前言:中文期刊网精心挑选了信息安全防护方法范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全防护方法范文1
1.1 企业信息化建设现状
随着信息技术的飞速发展,特别是进入新世纪以来,我国信息化基础设施普及已达到较高水平,但应用深度有待进一步建设。从《第35次中国互联网络发展状况统计报告》的一组数据显示出,截至2014年12月,全国使用计算机办公的企业比例为90.4%,截至2014年12月,全国使用互联网办公的企业比例为78.7%。近些年,我国企业在办公中使用计算机的比例基本保持在90%左右的水平上,互联网的普及率也保持在80%左右,在使用互联网办公的企业中,固定宽带的接入率也连续多年超过95% 。基础设施普及工作已基本完成,但根据企业开展互联网应用的实际情况来看,仍存在很大的提升空间。
一方面,是采取提升内部运营效率措施的企业比例较低,原因之一在于企业的互联网应用意识不足,之二在于内部信息化改造与传统业务流程的契合度较低,难以实现真正互联网化,之三在于软硬件和人力成本较高,多数小微企业难以承受;另一方面,营销推广、电子商务等外部运营方面开展互联网活动的企业比例较低,且在实际应用容易受限于传统的经营理念,照搬传统方法。
1.2 企业网络应用现状
根据最新的《第35次中国互联网络发展状况统计报告》中的数据显示,企业开展的互联网应用种类较为丰富,基本涵盖了企业经营的各个环节。电子邮件作为最基本的互联网沟通类应用,普及率最高,达83.0%;互联网信息类应用也较为普遍,各项应用的普及率的都超过50%;而在商务服务类和内部支撑类应用中,除网上银行、与政府机构互动、网络招聘的普及率较高以外,其他应用均不及50%。我国大部分企业尚未开展全面深入的互联网建设,仍停留在基础应用水平上。
由于目前我国网民数量已经突破6亿,在人们的日常工作、学习中网络已经扮演了不可替代的角色,因此网络安全问题就凸显出来,2014年,总体网民中有46.3%的网民遭遇过网络安全问题,我国个人互联网使用的安全状况不容乐观。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%,在网上遭遇到消费欺诈比例为12.6%。
1.3 网络安全防护现状
当前企业网络中已部署的基本的网络安全设备如防火墙等,但网络使用安全意识不高且网络安全是一个动态维护的过程,企业面临的内外部安全威胁日益巨增,整体安全形势不容乐观。在网络安全威胁中,对于来着企业内网的安全威胁特别难以防范,传统的安全防护措施,只能面对外部威胁,对内不具备防护能力。
高校在校园网信息化过程中数字化校园就是一典型例子,数字化校园网可以方便学生使用各类网络学习资源。但也有部分学生在好奇心的驱使下,往往会在网络中进行试探性的病毒传播、网络攻击等等。也有部分学生以获得学院某台服务器或者网站的控制权来显示其在黑客技术水平。因此,在内网中维护网络安全,保护信息安全,就显得更加重要和紧迫了。
2 内网面临的网络威胁
笔者在高校内网信息化建设过程中,通过多年的研究调查发现,学生的攻击往往是盲目地,且由于部分高校内网管理较混乱,学生可以绕过一些身份认证等安全检测,进入校园核心网络。学生的这些行为,一般不存在恶意性质,也不会进行蓄意破坏,但这就向我们提出了警示,一旦有不法分子轻松突破防线,其带来的危害也是灾难性的。
笔者以本单位学生通过校园网络攻击校园网服务器的例子,说明其网络攻击有时往往非常容易,其造成的危害却非常之大。
2.1 突破内网,寻找突破口
学生通过学院内网IP地址管理漏洞,轻松接入校园内部办公网络,并获得内网地址网段划分情况。通过流行黑客软件扫描学院内网获得内网安全薄弱处,检测出共青团委员会 http://10.0.1.30:90/该网页存在漏洞。进一步利用路径检测工具进行扫描,获得了后台地址http://10.0.1.30:90/wtgy/login.php。
2.2 一击得手
学生在获得了正确的管理地址后,只是进行了简单的尝试就取得了战果,通过弱口令扫描发现系统存在弱口令,于是尝试了如admin admin admin admin888 admin 123456等,居然顺利进入后台。
然后利用后台的附件管理里面的功能,添加了php格式,从而实现了上传。得到了内网的webshell(如图1)。
2.3 再接再厉,权限提升
学生不断尝试,测试了asp和aspx 的支持情况,答案是支持asp,不支持aspx的。自然就上传了 asp webshell,可以实现跨目录访问。访问权限进一步提升,如图,目标主机D盘内容一览无余,其中不乏一些关键目录信息就展现在攻击者眼前(如图2):
2.4 获得系统管理员权限,完全掌控目标主机服务器
查看系统所支持的组件,获取目标服务器系统关键信息。可以看到ws这个组件没有被禁用,从而上传cmd,以获得终极权限系统管理员权限。首先想到的是利用webshell中的上传进行,但是权限问题,webshell上传均失败,所以转向ftp上传(同样存在弱口令),从而绕过了限制,上传了cmd.exe。
实验性的执行命令Systeminfo查看系统信息命令,结果可以正常运行,终极权限获得(如图3):
可以看出,学生攻击学院内网的手段并不高明,其用到的黑客攻击工具,网络上也都能随意下载到,但其通过自己的仔细琢磨,充分利用了内网管理的漏洞,获得了关键信息。好在这是实验性,未造成实质性破坏。内网管理员也及时发现了问题,并对目标服务器进行了安全加固工作。
但我们不难发现,其实网络安全的程度存在着“木桶原理”的问题,也就是网络最薄弱的环节,决定着内网的安全程度。在现实中往往由于管理者的疏忽或者使用者贪图一时方便的原因,给网络中潜在的攻击者留下致命的后门。3 建立信息防泄露的内网访问控制模型
针对上述服务器网络攻击,最有效的方法就是对用户访问进行准入控制,隔离潜在威胁用户。例如,在内网中对所有用户进行身份认证,分配相应的网络访问权限。在内网安全架构中,访问控制是非常重要的一环,其承担着与后台策略决策系统交互,决定终端对网络访问权限发分配。目前主要使用的访问控制技术主要有:
3.1 802.1X 访问控制技术
802.1X 是一个二层协议,需要接入层交换机支持。在终端接入时,端口缺省只打开802.1X的认证通道,终端通过802.1X认证之后,交换机端口才打开网络通信通道。其优点是:在终端接入网络时就进行准入控制,控制力度强,已经定义善的协议标准。
其缺点是:对以网交换机技术要求高,必须支持802.1X认证,配置过程比较复杂,需要考虑多个设备之间的兼容性,交换机下可能串接HUB,交换机可能对一个端口上的多台PC 当成一个状态处理,存在访问控制漏洞。
3.2 ARP spoofing访问控制技术
在每个局域网上安装一个ARP spoofing,对终端发起ARP 请求代替路由网关回ARP spoofing,从而使其他终端的网络流量必须经过。在这个ARP spoofing上进行准入控制。其优点是:ARP适用于任何IP 网络,并且不需要改动网络和主机配置,易于安装和配置。其缺点是:类似DHCP控制,终端可以通过配置静态ARP表,来绕过准入控制体系。此外,终端安全软件和网络设备可能会将ARP spoofing当成恶意软件处理。
3.3 DNS重定向访问控制技术
