对信息安全的理解(6篇)

时间：2024-08-27 来源：

对信息安全的理解篇1

论文摘要:文章首先分析了信息安全外包存在的风险，根据风险提出信息安全外包的管理框架，并以此框架为基础详细探讨了信息安全外包风险与管理的具体实施。文章以期时信息安全外包的风险进行控制，并获得与外包商合作的最大收益。

1信息安全外包的风险

1.1信任风险

企业是否能与信息安全服务的外包商建立良好的工作和信任关系，仍是决定时候将安全服务外包的一个重要因素。因为信息安全的外包商可以访问到企业的敏感信息，并全面了解其企业和系统的安全状况，而这些重要的信息如果被有意或无意地对公众散播出去，则会对企业造成巨大的损害。并且，如若企业无法信任外包商，不对外包商提供一些关键信息的话，则会造成外包商在运作过程中的信息不完全，从而导致某些环节的失效，这也会对服务质量造成影响。因此，信任是双方合作的基础，也是很大程度上风险规避的重点内容。

1.2依赖风险

企业很容易对某个信息安全服务的外包商产生依赖性，并受其商业变化、商业伙伴和其他企业的影响，恰当的风险缓释方法是将安全服务外包给多个服务外包商，但相应地会加大支出并造成管理上的困难，企业将失去三种灵活性:第一种是短期灵活性，即企业重组资源的能力以及在经营环境发生变化时的应变能力;第二种是适应能力，即在短期到中期的事件范围内所需的灵活性，这是一种以新的方式处理变革而再造业务流程和战略的能力，再造能力即包括了信息技术;第三种灵活性就是进化性，其本质是中期到长期的灵活性，它产生于企业改造技术基本设施以利用新技术的时期。进化性的获得需要对技术趋势、商业趋势的准确预测和确保双方建立最佳联盟的能力。

1.3所有权风险

不管外包商提供服务的范围如何，企业都对基础设施的安全操作和关键资产的保护持有所有权和责任。企业必须确定服务外包商有足够的能力承担职责，并且其服务级别协议条款支持这一职责的履行。正确的风险缓释方法是让包括员工和管理的各个级别的相关人员意识到，应该将信息安全作为其首要责任，并进行安全培训课程，增强常规企业的安全意识。

1.4共享环境风脸

信息安全服务的外包商使用的向多个企业提供服务的操作环境要比单独的机构内部环境将包含更多的风险，因为共享的操作环境将支持在多企业之间共享数据传输(如公共网络)或处理(如通用服务器)，这将会增加一个企业访问另一企业敏感信息的可能性。这对企业而言也是一种风险。

1.5实施过程风险

启动一个可管理的安全服务关系可能引起企业到服务外包商，或者一个服务外包商到另一个外包商之间的人员、过程、硬件、软件或其他资产的复杂过渡，这一切都可能引起新的风险。企业应该要求外包商说明其高级实施计划，并注明完成日期和所用时间。这样在某种程度上就对实施过程中风险的时间期限做出了限制。

1.6合作关系失败将导致的风险

如果企业和服务商的合作关系失败，企业将面临极大的风险。合作关系失败带来的经济损失、时间损失都是不言而喻的，而这种合作关系的失败归根究底来自于企业和服务外包商之间的服务计划不够充分完善以及沟通与交流不够频繁。这种合作关系在任何阶段都有可能失败，如同其他商业关系一样，它需要给予足够的重视、关注，同时还需要合作关系双方进行频繁的沟通。

2信息安全外包的管理框架

要进行成功的信息安全外包活动，就要建立起一个完善的管理框架，这对于企业实施和管理外包活动，协调与外包商的关系，最大可能降低外包风险，从而达到外包的目的是十分重要的。信息安全外包的管理框架的内容分为几个主体部分，分别包括企业协同信息安全的外包商确定企业的信息安全的方针以及信息安全外包的安全标准，然后是对企业遭受的风险进行系统的评估.并根据方针和风险程度.决定风险管理的内容并确定信息安全外包的流程。之后，双方共同制定适合企业的信息安全外包的控制方法，协调优化企业的信息安全相关部门的企业结构，同时加强管理与外包商的关系。

3信息安全外包风险管理的实施

3.1制定信息安全方针

信息安全方针在很多时候又称为信息安全策略，信息安全方针指的是在一个企业内，指导如何对资产，包括敏感性信息进行管理、保护和分配的指导或者指示。信息安全的方针定义应该包括:(1)信息安全的定义，定义的内容包括信息安全的总体目标、信息安全具体包括的范围以及信息安全对信息共享的重要性;(2)管理层的目的的相关阐述;(3)信息安全的原则和标准的简要说明，以及遵守这些原则和标准对企业的重要性;(4)信息安全管理的总体性责任的定义。在信息安全方针的部分只需要对企业的各个部门的安全职能给出概括性的定义，而具体的信息安全保护的责任细节将留至服务标准的部分来阐明。

3.2选择信息安全管理的标准

信息安全管理体系标准bs7799与信息安全管理标准is013335是目前通用的信息安全管理的标准:

(1)bs7799:bs7799标准是由英国标准协会指定的信息安全管理标准，是国际上具有代表性的信息安全管理体系标准，标准包括如下两部分:bs7799-1;1999《信息安全管理实施细则》;bs7799-2:1999((信息安全管理体系规范》。

(2)is013335:is013335《it安全管理方针》主要是给出如何有效地实施it安全管理的建议和指南。该标准目前分为5个部分，分别是信息技术安全的概念和模型部分;信息技术安全的管理和计划部分;信息技术安全的技术管理部分;防护和选择部分以及外部连接的防护部分。

