中国信息安全论文合集12篇

时间:2023-03-30 11:43:27

中国信息安全论文

中国信息安全论文篇1

征文内容如下:

1.计算机安全、下一代网络安全技术;

2.网络安全与网络管理、密码学、软件安全;

3.信息系统等级安全保护、重要信息系统安全;

4.云计算与云安全、物联网的安全;

5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;

6.信息内容安全、通信安全、网络攻防渗透测试技术;

7.可信计算;

8.关键基础设施安全;

9.系统与网络协议安全分析;

10.系统架构安全分析;

11.面向业务应用的整体安全保护方案;

12.信息安全漏洞态势研究;

13.新技术新应用信息安全态势研究;

14.Web应用安全;

15.计算机系统安全等级保护标准的实施与发展现状;

16.国内外电子认证服务相关政策与标准研究;

17.电子认证服务最新技术和产品;

18.电子认证服务应用创新;

19.电子认证服务行业研究和热点事件解析;

20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;

中国信息安全论文篇2

Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.

Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security

1 引言

2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。

2 档案安全体系研究的主要理论阐释

2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。

档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。

2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。

对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。

总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。

2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。

风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。

2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。

总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。

2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。

我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。

2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。

进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。

2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。

3 结语

2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。

参考文献:

[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.

[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.

[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.

[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.

[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.

[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.

[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.

[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.

[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).

[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.

[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.

[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.

[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.

[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.

[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.

中国信息安全论文篇3

会议论文集均由德国Springer出版社作为LNCS系列出版。ICICS2013欢迎来自全世界所有未发表过和未投递过的原始论文,内容包括访问控制、计算机病毒与蠕虫对抗、认证与授权、应用密码学、生物安全、数据与系统安全、数据库安全、分布式系统安全、电子商务安全、欺骗控制、网格安全、信息隐藏与水印、知识版权保护、入侵检测、密钥管理与密钥恢复、基于语言的安全性、操作系统安全、网络安全、风险评估与安全认证、云安全、无线安全、安全模型、安全协议、可信计算、可信赖计算、智能电话安全、计算机取证等,但又不局限于此内容。

作者提交的论文,必须是未经发表或未并行地提交给其他学术会议或学报的原始论文。所有提交的论文都必须是匿名的,没有作者名字、单位名称、致谢或其他明显透露身份的内容。论文必须用英文,并以 PDF 或 PS 格式以电子方式提交。排版的字体大小为11pt,并且论文不能超过12页(A4纸)。所有提交的论文必须在无附录的情形下是可理解的,因为不要求程序委员阅读论文的附录。如果提交的论文未遵守上述投稿须知,论文作者将自己承担论文未通过形式审查而拒绝接受论文的风险。审稿将由3位程序委员匿名评审,评审结果为:以论文形式接受;以短文形式接受;拒绝接受。

ICICS2013会议论文集可在会议其间获取。凡接受论文的作者中,至少有1位必须参加会议,并在会议上报告论文成果。

投稿截止时间:2013年6月5日 通知接受时间:2013年7月24日 发表稿提交截止时间:2013年8月14日

会议主席:林东岱 中国科学院信息工程研究所 研究员

程序委员会主席:卿斯汉 中国科学院软件研究所、北京大学软件与微电子学院 教授

Jianying ZHOU博士 Institute for Infocomm Research,新加坡

中国信息安全论文篇4

0引言

以往国家安全学理论中的信息安全,包括2004年出版的我国第一部《国家安全学》研究的信息安全章节,都没有处理好其与信息技术领域信息安全的关系,没有认识到它们之间的不同[1]。其实,国家安全学论域中的信息安全,应该不同于信息技术专业领域的信息安全。信息技术专业领域的信息安全是狭义信息安全,是存在和流动于当代信息技术创生载体上信息的安全。国家安全学论域中的信息安全,是广义信息安全,既包括信息技术专业领域的信息安全,也包括信息技术专业领域之外的非常广泛的信息安全,如古代已有的纸墨载体上的文字信息安全,以及近代化学技术创生的胶片载体上的图文影像信息安全。从本质讲,信息就是脱离客观事物母体或由主观精神创生的存在于一定载体上的逻辑,其中既包括存在于各种载体上的现实世界的客观逻辑,也包括存在于各种载体上的人类精神创造出来的设计逻辑(即虚拟世界逻辑)[2]。因此,广义信息安全就是脱离客观事物母体或由主观精神创生的存在于一定载体上的信息不受威胁和侵害的客观状态。国家安全学论域中的这种总体信息安全,是一个国家不同来源、不同内容、不同领域、不同载体的所有信息的安全,既包括平常人们特别关注的信息内容安全、信息载体安全、信息流动安全(网络安全),也包括与此相关但又超越其范围的信息母体安全、信息处理安全、信息工具安全、信息应用安全等多方面内容。按照信息的生成逻辑,本文从信息母体安全谈起。

1信息母体安全

信息母体即信息源,是能够从中获得相关信息的客观事物。当前人们经常说的地理信息,既指通过地理测绘形成的关于地形地貌等方面的图文信息,也指客观存在的各种现实地理特征,而且常常指向客观的地理特征。但严格来说,客观存在的地理特征,并不是信息,而是能够让人们采集到地理信息的信息母体或信息源。正是因为通过观察、测绘、计算等认知活动,人们能从客观地理特征中采集到脱离这种信息母体的真正的地理信息,所以为了保护地理信息秘密不被不该知晓的人知晓,特别是防止外国组织和个人从中获得或窃得相关地理信息,国家通常会禁止外国组织和个人接触和进入本国的重要地理区域,禁止他们在重要地理区域进行地理测绘。只有这样,才能防止外国组织和个人通过对信息母体即信息源的实际测量获得真正和真实的地理信息。

为了保护信息安全而禁止他人进入相关区域进行观察、测绘、拍照的,并不只是重要的自然地理特征,同时还有经济、政治、军事方面的场所、建筑、设备以及相关活动等等。这些客观存在的场所、建筑、设备、活动,同样都是客观事物而非信息,但也是能够形成相关经济信息、政治信息、军事信息的信息母体或信息源。人们在深山老林看到的山水树木并不是信息,而是实物,但他们又不可能搬走山水树木等实物。靠近和进入军事基地的外人看到的同样不是信息,而是作为实物存在的各种武器装备和军事建筑,而他们也难以开走那里的军舰、飞机、坦克和导弹,更不可能把相关军事活动拿去重演一遍。但是,人可以通过观察这些实物与过程获得相应的信息,拿走相应的信息。海军港口和军舰、空军机场和飞机、陆军基地和设备、火箭军阵地和导弹,以及军舰航行、飞机起落、军车行进、导弹发射、军事训练和演习等等,都是他人能够从中获取国家安全重要信息的客观存在、客观事物,是关系到国家安全的重要信息母体、信息源。禁止无关人员特别是外国人进入相应区域进行观察、绘图、拍照和测量,就是防止外人从这些事关国家安全的信息母体或信息源中获取相关信息和秘密。

但是,信息母体并非只有客观事物。在客观事物之外,能够形成信息的母体还有人的大脑和电脑。大脑和电脑能够形成的信息有两种,一种是基于客观事物而反映客观事物形成的信息,一种是没有相应的客观事物而创造出来的新信息。前一种情况下,客观事物是信息的母体,人的大脑和电脑是由此生成信息的加工器。后一种情况下,信息的母体就是人脑或电脑,人脑或电脑就是最后的信息源。信息母体安全,一般情况下特指作为信息来源的客观事物,而不包括能够创造没有客观原型的新信息的人脑和电脑。但是在某些特定情况下,人脑和电脑也会作为信息源受到特殊保护,从而成为信息母体安全或信息源安全的一部分。

在信息技术领域,信息安全一般不包括作为信息源的客观事物的安全及人脑电脑的安全,但在国家安全领域和国家安全学论域中,信息安全则必须包括所有信息源的安全,即不同类型信息母体的安全。

2信息内容安全

信息安全虽然包括多方面问题,但最核心最基本的是信息内容的安全,即信息本身的安全。信息内容就是信息本身的含义、所指,既包括主观性的人类思想、观念和设计,也包括客观性的自然、社会和人的各种表征。信息内容安全就是信息本身不受威胁和侵害而完整存在并有效运行的客观状态。危害信息内容安全主要有两种情况,一是信息内容被泄露,二是信息内容受到破坏[3]。从不同角度出发,可以对信息内容和信息内容安全进行不同划分。例如这里从秘密与公开、社会与自然两个角度来划分和讨论信息内容和信息内容安全。

2.1秘密信息安全与公开信息安全信息本身并无公开与秘密之别,只是因为人类认识局限一时不能获悉某些自然信息,于是把其称为自然的秘密,同时也因为社会利益和安全需要的不同及冲突,人们规定某些信息只能存在于一定范围内,只能被特定的某些人知悉,从而使这些信息成为秘密。这就有了秘密信息与公开信息的区别。古往今来国家安全实践中,虽然秘密信息及其安全问题更为重要,更引人注目,更为专家学者所重视,从而成了信息安全研究和国家安全研究的主要内容,但是国家安全实践不仅需要保障秘密信息的安全,也需要保障公开信息的安全;国家安全学理论在重视和研究秘密信息安全的同时,也要研究公开信息及其安全问题。

秘密信息即通常所说的秘密,就是不为人知的或按规定只能在一定范围内存在且只能被特定人员知悉的信息。在当代信息技术出现之前,秘密信息早已存在。不为人知的自然信息是秘密信息,但对安全和国家安全更重要的并不是自然秘密信息,而是各种社会秘密信息。

传统国家安全理论与实践中的秘密,一般不包括自然秘密信息,而是各种对国家安全具有重要意义的社会秘密信息。早在《孙子兵法》中,就有关于秘密信息和保密要求的论述。在古代各国历史上,存在着大量关于国家秘密特别是军事秘密的理论与实践。当代世界各国,对于秘密和国家秘密的规定更为详细。我国现行《保守国家秘密法》规定:“国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。”按照《保密法》规定,能够确定为国家秘密的是那些涉及国家安全和利益且泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的事项,具体包括:国家事务重大决策中的秘密事项;国防建设和武装力量活动中的秘密事项;外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;国民经济和社会发展中的秘密事项;科学技术中的秘密事项;维护国家安全活动和追查刑事犯罪中的秘密事项;经国家保密行政管理部门确定的其他秘密事项。此外,“政党的秘密事项中符合前款规定的,属于国家秘密”。

秘密信息在当代信息技术未出现之前就早已存在,在当代信息技术充分发展情况下依然存在,而且既可脱离当代信息技术而存在,也可依附当代信息技术而存在。在当代信息技术出现之前就存在的秘密信息,以及如今脱离当代信息技术而存在的秘密信息,主要指那些存在于传统纸墨媒介上的秘密信息,以及存在于人的头脑中并以口语传递的秘密信息。依附当代信息技术而存在的秘密信息,是指存在并传递于当代信息技术创生的计算机、磁盘、光盘、网络、服务器等各种电磁载体上的秘密信息。在信息技术不断发展的今天,国家秘密既有通过纸墨、人脑、口语等传统媒介保存和传递的,也有大量利用计算机、磁盘、光盘、网络、服务器等非传统媒介保存和传递的。

