中國信息安全論文
前言:想要寫出一篇令人眼前一亮的文章嗎?我們特意為您整理了5篇中國信息安全論文范文,相信會為您的寫作帶來幫助,發現更多的寫作思路和靈感。
中國信息安全論文范文第1篇
論文摘要:世界已進入了信息化時代,信息化和信息產業發展水平已成為衡量一個國家綜合國力的重要標準。但由于信息資源不同于其他資源的特殊性質,如何保證信息的安全性成為我國信息化建設過程中需要解決的重要問題。
論文關鍵詞:信息安全;保護
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
1我國信息安全的現狀
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
①網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
②對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
③我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
2我國信息安全保護的策略
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
①加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
②發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
③創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
中國信息安全論文范文第2篇
近年來,隨著國家宏觀管理和支持力度的加強、信息安全技術產業化工作的繼續進行、對國際信息安全事務的積極參與以及關于信息安全的法律建設環境日益完善等因素,我國在信息安全管理上的進展是迅速的。但是,由于我國的信息化建設起步較晚,相關體系不完善,法律法規不健全等諸多因素,我國的信息化仍然存在不安全問題。
1、信息與網絡安全的防護能力較弱。我國的信息化建設發展迅速,各個企業紛紛設立自己的網站,特別是“政府上網工程”全面啟動后,各級政府已陸續設立了自己的網站,但是由于許多網站沒有防火墻設備、安全審計系統、入侵監測系統等防護設備,整個系統存在著相當大的信息安全隱患。美國互聯網安全公司賽門鐵克公司2007年發表的報告稱,在網絡黑客攻擊的國家中,中國是最大的受害國。
2、對引進的國外設備和軟件缺乏有效的管理和技術改造。由于我國信息技術水平的限制,很多單位和部門直接引進國外的信息設備,并不對其進行必要的監測和改造,從而給他人入侵系統或監聽信息等非法操作提供了可乘之機。
3、我國基礎信息產業薄弱,核心技術嚴重依賴國外,缺乏自主創新產品,尤其是信息安全產品。我國信息網絡所使用的網管設備和軟件基本上來自國外,這使我國的網絡安全性能大大減弱,被認為是易窺視和易打擊的“玻璃網”。由于缺乏自主技術,我國的網絡處于被竊聽、干擾、監視和欺詐等多種信息安全威脅中,網絡安全處于極脆弱的狀態。
4、信息犯罪在我國有快速發展趨勢。除了境外黑客對我國信息網絡進行攻擊,國內也有部分人利用系統漏洞進行網絡犯罪,例如傳播病毒、竊取他人網絡銀行賬號密碼等。
5、在研究開發、產業發展、人才培養、隊伍建設等方面與迅速發展的形勢極不適應。
造成以上問題的相關因素在于:首先,我國的經濟基礎薄弱,在信息產業上的投入還是不足,尤其是在核心和關鍵技術及安全產品的開發生產上缺乏有力的資金支持和自主創新意識。其次,全民信息安全意識淡薄,警惕性不高。大多數計算機用戶都曾被病毒感染過,并且病毒的重復感染率相當高。
除此之外,我國目前信息技術領域的不安全局面,也與西方發達國家對我國的技術輸出進行控制有關。
二、信息化的內涵、信息資源的性質及信息的安全問題
“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經過40多年的發展,信息化已成為各國社會發展的主題。