在DNS重定向机制中,将终端的所有DNS解析请求全部指定到一个固定的服务器IP地址。其优点是:类似DHCP管理和ARP spoofing,适用于任何适用DNS协议的网络,易于安装和部署,支持WEB portal页面,可以通过DNS 重定向,将终端的HTML 请求重定向到WEB认证和安全检查页面。其缺点是:类似DHCP控制和ARP spoofing,终端可以通过不使用DNS 协议来绕开准入控制限制(例如:使用静态HOSTS文件)。
以上是内网安全设备主流使用的准入控制方式,每种方式都具有其特定的优缺点,一般来说每个设备都会支持两种以上的准入控制方式。
但是,网络管控对于网络使用的便捷性是一对矛盾体,如果既要使用的便捷性,又要对网络进行有效管控,这对网络安全设备的性能提出了相当高的要求。然而,高性能的安全设备价格非常昂贵,这也是很多企业宁可暴露威胁,也不防范的原因之一。
3.4 网关准入控制——UTM(统一威胁管理)
UTM产品的设计初衷是为了中小型企业提供网络安全防护解决方案,其低廉的价格和强大的集成功能,在企业内网中扮演着重要的角色。UTM将安全网关、终端软件、终端策略服务器、认证控制点四位一体化部署,可以在内网中进行多点部署,从而构建出内网用户访问控制模型,实现全面覆盖用户内网每一个区域和角落。
(1)合理部署网关位置
UTM的位置本身即位于安全域边界,由于UTM的设备性能参数,一般不建议部署在互联网出口、服务器出口及办公网出口等网络核心节点,在内网访问控制模型中,可以部署在网络拓扑中的汇聚节点。
从安全理论的角度讲,对某一区域网络中的所有用户进行控制(包括访问控制、准入控制、业务控制等);同时,UTM设备的入侵防御、防病毒、外连控制等模块可以与准入控制功能相互配合,UTM一旦发现某用户行为违规,就可以通过内网管理系统直接断开该用户的所有连接。
(2)UTM优势分析
采用UTM网关配合内网管理系统实现访问控制,用户只需要购买少量UTM设备,采用透明方式部署至网络关键节点处,即可以实现全面的准入控制。与基于DHCP控制,ARP spoofing,DNS 劫持等准入控制相比,UTM 准入控制能力更强、更全面,终端用户在任何情况下均无法突破或绕过准入控制。
除此以外,UTM设备还可根据终端的安全情况自动配置合适的安全策略,如在终端未满足某些安全要求的情况下开放其访问修复服务器的权限。
网络安全,不应只关注网络出口安全,更应关注内网中的信息安全,信息的泄漏往往是从内部开始,因此,构建内网访问控制模型就非常重要,采取UTM帮助内网进行安全管控是一个非常便捷、高效的手段。
信息安全防护方法范文2
关键词:用户参与;信息安全;信息安全意识;业务流程结合;
作者简介:谢宗晓(1979-),男,山东日照人,南开大学商学院博士研究生,研究方向:信息安全管理、网络组织与治理等。
1引言
无论信息安全的关注点从单点转向系统,还是其手段从单纯的技术/管理转向体系,安全体系的核心始终都是用户。因为在所有安全机制中,一方面,用户是机器系统的使用者,也是安全策略的执行者,作为主体方存在;另一方面,用户是安全策略约束的对象,作为客体方存在。
用户在信息安全实践中的作用往往被认为是消极的,有些研究认为,在任何系统的安全机制中,人是最薄弱的环节[1-2]。但是,目前不存在完全不需要用户参与就能够智能识别并适应环境变化的安全防护系统,就这点而言,用户参与在现阶段是不可避免的。此外,ISO/IEC27001:2005指出,信息安全的主要目的是确保业务连续性、业务风险最小化、投资回报和商业机遇最大化,也就是说信息安全是基于业务要求的适当安全,过度的安全往往意味着浪费。Spears等[3]的研究表明,用户参与风险评估和控制措施设计过程可以提供足够的业务信息,避免不切实际的安全控制,使实现适当的安全成为可能。因此,用户参与在信息安全实践中是必须和必要的,本研究的目的是探讨用户参与在信息安全管理(informationsecuritymanagement,ISM)有效性中的作用。
2相关研究评述
2.1用户参与
用户参与的研究开始于20世纪60年代[4-5],目前多集中在信息系统开发领域中,在相当长的一段时间内,用户参与和用户涉入的概念被认为同义。Barki等[4,6]第一次将用户涉入与用户参与的概念分离,认为用户参与是系统开发过程中用户执行的一系列行为或活动,用户涉入是用户对一个系统的重要性以及与个体关联程度认识的主观心理状态。
用户参与理论假设用户参与与以系统质量、用户满意度、用户接受度、系统应用等定义的系统成功之间存在关联[5],其中隐含的含义为,在信息系统开发过程中的用户参与并不是必须的,而在信息安全实践中的用户参与则明显不同,只有部分参与与全员参与的区别,并不存在是否参与的区别。Doll等[7]认为,在强制环境下,用户涉入与用户参与没有区别。由于用户参与在信息安全情境中已经隐含了强制环境的含义,因此本研究也认为用户涉入与用户参与同义。为了研究方便以及与信息系统开发过程形成更好的对应,本研究中的用户参与是指用户在安全策略制定过程中的一系列行为或活动。
在信息安全研究领域,绝大多数研究都在关注安全功能的实现,Dhillon等[8]在对文献进行分类梳理后认为,信息安全研究主流必然从关注功能的范式转向基于社会-组织视角的研究;Ashenden[9]反思人在信息安全管理中的作用,认为其中来自人的挑战被忽视了,并建议从管理学和组织行为学的角度研究信息安全管理所面临的困境。之后涌现出的基于社会-组织视角的信息安全相关研究中,人的因素明显成为热点,Johnston等[10]认为恐惧诉求会影响员工遵守安全策略;Bulgurcu等[11]认为员工遵守安全策略受规范信念和自我效能等因素的影响。
但是,这些关注员工遵守安全策略的研究与以往的功能范式研究假设前提一样,即用户参与(在信息安全中一般称作人的参与)是作为消极因素出现,这在信息安全风险评估和管理中尤为明显。一般认为人工评估是目前信息系统复杂到无法进行全定量化和全自动化评估时不得不采取的一个补充手段[12-14],如何去掉信息安全风险评估和管理过程中人的参与也成为其中的重要研究目标之一[15]。
在信息安全情境中,专门研究用户参与的文献较少,仅有Spears等[3,16]探讨用户参与在信息安全风险管理中的作用,并得出用户参与对信息安全风险管理有正向作用的结论,但对用户参与在信息安全中的定义未进行深入探讨,直接用信息系统开发中的系统开发替代风险管理。问题在于,在定义信息安全术语的ISO/IEC27000:2009以及类似文献中并没有明确的用户参与的词汇,只有管理者、用户以及全员参与等相关或相似词汇。更重要的是,信息安全的概念比信息系统安全的概念大得多,后者主要围绕信息系统展开,前者则包括与信息有关的所有方面,如信息系统安全、环境安全、通信安全和人员安全等各个方面。
2.2信息安全管理有效性
什么是成功有效的信息安全管理,目前并没有统一的标准。无论是DeLone等[17]研究中涉及的6个维度的信息系统成功模型,还是He等[18]得到的2组8个因变量,都是关注信息系统的成功应用,其本质是效率或便利性的提高。但是几乎所有的安全控制都增加了系统的操作复杂度,从而降低了效率,或者说,安全性与便利性存在某种程度上的矛盾。信息系统成功和信息安全管理成功指向不同的目标,因此,在信息安全管理情境下不能直接引用已有的信息系统成功模型。
已有的信息安全研究中对于有效性的表述各不相同。Chang等[19]在探讨组织文化对安全管理有效性影响时,将有效性表述为安全管理有效性,并用保密性、完整性、可用性和可核查性作为变量来表征;D'Arcy等[20]在研究员工安全意识对信息系统误用的影响时,将有效性表述为有效的安全对策;Brady[21]在研究影响信息安全法律法规符合性的影响因素时,将有效性表述为安全有效性,并延用了Chang等[19]的研究构念。
