前言:中文期刊网精心挑选了目前信息安全存在的问题范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
目前信息安全存在的问题范文1
关键词:信息安全;信息科技风险;管理体系
1信息安全建设现状
现行制度方面,现行有效制度涵盖软件开发、软硬件运维、应急管理、安全操作、外包管理、供应商管理等方面,覆盖面较为全面,但是缺乏体系,没有根据一个标准系统的制定出一整套操作性强、执行性强的制度体系。上报机制方面,目前采取信息处内部逐级上报机制,即发现问题上报至科长,科长根据重要等级不同决定上报给处长、主管主任、信息科技委员会。内部评审方面,现阶段只针对现行制度对文档的完整性和准确性进行事后自评,定期配合外部审计机构进行专项审计;监控平台只对机房环境、硬件设备、网络及系统软件进行实时监控。信息科技风险评估方面,根据国家标准从信息资产、威胁、脆弱性的识别、风险值评估、风险项统计分析、总体评价和不可接受风险处理等7个方面,对整体信息化系统包含的硬件设备、软件系统、数据信息和管理制度等内容进行了全面的评估,每半年上报一次信息科技风险报告,并制定相应的整改计划。
2.1管理制度建立不完善
目前,在信息科技风险的上报机制、自评机制和监控机制都存在着不同程度上有所缺失,例如尚未建立双向上报机制;自评范围不全面,缺少对数据资产、人员资产、软件资产等的覆盖;缺少残余信息科技风险的控制缓释措施及评价流程。同时,现有信息科技风险管理制度的完整性、可操作性需要进一步改进。
2.2信息安全意识不强
职工信息安全意识较为缺乏,没能把信息安全意识变成一种习惯、一种常态化的意识真正融入到日常的工作生活中,没能真正意识到加强信息安全的重要程度。
3信息安全建设工作思路
随着互联网+迅猛发展,加强信息安全建设日益重要,我认为应从加强安全审计、建立风险上报机制、强化信息安全管理、科技信息风险防范等四个方面不断加强信息安全建设工作:
3.1分析差距,完善内审监控管理体系
按照信息安全管理体系ISO27001标准梳理现状,认真分析研究,查找存在的差距,制定信息安全内控操作规程,针对软件开发、软件运维、硬件管理各项工作中具体内控操作流程制定信息安全审计依据。可联合相关处室,定期组织信息安全内部审计,建立事前预警、事后考评的整套内审监控管理体系,对潜在的信息风险进行有效控制。
3.2安全防控,建立风险上报长效机制
依据CIA属性对现有信息资产按照实物资产、人员资产、数据资产、软件资产、服务资产进行分类赋值,识别信息资产面临的威胁与弱点,推导出信息资产面临的安全风险,提出相应的安全措施并制定整改计划。另外,建立风险点上报机制,各个分管机构风险管理员负责收集存在的风险点隐患并及时上报信息处、风险处,由信息处汇总风险点,双向上报给风险处及相关领导,针对风险点中提出的问题及时跟进,并协调相关处室进行有效处理。
3.3强化意识,紧抓信息安全管理
针对目前职工信息安全意识较为薄弱的现状,一是借助官方网站、微博、月刊、简报等宣传载体,开展形式多样的信息安全的宣传教育活动,让每名干部职工时刻紧绷信息安全这根弦;二是邀请专家定期组织信息安全培训,普及安全应用技术,强化全员的安全责任和意识。三是结合各部门信息安全工作实际,就一段时期内容易产生的安全问题组织不定期的安全技术人员专题讲座,提高信息网络安全管理人员的能力。
3.4抓好关键,确保信息安全工作无死角
目前信息安全存在的问题范文2
信息安全的概念在20世纪90年代以来逐渐得到了深化,它建立在以密码论作为理论基础的计算机安全领域,并辅以计算机、通信网络技术与编程等相关内容,是指包含硬件、软件、人、数据等在内的信息系统受到保护,不受偶然或恶意原因受到破坏、泄露、更改,保证系统能够连续可靠正常地运行以及信息服务不中断,并实现网络通信业务的连续性。信息安全主要包括对信息的保密性、完整性、真实性、未授权拷贝以及所寄生系统的安全性的保证。要做到网络通信的安全,就要去除其中影响安全的因素,保证信息传输的安全与稳定。目前,网络已融入到了社会、经济、生活等各个领域当中,当网络通信安全出现问题时,不仅会造成个人隐私的泄露,对于社会的稳定也会产生不利影响。目前网络通信当中存在的信息安全问题主要包括:
(1)个人信息的泄露。在网络工程当中,对于系统硬件、软件的相关维护工作还不够完善,同时网络通信当中的许多登录系统需要借助远程终端来完成,造成系统远程终端和网络用户在用户运用互联网进入对应系统时存在长远的连接点,当信息在进行传输时,这些连接点很容易引起黑客对用户的入侵以及攻击,使得用户信息被泄露,个人信息安全得不到保障。
(2)网络通信结构不完善。网间网的技术给网络通信提供了技术基础,用户通过IP协议或TCP协议得到远程授权,登录相关互联网系统,通过点与点连接的方式来进行信息的传输。然而,网络结构间却是以树状形式进行连接的,当用户受到黑客入侵或攻击时,树状结构为黑客窃听用户信息提供了便利。
