時間:2023-03-16 15:40:15
導語:在軟件安全論文的撰寫旅程中,學習并吸收他人佳作的精髓是一條寶貴的路徑,好期刊匯集了九篇優秀范文,愿這些內容能夠啟發您的創作靈感,引領您探索更多的創作可能。
1.1網絡的設計理念
計算機網絡安全涉及到計算機技術中的各個方面,如網絡技術、通信技術、密碼技術等等。計算機網絡安全的標準是網絡中的硬軟件、系統的安全受到保護,在發生惡意侵入時不受破壞。在網絡剛產生時,人們對于網絡的要求側重于可用性以及其方便程度,那時對于網絡安全性的認識和重視度都不高。因為最初的網絡沒有遍布全球,主要是局域網,所以基本不存在網絡安全的問題,于是人們也沒有做必要的防護。后來網絡技術日漸進步,互聯網遍布全球,將世界聯系起來,網絡安全問題便逐漸成為不可忽視的重大問題。網絡具有關聯性的特征,所以在進行網絡上的操作時,很容易在安全方面受到威脅。目前的眾多網絡產品,也是基于基礎網絡協議進行發展開發的,與互聯網有著同樣的安全問題。
1.2網絡開放性
開放性是互聯網的最基本特征,互聯網的基本準則之一就是自由開放。目前我們使用的網絡,處于互聯網產生以來開放性最強的狀態。互聯網從最初的局域網發展成為今天的世界性的網絡,為的就是更加方便人與人之間的交流。網絡的開放性為廣大用戶提供了豐富的資源,但也在同時為黑客提供了可乘之機。網絡安全便成了開發者和用戶共同關心的核心問題。
1.3網絡的控制管理性
互聯網將世界聯系在一起,每個用戶都是網絡中的一個元素,個人計算機以及局域網都連接在公共網絡中。網絡具有的關聯性使得對網絡進行攻擊時,只需要對網絡中的關鍵點進行攻擊,就可以對整個安全系統造成影響,就能夠擊潰整個安全系統。互聯網中的關鍵點十分重要,若這個關鍵部位的安全保護做到位,互聯網的安全便有了保障。若關鍵點喪失了安全性,整個互聯網的網絡安全就難以維持。安全系統被破壞后,網絡運行環境就會變得復雜,缺乏可控性以及安全性。這對每個互聯網中的用戶都會造成嚴重的影響,輕則導致文件的丟失,重則造成金錢的損失。
2網絡安全威脅
網絡面臨著多方面的威脅,一方面在于網絡信息的威脅,另一方面在于網絡設施的威脅。網絡安全受到威脅的首要原因是人為的疏忽,在對計算機進行配置時,因為操作人員產生疏忽,產生安全漏洞,這樣便給了不法分子攻擊計算機的機會。用戶在對計算機進行設置時,沒有濃厚的安全意識,例如口令密碼設置不夠安全以及防火墻不能及時維護,這些因素都會給電腦帶來安全危害。網絡安全受到威脅的第二個原因是他人的惡意攻擊,其中包括兩個方面:第一,主動攻擊,這種方式是人為對數據流進行修改、延遲、刪除、插入以及復制的操作,通過這種操作讀計算機安全進行攻擊,主要是對信息進行篡改和偽造;第二,被動攻擊,這種方式是截獲信息,通過特殊手段監視或是偷聽信息,以達到信息截獲的目的,這種方法比主動攻擊較難發現。網絡安全受到威脅的第三個原因在于軟件漏洞,軟件的漏洞通常會成為黑客進行攻擊的主要目標,通過攻擊漏洞可以摧毀整個安全系統,除了軟件漏洞,開發人員在研發軟件時會留有一個“后門”,方便對軟件進行升級,這也容易成為黑客攻擊的對象。網絡安全受到威脅的第四個原因在于管理疏漏。
3基于軟件工程技術的網絡安全防御
3.1防火墻
防火墻可以在硬件上進行建設,它起到了分離器、分析器和限制器的作用。它在兩個網絡進行連接和通信的時候發揮作用,對信息進行過濾和控制。防火墻包括很多類型,應用型、檢測型和過濾型是最為常見的。使用防火墻,可以對內外網絡正常運行提供保障,但防火墻也存在一定的弱點,它無法阻止LAN內部的攻擊。
