当前位置: 首页 精选范文 对信息安全的理解范文

对信息安全的理解精选(十四篇)

发布时间:2023-10-11 17:26:29

序言:作为思想的载体和知识的探索者,写作是一种独特的艺术,我们为您准备了不同风格的14篇对信息安全的理解,期待它们能激发您的灵感。

对信息安全的理解

篇1

关键词:用户参与;信息安全;信息安全意识;业务流程结合;

作者简介:谢宗晓(1979-),男,山东日照人,南开大学商学院博士研究生,研究方向:信息安全管理、网络组织与治理等。

1引言

无论信息安全的关注点从单点转向系统,还是其手段从单纯的技术/管理转向体系,安全体系的核心始终都是用户。因为在所有安全机制中,一方面,用户是机器系统的使用者,也是安全策略的执行者,作为主体方存在;另一方面,用户是安全策略约束的对象,作为客体方存在。

用户在信息安全实践中的作用往往被认为是消极的,有些研究认为,在任何系统的安全机制中,人是最薄弱的环节[1-2]。但是,目前不存在完全不需要用户参与就能够智能识别并适应环境变化的安全防护系统,就这点而言,用户参与在现阶段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是确保业务连续性、业务风险最小化、投资回报和商业机遇最大化,也就是说信息安全是基于业务要求的适当安全,过度的安全往往意味着浪费。Spears等[3]的研究表明,用户参与风险评估和控制措施设计过程可以提供足够的业务信息,避免不切实际的安全控制,使实现适当的安全成为可能。因此,用户参与在信息安全实践中是必须和必要的,本研究的目的是探讨用户参与在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。

2相关研究评述

2.1用户参与

用户参与的研究开始于20世纪60年代[4-5],目前多集中在信息系统开发领域中,在相当长的一段时间内,用户参与和用户涉入的概念被认为同义。Barki等[4,6]第一次将用户涉入与用户参与的概念分离,认为用户参与是系统开发过程中用户执行的一系列行为或活动,用户涉入是用户对一个系统的重要性以及与个体关联程度认识的主观心理状态。

用户参与理论假设用户参与与以系统质量、用户满意度、用户接受度、系统应用等定义的系统成功之间存在关联[5],其中隐含的含义为,在信息系统开发过程中的用户参与并不是必须的,而在信息安全实践中的用户参与则明显不同,只有部分参与与全员参与的区别,并不存在是否参与的区别。Doll等[7]认为,在强制环境下,用户涉入与用户参与没有区别。由于用户参与在信息安全情境中已经隐含了强制环境的含义,因此本研究也认为用户涉入与用户参与同义。为了研究方便以及与信息系统开发过程形成更好的对应,本研究中的用户参与是指用户在安全策略制定过程中的一系列行为或活动。

在信息安全研究领域,绝大多数研究都在关注安全功能的实现,Dhillon等[8]在对文献进行分类梳理后认为,信息安全研究主流必然从关注功能的范式转向基于社会-组织视角的研究;Ashenden[9]反思人在信息安全管理中的作用,认为其中来自人的挑战被忽视了,并建议从管理学和组织行为学的角度研究信息安全管理所面临的困境。之后涌现出的基于社会-组织视角的信息安全相关研究中,人的因素明显成为热点,Johnston等[10]认为恐惧诉求会影响员工遵守安全策略;Bulgurcu等[11]认为员工遵守安全策略受规范信念和自我效能等因素的影响。

但是,这些关注员工遵守安全策略的研究与以往的功能范式研究假设前提一样,即用户参与(在信息安全中一般称作人的参与)是作为消极因素出现,这在信息安全风险评估和管理中尤为明显。一般认为人工评估是目前信息系统复杂到无法进行全定量化和全自动化评估时不得不采取的一个补充手段[12-14],如何去掉信息安全风险评估和管理过程中人的参与也成为其中的重要研究目标之一[15]。

在信息安全情境中,专门研究用户参与的文献较少,仅有Spears等[3,16]探讨用户参与在信息安全风险管理中的作用,并得出用户参与对信息安全风险管理有正向作用的结论,但对用户参与在信息安全中的定义未进行深入探讨,直接用信息系统开发中的系统开发替代风险管理。问题在于,在定义信息安全术语的ISO/IEC27000:2009以及类似文献中并没有明确的用户参与的词汇,只有管理者、用户以及全员参与等相关或相似词汇。更重要的是,信息安全的概念比信息系统安全的概念大得多,后者主要围绕信息系统展开,前者则包括与信息有关的所有方面,如信息系统安全、环境安全、通信安全和人员安全等各个方面。

2.2信息安全管理有效性

什么是成功有效的信息安全管理,目前并没有统一的标准。无论是DeLone等[17]研究中涉及的6个维度的信息系统成功模型,还是He等[18]得到的2组8个因变量,都是关注信息系统的成功应用,其本质是效率或便利性的提高。但是几乎所有的安全控制都增加了系统的操作复杂度,从而降低了效率,或者说,安全性与便利性存在某种程度上的矛盾。信息系统成功和信息安全管理成功指向不同的目标,因此,在信息安全管理情境下不能直接引用已有的信息系统成功模型。

已有的信息安全研究中对于有效性的表述各不相同。Chang等[19]在探讨组织文化对安全管理有效性影响时,将有效性表述为安全管理有效性,并用保密性、完整性、可用性和可核查性作为变量来表征;D'Arcy等[20]在研究员工安全意识对信息系统误用的影响时,将有效性表述为有效的安全对策;Brady[21]在研究影响信息安全法律法规符合性的影响因素时,将有效性表述为安全有效性,并延用了Chang等[19]的研究构念。

无论表述为哪个概念,绝大部分的研究在讨论有效性时都是依据安全属性和安全目的进行判断。ISO/IEC27002:2005对信息安全的定义是保持信息的保密性、完整性、可用性,也可包括真实性、可核查性、不可否认性和可靠性等。这个定义本身就包含了信息安全管理的主要目标,也包括了7个最常见的安全属性描述。实际上学术界普遍认可的信息安全的3个核心属性是保密性、完整性和可用性,也称为信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而对真实性、可核查性、不可否认性和可靠性的认识则各有不同。为了研究方便,本研究选取3个核心属性表征信息安全管理的有效性。当然,有效的信息安全管理还要考虑更多的因素,如应该遵循成本效益分析的原则[23-24]等。

2.3信息安全管理体系

信息安全管理体系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准是ISO/IEC27000标准族,共有60个标准,编号为ISO/IEC27000~ISO/IEC27059,其中最重要的标准ISO/IEC27001:2005和ISO/IEC27002:2005已经被等同为国家标准,即GB/T22080-2008和GB/T22081-2008。

本研究以信息安全管理体系为背景研究用户参与在信息安全管理中的作用,选择信息安全管理体系作为研究用户参与的背景主要原因如下。

(1)一般认为信息安全管理体系是信息安全管理的一个可接受模型或最佳实践[19,23-25],而且目前信息安全管理体系应用非常广泛。截至2011年6月,世界范围内已经通过信息安全管理体系注册的组织共有7279家,中国有497家(http:∥iso27001certificates.com/)。

(2)信息安全管理体系包括可能涉及的所有信息安全管理活动,ISO/IEC27000标准族不但给出建立、实施、运行、监视、评审、保持和改进信息安全的基于业务风险的方法,而且还给出信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等,仅ISO/IEC27002:2005信息安全管理实用规则就包括11个控制域、39个控制目标、133项控制措施。

(3)信息安全管理体系相关标准是鼓励用户参与的,部署过程按照Plan-Do-Check-Act的戴明环,阶段划分明显,而且大部分的部署组织会申请第三方认证,并在中国认证认可协会注册,因此研究者可以非常清晰地判断组织是否部署了信息安全相关措施、是否在信息安全实践中有用户参与行为等。

3研究假设和模型构建

3.1用户参与对信息安全管理有效性的直接影响

Ives等[26]对1959年至1981年的用户参与与信息管理系统成功之间关系的实证研究进行梳理发现,22项研究中有8项表明用户涉入与系统成功正相关;Cavaye[27]对1982年至1992年的研究分析得出的结果基本类似,19项研究中有7项表明用户涉入与系统成功正相关,部分研究是无定论或负相关;He等[18]从464项研究中选择82项实证性研究进行元分析,认为用户参与和信息系统开发的态度和行为与生产率存在不同程度的正相关。

虽然信息系统成功和信息安全管理成功指向不同的目标,但两者的开发过程存在极大的相似性。信息安全管理体系的部署过程实际上是一整套安全策略体系的开发过程,可认为是系统开发的一种,信息系统开发的过程包括需求分析、概要设计、详细设计、编码、测试、上线、维护升级等阶段,信息安全管理体系的部署过程包括风险评估、体系设计、文件设计与编写、试运行、持续改进等过程。信息系统开发与信息安全管理体系部署的对应关系见图1。

基于此,本研究提出假设。

H1用户参与对信息安全管理有效性有显著的正向作用。

3.2信息安全意识及其中介作用

信息安全良好实践(thestandardofgoodpracticeforinformationsecurity,SoGP)将信息安全意识定义为组织内所有的员工理解信息安全的重要性,清楚组织所适用的安全级别,知悉并履行个人的安全职责。

用户参与到建立信息安全管理体系的过程中,并承担各种安全责任,可以加深用户对信息安全的理解。Spears等[3]通过研究认为,用户参与到信息安全风险管理的过程中可以提高组织对信息安全风险和控制措施的重视程度,从而提高用户的信息安全意识。基于此,本研究提出假设。

H2用户参与对信息安全意识有显著的正向作用。

Kruger等[28]认为,安全控制的应用效果依赖于积极的安全环境,其中每个人都具有较高的信息安全意识,都理解并执行组织内的程序和规程;反之,在消极的安全环境中,安全控制不但得不到有效的应用,甚至会被规避和滥用。按动机分,主要有以下两种情况。

(1)故意的。如银行业务系统用户的非法外联,由于不理解信息安全的重要性,不了解后果的严重性,这类用户往往并不知悉组织的信息安全惩戒措施或相关的法律法规,可以归结为信息安全意识薄弱。

(2)无意的。如服装设计人员不知悉哪些信息需要保密、哪些信息可以公开,将作废的设计图纸随手扔进垃圾箱,这可能导致信息泄漏,影响信息的保密性。再如,有些用户对主机的安全操作规程不了解,随便重启服务器,这可能导致宕机,并由此影响信息的可用性。

这些导致信息安全管理失效的行为或多或少与信息安全意识相关联。

基于此,本研究提出假设。

H3信息安全意识对信息安全管理有效性有显著的正向作用。

H4信息安全意识在用户参与与信息安全管理有效性的关系中起中介作用。

3.3业务流程结合及其中介作用

系统质量理论认为,用户参与可以使开发者真正了解系统需求,从而提高系统质量[29-31]。在信息安全管理情境中,没有涉及质量这一概念,ISO9000:2005对质量的定义是,一组固有特性满足要求的程度,按照这个定义,信息安全管理的要求是满足组织业务对安全的需要。用户(尤其是业务流程负责人)参与到信息安全管理的建设过程中可以使安全策略开发者了解业务过程,同时也使他们自己更加理解安全策略目的,从而促进安全策略与业务流程进行结合,提高安全策略的质量。Spears等[3]的研究证实用户参与可以使信息安全风险管理更加符合业务情境。基于此,本研究提出假设。

H5用户参与对业务流程结合有显著的正向作用。

对用户参与信息系统开发与系统使用之间关系的研究表明,只有在可选择应用的环境中进行研究才有意义[17]。但Barki等[4]认为,即使在强制应用环境中,用户还是可以根据自己的判断(如态度和意愿)控制使用的程度,而信息系统的使用程度正是信息系统成功的参数之一。

信息安全管理是强制环境,但是在实际应用中安全策略的设计者出于尽职免责的心态,很容易陷入过度安全的状态,而业务流程负责人出于对自身利益的考虑则希望尽量减少安全控制对正常业务的影响,这种矛盾的存在往往会导致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效实施。

由安全主管和业务流程人员共同参与设计安全策略是解决这个矛盾的途径之一,这个过程往往是一个博弈的过程,最后一般会使组织的安全策略符合基线标准。只有这种充分考虑了业务要求的安全策略才能得到高“使用程度”,进而提高信息安全管理的有效性。因此,本研究提出假设。