在国家安全理论与实践中,最重要的信息安全是秘密信息的安全。秘密信息安全就是不为人知的或按规定只能在一定范围内存在且只能被特定人员知悉的信息的不被泄露、不被窃取、不被损坏、不受威胁的客观状态。所谓“不为人知”的信息,是指人类还不知晓的自然信息。所谓“按规定只能在一定范围内存在且只能被特定人员知悉的信息”,主要是各种需要保密的社会信息,也包括某些人已经知晓但需要保密的自然信息(如某些人已经获得但需要保密的自然科学发现和发明)。秘密信息的安全,最主要的是它不会被不该知悉的人知悉,既不会被泄露给不该知悉的人,也不会被不该知悉的人窃取。但是,秘密信息安全还包括它们不被损坏、不受威胁。秘密信息不被不该知悉的人知悉,其目的是保证秘密信息不会为敌人或对手带来额外利益,也不会给自己带来不必要的损失和额外的不利,而会给自己带来相应的好处和收益。秘密信息的设定和保护,就是要在保证不该知悉的人不会知悉的同时,保证己方能掌握和利用秘密信息获得相应好处和收益。如果秘密信息因为各种原因被损坏,那么它就不能被自己掌握和利用,不能给自己带来相应的好处和收益。因此,秘密信息因为损坏而不能为己所用或不能够充分为己所用,也是秘密信息不安全的一种表现;秘密信息不被损坏而能够充分为己所用,则是另一种形态的秘密信息安全。由于安全不仅要免除现实的损害,而且本质上还要免除潜在的损害,也就是要免除损害的可能性,即免除损害的威胁,并且秘密信息的安全不仅要免除被泄露和窃取,也要免除被泄露和窃取的可能性,即免除被泄露和窃取的威胁,所以定义秘密信息安全时必须把“不受威胁”放在其中。秘密信息的不受威胁,就是秘密信息免除被泄露、被窃取、被损坏的可能性。

信息内容有的属于秘密,但更多是公开的。在人类社会生活和国家安全实践中,公开信息要比秘密信息多得多。公开信息虽然没有泄露不泄露的问题,但依然存在着特定形式的是否被窃取的问题,特别是存在着是否损坏及其存在和传递是否受到威胁的问题。这就是公开信息的安全问题。

公开信息安全就是被或可以被社会公众普遍知悉的信息内容的完整存在不受损害和威胁、所有权或使用权不被窃用的客观状态。

与秘密信息安全包括信息内容不被损害、不受威胁一样,公开信息安全也包括其内容不被损害、不受威胁,即信息内容的完整存在及其完整存在的不受威胁。古代图书虽然只能被少数人阅读,但其内容并不是秘密,而是公开信息。以纸墨为载体的公开信息的安全,无论在古代还是在当前,多是通过制作复本来保障。由于这些信息的内容不是秘密,因而复本可以尽量多地制作,主要的制约因素在古代可能就是经济成本,今天可能还有环境成本。与古代不同的是,当代信息技术的发展,使公开信息取得了许多更有利于受众获取与阅读的载体,即各种各样的电磁载体。当代信息技术支撑下的公开信息安全,已成为信息技术发展需要解决的一个重要问题。为了保障信息内容的安全,包括秘密和公开两方面信息内容的安全,当代信息技术把信息完整性作为信息安全的重要指征,并一直在努力探索能够更加有效地保障信息内容完整的技术手段。

公开信息虽然可以被公众普遍知悉,但并不是所有的公开信息都可以被公众无条件随意使用,更不能被任何人随意置于自己的名下。人类社会生活中的许多公开信息,是过去和今天不同人的各种发现、发明、设计、创造,其所有权也只能归相应的信息生产者,而不能被其他人冒领。古代社会虽然没有明确的知识产权概念、理论和法律,但也有不同形式和一定程度的知识产权意识。如果别人的一首诗被他人冒领,那么事情败露后这个人一定会受到大家的谴责和鄙视。在知识产权理论和法律日益成熟的当今世界,既可能通过定密和保密来保障知识信息安全,也可以通过法律在知识信息公开的情况下保护公开的知识信息安全。

2.2社会信息安全与自然信息安全在国家安全领域,长期以来具有重要地位和作用的多是军事、政治、经济等方面的社会信息安全,而不是甚至不包括自然信息及其安全问题。但是随着科学技术的发展,自然信息对人类社会和国家安全的重要性日益突出,从而引起了国家安全实际工作部门和理论研究者的关注和重视。

社会信息是源于并指向社会生活领域的各种信息。社会信息安全就是各种源于并指向社会生活的信息的不受侵害与威胁。根据社会结构和国家安全体系结构,社会信息安全包括国民信息安全、经济信息安全、政治信息安全、军事信息安全、主权信息安全、文化信息安全、科技信息安全等等,也包括关于宗教、民族、恐怖主义、刑事犯罪、民间社会、社会组织、国际关系等等方面信息的安全。在传统国家安全实践和传统国家安全思想中,社会信息安全的重点是军事信息安全、政治信息安全、主权信息安全、国际与外交信息安全等,而在非传统国家安全实践和非传统国家安全理论中,国民、经济、文化、科技等方面的信息安全,以及有关宗教、民族、恐怖主义、刑事犯罪、民间社会、社会组织等方面信息的安全,都变得日益重要,也日益成为社会信息安全的重要内容。

纸张和书籍在记录历史文化和文明的同时,当前依然是记录各种图文信息的重要载体。日常生活、人际交往、经济金融、文化教育等方面的信息,今天依然在用纸张记录;军事政治、外交外事、情报侦察、保密反谍等方面的信息,今天同样也还在用纸张记录。有时为了保密,人们还会放弃计算机、磁盘、光盘等载体,选用传统纸张载体记录相关信息。这时,记有国家秘密的纸张,就成了国家秘密的载体,它们的安全就成了保守国家秘密的重要一环,成了国家安全的重要一环。

自然信息是源于并指向各种自然存在和自然现象的信息。自然信息安全就是各种源于并指向自然存在和自然现象的信息的不受侵害与威胁。如同自然界在人类社会出现之前就早已存在一样,自然信息在社会和社会信息出现之前也早已存在了。人类社会出现后,自然信息与自然存在一样开始被人们认识和利用,在人类生活中发挥着不同程度的作用。古人可以根据气象变化猜测或预知何时下雨,从而使某些气象成为下雨的信息。国家诞生之后,自然信息在国家安全实践中发挥着重要作用,在国家安全理论中也占有一席之地。战争中将帅和士兵对山川地理、气候变化的认识,就是对军事行动具有重要意义的自然信息。《孙子兵法》不仅要求将帅知敌之情,知己之情,而且要求将帅要掌握和利用地理天文等方面的自然信息。孙武认为,要在战争中取得胜利,必须重视五个方面的问题,“一曰道,二曰天,三曰地,四曰将、五曰法。”其中的“道”“将”与“法”是社会问题,“天”和“地”则是自然问题,而且具体来说就是“天气”和“地理”两个方面的自然信息。“天者,阴阳,寒暑、时制也;地者,远近、险易、广狭、死生也。”如果说与某些国家安全基本构成要素相关的军事信息安全、政治信息安全、经济信息安全等等都是国家社会信息安全的话,那么与另外一些国家安全基本构成要素相关的国域信息安全(包括国家地理信息安全)、自然资源信息安全、生态环境信息安全等等,则基本上可以归为国家自然信息安全。

在科学技术进步使越来越多的自然秘密被人类不断揭开的情况下,国家特有自然存在及其信息的经济价值和安全价值不断被揭示出来,变得越来越突出和重要,它们的安全也成为本国国家安全特别是国家信息安全的重要内容。动植物和人的基因信息,就是在当代基因科技不断进步的情况下,日益成为国家信息安全特别是国家自然信息安全重要内容的。在国家安全领域,基因既是一种特殊的自然资源,也是一种特殊的信息资源。

3信息载体安全

信息内容即信息本身,总是存在于一定载体上的。离开载体,信息既无法生成,也无处存在,已有信息还会灭失。因此,就象信息和信息内容离不开信息载体一样,信息安全亦即信息内容安全也离不开信息载体的安全,而只能建立在信息载体安全基础之上。

信息载体多种多样,但大的方面可以分为自然载体和人工技术载体两种。

信息的自然载体就是非人力所为而自然存在的信息载体。按照从低级到高级的序列,自然载体主要有:a.基于事物的普遍联系,一种事物往往能够在不同形式不同程度上表征其他事物,而表征其他事物的事物就是一种信息,如火表征了热,因而火既是热的信息,火也是热的信息载体;b.能够记录和保存一定信息的各种物理的、化学的无机自然物,如能够留下物体撞击印痕的石头、泥土等;c.能够生成和保存自体遗传信息的动植物基因;d.能够既反映和记录自身生存状态又反映和记录外部环境的动物神经系统;e.既能反映和记录自身状态和外部环境,又能够进一步生产和创造全新信息的人脑;f.人类自然语言。

信息安全专业讨论信息安全时,涉及的信息载体主要是当代信息技术创生的各种电磁载体及其安全,如计算机、磁盘、光盘、线路、电磁波等等的安全,基本上不涉及非人工的自然载体和自然载体安全。但是在国家安全领域,特别是对国家安全学理论来说,仅仅讨论当代信息技术载体创生的人工信息载体及其安全是不够的,还必须讨论非人工的自然载体及其安全问题。这是因为,不仅生成或存在于人工载体上的信息及其安全对国家安全具有重要意义,而且存在于各种各样自然载体上的信息及其安全对国家安全也具有重要意义。例如,存在于化石载体上的古生物信息和古人类信息,是大自然给人类留下的认识自然史和人类史的富贵资料,具有重要的科学研究价值,同时也是化石来源国独特的信息财富,因而许多国家都在禁止出口某些载有自然界和人类社会古老信息的化石。再如,自然界的动植物基因信息和人的基因信息,对国家安全和人类安全具有不同方面的重大意义,特别是在基因技术不断进步的情况下,基因信息甚至可能被用来开发基因武器,从而成为一个全新而重大的国家安全问题,这就使各国开始注意保护自己特有的动植物基因和人的基因,禁止载有动植物遗传信息和特殊人群遗传信息的基因及其载体出口。为了防止重要物种特别是各种粮食物种的基因信息失传,防止物种灭绝,许多国家还建立了不同形式的种子库,以保存载有生物遗传信息和基因的种子。

信息的人工技术载体既包括当代信息技术创生的计算机内存条、存储器、磁盘、光盘等信息电磁载体,也包括已有数千年历史的文字和记录文字的甲骨、兽角、竹简、帛、锦、羊皮、牛皮、纸草、纸张等等。人的思想是信息,是信息内容,语言和文字都是记录和传递思想信息的载体和工具。但语言和文字都是没有具体的物理形态而无法直接存在的信息载体,它们必须存在于其他物质形态的载体上。如果说人的大脑是语言存在的内在生物载体,文字是语言存在的非物质形态载体,那么甲骨、兽角、竹简、帛、锦、羊皮、牛皮、纸草、纸张等等,就是记录文字从而也就记录了语言和思想的人工物质载体。因为这些人工物质载体是需要一定技术才能制造出来的,因而它们都是记录信息的人工技术载体。今天的人们要认识、欣赏和研究早已逝去的本族、本国和人类的文明和文化,要借此满足自己寻根的愿望和精神寄托,可以去观看远古遗留下来的食物、衣物、工具、器皿、房屋、道路、城垣等等考古发现,更需要阅读最初记录在甲骨、竹简、羊皮、纸草和纸张上的各种文字。历史文物和遗址的安全,是国家文化安全的内容;刻录、书写、印刷有不同文字的竹简、纸张和书籍等图文载体的安全,也是国家文化安全的内容,而且还常常超越文化安全而具有更广泛的国家安全价值。

