售收入
2、銷售稅金及附加費用
(三)總成本費用估算
1、直接成本
2、工資及福利費用
3、折舊及攤銷
4、修理費
5、其它費用
6、總成本費用
(四)財務評價報表
1、項目損益及利潤分配表
2、項目財務現金流量表
(五)財務評價指標
1、投資利潤率,投資利稅率
2、財務內部收益率、財務凈現值、投資回收期
(六)不確定性分析
1、敏感性分析
2、盈虧平衡分析
(七)財務評價結論
十八、項目經濟效益與社會效益
(一)經濟效益
(二)社會效益
十九、風險分析
(一)項目風險因素識別
1、規劃風險
2、組織機構風險
3、人才體系風險
4、技術風險
5、資金風險
6、實施風險
7、運營模式風險
8、信息安全風險
9、支撐環境風險
(二)項目風險防控措施
1、規劃風險防控措施
2、組織風險防控措施
3、人才體系風險防控措施
4、技術風險防控措施
5、資金風險防控措施
6、實施風險防控措施
7、運營模式風險防控措施
8、信息安全風險防控措施
9、支撐環境風險防控措施
二十、結論與建議
(一)結論
(二)建議
附 表:
1、附表1 項目設備購置費估算表
2、附表2 項目軟件購置費估算表
3、附表3 流動資金估算表
4、附表4 項目總投資估算表
5、附表5 項目總投資使用計劃表
6、附表6 項目銷售稅金及附加費用
7、附表7 項目攤銷估算表
8、附表8 項目折舊估算表
9、附表9 項目總成本費用估算表
篇10
【 關鍵詞 】 “互聯網+”時代;網絡安全;管理策略;安全體系
On Network Security Policy Analysis and Management Strategy in the “Internet +” Era
Cai Wei
(China Nonferrous Mining Group Co., Ltd Beijing 100029)
【 Abstract 】 This article expounds the basic connotation of network security and requirements in the "Internet +" era. analyzes the present situation of network security and the current main security threat, puts forward the construction of network security situational awareness, intrusion detection and emergency control system of the management of protective measures based on the monitoring and early warning, active defense, real-time response to the three basic strategies.
【 Keywords 】 “internet +” era; network security; management strategy; security system
1 引言
當今社會已經進入到了“互聯網+”時代,網絡安全與我們的生活息息相關,密不可分。網絡信息安全對于國家、社會、企業、生活的各個領域以及個人都有十分重要的作用和意義。目前,在網絡應用的深入和技術頻繁升級的同時,非法訪問、惡意攻擊等安全威脅也在不斷推陳出新。防火墻、VNP、IDS、防病毒、身份認證、數據加密、安全審計等安全防護和管理系統在互聯網絡中得到了廣泛應用。隨著大規模網絡的部署和應用領域的迅速拓展,網絡安全的重要性越來越受到人們的關注,但同時網絡安全的脆弱性也引起了人們的重視,網絡安全問題隨時隨地都有可能發生。近年來,國外一些組織曾多次對中國企業、政府等網站進行過大規模的網絡攻擊,網絡安全已滲入到社會生活的各個方面,提高網絡安全防護能力,研究網絡安全管理策略是一項十分緊迫而有意義的課題。
2 “互聯網+”時代網絡安全