3.3确定信息安全外包的流程

企业要根据企业的商业特性、地理位置、资产和技术来对信息安全外包的范围进行界定。界定的时候需要考虑如下两个方面:(1)需要保护的信息系统、资产、技术;(2)实物场所(地理位置、部门等)。信息安全的外包商应该根据企业的信息安全方针和所要求的安全程度，识别所有需要管理和控制的风险的内容。企业需要协同信息安全的外包商选择一个适合其安全要求的风险评估和风险管理方案，然后进行合乎规范的评估，识别目前面临的风险。企业可以定期的选择对服务外包商的站点和服务进行独立评估，或者在年度检查中进行评估。选择和使用的独立评估的方案要双方都要能够接受。在达成书面一致后，外包商授予企业独立评估方评估权限，并具体指出评估者不能泄露外包商或客户的任何敏感信息。给外包商提供关于检查范围的进一步消息和细节，以减少任何对可用性，服务程度，客户满意度等的影响。在评估执行后的一段特殊时间内，与外包商共享结果二互相讨论并决定是否需要解决方案和/或开发计划程序以应对由评估显示的任何变化。评估所需要的相关材料和文档在控制过程中都应该予以建立和保存，企业将这些文档作为评估的重要工具，对外包商的服务绩效进行考核。评估结束后，对事件解决方案和优先级的检查都将记录在相应的文件中，以便今后双方在服务和信息安全管理上进行改进。

3.4制定信息安全外包服务的控制规则

依照信息安全外包服务的控制规则，主要分为三部分内容:第一部分定义了服务规则的框架，主要阐明信息安全服务要如何执行，执行的通用标准和量度，服务外包商以及各方的任务和职责;第二部分是信息安全服务的相关要求，这个部分具体分为高层服务需求;服务可用性;服务体系结构;服务硬件和服务软件;服务度量;服务级别;报告要求，服务范围等方面的内容;第三部分是安全要求，包括安全策略、程序和规章制度;连续计划;可操作性和灾难恢复;物理安全;数据控制;鉴定和认证;访问控制;软件完整性;安全资产配置;备份;监控和审计;事故管理等内容。

3.5信息安全外包的企业结构管理具体的优化方案如下:

(1)首席安全官:cso是公司的高层安全执行者，他需要直接向高层执行者进行工作汇报，主要包括:首席执行官、首席运营官、首席财务官、主要管理部门的领导、首席法律顾问。cso需要监督和协调各项安全措施在公司的执行情况，并确定安全工作的标准和主动性，包括信息技术、人力资源、通信、法律、设备管理等部门。

(2)安全小组:安全小组的人员组成包括信息安全外包商的专业人员以及客户企业的内部it人员和信息安全专员。这个小组的任务主要是依照信息安全服务的外包商与企业签订的服务控制规则来进行信息安全的技术性服务。

(3)管理委员会:这是信息安全服务外包商和客户双方高层解决问题的机构。组成人员包括双方的首席执行官，客户企业的cio和cso，外包商的项目经理等相关的高层决策人员。这个委员会每年召开一次会议，负责审核年度的服务水平、企业的适应性、评估结果、关系变化等内容。

(4)咨询委员会:咨询委员会的会议主要解决计划性问题。如服务水平的变更，新的技术手段的应用，服务优先等级的更换以及服务的财政问题等，咨询委员会的成员包括企业内部的ti’人员和安全专员，还有财务部门、人力资源部门、业务部门的相关人员，以及外包商的具体项目的负责人。

(6)安全工作组:安全工作组的人员主要负责解决信息安全中某些特定的问题，工作组的人员组成也是来自服务外包商和企业双方。工作组与服务交换中心密切联系，将突出的问题组建成项目进行解决，并将无法解决的问题提交给咨询委员会。

(7)服务交换中心:服务交换中心由双方人员组成，其中主要人员是企业内部的各个业务部门中与信息安全相关的人员。他们负责联络各个业务部门，发掘出企业中潜在的信息安全的问题和漏洞，并将这些问题报告给安全工作组。

（8）指令问题管理小组:这个小组的人员组成全部为企业内部人员，包括信息安全专员以及各个业务部门的负责人。在安全小组的技术人员解决了企业中的安全性技术问题之后，或者，是当cso了关于信息安全的企业改进方案之后，这些解决方案都将传送给指令问题管理小组，这个小组的人员经过学习讨论后，继而将其到各个业务部门。

(9)监督委员会:这个委员会全部由企业内部人员组成。负责对外包商的服务过程的监督。

对信息安全的理解篇2

关键词:信息安全;实验教学;人才培养

信息安全专业所包含的课程种类较多,要求学生充分理解信息安全的基本概念,掌握各种信息安全应用的基本技术及方法,并牢固树立信息安全意识[1]。通过长期的教学实践,笔者发现信息安全相关课程实践性较强,单纯地通过课堂讲授难以使学生充分理解相关的知识点及相关技术。因此,非常有必要根据专业的培养目的,有针对性地开设信息安全实验课程,让学生通过动手实践,发现问题并解决问题,最终达到深入理解信息安全知识内容,掌握相关安全技术、培养良好的安全习惯的目的。同时,也充分培养学生发现问题、分析问题、解决问题的能力。

目前,信息安全实验课程的开设不存在统一的标准,仍处于探索阶段,概括起来主要存在以下两方面的问题:(1)依附理论课程开展实验教学,尚未形成相对独立的合理的实验教学体系,实验课程教学针对性不强;(2)实验形式单一、层次不高,学生感觉枯燥。本文针对以上问题进行了研究探讨,对信息安全实验课程的教学及组织方法进行了研究与实践。