无论表述为哪个概念,绝大部分的研究在讨论有效性时都是依据安全属性和安全目的进行判断。ISO/IEC27002:2005对信息安全的定义是保持信息的保密性、完整性、可用性,也可包括真实性、可核查性、不可否认性和可靠性等。这个定义本身就包含了信息安全管理的主要目标,也包括了7个最常见的安全属性描述。实际上学术界普遍认可的信息安全的3个核心属性是保密性、完整性和可用性,也称为信息安全金三角或CIA(confidentiality,integrity,availability)框架[22],而对真实性、可核查性、不可否认性和可靠性的认识则各有不同。为了研究方便,本研究选取3个核心属性表征信息安全管理的有效性。当然,有效的信息安全管理还要考虑更多的因素,如应该遵循成本效益分析的原则[23-24]等。
2.3信息安全管理体系
信息安全管理体系(informationsecuritymanagementsystem,ISMS)概念最初源于BS7799,它是基于业务风险方法建立、实施、运行、监视、评审、保持和改进信息安全,包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源等内容。信息安全管理体系的支撑标准是ISO/IEC27000标准族,共有60个标准,编号为ISO/IEC27000~ISO/IEC27059,其中最重要的标准ISO/IEC27001:2005和ISO/IEC27002:2005已经被等同为国家标准,即GB/T22080-2008和GB/T22081-2008。
本研究以信息安全管理体系为背景研究用户参与在信息安全管理中的作用,选择信息安全管理体系作为研究用户参与的背景主要原因如下。
(1)一般认为信息安全管理体系是信息安全管理的一个可接受模型或最佳实践[19,23-25],而且目前信息安全管理体系应用非常广泛。截至2011年6月,世界范围内已经通过信息安全管理体系注册的组织共有7279家,中国有497家(http:∥iso27001certificates.com/)。
(2)信息安全管理体系包括可能涉及的所有信息安全管理活动,ISO/IEC27000标准族不但给出建立、实施、运行、监视、评审、保持和改进信息安全的基于业务风险的方法,而且还给出信息安全管理体系的要求、实用规则、审核指南以及相关安全域的具体指南等,仅ISO/IEC27002:2005信息安全管理实用规则就包括11个控制域、39个控制目标、133项控制措施。
(3)信息安全管理体系相关标准是鼓励用户参与的,部署过程按照Plan-Do-Check-Act的戴明环,阶段划分明显,而且大部分的部署组织会申请第三方认证,并在中国认证认可协会注册,因此研究者可以非常清晰地判断组织是否部署了信息安全相关措施、是否在信息安全实践中有用户参与行为等。
3研究假设和模型构建
3.1用户参与对信息安全管理有效性的直接影响
Ives等[26]对1959年至1981年的用户参与与信息管理系统成功之间关系的实证研究进行梳理发现,22项研究中有8项表明用户涉入与系统成功正相关;Cavaye[27]对1982年至1992年的研究分析得出的结果基本类似,19项研究中有7项表明用户涉入与系统成功正相关,部分研究是无定论或负相关;He等[18]从464项研究中选择82项实证性研究进行元分析,认为用户参与和信息系统开发的态度和行为与生产率存在不同程度的正相关。
虽然信息系统成功和信息安全管理成功指向不同的目标,但两者的开发过程存在极大的相似性。信息安全管理体系的部署过程实际上是一整套安全策略体系的开发过程,可认为是系统开发的一种,信息系统开发的过程包括需求分析、概要设计、详细设计、编码、测试、上线、维护升级等阶段,信息安全管理体系的部署过程包括风险评估、体系设计、文件设计与编写、试运行、持续改进等过程。信息系统开发与信息安全管理体系部署的对应关系见图1。
基于此,本研究提出假设。
H1用户参与对信息安全管理有效性有显著的正向作用。
3.2信息安全意识及其中介作用
信息安全良好实践(thestandardofgoodpracticeforinformationsecurity,SoGP)将信息安全意识定义为组织内所有的员工理解信息安全的重要性,清楚组织所适用的安全级别,知悉并履行个人的安全职责。
用户参与到建立信息安全管理体系的过程中,并承担各种安全责任,可以加深用户对信息安全的理解。Spears等[3]通过研究认为,用户参与到信息安全风险管理的过程中可以提高组织对信息安全风险和控制措施的重视程度,从而提高用户的信息安全意识。基于此,本研究提出假设。
H2用户参与对信息安全意识有显著的正向作用。
Kruger等[28]认为,安全控制的应用效果依赖于积极的安全环境,其中每个人都具有较高的信息安全意识,都理解并执行组织内的程序和规程;反之,在消极的安全环境中,安全控制不但得不到有效的应用,甚至会被规避和滥用。按动机分,主要有以下两种情况。
(1)故意的。如银行业务系统用户的非法外联,由于不理解信息安全的重要性,不了解后果的严重性,这类用户往往并不知悉组织的信息安全惩戒措施或相关的法律法规,可以归结为信息安全意识薄弱。
(2)无意的。如服装设计人员不知悉哪些信息需要保密、哪些信息可以公开,将作废的设计图纸随手扔进垃圾箱,这可能导致信息泄漏,影响信息的保密性。再如,有些用户对主机的安全操作规程不了解,随便重启服务器,这可能导致宕机,并由此影响信息的可用性。
这些导致信息安全管理失效的行为或多或少与信息安全意识相关联。
基于此,本研究提出假设。
H3信息安全意识对信息安全管理有效性有显著的正向作用。
H4信息安全意识在用户参与与信息安全管理有效性的关系中起中介作用。
3.3业务流程结合及其中介作用
系统质量理论认为,用户参与可以使开发者真正了解系统需求,从而提高系统质量[29-31]。在信息安全管理情境中,没有涉及质量这一概念,ISO9000:2005对质量的定义是,一组固有特性满足要求的程度,按照这个定义,信息安全管理的要求是满足组织业务对安全的需要。用户(尤其是业务流程负责人)参与到信息安全管理的建设过程中可以使安全策略开发者了解业务过程,同时也使他们自己更加理解安全策略目的,从而促进安全策略与业务流程进行结合,提高安全策略的质量。Spears等[3]的研究证实用户参与可以使信息安全风险管理更加符合业务情境。基于此,本研究提出假设。
H5用户参与对业务流程结合有显著的正向作用。
对用户参与信息系统开发与系统使用之间关系的研究表明,只有在可选择应用的环境中进行研究才有意义[17]。但Barki等[4]认为,即使在强制应用环境中,用户还是可以根据自己的判断(如态度和意愿)控制使用的程度,而信息系统的使用程度正是信息系统成功的参数之一。
信息安全管理是强制环境,但是在实际应用中安全策略的设计者出于尽职免责的心态,很容易陷入过度安全的状态,而业务流程负责人出于对自身利益的考虑则希望尽量减少安全控制对正常业务的影响,这种矛盾的存在往往会导致安全策略使用程度(被遵循程度)降低,即安全策略未得到有效实施。
由安全主管和业务流程人员共同参与设计安全策略是解决这个矛盾的途径之一,这个过程往往是一个博弈的过程,最后一般会使组织的安全策略符合基线标准。只有这种充分考虑了业务要求的安全策略才能得到高“使用程度”,进而提高信息安全管理的有效性。因此,本研究提出假设。