互聯網本身在軟硬件方面存在著“先天”的漏洞,“互聯網+”時代的到來讓這只大網的規模急劇擴大,盡管在網絡安全防護方面采取了很多有效性措施,然而網絡信息所具有的高無形價值、低復制成本、低傳播成本和強時效性的特點造成了各種各樣的安全隱患,安全成為了互聯網絡的重要屬性。
2.1 內涵
“互聯網+”是指依托互聯網基礎平臺,利用移動互聯網、 云計算、大數據技術等新一代信息技術與各行業的跨界融合,發揮互聯網在生產要素配置中的優化和集成作用,實現產業轉型、業務拓展和產品創新的新模式。互聯網對其他行業的深入影響和滲透,正改變著人們的生成、生活方式,互聯網+傳統集市造就了淘寶,互聯網+傳統百貨公司造就了京東,互聯網+傳統銀行造就了支付寶,互聯網+傳統交通造就了快的、滴滴。隨著“互聯網+”時代的到來,迫切需要“網絡安全+”的保護,否則,互聯網發展的越快遭遇重大損失的風險越大,失去了安全,“互聯網+”就會成為沙中之塔。在國家戰略的推動下,互聯網產業規模的成長空間還很巨大,網絡安全,刻不容緩。
2.2 主要內容
“互聯網+”不僅僅是互聯網移動了、泛在了、與傳統行業對接了,更加入了無所不在的計算、數據、知識,給網絡安全帶來了巨大的挑戰和風險。網絡安全泛指網絡系統的硬件、軟件及其系統上的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄漏,系統連續可靠正常地運行,網絡服務不被中斷。從內容上看,“互聯網+時代”的網絡安全大致包括四個方面:(1)網絡實體安全主要是以網絡機房的物理條件、物理環境及設施、計算機硬件、附屬設備及網絡傳輸線路的安裝及配置等為主;(2)軟件安全主要是保護網絡系統不被非法侵入,系統軟件與應用軟件不被非法復制、篡改、不受病毒的侵害等;(3)數據安全主要是保護數據不被非法存取,確保其完整性、一致性、機密性等;(4)管理安全主要是網絡運行過程中對突發事件的安全處理等,包括采取安全分析技術、建立安全管理制度、開展安全審計、進行風險分析等。
2.3 基本要求
網絡安全包括五個基本要求:機密性、完整性、可用性、可控性與可審查性。(1)機密性是指保證網絡信息不被非授權用戶得到,即使得到也無法知曉信息內容,通過訪問控制、加密變換等方式阻止非授權用戶獲知信息內容;(2)完整性是指網絡在利用、傳輸、貯存等過程中不被篡改、丟失、缺損等,以及網絡安全處理方法的正確性;(3)可用性是指網絡中的各類資源在授權人需要的時候,可以立即獲得;(4)可控性是指能夠對網絡系統實施安全監控,做到能夠控制授權范圍內的信息流向、傳播及行為方式,控制網絡資源的使用方式;(5)可審查性是指對出現的安全問題能夠提供調查的依據和手段,使系統內發生的與安全有關的行為均有說明性記錄可查。
3 “互聯網+”時代網絡安全分析
3.1 特征分析
近年來,無論是在軍事還是在民用信息領域中都出現了一個趨勢:以網絡為中心,各行各業與互聯網緊密相關,即進入了“互聯網+”時代。各類組織、機構的行為對網絡的依賴程度越來越大,以網絡為中心的趨勢導致了兩個顯著的特征:一是互聯網絡的重要性;二是互聯網絡的脆弱性。
網絡的重要性體現在現代人類社會中的諸多要素對互聯網絡的依賴。就像人們離不開水、電、電話一樣,人們也越來越離不開網絡,而且越是發達的地區,對網絡的依賴程度就越大。尤其是隨著重要基礎設施的高度信息化,直接影響國家利益及安全的許多關鍵基礎設施已實現網絡化,與此同時,這些社會的“命脈”和“核心”控制系統也面臨著更大的威脅,一旦上述基礎設施的網絡系統遭受攻擊而失靈,可能造成一個地區,甚至是一個國家社會功能的部分或者是完全癱瘓。
網絡的脆弱性體現在這些重要的網絡中,每時每刻都會面臨惡意攻擊、病毒傳播、錯誤操作、隨機失效等安全威脅,而且這些威脅所導致的損失,也隨著人們對網絡依賴程度的日益增高而變得越來越難以控制。互聯網最初基本上是一個不設防的網絡空間,其采用的TCP/IP、SNMP等協議的安全性很脆弱。它強調開放性和共享性,本身并不為用戶提供高度的安全保護。互聯網絡系統的脆弱性,使其容易受到致命的攻擊。事實上,目前我國與互聯網相連的大部分網絡管理中心都遭受過境內外黑客的攻擊或入侵,其中銀行、金融和證券機構是黑客攻擊的重點。