1多层次实验组织

实验是实践教学的重要环节[2]。在教学大纲中明确提出,学生通过实验应可以加深对抽象理论知识的理解,提高学生动手能力、分析问题和解决问题的能力,同时还能够培养学生正确的思维方法和严谨科学的工作作风。针对以往以基础实验为主的实验教学方式,我们通过增加综合性实验、自主研究性实验及创新性实践的比例,将信息安全实验划分为基础性实

验、综合性实验、自主研究性实验和创新性实践四大类,其组织层次结构如图1所示。

图1实验组织层次

其中,基础性实验作为配合理论课程开设的实验环节,其主要目的在于帮助学生理解、掌握课程中所讲授的基本知识点,为后期的深入学习奠定一定的基础。因此,基础性实验以验证性实验为主,如各类密码算法的原理性实验(包括程序设计实验及使用实验)、对称/公钥密码体制下简单的密钥协商过程的实现等。通过基础性实验,使得学生能够验证所学知识的准确性、深入理解相关原理。此外,基础性实验还包括一些应用性较强的实验,如防火墙的规则配置、杀毒软件及手动杀毒方法的使用等,以培养学生对信息安全课程学习的兴趣。

基于基础性实验而开设的综合性实验,其主要目的是培养学生对信息安全课程中所讲授的各基础知识点综合运用的能力[3]。与基础性实验不同,综合性

作者简介:欧庆于(1978-),男,讲师,硕士,研究方向为信息安全。

实验要求学生在具备一定实验基础知识和基本操作技能的基础上,运用某一门或多门相关课程的知识点完成复合性实验,以对其实验能力和实验方法进行综合训练,如综合运用对称密码及公钥密码构建端端传输加密模型、运用移位寄存器理论及硬件描述语言(如VHDL、Verilog等)设计简单的线性反馈移位寄存器等。

自主研究性实验针对某些普遍的、敏感的信息安全问题和事件,由学生运用所学的知识,提出解决方法和方案,并尝试进行实现。其主要目的是考察学生对所学知识的理解、掌握和灵活应用的程度及与现实相关联的能力,培养学生运用信息安全知识解决实际问题的能力。此外,自主研究性实验可以与学生的社会实践相结合,选题主要源于社会实践活动和企事业应用需求,内容涉及安全需求分析、安全产品的选择与部署、安全评估、安全管理等。如依据所给设备和局域网安全现状构建网络防御平台。

创新实践则是从更高层次上对学生综合能力的提升[4]。在创新实践的实施过程中,我们将其与信息安全竞赛相结合,让学生运用所学的知识参与选题、方案制定、作品设计及其后期的文档撰写,并组织专家对作品进行评分和点评。通过创新实践,学生能够掌握进行科研活动的基本步骤、方法,并培养其运用科学的方法对未知流域进行探索的能力[5]。此外,通过分组讨论及专家点评环节,锻炼了学生的思辨能力,提升了学生的综合素质。

2多元化实验内容

信息安全课程内容丰富,涉及的知识点较多,并且各个知识点之间往往存在着关联。因此,如何合理的划分实验内容及各实验的顺序,直接影响到实验教学的最终效果。

在选择实验内容时,可根据信息安全课程的内容将实验内容划分为六大模块,分别是:密码学基础应用实验、密码学高级应用实验、安全协议基础实验、安全协议高级应用实验、系统安全实验、信息安全新技术实验。

2.1密码学基础应用实验

密码学基础应用实验主要针对信息安全本科专业,主要包括各类密码算法的编程实现,重点针对DES、AES及RSA算法的实现进行考查,使学生能够掌握对称密码算法及公钥密码算法实现过程中的核心技术,如:S盒的实现、迭代结构的优化实现、大素数的产生方法及模幂/模乘算法的设计等。

2.2密码学高级应用实验

密码学高级应用实验主要针对信息安全本科专业及研究生专业,主要包括各类密码算法的硬件实现(与信息安全实验平台相结合)、伪随机序列的产生、密码算法实现过程中的并行优化(如3-DES算法的实现)及密码算法安全性分析(如借助工具实现对各种密码算法的唯密文攻击、差分攻击、旁路攻击)。

2.3安全协议基础实验

安全协议基础实验主要针对信息安全本科专业,其开设的前提是学生已经完成了密码学基础及高级应用实验,充分理解密码学相关概念,并掌握了密码学应用的各种方法及技能。其主要内容包括:基于对称/公钥密码体制的密钥协商协议的设计、端端加密传输协议、数字签名协议及身份认证协议等。

2.4安全协议高级应用实验

安全协议高级应用实验主要针对信息安全研究生专业,其目的在于提高学生利用安全协议知识解决实际问题的能力。其主要内容包括:基于CA的密码管理协议实现、基于质询/响应动态口令的认证协议设计、基于时间口令的认证协议设计、密码协议安全性分析等。

2.5系统安全实验

系统安全基础实验主要针对信息安全本科专业,主要针对系统的安全防护、系统的安全配置及简单的安全设计等内容,具体实施的实验包括:防火墙配置实验、入侵检测系统的使用、Windows系统安全增强实验、Linux系统安全增强实验、安全程序设计实验等。其中部分内容,如:操作系统内核增强实验、安全程序设计实验等也可作为针对研究生的实验内容。

2.6信息安全新技术实验

信息安全新技术实验的主要目的是将当前在信息安全领域所出现的新技术、新方法及时地增加至实验教学中,增强学生对新技术、新方法的理解及应用能力,其目前在于对信息安全竞赛进行人才选拔,并为其积累相关的预备知识。目前,我们在信息安全新技术实验中主要开设了病毒检测新技术应用、控制流安全防护设计、信息隐藏技术应用等方面的自主型实验。