(3)相关网络维护系统不够完善。网络维护系统的不完善主要表现软件系统的安全性不足,我们现在所使用的计算机终端主要是依靠主流操作系统,在长时间的使用下需下载一些补丁来对系统进行相关的维护,导致了软件的程序被泄露。
2对于网络通信中存在的信息安全问题的应对方案
对于上述的种种网络通信当中存在的信息安全问题,我们应当尽快地采取有效的对策,目前主要可以从以下几个方面入手:
(1)用户应当保护好自己的IP地址。黑客入侵或攻击互联网用户的最主要目标。在用户进行网络信息传输时,交换机是进行信息传递的重要环节,因此,用户可以利用对网络交换机安全的严格保护来保证信息的安全传输。除此之外,对所使用的路由器进行严格的控制与隔离等方式也可以加强用户所使用的IP地址的安全。
(2)对信息进行加密。网络通信中出现的信息安全问题主要包括信息的传递以及存储过程当中的安全问题。在这两个过程当中,黑客通过窃听传输时的信息、盗取互联网用户的相关资料、对信息进行恶意的篡改、拦截传输过程中的信息等等多种方法来对网络通信当中信息的安全做出威胁。互联网用户如果在进行信息传递与存储时,能够根据具体情况选用合理的方法来对信息进行严格的加密处理,那么便可以有效地防治这些信息安全问题的产生。
(3)完善身份验证系统。身份验证是互联网用户进行网络通信的首要步骤。在进行身份验证时一般都需要同时具备用户名以及密码才能完成登录。在验证过程当中用户需要注意的是要尽量将用户名、密码分开储存,可以适当地使用一次性密码,同时还可以利用安全口令等方法来保证身份验证的安全。随着科技的快速发展,目前一些指纹验证、视网膜验证等先进生物检测方法也慢慢得到了运用,这给网络通信信息安全提供了极大的保障。
3总结
目前信息安全存在的问题范文3
【关键词】 高职;信息安全课程;开放式教育;开源社区;实践
信息安全课程是计算机网络等专业的专业核心课程之一,随着信息技术的不断发展,尤其是互联网、移动互联网的大力发展与应用,使得信息安全问题更为突出。目前对信息安全人才需求越来越大。
一、信息安全课程现状
目前高职院校中信息安全课程教学存在的问题主要体现在以下几个方面。
1、重理论轻实践
高职信息安全相关课程结构和内容很大程度是从本科的信息安全课程体系中继承过来,虽然经过不断的课程改革弱化理论知识,强化职业技能,但课程整体结构与行业对高职学生能力的需求依然存在差距。
2、实践环节构建困难
高等职业教育培养具有职业技能与素养的应用型人才,因此对课程实践环节有很高的要求。信息安全课程实训主要分两大类,基于网络设备的安全运维和基于操作系统与软件系统的安全运维与防护。[1,2]第二类实训环境复杂,准备和实施过程中难度大,多数情况下,教师只能实现一些基础实践内容,这与业界所需的能力要求相差甚远。
3、课程与行业领域脱节
由于课程结构、实训条件、教育理念等一系列因素导致目前信息安全课程的教学实施过程与教学目标不匹配,与行业领域里对高职学生的知识与技能需求脱节。
二、引入开源社区到课程体系中
1、开源社区知识特征
开源软件(Free/Libre and Open Source Software简称FLOSS)不但免费而且源代码开放,开源软件的开发与应用以虚拟的开源社区为基础,社区集合了世界范围内的管理和开发人员进行项目开发和维护。在开源社区中人们通过方便快捷的信息通讯工具以及扁平化的组织结构进行知识交流、评价,互动相当频繁。[3]在开源社区中的知识可以作为相关课程中的学习材料。这些知识来源于社区本身,各种文献、讨论、FAQs,而这些开放性的、片段性的材料是采用松耦合方式通过虚拟社区进行整合。[4]
2、可行性
高职计算机网络相关专业课程内容与开源软件的相关性强,因此课程改革有实现的内容基础。高职计算机网络专业的学生主要就业岗位也集中在项目推广、部署以及安全维护等方面。因此,就目前信息安全运维的发展方向而言,将高职学生带入开源社区,将开源社区引入课堂是完全可行的。综上所述,将开源社区引入高职计算机网络教育的教学体系不仅完全可行,也非常必要。
三、实施方案
1、课程分析
通过学习信息安全课程使学生获得信息安全领域相关理论与技能,这门课程在本科和高职教育体系中有着不同的侧重和应用,本科教育侧重于安全理论和相关算法,高职教育侧重网络安全设备使用和系统运维,因此对实验环境的需求也不同。
2、课程体系的改变
原有课程体系实践环境较差,将开源社区引入课程,使学生更多接触安全运维过程中遇到的真实问题和相关解决方案。根据课程的教学目标结合开源社区的特点针对目前教学体系中存在的实践内容陈旧、与现实环境匹配度低的问题,重新构建该课程的教学框架,并通过学生在学习过程中参与社区建设来丰富、完善整个框架的实质,具体措施体现在三方面。
(1)教学内容。筛选原课程教学内容经过重组后构建新课程基本框架,包含信息安全相关的基本概念与基本技能,从信息安全运维社区收集操作系统安全、Web系统安全等目前安全领域主流且最新和最常见问题以及相关解决方案作为重要补充,[5]这些问题往往是在实际环境当中出现,因此具有很强的实用价值。