如同社会信息有秘密与公开之别一样,自然信息也有秘密与公开之别。除了因为认识局限一时无法知悉的自然秘密外,包括国家在内的不同集团还因为它们之间利益的不同、矛盾和冲突,人为设定了某些自然信息的知情范围,并且控制着某些自然信息不让他人知悉,以便在利益和安全上获得更多的好处和更大的比较优势。一国特有自然信息及其安全对国家安全的重要价值,在传统国家安全实践和理论已有充分的显示和验证。作为自然信息重要内容的国家地理信息,从古至今都是事关国家安全的重要自然信息。近代以来,日本政府和民间广泛搜集中国境内的各种地理信息,绘制精密的军事地图,在日本侵华战争中发挥了重要作用,给中国抗日战争带来了巨大的负面影响,严重损害了中国的国家安全。为此,新中国成立后不断强化国家地理信息管理,努力维护国家地理信息安全。1992年12月28日,第七届全国人民代表大会常务委员会第29次会议审议通过了新中国第一部《测绘法》。2002年和2017年,全国人大常委会曾两次通过《测绘法》修订。2017年4月27日修订通过、2017年7月1日起施行的《测绘法》第1条,明确把“维护国家地理信息安全”作为制定该法的目的之一。这部《测绘法》规定:“外国的组织或者个人在中华人民共和国领域和中华人民共和国管辖的其他海域从事测绘活动,应当经国务院测绘地理信息主管部门会同军队测绘部门批准,并遵守中华人民共和国有关法律、行政法规的规定。”“外国的组织或者个人在中华人民共和国领域从事测绘活动,应当与中华人民共和国有关部门或者单位合作进行,并不得涉及国家秘密和危害国家安全。”“外国的组织或者个人未经批准,或者未与中华人民共和国有关部门、单位合作,擅自从事测绘活动的,责令停止违法行为,没收违法所得、测绘成果和测绘工具,并处十万元以上五十万元以下的罚款;情节严重的,并处五十万元以上一百万元以下的罚款,限期出境或者驱逐出境;构成犯罪的,依法追究刑事责任。”这部法律还规定:“县级以上人民政府测绘地理信息主管部门应当会同本级人民政府其他有关部门建立地理信息安全管理制度和技术防控体系,并加强对地理信息安全的监督管理。”

纸张载体在有利保密的同时,存在着不利于信息处理和处理效率低下的问题。因此,除非特殊需要,当前人们无论是处理日常家务、公司业务,还是处理国家在经济、金融、科技、文化、教育、政治、外交、军事、情报、安全等方面的各种事务,都广泛使用当代信息技术创生的计算机和磁盘、光盘、网络等电磁载体。但是自从这些载体被用于记录信息和处理信息以来,各种安全问题就没有间断过,其中也包括电磁载体的安全问题。水、火、外力、强磁、强电会破坏电磁载体,人为偷窃和破坏也会损害电磁载体,利用信息技术同样可以损害电磁载体的安全。为此,信息技术条件下电磁载体安全始终是信息安全的重要内容。

4信息处理安全

信息处理是信息从资源走向应用的中间环节。虽然许多信息不经处理就可使用,但也有许多信息只有经过处理才能使用或才能更好使用。在当代信息技术创生的计算机通用程序处理着大量记录和运行于电磁载体上的数字化信息之前,人类早就利用不同的语言文字和书写工具对各种信息进行编写处理,而且在生物技术日益发达的今天,人类也直接编辑处理动植物和人类的基因信息。

但是,信息处理过程也有安全问题。无论是通过生物技术对动植物及人类基因等自然信息进行重组,还是利用语言文字和书写工具对文字和图形等前现代的人工信息进行编写,以及计算机程序对数字化人工信息的快速运算,都可能因为各种原因造成信息的失真、残缺、灭失,损害信息的真实性、完整性和可用性。因此,从人工编辑到计算机运算,信息处理的安全都是信息安全的应有内容。

古人在编辑文献时,有时会隐匿、销毁、增删、修改文献信息,从而在保护图文信息存续的同时,又造成了许多文献信息不同程度和不同形式的缺损和不安全。例如,清朝乾隆年间编纂《四库全书》时,就对搜集到的文献作了许多删减、修改,甚至还销毁某些图书,或“抽毁”书籍中“不全时宜”的章节。这种因统治者旨意而造成的文献编辑过程中的信息不安全,是古代社会经常出现的信息处理不安全。

图文信息在人工处理时的失真和不安全,既可能出现在古人利用纸笔对文献进行编辑的过程中,也可能出现在当今人们利用计算机软件对文献进行编辑的过程中。在不同历史时期和不同情况下,人们根据自己和有关方面的需要,会利用笔和纸篡改甚至销毁纸墨载体的文献信息,也会利用计算机编辑功能篡改和销毁电磁载体的文献信息。

但是,计算机并非只能编辑加工图文信息,而是具有更广泛更强大的功能,可以用于处理日常生活中的经济金融、军事政治、科学技术、文化教育各方面各种形式的信息。作为信息处理工具的计算机,在保障信息处理安全中日益重要。当代电磁信息处理的安全与不安全,越来越取决于计算机工具的安全。国家安全学理论虽然不从专业技术方面深入研究计算机安全问题,但也需要涉及以计算机为主的信息工具安全问题。

5信息工具安全

在计算机诞生之前,人们早已开始运用某些工具帮助人脑处理各种信息。纸墨强化了人脑的记忆功能,是记录信息的古老工具。算筹、算盘、机械计算器强化了人脑的计算功能,是帮助人计算数量信息的古老工具。然而电子计算机诞生以后,以往信息处理工具在信息处理中的地位和作用便日益下降。当代信息技术创生的电子计算机,特别是发展到今天的大型电子计算机,是以往任何信息处理工具都无法比拟的。大型电子计算机可以替代以往任何一种信息处理工具,快速处理海量复杂信息。

但是,电子计算机在迅速发展的同时,其安全问题也越来越突出,其中既包括硬件安全,也包括软件安全。这时人们回头再看传统信息处理工具,发现它们与电子计算器一样,也包括硬件和软件两部分。笔、墨、算盘、机械计算器部件等等都是传统信息处理工具的硬件,书写规范、珠算口诀、机械计算器运算规则等等则是传统信息处理工具的软件。不仅如此,传统信息处理工具的硬件有安全问题,天灾和人祸都可能损坏笔、纸、墨、算盘、机械计算器部件等传统信息工具的硬件;传统信息工具运行的软件也有安全问题,天灾人祸特别是人祸,也经常会损害和威胁这些信息工具软件的安全。虽然这些远古信息处理工具的安全问题并不突出,但毕竟已经存在。与此不同,计算机处理的信息量巨大庞杂,能否顺利处理好这些数据,不仅是信息安全问题,而且是影响十分突出的重大信息安全问题。电子计算机硬件出了问题会影响计算机的运转,电子计算机软件出了问题同样也影响计算机的正常运行,最终都会影响信息处理安全和信息本身安全。因此,可以把信息处理工具分为硬件和软件两个方面来讨论信息工具安全问题。

从硬件方面看,无论是笔、墨、算盘、机械计算器等传统信息工具的硬件,还是电子计算机及其内外各种部件组成的机械性和电子性硬件,都会因水浸、火烧、电击、锤打等等而损坏、失灵、灭失,从而无法正常处理信息,有时还会在无人知晓的情况下改变了原始信息,最终破坏信息本身的安全。

从软件方面看,支撑笔、墨、算盘、机械计算器等传统信息处理工具有效运行的书写规范、计算口诀、运算规则等,可以被视为传统信息处理中的软件。操作者如果错记、漏记、遗忘了这些规范、口诀和规则,或不严格遵循这些规范、口诀和规则,就会在信息处理过程中发生各种错误,就不能安全有效地使用信息工具,也会在不同程度上危害信息本身的安全。对于电子计算机来说,人工操作虽然必不可少,但其在整个信息处理中所占比例一直在不断下降。当代信息技术条件下的信息处理,主要依靠电子计算机内在程序来完成。人类根据数理逻辑原理和人工语言编写的各种程序,以及计算机在人工程序控制下自动编写的各种程序,构成了电子计算机的软件。电子计算机要高效、准确地处理各种信息,不仅需要硬件的安全,也需要软件的安全。随着被处理信息的日益庞杂和运算功能的不断增强,电子计算机的软件类型、软件数量、软件体量等都在不断增加,软件安全问题和解决软件安全问题所耗费的人力和财力也在不断攀升。这就使以各种程序安全为主要内容的软件安全变得越来越重要。

为此,在信息科学技术领域,硬件安全和软件安全早已成为最基本的信息安全研究领域。国家安全学由此与信息科技在安全问题上相对接,但并不需要研究具体的软硬件安全技术,也不研究传统信息工具的具体安全问题。这正是国家安全学与其他安全学科的连接点,也是国家安全学与其他安全科学的分界线。

6信息流动安全

信息流动是信息通过一定渠道和途径在不同范围内、不同宿主间的运动,主要包括指向特定对象的单向信息传送、指向不特定对象的单向信息传播,以及多宿主多主体间的多向信息传递。信息流动安全就是信息能够按照信息发出者或信息接受者的意愿、安排和预期,准时、准确、完整地从一方到达他方。

信息流动安全虽然只有在互联网时代才成为突出的信息安全问题,但在前互联网时代,甚至在前信息时代,信息流动、信息网络及其安全问题就已存在了。远古时期的情报活动,就是与军事行动及国家安全具有直接关系的信息流动、信息传递。在政治活动和军事战争中快速安全地传递情报,对以朝廷安全为主要形式的古代国家安全非常重要。情报传递安全,就是从古至今都存在的国家信息流动安全问题,是古代信息安全的一种重要形式。

后来,国家还建立了一种由驿站、驿道、驿吏、驿人构成的官方信息传递网。这种3000多年前就已存在的“驿网”,是中国古代重要的信息网络,它既能快速安全地把朝廷的旨意送达地方或战争前线,也能快速安全地把地方和战争前线的情况呈报朝廷,在经济民生、政治军事和国家安全等方面一直发挥着十分重要的作用。古代“驿网”的安全运行,是对当时的国家安全十分重要的一种信息流动安全。

19世纪末期的电磁技术发展,改变了古老的信息传递方式。人类可以不用人马脚力而用电磁来传递各种信息。先是有线电话的发明,使人们可以通过电线互通信息。后有无线通讯技术的广泛运用,使信息传递能够在更远距离上快速实现,甚至快速达到全球任何地域。有线电话很快催生了有线广播,无线通讯也很快催生了无线广播,后来还出现了有线的或无线的音像信息传送工具——电视。于是,人们不仅可以通过电磁与特定对象远距离即时通话,而且还可以通过电磁在更大范围对不特定人群进行广播。

但是,通过电磁的信息流动,无论是在特定对象之间的通讯,还是对不特定人群的广播,安全问题比古代驿邮都更加突出。有线通讯可以被搭线窃听,无线通讯同样可以通过无线电技术进行窃听;有线广播可以通过剪断电线来破坏,无线广播也可以通过电磁干扰来破坏。至于通过包括军事行动在内的各种强力手段夺取电讯设备,占领电讯基站和广播电台,中止或改变原来的通讯与广播,都是对信息流动安全更严重的破坏。为了防止诸如此类的安全事故发生,人们发明并不断改进无线电密码技术,以保证通讯秘密不被窃取;对通讯广播线路和通讯广播基站采取各种保密保卫措施,严防敌对力量的破坏和占领。