在以上六大模块中,密码学基础应用实验及密码协议基础实验主要在于培养学生的基本技能及信息安全素养,针对各种经典理论/技术进行验证,因此其内容相对来说应比较固定。对于密码学高级应用实验、安全协议高级应用实验及系统安全实验,一方面,由于其具体的实验内容往往与现实问题相关,因此应注意适时的吸收当前较新的,并比较成熟各种信息安全新技术、新方法,以方式实验内容过于陈旧,与现实脱节的问题;另一方面,新增实验内容往往需要对各种方法/技术进行简化,提取其本质,并制定合理的实验步骤及最终的实验结果。同时,过于频繁的变更实验内容也不利于教师对于实验的掌握。因此,密码学高级应用实验、安全协议高级应用实验及系统安全实验一般应以4―5年为一个周期进行部分更新;信息安全新技术实验由于主要面向信息安全竞赛,因此实验内容要求较为新颖,内容可由实验课任课老师、竞赛指导老师及研究生导师共同协商后确定,更新周期为两年。六大模块间以及与培养对象之间的关系如图2所示。

3综合化实验考核与评估

目前,在实验课程中往往存在不注重实验过程,单纯通过实验结果进行实验考评的现象。这样往往会造成学生过于注重实验结果,忽略了很多宝贵的实验细节,无法培养学生严谨的思维能力和扎实的工作作风。因此,必须建立严格、全面的考评标准,不放松任何培养学生能力的环节。对于实验,应该从学习态度、理论水平、实验技能等方面充分考核学生的能

注:实线表示模块间的依赖关系,虚线表示模块与培养对象的对应关系。

图2实验模块关联关系

力[6]。其中,学习态度考核主要通过学生上课的到课率、遵守实验室规定及课堂纪律、爱护实验设备等方面进行考评;实验技能主要包括实验操作能力、实验数据处理能力、步骤完成的准确性、实验数据的真实性和准确性进行考核;理论水平主要从课前预习、课后实验分析等方面进行考评。

4结论

通过近5年信息安全实验课程的实施,我们对课改前后的2006级和2007级信息安全专业本科学生,共138人进行了调查。从专业课程的考试成绩来看,改进实验教学后,学生对于相关理论及知识点理解较充分,成绩有较大程度的提高。从随堂实验情况和实验报告完成情况看,学生对课程的学习兴趣和发现问题、分析问题、解决问题的能力都有所提高。因此,通过对信息安全实验教学的改革,达到了调动了学生的学习积极性、培养学生的创新意识、提高教学质量的目的。

参考文献:

[1]彭国军,张焕国,刘丹.实验教学与信息安全本科生实践创新能力培养[J].计算机教育,2007(22):142-144.

[2]程红蓉,周世杰,秦志光.信息安全专业教学初探[J].实验科学与技术,2008,6(5):86-87.

[3]张艳伶,黄声烈,高艳华.网络信息安全教学实验系统平台的构建[J].实验技术与管理,2008,25(10):66-68.

[4]冯向东,成金华.实验室创新与人才培养[M].武汉:武汉大学出版社,2003:73-75.

[5]张小林,周美华,李茂康.综合性、设计性实验教学改革探索与实践[J].实验技术与管理,2007,24(7):94-96.

[6]郭艾侠,万艳春,潘春华.网络与信息安全课程综合性设计性实验建设的探讨[J].农业教育研究,2009,1(58):1-5.

ResearchontheInformationSecurityExperimentCourse

OUQing-yu,ZHUTing-ting,ZHANGChang-hong

(Dept.ofInformationSecurity,NavalUniversityofEngineering,Wuhan430033,China)

对信息安全的理解篇3

摘要：该文对企业信息安全所面临的风险进行了深入探讨，并提出了对应的解决安全问题的思路和方法。

随着计算机信息化建设的飞速发展而信息系统在企业中所处的地位越来越重要。信息安全随着信息技术的不断发展而演变，其重要性日益越来越明显，信息安全所包含的内容、范围也不断的变化。信息安全有三个中心目标。保密性：保证非授权操作不能获取受保护的信息或计算机资源。完整性：保证非授权操作小能修改数据。有效性：保证非授权操作不能破坏信息或计算机资源。信息安全的重点放在了保护信息，确保信息在存储，处理，传输过程中及信息系统不被破坏，确保对合法用户的服务和限制非授权用户的服务，以及必要的防御攻击的措施。

1企业信息安全风险分析

计算机信息系统在企业的生产、经营管理等方面发挥的作用越来越重要，如果这些信息系统及网络系统遭到破坏，造成数据损坏，信息泄漏，不能正常运行等问题，则将对企业的生产管理以及经济效益等造成不可估量的损失，信启、技术在提高生产效率和管理水平的同时，也带来了不同以往的安全风险和问题。

信息安全风险和信息化应用情况密切相关，和采用的信息技术也密切相关，公司信息系统面临的主要风险存在于如下几个方面。

计算机病毒的威胁：在业信息安全问题中，计算机病毒发生的频率高，影响的面宽，并且造成的破坏和损失也列在所有安全威胁之首。病毒感染造成网络通信阻塞，系统数据和文件系统破坏，系统无法提供服务甚至破坏后无法恢复，特别是系统中多年积累的重要数据的丢失，损失是灾难性的。

在目前的局域网建成，广域网联通的条件下，计算机病毒的传播更加迅速，单台计算机感染病毒，在短时间内可以感染到通过网络联通的所有的计算机系统。病毒传播速度，感染和破坏规模与网络尚未联通之时相比，高出几个数量级。

网络安全问题：企业网络的联通为信息传递提供了方便的途径。业有许多应用系统如：办公自动化系统，营销系统，电子商务系统，ERP，CRM，远程教育培训系统等，通过广域网传递数据。目前大部分企业都采用光纤的方式连接到互联网运营商，企业内部职工可以通过互联网方便地浏览网络查阅、获取信息，即时聊天、发送电子邮件等。