H6业务流程结合对信息安全管理有效性有显著的正向作用。
H7业务流程结合在用户参与与信息安全管理有效性的关系中起中介作用。
综上所述,提出本研究模型,如图2所示。
4研究设计
4.1样本选择
研究者从2011年6月前通过信息安全管理体系认证的497家中国公司随机抽取30家,给每家公司发放10份问卷,以邮寄的方式将问卷发放给被选公司的信息安全负责人,随后以第三方认证机构电话确认的方式,请公司信息安全负责人组织公司相关成员填写问卷,并以邮寄的方式回收问卷。收回256份问卷,剔除问题填写不完整的22份问卷,最终纳入数据分析的问卷共234份,问卷的有效率为78%。填写问卷人员的描述性统计如表1所示,其中男性占60.684%,女性占39.316%,与目前信息安全从业人员性别比例基本相符。
4.2变量和测量
4.2.1自变量:用户参与
用户参与沿用Barki等[6]和Spears等[3]的测量框架,按项目阶段确定关键活动。信息安全管理体系采用PDCA框架模型,阶段划分明确,本研究也采用分阶段罗列关键活动的方法对用户参与程度进行测量,每阶段选取7项关键活动,用户参与其中一项得1分,否则为0,以此类推,每个阶段的用户参与结果最小值为0,最大值为7。
用户参与问卷以ISO/IEC27001:2005和谢宗晓等[22,32]描述的信息安全管理体系部署过程中一系列关键活动为基础,选择36项关键活动,其中计划阶段12项、执行阶段12项、检查阶段8项、改进阶段4项,并把检查和改进阶段合并为12项。在信息安全管理体系从业人员中选取22人,采用多选项-多选择量表的方法,限定从业人员分别从36项关键活动中选择7个认为最重要的选项,从业人员分布见表2,选择结果统计见表3。
4.2.2中介变量:信息安全意识和业务流程结合
无论在萨班斯奥克斯利法案还是在信息安全管理体系的情境下,信息安全意识和业务流程结合的含义基本一致,都是为了提高信息安全管理的有效性。信息安全意识量表和业务流程结合量表修改自Spears等[3]的问卷,该问卷为Likert7点量表,1为非常反对,7为非常支持。
4.2.3因变量:信息安全管理有效性
采用Chang等[19]设计、Brady[21]沿用并修改的Likert7点量表测量信息安全管理有效性,1为非常反对,7为非常支持。
由于信息安全意识、业务流程结合和信息安全管理有效性的测量量表引用自英文文献,为了保证问卷的有效性,研究者将英文翻译成中文,请两名中文专业硕士研究生对问卷的行文进行修改以符合中文习惯,然后请两位信息安全领域的专家比对问卷的中英文内容并审核确认,所有变量及问卷项见表4。
4.3构建有效性
用户参与、信息安全意识、业务流程结合和信息安全管理有效性4个潜变量的信度(Cronbach'sα)、均值、标准差、极值和相关系数如表5所示。用户参与、信息安全意识、业务流程结合、信息安全管理有效性的Cronbach'sα系数分别为0.723、0.802、0.640、0.948,信度较高,在可接受范围内。Mithas等[33]认为,来源于实践、经过长期的实践检验且有权威来源的量表(如国际标准和国家标准)能够保证测量的效度。本研究中问卷的测量符合以上要求,因此能够保证效度。
4个潜变量之间的相关系数全部达到显著相关,数据适合多重中介模型检验。
5实证结果和分析
5.1同源方差分析
由于本研究中变量数据均来源于自称式问卷调查,容易导致变量之间的关系不能反映潜在构念之间的真实关系,即共同方法偏差的存在容易导致构念效度的降低,甚至影响研究假设的接受或拒绝,增加犯Ⅰ类错误或Ⅱ类错误的概率[34]。沿用Podsakoff等[35]和周浩等[36]的方法,本研究采取验证性因子分析方法分两步对问卷共同方法偏差进行分析,检验结果如表6所示。
采用Harman单因子检验方法对用户参与、信息安全意识、业务流程结合和信息安全管理有效性进行检验,如果方法变异明显存在,验证性因子分析的结果容易析出一个单独因子或者一个公因子解释大部分变异[37]。由表6可知,单因子模型的拟合指标没有达到可以接受的标准,NNFI=0.848,CFI=0.863,RMSEA=0.186。然而Harman单因子检验方法的假设前提存在明显的缺陷,除非存在非常严重的同源偏差问题,否则一个公因子解释大部分变量变异的情况一般不会出现。为进一步探查同源偏差的可能性,本研究采用不可测量潜在方法进行因子检验,比较有共同方法偏差的模型与没有共同方法偏差的模型,如果后者的拟合指数优于前者的拟合指数,表明变量数据不存在共同方法偏差。由表6可知,四因子模型的拟合指数比较好,RMSEA<0.080,CFI>0.900,NNFI>0.900,对四因子模型与其他3个竞争模型的χ2和AIC指标(值越小越好)[38]进行比较,无共同方法偏差的四因子模型明显优于其他3个有共同方法偏差的模型,说明各变量间不存在明显的同源方差,用户参与、信息安全意识、业务流程结合和信息安全管理有效性具有良好的区分效度。
5.2结果分析
多重中介模型的验证方法有多种,MacKinnon等[39]提到14种验证路径的方法,在所有验证方法中,Preacher等[40]和Sobel[41]都推荐Bootstrapping方法,认为该方法模型参数估计更为稳健,结论也更可靠,更能避免Ⅰ类错误,尤其是进行多重中介研究时。本研究采用Bootstrapping方法,使用Preacher等[40]提供的SPSS宏,使用SPSS18.0验证多重中介模型。按照提出的研究假设,将用户参与设定为自变量,将信息安全意识和业务流程结合设定为中介变量,将信息安全管理有效性设定为因变量,样本数量设置为5000,置信区间设置为95%,对如下方程回归系数的显著性进行检验,结果见表7和表8。
其中,c、a1、a2、c'、b1和b2为回归系数,ε1~ε4为残差。
由表7可知,c=0.674(p<0.001),达到显著水平,表明用户参与程度的不同显著影响信息安全管理有效性的高低,支持H1,同时也为中介效应的检验提供了基础。a1=0.555(p<0.001),a2=0.421(p<0.001),表明用户参与对信息安全意识和业务流程结合有显著正向作用,支持H2和H5。b1=0.279(p<0.050),b2=0.183(p<0.050),表明信息安全意识和业务流程结合对信息安全管理有效性有显著正向作用,支持H3和H6。
整体模型指标中,F=26.508,p=0.000,说明自变量用户参与通过中介变量信息安全意识和业务流程结合对因变量信息安全管理有效性的影响达到显著水平。此外,模型的解释率R2为0.247,表明还有其他变量能够纳入模型,这也是下一步研究的方向。
由表8可知,用户参与对信息安全管理有效性总的间接效应为0.155(a1b1)+0.077(a2b2)=0.232,对应的Z检验结果为3.581(p=0.000),偏差矫正与增进95%bootstrap置信区间为{0.120,0.352},置信区间不包括零。因此,拒绝总的间接效应为零的虚无假设,表明总的间接效应显著。