H6业务流程结合对信息安全管理有效性有显著的正向作用。

H7业务流程结合在用户参与与信息安全管理有效性的关系中起中介作用。

综上所述,提出本研究模型,如图2所示。

4研究设计

4.1样本选择

研究者从2011年6月前通过信息安全管理体系认证的497家中国公司随机抽取30家,给每家公司发放10份问卷,以邮寄的方式将问卷发放给被选公司的信息安全负责人,随后以第三方认证机构电话确认的方式,请公司信息安全负责人组织公司相关成员填写问卷,并以邮寄的方式回收问卷。收回256份问卷,剔除问题填写不完整的22份问卷,最终纳入数据分析的问卷共234份,问卷的有效率为78%。填写问卷人员的描述性统计如表1所示,其中男性占60.684%,女性占39.316%,与目前信息安全从业人员性别比例基本相符。

4.2变量和测量

4.2.1自变量:用户参与

用户参与沿用Barki等[6]和Spears等[3]的测量框架,按项目阶段确定关键活动。信息安全管理体系采用PDCA框架模型,阶段划分明确,本研究也采用分阶段罗列关键活动的方法对用户参与程度进行测量,每阶段选取7项关键活动,用户参与其中一项得1分,否则为0,以此类推,每个阶段的用户参与结果最小值为0,最大值为7。

用户参与问卷以ISO/IEC27001:2005和谢宗晓等[22,32]描述的信息安全管理体系部署过程中一系列关键活动为基础,选择36项关键活动,其中计划阶段12项、执行阶段12项、检查阶段8项、改进阶段4项,并把检查和改进阶段合并为12项。在信息安全管理体系从业人员中选取22人,采用多选项-多选择量表的方法,限定从业人员分别从36项关键活动中选择7个认为最重要的选项,从业人员分布见表2,选择结果统计见表3。

4.2.2中介变量:信息安全意识和业务流程结合

无论在萨班斯奥克斯利法案还是在信息安全管理体系的情境下,信息安全意识和业务流程结合的含义基本一致,都是为了提高信息安全管理的有效性。信息安全意识量表和业务流程结合量表修改自Spears等[3]的问卷,该问卷为Likert7点量表,1为非常反对,7为非常支持。

4.2.3因变量:信息安全管理有效性

采用Chang等[19]设计、Brady[21]沿用并修改的Likert7点量表测量信息安全管理有效性,1为非常反对,7为非常支持。

由于信息安全意识、业务流程结合和信息安全管理有效性的测量量表引用自英文文献,为了保证问卷的有效性,研究者将英文翻译成中文,请两名中文专业硕士研究生对问卷的行文进行修改以符合中文习惯,然后请两位信息安全领域的专家比对问卷的中英文内容并审核确认,所有变量及问卷项见表4。

4.3构建有效性

用户参与、信息安全意识、业务流程结合和信息安全管理有效性4个潜变量的信度(Cronbach'sα)、均值、标准差、极值和相关系数如表5所示。用户参与、信息安全意识、业务流程结合、信息安全管理有效性的Cronbach'sα系数分别为0.723、0.802、0.640、0.948,信度较高,在可接受范围内。Mithas等[33]认为,来源于实践、经过长期的实践检验且有权威来源的量表(如国际标准和国家标准)能够保证测量的效度。本研究中问卷的测量符合以上要求,因此能够保证效度。

4个潜变量之间的相关系数全部达到显著相关,数据适合多重中介模型检验。

5实证结果和分析

5.1同源方差分析

由于本研究中变量数据均来源于自称式问卷调查,容易导致变量之间的关系不能反映潜在构念之间的真实关系,即共同方法偏差的存在容易导致构念效度的降低,甚至影响研究假设的接受或拒绝,增加犯Ⅰ类错误或Ⅱ类错误的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取验证性因子分析方法分两步对问卷共同方法偏差进行分析,检验结果如表6所示。

采用Harman单因子检验方法对用户参与、信息安全意识、业务流程结合和信息安全管理有效性进行检验,如果方法变异明显存在,验证性因子分析的结果容易析出一个单独因子或者一个公因子解释大部分变异[37]。由表6可知,单因子模型的拟合指标没有达到可以接受的标准,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman单因子检验方法的假设前提存在明显的缺陷,除非存在非常严重的同源偏差问题,否则一个公因子解释大部分变量变异的情况一般不会出现。为进一步探查同源偏差的可能性,本研究采用不可测量潜在方法进行因子检验,比较有共同方法偏差的模型与没有共同方法偏差的模型,如果后者的拟合指数优于前者的拟合指数,表明变量数据不存在共同方法偏差。由表6可知,四因子模型的拟合指数比较好,RMSEA<0.080,CFI>0.900,NNFI>0.900,对四因子模型与其他3个竞争模型的χ2和AIC指标(值越小越好)[38]进行比较,无共同方法偏差的四因子模型明显优于其他3个有共同方法偏差的模型,说明各变量间不存在明显的同源方差,用户参与、信息安全意识、业务流程结合和信息安全管理有效性具有良好的区分效度。

5.2结果分析

多重中介模型的验证方法有多种,MacKinnon等[39]提到14种验证路径的方法,在所有验证方法中,Preacher等[40]和Sobel[41]都推荐Bootstrapping方法,认为该方法模型参数估计更为稳健,结论也更可靠,更能避免Ⅰ类错误,尤其是进行多重中介研究时。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0验证多重中介模型。按照提出的研究假设,将用户参与设定为自变量,将信息安全意识和业务流程结合设定为中介变量,将信息安全管理有效性设定为因变量,样本数量设置为5000,置信区间设置为95%,对如下方程回归系数的显著性进行检验,结果见表7和表8。

其中,c、a1、a2、c'、b1和b2为回归系数,ε1~ε4为残差。

由表7可知,c=0.674(p<0.001),达到显著水平,表明用户参与程度的不同显著影响信息安全管理有效性的高低,支持H1,同时也为中介效应的检验提供了基础。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用户参与对信息安全意识和业务流程结合有显著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意识和业务流程结合对信息安全管理有效性有显著正向作用,支持H3和H6。

整体模型指标中,F=26.508,p=0.000,说明自变量用户参与通过中介变量信息安全意识和业务流程结合对因变量信息安全管理有效性的影响达到显著水平。此外,模型的解释率R2为0.247,表明还有其他变量能够纳入模型,这也是下一步研究的方向。

由表8可知,用户参与对信息安全管理有效性总的间接效应为0.155(a1b1)+0.077(a2b2)=0.232,对应的Z检验结果为3.581(p=0.000),偏差矫正与增进95%bootstrap置信区间为{0.120,0.352},置信区间不包括零。因此,拒绝总的间接效应为零的虚无假设,表明总的间接效应显著。

在多重中介方法中,不但要关注总的间接效应,也要关注单独的中介效应,由表8可知,中介效应值如下。通过信息安全意识:a1b1=0.155(Z=2.569,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.048,0.270},置信区间不包括零;通过业务流程结合:a2b2=0.077(Z=1.967,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.018,0.162},置信区间不包括零。由此可见,信息安全意识和业务流程结合的中介效应显著,支持H4和H7。此外,两个中介效应的置信区间有重合的部分,且两者比较检验结果不显著(Z=0.992,p>0.050),可以认为两个中介变量起到的中介作用没有显著差异,同等重要。

本研究概念模型的验证如图3所示。

6讨论

(1)本研究验证了用户参与在信息安全管理中的正向作用,这对安全机制不能完全脱离人而运转的情况具有非常积极的意义。

(2)本研究解释了用户参与如何正向影响信息安全管理有效性。Spears等[3]验证了在萨班斯奥克斯利法案情境下用户参与对控制措施绩效的正向作用,但是并未揭示用户参与如何影响控制措施绩效。本研究通过构造多重中介模型,揭示了用户参与可以有效地提高员工的信息安全意识,促进业务流程结合,使组织的信息安全管理体系更加符合组织的实际安全需求,最终促进信息安全管理有效性。

(3)本研究采用多重中介的验证模型,应用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用户参与影响信息安全管理有效性的路径。

本研究结论对管理实践具有一定的指导意义,主要体现在标准制定和安全实践两个方面。

(1)本研究证实了用户参与的重要性和积极作用,为信息安全相关标准的制定、完善和提高提供了新的视角和依据。

(2)大部分组织的安全负责人都会尽量减少人在安全机制中的比重,以减少执行的不确定性,这导致2010年至2011年68%的组织在安全技术方面的投入超过整体安全预算的10%,仅17%的组织在终端用户安全意识教育方面的投入超过整体安全预算的10%,有35%的组织还不足1%;同时,有41.100%的受访组织经历了信息安全事件,攻击源来自内部用户滥用网络或邮件的占24.800%[42]。显然,组织的安全负责人应该将安全预算的分配更多地倾斜到终端用户身上。对信息安全管理体系的咨询和认证人员而言,在咨询和认证的过程中,不应仅关注安全技术的部署和安全制度的设计,也应关注如何鼓励用户参与到所有可能的活动中,并承担更多的责任。

7结论

篇2

【关键词】 心血管内科;护理;不安全因素;对策

随着现今人们生活习惯的改变,心血管疾病的发生率越来越高,但是心血管内科也是极易发生医疗纠纷的科室,除了与心血管系统疾病本身具有病因复杂、病情凶猛有关外,许多护理问题也时常引起不必要的纠纷。因此在对患者进行护理时,相关人员应给予一定的重视。本文将我院2009年11月至2010年11月期间心血管内科的50例患者作为研究对象,就心血管内科护理的不安全因素进行解析,并寻求改进措施、探索相应对策,为提高医护人员的抗风险水平提供参考。

1 资料与方法

1.1 一般资料 抽取2009年11月至2010年11月期间心血管内科的患者50例,随机分为两组,对照组和观察组。对照组中有25例心血管内科患者,患者的年龄段在42岁至80岁之间,平均年龄为(58.6±1.3)岁,其中男性16例,女性9例。观察组中有25例心血管内科患者,患者的年龄段在45岁至78岁之间,平均年龄为(60.2±1.5)岁,其中男性15例,女性10例。两组患者在年龄、性别、疾病类型、疾病程度等各方面均无显著差异(P﹥0.05),具有一定的可比性。

1.2 方法 对对照组中的心血管患者采取常规护理,即对患者进行药物、饮食等方面的护理。而对观察组中的患者采取改良护理。即在对心血管内科患者护理过程中的不安全因素进行了解后,针对其不安全因素对其相关护理进行改良。通过对两组心血管内科患者进行问卷调查,了解患者对于护理的满意程度,并且进行比较分析。调查问卷实行百分制,其中80分至100分为满意,60分至80分为比较满意,60分以下为不满意。

1.3 数据处理 将数据进行分析,组间对比应用t检验;数据采用例数(n)、百分数(%)表示,P

2 结 果

对照组25例中,满意9例(36%),比较满意12例(48.0%),不满意4例(16.0%),总满意度84.0%;观察组25例,满意13例(52.0%),比较满意11例(44.0%),不满意1例(4.0%),总满意度96.0%,因此相对于对照组,观察组中心血管内科患者对于护理的满意程度更高,P

3 讨 论

心血管疾病随着生活习惯的改变,其发生率越来越高,并且其对于人们的生活质量有一定的影响。在对患者进行疾病治疗时,相关护理的质量对于患者的疾病治疗效果有一定的影响,而在对患者进行相关护理时出现一定的不安全因素,应针对其不安全因素对护理进行一定的改良[1]。

由相关调查可以得知,在对心血管内科患者进行相关护理时,存在一定的不安全因素。第一,由于心血管内科的相关药物和医疗器材等品种较多且较为复杂,在对患者进行用药时,相关药物的选择以及剂量的使用时,若没有严格的按照药物配伍进行[2],对于患者的生命安全会造成一定的影响,在对医疗器材的使用上,若不能详细了解使用程序或手法不熟练,例如日常除颤器的维护和管理出现纰漏,急救时仪器发生故障等,往往会延误救治时机,酿成安全事故。第二,心血管内科的护理人员由于每天必须面对危重患者,所需承受的精神压力和工作压力巨大,在对患者进行相关护理时,尤其是工作繁复和紧张时,有些护理人员难免会出现负面情绪,言辞使用不当,造成一定误解。另一方面,在患者的疾病改变情况时相关护理人员并没有进行及时以及准确的记录,从而导致对于患者的疾病改变情况模糊。第三,患者及其家属对于医院医疗技术水平往往期望较高,而对于疾病本身相关知识则了解不多,在病情发生变化或突然恶化时,往往不能接受事实而出现不良情绪,在患者和护理人员之间沟通不善时时常会引起纠纷,一定程度上影响了患者的相关护理质量[3]。第四,患者在治疗过程中未遵医嘱,或者自身症状不明显时采取轻视态度,不能按时服药,擅自离开病房,不注意对自己的保护,出现问题时经常将责任归咎于医护人员[4]。