如何加强网络的安全防护，保护企业内部网上的信息系统和信息资源的安全，保证对信息网络的合法使用，是目前一个热门的安全课题，也是当前企业面临的一个非常突出的安全问题。

信息传递的安全不容忽视：随着办公自动化，财务管理系统，各个企业相关业务系统等生产，经营方面的重要系统投入在线运行，越来越多的重要数据和机密信息都通过企业的内部局域网来传输。

网络中传输的这些信息面临着各种安全风险，例如被非法用户截取从而泄露企业机密；被非法篡改，造成数据混乱，信息错误从而造成工作失误。

用户身份认证和信息系统的访问控制急需加强：企业中的信息系统一般为特定范围的用户使用，信息系统中包含的信息和数据，也只对一定范围的用户开放，没有得到授权的用户不能访问。为此各个信息系统中都设计r用户管理功能，在系统中建立用户，设置权限，管理和控制用户对信息系统的访问。这些措施在一定能够程度上加强系统的安全性。但在实际应用中仍然存在一些问题。

一是部分应用系统的用户权限管理功能过于简单，能灵活实现更细的权限控制。二是各应用系统没有一个统一的用户管理，企业的一个员工要使用到好几个系统时，在每个应用系统中都要建立用户账号，口令和设置权限，用户自己都记不住众多的账号和口令，使用起来非常不方便，更不用说账号的有效管理和安全了。

如何为各应用系统提供统一的用户管理和身份认证服务，是我们开发建设应用系统时必须考虑的一个共性的安全问题。

2解决信息安全问题的基本原则

企业要建立完整的信息安全防护体系，必须根据企业实际情况，，结合信息系统建设和应用的步伐，统筹规划，分步实施。

2．1做好安全风险的评估

进行安全系统的建设，首先必须全面进行信息安全风险评估，找出问题，确定需求，制定策略，再来实施，实施完成后还要定期评估和改进。

信息安全系统建设着重点在安全和稳定，应尽量采用成熟的技术和产品，不能过分求全求新。

培养信息安全专门人才和加强信息安全管理工作必须与信息安全防护系统建设同步进行，才能真正发挥信息安全防护系统和设备的作用。

2．2采用信息安全新技术，建立信息安全防护体系

企业信息安全面临的问题很多，我们可以根据安全需求的轻重缓急，解决相关安全问题的信息安全技术的成熟度综合考虑，分步实施。技术成熟的，能快速见效的安全系统先实施。

2．3根据信息安全策略，出台管理制度，提高安全管理水平

信息安全的管理包括了法律法规的规定，责任的分化，策略的规划，政策的制订，流程的制作，操作的审议等等。虽然信息安全“七分管理，三分技术”的说法不是很精确，但管理的作用可见一斑。

3解决信息安全问题的思路和方法企业的信息安伞管理要从以下几个方面人手，相辅相成、互相配合。

3．1从技术手段入手保证网络的安全

网络安全指由于网络信息系统基于网络运行和网络问的互联互通造成的物理线路和连接的安全、网络系统安全、操作系统安全、应用服务安全、人员管理安全几个方面。网络由于其本身开放性所带来的各个方面的安全问题是事实存在的。我们在正视这一事实的基础上，在承认不可能有绝对安全的网络系统的前提下，努力探讨如何加强网络安全防范性能，如何通过安全系列软件、硬件及相关管理手段提高网络信息系统的安全性能，降低安全风险，及时准确地掌握网络信息系统的安全问题及薄弱环节，及早发现安全漏洞、攻击行为井针对性地做出预防处理。

在攻击发生过程中，尽早发现，及时阻断。在攻击发十后，尽快恢复并找出原因。

保证网络安全的技术于段包括：过滤、信息分析临控、安全管理、扫描评估、入侵侦测、实时响应、防病毒保护、存取控制等。其措施有：网络互联级防火墙、网络隔离级防火墙、网络安全漏洞扫描评估系统、操作系统安全漏洞扫描评估系统、信息流捕获分析系统、安全实时监控系统、入侵侦洲与实时响应系统、网络病毒防护系统、强力存取控制系统等。信息安全指数据的保密性、完整性、真实性、可用性、不町否认性及可控性等安全，技术手段包括加密、数字签名、身份认证、安全协议(set、ss1)及ca机制等。文化安全主要指有害信息的传播对我国的政治制度及文化传统的威胁，主要表现在舆论宣传方面。主要柯：黄色、反动信息泛滥，敌对的意识形态信息涌入，瓦联网被利用作为串联工具等。其技术手段包括：信息过滤、设置网关、监测、控管等，同时要强有力的管理措施配合，才可取得良好的效果。

3．2建立、健全企业息安全管理制度

任何一个信息系统的安全，在很大程度上依赖于最初设计时制定的网络信息系统安全策略及相关管理策略。因为所有安全技术和手段，都围绕这一策略来选择和使用，如果在安全管理策略上出了问题，相当于没有安全系统。同时，从大角度来看，网络信息系统安全与严格、完善的管理是密不可分的。在网络信息系统安全领域，技术手段和相关安全工具只是辅助手段，离开完善的管理制度与措施，是没法发挥应有的作用并建设良好的网络信息安全空间的。

国家在信息安全方面了一系列的法律法规和技术标准，对信息网络安全进行了明确的规定，并有专门的部门负责信息安垒的管理和执法。企业首先必须遵守国家的这些法律法规和技术标准，企业也必须依据这些法律法规，来建立自己的管理标准，技术体系，指导信息安全工作。学习信息安全管理国际标准，提升企业信息安全管理水平国际上的信息技术发展和应用比我们先进，在信息安全领域的研究起步比我们更早，取得了很多的成果和经验，我们可以充分利用国际标准来指导我们的工作，提高水平，少走弯路。