信息作為一種特殊資源與其他資源相比具有其特殊的性質,主要表現在知識性、中介性、可轉化性、可再生性和無限應用性。由于其特殊性質造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患,造成信息的丟失、泄密,甚至造成病毒的傳播,從而導致信息系統的不安全性,給國家的信息化建設帶來不利影響。因此,如何保證信息安全成為亟須解決的重要問題。
信息安全包括以下內容:真實性,保證信息的來源真實可靠;機密性,信息即使被截獲也無法理解其內容;完整性,信息的內容不會被篡改或破壞;可用性,能夠按照用戶需要提供可用信息;可控性,對信息的傳播及內容具有控制能力;不可抵賴性,用戶對其行為不能進行否認;可審查性,對出現的網絡安全問題提供調查的依據和手段。與傳統的安全問題相比,基于網絡的信息安全有一些新的特點:
一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網與生俱來的開放性特點,從網絡架到協議以及操作系統等都具有開放性的特點,通過網絡主體之間的聯系是匿名的、開放的,而不是封閉的、保密的。這種先天的技術弱點導致網絡易受攻擊。
二是信息安全問題的易擴散性。信息安全問題會隨著信息網絡基礎設施的建設與因特網的普及而迅速擴大。由于因特網的龐大系統,造成了病毒極易滋生和傳播,從而導致信息危害。
三是信息安全中的智能性、隱蔽性特點。傳統的安全問題更多的是使用物理手段造成的破壞行為,而網絡環境下的安全問題常常表現為一種技術對抗,對信息的破壞、竊取等都是通過技術手段實現的。而且這樣的破壞甚至攻擊也是“無形”的,不受時間和地點的約束,犯罪行為實施后對機器硬件的信息載體可以不受任何損失,甚至不留任何痕跡,給偵破和定罪帶來困難。
信息安全威脅主要來源于自然災害、意外事故;計算機犯罪;人為錯誤,比如使用不當,安全意識差等;“黑客”行為;內部泄密;外部泄密;信息丟失;電子諜報,比如信息流量分析、信息竊取等;信息戰;網絡協議自身缺陷,等等。
三、相關解決措施
針對我國信息安全存在的問題,要實現信息安全不但要靠先進的技術,還要有嚴格的法律法規和信息安全教育。
1、加強全民信息安全教育,提高警惕性。從小做起,從己做起,有效利用各種信息安全防護設備,保證個人的信息安全,提高整個系統的安全防護能力,從而促進整個系統的信息安全。
2、發展有自主知識產權的信息安全產業,加大信息產業投入。增強自主創新意識,加大核心技術的研發,尤其是信息安全產品,減小對國外產品的依賴程度。
3、創造良好的信息化安全支撐環境。完善我國信息安全的法規體系,制定相關的法律法規,例如信息安全法、數字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產權保護法、電子信息個人隱私法、電子信息進出境法等,加大對網絡犯罪和信息犯罪的打擊力度,對其進行嚴厲的懲處。
4、高度重視信息安全基礎研究和人才的培養。為了在高技術環境下發展自主知識產權的信息安全產業,應大力培養信息安全專業人才,建立信息安全人才培養體系。
5、加強國際防范,創造良好的安全外部環境。由于網絡與生俱有的開放性、交互性和分散性等特征,產生了許多安全問題,要保證信息安全,必須積極參與國際合作,通過吸收和轉化有關信息網絡安全管理的國際法律規范,防范來自世界各地的黑客入侵,加強信息網絡安全。
四、結束語
總之,由于網絡及信息資源的特殊性質,決定了信息安全問題的客觀存在。信息安全問題不僅涉及國家的經濟安全、金融安全,同時也涉及國家的國防安全、政治安全和文化安全,因此應當加強對信息安全問題的重視。目前,我國正在加快信息化建設步伐,加強對信息安全的管理,保證信息的安全保密性勢在必行。
中國信息安全論文范文第3篇
根據改版方案,雜志上半月刊物主要報道信息化、信息安全、信息產業、軟件與信息服務等幾大領域的最新學術研究成果,刊登信息化領域具有創造性和前瞻性,立論科學、正確、充分,有較高學術價值的論文,反映我國信息化研究領域的學術水平和發展方向,報道信息化的科研成果與科研進展。跟蹤信息化產業與技術發展前沿,注重理論與應用結合,旨在促進國內外學術交流與合作,力爭盡快打造成為一本具有深厚影響力的信息化學術核心期刊。第一期學術刊已經呈現給了讀者。
