中国信息安全论文合集12篇
中国信息安全论文篇1
征文内容如下:
1.计算机安全、下一代网络安全技术;
2.网络安全与网络管理、密码学、软件安全;
3.信息系统等级安全保护、重要信息系统安全;
4.云计算与云安全、物联网的安全;
5.移动互联网的安全信息安全保障体系、移动计算平台安全性研究;
6.信息内容安全、通信安全、网络攻防渗透测试技术;
7.可信计算;
8.关键基础设施安全;
9.系统与网络协议安全分析;
10.系统架构安全分析;
11.面向业务应用的整体安全保护方案;
12.信息安全漏洞态势研究;
13.新技术新应用信息安全态势研究;
14.Web应用安全;
15.计算机系统安全等级保护标准的实施与发展现状;
16.国内外电子认证服务相关政策与标准研究;
17.电子认证服务最新技术和产品;
18.电子认证服务应用创新;
19.电子认证服务行业研究和热点事件解析;
20.可靠电子签名与数据电文的认定程序/技术规范/应用规范/应用案例分析;
中国信息安全论文篇2
Abstract:The construction of archival safety system has become an essential part of the archival cause development strategy. Facing the shortage of systematic induce in archival safety system theory, this paper point out the source of archival security system theory from these aspects: the archival conservation and management theory, risk society theory, risk management theory, disaster management theory, information security theory and safety culture management theory.
Keywords:Archives safety system; Archives conservation; Disaster management; Risk management; Information security
1 引言
2010年以恚从档案安全体系建设的提出到《关于加强和改进新形势下档案工作的意见》《全国档案事业发展“十三五”规划纲要》《关于进一步加强档案安全工作的意见》等文件的出台说明:档案安全体系建设已成为档案事业发展战略中不可或缺的一部分,得到了党和国家的充分肯定,一个全方位、多角度、深层次的档案安全体系建设“顶层设计”已经形成。反思我国档案安全体系建设快速推进的深层次原因,离不开学界多年来对档案安全问题的不断研究。从最初对档案安全保管、档案安全保护的研究到如今从档案安全体系的层面展开对各类档案安全问题的系统研究,档案界人士充分汲取相关学科的思想源流,并将其融入档案安全问题的研究当中,取得了重大进展。时至今日,我国档案安全领域已经积累了大量的研究成果。但值得注意的是,当前研究当中缺乏对档案安全体系理论的系统归纳和科学提炼。因此,厘清档案安全体系研究的理论源泉,对于促进档案安全体系的深入研究,以及具有中国特色的档案安全理论体系的形成意义重大。
2 档案安全体系研究的主要理论阐释
2.1 档案保护与档案管理理论。形成于20世纪60年代的档案保护技术学是研究档案制成材料损坏规律及科学保护档案技术方法的一门学科,它的任务是最大限度地延长档案的寿命。档案安全的理论最初就体现在档案保护之中。几十年的发展历程中,档案保护研究逐渐从各个层面展开,尤其是在信息技术的推动下,学界不仅对档案保护技术学科赖以存在与发展的知识基础和理论框架进行了全面的总结和梳理,还将目光转移到新材料、新技术、新设备的研究当中。我国档案保护技术学所形成的核心思想和理论方法,是以纸质档案为核心构建起来的知识体系,例如档案修复技术方法、档案馆建筑与设备、档案害虫与微生物的防治等,它们在我国传统档案保护工作以及“国家重点档案抢救与保护”工作中扮演着重要的理论角色。然而,随着数字时代的到来,档案保护的范围逐渐拓展到电子文件(档案)的安全保护、备份与长期保存等领域,而这些领域同样也是档案安全体系建设中的核心内容之一。档案安全体系建设下,档案安全保护是档案安全体系建设的重要组成[1]。总之,在档案安全体系理论建构当中,档案保护领域的理论方法不可或缺。
档案管理理论是围绕档案收集、整理等工作流程形成的一整套理论、原则和方法。科学的档案管理对于维护档案的完整与安全意义重大。从这个角度看,档案安全体系理论的构建离不开档案管理理论的指导。首先,要确保电子文件的安全,除了探讨电子文件信息的安全保密技术与方法外,电子文件的归档、电子文件的长期保存同样是档案安全体系建设中需要关注的重大问题。一方面,电子邮件、政府网站、政务新媒体等新型“文件”的出现,如何确定归档范围,如何鉴定其价值、划定保管期限,如何完整捕获文件内容及其结构和元数据信息都是值得研究的问题。另一方面,电子文件的长期保存和维护,尤其是新型电子文件的长期保存策略方法也是需要涉足的重要问题。其次,从文件生命周期的角度来看,文件(电子文件)从形成到销毁或永久保存的整个周期都存在安全问题,因此,对文件整个生命周期进行安全管理,既要防止重要文件由于没有归档或归档信息不完整造成的丢失,也要防止保管当中的篡改、泄密,以及注意防火、防盗等,当然,还有利用过程的原件保护、信息保密、隐私保护甚至销毁阶段的安全等。
2.2 风险社会理论。德国著名的社会学家乌尔里希・贝克在1986年出版的《风险社会》一书中,首次提出了“风险社会”的理论命题。此后,英国学者斯科特・拉什、安东尼・吉登斯、沃特・阿赫特贝格等人对风险的概念、风险社会理论进行了进一步探讨。风险社会理论对风险、风险社会进行了完整描述,对如何规避和应对风险作了阐释,是开展风险管理的理论与思想源泉。风险社会理论提出之后,风险的经济学、心理学、政治学、文化学等多维度视角也为关注风险社会问题提供了多种理论分析路径。此外,风险社会背景下,风险社会理论已经对政府管理、企业管理、社会治理等领域产生显著影响,基于风险社会视角展开的安全问题研究层出不穷。
对于档案界而言,对档案安全问题的认识通常有两种视角:一是从档案的存在形态、固有特性以及档案保管的场所、方式、管理体制、运行机制等方面着手,力图从内部发现档案安全风险因素;二是从档案安全所面临的外在环境,包括各种自然灾害以及政治、经济和社会等方面着手,力图从外部分析档案安全风险因素。风险社会理论为理解和思考档案安全体系建设面临的诸多问题提供了一个重要的理论视角,为档案安全风险的防范、规避与管理提供重要思路。
总之,探索风险社会理论对档案安全问题研究的理论价值和现实意义,对认识现阶段我国面临的档案安全问题提供理论借鉴。从风险社会理论视角切入对档案安全体系建设进行透视和反思,剖析产生安全问题的深层原因,这对于档案界树立风险意识、培育风险文化有导向作用。此外,有利于档案机构明确风险社会中档案安全的责任担当,从宏观和微观的双重视角展开,树立“大安全观”,建立安全防范机制、制定安全应对策略与相应的政策引导和制度保障机制。
2.3 风险管理理论。风险具有不确定性与客观存在性,它由潜在的损失、损失的大小、潜在损失发生的不确定性三种因素构成。为了避免事件发生的不良后果,减少事件造成的各种损失,即降低风险成本,人们引用管理科学的原理和方法来规避风险,于是风险管理(risk management)便应运而生。
风险管理是一种有目的的管理活动,常被视为一种保险,一个缓解不确定性的缓冲区,最终目标是以最小的成本获取最大的安全保障。因此,在进行风险管理的时候,管理主体通常致力于通过风险的识别、评估等一系列流程矸治瞿谕獠看嬖诘姆缦找蛩兀并制定一系列方案、措施来应对风险,以达到风险管理的目标。目前,风险管理理论已经在企业管理、工程项目管理、医疗护理管理等领域得到了极其深入的应用与理论拓展,并逐步运用到政府管理、信息管理、IT项目管理、自然灾害管理等领域中。
2000年,王健等人翻译了戴维・比尔曼的著作《电子证据――当代机构文件管理战略》,比尔曼认为,在电子文件管理中应导入风险概念,进行风险管理。之后,电子文件的风险管理开始引起国内学者的关注,其中中国人民大学的“电子政务系统中文件管理风险防范与对策研究”课题组进行了系统研究,探索了电子文件管理风险及其产生原因[2][3]、电子文件风险管理的必要性和可行性[4]、电子文件的风险管理流程与方法等[5][6],并于2008年出版了专著《电子文件风险管理》。
总的来说,在文件与档案管理当中引入风险管理理论是十分必要且可行的[7],在数字时代,文件与档案管理活动中面临的风险越来越多,这些风险不仅出现在收集阶段,还出现在整理、利用等各个阶段,尤其是档案信息化(数字化)建设阶段[8]以及档案数字化项目外包当中[9]。在文件与档案管理中引入风险管理理论,已成为我国档案安全管理的重要思想。
2.4 灾害管理理论。灾害是由自然原因、人为原因或两者兼而有之的原因而形成的、发生于自然界的或突发或缓慢发生的能给人类造成各种损害的事件。灾害与防灾、减灾是人类生存与可持续发展所面临的永恒主题。因此,灾害管理(disaster management)逐渐成为应对灾害的重要活动,它通过对灾害的研究、预测、减灾措施实施和灾后恢复等活动,以预防灾害的发生或减少灾害造成的损失。现代灾害管理理论主要有危机管理理论、风险管理理论和GCSP 管理理论。危机管理理论侧重于灾害的防治,风险管理理论更侧重于灾害预防,GCSP管理理论则是综合危机管理和风险管理理论,侧重于灾害的管理方法。
我国自然灾害频繁,档案面临着各种潜在的威胁。国家档案局对自然灾害的防治非常重视,每年都要专门发文强调汛期档案安全,此外还出台了《档案馆防治灾害工作指南》,其目的就在于进一步强化档案工作者的灾难风险意识和防范意识,为各级档案馆和档案工作者在制定灾害管理政策和战略过程中提供必要指导,以便进一步增强档案馆抵御各种灾害的能力,确保档案的安全保管和妥善处置,把各种灾害对档案馆的影响减少到最低程度[10]。针对档案以及档案馆所面临的灾害威胁,灾害管理领域的理论方法(诸如灾害恢复、灾害风险评估、灾害损失预测与评估、灾害分类与等级划分、防灾减灾对策、灾害应急管理、灾害风险管理、灾害危机管理等)对档案安全管理有重要参考借鉴价值。因此,近些年来,有学者对档案灾害预警机制[11]、档案部门灾害事件应急准备能力[12]、档案灾害管理体系[13]、档案防灾减灾体系建设[14]、数字档案灾害[15]等问题进行了探索,还有学者对“档案灾害学”进行了深入研究[16][17]。
2.5 信息安全理论。信息安全是信息时代永恒的需求。可以说信息安全是信息的影子,哪里有信息哪里就存在信息安全问题。当前,信息科学技术空前繁荣,可危害信息安全的事件也不断发生,敌对势力的破坏、恶意软件的入侵、黑客攻击、利用计算机犯罪等,对信息安全构成了极大威胁,信息安全的形势是严峻的。信息安全已成为影响国家安全、社会稳定和经济发展的决定性因素之一。一般而言,信息安全主要包括设备安全、数据安全、内容安全和行为安全4个层面的内容,而信息安全学科就是研究信息获取、信息存储、信息传输和信息处理领域中如何保障这四个层面安全问题的一门新兴学科。在信息安全理论当中,技术被认为是信息安全保障最重要的手段,在发展过程中出现了数字水印技术、网络防火墙技术、入侵检测技术、访问控制技术、信息加密技术、可信计算技术、RFID技术等安全保护技术。
进入21世纪以来,档案信息安全受到了高度重视。学者们纷纷针对档案信息安全的因素以及档案信息安全管理存在的问题,从技术、管理以及保障体系等层面阐述应对策略。研究中不难发现,档案信息安全研究不能脱离信息安全领域的理论与技术方法的指导,信息安全领域的诸如网络安全机制、隐私保护、设备安全、信息系统安全、信息安全风险评估、信息安全技术、PKI安全认证体系、可信计算技术等理念、技术和方法对档案信息安全研究有重要参考价值。
2.6 安全文化与管理理论。安全问题是伴随人类的出现而产生的,防御灾害、事件和保障安全是人类生存和发展的基本需求之一。安全科学的研究对象就是与“天灾”和“人祸”相关的安全问题。“天灾”包括地震、台风、洪水、旱灾等。“人祸”就包括战争、环境破坏、恐怖活动、网络黑客事件、大面积停电、交通事故、公共安全等。安全科学的基本任务是揭示安全现象中的安全规律,安全科学原理就是安全规律的核心内容。这些原理当中:安全文化原理、安全伦理原理、安全教育原理、安全法律法规原理等社会科学方面的原理对于档案安全体系建设以及档案安全观的形成研究颇有参考价值。此外,从安全管理的层面来看,安全生产管理当中的一些经验教训、体制机制以及管理理念、管理策略方法等同样可以作为档案安全管理的参考。
3 结语
2010年,国家档案局提出建设档案安全体系,并迅速付诸实践。实践工作的快速推进,亟须理论的支撑。因此,有必要梳理已有的相关成果,分析相关的理论思想来源,提炼档案安全体系理论,为指导我国档案安全体系建设提供参考。本文系统梳理了档案安全问题研究当中所涉及的档案学、社会学、管理科学、灾害学、信息安全学以及安全科学等6个领域的7大主要理论思想,其中“档案保护理论”“档案管理理论”是档案安全体系研究的理论基础,其余5种理论则为档案安全体系相关问题的研究提供了理论借鉴和思想源流。然,在各学科理论融合发展的大背景下,后面5种学术理论当中,也存在部分交叉的情况。如灾害管理理论、安全管理理论当中同样借鉴了风险管理理论的思想。因此,笔者认为,针对档案安全问题的广泛性与特殊性,在档案安全体系研究当中各种理论思想之间并不是完全割裂开的,是可以相互借鉴吸收的,其共同目标是应对各类档案安全问题,指导档案安全体系建设。
参考文献:
[1]赵鹏.从档案安全体系建设的角度看档案保护[J].中国档案,2010(6):27.
[2]冯惠玲,王健.电子政务建设中的文件管理风险探析[J].中国行政管理, 2005(4):62~66.
[3]冯惠玲.论电子文件的风险管理[J].档案学通讯, 2005(3):8~11.
[4]徐拥军.电子文件风险管理的必要性与可行性[J]. 档案学通讯, 2005(6):51~55.
[5]张宁.电子文件风险管理:识别与应对[J].电子政务, 2010(6):24~30.
[6]张宁.思维的“逆行”――电子文件风险管理解析[J].中国档案, 2010(7):59~61.
[7]向立文,欧阳华.论加强档案风险管理的必要性与可行性[J].档案学通讯, 2015(4):68~71.
[8]陈国云.档案信息化建设的风险管理[J].北京档案,2008(2):42~43.
[9]黄丽华.引进风险管理方法构建安全管理策略――档案数字化外包潜在风险分析及安全管理措施研究[N].中国档案报,2015-11-23(03).
[10]王良城. 自然灾害对档案的侵袭与应对策略[J]. 北京档案,2010(7):72.
[11]于海燕.档案灾害预警机制研究[J].档案学通讯, 2011(4):81-84.
[12]吴加琪,周林兴.档案部门灾害事件应急准备能力研究[J].浙江档案, 2012(6):16~18.
[13]毛惠芳.预警应急抢救――档案灾害管理体系的构建[D].合肥:安徽大学, 2010.
[14]张新.灾害后的行动与反思――从北川档案抢救看档案防灾减灾体系建设[J].四川档案,2010(3):21~23.
[15]吴晓红,郭莉珠.数字档案灾害初探[J].档案学通讯,2005(3):80~83.