信息安全是企业信息化工作中一项重要而且长期的工作，为此必须各单位建立一个信息安全工作的组织体系和常设机构，明确领导，设立专责人长期负责信息安全的管理工作和技术工作，长能保证信息安全工作长期的，有效的开展，才能取得好的成绩。

3．3充分利用企业网络条件，提供全面。及时和快捷的信息安全服务

很多企业通过广域网联通了系统内的多个二级单位，各单位的局域网全部建成，在这种良好的网络条件下，作为总公司一级的信息安全技术管理部门应建立计算机网络应急处理的信息与技术支持平台，安全公告，安全法规和技术标准，提供信息安全设备选型、安全软件下载，搜集安全问题，解答用户疑问，提供在线的信息安全教育培训，并为用户提供一个相互交流经验的场所。网络方式的信息服务突破了时间，空间和地域的限制，是信息安全管理和服务的重要方式。

3．4定期评估，不断的发展，改进，完善

企业的信息化应用是随着企业的发展而不断发展的，信息技术更是日新月异的发展的，安全防护软件系统由于技术复杂，在研制开发过程中不可避免的会出现这样或者那样的问题，这势必决定了安全防护系统和设备不可能百分百的防御各种已知的，未知的信息安全威胁。安全的需求也是逐步变化的，新的安全问题也不断产生，原来建设的防护系统可能不满足新形势下的安全需求，这些都决定了信息安全是一个动态过程，需要定期对信息网络安全状况进行评估，改进安全方案，调整安全策略。

不是所有的信息安全问题可以一次解决，人们对信息安全问题的认识是随着技术和应用的发展而逐步提高的，不可能一次就发现所有的安全问题。信息安全生产厂家所生产的系统和设备，也仅仅是满足某一些方面的安全需求，不是企业有某一方面的信息安全需求，市场上就有对应的成熟产品，因此不是所有的安全问题都可以找到有效的解决方案。

对信息安全的理解篇4

关键词：企业信息系统安全

引言

信息系统安全是指信息系统包含的所有硬件、软件和数据受到保护，不因偶然和恶意的原因而遭到破坏、更改和泄漏，信息系统连续正常运行。

信息系统本身存在着来自人文环境、技术环境和物理自然环境的安全风险，其安全威胁无时无处不在。对于大型企业信息系统的安全问题而言，不可能试图单凭利用一些集成了信息安全技术的安全产品来解决，而必须考虑技术、管理和制度的因素，全方位地、综合解决系统安全问题，建立企业的信息系统安全保障体系。

1企业管理信息系统安全存在的普遍问题分析

随着信息科技的发展，计算机技术越来越普遍地被应用于企业，而企业的信息系统普遍都经历了由点及面，由弱渐强的发展过程，并在企业内形成了较为系统的信息一体化应用。随着企业信息系统建设的全面开展以及各种业务系统的逐步深入，企业的经营管理等对信息系统的依赖也越来越强，甚至成了企业生存发展的基础和保证。因此企业信息系统的安全可靠性越来越重要，信息系统安全成为企业迫切需要解决的问题。因为信息专业人员面对的是一个复杂多变的系统环境，如：设备分布物理范围大，设备种类繁多；大部分终用户信息安全意识贫乏；系统管理员对用户的行为缺乏有效的监管手段；少数用户恶意或非恶意滥用系统资源；基于系统性的缺陷或漏洞无法避免；各种计算机病毒层出不穷等等，一系列的问题都严重威胁着信息系统的安全。因此，如何构建完善的信息系统安全防范体系，以保障企业信息系统的安全运行成为企业信息化建设过程中发展必须面对并急需解决的课题。

2企业信息安全解决方案的模型分析

2.1从关于对信息系统安全的几个认识上的问题：

2.1.1解决信息系统的安全问题要有系统的观念。解决信息系统的安全问题必须是系统性的不能指望只从任何一方面来解决。从系统的角度来看信息系统由计算机系统和用户组成，因此信息系统安全包括人和技术的因素；

2.1.2信息系统的安全问题是动态的、变化的；

2.1.3信息系统的安全的相对的；

2.1.4信息安全是一项目长期的工作，需制定长效的机制来保障，不能期望一劳永逸。

2.2近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

2.2.1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

2.2.2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

2.2.3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

2.2.4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。

2.2.5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。

造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

3信息安全管理中管理因素的应用

在安全保障体系中，“风险评估+安全策略”体现了管理因素

3.1为保障企业信息系统的安全，企业必须成立专门的信息系统安全管理组织。由企业主要领导负责，通过信息安全领导小组对企业的信息安全实行总体规划及管理。具体的实施由企业的信息主管部门负责。

3.2企业应该出台关于保证信息系统安全管理标准。标准中应该规定信息系统各类型用户的权限和职责、用户在操作系统过程中必须遵守的规范、信息安全事件的报告和处理流程、信息保密；系统的帐号和密码管理、信息安全工作检查与评估、数据的管理、中心机房管理等信息安全的相关的标准，而且在系统运行管理过程中应该根根据发展的需要不断地补充及完善。

3.3积极开展信息风险评估工作。定期对系统进行安全评估工作，主动发现系统的安全问题。

3.3.1信息网的网络基础设施(拓扑、网络设备、安全设备等)

3.3.2信息网网络中的关键主机、应用系统及安全管理

3.3.3当前的威胁形势和控制措施。

通过对企业信息网内支撑主要应用系统的IT资产进行调查，对存在的技术和管理弱点进行识别，全面评估企业的信息安全现状，得出企业当前的全面风险视图，为下一步的安全建设提供参考和指导方向。为企业信息安全建设打下了扎实的基础。