在对心血管内科患者进行护理时,针对所出现的上述不安全因素进行相应的改良。首先,应加强相关护理人员的职业素养以及专业知识,从而有效的减少护患纠纷以及不必要的错误。并且在对患者进行相关心血管药物的使用时,应根据患者的具体疾病情况,并且严格按照相关配伍原则对患者进行用药。第二,对患者进行疾病相关知识的教育,增强与病患的沟通和交流,使患者对于疾病治疗以及相关用药有一定的了解[5]。从而有效的减少由于患者对于疾病相关知识的不了解而导致的错误。第三,相关护理人员应积极的耐心的与患者进行沟通,对于患者的心理变化进行及时的了解,对患者进行相关的心理指导,从而使得患者在进行相关疾病护理时能够以较为积极的心态进行治疗。第四,应对患者的生命症状进行密切的关注,患者应定期的进行相关检查,若患者出现异常应及时的进行相应的处理。第五,加强医护人员的法律知识学习,在工作过程中能用法律知识来减少不安全事件的发生,并且在医患纠纷时用法律手段来捍卫自己的权利[6]。第六,加强医疗器械的日常管理和维护,确保器材能够正常使用,定期开展护理人员对于医疗器材使用和维护的培训,减少因仪器方面的差错引起的医疗事故。

由试验结果可以得知,对照组中对于护理满意的患者有21例,占84.0%;而观察组中对于护理满意的患者有24例,占96.0%,两组患者对于护理均较为满意,但是相对于对照组,观察组中心血管内科患者对于护理的满意程度更高(P

所以,在对心血管内科患者进行相关护理时,应针对护理过程中的不安全因素进行相应的改良,通过提高护理人员的专业知识以及职业素养,加强护患沟通,从而有效的改善护理质量,有一定的积极意义。

参考文献

[1] 孙菊,梁艳平.浅析心血管内科护理的不安全因素及其对策[J].心理医生(下半月版),2012,(7):155- 155.

[2] 朱凤珍,陈玉华,麻薇等.心血管内科护理中潜在不安全因素分析[J].吉林医学,2007,28(6):846- 847.

[3] 包惠玲.心血管内科护理中不安全因素分析[J].中国高等医学教育,2011,(1):117- 118.

[4] 周柳嫦.心血管内科护理中不安全因素分析[J].中国医药导报,2010,7(16):197- 200.

篇3

【摘要】目的:观察美托洛尔缓释片在慢性心力衰竭合并阻塞性肺疾病患者治疗中的疗效。方法:收集2007年10月-2011年10月期间我院收治的52例慢性心力衰竭合并阻塞性肺疾病患者,将其随机分为2组,对照组采用利尿、扩血管、强心治疗,治疗组在对照组的基础上加用美托洛尔缓释片,治疗10周后观察,临床症状、体征、心率、血压、心功能变化情况。结果:治疗组患者各项指标均明显改善,病人生活质量明显提高。结论:美托洛尔缓释片可作为治疗慢性心力衰竭合并阻塞性肺疾病患者的有效药物应用于临床。

【关键词】慢性阻塞性肺病; 慢性心力衰竭;疗效

国内相关学者和资料[1-2]研究表明慢性心力衰竭合并慢性阻塞性肺病(英文缩写C0PD)的病人治疗难度大,治疗后患者的预后比较差。临床中公认-受体阻滞剂,可改善患者的心功能和临床症状,提高患者的存活率和患者的生活质量,降低患者的病死率。近些年来应用-受体阻滞剂治疗心力衰竭已成为临床医学领域研究的热点。本文中笔者自2007年10月至2011年10月期间在笔者所在的医院应用一受体阻滞剂治疗慢性心力衰竭合并阻塞性肺炎的患者52例,收到比较良好的临床疗效,现总结报道如下。

1 材料和方法

1.1 一般资料:本文中笔者收集自2007年12月~2011年10月期间我院内科收治的52例心力衰竭合并阻塞性肺炎患者,将所有心力衰竭合并阻塞性肺炎患者随机分为治疗组和对照组,其中治疗组患者28例,对照组患者24例。治疗组中女7例,男17例,患者年龄35岁~79岁,平均61.9岁。治疗组中心功能Ⅳ级6例,Ⅲ级12例,Ⅱ级1O例对照组中男性患者16例,女性患者12例,患者年龄3O岁~81岁,平均年龄64.3岁。对照组心功能Ⅳ级4例,Ⅲ级12例,Ⅱ级8例。两组在病程、年龄、发病、性别、心衰分级上经均衡性检验差异无显著性。

1.2 治疗方法:对照组患者给予常规应用洋地黄制剂、利尿剂及培哚普利。

治疗组患者在对照组患者治疗方法的基础上加服美托洛尔缓释片(哈尔滨制药集团制药总厂生产)l1.875mg,每天1次开始,根据病人耐受程度的不同每2周增加剂量1次,每次递增剂量为11.875mg,逐渐达到目标剂量47.5mg 95mg,1次/日。

1.3 西医护理:无效:患者的心功能无改善或加重;有效:患者的心功能改善I级;显效:患者的心功能改善Ⅱ级以上。

1.4 统计学方法:采用卡方检验及t 检验。

2 结果

2.1 2组治疗前后心率比较

2.2 2组心功能改善情况比较差异有显著性(P

3 讨论

慢性心力衰竭合并阻塞性肺疾病是一种比较常见的临床综合征,慢性心力衰竭合并阻塞性肺疾病是各种病因的心脏病发展到终末阶段所致。利尿、强心和改善血流动力学是以前针对慢性心力衰竭合并阻塞性肺疾病的治疗的主要方法,然而这种治疗方法的长期疗效并不是十分理想,患者产生心力衰竭的时候交感神经兴奋使心脏负荷加重,心肌缺血、缺氧加重,心率增快,心电不稳,让患者容易出现心律失常的情况,而临床中我们发现-受体阻滞剂治疗心力衰竭不仅可扩张患者的血管,延长患者的心室充盈时间,降低患者的心肌能量消耗,减轻患者的心脏前后负荷,改善患者的血流动力学,改善患者的心室收缩舒张功能,从而提高慢性心力衰竭合并阻塞性肺疾病患者的生活质量和运动耐量,而且还能对抗心力衰竭时循环血中儿茶酚胺增高对心肌的损害,提高远期生存率,降低猝死率和病死率。

本文中笔者选用美托洛尔缓释片联合常规疗法治疗慢性心力衰竭合并阻塞性肺疾病疗效显著,并且元气疗效明显,患者的心功能改善明显。本文中笔者在应用美托洛尔缓释片治疗该疾病时由小剂量开始,根据患者耐受情况逐渐增加剂量,这一点值得注意。

通过本文研究表明,应用美托洛尔缓释片(哈尔滨制药集团制药总厂生产)后,慢性心力衰竭合并阻塞性肺疾病患者的心功能得到改善,从而减轻家庭、社会的经济负担,节省医疗资源。建议应尽早给予慢性心力衰竭合并阻塞性肺疾病患者美托洛尔缓释片治疗。

参考文献

[1] 叶任高,陆再英.内科学[M].6版.北京:人民卫生出版社,2004:166.

[2] 戴闺柱.心力衰竭诊断与治疗研究进展[J].中华心血管病杂志,2003,31:641-645.

[3] 中华心血管病杂志编辑委员会.慢性收缩性心力衰竭治疗建议[J].中华心血管病杂志,2001,30:7-23.

[4] 杨孜,李蓉,石凌懿,等.早发型重度先兆子痫的临床界定及保守治疗探讨[J].中华妇产科杂志,2005,40(5):302-305.

[5] 李春华,武文惠.49例早发型重度子痫前期临床分析[J].临床医药实践,2009,18(15):336 338.

篇4

一、引言

 

信息安全学科是在信息技术及其应用的快速发展中逐渐形成的,它针对信息生成、存储、传输、处理和交互的各个环节,用数学方法刻画和描述其变换的过程和状态,建立安全控制与管理模型,进而保障信息及信息系统的高安全性、高可信性和高可用性。在当前信息化和经济全球化的时代背景下,做好民族高校信息安全领域的教学研究工作,为国家储备适应全球形势变化的复合型信息安全人才越发重要。

 

中南民族大学在信息安全人才培养方面做了很多工作。其计算机科学学院、数学与统计学学院在本科阶段开设了信息安全方面的课程,计算机科学学院的信息安全专业硕士点于2012年开始招生。其中计算机科学学院从2006年开设《信息安全》双语课程。信息安全教学研究方面还有长足的发展提升空间。

 

针对信息安全课程的特点,结合我们双语教学的经验和体会,就《信息安全》双语课程教学提出几点新的和若干建议,其中关于教材的论述等课程相关情况见孟博老师的论文[1]。

 

二、信息安全课程特点

 

《信息安全》难教,学生难懂,实验难做。我们组成员以信息安全专业领域为教学内容,进行教学模式与教学方法的研究与实践。

 

《信息安全》课程特点[1-3]:

 

1.信息安全学科基础涉及面广。信息安全是一门新兴的学科,也是一门综合性很强的交叉学科,涉及密码学、通信、数学、计算机等诸多学科。

 

2.信息安全专业基础课程要求多。要想较好地掌握这门课程,需要学习数学基础课程、电路基础课程、密码学基础课程、计算机理论基础课程、网络通信基础课程等。

 

3.信息安全专业前沿性强,知识更新快。信息安全专业是围绕攻防、对抗策略和技术展开研究的,随着科学技术的发展,该研究领域的知识创新多且快。

 

我们在信息安全课程传授的过程中面临的困难如下所示:

 

(1)民族院校的学生专业素质和英语素质高低不齐;

 

(2)信息安全相关的资源分散;

 

(3)英语语言的教学与专业教育的脱节;

 

(4)理论知识和实践知识结合不紧密。

 

根据信息安全课程的特点,只有保持信息安全传授内容理论与实践知识的先进性,及时了解该学科最新研究发展动态和前沿,才能培养出具有实践和创新能力的高层次高素质人才。结合我们面临的困难,考虑到两个因素:(1)信息安全相关的前沿知识的语言载体是主要英语;(2)在课堂上尝试将理论知识和实践知识有机的结合起来,我们研究并实践将虚拟仿真实验和CLIL双语教学应用到信息安全课程传授中的模式。

 

三、虚拟仿真实验的概念及模式

 

虚拟仿真实验教学是学科专业与信息技术深度融合的产物,运用虚拟现实技术模拟实物实验的计算机辅助教学软件。目前的国内外模拟仿真软件总结如下。

 

PSPICE[4]是由SPICE(Simulation Program with Integrated Circuit Emphasis)发展而来的用于微机系列的通用电子电路功能的仿真,是一个多功能的电路模拟试验平台;Tina Pro[5]是欧洲DesignSoft公司研发的一个电子设计自动化软件,它用于模拟与数字电路的仿真分析和设计研究,分析结果可以很好地展现在图表或虚拟设备中;CircuitMaker[6]软件用于电子电路仿真实验,是一种用于电路描述与仿真的语言与仿真器软件,用于检测电路的连接和功能的完整性;Proteus[7]软件是英国Labcenter electronics公司的EDA软件,提供仿真单片机及外围器件的工具,该软件将电路仿真软件、PCB设计软件和虚拟模型仿真软件三合一的设计平台;Boson NetSim[8]模拟Cisco路由器、交换机,可自定义网络拓扑结构及连接。

 

根据《教育信息化十年发展规划(2011-2020年)》,教育部于2013年开始启动了开展了国家级虚拟仿真实验教学中心建设工作。北京邮电大学建设了国家级北邮电子信息虚拟仿真实验教学中心,开发了“开放式虚拟仿真实验教学管理平台”[9,10]。我们尝试将该平台作为信息安全课堂的辅助教学,其中一个教学内容使用虚拟仿真平台进行的网络构建,如图1所示。

 

四、CLIL双语教学的概念及模式

 

双语教学是在教学过程中使用除母语以外的一种外语,通过两种语言作为教学媒介,并在教学过程中提高学生的专业能力和外语水平。关于双语教学的模式,有多种不同的分类,如美国的“过渡式”、加拿大等“法语浸入式”等模式。20世纪20年代,CLIL(Content and Language IntegratedLeaning)[11-13]广泛应用于欧洲的双语教学领域。CLIL中文译为内容和语言的融合学习,是指将一门或多门外语作为非语言学科的教学语言,在此过程中,语言和学科将共同发挥作用。以学科内容为核心,使用真实的语言及语言材料,在课堂教学中注重学生的语言、认知和情感等因素。CLIL是欧盟在“培养多语言能力公民、促进语言教学的发展和多样化”的决议框架下推动欧盟各国开展的一种双语教学模式。这种模式相对于源于北美被全球普遍采纳的浸入式双语教学,为双语教学的理论研究和实践教学都做出了具有革新意义的贡献。