(2)教学方法。引入开源社区的诸多内容,如果依然使用原有的教学方法,大量来自是开源社区的有用信息很难让学生在短期内吸收,因此采用任务驱动方式进行授课,任务内容来自开源社区,解决方案亦可在社区内找到,学生根据教师的指导,通过在社区中进行查询以及咨询获得帮助完成给定任务。
(3)实训平台。除了课程体系中引入开源软件与开源社区的学习模式,也引入基于开源云计算系统(OpenStack)开发的实验云进行实训教学,以此提高实训效果。通过信息安全实验云平台将开源社区收集到的相关项目或运维案例以实验实训的形式提供给学生。实验平台分为教师端与学生端,教师端实现实验的准备、安排、作业管理和讨论区管理。学生端为学生提供做相关实验的系统环境。
四、总结
高等职业教育课程改革的目的是使学生获得更接近行业要求的知识与技能,但随着技术的不断发展,陈旧的课程体系与课程内容会造成学生不适应行业的要求。为了改变这种课程体系与行业要求的不匹配的情况采用开放式教育的思路将开源社区引入信息安全课程体系,在课程内容,教学方法和实训平台等几方面实现课程改革,课程改革效果良好,可以为其他课程的改革提供有益参考。
【参考文献】
[1] 田秀霞,彭源,孙超超等.创新实践项目驱动的信息安全专业教学改革[J].计算机教育,2015(23)30-33.
[2] 王小妹,陈红松.信息安全专业实验室创新实践教育体系的构建[J].实验室研究与探索.2016(5)174-177.
[3] 肖源,杨哲伦,郝杰.开放源代码社区启发下的知识共享组织模型研究[J].图书馆学研究,201(1)76-84.
[4] Martin Weller,Andreas Meizsner Report on the effectiveness of a FLOSS-like learning community in formal educational settings [OL] http:///index.php?option=com_docman&task=cat_view&gid=14&Itemid=116.2008.02.29.
[5] 曾进群,杨建梅,陈泉.开源软件社区知识创造沟通网络演变研究[J].复杂系统与复杂性科学,2014(11)2.62-71.
目前信息安全存在的问题范文4
关键词:互联网金融;支付结算;管理现状;完善对策
互联网金融支付结算的基础是电子商务,是我国电子商务在快速发展中,基于市场需求和客户需求而出现的一种支付结算形式,其本质上的结算主体仍然是银行,但是在形式上出现了一些新的变革。例如以支付宝为代表的第三方网络支付平台快速发展,对于我国金融支付结算体系也产生了很大的影响,同时,互联网金融支付结算管理问题也受到了广泛的关注。
一、我国互联网金融支付结算管理现状
就当前我国互联网金融支付结算的发展情况来看,主要可以分为三个类别,分别是银行支付网关、第三方支付平台以及中国银联支付,这三种支付形式在具体的业务流程和支付体验方面也有着一定的差别。目前,随着我国互联网金融支付结算的发展,在这三种互联网支付结算形式中,第三方支付平台的发展速度较快,例如支付宝,其交易规模和支付结算应用范围较广。支付宝平台依托阿里巴巴和淘宝网电子商务平台,其日常交易规模有着一定的优势。但是在支付范围的广泛性方面,虽然目前第三方支付平台的应用范围已经得到了较大的扩展,但是相较于银行支付网关以及银联支付而言还有着一定的差距,这两种互联网金融支付结算方式有着更广的应用范围。整体而言,互联网金融支付结算管理在发展中已经形成了较为完整的应用体系,相关的技术也日趋完善,也为推动电子商务的快速发展起到了重要的作用。然而也应当看到,在当前的互联网金融支付结算管理中,还存在着一些显著的问题,如监管体系不完善,网络信息安全管理存在漏洞,手续费用标准不统一等等。
二、互联网金融支付结算管理中存在的问题
(一)缺乏完善的监管体系
缺乏完善的监管体系是目前我国互联网金融支付结算管理中存在的一个重要问题,虽然近年来我国互联网金融支付结算发展较为迅速,但是在相应的管理体系,特别是监管体系方面,还存在着一些问题,缺乏较为完善的法律法规体系。同时,相关监管部门对于互联网金融支付结算体系的监管力度也存在着不足的问题,例如在对第三方支付平台的监管中,对于一些规模较大的第三方支付平台,如支付宝,目前已经有了较为完善的监管机制。但是对于一些规模不大或者市场占用份额不高的第三方支付平台,还缺乏完善的监管机制,没有对于这些第三方支付平台的行为和管理制度进行较为明确的规范,存在着监管风险。事实上,从近年来发生的一些互联网金融支付案件中也可以看出,当前我国对于互联网金融支付结算管理的监管方面,还存在着一些较为突出的问题,没有较好的发现一些风险事件,同时在监管制度方面存在着不合理之处,对于部分不法分子造成了可乘之机。
(二)存在网络信息安全漏洞
