信息安全实践(精选8篇)
1.信息安全实践 篇一
互联网金融十大信息安全风险与最佳安全实践
(中国电子商务研究中心讯)据中国互联网信息中心发布《第35次中国互联网络发展状况统计报告》的显示,2014年中国网民规模6.49亿,手机网民5.57亿。其中使用网上支付的用户规模达3.04亿,手机支付用户规模达到2.17亿,2014年也被认为是中国互联网金融元年。作为一项金融创新,随着大家对互联网金融关注的提升和其本身规模的不断壮大,互联网金融发展形成了第三方支付、P2P网贷、大数据金融、众筹、信息化金融机构、互联网金融门户等多种模式。据媒体报道称,中国的互联网金融市场规模已是世界第一。与此同时,国内的网络安全技术平台、安全防护机制尚不成熟,互联网金融各方参与者对于数据安全、客户信息安全的风险防患意识较弱的问题应受到更多的认识与关注。
十大信息安全风险
互联网金融中金融信息的风险和安全问题,主要来自互联网金融黑客频繁侵袭、系统漏洞、病毒木马攻击、用户信息泄露、用户安全意识薄弱,不良虚假金融信息的传播、移动金融威胁逐渐显露等十个方面。
1、有组织有目的性的金融网络犯罪集团兴起
攻击者由过去的单兵作战,无目的的攻击转为以经济利益为目的的、具有针对性的集团化攻击。从敏感信息的收集与贩卖,到伪卡制卡,甚至网银木马的量身定制,在网络上都能找到相应的服务提供商,并且形成完整的以金融网络犯罪分子为中心的“传、取、销”的经济产业链。
2、DDoS攻击
屏蔽此推广内容DDoS攻击是目前最有效的一种网络恶意攻击形式,近期的个案显示不同规模的银行正面临不同形式的DDoS攻击,这包括传统SYN攻击、DNS泛洪攻击、DNS放大攻击,以及针对应用层和内容更加难以防御的应用层DDOS攻击。
3、互联网业务支撑系统自身安全漏洞
当今的互联网,病毒、蠕虫、僵尸网络、间谍软件、DDoS犹如洪水般泛滥,所有的这一切都或多或少地从互联网业务支撑系统漏洞走过。如Apache Struts 2远程代码执行漏洞,漏洞的爆发直接导致国内的多家银行遭受恶意攻击。
4、病毒木马
目前针对网上银行的木马程序、密码嗅探程序等病毒不断翻新,通过盗取客户资料,直接威胁网银安全,用户如果未对其计算机安装相应的木马查杀软件,就非常容易被感染。
5、信息泄露
在互联网环境下,交易信息通过网络传输,一些交易平台并没有在“传输、存储、使用、销毁”等环节建立保护敏感信息的完整机制,大大加剧了信息泄露风险。
6、网络钓鱼
虽然金融机构对钓鱼网站带来的金融信息危害极其重视,但大量钓鱼网站都建立在海外的网络空间,因而加大了安全监管的难度。
7、移动威胁
移动金融信息风险,主要由于移动应用软件的信息安全隐患和用户的防范意识薄弱,给用户造成了严重的经济损失,同时也为移动金融的发展造成阻碍。
8、APT攻击
由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。
9、外包风险
由于其利益驱动特性,与交易和金钱直接相关的金融行业,成为了黑客进攻“首选”,沦为APT攻击重灾区。
10、内控风险
互联网金融服务内控风险通常与不适当的操作和内部控制程序、信息系统失败和人工失误密切相关,该风险可能在内部控制和信息系统存在缺陷时导致不可预期的损失。
十大信息安全最佳实践
基于互联网技术发展起来的互联网金融,其信息安全技术还有待关注与加强。传统的信息安全防护体系已经难以提供可靠的安全防护,特别是针对APT攻击、零天型漏洞攻击或者是来自企业内部的网络攻击,当前的互联网金融系统信息安全保障体系无法提供足够的保护能力。因此,安恒信息结合行业观察以及相关实践,建议互联网金融企业进行以下安全建设,以长期保证金融系统的信息安全。
1、制定行业标准
重点防范互联网金融可能出现的系统性风险,而且要坚持线上线下一致性的原则,要注重法律法规的有效衔接,不断地完善相关的监管制度。同时政府应该有一个统一的分类,并按类别制定互联网金融信息安全行业标准,指导各企业进行相应的信息安全建设和安全运维管理,提高互联网金融企业的安全准入门槛。
2、加大信息安全投入
互联网金融企业应加大对信息安全技术的投资力度,应结合安全开发、安全产品、安全评估、安全管理等多个方面,从整个信息系统生命周期(ESLC)的角度来实现互联网金融长期有效的安全保障。对于已经在线的生产系统,当务之急则是采用防火墙、数据库审计、数据容灾等多种手段提升对用户和数据的安全保障能力。
3、增强APT防护能力
加入APT防护控制手段,加固环境,考虑双因素认证、网络限制、反垃圾邮件过滤、WEB过滤等高级限制方式。
4、加强信息系统的审计与风险控制
对越来越庞大的金融信息系统部署运维审计与风险控制系统通过账号管理、身份认证、自动改密、资源授权、实时阻断、同步监控、审计回放、自动化运维、流程管理等功能增强金融信息系统运维管理的安全性。
5、采用自主可控的产品和技术
以防范阻止、检测发现、应急处置、审计追踪、集中管控等为目的,研究适合自身信息系统特点的安全保护策略和机制;开展安全审计、强制访问控制、系统结构化、多级系统安全互联访问控制、产品符合性检验等相关技术;研发用于保护重点信息系统的安全计算环境、安全区域边界、安全通信网络和安全管理中心的核心技术产品;研发自主可控的计算环境、操作系统、中间件、数据库等基础产品,实现对国外软硬件的替代;建设模拟仿真测试环境,通过可靠的测试技术和测试工具实现对信息系统的安全检测,确保降低信息系统使用过程中发生的安全事件。
6、突出保护重点系统
对需要保护的信息资产进行详细梳理,以整体利益为出发点,确定出重要的信息资产或系统,然后将有限的资源投入到对于这些重要信息资源的保护当中。
7、核心安全建设由可信队伍建设
对我国的金融信息系统进行核心安全建设和保障的机构,应具备专业信息安全服务能力及应急响应能力获得权威认证的、具有一定规模、具备专业扫描检测与渗透测试产品的安全服务团队。
8、基于大数据与云计算的解决方案
以信息安全等级保护为基础,在控制风险的基础上,充分利用云计算和大数据的优势,建立适合互联网金融自身信息系统的建设规范与信息安全管理规范,丰富已有安全措施规范,完善整体信息安全保障体系,建立云计算和数据保护的标准体系,健全协调机制,提高协同发展能力。
9、外包风险防范
实行业务外包以前,金融机构应制定外包的具体政策和标准,全面考虑业务外包的程度问题、风险集中问题,以及将多项业务外包给同一个服务商时的风险问题。同时在外包的过程中时刻对风险进行内部评估。
10、健全内控制度
建立直接向最高级别领导汇报的风险管理部门,独立于所有业务部门进行风险的评估、分析和审核;根据自身的业务特点建立完整的工作流程体系;根据各业务环节的风险,总体评估自身的风险特征;根据工作流程各环节的风险点,设计标准的内部控制操作方案,以有效保障每个工作环节的准确执行。(来源:赛迪网;文/子鉃;编选:中国电子商务研究中心)
2.信息安全实践 篇二
一、开展基层金融信息系统安全的必要性
金融经营的集约化和数据的集中化,一方面顺应了银行业务发展的要求,避免了业务分散导致的业务风险;另一方面,又不可避免地导致了信息安全风险的集中,主要表现在以下几个方面。
(一)信息系统本身固有的风险在增加。
当前,各金融机构基本具备了完善的业务处理软件系统和数据集中存储系统,实现了金融机构所有核心业务数据集中到省域数据中心或指定的全国性数据中心、灾难备份中心,形成了以数据交换总中心为核心、以数据中心为节点的全国信息系统基础架构。这些信息系统所采用的信息技术与信息系统软硬件本身存在着很大的脆弱性,如果这些脆弱性被特定的威胁所利用,就会产生风险,从而损害银行信息系统的机密性、完整性。
(二)银行数据联网处理风险。
以龙南支行的管辖行赣州市中心支行为例,目前造成网络连接共有16个连接点,其中银行业金融机构12家,非银行金融机构2家,财政、税务单位2家。在赣州金融网上运行的业务应用系统有同城票据交换清算系统、财税库行联网业务处理系统、国库集中支付系统等。与此同时,人总行在金融机构推广了较多的业务应用系统,如大额支付系统、小额支付系统、人民币银行结算账户管理系统、全国支票影像交换系统、联网核查公民身份信息系统、个人(企业)征信系统、金融数据统计系统等。越来越多的信息电子化,将使金融信息系统内部采集、存储、传输、处理的信息量越来越大,信息的重要程度也越来越高。而如何确保这些金融数据的安全采集、安全存储、安全传输和安全处理,将是金融信息系统建设面临的重要挑战。
(三)安全管理的风险。
随着对信息安全认识的加深,人为的风险逐步成为影响金融信息系统安全的最大风险。有关部门统计,在信息安全事故中,只有20%~30%是由于黑客入侵或其他外部原因造成的,70%~80%是由于内部员工的疏忽或有意泄密造成的。由于金融机构经营管理信息系统和办公自动化系统发展迅速,各金融机构相继建立了公文传输系统、电子邮件系统、电视会议系统、办公自动化系统,以及包括风险和资产负债管理、客户关系管理、决策分析等功能在内的后台管理信息系统,以提高经营决策和综合管理水平。一旦有内部管理人员或员工把内部网络结构、管理员用户名及口令以及系统一些重要信息传播给外人,就有可能带来信息泄密的风险,引发信息安全危机。
二、指导辖区金融信息安全的工作实践
(一)建立健全各项制度和规范。
人民银行龙南县支行根据《中国人民银行信息系统安全配置指引》,要求全县各金融机构建立组织、明确责任,并针对金融信息系统运行所涉及领域制定一套完整的管理制度,内容包括:信息安全风险防范责任制度、信息系统安全运行管理制度、信息安全基础设施建设维护制度等10项制度规范,认真考核各金融机构信息安全制度执行情况,努力推行《工作指引》有效实施。在实施过程中,当地人民银行注意收集各方面的意见反馈,认真指导各金融机构修订相关金融信息安全规范;要求各金融机构建立“一把手”负责的信息安全领导小组,建立包括管理办法、实施细则和管理手册在内的金融信息安全管理制度。这些制度和规范适合当地金融发展实际,对辖区金融信息系统安全管理工作起到了重要的基础作用。
(二)强化信息系统运行的日常管理。
当地人民银行要求各金融机构搞好信息系统的安全运行管理,结合上级行对信息系统实施等级保护的要求,对不同安全等级的信息系统分别采取不同强度的管理和应急措施,关注对日常生产中出现问题的分析、解决的跟踪管理。如2010年4月人民银行龙南县支行开展了广域网全部中断的突发事件演练,赣州市中心支行网络监控短信报警系统第一时间发出短信报警信息,龙南支行立即按照网络系统突发事件应急处理流程进行响应和处置,确认突发事件级别,进行应急处置,从而有效锻炼了辖区信息安全突发事件应急能力。
(三)开展信息系统安全检查。
为进一步提高各金融信息系统运行的稳定性,人民银行龙南县支行督促各金融机构加强自身内部的合规检查和日常工作抽查,强调信息系统安全管理部门的作用,对重要业务系统的性能容量管理、用户权限管理、问题管理、变更管理等方面的执行情况进行定期抽查,等级越高、越重要的系统抽查强度越大,借此发现可能存在的风险隐患。同时,加强对新设金融机构进入金融网服务体系的审核,严格执行相关技术标准,确保网络和应用系统安全运行。对各金融机构涉及金融网的网络改造,需将改造方案、安全控制措施报当地人民银行科技部门审核、备案。当前辖内各金融机构都应主动配合内部、外部的检查工作,主动对检查中发现的问题进行认真整改。
(四)建立信息安全防范工作机制。
按照“谁运行谁负责”的原则,逐步完善对金融信息系统访问的安全控制,建立网络安全防护、防止病毒入侵和系统漏洞等管理工作机制。为了加强各金融机构信息安全人员的交流,避免因发生信息安全事件可能造成的资金和信誉损失,当地人民银行从各金融机构中选拔了一些素质高、技能强、勇于探索和开拓创新、具有一定专业技术水平的科技人员成立了信息安全防护小组。信息安全防护小组定期召开会议,主动跟踪、研究当前各类信息安全事件,交流和分析辖内金融信息系统运行情况,及时发现各金融信息系统运行中可能存在的安全漏洞,并提出对策,以避免发生较大的信息安全突发事件,确保辖区金融信息系统安全、稳定运行。
三、促进基层央行金融信息安全的建议
当前基层人民银行在履行金融信息安全工作这一职责中,积极主动创新手段和方式,取得了初步成效,但由于金融信息安全工作缺乏有效途径,没有统一工作规划、模式和法制环境,亟待明确相关规定和制度。
(一)组织完善金融业信息化发展规划。
人民银行在开展指导金融业信息安全工作中,必须有一个规范金融业信息化发展规划和工作制度,尤其要明确基层各金融机构的工作职责、方式和内容,确定金融信息标准体系目标、任务、发展阶段策略和原则等,全面规划金融行业通信和网络技术设施建设,提出统一业务平台体系和金融信息认证技术框架以及公共必要设施,建立金融业信息化发展安全管理的合作长效机制,增强规划的指导性和可操作性,促进金融业信息化健康发展。
(二)建立健全金融信息标准化体系。
当前我国亟待建立金融信息标准化体系,健全信息安全指标评估体系和信息安全检测认证标准,统一安全问题处理规范和流程,共享金融行业跨平台网络互联技术,提高信息安全中金融风险监控、预警和防范水平等,以有效地防范和化解信息系统安全风险,增强金融系统信息安全整体防范能力,确保金融机构信息系统平稳运行。
(三)明确基层央行指导信息安全工作的任务和指导行为。
人民银行指导金融业信息安全工作这一职责的确定,作为基层央行来说,承担的责任和工作量是艰巨、繁重的。这就要求人民银行各级机构要统一思想认识,理顺工作思路,提高履职能力,加强调研,了解和摸清本辖区金融机构信息系统建设和信息安全工作的现状,及时发现信息系统存在的风险和隐患。具体有:一是建立金融机构业务应用系统网络接入准入审批制度,把好准入关;二是建立金融业信息安全管理人员任职资格审查制度;三是建立信息保密、业务系统应用及更新开发、灾备方案等报备制度;四是建立定期现场检查和系统测试制度。
(四)将金融信息安全列入金融稳定范畴。
3.基层医院信息化安全管理实践 篇三
【摘要】随着医院信息化进程的发展,越来越多的信息系统投入到基层医院运营,医院整体业务对于信息化系统的依赖也逐渐增强,从而对信息系统的信息安全提出了更高的要求,如何保障医院信息的安全也成为信息化医院模式下,基层医院需要考虑的关键问题之一。本文从网络安全、外部访问安全控制管理、数据库安全管理、系统运行环境及数据存储安全保障、应用系统权限管理、院内终端设备安全管理、业务应用安全保障几个层面,阐述了在医院建设信息化化医院过程中所采取的信息安全管理措施。
【关键词】网络安全;基层医院;权限
【中图分类号】TP393.08 【文献标识码】A 【文章编号】1672-5158(2013)01—0087-02
中央县医院能力建设使基层医院信息化建设得到了迅猛发展,医院信息系统已成为建设现代化医院不可缺少的基础设施和支撑环境。随着越来越多的传统的手工流程逐步转变为软件信息处理流程,医院业务对于信息系统的依赖也越来越强,但信息安全是网络时代产生的一个困扰所有使用者的问题,尤其是医院业务所产生的数据具有隐私程度更高的特点,对于数据传输与数据存储的安全性的要求更高,因此保障医院信息的安全性成为医院信息化建设过程中必须重视的关键问题。信息安全管理是通过维护信息的机密性、完整性与可用性来管理并保护组织所有的信息资产的一项体制。
1 医院信息安全现状
文献对湖北省医院信息安全状况进行了调查和分析,调查结果如下:
医院网络安全措施方面,湖北省98.10%的二级及以上医院已采用网络安全措施,其中应用情况比较好的有防火墙设备、上网行为管理和域用户管理模式,应用比例如图1所示。
体系结构安全措施方面,医院信息系统体系结构安全措施主要包括服务器双机热备、服务器集群、容错机、服务器负载均衡等,湖北省二级及以上医院信息系统总体采用率如图2所示。
数据安全措施方面,数据安全是通过数据冗余、密码认证等措施以防数据因系统硬件或软件故障而引起数据丢失或泄漏的一种措施。调查结果显示:应用率较高的安全措施,如数据库镜像备份、数据冷备份和数据离线存储的应用率如图3所示。
医院信息安全制度和应急预案方面,93.51的二级医院已制定医院信息系统应急预案,其中制定比较完善的占30.93%;95.35%的三级医院制定了医院信息系统安全制度与措施,其中比较完善的占46.42%。
卫生部印发的卫办综发[2011]39号《基于电子病历的医院信息平台建设技术解决方案(1.0版)》中对医院信息平台的安全体系框架给予了指导说明,如图4所示。
基于电子病历的医院信息平台安全体系总体框架包括:安全基础设施、安全技术、安全管理三部分:
(1)安全基础设施主要为基于电子病历的医院信息平台安全运行所需的防护部件,通过安全基础设施的安全互联、接入控制与边界防护、区域安全、通信安全、数据传输安全和安全管理等,为形成一体化的安全防护体系奠定基础。
(2)安全技术包含安全计算环境、安全区域边界、安全通信网络、屋里安全及安全管理中心五个方面。
(3)安全管理建设需建立相应的信息安全管理机构、制定相应的信息安全管理制度、设置平台运行所需的人员、岗位,建立对系统在运行开发过程中的制度,同时通过日常巡检、咨询、评估等运行管理来发现安全隐患并予以改进与提升。
2 医院信息安全管理实践措施
孝感市某医院自2008年起开始全面建设医院信息化,在软件信息系统功能不断提升改进的同时,也不断地探索实践信息安全保障的方式,形成了如图5所示的医院信息安全管理体系框架。
2.1 网络安全管理
2.1.1 安全网关技术
采用路由器与防火墙相结合的Juniper SSG安全专用网关,通过网络和应用层防护技术,用于阻断蠕虫、间谍软件、木马、恶意软件和其他新兴攻击。此外,SSG安全网关设备还整合了防火墙系统ScreenOS,Juniper J系列路由器的广域网接口模块以及JUNOS系统广域网封装协议,以提供整合的安全和路由特性,可同时部署为防火墙和路由设备。
(1)内外网隔离:医院内网与外部互联网通过防火墙设置实现了内外网隔离,保证内网安全性。
(2)安全防护与效能:通过使用验证的防火墙与丨 PSec VPN,加上UTM安全防护功能,包括IPS、防毒(包括防间谍软件、防广告软件、防钓鱼攻击)、防垃圾邮件,以及Web过滤。
(3)网路分段功能:提供一组网络分区特性,如安全区域、虚拟路由器和虚拟局域网等,允许管理员将网络分割成不同的安全区域以部署不同的安全策略,从而为不同的用户群提供不同级别的安全性。
(4)防火墙技术:通过防火墙技术,实现网络攻击检测、DoS和DDoS防护、用于数据包碎片保护的TCP重组、异常数据包防护等功能。
(5)入侵检测与防御系统:通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。通过将入侵检测与防御软件安装在硬件防火墙上,实现高端安全功能整合。
(6)日志记录和监视:日志记录和监视功能能够实现监控多个服务器的系统日志,可进行路由跟踪,可使用VPN隧道监视器。
(7)管理:具有本地管理员数据库与外部的管理员数据库,用户级别分为根管理员、管理员和只读用户级别。
2.1.2 上网行为管理
通过将上网行为管理硬件部署在防火墙与交换机之间,实现P2P流量管理、防止内网泄密、防范法规风险、互联网访问行为记录、上网安全等多个方面的功能。
(1)防止带宽资源滥用:通过基于应用类型、网站类别、文件类型、用户/用户组、时间段等的细致带宽分配策略限制P2P、在线视频、大文件下载等不良应用所占用的带宽,保障院内业务应用获得足够的带宽支持,提升上网速度和网络办公应用的使用效率。
(2)防止无关网络行为影响工作效率:上网行为管理产品可基于用户/用户组、应用、时间等条件的上网授权策略可以精细管控所有与工作无关的网络行为,并可根据各组织不同要求进行授权的灵活调整,包括基于不同用户身份差异化授权、智能提醒等。
(3)记录上网轨迹满足法规要求:上网行为管理产品可以帮助组织详尽记录用户的上网轨迹,做到网络行为有据可查,满足组织对网络行为记录的相关要求、规避可能的法规风险。
(4)管控外发信息,降低泄密风险:上网行为管理产品充分考虑网络使用中的主动泄密、被动泄密行为,从事前防范、事中告警、事后追踪等多方面防范泄密,为组织保护信息资产安全,降低网络风险。
(5)为网络管理与优化提供决策依据:上网行为管理产品提供了丰富的网络可视化报表,能够提供详细报告让管理者清晰掌握互联网流量的使用情况,找到造成网络故障的原因和网络瓶颈所在,从而对精细化管理网络并持续加以优化提供了有效依据。
(6)防止病毒木马等网络风险:通过上网行为管理产品,利用其内置的危险插件和恶意脚本过滤等创新技术过滤挂马网站的访问、封堵不良网站等,从源头上切断病毒、木马的潜入,再结合终端安全强度检查与网络准入,DOS防御、ARP欺骗防护等多种安全手段,实现立体式安全护航,确保组织安全上网。
2.2 外部访问安全控制管理
2.2.1 外部公众访问医院宣传网站的安全管理
对于医院对外宣传网站服务器,通过内网IP映射为外网IP,实现外部访问,同时也保证了内部网站服务器的安全性。
2.2.2 外部开发与维护人员远程访问系统安全管理
医院外部开发与维护人员远程访问系统皆通过VPN进行访问(虚拟专用网络)。VPN主要采用了隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术保证连接的安全。
(1)为不同接入用户分别建立独立的VPN连接用户:不同类别用户各自拥有独立的VPN连接用户,例如,对于信息中心人员,每位员工拥有各自VPN用户名及密码,对于外部厂商人员,为每个厂商分配了VPN连接用户,以在需要时区分远程连接操作的操作者。
(2)安全特性:VPN后台管理可以为设置VPN访问策略;可以通过连接监控器管理历史VPN连接访问记录。
2.3 数据库安全管理
数据库是医院信息系统数据存储的核心,数据不仅是各个应用系统的基础,也是医院的重要资源。数据安全是医院信息系统安全的核心部分。
数据库的安全威胁主要有三种:篡改、损坏、窃取。在数据库安全管理层面,提供4种安全管理策略。
2.3.1 用户注册管理
系统管理员为不同类别用户注册不同用户名,以方面针对性地进行权限管理与权限控制。
2.3.2 身份验证管理
身份验证管理包括数据库服务器登录的身份验证管理与数据库本身的登录身份验证管理。所有的用户登录均需要通过验证用户名与密码。系统管理员按操作规程定期修改数据库服务器密码。
2.3.3 存取控制管理
对分配给数据库进行操作的用户根据用户类型进行存取权限控制管理。例如管理员类用户具有最高的读写、删除权限。
2.4 应用系统权限管理
医院所有应用系统通过集成平台集成到统一的医院门户中。门户下的应用权限分为两级权限管理:门户权限管理与应用系统内部权限管理。门户系统权限设置基于用户角色进行权限分配,医院员工通过分配相应角色使用门户功能;系统功能权限主要控制操作人是否可以进入该功能。
2.4.1 角色设置
医院对相关的角色进行整体分类,划分了以下角色:医生、护士、药剂科、门办、医务处、医保办等、职能科室负责人、医院副职领导、院长、系统管理员、其他角色。
2.4.2 系统功能权限设置
将系统功能进行类别的划分,例如业务处理、财务状况、医疗动态、药品信息、病人资料、人事行政、总务后勤、其他信息、系统维护。
2.4.3 角色具体权限分配
对所建立的角色分配权限,当新用户加入时,通过为用户分配角色,实现相应功能权限的分配。例如000586王新军药剂科管理员,具有药库系统;药库查询;药库报表;药库维护;门诊发药;工作报表;统计查询等权限。
2.5 院内终端设备安全管理
2.5.1 操作系统登录用户设置
院内所有终端电脑登录用户设置为不具有操作系统管理权限,同时对涉及安全操作功能对登录用户进行了屏蔽。保证了用户登录操作系统进行应用系统操作的同时,也不会因其他误操作引起终端电脑产生安全漏洞。
2.5.2 终端电脑设置不能访问外网
院内所有终端电脑安装默认设置为不能访问外网,只需接入医院内网以满足医院业务应用操作需要。如因业务需要确实需要接入外网的终端,须经院内审核后进行设置。防止因终端电脑任意访问外网所导致的网络病毒的威胁及黑客攻击。
2.5.3 终端电脑禁用USB接口
院内所有终端电脑操作系统设置为禁止使用USB接口。如因业务需要确实需要开通USB接口,须经院内审批后进行设置开通。防止因接入可能存在病毒及木马的USB设备而引起的终端电脑病毒感染,避免终端电脑的文件及信息被窃取。
2.5.4 终端电脑安装安全防护软件
院内所有终端电脑上都安装安全防护软件对终端电脑进行系统与文件的安全保护,对有威胁的文件进行过滤及清除。及时发现、定位及清除病毒文件,为终端电脑提供实时的安全防护。
3 结束语
医院信息安全作为医院信息化管理的关键工作之一,是一个复杂的系统工程,医院需要建立一套完整的信息安全管理体系,采用多种技术手段,建立有效、健全的安全防御体系来全方位的防止来自网络内外的威胁,最终达到保护医院信息安全的目的。
参考文献
[1]孟一清.浅谈医院信息安全管理[J].中国卫生产业,2011,8(12):168-169
[2]陈敏,郑见立.湖北省医院信息安全状况调查与分析[J].中国医院管理,2011,31(5):20-21
[3]石凌云,詹建国.计算机网络安全服务器入侵与防御研究[J].电脑知识与技术,2010,6(15):4116-4119
[4]房宁.基于VPN技术及其应用的研究[J].计算机光盘软件与应用,2012,11:32-33
[5]陈凌平,马宗庆,郭振华.医院信息系统安全与管理建设浅谈[J].中国医疗器械信息,2010,16(3):21-25
[6]田秀霞,王晓玲,高明,周傲英.数据库服务——安全与隐私保护[J]. 软件学报,2010,21(5):991-1006
[7]赵鞯,韩作为,张懿文.数据库审计在医院信息化管理中的应用[J].中国循环杂志,2011,8(26):393-394
4.信息安全实践 篇四
查评估指南》编制说明
一、工作简况 1.1 任务来源
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
为了落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,全国信息安全标准化技术委员会于2016年立项《信息安全技术 关键信息基础设施安全检查评估指南》国家标准,2016年7月,中央网信办网络安全协调局下达《<信息安全技术 关键信息基础设施安全检查评估指南>国家标准制定》委托任务书,委托中国互联网络信息中心开展该标准的研制工作,并将本项目标识为WG7 组重点标准。
《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所(更名为国家工业信息安全发展研究中心)等单位共同参与起草。1.2 主要工作过程
2017年1月至3月,《信息安全技术 关键信息基础设施安全检查评估指南》由中国互联网络信息中心牵头,国家计算机网络应急技术处理协调中心,国家信息技术安全研究中心、中国信息安全测评中心,工业和信息化部电子科学技术情报研究所等单位共同参与讨论,讨论研究指南的编制,并形成标准讨论稿,向中央网信办领导汇报标准编制进展,并向全国信息安全标准化技术委员会提交项目申请。
2017年4月,标准通过全国信息安全标准化技术委员会WG7组会议讨论。2017年4月,本标准获得由全国信息安全标准化技术委员会立项。2017年4月,向中央网信办领导汇报标准进展工作,拟作为中央网信办布置关键信息基础设施安全检查工作的参考标准。
2016年5月,正式成立标准编制组,标准编制组由五家主要参与单位共同组成,集中讨论集中办公,讨论标准的框架、方法论、具体的内容等。
2016年5月25日,召开第一次专家会,地点在中央网信办,由项目组向中央网信办网络安全协调局杨春艳副局长、各相关处室负责同志及WG7专家进行了汇报,5位WG7专家对标准提出了修改意见。
2016年6-7月,标准编制组继续集中办公,集中讨论,并根据第一次专家会意见逐一进行修订,此外与其他安全厂商、科研单位进行交流,就本标准指标方法听取意见,并最终形成标准第二稿。
2016年7月18日,召开第二次WG7专家会,由项目组向专家汇报了标准项目进展,以及根据第一次专家会议的专家意见修订情况,5位WG7专家对标准提出了更进一步的修改意见,随后项目组召开标准讨论封闭会议,根据此次专家会意见对草案作了进一步修订,形成了第三稿。
2017年7月21日,参加WG7组会议,汇报了项目进展和标准修订情况,会议决议最终该标准可以进入征求意见阶段,并根据标准周答辩专家意见对标准草案进行部分修订,完善草案内容。
二、编制原则和主要内容 2.1 编制原则
根据《中华人民共和国网络安全法》要求,关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,具体范围和安全保护办法由国务院制定。网络安全法中明确要求关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估,此外规定了国家网信部门应当统筹协调有关部门对关键信息基础设施的安全风险进行抽查检测,提出改进措施,必要时可以委托网络安全服务机构对网络存在的安全风险进行检测评估。
关键信息基础设施安全检查评估指南是落实网络安全法要求,规范关键信息基础设施检测评估相关方法、流程,定义了检测评估的主要内容,从而提升关 键信息基础设施的网络安全防护能力。
本标准提供了关键信息基础设施检查评估工作的方法、流程和内容,定义了关键信息基础设施检查评估所采用的方法,规定了关键信息基础设施检查评估工作准备、实施、总结各环节的流程要求,以及在检查评估具体要求和内容。
本标准适用于指导关键信息基础设施运营者、网络安全服务机构相关的人员开展关键信息基础设施检查评估相关工作。
本标准可用于:
1)关键信息基础设施运营单位自行开展安全检测评估工作参考。2)网络安全服务机构对关键信息基础设施实施检测评估工作参考。3)网络安全检测产品研发机构研发检查工具,创新安全应用参考。本标准适用对象是关键息基础设施运营单位负责信息安全工作的实施者和其他实施安全检测评估工作的相关人员。
2.2 主要内容
关键信息基础设施检查评估工作是依据国家有关法律与法规要求,参考国家和行业安全标准,针对关键信息基础设施安全要求,通过一定的方法和流程,对信息系统安全状况进行评估,最后给出检查评估对象的整体安全状况的报告。
检查评估工作由合规检查、技术检测和分析评估三个主要方法组成,每个方法包含若干内容和项目。
合规检查
合规检查是通过一定的手段验证检查评估对象是否遵从国家相关法律法规、政策标准、行业标准规定的强制要求,输出是否合规的结论,对不合规的具体项目进行说明,采取的方法包括现场资料核实、人员访谈、配置核查等形式。
技术检测
技术检测分为主动方式和被动方式,主动方式是采用专业安全工具,配合专业安全人员,选取合适的技术检测接入点,通过漏洞扫描、渗透测试、社会工程学等常用的安全测试手段,采取远程检测和现场检测相结合的方式,发现其安全 性和可能存在的风险隐患,也可参考其他安全检测资料和报告,对技术检测结果进行验证。
被动方式是辅助监测分析手段,通过选取合适的监测接入点,部署相应的监测工具,实时监测并分析检查评估对象的安全状况,发现其存在的安全漏洞、安全隐患。
两种技术检测方式最终输出技术检测结果。分析评估
分析评估是围绕关键信息基础设施承载业务特点,对关键信息基础设施的关键属性进行识别和分析,依据技术检测发现的安全隐患和问题,参考风险评估方法,对关键属性面临的风险进行风险分析,进而对关键信息基础设施的整体安全状况的评估。
标准充分考虑了当前已有的等级保护相关标准、风险评估标准、及其他行业安全标准,与正在制定的其他WG7系列标准一起,共同形成了支撑关键信息基础设施安全保障的标准体系。本标准与其他国内标准的关联性分析:
GB/T 22081-2016《信息安全技术信息系统等级保护基本要求》 是本标准引用的标准之一,本标准在编制之初就深刻理解网络安全法中“关键信息基础设施要求在网络安全等级保护制度的基础上,实行重点保护,”的要求,在合规检查的内容中重点强调了对等级保护制度落实情况的检查。
GB/T 20984-2007 信息安全技术 信息安全风险评估规范也是本标准引用的标准之一,本标准在第9节引入了风险评估的方法论,通过对关键信息基础设施的关键性分析,并根据合规检查和技术检测发现的问题进一步进行风险分析,最后根据风险分析的结果定性分析出整体安全状况的评价。
此外,正在制订的标准草案《信息安全技术关键信息基础设施网络安全保护要求》定义了关键信息基础设施,并对关键信息基础设施保护提出了具体的要求,而本标准中有专门的项是对改要求的验证,强调的是评估流程的标准化、评估内容标准化,以及评估结果的标准化。
此外,正在制定的标准草案《信息安全技术关键信息基础设施安全保障指 标体系》与该标准关联,该标准的输出评估结果可以用于标准的量化计算。
三、采用国际标准和国外先进标准的程度,以及与国际、国外同类标准水平的对比情况,或与测试的国外样品、样机的有关数据对比情况
编制组在标准编制过程中,专门分析了美国NIST的安全评估方法,参考我国已有相关信息安全标准,综合考虑制定了本标准。
四、重大分歧意见的处理经过和依据
本标准编制过程中未出现重大分歧。其他详见意见汇总处理表。
五、国家标准作为强制性国家标准或推荐性国家标准的建议
建议作为推荐性国家标准发布实施。
六、其他事项说明
本标准不涉及专利。
5.信息安全实践 篇五
一、网络安全保障措施
为了全面确保本公司网络安全,在本公司网络平台解决方案设 计中,主要将基于以下设计原则: a安全性
在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如防火墙、加密技术,为热点网站提供系统、完整的安全体系。确保系统安全运行。b高性能
考虑本公司网络平台未来业务量的增长,在本方案的设计中,我们将从网络、服务器、软件、应用等角度综合分析,合理设计结构与配置,以确保大量用户并发访问峰值时段,系统仍然具有足够的处理能力,保障服务质量。c可靠性
本公司网络平台作为企业门户平台,设计中将在尽可能减少投资的情况下,从系统结构、网络结构、技术措施、设施选型等方面综合考虑,以尽量减少系统中的单故障节点,实现7×24小时的不间断服务 d可扩展性
优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如服务器、存贮设计等)将遵循可扩充的原则,以确保系统随着业务量的不断增长,在不停止服务的前提下无缝平滑扩展;同时软件体系结构的设计也将遵循可扩充的原则,适应新业务增长的需要。e开放性
考虑到本系统中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本系统具有良好的开放性。f先进性
本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势,采用相对先进同时市场相对成熟的产品技术,以满足未来热点网站的发展需求。g系统集成性
在本方案中的软硬件系统包括时力科技以及第三方厂商的优秀产品。我们将为满拉网站提供完整的应用集成服务,使满拉网站将更多的资源集中在业务的开拓与运营中,而不是具体的集成工作中。
1、硬件设施保障措施:
郑州世纪创联电子科技开发有限公司的信息服务器设备符合邮电公用通信网络的各项技术接口指标和终端通信的技术标准、电气特性和通信方式等,不会影响公网的安全。本公司的服务器托管于郑州中原路IDC机房放置信息服务器的标准机房环境,包括:空调、照明、湿度、不间断电源、防静电地板等。郑州中原路IDC机房本公司服务器提供一条高速数据端口用以接入CHINANET网络。系统主机系统的应用模式决定了系统将面向大量的用户和面对大量的并发访问,系统要求是高可靠性的关键性应用系统,要求系统避免任何可能的停机和数据的破坏与丢失。系统要求采用最新的应用服务器技术实现负载均衡和避免单点故障。
系统主机硬件技术
CPU:32位长以上CPU,支持多CPU结构,并支持平滑升级。服务器具有高可靠性,具有长时间工作能力,系统整机平均无故障时间(MTBF)不低于100000小时,系统提供强大的诊断软件,对系统进行诊断服务器具有镜象容错功能,采用双盘容错,双机容错。主机系统具有强大的总线带宽和I/O吞吐能力,并具有灵活强大的可扩充能力 配置原则
(1)处理器的负荷峰值为75%;
(2)处理器、内存和磁盘需要配置平衡以提供好效果;(3)磁盘(以镜像为佳)应有30-40%冗余量应付高峰。(4)内存配置应配合数据库指标。(5)I/O与处理器同样重要。系统主机软件技术:
服务器平台的系统软件符合开放系统互连标准和协议。
操作系统选用通用的多用户、多任务winduws 2003或者Linux操作系统,系统应具有高度可靠性、开放性,支持对称多重处理(SMP)功能,支持包括TCP/IP在内的多种网络协议。符合C2级安全标准:提供完善的操作系统监控、报警和故障处理。应支持当前流行的数据库系统和开发工具。系统主机的存储设备 系统的存储设备的技术
RAID0+1或者RAID5的磁盘阵列等措施保证系统的安全和可靠。I/O能力可达6M/s。提供足够的扩充槽位。系统的存储能力设计
系统的存储能力主要考虑用户等数据的存储空间、文件系统、备份空间、测试系统空间、数据库管理空间和系统的扩展空间。服务器系统的扩容能力
系统主机的扩容能力主要包括三个方面: 性能、处理能力的扩充-包括CPU及内存的扩充 存储容量的扩充-磁盘存储空间的扩展
I/O能力的扩充,包括网络适配器的扩充(如FDDI卡和ATM卡)及外部设备的扩充(如外接磁带库、光盘机等)
2、软件系统保证措施:
操作系统:Windows 2003 SERVER操作系统 防火墙:金盾防火墙1000M硬件防火墙
Windows 2003 SERVER 操作系统和美国微软公司的windowsupdate站点升级站点保持数据联系,确保操作系统修补现已知的漏洞。
利用NTFS分区技术严格控制用户对服务器数据访问权限。
操作系统上建立了严格的安全策略和日志访问记录.保障了用户安全、密码安全、以及网络对系统的访问控制安全、并且记录了网络对系统的一切访问以及动作。系统实现上采用标准的基于WEB中间件技术的三层体系结构,即:所有基于WEB的应用都采用WEB应用服务器技术来实现。
中间件平台的性能设计:
可伸缩性:允许用户开发系统和应用程序,以简单的方式满足不断增长的业务需求。安全性:利用各种加密技术,身份和授权控制及会话安全技术,以及Web安全性技术,避免用户信息免受非法入侵的损害。
完整性:通过中间件实现可靠、高性能的分布式交易功能,确保准确的数据更新。可维护性:能方便地利用新技术升级现有应用程序,满足不断增长的企业发展需要。互操作性和开放性:中间件技术应基于开放标准的体系,提供开发分布交易应用程序功能,可跨异构环境实现现有系统的互操作性。能支持多种硬件和操作系统平台环境。
网络安全方面:
多层防火墙:根据用户的不同需求,采用多层高性能的硬件防火墙对客户托管的主机进行全面的保护。
异构防火墙:同时采用业界最先进成熟的金盾防火墙硬件防火墙进行保护,不同厂家不同结构的防火墙更进一步保障了用户网络和主机的安全。
防病毒扫描:专业的防病毒扫描软件,杜绝病毒对客户主机的感染。
入侵检测:专业的安全软件,提供基于网络、主机、数据库、应用程序的入侵检测服务,在防火墙的基础上又增加了几道安全措施,确保用户系统的高度安全。
漏洞扫描:定期对用户主机及应用系统进行安全漏洞扫描和分析,排除安全隐患,做到安全防患于未然。
金盾防火墙硬件防火墙运行在CISCO交换机上层提供了专门的主机上监视所有网络上流过的数据包,发现能够正确识别攻击在进行的攻击特征。
攻击的识别是实时的,用户可定义报警和一旦攻击被检测到的响应。此处,我们有如下保护措施:
全部事件监控策略 此项策略用于测试目的,监视报告所有安全事件。在现实环境下面,此项策略将严重影响检测服务器的性能。
攻击检测策略 此策略重点防范来自网络上的恶意攻击,适合管理员了解网络上的重要的网络事件。
协议分析 此策略与攻击检测策略不同,将会对网络的会话进行协议分析,适合安全管理员了解网络的使用情况。
网站保护 此策略用于监视网络上对HTTP流量的监视,而且只对HTTP攻击敏感。适合安全管理员了解和监视网络上的网站访问情况。
Windows网络保护 此策略重点防护Windows网络环境。
会话复制 此项策略提供了复制Telnet, FTP, SMTP会话的功能。此功能用于安全策略的定制。
DMZ监控此项策略重点保护在防火墙外的DMZ区域的网络活动。这个策略监视网络攻击和典型的互联网协议弱点攻击,例如(HTTP,FTP,SMTP,POP和DNS),适合安全管理员监视企业防火墙以外的网络事件。
防火墙内监控 此项策略重点针对穿越防火墙的网络应用的攻击和协议弱点利用,适合防火墙内部安全事件的监视。
数据库服务器平台
数据库平台是应用系统的基础,直接关系到整个应用系统的性能表现及数据的准确性和安全可靠性以及数据的处理效率等多个方面。本系统对数据库平台的设计包括: 数据库系统应具有高度的可靠性,支持分布式数据处理; 支持包括TCP/IP协议及IPX/SPX协议在内的多种网络协议;
支持UNIX和MS NT等多种操作系统,支持客户机/服务器体系结构,具备开放式的客户编程接口,支持汉字操作;
具有支持并行操作所需的技术(如:多服务器协同技术和事务处理的完整性控制技术等); 支持联机分析处理(OLAP)和联机事务处理(OLTP),支持数据仓库的建立;
要求能够实现数据的快速装载,以及高效的并发处理和交互式查询;支持C2级安全标准和多级安全控制,提供WEB服务接口模块,对客户端输出协议支持HTTP2.0、SSL3.0等;支持联机备份,具有自动备份和日志管理功能。
二、信息安全保密管理制度
1、信息监控制度:
(1)、网站信息必须在网页上标明来源;(即有关转载信息都必须标明转载的地址)(2)、相关责任人定期或不定期检查网站信息内容,实施有效监控,做好安全监督工作;(3)、不得利用国际互联网制作、复制、查阅和传播一系列以下信息,如有违反规定有关部门将按规定对其进行处理; A、反对宪法所确定的基本原则的;
B、危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的; C、损害国家荣誉和利益的;
D、煽动民族仇恨、民族歧视、破坏民族团结的; E、破坏国家宗教政策,宣扬邪教和封建迷信的; F、散布谣言,扰乱社会秩序,破坏社会稳定的;
G、散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的; H、侮辱或者诽谤他人,侵害他人合法权益的; 含有法律、行政法规禁止的其他内容的。
2、组织结构:
设置专门的网络管理员,并由其上级进行监督、凡向国际联网的站点提供或发布信息,必须经过保密审查批准。保密审批实行部门管理,有关单位应当根据国家保密法规,审核批准后发布、坚持做到来源不名的不发、为经过上级部门批准的不发、内容有问题的不发、三不发制度。
对网站管理实行责任制
对网站的管理人员,以及领导明确各级人员的责任,管理网站的正常运行,严格抓管理工作,实行谁管理谁负责。
三、用户信息安全管理制度
一、信息安全内部人员保密管理制度:
1、相关内部人员不得对外泄露需要保密的信息;
2、内部人员不得发布、传播国家法律禁止的内容;
3、信息发布之前应该经过相关人员审核;
4、对相关管理人员设定网站管理权限,不得越权管理网站信息;
5、一旦发生网站信息安全事故,应立即报告相关方并及时进行协调处理;
6、对有毒有害的信息进行过滤、用户信息进行保密。
二、登陆用户信息安全管理制度:
1、对登陆用户信息阅读与发布按需要设置权限;
2、对会员进行会员专区形式的信息管理;
3、对用户在网站上的行为进行有效监控,保证内部信息安全;
6.信息安全实践 篇六
第一篇:中小企业信息安全管理问题分析
摘要:信息安全管理的有效落实,是新时期中小企业战略性发展的重要保障。本文分析中小企业信息安全管理中存在的问题与不足,并以此作为阐述的切入口,从体系的建立、制度的完善等方面,阐述新时期深化中小企业信息安全管理的应对措施。
关键词:中小企业;信息安全管理;制度
开放的互联网环境,快速发展的网络科技,都强调中小企业在立
足发展的同时,要着力于企业信息安全管理工作的开展。这是基于自身发展的内在要求,也是优化内控管理的重要之举。当前,中小企业信息安全管理问题突出,无论是制度的不完善性,还是管理体系的缺乏,都需要中小企业应立足于实际的经营管理需求,建立起完善的信息安全管理体系,并制定完善的管理制度,满足企业经营发展的需求,提高企业信息安全管理能力。
中小企业信息安全管理中存在的问题
1.1 对信息安全管理缺乏重视,安全管理流于形式
在网络信息时代,构建安全的信息环境是企业构建可持续发展战略的重要保障。在企业内控管理的优化与调整中,信息安全管理是其重要部分。然而,由于企业管理层缺乏足够重视,导致企业信息安全管理落实不到位。特别是对于中小企业而言,一是缺乏足够的资金投入,在安全信息管理的人员配置、硬软件设施的购买等方面,难以满
足企业信息安全管理的需求;二是中小企业信息化建设起步晚,缺乏一定的发展基础,信息安全管理措施不足。因此,中小企业在信息安全管理过程中,面临管理发展的尴尬与瓶颈,缺乏信息安全管理的基础建设,滞后于企业可持续发展的现实需求。
1.2 信息安全管理技术落后,难以构建完备的信息安全管理体系
快速发展的网络信息技术,推动中小企业现代信息化的建设,但也给企业信息安全管理带来新的要求。在传统的网络环境中,依托简单的加密技术、防火墙,便可以为企业信息安全管理构建完善的防御体系。但是,日益频繁的黑客、病毒攻击,强调信息安全管理技术的先进性,为企业构建完备的信息安全管理体系。而中小企业在信息安全管理体系的构建中,管理体系不完善,信息安全管理技术落后,单一的安全防御结构,显然难以确保信息安全管理工作的全面开展,企业信息安全问题突出。
1.3 信息安全管理制度不完善,缺乏完善的制度保障
完善的管理制度是规范和引导信息安全管理的重要保障。中小企业在发展过程中,更多地强调短期经济效益的追求,而忽视长远发展战略的构建。信息安全管理制度的建立,与企业经营管理制度的建立相分离,导致信息安全管理制度的主体地位不突出,制度的完善性、制度执行的保障性都存在明显不足。企业职工安全意识薄弱,在计算机操作等方面,浏览不安全网站,私自下载软件,对企业信息安全系统造成威胁。此外,企业计算机安全防御体系存在漏洞,相关的杀毒软件未能及时更新,为黑客、病毒攻击创造了一定的内在基础。
深化中小企业信息安全管理的应对措施
2.1 建立健全信息安全管理体系,提高安全管理的有效性
为更好地满足发展的需求,中小企业应重视信息安全管理体系的建立,优化现行的信息安全管理。中小企业在建立信息安全管理体系的过程中,应抓好三个方面的工作:一是信息安全管理体系应立足于企业的实际情况,针对企业的生产经营需求,建立具有企业特色的安全管理体系;二是着力于安全评估标准的建立,确保安全管理的科学化;三是强化企业信息安全文化的建立,规范并引导职工正确的思想行为。如图 1 所示,是中小企业信息安全管理模型。从图 1 可知,在信息安全管理体系的构建中,安全维度的建立从资源安全、技术安全和管理安全三个维度,全方位为企业信息安全管理构建良好的安全管理模式。这对于中小企业而言,不仅提高了信息安全管理的有效性,也推进了企业信息现代化建设,对企业可持续发展具有十分重要的意义。
2.2 建立健全信息安全管理制度,为安全管理提供制度保障
中小企业在内控管理方面,缺乏管理制度的有力保障。特别是信息安全管理制度的缺失,不利于企业内控管理工作的全面开展。因此,企业要扎实推进信息安全管理制度的建立,从组织部门的设立、管理责任的落实、人员的配置等方面,确保信息安全管理有效开展。同时。结合企业的实际情况,构建完善、可靠的信息安全防范体系。此外,企业要强化对信息安全管理工作的重视,从责任到人,到主要领导亲自负责,确保信息安全管理落地,也确保信息安全契合企业经营管理的内在需求,营造安全可靠的网络信息环境。
2.3 提供完备的技术保障,构建信息安全防范体系
在开放式互联网环境下,企业安全管理所面临的完全问题比较突出。多元化的问题风险,强调中小企业构建信息安全防范体系的必要性。信息安全防范体系的构建,建立在完备的技术保障之上。先进的杀毒软件、防火墙技术等,都是企业构建信息安全防范体系所必需的技术保障。对于黑客、病毒的恶意攻击,需要中小企业提高信息安全防范等级。如图 2 所示,是典型的 Internet/Intranet 防火墙设置。防火墙技术作为安全防范体系的重要组成部分,在企业信息安全防范中起到十分重要的作用。内外网络之间搭建起防范屏障,很大程度上能够确保企业的网络信息安全,保障企业网络操作正常进行。因此,无
论是杀毒软件还是防火墙技术,都是中小企业构建安全防御体系所必要的技术保障。此外,随着黑客、病毒的不断升级,也强调企业应不断更新杀毒软件,安装配置更高的防火墙等技术,从而提高企业信息安全防御能力,确保中小企业的信息安全。
结语
综上所述,中小企业所面临的信息安全管理问题比较突出。多样化问题强调中小企业在信息安全管理的过程中应扎实做到:(1)建立健全信息安全管理体系,提高安全管理的有效性;(2)建立健全信息安全管理制度,为安全管理提供制度保障;(3)提供完备的技术保障,构建信息安全防范体系。从本质上优化中小企业信息管理策略,确保企业信息安全,是推进企业可持续发展的重要基础,从而不断加速中小企业的现代化建设。
参考文献
[1]潘爱武.谈中小企业信息安全问题及对策[J].东方企业文化,2012(17).[2]江丽.我国中小企业融资难原因分析及对策[D].南昌:江西财经大学,2014.[3]陈俊豪.浅析中小企业电子商务中的信息安全问题[J].中国商贸,2010(11):142-143.[4] 徐 黎 源.中 小 企 业 信 息 安 全 管 理 模 型 [J].科 技 经 济 市场,2009(9):88-89.[5]赵晓华.网络环境下河北中小企业信息安全问题研究[J].科技资讯,2013(11):140-141.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第二篇:信息安全管理中信息安全态势分析
摘要:信息安全管理是确保信息安全的重要基础。它更强调信息分析技术等的有效应用,从而为信息安全管理提供更完备的分析体系。本文研究信息安全动态分析,从微观动态分析、宏观动态分析两个方面,阐述信息安全态势分析在信息安全管理中应用,旨在强化对信息安全动态分析的认识,并为今后相关领域的研究提供一定的参考。
关键词:信息安全;管理;动态分析;微观;宏观
信息安全管理是一项复杂而系统的工作。安全管理的有效性、全面性,都强调信息动态分析的有效开展,从而为信息安全管理提供定量化的安全分析。当前,信息安全动态分析已广泛应用于信息安全管理中,通过宏观动态分析与微观动态分析,为信息安全管理提供了更加完善、科学的管理依据,提高了信息安全管理能力。当前,复杂的信息安全环境强调动态分析的立足点不仅仅在于构建局域性的安全环境,更强调立足于企业的战略性发展,从而为企业发展提供重要依据。因此,本文研究的重点在于如何依托动态分析,对信息安全管理进行优化与与调整,从而提高信息安全管理的有效性、科学性。
信息安全管理中宏观态势分析的应用
在信息安全管理中,宏观态势分析主要在于微观技术领域。基于有效的评估、预测,对信息安全的情况进行分析。一般情况下,宏观动态分析主要从稳定性、脆弱性及威胁性等几个方面对信息安全进行
描述,从而为信息安全管理构建多元化的发展基础。宏观动态分析在企业信息安全管理中的应用主要包括以下几个方面。
1.1 企业战略发展的构建及核心业务、资产
在多元化的市场环境下,企业战略性发展的构建很大程度上依托于企业信息安全管理的推进,以更好地实现企业的战略性发展目标。为此,在宏观动态分析中,需要对企业未来一段时间(一般为 3-5 年)的战略发展变迁及核心业务、资产等情况进行考虑分析,这是动态分析助力企业战略发展的内在要求。例如,在宏观动态分析中,应针对企业的生产经营情况,确认核心业务、资产是否出现转移;核心资产是否出现折旧等。这对于企业战略性发展的构建以及战略性发展目标的达成,都具有十分重要的现实意义。
1.2 信息安全环境的发展趋势
网络信息时代的快速发展,强调宏观动态分析应对信息安全环境的发展趋势进行分析,这对于提高企业信息安全管理能力至关重要。对于现代企业而言,信息安全管理的开展一方面要基于自身实际情况,如业务、系统等,考虑自身内在信息安全的影响因素;另一方面,也要对信息技术的发展趋势、信息安全环境等进行重点考虑,针对可能引发额外风险的重点因素,重点考虑,重点防范,实现更有价值的信息安全管理。
1.3 社会环境及法律法规的影响要求
在企业生产经营发展的过程中,经济 对信息安全的影响,相关法律法规对企业经营的要求,都是动态分析中需要着重考虑和分析的要素。在宏观动态分析中,以上三点要素在风险定量评估中能够起到重要的指导作用。对实际操作情况而言,可以利用“Threat(威胁)=impact×likelihood(影响×可能性)”对风险影响进行表示。基于动态分析对风险实现定量评估,这对于信息风险管理而言,无疑具有重要的意义,可提高信息安全管理的针对性、有效性。当然,对于该公式,可以进行适当拓展,进而将风险的表达更加全面。即有“Risk(威胁)=asset×vulnerability×threat(资产×脆弱性×威胁)”由此可以知道,宏观层面的因素对“威胁”值起到了至关重要的影响。无论是社会环境,还是安全环境趋势,其值的增加都是构成威胁的重要来源。与此同时,基于宏观动态分析,为企业战略性的安全管理提供了一定的参考依据,且对微观动态分析提供了量化的重要依据。这进一步强化了动态分析的针对性,并对企业信息安全建设提供指导。
信息安全管理中微观态势分析的应用
在微观动态分析领域,无论是理论研究还是实践操作,都已发展到一定程度。理论与实践并重的应用及发展情形,强化其在企业信息安全管理中的重要作用。在对微观动态分析中,需要提及“Endsley 模型”。该模型最大的亮点在于将感知进行划分,分为“感知”“理解”“预测”三个层次,进而强化信息处理能力。“Endsley 模型”的成功构建,推动了动态分析在信息安全管理中的应用和推广。在“Endsley 模型”基础上,美国提出了“JDL 模型”。该模型在优化控制与管理功能等方
面进行有效优化与调整,进而提高了模型的应用性及实用价值。如图1 所示,是“JDL 模型”的应用图。从图 1 可以知道,基于数据采集、预处理及 关联性识别等功能模块的实现,进一步提高了动态分析的实效性。通过模型的不断优化与调整,强调模型在功能构建上更好地满足于信息安全管理的现实需求。与此同时,在模型不断优化、技术不断发展的大环境下,微观动态分析技术已逐步成熟,并在信息安全管理平台中得到有效应用。无论是在应用效果还是应用价值上,都表现出微观动态分析在信息安全管理中应用的重要性,对推进信息安全管理现代化发展起到重要的推动作用。因此,这也是大力发展动态分析技术,拓展其在信息安全管理领域应用发展的重要基础。微观动态分析的应用在很大程度上推动了动态分析技术的发展,也深化其在信息安全管理领域中的应用价值。当前,随着信息技术的不断发展、模型的不断优化,其在应用中的性能也在逐步提升,尤其是在风险分析、应急响应处理等方面。这些功能的优化与完善,有助于信息安全管理系统的构建,满足现代信息安全管理的现实需求。
结语
综上所述,信息安全管理是一项技术性强、系统性复杂的工作,强调技术性发展的完备性,更强调动态分析在其中的有效应用。当前,随着动态分析技术的不断发展,它在信息安全管理中的应用日益广泛。尤其是微观动态分析在信息安全管理平台的应用,进一步提高了动态分析的实际应用价值。本文阐述的立足面在于两点:一是基于宏观层面的动态分析,为企业战略性构建及发展环境的分析起到重要的指导性意义;二是基于微观层面的动态分析,依托各种模型的建立与优化(如“Endsley 模型”“JDL 模型”),强化动态分析的实际应用价值。此外,随着微观分析技术的不断发展,它在信息安全管理平台中的应用对推动微观动态分析技术应用及发展,具有十分重要的意义。
参考文献
[1]李汉巨,梁万龙,刘俊华.信息安全管理现状分析[J].信息与电脑,2013(11).[2]高鹏.电力企业信息安全问题探讨[J].行政事业资产与财务,2013(8):131.[3]王伟.资源视角的电力企业信息系统运维风险分析[J].西安邮电大学学报,2013(1):121-124.[4]毕海英.信息安全产品的现状及态势分析[J].现代信息技术,2013(7).[5]梁晶晶,黄河涛.局域网安全问题的现状及技术分析[J].科技信息,2010(26).[6]安睿.基于 bagging 的电力信息安全态势分析系统的研究与实现[D].:华北电力大学,2012.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第三篇:人事 信息安全管理思考
人事 是人事、组织、劳资等部门在培养、选拔和使用人员的工作活动中形成的,是个人经历、学历、社会关系、思想品德、业务能力、工作状况以及奖励处罚等方面的原始记录,是个人参与社会方方面面活动的记载和个人自然情况的真实反映。人事 信息安全管理是指存在于人事 信息的收集、整理、保管、鉴定、统计和提供利用全过程的安全管理活动。由于人事 涉及每个人的切身利益,如何实现人事 信息安全管理效率的最大化无疑成为了当前关注的重点话题。
一、加强人事 信息安全管理的必要性
1、人事 自身性质决定信息安全管理的重要性
人事 具有真实性、动态性、现实性、专业性、机密性等特点,它与个人职称申报、定级、政审等紧密联系在一起,是综合考察及使用的重要依据之一,更是对流动人员管理的重要凭证。当前我国养老、医疗、失业保险等福利政策的制定、完善、推广也是与人事 密切关联。因此,必须要全面加强人事 信息安全管理,保障人事 资料的完整性、真实性及有效性。
2、人事 信息安全管理的现实紧迫性
人事 信息安全管理的现实紧迫性主要体现在人事 对国家、用人单位及个人都具有至关重要的作用方面。从目前我国人事 信息管理的现状来看,弃档、死档、无头、丢失、资料失真等问题较为普
遍,给国家、用人单位及个人带来了巨大的损失,同时也造成了当前人事 管理效率的低下。因此,就必须进一步加强人事 信息安全管理,以强化人事 的社会功能。
3、人事 信息安全管理的技术可行性
信息时代快速发展的今天,新一代信息技术已经广泛渗透到我们的日常生活、学习和工作中。但是许多地区的人事 信息安全管理出于安全和保密的原则,其管理模式还是停留在纸质载体上,这俨然与当前社会信息化发展格格不入。为此,在保障人事 信息安全与保密的前提之下,应当适当的引入新一代信息技术,便于快速、方便的利用。总体而言,新一代信息技术既呼唤现有人事 管理的深化改革,同时又为人事 信息安全管理提供了有力的支撑条件。
二、当前人事 信息安全管理存在的突出问题
1、人事 信息安全管理基础设施滞后
本文人事 信息安全管理基础设施特指计算机网络系统、通信系统、电力分配系统等新一代信息网络技术手段,可实现人事 信息管理的简单化。由于人事 信息安全管理基础设施的滞后,包括人事 设备落后、运行环境恶劣、设备兼容匹配性差、信息存储介质保管环境等问题,又可直接导致人事 信息安全面临灾难性的后果。在这个过程中,人事 信息安全管理基础设施一旦发生致命性的损坏,就会使所有产生、流转和保管的人事 电子资料出现数据错误,不可读取或是全部丢失,严重威胁人事 信息安全。
2、人事 信息安全管理系统比较脆弱
人事 信息安全管理系统比较脆弱也是当前人事 信息安全管理存
在的一个突出问题。例如,人事 计算机网络可以提供相互交流的平台,也可间接影响到人事 信息安全。当人事 计算机网络出现硬件故障、软件故障或者其他技术性故障都会直接威胁到人事 信息安全。又例如,在人事 信息安全系统设计的过程中,受到设计者本身的技术能力和设计模式的限制,会给人事 信息安全管理系统留下不同程度的缺陷或漏洞。如再出现人事 信息安全管理人员在人事 资料的传送、存储及处理过程中的违规操 况,也会 削弱人事 信息安全管理系统的稳定性,威胁人事 信息安全。
3、人事 信息安全管理人员责任意识落后
人事 信息安全管理人员责任意识落后,主要体现在对人事 信息安全管理的认识不足、重视程度不够、责任心不强,从而不能够及时发现并处理人事 信息安全管理中已存在的漏洞以及可能出现的安全隐患。同时,在实践操作过程中,部分人事 信息安全管理人员未能严格执行按期修改人事 信息安全管理系统密码等操作规程,降低了人事 信息安全程度。
三、加强人事 信息安全管理的实现途径
1、完善人事 信息安全管理法规与标准
完善人事 信息安全管理法规与标准,是在严格遵守人事 工作法律、法规、标准的同时,要求各级人事 管理部门还需结合本单位的实际情况制定有效的标准规范,且该规范还需要做到与相关法律法规相协调,与现行人事 信息安全管理的实践工作相配套,最大程度上确保人事 信息不丢失、不损坏、不失真、不泄密。同时,完备的人事 信息安全管理法规与标准,还要通过多种形式的活动提升自身和社会法律意识,真正建立一套以更好的维护人事 信息安全。完善人事 信息安全管理法规与标准。
2、建立人事 信息安全管理保障应急机制
结合当前人事 信息安全管理的新形势,从保护国家资源战略的高度出发,必须要建立人事 信息安全管理保障应急机制,预先估计潜在的危机和后果,提升人事 信息安全管理的处置能力,做好全方位的应急准备。要建立人事 信息安全管理责任制度,制定人事 和电子 保管、保密和利用操作流程,完善人事 的鉴定程度和方法,并对人事 信息安全管理制度的执行情况进行定期督查,确保各项制度能够高效、准确的运行。