雜志下半月刊物仍舊秉承《中國信息化》雜志的一貫風格,辦刊宗旨、方針不變,以深度新聞挖掘和有關信息化的評論為主,兼顧政府和市場,力爭成為政府信息化政策傳遞、行業和企業信息化案例剖析、以及國內外信息化重大新聞事件跟蹤調查的重要載體,深刻反映信息化建設對經濟、社會、產業、企業與市場產生的深遠影響,打造集思想性、知識性、可讀性為一體的權威信息經濟傳播媒體。
信息化方興未艾,正在快捷地顛覆傳統,更加醒目地推動社會方方面面的變革。本期封面報道,側重綜述分析了中國互聯網誕生二十年來,對我國政治、經濟、文化生活影響重大的事件、技術、變革等,觸目驚心,發人深思。
中國信息安全論文范文第4篇
關鍵詞:網絡信息安全,社會需求,人才培養模式
一、引言
當前,隨著信息技術的發展和網絡的普及,網絡與信息成為了越來越重要的戰略資源,圍繞網絡的信息安全斗爭也日趨激烈,網絡信息安全已成為事關國家政治、社會和經濟穩定的全局性問題。我國反黑客專家許榕生說:信息網絡的攻與守完全是高素質人才的對抗。然而,我國在網絡信息安全人才的系統培養和全民信息安全教育工作目前尚處于起步階段,網絡安全專業人才供需存在較大缺口,高級戰略人才和專業技術人才尤其匱乏,不能適應當前社會信息化的發展和要求。因此,高素質的網絡信息安全人才的培養問題已經迫在眉睫。同時,除了軍隊、公安等部門需要高級網絡安全人才外,電子商務、電子政務和電子金融等互聯網新型業務的發展,也對信息安全人才的培養提出了更高的要求,僅僅懂得如何配置防火墻的網絡管理人員已經無法滿足社會的需要。因此,如何培養高素質的專業的網絡信息安全人才隊伍,提高全民信息安全意識,已成為我國信息化事業的一個具有長期性、全局性和戰略性的問題。
二、網絡信息安全專業人才培養現狀及存在問題
網絡信息安全是一門以計算機技術為核心,涉及網絡技術、密碼技術、通信技術、應用數學等多種學科的綜合性學科。網絡信息安全專門人才必須經過系統培養才能滿足社會的實際需要。國外在網絡信息安全領域的研究起步較早,對信息安全教育和人才培養都非常重視。無論從技術研究發展看,還是從人才培養角度看,美國均走在世界各國的最前列,其信息安全教育體系相對比較完善,已經形成了配套的本科教育、研究生教育和博士教育培養體系。比如,美國普渡大學、約翰霍普金斯大學、卡內基梅隆大學已經建立了獨立的信息安全人才培養體系,培養了許多優秀信息安全專業人才。
我國在信息安全研究和人才培養方面起步較晚,其中大學始終發揮著主力軍和先鋒隊的作用。西安電子科技大學、解放軍信息工程學院、北京郵電大學已擁有了密碼學博士點和碩士點,自2000年開始先后有40多所高校設立了信息安全本科專業。這幾年,我國信息安全已初步形成從本科、碩士到博士的人才培養體系,很多高校在網絡信息安全人才培養方面進行了有益的探索,培養了一大批信息安全方面的專業人才。但是,我國信息安全理論研究落后于信息化應用和安全技術開發,在信息安全領域進行具有自主知識產權的應用研究和產品研發,建立國家網絡信息安全保障體系方面十分被動。其原因之一就是我國尚未建立起一支知識結構合理的多層次專業人才隊伍。。由于網絡信息安全專業涉及知識面寬、知識點多、知識體系龐大,需要的基礎知識很多,所以在本科或在本科層次以下培養信息安全方面的專門人才絕非易事,同時這也決定了該專業本科階段的教育層次不可能很高。因此,有些人認為更應該注重加大研究生的培養規模和力度,以滿足社會對高級安全人才的需求。
隨著網絡應用的爆炸式增長,我國網絡信息安全人才在數量和層次結構上越來越不能滿足實際需求。現行培養模式培養出來的網絡信息安全人才也還有很多不足,不能滿足社會和行業的實際需要。。目前,我國網絡信息安全人才培養方面的不足主要表現在以下幾方面:
專業知識結構不夠科學:教學計劃、課程體系沒有體現網絡信息安全學科本身的特點,課程設置和教學內容過散,難以形成專業知識結構。當前網絡信息安全專業的課程體系基本上是某個相近學科課程體系的翻版或延伸,在課程中僅僅增加了密碼學、防火墻、入侵檢測等單純安全理論與技術知識的教學,課程設置中缺少系統的觀點與方法,對于如何設計與實現安全的信息系統等重要問題很少涉及。