支付安全是互联网金融支付结算管理中非常重要的一个内容,只有确保支付安全,才能为客户带来较好的支付体验,保护用户资金安全,这是互联网金融支付计算能够健康发展的基础。然而在当前我国的互联网金融支付结算管理中,存在着一定的网络信息安全漏洞,部分不法分子利用这一漏洞实施网络诈骗或者盗取用户资金。近年来,在网络支付安全方面的案件层出不穷,虽然所采取的一些网络信息保护措施取得了一定的效果,但是整体而言并没有完全消除网络信息安全漏洞。例如近年来发生的一些电信诈骗案件,利用诈骗的形式在获取受害者信息后,能够轻而易举的挪用受害者资金,对受害者造成了极大的损失。由此也可以看出,互联网金融支付结算的发展中,支付安全问题涉及到了其形象和用户的信任。如果无法较好的解决这一问题,充分保护用户的信息安全和资产安全,会严重损害到我国互联网金融支付结算的健康发展。
(三)手续费用标准不统一
手续费用标准不统一问题目前主要反映在一些第三方网络支付平台方面,经过近年来的一些调整和管理措施,商业银行在互联网支付结算的手续费用方面基本上已经实现了统一,但是部分第三方网络支付平台还存在着较大差异。例如当前最大的第三方网络支付平台支付宝不对转账和提现收取费用,这一策略也培养了大量的忠实用户。然而一些第三方支付平台,如微信,却开始在提现业务方面收取手续费,其他的一些第三方支付平台,也存在着手续费收取标准不统一的问题。根本原因就在于,目前我国对于第三方支付平台的支付结算手续费收取标准并没有统一的规定,部分第三方支付平台存在着随意更改收取费用标准的问题,影响到了用户体验。同时,也反映出目前我国对于第三方支付平台与商业银行的手续费用对接管理中存在着一些不合理之处,重复收费问题较为突出。
三、关于完善互联网金融支付结算管理的对策
(一)建立完善的监管体系
针对目前我国互联网金融支付结算监管机制不健全的问题,应当建立起更加完善的监管体系,加强相关法律法规的建设,完善互联网金融支付结算管理制度,规范互联网金融支付结算的各种活动和行为,降低支付安全风险。在对互联网金融支付结算的监管中,相关监管部门应当加大监管力度,特别是对于一些第三方支付平台,明确规定第三方支付平台的责任和义务,防止一些第三方支付平台开展不规范的融资行为。目前,我国发生的一些互联网金融案件中,部分第三方支付平台利用平台便利性,开展非法融资活动,给一些投资者造成了巨大的损失,应当针对这一问题积极进行打击。同时,相关监管部门还应当建立起完善的长效监督机制,对于互联网金融支付结算进行动态化的监督管理,及时发现一些可能存在的风险事件和问题,并且采取相应的应对措施。通过建立这种完善的监管体系,充分保障互联网金融支付结算的安全和健康发展。
(二)加强网络信息安全的保障
在互联网金融支付结算的发展中,保障支付安全是非常重要的,因而相关支付机构、商业银行以及监管部门应当积极承担起相应的责任,加强在网络信息安全保障方面的建设,完善相关的信息安全保障技术,建立更加科学、高效的信息安全保护系统,保障用户信息安全。例如对于商业银行和第三方支付平台来说,针对当前一些电信诈骗案件和网络黑客的攻击特点,建立完善的网络信息安全审核机制,引进更加先进的网络信息安全保护技术,为用户提供全方位的主动支付安全保护。如当用户的交易信息发生异常时,相关商业银行和第三方支付平台应当立即对该交易进行冻结,同时与用户本人进行联系,在联系确认交易内容后,方可解冻交易。如果在同用户沟通中,发现该交易信息存在风险,或者并不是本人操作的交易,那么应当按照相应的流程进行处理,数额重大的,还应当同公安机关联系,进行报警处理。
(三)制定统一的手续费用标准
目前,在我国互联网金融支付结算管理中,存在着手续费用标准不统一的问题,特别是一些第三方支付平台中,这种问题更加突出。针对这一问题,应当制定统一的手续费用收取标准,设定最高的手续费用收取限额,第三方支付平台为了吸引用户,可以不收取手续费用,如果收取手续费用,最高不应当高于标准。同时,还应当对于商业银行与第三方支付平台之间的手续费用对接进行更加完善的管理,防止出现手续费用重复收取的问题。为了促进我国互联网金融支付结算的发展,在制定手续费用收取标准方面,应当降低收取标准,特别是应当降低商业银行的收取标准,或者免去手续费用。通过这种措施,可以为用户带来更好的互联网金融支付结算使用体验,也能够吸引更多的用户使用互联网金融支付结算来代替传统的结算模式,促进我国金融业的改革和发展。
四、结论
通过对我国互联网金融支付结算管理的现状进行分析,发现在当前的互联网金融支付结算管理中,还存在着一些显著的问题,如监管体系不完善,网络信息安全管理存在漏洞,手续费用标准不统一等等。针对我国互联网金融支付结算管理中存在的问题,应当建立更加完善的监管体系,加强网络信息安全的保障,制定统一的手续费用收取标准。同时,相关商业银行、第三方支付平台和监管部门也应当积极承担起相应的责任,规范我国互联网金融支付计算的健康发展。
参考文献:
[1]王建文,奚方颖.我国网络金融监管制度:现存问题、域外经验与完善方案[J].法学评论,2014(6):127—134
[2]何文虎,杨云龙.我国互联网金融风险监管研究———基于制度因素和非制度因素的视角[J].金融发展研究,2014(8):48—54
目前信息安全存在的问题范文5
关键词: 信息安全数学 课程设置 教学方法