中国信息安全论文篇3
0引言
以往国家安全学理论中的信息安全,包括2004年出版的我国第一部《国家安全学》研究的信息安全章节,都没有处理好其与信息技术领域信息安全的关系,没有认识到它们之间的不同[1]。其实,国家安全学论域中的信息安全,应该不同于信息技术专业领域的信息安全。信息技术专业领域的信息安全是狭义信息安全,是存在和流动于当代信息技术创生载体上信息的安全。国家安全学论域中的信息安全,是广义信息安全,既包括信息技术专业领域的信息安全,也包括信息技术专业领域之外的非常广泛的信息安全,如古代已有的纸墨载体上的文字信息安全,以及近代化学技术创生的胶片载体上的图文影像信息安全。从本质讲,信息就是脱离客观事物母体或由主观精神创生的存在于一定载体上的逻辑,其中既包括存在于各种载体上的现实世界的客观逻辑,也包括存在于各种载体上的人类精神创造出来的设计逻辑(即虚拟世界逻辑)[2]。因此,广义信息安全就是脱离客观事物母体或由主观精神创生的存在于一定载体上的信息不受威胁和侵害的客观状态。国家安全学论域中的这种总体信息安全,是一个国家不同来源、不同内容、不同领域、不同载体的所有信息的安全,既包括平常人们特别关注的信息内容安全、信息载体安全、信息流动安全(网络安全),也包括与此相关但又超越其范围的信息母体安全、信息处理安全、信息工具安全、信息应用安全等多方面内容。按照信息的生成逻辑,本文从信息母体安全谈起。
1信息母体安全
信息母体即信息源,是能够从中获得相关信息的客观事物。当前人们经常说的地理信息,既指通过地理测绘形成的关于地形地貌等方面的图文信息,也指客观存在的各种现实地理特征,而且常常指向客观的地理特征。但严格来说,客观存在的地理特征,并不是信息,而是能够让人们采集到地理信息的信息母体或信息源。正是因为通过观察、测绘、计算等认知活动,人们能从客观地理特征中采集到脱离这种信息母体的真正的地理信息,所以为了保护地理信息秘密不被不该知晓的人知晓,特别是防止外国组织和个人从中获得或窃得相关地理信息,国家通常会禁止外国组织和个人接触和进入本国的重要地理区域,禁止他们在重要地理区域进行地理测绘。只有这样,才能防止外国组织和个人通过对信息母体即信息源的实际测量获得真正和真实的地理信息。
为了保护信息安全而禁止他人进入相关区域进行观察、测绘、拍照的,并不只是重要的自然地理特征,同时还有经济、政治、军事方面的场所、建筑、设备以及相关活动等等。这些客观存在的场所、建筑、设备、活动,同样都是客观事物而非信息,但也是能够形成相关经济信息、政治信息、军事信息的信息母体或信息源。人们在深山老林看到的山水树木并不是信息,而是实物,但他们又不可能搬走山水树木等实物。靠近和进入军事基地的外人看到的同样不是信息,而是作为实物存在的各种武器装备和军事建筑,而他们也难以开走那里的军舰、飞机、坦克和导弹,更不可能把相关军事活动拿去重演一遍。但是,人可以通过观察这些实物与过程获得相应的信息,拿走相应的信息。海军港口和军舰、空军机场和飞机、陆军基地和设备、火箭军阵地和导弹,以及军舰航行、飞机起落、军车行进、导弹发射、军事训练和演习等等,都是他人能够从中获取国家安全重要信息的客观存在、客观事物,是关系到国家安全的重要信息母体、信息源。禁止无关人员特别是外国人进入相应区域进行观察、绘图、拍照和测量,就是防止外人从这些事关国家安全的信息母体或信息源中获取相关信息和秘密。
但是,信息母体并非只有客观事物。在客观事物之外,能够形成信息的母体还有人的大脑和电脑。大脑和电脑能够形成的信息有两种,一种是基于客观事物而反映客观事物形成的信息,一种是没有相应的客观事物而创造出来的新信息。前一种情况下,客观事物是信息的母体,人的大脑和电脑是由此生成信息的加工器。后一种情况下,信息的母体就是人脑或电脑,人脑或电脑就是最后的信息源。信息母体安全,一般情况下特指作为信息来源的客观事物,而不包括能够创造没有客观原型的新信息的人脑和电脑。但是在某些特定情况下,人脑和电脑也会作为信息源受到特殊保护,从而成为信息母体安全或信息源安全的一部分。
在信息技术领域,信息安全一般不包括作为信息源的客观事物的安全及人脑电脑的安全,但在国家安全领域和国家安全学论域中,信息安全则必须包括所有信息源的安全,即不同类型信息母体的安全。
2信息内容安全
信息安全虽然包括多方面问题,但最核心最基本的是信息内容的安全,即信息本身的安全。信息内容就是信息本身的含义、所指,既包括主观性的人类思想、观念和设计,也包括客观性的自然、社会和人的各种表征。信息内容安全就是信息本身不受威胁和侵害而完整存在并有效运行的客观状态。危害信息内容安全主要有两种情况,一是信息内容被泄露,二是信息内容受到破坏[3]。从不同角度出发,可以对信息内容和信息内容安全进行不同划分。例如这里从秘密与公开、社会与自然两个角度来划分和讨论信息内容和信息内容安全。
2.1秘密信息安全与公开信息安全信息本身并无公开与秘密之别,只是因为人类认识局限一时不能获悉某些自然信息,于是把其称为自然的秘密,同时也因为社会利益和安全需要的不同及冲突,人们规定某些信息只能存在于一定范围内,只能被特定的某些人知悉,从而使这些信息成为秘密。这就有了秘密信息与公开信息的区别。古往今来国家安全实践中,虽然秘密信息及其安全问题更为重要,更引人注目,更为专家学者所重视,从而成了信息安全研究和国家安全研究的主要内容,但是国家安全实践不仅需要保障秘密信息的安全,也需要保障公开信息的安全;国家安全学理论在重视和研究秘密信息安全的同时,也要研究公开信息及其安全问题。
秘密信息即通常所说的秘密,就是不为人知的或按规定只能在一定范围内存在且只能被特定人员知悉的信息。在当代信息技术出现之前,秘密信息早已存在。不为人知的自然信息是秘密信息,但对安全和国家安全更重要的并不是自然秘密信息,而是各种社会秘密信息。
传统国家安全理论与实践中的秘密,一般不包括自然秘密信息,而是各种对国家安全具有重要意义的社会秘密信息。早在《孙子兵法》中,就有关于秘密信息和保密要求的论述。在古代各国历史上,存在着大量关于国家秘密特别是军事秘密的理论与实践。当代世界各国,对于秘密和国家秘密的规定更为详细。我国现行《保守国家秘密法》规定:“国家秘密是关系国家安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事项。”按照《保密法》规定,能够确定为国家秘密的是那些涉及国家安全和利益且泄露后可能损害国家在政治、经济、国防、外交等领域的安全和利益的事项,具体包括:国家事务重大决策中的秘密事项;国防建设和武装力量活动中的秘密事项;外交和外事活动中的秘密事项以及对外承担保密义务的秘密事项;国民经济和社会发展中的秘密事项;科学技术中的秘密事项;维护国家安全活动和追查刑事犯罪中的秘密事项;经国家保密行政管理部门确定的其他秘密事项。此外,“政党的秘密事项中符合前款规定的,属于国家秘密”。
秘密信息在当代信息技术未出现之前就早已存在,在当代信息技术充分发展情况下依然存在,而且既可脱离当代信息技术而存在,也可依附当代信息技术而存在。在当代信息技术出现之前就存在的秘密信息,以及如今脱离当代信息技术而存在的秘密信息,主要指那些存在于传统纸墨媒介上的秘密信息,以及存在于人的头脑中并以口语传递的秘密信息。依附当代信息技术而存在的秘密信息,是指存在并传递于当代信息技术创生的计算机、磁盘、光盘、网络、服务器等各种电磁载体上的秘密信息。在信息技术不断发展的今天,国家秘密既有通过纸墨、人脑、口语等传统媒介保存和传递的,也有大量利用计算机、磁盘、光盘、网络、服务器等非传统媒介保存和传递的。
在国家安全理论与实践中,最重要的信息安全是秘密信息的安全。秘密信息安全就是不为人知的或按规定只能在一定范围内存在且只能被特定人员知悉的信息的不被泄露、不被窃取、不被损坏、不受威胁的客观状态。所谓“不为人知”的信息,是指人类还不知晓的自然信息。所谓“按规定只能在一定范围内存在且只能被特定人员知悉的信息”,主要是各种需要保密的社会信息,也包括某些人已经知晓但需要保密的自然信息(如某些人已经获得但需要保密的自然科学发现和发明)。秘密信息的安全,最主要的是它不会被不该知悉的人知悉,既不会被泄露给不该知悉的人,也不会被不该知悉的人窃取。但是,秘密信息安全还包括它们不被损坏、不受威胁。秘密信息不被不该知悉的人知悉,其目的是保证秘密信息不会为敌人或对手带来额外利益,也不会给自己带来不必要的损失和额外的不利,而会给自己带来相应的好处和收益。秘密信息的设定和保护,就是要在保证不该知悉的人不会知悉的同时,保证己方能掌握和利用秘密信息获得相应好处和收益。如果秘密信息因为各种原因被损坏,那么它就不能被自己掌握和利用,不能给自己带来相应的好处和收益。因此,秘密信息因为损坏而不能为己所用或不能够充分为己所用,也是秘密信息不安全的一种表现;秘密信息不被损坏而能够充分为己所用,则是另一种形态的秘密信息安全。由于安全不仅要免除现实的损害,而且本质上还要免除潜在的损害,也就是要免除损害的可能性,即免除损害的威胁,并且秘密信息的安全不仅要免除被泄露和窃取,也要免除被泄露和窃取的可能性,即免除被泄露和窃取的威胁,所以定义秘密信息安全时必须把“不受威胁”放在其中。秘密信息的不受威胁,就是秘密信息免除被泄露、被窃取、被损坏的可能性。
信息内容有的属于秘密,但更多是公开的。在人类社会生活和国家安全实践中,公开信息要比秘密信息多得多。公开信息虽然没有泄露不泄露的问题,但依然存在着特定形式的是否被窃取的问题,特别是存在着是否损坏及其存在和传递是否受到威胁的问题。这就是公开信息的安全问题。
公开信息安全就是被或可以被社会公众普遍知悉的信息内容的完整存在不受损害和威胁、所有权或使用权不被窃用的客观状态。
与秘密信息安全包括信息内容不被损害、不受威胁一样,公开信息安全也包括其内容不被损害、不受威胁,即信息内容的完整存在及其完整存在的不受威胁。古代图书虽然只能被少数人阅读,但其内容并不是秘密,而是公开信息。以纸墨为载体的公开信息的安全,无论在古代还是在当前,多是通过制作复本来保障。由于这些信息的内容不是秘密,因而复本可以尽量多地制作,主要的制约因素在古代可能就是经济成本,今天可能还有环境成本。与古代不同的是,当代信息技术的发展,使公开信息取得了许多更有利于受众获取与阅读的载体,即各种各样的电磁载体。当代信息技术支撑下的公开信息安全,已成为信息技术发展需要解决的一个重要问题。为了保障信息内容的安全,包括秘密和公开两方面信息内容的安全,当代信息技术把信息完整性作为信息安全的重要指征,并一直在努力探索能够更加有效地保障信息内容完整的技术手段。
公开信息虽然可以被公众普遍知悉,但并不是所有的公开信息都可以被公众无条件随意使用,更不能被任何人随意置于自己的名下。人类社会生活中的许多公开信息,是过去和今天不同人的各种发现、发明、设计、创造,其所有权也只能归相应的信息生产者,而不能被其他人冒领。古代社会虽然没有明确的知识产权概念、理论和法律,但也有不同形式和一定程度的知识产权意识。如果别人的一首诗被他人冒领,那么事情败露后这个人一定会受到大家的谴责和鄙视。在知识产权理论和法律日益成熟的当今世界,既可能通过定密和保密来保障知识信息安全,也可以通过法律在知识信息公开的情况下保护公开的知识信息安全。
2.2社会信息安全与自然信息安全在国家安全领域,长期以来具有重要地位和作用的多是军事、政治、经济等方面的社会信息安全,而不是甚至不包括自然信息及其安全问题。但是随着科学技术的发展,自然信息对人类社会和国家安全的重要性日益突出,从而引起了国家安全实际工作部门和理论研究者的关注和重视。
社会信息是源于并指向社会生活领域的各种信息。社会信息安全就是各种源于并指向社会生活的信息的不受侵害与威胁。根据社会结构和国家安全体系结构,社会信息安全包括国民信息安全、经济信息安全、政治信息安全、军事信息安全、主权信息安全、文化信息安全、科技信息安全等等,也包括关于宗教、民族、恐怖主义、刑事犯罪、民间社会、社会组织、国际关系等等方面信息的安全。在传统国家安全实践和传统国家安全思想中,社会信息安全的重点是军事信息安全、政治信息安全、主权信息安全、国际与外交信息安全等,而在非传统国家安全实践和非传统国家安全理论中,国民、经济、文化、科技等方面的信息安全,以及有关宗教、民族、恐怖主义、刑事犯罪、民间社会、社会组织等方面信息的安全,都变得日益重要,也日益成为社会信息安全的重要内容。
纸张和书籍在记录历史文化和文明的同时,当前依然是记录各种图文信息的重要载体。日常生活、人际交往、经济金融、文化教育等方面的信息,今天依然在用纸张记录;军事政治、外交外事、情报侦察、保密反谍等方面的信息,今天同样也还在用纸张记录。有时为了保密,人们还会放弃计算机、磁盘、光盘等载体,选用传统纸张载体记录相关信息。这时,记有国家秘密的纸张,就成了国家秘密的载体,它们的安全就成了保守国家秘密的重要一环,成了国家安全的重要一环。
自然信息是源于并指向各种自然存在和自然现象的信息。自然信息安全就是各种源于并指向自然存在和自然现象的信息的不受侵害与威胁。如同自然界在人类社会出现之前就早已存在一样,自然信息在社会和社会信息出现之前也早已存在了。人类社会出现后,自然信息与自然存在一样开始被人们认识和利用,在人类生活中发挥着不同程度的作用。古人可以根据气象变化猜测或预知何时下雨,从而使某些气象成为下雨的信息。国家诞生之后,自然信息在国家安全实践中发挥着重要作用,在国家安全理论中也占有一席之地。战争中将帅和士兵对山川地理、气候变化的认识,就是对军事行动具有重要意义的自然信息。《孙子兵法》不仅要求将帅知敌之情,知己之情,而且要求将帅要掌握和利用地理天文等方面的自然信息。孙武认为,要在战争中取得胜利,必须重视五个方面的问题,“一曰道,二曰天,三曰地,四曰将、五曰法。”其中的“道”“将”与“法”是社会问题,“天”和“地”则是自然问题,而且具体来说就是“天气”和“地理”两个方面的自然信息。“天者,阴阳,寒暑、时制也;地者,远近、险易、广狭、死生也。”如果说与某些国家安全基本构成要素相关的军事信息安全、政治信息安全、经济信息安全等等都是国家社会信息安全的话,那么与另外一些国家安全基本构成要素相关的国域信息安全(包括国家地理信息安全)、自然资源信息安全、生态环境信息安全等等,则基本上可以归为国家自然信息安全。
在科学技术进步使越来越多的自然秘密被人类不断揭开的情况下,国家特有自然存在及其信息的经济价值和安全价值不断被揭示出来,变得越来越突出和重要,它们的安全也成为本国国家安全特别是国家信息安全的重要内容。动植物和人的基因信息,就是在当代基因科技不断进步的情况下,日益成为国家信息安全特别是国家自然信息安全重要内容的。在国家安全领域,基因既是一种特殊的自然资源,也是一种特殊的信息资源。
3信息载体安全
信息内容即信息本身,总是存在于一定载体上的。离开载体,信息既无法生成,也无处存在,已有信息还会灭失。因此,就象信息和信息内容离不开信息载体一样,信息安全亦即信息内容安全也离不开信息载体的安全,而只能建立在信息载体安全基础之上。
信息载体多种多样,但大的方面可以分为自然载体和人工技术载体两种。
信息的自然载体就是非人力所为而自然存在的信息载体。按照从低级到高级的序列,自然载体主要有:a.基于事物的普遍联系,一种事物往往能够在不同形式不同程度上表征其他事物,而表征其他事物的事物就是一种信息,如火表征了热,因而火既是热的信息,火也是热的信息载体;b.能够记录和保存一定信息的各种物理的、化学的无机自然物,如能够留下物体撞击印痕的石头、泥土等;c.能够生成和保存自体遗传信息的动植物基因;d.能够既反映和记录自身生存状态又反映和记录外部环境的动物神经系统;e.既能反映和记录自身状态和外部环境,又能够进一步生产和创造全新信息的人脑;f.人类自然语言。
信息安全专业讨论信息安全时,涉及的信息载体主要是当代信息技术创生的各种电磁载体及其安全,如计算机、磁盘、光盘、线路、电磁波等等的安全,基本上不涉及非人工的自然载体和自然载体安全。但是在国家安全领域,特别是对国家安全学理论来说,仅仅讨论当代信息技术载体创生的人工信息载体及其安全是不够的,还必须讨论非人工的自然载体及其安全问题。这是因为,不仅生成或存在于人工载体上的信息及其安全对国家安全具有重要意义,而且存在于各种各样自然载体上的信息及其安全对国家安全也具有重要意义。例如,存在于化石载体上的古生物信息和古人类信息,是大自然给人类留下的认识自然史和人类史的富贵资料,具有重要的科学研究价值,同时也是化石来源国独特的信息财富,因而许多国家都在禁止出口某些载有自然界和人类社会古老信息的化石。再如,自然界的动植物基因信息和人的基因信息,对国家安全和人类安全具有不同方面的重大意义,特别是在基因技术不断进步的情况下,基因信息甚至可能被用来开发基因武器,从而成为一个全新而重大的国家安全问题,这就使各国开始注意保护自己特有的动植物基因和人的基因,禁止载有动植物遗传信息和特殊人群遗传信息的基因及其载体出口。为了防止重要物种特别是各种粮食物种的基因信息失传,防止物种灭绝,许多国家还建立了不同形式的种子库,以保存载有生物遗传信息和基因的种子。