 

选择英语作为学习信息安全学科知识的语言媒介,是因为英语是当今国际各种领域的交流合作中使用频率最高的语言种类。为了使学生适应国际化教育、产业的发展趋势,有效获得更多、更新的学科知识和科技信息,并能够把我们的科技成果推向世界,高等教育承担起培养具有国际视野、具备国际竞争能力的创新型、复合型高级专门人才的责任,而双语教学可以说是承担责任的前提或必要条件。特别是CLIL双语教学模式对于中国的双语教学更具有实际的借鉴意义。CLIL双语教学模式可分为三个方面的内容,如图2所示。

 

1.内容相关的学习(Content-related learning)。在课堂上使用的全英语教学材料,该材料是否合适教学,主要看以下几个方面:通过本教学材料的学习,学生可否掌握两个以上的知识点;量化掌握知识的目标;通过什么策略让学生来掌握这些知识点,比如在学生已有知识的层面上通过视觉、或头脑风暴活动、以更友好的方式展示知识点、通过不同的学习方式如游戏或者视频支持、安排有挑战性的任务给学生来完成;

 

2.语言相关的学习(Language-related learning)。解释可能影响学生理解文章的单词;量化和语言相关的学习掌握指标;写出让学习者完成目标需要用到的策略,如尽量将英文材料通俗易懂、将关键词标下划线、英文材料提供词汇表等;

 

3.学习技能相关的学习(Learning skills-related learning)。标出技能相关的目标;量化这些目标;设计好的策略帮助学习者完成这些目标,比如重新组织知识点、通过图表等分析知识点等。

 

CLIL双语教学模式认为人的认知过程可分为5个渐进过程,即记忆、理解、运用、分析、评价、创造(Remember,Understand,Apply,Analyse,Evaluate,Create)。其中记忆、理解、运用是低层次的思维能力因为他们更具体,而分析、评价、创造是高层次的思维能力因为他们更抽象。

 

五、课程设置教学实践方案

 

通过对现有理论和实践经验的研究和探索,采用虚拟仿真实验和CLIL双语教学方法应用到信息安全的课程教学实践中。课程设置方案氛围准备阶段、CLIL教学阶段、虚拟仿真实验阶段,各阶段描述如下:

 

1.准备阶段:配发讲义,其内容主要与《Cryptography and Network Security Principles and Practice,Fifth Edition》(密码编码学与网络安全-原理与实践)课程内容接近,补充专业词汇和常见表达方式。该阶段按照教学进度安排学生自学并熟悉专业词汇,同时利用CLIL教学中针对词汇测试的有趣方法对学生进行词汇量的教学和测试。

 

2.CLIL教学阶段。教学过程中给出不同的和密码算法相关的英文版本供学生阅读、参考和讨论。在此基础上,针对不同的密码算法设计有特色的相关的简单的任务,教师讲解,学生组成团队合作,在给定的时间内呈现设计方案并且陈述其方案,交流的过程主要使用英语完成。

 

3.虚拟仿真实验阶段。在教学过程中,在算法很抽象或者熟悉相关密码算法后,老师通过虚拟仿真实验平台展示该算法的原理或实际应用,将抽象内容形象化和具体化。安排学生组成团队利用虚拟仿真实验平台设计网络安全实验,进一步巩固、实践其所学习的密码理论知识。

 

六、信息安全双语课程教学的心得与体会

 

将虚拟仿真实验和基于CLIL的双语教学引入到信息安全的课堂教学中,使得教学模式和方法多样化、智能化、规范化、国际化,旨在提高学生专业英语听说写能力;加强创新精神和实践能力的培养;更生动形象传达不易理解的知识。具体意义如图3描述,总结如下:

 

1.引入CLIL双语教学理论,将语言和学科融合进教学。学习探讨国际上主流的被大家认可的双语教学理论如CLIL,在此基础上探索适合民族院校学生特点的教学方式方法,在《信息安全》专业课程的讲授过程中将英语的语言能力培养与信息安全的专业内容融合起来一起学习,在此过程中,语言和学科将共同发挥作用。旨在提高学生的专业英语能力、扩大学生的知识面,为国家培养高素质复合型专业人才队伍。

 

2.搭建虚拟仿真实验平台,将理论和实践融合进教学。在课堂教学过程将动画模拟、虚拟仿真、远程实验和实物实验优化组合,探索各类案例的优势互补,旨在调动学生学习积极性、启迪思维、激发潜能。通过虚拟仿真实验平台,整合信息安全的相关资源,提供智能化的教学服务同时,培养学生的创新能力和动手能力。

 

本论文的探索方法将是鼓励课前预习、课程参与、课后实践。讲授方式的选择将会优化组合教学模式,激发学生学习热情,提高学习的主动性,提高学生的上课注意力。通过CLIL模式中各类学习技巧,逐步提高学生的英语能力和专业素质。

 

七、总结

 

本论文探索将CLIL双语教学模式和虚拟仿真实验应用到信息安全的课程教学过程中。学习探讨适合信息安全课程特点和民族院校教学特点的双语教学理论如CLIL双语教学模式,在《信息安全》专业课程的讲授过程中将英语的语言能力培养与信息安全的专业内容融合起来一起学习,语言和学科将共同发挥作用;同时运用虚拟仿真实验等辅助手段,将信息安全的理论知识和实践知识结合起来,提高学生对信息安全专业的认知程度。我们所做的努力最终的目标是让学生从记忆、理解、运用知识到能分析、评价、创造知识的转变,为社会培养大量既有丰富的专业知识又精通英语的高素质复合型人才。

篇5

信息安全大致可以分为两个方面一个是管理层方面;另一个是网络方面。本段将会对这两个方面所包含的内容作一下概述,以方便企业在进行信息安全管理制度的建立上可以进行全方位的掌控。

1.1管理层方面

管理层方面的信息安全大致也包括物理层方面和管理层方面。

(1)物理层方面的信息安全主要是指物理环境建设安全尤其是信息中心物理环境安全。环境安全包括防火防水防自然灾害和物理灾害等。在环境安全中,企业必须要有足够的认识,机房建设要严格按国家机房建设标准进行,做好防雷、防水、防静电等安全措施,从而杜绝各类安全隐患的发生。对企业内部员工要加强计算机安全使用规程的教育,确保计算机在安全的环境中使用,保证人长时间离开计算机时断开电源以确保安全。

(2)管理层方面的信息安全主要是指企业内部的管理制度建立是否完善,执行效果如何,企业内部员工对于信息安全的认识程度,企业内部员工职业道德的培养,企业内部员工信息安全的教育培训,网络技术人员技术能力的审核与培训以及企业内部部门的分工等。企业必须要建立完善的信息安全管理制度,这个制度是由一个总的管理制度和各部门的管理制度和监督制度共同构成的。每一个部门根据信息资产内容的不同应该有自己相应的信息安全管理制度以确保制度的行之有效。其次要设有完善的监督机制来配合管理制度的实施,一个制度的建立,必须要能够执行下去,且执行过程是有效的才能够发挥管理制度的功效。而监督机制就是对制度执行情况的进行监测,对执行的效果进行审核作用的机制。其次是对于企业员工的职业素养和信息安全的教育培训,这方面将在下一部分进行具体论述。最后就是对干企业内部各部门之间的分工。在一个企业内部是有一套自己的工作流程的,但是这个工作流程是伴随着信息的流动产生的。所以在信息流动的过程中需要将信息转变的过程进行分工,以此来保障信息在局部过程中的完整性,以防止一个环节出现问题导致全局崩溃的情况发生。对此,企业内部不但要细化工作流程,对于信息转化过程也要进行分工,以防止问题的发生。

1.2网络层方面

网络层方面的信息安全主要是指网络,系统和应用三个方面。在网络层方面的信息安全不只存在于IT部门,它应该在整个企业内部的员工中都得到重视。(1)网络。主要是包括网络上的信息以及设备的安全性能。其中可细化为网络层身份的认证,系统的安全,信息数据传输过程中的保密性,真实性和完整性以及网络资源的访问控制等。而这些网络层的信息安全出现问题,可能导致有网络黑客的侵入,计算机犯罪,信息丢失,信息窃取等威胁的存在。

(2)系统。造成系统层信息安全威胁的原因,可能出在两个方面:操作系统本身就存在安全隐患,在配置操作系统的过程中存在安全配置的问题。

(3)应用。在应用层影响信息安全的问题上,是指应用软件以及一些业务往来数据的安全,例如即时通讯系统和电子邮件等。当然,也包括一些病毒的入侵,对于系统所造成的威胁。

二、信息安全教育

2.1保密协议

在信息安全教育培训的第一步需要对保密协议进行细致设计。有的企业认为,保密协议应该只针对于不同部门间需要保密的内容进行设计,使不同部门的员工签署不同的保密协议。这是不妥的想法,而且也比较繁善。虽然不同部门间员工经常涉及到的信息保密不同,但有可能员工会有不同部门间的调配或者是不同部门间信息的相互获取。所以在保密协议上要让员工签署的是整个企业内所有需要保密的内容都要进行保密协议的确认。有些企业认为保密协议的签署应该是在员工熟悉信息安全制度和进行安全教育培训之后再进行。这也是不妥的想法,因为在员工进入公司的那一刻幵始,他就开始接触企业内的信息,所以需要员工在签署劳动合同的同时就要进行保密协议的签署。在新员工签署保密协议的时候,企业的人力资源部门如果没有对新员工讲解企业保密协议,新员工对保密协议的内容都不了解而盲目签署,这使保密协议形同虚设,并不能发挥真正的作用,新员工对干信息安全的重要性也就得不到足够的重视,所以必须认真讲解保密协议内容后,使员工理解保密协议的重要性再进行签署。

2.2信息安全管理制度

信息安全管理制度确立以后,需要对员工进行信息安全制度的培训。在培训过程中,企业不光要对于员工本岗位信息安全内容作介绍,对于其他部门信息安全内容也要做介绍,以确保员工形成信息安全的意识。在企业内部,很多员工对于信息安全的意识不够,甚至认为企业的信息根本就没有什么重要性,在工作外的时间里随意的就将企业的一些重要信息透露出去从而可能导致企业受到损失。对此,加强企业内部员工的信息安全教育培训是十分重要的。其中培训可以分为两个部分。(1)对于企业内部所有员工进行信息安全意识的教育培训。(2)对于企业内部的信息技术人员进行扣关技术知识的教育培训。

2.3员工职业素养的教育

在企业内部对员工的职业素养也需要进行培训。譬如对干一些业务员来说,职业素养的培训是非常重要的,业务员手中掌握的业务信息对于企业来说是至关重要的信息,如果这方面的信息出现问题就可能导致企业业务的流失,以及业务的持续性中断。所以企业要对内部员工的职业素养进行培训,从而促使员工清楚保证企业的信息安全也是对一个员工职业素养的基要求。

2.4普及计算机及网络知识的教育

企业内部员工根据职能的不同对于计算机熟悉程度的要求也是不同的。对于普通的办公室职员来说,会简单的基本操作就可以了。但是,如果从信息安全的角度来讲的话,员工只会基本的操作是远远不够的,必须要普及网络安全等方面的知识。譬如在计算机旁尽量不要有水或饮料的出现,因为有可能因为员工的不小心而将水洒在计算机:,从而导致计算机的短路等情况的发生。还有,员工在使用U盘的时候,有可能将家见或是其他计算机k的病毒带到企业内部,导致企、计算机被病毒入侵,促使信息的安全受到威胁。所以说,对于企业内部的员工,应该普及计算机及网络知识的教育和培训,以确保信息的安全,从而促使员工有更尚的信息安全意识。

三、结语

篇6

关键词:信息安全安全属性安全建设

我国信息化安全建设任务非常艰巨,主要包括各种业务的社会公网、行业专网、互联网等信息基础设施运营、管理和服务的安全自主保障、安全监管、安全应急和打击信息犯罪为核心的威慑体系的建设,其内容包括网络系统安全建设、领域和企业的业务信息化安全建设、网络内容与行为的安全建设和用户关注的网络安全建设等方面。这些安全建设对于不同的领域和领导层面关注的内容、对象和程度各不相同。网络信息安全是一个完整的、系统的概念。它既是一个理论问题,同时又是一个工程实践问题。由于互联网的开发性、复杂性和多样性,使得网络安全系统需要有一个完整的、严谨的体系结构来保证网络中信息的安全。