随着计算机技术、网络技术、通信技术的飞速发展,计算机通信网络在政治、军事、商业等领域中的作用日益增大。高速发展的互联网给我们的生活、工作、学习带来了极大的方便,人们在家里就可以购物、结交朋友、查找资料等,但同时也带来了病毒肆虐、黑客入侵、垃圾邮件泛滥等网络安全问题。随着我们的世界逐渐步入信息化时代,信息安全问题也日益突出,因此信息安全领域的人才培养刻不容缓。信息安全数学[1,2,3]作为信息安全专业的专业基础课,对于信息安全专业学生今后的深入学习具有基础性的作用。
信息安全数学使学生系统地掌握与信息安全相关的数学知识及实际应用,为学生后续专业课程的学习奠定了基础。我国的信息安全专业从2000年开始发展,课程体系尚处于积极探索阶段,作为专业基础课的信息安全数学也处在发展完善阶段。我们结合在学习信息安全数学过程中的体会,探讨信息安全数学的课程设置和教学方法。
1.信息安全数学课程现状及存在的问题
1.1课程内容设置。
信息安全数学在内容设置上主要包括三个模块:初等数论、近世代数、椭圆曲线论。初等数论主要包括整数的特性、模同余,一次同余式,二次同余式和平方剩余、原根、素数检验,等等。近世代数包括群的概念、环的概念、域尤其是Galois域的概念等。椭圆曲线论主要包括椭圆曲线基础知识和加法原理。课程重点阐述公钥密码学所基于的三个数学难题,以及相关的数学理论和使用方法。如何既掌握现代数学理论,又懂得密码理论,将所涉及数论、代数和椭圆曲线三方面的知识系统化,并将相关的抽象概念结合工程实践具体化,这就对我们的教学提出了挑战。
1.2目前教学存在的问题。
虽然信息安全专业[2,3]都需要开设信息安全数学这一专业基础课程,但是从师资、教学条件、实践环境等环节来看很多学校力量还很薄弱,离课程要求还有一定的差距,在教学任务上还存在诸多挑战任务,主要存在以下问题。
1.2.1授课方式缺乏多样性。目前绝大多数院校信息安全数学教学还是采用老师讲学生听的方式。大部分教师习惯于传统的教学方法,满堂灌的一统模式。现在的信息安全数学基础过于注重数学内容,学习内容较为枯燥,使得学生对课堂内容造成表面的形式理解,无法掌握形式结论背后的丰富事实,渐渐也就失去了学习兴趣。信息安全数学虽然是专业基础课,但很多定理蕴含着解决实际问题的相应算法,学生可以通过数学软件或亲自编写程序来实现基本的算法,这样才能让学生了解所学知识在密码系统中的实际应用。
1.2.2过于注重理论,忽略实践教学。目前许多院校还是以理论教授为主,忽略实践教学,以致社会普遍抱怨信息安全人才教育太偏重理论。能力的培养不能仅靠教师的课堂教学,还需要大量的上机实践。因此,我们在教学过程中可以增加实践环节,使学生在实践过程中加深对理论知识的理解,提高实践应用能力。例如,学生可编写程序实现中国剩余定理,加深对定理的理解,掌握定理的实际应用,理论和实践相结合,学以致用。
1.2.3考核方式过于单一。目前各院校还是采用传统考核方式,以作业和闭卷考试为主。以作业和闭卷考试为主的考核方式无法衡量学生的实践运用能力和综合素质。我们的学习目标是将这些实际理论应用到相关的密码系统去,闭卷考试只是要求学生运用定理解答证明习题,这不能与实践操作能力等价。因此我们提出理论和实践两方面教学要求,分别考核,建立客观科学的评价体系,例如可以将RSA算法作为综合性实验,以小组形式研究算法实现,通过撰写报告汇报实验成果,使学生注重理论和实践的结合,提高学生学习兴趣,培养实践应用能力。
上述问题的存在使得学生实践应用能力差,不举一反三,无法满足社会对信息安全人才的需求,因此信息安全数学教学改革势在必行。
2.课程设置的探讨
信息安全数学的诞生是为了解决信息时代大量数据安全存放、传输等需要,与其他数学课程相比,它更接近实际应用,是更实用的数学。学生既要掌握现代数学理论,又要懂得密码理论,将所涉及的数论、代数和椭圆曲线三方面知识系统化,并将抽象概念结合工程实践。这要求信息安全专业的学生在一个学期里全部掌握是不可能的。因此信息安全数学课程的设置必须要考虑到学生的知识背景、实践能力等方面。我们从以下方面对信息安全数学的课程设置展开探讨。
2.1结合数学在密码和信息安全中的应用,引入经典密码算法。
学习信息安全数学的目标就是要将理论实际应用到相关的密码系统中去,用非常成熟的理论完成一个实际应用。通过对经典密码算法的介绍学习,学生可以深入了解数学是如何完成数据安全的功能,加深对理论知识的理解,今后可以自己研究分析其他密码算法,将来对密码学的研究也会得心应手。例如,在初等数论模块中,我们可以结合RSA密码算法,让学生亲自进行加解密,比较各种计算方法的优缺点。
2.2增设前沿知识,紧跟科学技术前沿。
信息安全数学是在旧理论被、新理论被提出之间不断变更发展的,因此信息安全数学具有变化性。也正因为变化性,书本上的知识往往滞后于现有的实际应用,教学内容滞后于信息安全技术的发展。在教学过程中,对不变的内容作尽可能详细的阐述的同时,充实新兴的信息科学,密切联系实际,扩大学生学习和思考的空间。