3.2 現狀分析
《2013年中國網民信息安全狀況研究報告》指出:整體上,我國網絡安全環境不容客觀,手機短信安全、應用軟件安全、計算機終端安全和各類服務器安全狀況不盡人意。
從數量規模上看,中國已是網絡大國,但從防護和管理能力上看,還不是網絡強國,網絡安全形勢十分嚴峻復雜。2015年2月,中國互聯網信息中心《第35次中國互聯網絡發展狀況統計報告》顯示,隨著“互聯網+”時代的到來,2014年中國網民規模6.49億,手機網民數量5.57億,網站總數3350000,國際出口帶寬達4118G,中國大陸31個省、直轄市、自治區中網民數量超過千萬規模的達25個。
從應用范圍上,“互聯網+”時代的到來使得龐大的網絡群體帶領中國進入了“低頭閱讀”時代,“微博客賬號12 億,微信日均發送160 億條,QQ 日均發送60 億條,新浪微博、騰訊微博日均發帖2.3 億條,手機客戶端日均啟動20 億次”的數據體現了中國網民的特征。
從網絡安全發展趨勢上看,網絡規模急劇擴大,增加了網絡安全漏洞的可能性;多個行業領域加入互聯網,增加了網絡安全控制的難度和風險;移動智能互聯設備作為互聯網的末端延伸,增加了網絡攻擊的新目標;互聯網經濟規模的躍升,增加了網絡管理的復雜性。
3.3 威脅分析
互聯網絡安全威脅主要來自于幾個方面:一是計算機網絡系統遭受病毒感染和破壞。計算機網絡病毒呈現出異常活躍的態勢,我國約73%的計算機用戶曾感染病毒,且病毒的破壞性較大;二是電腦黑客活動猖獗。網絡系統具有致命的脆弱性、易受攻擊性和開放性,我國95%與互聯網相聯的網絡管理中心都遭受過境內外黑客的攻擊或侵入;三是網絡基礎設施自身的缺陷。各類硬件設施本身存在漏洞和安全隱患,各類網絡安全系統在預測、反應、防范和恢復能力方面存在許多薄弱環節。國內與網絡有關的各類違法行為以每年30%的速度遞增,來自于外部的黑客攻擊、病毒入侵和基于多IP的惡意攻擊持續不斷。
從網絡安全威脅對象上看,主要是應用軟件、新型智能終端、移動互聯設備、路由器和各類網站。2015年瑞星公司的《瑞星2014年中國信息安全報告》顯示,新增病毒的總體數量依然呈上漲趨勢,掛馬網站及釣魚網站屢禁不止。新增手機病毒上漲迅速,路由器安全、NFC支付安全、智能可穿戴設備等是當前網絡安全最為薄弱的環節。
從網絡安全狀態上看,僅2014年,總體網民中有46.3%的網民遭遇過網絡安全問題,在安全事件中,電腦或手機中病毒或木馬、賬號或密碼被盜情況最為嚴重,分別達到26.7%和25.9%,在網上遭遇到消費欺詐比例為12.6%。2015年2月境內感染網絡病毒的終端數為2210000,境內被篡改網站數量近10000個,3月電信網內遭受DDOS攻擊流量近18000TB。2015年5月底短短幾天,就有支付寶、網易、Uber等互聯網龍頭接連出現故障,這是海外黑客針對中國APT攻擊的冰山一角。
從網絡安全防護技術上看,一方面,安全問題層出不窮,技術日趨復雜。另一方面,安全問題的迅速發展和網絡規模的迅速擴大,給安全解決方案帶來極大的挑戰,方案本身的研發周期和用戶部署周期的影響,導致安全解決方案在處理實際問題時普遍存在強滯后性、弱通用性和弱有效性的特點。更為重要的是現有安全解決方案通常只能針對特定的安全問題,用戶需要不斷增加部署新的安全解決方案以應對網絡安全的發展。
4 “互聯網+”時代網絡安全管理體系
安全是“互聯網+”時展的核心問題,網絡安全管理至關重要,在“互聯網+”模式提出之后,如何守衛網絡安全將成其發展的關鍵。“互聯網+”時代更需要建立一個完整的網絡安全防護體系,提高各網絡設備、系統之間的協同性和關聯性,使網絡安全防護體系由靜態到動態,由被動到主動,提高網絡安全處置的自適應性和實時反應能力,增強入侵檢測的阻斷能力,從而達到全面系統安全管控的效果。
4.1 基于監測預警建立網絡安全態勢感知體系