1 信息安全的定义及目标

信息的定义,从广义上讲,信息是任何一个事物的运动状态以及运动状态形式的变化,它是一种客观存在。狭义的信息的含义是指信息接受主体所感觉到并能理解的东西。ISO 13335《信息技术安全管理指南》定义:信息是通过在数据上施加某此约定而赋予这此数据的特殊含义。信息是无形的,借助于信息媒体以多种形式存在和传播,同时。信息也是一种重要资产,具有价值,需要保护。信息安全的目标是信息资产被泄露意味着保密性受到影响,被更改意味着完整性受到影响,被破坏意味着可用性受到影响。而保密性、完整性和可用性三个基本属性是信息安全的最终目标。信息安全的保护对象包括了计算机硬件、软件和数据。就本质而言,信息安全所针对的均是“信息”这种资源的“安全”,对信息安全的理解应从信息化背景出发,最终落实在信息的安全属性上。

2 构建网络信息化安全的意义

能否有效地保护信息资源,保护信息化进程健康、有序、可持续发展,直接关乎国家安危,关乎民族兴亡,是国家、民族的头等大事。没有信息安全,就没有真正意义上的政治安全,就没有稳固的经济安全和军事安全,更没有完整意义上的国家安全。信息安全是信息技术发展过程之中提出的课题,在信息化的大背景下被推上了历史舞台。信息安全不是最终目的,它只是服务于信息化的一种手段,其针对的是信息化这种战略资源的安全,其主旨在于为信息化保驾护航。

3 网络信息化的安全属性

信息安全的概念与信息的本质属性有着必然的联系,它是信息的本质属性所体现的安全意义。说安全属性研究首先要从安全定义讲起,安全定义分很多的层次,为什么分层次,我们随着它的演变来看的,信息安全最初目标,叫数据安全,它关心的是数据自身,所以是一个狭义的数据安全,是保护信息自身的安全。

3.1 保密性(Confidentiality)

在传统信息环境中,普通人通过邮政系统发信件时,为了个人隐私要装上信封。可是到了信息化时代,信息在网上传播时,如果没有这个“信封”,那么所有的信息都是“明信片”,不再有秘密可言,这便是信息安全中的保密性需求。保密性是指信息不被泄露给非授权的用户、实体或进程,或被其利用的特性。保密性不但包括信息内容的保密,还包括信息状态的保密。

3.2 完整性(Integrality)

完整性是指信息未经授权不能进行更改的特性。即信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。完整性与机密性不同,机密性要求信息不被泄露给未授权的人,而完整性则要求信息不致受到各种原因的破坏。

3.3 易用性(Availability)

易用性是信息可被授权实体访问并按需求使用的特性。在授权用户或实体需要信息服务时,信息服务应该可以使用,或者是信息系统部分受损或需要降级使用时,仍能为授权用户提供有效服务。易用性一般用系统正常使用时间和整个工作时间之比来度量。

4 构建网络信息化安全管理体系

在面向网络信息的安全系统中,安全管理是应得到高度重视的。这是因为,据相关部门统计,在所有的计算机安全事件中,约有52%是人为因素造成的,25%是由火灾、水灾等自然灾害引起的,技术错误占10%,组织内部人员作案占10%,仅有3%左右是由外部不法人员攻击造成的。简单归类,属于管理方面的原因比重高达70%以上,这正应了人们常说的“三分技术,七分管理”的笺言。因此,解决网络与信息安全问题,不仅应从技术方面着手,更应加强网络住所的管理工作。

好的网络信息化安全管理体现在以下几个方面:在组织内部建立全面的信息安全管理体系,强调信息安全是一个管理过程,而非技术过程;强调信息保密性、完整性、易用性三者在关键流程中运用的平衡;把信息提高到组织资产的高度,强调对组织信息资产进行价值及影响评估,对信息资产的脆弱性及其面临的威胁进行分析,运用风险评估、风险管理手段管理信息安全,使组织风险降低到可接受的水平;从法律和最好的实践经验角度,实施全面的控制措施,使组织信息安全威胁的方方面面置于严密控制之下;强调领导在信息安全管理中的作用;强调信息安全方针在管理体系中的作用;强调对信息技术及工具的实时和有效管理;强调组织运作的连续性及业务连续性的管理;强调信息安全管理水平的不断提高及对流程的策划、实施、检查和改进的过程;信息安全应该是一个以“价值”为基础的过程,即信息安全管理应是一个有附加价值,并讲究投入产出比的过程。

5 关注信息化安全服务的综合性、高技术性和对策性特点

信息安全产业有其鲜明的特点,虽然产生于信息化和信息系统,依然与通常的IT服务有许多区别。信息化安全的基本特征是服务性的。这种服务性与一般软件的服务性是不同的。一般应用系统或产品的服务主要是维护和培训,通常服务是非对策性的、非动态的和比较固定的。信息化安全服务是对策性的、动态性的、不断产生新内容的和似乎永远不能成熟等特性。信息化安全服务范畴几乎包括了整个信息化所包括的所有产品和系统,其服务的综合性和复杂性是显而易见的。信息化安全服务是最高技术的服务,无论从设计角度和使用的角度都要求深入、熟练和非常专业。我们可以骄傲地说,信息化安全服务是世界上最伟大的服务业,也是最困难的服务业。信息化安全服务的复杂性、高成本特性要求信息化安全企业必须在安全服务的远程化和化的推进方面做出不懈努力,不断降低服务成本。

6 结语

网络信息安全不仅仅是一个纯技术层面的问题,单靠技术因素不足以保证网络中信息的安全。网络信息安全还涉及到法律、管理、标准等多方面的问题。因此,信息安全是一个相当复杂的问题,只有协调好这些体系之间的关系,才能有效保证系统的安全。

参考文献

篇7

 

《信息安全发展概述》是本科信息研究与安全专业的一门专业基础课程,也是一门综合性和实践性都非常强的课程。对培养学员信息安危意识、信息对抗能力,为他们今后从事信息安全领域的相关工作起着重要的作用。该课程内容全面、更新快,并具有理论与实践相结合的特点,再加上计划课时有限,因此,课程教学难度大,学员有时有畏难情绪。根据本人多年来的教学实践经验和学员反馈信息,在教学过程中,对其理论教学方法、实践教学环节等多方面进行了一些深入地思考和探索。

 

一、课程特点及现状分析

 

(一)课程主要特点:时间紧、任务重

 

《信息安全发展概述》课程涉及计算机网络、密码学、法规制度等多个学科领域的知识内容,涵盖的内容较广泛。同时,随着社会信息化和政府上网工程的不断发展,信息安全新技术、新理论和新知识的实际应用周期大大缩短,如何在有限的教学时间内完成课程的教学任务,即一方面授课教员要讲清基本知识和原理,提高学员对信息安全的认识;另一方面,授课教员要知识渊博,不断地查阅最新资料和文献,并将这些新知识有机的融合进本课程的教学中,提高学员将理论与实践相结合的能力,最终使学员能利用所学的基本知识和原理解决在学习生活过程中所遇到的安全问题,以增强学员的学习兴趣,使他们感到学有所用,这也是课程的教学目的之所在。

 

(二)课程现状分析:重理论轻实践

 

《信息安全发展概述》课程往往以理论讲授为主,整个教学过程对实践的重视程度还不够,因此学员有重理论轻实践的倾向。很多学员虽然理解了有关信息安全的设计思想或流程,比如常用的加密技术、攻击者的攻击手段以及整个攻击流程等,但是在编程实现的过程中,总会遇到这样或那样的问题,从而不能达到预期的效果,究其原因,还是学员真正动手的机会比较少,实践能力较弱。

 

二、教学目标及内容的探索

 

(一)教学目标探索

 

在教学实施过程中,《信息安全发展概述》的教学目标分为三个层次,第一个层次是知识结构的建立,使学员在了解信息安全的发展现状及发展趋势的基础上,理解信息安全的基本要求,包括信息安全的定义、信息安全的标准以及信息安全体系,掌握信息安全原理;第二个层次是应用技能的训练,使学员熟练掌握信息安全具体实现技术与实际应用;第三个层次是信息安全素质的培养,使学员具有较强的信息安危意识,能够将所学理论知识应用到实践中,解决学习或生活中遇到的安全问题。最终需要达到两个目的:一是为学员揭开信息安全的神秘面纱;二是增强学员信息安危意识,培养学员的信息对抗能力,使学员不仅会用计算机,还要用好计算机。

 

(二)教学内容探索

 

在上述教学目标的牵引下,在内容安排上,以信息安全原理及应用为主线,确定了两大模块来组织《信息安全发展概述》教学的知识体系,一个模块是黑客攻击技术;另一个模块是防御技术。同时,围绕这两大模块分成若干相对独立的专题来组织教学内容,突出基本概念和基本原理,同时体现新理论、新技术、新算法在实际中的应用。在黑客攻击技术这个模块,按照黑客的攻击步骤分为五部分:网络扫描、网络监听、网络入侵、网络后门以及网络隐身。其中,网络扫描、网络监听是攻击者的信息收集阶段,在网络这个没有硝烟的战场上,在攻击者入侵之前都会想方设法搜集尽可能多的信息,网络入侵即攻击者对目标主机或服务器实施攻击,常见的攻击方式有缓冲区溢出攻击、木马、拒绝服务攻击、病毒等。网络后门即攻击者入侵成功后,为了保持对该主机或服务器的长久控制,攻击者为自己开辟的秘密通道。网络隐身是攻击者为了逃避法律责任而想出的方法和手段,比如用主机进行攻击、IP欺骗等。在防御技术这个模块,考虑到当前的热点领域和发展方向,分为加密技术、数字签名技术、身份认证技术、VPN技术、防火墙及入侵检测六部分。其中,加密技术是电子商务采取的主要安全保密措施,是最常用的安全保密手段,常用的加密技术分为对称加密(如DES、AES、3DES、IDEA等)和非对称加密(RSA)。数字签名技术是只有信息的发送者才能产生的别人无法伪造的一段数字串,这段数字串同时也是对信息的发送者发送信息真实性的一个有效证明。

 

三、课程教学探索

 

(一)理论教学探索

 

教育学著名的建构主义学习理论认为:学习不是由教师把知识简单地传递给学生,而是由学生自己建构知识的过程,这种建构是无法由他人来代替的。换句话说,教师是建构的帮助者、促进者,而不是知识的提供者和灌输者。

 

(二)教学方法探索

 

好的教学方法是保证教学质量的前提。为了培养学员的信心和兴趣,必须从学员已掌握的知识入手,循序渐进、巧妙引导,才会收到事半功倍的效果。例如:在讲授木马的时候,如果采用传统的教学方法进行讲授,由于该方法在传授知识的时候,将知识本身和知识发现的过程割裂开来,没有将知识和知识中蕴含的思想、思维和技巧同步传递给学员,导致大多数学员学了某一个知识或原理,却不能转换为自己的知识,不知道原理的具体应用和作用。

 

(三)教学手段探索

 

教学手段的灵活多样化是提高教学质量的根本。《信息安全发展概述》这门课程比较抽象,学员在刚接触的时候很难入手,但可以通过将一些抽象概念生活化,从而使课程内容简单化,一方面可以使学员易于理解,另一方面可以开发学员的智力潜能,从而调动学员学习兴趣、激发他们强大的学习动力。例如,在讲缓冲区溢出攻击时,为了让学员对缓冲区溢出有个更直观、更形象地认识,加深学员对缓冲区溢出攻击的理解,从生活中找到与之类似的实例进行类比:身份认证系统是网络安全体系的重要组成部分,它是保护网络系统安全的第一道关卡。

 

(四)实验教学探索

 

《信息安全发展概述》课程不仅是一门实践性很强的课程,同时也是一门应用型很强的专业技术课,实验教学环节举足轻重。通过参考一些国内外著名高等院校的经验与模式,为了培养学员的创新能力、动手能力,提高学员的综合素质.