2.3压缩理论教学,增设实验教学巩固课堂教学。
信息安全数学以面向应用为目标,单纯以理论教学为主,不注重实际应用能力的提高,容易造成学生仅掌握形式的数学结论,而不知道结论背后的丰富事实。基于以上考虑,我们应将课程内容分为两大部分,理论学习与实践教学,引入经典问题作为实践环节的项目,为学生专业兴趣与实际动手操作能力创造更好的环境,例如最大公因数的算法、一次同余式的算法、中国剩余定理、判断雅可比符号和勒让得符号的算法等。
综上所述,我们的课程设置方案具有如下优点:①偏重实践,学生能更好地掌握和理解知识点。②结合实际生活中的经典密码算法引导学生运用成熟理论。③紧跟技术前沿,注重新学科、新科技知识,及时更新。
3.教学方法的探讨
信息安全数学作为一门新兴数学学科,与其他数学课程相比有其特殊性,我们在坚持经典教学方法的同时,从以下几个方面对信息安全数学课程教学方法进行探讨。
3.1注重信息安全数学和专业课之间的结合点。
目前许多院校信息安全数学教学过于注重数学内容,没有充分结合信息安全数学在密码和信息安全中的实际应用,这就导致学习内容枯燥,学生不知道学为何用。因此我们在讲解信息安全数学理论知识的同时,加入一些有关密码算法方面的内容,以及日常生活中信息安全数学应用,比如数据加密传输等。寻找当前科研工作在教学内容中的切入点,让学生在学习基础内容的同时,通过教师指导,加深对本课程理解,把握学术研究动态,为今后专业课学习奠定基础。
3.2多向互动教学,以问题为教学手段。
现在课堂教学大多仍采用单向互动,教师只是负责信息发送,不管学生接受信息的情况。为了避免教师满堂灌的现象,我们建议采取多向互动教学,教师与学生、学生与学生之间多加交流、全面反馈,便于让教师了解学生学习动态,及时调整教学内容和方法。同时在教学过程中,教师可以经常提出一些解决实际问题,例如利用同余基本原理安排足球比赛程序表的问题,提高学生的学习兴趣,注重培养学生分析问题、解决问题的能力,让学生在解决问题的过程中掌握知识。
3.3加强实践环节,提高学生动手能力。
信息安全数学教学体系的核心思想是如何构建一个安全有效的密码系统,用成熟理论完成实际应用,这就是说我们培养的人才需要很强的实践动手能力。这就要求我们在教学活动中要为学生提供更多的实践机会。比如说在学习模逆、欧拉定理等相关知识后,要求学生编程实现RSA算法加密数据。我们应通过课堂教学同步实验巩固学生理论知识,培养学生解决问题的能力,满足社会对信息安全人才的需求。
3.4采取灵活的考核方式。
密码算法编程实现需要花一定的时间才能实现,以作业和闭卷考试为主的考核方式无法衡量学生的实践运用能力和综合素质。我们建议采取多种方式并举的综合的考核方式:平时作业(30%),实践(30%),期终考试(40%)。这种方式符合信息安全数学课程的特点,可以考查一个学生的综合素质。
本文从学习的接收方式、接收能力等方面探讨了信息安全课程内容的设置,从教学手段、实践环节、考核方式等方面讨论了信息安全数学课程的教学方法。但由于这是一门新兴课程,很多方面还不够成熟,在今后的教学中我们还须精心设计教学内容,优化课程结构,提高课堂效率,在有限的课时里完成必须的教学任务。
参考文献:
[1]覃中平.信息安全数学基础.清华大学出版社,2007.
[2]杨军.信息安全教育与数学教学案例的研究[J].宜宾学院学报,2008,(9):118-120.
目前信息安全存在的问题范文6
关键词:移动互联网;信息安全;技术
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2016)30-0035-03
New Mobile Internet Era of Information Security Technology Foresight
WU Jun1, WU Nan-shan2
(1.Jiangxi Land Consolidation Center, Nanchang 330025, China ;2 .Angel Nanchang Modern Nursery, Nanchang 330029, China)
Abstract: Mobile Internet era of information security technology has become the new focus. At the same time due to the instability of the mobile Internet and the popularity of the phenomenon also led to this area will be the future of information security risks hardest hit, so-depth study of the safety of new technologies on the healthy development of the mobile Internet is significant.
Key words: mobile Internet; information security; technology
近十几年来我国互联网工程飞速发展,与我国经济社会建设完全融为一体,并在发展过程中出现了新的发展趋向,移动通信技术的完善和改进为移动互联网的诞生和发展打下了坚实的基础。基于移动互联网的移动电子商务、移动即时通信、移动社交、手机支付等各种新型的业务也正在悄然改变着我们的生活。但与之而来的却是移动互联网的信息安全问题[1]。近年来电信网络安全隐患也正在成为移动互联网健康发展的一项重大障碍,犯罪诈骗等恶性事件频发。因此,在今后相当长的一段时间内若要保证移动互联网技术能够健康发展,必须深入研究移踊チ网时代信息全新技术问题。
信息安全是包括计算机、电子、通信、数学、物理、生物、法律、管理、教育等的交叉学科,同时也是随着移动互联网技术发展而不断更新的新兴学科。这些学科在发展过程中正在不同程度的与互联网技术和移动通信技术融合,为移动互联网的发展创造了理论基础。移动互联网的安全领域包括网络安全、信息系统安全、内容安全、信息对抗等等,其基本出发点是国家和社会各领域信息安全防护为。信息安全技术是确保移动互联网信息安全的一项重要指标,而且这些内容也在很大程度上实现和完善了信息技术安全本身存在的一些问题。展望信息安全技术与移动互联网结合的突破口主要包括以下几个部分。
1 后量子密码技术
公钥密码体制的安全性受一些数学难题制约。著名的RSA公钥密码体制是的产生和发展基础理论是大整数素数分解,DSA和ECDSA基于求解离散对数问题。这些理论在一段历史时期内曾是公钥密码体制的支撑。但是1994年又有一种新的理论问世,那就是“量子算法”(QuantumAlgorithm),它的最大一个特点就是在多项式时间内求解大整数素数分解问题和离散对数。这一理论的诞生可以说很好的兼容了以往两种公钥密码体制的优势,同时也简化了其中存在的一些繁琐程序。在某种意义上甚至量子算法可以称之为推动信息安全技术进步的一个里程碑。随着公钥体制的不断完善以及一些新的挑战的产生,量子算法的局限性也逐渐暴露出来,一度成为制约互联网信息安全的一个重大难题。因此2001年给予量子计算又产生了一种新的算法,Peter Shor的算法[2]。信息安全领域专家预测,在不远的将来量子计算机将问世。在量子计算机基础上Shor的算法可以攻破当前我们在信息安全领域的公钥体制中遇到的所有问题。基于大整数素数分解问题和离散对数问题面临的一些局限难题也会在不同程度上实现了这些重要障碍。而且这些问题的解决也必将为移动互联网的信息安全领域问题作出重要的贡献。这些都为我们的发展和创新移动互联网起到积极的推动领域。
利用传统互联网技术破解基于编码理论的Mc Eliece公钥密码体制的计算复杂度较高为因此这一问题也成为当前影响移动互联网信息安全的一个障碍性因素。而且,利用量子计算机计算复杂度也给量子算法的基础问题出现一些问题。其中,两个算法复杂度都是指数级,常数有0.5略有变化,这种变化并不是很大。因此,从理论层面来看,Mc Eliece公钥密码体制能够抵抗量子计算的攻击,目前还是确保公钥体制的一种非常重要算法[2]。目前在计算机信息安全领域,NP困难问题既不是素数分解问题也不是离散对数求解问题,可以说影响公钥体制存在障碍的一些问题还没有从某种程度上得到完善和解决,因此Peter Shor提出的“量子算法”在解决上述困难问题的过程中还不能很好地在实战中得到完美的发挥。也就是说,NP困难问题可以抵抗量子计算的攻击,可以称之为后量子密码技术。同时这种基于这种技术基础而完善起来的体制也可以称之为称后量子密码体制,这种体制的算法原理在未来一段时间内还需要攻克诸多难题,但是其效用和功能上的良好表现决定了它必定在未来的发展和设计中成为研究和应用的重点领域。
2 同态密码技术
同态密码技术的应用也是保障移动互联网信息安全的一种重要尝试。在云计算安全保护领域中,目前采用数据加密保证用户的私有信息。在权限控制上以身份认证为主要基础,实地身份认证、权限认证、证书检查这些环节是确保云计算信息安全的一些必要措施,在防止非法用户的越权访问问题上非常有效。数据加密、身份认证,可以一次性地将明文信息隐藏化,在保护隐私问题上目前来看还不存在偶漏洞和隐患。但是随着计算机技术的发展能否有新的隐患和漏洞包括出来还要经过一段时间的验证和检验。因此未来同态密码技术在移动互联网安全领域还是可以继续担当重任。这种技术在很大程度上为用户隐私问题担当重要力量,而且这些问题也成为目前影响和推动整个信息安全领域的一项重大问题,这为我们更好地承担其中存在的一些安全泄露问题做出了重要贡献。
3 可信计算