信息的人工技术载体既包括当代信息技术创生的计算机内存条、存储器、磁盘、光盘等信息电磁载体,也包括已有数千年历史的文字和记录文字的甲骨、兽角、竹简、帛、锦、羊皮、牛皮、纸草、纸张等等。人的思想是信息,是信息内容,语言和文字都是记录和传递思想信息的载体和工具。但语言和文字都是没有具体的物理形态而无法直接存在的信息载体,它们必须存在于其他物质形态的载体上。如果说人的大脑是语言存在的内在生物载体,文字是语言存在的非物质形态载体,那么甲骨、兽角、竹简、帛、锦、羊皮、牛皮、纸草、纸张等等,就是记录文字从而也就记录了语言和思想的人工物质载体。因为这些人工物质载体是需要一定技术才能制造出来的,因而它们都是记录信息的人工技术载体。今天的人们要认识、欣赏和研究早已逝去的本族、本国和人类的文明和文化,要借此满足自己寻根的愿望和精神寄托,可以去观看远古遗留下来的食物、衣物、工具、器皿、房屋、道路、城垣等等考古发现,更需要阅读最初记录在甲骨、竹简、羊皮、纸草和纸张上的各种文字。历史文物和遗址的安全,是国家文化安全的内容;刻录、书写、印刷有不同文字的竹简、纸张和书籍等图文载体的安全,也是国家文化安全的内容,而且还常常超越文化安全而具有更广泛的国家安全价值。
如同社会信息有秘密与公开之别一样,自然信息也有秘密与公开之别。除了因为认识局限一时无法知悉的自然秘密外,包括国家在内的不同集团还因为它们之间利益的不同、矛盾和冲突,人为设定了某些自然信息的知情范围,并且控制着某些自然信息不让他人知悉,以便在利益和安全上获得更多的好处和更大的比较优势。一国特有自然信息及其安全对国家安全的重要价值,在传统国家安全实践和理论已有充分的显示和验证。作为自然信息重要内容的国家地理信息,从古至今都是事关国家安全的重要自然信息。近代以来,日本政府和民间广泛搜集中国境内的各种地理信息,绘制精密的军事地图,在日本侵华战争中发挥了重要作用,给中国抗日战争带来了巨大的负面影响,严重损害了中国的国家安全。为此,新中国成立后不断强化国家地理信息管理,努力维护国家地理信息安全。1992年12月28日,第七届全国人民代表大会常务委员会第29次会议审议通过了新中国第一部《测绘法》。2002年和2017年,全国人大常委会曾两次通过《测绘法》修订。2017年4月27日修订通过、2017年7月1日起施行的《测绘法》第1条,明确把“维护国家地理信息安全”作为制定该法的目的之一。这部《测绘法》规定:“外国的组织或者个人在中华人民共和国领域和中华人民共和国管辖的其他海域从事测绘活动,应当经国务院测绘地理信息主管部门会同军队测绘部门批准,并遵守中华人民共和国有关法律、行政法规的规定。”“外国的组织或者个人在中华人民共和国领域从事测绘活动,应当与中华人民共和国有关部门或者单位合作进行,并不得涉及国家秘密和危害国家安全。”“外国的组织或者个人未经批准,或者未与中华人民共和国有关部门、单位合作,擅自从事测绘活动的,责令停止违法行为,没收违法所得、测绘成果和测绘工具,并处十万元以上五十万元以下的罚款;情节严重的,并处五十万元以上一百万元以下的罚款,限期出境或者驱逐出境;构成犯罪的,依法追究刑事责任。”这部法律还规定:“县级以上人民政府测绘地理信息主管部门应当会同本级人民政府其他有关部门建立地理信息安全管理制度和技术防控体系,并加强对地理信息安全的监督管理。”
纸张载体在有利保密的同时,存在着不利于信息处理和处理效率低下的问题。因此,除非特殊需要,当前人们无论是处理日常家务、公司业务,还是处理国家在经济、金融、科技、文化、教育、政治、外交、军事、情报、安全等方面的各种事务,都广泛使用当代信息技术创生的计算机和磁盘、光盘、网络等电磁载体。但是自从这些载体被用于记录信息和处理信息以来,各种安全问题就没有间断过,其中也包括电磁载体的安全问题。水、火、外力、强磁、强电会破坏电磁载体,人为偷窃和破坏也会损害电磁载体,利用信息技术同样可以损害电磁载体的安全。为此,信息技术条件下电磁载体安全始终是信息安全的重要内容。
4信息处理安全
信息处理是信息从资源走向应用的中间环节。虽然许多信息不经处理就可使用,但也有许多信息只有经过处理才能使用或才能更好使用。在当代信息技术创生的计算机通用程序处理着大量记录和运行于电磁载体上的数字化信息之前,人类早就利用不同的语言文字和书写工具对各种信息进行编写处理,而且在生物技术日益发达的今天,人类也直接编辑处理动植物和人类的基因信息。
但是,信息处理过程也有安全问题。无论是通过生物技术对动植物及人类基因等自然信息进行重组,还是利用语言文字和书写工具对文字和图形等前现代的人工信息进行编写,以及计算机程序对数字化人工信息的快速运算,都可能因为各种原因造成信息的失真、残缺、灭失,损害信息的真实性、完整性和可用性。因此,从人工编辑到计算机运算,信息处理的安全都是信息安全的应有内容。
古人在编辑文献时,有时会隐匿、销毁、增删、修改文献信息,从而在保护图文信息存续的同时,又造成了许多文献信息不同程度和不同形式的缺损和不安全。例如,清朝乾隆年间编纂《四库全书》时,就对搜集到的文献作了许多删减、修改,甚至还销毁某些图书,或“抽毁”书籍中“不全时宜”的章节。这种因统治者旨意而造成的文献编辑过程中的信息不安全,是古代社会经常出现的信息处理不安全。
图文信息在人工处理时的失真和不安全,既可能出现在古人利用纸笔对文献进行编辑的过程中,也可能出现在当今人们利用计算机软件对文献进行编辑的过程中。在不同历史时期和不同情况下,人们根据自己和有关方面的需要,会利用笔和纸篡改甚至销毁纸墨载体的文献信息,也会利用计算机编辑功能篡改和销毁电磁载体的文献信息。
但是,计算机并非只能编辑加工图文信息,而是具有更广泛更强大的功能,可以用于处理日常生活中的经济金融、军事政治、科学技术、文化教育各方面各种形式的信息。作为信息处理工具的计算机,在保障信息处理安全中日益重要。当代电磁信息处理的安全与不安全,越来越取决于计算机工具的安全。国家安全学理论虽然不从专业技术方面深入研究计算机安全问题,但也需要涉及以计算机为主的信息工具安全问题。
5信息工具安全
在计算机诞生之前,人们早已开始运用某些工具帮助人脑处理各种信息。纸墨强化了人脑的记忆功能,是记录信息的古老工具。算筹、算盘、机械计算器强化了人脑的计算功能,是帮助人计算数量信息的古老工具。然而电子计算机诞生以后,以往信息处理工具在信息处理中的地位和作用便日益下降。当代信息技术创生的电子计算机,特别是发展到今天的大型电子计算机,是以往任何信息处理工具都无法比拟的。大型电子计算机可以替代以往任何一种信息处理工具,快速处理海量复杂信息。
但是,电子计算机在迅速发展的同时,其安全问题也越来越突出,其中既包括硬件安全,也包括软件安全。这时人们回头再看传统信息处理工具,发现它们与电子计算器一样,也包括硬件和软件两部分。笔、墨、算盘、机械计算器部件等等都是传统信息处理工具的硬件,书写规范、珠算口诀、机械计算器运算规则等等则是传统信息处理工具的软件。不仅如此,传统信息处理工具的硬件有安全问题,天灾和人祸都可能损坏笔、纸、墨、算盘、机械计算器部件等传统信息工具的硬件;传统信息工具运行的软件也有安全问题,天灾人祸特别是人祸,也经常会损害和威胁这些信息工具软件的安全。虽然这些远古信息处理工具的安全问题并不突出,但毕竟已经存在。与此不同,计算机处理的信息量巨大庞杂,能否顺利处理好这些数据,不仅是信息安全问题,而且是影响十分突出的重大信息安全问题。电子计算机硬件出了问题会影响计算机的运转,电子计算机软件出了问题同样也影响计算机的正常运行,最终都会影响信息处理安全和信息本身安全。因此,可以把信息处理工具分为硬件和软件两个方面来讨论信息工具安全问题。
从硬件方面看,无论是笔、墨、算盘、机械计算器等传统信息工具的硬件,还是电子计算机及其内外各种部件组成的机械性和电子性硬件,都会因水浸、火烧、电击、锤打等等而损坏、失灵、灭失,从而无法正常处理信息,有时还会在无人知晓的情况下改变了原始信息,最终破坏信息本身的安全。
从软件方面看,支撑笔、墨、算盘、机械计算器等传统信息处理工具有效运行的书写规范、计算口诀、运算规则等,可以被视为传统信息处理中的软件。操作者如果错记、漏记、遗忘了这些规范、口诀和规则,或不严格遵循这些规范、口诀和规则,就会在信息处理过程中发生各种错误,就不能安全有效地使用信息工具,也会在不同程度上危害信息本身的安全。对于电子计算机来说,人工操作虽然必不可少,但其在整个信息处理中所占比例一直在不断下降。当代信息技术条件下的信息处理,主要依靠电子计算机内在程序来完成。人类根据数理逻辑原理和人工语言编写的各种程序,以及计算机在人工程序控制下自动编写的各种程序,构成了电子计算机的软件。电子计算机要高效、准确地处理各种信息,不仅需要硬件的安全,也需要软件的安全。随着被处理信息的日益庞杂和运算功能的不断增强,电子计算机的软件类型、软件数量、软件体量等都在不断增加,软件安全问题和解决软件安全问题所耗费的人力和财力也在不断攀升。这就使以各种程序安全为主要内容的软件安全变得越来越重要。
为此,在信息科学技术领域,硬件安全和软件安全早已成为最基本的信息安全研究领域。国家安全学由此与信息科技在安全问题上相对接,但并不需要研究具体的软硬件安全技术,也不研究传统信息工具的具体安全问题。这正是国家安全学与其他安全学科的连接点,也是国家安全学与其他安全科学的分界线。
6信息流动安全
信息流动是信息通过一定渠道和途径在不同范围内、不同宿主间的运动,主要包括指向特定对象的单向信息传送、指向不特定对象的单向信息传播,以及多宿主多主体间的多向信息传递。信息流动安全就是信息能够按照信息发出者或信息接受者的意愿、安排和预期,准时、准确、完整地从一方到达他方。
信息流动安全虽然只有在互联网时代才成为突出的信息安全问题,但在前互联网时代,甚至在前信息时代,信息流动、信息网络及其安全问题就已存在了。远古时期的情报活动,就是与军事行动及国家安全具有直接关系的信息流动、信息传递。在政治活动和军事战争中快速安全地传递情报,对以朝廷安全为主要形式的古代国家安全非常重要。情报传递安全,就是从古至今都存在的国家信息流动安全问题,是古代信息安全的一种重要形式。
后来,国家还建立了一种由驿站、驿道、驿吏、驿人构成的官方信息传递网。这种3000多年前就已存在的“驿网”,是中国古代重要的信息网络,它既能快速安全地把朝廷的旨意送达地方或战争前线,也能快速安全地把地方和战争前线的情况呈报朝廷,在经济民生、政治军事和国家安全等方面一直发挥着十分重要的作用。古代“驿网”的安全运行,是对当时的国家安全十分重要的一种信息流动安全。
19世纪末期的电磁技术发展,改变了古老的信息传递方式。人类可以不用人马脚力而用电磁来传递各种信息。先是有线电话的发明,使人们可以通过电线互通信息。后有无线通讯技术的广泛运用,使信息传递能够在更远距离上快速实现,甚至快速达到全球任何地域。有线电话很快催生了有线广播,无线通讯也很快催生了无线广播,后来还出现了有线的或无线的音像信息传送工具——电视。于是,人们不仅可以通过电磁与特定对象远距离即时通话,而且还可以通过电磁在更大范围对不特定人群进行广播。
但是,通过电磁的信息流动,无论是在特定对象之间的通讯,还是对不特定人群的广播,安全问题比古代驿邮都更加突出。有线通讯可以被搭线窃听,无线通讯同样可以通过无线电技术进行窃听;有线广播可以通过剪断电线来破坏,无线广播也可以通过电磁干扰来破坏。至于通过包括军事行动在内的各种强力手段夺取电讯设备,占领电讯基站和广播电台,中止或改变原来的通讯与广播,都是对信息流动安全更严重的破坏。为了防止诸如此类的安全事故发生,人们发明并不断改进无线电密码技术,以保证通讯秘密不被窃取;对通讯广播线路和通讯广播基站采取各种保密保卫措施,严防敌对力量的破坏和占领。
20世纪前半叶,人类开发了以电子计算机为主体的当代信息技术,发明了在计算机之间进行信息传递的互联网。互联网是网线、电波以及被网线和电波连接起来的计算机、存储器、服务器和终端机等等组成的全球信息流动体系。在信息技术迅速发展的今天,互联网成为人们传递、传播和接受信息的主要渠道。从文字到图像,从音频到视频,从个人履历到政府文件,从公开信息到秘密情报,互联网上流动的信息每天都是天文数字。但是,互联网在给信息流动带来从未有过的便利的同时,也带来了许多前所未有的安全问题。传递信息的网络不安全,已经成为信息不安全的主要形式。如果说过去人们还在泛泛地谈论信息安全,那么人们今天说的更多的是网络安全[4]。在2014年4月15日提出总体国家安全观时,讲到了国家安全的12个基本构成要素,其中之一是信息安全。后来,信息安全虽然不断被提起,但他用的更多的一个概念已经不是“信息安全”而是“网络安全”了。在国家安全领域,特别强调,没有网络安全就没有国家安全。
网络安全是当代信息流动安全的基本内容,也是当代信息流动安全的重要保障。但是在后互联网时代,网络已经不仅仅是由网线、电波、计算机、存储器、服务器和终端机组成的信息流动体系和所谓的虚拟空间,而是已经与现实事物连为一体、通过电磁信息监视和控制现实世界的信息与事物之间的互动体系。这种超越单纯的信息流动、走向远程监视和控制各种事物运行的新型网络,已经不是传统的“互联网”,而是“物联网”“赛博网”(Cyber)。“物联网”和“赛博网”的安全,依然要以传统信息安全和传统网络安全为基础,但却已经超出了传统网络安全和信息安全的范围,而进入信息应用安全领域了[5]。
7信息应用安全
网络安全是当代信息技术条件下最主要的信息流动安全问题,但网络不仅关系到信息流动和信息本身的安全,而且越来越关系到接入网络的任何一种事物的安全。在信息技术广泛渗透并日益紧密地与人类生活各个领域联系在一起的今天,无论是个人驾驶汽车、进行体检、呼叫的士、器械健身,还是企业加工产品、销售服务、上市融资、招标投标,以及政府下发文件、举办会议、听证咨询、征税征粮、调控市场、整顿金融、对外交往、发兵开战,都在不断被信息化、网络化。当网络应用到社会生活、企业经营、政府工作等各个领域时,网络信息控制的事物必须能够安全存在和安全运行,这就要求网络和流动于网络的信息必须是安全的。如果说流动于网络的信息和网络的安全还仅仅是信息安全和网络安全问题,那么通过网络和信息控制的各种事物的安全,就是现实世界的安全问题了,是信息应用于现实世界的安全问题。
在信息技术越来越广泛地运用到并控制了烹饪、交通、会议、科研、军演、战争及家电、汽车、飞机、坦克、军舰、卫星等现实事物的时候,现实世界的安全便越来越依赖并取决于信息和网络的安全。安全是网络信息用于控制现实事物的最基本的前提。没有安全,网络信息就不能用于控制现实事物。当代信息技术条件下的信息应用安全,使信息技术远远超越了虚拟世界,直接关系到由物质、能量和信息构成的现实世界的安全,关系到一个国家的现实军事、政治、经济、文化、科学技术、生态环境等等方面的安全,关系到现实世界中的国家安全。针对这种情况,信息技术专家创造了“物联网”“赛博网”(Cyber)和“物联网安全”“赛博空间安全”(“网络空间安全”)等等概念并进行了描述。事实上,这些新情况可以更准确地概括在“网域”和“网域安全”两个概念中[6]。“网域安全”就是网络领域的安全,它既包括信息和网络本身的安全,也包括信息和网络应用的安全,包括与网络连在一起从而被信息网络覆盖的现实事物的安全。如果把与信息网络连在一起的事物称为“网物”,那么网物安全就是信息应用安全的具体体现,网域安全则包括了信息安全、网络安全和网物安全三个层次。
然而信息应用安全并不是在当代信息技术出现之后才有的安全问题,也不只有保障网物安全一种形式。古语“良言一句三冬暖,恶语伤人六月寒”,非常到位地说明了语言信息的不同运用会产生截然不同的效果:有时会促进人的安全,有时则会因伤人而造成人的不安全。战争中获得的情报是要运用的,但情报运用不当则可能造成相关情报人员的不安全,还可能在不同程度影响后续情报工作。这就是古来已有的情报应用安全问题。科学发现和技术发明,都属知识信息的范畴,都是知识信息。包括科技知识在内的任何知识信息的应用,也都有安全问题。科技知识应用不当,会给国家和人类带来灾难,会不同程度地危害国家安全和人类安全。无论是物理学中的核知识、化学中的药物合成知识,还是生物学中的“克隆”、转基因等知识,都是重要的知识信息,它们的不当运用必然会以不同形式、在不同程度上威胁和危害个人、国家和整个人类的安全。科技知识应用安全因此是当代信息应用安全的一个重要方面。
中国信息安全论文篇4
[中图分类号] G642 [文献标识码] A [文章编号] 2095-3437(2013)20-0042-05