在多重中介方法中,不但要关注总的间接效应,也要关注单独的中介效应,由表8可知,中介效应值如下。通过信息安全意识:a1b1=0.155(Z=2.569,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.048,0.270},置信区间不包括零;通过业务流程结合:a2b2=0.077(Z=1.967,p<0.050),偏差矫正与增进95%Bootstrap置信区间为{0.018,0.162},置信区间不包括零。由此可见,信息安全意识和业务流程结合的中介效应显著,支持H4和H7。此外,两个中介效应的置信区间有重合的部分,且两者比较检验结果不显著(Z=0.992,p>0.050),可以认为两个中介变量起到的中介作用没有显著差异,同等重要。
本研究概念模型的验证如图3所示。
6讨论
(1)本研究验证了用户参与在信息安全管理中的正向作用,这对安全机制不能完全脱离人而运转的情况具有非常积极的意义。
(2)本研究解释了用户参与如何正向影响信息安全管理有效性。Spears等[3]验证了在萨班斯奥克斯利法案情境下用户参与对控制措施绩效的正向作用,但是并未揭示用户参与如何影响控制措施绩效。本研究通过构造多重中介模型,揭示了用户参与可以有效地提高员工的信息安全意识,促进业务流程结合,使组织的信息安全管理体系更加符合组织的实际安全需求,最终促进信息安全管理有效性。
(3)本研究采用多重中介的验证模型,应用Preacher等[40]提供的SPSS宏,多重中介模型可以更清晰地揭示用户参与影响信息安全管理有效性的路径。
本研究结论对管理实践具有一定的指导意义,主要体现在标准制定和安全实践两个方面。
(1)本研究证实了用户参与的重要性和积极作用,为信息安全相关标准的制定、完善和提高提供了新的视角和依据。
(2)大部分组织的安全负责人都会尽量减少人在安全机制中的比重,以减少执行的不确定性,这导致2010年至2011年68%的组织在安全技术方面的投入超过整体安全预算的10%,仅17%的组织在终端用户安全意识教育方面的投入超过整体安全预算的10%,有35%的组织还不足1%;同时,有41.100%的受访组织经历了信息安全事件,攻击源来自内部用户滥用网络或邮件的占24.800%[42]。显然,组织的安全负责人应该将安全预算的分配更多地倾斜到终端用户身上。对信息安全管理体系的咨询和认证人员而言,在咨询和认证的过程中,不应仅关注安全技术的部署和安全制度的设计,也应关注如何鼓励用户参与到所有可能的活动中,并承担更多的责任。
7结论
信息安全防护方法范文3
【关键词】计算机信息;安全技术与防护;措施
计算机的广泛应用,给人们的生活带来了很大的改变和影响。近年来,各种高科技的变化和发展,给计算机技术的运行带来很大的安全隐患,计算机在发展的过程中,遇到了前所未有的挑战,因此,加强计算机技术的安全防护是十分必要的。
一、目前的计算机信息安全防护中存在的问题
在时代高速运转的今天,计算机的信息安全技术就变得十分的重要,从某种程度上说,安全防护技术的高低,也直接反映了国家的科技发展水平以及经济水平。对于计算机信息的安全防护,不仅是企业在发展过程中需要强烈重视的问题,同时,计算机用户在使用计算机的过程中,也比较关注这个问题。随着我国科学技术水平的提高,以及社会经济的不断增长,我国的计算信息安全防护工作也取得了很好的工作成果,防护水平也在不断的提升,但是,依然还有很多的问题没有得到根本的解决,这些问题的存在,严重影响了我国的经济发展水平,甚至带来了很严重的经济损失[1]。影响计算机信息安全防护的主要因素是,我国的计算机信息安全防护技术比较低。这样的问题,严重的影响了计算机的安全质量,同时,我国的计算机防护制度相对来说还不是十分的完善,现有的计算机防护制度,在遇到实际的计算机安全问题时,根本不能满足实际需求,计算机安全防护制度形同虚设。在我国的很多地区中,当计算机遭遇了黑客的攻击之后,技术防护人员,根本找不到黑客攻击计算机系统的路径,进而根本解决不了计算机真正存在的问题,计算机的安全防护工作没有得到十分有效的开展。另外,很多企业在发展的过程中,没有对相关的计算机技术人员进行相对系统和完善的培训,导致计算机的技术人员安全知识薄弱,计算机防护工作能力不强,企业在高科技技术和设备的投入上明显不足,无法满足时展需求,同时,也不能满足企业正常运转的实际需求,使得计算机在应用的过程中,出现的问题越来越多,并且,迟迟得不到根本的解决,十分不利于计算机信息安全防护工作的开展,严重影响了企业的发展。
二、计算机信息安全防护的主要内容
在计算机的信息安全防护工作中,信息安全的管理是一个十分重要的内容,也是计算机安全防护中十分关键的环节,很多的计算机防护技术人员在对计算机进行安全防护的过程中,都比较重视这个问题,这也是大多数的计算机防护人员在开展工作时最常用的手段[2]。从我国目前的计算机发展情况来看,提高计算机安全防护技术,才是计算机安全管理的前提和关键。这里所提到的技术,其实就是对计算机漏洞进行检测、分析、以及维修。当分析结果出现以后,需要有相应的理论基础做支撑,找到一个适合的、科学有效的解决方法。进而,形成一个稳定、安全的计算机信息安全防护系统。这个计算机信息安全防护系统,主要有以下几个方面的内容:防治恶性攻击的防护墙、对于网络病毒击杀的防护墙、扫描系统等方面的安全防护措施。在对计算机的信息系统进行保护的过程中,需要有一个系统完整的安全防护制度,为计算机的信息安全防护工作提供必要的参考,工作技术人员在进行参照的过程中,一定要严肃认真,不能有半点的疏忽。要提升计算机管理人员的安全防护意识。另外,还有一个问题也是需要引起重视的,那就是计算机数据的安全合理运用,以及计算机系统的稳定运行,计算机系统的数据一定要保存完整,保证计算机系统信息保密性。
三、计算机信息安全技术及防护措施
3.1计算机病毒的防护
随着科学技术水平的提高,计算机网络已经走入了千家万户,被越来越多的人们所熟知和运用,给人们的生活带来了很多的便利。但是,近年来,随着计算机技术的大范围应用,也渐渐的出现了很多的安全问题,严重影响了计算机网络的信息安全,其中,计算机病毒就是十分严重的问题,这种计算机病毒的传播速度是非常快的,对于人们计算机信息的安全是一种很严重的威胁。因此,计算机病毒一定要一起人们的重视,在对这种计算机病毒进行防护和治理的过程中,一定要立足于我国的当前的计算机网络发展环境,运用科学、合理、有效的办法对计算机病毒进行治理,保证计算机的运行安全,这样,才能真正的达到计算机信息的安全防护的目的。从目前我国的计算机发展阶段来看,在计算机的信息安全防护系统中,有很多的计算机操作系统,为了对计算机的系统中的病毒进行防护,而采取的防护软件功能也大不相同,要根据具体的计算机系统以及具体的病毒类型,选取与之相适应的杀毒软件,因此,在对计算机病毒进行治理的过程中,通常可以采取信息过滤技术、计算机安全扫描技术、以及计算机安全访问控制技术来对计算机的病毒进行防护和治理,通过这样的手段进行治理和防护,能够有效的防治计算机病毒对计算机的恶性攻击,也加强了计算机信息安全系统的安全性,使计算机在运行和使用的过程中更加的安全和可靠[3]。
3.2信息安全技术的加强
计算机信息安全技术发展到今天主要的内容包括很多方面,例如,防火墙技术、计算机信息安全管理技术、检测技术、病毒监控与研究技术等。企业在发展的过程中,如果想要加强计算机的安全防护管理,就一定要强化计算机防护人员的自身的专业素质水平,丰富计算机安全防护人员的专业知识,同时,企业的内部也一定要有一套完善的、科学的计算机管理制度与安全防护技术管理制度。在使用计算机的过程中,要对信息数据进行及时的备份工作,对于计算机使用过程中比较严密的信息要进行开机查毒工作,防止一些恶意的网站进行访问,全面提升计算信息安全防护技术水平,对计算机信息数据库的管理也要引起重视,要进行及时的备份和恢复工作,保证计算机信息安全防护技术的完整性。在防护的过程中,要善于利用一些新技术进行辅助的防护,例如,公钥密码技术、单钥密码技术、数据加密技术等高科技的技术等,来对计算机的信息数据进行安全管理,保证计算机信息数据的安全。在使用计算机的过程中,如果计算机系统已经全部被病毒感染,这个时候应该立即切断计算机的传播途径,并进行全盘的病毒查杀工作,防护墙的配置对计算机的安全十分的重要,这样就能对计算机软件进行及时的扫描。通过防病毒卡的应用,对于计算机的网络文件进行访问权限的设置[4]。同时,计算机技术的研发人员,在对计算机进行研制的过程中,一定要把计算机的安全性因素提到研制日程上来,并把就计算机安全技术当成一项很重要的工作任务来完成,从而,保证计算机的使用安全,对于计算机技术的相关法律也要进行落实。
3.3计算机信息安全防护人员的技术要提高
要有效实现计算机信息技术的安全防护工作目标,不仅要从防护技术上下功夫,同时,计算机信息安全防护人员的专业素质和技能水平也是一项很关键的因素,企业在发展的过程中,需要对相关的计算机法律进行完善,同时,还要制定一些计算机安全防护技术的管理制度,规范计算机安全防护人员的行为,全面提高计算机的安全性能。对于计算机相关的防护人员以及管理人员的专业素质要进行培训,使计算机安全防护人员的安全意识得到提高,企业可以在发展的过程中,定期的对相关的计算机安全防护人员和管理人员进行专业知识上的培训,对计算机安全防护人员的专业知识进行及时的丰富和更新,这样就更好的保证计算机安全防护人员在遇到突发的计算机问题时,可以快速的找到解决措施。保障计算机的运行安全和信息安全[5]。企业在这方面一定要予以大力的支持,加大对资金方面以及人员方面的投入力度,及时引进高科技的计算机安全防护设备,从而,在提高企业经济效益的同时,加强了计算机的安全防护工作。
3.4建立科学防护体系
3.4.1横向防御体系计算机的安全防护体系,主要就是从计算的感知、应用、以及网络三个方面进行考虑。首先,通过感知,对计算机采集的信息和数据进行安全防护,保证计算机采集的数据和信息的安全性和可靠性;其次,通过网络层的运用,进一步确保计算机信息和数据的安全性,计算机用户在对计算机进行应用的过程中,都可以通过网络层进行相关数据和信息的传输工作,这样就能保证数据和信息在传输的过程中,不会出现数据不完整的现象,从而,营造可一个健康、有序,安全的网络数据传输环境;最后,应用层,主要是对主机数据信息的安全保护,对数据和信息进行分析和处理[6]。3.4.2纵向防御系统横向防御系统的信息数据传递过程,就是计算机的纵向防御系统,纵向防御系统的建立,使计算机在进行信息传递的过程中,得到了有效安全的保护,避免了信息传递的风险。感知层在获取数据的过程中,需要与网络层进行联系,最后,实现计算机数据和信息的有效传播,每个层级之间都设有相应的安全隔离墙。保证了数据信息的安全性,也保证了数据信息在传递过程中的完整性。
四、总结
随着我国科学技术水平的提高,以及经济的不断发展,计算机网路技术被应用在生活中的各个领域,给人们的生活带来了很大的改变。随着计算机技术的普及,计算机的安全问题应该要引起人们的重视。计算机的防护人员一定要加强对计算机的安全防护,用科学的手段保证人们的信息和财产安全。
参考文献
[1]李群.计算机信息安全技术及防护措施初探[J].电子制作,2015(10):156.
[2]白轶.计算机信息安全技术及防护分析[J].中国新通信,2015(12):61.
[3]郭之琳.计算机信息安全技术及防护分析[J].智能城市,2016(04):98-99.
[4]连惠杰.计算机信息安全技术及防护探析[J].信息与电脑(理论版),2016(09):181-182.
[5]孔昊.计算机信息安全技术及防护研究[J].科技视界,2016(19):239.
信息安全防护方法范文4
关键词:校园网;网络工程;信息安全
中图分类号:TP393.18 文献标识码:A文章编号:1007-9599(2012)04-0000-02
一、引言
随着信息技术的飞速发展,社会对计算机网络的依赖日益增强,人们在享受网络带来巨大利益的同时,也面临着网络管理方面的严峻考验,网络的设计不可避免的涉及到网络管理的方便性及安全性,网络管理包括网络技术的应用和网络安全的设计,尤其是对于高等学校而言,校园网的信息安全一直是被广大网络工作者忽视的环节之一,而高校校园网恰恰包含了诸多敏感的涉及安全事业的信息,因此,必须要加强对高校校园网的信息安全方面的应用研究。
本论文主要结合高校校园网的信息安全特点,对高校校园网开展信息安全网络设计与应用的分析探讨,以期从中能够找到合理有效且可靠的校园网信息安全网络应用方法和模式,并以此和广大同行分享。
二、我国高校校园网信息安全防护现状
我国高校现有的计算机安全防护管理措施,主要是借助于防火墙技术、路由器加密技术等措施实现对计算机系统的安全防护,但是究其本质而言,这些借助于外在设备而实现的计算机系统防护,只是在信息传输通道上实现了隔离、加密或者其他安全防护措施,并没有从本质上实现对计算机系统的安全防护,因此,从实际的应用来说,目前针对计算机采用的一些安全防护技术手段,主要存在以下几个方面的问题与不足:
(一)安全防护功能有限
这一类的安全防护技术手段,只能根据现有的各种信息安全漏洞有针对性的进行安全防护与管理,无法对未出现的安全漏洞进行预测和管理,总是出现一种信息安全威胁,就需要对系统进行一次补丁,即使是采用硬件技术实现信息隔离加密,也极易遭到别人的窃取,因此,现有的计算机安全防护技术其功能十分有限。
(二)安全防护成本高昂
为了构建全面的计算机安全防护系统,需要从各个不同方面、从信息传输的不同渠道构建,导致整个计算机安全应用管理系统需要配备十分多的仪器设备,有些网络设备成本十分高,进而导致计算机安全防护系统构建成本十分高昂。
三、高校校园网信息安全技术的应用
(一)校园网信息安全防护原则
1.物理隔离原则
由于很多高校的敏感信息不经维护,都极容易出现在校园网上传输,因此对于校园网的信息安全防护,首要的原则就是对信息安全进行物理隔离,只有实现敏感信息与公共教学信息的物理隔离,才能够有效防范黑客对敏感信息的窃取。
2.分域分级原则
在高校校园网内部,也需要对不同的管理部门设置不同的信息安全防护等级,对同一部门内的人员要设置不同等级的信息安全使用权限,从而有效的控制了高校校园网内部信息的安全应用。
3.信息流向控制原则
对高校校园网的信息传输和实行信息流向控制原则,也就是说,凡是的信息,其网络传输流向都必须有针对性的进行控制,同时还要注意避免高保密级别的信息禁止流向低保密级别,有效实现信息在不同流域内的流向控制。
(二)高校校园网安全防护网络体系构建
1.校园网信息安全网络构建
由于高校校园网涉及非常多的部门,传统的信息安全防护体系不一定能够完全适应高校校园网的信息安全需求,因此,必须结合高校校园网的信息安全需求构建立体的防护体系。如下图1所示,是针对高校校园网所设计的信息安全立体防护体系。
如上图所示,对校园网采用立体式信息安全防护,主要是从以下几个方面实施的:
①在校园网与外部网络之间架设硬件防火墙和软件防火墙,以确保校园网与外部因特网的物理隔离,从根本上保证信息的安全;
②在校园网内部交换机、WEB服务器、数据库服务器设置冗余备份模式,以防信息安全泄露之后所带来的信息丢失,确保信息在访问过程中的安全;
③对关键信息传输节点设置模拟攻击子系统,确保校园网信息传输过程中的可靠性和抵御风险的能力,从而保障了信息的安全。
(2)校园网信息安全保密框架设计
根据BMB17-2006和BMB20-2007的具体规定,在满足物理隔离与违规外联监控、边界防护与控制、密级标识与密码保护、用户身份鉴别与访问控制、电磁泄漏发射防护、安全保密产品选择、安全保密管理机构、安全保密管理制度和安全管理人员等基本测评项的基础上,依据“规范定密,准确定级;依据标准,同步建设;突出重点,确保核心;明确责任,加强监督”的指导思想,从物理安全、运行安全、信息安全保密、安全保密管理、产品选型与安全服务等方面,设计信息系统的安全保密防护框架。
(三)高校校园网安全防护技术应用措施
1.物理隔离
按照BMB17-2006标准,系统不得直接或间接连入互联网,应实现物理隔离。高校校园网电子信息系统为独立网络,与互联网物理隔离。在对单机上部署主机监控与审计系统,禁止使用非授权的外设端口。
2.密级标识
高校校园网应对信息系统中的文档类信息进行相应的密级标识。各产生国家秘密信息的部门,根据相关的国家秘密事项及其密级具体范围和保密期限的规定和每年确定的科研任务等密级范围规定,对产生的信息进行定密,并对相应的文件进行规范标密。
由于没有很好的办法防止密级标识被篡改,因此存在密级标识篡改的残余风险。安全保密办按照相关规定定期对信息系统中的电子文档从产生到销毁的全过程进行检查,督促不断规范定密、标密,对情节严重的违规行为进行处罚。
3.身份鉴别
应根据保护等级,具体依据BMB17-2006和BMB20-2007中的相应要求,至少从以下方面对信息系统的身份鉴别措施进行详细设计:
①用户终端、服务器、移动计算设备的启动;
②安全保密设备的启动、关机以及管理界面的登录;
③操作系统、应用系统的本地和远程登录;
④外来设备的系统接入。
设计方案通过部署统一身份认证系统,采用口令+USB KEY认证机制,审计信息系统内人员身份。
4.访问控制
高校校园网内部应该分区管理,分为区域和非区域,其中内部区域内均为单机,所以访问控制主要集中在系统层的访问控制,即使用带USB-Key身份认证系统实现本地的访问控制;通过审计系统与安全策略关闭端口、服务;所有用户终端和服务器系统禁止远程访问控制。
5.电磁泄漏防护
办公室、重要保密部位等地点的最小不可控距离都较短,存在较大的电磁泄露的风险。因此,通过部署视频干扰器、红黑隔离插座,来屏蔽电磁泄漏发射的发生。
其他的技术措施这里不一一赘述。
四、结语
随着我国对信息安全和网络安全应用的重视,高校网络信息安全一直是信息安全事业中的一块薄弱环节,因此,加强对高校校园网信息安全方面的研究,对于提高校园网信息安全防护的应用水平,是具有较好的指导意义的。本论文详细分析了高校校园网信息安全设计的基本原则,在此基础上从技术应用的角度给出了高校校园网信息安全的网络应用方案,无论是对于理论研究还是实际应用,本论文所提出的方案都是具有一定的实用性和应用价值的,因此是值得推广应用的。当然,关于高校校园网更多的信息安全应用技术的开发和应用,还有待于广大网络信息安全工作人员的共同努力,才能够最终实现我国高校校园网信息的安全防护应用。
参考文献:
[1]黄小华.智能化入侵检测与防御系统的设计实现[D].成都:电子科技大学,2005
[2]许兰川.构建办公信息网络安全防护体系[J].网络安全技术与应用,2004,(3):67-68
信息安全防护方法范文5
【关键词】智能电网;等级保护;信息安全
前言
进入新时代后,随着电力需求不断增长,智能电网逐渐应用到了人们的生活中,这也就使得其相关的信息安全防护得到了人们的广泛重视。因此,必须了解等级保护制度,并分析智能电网的信息安全防护模型,提高电网运行的效率与质量,从而为我国电力事业健康发展奠定良好基础。
1基于等级保护的智能电网总体防护模型
在设备功能方面,智能电网体系可以分为四个层次,即基础硬件层、信息通信层、感知测量层以及调度运维层,并且其信息安全主要涉及到物理安全、数据安全、网络安全以及备份恢复等方面[1]。物理安全指的就是通过物理措施避免智能电网中的存储设备、网络设备以及传感器等硬件设备出现入侵、破坏等问题;网络安全指的是合理划分智能电网的网络安全区域,并实现网络防病毒、纵向互联以及边界安全;而数据安全和备份恢复则是要做好访问控制与数据加密等工作。在安全技术层面,智能电网需要的是业务系统安全防御、实时防护、网络信任体系、基础设施安全保障以及新型密码等技术。智能电网在分析、落实以及扩展等级保护制度的基础上,形成了具备物理环境安全、边界安全、主机安全、网络环境安全、应用与数据安全等内容的全面信息安全防护模型。根据智能电网具备的特点,下面将对模型中的各部分内容进行详细阐述。
2物理环境安全
在等级保护制度中,物理安全的主要对象是机房,其指的就是在物理安全措施的实施下,保证机房中的相关设备可以安全、平稳运行。物理安全防护措施主要有合理选择机房建设地点,安装防盗、防火防潮、防雷击以及防静电等设施,冗余供电线路提供等。智能电网中的信息采集系统、配电自动化系统以及实时监测系统中使用的配电终端、智能表计以及采集、监测终端等设备,通常是安装在室外环境中,如输电杆塔、居民区等。因此,智能电网还应该做好室外环境安全防护工作。具体方法有提高室外机柜的安全性、安装监控警告设备、实施电磁防护措施以及增加室外机柜的灾害防御能力。结合等级保护制度的要求,可以通过合理划分区域及物理措施实施等方法,对机房进行有效安全防护。
3网络环境安全
在等级保护制度中,网络安全的对象主要有系统网络结构、网络信息流、网络设备、数据流以及网络边界等,而防护措施则是过滤数据流内容、检测恶意代码、网络分段以及设备安全审计等。目前,智能电网逐渐向着用户侧发展,网络结构变得更加复杂,网络协议与通信方式也变得多样化,尤其是在应用方面,由于无线网络具有接入便利和灵活等特点,这使得其在用户侧、线路监测以及配网等方面都得到了广泛应用。因此,必须提高智能电网网络结构的安全性与可靠性。目前,我国电力通信网络已经分成了两大区域,即生产控制区域管理信息区,而这两个区域之间主要是通过单项隔离装置来实现数据信息的交互。为了保证网络环境安全,应该从无线网络、网络协议以及网络设备三方面入手。①应该做好无线公共网络的传输安全防护。在使用3G、CDMA以及GPRS等无线网络进行数据传输时,应该通过身份认证、无线虚拟专网以及传输加密等方法保证传输的安全性,以此来提高数据信息的完整性与保密性。②对生产控制区的网络协议做好安全防护。通过对“震网”病毒的研究可知,在系统内部网络中,即使实施了物理隔离措施,其在一定程度上仍会遭到病毒攻击。当前,智能变电站中应用的通信协议在身份认证方面还存在不足。因此,为了有效应对其带来的安全风险,应该扩展原报文,并将消息认证码与安全认证码融入其中,以此来提高通信报文的完整性、保密性。③在网络设备方面,应该严格遵守等级保护制度的基本要求,并在这一基础上,增加安全审计和身份鉴别等功能。安全审计功能指的就是审计相关管理员的实际操作,并及时关闭不必要的网络服务与端口。身份鉴别则可以采取对同一设备用户标识进行限定、禁止多人使用一个账号、增加认证口令复杂度以及对默认用户名进行强制修改等措施[2]。
4边界安全
在等级保护制度中,主要是通过访问控制、恶意代码防范、攻击行为检测以及非法链接阻断等方式,来对边界安全进行有效防护。智能电网只有在遵循等级保护要求的基础上,及时检测并阻断信息管理区内部的非法网络行为,并有效审核、监控计算机的状态,才能提高边界的安全性。结合通信网络分区的特点,边界可以分为第三方网络、纵向网络以及横向区域三种。在使用采集、智能、移动作业以及监测终端进入内部网络时,边界可以通过安全接入系统来发挥集中监管、安全审计、身份认证以及数据安全检测等功能。同时,还可以通过防火墙与访问控制的设置,提高数据信息传输的安全性。另外,还能够通过入侵检测或者是防御系统来检测、警告并防御相应的攻击行为,并和防火墙联动起来,对攻击进程和相应的网络服务进行及时阻断,从而为边界安全提供有力保障。
5应用、数据安全
在智能电网安全防护中,密码技术发挥着重要作用,其不但可以对重要信息进行加密,还具有系统安全、身份验证以及数据签名等功能。因此,在构建安全防护系统时,必须合理利用密码技术,提高数据信息的安全性、确证性以及完整性,避免假冒伪造或者是篡改等问题的出现。在对访问控制、信息存储与传输安全进行综合考虑的基础上,智能电网可以采取信息摘要和文件加密等方法,为数据传输、存储等提供有力安全保障。同时,还可以建立PKI平台,并通过统一、安全认证授权体系与一体化的服务,保证数据信息传递的安全性。另外,还可以将全部用户信息统计到相应的管理系统中,提高身份认证的效率与质量,从而促进智能电网平稳运行。
6主机安全
对于恶意代码,可以通过将相应防范软件或者是防护系统安装在主机中的方法进行防范。在主机安全方面,智能电网可以通过对入侵防范、安全审计以及身份鉴别等的细化,来保证桌面终端与电脑服务器的安全。以安全审计为例,应该在充分了解智能电网整体的运行情况与效率的基础上,通过第三方审计产品的运用,对数据库用户操作与操作系统进行合理设计。审计内容主要有用户重要操作、设计策略改变、权限调整、审计功能开关记录以及用户增删等[3]。
信息安全防护方法范文6
关键词:信息安全;计算机信息安全;自我保护
1个人计算机信息安全问题的根源
在实际的生活过程中,最重要的就是保证信息安全,对于个人计算机来说,信息安全主要就是在使用过程中不出现入侵、干扰等问题。然而在计算机的实际使用中,容易出现计算机被侵入、数据泄漏等信息安全的问题,最容易出现问题的几个方面有:1.1系统的安全漏洞计算机信息安全出现问题主要的一部分原因还是在于系统上出现安全漏洞,很多的安全软件不能完全的保证计算机是安全的,很多时候,计算机在设计过程中产生的缺陷都有可能影响计算机的使用,但是这种情况又是没有办法避免的,所以及时消除可能的系统安全漏洞是至关重要的。
1.2计算机病毒的危害
计算机中病毒也是一项安全漏洞,目前病毒的种类有成千上万种,病毒一量入侵到计算机中,极易造成计算机的瘫痪,程序遭到破坏,数据丢失,甚至财产的损失,病毒的危害巨大。对于病毒的清理又是很麻烦的,通常防病毒软件主要针对的是已知的病毒及其特征进行防护,但是还是存在着很多棘手的病毒问题,例如病毒变种及新病毒的出现都会对现有的计算机系统造成破坏,例如今年以来爆发的勒索病毒。
1.3黑客的攻击
计算机除了有病毒进行入侵之外,最常见的就是黑客对计算机的入侵,黑客的攻击也分为两种:主动型的和被动型的。无论是哪一种的攻击都会对计算机产生不同程度上的危害。黑客通过自己的不法手段对个人计算机中的数据信息进行收集和利用,对个人用户造成威胁。
1.4信息泄露信息泄露是指信息被泄露给未授权的实体,泄露的形式主要包括窃听、截收、信道攻击和人员疏忽等
个人信息上的泄露,不法分子可能会通过这些信息对用户进行一定程度上的威胁,比如说盗取钱财等等,很多的黑客就通过对个人用户信息的窃取,来对用户进行诈骗,目前出现的这类案例数不胜数。
1.5非授权访问
对计算机没有经过个人使用权的操作访问都是非授权访问,最常见的就是蓄意攻击办公电脑、非法获取访问权限、窃取私密数据和文件、篡改网页内容等等。这样非授权的对个人用户计算机的访问属于违法的行为,但是还是有很多的黑客在对个人用户的计算机进行这样非法的访问,为了自己的利益,做违法的事情。
1.6人的因素
计算机的使用依靠的主体就是个人本身,在计算机的使用过程中,可能会因为个人用户的自身疏忽或者失误,造成信息的泄露,这种情况发生的次数也是很多的,所以信息的泄露和安全问题和个人本身也是有着直接关系的,人的因素是信息安全问题的最主要的因素之一。
2个人计算机信息安全防护措施
2.1计算机信息安全管理层面的防护措施
在对个人计算机安全的防护上,可以从保证计算机的载体、传输和使用上的安全来采取有效措施。在这三个方面进行一定程度上的严格把控,才能从根本上解决问题,才能保证整个计算机能够按照正常的方式进行使用,为此,应该从以下几个方面来加强计算机信息安全管理的防范措施:(1)首先,在个人计算机的安全防护的主要任务就是要加强个人用户对信息安全的管理意识。如果要对个人计算机的信息进行防护,那么必须提高个人对信息安全防范的意识,才能在使用的过程中自觉加强信息安全防护。对自己的计算机进行一系列的安全加固,才是防止出现安全问题最主要的任务,所以信息安全防护,意识先行。(2)其次,要强化对个人的计算机信息安全的管理。强化计算机安全管理可采取建立多级安全层次、安全级别和分层管理、建立入网访问权限与控制、建立网络权限控制模块、分级计算机用户操作权限、建立信息加密制、设定网络服务器锁定控制、防火墙安装、登陆时间控制等措施、建立健全信息安全防护体系。(3)制定详细的管理制度。对自己的上网方式和上网网页进行的安全管理,不访问未进行过安全认证的网站等,还可以通过使用相关安全软件对上网行为进行管控和防护。(4)加强学习,不断学习新技能,提高安全防护能力。通过学习最新的安全防护理论及技术,不断实践,在实战中锻炼应对安全攻击的能力,还不断提升自己安全方面的实际技能,防止出现信息的泄露问题等安全问题。
2.2计算机信息安全技术层面的防护措施
2.2.1个人计算机用户需要养成良好的操作规范
(1)要对自己所有私密的信息文件进行设置密码,这种密码最好是比较复杂不容易破解的,最主要的就是在设定密码之后,要不定时的对密码进行更改,这样才能防止密码出现泄漏。(2)如果自己或者公司比较私密的文件最好是不要放在计算机当中,虽然会有密码进行防护,但是如果密码被破解,还是会对文件造成一定程度上的破坏和泄漏。(3)对系统进行安全防护,比如对计算机系统进行及时升级和进行补漏洞等操作。(4)在浏览器的使用上,要保证浏览器的更新性,常常更换浏览器可以在一定程度上保证自己的网上信息不被泄露。(5)必须对计算机安装可靠的杀毒软件并及时更新。
2.2.2保证系统软件的可靠性
通过正版软件的安装可以在一定程度上保证计算机的信息安全,除此之外,还要对计算机进行一系列的技术处理,比如关闭远程控制桌面、网络共享等一些可能存在安全风险的使用和操作。
2.2.3使用防火墙和计算机反病毒技术
在计算机中使用防火墙,最常见的就是安装计算机反病毒技术的防火墙,这项技术可以在一定程度上防止信息的泄露,也是目前比较有效的信息安全防护方法。
3结束语
个人计算机信息的安全已经是目前最值得关注的问题,如果能够较好地解决这个问题,就能够更好地方便人们对计算机的使用,减少因安全问题导致的损失。通过对上述的归纳分析和研究,我们发现计算机安全问题可以经过仔细梳理找到了一些比较有用的解决方案,使得在计算机的应用过程中,采取有效的安全措施防止个人信息的泄露,保障安全。
参考文献
[1]罗细平.计算机信息安全问题成因及防御体系研究[J].科技资讯,2011(13).
[2]白光厚,刘伟,李夕平,陈爱业.浅析个人计算机信息的网络安全[J].硅谷,2011(04).