20世纪前半叶,人类开发了以电子计算机为主体的当代信息技术,发明了在计算机之间进行信息传递的互联网。互联网是网线、电波以及被网线和电波连接起来的计算机、存储器、服务器和终端机等等组成的全球信息流动体系。在信息技术迅速发展的今天,互联网成为人们传递、传播和接受信息的主要渠道。从文字到图像,从音频到视频,从个人履历到政府文件,从公开信息到秘密情报,互联网上流动的信息每天都是天文数字。但是,互联网在给信息流动带来从未有过的便利的同时,也带来了许多前所未有的安全问题。传递信息的网络不安全,已经成为信息不安全的主要形式。如果说过去人们还在泛泛地谈论信息安全,那么人们今天说的更多的是网络安全[4]。习近平总书记在2014年4月15日提出总体国家安全观时,讲到了国家安全的12个基本构成要素,其中之一是信息安全。后来,信息安全虽然不断被习近平总书记提起,但他用的更多的一个概念已经不是“信息安全”而是“网络安全”了。在国家安全领域,习近平总书记特别强调,没有网络安全就没有国家安全。

网络安全是当代信息流动安全的基本内容,也是当代信息流动安全的重要保障。但是在后互联网时代,网络已经不仅仅是由网线、电波、计算机、存储器、服务器和终端机组成的信息流动体系和所谓的虚拟空间,而是已经与现实事物连为一体、通过电磁信息监视和控制现实世界的信息与事物之间的互动体系。这种超越单纯的信息流动、走向远程监视和控制各种事物运行的新型网络,已经不是传统的“互联网”,而是“物联网”“赛博网”(Cyber)。“物联网”和“赛博网”的安全,依然要以传统信息安全和传统网络安全为基础,但却已经超出了传统网络安全和信息安全的范围,而进入信息应用安全领域了[5]。

7信息应用安全

网络安全是当代信息技术条件下最主要的信息流动安全问题,但网络不仅关系到信息流动和信息本身的安全,而且越来越关系到接入网络的任何一种事物的安全。在信息技术广泛渗透并日益紧密地与人类生活各个领域联系在一起的今天,无论是个人驾驶汽车、进行体检、呼叫的士、器械健身,还是企业加工产品、销售服务、上市融资、招标投标,以及政府下发文件、举办会议、听证咨询、征税征粮、调控市场、整顿金融、对外交往、发兵开战,都在不断被信息化、网络化。当网络应用到社会生活、企业经营、政府工作等各个领域时,网络信息控制的事物必须能够安全存在和安全运行,这就要求网络和流动于网络的信息必须是安全的。如果说流动于网络的信息和网络的安全还仅仅是信息安全和网络安全问题,那么通过网络和信息控制的各种事物的安全,就是现实世界的安全问题了,是信息应用于现实世界的安全问题。

在信息技术越来越广泛地运用到并控制了烹饪、交通、会议、科研、军演、战争及家电、汽车、飞机、坦克、军舰、卫星等现实事物的时候,现实世界的安全便越来越依赖并取决于信息和网络的安全。安全是网络信息用于控制现实事物的最基本的前提。没有安全,网络信息就不能用于控制现实事物。当代信息技术条件下的信息应用安全,使信息技术远远超越了虚拟世界,直接关系到由物质、能量和信息构成的现实世界的安全,关系到一个国家的现实军事、政治、经济、文化、科学技术、生态环境等等方面的安全,关系到现实世界中的国家安全。针对这种情况,信息技术专家创造了“物联网”“赛博网”(Cyber)和“物联网安全”“赛博空间安全”(“网络空间安全”)等等概念并进行了描述。事实上,这些新情况可以更准确地概括在“网域”和“网域安全”两个概念中[6]。“网域安全”就是网络领域的安全,它既包括信息和网络本身的安全,也包括信息和网络应用的安全,包括与网络连在一起从而被信息网络覆盖的现实事物的安全。如果把与信息网络连在一起的事物称为“网物”,那么网物安全就是信息应用安全的具体体现,网域安全则包括了信息安全、网络安全和网物安全三个层次。

然而信息应用安全并不是在当代信息技术出现之后才有的安全问题,也不只有保障网物安全一种形式。古语“良言一句三冬暖,恶语伤人六月寒”,非常到位地说明了语言信息的不同运用会产生截然不同的效果:有时会促进人的安全,有时则会因伤人而造成人的不安全。战争中获得的情报是要运用的,但情报运用不当则可能造成相关情报人员的不安全,还可能在不同程度影响后续情报工作。这就是古来已有的情报应用安全问题。科学发现和技术发明,都属知识信息的范畴,都是知识信息。包括科技知识在内的任何知识信息的应用,也都有安全问题。科技知识应用不当,会给国家和人类带来灾难,会不同程度地危害国家安全和人类安全。无论是物理学中的核知识、化学中的药物合成知识,还是生物学中的“克隆”、转基因等知识,都是重要的知识信息,它们的不当运用必然会以不同形式、在不同程度上威胁和危害个人、国家和整个人类的安全。科技知识应用安全因此是当代信息应用安全的一个重要方面。

中国信息安全论文篇5

[中图分类号] G642 [文献标识码] A [文章编号] 2095-3437(2013)20-0042-05

随着信息技术的迅猛发展,信息安全领域对于保障我国政治安全、军事安全、国家基础设施安全和社会稳定等全局性影响的极端重要性日益凸显。尤其是在军事领域,战争的重心已明显向信息领域转移,作战的重心也转移到了制信息权的争夺上。现代战场空间被立体分布、纵横交错的信息网络所笼罩,各种作战要素被以计算机和通信技术为基础的信息网络连接成一个有机的整体。为适应我国社会信息化建设在新时代面临的新要求,尽快建设并形成网络信息安全保障体系刻不容缓,教育部设立了信息安全专业。由于起步晚、信息基础薄弱,我国信息安全存在不少突出问题,其中之一就是信息安全专业人才严重匮乏,其根本原因是信息安全人才教育与培养制度的不完善。信息安全是信息工作稳定可靠的重要保障,涉及计算机、通信、数学、物理、法律、管理等多个领域的专业知识,需要进行专门人才的教育与培训。目前我国主要采用高等院校设置专业课程的方式来进行信息安全教育,并且信息安全专业教育教学与其他学科信息安全教学严重脱节,形成了信息安全专业学生对所学知识“无用武之地”和其他理工类专业学生对信息安全知识“无所谓”的尴尬局面。

本文在分析我国信息安全专业与通信工程专业现状的基础上,首先探讨了我国信息安全专业课程体系,分析了信息安全“跨学科”教学在各理工类专业中的重要性。然后以卫星通信课程为例,研究了为卫星通信课程中实现跨学科信息安全教学的方法和手段。最后对跨学科信息安全教学提出了一些建议,探讨信息安全专业教育与其他理工专业教育“互为支撑、相互促进”的教育教学新方法。

一、我国理工类高等院校信息安全专业建设

(一) 信息安全专业建设

我国信息安全本科专业设置始于2001年,党中央、国务院高度关注我国信息安全专业建设,教育部为此下发了教育部教高[2005年]7号文件, 对加强信息安全学科专业建设提出了指导意见。目前,我国高校、科研机构的信息安全专业建设发展迅速。截至 2011 年底,全国在已有的 70 余所高校所建立的信息安全及相关类本科专业的基础上,在 25 所高校和研究所中设立了信息安全二级学科博士点,在各大学和研究所建立了部级和省部级的信息安全相关的重点实验室与工程中心。不少信息安全研究单位和企业与高校开展了多层次的合作,直接或间接地参与到信息安全人才的培养中来。另外,为促进高校形成自己的特色与品牌,面向社会需求培养,强化实践教学,“十一五”期间,全国已有包括武汉大学、清华大学等在内的 16 所高校获得教育部批准建设的部级信息安全特色专业或方向。近几年, 武汉大学计算机学院和北京电子科技学院都增设了信息安全本科专业;有些院校和科研机构也已开设相关专业,培养专门人才。这类教育与培训较为系统和体系化,主要针对在校学生和专业进修人员进行。

另外,许多高校根据自身的特点分别将信息安全设置在不同的一级学科中。实际上,信息安全专业所涉及的领域相当广泛,尤其是理工类高等院校完全可以根据自身的传统优势学科发展相应的信息安全研究方向, 自主设立相应的学科点,并且通过学科建设带动本科专业的建设,使其对学科发展形成支撑作用。例如西安电子科技大学根据本校的特色,在信息与通信工程一级学科下自主设立了信息安全二级学科,从通信与密码学外延培养通信保密和信息安全的专业人才, 取得了良好的效果。国防科技大学、信息工程大学等军事高等院校依托其理工特色,也根据现有的各类专业(数学、物理、计算机、通信、电子对抗等)外延,培养不同特色的信息安全领域的人才。

(二)信息安全课程体系建设

由于信息安全具有多学科交叉、理论与实践结合和涉及国家安全等特殊性,它是计算机、通信、微电子、数学、物理、法律、管理、教育等多学科交叉的产物。而信息安全专业有着系统的知识体系,同时包含密码理论与技术、安全协议理论与技术、信息对抗理论与技术、网络与系统安全等诸多研究方向,每个方向都有配套的培养方案,侧重点不同。信息安全专业学生既要系统地学习信息安全专业知识,又要与自己的专业方向相结合。由于国内的信息安全专业作为二级学科开设在不同的一级学科之间,因此课程设置差别很大。在全国数百所理工类高等院校中,各高校依据其办学思路和本校特点,其信息安全专业的定位不同,这决定了其课程体系设计差别很大。如“数字信号处理”、“编码理论基础”、“随机信号分析”、“通信原理”、“信息网络基础”等课程使得信息安全专业培养更倾向于密码学和通信安全;而“计算机网络”、“软件工程”、“操作系统”、“数据库原理”等课程则将信息安全专业培养定位于计算机科学与技术专业之上。综合来看,主要有以下几种情况:

1.信息安全专业置于数学系,以密码学作为教学重点。

2.信息安全专业置于通信系,以通信安全作为教学重点。

3.信息安全专业置于计算机系,以计算机网络安全与系统安全为教学重点。

4.信息安全专业置于商学系,以电子商务安全作为教学重点。

课程体系基本上包含理论与技术两个方面。在理论课程方面,一般包括初等数论、计算数论、密码学、信息论、计算机体系结构、计算机网络、协议形式化分析等内容;在技术课程方面,一般包括网络安全与对抗、计算机恶意程序防范、计算机与通信网络设计等内容。现代信息安全行业的深远发展已经奠定了信息安全及其管理在信息安全教育与培训中的地位,但目前还存在信息安全管理欠缺、信息安全专业“封闭性”较强、其他理工类专业信息安全教学意识淡薄等问题,其核心问题是没有充分理解与利用信息安全的“跨学科”内涵,这一点在理工类研究生教育中体现得尤其突出。因此,我国教育科研机构尤其是理工类高等院校必须深入开展信息安全学科内涵的研究,从专业建设和课程体系建设上下真功夫,不断整合已有的理工类教学科研资源,从而推动我国信息安全教育不断向前发展。

二、卫星通信中的跨学科信息安全教学

本节将在分析目前卫星通信课程内容的基础上,以卫星通信中的信息安全教学为例,探讨进行跨学科信息安全教学的方法与手段。

(一)卫星通信课程体系

卫星通信结合了通信技术、计算机技术和航空航天技术等多种通信手段,是大部分理工类高等院校信息与通信工程专业的必修课程,是通信、电子、信息类专业中具有举足轻重地位的交叉学科。 因此,卫星通信课程涵盖的知识面相当广泛,从物理学科的开普勒三定律到数学的几何运算,从卫星的发射控制技术到卫星与地球站之间的无线通信技术,涉及的内容非常多。而卫星通信课程属于专业课程,课时量一般为32-50学时。目前,我国大多数高等院校通信工程专业的卫星通信教学课程大致分为七个部分:卫星通信概述,通信卫星技术,卫星通信地球站,多址方式与分配制度,卫星通信链路分析,卫星通信系统与卫星通信网络。教学目标与大纲一般设定为:使学生掌握现代卫星通信的基本概念和原理以及主要技术,洞悉卫星通信技术的最新动态及发展前景,加深对卫星通信系统的认识,从而使学生有较好的素质适应无线通信技术快速发展的趋势。以课程讲授阶段划分,课程组成如图1所示,主要包括卫星通信概论、卫星通信系统、信号传输技术、典型的卫星通信网介绍等。

可以看出,目前的卫星通信课程体系存在内容多、系统性强,结合实际应用较多的特点,但并未涉及信息安全内容,而卫星通信的协议及数据安全始终是卫星测控系统与通信系统设计中最重要的问题之一,同时也是卫星测控任务实施过程中的关键性问题。电子侦察和电子对抗手段的发展对依靠机要手段保障空间数据系统安全的传统方法形成了严重的威胁。信息安全知识讲授的匮乏造成了通信工程专业学生在信息安全方面的专业知识缺失。另一方面,信息安全专业学生的课程学多以地面有线和无线网络为背景,对于卫星通信中的信息安全教学并未涉及,而地面网络与卫星通信网络环境的极大差异又造成其已掌握的信息安全知识无法直接运用到某些具体工程实践问题上,这对于军队理工类高等院校等涉及国家基础设施安全保障任务的高等院校来说是一个亟需解决的问题,并且该问题在信息与通信工程专业研究生教育上体现得更加突出。

实际上,在单纯的课堂理论讲授之外,应花大力气研究如何提高卫星通信课程的教学质量,使学生在理解掌握卫星通信基本原理的同时,能够学以致用地解决工程实践问题。

(二)加强意识教育,使学生了解卫星通信中信息安全的重要性

首先要让通信工程专业的学生了解信息安全在卫星通信中的重要性。卫星通信的安全性是任何空间任务都不能忽视的问题,特别是目前分包系统和交互支持应用广泛的现代空间信息体系,由于空间链路的开放性,航天任务期间存在着各种形式的对空间数据系统安全的威胁。第三方可以通过技术手段截获所发送的通信信号,窃取并解译信息内容,并通过伪造信息对正常工作的卫星进行攻击破坏,从而达到破坏信息、数据或资源,泄露秘密信息,中断系统的正常业务的目的。在这种情况下,卫星通信乃至空间数据系统的安全就出现了前所未有的需求;面对高技术手段形成的电子侦察和对抗环境,对数据保护技术的要求也达到了前所未有的程度。空间信息传输的安全主要由通信节点和通信链路的安全来保障,而通信链路的安全主要由通信协议的安全来保障。

如上,通过分析卫星通信系统在目前高技术条件下所面临的安全威胁,使学生充分掌握课程讲授的目的。可以通过引入信息安全理论中的安全威胁建模与卫星通信系统遭受信息攻击案例等多种形式增强教学的趣味性,以提高学生的兴趣。

(三)结合卫星通信环境,使学生掌握卫星通信中信息安全的知识点

在具体教学实践过程中,要掌握因材施教的原则,针对信息安全专业与通信工程专业学生,授课内容重点有所不同,重点结合卫星通信环境,使通信工程专业学生掌握需要学习的信息安全知识点,使信息安全专业学生掌握其所学的信息安全知识在具体卫星通信工程实践中应用的方式方法。其根本在于,空间信息链路的特点决定了其安全增强方式与传统的地面网络安全机制之间的不同。主要表现在以下几个方面:

1.由传输距离远而引起的长传播时延以及上下行链路的高度不对称,导致了卫星链路遭受攻击的反应时间增加。

2.信息传输误码率高,信息传输过程几乎全部需要利用卫星链路,恶劣的空间辐射环境以及敌方的电磁干扰、电磁攻击,会导致信息误码率升高,而高误码率会对加密数据的正确性产生更大的影响,密码学算法的错误扩散影响范围急剧扩大,增加数据重传的概率。

3.卫星通信资源异常宝贵,传统的认证、加密及访问控制机制会大大消耗有限的卫星链路资源,应在实现安全控制的同时要避免浪费通信资源。

4.卫星的计算资源、存储容量及处理能力受限,使得采用的安全机制必须高效,以处理效率和安全为双重目标;并且,由于空间环境的电磁辐射引起的单事件翻转(SEU)会导致安全模块计算错误,同样加剧了错误扩散的程度。

5.卫星信道状态的不可预测性决定了在空间链路上实施入侵检测的难度较高、较为复杂。

通过如上分析,让不同专业学生了解到自己目前所掌握知识的差距,从而提升通信工程专业学生掌握信息安全与对抗知识的兴趣,也能够培养信息安全专业学生“学有所用”的自信。

(四) 跟踪科研发展成果,设计卫星通信信息安全教学内容

针对卫星通信协议所面临的安全威胁,基于卫星链路复杂性、异构性、高动态性、长延迟等特点,可从物理层的信息理论安全和链路层/网络层的计算安全两个方面研究空间通信协议的安全增强和数据保护技术,主要包含基于计算安全理论的数据安全保护和基于信息理论安全的物理层安全两大教学内容。由于卫星通信技术发展速度快,因此要紧跟最新科研成果,动态调整设计卫星通信信息安全教学内容。

1.基于计算理论安全的CCSDS链路协议数据保护。依据最新的CCSDS国际标准,重点讲授CCSDS空间数据链路协议保护的加密与认证技术。在讲授过程中,根据信息安全专业学生的密码学知识储备与通信工程专业学生的通信原理知识储备,减少理论授课内容,因材施教。结合卫星信道的高误码率等链路特点,讲授信息安全技术对链路协议的吞吐量效率、等待延迟等传输性能造成的影响。要让信息安全专业学生理解,安全机制实施的位置、采用的密码学算法和协议的执行过程之间存在错综复杂的联系。在原有卫星通信系统上添加安全机制,从可靠性角度来看无疑是增加了一个可能给系统可靠性带来不利影响的额外环节。可让学生在教学环节展开深入讨论,让信息安全专业学生和通信工程专业学生深入交流,从不同专业背景出发,讨论卫星通信系统中需要的数据保护技术具有哪些特点,受到哪些限制,与传统地面网络存在何种不同。

由于涉及的密码学知识较多,基于计算理论安全的卫星通信数据保护技术适宜在信息安全专业进行课程教学。

2.基于信息理论安全的物理层安全机制。首先,要让学生了解课程教学目的。由于空间链路中存在被动窃听的可能性,如果通信双方完全通过在经典信道上传输信息,则在双方之间建立保密的密钥是不可能的。其次,随着技术的不断发展,计算机的计算速度呈级数增长,量子计算机的即将出现更是威胁着计算密码的安全性,要满足空间链路的信息机密性需求就必须构建更科学更完善的密码体制。然后,引入信息理论安全的概念。信息理论安全结合了信息论与密码技术,其基本原理是利用信道传输的随机性,保证无线网络中恶意窃听的第三方不能对信息进行正确译码。在卫星通信链路的物理层采用基于信息理论安全的安全机制,星地通信双方不需要共享加密密钥,不需要复杂的加密解密算法,利用信道特性、编码、调制等一系列通信机制建立来建立安全的通信模型。

在具体教学实践过程中,要以Shannon信息论意义上的安全通信系统模型为基础,结合卫星通信信道存在着多径效应、阴影效应、多普勒频移和电离层闪烁等特征,重点讲授多径衰落等自然因素对信道安全容量和安全通信速率的影响,使学生掌握多径衰落环境下的信息理论安全模型。让学生了解通过多径衰落的阴影效应和多普勒效应的影响来加大窃听方对信息不确定性的方法,并学习利用多径衰落的相关系数之间的内在关系掌握基于信息理论安全的密钥生成算法等。由于涉及的信息论与通信原理知识较多,基于信息理论安全的物理层安全机制适宜在通信工程专业进行课程教学。

三、加强理工类高等院校跨学科信息安全教育的几点建议

根据上述分析,本文就如何加强理工类高等院校跨学科信息安全教育提出以下四点建议。

(一)因材施教,进行信息安全学科内部跨学科“二次教育”

信息安全专业研究生大多来自计算机、通信与数学等各个专业,其在本科阶段的知识背景、知识结构都较为不同。针对这种情况,应充分利用学生知识结构,找准切入点,选择适合来自不同专业学生的研究方向,使他们既能获得全面系统的信息安全专业知识又能发挥他们所长,因材施教进行“二次教育”。具体来说,针对来自计算机、通信等工程类专业的学生,利用其在互联网技术、通信技术以及计算机软硬件等方面的知识储备优势,重点加强其在信息安全理论知识方面的教育培养,指导学生阅读学习密码学与安全协议相关理论知识的经典教材或经典论文,培养其信息安全理论学习兴趣 。相应地,针对来自数学等理论性较强专业的学生,由于其已经具备了扎实的理论基础与理论学习方法,故应提高计算机、通信网和程序开发等方面的工程实践能力,弥补相应知识与能力的欠缺。

(二)与时俱进,有机结合系统工程知识与理论基础知识

对于信息对抗与网络系统安全等侧重于工程技术的研究方向,在打牢信息安全理论知识基础的同时,应加强工程实践教育,使教学工作融合于科研项目的研究开发过程中,让学生能够更加生动具体地理解专业知识并加以掌握。要不断总结经验,根据不断变化的本学科发展情况和学生的综合素质改进培养方案,根据最新的科研成果改进系统教材,做到研究生教育与项目科研与时俱进、研究方案与教学教材紧密结合、工程研发培训与信息安全理论教学跨学科并进,从而促使研究生培养水平不断提高。

(三)融会贯通,加强其他理工类专业信息安全“跨学科”教育

对于其他理工类专业,如自动控制类专业、物理类专业、化工类专业、航空航天类专业等涉及国家基础设施安全的专业学生来说,首先要加强其对信息理论知识重要性及理解程度,要求其重视本专业学科中信息安全问题的重要性;其次是在课程体系建设方面,适当增加信息安全在本专业应用方面的课程。例如在飞行器设计专业方面,要加强学生对行器通信安全重要性的理解,掌握飞行器通信安全在飞行器设计中的方法与要求;在电力系统专业方面,要求学生在设计电力网络的同时,要能够充分考虑电力网的安全性。总而言之,要理工类各专业学生在扎实掌握本专业基础知识的同时,具备一种包含信息安全在内的“大局观”,融会贯通地掌握体系知识与体系设计能力,全面提升专业素质能力。

(四)丰富形式,利用多种手段加强信息安全专业与其他专业的“跨学科”交流

除正规课程之外,信息安全教育还可以通过其它形式多样的跨学科教育活动来进行。许多高校都开设有“计算机文化节”之类的课外教学活动,信息安全可以作为这些活动中的重要组成部分,比如举行信息安全知识竞赛,计算机渗透技术大比拼等。另外,小型报告会、问卷调查、技术讲座等都可以作为信息安全教育的方式。总之,通过形式多样的教育活动,使信息安全专业学生充分了解所学知识与技术的“用武之地”与“用武之法”;使其他理工类专业学生了解信息安全的重要性,掌握基本的信息安全技术,增强其专业知识体系的全面性及其大局观,为实现信息安全管理、解决信息安全问题奠定坚实的教学基础。

[ 参 考 文 献 ]

[1] 唐成华,钟艳如,王鑫,王勇,张瑞霞.信息安全专业发展现状及促进对策[J].计算机教育,2013,(7):66-73.