 

四、结束语

 

《信息安全发展概述》课程不仅是一门实践性很强的课程,同时也是一门应用型很强的专业技术课。为了让学员更好的理解并掌握信息安全的基本原理及发展趋势,同时培养学员独立分析问题、解决问题的能力,提高学员的信息安危意识,结合在该课程教学中的一些体会,首先,探讨了课程的主要特点及内容设置;其次从教学方法、教学手段、实验环节等方面进行了实践性探索,在教学过程中取得了令人满意的教学效果。

篇8

 

随着计算机技术的不断发展与革新,计算机已经应用到各个行业中,并且越来越起到至关重要的作用。而计算机技术发展到今天,更重要的是关于信息技术的发展与应用。可以说计算机技术的核心内容就是信息技术,而当今时代也是信息的时代,信息技术已成为日常工作与生活中不可或缺的一部分。

 

1 计算机网络信息安全的定义

 

信息安全的定义是一个随着时间而不断变化的概念,总体来讲,信息安全是指信息本身在传送与储存时的完整而不受干扰。最基本的信息安全就是信息的保密性,在传递过程中不受到来自外界的窃取,这一点,从很早时起就已经有所体现,从古到今,有多种保护信息不被窃取的方式,这包括最早的对信息的封存,到后来的对信息本身的加密。人们通过越来越复杂的密码技术来确保信息在被非送达人读取后依旧不能破解,从而实现信息安全。这也是计算机网络安全技术中常用到的方式。

 

计算机网络信息安全还包括信息的完整性和真实性,信息的完整性就是指信息在送达后,接受人能够完整的读取信息中所包含的所有内容,这一点在传统信息的传送介质上较难实现,常常会因为自然条件的干扰破坏而不能完整读取。网络技术虽然能够避免大部分外界的环境干扰,但对于信息威胁严重的今天,信息的完整性仍然需要加大保护力度。信息的真实性与完整性相似,它是指信息在送达后能够如实的反应信息的原貌,而不会在传递过程中发生信息的替换或信息的重组,从而使收信人难以理解或误解。这在网络环境中与信息的完整性一样至关重要,真实而完整的信息对于网络信息的安全是一项基本要求。

 

网络信息安全还包括另一项重要因素,那就是信息的可用性,这一点对于网络信息安全来讲也是一项重要的内容。在人们收集和传递信息之后,对信息的处理是信息为人所用,是信息的体现价值的基础。因此信息的可用性对于信息而言是基础而又必须的。除此之外,信息的可控性也是信息的一项重要因素。对于信息的控制也是网络信息安全需要确保的一项重要工作之一。

 

2 当前网络信息安全的主要威胁

 

2.1 计算机硬件自身的问题

 

随着计算机的不断革新,计算机技术的不断发展,电子产业已经走上一条快速发展的高速路,然而在这样的背景下,计算机硬件在许多时候依旧是难以对网络信息安全实现保证。随着计算机硬件的老化和损坏,许多信息在计算机的存储和传递方面受到了很大的阻碍,很容易造成信息的丢失和错乱,造成读取困难。除此之外,电子产品在制造时也有着许多本身难以改变的缺点和不足,其中重要的一点是对于电的依赖。当电力中断或电力不足时,对信息的处理方面就显得十分不可靠,很容易发生因为电力问题而造成的信息的安全威胁。而外界环境如电磁污染等都会对计算机的运行造成影响。还有一点至关重要,那就是计算机自身容错性的分析,一个优异的容错性可以大幅提高信息的安全性,而相反容错性也会使得计算机在使用上对自身信息造成错误处理,影响信息安全。

 

2.2 组织管理上的不健全

 

在我国,信息安全的保证主要是通过各个单位自身的技术人员对信息进行处理和分析,并对一些网络信息安全问题进行排除。这种维护方式无论在效率上还是在成本上都远远不如集中有效专门化的管理方式,这也就为信息安全埋下隐患。此外,许多组织机构未能采取有效的信息安全管理手段,未能有效使用一些如防毒卡,身份验证卡,防火墙等防护信息安全的方式和方法。对于信息安全问题往往采用一种被动的方式来处理,通常是在发生信息安全事故后才采取有效的措施,往往会造成极大的损失。

 

2.3 计算机病毒的威胁

 

网络技术的发展使越来越多的人通过网络来实现信息的共享和读取,这就为一些威胁制造者提供了一定的机会。专门对网络信息安全破坏的使用者通常被称为黑客,他们制造出计算机病毒,通过计算机病毒对计算机数据库的入侵,实现对信息的读取和破坏活动。这种破坏活动随着网络的普及而越来越频繁,并且影响力也越来越大,例如2000年初,计算机黑客通过计算机病毒对美国商业网站进行破坏,损失高达10亿美元。

 

3 加强网络信息安全的对策

 

3.1 加强网络信息安全管理

 

网络信息安全的管理对于网络安全至关重要,加强网络信息安全管理对于网络信息安全的作用不可忽视。具体来讲,加强网络信息安全管理的首要任务是建立一个广泛的网络信息安全保证体系,通过专门的组织机构对网络信息整体安全进行保证。其次是在使用者层面建立硬件和软件上的防护体系,如对信息使用需要通过身份验证来实现对使用者的核实,通过建立防火墙来对外部攻击进行防御等一系列的防护措施,实现主动防御,建立健全信息使用规范流程。

 

3.2 增强使用者网络信息安全意识

 

对于使用者而言,信息安全意识需要植根于每一个使用者的心中。通过对使用者安全意识的强化,可以对信息的读取和使用时做到有目的的读取,并通过安全的手段来处理信息。同时,通过安全教导强化使用者主动防御的理念,通过主动地防护,在不造成损失的情况下,保证信息安全,这样不仅可以降低信息维护成本,还可以对信息的安全进行全面保护。

 

4 总结

 

总而言之,网络信息安全的保障对于信息本身有着重要意义,对于信息的使用者也有着很大的作用。好的网络信息安全防护措施可以有效促进网络信息的使用和发展,实现网络信息的广泛安全使用。

 

作者简介

篇9

关键词:计算机;网络;信息安全

我国也已进入了计算机网络时代,它对推动我国经济、科技、教育等的发展有着不可取代的重要作用和地位。而计算机技术发展到今天,更重要的是关于信息技术的发展与应用。可以说计算机技术的核心内容就是信息技术,而当今时代也是信息的时代,信息技术已成为日常工作与生活中不可或缺的一部分。

1 计算机网络信息安全的定义

信息安全的定义是一个与时俱进并不断进步完善着的概念。总体来讲,信息安全是指信息本身在传送与储存时的完整而不受干扰。最基本的信息安全就是信息的保密性,在传递过程中不受到来自外界的窃取,这一点,从很早时起就已经有所体现,从古到今,有各种保护信息不断窃取的方式,这包括最早的对信息的封存,到后来的对信息本身的加密。人们通过越来越复杂的密码技术来确保信息在被非送达人读取后依旧不能破解,从而实现信息安全。这也是计算机网络安全技术中最常用到的方式。

计算机网络信息安全还包括信息的完整性和真实性,信息的完整性就是指信息在送达后,接收人能够完整的读取信息中所包含的所有内容,这一点在传统信息的传送介质上较难实现,常常会因为自然条件的干扰破坏而不断完整读取。网络技术虽然能够避免大部分外界的环境干扰,但对于信息威胁严重的今天,信息的完整性仍然需要更大保护力度。信息的真实性与完整性相似,它是指信息在送达后能够如实的反应信息的原貌,而不会在传递过程中发生信息的替换与信息的重组,从而使收信人难以理解或误解。这在网络环境中与信息的完整性一样至关重要,真实而完整的信息对于网络信息的安全是一项基本要求。

网络信息安全还包括另一项重要因素,那就是信息的可用性,这一点对于网络信息安全来讲也是一项重要的内容。在人们收集和传递信息之后,对信息的处理为人所用,是信息的体现价值的基础。因此信息的可用性对于信息而言是基础而又必须的。除此以外,信息的可控性也是信息的一项重要因素。对于信息的控制也是网络信息完全需要确保的一项重要工作之一。

2 当前网络信息安全的主要威胁

2.1 计算机硬件自身的问题

随着计算机的不断革新,计算机技术的不断发展,电子产业已经走上一条快速发展的高速路,然而在这样的背景下,计算机硬件在很多时候依旧是难以对网络信息安全实现保证。随着计算机硬件的老化和损坏,很多信息在计算机的存储和传递方面受到了很大的阻碍,很容易造成信息的丢失和错乱,造成读取困难。除此之外,电子产品在制造时也有着许多本身难以改变的缺点和不足,其中重要的一点是对于点的依赖。当电力中断或电力不足时,对信息的处理方面酒店的十分不可靠,很容易发生因为电力问题而造成的信息的安全威胁。而外界环境如电磁污染等都会对计算机的运行造成影响,还有一点至关重要,那就是计算子自身容错性的分析,一个优异的容错性可以大幅提高信息的安全性,而相反容错性也会使得计算机在使用上对自身信息造成错误处理,影像信息安全。

2.2 组织管理上的不健全

在我国,信息安全的保证主要是通过各个单位自身的技术人员在信息进行处理和分析,并对一些网络信息安全问题进行排除。这种维护方式无论在小路上还是在成本上都远远不如几种有效专门化的管理方式,这样就为信息安全埋下隐患。此外,许多组织机构未能采取有效的信息安全管理手段,未能有效使用一些如防毒卡,身份验证卡,防火墙等防护信息安全的方式和方法。对于信息安全问题往往采用一种被动的方式来处理,通常是在发生信息安全事故后才采取有效的措施,往往会造成极大的损失。

2.3 计算机病毒的威胁

网络技术的发展越来越多的人通过网络来实现信息的共享和读取,这就为一些威胁制造者提供了一定的机会。专门对网络信息安全破坏的使用者通常被称为黑客,他们制造出计算机病毒,通过计算机病毒对计算机数据库的入侵,实现对信息的读取和破坏活动。这种破坏活动随着网络的普及而越来越频繁,并且影响力也越来越大,例如2000年初,计算机黑客通过计算机病毒对美国商业网站进行破坏,损失高达10亿美元。

3 加强网络信息安全的对策

3.1 加强网络信息安全管理

网络信息安全的管理对于网络安全至关重要,加强网络信息安全管理对于网络信息安全的作用不可忽视。具体来讲,加强网络信息安全管理的首要任务是建立一个广泛的网络信息安全保证体系,通过专门的组织机构对网络信息整体安全进行保证。其次是在使用者层面建立硬件和软件上的防护体系,如对信息使用需要身份验证来实现对使用者的核实,通过建立防护墙来对外部攻击进行防御等一系列的防护措施,实现主动防御,家里健全信息使用规范流程。

3.2 增强使用者网络信息安全意识

对于使用者而言,信息安全意识需要根植于每一个使用者的心中。通过对使用者安全信息的强化,可以对信息的读取和使用时做到有目的的读取,并通过安全的手段来处理信息。同时,通过安全教导强化使用者主动防御的理念,通过主动地防护,在不造成损失的情况下,保证信息安全,这样不仅可以降低信息维护成本,还可以对信息的安全进行全面保护。

4 总结

总而言之,网络信息安全的保障对于信息本身有着重要意义,对于信息的使用者也有着很大的作用。好的网络信息安全防护措施可以有效促进网络信息的使用和发展,实现网络信息的广泛安全使用。要实现信息网络安全就必须就需要坚持思想和技术的与时俱进,不断地提高计算机及网络安全技术的多方面建设与研发,降低和减少外来危害,确保计算机网络系统的高效运行,使计算机网络在未来为人们的生产生活发挥更加有力的作用。

参考文献

篇10

【 关键词 】 信息安全;安全治理;框架;风险管理

1 引言

随着企业的信息化建设,企业信息系统在纵、横向的耦合程度日益加深,系统间的联系也日益紧密,因此企业的信息安全影响着企业信息系统的安全、持续、可靠和稳定运行。此外,美国明尼苏达大学Bush-Kugel的研究报告指出企业在没有信息资料可用的情况下,金融业至多只能运作2天,商业则为3天,工业则为5天。而从经济情况来看,25%的企业由于数据损毁可能随即破产,40%会在两年内破产,而仅有7%不到的企业在5年后继续存活。伴随着监管机构对信息安全日趋严格的要求,企业对信息安全的关注逐渐提高,并对信息安全投入的资源不断增加,从而使得信息安全越来越为公司高级管理层所关注。

2 信息安全问题

目前企业信息安全问题主要包括几个方面。

(1)信息质量底下:无用信息、有害信息或劣质信息渗透到企业信息资源中, 对信息资源的收集、开发和利用造成干扰。

(2)信息泄漏:网络信息泄漏和操作泄漏是目前企业普遍存在的信息安全困扰。网络信息泄漏是信息在获取、存储、使用或传播的时候被其他人非法取得的过程。而操作泄漏则是由于不正当操作或者未经授权的访问、蓄意攻击等行为,从而使企业信息泄漏。

(3)信息破坏:指内部员工或者外部人员制造和传播恶意程序, 破坏计算机内所存储的信息和程序, 甚至破坏计算机硬件。

(4)信息侵权:指对信息产权的侵犯。现代信息技术的发展和应用, 导致了信息载体的变化、信息内容的扩展、信息传递方式的增加, 一方面实现了信息的全球共享, 但同时也带来了知识产权难以解决的纠纷。