對實踐能力的培養重視不夠:網絡信息安全專業不僅具有很強的理論性,同時也具有非常強的實踐性,許多安全技術與手段需要在實踐中去認識、去體會。我國傳統培養模式不注重理論的應用,很多網絡信息安全專業院校的實驗條件還相當落后,很多實驗和實踐環節不能正常開設。這樣培養出來的人才缺少實踐能力的鍛煉,難以滿足社會需要,很多人走上工作崗位后,也就不能將所學的知識用于解決工作中的實際問題,導致無法勝任工作或在很長一段時間內不能勝任工作。
實驗內容不實用:網絡信息安全是一個整體概念,并且在實際生活中專業技術人員經常需要解決綜合性問題,因此需要培養學生綜合的應用技能。而支持傳統教學的實驗內容通常都非常單一,不同實驗之間相對獨立,缺少綜合性實驗。
鑒于以上我國網絡信息安全人才培養方面的不足,有必要對現有網絡信息安全人才培養中的一些關鍵問題進行研究和探討,尋求適合我國國情和社會需求的網絡信息安全人才培養模式。
三、網絡信息安全專業人才培養模式關鍵問題探討
由于我國網絡信息安全專業剛剛起步,前期的啟動和準備工作都比較匆忙,加上該專業是信息領域的新專業,又是一個典型的綜合性很強的學科,因此,該專業不僅有許多跨學科和跨專業的銜接問題需要解決,課程設置、實驗設計等也有許多要做的工作。要提高我國網絡信息安全人才的培養質量,我們認為應從以下幾個環節做好工作。
1.確立科學的人才培養目標
目前,社會對網絡信息安全人才的需求可分為四類,即信息安全技術人才、信息安全管理人才、公共信息安全人才、信息安全專業技術教育人才。隨著網絡的普及和使用,幾乎各行各業都需要網絡信息安全方面的人才,但由于行業特點不同,不同行業對該專業的需求重點也會有所不同。因此,應該對我國重要行業對網絡信息安全人才的需求進行調研,制定出面向社會需求的網絡信息安全人才培養目標。
2.建立合理的課程體系
網絡信息安全專業是一個綜合、交叉的學科領域,涉及數學、物理、通信、法律和計算機諸多學科領域的知識和最新發展成果,同時該專業也是一個實踐性很強的專業。因此,應以社會需求為導向建立科學的課程體系,課程體系中應理論基礎與工程實踐并重,注重學生綜合素質和自學能力的培養,加強數學、英語和實踐課程的訓練;確立核心課程,并在保證網絡信息安全專業教育的基礎性、全面性的同時,確定除核心課程外的專業必修課,并按照其內容聯系、應用需求等劃分成若干個課程模塊,讓學生根據自己的興趣來選擇不同模塊進行學習,使學生能夠在掌握本專業核心理論的基礎上,結合自身興趣和實際需要進行學習,充分發揮自己的潛力和特長,并促進個性化發展。另外,把握好各門課程的先后順序,尤其是專業課程的先修和后修關系,將直接影響著學生對專業知識的接受程度。
3.采取形式多樣的教學模式,做好實驗環節設計
教學設計在整個人才培養中起著至關重要的作用。教學設計應該以培養目標為導向。所以應根據培養目標有針對性地設計網絡信息安全專業的課堂教學模式和實驗環節。
在課堂教學中可引入案例教學法,通過提出問題、解決問題、拓展問題、再解決問題,對解決問題的方法進行評價、優化等環節,調動學生的參與性,從而拓展學生的思維視角,強化思辨能力。由于該專業發展快、綜合性強、應用性強等特點,教學中還應注意把網絡信息安全專業的最新動態以各種形式及時補充到教學內容中,并適時地將行業知識、經濟管理知識以及社會常識引入課堂;充分利用網絡平臺來強化教學和輔導工作,加強師生之間的交流,促進學生學習的興趣和積極性。此外,學生參與教學法也是調動學生學習積極性的有效方法。對于專業課程的一些主要內容,可以給學生留幾個課堂討論的主題,作為作業由學生在課下準備,并采取課堂發言和提交報告的形式進行檢查。通過這種形式不僅可以有效地調動學生的思維,而且激發了學生的創新能力。。
在實踐教學中,首先應科學合理地設計編排專業課實驗內容和實驗方案,編寫制定提升學生創新能力的實踐教學指導書。在設備不足的情況下,可采用基于虛擬機環境的實踐教學法,讓學生在有限的資源環境中得到更為真實充分的實踐鍛煉;也可以建立工程實踐平臺,比如,上海交通大學信息安全工程實踐培訓與應用實驗室建立了國內信息安全領域最大規模的工程實踐實驗平臺,該平臺可全方位支持信息安全教學、培訓、科研及測試等信息安全服務,實現了基于“網站――實驗支撐系統――實驗課件”互動的網絡化交互式的新一代工程實踐教學和培訓環境。在該環境下,可演示和運行各種平臺的實驗系統,開展各種安全實驗,大大節省了硬件資源,為網絡信息安全專業的日常教學活動提供了良好的環境支持。
4.加強實驗室建設
網絡信息安全專業是一個實踐性很強的專業,對實驗室建設、實驗設備等的要求較高。如何設計出科學、合理的網絡信息安全實驗室建設方案,加強理論與實踐的結合,將直接影響著專業課內容的消化和吸收,影響著科研工作的順利開展。目前,比較有名的信息安全實驗室是中科院信息安全國家重點實驗室,中科院高能物理所、軟件所、計算所等單位也都具有良好的網絡安全實驗設備或實驗中心,中國科技大學、北京電子科技學院、上海交通大學等院校也建立了各自的信息安全研究中心或實驗室。
5.建立穩定的實踐基地,實現產學研的緊密結合
網絡信息安全專業有著廣泛的社會需求。因此,應當同社會相關行業進行廣泛的聯系,建立穩定的實踐和實習基地。首先,應制定出面向行業的、有針對性的實踐方案和實習計劃;其次,應加強與企業和科研院所的合作,找出與研究機構、企業合作的有效途徑,提高人才競爭力。要實現產學研緊密結合,不僅應加強與企業和科研院所的合作、加強實踐教學,還可通過編寫適應產學研的教材以及相應的教學來提高學生的實踐能力、自學能力、創新能力和適應新環境的能力,使學生順利適應產學研結合的培養模式。
四、結束語
當然,任何新生事物在成長過程中都不是一帆風順的。網絡信息安全人才的培養將是一項艱巨的任務,任重道遠,許多高校進行了有益的嘗試,并取得了一定的經驗和成績。隨著我國信息化進程的加快,國家對信息安全問題的高度重視,我國信息安全產業將迎來新的發展機遇,政府部門和企事業單位對信息安全人才的需求將會越來越多,這反過來也會極大地推動高校人才培養的教學改革,同時,高校還可以充分利用企事業單位作為教學實踐基地,把產學研有機地整合起來,為社會輸送高質量的人才。
參考文獻:
[1] 馬建峰、李鳳華,信息安全學科建設與人才培養現狀、問題與對策,計算機教育,2005(1):11-14
[2] 單來祥,信息安全專業學生應具備哪些知識和能力,計算機教育,2005(1):18
[3] 呂欣,關于信息安全人才培養的建議,計算機安全,2006.2
中國信息安全論文范文第5篇
關鍵詞:信息安全;風險評估;脆弱性;威脅
一、前言
隨著信息技術的飛速發展,信息系統依賴程度日益增強,采用風險管理的理念去識別安全風險,解決信息安全問題得到了廣泛的認識和應用。信息系統主要分析信息化業務和信息系統所面臨的人為和自然的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施,以防范和化解風險。
二、網絡信息安全的內容和主要因素分析
“網絡信息的安全”從狹義的字面上來講就是網絡上各種信息的安全,而從廣義的角度考慮,還包括整個網絡系統的硬件、軟件、數據以及數據處理、存儲、傳輸等使用過程的安全。網絡信息安全具有如下5個特征:
1、保密性:即信息不泄露給非授權的個人或實體。
2、完整性:即信息未經授權不能被修改、破壞。
3、可用性:即能保證合法的用戶正常訪問相關的信息。
4、可控性:即信息的內容及傳播過程能夠被有效地合法控制。
5、可審查性:即信息的使用過程都有相關的記錄可供事后查詢核對。
網絡信息安全的研究內容非常廣泛,根據不同的分類方法可以有多種不同的分類。研究內容的廣泛性決定了實現網絡信息安全問題的復雜性。而通過有效的網絡信息安全風險因素分析,就能夠為此復雜問題的解決找到一個考慮問題的立足點,能夠將復雜的問題量化,同時,也為能通過其他方法如人工智能網絡方法解決問題提供依據和基礎,網絡信息安全的風險因素主要有以下6大類:
1、自然界因素,如地震、火災、風災、水災、雷電等;