随着信息技术的迅猛发展,信息安全领域对于保障我国政治安全、军事安全、国家基础设施安全和社会稳定等全局性影响的极端重要性日益凸显。尤其是在军事领域,战争的重心已明显向信息领域转移,作战的重心也转移到了制信息权的争夺上。现代战场空间被立体分布、纵横交错的信息网络所笼罩,各种作战要素被以计算机和通信技术为基础的信息网络连接成一个有机的整体。为适应我国社会信息化建设在新时代面临的新要求,尽快建设并形成网络信息安全保障体系刻不容缓,教育部设立了信息安全专业。由于起步晚、信息基础薄弱,我国信息安全存在不少突出问题,其中之一就是信息安全专业人才严重匮乏,其根本原因是信息安全人才教育与培养制度的不完善。信息安全是信息工作稳定可靠的重要保障,涉及计算机、通信、数学、物理、法律、管理等多个领域的专业知识,需要进行专门人才的教育与培训。目前我国主要采用高等院校设置专业课程的方式来进行信息安全教育,并且信息安全专业教育教学与其他学科信息安全教学严重脱节,形成了信息安全专业学生对所学知识“无用武之地”和其他理工类专业学生对信息安全知识“无所谓”的尴尬局面。
本文在分析我国信息安全专业与通信工程专业现状的基础上,首先探讨了我国信息安全专业课程体系,分析了信息安全“跨学科”教学在各理工类专业中的重要性。然后以卫星通信课程为例,研究了为卫星通信课程中实现跨学科信息安全教学的方法和手段。最后对跨学科信息安全教学提出了一些建议,探讨信息安全专业教育与其他理工专业教育“互为支撑、相互促进”的教育教学新方法。
一、我国理工类高等院校信息安全专业建设
(一) 信息安全专业建设
我国信息安全本科专业设置始于2001年,党中央、国务院高度关注我国信息安全专业建设,教育部为此下发了教育部教高[2005年]7号文件, 对加强信息安全学科专业建设提出了指导意见。目前,我国高校、科研机构的信息安全专业建设发展迅速。截至 2011 年底,全国在已有的 70 余所高校所建立的信息安全及相关类本科专业的基础上,在 25 所高校和研究所中设立了信息安全二级学科博士点,在各大学和研究所建立了部级和省部级的信息安全相关的重点实验室与工程中心。不少信息安全研究单位和企业与高校开展了多层次的合作,直接或间接地参与到信息安全人才的培养中来。另外,为促进高校形成自己的特色与品牌,面向社会需求培养,强化实践教学,“十一五”期间,全国已有包括武汉大学、清华大学等在内的 16 所高校获得教育部批准建设的部级信息安全特色专业或方向。近几年, 武汉大学计算机学院和北京电子科技学院都增设了信息安全本科专业;有些院校和科研机构也已开设相关专业,培养专门人才。这类教育与培训较为系统和体系化,主要针对在校学生和专业进修人员进行。
另外,许多高校根据自身的特点分别将信息安全设置在不同的一级学科中。实际上,信息安全专业所涉及的领域相当广泛,尤其是理工类高等院校完全可以根据自身的传统优势学科发展相应的信息安全研究方向, 自主设立相应的学科点,并且通过学科建设带动本科专业的建设,使其对学科发展形成支撑作用。例如西安电子科技大学根据本校的特色,在信息与通信工程一级学科下自主设立了信息安全二级学科,从通信与密码学外延培养通信保密和信息安全的专业人才, 取得了良好的效果。国防科技大学、信息工程大学等军事高等院校依托其理工特色,也根据现有的各类专业(数学、物理、计算机、通信、电子对抗等)外延,培养不同特色的信息安全领域的人才。
(二)信息安全课程体系建设
由于信息安全具有多学科交叉、理论与实践结合和涉及国家安全等特殊性,它是计算机、通信、微电子、数学、物理、法律、管理、教育等多学科交叉的产物。而信息安全专业有着系统的知识体系,同时包含密码理论与技术、安全协议理论与技术、信息对抗理论与技术、网络与系统安全等诸多研究方向,每个方向都有配套的培养方案,侧重点不同。信息安全专业学生既要系统地学习信息安全专业知识,又要与自己的专业方向相结合。由于国内的信息安全专业作为二级学科开设在不同的一级学科之间,因此课程设置差别很大。在全国数百所理工类高等院校中,各高校依据其办学思路和本校特点,其信息安全专业的定位不同,这决定了其课程体系设计差别很大。如“数字信号处理”、“编码理论基础”、“随机信号分析”、“通信原理”、“信息网络基础”等课程使得信息安全专业培养更倾向于密码学和通信安全;而“计算机网络”、“软件工程”、“操作系统”、“数据库原理”等课程则将信息安全专业培养定位于计算机科学与技术专业之上。综合来看,主要有以下几种情况:
1.信息安全专业置于数学系,以密码学作为教学重点。
2.信息安全专业置于通信系,以通信安全作为教学重点。
3.信息安全专业置于计算机系,以计算机网络安全与系统安全为教学重点。
4.信息安全专业置于商学系,以电子商务安全作为教学重点。
课程体系基本上包含理论与技术两个方面。在理论课程方面,一般包括初等数论、计算数论、密码学、信息论、计算机体系结构、计算机网络、协议形式化分析等内容;在技术课程方面,一般包括网络安全与对抗、计算机恶意程序防范、计算机与通信网络设计等内容。现代信息安全行业的深远发展已经奠定了信息安全及其管理在信息安全教育与培训中的地位,但目前还存在信息安全管理欠缺、信息安全专业“封闭性”较强、其他理工类专业信息安全教学意识淡薄等问题,其核心问题是没有充分理解与利用信息安全的“跨学科”内涵,这一点在理工类研究生教育中体现得尤其突出。因此,我国教育科研机构尤其是理工类高等院校必须深入开展信息安全学科内涵的研究,从专业建设和课程体系建设上下真功夫,不断整合已有的理工类教学科研资源,从而推动我国信息安全教育不断向前发展。
二、卫星通信中的跨学科信息安全教学
本节将在分析目前卫星通信课程内容的基础上,以卫星通信中的信息安全教学为例,探讨进行跨学科信息安全教学的方法与手段。
(一)卫星通信课程体系
卫星通信结合了通信技术、计算机技术和航空航天技术等多种通信手段,是大部分理工类高等院校信息与通信工程专业的必修课程,是通信、电子、信息类专业中具有举足轻重地位的交叉学科。 因此,卫星通信课程涵盖的知识面相当广泛,从物理学科的开普勒三定律到数学的几何运算,从卫星的发射控制技术到卫星与地球站之间的无线通信技术,涉及的内容非常多。而卫星通信课程属于专业课程,课时量一般为32-50学时。目前,我国大多数高等院校通信工程专业的卫星通信教学课程大致分为七个部分:卫星通信概述,通信卫星技术,卫星通信地球站,多址方式与分配制度,卫星通信链路分析,卫星通信系统与卫星通信网络。教学目标与大纲一般设定为:使学生掌握现代卫星通信的基本概念和原理以及主要技术,洞悉卫星通信技术的最新动态及发展前景,加深对卫星通信系统的认识,从而使学生有较好的素质适应无线通信技术快速发展的趋势。以课程讲授阶段划分,课程组成如图1所示,主要包括卫星通信概论、卫星通信系统、信号传输技术、典型的卫星通信网介绍等。
可以看出,目前的卫星通信课程体系存在内容多、系统性强,结合实际应用较多的特点,但并未涉及信息安全内容,而卫星通信的协议及数据安全始终是卫星测控系统与通信系统设计中最重要的问题之一,同时也是卫星测控任务实施过程中的关键性问题。电子侦察和电子对抗手段的发展对依靠机要手段保障空间数据系统安全的传统方法形成了严重的威胁。信息安全知识讲授的匮乏造成了通信工程专业学生在信息安全方面的专业知识缺失。另一方面,信息安全专业学生的课程学多以地面有线和无线网络为背景,对于卫星通信中的信息安全教学并未涉及,而地面网络与卫星通信网络环境的极大差异又造成其已掌握的信息安全知识无法直接运用到某些具体工程实践问题上,这对于军队理工类高等院校等涉及国家基础设施安全保障任务的高等院校来说是一个亟需解决的问题,并且该问题在信息与通信工程专业研究生教育上体现得更加突出。
实际上,在单纯的课堂理论讲授之外,应花大力气研究如何提高卫星通信课程的教学质量,使学生在理解掌握卫星通信基本原理的同时,能够学以致用地解决工程实践问题。
(二)加强意识教育,使学生了解卫星通信中信息安全的重要性
首先要让通信工程专业的学生了解信息安全在卫星通信中的重要性。卫星通信的安全性是任何空间任务都不能忽视的问题,特别是目前分包系统和交互支持应用广泛的现代空间信息体系,由于空间链路的开放性,航天任务期间存在着各种形式的对空间数据系统安全的威胁。第三方可以通过技术手段截获所发送的通信信号,窃取并解译信息内容,并通过伪造信息对正常工作的卫星进行攻击破坏,从而达到破坏信息、数据或资源,泄露秘密信息,中断系统的正常业务的目的。在这种情况下,卫星通信乃至空间数据系统的安全就出现了前所未有的需求;面对高技术手段形成的电子侦察和对抗环境,对数据保护技术的要求也达到了前所未有的程度。空间信息传输的安全主要由通信节点和通信链路的安全来保障,而通信链路的安全主要由通信协议的安全来保障。
如上,通过分析卫星通信系统在目前高技术条件下所面临的安全威胁,使学生充分掌握课程讲授的目的。可以通过引入信息安全理论中的安全威胁建模与卫星通信系统遭受信息攻击案例等多种形式增强教学的趣味性,以提高学生的兴趣。
(三)结合卫星通信环境,使学生掌握卫星通信中信息安全的知识点
在具体教学实践过程中,要掌握因材施教的原则,针对信息安全专业与通信工程专业学生,授课内容重点有所不同,重点结合卫星通信环境,使通信工程专业学生掌握需要学习的信息安全知识点,使信息安全专业学生掌握其所学的信息安全知识在具体卫星通信工程实践中应用的方式方法。其根本在于,空间信息链路的特点决定了其安全增强方式与传统的地面网络安全机制之间的不同。主要表现在以下几个方面:
1.由传输距离远而引起的长传播时延以及上下行链路的高度不对称,导致了卫星链路遭受攻击的反应时间增加。
2.信息传输误码率高,信息传输过程几乎全部需要利用卫星链路,恶劣的空间辐射环境以及敌方的电磁干扰、电磁攻击,会导致信息误码率升高,而高误码率会对加密数据的正确性产生更大的影响,密码学算法的错误扩散影响范围急剧扩大,增加数据重传的概率。
3.卫星通信资源异常宝贵,传统的认证、加密及访问控制机制会大大消耗有限的卫星链路资源,应在实现安全控制的同时要避免浪费通信资源。
4.卫星的计算资源、存储容量及处理能力受限,使得采用的安全机制必须高效,以处理效率和安全为双重目标;并且,由于空间环境的电磁辐射引起的单事件翻转(SEU)会导致安全模块计算错误,同样加剧了错误扩散的程度。
5.卫星信道状态的不可预测性决定了在空间链路上实施入侵检测的难度较高、较为复杂。
通过如上分析,让不同专业学生了解到自己目前所掌握知识的差距,从而提升通信工程专业学生掌握信息安全与对抗知识的兴趣,也能够培养信息安全专业学生“学有所用”的自信。
(四) 跟踪科研发展成果,设计卫星通信信息安全教学内容
针对卫星通信协议所面临的安全威胁,基于卫星链路复杂性、异构性、高动态性、长延迟等特点,可从物理层的信息理论安全和链路层/网络层的计算安全两个方面研究空间通信协议的安全增强和数据保护技术,主要包含基于计算安全理论的数据安全保护和基于信息理论安全的物理层安全两大教学内容。由于卫星通信技术发展速度快,因此要紧跟最新科研成果,动态调整设计卫星通信信息安全教学内容。
1.基于计算理论安全的CCSDS链路协议数据保护。依据最新的CCSDS国际标准,重点讲授CCSDS空间数据链路协议保护的加密与认证技术。在讲授过程中,根据信息安全专业学生的密码学知识储备与通信工程专业学生的通信原理知识储备,减少理论授课内容,因材施教。结合卫星信道的高误码率等链路特点,讲授信息安全技术对链路协议的吞吐量效率、等待延迟等传输性能造成的影响。要让信息安全专业学生理解,安全机制实施的位置、采用的密码学算法和协议的执行过程之间存在错综复杂的联系。在原有卫星通信系统上添加安全机制,从可靠性角度来看无疑是增加了一个可能给系统可靠性带来不利影响的额外环节。可让学生在教学环节展开深入讨论,让信息安全专业学生和通信工程专业学生深入交流,从不同专业背景出发,讨论卫星通信系统中需要的数据保护技术具有哪些特点,受到哪些限制,与传统地面网络存在何种不同。
由于涉及的密码学知识较多,基于计算理论安全的卫星通信数据保护技术适宜在信息安全专业进行课程教学。
2.基于信息理论安全的物理层安全机制。首先,要让学生了解课程教学目的。由于空间链路中存在被动窃听的可能性,如果通信双方完全通过在经典信道上传输信息,则在双方之间建立保密的密钥是不可能的。其次,随着技术的不断发展,计算机的计算速度呈级数增长,量子计算机的即将出现更是威胁着计算密码的安全性,要满足空间链路的信息机密性需求就必须构建更科学更完善的密码体制。然后,引入信息理论安全的概念。信息理论安全结合了信息论与密码技术,其基本原理是利用信道传输的随机性,保证无线网络中恶意窃听的第三方不能对信息进行正确译码。在卫星通信链路的物理层采用基于信息理论安全的安全机制,星地通信双方不需要共享加密密钥,不需要复杂的加密解密算法,利用信道特性、编码、调制等一系列通信机制建立来建立安全的通信模型。
在具体教学实践过程中,要以Shannon信息论意义上的安全通信系统模型为基础,结合卫星通信信道存在着多径效应、阴影效应、多普勒频移和电离层闪烁等特征,重点讲授多径衰落等自然因素对信道安全容量和安全通信速率的影响,使学生掌握多径衰落环境下的信息理论安全模型。让学生了解通过多径衰落的阴影效应和多普勒效应的影响来加大窃听方对信息不确定性的方法,并学习利用多径衰落的相关系数之间的内在关系掌握基于信息理论安全的密钥生成算法等。由于涉及的信息论与通信原理知识较多,基于信息理论安全的物理层安全机制适宜在通信工程专业进行课程教学。
三、加强理工类高等院校跨学科信息安全教育的几点建议
根据上述分析,本文就如何加强理工类高等院校跨学科信息安全教育提出以下四点建议。
(一)因材施教,进行信息安全学科内部跨学科“二次教育”
信息安全专业研究生大多来自计算机、通信与数学等各个专业,其在本科阶段的知识背景、知识结构都较为不同。针对这种情况,应充分利用学生知识结构,找准切入点,选择适合来自不同专业学生的研究方向,使他们既能获得全面系统的信息安全专业知识又能发挥他们所长,因材施教进行“二次教育”。具体来说,针对来自计算机、通信等工程类专业的学生,利用其在互联网技术、通信技术以及计算机软硬件等方面的知识储备优势,重点加强其在信息安全理论知识方面的教育培养,指导学生阅读学习密码学与安全协议相关理论知识的经典教材或经典论文,培养其信息安全理论学习兴趣 。相应地,针对来自数学等理论性较强专业的学生,由于其已经具备了扎实的理论基础与理论学习方法,故应提高计算机、通信网和程序开发等方面的工程实践能力,弥补相应知识与能力的欠缺。
(二)与时俱进,有机结合系统工程知识与理论基础知识
对于信息对抗与网络系统安全等侧重于工程技术的研究方向,在打牢信息安全理论知识基础的同时,应加强工程实践教育,使教学工作融合于科研项目的研究开发过程中,让学生能够更加生动具体地理解专业知识并加以掌握。要不断总结经验,根据不断变化的本学科发展情况和学生的综合素质改进培养方案,根据最新的科研成果改进系统教材,做到研究生教育与项目科研与时俱进、研究方案与教学教材紧密结合、工程研发培训与信息安全理论教学跨学科并进,从而促使研究生培养水平不断提高。
(三)融会贯通,加强其他理工类专业信息安全“跨学科”教育
对于其他理工类专业,如自动控制类专业、物理类专业、化工类专业、航空航天类专业等涉及国家基础设施安全的专业学生来说,首先要加强其对信息理论知识重要性及理解程度,要求其重视本专业学科中信息安全问题的重要性;其次是在课程体系建设方面,适当增加信息安全在本专业应用方面的课程。例如在飞行器设计专业方面,要加强学生对行器通信安全重要性的理解,掌握飞行器通信安全在飞行器设计中的方法与要求;在电力系统专业方面,要求学生在设计电力网络的同时,要能够充分考虑电力网的安全性。总而言之,要理工类各专业学生在扎实掌握本专业基础知识的同时,具备一种包含信息安全在内的“大局观”,融会贯通地掌握体系知识与体系设计能力,全面提升专业素质能力。
(四)丰富形式,利用多种手段加强信息安全专业与其他专业的“跨学科”交流
除正规课程之外,信息安全教育还可以通过其它形式多样的跨学科教育活动来进行。许多高校都开设有“计算机文化节”之类的课外教学活动,信息安全可以作为这些活动中的重要组成部分,比如举行信息安全知识竞赛,计算机渗透技术大比拼等。另外,小型报告会、问卷调查、技术讲座等都可以作为信息安全教育的方式。总之,通过形式多样的教育活动,使信息安全专业学生充分了解所学知识与技术的“用武之地”与“用武之法”;使其他理工类专业学生了解信息安全的重要性,掌握基本的信息安全技术,增强其专业知识体系的全面性及其大局观,为实现信息安全管理、解决信息安全问题奠定坚实的教学基础。
[ 参 考 文 献 ]
[1] 唐成华,钟艳如,王鑫,王勇,张瑞霞.信息安全专业发展现状及促进对策[J].计算机教育,2013,(7):66-73.
[2] 融燕,侯思齐等.中美信息安全教育与培训比较研究[J].北京电子科技学院学学报,2009,(1):27-31.
[3] 李晖,马建峰. 结合学校特色加强信息安全专业建设的几点体会[J].北京电子科技学院学报,2006,(1):3-4.
[4] 王丽娜等.卫星通信系统[M].北京:国防工业出版社,2006.