[2] 融燕,侯思齐等.中美信息安全教育与培训比较研究[J].北京电子科技学院学学报,2009,(1):27-31.

[3] 李晖,马建峰. 结合学校特色加强信息安全专业建设的几点体会[J].北京电子科技学院学报,2006,(1):3-4.

[4] 王丽娜等.卫星通信系统[M].北京:国防工业出版社,2006.

[5] 吕海寰等.卫星通信系统(修订本)第二版[M].北京:人民邮电出版社,2003.

[6] 张晖.“卫星通信”课程本科教学的实践与探索[J].科技信息,2009,(31):169.

[7] 魏东兴,徐红,邢慧玲.自动化专业开设通信技术课程的尝试[J].电气电子教学学报,2004,(4):46-48.

中国信息安全论文篇6

征文内容如下:

1.计算机安全、下一代网络安全技术;

2.网络安全与网络管理、密码学、软件安全;

3.信息系统等级安全保护、重要信息系统安全;

4.云计算与云安全、物联网的安全;

5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;

6.信息内容安全、通信安全、网络攻防渗透测试技术;

7.可信计算;

8.关键基础设施安全;

9.系统与网络协议安全分析;

10.系统架构安全分析;

11.面向业务应用的整体安全保护方案;

12.信息安全漏洞态势研究;

13.新技术新应用信息安全态势研究;

14.Web应用安全;

15.计算机系统安全等级保护标准的实施与发展现状;

16.国内外电子认证服务相关政策与标准研究;

17.电子认证服务最新技术和产品;

18.电子认证服务应用创新;

19.电子认证服务行业研究和热点事件解析;

20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;

21.数字证书交叉认证技术规范/应用规范/应用案例分析;

22.电子认证服务与云计算、物联网、移动互联网等新技术、新应用融合的相关技术、标准规范和应用发展情况;

23.工业控制系统信息安全标准;

24.信息安全和功能安全标准化;

25.信息安全和功能安全集成技术;

26.工业控制系统安全性的技术指标与经济成本;

27.信息安全产品设计和系统集成;

28.工业控制系统安全的评估与认证;

29.工业控制系统的信息安全解决方案;

30.工业自动化安全面临的风险;

31.国外工业控制系统安全的做法;

32.工业控制系统信息安全现状及其发展趋势;

33.工业控制系统安全性的建议;

34.工控系统与信息系统对信息安全的不同需求;

35.工业控制系统的安全性与可用性之间的矛盾与平衡;

36.应用行业工业控制系统的信息安全防护体系;

37.工业控制系统安全测评体系;

中国信息安全论文篇7

近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。

其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。

从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。

发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。

综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。

不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。

参考文献

[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.

[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.

[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.

[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.

中国信息安全论文篇8

一、信息安全教育立法的必要性

(一)信息安全教育立法是我国现阶段信息安全教育事业发展的需要

纵观信息安全工作发展历程,特别是改革开放以来,我国信息安全教育取得了显著的成绩,得到长足发展。随着社会信息化进程的不断深入,信息安全教育立法一直落后于全国教育的总体发展水平,已远远不能满足信息安全教育发展的需求。究其因,归纳起来,有社会、经济以及认识等诸方面的问题,不能起到保障和促进信息安全教育的作用。我国现阶段信息安全教育事业的发展迫切需要加强信息安全教育立法工作。

(二)信息安全教育立法是全面依法治国的需要依法治国,建设社会主义法治国家作为新时期治国的重要方针。依法治国的一个根本前提,是有法可依。新世纪以来,我国法治建设对于推动经济持续健康发展和社会发展,保障国家经济社会发展,发挥了不可替代的作用。信息安全教育作为我国信息安全工作的一个重要组成部分和社会生活的一个重要领域,它在一定程度上影响着国家管理的法制化进程和信息社会化水平。(三)信息安全教育立法是信息安全工作发展的需要我国信息安全立法虽取得了一定的成绩,同时,在信息安全教育立法方面也存在诸多问题。要改变这种状况,就必须推进信息安全教育立法工作。只有这样,才能以法的形式把信息安全教育发展所要求的各种社会条件以及基本社会关系固化下来,从而保证信息安全以及教育工作稳定发展。

二、信息安全教育立法的可行性

(一)教育优先发展战略地位的确立,为信息安全教育立法创造了有利的氛围

我国党和政府十分重视教育的发展,把科教兴国列为国家社会发展的战略重点,并颁布一系列法律法规为其发展提供了强有力的保障。这对于切实落实优先发展教育的战略地位,提高人们的思想认识,具有巨大的指导作用和十分深远的意义,从而也为信息安全教育立法创造了有利的外部环境。

(二)我国信息安全立法的实践与理论研究,为信息安全教育立法提供了经验和理论基础

改革开放,特别是新世纪以来,我国信息安全立法实践从国家和行业两个方面都取得了相当的进展,为信息安全教育立法提供了丰富的实践经验与广泛的内容范畴。随着信息安全立法以及教育立法的理论问题日益引起人们的重视与关注,许多信息安全工作者和法学工作者,将理论研究不断引向深入,探讨实际工作中的热点与难点问题,纷纷撰文或著书,从而为探索和完善我国信息安全教育立法工作提供了坚实的理论基础。

(三)境内外信息安全教育立法的成果以及经验,为我国信息安全教育立法提供了有益提示

从世界各国信息安全立法的情况看,尽管出发点不完全相同,目的各异,甚至侧重点也不一样,不同国家的信息安全教育立法在以下三点基本上是相同的:一是都非常重视信息安全及教育立法,把立法工作摆在相当重要的地位;二是信息安全教育法规操作性强,内容明确;三是信息安全教育法规制约机制严明。对于境内外十分丰富的信息安全教育立法的经验,我们可以从中找到许多带有普遍规律性的问题,在我国的信息安全教育立法中认真加以研究和借鉴。

三、信息安全教育立法的实现

要根本改变信息安全教育事业的滞后状况,我们必须采取切实有效且行之有效的举措,切实加强信息安全教育的立法,从而起到保障和促进信息安全教育事业的作用。

(一)加强信息安全教育立法工作的宣传

首先,我们自身必须深刻认识我国发展信息安全教育的艰巨性和紧迫性,切实了解信息安全教育的特有规律及在推进我国社会信息化进程中的重要地位。其次要充分利用新媒体,让全社会熟悉、了解信息安全教育及立法的基本知识、基本理论。总之,我们要深刻认识信息安全教育立法现状的不适应性,明确信息安全教育立法对改变当前信息安全教育的落后状况以及推进我国信息安全工作的重要现实意义,从而树立和坚定信息安全教育必须立法的思想。

(二)切实加强信息安全教育立法的理论研究

紧密围绕信息安全工作实际,我们应在我国教育立法、信息安全立法一般理论的指导下,对信息安全教育立法的基本理论问题进行深入的研究。要通过研究,掌握信息安全教育立法的基本原理,信息安全教育立法与一般教育立法、信息安全立法的区别以及联系等等。为此,当前,一方面我们可以设立信息安全教育立法研究会,通过举办学术研讨会、论坛等多种形式,推进相关热点、难点问题探讨的不断深入,从而在国家有关部门制定信息安全教育法律法规中发挥相应作用;另一方面可以设立专项研究基金,组织相关方面的专家、学者协同攻关。总之,信息安全教育立法的理论研究工作要在加强基础性的同时突出其应用性研究,要围绕信息安全教育领域基础性的、急需的内容,加强研究工作,以促成相关法规的制定。

(三)加快制定《信息安全教育条例》等相关信息安全教育法律法规

要从根本上改变信息安全教育立法的薄弱状况,就必须尽早建立和完善信息安全教育法规体系。健全信息安全教育法律制度,使得制定《信息安全教育条例》等一些基本的法律法规成为时代的必然。《信息安全教育条例》等的相关信息安全教育法律法制定与颁布,将极大地推进我国信息安全以及教育立法工作的进程,开辟我国信息安全事业和信息安全教育事业的新纪元。

参考文献:

[1]陈立鹏.民族教育立法与民族教育的跨越式发展[J].黑龙江民族丛刊,2003(6).

中国信息安全论文篇9

网络安全论文参考文献:

[1]张金辉,王卫,侯磊.信息安全保障体系建设研究.计算机安全,2012,(8).

[2]肖志宏,杨倩雯.美国联邦政府采购的信息安全保障机制及其启示.北京电子科技学院学报,2009,(3).

[3]沈昌祥.构建积极防御综合防范的信息安全保障体系.金融电子化,2010,(12).

[4]严国戈.中美军事信息安全法律保障比较.信息安全与通信保密,2007,(7).

[5]杨绍兰.信息安全的保障体系.图书馆论坛,2005,(2).

[6]侯安才,徐莹.建设网络信息安全保障体系的新思路.现代电子技术,2004,(3).

网络安全论文参考文献:

[1]王爽.探讨如何加强计算机网络安全及防范[J].计算机光盘软件与应用,2012(11).

[2]田文英.浅谈计算机操作系统安全问题[J].科技创新与应用,2012(23).

[3]张晓光.试论计算机网络的安全隐患与解决对策[J].计算机光盘软件与应用,2012(18).

[4]郭晶晶,牟胜梅,史蓓蕾.关于某金融企业网络安全应用技术的探讨[J].数字技术与应用,2013,12(09):123-125.

[5]王拥军,李建清.浅谈企业网络安全防护体系的建设[J].信息安全与通信保密,2013,11(07):153-171.

[6]胡经珍.深入探讨企业网络安全管理中的常见问题[J].计算机安全,2013,11(07):152-160.

[7]周连兵,张万.浅议企业网络安全方案的设计[J].中国公共安全:学术版,2013,10(02):163-175.

网络安全论文参考文献:

[1]古田月.一场在网络战场上的较量与争夺[N].中国国防报,2013-05-20(6).

[2]兰亭.美国秘密监视全球媒体[N].中国国防报,2010-10-24(1).

[3]李志伟.法国网络安全战略正兴起[N].人民日报,2013-01-01(3).

中国信息安全论文篇10

中图分类号:G710 文献标识码:C DOI:10.3969/j.issn.1672-8181.2013.19.062

随着计算机网络的发展,人们可以切身感受到丰富的信息资源广泛融入到社会生活的方方面面,人们对信息系统和信息服务的依赖性越来越强。在这样错综复杂的网络环境下,信息安全问题成了人们讨论的焦点。我们在享受信息化带来便利的同时,也面临着信息安全方面的威胁和攻击,加强信息安全相关知识的学习,避免私密信息被非法泄露或直接经济损失是保护个人隐私,保证社会稳定的重要前提。

本文认为,信息安全问题的解决除了被动地依靠技术支撑之外,更关键的是发挥专业人才的作用。教育是社会科学进步的基础,通过教育积极主动培养信息安全专业人才是最有效的途径。目前我国开办信息安全专业的学校越来越多,但都处于刚起步阶段,专业课程设置上没有规范的标准体系,比较混乱,实验条件普遍较差,多数学校不具备建立仿真网络对抗的实验环境,针对以上问题,本文将对高职院校开办信息安全专业的必要性以及课程设置合理性这两方面进行探讨。

1 高职院校开设信息安全专业的必要性

在我国高职院校中,只有少数学校开设信息安全专业培养学生,然而面对整个国际社会信息安全的严峻形势,我国专业人才的输出远远不能满足信息化对人才的迫切需求。2003年,中央27号文指出[1]“要加强信息安全学科、专业和培训机构建设,加快培养信息安全人才”。同年,美国白宫公布《确保网络空间安全的国家战略》[2]也强调“所有安全问题的解决都严重依赖于高校教育和社会科研机构力量的共同参与,要注重信息安全专业人才的培养以及公民的信息安全意识教育”。可见,现代教育急需培养高素质的信息安全专业人才,使其具有专业的安全意识并能防止危害发生,这是社会发展的必然要求。

在高职院校中开展信息安全专业培养模式应该摒除传统教育的重理论而轻实践,要充分体现“高职”特色,理论与实践技能相结合,以提高学生的就业竞争力为主要目标。

2 现阶段信息安全课程体系建设刚起步

我国现阶段教育体系下,信息安全属于一门新兴的二级学科,多数学校将它设在计算机科系之下,也有的设置在通信工程系或数学系。目前,已经开设信息安全专业的院校都还处于探索阶段,信息安全专业课程体系至今还没有一个统一的规范,各高职院校提供的课程多数根据社会实际需求和专业认证等因素考虑,国内外现有的关于信息安全课程设计的资料很少,无论是课程设置方面还是教材选择、参考书籍等可供参考的材料为数不多。

在符合学校高职教育定位的基础上,信息安全课程的设计最好是紧贴现阶段劳动力市场对信息安全人才要求培养学生,另一方面要加强教师队伍建设,不断改进教学方法,创新理论知识和技术,满足学生需求[3]。学校方面也要提供良好的实验条件和仿真模拟环境,提高学生的岗位实践技能。

3 合理设置信息安全专业课程

借鉴国内外著名院校的成功经验,可以为高职教育专业技术型人才培养提供参考。本文分别对出色的国内外信息安全课程设置做分析,得出更适合高职教育人才培养课程体系。

英国伦敦大学皇家霍洛威学院(Royal Holloway, University of London)的信息安全专业课着重培养学生安全业务架构意识,电子商务法律监管,网络犯罪,智能卡/令牌安全及应用,软件安全,数字取证技术,安全测试理论与实践则作为选修课。课程设置上体现较强的专业定位,涵盖到信息安全所涉及的每一个领域,针对性地培养高素质技术研究人才。

武汉大学在2000年由教育部同意率先开设信息安全本科专业。特色课程包括网络安全、智能卡技术、信息隐藏技术、计算机病毒和电子商务技术等,另外,还有网络安全试验、信息安全综合实验等多门实践课程。课程设置上更注重学生全面性基础知识的建立,体现在以计算机技术作为基础的能力培养上。信息安全专业教育与计算机科学知识相辅相成。

从以上例子可以看出,网络安全技术、网络攻防技术、组网原理与实践、电子商务安全、入侵检测原理与技术、计算机病毒原理与防治、信息对抗、信息隐藏这些方面是实用型,社会需求量大,应该增强这方面专业核心课的分量。高职教育的特点是以社会需求为导向,高职院校中开设信息安全专业,目标是培养出一批毕业就能就业,在工作岗位上能实实在在解决具体安全问题的行家,并不要求去培养计算机方面的全才,或是培养信息安全方面的战略人才[4]。

4 总结

信息安全人才供不应求的现状预示着我国信息安全很快将成为热门的支柱学科,市场岗位需求量不断增加,开办该专业的学校会越来越多、招生规模也会越来越大。因此,高职教育开办信息安全专业,培养人才是形势所趋,势在必行。高职院校信息安全专业要以职业技能培养为发展方向,与时俱进,与其他专业相互渗透,突出“职业”特点。信息安全专业人才培养体系也会越来越标准化、规范化,提高整体教育办学质量与效益,让学生学有所用,实现人生价值。

参考文献:

[1]中共中央办公厅,国务院办公厅.国家信息化领导小组关于加强信息安全保障工作的意见[M].中办发[2003]27号.

[2]White house, President George W. Bush: 确保网络空间安全的国家战略 (The National Strategy to Secure Cyberspace) [M]. Morgan James Pub, 2003.

中国信息安全论文篇11

中图分类号:G647 文献标志码:A 文章编号:1674-9324(2015)48-0087-02

财经应用领域的一个重要特征是实现了业务电子化,信息的获取、传递、处理等经济管理行为通过信息系统来完成。信息系统如同国民经济活动的大脑和神经中枢,财经应用领域对信息技术越来越依赖,其信息安全保障工作的难度也不断加大,信用风险、市场风险、流动性风险、操作风险、法律风险等传统风险在信息化过程中发生了重要变化。因此信息安全教育对财经管理专业人才培养尤为重要,提高财经管理专业人才的信息安全能力和意识迫在眉睫。

国内公开发表的文献涵盖信息安全专业人才培养、信息安全课程改革、信息安全实验平台建设等方向,但鲜见面向财经管理创新型人才培养的信息安全教学体系研究。

中央财经大学从2004年起开设信息安全相关课程,是国内最早为财经管理类专业开设信息安全课程的高校。十余年来,先后为电子商务、信息管理等专业本科生开设《电子商务安全》、《信息系统安全》课程(包括双语教学),为全校本科生开设大学生文化素质课《信息安全概论》,为经济类硕士研究生开设《信息安全》课程。学校从教学内容选择、讲授方法凝练、教学环境建设、评价体系完善、师资力量培养等方面不断研究探索,逐步形成了面向财经管理创新型人才培养的信息安全教学体系,取得了良好的教学效果。

一、4-3-3多维教学体系

面向财经管理创新型人才培养的信息安全4-3-3多维教学体系包括:四维教学内容(密码学、网络安全、信息系统安全、财经应用安全)、三种教学手段(课堂教学、实验教学、网络互动教学)、三类自主学习方案(金融信息安全案例分析、科研项目驱动、学术论文研究),很好地解决了在基础不够(不具备数学、密码学基础)、技术不强(没有网络技术)、时间不多(只开一门课)的情况下,开展信息安全教育的问题。在教学过程中,理论教学与实验教学相互印证,相辅相成;实验内容与实验手段有机衔接,注重培养创新意识和综合能力的考核方式。

二、教学改革方面

采用多媒体教学,制作了包含音视频的课件,建立了完善的网络教学资源。通过网络课程可以获得更多的信息,运用网络课程复习、讨论成为不少学生课后辅助学习的有效手段。

1.修订和完善了信息安全教学体系的教学大纲。根据学校教学计划和国家培养面向新世纪人才的要求,教学团队参照教育部拟定的普通高等学校有关课程的教学大纲,并结合我校特色,根据本科生和研究生的不同层次,分别组织编写了详细的教学大纲,每年根据课程内容和实际需要及时调整和修改教学大纲,制订教学计划,使之符合信息安全教学体系的课程特点。同时,进一步完善教学总结及教学辅助材料。

2.科学合理选择高水平的教材。课程选用了国内知名专家编写的中文教材,在双语课程开设之后,选择相对权威的国外主流信息安全教材,积极引进原著和原版书目;后期,在完善教学内容及方法的同时,课程教学团队通过深入调研发现,目前国内外尚无完善的针对财经信息安全的高等教育教材。因此,教学团队组织编写并出版了适用于财经类院校的《电子商务安全》教材,着眼于信息安全在电子商务中的实际应用,突出案例丰富的特色,为学生学习提供充足、适宜的参考资料。

3.积极推进案例教学。信息安全是一门发展的学科,也是一门致用之学。如何使该门课程在实现它基础性作用的同时,还能够体现先进性和可操作性,已成为这门课程的方向。对于信息安全算法协议的描述,采用业内优秀的信息安全模拟软件CrypTool实现具体案例的演示,将重要的密码体制逐一展示成直观形象、易于理解的动态演示过程,加深学生的理解程度。此外,信息安全密码机制的创立以及应用场景问题对学生来说都比较陌生,在知识点讲解中适当引入视频来缩短与学生学习生活的距离,可以更好地启发学生思考及动手操作能力。

4.创新教学方法。把传统的课堂讲授作为教学方法的基础,积极开展启发式教学、案例教学、论坛式教学、学生自学、实践教学以及学术讲座等多种教学形式,注重学生思维方式和实践能力的提高。教学团队经常定期开展教研活动,集体备课,商讨教学中出现的一些问题,改善教学方式或教学手段;积极参加国内高水平的学术交流,并邀请国内知名教授开办教学手段和教学方法的讲座。

5.完善考试制度。规范信息安全教学体系的教考分离制度,完善试题库的建设。本课程采取平时考核与期末考试相结合的方式,即平时通过课堂提问、开卷小论文、测验等多种途径了解学生学习情况,重在考察学生分析、研究问题的能力;期末考试采取教考分离的方式,重在考察学生对基本理论、基本概念、基本观点的把握。试题覆盖面占讲授内容的90%以上,难易程度比较适宜,客观评卷,学生成绩公正,考试后有试卷分析及总结。

6.建设实验教学体系。中央财经大学计算机网络与信息安全实验室、金融网络与信息安全实验室为信息安全教学提供了实验环境。SimpleISES新一代信息安全实验教学系统将行业内主流的安全软件移植和转化为实验教学项目,该系统由一系列软、硬件设备构成,其最大的优势在于可随时根据技术的发展而不断更新实验模块,并且具备较高的知识系统性。该系统是基于真实网络、信息安全及安全设备等环境下搭建的一套信息安全综合实验平台,在这个平台中,学生通过独立操作或者分组合作,进行信息安全各个知识领域的学习和配套实验操作,这与未来实际工作中所用到的基本一致。

金融网络与信息安全实验室集成了多家银行的核心信息系统,通过具体的金融信息安全案例实现对金融信息安全的实验教学。实验室的“银行网络与信息化研究试验平台”被评为教育部首批“互联网应用创新开放平台示范基地”。

三、教学创新方面

坚持信息安全经典理论与学术前沿并重,强调方法论与实际案例分析相结合,注重研究型人才、应用型人才与复合型人才等多类型培养模式,教学改革与创新富有特色,成效显著。

1.采用启发引导、鼓励学生参与课堂讨论的教学方法。为了改变传统的灌输式教学方法,在教学过程中积极引导学生结合财经信息安全实际应用参与讨论,不仅加深学生对信息安全理论的理解,而且大大地提高了学习积极性,锻炼了学生的综合素质和能力,活跃了课堂气氛,增进了老师和学生之间的平等交流,收到了良好的教学效果。这种启发引导式的教学方法促使一线教学教师理论联系实际,迫使老师在备课过程中不断地思考问题、提出问题,并引导学生思考和讨论,在课堂上注意把握学生讨论的范围和对学生讨论的总结和评述,起到了以教学带动科研、科研促进教学的作用,大大提高了教师的业务水平和教学质量。

2.采取案例教学的教学方式。为了使学生能更好地运用所学的信息安全理论来分析和解释现实电子商务活动中的安全风险及保护手段,鼓励任课教师在教学过程中选择与信息安全原理密切相关的案例,组织案例教学,要求在案例教学的过程中,学生联系信息安全理论对实际案例进行理论层面的分析与探讨,并写出案例分析报告,并以此作为学生平时成绩的重要依据。

3.开设同步在线课程网站。2010年开设了“信息安全课程体系”网站,网站包含了教学大纲、多媒体教学课件、课程习题及答案、课外参考材料等资源。学生既可以通过网站预习、复习课程内容,又可以以网站提供的课外参考材料作为向导,自主独立开展学习和科研创新活动。本课程网站在借鉴同类站点特色的基础上,特别增设了BBS论坛一项,以供师生之间积极互动,以加强学生与老师之间的交流。师生间的讨论交流记录均可以以帖子的形式保存在BBS论坛中,以供其他同学或者后面即将学习该课程的低年级同学查看。同时,教学团队也可以从学生发帖的内容来判断学生对知识点的掌握情况,以对课程的难度和进度及时做出调整。