3 信息安全治理的困惑

基于信息安全的重要性,企业在信息安全治理方面投入了诸多资源,但是在信息安全治理成效方面仍不尽如人意,主要问题在于几个方面。

(1)信息安全治理的范围不明确:目前企业都在尽力实现良好的信息安全治理,但是由于无法正确理解信息安全治理和信息安全管理的区别,导致了信息安全治理无法与企业的安全规划和企业战略形成一致性。表1从工作内容、执行主体和技术深度三个层面分析了两者的区别。

从表1中可以明确:信息安全治理是为组织机构的信息安全定义一个战略性的框架,指明了具体安全管理工作的目标和权责范围,使信息系统安全专业人员能够准确地按照企业高层管理人员的要求开展工作。

(2)企业信息安全治理路径的错误理解:企业在信息安全治理的过程中,最常用的手法是采用信息安全的技术措施,如使用加密和防伪技术、认证技术、防病毒技术、防火墙技术等方式来进行,但是往往企业投入很多,却没有达到预想的效果,问题在于,信息安全治理并不单单是技术问题,信息安全治理也包含了安全战略、风险管理、绩效评估、层级报告以及职责明确等方面。

4 信息安全治理关注的领域

(1)战略一致性:信息安全治理需与企业的发展战略和业务战略相一致,建立相互协作的解决方案。

(2)价值交付:衡量信息安全治理价值交付的基准是信息安全战略能否按时、按质并在预算内实现预期的价值目标。因此需要设计明确的价值目标,对信息安全治理的交付价值进行评估。

(3)资源管理:实现对支持信息运行的关键资源进行最优化投资和最佳管理。

(4)风险管理:企业管理层应具备足够的风险意识,明确企业风险容忍度,制定风险管理策略,将风险管理融入到企业的日常运营中。

(5)绩效度量:利用科学的管理方法,将信息安全治理转换为可评价的目标的行动,便于对信息安全各项工作的绩效进行有效管理。

5 信息安全治理框架

通过良好的信息安全治理, 可以保护企业的信息资产,避免遭受各种威胁,降低对企业之伤害,确保企业的永续经营,以及提升企业投资回报率及竞争优势。

通过长期的实践经验以及结合COBIT标准和GB/T 22080-2008,总结出信息安全治理的框架主要由四部分组成,如图1所示。

(1)信息安全战略:结合企业的整体信息技术战略规划和信息安全治理现状,制定信息安全战略。

(2)信息安全组织架构:根据企业层面在决策、管理和执行机制对组织结构的要求,建立信息安全治理框架和决策沟通机制,明确公司各级管理层及相关部门在信息安全组织架构中的工作职责与角色定位。

(3)信息安全职责:根据公司信息安全组织架构,进一步明确信息安全相关岗位的工作职责、分工界面和汇报路径等。

(4)信息安全管理制度:信息安全管理制度通过建立一个层次化的制度体系,针对不同的需求方(管理者、执行者、检查者等)从政策、制度、流程、规范和记录等方面进行信息安全活动相关的规定,实现信息安全的功能和管理目标。

6 信息安全治理评估

企业信息安全治理评估有助于提高信息安全治理投资的效益和效果。企业的最高管理层和管理执行层可以使用信息安全治理成熟度模型建立企业的安全治理级别。该模型,如表2所示,被应用为几个方面。

(1)在市场环境中,相对于国际信息安全治理标准、行业最佳实践,以及直接竞争对手,了解企业在信息安全治理上的级别。

(2)进行差距分析,为改进措施提供明确的路径。

(3)了解企业的竞争优势和劣势。

(4)有利于对信息安全治理进行绩效评估。

7 结束语

本文从企业信息安全治理的实践出发,概述了目前企业信息安全治理存在的问题和困惑,总结了企业实现有效的信息治理的关注领域和实施内容,为企业建立良好的信息安全治理提供了基本框架。

参考文献

[1] 马峰辉,刘寿强.企业信息安全治理的经济性探析.计算机安全,2003:70-71.

[2] 娄策群,范昊,王菲.现代信息技术环境中的信息安全问题及其对策.中国图书馆学报,2000(11):33-37.

[3] 刘金锁,李筱炜,杨维永.企业实现有效的信息安全治理之路.中国管理信息化,2012(11):37-39.

[4] 黄华军,钱亮,王耀钧.基于异常特征的钓鱼网站URL检测技术[J].信息网络安全,2012,(01):23-25.

[5] 黄世中.GF(2m)域SM2算法的实现与优化[J].信息网络安全,2012,(01):36-39.

篇11

>> 计算机信息安全 计算机信息安全技术的探讨 计算机信息安全问题的研究探讨 计算机信息安全技术及防护措施探讨 计算机信息安全防护的探讨 计算机网络信息安全探讨 计算机网络信息安全技术探讨 计算机通信信息安全的防护策略探讨 计算机信息安全的防护 计算机信息安全特征研究 浅谈计算机信息安全 计算机信息安全防护 计算机信息安全特征分析 计算机信息安全管理措施 计算机信息安全与对策 计算机信息安全及对策 计算机信息安全管理探究 计算机终端安全管理探讨 提高计算机信息处理能力和信息安全能力的探讨 信息化背景下提升计算机信息安全的措施探讨 常见问题解答 当前所在位置:

[关键词]计算机;信息安全

中图分类号:P315.69 文献标识码:A 文章编号:1009-914X(2014)24-0111-01

随着计算机网络的不断发展与普及,人类生活已经入信息化、数字化时代,在我们的日常生活、学习、工作等诸多领域都有着网络的痕迹,而目前获取信息进行交流的主要手段也是网络。众所周知,一个国家国民教育程度的高低对整个国家国民素质的发展有着重要的影响。因此,网络化教育已经成为教育发展的必然趋势,国家的发展离不开教育,而教育的发展离不开网络。然而,由于种种原因,网络也有其不足之处,我们在进行网络教育的过程中必然存在很多问题。为了提供一个安全可靠的网络环境,在培养信息安全人才的同时,还必须加大网络安全系统建设的投入,这是确保信息安全的关键。

网络系统的信息安全是指防止信息被故意或偶然的非法泄露、更改、破坏或使信息被非法系统识别、控制等。所以,强化网络的信息安全,解决信息安全问题,才能使信息更加持续化,向健康的方向发展。

1.目前学校网络教育中信息安全教育存在的问题

当前,尽管全球信息化正在飞速发展,但信息在网络上也面临着随时被窃取、篡改和伪造的危险,这就对保障信息安全带来了很多挑战。因此,我们在校园环境中也要认识到,现在学生上网已经是一种非常普遍的现象,而虚拟的网络环境在为学生的学习和生活提供广阔发展空间的同时,也对学生的健康成长起着直接或间接的负面影响,例如计算机病毒、黑客攻击等现象。如果不能正确引导学生认识,那么学生对于网络信息安全的理解就会走向误区。下面将针对网络教育中存在的信息安全问题做简单论述:

1.1 对信息安全教育的认识不足

加强学校信息安全教育,不仅是保证学生身心健康发展的关键,也是同其他国家争夺人才的需要。目前很多学校未能意识到网络信息安全教育的重要性,不能深刻理解其内涵,因此,从现在开始就要培养学生对网络信息安全重要性的认识,掌握信息安全体系中最基本的原理和概念,能够熟练运用常用的工具和必要手段进行安全故障的排查等等。我们要最大限度地保证学生免受不良信息的侵害,尽量避免学生自身违法犯罪的发生,为我国培养高素质、高水平人才提供保障。

1.2 对网络信息安全教育的重视力度不够

目前很多学校对于如何将信息安全教育正规、科学的纳入到学校教学计划,还没有做出明确的规定。有些学校甚至只对个别专业的学生开设相关的信息安全教育课程,普及面非常狭窄,重视程度远远不够,导致学生对计算机软件和硬件知识体系的了解相当缺乏。为了全面提高我国高素质人才的计算机信息安全意识,我们不能仅仅对计算机专业的学生普及信息安全教育,还要将这项教育推广到非计算机专业,这对于增强我国经济社会全面信息化建设具有十分重要的保障作用。

1.3 对学校信息安全教育采用的方法不当

很多学校所采用的信息安全教育的方法比较落后,依旧沿用老方法,跟不上当今网络时代快速发展的要求,脱离了实际。大部分的教材只局限于理论的讲述,而忽视了对信息安全技能方面的培养,缺少必要的实践经验,严重影响了信息安全教育的效果。

2.计算机网络系统本身存在的主要信息安全问题

由于计算机网络的重要性和对社会活动的影响越来越大,大量数据需要进行存储和传输,某些偶然的或恶意的因素都有可能对数据造成破坏、泄露、丢失或更改。以下内容主要是论述计算机网络系统中本身存在的信息安全问题,并针对这些问题进一步提出了解决的策略。

2.1 影响计算机网络安全的因素有多种,主要是自然因素和人为因素。自然因素是指一些意外事故,例如服务器突然断电等;人为因素是指人为的入侵和破坏,这种情况危害性大且隐藏性较强。

2.2 无意的损坏,例如系统管理员安全配置不当而造成的安全漏洞,有些用户安全意识不强、口令选择不慎、将自己账户随意转借他人或与他人共享资源等带来的安全问题。

2.3 有意的破坏,例如黑客利用网络软件设计时产生的漏洞和“后门”对电脑系统的非法恶意攻击,从而使处于网络覆盖范围的电脑系统遭到非法入侵者的攻击,有些敏感数据就有可能被泄露或修改,这种破坏主要来自于黑客。

3.网络信息安全的防范措施

3.1 加强计算机防火墙的建设

所谓计算机防火墙是由软件和硬件设备组成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障。它是一种计算机硬件和软件的结合,保护内部网免受非法用户的入侵,能够保护计算机系统不受任何来自“本地”或“远程”病毒的危害,向计算机系统提供双向保护,也防止“本地”系统内的病毒向网络或其他介质扩散[2]。

3.2 建立一个安全的网络系统。

3.2.1 从技术上保障可行的资源保护和网络访问安全,主要包括网络身份认证,数据传输的保密与完整性,域名系统的安全,路由系统的安全,入侵检测的手段,网络设施防御病毒等。如加密技术,它是电子商务采取的主要安全保密措施,是最常用的安全保密手段,是利用技术手段把重要的数据变为乱码(加密)传送,到达目的地后再用相同或不同的手段还原(解密)的一种技术。

3.2.2 详细了解当前存在的网络信息安全问题,以及网络信息安全的攻击手段,积极采取相应的有效措施进行解决。

3.2.3 要从工作环境以及工作人员、外来人员方面切实做好保密工作,要有严格的岗位考核管理制度,对工作人员的安全意识要经常培训,以便从物理上断绝对网络安全的威胁。

3.2.4 用户本身方面,要有强烈的自我保护意识,对于个人隐私及与财产有关的相关信息要做好保密工作,不能轻易告知他人。

随着信息化进程的加快和网络安全行业的快速发展,网络教育在学校教育中扮演着越来越重要的角色,推动新的教育模式不断向前发展。同样,我们也面临着新的威胁,因此我们必须运用新的防护技术。网络信息安全是一个系统的工程,计算机是安全保护的对象,但执行保护的主体是人,只有树立人的计算机安全意识,才有可能防微杜渐,同时还要不断进行网络信息安全保护技术手段的研究和创新,从而使网络信息能安全可靠地为广大用户服务。

参考文献

[1] 叶炳煜.浅论计算机网络安全[J].电脑知识与技术,2009,(03).