3.4加强信息系统(设备)的运维管理，包括如下几方面的措施:

3.4.1建立完善的设备、系统的电子台帐，包括设备的软、硬件配置以及其它相关的技术文档；

3.4.2规范系统管理的日常各项工作，包括设备安装、系统安装以及各项操作都进行闭环管理；

3.4.3建立完善的工作日志，日常的各项操作、系统运行等都必须有记录；

3.4.4规范普通用户的行为，只分配给各种用户足够应用需要的资源、权限。

4信息安全管理系统技术应用

在安全保障体系中，“防御体系+实时检测+数据恢复”体现了技术因素。在信息安全保障体系统建设过程中，需从多个方面，多个角度综合考虑。采用了分步实施，逐步实现的方法。结合多年来在信息安全方面采取的技术手段觉得可以采取的技术手段如下：

4.1关键的系统采取冗余的配置，以提高系统的安全性。如对核心交换机、中心数据库系统、数据中心的存储系统、关键应用系统的服务器，可以采取双机甚至群集的配置以避免重要系统的单点故障。加强对网络系统的管理。网络系统是企业信息系统安全的最核心内容之一，也是影响系统安全因素最多的，很多系统安全的风险都首先是由于网络系统的不安全引起的。在此重点谈一下在网络安全方面需采取的技术手段。

4.1.1加强网络的接入管理。这是网络安全的最基础工作，与公用网络系统不同，企业的网络系统是企业专有的网络，系统只允许规定的用户接入，因此必须实现接入管理。在实际的工作中采取边缘认证的方式。在笔者的实际工作中是通过对所在公司的网络系统进行改造后实现了支持基于MAC地址或802.1X两种方式的安全认证，实现企业内网络系统的安全接入管理。使所有的工作站设备从网络端口接入网络系统时必须经过安全认证，从而保证只有授权的、登记在册的设备才能接入企业的网络系统以保证系统的安全。

4.1.2利用VLAN技术根据物理分布及应用情况适当划分系统子网。这样有多方面的好处：首先对网络广播流量进行了隔离，避免人为或系统故障引起的网络风暴影响整个系统；其次是提高系统的可管理性。通过子网的划分可以实现对不同的子网采取不同的安全策略、将故障定位在更小的范围内等；再次是可以根据应用的需要实现某些应用系统的相对隔离。

4.1.3加强对网络出口的管理。如在企业内部网络与Internet（或其它不可信任的网络）连接的边界架设防火墙作安全网关，并制定了安全的访问策略；架设了防病毒网关，尽可能将计算机病毒堵在企业内部网络之外。

4.1.4采用网络运维管理网管平台，实现对企业网络系统监控、IP地址与服务分布查询定位、网络数据流异动报警功能。

4.1.5在系统上部署网络入侵和安全审计系统，如采用旁路方式接入网络，对网络内部和外部的用户活动进行监控，侦察系统中存在的现有和潜在的安全威胁，对与安全有关的活动信息进行识别、记录、存储和分析。

4.2通过桌面管理系统等实现对企业的PC等以及终端用户的行为进行集中的管理。数据表明企业的系统安全事件大部分来自于企业内部网络。如何实现对内部用户的有效管理，防止用户有意或无意的滥用系统资源而对整个信息系统造成危害是企业系统信息系统安全需解决的重要问题。根据笔者的经验在边缘认证系统的支持下对PC等设备进行集中的监控和管理、对用户行为能有效管理、跟踪是最有效的方法。而桌面管理系统能帮助系统管理人员实现这些目标。通过该系统对企业的IT资源进行动态的跟踪收集，动态生成最新的IT资源清单；对设备异动进行报告。实现硬件、软件资源的远程维护及管理。主动的基于系统的安全漏洞的扫描功能。实现快速的系统安全评估及系统补丁的自动分发，提高IT资源的有效使用率。

4.3选择合适的防病毒产品，部署安全而有适用的防病毒系统。计算机病毒近年来是威胁信息系统安全的重要因素，层出不穷的计算机病毒严重威胁着企业的信息系统。根据应用的不同选择合适的防病毒产品来部署企业的防病毒系统是非常重要的。根据笔者的经验可以根据应用系统的安全等级要求不同可以采取多种防病毒产品、对不同的应用系统采取不同的查、杀、拦截策略。如对服务器、重要的系统就应当采取以保护系统的数据安全、系统运行的稳定性为前提的病毒防护策略，而对PC等终端设备则要采取以不能因它而威胁整个系统安全为原则的病毒防护策略；相反一台工作站的连续运行能力就不是要重点考虑的，如最好能实现PC等工作站的防病毒产中是否安全使用与边缘认证结合起来，不安全的工作站不能接入系统从而保证系的安全。

对信息安全的理解篇5

除了黑客的攻击、病毒的蔓延外，以网络为工具的犯罪行为在逐渐增多。网络色情泛滥成灾，严重危害未成年人的身心健康；网络商务备受欺诈的困扰，有的信用卡被盗刷，有的购买的商品石沉大海，有的发出商品却收不回货款；软件、影视、唱片的著作权受到盗版行为的严重侵犯，商家损失之大无可估计；在网络上肆意污辱、诽谤他人成为常态，网络经常沦为进行人身攻击的工具。对计算机相关专业学生进行信息安全与保密课程教学可以有效遏止病毒的蔓延，减少网络犯罪。当前国内各行各业对信息安全人才的需求量特别大，高校信息安全专业培养的信息安全专业人才已远远不能满足社会对信息安全人才的需要，人才的严重短缺，阻碍了我国信息安全事业的快速发展。利用与信息安全有密切关系的计算机相关专业培养信息安全初、中级技术人员是解决我国信息安全人才短缺问题的有效方法之一。目前我国大部分高职院校设置了计算机信息管理、计算机应用技术、计算机网络、计算机软件、信息安全技术等专业，但是，除了信息安全技术专业外，大部分计算机相关专业没有开设信息安全与保密课程。在高职院校计算机类专业中全面开设信息安全课程，可使每一个从事与计算机相关工作的学生都懂得这方面的知识，使学生在扎实的非信息安全知识体系下较为系统地了解信息安全基本理论、技术和方法，从而培养出具有计算机学科特色的复合型信息安全人才，逐步改变我国信息安全专业人才匮乏的现状。