2、社會因素,主要是人類社會的各種活動,如暴力、戰爭、盜竊等;
3、網絡硬件的因素,如機房包括交換機、路由器、服務器等受電力、溫度、濕度、灰塵、電磁干擾等影響;
4、軟件的因素,包括機房設備的管理軟件、機房服務器與用戶計算機的操作系統、各種服務器的數據庫配置的合理性以及其他各種應用軟件如殺毒軟件、防火墻、工具軟件等;
5、人為的因素,主要包括網絡信息使用者和參與者的各種行為帶來的影響因素,如操作失誤、數據泄露、惡意代碼、拒絕服務、騙取口令、木馬攻擊等;
6、其他因素,包括政府職能部門的監管因素、有關部門對相關法律法規立法因素、教育部門對相關知識的培訓因素、宣傳部門對相關安全內容的宣傳因素等。這些因素對于網絡信息安全均會產生直接或者間接的影響。
三、目前網絡信息安全風險評估工作中急需解決的問題
信息系統涉及社會經濟方方面面,在政務和商務領域發揮了重要作用,信息安全問題不單是一個局部性和技術性問題,而是一個跨領域、跨行業、跨部門的綜合性安全問題。據統計,某省會城市各大機關、企事業單位中,有10%的單位出現過信息系統不穩定運行情況;有30%的單位出現過來自網絡、非法入侵等方面的攻擊;出現過信息安全問題的單位比例高達86%!缺少信息安全建設專項資金,信息安全專業人才缺乏,應急響應體系和信息安全測評機構尚未組建,存在著“重建設、輕管理,重應用、輕安全”的現象,已成為亟待解決的問題。
各部門對信息系統風險評估的重視程度與其信息化水平呈現正比,即信息化水平越高,對風險評估越重視。然而,由于地區差異和行業發展不平衡,各部門重視風險評估的一個重要原因是“安全事件驅動”,即“不出事不重視”,真正做到“未雨綢繆”的少之又少。目前我國信息安全體系還未健全和完善,真正意義上的信息系統風險評估尚待成熟。有的部門對信息系統風險評估還停留在傳達一下文件、出具一個報告、安排一場測試,由于評估單位在評估資質、評估標準、評估方法等方面還不夠規范和統一,甚至出現對同一個信息系統,不同評估單位得出不同評估結論的案例。
四、信息系統風險評估解決措施
1、確診風險,對癥下藥
信息系統風險是客觀存在的,也是可以被感知和認識從而進行科學管理的。信息系統面臨的風險是什么、有多大,應該采取什么樣的措施去減少、化解和規避風險?就像人的軀體有健康和疾病,設備狀況有正常和故障,糧食質量有營養和變質,如何確認信息系統的狀態和發現信息系統存在的風險和面臨的威脅,就需要進行風險評估。
2、夯實安全根基,鞏固信息大廈
信息系統建設之初就存在安全問題,好比高樓大廈建在流沙之上,地基不固,樓建的越高倒塌的風險就越大。風險評估是信息系統這座高樓大廈的安全根基,它可以幫助信息系統管理者了解潛在威脅,合理利用現有資源開展規劃建設,讓信息系統安全“贏在起跑線上”。風險評估還可以為信息系統建設者節省信息系統建設總體投資,達到“以最小成本獲得最大安全保障”的效果。
3、尋求適度安全和建設成本的最佳平衡點
安全是相對的,成本是有限的。在市場經濟高度發達的今天,信息系統建設要達到預期經濟效益和社會效益,就不能脫離實際地追求“零風險”和絕對安全。風險評估為管理者算了一筆經濟賬,讓我們認清信息系統面臨的威脅和風險,在此基礎上決定哪些風險必須規避,哪些風險可以容忍,以便在潛在風險損失與建設管理成本之間尋求一個最佳平衡點,力求達到預期效益的最大化。
4、既要借鑒先進經驗,又要重視預警防范
沒有網絡安全就沒有國家安全,沒有信息化就沒有現代化。建設網絡強國,要有自己的技術,有過硬的技術。風險評估是信息化發達國家的重要經驗。目前我們的信息化在某些關鍵技術、關鍵設備上還受制于人。“他山之石”可為我所用,亦須知其鋒芒與瑕疵,加強預警防范與借鑒先進技術同樣重要。
五、結束語
綜上所述,本文主要對信息安全風險評估進行了分析和探究,在今天高速的信息化環境中,信息的安全性越發顯示出其重要性,風險評估可以明確信息系統的安全狀況和主要安全風險基礎,通過風險評估及早發現安全隱患并采取相應的加固方案。所以要加強信息安全風險評估工作。
參考文獻:
[1]中國國家標準化管理委員會,信息安全技術一信息安全風險評估規范,2007年