可信计算平盟与2002年首次提出可信计算概念,但是这一概念目前没有明确的定义,并且在可信计算平盟内部其成员中对“可信计算”也都有自己不同的理解和操作理念。可信计算组认为一个实体在存在的阶段内总有一个既定的目标要实现,若其行为在符合预期的前提下不能按照一些规则和目标完善实现这些目标,那这种规定和目标范围总体是不能完全按照试题的规则进行计算和排列的。ISO/I EC15408认为一个可信的组件、操作或者过程的行为综合可以称之为可信计算,任意操作条件下操作和预测这种算法都能够给我们带来预期的结果。并能很好地抵抗各种外在和内在因素造成的干扰与破坏。这其中包含应用程序软件、病毒以及物理干扰。微软对可信计算也有自己的定义,他们认为可以随时获得的可靠安全的计算就是可信计算,因为只有随时获得才能称之为可信。
可信计算是引入可信计算平台模块PM的一种全新算法,将这一模块嵌入微型计算机系统,这样便能很好地预防与解决计算机安全问题。实际上就是在计算机系统中加入一个可信的可信第三方,通过第三方计算和评估来实现和达到整个系统对信息数据的快速准确处理,以满足人们的预期,这样使用者才能称之为可信的计算。
可信计算的基本原理是首先对终端体系进行干预和推动,使之建立一个完善的安全结构。在终端安全的前提下再将这一终端按照计算机网络安全搭建一个诚信体系,使之有序呈现在第一个安全保障过程当中。这对我们来说也是一个非常有力的计算机安全系统。可信系统这种对终端的加固确保了每个终端都有一个合法身份。一些恶意代码,如病毒、木马都能在终端的过滤系统中完全过滤掉。从作用机理上看,可信计算首先构建一个信任根,然后在通过信任链将其与操作系统联系起来,同时系统与应用之间也存在一定程度的传输和传达作用。这对我们在整个背景下按照完全的设定目标建立的系统操作平台都在一个可以信任的环境和步骤内执行操作指令。可信计算时一种非常重要的确保系统对外界病毒免疫的算法。但是这种算法目前在移动互联网当中还是没有完全按照这N操作方式展开。而且展开的方式也是随着这些既定的目标完全按照他们在能力和其他方面问题的处理中不断丰富和完善起来的。只有这样才能更有效的利用地方可信任资源对整个系统的安全性和稳定性进行合理的权衡和评估。
4 计算机取证技术
计算机犯罪电子取证是确保信息安全的最后一关,从功能上来看它是指能够为法庭接受的、足够可靠和有说服性的一种证据确认,他们必须是存在于计算机内部的电子证据,在保护、提取和归档过程中具有一定的可操作性。具体来说电子取证技术主要包括两个方面,一个是数据获取技术。在这样过程中操作人员主要负责搜集计算机数据,这样才能确保计算取证技术的实现。但是在实现这一任务的过程中虽然对数据证据取证做出了非常有效和有利的安排和维护。但是执行过程中极易对原始数据造成严重修改[3]。所以,数据获取技术在计算机取证中非常关键和重要。计算机系统和文件的安全获取技术是确保这项技术能够顺利实现的一个重要关键点,对磁盘或其他存储介质也有较高的要求,应该能够确保安全无损伤备份技术,在这一前提下在执行对已删除文件的恢复、重建,在重建过程中磁盘空间、未分配空间和自由空间包含了信息的挖掘,对交换文件、缓存文件、临时文件中包含信息的复原技术都具有非常重要的影响,同时这也成为影响和导致问题产生的一项非常重要的关键点。
另外,数据分析技术也是这项技术中存在的非常重要的一个环节,而且在这个环节中我们也对这些技术产生的基本原理和技术要求非常慎重。在已经获取的数据流或信息流中寻找、匹配关键词或关键短语是数据分析技术的重点。例如文件属性分析,日志分析等等,在进行这种分析的过程中按照我们分析的结果和造成的种种危害的预测对信息数据的安全性进行全面的分析和评估。国外计算机取证技术逐渐走向智能化,对电子数据取证的全过程已经进入一个全自动和智能系统中按照这样的目标和成分才能完全执行既定的目标和目的。在这其中计算机取证的可靠性、准确度是衡量这一系统安全性的一个重要目标。
5 云计算安全技术
云计算本质上是一种资源共享的计算平台,他的主要特点是通过数据和资源的共享降低成本,提高性能,这种计算方法目前在移动互联网中已经全面普及,一些运行上通过云计算为不同的用户提供个性化推荐服务,大大提高了资源利用效率,同时这些利用效率在完成既定目标的前提和背景下已经完全按照信息安全领域的规则在做自我完善。云计算发展面临许多关键性问题,而安全问题首当其冲,目前因云计算出现的安全问题还不是特别突出,但是随着这种算法的不断普及以及应用领域的不断丰富,必然会给信息安全造成一定的威胁。
著名的信息安全国际会议RSA201将云计算安全列为焦点问题,定期举办关于云计算安全的研讨会。Gartner的调查结果显示,70%以上的受访企业对云计算的安全性表示担忧。因为这种计算方式如果造成信息泄露对企业造成的危害是无法估量的,同时云计算由于资源共享的基本特性,也是最容易造成信息泄露的。因此安全问题目前仍然是困扰云计算普及和完善的基本问题。
参考文献:
[1] 孙建华,陈昌祥.物联网安全初探[J].通信技术,2014(7) .