二、高职计算机相关专业开设信息安全与保密课程的必要性

1.社会对信息安全技术人才需求量大。当前国内各行各业对信息安全人才的需求量特别大，高校信息安全专业培养的信息安全专业人才已远远不能满足社会对信息安全人才的需要，人才的严重短缺，阻碍了我国信息安全事业的快速发展。利用与信息安全有密切关系的计算机相关专业培养信息安全初、中级技术人员是解决我国信息安全人才短缺问题的有效方法之一。

2.计算机病毒蔓延，网络犯罪越演越烈。除了黑客的攻击、病毒的蔓延外，以网络为工具的犯罪行为也在逐渐增多。网络色情泛滥成灾，严重危害未成年人的身心健康；网络商务备受欺诈的困扰，有的信用卡被盗刷，有的购买的商品石沉大海，有的发出商品却收不回货款；软件、影视、唱片的著作权受到盗版行为的严重侵犯，商家损失之大无可估计;在网络上肆意污辱、诽谤他人成为常态，网络经常沦为进行人身攻击的工具。

三、高职计算机相关专业信息安全与保密课程教学存在的问题

1.专业教师欠缺，教师对信息安全与保密课程教学认识不足。由于历史原因，大部分高职院校教师不是信息安全技术专业毕业的，或没有系统地学习信息安全的专业知识，同时对高职计算机相关专业进行信息安全与保密课程教学认识不足，造成大部分计算机相关专业没有开设信息安全与保密课程。

2.没有合适的教材，可操作项目案例少。信息安全与保密课程原属于信息安全技术专业的专业基础课程，教材完全是针对信息安全技术专业学生或本科层次学生编写的，大部分非信息安全技术专业学生很难接受现有教材中的知识点。同时缺少可操作的项目案例，很多内容不能实践操作。

3.教学内容多且难学。信息安全与保密课程教学内容有：信息安全概述、密码学基础、密钥分配与管理技术、访问控制、防火墙技术、入侵检测技术、病毒、信息安全应用软件、企业与个人信息安全、web的安全性、网络安全。教学内容多，涉及密码学、信息管理、法律、数学等多方面知识，计算机相关专业学生学习难度大。

四、教学内容设置

1.计算机相关专业的课程体系与信息安全技术专业的课程体系相近，需要增加信息安全与保密课程，讲解如信息安全有关概念、防火墙及病毒等知识，使学生能够胜任信息安全相关工作。

2.内容选择要新颖、实用性强，适应最新技术发展。信息安全与保密课程的内容比较新，没有对应教材适合计算机相关专业，因此这些专业学生学习本课程时所选用教材往往参考信息安全专业。这样造成大多数学生认为该课程内容太抽象，理论性太强，学习难度太大，实用性不强，大部分学生学完本课程后，对计算机出现的一些安全问题仍旧不能解决。因此在教学内容的选取上，以及常用杀毒软件和防火墙的使用，可以适当增加常用加解密软件和数据备份与恢复技术。

3.注重信息安全法律法规的学习，注重信息安全职业道德教育。调查显示大部分威胁信息安全的因素是人们对信息安全法律法规淡薄和忽视。很多技术人员由于好奇或为了表现自己的才能进行信息犯罪。因此需要把信息安全的法律法规作为必须学习的内容，使学生明白哪些行为是信息犯罪，要承担相应的法律责任，从而自觉地遵守有关法律法规。

4.针对课程教学内容，设置不同的信息安全解决方案项目，并根据项目化教学的具体要求和课时的安排分解成若干子项目，使子项目能顺利完成。项目设置如下表所示：

五、教学策略

1.对信息安全与保密课程的知识主要讲解其原理和应用，不需要注重细节和论证。例如，在讲述DES算法时，我们首先讲述算法的原理框图，然后使用DES加解密软件，向学生演示数据经DES算法加密及解密之后的结果，使学生对算法有个感性的认识，促进对加解密算法思想本质的理解，而对于算法如何进行置换、如何进行替代则不作叙述。这样教学，既能活跃课堂气氛，又能充分调动学生的学习积极性。

2.根据高职学生特点，采用项目化教育。

（1）介绍子项目任务及相关理论知识每次课都应先确定教学任务，并对任务子模块的功能进行讲解和演示，使学生明确所要完成的工作，这样能让学生真实地看到目标，激发学生学习理论知识的兴趣，为进一步学习做好准备。

（2）操作演示依据项目特点剖析项目功能模块、关键技术、具体实施方法、步骤等，并进行操作演示。

（3）指导学生完成在教师的指导下，学生在真实的环境中模仿操作完成。同时，学生通过相互讨论、查阅资料等形式搜索与项目相关的知识，提升自学和吸纳补充新知识的能力。

（4）总结提高在完成教学模块的过程中对学生进行针对性总结，尤其在操作步骤、知识掌握程度及探索知识等情况进行详细的点评，使学生巩固所学知识和操作技巧。