四、实践教学方面

1.学生科研环节的设计。通过课堂教学和学生自学,引导学生学会分析信息安全的风险,找到成因,提出解决方案,鼓励学生发表一定水平的科研论文,积极参加大学生科技类比赛项目。

2.教学实践环节的设计。一是组织和引导学生利用假期进行社会调查和实践,并撰写调研报告,既增强了学生对社会生产活动中信息安全问题和现象的感性认识,又锻炼了学生的社会实践能力,进而增进了学生对所学信息安全理论的进一步理解。二是支持学生组成学术社团,引导学生自觉开展学术活动。三是邀请国内外信息安全领域的著名专家学者到我校讲学,介绍当前国内外最新科研成果和学术动态,使学术氛围更加浓厚。

五、结语

面向财经管理创新型人才培养的信息安全4-3-3多维教学体系,探索出了一条财经类专业学习信息安全知识的有效途径,促进了财经管理创新型人才培养模式改革和人才培养质量的提高,取得了良好的教学效果和成果。但随着“互联网+”时代的到来,及MOOC、翻转课堂等的出现,在教学内容、教学方法和教学手段上仍需不断完善。

中国信息安全论文篇12

中图分类号 F49

文献标识码 A

文章编号 1006-5024(2013)01-0055-04

一、引言

在信息化浪潮席卷全球的今天,信息的重要性不言而喻。我国国民经济和社会信息化建设进程全面加快,网络与信息系统的基础性、全局性作用日益增强,信息技术在提高企业服务水平、促进业务创新、提升核心竞争力等方面发挥了重要作用。但是,在进行信息化建设的同时,各种信息安全事故却频繁发生。据普华永道2010年度全球信息安全调查报告显示,中国企业信息安全事故发生率远远高于世界平均水平。网络事故、数据事故及系统事故是中国企业常见的三大信息安全事故,发生率分别为51%、45%和40%,而相同事故在全球范围内的发生率则为25%、27%与23%。

大量文献和事实表明,信息的特殊性决定了信息安全事故的高发性。信息具有易传播、易扩散、易毁损的特点,信息资产比传统的实物资产更加脆弱,而其运作的风险、收益和机会却比实物资产大得多。企业对信息系统不断增强的依赖性也增大了重要信息受到严重侵扰和破坏的风险,而这些风险常导致企业资产受损或业务中断。

目前,对于信息安全的研究大多集中于技术层面,从早期的加密技术、数据备份、防病毒到近期网络环境下的防火墙、入侵检测、身份认证等,而从管理方面和流程优化方面研究的较少。Ross Anderson(2001)认为,信息安全的经济管理研究在某种程度上比技术研究更为重要。傅毓敏(2010)认为,中国企业对信息安全管理人员和流程的重视不足是导致相关安全事故率居高不下的主要原因。因此,有必要系统分析企业信息安全事故发生的机理,以管理因素研究为核心,找出事故发生的根本原因。通过控制事故致因因素预防企业信息安全事故的发生,将对企业的信息安全管理有一定的指导意义。

本文将生产领域的事故致因理论应用到信息安全事故分析中,系统分析企业信息安全事故的形成机理,将信息安全事故致因因素分为四部分,即环境因素、人员因素、技术因素和设备因素,分析各因素对信息安全事故的影响,构建信息安全事故致因因素鱼刺图,并提出针对性的防范措施。

二、理论基础

(一)国内外从管理角度对信息安全事故的研究

国内外的学者从不同角度对信息安全事故原因进行了研究。Van Niekerk(2010)认为企业信息安全文化氛围是减少人为因素所导致的信息安全事故的关键;Knapp(2009)等先后对信息安全政策和信息安全事故之间的关系进行了研究;Herath(2009)通过问卷调研的实证研究验证了惩罚力度、压力和员工的效果认知会对其安全行为产生影响;Albrechtsen(2010)发现员工参与、集体反思和群体作用可以提高员工的信息安全意识,并改善其安全行为;Stanton(2005)研究发现终端用户的安全行为会对企业信息安全管理产生影响;Ashenden(2008)通过实证研究发现信息安全管理人员、高层管理者和终端用户之间存在信息鸿沟,双方在理解上的差异会对企业的信息安全管理产生不利影响,增加了信息安全事故发生的几率。此外,Vroom(2004)、Flowerday(2005)等学者也先后对此进行了研究。

与国外相比,国内对于信息安全的研究多集中于技术层面,涉及管理层面的研究较少。沈昌祥、张焕国、冯登国(2007)系统地阐述了信息安全理论及相关技术的发展;官巍、胡若(2007)从社会环境、商业、组织和个人的角度分析了电子商务的信息安全问题;刘福来(2010)对中小企业信息化管理中存在的安全隐患和原因进行了分析。

通过阅读文献发现,国外学者大多通过实证研究验证了一个或几个因素对信息安全事故的影响,但是缺乏对信息安全事故的系统分析。国内的研究多用于构建信息安全管理体系,对信息安全事故的分析则鲜有研究。

(二)事故致因理论

在信息安全事故分析方法的选择上,本文选择了在生产领域广泛应用的事故致因理论。事故致因理论是研究分析导致事故发生原因因素的科学理论。它是描述事故成因、经过和后果的理论,是研究人、物、环境、管理及事故处置等基本因素如何起作用而形成事故并造成损失的理论。

在早期的事故致因理论中,海因里希(W.H.Heinrich)的事故因果连锁论最具代表性,它最先提出了物的不安全状态和人的不安全行为是导致伤亡事故发生的两个直接因素。在海因里希事故因果连锁论的基础上,博德(F.Bird)等又进一步提出了把安全管理作为背后深层次的间接事故致因因素的现代安全科学观点,认为任何安全事故发生的深层次原因,都可以归结为管理的失误,人的不安全行为或物的不安全状态不过是其背后的深层原因的征兆和管理失误的反映。

本文依据博德(F.Bird)的现代安全科学观点,提出如图1所示的信息安全事故模型。信息安全事故的发生是由于人的不安全行为和物的不安全状态作用在能量物质/载体上的结果,而企业的管理因素是导致物的不安全状态和人的不安全行为发生作用的直接因素。

三、信息安全事故分析

通过对各类型信息安全事故致因因素的分析,企业信息安全事故的致因因素大体可分为两类,即人的因素和物的因素。其中,物的因素可进一步分为环境因素、技术因素、设备因素等。根据实地调研和文献梳理可以得出,企业文化的缺失、安全规章制度的不完善等环境因素是造成事故的深层原因。因此,本文将企业信息安全事故的可控致因因素整理归纳后分为四类,即环境因素、人员因素、技术因素和设备因素,并构建了信息安全事故鱼刺图(见图2)。

(一)环境因素分析

在信息化建设过程中,很多企业由于急需开展业务,往往出现“先业务,后安全”的现象,安全管理严重滞后于业务的发展。在企业的内部环境中,企业业务的符合性直接决定了信息系统的设计、运行、试用和管理是否超出法律规定和合同规定的安全要求的约束范围。另外,很多企业安装了一定的安全设备,但缺乏统一的安全体系规划和安全防范机制,企业安全责任不明确,这些都大大增加了信息安全事故发生的风险。由于缺乏业务连续性计划和事故处理机制,发生信息安全事故之后,企业的业务往往会出现中断,此时,信息管理人员又变成“救火员”恢复业务,最终信息安全建设变成一种“头痛医头,脚痛医脚”的亡羊补牢式的行为。此外,企业惩戒措施和审计机制的缺乏也是导致信息安全事故频繁发生或重复发生的重要因素。

在信息安全管理的外部环境中,与企业密切相关的是第三方服务机构或个人。企业选择第三方服务机构为企业提供服务,就意味着将企业的部分信息转移至第三方。企业与第三方的外包合约不完善、第三方的服务质量不高以及对第三方数据访问权限的不明确易导致企业关键数据的泄露,容易引发外部攻击。

(二)人员因素分析

人员是信息安全管理中最为活跃的因素,不同类别的人员对信息安全事故的影响不尽相同。(1)管理人员。高层管理者是企业资源投入的决策者,也是企业信息安全管理的核心,高层对信息安全的支持和重视不够是导致企业信息安全文化欠缺和员工信息安全意识淡漠的关键因素。中层管理者作为衔接企业高层和基层的桥梁,其对上级决策的执行力度直接决定了企业信息安全管理实施的效果。(2)技术人员。在企业中,技术人员可以保证企业信息系统的日常运营和维护。但大多数企业,尤其是中小企业缺乏信息技术人才和安全监察、审计人员。由于受人员及技术的限制,往往一个管理员既要负责系统的配置,又要负责系统的安全管理,安全设置和安全监督都是“一肩挑”。这种情况使得管理权限过于集中,一旦管理员的权限失控,极易导致重要信息泄露。(3)基层人员。目前,我国企业的基层员工普遍缺乏信息安全的教育、培训,对信息安全意识淡漠,每天都在以不安全的方式处理着企业的大量重要信息,如随意使用移动设备、上网不限制等,这些不安全的行为都对企业的信息系统构成了潜在的威胁。

(三)技术因素分析

信息安全技术是企业防范信息安全事故的基本因素,也是我国企业在信息安全管理中投入较多的一部分。具体而言,导致信息安全事故技术方面的因素可以分为两大类:(1)软件因素,包括软件设计缺陷或存在技术漏洞、杀毒软件不及时更新以及突发的软件故障等。(2)信息系统设计因素,包括信息系统设计时没有以风险评估为基础、业务流程描述错误或遗漏、前期测试不充分、数据访问权限设置不清晰、关键数据没有备份、信息资产安全等级不明确以及信息资产没有保护措施等因素。这些不安全的技术因素导致了信息安全漏洞存在的必然性和普遍性。在目前互联网普及的开放网络环境中,这些漏洞无疑会给外部攻击者留下可乘之机,导致信息安全事故的发生。

(四)设备因素分析

企业信息安全管理的设备主要包括中心机房、服务器、网络设备、线路等方面,这些是企业信息安全保障系统的基础。由于设备因素引起的信息安全事故包括硬件自身故障、保障设施故障、人为破坏事故、其他设备设施故障等四种,其致因因素可以归纳为三类:(1)物理安全方面,包括物理安全边界不明确、非授权的物理访问、设备或存储介质缺乏安全措施、设施设备的非授权使用或移动、硬件失效等。(2)保障设施方面,包括供电或空调中断、电气故障、电缆损坏等。(3)外界不可抗力,包括水灾、台风、地震等自然灾害和恐怖袭击、战争等外界不可抗力因素。这些因素往往会造成设施设备硬件的损坏,导致存储于设备上的数据受到干扰和破坏,容易引发企业业务的中断。

四、防范措施

针对上述造成信息安全事故的因素分析,可以从人员培训、制度完善以及硬件改进三个方面进行防范。具体而言:

(一)建立有效的“人力防火墙”,减少人为因素导致的信息安全事故

信息安全是企业每个员工都要面对的问题,通过建立“人力防火墙”能真正调动企业实现长治久安的内在动力。因此,必须加强信息安全宣传工作,增强所有员工对信息安全重要性的认识。通过增强管理人员对信息安全的重视,营造企业的安全文化氛围,提高企业员工的信息安全意识;通过对员工进行安全教育与培训,增强员工的安全技能;通过法律法规、安全政策、访问权限与惩戒措施来约束员工的行为,减少不安全行为的发生。最终在企业内部形成一种“信息安全,人人有责”的企业文化氛围,减少人为因素导致的信息安全事故。

(二)完善企业信息安全管理体系,减少由于环境、技术因素导致的信息安全事故

友情链接