在現有基礎上,通過互聯網安全態勢評價指標,分級分層部料數據采集和感知分析系統,構建互聯網安全態勢感知體系。評價指標包括網絡運行基礎型指標,網絡脆弱性指標、網絡威脅指標三類。其中運行基礎指標包括基礎網絡性能、基礎網絡流量和網絡設備負載等;網絡脆弱性指標包括關鍵網絡設備性能指數、重要系統的狀態參數、終端服務器運行狀態等;網絡威脅指標包括攻擊事件、攻擊類型、病毒傳播速度、染毒終端數量等。為了有效地獲取各類統計分析數據,需要在重要的節點和核心區域部署數據采集和感知分析系統,對網絡中的應用終端、大型核心服務器等關鍵數據進行采集,如網絡運行狀態數據、病毒感染數據、骨干網絡流量數據、服務器病毒攻擊數據等,通過對采集數據的分析,形成分類、分級的網絡安全態勢,通過對數據的實時關聯分析動態獲取網絡安全態勢,構建一體聯動的態勢感知體系。
4.2 基于主動防御建立網絡安全入侵檢測體系
在現有入侵防御能力基礎上,重點建設主動防御、網絡蜜罐、流量清洗等系統,構建網絡安全入侵檢測體系。一是建設主動防御系統。利用啟發式檢測和入侵行為分析技術構建主動防御系統,部署于各類各級網絡管理終端和核心服務器上,通過對未知網絡威脅、病毒木馬進行檢測和查殺,主動檢測系統漏洞和安全配置,形成上下聯動、多級一體的安全防護能力。二是建設網絡蜜罐系統。利用虛擬化和仿真等技術拓展和豐富網絡蜜罐系統,實現攻擊誘捕和蜜罐數據管理,在重要節點、網站和業務專網以上節點部署攻擊誘捕系統,有針對性地設置虛假目標,誘騙實施方對其攻擊,并記錄詳細的攻擊行為、方法和訪問目標等數據,通過對誘捕攻擊數據分析,形成聯動防御體系。三是建設流量清洗系統,包括流量監測和過濾分系統。在核心交換區域和網絡管理中心部署流量檢測分系統,及時發現網絡中的攻擊流量和惡意流量。在核心骨干節點部署流量過濾分系統,在網絡攻擊發生時,按照設置的過濾規則,自動過濾惡意攻擊流量,確保正常的數據流量,從數據鏈路層阻止惡意攻擊對網絡的破壞。
4.3 基于實時響應建立網絡安全應急管控體系
在現有應急響應機制基礎上,通過進一步加強廣域網絡、系統設備和各類用戶終端的控制,構建應急管控體系。一是加強多級、多類核心網絡的控制。依托網絡管理系統、流量監測系統以及流量清洗系統對骨干網絡進行實時監控,實時掌控不同方向、不同區域、不同領域的網絡流量分布情況、網絡帶寬占用情況,便于有效應對各類突況。二是加強網絡安全事件的控制。特別是對影響網絡運行的病毒傳播擴散、惡意攻擊導致網絡癱瘓以及對各類網絡的非法攻擊等行為,要能在第一時間進行預警和處置。三是建立健全應急管控機制。對于不同類型的網絡安全威脅,明確相關的職能部門及必要的防范措施,避免出現網絡安全問題時“無人問津”的情況,確保網絡安全處理的時效性。
5 結束語
時代賦予了互聯網新的職能,互聯網在給我們的生活帶來便利的同時也威脅著人們的安全,必須著重研究和建立新的網絡安全管理體制并制定相應的應對策略。網絡安全策略不能停留在被動的封堵漏洞狀態,也遠遠不是防毒軟件和防火墻等安全產品的簡單堆砌就能夠解決的,網絡安全需要形成一套主動防范、積極應對的可信、可控網絡體系,從根本上提高網絡與信息安全的監管、恢復和抗擊、防護、響應等能力,對于個人、企業、社會甚至國家利益和安全都具有十分重要的現實意義。
參考文獻
[1] 吳賀君.我國互聯網安全現狀及發展趨勢[J].長春師范學院學報,2011(12).
[2] 陳君.互聯網信息安全的“中國設計”[J].今日中國(中文版),2014(06).
[3] 周潛之.加強網絡安全管理刻不容緩[N].光明日報,2014(01).
[4] 羅佳妮.完善互聯網信息安全保障機制的思考[J].新聞傳播,2013(09).
[5] 胡凌.網絡安全、隱私與互聯網的未來[J].中外法學,2012(02).
[6] 中國互聯網信息中心.2013年中國網民信息安全狀況研究報告[R].2013(09).
[7] 娜,劉鵬飛.2015中國互聯網展望[J].新媒在線,2015(03).
[8] 熊勵,王國正.移動互聯網安全,一道繞不過去的坎[J].社會觀察,2014(05).
[9] 喻國明.移動互聯網時代的網絡安全:趨勢與對策[J].國明視點,2015(02).
[10] 蔡志偉.融合網絡行為監測與控制技術研究[D].理工大學碩士論文,2011(06).
[11] 周鵬.大數據時代網絡安全的防護[J].網絡安全技術與應用,2015(04).