3、强化人事 信息安全管理人员责任意识
强化人事 信息安全管理人员责任意识,首先需要人事 管理部门领导和 管理工作者树立正确的人事 信息安全管理观念,坚持“积极防御”、“综合防治”、“以防为主”、“防治结合”的方针,不断增强人事 信息安全管理的使命感、责任心,并提升人事 信息安全管理部门对建立和发展人事 信息网络的认识程度。同时也要重视人事 信息安全
管理人员的思想 和职业道德教育,多渠道、有目的的对 管理人员进行业务培训。通过开展形式多样的人事 信息安全管理教育活动,保障其深刻认识人事 信息安全管理的重要性。
——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第四篇:金保工程信息安全建设强化策略
摘要:金保工程信息安全建设能够确保我国电子政务信息平台有效工作,由于金保工程主要是应用电子信息技术对国家、省级、市级三个级别政府机构的基金监管、公共服务、宏观决策等工作进行数据统计和管理,因此,强化金保工程信息安全建设是对国家信息安全负责的重要体现。
关键词:金保工程;信息安全建设;建立健全管理制度;提高安
全技术水平
金保工程信息安全建设是我国三个级别政府机构电子政务信息安全的重要保障,其体现了我国现代化信息技术水平,因此,在强化金保工程信息安全建设时首先要加强我国现代化信息建设,培养大量现代化信息高端技术人才,在电子政务信息技术软件的设计中运用高端技术以保证金保工程信息安全建设。
金保工程概述
1.1 金保工程概念
金保工程是指我国应用现代电子信息技术对国家、省级和市级这三个级别政府中的公共服务、基金监管、宏观决策和社会保障四项基
本业务功能进行数据分析和统筹,最终使全国的劳动保障等电子政务工程统一。
1.2 金保工程特点
金保工程的具体特点包括以下几个方面。第一,金保工程的建设标准统一,具体包括信息技术标准统一和业务规范统一两个方面。其中信息技术标准统一是指信息技术中的 IP、接口、域名、和安全等方面统一[1]。业务规范化统一是指金保工程的业务工作流程从国家到省级再到市级按照严格的上下级规范进行统一标准。第二,金保工程具有纵向建设、横向对接一体化的特点。具体是指在金保工程建设工作中要从国家大局出发,对中央、省级和市级统一规划标准,在业务上的对接要进行一体化规划。
金保工程信息安全建设现状
目前,我国金保工程信息安全现状如下。第一,在国家金保工程信息安全建设管理中存在管理制度不够完善的问题。金保工程信息技术安全建设管理者没有建立完善的信息安全管理制度,在信息安全管理中没有行之有效的管理制度和管理原则。在金保工程信息安全管理工作中对管理人员的工作缺乏约束力,因此,导致金保工程的信息安全得不到有效保障[2]。在金保工程信息安全管理中没有建立健全奖惩制度,使信息安全管理人员在信息安全管理工作中缺乏对工作的热情和积极性,使他们在工作中出现怠慢工作的现象,影响了金保工程信息安全管理工作效率。第二,管理人员的信息安全管理意识不足。金保工程信息安全管理人员属于国家公务人员,目前部分管理人员工作态度不够端正,在信息安全管理工作中缺乏一定的责任心。其缺乏职业道德,在工作中出现混日子的问题。同时由于信息安全管理人员在入职前对其专业技能有严格要求,而在入职后由于工作态度的问题及信息安全管理意识不到位,导致没有继续加强职业技能学习与训练,使专业技能水平停滞不前,影响了金保工程信息安全技术升级,进而影响到我国金保工程信息安全管理质量。第三,由于我国信息技术起步较晚,因此,我国的信息技术水平在一定程度上与发达国家之间存在一定差距。而金保工程中对国家劳动保障等业务一体化电子政务管理存在大量 信息,因此,金保工程信息安全管理需要高端信息技术作为保障。目前,由于我国各行业对信息技术人才需求剧增,导致信
息技术人才供不应求,同时我国对信息技术人才的物质保障不及其他发达国家,也导致了大量超高端信息技术人才外流,使我国金保工程信息安全管理部门人才缺失,影响了金保工程信息安全建设质量。
强化金保工程信息安全建设的对策
3.1 建立健全管理制度
由于在我国金保工程信息安全建设中存在信息安全管理部门管理制度不健全的现状,影响了我国金保工程信息安全[3],因此,信息安全管理部门应建立健全管理体制,在信息安全管理制度中严格规范金保工程信息管理工作,将信息安全责任严格落实到每一位管理人员身上,使信息安全管理人员在工作中明确自身职责,避免由于职责不明导致部分人员消极怠工,为工作中的不负责任找借口。同时信息管理部门应制定严厉奖惩制度,给予积极工作表现优异的管理人员经济奖励和职称奖励,使表现出色的管理人员充分调动工作积极性,进而为
其他工作人员树立榜样。对在信息安全管理工作中缺乏责任心,混日子的工作人员给予降级惩罚,对在信息安全工作中由于不负责任导致出现严重信息安全问题的管理人员给予辞退的惩罚。这种严厉的奖惩制度能够起到立竿见影的作用,同时由于经济利益的驱使也能够充分调动信息安全管理人员的工作积极性。
3.2 提高管理人员安全建设意识
提高金保工程信息安全管理人员的安全建设意识,能够有效提高金保工程信息建设安全度。提高信息安全管理人员的安全意识,首先要提高他们的职业道德素质。信息安全管理部门应定期对信息安全管理人员进行职业道德素质培训,使他们时刻保持良好的职业道德素质,使其对金保工程信息安全管理工作有正确认识[4]。在培训信息安全管理人员的职业道德素质时,应重点培训金保工程信息安全的重要性,使管理人员意识到信息安全管理是保障 信息安全的重要前提,的外漏将会影响社会生活的安全稳定和人们的生命财产安全,因此,信息管理人员的信息安全管理工作具有重要意义。信息安全管理人员意识到自身工作对国家与社会的重要性,就会重新审视自己的工作,从而
充分自身的信息安全建设意识,使我国金保工程信息安全建设得到有效保障。
3.3 提高安全技术水平
由于金保工程是利用现代信息技术开展政府电子政务信息工作的,因此,信息技术水平直接影响金保工程信息安全。根据我国现阶段高端和超高端电子信息技术人才供不应求的局面[5],国家应大力扶持信息技术院校培养大量信息技术人才,同时对超高端信息技术人才委以重任,给其丰厚薪资报酬以吸引大量信息技术人才不断研发和更新信息安全系统,开发出更安全的信息安全软件为政府所用,为我国金保工程信息系统提供安全保障[6]。另外,还应进一步建立健全安全防护体系,对重要信息进行加密传输,避免信息在传输过程中被窃取;配备实时监控及入侵检测系统,加强对重要网段和关键服务器的保护;采用网络防病毒系统,并与单机防病毒软件相结合;建立重要系统数据的备份机制,并实现关键主机系统的冗余备份和灾难恢复;建立服务于金保工程信息系统的数字认证服务,利用数字证书系统实现重要数据的加密传输、身份认证等。从而最大程度地确保金保工程的安全,提高金保工程信息安全建设水平。
结语
随着我国信息技术飞速发展,各级政府部门采用电子政务信息平台进行办公。我国金保工程通过现代化信息技术对中央、省级和市级进行劳动保障等业务的统一,使国家政府部门实时有效开展国家上下级别政府部门之间的工作,使国家各级政府部门的工作得到统一规范,促进了国家社会发展。由于信息技术中存在一定的信息安全问题,导致国家金保工程信息安全受到威胁,对我国机密信息安全不利,因此,加强金保工程信息安全建设势在必行。
参考文献
[1]朱国丰.金保工程:建设统一规范的公共服务网络[N].中国劳动保障报,2008-10-30(003).[2]张竹松.社会保障工作要重视“金保工程”信息安全建设[N].大理日报(汉),2013-11-30(A03).[3] 洪 黎 明.医 保 跨 省 联 网 还 需 政 策 发 力 [N].人 民 邮电,2014-04-21(006).[4]秦子龙.中国电子政务信息安全现状与策略(二)[N].政府采购信息报,2013-07-19(007).[5]秦子龙.中国电子政务信息安全现状与策略(一)[N].政府采购信息报,2013-07-12(007).[6]边玉芳.服务下沉做贴近百姓的好帮手[N].中国劳动保障报,2010-01-09(006).——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第五篇:移动互联网的信息安全研究
【摘要】科学技术的进步推动了移动互联网技术的发展,移动互联网被广泛应用于生产和生活中的同时,也面临着一些发展问题,在信息传输和应用方面存在较大的安全问隐患,必须针对移动互联网应用中的问题制定有效的对策,加强信息的安全管理。本文结合移动互联网应用过程中暴露的安全问题,提出了移动互联网信息安全管理策略。
【关键词】移动互联网;信息安全;策略探讨
中国移动互联网发展于 2005 年,目前以 WAP 为主要的信息传输方式。在国内移动互联网产品不断完善的过程中,用户的上网速度和上网体验发生了重大的改变,多种通信产品成为移动互联网应用的主流。移动互联网用户将信息交换作为重要业务,因此信息交换的安全性成为人们的关注的热点。针对目前移动互联网产品应用中的安全问题,必须制定有效的防护措施,保证信息安全。近几年我国电力行业保持着较快的发展速度,作为国民经济的基础产业,电力产业也取得了很大的成绩,发电机容量和发电量居世界第二位。随着我国国民经济的快速发展和人民生活水平的不断提高,对电力的依赖程度也越来越高。电力需求与国民经济密切相关,电力弹性系数反映了用电增长速度与国民经济增长速度的相对关系。
移动互联网与电力建设背景分析
随着电网基础和分布式发电技术的改革,现代化输电和配电将体现出智能化特点,最大限度地节约能源,新能源技术也将重新定义人类新生活,其中移动互联网作为重要的纽带将电网技术和多种智能终端设备联系起来,为了人们的生活提供了便利。中国是全球最具活力的新兴市场,随着移动互联网的发展,智能设备成为人们生活的伴侣,近年来电力开发行业将移动互联网应用到电力建设中,很大程度上促进了电网建设的加速,电工产业不断优化升级。另外,在移动互联网兴起的过程中,电力开发生产技术不断发展,电力企业的营销模式也将发生巨大的转变。目前 4G 网络引领移动互联网发展,移动 APP 为电力生产带来了便利,以电力建设中的焊接工作为例,微信、QQ、拍照、微摄影、WPSOffice 办公平台、备忘录等智能 APP 功能在焊接工作中的作用日益重要,有利于办公平台的优化,移动互联网成为计划、任务、进度管理、会议通知、质量管理等的重要工具。为了拍出高清图片,焊接人员更新智能拍照软件,记录焊接的影像资料,通过微信、QQ 群在线交流,在施工过程中,充分应用 WPSOffice 办公平台软件,在施工现场查阅焊接规程、技能考核等文件,将智能终端作为迷你办公室,很大程度上提高了管理水平。移动互联网的发展带动信息消费的增长,信息消费的发展空间更加广阔,以电子商务和移动互联网信息的消费迅速增长,电力开发企业借助这一发展优势,将其作为发展就会促进产业进步。移动互联网主要信息安全问题
2.1 移动 APP 在电力应用中的问题
随着智能电网建设进度的加快,很多智能型移动 APP 被应用于电力建设中,其中有管理方面的软件,也有用户端的缴费软件,层出不穷的第三方软件为人们的生活提供了便利,同时也暴露出一定的安全问题。例如移动 APP 恶意读取用户位置信息、泄露企业管理计划、云端数据丢失等,移动 APP 的安全问题也成为人们关注的热点,电力规划和建设过程中必须保障数据安全,维护用户利益。
2.2 运营模式引起的安全问题
移动互联网产品应用过程中,将多种信息交换业务作为核心,成为互联网中重要的运营模式,传统运营商将网络作为核心,运营商和移动互联网有着本质的区别[1]。当今社会有很多丰富的个性化服务进入移动互联网中,例如手机广告、视频、APP 等。同时移动互联网可以为用户提供多种增值服务,体现出鲜明的产品特色,多种业务内容也成为移动互联网业务发展的重点,因此不同个性化服务的供应商成为移动互联网快速发展的直接动力,但是在发展过程中也暴露出一些问题,例如供应商为了获取更高的经济效益,将一些骚扰广告和不健康内容添加到 WAP 网站上,用户误点击后将会收取一定的费用,在违背社会道德的同时,逐渐演变为严重的产业问题和社会问题。
2.3 由 IP 引起的安全问题
与传统的多级和多层通信网络不同,移动互联网应用扁平化网络技术,将 IP 化作为网络核心,但是 IP 网络本身具有较大的安全漏洞,自身也存在着较大的安全威胁。在网络信息技术不断发展和普及的过
程中,安全问题也受到广泛关注,多种网络攻击逐渐成为公众网络的主要危害,作为承载网络的核心部分也必将受到较大的影响。在核心网架构上,移动互联网的管理信息、用户信息和控制信息将会同步传输,终端用户可以随时访问核心网,将会把核心网暴露在用户端。在这种网络环境下,运营商的核心网络和业务网络中不断出现严重的安全问题,例如 2009 年 5 月 19 日晚 9 点左右,华南地区出现大面积网络故障,不仅网络连接出现问题,而且用户的信息安全也受到严重的威胁,专家分析后确认该问题由 DNS 的零日溢出引起的,对 DNS 进行大量的查询请求导致 DNS 服务器出现 DDOS 攻击,运营商的 DNS出现问题。互联网应用过程中 DNS 服务器出现较多 DDOS 攻击,形式也逐渐多样化,例如利用缓冲区溢出、应用较大流量堵塞带宽、伪造的 DNS 服务器发送大量的查询请求等。网络技术应用的同时,移动互联网向全 IP 化发展,原来只在互联网上出现的安全问题现已逐渐转移到移动互联网上。
2.4 智能终端引起的安全问题
目前移动互联网在网络接入方面表现出鲜明的多样化特征,不仅
仅应用一种网络接入方式,用户可以按照需求采取多种接入方法,随时都可以进行移动互联网访问。针对手机用户而言,上网的粘性和上网时长不断增加,因此手机网络也表现出常态化特征,用户在使用手机的过程中实现了碎片化沟通,信息类应用逐渐向娱乐和商务方向发展。与传统网络用户不同的是,移动互联网应用多种形式的终端设备,传统用户终端一般包括通信网的所中附属设备,而移动互联网全部应用智能终端。在移动互联网能不断完善和成熟的过程中,移动智能终端也逐渐表现出多样化的特点,智能终端也因此成为安全问题频发的部分,安全风险不断加大,移动智能终端在推动移动数据业务进步的同时,很多用户都将面临着信息安全问题。另外,移动智能终端表现出多样化和开放化特点的同时,信息交换的安全风险加大,在移动互联网发展的过程中,移动企业一直处于市场发展的主导地位,企业的发展重点依旧是移动智能终端的研究和探索,因此一定给你智能终端的安全性很容易被企业忽视,与移动智能终端相关的安全问题也会逐渐暴露[2]。例如,收集 APP 会恶意设置吸费部分或者不健康内容的连接,手机上网规模不断增大的同时,手机使用过程中的安全问题也将逐渐明显。移动互联网的开发软件层出不穷,收集第三方软件的研究人员也不断增多,在商业发展需求不断提高的同时,应用软件逐渐增多,但是目前在第三方软件的控制管理方面还存在缺陷,无法保障信息安全。例如有些手机软件恶意读取用户位置信息和短信内容,给用户信息安全带来了较大的威胁[3]。
移动互联网信息安全策略
3.1 完善信息安全法规建设
结合国内目前的情况来看,在互联网信息安全管理方面,立方层次较低,不同的层次见还存在一定的协调问题,目前已有的移动互联网法律还有待完善,将现有的法律应用于移动互联网建设中将会缺乏一定的科学性和权威性。目前,移动互联网接入过程中面临着较大的问题,移动互联网行业还没有施行手机实名制的法律,因此在移动互联网应用的过程中缺乏针对性的法律,无法对网民的行为构成有力的约束,也不能保护人们的信息安全。法律是移动互联网进行有效管控的保障。在完善法律法规的过程中,需要结合实际已发系诶套用户和移动互联网运营企业之间的关系,避免两者出现较大的业务矛盾。为了建立科学有效的移动互联网法律体系,必须结合国内的发展现状,勇于借鉴国外的方法,将信息安全和移动互联网安全 开,针对 额部分建立针对性的法律法规。结合国内移动互联网发展的实际情况,移
动互联网安全管理过程中的立法工作需要从以下三个方面着手:①完善手机实名制制度,加大隐私保护力度;②建立信息安全法,不断完善与当今移动互联网信息安全相关的法规;③不断加强对互联网管理和移动互联网管理的监督。
3.2 加快移动互联网信息安全机构建设
严格的立法是政府对移动互联进行监督管理的重要依据,结合国家移动互联网的发展形势,必须经信息安全管理和移动互联网安全管理分开。针对国内网络监督管理机构建设,需要通信网络的优势对移动互联网发展目标进行统一规划,为信息安全的管理和监督提供有利的依据[4]。针对国家级信息安全管理机构而言,必须在互联网信息安全管理的过程中切实负起责任,彻底改变信息安全制度制定过程中的问题。国家在建立统一的安全管理机构时,以法制建设为依托,设置专家咨询委员会,专家咨询委员会作为参谋机构的同时,对安全信息管理提供合理的建议。
3.3 完善移动终端管理方案
移动终端管理过程中,重点需要加大对安全技术的研究力度,将注意力集中到移动互联网手机安全技术方面。同时协调不同管理机构之间的关系,构建科学严谨的管理链条,完善安全管理部门的监督政策,公安部门加大查处力度,完善与司法环节相关的法规。用户应用手机的过程中,必须具有较高的安全意识,政府加强对用户的安全教育,同时对第三方软件商家进行有力的监督。企业单位不断加强内部保密机制,对涉密文件进行严格管理。
结束语
移动互联网不断发展的过程中,用户将重点放在智能产品的功能上,信息安全一直存在较大的安全隐患,为了保证移动互联网健康稳定发展,必须针对具体问题制定有效的对策。本文从移动互联网中暴
露的安全问题出发,提出了信息安全保障的策略,可以为移动互联网信息安全建设提供就借鉴。
参考文献
[1]罗军舟,吴文甲,杨明,等.移动互联网:终端、网络与服务[J].计算机学报,2011,34(11):202.[2]陈遥,夏亮亮,谭辉,等.移动互联网环境下终端与服务器安全交互的研究[J].南京信息工程大学学报,2015,7(5):142.[3]涂静,田增山,周非,等.移动互联网安全终端的设计与实现[J].电子技术应用,2013,39(10):162.[4]范红,杜大海,王冠,等.移动互联网安全测评关键技术研究[J].中兴通讯技术,2015,36(3):38.——文章均为 WORD 文档,下载后可直接编辑使用亦可打印——
第六篇:内网准入及终端管控在信息安全保护实践思考
【摘要】为防范政府部门、金融机构等单位敏感信息泄露、提高信息安全保护能力,本文从单位内网准入及终端管控技术入手,在分析研究两者技术原理的基础上,结合自身项目实践,给出了一种把住终端“准入”、“管住”两个关键环节的技术方案。实践证明,该方案有效提升了单位信息安全保护水平,达到了预期目标。
【关键词】内网准入;终端管控;信息安全保护
引言
对数据保密性要求高的政府部门、金融机构等单位,防止敏感信息泄露始终是一个严峻的课题。在信息安全保护实践中,各单位往往对数据集中的后台服务端投入精力较多,对来自终端的威胁重视不足。来自终端的威胁主要为两方面:一是内部网络接入层侵入。二是内部计算机终端安全管理失控。信息安全 调查经验表明,多数信息泄露安全 的突破口来自终端。因此,各单位在防范敏感信息泄露时,应对来自终端的威胁给予足够的重视,牢牢把住终端“准入”、“管住”两个关键环节。
原理分析
2.1 网络准入与终端安全之间的关系
内部网络准入,是指在人事管理层面识别用户身份后,通过技术手段给予合法用户、合法设备接入的过程。计算机终端安全,是指包含非法外联监控、移动存储管理等在内的一系列安全防范措施,是一个单位信息安全管理制度的技术化实现,构成了对合法接入终端的安全基线。达到终端安全基线是目的,网络准入是重要的前置保障手段。在实践中,只有把网络准入与终端管控结合起来,才能有效实现内网信息安全保护。
2.2 网络准入实现原理
当前国际主流的企业级实现技术主要有 802.1x 认证、安全网关认证等。实施 802.1x 认证方式的前提是交换机支持 802.1x 认证协议。交换机与认证服务器联动,根据认证服务器下发的认证结果,提供基
于端口的准入控制。这种认证方式的优势是若在接入层实施,终端互访控制力度很强。认证前,交换机接入端口关闭,终端完全隔离。认证后,接入端口开启,相同 VLAN 内的终端可以互访。缺点是实施、维护过程中网络部门的工作量很大,并且无法从原理上解决终端用户在交换机端口以下私接 HUB 的问题。实施安全网关认证方式需要在生产网络中添加硬件安全网关(防火墙)设备,旁路部署在核心交换机侧或汇聚交换机侧。然后通过在交换机上添加策略路由(Policybasedrouting),将需要认证的 IP 地址范围内终端流量上拉至安全网关进行身份认证。安全网关接收认证服务器下发的动态 ACL,对流量选择回注至交换机或丢弃,从而达到网络准入的效果。这种认证方式的优势是配置实施简单,对现有生产网络改动要求小,并且因为采取三层认证方式,对人员、部门迁移支持性好,同时还能够有效防止私接 HUB 的情况。缺点是由于控制点在核心侧或汇聚侧,安全网关对终端之间的互访行为控制力度较弱。
2.3 终端安全实现原理
为确保管控效果,企业级产品基本实现模式均为在计算机客户端
驻留代理程序,对信息保密要求较高的单位常见的需求包括以下几方面:安全状态检查。最基础的要求包括是否安装了要求版本的杀毒软件,病毒库定义是否保持更新等。此类功能主要通过安全代理软件读取系统注册表及扫描特定位置文件系统实现。移动存储管理。根据各单位信息安全管理要求等级不同,检查是否存在违规使用移动存储介质管理的情况。此类功能主要通过安全代理软件提升运行权限后向操作系统底层驱动注入代码实现。非法外联监控。对信息保密要求高的单位,接入内网的计算机终端通常都是禁止与互联网直接或间接连通的。检查非法外联的通常做法是安全代理软件定期检查与某个互联网地址的连通性,若有连通便会触发监控。
项目实践案例
笔者作为项目负责人,于近期完成了一次单位内网准入与终端管控项目建设工作。该项目实施环境为政府机构办公内网,实施目标网络运行着单位内部办公系统以及大量对外服务的业务系统,生产网络割接需要慎重。同时,在严格管控 USB 存储介质等外设使用的制度要求下,又因业务特点,需要使用品种型号各异的 Ukey 等特种设备。
7.信息安全实践 篇七
1.1数字化学习需要进行教学资源整合
信息时代, 数字化学习资源是自主学习、个性化学习重要的辅助学习资源。数字化学习资源包括音频、视频、光盘, 网站、邮件、在线学习系统、在线讨论系统、评价系统、数据文件、数据库等。目前数字化的学习资源在实际使用中比较无序和非系统性, 不利于学生学习, 因此, 采用科学的方法进行信息化教学资源整合, 使之成为具有多样化和共享特征的系统学习资源, 在统一的网络共享平台下, 能够有效促进学生进行自主发现、依托网络平台进行探索性的学习。
1.2深化教学改革需要进行教学资源整合
当前, 运用信息技术环境 (尤其是网络环境) 促进教育深化改革, 大幅提升了各类学校的学科教学质量, 是教育信息化健康、深入发展的关键所在。国家所实施的高质量、高水平、具有示范作用的精品课程建设, 目的也是推进教育创新, 深化教学改革, 全面提高学校的教育教学质量。可见网络学习环境最重要的是资源建设, 利用多种资源进行探究性学习和研究是高校培训创新性人才的有效方法和途径, 没有资源就成无米之炊, 没有经过整合的教学资源会影响教学改革和教学质量。
1.3培养学生核心职业能力需要进行教学资源整合
目前, 随着计算机网络资源共享程度进一步加强, 随之而来的信息安全问题日益突出, 网络入侵手段不断翻新, 网络攻击方法层出不穷, 网上犯罪活动加速增长, 网络安全问题己经成为信息化社会的焦点。如何应对高科技、高智能犯罪?这就要求信息时代的公安干警必须掌握现代化的警务技能和网络技术, 而这也是公安院校学员实战应用能力培养工作必须应对的现实课题。网络信息安全信息化教学资源整合可以有效搭建虚拟攻防实验平台, 更好的提高在校学员网络信息安全实战应用能力。
1.4网络信息安全课程特色需要进行教学资源整合
《网络信息安全》是一门综合性科学, 涉及数学、通信技术、密码技术和计算机技术等诸多学科的长期知识积累和最新发展成果, 同时还涉及社会问题和法律问题。课程具有以下特点:知识更新快, 涉及面广;课程的预备知识要求较高, 前导专业课程多;实践性强;实验具有破坏性;缺乏系统性。因此, 为了更好的提高教学水平和公安预备人才培养的质量, 网络信息安全课程需要进行多种教学资源整合, 科学的设计相应的教学实施计划。
2 《网络信息安全》教学资源整合目标分析
《网络信息安全》教学资源整合研究的目标是如何开发和管理网络信息安全信息化教学资源, 使其达到整合目的, 发挥出整合的效益, 从而可以为公安院校学员的实战应用能力培养更好的服务。主要包括以下方面的探讨:
将信息化教学资源纳入统一的规划、统一的开发平台和统一的技术标准, 以增强教学资源的通用性、互换性、兼容性和共享性。
对网络信息安全现有资源进行清理、归类和筛选, 剔除陈旧过时的资源, 加入最新的网络技术及实用的公安应用系统, 及时升级、改造和更新, 使教学资源不仅完整配套, 同时也与时俱进, 保持新颖性和先进性。
打破目前资源分割局面, 处理好管理与权限、所有权与使用权的关系, 建立灵活多样、公平合理的共享机制。
整合要因地制宜, 精心设计, 务求实用, 降低整合成本, 避免重复劳动和资源浪费。
对教学资源整合要宏观把握, 遵循整合的基本原则, 结构上加以优化, 管理上力求创新, 技术上实施集成, 使孤立零散的教学资源成为有机联系的整体资源。
3 《网络信息安全》教学资源整合的实践
3.1完善教材内容, 建设精品教材
教材是体现教学内容和教学方法的知识载体, 是进行教学的基本工具, 也是深化教育教学改革, 全面推进素质教育, 培养创新人才的重要保证。网络信息安全课程虽然在一些高校陆续开设, 但一直缺乏针对于公安院校特色的相关教材。目前我院使用的《网络信息安全》是由本院授课教师针对于公安院校特色而编写的, 2005年形成讲义, 2006年编写正式教材, 这本教材集合了当时最先进的网络信息安全知识与技术, 为培养公安院校学员网络信息安全意识和普及常用技术起到了重要作用。但随着时间的推移, 网络技术与知识更新日新月异, 经过五年的发展, 教材中相当一部分知识落后, 同时, 金盾网的建设也在不断完善中, 网络信息安全在公安部门中的应用也日渐增多, 为了适应网络技术的发展, 更好的深化学生公安实战应用能力培养, 及时关注网络上的各种安全事件及公安工作中急需的信息安全技术, 我们进一步完善了教材内容, 引入最新技术及系统, 建设精品教材, 力图为冲击 “十二五”国家级规划教材打下基础。
3.2推进实验教学, 加强综合训练
自2009年起我们初步构建面向公安实战的《网络信息安全》实训练习, 经过一年半的研究, 已初见成效, 力图加强实验教学改革, 积极推进实验教学, 加强综合训练, 建立适应公安工作需要的本科专业课程体系。主要应用体现在:
开放式自主实践教学法:开放部分实验室, 学生自选实验项目, 教学以学生兴趣为中心, 引导其自主实验, 培养自主学习能力和创新能力。
目标驱动教学法:学生根据教学任务目标完成实验的各个环节, 使学生任务目标明确, 充分发挥学生的自主性, 有利于培养其独力工作能力。
参与教师科研项目方法:学生积极参与教师的科研项目, 通过科研项目训练, 整合学生的网络信息安全知识, 提升学生解决实际问题的能力, 培养综合性的工程素质。
3.3网络攻防案例库建设, 积极提高课堂教学效果
构建网络攻防案例库, 应用于网络信息安全课堂教学中, 丰富教学内容, 有效提高了课堂教学效果。网络攻防虚拟平台设置模拟环境, 由教师组织、学生扮演模拟环境中的角色, 从事网络模拟攻击、网络防范, 电子数据收集等多种计算机犯罪侦查的警务活动, 培养学生实际警务技能, 为学生提供实践机会, 缩短与实战的距离。
3.4进一步加强了精品课程网站建设
2007年起我们构建了网络信息安全精品网站, 五年中, 不断进行完善。利用网络教学平台进行教学资源的整合, 按照统一标准构建媒体素材库、题库、试卷库、课件库、案例库、文献资料库、网络课程库等, 使教学资源有机整合在一起, 能够调动学生主动性、积极性和创造性, 将深化学生创新精神与实践能力的公安实战应用能力培养真正落到实处。
3.5改进考核与评价机制, 构建开放式考试评价系统
开放式考试评价系统是—个集命题、测试、评价、阅卷于一体的课程评价平台, 拥有独特的自主命题、智能阅卷技术, 安全机制和灵活多样的测试模式可以满足教学、测评的需求。同时改进考核内容, 侧重学生能力的考核, 使其具备灵活应变的能力。
4结束语
高校教学资源整合是深化教学改革、提高教学质量、培养创新性人才的需要, 也是适应信息化社会和数字化学习的必备条件。《网络信息安全》教学资源整合创新与实践研究, 利用网上教学资源进行了以“自主、探究、合作”为特征的教与学, 更好的突出了学生核心职业能力培养, 将深化学生创新精神与实践能力的公安实战应用能力培养真正落到了实处。
摘要:随着信息社会与数字化学习时代的到来, 高校需要加强信息化教学资源整合的建设。进行了网络信息安全教学资源整合的创新与实践研究, 阐述了信息化教学资源整合的必要性, 对网络信息安全教学资源整合目标进行分析, 并从教材、实验、案例库、网站、考试评价多方面进行了教学资源整合的实践。
关键词:信息化教学,教学资源整合,数字化教学
参考文献
[1]潘穗雄, 邹应贵.高校信息化教学资源的整合策略[J].中国教育信息化, 2009 (3) .
[2]李克东.数字化学习 (上) [J].电化教育研究, 2001 (8) .
8.信息安全实践 篇八
关键词:CDIO 探究式教学 网络教学平台 网络信息安全
引言
近几年来,随着国际互联网Internet的迅猛发展,计算机网络在工商业、政企、高等院校等领域的渗透,在网络给人们日常工作生活带来便利的同时,也给人们带来了很多的安全问题。计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。网络信息安全技术作为信息安全技术和通信技术紧密结合的产物,在当今计算机网络领域中处于最活跃的部分。《网络信息安全》课程已成为计算机、电子信息、電子商务、经济管理等专业的重要课程。培养新型符合社会需要的复合型的人才,保护网络安全,建立合理的网络安全体系显得至关重要。
CDIO即构思(Conceive)、设计(Design)、实现(Implement)和运作(Operate),作为当今国际高等工程教育的一种创新模式,更注重扎实的工程基础理论和专业知识的培养,并通过贯穿于整个人才培养过程团队设计和创新实践环节的训练,培养既有过硬的专业技能,又有良好的职业道德的国际化工程师。这正是现阶段一般高等院校所需要的人才,以增加其在社会竞争中得影响力。
1.传统教学模式下《网络信息安全》课程教学的不足网络信息安全是一门涉及计算机科学、网络技术、信息论、应用数学、通信技术、密码技术、等领域多种学科交叉的综合性科学,是目前计算机网络领域最为热门的技术之一。但在传统的教学模式下,随着各种网络安全攻击手段的不断推陈出新,陈旧的教学内容、枯燥的教学方法,无法培养出社会需要的应用型人才。
1.1理论基础与学习实践脱离,缺少工程化的思想指导
传统的《网络信息安全》的学习内容,从密码学基础到PKI技术、数据库安全、防火墙、入侵检测系统、VPN、IPsec等。都过于偏重理论基础的掌握、注重知识积累,是传统高等教育的人才培养模式,与现阶段培养目标、特别目前高竞争的就业环境对一般高等院校人才的需求不相适应。学习过程中仅是对知识的被动接受,无法真正培养工程应用能力。
1.2知识晦涩枯燥、涉及面广、课时有限
《网络信息安全》知识抽象、枯燥,特别是涉及到许多应用数学的知识,对学生来说更是犹如天书,而内容又多,教师没时间准备、学生没机会复习。学生仅仅是被动被“填灌”,抑制了学生主动参与的积极性,束缚了学生的思维方法,更谈不上创新能力的培养。
1.3教学考核方法单一,知识与能力培养不协调
传统的教学方法仅以知识的传授为主,教师常常没有充足的时间和精力与学生沟通,忽视能力培养和工程实践的锻炼;而且传统的考核方法单一,仅对课堂知识的检阅,或者依据大纲对基础理论知识的考试,对实践的考核明显不足,考核方法单一。缺少工程中的过程动态监控,使得导致知识与能力培养不协调,考核结果较为片面,无法全面的考察学生的综合实践能力。
1.4教学内容陈旧过时,课程实践与实际应用脱节
网络攻击与网络防御技术的发展日新月异,而教学内容远远落后于技术应用,更无法谈及最新领域研究成果。特别是课程实践与实际应用脱节。传统的实验环节通常主要考察学生对所学内容的理解,而缺少综合性实验、设计实验以及综合工程项目实践。
2.基于CDIO的教学模式的探究
针对目前《网络信息安全》课程教学存在的问题,我们基于CDIO工程教育的理念,研究了面向CDIO的《网络信息安全》结合探究式教学模式。
1.以精心设计的学习任务作为切入点,该任务可以是一个项目、或一个工程的子系统,为学生创设一个情境,引导学生开始进行相关知识的探索。
2.由于学生来自不同专业,教学前对学生知识水平、所学课程体系的构建、根据教学大纲所应掌握的内容全面分析,明确所需学习的知识内容、知识的结构关系、知识内容的类型,并结合于工程项目中去。
3.在教学过程中,以学习资源库为支撑,为学生提供工程学习环境,在以学生为主体探究学习下,积极参与到与学生的互动中去,动态的监控整个学习过程,提高学生主动性。
4.创建一个全面的反馈与考核评价系统,对整个教学模式的设计进行反思与修订
3.基于CDIO的教学实践3.1基于项目的课堂教学实践
课堂教学是网络信息安全课程教学的第一个环节,我们将项目案例渗透到课堂教学的每个环节,以传统的数据库安全、防火墙、入侵检测系统等为基础讲解基本知识点,然后联系实际环境中“校园网安全体系”的设计与开发,讲解知识点在实际中的应用。这些知识点包括网络安全的体系结构、数据加密技术、vpn、ipsec等相关内容。同时,采用分组式教学,在课程教学开始前将学生按照五至八人的标准进行分组,为每个组分配不同的项目侧重点。考虑到不同专业学生的不同认知能力和知识架构,我们将项目设计不同的难度,从功能需求、信息安全需求等方面尽可能清晰地描述每个项目,使每个小组清楚地知道自己的重点在哪里。这种方法突出了学生学习的主体主动性。
3.2建立网络互动教学平台
为了给学生营造一个自主学习的环境,我们设计开发《网络信息安全》课程网络教学综合服务平台。延伸了教学的时间,拓展的教学的空间。教学平台包括教学大纲、电子课件等展示性内容,也实现了资源共享、在线答疑、论坛等交互性功能。同时平台还可以提供学生自我的评测,提供在线试卷功能,学生可以根据自己掌握的知识点的薄弱,设置试卷的章节及测试难易程度,真正实现一个自主的学习环境。
3.3基于案例的实验教学及课程设计
课堂教学侧重于知识点的理解,实验和课程设计环节则是学生对所学知识的巩固。实验分为验证性实验,是对所学知识点的掌握,要求各个学生独立完成;综合设计实验,是对知识点的综合掌握,要求学生分组协作共同完成。我们将在课程结束前设计一个综合设计型实验和课程设计相结合的综合设计。这样可以使每个学生都能得到全面的锻炼。课程設计的成绩主要根据每个组完成系统的总体情况进行评定和小组见成员的互评确定,强调了学生间的协调合作。
3.4建立全面的教学评价体系
考核是一个重要的学习过程,也是学习过程中的一个重要环节,通过考核学生可以了解自己的学习情况,教师也可以了解教学情况,从而做出正确的教学评价,实现教学相长。传统的教学模式的考核往往体现在一个分数或者教师片面性的评价上,很难考察学生的实践能力。这与CDIO工程教学模式相悖,我们的研究将考核作为一个教学评价体系,全面化详尽化。在教学评价设计,首先,注重评价主体的多元化,强调学生的自主评价、自我测试;其次,注重评价方式的多样化;再次,注重评价的过程性。
4.结语
《网络信息安全》这门课程实践性较强,根据一般高校的教学要求,虽然不能完全按照CDIO的教学大纲改变教学体系,但是我们从根本上改变了教学思想,对教学模式、教学方法作了相应的改变,在强调学生对理论知识的学习的同时,注重对实践能力的培养,形成理论基础的学习和实践应用之间良性互动,通过实际CDIO实践教学,加强学生的创新及动手的综合能力的培养。以小组协作的方式加强学生合作交流及个人素质、交际能力的培养。通过几个学期的综合比较与学生的反馈,取得了较好的教学效果。
参考文献:
[1]http://www.cdio916.com.
[2]何克杭.运用“新三论”的系统方法促进教学设计理论与应用的深入发展[J].中国电化教育,2010.
[3]Edward F.Crawley, Johan Malmqvist, Doris R.Brodeur etc.Rethinking En-gineering Education[M].Springer,2007.
[4]加涅著.皮连生译.教学设计原理[M].上海:华东师范大学出版社,2002.