[5] 吕海寰等.卫星通信系统(修订本)第二版[M].北京:人民邮电出版社,2003.
[6] 张晖.“卫星通信”课程本科教学的实践与探索[J].科技信息,2009,(31):169.
[7] 魏东兴,徐红,邢慧玲.自动化专业开设通信技术课程的尝试[J].电气电子教学学报,2004,(4):46-48.
中国信息安全论文篇5
近些年,随着电力体制改革的逐步深入和信息技术的飞速发展,发电企业对信息系统的依赖性逐渐提高,信息系统在企业生产经营和管理中扮演的角色越来越重要。发电企业通过信息化方式进行生产管理和办公得到了广泛认同,并因此大幅提高了生产效率和管理水平。
其中,网络安全工作的落实情况是企业信息化管理水平的集中体现。作为国家能源行业的一份子,发电企业的信息网络安全尤为重要,保障发电企业的网络安全也是保障国家和社会安全的重要一环。发电企业对于信息化的重视程度也体现在加强自身信息网络安全工作上,网络安全已经成为发电企业安全生产的一项重要内容,不论对于火力、水力、核电、风能、太阳能还是新能源发电企业,网络安全同等重要。
从电力行业信息化的发展现状来看,网络安全工作大致可以分为以下几个方面:网络安全管理、安全防护技术、应急保障和宣传教育等。网络安全管理包括:企业要有网络安全领导责任制、管理机构和信息化网络专责工作人员;网络安全责任制的具体落实以及责任追究机制;人员、信息化经费、信息资产、采购、培训、外包人员等日常安全管理;完整、完善的网络安全管理制度体系;安全监测、硬件冗余、安全审计、补丁管理。安全防护技术包括:防病毒、防篡改、防瘫痪、防攻击、防泄密等安全措施;服务器、防火墙、物理隔离设备等网络安全设备的安全策略和功能有效性;局域网、互联网、无线网络安全措施;和非计算机、移动介质及密码设备的安全防护措施。应急保障工作包括:信息安全事件应急预案、数据备份和恢复演练、应急技术支撑队伍、重大安全事件处置等。宣传教育工作包括:企业日常网络安全培训(包含:企业领导、信息化人员和业务人员)和网络安全管理员专业技术培训。
发电企业已经在网络安全方面取得了很大的成绩,软件正版化率、自主开发软件和国产信息系统的使用率都在逐年提高,国产网络安全防护设备也已经大范围应用在企业网络中。发电企业在取得一些成绩的同时,还需要充分认识到自身的不足之处,很多发电企业认为发电才是自己的主业,对企业信息化不够重视,人员和资金的投入都很少,导致企业网络安全得不到有效的保障,网络安全事件时有发生,这对于企业和国家都是一笔损失。
综上所述,发电企业要从以下几个方面入手,逐步改进并完善网络信息安全工作:企业应该有独立的信息化管理部门,设置专门负责网络安全管理员,明确岗位安全责任制,成立信息化领导小组、信息安全工作小组和招标小组等信息化工作组织机构;定期召开网络安全管理工作会议,商议决策企业信息化工作,强化网络安全;做好企业网络安全规划,按照年度、短期和长期规划来制定,信息安全工作的整体策略及总体规划(方案)需要完善,在今后工作中不断补充、调整与细化;将信息网络安全管理纳入到企业年度工作计划和绩效考核中;每年都要进行定期的信息安全培训和宣传,让员工充分了解和熟知网络安全对于企业的重要性;划分明确的分区界限,根据生产、管理等要素进行分区管理;完善企业网络信息安全管理制度,并落实执行;加强局域网、广域网和对外网站的管理;按照公安部和上级部门的有关要求,进行信息系统安全等级保护备案工作,进行安全风险测评;定期开展网络安全自查工作,并按照检查问题进行相关整改,需要定期开展网络安全自查及整改工作,有条件的企业可以请外面高水平的专家组来企业做安全测评指导,通过这些检查可以及时发现问题,进行有效的整改工作,保障企业信息网络安全,使得员工可以通过信息系统提高生产管理和办公效率;定期进行信息系统数据备份和恢复演练,进一步完善企业的网络与信息安全应急管理体系,保障应急资源的及时到位,进一步制定有针对性的、实用化的专项应急预案,同时预案的演练要实现常态化;设定账户锁定时间、账户锁定阀值、重置账户锁定计数器等安全策略;信息系统管理员需要定期检查补丁更新、防病毒软件和防恶意代码软件工作日志;口令执行策略需要包括:密码必须符合复杂性要求、密码长度最小值、密码短期使用期限、密码长期使用期限、强制密码历史和用可还原的加密来存储密码等安全策略;尽可能采用每个账户和每个人一一对应的关系,避免了账户的重复和共享账户的存在,对于多余的、过期的账户进行定期检查和及时删除;实现操作系统和数据库系统特权用户的权限分离,实现数据库账户独立管理;要有完整的机房进出记录和系统安全维护检查记录;完善备份系统建设;企业应建立长效机制以确保信息安全建设及运行维护经费及时到位,以实现经费投入的常态化;加大信息安全产品的投入力度并尽量采购国内厂家的安全产品,降低对国外产品的依赖程度;对在信息安全岗位及其他敏感岗位工作的人员一定要搞好审查工作,只有符合规定的人员才能上岗,一旦人员离岗必须签署保密承诺书且其权限要及时收回;按照国家有关要求,需要做到所有计算机类产品不安装Windows 8操作系统,并采取措施应对Windows XP停止安全服务;安全防护产品采取白名单、卸载与工作无关的应用程序、关闭不必要服务和端口等安全措施情况。
不论在哪个行业或领域,安全都是第一位的,而网络安全在涉及国家安全的发电企业更是尤为重要。发电企业要按照“谁主管谁负责,谁运营谁负责”的原则,明确任务,落实责任,加强网络安全工作,保障企业网络与信息系统的安全稳定运行。因为电力属于国家能源行业的重要一环,必须遵循“上网不、不上网”的原则。总之,发电企业面临的网络安全形势是复杂多变的,还有很长的路要走。
参考文献
[1]罗宁.P2P安全问题初探[A].第十七次全国计算机安全学术交流会暨电子政务安全研讨会论文集[C].2002.
[2]祝崇光,姚旺.检察系统信息网络安全的风险评估[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[3] 朱修阳. 检察机关专网系统信息网络安全体系初探[A].全国计算机安全学术交流会论文集(第二十二卷)[C].2007.
[4]曾德贤,李睿.信息网络安全体系及防护[A].第十八次全国计算机安全学术交流会论文集[C].2003.
中国信息安全论文篇6
一、信息安全教育立法的必要性
(一)信息安全教育立法是我国现阶段信息安全教育事业发展的需要
纵观信息安全工作发展历程,特别是改革开放以来,我国信息安全教育取得了显著的成绩,得到长足发展。随着社会信息化进程的不断深入,信息安全教育立法一直落后于全国教育的总体发展水平,已远远不能满足信息安全教育发展的需求。究其因,归纳起来,有社会、经济以及认识等诸方面的问题,不能起到保障和促进信息安全教育的作用。我国现阶段信息安全教育事业的发展迫切需要加强信息安全教育立法工作。
(二)信息安全教育立法是全面依法治国的需要依法治国,建设社会主义法治国家作为新时期治国的重要方针。依法治国的一个根本前提,是有法可依。新世纪以来,我国法治建设对于推动经济持续健康发展和社会发展,保障国家经济社会发展,发挥了不可替代的作用。信息安全教育作为我国信息安全工作的一个重要组成部分和社会生活的一个重要领域,它在一定程度上影响着国家管理的法制化进程和信息社会化水平。(三)信息安全教育立法是信息安全工作发展的需要我国信息安全立法虽取得了一定的成绩,同时,在信息安全教育立法方面也存在诸多问题。要改变这种状况,就必须推进信息安全教育立法工作。只有这样,才能以法的形式把信息安全教育发展所要求的各种社会条件以及基本社会关系固化下来,从而保证信息安全以及教育工作稳定发展。
二、信息安全教育立法的可行性
(一)教育优先发展战略地位的确立,为信息安全教育立法创造了有利的氛围
我国党和政府十分重视教育的发展,把科教兴国列为国家社会发展的战略重点,并颁布一系列法律法规为其发展提供了强有力的保障。这对于切实落实优先发展教育的战略地位,提高人们的思想认识,具有巨大的指导作用和十分深远的意义,从而也为信息安全教育立法创造了有利的外部环境。
(二)我国信息安全立法的实践与理论研究,为信息安全教育立法提供了经验和理论基础
改革开放,特别是新世纪以来,我国信息安全立法实践从国家和行业两个方面都取得了相当的进展,为信息安全教育立法提供了丰富的实践经验与广泛的内容范畴。随着信息安全立法以及教育立法的理论问题日益引起人们的重视与关注,许多信息安全工作者和法学工作者,将理论研究不断引向深入,探讨实际工作中的热点与难点问题,纷纷撰文或著书,从而为探索和完善我国信息安全教育立法工作提供了坚实的理论基础。
(三)境内外信息安全教育立法的成果以及经验,为我国信息安全教育立法提供了有益提示
从世界各国信息安全立法的情况看,尽管出发点不完全相同,目的各异,甚至侧重点也不一样,不同国家的信息安全教育立法在以下三点基本上是相同的:一是都非常重视信息安全及教育立法,把立法工作摆在相当重要的地位;二是信息安全教育法规操作性强,内容明确;三是信息安全教育法规制约机制严明。对于境内外十分丰富的信息安全教育立法的经验,我们可以从中找到许多带有普遍规律性的问题,在我国的信息安全教育立法中认真加以研究和借鉴。
三、信息安全教育立法的实现
要根本改变信息安全教育事业的滞后状况,我们必须采取切实有效且行之有效的举措,切实加强信息安全教育的立法,从而起到保障和促进信息安全教育事业的作用。
(一)加强信息安全教育立法工作的宣传
首先,我们自身必须深刻认识我国发展信息安全教育的艰巨性和紧迫性,切实了解信息安全教育的特有规律及在推进我国社会信息化进程中的重要地位。其次要充分利用新媒体,让全社会熟悉、了解信息安全教育及立法的基本知识、基本理论。总之,我们要深刻认识信息安全教育立法现状的不适应性,明确信息安全教育立法对改变当前信息安全教育的落后状况以及推进我国信息安全工作的重要现实意义,从而树立和坚定信息安全教育必须立法的思想。
(二)切实加强信息安全教育立法的理论研究
紧密围绕信息安全工作实际,我们应在我国教育立法、信息安全立法一般理论的指导下,对信息安全教育立法的基本理论问题进行深入的研究。要通过研究,掌握信息安全教育立法的基本原理,信息安全教育立法与一般教育立法、信息安全立法的区别以及联系等等。为此,当前,一方面我们可以设立信息安全教育立法研究会,通过举办学术研讨会、论坛等多种形式,推进相关热点、难点问题探讨的不断深入,从而在国家有关部门制定信息安全教育法律法规中发挥相应作用;另一方面可以设立专项研究基金,组织相关方面的专家、学者协同攻关。总之,信息安全教育立法的理论研究工作要在加强基础性的同时突出其应用性研究,要围绕信息安全教育领域基础性的、急需的内容,加强研究工作,以促成相关法规的制定。
(三)加快制定《信息安全教育条例》等相关信息安全教育法律法规
要从根本上改变信息安全教育立法的薄弱状况,就必须尽早建立和完善信息安全教育法规体系。健全信息安全教育法律制度,使得制定《信息安全教育条例》等一些基本的法律法规成为时代的必然。《信息安全教育条例》等的相关信息安全教育法律法制定与颁布,将极大地推进我国信息安全以及教育立法工作的进程,开辟我国信息安全事业和信息安全教育事业的新纪元。
参考文献:
[1]陈立鹏.民族教育立法与民族教育的跨越式发展[J].黑龙江民族丛刊,2003(6).
中国信息安全论文篇7
中图分类号:G710 文献标识码:C DOI:10.3969/j.issn.1672-8181.2013.19.062
随着计算机网络的发展,人们可以切身感受到丰富的信息资源广泛融入到社会生活的方方面面,人们对信息系统和信息服务的依赖性越来越强。在这样错综复杂的网络环境下,信息安全问题成了人们讨论的焦点。我们在享受信息化带来便利的同时,也面临着信息安全方面的威胁和攻击,加强信息安全相关知识的学习,避免私密信息被非法泄露或直接经济损失是保护个人隐私,保证社会稳定的重要前提。
本文认为,信息安全问题的解决除了被动地依靠技术支撑之外,更关键的是发挥专业人才的作用。教育是社会科学进步的基础,通过教育积极主动培养信息安全专业人才是最有效的途径。目前我国开办信息安全专业的学校越来越多,但都处于刚起步阶段,专业课程设置上没有规范的标准体系,比较混乱,实验条件普遍较差,多数学校不具备建立仿真网络对抗的实验环境,针对以上问题,本文将对高职院校开办信息安全专业的必要性以及课程设置合理性这两方面进行探讨。
1 高职院校开设信息安全专业的必要性
在我国高职院校中,只有少数学校开设信息安全专业培养学生,然而面对整个国际社会信息安全的严峻形势,我国专业人才的输出远远不能满足信息化对人才的迫切需求。2003年,中央27号文指出[1]“要加强信息安全学科、专业和培训机构建设,加快培养信息安全人才”。同年,美国白宫公布《确保网络空间安全的国家战略》[2]也强调“所有安全问题的解决都严重依赖于高校教育和社会科研机构力量的共同参与,要注重信息安全专业人才的培养以及公民的信息安全意识教育”。可见,现代教育急需培养高素质的信息安全专业人才,使其具有专业的安全意识并能防止危害发生,这是社会发展的必然要求。
在高职院校中开展信息安全专业培养模式应该摒除传统教育的重理论而轻实践,要充分体现“高职”特色,理论与实践技能相结合,以提高学生的就业竞争力为主要目标。
2 现阶段信息安全课程体系建设刚起步
我国现阶段教育体系下,信息安全属于一门新兴的二级学科,多数学校将它设在计算机科系之下,也有的设置在通信工程系或数学系。目前,已经开设信息安全专业的院校都还处于探索阶段,信息安全专业课程体系至今还没有一个统一的规范,各高职院校提供的课程多数根据社会实际需求和专业认证等因素考虑,国内外现有的关于信息安全课程设计的资料很少,无论是课程设置方面还是教材选择、参考书籍等可供参考的材料为数不多。
在符合学校高职教育定位的基础上,信息安全课程的设计最好是紧贴现阶段劳动力市场对信息安全人才要求培养学生,另一方面要加强教师队伍建设,不断改进教学方法,创新理论知识和技术,满足学生需求[3]。学校方面也要提供良好的实验条件和仿真模拟环境,提高学生的岗位实践技能。
3 合理设置信息安全专业课程
借鉴国内外著名院校的成功经验,可以为高职教育专业技术型人才培养提供参考。本文分别对出色的国内外信息安全课程设置做分析,得出更适合高职教育人才培养课程体系。
英国伦敦大学皇家霍洛威学院(Royal Holloway, University of London)的信息安全专业课着重培养学生安全业务架构意识,电子商务法律监管,网络犯罪,智能卡/令牌安全及应用,软件安全,数字取证技术,安全测试理论与实践则作为选修课。课程设置上体现较强的专业定位,涵盖到信息安全所涉及的每一个领域,针对性地培养高素质技术研究人才。
武汉大学在2000年由教育部同意率先开设信息安全本科专业。特色课程包括网络安全、智能卡技术、信息隐藏技术、计算机病毒和电子商务技术等,另外,还有网络安全试验、信息安全综合实验等多门实践课程。课程设置上更注重学生全面性基础知识的建立,体现在以计算机技术作为基础的能力培养上。信息安全专业教育与计算机科学知识相辅相成。
从以上例子可以看出,网络安全技术、网络攻防技术、组网原理与实践、电子商务安全、入侵检测原理与技术、计算机病毒原理与防治、信息对抗、信息隐藏这些方面是实用型,社会需求量大,应该增强这方面专业核心课的分量。高职教育的特点是以社会需求为导向,高职院校中开设信息安全专业,目标是培养出一批毕业就能就业,在工作岗位上能实实在在解决具体安全问题的行家,并不要求去培养计算机方面的全才,或是培养信息安全方面的战略人才[4]。
4 总结
信息安全人才供不应求的现状预示着我国信息安全很快将成为热门的支柱学科,市场岗位需求量不断增加,开办该专业的学校会越来越多、招生规模也会越来越大。因此,高职教育开办信息安全专业,培养人才是形势所趋,势在必行。高职院校信息安全专业要以职业技能培养为发展方向,与时俱进,与其他专业相互渗透,突出“职业”特点。信息安全专业人才培养体系也会越来越标准化、规范化,提高整体教育办学质量与效益,让学生学有所用,实现人生价值。
参考文献:
[1]中共中央办公厅,国务院办公厅.国家信息化领导小组关于加强信息安全保障工作的意见[M].中办发[2003]27号.
[2]White house, President George W. Bush: 确保网络空间安全的国家战略 (The National Strategy to Secure Cyberspace) [M]. Morgan James Pub, 2003.
中国信息安全论文篇8
摘要:提出以国家相关规范标准为依据,以社会实践内容为基础,构建符合社会践行的课程结构体系,分析依据结构体系提出课程内容的设计原则及基本教学内容。
关键词 :信息安全;风险;课程;结构体系
文章编号:1672-5913(2015)17-0043-04 中图分类号:G642
基金项目:教育部信息安全类专业建设和人才培养项目(JZW201011);贵州省教育厅贵州省高等学校教学内容和课程体系改革(重点)项目( SJJG201404);安顺学院航空电子电气与信息网络贵州省高校工程技术研究中心开放项目( HKD2201406)
第一作者简介:潘平,男,副教授,研究方向为信息安全与信息处理,panping_17@163.com。
O 引言
近几年来,信息安全事件已引起了国家和社会的高度重视。面对不断增加的信息安全事件,信息系统如何转移、分散和规避其安全风险,关系到系统的可持续发展。有效和可靠的监测、预警、转移、分散和规避信息系统安全风险,涉及信息安全管理及其专业技术技能。因此,需要培养大量的既懂得管理,又具有专业技术技能的信息安全复合型人才,以满足信息系统运维的需求。
为了保证信息安全专业人才的培养符合社会发展的需要,保证培养的人才能学以致用,发挥专业人才的研究能力和实际处理信息安全问题的能力,通过多年的探索,我们于2010年首次开设《信息系统安全风险评估理论与实践》课程,目的是检验学生全面综合理论知识和实践技能,培养学生在复杂多变的信息环境中,如何识别和控制信息系统安全风险的能力。
1 信息安全风险评估课程的结构体系
文献[1]指出,信息安全风险评估是依据国家信息安全风险评估一系列的有关管理要求和技术标准,对信息系统由其存储、处理和传输过程中的信息的机密性、完整性和可用性等安全属性进行科学的、公正的、严谨的、全面的综合评价过程。
根据对国内外相关标准及其相关规范性文件的理解,我们认为信息安全风险评估至少应涵盖十余个学科领域的知识,如管理学、法学、哲学、社会工程学、数学、物理学、软件工程、通信工程、电子科学、信息科学、系统科学等理论知识。从专业通用知识与技能结构体系上看,它主要涉及访问控制、通信与网络安全、安全管理、应用软件安全、密码技术、安全体系结构和模型、操作安全、灾难恢复、法律与道德规范、物理安全等。学科领域与专业通用知识之间的关系见表1。
由此可见,构建信息系统安全风险评估课程体系是一个复杂的过程,既需要深厚的专业知识和技能,又需要博学的科学理论知识与丰富的信息安全管理的实践能力。
根据多年的教学及社会实践,我们认为信息系统安全风险评估课程结构体系不仅要从专业通用知识、技能和学科领域知识考虑,还要依据国家现有的相关技术标准与要求作出科学的综合分析,在满足专业学科理论基础知识培养目标的基础上,结合信息安全风险评估规范的具体要求和社会实践设计课程结构体系,以获得课程结构体系设计的完备性,实现综合分析问题、解决问题的能力目标。
因此,信息系统安全风险评估的课程结构体系是以专业通用知识为基础理论,以《信息安全风险评估规范》《信息系统安全等级保护基本要求》《信息系统安全等级保护实施指南》《信息系统安全等级保护测评过程指南》《信息系统安全管理要求》《信息安全管理体系要求》为依据构建。
根据这一指导思想,课程结构体系要素应包括评估过程中非技术性和技术性要素。非技术要素由安全组织机构、安全管理策略、人员安全管理、系统建设与运维管理、数据备份与恢复策略等组成,详细要素见表2。
技术性要素由人工检测、软件辅助扫描、渗透测试组成,目的是根据国家信息系统保障体系结构,从信息载体(计算环境)、通信载体(通信环境)和边界环境3个方面构建技术性结构,详细要素见表3。
根据信息系统安全评估过程所涉及的理论知识和评估要素,构建信息系统安全风险评估课程结构体系,如图1所示。
实践证明,只有在深入研究信息安全风险评估相关标准及其相关规范要求的基础上,完备地架构课程结构体系,准确地设计课程教学内容,才能有效地实现课程的培养目标。
2 信息系统安全风险评估课程内容设计原则
根据课程结构体系,分解各要素之间的关系,在深入理解相关标准的基础上实施课程内容设计。通过多年的实践与探索,课程内容设计必须遵守如下原则:
第一,与专业通用知识统一的原则。课程教学内容必须与专业通用的理论知识相结合,保持理论的一致性和完备性,在此基础上进一步加强对理论知识的理解。
第二,与其他学科知识统一的原则。信息系统安全风险评估本质上属于管理科学,但由于其自身的多学科特性,因此,在理论教学中,必须注重与其他学科的一致性,避免教学过程中与其他学科理论知识的冲突。
第三,与国家标准统一的原则。信息安全风险评估必须依据国家的相关标准进行,因此,在教学过程中必须保持与国家相关标准的一致性,避免在具体的社会实践中不符合国家标准。
第四,理论与实践统一的原则。信息系统安全风险评估涉及十多个学科领域的基础理论,同时又包含信息安全专业的全部理论知识与技能。文献[2]认为,现行的模拟实验与仿真实验,只是真实系统中的某些表面现象,不能准确描述真实系统的行为。因此,理论教学、实验教学必须符合信息安全服务所必需的技能训练,以达到理论教学、实验仿真与社会实践的符合性和一致性。
第五,分析问题、解决问题统一的原则。分析问题和解决问题的方法是本科生培养的目的之一,通常的通识课程和专业基础课程,只能培养学生分析和解决某一类问题的能力,而信息系统安全风险评估课程是一门系统的综合学科。因此,要求课程内容的设计必须从系统科学的理论与方法着手,利用所学知识,全面地、综合地、优化地分析和解决问题,通过仿真与实践,实现分析问题和解决问题的统一。
3 信息系统安全风险评估课程内容与社会实践内容的统一设计
传统的课程内容教学与社会实践存在明显的差异,导致毕业生无法面对具体的社会实践。为满足社会对信息安全人才的需求,课程教学内容必须与社会实践相一致。因此,在具体的课程教学过程中,需要结合社会实践,设计相应的课程教学内容。
根据课程结构体系以及信息系统安全风险评估过程,我们认为,课程教学的主要路线需要依据社会实践的线程来设计,即以现场安全检测一资产识别与分析一威胁识别与分析一脆弱性识别与分析一渗透性测试一系统安全风险分析一安全建设建议为主线,在具体的每次课堂教学中,课堂教学应与模拟仿真、社会实践的相关典型案例相结合,以实现与社会实践活动相一致的目标。具体措施包括以下5个方面。
第一,现场检测是获取资产价值信息、脆弱性信息、威胁信息的主要手段,是资产识别与分析、脆弱性识别与分析、威胁识别与分析及其风险分析的依据;是检测学生与人交流能力和专业技能培养是否实现目标的基础。因此,在具体的课堂教学中,应以信息安全风险评估规范的相关要求为基础,在强调计算环境、通信环境和边界安全配置对资产安全的重要性的同时,深入理解现场检测中各个检测点的目的和意义。
根据相关评估规范要求,在现场检测中安全管理共有5项147个检查点,物理安全环境中共有7项73个检查点,网络安全共有7项47个检查点,主机安全共有7项56个检查点,应用安全共有9项53个检查点,数据安全与备份恢复共有3项58个检查点。因此,在课堂内容教学设计中,我们以相应的检测项为基线,以检查点为具体内容,以理解检查点在风险评估中的重要性和目的为理论内容,以具体的资产检查点的模拟和对系统的渗透为目标,培养学生与人交流的能力、安全技术管理的能力和使用工具的能力。
第二,资产识别与分析是信息安全风险评估分析的基础。它以信息系统中的资产为对象,以资产的脆弱性、面临的潜在威胁为课程内容;以系统分析理论与方法为依据,分析系统对资产的依赖性,系统中各类资产存在的潜在安全隐患,以及资产的脆弱性的严重程度等。其目的是培养学生局部分析问题、全局综合分析问题的能力。文献[3]认为,信息安全风险评估的关键是对信息系统资产的分类,并依据其资产进行风险识别、估计和评价,然后实现全面的、综合的分析。
第三,信息系统安全风险分析是课程教学的核心。根据对目前的信息安全风险评估规范要求的理解,在具体的社会践行中,基本采用基于资产的安全风险分析,这种分析方法是基于系统分析的原理实施的,强调局部分析,忽略全局分析。因此,在教学内容设计中,一方面要使学生掌握局部分析方法;另一方面,要引入最新的系统分析理论与方法,特别是全局综合性分析方法。通过引入全局综合性分析方法,使学生在教学过程中,理解局部与全局之间的关系,从而培养学生综合分析问题的能力。
第四,信息系统安全建设建议是根据所学理论知识,并依据信息系统所存在的主要威胁,科学地分析其系统架构,正确地部署安全设备,科学地规划、设计安全策略的重要组成部分,是培养解决问题能力的重要途径,是课程教学的最终目标,是全面综合检验学生解决问题能力的基础度量。通过系统安全建设建议,我们可以发现教学过程中存在的问题,修正课程教学内容,培养学生解决问题的能力。
第五,社会实践是检验课程教学的重要途径。课程教学必须与社会实践相结合,如何实现这一目标,检验学生学以致用的关键在于教师是否参与了相关的社会实践。实现这一目标的关键是教师必须参与到与信息安全管理服务的所有项目之中,包括信息系统等级保护测评、信息系统软件测评、信息安全事件应急演练与数据恢复等社会实践。虽然这些项目的参与人数有限,但可以分批次进行。只有学生参与了具体的社会实践,才能真正使学生学以致用,达到培养目标。
综上所述,信息系统安全风险评估课程教学的内容,必须以国家评估相关标准的内容作为课程教学的主要内容,从而有效避免理论与实践的脱节,培养适应于社会发展需要的复合型人才。
4 结语
信息系统安全风险评估是一项长期的、复杂的动态过程,同时横跨多学科,既含有高科技技术手段,又涵盖科学的管理过程。因此,需要教师既具有多学科的专业理论与技能,同时又必须具备较高的科学管理能力和丰富的社会实践经验,只有这样,才能使课堂教学内容丰富多彩,生动活泼,才能完成课程教学的内容,达到既定的目标。
参考文献:
[1]范红,信息安全风险评估规范国家标准理解与实施[M].北京:中国标准出版社,2008年.
[2]潘平,杨平,信息系统安全风险评估课程教学探讨[C]. 2010 National Teaching Seminar on Cryptography and InformationSecurity(201 0NTS-CIS),1 39- 143.
[3]任勇军,郑关胜,李含光,信息安全风险评估课程教学探讨[J].教育教学论坛,2011(35): 46-48.
中国信息安全论文篇9
2我国信息安全中存在的问题
2.1信息安全制度有待优化
根据最新的信息显示,目前我国所颁布的有关信息安全发展的法律条例以及政府制度的文件有很多,其中包括《网络信息安全不同等级保护措施》、《计算机互联网络信息安全保护级别划分标准》、《国家安全法》、《互联网络商务信息密码安全保护条例》以及《互联网络信息电子签名法》等。虽然在这些法律条例以及政府文件中都对计算机互联网络信息的安全出台了相应的保护措施和发展方向,但从整体来看,大部分的条例内容都只是对关于网络信息安全的相关内容进行了涉猎,这些涉猎内容较为分散,而且没有统一的有关整个网络信息安全产业的概述和规划。在我国近期所颁布的《“十二五”网络信息安全产业发展规划》以及《我国新兴产业战略性“十二五”发展规划》中也只是对网络信息的相关产业发展战略进行了简单的规划,规划内容并不够明确,而有关区域性的信息安全产业发展战略更是没有及时提出。
2.2威胁我国网络信息安全构建的因素
对威胁因素的界定是一个国家安全观念的主要体现,而不同国家对于威胁因素的界定并不相同。每个国家对于威胁本国家安全的因素进行判断的标准决定了这个国家在构建安全防范体系时的侧重点以及分配比例。而对于我国来讲,能够对我国计算机互联网络信息安全产生威胁的因素主要可以归结为以下几个方面。
2.1.1首先,是从经济的视角分析网络信息安全威胁
由于我国的计算机互联网络信息安全基础设施建设较晚,故使得我国整体网络信息系统的技术都处于较为落后的状态,对于外界的违法入侵和信息盗窃行为的抵抗能力也较弱。而这样的局面不但会使我国的网络信息安全受到威胁,更会在一定程度上给我国的社会经济发展造成损失,有时甚至会破坏我国的社会稳定和团结。与此同时我国在进行网络信息安全基础设施构建的过程中,对网络黑客的攻击防范意识和防范能力也都比较落后,这样的状况经常会给不法分子创造窃取信息的机会。
2.1.2其次,是我国政治的视角分析网络信息安全威胁
在当前世界各国之间和平共处的大环境下,西方的一些发达国家,尤其是美国以及与其进行联盟的国家,经常会打着网络信息自由的幌子,来对我国的政治领域进行意识形态方面的渗透和宣传,其中甚至包括散布虚假社会信息、反对我国当前执政党的合法性以及纵容反对我国政权等行为。
2.1.3最后,是我国军事的视角分析网络信息安全威胁
从世界范围来看,各国之间的军事抗争行为越来越依赖于信息化的互联网络,在对国家国防进行构建的领域中,已经进入到了一个全新的作战领域,其中主要强调的是将传统战场中的事物进行网络信息领域的融入,并对其中的实施进行相应的控制。当前,美国在这一方面已经制定出了比较完善的网络战役规则,而我国在这方面的涉猎还处于初级阶段。而且,据近期联合国载军研究所的调查数据显示,全球已经有45个国家建立起了网络信息战部队,相当于全球国家总数的五分之二以上。
3解决我国信息安全中存在问题的对策
(1)第一个方面是建立一个安全可操控的网络信息安全保障体系,继而促进我国网络空间安全的保障能力。
(2)第二个方面时加强对我国网络信息的安全管理和防范。
(3)第三个方面是推动我国网络信息建设的健康稳定发展,借以维护我国的社会经济的可持续增长。与此同时,我国信息安全战略实现路径应该从以下几点进行着手。
首先,应对国家互联网络空间在进行安全设计时的内容加以重视。在将信息安全战略理论进行实现时,应组建起一只以我国国家互联网络信息人员为中心的信息安全小组,并从国家政策以及我国当前网络安全中存在的设计漏洞的角度出发,进行新的网络信息安全系统构建。国家的信息安全构建部门还应建立起优化的管理制度,并完善管理体系。其次,应建立起完善的攻防兼备的计算机换联网信息安全体系。想要实现信息安全战略的规划,就必须对网络空间的主动权进行掌控,并建立起可攻可守的安全防护体系。最后,应将我国的信息安全法律体系进行完善。一个国家的网络信息安全法律体系的是否完善会在很大程度上左右这个国家信息的安全发展。我国的相关法律部门应充分借鉴外国发达国家的信息安全法律制度构建经验,并有效结合我国国情进行制定,继而使得我国的信息安全战略在实现过程中能够受到现行的法律保护。
中国信息安全论文篇10
引 言
在社会经济飞速发展的今天,互联网已经成为人们获取、和传递信息的重要渠道,它在涉及人们生活的各个方面都发挥着重要作用。党的十六大提出“以信息化带动工业化、以工业化促进信息化、走新型工业化道路”的发展战略。这样,信息化已被提到国家战略的高度。同时,作为解决现实紧迫问题和发展难题的重要手段,互联网已成为经济社会发展的重要支撑。中国互联网信息中心2009年的统计报告显示:截至2008年12月31日,中国网民规模达到2.98亿人,普及率达到22.6%,超过全球平均水平。[1]但是,在互联网蓬勃发展的同时,网络上一些违法和不良现象开始蔓延滋长,整个网络社会管理缺位和道德失范的问题格外突出:恶意进行网络破坏活动;通过网络侵犯他人隐私、盗窃他人成果;利用网络炮制谣言、进行人身攻击、散布不良信息等诸多不法行为时有发生,网络信息自由受到挑战,安全问题变得十分严峻。所以,分析研究网络信息自由与网络安全问题,探讨解决网络信息自由与网络安全问题的办法,无不具有重要的技术意义和现实意义。网络信息自由与网络安全问题的解决能够倡导大众文明、道德地使用网络,保证互联网正常运行,并在此基础上保证我国经济和社会管理等领域中网络信息系统的安全运行。论文通过对网络信息自由、网络安全问题及由网络信息自由带来的网络安全问题的探讨和分析,提出有效的解决方案,使我国的互联网络健康、快速发展。
1、 网络信息自由
网络传播摆脱了时间限制,地域限制和层层把关的审查机制限制。因此,在网络空间里,人们拥有从所未有的自由。[2]自由凝聚了人类自身的价值,人类发展是人类不断追求新的自由的历史,而网络本身也需要这种自由,网络发展史明确告诉人们,从几台互联的计算机发展到今天连接全球的网络世界,是因为网络本身具有的这种特别的自由状态,如果没有自由交往的特点,今天网络的绝大部分功能都不会得以正常发挥,网络本身甚至会消亡。因此,我们可以这样说,没有网络就没有自由,没有自由也没有网络。而网络的自由取决于网络信息的自由。