篇12

关键词:信息安全;发展;现状;防护措施

中图分类号:TP393.08

鉴于中国经济的飞速发展,信息产业也以前所未有的速度发展着。现如今,信息产业已然成了国民经济持续发展的关键动力,而信息安全也顺理成章地成了国民必须引起重视的重大安全问题。近段时间以来,由于全球经济一体化发展的不断前进,信息问题在经济增长及国家安全中所起的作用也变得越来越大了。所以为了更好地促进我国经济的可持续增长,我们理应对信息安全问题展开深入的探讨及研究。

1 信息安全含义介绍

如今,信息安全已然成了一个出现频率特别高的名词,然而到底何谓信息安全呢?人们对于这一问题仍然缺少统一的认识。对于信息安全这一点,我们必然明确其概念,才能够真正了解信息安全的实质和范围,随后才能在实践中采取恰当的行动。

目前,学术界对信息安全的理解通常可以分为如下两种:其一,信息技术系统安全;其二,特定信息体系安全。这两种理解均涉及到了信息安全的实质,不过其描述均太过片面。尤其是如今信息竞争已然国际化,所以我们更应该将其上升至国家安全的高度。当下信息化进展已不再仅仅是技术的发展或产业的发展,它甚至还会对社会的存在及运行方式的变化造成一定的影响,也就是我们通常所说的信息化社会已然慢慢出现了。在这一大环境下,信息安全问题理所当然地延伸到了全社会的每一个领域。假如一个国家关键经济信息系统危机四伏,那该国必然会陷入混乱之中,当然整个国家的经济也无法正常运转。所以,为了更好地推动中国经济的稳步发展,我们理应出台一行列切实可行的战略及政策,以确保国家信息的安全。

2 中国信息安全现状概述

近段时间以来,由于国家宏观管理及支持力度的增大及信息安全法律制度的不断完善等因素的存在,中国信息安全行业以前所未有的速度发展着。然而,鉴于中国的信息化建设发展比较晚,相关体系及法律法规制度不健全等一系列因素的影响,中国信息化仍然存在诸多不足:

2.1 网络安全自卫水平低下

中国的信息化建设发展特别快,如今,各企业均先后成立了自己的网站,尤其是“政府上网工程”全面实施后,各级政府部门也纷纷创建了自己的网站。然而由于诸多网站均未配备防火墙设备及入侵监测系统等防护设备,这便导致了网站存在巨大信息安全隐患结局的出现。2007年,美国网络安全公司赛门铁克公司曾公开宣告称:在所有被互联网黑客攻击的国家中,中国所受的损害是最严重的。

2.2 未对国外引入的设备及软件进行有效的管理及技术改造

鉴于中国信息水平整体较低,因此许多公司及部门选择直接从国外引入先进的信息设备。不过在引入信息设备之后,他们却未对其展开必要的监测及改造,最终给黑客入侵系统及窃取信息等非法行为提供了便利。

2.3 缺少自主研究的信息安全产品

中国信息安全产业基础较薄,关键技术对其他国家的依赖性特别大,缺少自主研发产品,特别是信息安全产品。中国信息安全行业所使用的网管设备及软件大多是从国外引进来的,这导致了中国网络安全性能低下局面的出现。鉴于中国缺少自主创新的信息安全技术,因此我国的网络时刻面临着被窃听、监视及欺诈等诸多信息安全的威胁,同时网络安全也处于特别脆弱的状态。

3 推动信息安全发展的策略

毋庸质疑,相对于发达国家而言,中国在信息安全技术手段与技术装备方面所具有的水平是比较低的,这对于我国信息安全的发展是特别不利的。鉴于中国对外开放程度的不断扩大,信息化工作系统的普及,中国需面临的信息挑战将越来越大。中国是否能够恰当地处理好与信息安全相关的问题对于我国是否可以在世界竞争中站稳脚跟有着至关重要的作用。所以,我们必须及时采取一系列措施,努力强化对信息安全的了解,提高发展信息安全技术的信心及意志,推行恰当的发展策略,促进中国信息安全产业的发展。

3.1 推行信息安全发展策略,完善与信息安全相关的法律法规

国家信息安全对于国家的生存及发展而言具有举足轻足的作用,因此我们在进行信息安全发展策略的制定时绝不可仅从某一领域出发,抑或仅从技术防范出发,在制定信息安全发展战略时,工作人员理应从政治、经济及安全等多角度出发,拟定完备的信息安全策略。此外,相关政府部门还应抓紧出台相关法律及法规,汲取发达国家的经验及教训,完善与信息安全相关的法律法规。

3.2 致力技术研发,促进信息安全产业的发展

相对于发达国家而言,中国在信息安全方面存在的最大不足即技术手段及技术装备比较落后。如今中国信息安全方面所使用的设备及软件大多是通过国外进口的方式获得的,鉴于此,我国的信息安全电脑设备多数是不具备安全机制的,甚至部分设备还可能造成泄密事件的出现。此外,鉴于近年来我国信息化发展速度特别快,其他相关措施的创新无法跟上信息化的发展,加之技术手段及技术装备落后等诸多因素的影响,最终导致中国信息系统潜在威胁从生的情况出现。如果我们想扭转这一不利局面,那么国家便应在技术手段及技术装备方面投入更多的资金及人力资源,各技术人员应致力于技术研发,加快技术攻关脚步,推动信息安全产业的发展。

除此之外,国家还应出台相关规定,对于那些与国计民生及国家安全相关的关键信息系统一律选用国产设备。在这一方面韩国做得特别好,所以他们的经验是值得借鉴的。为了确保国家信息的安全,韩国所使用的密码设备及算法都是以自己国家的技术为基础实施研发的。当然针对其他信息系统设施,我们也应站在安全及保密的立场上进行技术标准的拟定。最后,对于引进技术设备这一点,相关人员理应对信息安全问题进行充分的分析及研究。

3.3 宣传信息安全思想,形成全民道德规范

信息安全具有如下两大特点:其一,涉及面广;其二,层次多。毫不夸张地说,信息安全如今已然延伸到了全球的每一个角落、每一个领域。所以我们必须大力宣扬与信息安全相关的知识,形成全民信息安全道德规范,共同努力,才能够达到确保国家信息安全的目的。对于那些在安全系统工作的人员,我们理应对其展开相关的教育,让他们拥有良好的职业操守及道德规范,让安全防范意识成为他们的自觉意识,促进信息安全系统的提升。

3.4 加强监督管理,确保信息安全

为了更好地促进信息安全行业的发展,相关部门理应加强对与信息安全系统相关人员的监督,尤其应对上网及入网信息、信息设施及相关人员的职业操守进行严格的管理,慎重对待那些与国家核心部门及关键利益相关信息系统的上网及国际联网等诸多事宜。至于国内各网络间的联系,相关部门也应实施分层次管理,力求在达到推动信息交流目的的同时,确保信息的安全。

4 结束语

总而言之,信息安全涉及范围特别广,仅进行技术的更新肯定是无法达到信息安全的目的的,所以我们还应制定一系列切实可行的安全措施,完善相关的法律法规,创建一整套行之有效的规章制度,以确保国家信息的安全。此外,人们还必须增强对信息安全的关注及防范意识,如此我们才能够为网络信息的健康发展创造一个良好的氛围,最终推动中国社会的可持续发展。

参考文献:

[1]朝晓华.浅析计算机信息安全技术[J].黑龙江科技信息,2010(05).

[2]潘小刚,周亚明,肖琳子.中国信息安全报告[M].北京:红旗出版社,2009(07).

篇13

论文关键词:信息安全;保护

信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。

1我国信息安全的现状

近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。

①网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。

②对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。

③我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。

除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。

2我国信息安全保护的策略

针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。

①加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。

②发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。

③创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。

篇14

1.1网络信息安全事件频繁发生,给社会造成了严重损失

在科学技术快速发展的环境下,计算机网络技术的发展步伐不断加快,为人们的生产、生活带来了极大的便利,但是随之而来的网络信息安全问题的威胁也在不断加大,一些钓鱼网站、黑客、木马、间谍软件、网络漏洞攻击等各种形式的网络信息安全问题经常出现。随着社会各界对网络与信息安全问题认识的不断提升,网络信息安全问题越来越得到人们的重视,根据相关部门的统计,2005年一年内我国相关部门接受的国内外网络安全事件已经超过了12万件,使我国计算机用户造成了巨大的损失。

1.2高校网络与信息安全实验教学的要求

高校是国家培训专门技术人才的重要机构,也是社会专业人才的主要来源,当前我国高校网络技术和网络安全实验教学硬件已经不能满足现阶段网络技术和网络安全实验教学的需求。因此为了适应新形势下网络与信息安全的需求,高校应该不断加大对网络技术和网络信息安全实验的建设,提升网络信息安全实验的硬件条件,从而更好地满足新形势下高校网络与信息安全对实验的需求,提升学生网络信息安全的实践能力,满足社会发展对网络信息安全人才的需求。

2、关于网络与信息安全教学实验室建设原则的分析

2.1遵循层次性原则,满足不同层次网络与信息安全课程实验的需求

网络信息安全关系到国家安全和社会发展,涉及面十分广阔。但是,不同层次和不同专业的学生对网络与信息安全专业技能和理论需求都不相同。因此,网络安全实验室的构建要充分满足不同层次的学生需求,让更多层次的学生受益。

2.2提升网络安全实验室的可扩充性,满足时展的需求

网络信息技术的发展十分迅速,因此,高校网络信息安全实验室建设,应充分考虑这一点,实验室平台要满足升级、更新的需求,要跟得上时展的步伐。实验室的构建要保证实验室能够具有较强的可扩充性,从而保证高校网络与信息安全实验教学能够满足信息安全技术的发展趋势,体现高校网络与信息安全实验教学的时代性特征。

2.3保证实验室软硬件设备先进性和实用性

网络信息安全技术是以网络通讯协议为技术基础而构建的。而当前使用的基于IPv4的IP网络正处于向IPv6转变和过渡的过程中。这次转变极大地提升了网络信息的安全性,同时也为网络计算机提供了大量的IPv6地址。针对这一系列变化,高校在网络信息安全实验室建设时,要充分考虑到实验室设备与IPv6协议的兼容性。网络信息安全实验室建设,要在为学生提供良好实验环境的基础上,考虑学生将来的就业需求,因此,实验室软硬件设备必须要具有较强的先进性和实用性,从而保证实验室能够发挥出更大的效用。

3、关于高校网络安全实验室项目设计的分析

3.1网络信息安全实验室应满足高级实验的需求

对于网络信息安全专业的学生来讲,他们在掌握常规的实验基础上还应该具备较高的网络信息安全技术和相关的实验能力。当前高级的实验和技术主要包括:VPN技术和相关配置、数字证书发放的实验、身份认证实验等等。数字证书发放实验就是使用服务器网络中的CA证书服务器,实现对实验小组发放数字证书。通过这个实验帮助学生有效掌握公钥密码运行机制以及相关技术,提升学生对数字证书的理解和使用能力。在进行数字证书认证的过程中,以发放的数字证书作为身份的依据,完成对网络服务的访问。服务器为使用者提供相关服务之前,需要具有合法的身份才能够获得系统提供的有效服务。

3.2建设网络平台

建设网络平台是高校网络与信息安全教学实验室建设的第一步,高校在建设过程中,要在原有的实验室基础上补充一些网络信息安全设备,包括每个试验台布置一台防火墙,一台IDS,在核心处布置一台安全隔离网闸、一台UTM、一台APM应用安全管理系统;高校实验室建设人员在已经补充好的网络信息安全设备上,设置安全管理平台,并对设备日志进行审计和分析,以便更好的对网络安全设备进行控制和管理。同时,每个试验台可以根据情况防止IPS入侵防护系统和安全隔离网闸。

3.3为学生提供网络安全创新实验的平台

信息安全方面的知识学习具有很强的实践性,因此,信息安全专业课程的学习对信息安全实验室的要求很高。而当前我国高校的网络信息安全教学基本都是停留在理论层面,对学生实践能力培养的关注相对较少,学校的网络安全实验室条件很差,实践课程很难高效开展,导致网络信息安全实验教学环节之后,学生的实践能力较差,无法满足社会对网络信息安全的需求。因此,配备一个合格的网络安全实验室具有极其深远的意义。高校的网络信息安全实验室在完成一般实验教学的基础上,还可为更高层次学生提供创新实验的机会和平台,让学生在现有软硬件条件的基础上,对当前的软件进行创新和改进,优化软件的效果,提升学生的网络信息安全创新能力。

3.4全面模块化的网络安全实验室解决方案

模块化的网络安全实验室解决方案把防火墙设备,WEB应用安全设备,非法信息检测设备,舆情分析系统,作为一个安全有效的防御整体,架设到高校信息安全专业的实验室中,使师生全面地对网络安全的多样性,复杂性从理论上和实际操作中得到了全方位的了解。一方面使学生毕业后真正走向网络安全方向的学生不会再和现行的网络攻击和威胁脱节,不会单独依靠简单肤浅的理论知识对繁琐复杂多样的攻击摸不到头脑,另一方面可以让学生和研究人员可以深入地了解网络安全问题,加深对网络原理、协议的理解,同时最重要的是在整个网络安全实验室中,实验者通过学习可以很清楚地了解如何进行有效的网络安全设计,避免网络风险的发生以及在网络安全事件发生的第一时间,如何有效地解决安全问题。

参考文献:

[1] 张卫东,李晖,尹钰.网络安全实验教学方法的研究[J]_实验室研究与探索,2007(12)

[2] 容治.计算机网络教学实验环境存在的问题和改革探讨[J].科技信息(科学教研),2007(21)

[3] 陈峰,沈雅婕,冯朝辉。高校网络与信息安全教学实验室建设研究[J】.网络安全技术与应用,2007(07)

作者简介: