時(shí)間:2023-03-16 15:40:15
導(dǎo)語(yǔ):在軟件安全論文的撰寫(xiě)旅程中,學(xué)習(xí)并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優(yōu)秀范文,愿這些內(nèi)容能夠啟發(fā)您的創(chuàng)作靈感,引領(lǐng)您探索更多的創(chuàng)作可能。
1.1網(wǎng)絡(luò)的設(shè)計(jì)理念
計(jì)算機(jī)網(wǎng)絡(luò)安全涉及到計(jì)算機(jī)技術(shù)中的各個(gè)方面,如網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)等等。計(jì)算機(jī)網(wǎng)絡(luò)安全的標(biāo)準(zhǔn)是網(wǎng)絡(luò)中的硬軟件、系統(tǒng)的安全受到保護(hù),在發(fā)生惡意侵入時(shí)不受破壞。在網(wǎng)絡(luò)剛產(chǎn)生時(shí),人們對(duì)于網(wǎng)絡(luò)的要求側(cè)重于可用性以及其方便程度,那時(shí)對(duì)于網(wǎng)絡(luò)安全性的認(rèn)識(shí)和重視度都不高。因?yàn)樽畛醯木W(wǎng)絡(luò)沒(méi)有遍布全球,主要是局域網(wǎng),所以基本不存在網(wǎng)絡(luò)安全的問(wèn)題,于是人們也沒(méi)有做必要的防護(hù)。后來(lái)網(wǎng)絡(luò)技術(shù)日漸進(jìn)步,互聯(lián)網(wǎng)遍布全球,將世界聯(lián)系起來(lái),網(wǎng)絡(luò)安全問(wèn)題便逐漸成為不可忽視的重大問(wèn)題。網(wǎng)絡(luò)具有關(guān)聯(lián)性的特征,所以在進(jìn)行網(wǎng)絡(luò)上的操作時(shí),很容易在安全方面受到威脅。目前的眾多網(wǎng)絡(luò)產(chǎn)品,也是基于基礎(chǔ)網(wǎng)絡(luò)協(xié)議進(jìn)行發(fā)展開(kāi)發(fā)的,與互聯(lián)網(wǎng)有著同樣的安全問(wèn)題。
1.2網(wǎng)絡(luò)開(kāi)放性
開(kāi)放性是互聯(lián)網(wǎng)的最基本特征,互聯(lián)網(wǎng)的基本準(zhǔn)則之一就是自由開(kāi)放。目前我們使用的網(wǎng)絡(luò),處于互聯(lián)網(wǎng)產(chǎn)生以來(lái)開(kāi)放性最強(qiáng)的狀態(tài)。互聯(lián)網(wǎng)從最初的局域網(wǎng)發(fā)展成為今天的世界性的網(wǎng)絡(luò),為的就是更加方便人與人之間的交流。網(wǎng)絡(luò)的開(kāi)放性為廣大用戶(hù)提供了豐富的資源,但也在同時(shí)為黑客提供了可乘之機(jī)。網(wǎng)絡(luò)安全便成了開(kāi)發(fā)者和用戶(hù)共同關(guān)心的核心問(wèn)題。
1.3網(wǎng)絡(luò)的控制管理性
互聯(lián)網(wǎng)將世界聯(lián)系在一起,每個(gè)用戶(hù)都是網(wǎng)絡(luò)中的一個(gè)元素,個(gè)人計(jì)算機(jī)以及局域網(wǎng)都連接在公共網(wǎng)絡(luò)中。網(wǎng)絡(luò)具有的關(guān)聯(lián)性使得對(duì)網(wǎng)絡(luò)進(jìn)行攻擊時(shí),只需要對(duì)網(wǎng)絡(luò)中的關(guān)鍵點(diǎn)進(jìn)行攻擊,就可以對(duì)整個(gè)安全系統(tǒng)造成影響,就能夠擊潰整個(gè)安全系統(tǒng)。互聯(lián)網(wǎng)中的關(guān)鍵點(diǎn)十分重要,若這個(gè)關(guān)鍵部位的安全保護(hù)做到位,互聯(lián)網(wǎng)的安全便有了保障。若關(guān)鍵點(diǎn)喪失了安全性,整個(gè)互聯(lián)網(wǎng)的網(wǎng)絡(luò)安全就難以維持。安全系統(tǒng)被破壞后,網(wǎng)絡(luò)運(yùn)行環(huán)境就會(huì)變得復(fù)雜,缺乏可控性以及安全性。這對(duì)每個(gè)互聯(lián)網(wǎng)中的用戶(hù)都會(huì)造成嚴(yán)重的影響,輕則導(dǎo)致文件的丟失,重則造成金錢(qián)的損失。
2網(wǎng)絡(luò)安全威脅
網(wǎng)絡(luò)面臨著多方面的威脅,一方面在于網(wǎng)絡(luò)信息的威脅,另一方面在于網(wǎng)絡(luò)設(shè)施的威脅。網(wǎng)絡(luò)安全受到威脅的首要原因是人為的疏忽,在對(duì)計(jì)算機(jī)進(jìn)行配置時(shí),因?yàn)椴僮魅藛T產(chǎn)生疏忽,產(chǎn)生安全漏洞,這樣便給了不法分子攻擊計(jì)算機(jī)的機(jī)會(huì)。用戶(hù)在對(duì)計(jì)算機(jī)進(jìn)行設(shè)置時(shí),沒(méi)有濃厚的安全意識(shí),例如口令密碼設(shè)置不夠安全以及防火墻不能及時(shí)維護(hù),這些因素都會(huì)給電腦帶來(lái)安全危害。網(wǎng)絡(luò)安全受到威脅的第二個(gè)原因是他人的惡意攻擊,其中包括兩個(gè)方面:第一,主動(dòng)攻擊,這種方式是人為對(duì)數(shù)據(jù)流進(jìn)行修改、延遲、刪除、插入以及復(fù)制的操作,通過(guò)這種操作讀計(jì)算機(jī)安全進(jìn)行攻擊,主要是對(duì)信息進(jìn)行篡改和偽造;第二,被動(dòng)攻擊,這種方式是截獲信息,通過(guò)特殊手段監(jiān)視或是偷聽(tīng)信息,以達(dá)到信息截獲的目的,這種方法比主動(dòng)攻擊較難發(fā)現(xiàn)。網(wǎng)絡(luò)安全受到威脅的第三個(gè)原因在于軟件漏洞,軟件的漏洞通常會(huì)成為黑客進(jìn)行攻擊的主要目標(biāo),通過(guò)攻擊漏洞可以摧毀整個(gè)安全系統(tǒng),除了軟件漏洞,開(kāi)發(fā)人員在研發(fā)軟件時(shí)會(huì)留有一個(gè)“后門(mén)”,方便對(duì)軟件進(jìn)行升級(jí),這也容易成為黑客攻擊的對(duì)象。網(wǎng)絡(luò)安全受到威脅的第四個(gè)原因在于管理疏漏。
3基于軟件工程技術(shù)的網(wǎng)絡(luò)安全防御
3.1防火墻
防火墻可以在硬件上進(jìn)行建設(shè),它起到了分離器、分析器和限制器的作用。它在兩個(gè)網(wǎng)絡(luò)進(jìn)行連接和通信的時(shí)候發(fā)揮作用,對(duì)信息進(jìn)行過(guò)濾和控制。防火墻包括很多類(lèi)型,應(yīng)用型、檢測(cè)型和過(guò)濾型是最為常見(jiàn)的。使用防火墻,可以對(duì)內(nèi)外網(wǎng)絡(luò)正常運(yùn)行提供保障,但防火墻也存在一定的弱點(diǎn),它無(wú)法阻止LAN內(nèi)部的攻擊。
3.2訪問(wèn)控制
訪問(wèn)控制是通過(guò)對(duì)操作系統(tǒng)中訪問(wèn)權(quán)限進(jìn)行設(shè)置,限制訪問(wèn)主體對(duì)訪問(wèn)客體的訪問(wèn)。訪問(wèn)控制是通過(guò)軟件技術(shù)對(duì)網(wǎng)絡(luò)安全進(jìn)行防御的主要手段,它通過(guò)對(duì)網(wǎng)絡(luò)資源進(jìn)行保護(hù),使網(wǎng)絡(luò)資源避免非法的訪問(wèn)。訪問(wèn)控制技術(shù)主要包括入網(wǎng)訪問(wèn)控制、網(wǎng)絡(luò)權(quán)限控制、屬性控制以及目錄級(jí)控制等。
3.3殺毒軟件
病毒是主要以一個(gè)程序的方式存在和傳播的,也有些病毒是以一段代碼的形式。病毒運(yùn)行后,會(huì)對(duì)計(jì)算機(jī)造成破壞,使計(jì)算機(jī)無(wú)法正常運(yùn)行,嚴(yán)重的則會(huì)損傷計(jì)算機(jī)的操作系統(tǒng),使整個(gè)系統(tǒng)崩潰,乃至使硬盤(pán)遭到損害。計(jì)算機(jī)病毒還有自我復(fù)制的功能,他們可以自身進(jìn)行復(fù)制后,通過(guò)移動(dòng)設(shè)備和網(wǎng)絡(luò)大肆傳播出去,感染網(wǎng)絡(luò)內(nèi)開(kāi)放的其他計(jì)算機(jī),對(duì)其他計(jì)算機(jī)也造成破壞。對(duì)于計(jì)算機(jī)病毒的防治,可以分為幾個(gè)模塊,分別是病毒檢測(cè)、病毒防御和病毒清除。目前市面上有很多種類(lèi)的殺毒軟件,選擇高質(zhì)量并且及時(shí)更新的殺毒軟件,是十分重要的。安裝殺毒軟件后,要及時(shí)對(duì)電腦進(jìn)行病毒掃描,檢測(cè)出病毒的存在后,要及時(shí)進(jìn)行處理和清除,保障計(jì)算機(jī)不被病毒感染,達(dá)到保護(hù)計(jì)算機(jī)安全的目的。安裝好的殺毒軟件,不僅是對(duì)于一臺(tái)計(jì)算機(jī)安全的維護(hù),也是對(duì)網(wǎng)絡(luò)安全的維護(hù),殺毒軟件及時(shí)清除病毒,防止了病毒通過(guò)網(wǎng)絡(luò)傳播出去,造成大批計(jì)算機(jī)系統(tǒng)遭到破壞。
4結(jié)語(yǔ)
會(huì)議擬請(qǐng)公安、工業(yè)和信息化、國(guó)家保密、國(guó)家密碼管理主管部門(mén)、中國(guó)科學(xué)院、國(guó)家網(wǎng)絡(luò)與信息安全信息通報(bào)中心等部門(mén)擔(dān)任指導(dǎo)單位,同時(shí)將出版論文集,經(jīng)專(zhuān)家評(píng)選的部分優(yōu)秀論文,將推薦至國(guó)家核心期刊發(fā)表。現(xiàn)就會(huì)議征文的有關(guān)情況通知如下:
一、征文范圍
1. 新技術(shù)應(yīng)用環(huán)境下信息安全等級(jí)保護(hù)技術(shù):物聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、工控系統(tǒng)、移動(dòng)接入網(wǎng)、下一代互聯(lián)網(wǎng)(IPv6)等新技術(shù)、環(huán)境下的等級(jí)保護(hù)支撐技術(shù),等級(jí)保護(hù)技術(shù)體系在新環(huán)境下的應(yīng)用方法;
2. 關(guān)鍵基礎(chǔ)設(shè)施信息安全保護(hù)技術(shù):政府部門(mén)及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務(wù)信息系統(tǒng)等安全威脅、隱患分析及防范措施;
3. 國(guó)內(nèi)外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機(jī)制特點(diǎn),信息安全管理標(biāo)準(zhǔn)發(fā)展對(duì)策,網(wǎng)絡(luò)恐怖的特點(diǎn)、趨勢(shì)、危害研究;
4. 信息安全預(yù)警與突發(fā)事件應(yīng)急處置技術(shù):攻擊監(jiān)測(cè)技術(shù),態(tài)勢(shì)感知預(yù)警技術(shù),安全監(jiān)測(cè)技術(shù),安全事件響應(yīng)技術(shù),應(yīng)急處置技術(shù),災(zāi)難備份技術(shù),恢復(fù)和跟蹤技術(shù),風(fēng)險(xiǎn)評(píng)估技術(shù);
5. 信息安全等級(jí)保護(hù)建設(shè)技術(shù):密碼技術(shù),可信計(jì)算技術(shù),網(wǎng)絡(luò)實(shí)名制等體系模型與構(gòu)建技術(shù),漏洞檢測(cè)技術(shù),網(wǎng)絡(luò)監(jiān)測(cè)與監(jiān)管技術(shù),網(wǎng)絡(luò)身份認(rèn)證技術(shù),網(wǎng)絡(luò)攻防技術(shù),軟件安全技術(shù),信任體系研究;
6. 信息安全等級(jí)保護(hù)監(jiān)管技術(shù):用于支撐安全監(jiān)測(cè)的數(shù)據(jù)采集、挖掘與分析技術(shù),用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護(hù)技術(shù),安全態(tài)勢(shì)評(píng)估技術(shù),安全事件關(guān)聯(lián)分析技術(shù)、安全績(jī)效評(píng)估技術(shù),電子數(shù)據(jù)取證和鑒定技術(shù);
7. 信息安全等級(jí)保護(hù)測(cè)評(píng)技術(shù):標(biāo)準(zhǔn)符合性檢驗(yàn)技術(shù),安全基準(zhǔn)驗(yàn)證技術(shù),源代碼安全分析技術(shù),逆向工程剖析技術(shù),滲透測(cè)試技術(shù),測(cè)評(píng)工具和測(cè)評(píng)方法;
8. 信息安全等級(jí)保護(hù)策略與機(jī)制:網(wǎng)絡(luò)安全綜合防控體系建設(shè),重要信息系統(tǒng)的安全威脅與脆弱性分析,縱深防御策略,大數(shù)據(jù)安全保護(hù)策略,信息安全保障工作評(píng)價(jià)機(jī)制、應(yīng)急響應(yīng)機(jī)制、安全監(jiān)測(cè)預(yù)警機(jī)制。
二、投稿要求
1. 來(lái)稿內(nèi)容應(yīng)屬于作者的科研成果,數(shù)據(jù)真實(shí)、可靠,未公開(kāi)發(fā)表過(guò),引用他人成果已注明出處,署名無(wú)爭(zhēng)議,論文摘要及全文不涉及保密內(nèi)容;
2. 會(huì)議只接受以Word排版的電子稿件,稿件一般不超過(guò)5000字;
3. 稿件以Email方式發(fā)送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權(quán)出版;
5. 提交截止日期: 2014年5月25日。
三、聯(lián)系方式
通信地址:北京市海淀區(qū)首都體育館南路1號(hào)
郵編:100048
Email:.cn
聯(lián)系人: 范博、王晨
聯(lián)系電話:010-68773930,
13717905088,13581879819
論文摘要:隨著互聯(lián)網(wǎng)技術(shù)的蓬勃發(fā)展,基于網(wǎng)絡(luò)和多媒體技術(shù)的電子商務(wù)應(yīng)運(yùn)而生并迅速發(fā)展。所謂電子商務(wù)通常是指是在全球各地廣泛的商業(yè)貿(mào)易活動(dòng)中,在因特網(wǎng)開(kāi)放的網(wǎng)絡(luò)環(huán)境下,基于瀏覽器/服務(wù)器應(yīng)用方式,買(mǎi)賣(mài)雙方不謀面地進(jìn)行各種商貿(mào)活動(dòng),實(shí)現(xiàn)消費(fèi)者的網(wǎng)土購(gòu)物、商戶(hù)之間的網(wǎng)交易和在線電子支付以及各種商務(wù)活動(dòng)和相關(guān)的綜合服務(wù)活動(dòng)的一種新型的商業(yè)運(yùn)營(yíng)模式。信息技術(shù)和計(jì)算機(jī)網(wǎng)絡(luò)的迅猛發(fā)展使電子商務(wù)得到了極大的推廠,然而由于互聯(lián)網(wǎng)的開(kāi)放性,網(wǎng)絡(luò)安全問(wèn)題日益成為制約電子商務(wù)發(fā)展的一個(gè)關(guān)鍵性問(wèn)題。
一、電子商務(wù)網(wǎng)絡(luò)信息安全存在的問(wèn)題
電子商務(wù)的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險(xiǎn)和可靠性。因此電子商務(wù)活動(dòng)中的信安全問(wèn)題主要體現(xiàn)在以?xún)蓚€(gè)方面:
1、網(wǎng)絡(luò)信息安全方面
(l)安全協(xié)議問(wèn)題。目前安全協(xié)議還沒(méi)有全球性的標(biāo)準(zhǔn)和規(guī)范,相對(duì)制約了國(guó)際性的商務(wù)活動(dòng)。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問(wèn)題。互聯(lián)網(wǎng)的出現(xiàn)為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網(wǎng)絡(luò)作為自己的傳播途徑,在電子商務(wù)領(lǐng)域如何有效防范病毒也是一個(gè)十分緊迫的問(wèn)題。
(4)服務(wù)器的安全問(wèn)題。裝有大量與電子商務(wù)有關(guān)的軟件和商戶(hù)信息的系統(tǒng)服務(wù)器是電子商務(wù)的核心,所以服務(wù)器特別容易受到安全的威脅,并且一旦出現(xiàn)安全問(wèn)題,造成的后果會(huì)非常嚴(yán)重。
2、電子商務(wù)交易方面
(1)身份的不確定問(wèn)題。由于電子商務(wù)的實(shí)現(xiàn)需要借助于虛擬的網(wǎng)絡(luò)平臺(tái),在這個(gè)平臺(tái)上交易雙方是不需要見(jiàn)面的,因此帶來(lái)了交易雙方身份的不確定性。攻擊者可以通過(guò)非法的手段盜竊合法用戶(hù)的身份信息,仿冒合法用戶(hù)的身份與他人進(jìn)行交易。
(2)交易的抵賴(lài)問(wèn)題。電子商務(wù)的交易應(yīng)該同傳統(tǒng)的交易一樣具有不可抵賴(lài)性。有些用戶(hù)可能對(duì)自己發(fā)出的信息進(jìn)行惡意的否認(rèn),以推卸自己應(yīng)承擔(dān)的責(zé)任。
(3)交易的修改問(wèn)題。交易文件是不可修改的,否則必然會(huì)影響到另一方的商業(yè)利益。電子商務(wù)中的交易文件同樣也不能修改,以保證商務(wù)交易的嚴(yán)肅和公正。
二、電子商務(wù)中的網(wǎng)絡(luò)信息安全對(duì)策
1、電子商務(wù)網(wǎng)絡(luò)安全的技術(shù)對(duì)策
(1)應(yīng)用數(shù)字簽名。數(shù)字簽名是用來(lái)保證信息傳輸過(guò)程中信息的完整和提供信息發(fā)送者身份的認(rèn)證,應(yīng)用數(shù)字簽名可在電子商務(wù)中安全,方便地實(shí)現(xiàn)在線支付,而數(shù)據(jù)傳輸?shù)陌踩浴⑼暾裕矸蒡?yàn)證機(jī)制以及交易的不可抵賴(lài)性等均可通過(guò)電子簽名的安全認(rèn)證手段加以解決。(2)配置防火墻。防火墻是在兩個(gè)網(wǎng)絡(luò)通訊時(shí)執(zhí)行的一種訪問(wèn)控制尺度,它能阻止網(wǎng)絡(luò)中的黑客來(lái)訪問(wèn)你的網(wǎng)絡(luò),防止他們更改、拷貝、毀壞你的重要信息。它能控制網(wǎng)絡(luò)內(nèi)外的信息交流,提供接人控制和審查跟蹤,是一種訪問(wèn)控制機(jī)制。在邏輯,防火墻是一個(gè)分離器、限制器,能有效監(jiān)控內(nèi)部網(wǎng)和工nternet之間的任何活動(dòng),保證內(nèi)部網(wǎng)絡(luò)的安全。
(3)應(yīng)用加密技術(shù)。密鑰加密技術(shù)的密碼體制分為對(duì)稱(chēng)密鑰體制和公用密鑰體制兩。相應(yīng)地,對(duì)數(shù)據(jù)加密的技術(shù)分為對(duì)稱(chēng)加密和非討稱(chēng)力日密兩類(lèi)。根據(jù)電子商務(wù)系統(tǒng)的特點(diǎn),全面加密保護(hù)應(yīng)包括對(duì)遠(yuǎn)程通信過(guò)程中和網(wǎng)內(nèi)通信過(guò)程中傳輸?shù)臄?shù)據(jù)實(shí)施加密保護(hù)。一般來(lái)說(shuō),應(yīng)根據(jù)管理級(jí)別所對(duì)應(yīng)的數(shù)據(jù)保密要求進(jìn)行部分加密而非全程加密。
2、電子商務(wù)網(wǎng)絡(luò)安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統(tǒng)運(yùn)行狀況保密、工作日記保密等各個(gè)方面。對(duì)各類(lèi)保密都需要慎重考慮,根據(jù)輕重程度劃分好不同的保密級(jí)別,并制定出相應(yīng)的保密措施。
(2)建立系統(tǒng)維護(hù)制度。該制度是電子商務(wù)網(wǎng)絡(luò)系統(tǒng)能否保持長(zhǎng)期安全、穩(wěn)定運(yùn)行的基本保證,應(yīng)由專(zhuān)職網(wǎng)絡(luò)管理技術(shù)人員承擔(dān),為安全起見(jiàn),其他任何人不得介人,主要做好硬件系統(tǒng)日常借理維護(hù)和軟件系統(tǒng)日常管理維護(hù)兩方面的工作。
(3)建立病毒防范制度。病毒在網(wǎng)絡(luò)環(huán)境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時(shí)升級(jí)防病毒軟件版本、及時(shí)通報(bào)病毒人侵信息等工作。此外,還可將網(wǎng)絡(luò)系統(tǒng)中易感染病毒的文件屬性、權(quán)限加以限制,斷絕病毒人侵的渠道,從而達(dá)預(yù)防的目的。
(4)建立數(shù)據(jù)備份和恢復(fù)的保障制度。作為一個(gè)成功的電子商務(wù)系統(tǒng),應(yīng)針對(duì)信息安全至少提供三個(gè)層面的安全保護(hù)措施:一是數(shù)據(jù)在操作系統(tǒng)內(nèi)部或者盤(pán)陣中實(shí)現(xiàn)快照、鏡像;二是對(duì)數(shù)據(jù)庫(kù)及郵件服務(wù)器等重要數(shù)據(jù)做到在電子交易中心內(nèi)的自動(dòng)備份;三是對(duì)重要的數(shù)據(jù)做到通過(guò)廣域網(wǎng)專(zhuān)線等途徑做好數(shù)據(jù)的克隆備份,通過(guò)以土保護(hù)措施可為系統(tǒng)數(shù)據(jù)安全提供雙保險(xiǎn)。
三、電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)
電子商務(wù)的網(wǎng)絡(luò)信息安全不僅與技術(shù)有關(guān),更與社會(huì)因素、法制環(huán)境等多方面因素有關(guān)。故應(yīng)對(duì)電子商務(wù)的網(wǎng)絡(luò)安全體系結(jié)構(gòu)劃分如下:
1.電子商務(wù)系統(tǒng)硬件安全。主要是指保護(hù)電子商務(wù)系統(tǒng)所涉及計(jì)算機(jī)硬件的安全性,保證其可靠哇和為系統(tǒng)提供基礎(chǔ)性作用的安全機(jī)制。
2.電子商務(wù)系統(tǒng)軟件安全。主要是指保證交易記錄及相關(guān)數(shù)據(jù)不被篡改、破壞與非法復(fù)制,系統(tǒng)軟件安全的目標(biāo)是使系統(tǒng)中信息的處理和傳輸滿(mǎn)足整個(gè)系統(tǒng)安全策略需求。
3.電子商務(wù)系統(tǒng)運(yùn)行安全。主要指滿(mǎn)足系統(tǒng)能夠可靠、穩(wěn)定、持續(xù)和正常的運(yùn)行。
4.電子商務(wù)網(wǎng)絡(luò)安全的立法保障。結(jié)合我國(guó)實(shí)際,借鑒國(guó)外先進(jìn)網(wǎng)絡(luò)信息安全立法、執(zhí)法經(jīng)驗(yàn),完善現(xiàn)行的網(wǎng)絡(luò)安全法律體系。
“我的信息安全嗎?”相信所有對(duì)信息技術(shù)有所了解的人都會(huì)存在這個(gè)擔(dān)憂。就我們所使用的IT設(shè)備而言,軟硬件的安全性將直接影響信息的安全。是否有什么手段來(lái)認(rèn)定軟硬件的安全性呢?答案是肯定的,那就是對(duì)其進(jìn)行安全認(rèn)證。
多年來(lái),嘉興市辰翔信息科技有限公司致力于IT軟硬件安全檢測(cè)認(rèn)證,憑借著國(guó)際一流的技術(shù),為IT軟硬件“蓋”上了信息安全的“合格章”。
權(quán)威認(rèn)證覆蓋全球
據(jù)國(guó)家工信部的《2013年電子信息產(chǎn)業(yè)統(tǒng)計(jì)公報(bào)》顯示,我國(guó)2013年電子信息產(chǎn)業(yè)銷(xiāo)售收入總規(guī)模達(dá)到12.4萬(wàn)億元,同比增長(zhǎng)12.7%。在信息安全日益受重視的今天,這意味著巨大的安全認(rèn)證市場(chǎng)。就全球而言,反病毒軟件的檢測(cè)認(rèn)證市場(chǎng)銷(xiāo)售規(guī)模在2億人民幣左右,而安全硬件提供商全球多達(dá)幾萬(wàn)家,銷(xiāo)售額至少在幾百億人民幣。檢測(cè)認(rèn)證行業(yè)作為IT軟硬件方案服務(wù)提供商的服務(wù)商,市場(chǎng)前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等幾家巨頭壟斷。
為了打破國(guó)外檢測(cè)機(jī)構(gòu)對(duì)計(jì)算機(jī)安全軟硬件檢測(cè)壟斷的局面,辰翔科技通過(guò)多年來(lái)的理論研究和實(shí)踐應(yīng)用研發(fā)了一系列符合計(jì)算機(jī)安全技術(shù)潮流發(fā)展的檢測(cè)技術(shù)和認(rèn)證標(biāo)準(zhǔn),并在一些關(guān)鍵的技術(shù)環(huán)節(jié)大量應(yīng)用了新的檢測(cè)標(biāo)準(zhǔn)和檢測(cè)技術(shù),是大中華區(qū)唯一專(zhuān)業(yè)從事計(jì)算機(jī)安全軟硬件測(cè)試認(rèn)證的公司,也是公安部計(jì)算機(jī)病毒應(yīng)急響應(yīng)中心的合作伙伴和唯一具有公安機(jī)關(guān)病毒分析備案的公司。除了自行研發(fā)外,辰翔科技還通過(guò)與國(guó)內(nèi)高等院校的合作,研究如何將病毒流行度指標(biāo)應(yīng)用在計(jì)算機(jī)安全檢測(cè)之上,相關(guān)論文也已經(jīng)在國(guó)際會(huì)議上發(fā)表。另外,其關(guān)于計(jì)算機(jī)安全軟硬件檢測(cè)的專(zhuān)用認(rèn)證標(biāo)志已經(jīng)在歐盟、美國(guó)和大陸成功注冊(cè)。
辰翔科技作為全球主要的安全軟件檢測(cè)認(rèn)證服務(wù)提供商,客戶(hù)基本已經(jīng)涵蓋主要的殺毒軟件提供商。值得一提的是,在手機(jī)Android操作系統(tǒng)安全測(cè)試領(lǐng)域,公司已經(jīng)基本實(shí)現(xiàn)壟斷。除了手機(jī)端的安全認(rèn)證外,辰翔科技還與美國(guó)微軟總部合作研發(fā)Windows安全認(rèn)證體系。目前辰翔科技在全球安全軟件測(cè)試認(rèn)證行業(yè)主要競(jìng)爭(zhēng)對(duì)手有6個(gè),目標(biāo)客戶(hù)覆蓋率基本達(dá)到國(guó)外同行水平。未來(lái),辰翔科技將以電源產(chǎn)品作為切入點(diǎn),進(jìn)一步開(kāi)展通用IT硬件(如CPU、內(nèi)存、音響制品、顯示器等)與安全硬件(如嵌入式反病毒硬件,硬件防火墻,郵件過(guò)濾器等)的檢測(cè)認(rèn)證工作。
打造全方位“防御體系”
通過(guò)從計(jì)算機(jī)軟件到硬件,再加上手機(jī)與網(wǎng)站的安全測(cè)評(píng),辰翔科技打造了一個(gè)全方位的安全防御圈。
安全軟件測(cè)試
通過(guò)測(cè)試安全軟件的多層防御能力來(lái)判斷安全軟件的綜合防御能力。關(guān)鍵技術(shù)在于多層實(shí)時(shí)檢測(cè)技術(shù),傳統(tǒng)的安全軟件檢測(cè)比較單一、一般都只檢測(cè)安全的一個(gè)參數(shù)值,比如病毒的查殺率,誤報(bào)水平等,而辰翔科技對(duì)測(cè)評(píng)體系進(jìn)行了升級(jí),擺脫單一功能檢測(cè)無(wú)法反映軟件綜合性能的缺失,目前已經(jīng)基本運(yùn)用到日常檢測(cè)認(rèn)證中來(lái)。
云安全檢測(cè)認(rèn)證
辰翔科技采集最新最全的病毒樣本,運(yùn)用高性能的爬蟲(chóng)系統(tǒng),通過(guò)大量的新出現(xiàn)的病毒和常用軟件來(lái)判斷云安全軟件對(duì)未知病毒的響應(yīng)能力、白名單庫(kù)的收集能力和誤報(bào)水平、云安全技術(shù)的穩(wěn)定性判斷,在國(guó)內(nèi)率先提出了云安全檢測(cè)技術(shù)的思路和測(cè)試基本框架。
手機(jī)安全軟件檢測(cè)認(rèn)證
通過(guò)手機(jī)操作系統(tǒng)模擬器或真機(jī)來(lái)模擬或者重現(xiàn)手機(jī)安全軟件在各系統(tǒng)上的運(yùn)行情況,包括對(duì)病毒的檢測(cè)查殺能力、常用功能的比較和不同病毒對(duì)手機(jī)用戶(hù)的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以為殺毒軟件公司提供分析支持和軟件配套服務(wù)。
軟件安全性評(píng)估
通過(guò)代碼和行為分析判斷軟件是否具有惡意行為,對(duì)驗(yàn)證無(wú)惡意行為的軟件頒發(fā)認(rèn)證標(biāo)志。
非安全軟件類(lèi)軟硬件檢測(cè)認(rèn)證
通過(guò)輔助軟件對(duì)同類(lèi)通用軟件和硬件進(jìn)行性能評(píng)估和檢測(cè)認(rèn)證,對(duì)達(dá)標(biāo)產(chǎn)品相對(duì)應(yīng)的認(rèn)證標(biāo)志。通用軟硬件的測(cè)評(píng)和認(rèn)證將由辰翔科技和中國(guó)計(jì)量學(xué)院、浙江質(zhì)監(jiān)局共同進(jìn)行研發(fā),遠(yuǎn)期將提供市場(chǎng)準(zhǔn)入認(rèn)證和產(chǎn)品改良服務(wù)。
網(wǎng)絡(luò)掛馬釣魚(yú)分析系統(tǒng)的建立和網(wǎng)站認(rèn)證
【關(guān)鍵詞】網(wǎng)站服務(wù)器;安全維護(hù)
隨著校園網(wǎng)絡(luò)環(huán)境的不斷改善和圖書(shū)館網(wǎng)絡(luò)技術(shù)的飛速發(fā)展,依托校園網(wǎng)的各類(lèi)資源也日益豐富和完善。為了確保信息系統(tǒng)的穩(wěn)定運(yùn)行,必須全面細(xì)致的進(jìn)行服務(wù)器的管理和維護(hù)工作,一點(diǎn)點(diǎn)小的疏忽都可能會(huì)導(dǎo)致嚴(yán)重的后果。
1.網(wǎng)站服務(wù)器安全維護(hù)內(nèi)容
為確保網(wǎng)站服務(wù)器的正常運(yùn)行及使用應(yīng)及對(duì)服務(wù)器進(jìn)行及時(shí)的更新,及時(shí)對(duì)服務(wù)器上各種應(yīng)用程序的安全補(bǔ)丁、安全隱患進(jìn)行合理配置,及時(shí)修補(bǔ)服務(wù)器的安全漏洞,并及時(shí)解決服務(wù)器的相關(guān)不安全因素,通過(guò)這些手段使服務(wù)器的安全風(fēng)險(xiǎn)降底到最小。對(duì)網(wǎng)站服務(wù)器進(jìn)行定期安全性設(shè)置、檢查,對(duì)服務(wù)器上系統(tǒng)存在的各種木馬、后門(mén)進(jìn)行全面防御,讓所有系統(tǒng)級(jí)、內(nèi)核級(jí)感染的惡意黑客軟件都無(wú)法正常使用,從而保障主機(jī)的安全穩(wěn)定運(yùn)行;避免網(wǎng)站服務(wù)器發(fā)生不安全的現(xiàn)象。具體的維護(hù)內(nèi)容包括網(wǎng)站安全評(píng)估、網(wǎng)站安全檢測(cè)、網(wǎng)站安全加固、網(wǎng)頁(yè)木馬檢測(cè)、網(wǎng)頁(yè)病毒清除、網(wǎng)站中毒解決方案、防sql注入、sql漏洞、清除木馬、去除惡意代碼、木馬檢測(cè)、木馬檢測(cè)工具、流氓軟件清除、清除惡意軟件、清除木馬、網(wǎng)站程序漏洞修復(fù)、數(shù)據(jù)庫(kù)漏洞處理、數(shù)據(jù)庫(kù)漏洞加固、防數(shù)據(jù)庫(kù)木馬注入、網(wǎng)頁(yè)病毒處理、掛木馬、網(wǎng)站掛馬、惡意代碼清除、網(wǎng)站安全、病毒處理、病毒清除、病毒防范。本地帳戶(hù)系統(tǒng)維護(hù),包括帳戶(hù)開(kāi)通、停用及密碼更改、本地日志維護(hù)、審計(jì)。本地安全策略維護(hù),包括安全策略的啟用、停用流量、服務(wù)及性能監(jiān)控信息檢查、系統(tǒng)配置維護(hù)、系統(tǒng)配置及注冊(cè)表備份、故障排查與處理、系統(tǒng)崩潰狀況下的系統(tǒng)重裝及配置恢復(fù)、軟件安全隱患排除、服務(wù)器系統(tǒng)木馬防御。
2.網(wǎng)站服務(wù)器的維護(hù)技巧
2.1 終端服務(wù)器及固件出現(xiàn)故障
如果終端服務(wù)器以前工作正常而突然所有端口都不能工作,重新開(kāi)啟后仍然不行,要檢查是否發(fā)生此類(lèi)故障。這類(lèi)故障大多可以通過(guò)機(jī)器前面板的指示燈如Alarm、Ready、Power等顯示出來(lái)。例如Ready指示燈不斷閃動(dòng),或Alarm燈持續(xù)亮,或者電源有電而Power燈不亮。此外當(dāng)健入命令有誤而不能恢復(fù)到提示符狀態(tài),也屬這種情況。這時(shí)用戶(hù)須和廠家技術(shù)人員聯(lián)系維修,自己不要拆卸機(jī)器。
2.2 賬號(hào)和密碼保護(hù)
在很多時(shí)候一臺(tái)服務(wù)器不僅運(yùn)行了網(wǎng)站的應(yīng)用,而且還會(huì)運(yùn)行許多服務(wù)器和流媒體服務(wù)器之類(lèi)的網(wǎng)絡(luò)服務(wù)。在同一臺(tái)服務(wù)器上使用多種網(wǎng)絡(luò)服務(wù)很可能造成服務(wù)之間的相互感染。這也就是說(shuō)攻擊者只要攻擊一種服務(wù),就可以運(yùn)用相關(guān)的技能攻陷其他使用。因?yàn)楣粽咧恍枰テ破渲幸环N服務(wù),就可以運(yùn)用這個(gè)服務(wù)平臺(tái)從內(nèi)部攻擊其他服務(wù),一般來(lái)說(shuō),從內(nèi)部執(zhí)行攻擊要比外部執(zhí)行攻擊方便得多。賬號(hào)和密碼保護(hù)可以說(shuō)是系統(tǒng)的第一道防線,目前網(wǎng)上的大部分對(duì)系統(tǒng)的攻擊都是從截獲或猜測(cè)密碼開(kāi)始的。一旦黑客進(jìn)入了系統(tǒng),那么前面的防衛(wèi)措施幾乎就沒(méi)有作用,所以對(duì)服務(wù)器系統(tǒng)管理員的賬號(hào)和密碼進(jìn)行管理是保證系統(tǒng)安全非常重要的措施。
2.3 監(jiān)測(cè)系統(tǒng)日志
通過(guò)運(yùn)行系統(tǒng)日志程序,系統(tǒng)會(huì)記錄下所有用戶(hù)使用系統(tǒng)的情形,包括最近登錄時(shí)間、使用的賬號(hào)、進(jìn)行的活動(dòng)等。日志程序會(huì)定期生成報(bào)表,通過(guò)對(duì)報(bào)表進(jìn)行分析,你可以知道是否有異常現(xiàn)象。
2.4 關(guān)閉不需要的服務(wù)和端口
服務(wù)器操作系統(tǒng)在安裝的時(shí)候,會(huì)啟動(dòng)一些不需要的服務(wù),這樣會(huì)占用系統(tǒng)的資源,而且也增加了系統(tǒng)的安全隱患。對(duì)于假期期間完全不用的服務(wù)器,可以完全關(guān)閉;對(duì)于假期期間要使用的服務(wù)器,應(yīng)關(guān)閉不需要的服務(wù)。另外,還要關(guān)掉沒(méi)有必要開(kāi)的TCP端口。
2.5 禁用與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的服務(wù)
操作系統(tǒng)在安裝后都會(huì)默認(rèn)開(kāi)啟一些服務(wù)進(jìn)程,其中許多的服務(wù)都是與設(shè)備運(yùn)行和維護(hù)無(wú)關(guān)的。這些開(kāi)啟了卻不使用的服務(wù),由于存在著很多安全漏洞,就往往成為黑客訪問(wèn)或破壞系統(tǒng)的入口點(diǎn)。為此應(yīng)該在不影響系統(tǒng)的正常使用和維護(hù)的前提下,禁用與設(shè)備運(yùn)行、維護(hù)等工作無(wú)關(guān)的服務(wù)。
2.6 做好數(shù)據(jù)備份
為防止不能預(yù)料的系統(tǒng)故障或用戶(hù)不小心的非法操作,必須對(duì)系統(tǒng)進(jìn)行安全備份。除了對(duì)全系統(tǒng)進(jìn)行每月一次的備份外,還應(yīng)對(duì)修改過(guò)的數(shù)據(jù)進(jìn)行每周一次的備份。同時(shí),應(yīng)該將修改過(guò)的重要系統(tǒng)文件存放在不同的服務(wù)器上,以便出現(xiàn)系統(tǒng)崩潰時(shí),可及時(shí)地將系統(tǒng)恢復(fù)到正常狀態(tài)。俗話說(shuō):“有備無(wú)患”,雖然大家都不希望系統(tǒng)突然遭到破壞,但是做好準(zhǔn)備是必須的。作好服務(wù)器系統(tǒng)備份,萬(wàn)一遭破壞的時(shí)候也可以及時(shí)恢復(fù)。
3.結(jié)束語(yǔ)
綜上所述,服務(wù)器在圖書(shū)館網(wǎng)站建設(shè)中具有舉足輕重的地位。各高校圖書(shū)館應(yīng)根據(jù)其具體情況選擇合適的服務(wù)器。管理維護(hù)好它,這樣才能更好的建設(shè)圖書(shū)館網(wǎng)站。更深入地開(kāi)展圖書(shū)館網(wǎng)上信息服務(wù)。
參考文獻(xiàn)
關(guān)鍵詞:會(huì)計(jì)電算化 內(nèi)部控制 內(nèi)部審計(jì)
會(huì)計(jì)電算化,是把以電子計(jì)算機(jī)為代表的現(xiàn)代化數(shù)據(jù)處理工具和以信息論、系統(tǒng)論、控制論、數(shù)據(jù)庫(kù)以及計(jì)算機(jī)網(wǎng)絡(luò)等新興理論和技術(shù)應(yīng)用于會(huì)計(jì)核算和財(cái)務(wù)管理工作中,以提高財(cái)會(huì)管理水平和經(jīng)濟(jì)效益,進(jìn)而實(shí)現(xiàn)會(huì)計(jì)工作的現(xiàn)代化。會(huì)計(jì)電算化對(duì)事業(yè)部門(mén)內(nèi)部控制制度產(chǎn)生深刻的影響, 對(duì)事業(yè)單位內(nèi)部控制制度提出了新要求。環(huán)境的改變必然要求有新的內(nèi)部控制系統(tǒng)與之相匹配, 以全新的方法去建立一套行之有效的內(nèi)部控制系統(tǒng)已是形勢(shì)所需。
一、會(huì)計(jì)電算化對(duì)內(nèi)部控制的影響
內(nèi)部控制制度是企事業(yè)單位在會(huì)計(jì)工作中為維護(hù)會(huì)計(jì)數(shù)據(jù)的真實(shí)性、業(yè)務(wù)經(jīng)營(yíng)的有效性和財(cái)產(chǎn)的安全完整而制定的各項(xiàng)規(guī)章制度、管理方法等的總稱(chēng)。會(huì)計(jì)電算化使事業(yè)單位內(nèi)部控制制度發(fā)生深刻變化,具體體現(xiàn)為:
(1)內(nèi)部控制環(huán)境的變化
事業(yè)單位計(jì)算機(jī)處理會(huì)計(jì)和財(cái)務(wù)數(shù)據(jù)后,單位的會(huì)計(jì)核算環(huán)境發(fā)生了很大的變化,會(huì)計(jì)部門(mén)的組成人員從原來(lái)由財(cái)務(wù)、會(huì)計(jì)專(zhuān)業(yè)人員組成,轉(zhuǎn)變?yōu)橛韶?cái)務(wù)、會(huì)計(jì)專(zhuān)業(yè)人員和計(jì)算機(jī)數(shù)據(jù)處理系統(tǒng)的管理人員及計(jì)算機(jī)專(zhuān)家組成。會(huì)計(jì)部門(mén)不僅利用計(jì)算機(jī)完成基本的會(huì)計(jì)業(yè)務(wù),還能利用計(jì)算機(jī)完成各種原先沒(méi)有的或由其他部門(mén)完成的更為復(fù)雜的業(yè)務(wù)活動(dòng),如銷(xiāo)售預(yù)測(cè)、人力資源規(guī)劃等。
(2)控制方式發(fā)生改變
計(jì)算機(jī)系統(tǒng)的內(nèi)部控制也由單一人工控制轉(zhuǎn)為人工和程序共同控制。例如,從前應(yīng)由會(huì)計(jì)人員處理的有關(guān)業(yè)務(wù)事項(xiàng),現(xiàn)在可由其他業(yè)務(wù)人員在終端機(jī)上一次完成;以往應(yīng)由幾個(gè)部門(mén)逐步完成的業(yè)務(wù)事項(xiàng),現(xiàn)在能集中在一個(gè)部門(mén)甚至由一個(gè)人完成。實(shí)行會(huì)計(jì)電算化后,單位的內(nèi)部控制是由會(huì)計(jì)人員通過(guò)會(huì)計(jì)軟件實(shí)施的,由會(huì)計(jì)人員和計(jì)算機(jī)來(lái)共同完成。
(3) 內(nèi)部控制的重點(diǎn)發(fā)生變化
實(shí)現(xiàn)會(huì)計(jì)電算化后,會(huì)計(jì)數(shù)據(jù)一般都集中由計(jì)算機(jī)數(shù)據(jù)處理部門(mén)進(jìn)行處理,而財(cái)務(wù)部門(mén)人員往往只負(fù)責(zé)原始數(shù)據(jù)的收集、審核和編碼,并對(duì)計(jì)算機(jī)輸出的各種會(huì)計(jì)報(bào)表進(jìn)行分析。這樣,會(huì)計(jì)系統(tǒng)內(nèi)部控制的重點(diǎn)就由對(duì)人的控制為主轉(zhuǎn)變?yōu)閷?duì)人、機(jī)控制為主。
(4) 內(nèi)部控制的范圍發(fā)生變化
傳統(tǒng)的內(nèi)部控制主要針對(duì)交易處理。計(jì)算機(jī)技術(shù)的引入,給會(huì)計(jì)工作增加了新的工作內(nèi)容,同時(shí)也增加了新的控制措施。由于系統(tǒng)建立和運(yùn)行的復(fù)雜性,內(nèi)部控制的范圍相應(yīng)擴(kuò)大,包含了傳統(tǒng)手工系統(tǒng)所沒(méi)有的控制,如網(wǎng)絡(luò)系統(tǒng)安全的控制、系統(tǒng)權(quán)限的控制、修改程序的控制等,以及磁盤(pán)內(nèi)會(huì)計(jì)信息安全保護(hù)、計(jì)算機(jī)病毒防治、計(jì)算機(jī)操作管理、系統(tǒng)管理員和系統(tǒng)維護(hù)人員的崗位責(zé)任制度等。
(5)會(huì)計(jì)檔案發(fā)生變化
由各種紙質(zhì)的原始單據(jù)、憑證、賬簿、報(bào)表變?yōu)榇蛴≥敵龅母鞣N憑證、賬簿、報(bào)表和存儲(chǔ)在計(jì)算機(jī)軟盤(pán)、硬盤(pán)或其他介質(zhì)中的會(huì)計(jì)數(shù)據(jù)。
二、會(huì)計(jì)電算化對(duì)事業(yè)單位內(nèi)部控制制度的新要求
會(huì)計(jì)電算化使事業(yè)部門(mén)內(nèi)部控制制度發(fā)生深刻變化, 對(duì)事業(yè)單位內(nèi)部控制制度提出了新要求,具體體現(xiàn)為:
1. 要確保原始數(shù)據(jù)操作的準(zhǔn)確度
在電算化會(huì)計(jì)中, 確保輸入數(shù)據(jù)的精確度是最基本的前提。電腦中的原始數(shù)據(jù)必須是由人工事先進(jìn)行審核和輸入計(jì)算機(jī)的, 一旦原始數(shù)據(jù)在輸入中發(fā)生錯(cuò)誤, 計(jì)算機(jī)無(wú)法識(shí)別, 只會(huì)將錯(cuò)就錯(cuò)地進(jìn)行各種計(jì)算工作。正因?yàn)闀?huì)計(jì)電算化的這一固有弱點(diǎn), 所以對(duì)內(nèi)部控制提出了一些新的具體要求: 一切數(shù)據(jù)的處理方法和過(guò)程都必須規(guī)范化, 并保持準(zhǔn)確性和相對(duì)的穩(wěn)定性, 這樣才能保證會(huì)計(jì)信息質(zhì)量的真實(shí)性、完整性和準(zhǔn)確性。為保證機(jī)房設(shè)備的安全, 計(jì)算機(jī)的正常運(yùn)行, 會(huì)計(jì)數(shù)據(jù)和會(huì)計(jì)軟件的安全保密, 對(duì)應(yīng)用計(jì)算機(jī)的單位, 要求制訂硬、軟件管理制度, 修改會(huì)計(jì)核算軟件的審批和監(jiān)督制度。
2.要制定嚴(yán)格的操作管理制度
嚴(yán)格的操作管理制度,也是會(huì)計(jì)電算化對(duì)內(nèi)部控制提出的新要求。電算化功能和知識(shí)的高度集中導(dǎo)致了職責(zé)的集中, 特別是會(huì)計(jì)人員的職能開(kāi)始從核算型向管理型轉(zhuǎn)移。某些人員既可從事數(shù)據(jù)的輸入, 又可負(fù)責(zé)數(shù)據(jù)的輸出和報(bào)送;未經(jīng)授權(quán)的人員有可能通過(guò)計(jì)算機(jī)和網(wǎng)絡(luò)瀏覽全部數(shù)據(jù)文件,復(fù)制、偽造、銷(xiāo)毀單位重要的數(shù)據(jù)。
3、規(guī)范檔案管理制度
手工條件下,會(huì)計(jì)數(shù)據(jù)和信息記錄在紙介質(zhì)的單、證、賬、表上,修改困難,修改會(huì)留有明顯痕跡,從而便于查證、控制。實(shí)行了電算化會(huì)計(jì)后, 傳統(tǒng)手工會(huì)計(jì)系統(tǒng)下的有形記錄大為減少, 憑證、經(jīng)濟(jì)業(yè)務(wù)事項(xiàng)的說(shuō)明和賬簿等大多要依賴(lài)計(jì)算機(jī)方可錄入、閱讀或查詢(xún),而且眾多信息都轉(zhuǎn)化為數(shù)字形式存儲(chǔ)在磁(光)介質(zhì)上,因此極易被篡改甚至偽造而不留任何痕跡。另外,電磁介質(zhì)易受損壞,所以會(huì)計(jì)信息也存在丟失或毀壞的危險(xiǎn)。因此,如何使磁性介質(zhì)上的數(shù)據(jù)安全可靠、防止數(shù)據(jù)被非法修改是一個(gè)非常重要的問(wèn)題。
4、網(wǎng)絡(luò)環(huán)境下的網(wǎng)絡(luò)控制能力
網(wǎng)絡(luò)技術(shù)無(wú)疑是目前IT發(fā)展的方向,電算化會(huì)計(jì)信息系統(tǒng)也不可避免受到其深遠(yuǎn)的影響,特別是Internet在財(cái)務(wù)軟件中的應(yīng)用對(duì)電算化會(huì)計(jì)信息系統(tǒng)的影響將是革命性的。網(wǎng)絡(luò)的廣泛應(yīng)用在很大程度上彌補(bǔ)了單機(jī)電算化系統(tǒng)的不足,使電算化會(huì)計(jì)系統(tǒng)的內(nèi)控制度更加完善。
三、加強(qiáng)事業(yè)單位會(huì)計(jì)電算化條件下內(nèi)部控制制度的措施
會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制是一項(xiàng)范圍大、程序復(fù)雜的系統(tǒng)工程,完善事業(yè)單位會(huì)計(jì)電算化系統(tǒng)內(nèi)部控制的具體措施主要體現(xiàn)為:
1、加強(qiáng)對(duì)會(huì)計(jì)電算化的重視
《內(nèi)部會(huì)計(jì)控制規(guī)范》規(guī)定“單位負(fù)責(zé)人對(duì)本單位內(nèi)部會(huì)計(jì)控制的建立健全及有效實(shí)施負(fù)責(zé)”因此,要保證會(huì)計(jì)電算化內(nèi)部控制的事實(shí),首要問(wèn)題就是要求各級(jí)領(lǐng)導(dǎo)加強(qiáng)對(duì)會(huì)計(jì)電算化的重視,自覺(jué)強(qiáng)化對(duì)電算化內(nèi)部控制的認(rèn)識(shí),更新管理觀念。會(huì)計(jì)電算化內(nèi)部控制的執(zhí)行程度很大程度上取決于領(lǐng)導(dǎo)層對(duì)會(huì)計(jì)電算化的重視程度。只有領(lǐng)導(dǎo)管理層真正認(rèn)識(shí)和重視會(huì)計(jì)電算化內(nèi)部控制的重要性,才能夠以身作責(zé),從上到下組織力量去認(rèn)真貫徹和執(zhí)行,才能充分發(fā)揮會(huì)計(jì)電算化信息系統(tǒng)內(nèi)部控制作用。
2、會(huì)計(jì)數(shù)據(jù)準(zhǔn)確性控制
首先, 控制數(shù)據(jù)輸入的準(zhǔn)確性與可靠性。事 業(yè)單位可以建立起一整套內(nèi)部控制制度以便對(duì)輸入的數(shù)據(jù)進(jìn)行嚴(yán)格的控制,保證數(shù)據(jù)輸入的準(zhǔn)確性。數(shù)據(jù)輸入控制要求輸入的數(shù)據(jù)應(yīng)經(jīng)過(guò)必要的授權(quán),并經(jīng)有關(guān)的內(nèi)部控制部門(mén)檢查;同時(shí)可以采用各種技術(shù)手段對(duì)輸入數(shù)據(jù)的準(zhǔn)確性進(jìn)行校驗(yàn),如總數(shù)控制校驗(yàn)、平衡校驗(yàn)、數(shù)據(jù)類(lèi)型校驗(yàn)、重復(fù)輸入校驗(yàn)等。
其次,控制輸出數(shù)據(jù)的完整性與準(zhǔn)確性。數(shù)據(jù)輸出控制是單位為了保證輸出信息的準(zhǔn)確、可靠而采取的各種控制措施,包括輸出數(shù)據(jù)正確性控制與輸出結(jié)果的處理、分發(fā)控制。
3、會(huì)計(jì)操作系統(tǒng)的安全控制
這項(xiàng)控制是為了保證計(jì)算機(jī)系統(tǒng)的運(yùn)行安全, 保證機(jī)房設(shè)備的安全, 保證會(huì)計(jì)數(shù)據(jù)和會(huì)計(jì)軟件安全保密, 避免由于外部環(huán)境因素導(dǎo)致系統(tǒng)運(yùn)行錯(cuò)誤的不安全隱患。其內(nèi)容主要包括接觸控制、實(shí)體安全控制、硬件安全控制、軟件安全控制、病毒的防范與控制等。
接觸控制是為了保證非系統(tǒng)維護(hù)人員不得接觸到程序的技術(shù)資料、源程序和加密文件,以減少程序被修改的可能性。實(shí)體安全控制涉及到計(jì)算機(jī)機(jī)房的環(huán)境、光和磁介質(zhì)等數(shù)據(jù)存儲(chǔ)體的存放和保護(hù)。硬件安全控制要求硬件設(shè)備的質(zhì)量必須有充分保證,為防萬(wàn)一,關(guān)鍵性的硬件設(shè)備可采用雙系統(tǒng)備份。
4、會(huì)計(jì)操作人員的權(quán)限與職能控制
為建立相互監(jiān)督和相互制約的機(jī)制保障會(huì)計(jì)信息的真實(shí)、可靠,需要從制度上對(duì)操作人員的工作職責(zé)和工作權(quán)限加以規(guī)定, 制訂相應(yīng)的組織和管理控制制度, 明確職責(zé)分工, 加強(qiáng)組織控制, 實(shí)現(xiàn)操作人員職能控制制度的創(chuàng)新。會(huì)計(jì)電算化所要求的完善的人員職能控制制度就是職責(zé)分工。首先是將會(huì)計(jì)電算化部門(mén)與用戶(hù)部門(mén)的職責(zé)相分離, 明確規(guī)定每個(gè)崗位的職責(zé), 以防止對(duì)處理過(guò)程的不適當(dāng)干預(yù)。
5.加強(qiáng)內(nèi)部審計(jì)
內(nèi)部審計(jì)通過(guò)檢查、評(píng)價(jià)內(nèi)部控制的健全、有效程度,來(lái)促成建立好的控制環(huán)境,它是單位內(nèi)部控制系統(tǒng)的重要組成部分。電算化內(nèi)部審計(jì)是內(nèi)部會(huì)計(jì)控制的一種特殊形式,在會(huì)計(jì)電算化中,由于是會(huì)計(jì)人員操作電腦進(jìn)行大量數(shù)據(jù)運(yùn)算,因而對(duì)內(nèi)部審計(jì)提出了更高、更嚴(yán)格的要求, 主要包括: 對(duì)會(huì)計(jì)資料定期進(jìn)行審計(jì), 審查機(jī)內(nèi)數(shù)據(jù)與書(shū)面資料的一致性, 監(jiān)督數(shù)據(jù)保存方式的安全、合法性以及對(duì)系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查等。加強(qiáng)內(nèi)部審計(jì),可以對(duì)不妥或錯(cuò)誤的賬表處理進(jìn)行及時(shí)調(diào)整, 可以監(jiān)督數(shù)據(jù)保存方式的安全性、合法性, 防止發(fā)生非法修改歷史數(shù)據(jù)的現(xiàn)象, 對(duì)系統(tǒng)運(yùn)行各環(huán)節(jié)進(jìn)行審查, 防止出現(xiàn)漏洞。
6.加強(qiáng)會(huì)計(jì)隊(duì)伍建設(shè)
高素質(zhì)的會(huì)計(jì)隊(duì)伍是實(shí)施內(nèi)部控制的關(guān)鍵,會(huì)計(jì)電算化系統(tǒng)的應(yīng)用不僅要求會(huì)計(jì)人員具有良好的職業(yè)道德和專(zhuān)業(yè)素質(zhì),更要具有計(jì)算機(jī)操作技能,嚴(yán)格和規(guī)范系統(tǒng)操作,因此需要加強(qiáng)具有扎實(shí)的會(huì)計(jì)專(zhuān)業(yè)基礎(chǔ),熟練的外語(yǔ)與計(jì)算機(jī)水平等綜合能力的高水平的復(fù)合型人才的培養(yǎng)。會(huì)計(jì)人員應(yīng)持證上崗,并經(jīng)常對(duì)會(huì)計(jì)人員進(jìn)行計(jì)算機(jī)系統(tǒng)培訓(xùn),提高會(huì)計(jì)人員對(duì)電算化系統(tǒng)的認(rèn)識(shí)和理解,了解會(huì)計(jì)電算化系統(tǒng)運(yùn)行程序和內(nèi)部控制制度,加強(qiáng)會(huì)計(jì)電算化警戒教育和日常操作技能,對(duì)電算化會(huì)計(jì)信息樹(shù)立良好的思想認(rèn)識(shí)和風(fēng)險(xiǎn)防范意識(shí),減少人為操作和系統(tǒng)運(yùn)行出錯(cuò)的可能性。
參考文獻(xiàn):
1、 加強(qiáng)事業(yè)單位會(huì)計(jì)電算化條件下內(nèi)部控制制度芻議 薛康蓉 沿海單位與科技 2007(8) 129-130
2、 淺談會(huì)計(jì)電算化條件下的內(nèi)部控制制度。秦華 財(cái)會(huì)月刊 2006(2)77-78
【 關(guān)鍵詞 】 新版ISO27000;軟件行業(yè);信息安全管理體系;PDCA模型
Based on the New ISO27000 to the Understanding of the Software Industry, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model
1 引言
如今隨著信息化的步伐日益加速以及信息相關(guān)技術(shù)的飛猛發(fā)展,信息資源也日漸成為所有企業(yè)維持正常運(yùn)轉(zhuǎn)的重要資源。信息以及載體信息系統(tǒng)、網(wǎng)絡(luò)等已經(jīng)成為了企業(yè)生存和發(fā)展的重要資產(chǎn)。然而企業(yè)的信息安全和數(shù)據(jù)泄露仍然是企業(yè)管理者關(guān)注的主要問(wèn)題之一。大部分企業(yè)基于企業(yè)實(shí)際情況,通過(guò)引入國(guó)際信息安全管理體系IS027000以及通過(guò)最佳的業(yè)務(wù)實(shí)踐,建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的信息安全管理體系(即ISMS),實(shí)現(xiàn)對(duì)信息安全的預(yù)控、在控、可控、能控。
而隨著2013年的ISO27000的改版,各行各業(yè)勢(shì)必會(huì)根據(jù)自身信息安全的情況對(duì)信息安全體系作出調(diào)整。本文將針對(duì)軟件行業(yè)在調(diào)整下的信息安全管理體系下,如何更好地保持和改進(jìn)信息安全體系作出解讀,使企業(yè)更好地依據(jù)標(biāo)準(zhǔn)體系和方法論,制定出符合企業(yè)長(zhǎng)久發(fā)展的信息安全管理體系。
2 ISO標(biāo)準(zhǔn)
2.1 ISO標(biāo)準(zhǔn)及變化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎(chǔ)和術(shù)語(yǔ),ISO/IEC 27000提供了ISMS標(biāo)準(zhǔn)族中所涉及的通用術(shù)語(yǔ)及基本原則,是ISMS標(biāo)準(zhǔn)族中最基礎(chǔ)的標(biāo)準(zhǔn)之一。最新版本于2013年9月25日。
相對(duì)于2005版,新版本對(duì)于ISMS建立的基礎(chǔ)進(jìn)行了調(diào)整和明確,相較于2005年版本以資產(chǎn)和技術(shù)為主題,新版標(biāo)準(zhǔn)則把更多的目光投向組織業(yè)務(wù)關(guān)系,更多地考慮到組織自身及利益相關(guān)方的需求,這也是時(shí)展的整體趨勢(shì)。新版控制措施ISO27002從舊版的11個(gè)領(lǐng)域更新為14個(gè)領(lǐng)域,刪除了舊版中一些重復(fù)的和操作級(jí)的控制項(xiàng)。具體是舊版通信與操作管理被劃分成為兩個(gè)獨(dú)立的領(lǐng)域操作安全和通信安全,足以見(jiàn)新版對(duì)這兩個(gè)領(lǐng)域的重視;新增密碼學(xué)和供應(yīng)關(guān)系兩個(gè)獨(dú)立領(lǐng)域。新版ISO27001將舊版中4.1章節(jié)即有關(guān)建立和管理ISMS的總要求獨(dú)立成出來(lái);為了使邏輯性更加嚴(yán)謹(jǐn),人力資源安全、資產(chǎn)管理以及訪問(wèn)控制位置發(fā)生一定改變;從章節(jié)上講,由8個(gè)章節(jié)拓展到10個(gè)章節(jié),重新構(gòu)建了ISO標(biāo)準(zhǔn)PDCA的章節(jié)構(gòu)架。
2.2 關(guān)于PDCA模型
此處對(duì)于PDCA模型以及新版標(biāo)準(zhǔn)的劃分做一簡(jiǎn)單說(shuō)明:PDCA模式是國(guó)際認(rèn)可的模型,很多著名的標(biāo)準(zhǔn)和管理體系都遵循這一模式。該模型是一個(gè)很好的周期性框架,每個(gè)階段都與其他階段相關(guān)聯(lián)。
PDCA模型分別由四部分組成:P(Plan)――建立ISMS, 根據(jù)組織的整體策略和目標(biāo),確定活動(dòng)的計(jì)劃,包括第四至七章(組織背景、領(lǐng)導(dǎo)力、計(jì)劃、支持);D(Do)――實(shí)施和運(yùn)作ISMS,實(shí)際地去完成計(jì)劃中的內(nèi)容,包括第八章(運(yùn)行);C(Check)――監(jiān)視和評(píng)審ISMS,總結(jié)實(shí)施和運(yùn)作的結(jié)果,查找問(wèn)題,包括第九章(績(jī)效評(píng)價(jià));A(Action)――保持和改進(jìn)ISMS,對(duì)評(píng)審的結(jié)果做出處理,成功的經(jīng)驗(yàn)要進(jìn)行保持和推廣,失敗的教訓(xùn)要尋找原因,避免下次再出現(xiàn)同樣的錯(cuò)誤,沒(méi)有解決的問(wèn)題放到下一個(gè)PDCA循環(huán)中,包括第十章(改進(jìn))。
PDCA模型是管理學(xué)中常用的一個(gè)模型。該模型在運(yùn)作過(guò)程中,按照P-D-C-A 的順序依次進(jìn)行,一次完整的循環(huán)可以看作是管理學(xué)上的一個(gè)管理周期,每經(jīng)過(guò)一次循環(huán),管理情況就會(huì)得到改善,同時(shí)進(jìn)入更高的P-D-C-A周期循環(huán),組織的管理體系不斷的得到提升,管理水平也不斷提高。而這四個(gè)步驟成為一個(gè)閉環(huán),通過(guò)這個(gè)環(huán)的不斷運(yùn)轉(zhuǎn),使信息安全管理體系得到持續(xù)改進(jìn),使信息安全績(jī)效螺旋上升。
新的內(nèi)容將使企業(yè)的側(cè)重點(diǎn)不同,從上面的論述中明顯可以看出新標(biāo)準(zhǔn)在企業(yè)建立信息安全體系之前加重了對(duì)企業(yè)內(nèi)外環(huán)境信息安全的重視,在構(gòu)建信息安全體系之前需要企業(yè)全方位考慮其組織環(huán)境、企業(yè)資源、管理現(xiàn)狀,了解其發(fā)展所面臨的機(jī)遇與風(fēng)險(xiǎn),從而高標(biāo)準(zhǔn)、高精度、高要求來(lái)對(duì)待信息安全管理工作。
對(duì)于軟件行業(yè)來(lái)說(shuō),信息安全體系已初步建立和實(shí)施,主要是監(jiān)視評(píng)審并持續(xù)改進(jìn)自身信息安全體系的工作――PDCA模型的C和A。
3 軟件行業(yè)信息安全現(xiàn)狀及新標(biāo)準(zhǔn)變化下應(yīng)對(duì)策略
軟件行業(yè)是對(duì)信息安全要求最高的行業(yè),也是企業(yè)引入國(guó)際信息安全管理體系IS027000通過(guò)認(rèn)證最多的行業(yè)。前面已經(jīng)提到,軟件行業(yè)已經(jīng)初步建立和實(shí)施自己的信息安全體系,面對(duì)新版ISO27000的要求,大刀闊斧地重新開(kāi)始構(gòu)建體系勢(shì)必會(huì)給企業(yè)帶來(lái)大的浪費(fèi)和困擾。因此,在新的要求下如何監(jiān)視并改進(jìn)ISMS是軟件行業(yè)中企業(yè)面臨的最大的問(wèn)題。ISO27001新標(biāo)準(zhǔn)中把舊版4.1獨(dú)立成章作為建立體系之前的組織環(huán)境的了解,將原來(lái)的領(lǐng)導(dǎo)力、可實(shí)現(xiàn)信息安全的計(jì)劃、資源等的支持都放入構(gòu)建ISMS之前,也就是說(shuō)軟件行業(yè)在監(jiān)控并改進(jìn)信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡(jiǎn)單歸納為兩個(gè)方面:管理和技術(shù)。企業(yè)需要通過(guò)管理和技術(shù)的雙方面進(jìn)行控制和管理來(lái)改善信息安全體系。
3.1 管理角度分析
從管理角度考慮,企業(yè)信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數(shù)據(jù)安全管理、人員安全管理、軟件安全管理、運(yùn)行安全管理、系統(tǒng)安全管理、技術(shù)文檔安全管理,通過(guò)對(duì)風(fēng)險(xiǎn)的技術(shù)性控制和管理的實(shí)施、部署后,在風(fēng)險(xiǎn)控制管理中能保證防御大量存在的威脅,技術(shù)性的控制管理手段不僅包括從簡(jiǎn)單直至復(fù)雜的各種具體的技術(shù)手段,還包括系統(tǒng)架構(gòu)、系統(tǒng)培訓(xùn)以及一系列的軟件、硬件的安全設(shè)備,這些措施和方式應(yīng)該配套使用,從而保護(hù)關(guān)鍵數(shù)據(jù)、敏感信息及信息系統(tǒng)的功能。而這些也是ISO27001中第四章組織的背景、第五章領(lǐng)導(dǎo)力、第六章計(jì)劃、第七章支持對(duì)企業(yè)的具體要求。
主要管理措施可以從幾個(gè)方面出發(fā)。
(1)建立信息安全管理體系監(jiān)督機(jī)制、在體系運(yùn)行期間,要進(jìn)行有效的檢查、監(jiān)督、反饋和溝通,保證信息安全管理體系能夠按照公司制訂的方針策略,滿(mǎn)足公司業(yè)務(wù)的需求。
(2)根據(jù)企業(yè)自身的特點(diǎn),制訂可行的獎(jiǎng)懲制度,將信息安全的管理納入到績(jī)效考核,直接與工作和獎(jiǎng)金掛鉤,將對(duì)違反信息安全管理體系規(guī)定進(jìn)行懲罰。
(3)建立內(nèi)部審核制度,各部門(mén)應(yīng)按照信息安全管理體系的要求,進(jìn)行自查和由負(fù)責(zé)部門(mén)進(jìn)行隨時(shí)抽查,并在每年定期組織檢查,對(duì)表現(xiàn)好的單位給予嘉獎(jiǎng),同時(shí)對(duì)違反的單位進(jìn)行懲罰,并進(jìn)行公示;同時(shí)對(duì)信息安全審計(jì)、安全事件處理和外部組織進(jìn)行反饋溝通,檢查信息安全管理體系的有效性和合理性。
(4)考慮組織和技術(shù)等的變化對(duì)信息安全管理體系的影響,應(yīng)實(shí)時(shí)更新相關(guān)的規(guī)章制度,具體變化情況如:組織變化、技術(shù)變革、業(yè)務(wù)目標(biāo)流程的改變、新的威脅和風(fēng)險(xiǎn)點(diǎn)的出現(xiàn)、法律法規(guī)的變化等;通過(guò)不斷的優(yōu)化和改善,使信息安全管理體系能夠永遠(yuǎn)適合企業(yè)業(yè)務(wù)的需要。
3.2 技術(shù)角度分析
新版ISO270002控制措施中新增和調(diào)整了一些措施,涉及信息系統(tǒng)開(kāi)發(fā)、信息安全事件管理、業(yè)務(wù)連續(xù)性管理等部分,這些要求對(duì)軟件行業(yè)中企業(yè)的具體實(shí)行至關(guān)重要。從技術(shù)角度考慮,軟件行業(yè)企業(yè)信息安全管理體系中所需采取的安全技術(shù)體系包括幾個(gè)方面。
3.2.1物理環(huán)境安全信息系統(tǒng)硬件安全
這是無(wú)論舊版控制措施還是新版都沒(méi)有絲毫改變的控制項(xiàng),也是軟件行業(yè)中企業(yè)應(yīng)加強(qiáng)管理的基礎(chǔ)。在公司的信息系統(tǒng)硬件管理上,首先對(duì)機(jī)房的硬件環(huán)境進(jìn)行安全管理,包括溫度、濕度、消防、電力等安全管理,對(duì)關(guān)鍵的應(yīng)用需要采取UPS供電,同時(shí)采取相應(yīng)的備份,對(duì)硬件的使用率進(jìn)行實(shí)時(shí)地監(jiān)控,避免硬件的使用率過(guò)高造成業(yè)務(wù)持續(xù)性的影響,另外需要對(duì)硬件的物理環(huán)境進(jìn)行監(jiān)控,避免非法人員的進(jìn)入,同時(shí)也是對(duì)管理員的日常行動(dòng)進(jìn)行監(jiān)控,最后需要對(duì)機(jī)房人員和物品的出入進(jìn)行權(quán)限的管理和等級(jí)制度。
3.2.2操作系統(tǒng)與應(yīng)用程序安全
這是新版控制措施新增的安全開(kāi)發(fā)策略和系統(tǒng)開(kāi)發(fā)程序等對(duì)企業(yè)新的要求,保證操作系統(tǒng)與應(yīng)用程序的安全會(huì)保護(hù)企業(yè)在系統(tǒng)開(kāi)發(fā)和集成工作的安全開(kāi)發(fā)環(huán)境,使企業(yè)整個(gè)開(kāi)發(fā)周期安全。
(1) 操作系統(tǒng)安全。除了進(jìn)行必要的補(bǔ)丁和漏洞的管理和更新外,最主要的是進(jìn)行防病毒管理,通過(guò)殺毒軟件來(lái)防止非法的木馬、惡意代碼、軟件對(duì)操作系統(tǒng)的安全影響;應(yīng)用程序安全――直接關(guān)系信息系統(tǒng)的安全性,通過(guò)硬件、軟件的安全保護(hù)來(lái)保證應(yīng)用程序的安全。
(2) 密碼算法技術(shù)。密碼學(xué)在新版控制措施中獨(dú)立成為一個(gè)領(lǐng)域,這就是企業(yè)必須要引起重視的理由,密碼算法技術(shù),密碼算法技術(shù)應(yīng)用主要是確保信息在傳送的過(guò)程中不被非法的人員竊取、篡改和利用,同時(shí)接收方能夠完整無(wú)誤的解讀發(fā)送者發(fā)送的原始信息。
(3) 安全傳輸技術(shù)與安全協(xié)議技術(shù)。這是針對(duì)新增供應(yīng)關(guān)系領(lǐng)域企業(yè)需要加強(qiáng)的技術(shù)。為減緩供應(yīng)商以及其他用戶(hù)訪問(wèn)企業(yè)資產(chǎn)帶來(lái)的風(fēng)險(xiǎn),對(duì)于重要的系統(tǒng)和對(duì)外的訪問(wèn),進(jìn)行安全的傳輸技術(shù),以此來(lái)保證信息在傳輸過(guò)程中的安全,避免被非法用戶(hù)竊取、篡改和利用。
(4) 安全協(xié)議技術(shù)。主要是指身份認(rèn)證功能,目前企業(yè)系統(tǒng)的安全保護(hù)主要都是依賴(lài)于操作系統(tǒng)的安全,這樣入侵系統(tǒng)就非常容易,因此需要建立一套完善的身份認(rèn)證系統(tǒng),其目的是保證信息系統(tǒng)能確認(rèn)系統(tǒng)訪問(wèn)者的真正身份,身份認(rèn)證協(xié)議都是使用數(shù)據(jù)加密或數(shù)字簽名等方法來(lái)確認(rèn)消息發(fā)送方的身份。
(5) 信息處理設(shè)備冗余部署。這在新版控制措施第十七章信息安全方面的業(yè)務(wù)連續(xù)性管理中作為新增的控制措施,要求企業(yè)識(shí)別信息系統(tǒng)可用性的業(yè)務(wù)需求,如果現(xiàn)有系統(tǒng)框架不能保證可用性,應(yīng)該考慮冗余組建或架構(gòu)。在適當(dāng)情況下,對(duì)冗余信息系統(tǒng)進(jìn)行測(cè)試,保證在發(fā)生故障時(shí)可以從一個(gè)組件順利切換到另外一個(gè)組件。
4 結(jié)束語(yǔ)
信息安全管理體系的建設(shè)改進(jìn)工作是持續(xù)進(jìn)行的,是會(huì)隨著公司業(yè)務(wù)的發(fā)展、技術(shù)的更新、以及新標(biāo)準(zhǔn)的要求等不斷變化的。它需要采用科學(xué)的方法來(lái)保證體系的持續(xù)穩(wěn)定運(yùn)行,從而使信息安全管理體系化、常態(tài)化的保持下去。而新版ISO27000在信息安全體系的工作上,使各行各業(yè)都有了新的指導(dǎo)。本文主要針對(duì)軟件行業(yè)做出一定解讀。總體來(lái)講,我們需要對(duì)己經(jīng)建立的信息安全管理體系進(jìn)行監(jiān)督、完善、優(yōu)化,這實(shí)際上還是要求企業(yè)貫徹執(zhí)行PDCA模型,無(wú)論從管理還是具體操作上不斷進(jìn)行PDCA循環(huán),才能使得企業(yè)信息安全管理體系不斷改進(jìn)和優(yōu)化。
參考文獻(xiàn)
[1] 高仁斗.企業(yè)安全工作中存在的問(wèn)題與對(duì)策[J].中國(guó)職業(yè)安全衛(wèi)生管理體系認(rèn)證,2004(05).
[2] 蔣永康,朱冬林,潘豐.我國(guó)中小企業(yè)法律法規(guī)體系建設(shè)現(xiàn)狀及對(duì)策[J].管理工程師,2012(06).
[3] 楊?lèi)?ài)民.電子商務(wù)安全的現(xiàn)狀及對(duì)策探討[J].科技資訊,2006.6.
作者簡(jiǎn)介:
文艷閣(1993-),女,山西孝義人,天津商業(yè)大學(xué),本科(在讀)。
論文關(guān)鍵詞:金融信息化;信息安全;計(jì)算機(jī)犯罪
隨著金融信息化的加速,金融信息系統(tǒng)的規(guī)模逐步擴(kuò)大,金融信息資產(chǎn)的數(shù)量也急劇增加,如何對(duì)大量的信息資產(chǎn)進(jìn)行有效的管理,使不同程度的信息資產(chǎn)都能得到不同級(jí)別的安全保護(hù),將是金融信息系統(tǒng)安全管理面臨的大挑戰(zhàn)同時(shí),金融信息化的加速,必然會(huì)使金融信息系統(tǒng)與國(guó)內(nèi)外公共互聯(lián)網(wǎng)進(jìn)行互聯(lián),那么,來(lái)自公共互聯(lián)網(wǎng)的各類(lèi)攻擊將對(duì)金融信息系統(tǒng)的可用性帶來(lái)巨大的威脅和侵害:
一、計(jì)算機(jī)網(wǎng)絡(luò)安全威脅及表現(xiàn)形式
計(jì)算機(jī)網(wǎng)絡(luò)具有組成形式多樣性、終端分布廣泛性、網(wǎng)絡(luò)的開(kāi)放性和互聯(lián)性等特征,這使得網(wǎng)絡(luò)容易受到來(lái)自黑客、惡意軟件、病毒等的攻擊
(一)常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)安全威脅
1.信息泄露:指信息被透漏給非授權(quán)的實(shí)體。它破壞了系統(tǒng)的保密性。能夠?qū)е滦畔⑿孤兜耐{有網(wǎng)絡(luò)監(jiān)聽(tīng)、業(yè)務(wù)流分析、電磁、射頻截獲、人員的有意或無(wú)意、媒體清理、漏洞利用、授權(quán)侵弛、物理侵入、病毒、術(shù)馬、后門(mén)、流氓軟件、網(wǎng)絡(luò)釣魚(yú)等:
2.完整性破壞。可以通過(guò)漏洞利用、物理侵犯、授權(quán)侵犯、病毒、木馬、漏洞等方式文現(xiàn)。
3.拒絕服務(wù)攻擊:對(duì)信息或資源可以合法地訪問(wèn),卻被非法地拒絕或者推遲與時(shí)間密切相關(guān)的操作:
4.網(wǎng)絡(luò)濫用:合法剛戶(hù)濫用網(wǎng)絡(luò),引入不必要的安全威脅,包括非法外聯(lián)、非法內(nèi)聯(lián)、移動(dòng)風(fēng)險(xiǎn)、設(shè)備濫用、業(yè)務(wù)濫用。
(二)常見(jiàn)的計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全威脅的表現(xiàn)形式
1.竊聽(tīng)。攻擊者通過(guò)監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)的手段獲得重要的信息,從而導(dǎo)致網(wǎng)絡(luò)信息的泄密。
2.重傳。攻擊者事先獲得部分或全部信息,以后將此信息發(fā)送給接收者。
3.篡改。攻擊者對(duì)合法用戶(hù)之間的通信信息進(jìn)行修改、刪除、插入,再將偽造的信息發(fā)送給接收者,這就是純粹的信息破壞,這樣的網(wǎng)絡(luò)侵犯者被稱(chēng)為積極侵犯者。積極侵犯者的破壞作用最大。
4.拒絕服務(wù)攻擊:攻擊者通過(guò)某種方法使系統(tǒng)響應(yīng)減慢甚至癱瘓,阻止合法用戶(hù)獲得服務(wù)。
5.行為否認(rèn)。通信實(shí)體否認(rèn)已經(jīng)發(fā)生的行為。
6.電子欺騙。通過(guò)假冒合法用戶(hù)的身份進(jìn)行網(wǎng)絡(luò)攻擊,從而達(dá)到掩蓋攻擊者真實(shí)身份,嫁禍他人的目的:
7.非授權(quán)訪問(wèn)。沒(méi)有預(yù)先經(jīng)過(guò)同意,就使用網(wǎng)絡(luò)或計(jì)算機(jī)資源
8.傳播病毒。通過(guò)網(wǎng)絡(luò)傳播計(jì)算機(jī)病毒,其破壞性非常高,而且用戶(hù)很難防范:
二、金融計(jì)算機(jī)犯罪的特征和手段
由于計(jì)算機(jī)網(wǎng)絡(luò)絡(luò)安全威脅的存存,不法分子通過(guò)其進(jìn)行金融犯罪。金融計(jì)算機(jī)犯罪,已經(jīng)引起我國(guó)立法部門(mén)的高度重視,在新《刑法》中已將金融計(jì)算機(jī)犯罪列為重點(diǎn),第285,286,287條有明文規(guī)定。
(一)銀行系統(tǒng)計(jì)算機(jī)犯罪的特征:
1.涉案人多為內(nèi)部人員。由于金融業(yè)務(wù)都是通過(guò)內(nèi)部計(jì)算機(jī)網(wǎng)絡(luò)完成的,所以了解金融業(yè)務(wù)流程、熟悉計(jì)算機(jī)系統(tǒng)運(yùn)行原理、對(duì)金融內(nèi)部控制鏈上存在的漏洞和計(jì)算機(jī)程序設(shè)計(jì)上的缺陷比較清楚的內(nèi)部職員,往往比其他人員更容易了解軟件的“硬傷”,更容易掌握犯罪的“竅門(mén)”以達(dá)到犯罪的目的。據(jù)有關(guān)部門(mén)統(tǒng)計(jì),我國(guó)金融系統(tǒng)發(fā)生的計(jì)算機(jī)犯罪案件,九成以上是內(nèi)部人員或內(nèi)外勾結(jié)作案的。
2.手段隱蔽,痕跡不明顯:計(jì)算機(jī)犯罪智能化程度高,大多數(shù)犯罪分子熟悉計(jì)算機(jī)技術(shù),可運(yùn)用正常的操作規(guī)程,利用合法的賬戶(hù)進(jìn)入金融計(jì)算機(jī)網(wǎng)絡(luò),篡改計(jì)算機(jī)源程序或數(shù)據(jù)。這種犯罪短時(shí)期內(nèi)不易被發(fā)覺(jué)。同時(shí),犯罪分子作案迅速,所留痕跡甚少,隱蔽時(shí)間較長(zhǎng),一時(shí)不易暴露。
3.犯罪情節(jié)嚴(yán)重:犯罪分子突破計(jì)算機(jī)安全防護(hù)系統(tǒng)后,盜竊多少資金完全由犯罪分子任意輸人,動(dòng)輒十幾萬(wàn)、上百萬(wàn)元,行為肆無(wú)忌憚,數(shù)目觸目驚心,導(dǎo)致了金融資金的巨大損失。
4.社會(huì)危害嚴(yán)重。由于金融的特殊地位和其在保持社會(huì)穩(wěn)定方面所起的審要作用,一旦發(fā)生計(jì)算機(jī)犯罪,會(huì)帶來(lái)一系列的連鎖反應(yīng),引起儲(chǔ)戶(hù)的不滿(mǎn),再加上輿論導(dǎo)向的渲染,有可能造成堪設(shè)想的后果。
(二)銀行系統(tǒng)計(jì)箅機(jī)犯罪的手段
1.終端機(jī)記賬員作案。記賬員利用其直接在終端操作計(jì)算機(jī),熟悉記賬過(guò)程及賬務(wù)處理過(guò)程的作方便,進(jìn)行犯罪。
2.終端復(fù)核員(包括出納員)作案。終端復(fù)核員利用與記賬員一同辦理終端業(yè)務(wù)的機(jī)會(huì),進(jìn)行犯罪。
3.系統(tǒng)管理員(包括主任、主機(jī)管理員)作案。系統(tǒng)管理員借助管理系統(tǒng)的特殊權(quán)限,利用系統(tǒng)正常命令、程序反向錯(cuò)誤操作作案;自編程序進(jìn)行作案;修改賬務(wù)及數(shù)據(jù)資料作案;利用系統(tǒng)終端私自記賬、復(fù)核作案;為犯罪分子提供方便。
4.軟件人員作案:軟件人員利用t作之便偽造干旱序及熟悉操作程序,進(jìn)行作案
5.硬件人員作案硬件人員利用t作之便,進(jìn)行犯罪作案。
6.行內(nèi)其他人員作案。分理處、儲(chǔ)蓄所的其他人員利用接近計(jì)算機(jī)業(yè)務(wù)柜的機(jī)會(huì),伺機(jī)作案:
7.行外人員作案:利用銀行管理中的某些漏洞作案;與行內(nèi)人員相互勾結(jié)作案:
三、金融計(jì)算機(jī)信息泄密途徑
金融行業(yè)是具備特有的高保密性的行業(yè),然而隨著信息技術(shù)的迅猛發(fā)展與廣泛應(yīng)用,竊密手段更加隱蔽,泄密的隱患增多,泄密所造成的危害程度加大,保密工作面臨許多新情況、新問(wèn)題。具體而言,金融汁箅機(jī)信息泄密的途徑主要有以下幾個(gè)方面。
(一)計(jì)算機(jī)電磁波輻射泄密
計(jì)算機(jī)設(shè)備工作時(shí)輻射出的電磁波,可以借助儀器設(shè)備在一定范圍內(nèi)收到,尤其是利用高靈敏度的儀器可以穩(wěn)定、清晰地看到計(jì)算機(jī)正在處理的信息。因此,不法分子只要具有相應(yīng)的接收設(shè)備,就可以將電磁波接收,從中竊取秘密信息。
(二)計(jì)算機(jī)剩磁效應(yīng)泄密
計(jì)算機(jī)的存儲(chǔ)器分為內(nèi)存儲(chǔ)器和外存儲(chǔ)器兩種。存儲(chǔ)介質(zhì)中的信息被刪除后有時(shí)仍會(huì)留下可讀信息的痕跡,存有秘密信息的磁盤(pán)被重新使用時(shí),很可能被犯罪分子非法利用磁盤(pán)剩磁效應(yīng)提取原記錄的信息。比如,計(jì)算機(jī)出故障時(shí),存有秘密信息的硬盤(pán)不經(jīng)處理或無(wú)人監(jiān)督就帶修殫,就會(huì)造成泄密。此外,在有些信息系統(tǒng)中,刪除文件僅僅只刪掉文件名,原文還原封不動(dòng)地保留在存儲(chǔ)介質(zhì)中,一旦被利用,就會(huì)造成泄密。
(三)計(jì)算機(jī)聯(lián)網(wǎng)泄密
計(jì)算機(jī)網(wǎng)絡(luò)化使我們可以充分地享受網(wǎng)上的信息資源,然而聯(lián)網(wǎng)后,計(jì)算機(jī)泄密的渠道和范圍大大增加,主機(jī)與用戶(hù)之間、用戶(hù)與用戶(hù)之間通過(guò)線路聯(lián)絡(luò),使其存在許多泄密漏洞。竊密者只要在網(wǎng)絡(luò)中任意一條分支信道上或某一個(gè)節(jié)點(diǎn)、終端進(jìn)行截取,就可以獲得整個(gè)網(wǎng)絡(luò)輸送的信息。如果在計(jì)算機(jī)操作中,入網(wǎng)口令不注意保密和及時(shí)更換,入網(wǎng)權(quán)限不嚴(yán)密,超級(jí)用戶(hù)無(wú)人艙管,信息傳輸不進(jìn)行加密處理,局域網(wǎng)和互聯(lián)網(wǎng)沒(méi)有做到完全的物理隔離,等等,都有可能使計(jì)算機(jī)遭到黑客、病毒等的攻擊,導(dǎo)致嚴(yán)重的泄密事件發(fā)生。
四、金融計(jì)算機(jī)網(wǎng)絡(luò)犯罪的成因
(一)防范意識(shí)和能力差
不少計(jì)算機(jī)主管領(lǐng)導(dǎo)和系統(tǒng)管理人員對(duì)計(jì)算機(jī)犯罪的嚴(yán)重危害性認(rèn)識(shí)不足,防范意識(shí)低,堵截能力差,同時(shí),計(jì)算機(jī)安全組織不健全,安全教育不到位,沒(méi)有彤成強(qiáng)有力的安全抵御防線。這些是導(dǎo)致計(jì)算機(jī)犯罪案件發(fā)生的重要原因:
(二)內(nèi)控機(jī)制不完善,管理制度不落實(shí)
主管部門(mén)對(duì)計(jì)算機(jī)安全檢查不到位,監(jiān)督檢查不力,不能及時(shí)發(fā)現(xiàn)和堵塞安全漏洞;不少單位在系統(tǒng)開(kāi)發(fā)運(yùn)行過(guò)程中,缺乏有效的內(nèi)部制約機(jī)制。
(三)現(xiàn)代管理手段滯后
金融電子化項(xiàng)目從立項(xiàng)、開(kāi)發(fā),到驗(yàn)收、運(yùn)行等各環(huán)節(jié)沒(méi)有形成一套完整、科學(xué)的安全防范體系,從而使犯罪分子有機(jī)會(huì)利用計(jì)算機(jī)進(jìn)行作案。
(四)密級(jí)不分,人人都是“千手觀音”
通過(guò)案發(fā)后,案件偵破時(shí),案發(fā)單位員工都是懷疑對(duì)象這點(diǎn),更反映出金融系統(tǒng)計(jì)算機(jī)管理的薄弱環(huán)節(jié)。只要是工作人員,都能輕車(chē)熟路進(jìn)入計(jì)算機(jī)系統(tǒng)進(jìn)行操作。而且使用的密碼和程序簡(jiǎn)單易猜,造成人人都能使用,致使現(xiàn)問(wèn)題后不能鎖定固定知情人。
五、金融計(jì)算機(jī)犯罪的防范措施
(一)制度保障
一定要根據(jù)本單位的實(shí)際情況和所采用的技術(shù)條件,參照有關(guān)的法規(guī)、條例和其他單位的版本,制定出切實(shí)可行又比較全面的各類(lèi)安全管理制度,主要包括操作安全管理制度、場(chǎng)地與實(shí)施安全管理制度、設(shè)備安全管理制度、操作系統(tǒng)和數(shù)據(jù)庫(kù)安全管理制度、計(jì)算機(jī)網(wǎng)絡(luò)安全管理制度、軟件安全管理制度、密鑰安全管理制度、計(jì)算機(jī)病毒防治管理制度等。
制度的建立切忌流于形式,重要的是落實(shí)和監(jiān)督。尤其是在一些細(xì)小的環(huán)節(jié)上更要注意,如系統(tǒng)管理員應(yīng)定期及時(shí)審查系統(tǒng)日志和記錄;重要崗位人員調(diào)離時(shí),應(yīng)進(jìn)行注銷(xiāo),并更換業(yè)務(wù)系統(tǒng)的口令和密鑰,移交全部技術(shù)資料,但不少人往往忽視執(zhí)行這一措施的及時(shí)性;又如防病毒制度規(guī)定,要使用國(guó)家有關(guān)主管部門(mén)批準(zhǔn)的正版查毒殺毒軟件適時(shí)查毒殺毒,而不少人仍使用盜版殺毒軟件,使計(jì)算機(jī)查殺病毒時(shí)又染上了其他病毒。
(二)技術(shù)保障
1.減少輻射:為了防止電磁波輻射泄密,在選購(gòu)計(jì)算機(jī)產(chǎn)品時(shí),要使用低輻射計(jì)算機(jī)設(shè)備。根據(jù)輻射量的大小和客觀環(huán)境,對(duì)計(jì)算機(jī)機(jī)房或主機(jī)內(nèi)部件加以屏蔽,在專(zhuān)用的計(jì)算機(jī)上安裝微機(jī)視頻保護(hù)機(jī)等設(shè)施,并采取一定的技術(shù)措施,對(duì)計(jì)算機(jī)的輻射信號(hào)進(jìn)行十?dāng)_,增加接收還原解讀的難度,保護(hù)計(jì)算機(jī)輻射的秘密信息。
2.物理隔離:涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng),不得直接或間接地與圍際互聯(lián)網(wǎng)或其他公共信息網(wǎng)絡(luò)相連接,必須實(shí)行物理隔離。與外部網(wǎng)相連的計(jì)算機(jī)不得存儲(chǔ)、處理和傳遞內(nèi)部信息,在互聯(lián)網(wǎng)上提取的信息也必須經(jīng)殺毒處理后再接入局域網(wǎng)內(nèi)供內(nèi)部使用。
3.加強(qiáng)存儲(chǔ)介質(zhì)管理。對(duì)涉密信息進(jìn)行清除處理時(shí)所采用的信息清除技術(shù)、設(shè)備和措施,應(yīng)符合國(guó)家相關(guān)保密規(guī)定。使用u盤(pán)時(shí)應(yīng)注意修改計(jì)算機(jī)系統(tǒng)中的注冊(cè)表,將系統(tǒng)各個(gè)磁盤(pán)的自動(dòng)運(yùn)行功能禁止;使用u盤(pán)進(jìn)行數(shù)據(jù)文件存儲(chǔ)和拷貝時(shí),打開(kāi)計(jì)算機(jī)系統(tǒng)巾防病毒軟件的“實(shí)時(shí)監(jiān)控”功能,避免病毒文件入侵感染,同時(shí)打開(kāi)“文件夾”選項(xiàng)中“隱藏受保護(hù)的操作系統(tǒng)文件”選項(xiàng),并選擇“顯示所有文件和文件夾”選項(xiàng),以便u盤(pán)被感染后能及時(shí)發(fā)現(xiàn)病毒;外來(lái)u盤(pán)接人計(jì)算機(jī)系統(tǒng)時(shí),切勿雙擊打開(kāi),一定要先經(jīng)過(guò)殺毒處理,或是采用具有u盤(pán)病毒免疫功能的殺毒軟件查殺后,再接入計(jì)算機(jī)系統(tǒng),同時(shí)關(guān)閉“自動(dòng)播放”功能。
4.?dāng)?shù)據(jù)加密。在軟件方面,應(yīng)加大在開(kāi)發(fā)過(guò)程中加密軟件的開(kāi)發(fā)投入,對(duì)重點(diǎn)涉密的應(yīng)用軟件,加密設(shè)計(jì)要達(dá)到網(wǎng)絡(luò)級(jí)水平,從而最大限度地保證信息的全與保密。對(duì)涉密信息要做到加密保存,對(duì)存儲(chǔ)有涉密信息的計(jì)算機(jī)要設(shè)置開(kāi)機(jī)密碼、屏保密碼等。
5.設(shè)置權(quán)限。將內(nèi)部計(jì)算機(jī)維護(hù)權(quán)限與操作權(quán)限、數(shù)據(jù)權(quán)限分開(kāi),對(duì)不同的操作人員設(shè)置等級(jí)不同的權(quán)限,根據(jù)實(shí)際權(quán)限來(lái)分配查閱、修改文件內(nèi)容等業(yè)務(wù)范圍。
(三)管理保障
1.提高安全管理意識(shí)。一是要加強(qiáng)對(duì)“物”的管理。對(duì)錄有秘密文件的硬盤(pán)、軟盤(pán),要明確標(biāo)示密級(jí)標(biāo)志和編號(hào),執(zhí)行統(tǒng)一的登記和銷(xiāo)毀制度;對(duì)涉密較多的場(chǎng)所如打字室、機(jī)要室要設(shè)立相應(yīng)的保密控制區(qū),明確專(zhuān)人負(fù)責(zé)維護(hù)與保障;嚴(yán)格執(zhí)行“上網(wǎng)信息不涉密、涉密信息不上網(wǎng)”的規(guī)定,明確專(zhuān)人負(fù)責(zé)信息的審查與審核。二是要加強(qiáng)對(duì)人的管理。要抓好涉密人員的選配和日常的考察,做到不合格的人員堅(jiān)決不用;對(duì)有問(wèn)題的人員要及時(shí)處理,嚴(yán)明紀(jì)律。
2.加大安全管理力度。金融系統(tǒng)各級(jí)領(lǐng)導(dǎo)要充分認(rèn)識(shí)到計(jì)算機(jī)犯罪對(duì)金融信譽(yù)和資金的危害,認(rèn)真部署計(jì)算機(jī)安全防范工作,提高系統(tǒng)、網(wǎng)絡(luò)的管理能力;強(qiáng)化系統(tǒng)開(kāi)發(fā)、管理、操作人員的政治思想和安全教育,嚴(yán)格要害崗位人員的審查和管理。
[關(guān)鍵詞]信息安全 項(xiàng)目 教學(xué)改革
[中圖分類(lèi)號(hào)] G642 [文獻(xiàn)標(biāo)識(shí)碼] A [文章編號(hào)] 2095-3437(2013)09-0009-03
一、引言
積極為地方經(jīng)濟(jì)服務(wù),在服務(wù)中求生存與發(fā)展,對(duì)于地方高校,特別是新建本科院校的生存和發(fā)展,具有很強(qiáng)的現(xiàn)實(shí)意義。例如,梧州學(xué)院的辦學(xué)目標(biāo)是成為廣西與粵港澳科技文化教育交流與合作的橋梁,成為一所適應(yīng)梧州市和泛珠三角經(jīng)濟(jì)區(qū)、中國(guó)-東盟自由貿(mào)易區(qū)支柱產(chǎn)業(yè)發(fā)展需要,特色和優(yōu)勢(shì)鮮明,充滿(mǎn)活力的綜合性、實(shí)用性本科院校。因此,在人才的知識(shí)結(jié)構(gòu)和能力體系培養(yǎng)方面,應(yīng)強(qiáng)調(diào)培養(yǎng)理論基礎(chǔ)扎實(shí)、知識(shí)結(jié)構(gòu)合理、動(dòng)手能力強(qiáng)、具有創(chuàng)新精神的應(yīng)用型人才。
二、梧州學(xué)院2012年大學(xué)生學(xué)風(fēng)建設(shè)的調(diào)研對(duì)實(shí)踐教學(xué)改革的啟示
2012年10月-11月,學(xué)生工作部共發(fā)放問(wèn)卷1200份,回收有效問(wèn)卷1084份,問(wèn)卷回收率為90.33%。其中,學(xué)生代表共753人,包括本科、專(zhuān)科,覆蓋一、二、三、四年級(jí),每個(gè)年級(jí)所發(fā)數(shù)目均等。問(wèn)卷的主要內(nèi)容是學(xué)習(xí)狀態(tài)、學(xué)習(xí)動(dòng)力、學(xué)習(xí)困難、學(xué)習(xí)習(xí)慣、讀書(shū)、自習(xí)、學(xué)風(fēng)中需要改進(jìn)的問(wèn)題。其中與實(shí)踐教學(xué)有關(guān)的調(diào)研結(jié)果如下:
(一)你認(rèn)為我校學(xué)風(fēng)方面目前存在的最主要的問(wèn)題是(多選)
A.缺乏學(xué)習(xí)動(dòng)力,厭學(xué),為考試而學(xué)。(選擇A項(xiàng)的占總數(shù)的45.95%)
B.沒(méi)有學(xué)習(xí)、學(xué)術(shù)氣氛。(選擇B項(xiàng)的占總數(shù)的26.56%)
C.迷戀上網(wǎng)游戲。(選擇C項(xiàng)的占總數(shù)的8.63%)
D.學(xué)習(xí)紀(jì)律意識(shí)差,遲到曠課現(xiàn)象嚴(yán)重。(選擇D項(xiàng)的占總數(shù)的11.42%)
E.浮躁不踏實(shí),考試突擊。(選擇E項(xiàng)的占總數(shù)的9.56%)
F.滿(mǎn)于現(xiàn)狀,進(jìn)取心不強(qiáng)。(選擇F項(xiàng)的占總數(shù)的8.23%)
G.創(chuàng)新性不強(qiáng),缺乏實(shí)踐能力。(選擇G項(xiàng)的占總數(shù)的15.14%)
H.考試作弊。(選擇H項(xiàng)的占總數(shù)的5.71%)
I.其他(為文字填充項(xiàng))。(選擇I項(xiàng)的占總數(shù)的3.19%)
(二)你認(rèn)為目前學(xué)習(xí)中最大的問(wèn)題(此項(xiàng)為多選)
A.不喜歡所學(xué)專(zhuān)業(yè),負(fù)擔(dān)太重。(選擇A項(xiàng)的占總數(shù)的13.15%)
B.學(xué)習(xí)方法不科學(xué),效率不高。(選擇B項(xiàng)的占總數(shù)的30.68%)
C.所學(xué)內(nèi)容過(guò)于枯燥、陳舊,學(xué)習(xí)興趣不濃。(選擇C項(xiàng)的占總數(shù)的20.19%)
D.只掌握了書(shū)本知識(shí)、缺乏實(shí)踐能力。(選擇D項(xiàng)的占總數(shù)的28.82%)
E.沒(méi)有明確目標(biāo),很迷茫,不知道未來(lái)在哪里。(選擇E項(xiàng)的占總數(shù)的18.33%)
從結(jié)果中可以看到,為考試而學(xué)、缺乏學(xué)習(xí)氣氛、缺乏實(shí)踐能力會(huì)極大影響學(xué)生的學(xué)習(xí)積極性。而學(xué)習(xí)方法不科學(xué)、學(xué)習(xí)內(nèi)容枯燥、缺乏實(shí)踐能力是目前學(xué)習(xí)中遇到的主要問(wèn)題。所以,在信息安全專(zhuān)業(yè)教學(xué)中,提高信息安全實(shí)踐性教學(xué)比例,加強(qiáng)培養(yǎng)學(xué)生的實(shí)踐動(dòng)手能力,對(duì)專(zhuān)業(yè)教學(xué)效果的提升會(huì)有明顯作用。
三、地方高校信息安全專(zhuān)業(yè)實(shí)踐教學(xué)需要解決的關(guān)鍵問(wèn)題
(一)實(shí)踐教學(xué)基礎(chǔ)較為薄弱
對(duì)信息安全專(zhuān)業(yè)實(shí)踐教學(xué)要求認(rèn)知不足,早期教學(xué)計(jì)劃中實(shí)踐環(huán)節(jié)內(nèi)容覆蓋不夠全面,多數(shù)信息安全實(shí)踐教學(xué)依托軟件工程等傳統(tǒng)的計(jì)算機(jī)專(zhuān)業(yè)教學(xué)環(huán)境。例如開(kāi)設(shè)匯編語(yǔ)言、Java語(yǔ)言等課程時(shí)有相應(yīng)的實(shí)驗(yàn)教學(xué)。而在網(wǎng)絡(luò)安全編程、入侵檢測(cè)、專(zhuān)業(yè)安全防御軟件實(shí)踐能力培養(yǎng)方面的實(shí)踐性教學(xué)比例偏低。另外,受實(shí)驗(yàn)設(shè)備等客觀條件限制,信息安全硬件開(kāi)發(fā)設(shè)計(jì)方面的教學(xué)在地方高校中缺少實(shí)踐教學(xué)環(huán)節(jié);對(duì)常用網(wǎng)絡(luò)安全設(shè)備安裝與配置等網(wǎng)絡(luò)安全實(shí)踐教學(xué),也由于缺少專(zhuān)門(mén)的信息安全設(shè)備很難進(jìn)行。
(二)實(shí)驗(yàn)室教學(xué)人員和任課教師需要提高專(zhuān)業(yè)技術(shù)水平
在地方高校由于缺乏足夠的培訓(xùn)和對(duì)外交流,以及對(duì)實(shí)驗(yàn)室教學(xué)人員在高校中的地位和作用缺乏足夠認(rèn)識(shí),一般實(shí)驗(yàn)室教學(xué)人員不具備實(shí)踐教學(xué)所需的管理能力,工作積極性也不高,對(duì)特殊實(shí)驗(yàn)中使用的儀器設(shè)備了解很少,無(wú)法對(duì)實(shí)驗(yàn)設(shè)備進(jìn)行有效管理和充分利用,比如某些病毒、木馬實(shí)驗(yàn)根本無(wú)法完成。實(shí)驗(yàn)室教學(xué)人員要課前與任課教師做好充分溝通與測(cè)試評(píng)估,做好實(shí)驗(yàn)環(huán)境規(guī)劃與安全防范措施。
(三)缺少實(shí)驗(yàn)儀器設(shè)備以及未能對(duì)現(xiàn)有設(shè)備有效維護(hù)
梧州學(xué)院計(jì)算機(jī)教學(xué)實(shí)驗(yàn)室配置的主要設(shè)備有臺(tái)式電腦、曙光服務(wù)器等。隨著信息安全技術(shù)的快速發(fā)展,對(duì)信息安全專(zhuān)業(yè)實(shí)踐教學(xué)要求的不斷提升,需要更復(fù)雜的軟硬件環(huán)境,不僅需要計(jì)算機(jī)、三層交換機(jī)、二層高性能交換機(jī)、路由器等網(wǎng)絡(luò)平臺(tái)設(shè)施,還需要防火墻、IDS等在實(shí)際商用環(huán)境中常見(jiàn)的專(zhuān)用信息安全設(shè)備系統(tǒng)。而作為地方高校的財(cái)力投入,未能一步到位購(gòu)置最新的完整軟硬件實(shí)踐教學(xué)平臺(tái)是正常情況,這對(duì)培養(yǎng)應(yīng)用型人才有一定制約作用。另外在設(shè)備出現(xiàn)故障時(shí),經(jīng)常遇到本地設(shè)備提供商快速響應(yīng)能力不足、維修技術(shù)有限,導(dǎo)致售后不能進(jìn)行及時(shí)有效的維修,造成一些精密儀器設(shè)備破損。
(四)實(shí)踐教學(xué)體系不夠完善
早期制定的信息安全專(zhuān)業(yè)培養(yǎng)計(jì)劃側(cè)重于理論教學(xué),實(shí)踐教學(xué)的內(nèi)容是作為理論教學(xué)的輔助和補(bǔ)充,沒(méi)有結(jié)合自身辦學(xué)特點(diǎn)建立有針對(duì)性的信息安全專(zhuān)業(yè)實(shí)踐教學(xué)體系。實(shí)踐教學(xué)內(nèi)容只是單一地圍繞課程知識(shí)點(diǎn)進(jìn)行驗(yàn)證性實(shí)驗(yàn),缺少專(zhuān)門(mén)的實(shí)驗(yàn)課程和增強(qiáng)性的實(shí)踐環(huán)節(jié)。由于實(shí)驗(yàn)內(nèi)容偏重于驗(yàn)證,結(jié)論已知,學(xué)生只是按照課本所示得到最終結(jié)果,沒(méi)有自主發(fā)揮的地方,造成學(xué)生的學(xué)習(xí)興趣下降,容易敷衍完成。這樣的實(shí)踐教學(xué)不容易培養(yǎng)學(xué)生的創(chuàng)新能力、動(dòng)手能力和解決實(shí)際問(wèn)題的能力,缺乏師生之間的互動(dòng),不利于教師了解教學(xué)效果,改進(jìn)教學(xué)方法。
四、依托科研項(xiàng)目建立科學(xué)合理的信息安全專(zhuān)業(yè)實(shí)踐教學(xué)體系
在信息安全本科專(zhuān)業(yè)應(yīng)用型人才培養(yǎng)中,強(qiáng)調(diào)理論與實(shí)踐的結(jié)合,要求培養(yǎng)的人才具有寬闊的知識(shí)面、較強(qiáng)的實(shí)踐動(dòng)手能力、快速的知識(shí)更新能力。[5]因此,基于實(shí)踐能力培養(yǎng)的規(guī)律性,按強(qiáng)化基礎(chǔ)、循序漸進(jìn)、重視創(chuàng)新的原則,根據(jù)梧州學(xué)院人才培養(yǎng)目標(biāo)是為地方經(jīng)濟(jì)建設(shè)培養(yǎng)高級(jí)應(yīng)用型人才的特點(diǎn),依托學(xué)院與政府部門(mén)和企事業(yè)單位簽訂的大量科技開(kāi)發(fā)項(xiàng)目,我們研究探索了依托科研項(xiàng)目來(lái)建設(shè)信息安全專(zhuān)業(yè)實(shí)踐教學(xué)體系。主要包含以下三個(gè)部分。
(一)項(xiàng)目團(tuán)隊(duì)建設(shè)與實(shí)驗(yàn)室建設(shè)并重
2010年以來(lái)信息安全專(zhuān)業(yè)分別引進(jìn)博士,從中國(guó)移動(dòng)公司引進(jìn)有豐富實(shí)踐經(jīng)驗(yàn)的高級(jí)工程師,參與實(shí)踐教學(xué)環(huán)節(jié),充實(shí)了實(shí)踐教學(xué)的一線教師隊(duì)伍。
同時(shí),學(xué)院還設(shè)立網(wǎng)絡(luò)與信息安全研究所,給予一定啟動(dòng)經(jīng)費(fèi),資助年輕教師依托各級(jí)科研項(xiàng)目和本地科技開(kāi)發(fā)項(xiàng)目鍛煉團(tuán)隊(duì),有效提升了教師隊(duì)伍解決實(shí)際問(wèn)題,進(jìn)行科技攻關(guān)的能力,為實(shí)踐教學(xué)提供很多真實(shí)案例和經(jīng)驗(yàn)。而且在項(xiàng)目開(kāi)發(fā)過(guò)程當(dāng)中,需要針對(duì)客戶(hù)需要,構(gòu)建出各種適合業(yè)務(wù)要求的網(wǎng)絡(luò)與硬件測(cè)試運(yùn)營(yíng)環(huán)境,通過(guò)溝通,實(shí)驗(yàn)室教學(xué)人員從中可得到很好的綜合型實(shí)驗(yàn)思路,有效完成對(duì)相關(guān)知識(shí)的更新,進(jìn)一步推動(dòng)了實(shí)驗(yàn)室教員自身素質(zhì)的提高。
(二)課程實(shí)驗(yàn)與項(xiàng)目產(chǎn)品研發(fā)配合
基本課程實(shí)驗(yàn)依據(jù)具體課程設(shè)立,要求學(xué)生必須完成。綜合實(shí)驗(yàn)面向高年級(jí)本科生開(kāi)設(shè),需要綜合運(yùn)用多門(mén)專(zhuān)業(yè)課知識(shí)。部分綜合實(shí)驗(yàn)由任課教師融入項(xiàng)目產(chǎn)品的測(cè)試環(huán)節(jié),將產(chǎn)品測(cè)試流程、測(cè)試技術(shù)與測(cè)試工具使用說(shuō)明編入實(shí)踐教學(xué)內(nèi)容,利用教學(xué)實(shí)驗(yàn)平臺(tái),鍛煉學(xué)生的專(zhuān)業(yè)實(shí)踐能力,讓學(xué)生實(shí)際參與項(xiàng)目產(chǎn)品的測(cè)試。
為了滿(mǎn)足信息安全專(zhuān)業(yè)實(shí)踐教學(xué)工作需求,要建立信息安全實(shí)驗(yàn)環(huán)境。考慮到應(yīng)該優(yōu)先利用現(xiàn)有硬件條件,在學(xué)院網(wǎng)絡(luò)中心進(jìn)行服務(wù)器虛擬化操作,建立集中且易于管理的資源池給原來(lái)分散的學(xué)院各個(gè)業(yè)務(wù)系統(tǒng)使用,然后把剩余的服務(wù)器,跟軟件實(shí)驗(yàn)室組成封閉的網(wǎng)絡(luò)。因?yàn)榫W(wǎng)絡(luò)信息安全專(zhuān)業(yè)課程實(shí)驗(yàn)具有一定破壞性,建立封閉的實(shí)驗(yàn)環(huán)境很有必要,這樣實(shí)驗(yàn)時(shí)不會(huì)對(duì)其他網(wǎng)絡(luò)系統(tǒng)帶來(lái)影響。信息安全實(shí)驗(yàn)環(huán)境所需要的軟件平臺(tái),學(xué)院給予教學(xué)改革項(xiàng)目立項(xiàng),由專(zhuān)業(yè)課程任課教師承擔(dān),根據(jù)專(zhuān)業(yè)課程要求,指導(dǎo)學(xué)生開(kāi)發(fā)各門(mén)課程的實(shí)驗(yàn)軟件,這個(gè)過(guò)程能夠加強(qiáng)學(xué)生理解專(zhuān)業(yè)知識(shí)。利用上述方法建成的信息安全專(zhuān)業(yè)基礎(chǔ)實(shí)驗(yàn)平臺(tái),主要承擔(dān)密碼學(xué)、入侵檢測(cè)技術(shù)、計(jì)算機(jī)病毒原理等課程中的基礎(chǔ)驗(yàn)證項(xiàng)目,如密碼學(xué)實(shí)驗(yàn)中的DES、AES、RSA密碼、數(shù)字簽名、計(jì)算機(jī)文件加密、通信加密等實(shí)驗(yàn)項(xiàng)目,計(jì)算機(jī)病毒原理及軟件安全實(shí)驗(yàn)中的軟件漏洞機(jī)理分析、軟件漏洞利用實(shí)例分析、安全防護(hù)工具分析等實(shí)驗(yàn)項(xiàng)目。
(三)推進(jìn)項(xiàng)目研發(fā)成果產(chǎn)業(yè)化與本地網(wǎng)絡(luò)安全服務(wù)外包
為了培養(yǎng)學(xué)生的實(shí)踐能力和創(chuàng)新意識(shí),利用學(xué)過(guò)的知識(shí)及積累經(jīng)驗(yàn),針對(duì)各級(jí)業(yè)余科研項(xiàng)目、校內(nèi)外科研競(jìng)賽項(xiàng)目、校外實(shí)踐基地項(xiàng)目、信息安全應(yīng)用領(lǐng)域科研子課題,鼓勵(lì)學(xué)生以團(tuán)隊(duì)方式提出有創(chuàng)意的設(shè)計(jì)方案并加以實(shí)現(xiàn),從而提高實(shí)踐創(chuàng)新能力,培養(yǎng)團(tuán)隊(duì)合作與協(xié)作能力。這些項(xiàng)目研發(fā)成果的產(chǎn)業(yè)化過(guò)程,為學(xué)生自主創(chuàng)業(yè)提供了動(dòng)力。
除了利用各級(jí)科研項(xiàng)目,學(xué)生還能依靠梧州學(xué)院校內(nèi)實(shí)踐平臺(tái)――大學(xué)生綜合發(fā)展中心,通過(guò)課程體系、模訓(xùn)體系、實(shí)踐體系和行動(dòng)體系進(jìn)行教育實(shí)踐活動(dòng),承接本地企事業(yè)單位的網(wǎng)絡(luò)安全服務(wù)外包項(xiàng)目,在實(shí)踐中得到更大的成長(zhǎng)空間。
五、結(jié)束語(yǔ)
針對(duì)學(xué)院信息安全專(zhuān)業(yè)實(shí)踐教學(xué)方面存在的不足之處,通過(guò)將項(xiàng)目團(tuán)隊(duì)建設(shè)與實(shí)驗(yàn)室建設(shè)并重,課程實(shí)驗(yàn)與項(xiàng)目產(chǎn)品研發(fā)配合,推進(jìn)項(xiàng)目研發(fā)成果產(chǎn)業(yè)化與本地網(wǎng)絡(luò)安全服務(wù)外包等措施,推動(dòng)為項(xiàng)目服務(wù)的實(shí)踐教學(xué)改革,提高信息安全專(zhuān)業(yè)實(shí)踐性教學(xué)比例。
[ 參 考 文 獻(xiàn) ]
[1] 顧純祥,徐洪,鄭永輝.信息安全專(zhuān)業(yè)實(shí)踐教學(xué)方法探討[J].Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security,2011,(1).
[2] 王小軍,劉順蘭,黃騫儒.信息安全專(zhuān)業(yè)實(shí)踐教學(xué)體系的構(gòu)建與探索[J].杭州電子科技大學(xué)學(xué)報(bào)(社會(huì)科學(xué)版),
2011,(7):66-68
[3] 延霞,關(guān)于高職信息安全技術(shù)專(zhuān)業(yè)實(shí)踐教學(xué)體系建設(shè)的思考[J].職業(yè)教育研究,2011,(10):116-117