网络信息自由包含信息生产自由、信息传播自由和信息消费自由。在互联网上,没有中心、没有权威、没有开始也没有结束,自由成为网络的灵魂。互联网的这种特点为信息的生产、传播、消费提供了极大的自由,通过互联网络,利用数字化技术,任何人都具有广阔的天地,人们越来越能体会到创作的乐趣和生产的喜悦;通过互联网络,任何人都可在网络媒体上发表言论;通过互联网络,人们可以坐在家中“进入”图书馆、博物馆查阅资料、搜集信息,并且这些信息将可以任我们随选;通过互联网络丰富多彩的教育内容,人人都有机会接受适合其特点的、因材施教的多样化的教育;通过互联网络,可以方便地选购商品,订制自己需要的、适合自己个性的产品,还可以使家庭获得多种新型服务;通过互联网络,人们可以突破时空限制,直接取得决策所需的各类信息,经由网络直接参与公共事务。另一方面,政府也可以借助网络随时接收民意反馈,甚至获得来自人民的直接授权,从而随时修正施政方针。[3]可见,网络最令人激动的地方,莫过于个体获取、生产、发出和消费信息,以及由此产生的自由和交流的互动性,世界似乎尽在点击鼠标和敲打键盘的手中。正如美国天文学家史托尔所言:“因特网是有史以来,存在于现实世界中最接受无政府的东西。”
总体看来,网络自由对国家来说,网络的应用改变了传统的管理权力高度集中的金字塔型的组织管理结构,给国家的管理(统计、档案管理、收集和分析数据、公告和政令等)带来了便利,政府可以掌握网络使它成为有用的宣传工具。通过开展电子政务,提高国家机关的工作效率和培养人民的参政意识,为人民提供表达意见的论坛。对社会而言,方兴未艾的互联网络的发展,必将引起人们社会生活方方面面的变革,人们的生活方式将日益多样化、个性化。网络以迅捷、便利、廉价等优点,正在不断丰富社会文化生活与人们的精神生活。对个人生活来讲, 随着计算机系统的网络化和大型数据库的建立,利用计算机网络对个人信息进行处理和存储已经变得越来越普遍。电子邮件、网络电话、电子信息卡等给网民提供便捷、低价的服务,大大提高网民的工作效率和生活质量。
但是,网络信息自由也是相对的,而不是绝对的、无边际的,它必须受一定社会权益和网络社会规范的约束。因为“在网上,你对生活的选择和实践会对网络中其他人的生活质地发生影响,这种影响可能比发生在地理世界中的影响要广泛得多[4]”。任何人都不能借网络信息自由之名侵害他人的正当利益,玷污他人名誉,伤害他人情感或破坏社会秩序,更不得泄露国家秘密,煽动危害国家安全的言论等。否则,就会变成对信息自由的滥用,滥用的结果,必定造成对信息网络安全的威胁。
2、网络安全问题
自Internet诞生之日起,信息网络的安全问题就与之俱来。[5]随着人们对计算机网络的依赖越来越强,应用越来越广,网络安全问题也日益严重。互联网的自由使所有上网的人既可成为网络的一个用户,也可成为网络的破坏者。[6]
网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 网络安全从其本质上来讲就是网络上的信息安全。而信息安全问题绝大部分来自于网络的信息自由。从广义来说,凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。网络安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。网络安全的具体含义会随着“角度”的变化而变化。
我们只讨论有网络信息自由带来的网络安全问题。比如:从用户(个人、企业等)的角度来说,他们希望涉及个人隐私或商业利益的信息在网络上传输时受到机密性、完整性和真实性的保护,避免其他人或对手利用窃听、冒充、篡改、抵赖等手段侵犯用户的利益和隐私。网络安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储的信息的保密性、完整性、真实性、可靠性、可用性、不可抵赖性等。由于网络用户储存、传输和处理的信息包括政府宏观调控、商业经济信息、能源资源数据、科研数据等重要信息,因此,网络安全问题显得尤为重要。现在,随着互联网越来越生活化,安全已威胁到每一个人。例如,过去很多公开露面的恶意软件如今已转入地下,和病毒结合起来威胁着互联网。加之中国互联网正在进入一个新的应用高峰,如网上炒股、网上购物等,从而使安全形势更加严峻。
首先,网络信息的自由性、互联网的开放性和无疆界性的特点,使网络环境下的国家安全问题更为复杂和尖锐。如在网上,敌对势力散布反动言论,颠覆国家政权等有害信息,制作种族主义、恐怖的游戏软件等,目的在于危害国家安全,挑起种族情绪。更为严重的是,一旦有人利用网络黑手伸向国家事务、国防建设和尖端科技领域,乃至窃取国家、国防、科学研究等机密,其危害远甚于非网络状态下。美国参议员萨姆・纳恩曾说:“我们现在才认识到我们赖以管理社会的信息网络容易遭到扰乱和渗透。国防部估计,它的计算机大概每年会受到多达25万次的计算机攻击。……专家们一致认为我们只能查出最无能的侵入者[7]。保障国家安全,是一国稳定与发展的前提。可见,信息网络时代的国家安全问题如果解决不好,将全方面地危及我国政治、军事、经济和文化生活,使国家处于信息战高度经济、金融风脸的威胁之中。
其次,不法人员利用网络信息自由发送计算机病毒,轻者对网络造成危害和破坏,重者造成某种程度的网络瘫痪,带来难以挽回的损失;利用网络传播黄色、暴力、或迷信内容、教唆犯罪等有关违反国家法律、法规内容的有害信息,这不仅妨碍了人们对正确信息的获取和利用,而且也往往直接导致对信息的污染和滥用,如“”就利用这种快捷、便利的传播工具宣扬其歪理邪说,严重侵蚀人们的思想。随着越来越多的信息资源上网,一方面给人们共享信息资源创造了条件,另方面也为信息窃取和盗用提供了可乘之机。电子商务,作为一种新型的市场交易方式,正在渗透到社会的方方面面。电子商务最明显的标志便是增加了贸易机会,降低了贸易成本,提高了贸易效益。但在目前缺乏相应法律调整的电子商务世界,由于网上金融的发展尚不完善,网上黑客随时可能出现,网上交易安全性低于有形交易,网上购物的权益和安全性也无法保障。此外,在网上抢注域名,进行信息欺诈和勒索,利用网络宣传、销售假冒伪劣商品,搞不正当竞争等违法犯罪活动,也日益增加。所有这些,对网络时代的社会安全构成了巨大的威胁。因此必须采取有效措施,严厉打击、禁止这些破坏社会安全的违法犯罪行为,达到保障社会安全的目的。
再次,网络信息自由决定了网络系统的脆弱性和个人信息文档的不公开性,使得个人安全问题频频遭到挑战:如窥探、窃取或随意篡改他人个人隐私;也有人利用自身的计算机网络知识,翻译他人电子邮箱密码,破解他人网上信用卡密码,利用网络窃取他人钱财(表现为窃取可以用以支付的电子货币、账单、银行账目结算单等达到改变财产所有权的目的);乃至敲诈勒索,利用网络散布谣言,诽谤他人,侵犯他人隐私权等侵权或犯罪活动。此外,工作场所是一个介于私人住所与公共所之间的空间,雇员网上聊天、发送电子邮件等行为甚至邮件的内容都可能被雇主通过监视系统拦截获悉,雇员的隐私权在这里毫无保障。公民的个人隐私将受到极大的侵害。
3. 网络信息自由带来的网络安全问题及其对策
2008年,有12000余家网络信息使用单位和计算机用户参加了调查活动。调查显示,我国网络信息安全问题发生比例继前3年连续增长后,今年略有下降,网络信息自由带来的安全问题发生比例为62.7%;计算机病毒感染率为85.5%。多次发生网络安全问题的比率为50%,多次感染病毒的比例为66.8%,说明我国互联网用户的网络安全意识仍比较薄弱。[8]2007年3月27日,赛门铁克在北京了《第十一期互联网安全威胁研究报告( Internet Security Threat Report) 》。根据报告显示:当前威胁环境的主要特征是数据窃取、数据泄漏和为了获利而以特定组织为目标进行攻击所创造的恶意代码不断增加。攻击者不断改进攻击方法以逃避检测,进而建立全球性的协作网络,用来支持持续增长的犯罪活动。网络犯罪者以获利为目的,不断开发目的性更强的恶意威胁,试图在窃取机密信息时逃避检测。[9]
3.1 网络信息自由带来的网络安全问题
我们只讨论有网络信息自由带来的网络安全问题。网络信息自由带来的主要威胁:入侵,即未经授权的访问,试图入侵系统;攻击,如扫描系统漏洞,并加以攻击;来自互联网的病毒,尤其是电子邮件和文件下载,如CIH 病毒,“爱虫”病毒;恶意代码,即可执行的恶意代码,如特洛伊木马、蠕虫;窃听;欺骗;否认(如否认个人签名等)。
新的攻击手段:会有更多针对Windows Vista 漏洞的恶意代码,并且攻击者将会集中攻击基于Vista 的第三方厂商所开发的软件应用;第二,随着软件虚拟化日益普及,新兴攻击将随之展开,并且破坏虚拟环境将可能成为破坏主机系统的新途径。
网络安全问题的出现与网络信息自由有密不可分的关系。网络信息自由具有可以被入侵者用来侵入的弱点。通过考察在Internet上发生的黑客攻击事件,发现网络攻击的手段都是在网络信息自由的前提下利用网络中存在的各种漏洞和安全缺陷。计算机系统及网络之所以存在着脆弱性,主要是存在着以下一些不安全因素:[10]
在网络信息自由的前提下,个人网络隐私与商业秘密在性质和侵权方式上存在的相似之处。比如,两者都是以信息形式存在,都具有非物质属性、秘密性、经济价值性,均可以盗窃、利诱或其他不正当手段被获取等。[11]
3.2 网络信息自由带来的网络安全问题对策
计算机黑客的入侵、网络病毒的泛滥、保密信息的泄露、网络事故等,不仅给个人和单位造成难以弥补的经济损失,而且破坏和扰乱了正常的社会经济秩序以及人们的正常生产和生活秩序,严重的甚至威胁着国家政治、经济和军事安全,危及国家。网络的安全问题是在通向信息化社会的进程中遇到的,研究和解决这些问题已经远远不是单纯的技术问题,而且还涉及了法律政策问题和网络道德问题。我国目前正处于社会转型时期,信息网络建设正全面铺开,因而对网络安全问题进行全方位的研究和探讨,无疑是非常必要的。
3.2.1 强化思想认识,完善管理制度
同志曾指出:“互联网是开放的,信息庞杂多样,既有大量进步、健康、有益的信息,也有不少反动、迷信、黄色的内容。互联网已成为思想政治工作一个新的重要阵地。国内外敌对势力正竭力利用它同我们党和政府争夺群众,争夺青年。我们要研究其特点,采取有力措施应对这种挑战。”当前,世界各国对信息战十分重视,假如我们的网络安全无法保证,这势必影响到国家政治、经济的安全。因此,从思想上提高对计算机网络安全重要性的认识,是当前的首要任务。网络与人们的生活息息相关,网络道德教育更要从小抓起,大力普及网络安全知识,尤其要加强对大学生网络安全与道德的教育、道德风尚建设,借构建社会主义和谐社会之风,构建一个和谐网络。利用强制与自治结合,才能使整个网络长远的正常运行。
思想意识的提高意味着我们必须完善的宏观管理制度,在我国互联网初期建设初期,我国的互联网管理处于混乱状态,这从种程度上阻碍了互联网的发展,国家信息管理部门逐渐认识这一缺陷,相继成立信息产业部、信息安全中心等部门,并逐渐颁布一些相应的管理条例。这些管理制度促进了互联网的有序发展。但随着互联网的迅猛发展,我们的管理制度相对滞后,互联网发展出现了新的领域与新的问题,在这些方面,我们国家的管理制度还是一片空白。加强网络安全的防范,完善管理制度势在必行。
3.2.2 以自主研发为主,适当借鉴强国经验。
我们国家早期的互联网技术主要来自西方发达国家,这样制约我们国家计算机信息技术的发展,并且对国家安全也是相当不利的,计算机网络信息技术的自发研发成为我们工作的重中之重。在瞬息万变的网络世界中,技术的更新速度非常快,在信息全球化的形势下,如何减少本国网络安全基础设施的脆弱性,巩固其安全性,一方面,信息安全问题是信息产业发展的必然产物;另外一方面,信息安全问题的解决,有赖于信息产业的发展。没有自主的信息产业就很难保证信息安全。我们应站在全球战略的高度,结合网络安全的脆弱性,立足国内市场,提高自主研发、生产相关的应用系统与网络安全产品的能力。国家应对信息产业进行战略性扶持和鼓励。
当然我们在确立互联网技术自主研发的同时,也应该适当借鉴发达国家的经验,这是必要的。目前国际上广泛应用的网络安全技术主流趋势主要有以下几个方面:[12]内网和外网的隔离:防火墙技术;防止来自网络上的病毒:防病毒网关;内部网络的管理和安全:PPPoEPDHCP网关;加密通信和虚拟专用网(VPN):VPN ;入侵检测和主动防卫:IDS;审计和审计数据挖掘:审计服务器;网络的鉴别、授权和管理(AAA)系统:AAA。中国的信息化建设起步较晚,我们应当在国家安全的背景下,借鉴信息强国的有效战略,构建符合我国国情、科学可行的网络信息安全战略。政府应当加强网络安全应急处理工作的组织协调能力,加强国家网络安全设施的建设,统筹规划国家的信息资料备份体系。
3.2.3 促进网络信息立法,规范网络健康发展
由于互联网发展迅速,对网络媒体的法制规范与制衡也只有短短几年的时间。法律是社会关系的调节器,为促进网络媒体的健康、有序、可持续发展,大力加强网络媒体的法律法规建设和内容监管显得非常迫切。[13]自1994年我国颁布《中华人民共和国计算机信息系统安全保护条例》,后来又陆续颁布实施了《中华人民共和国计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际联网安全保护管理办法》等行政法规和规章制度。1997年修改的《刑法》第285 条、286 条以及287 条也分别规定了“非法侵入计算机信息系统罪”、“破坏计算机信息系统罪”和利用计算机实施金融诈骗、贪污、窃取国家秘密等犯罪类别。我国在信息安全领域的法制建设工作取得了令人瞩目的成绩,现有的法律法规对保障我国信息化事业的健康发展起到了积极的作用。
然而,随着信息技术的发展和网络在我国社会生活各方面的作用日益突出,我国信息安全法律法规的滞后和不完善的问题也日益明显,其主要表现为:理论研究滞后,缺乏总体思路;认识不统一,监管多元化;重管理、轻保护,公权益与私权益的对比失衡;重防范性的处罚措施,缺促进发展的法制建设,信息安全立法工作仍然任重道远。相关法律应从信息安全的主体、内容和客体三个方面来完善立法框架,考虑规范实现的可行性。
3.2.4 培育合格网民,纯化网络环境
网络的价值在于信息自由共享,但是越开放的网络,它自身的安全性受到的挑战就越大。有人认为,最安全的网络就是自我封闭的网络。因而开放和安全之间就构成一对矛盾,从理论上说,网络的安全性和开放性是呈反比的。[14]要解决这一矛盾,不但要发展网络安全技术,更需要建构全新的网络伦理规范。
4. 结束语
网络信息自由是计算机网络的主要特征,人们充分享受着互联网给我们生活带来的自由性,然而我们却要看到任何事物都存在两面性,我们在享受其带自由性的同时,也要正视网络信息自由带来的较大的危险。在信息化国家中, 信息的获取和传播更加方便快捷, 公民的信息自由与个人信息保护的冲突更加突出。平衡与协调两者的冲突应从强化思想认识,完善管理;以自主研发为主,适当借鉴强国经验制度;促进网络信息立法,规范网络健康发展;培育合格网民,纯化网络环境四方面着手。网络信息自由带来的网络安全问题不能依靠一个国家、一个企业或一种技术来解决,它涉及方方面面,是一个跨部门、跨行业、跨地区、跨国界的带有全球性的问题,是一项牵涉到政府、企业、个人和国际合作的复杂工程,需要各地区、各部门和全社会、每个人共同关心、积极参与、携手面对。[15]使我国的互联网络健康、快速发展。
参考文献:
[1]国家互联网络信息中心.中国互联网络发展报告[R].北京:互联网周刊出版社,2009年
[2]周敏.论网络传播自由与自律.湖南农机[J].2008年第5期
[3]严耕,等: 网络伦理[M],北京:北京出版社,1998年
[4]付立宏.图书馆学、信息科学、资料工作人大复印资料[J].论网民信息伦理,2OO2年4期业,2008年第2期
[5]CHIRILLOJ.黑客攻击测试篇[M].北京:机械工业出版社,2004年
[6]张寅雪.我国网络安全现状与策略分析[N].电子科技大学学报,2008年第4期
[7]公安部.2008年全国信息网络安全状况暨计算机毒疫情调查报告.计算机安全[J],2008年11期
[8]Sam Nunn, Strategic Survey topographic[J]. Aviation and Technology Week,1996年第11期
[9]金雷等.网络安全综述[J].计算机工程与设计,2003年第24期
[10]吴育珊等.网络信息自由与信息网络安全对策研究[J].南方经济,2003年第1期
[11]李晶晶.浅析我国网络隐私权保护现状暨展望[J].中国商界,2008年第7期
[12]符强等. 互联网仿真现实监管侄重道远--网络文化信息监管模式研究[J].中国电信
中国信息安全论文篇11
0.前言
随着社会不断的发展,信息技术已成为当今社会发展最为强劲的因素,是世界经济增长的强劲动力。计算机在全球范围内的普及,不仅为人类的生活、工作和学习上带来了很大的影响,同时也使很多国家的经济、军事、政治上也带来影响,所以说,对于计算机网络信息系统的依赖性是越来越大。但是,信息系统在信息安全上还是很脆弱的,存在着很大的风险,这将会给整个社会中的关键设施造成严重的威胁。所以,信息安全风险管理作为实现全社会可持续发展和信息化的保障,已经成为社会关注信息系统的重点之一。
风险管理的理论是一项为了市场竞争策略的定制和经济战略发展,而由西方资本主义国家提出的方法、措施及理论。风险管理具有广泛适用性的特点,这就造就风险管理被广泛的应用在了国家的建设、安全,社会与经济的发展,公共和信息安全等众多的方面。风险管理是在20世纪60年代应用于信息系统的信息安全方面上的。本文主要探讨了信息系统信息安全风险管理的发展历程和趋势,以及风险管理的方法分析。
1.信息系统信息安全风险管理发展的历程
1.1在理论基础上的研究
在20世纪60年代中,随着早期的计算机网络系统和计算机资源共享系统的出现,计算机信息安全也存在着问题。在1967年11月,美国委托全球多个相关企业以及研究机构,主要针对计算机系统的安全问题,开启了历史上第一次针对计算机远程终端及大型机的研究评估,并且在1970年初,《计算机安全控制》出版,该报告全文长达数百页。而该报告也为全球研究信息系统安全风险拉开序幕。
1.2在理论深入上的研究
在社会不断发展的同时,也带动了计算机信息技术的飞速进步,也使之在网络上得到广泛的应用。在1989年,美国建立计算机应急组织,也是全球最早;随后,1990年,建立应急论坛;1994年,作为美国联合委员会之一的安全组织,强调要在信息安全风险管理的基础上建立美国信息系统,1996年4月,美国国会提出“加强信息安全,降低信息战略威胁”,美国总审局为响应号召,对国防系统信息安全做了首次风险评估,之后的1996年,发表了《信息安全:针对国防部的计算机攻击正构成日益增大的风险》的报告。
故而国际化组织在1996年就制定了《信息技术信息安全管理指南》,这项规定分成了《信息安全管理技术》、《信息安全管理和规划》以及《网络安全管理指南》等等几个部分。而这个阶段的风险管理的时间和理论的特点是:从只注重信息系统信息上的单机安全问题转变成为可以同时注重网络、数据以及操作系统方面的安全问题;在根据安全评测和安全质量的保证来进行对系统安全的保障。
1.3在理论深入上进行实践基础的研究
由于20世纪90年代以来,很多国家信息网络都是局限于国内方面,随着移动通信、因特网等方面的快速发展,信息网路与国土疆域的网络界限连成一体了,很多发达的国家在经济、政治、军事以及社会活动上都对信息系统的依赖性达到了很高的尺度。但是,在当前的社会中出现了很多的黑客,信息系统的安全受到了很大程度的攻击,促使了信息战的理论正走向一种新型的、成熟的作战模式,信息系统信息安全风险问题得到了全球范围内的重视和挑战。
在这一阶段的信息系统信息安全风险管理的特点是:信心安全风险管理的对象是信息系统和信息这两个方面,其中包含了网络基础设施、局域计算环境等。同时研究人员与安全专家们达成一致共识,就是从管理、人员和技术这三个方面的能力来对信息系统信息安全风险管理进行管理。而信息安全风险管理的应从检测、反应、保护和恢复这四个方面的能力进行决策,这样就可以对信息系统信息安全建立纵深的防御体系保障。因此,风险管理作为一项通用的基础理论和方法论,广泛的应用到了信息系统信息安全的实践基础工作中。
2.信息系统信息安全风险管理的方法介绍
2.1信息系统信息安全风险管理的故障树分析法(FTA)
在20世纪60年代,最初的故障树是为了便于火箭系统进行分析而提出的,到后来这种方法广泛的应用在电子设备、化学工业、航天工业以及核工业等等方面中的可靠性分析,并且在这些方面中取得很好的成果。目前,故障树分析法现在主要用在分析一些比较大型复杂系统中的安全性和可靠性,被公认为是一种对复杂系统进行安全可靠上分析的有效方法。同时它还是top-down分析的一种方法,通过对系统中的硬件、软件和人为因素等方面可能会造成的故障进行分析,总结画出故障原因的发生概率和各种组合的方式,由总体到部分,呈树状的结构模式,进行逐层细化的进行分析。
2.2信息系统信息安全风险管理的失效式及效果/危害程度分析方法(FMECA)
它是由危害性分析和故障模式影响分析两个部分工作构成的。同时它还是用来分析审查信息系统和设备的一种潜在的故障模式,具有安全性、可靠性、维修性、保障性的特点。还可以确定其对信息系统和设备的工作能力产生的影响,从而发现潜在的薄弱环节,在针对这些问题提出预防改进的措施,来减少和消除信息系统发生故障的可能性,故而提高了信息系统和设备的安全性、可靠性、维修性、保障性的水平。它还是bottom-up分析的一种方法,只要是按照规定记录产品中可能发生故障的模式,来分析各种故障对信息系统的状态和工作的影响,并确定其单点的故障,将各种故障按对信息系统的影响的发生概率和程度来进行排序,从而发现潜在的薄弱环节,再根据这些问题提出预防改进的措施,确保了信息系统信息安全的可靠性。
3.信息系统信息安全风险管理的发展趋势
20世纪90年代,随着全球经济化的发展,信息技术也成为世界各国所关注、所需要的重要科技技术之一,而我国在信息产业、技术、网络上也在不断的蓬勃发展当中。随之而来的信息安全风险问题也日益突出,故而,信息风险管理的重要性得到空前的关注。2002年我国首次规划了关于信息安全风险管理方面的课题—《系统安全风险分析和评估方法研究》。在2003年8月中由国家组织成立了关于信息安全风险评估的课题小组,对信息系统的信息安全管理和评估进行理论上的研究。而我国很多的企业和研究机构都介绍了发达国家在信息安全风险评估、管理上的方法、经验和理论,为我国在信息安全风险管理领域可以进行研究和探讨,同时也是我国应该关注和解决的重要课题。我国信息系统信息安全风险管理研究的时间较短,而(下转第292页)(上接第317页)国外已有的方法和结论,不符合我国信息系统安全保障时间理论和研究成果均比较薄弱的情况;另一方面,传统的信息安全风险管理的方法和理论,在信息系统规模逐渐扩大和网络结构越来越复杂的情况下,不再能达到信息系统信息安全的要求。寻求适合我国信息系统信息安全风险管理的理论与方法成为当务之急。
4.结语
综上所述,信息系统信息安全风险管理在经过一定发展历程之后,又通过综合使用各种信息风险管理的分析方法的思路,来克服了信息系统中所存在的各种问题和故障,为以后信息系统信息安全风险管理的发展奠定了基础。
中国信息安全论文篇12
作者简介:王勇(1973-),男,河南确山人,上海电力学院计算机科学技术学院信息安全系,教授;周林(1968-),男,浙江宁波人,上海电力学院计算机科学与技术学院信息安全系,副教授。(上海 200090)
基金项目:本文系上海电力学院重点教改基金项目(项目编号:20121307)的研究成果。
中图分类号:G642 文献标识码:A 文章编号:1007-0079(2014)09-0024-02
信息安全专业的创新能力培养是国内相关高校新开专业所面临的重要问题。根据各个学校的自身特点,创新特色各有不同,上海电力学院的信息安全专业要在具有电力特色的基础上培养具有普适专业知识的应用型人才。[1]公安系统高校在培养信息安全人才的时候要强调该专业知识在取证和侦破领域的特色应用。[2,3]创新的基础要培养实践能力,特别是工程技术人才,只有在实践中才能对技术有深刻的认识,学习知识,发现问题,提出新问题,解决问题,初步具有创新能力。[4-6]
然而当前信息安全专业学生普遍具有行业背景特殊不明显,自学能力、创新能力、论文撰写能力比较薄弱的状态。根据上海电力学院信息安全专业特点,我们在实践中总结了创新能力培养的模式。
一、存在的问题
1.电力特色不明显
我们的专业定位是培养具有电力特色的信息安全应用型人才。虽然本专业建设了电力网络安全实验室,配置了电力专用网络安全设备,但是在教学大概上对电力特色的信息安全课程涉及不多。需在认知实践、科创、毕业设计环节中增加电力信息安全的相关内容。
2.自学能力薄弱
由于信息安全专业知识更新速度非常快,就需要老师和学生不断更新知识。而获取知识最快捷的途径就是自学。但是大学生从高中阶段转变过来后,还不适应大学教育。很多上课认真听课,课下不预习和自学的学生,发现很多知识都听不懂。这是因为信息安全领域知识面很宽,知识量较大,没有课前预习仅依靠上课的短暂时间是不够的。
但是当前学生学习主动性比较差,自学能力较低。这种现象在信息安全专业里面尤其突出。也不排除有些对信息安全有浓厚兴趣的学生,他们会主动学习新的知识,具有较强的自学能力。这样的学生在一个班级里面,处于金字塔的顶端,平均每个班级大概占10%左右。剩余的学生在自学能力方面均需要提高。
3.缺乏创新意识
在缺乏自学能力的情况下,掌握多学科交叉的信息安全专业知识就比较困难。在学习过程中会遇到很多需要解决的新问题,寻求解决新问题的创新思路就更显得薄弱。自学是要求学生能够主动学习课堂要求的预习任务,而创新意识是要求学生能发现新问题,网络搜索解决方案,并在实践中验证这些技术。
自学能力是创新意识的基础,而提高学习兴趣是解决这两个方面缺失的关键措施。
4.论文撰写能力差
在撰写实验报告过程中,发现工科学生的语言表达能力普遍较低,很多有口语化的表述,而且存在条例不清晰,逻辑不紧密,摘要内容与论文无关,实验结果分析不足等诸多问题。这是由于在高中阶段没有要求学生撰写过科技论文,也没有进行过相关培训。在大学期间,由于自学能力和创新能力的薄弱,导致实验无法独立完成,这样更加没有信心撰写实验报告,对于科技论文就更没有兴趣。
总之,信心安全专业所面临的创新人才培养存在的难题,主要表现在自学能力薄弱、缺乏创新意识、论文撰写不规范等。这三个问题是具有相互连贯性的。自学能力薄弱导致掌握新知识能力差,就缺乏发现问题、解决新问题的能力,自然无法完成论文的撰写工作,更没有心思关心论文格式方面的要求。
二、问题存在的原因
在查找根源的时候,不要把所有责任都推到学生身上,要从专业特点、学校的专业定位、培养方案、就业形势等诸多方面进行综合考虑。
1.电力特色的专业定位
上海电力学院的信息安全专业依托电力行业为背景,培养具有信息安全一般技能的专业技术人才。电力行业虽然对信息安全有很高要求,但是该行业内,对信息安全的岗位需求缺很少,电力系统的安全保障技术,基本上做运营维护,技术开发的工作集中在电力科学研究院。因为电力行业需求不高,所以还需要全面教授信息安全技术。
在这样的专业定位的基础上,培养方案中就需要涉及很多专业科目,并且针对不同的就业需要引导学生自学掌握更多特殊技能。
2.多学科融合的专业
信息安全专业是计算机科学与技术、信息与通信工程、数学等多学科的交叉学科,该专业属于多学科融合,因此要求学生不能偏科,需要学生有很强的数学基础、编程能力,甚至会涉及到通信技术。这样的学科对学生综合能力有很高要求。
该专业还具有很强的实效性。工程技术类比理论技术更新更快。有的新技术出现后,不到半年就被淘汰。这导致教程严重滞后当前最新技术,需要教师不断更新专业知识,而且也需要学生具有自学能力和创新意识。
该专业的多学科交叉和知识的快速更新,给教和学都带来了很大压力,对学生自学能力、创新能力就有更高的要求。
3.突出技术的理学培养方案
因为上海电力学院的专业规划的需要,信息安全专业定位成理学专业,这样需要更加突出理论知识的学学分。理论课的增加自然相对减少了课程实验内容。现有的信息安全培养方案中,课时数相对比较很多,留给学生自学的时间较少。虽然集中实践课程达到32学分,640学时,但是专业课的上课与上机实践比例基本上是2∶1,学生实践机会还是低于听课时间。这样在上机的时候,就会有很多学生动手能力比较差。
4.不同地域生源
信息安全专业不属于上海电力学院电力特色的专业,因此在招生的时候,对学生的吸引力不如其他特色专业。招生面向全国招生,外地生源考分在当地一般都超过一本分数线,上海属于二本。外地生源学生入校后,难免会有心理落差,但是学习还是比较用功的。上海生源计算机基础一般较好,但在最近计算机普及率增大的情况下,上海生源的计算机优势就不太明显了。
生源的特点决定了信息安全专业学生在班级里面两极分化严重。想学的学生主要是对信息安全有浓厚兴趣,或者打算考验或者考证。一般考研的学生在研究生考试的压力下,专业技术能力又不会特别突出。
5.就业形势带来的机遇与挑战
信息安全专业2013年是第一年毕业,正赶上我国设立国家安全委员会,对信息安全的重视程度上升到国家安全层面。这在宏观上促进了就业。信息安全的运营维护需求在知名企事业单位中有重要需求,但是由于这样的岗位流动性不强,岗位数量并不多,在客观上说明市场并不大。
信息安全技术开发类工作集中在国内很少的几家信息安全企业,或者是大型企业的研发部门,对信息安全的编程技术和理论水平均有较高要求。在当前就业形势下,上海电力学院培养的信息安全专业人才的就业将会面临考验。有机遇也有挑战,而且就业的好坏会直接影响到信息安全招生工作。
三、信息安全专业创新人才培养模式
当前信息安全专业创新人才培养还面临许多难题,这些难题存在有其客观的外部因素,也有学生自身原因,在当前机遇和挑战并存的形式下,我们探索了一套信息安全专业创新人才培养模式。
1.优化实践教学体系
上海电力学院2014年了建立实践教学体系的通知,让我们这两年努力做的实践教学工作有了更大的发展空间。其中包括“打破集中实践教学的固定期末两周的限制,实现集中实践教学贯穿全学期。以本专业主干课程链内容为依托的,结合理论教学和现场实际的6-8周的大型综合课程设计”。
现阶段集中实践是32学分,平时大学生科创工作并没有计算学生的学分。但是信息安全系把科创题目作为毕业设计题目,很大程度上提高了学生参加科创的积极性。
专业比较突出的学生有的开始有创业打算。有的是因为家庭的创业经历,或是被当前创业政策的吸引。为了促进就业,我们在日常科创指导中,鼓励有潜力的学生申请专利,申请创业启动资金,开创公司。但是学生对于创业还有诸多顾虑,还有学分和考勤方面的约束,真正创业的学生却很少。不过这样的思想传输给了学生,对于其将来毕业就业会产生积极影响。
2.电力特色实践培养
在电力特色的专业定位下开展了电力特色实践培养。利用电力信息安全实验室的软硬件环境,让学生对电力系统通信安全设备有了初步认识。在科创和毕业设计环境增加了电力信息安全的相关内容,在大学生暑假实习期间,教师推荐动手能力强的学生到电力公司从事电力信息安全设备的安装和配置工作,让学生对电力信息安全有深刻的现场经验。由于电力信息安全还设计到许多工业控制系统安全内容,根据我校特点,在科创和毕业设计环节中也增加了工业控制系统安全的相关内容,让部分学生了解了工业控制系统中基本的西门子PLC控制系统的设计方法,了解了Stuxnet工业控制病毒的工作原理和防御措施。
3.自学能力培养方法
增加一定数量考查课的大作业的比例,要求学生每个学期完成一份综合性报告,根据老师的大作业要求,查阅文献,学习知识,分析问题,解决问题。增加平时作业中的需要查阅资料才能解决的内容,让学生不仅学会利用课堂知识解决问题,而且还需要到图书馆和网络上查找资料,相互讨论后才能解决,通过这样的过程锻炼学生的自学能力。
4.创新能力培养方法
在实验过程中,要求学生实验报告中,必须有实验总结内容。这样可以记录验证类的实验过程中出现的问题及解决的问题过程,为论文中实验结果的分析奠定基础。增加英文论文摘要撰写的基本要求,培养学生写好英语摘要,理解摘要主要内容包括论文的研究意义、采用的方法、解决的问题、结论的分析等内容。
在毕业设计环节中,对学生论文撰写能力提出更高要求,要求严格按照上海电力学院论文格式规范撰写论文,对论文中的图表编号、参考文献的引用格式、综述的撰写、方案的描述、实验结果的分析等诸多方面进行规范要求。
四、结果与分析
通过创新人才培养模式中的诸多措施,在提高学生创新能力方面产生了积极影响,不仅将理论紧密联系实际,更培养了学生的创新精神和实践能力。有8人次参加了ACM程序设计大赛并获得二等奖和三等奖。学生潘佳亮在中国核心期刊(遴选)《现代计算机》《较高安全性能信息系统的构建》,陈正卿的论文《HTTP拆分攻击及相关组合攻击》已被中文核心期刊《计算机应用研究》录用。李中平的论文《Android手机远程控制关键技术分析》在中文核心期刊《计算机应用与软件》上发表。
虽然创新人才培养模式取得了一定的成绩,但是还没有孵化出一个科技型企业,学生英文论文水平还有待进一步提升。
五、结语
通过对信息安全专业的创新人才培养教改,提高了信息安全专业学生自学能力、创新能力、论文撰写能力。在取得一定成绩的同时,也发现创新人才培养,不仅是教育方式的改革,传统学习方式的改变,更需要从教学体系上促进以创新教育为目的实践教学体系建设。
参考文献:
[1]李红娇,魏为民,王勇,等.电力特色信息安全专业学生实践能力培养的探索[A].第九届中国通信学会学术年会论文集[C].中国通信学会,2012:5.
[2]曾刚.公安院校实践创新能力培养模式研究――以信息安全专业为例[J].辽宁警专学报,2012,(5):93-97.
[3]黄凤林,张天长,李佟鸿.信息安全专业创新性实践教学体系建设研究[J].湖北警官学院学报,2013,(12):198-200.