3.2訪問控制
訪問控制是通過對操作系統中訪問權限進行設置,限制訪問主體對訪問客體的訪問。訪問控制是通過軟件技術對網絡安全進行防御的主要手段,它通過對網絡資源進行保護,使網絡資源避免非法的訪問。訪問控制技術主要包括入網訪問控制、網絡權限控制、屬性控制以及目錄級控制等。
3.3殺毒軟件
病毒是主要以一個程序的方式存在和傳播的,也有些病毒是以一段代碼的形式。病毒運行后,會對計算機造成破壞,使計算機無法正常運行,嚴重的則會損傷計算機的操作系統,使整個系統崩潰,乃至使硬盤遭到損害。計算機病毒還有自我復制的功能,他們可以自身進行復制后,通過移動設備和網絡大肆傳播出去,感染網絡內開放的其他計算機,對其他計算機也造成破壞。對于計算機病毒的防治,可以分為幾個模塊,分別是病毒檢測、病毒防御和病毒清除。目前市面上有很多種類的殺毒軟件,選擇高質量并且及時更新的殺毒軟件,是十分重要的。安裝殺毒軟件后,要及時對電腦進行病毒掃描,檢測出病毒的存在后,要及時進行處理和清除,保障計算機不被病毒感染,達到保護計算機安全的目的。安裝好的殺毒軟件,不僅是對于一臺計算機安全的維護,也是對網絡安全的維護,殺毒軟件及時清除病毒,防止了病毒通過網絡傳播出去,造成大批計算機系統遭到破壞。
4結語
會議擬請公安、工業和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網絡與信息安全信息通報中心等部門擔任指導單位,同時將出版論文集,經專家評選的部分優秀論文,將推薦至國家核心期刊發表。現就會議征文的有關情況通知如下:
一、征文范圍
1. 新技術應用環境下信息安全等級保護技術:物聯網、云計算、大數據、工控系統、移動接入網、下一代互聯網(IPv6)等新技術、環境下的等級保護支撐技術,等級保護技術體系在新環境下的應用方法;
2. 關鍵基礎設施信息安全保護技術:政府部門及金融、交通、電力、能源、通信、制造等重要行業網站、核心業務信息系統等安全威脅、隱患分析及防范措施;
3. 國內外信息安全管理政策與策略:信息安全管理政策和策略研究,信息安全管理體制和機制特點,信息安全管理標準發展對策,網絡恐怖的特點、趨勢、危害研究;
4. 信息安全預警與突發事件應急處置技術:攻擊監測技術,態勢感知預警技術,安全監測技術,安全事件響應技術,應急處置技術,災難備份技術,恢復和跟蹤技術,風險評估技術;
5. 信息安全等級保護建設技術:密碼技術,可信計算技術,網絡實名制等體系模型與構建技術,漏洞檢測技術,網絡監測與監管技術,網絡身份認證技術,網絡攻防技術,軟件安全技術,信任體系研究;
6. 信息安全等級保護監管技術:用于支撐安全監測的數據采集、挖掘與分析技術,用于支撐安全監管的敏感數據發現與保護技術,安全態勢評估技術,安全事件關聯分析技術、安全績效評估技術,電子數據取證和鑒定技術;
7. 信息安全等級保護測評技術:標準符合性檢驗技術,安全基準驗證技術,源代碼安全分析技術,逆向工程剖析技術,滲透測試技術,測評工具和測評方法;
8. 信息安全等級保護策略與機制:網絡安全綜合防控體系建設,重要信息系統的安全威脅與脆弱性分析,縱深防御策略,大數據安全保護策略,信息安全保障工作評價機制、應急響應機制、安全監測預警機制。
二、投稿要求
1. 來稿內容應屬于作者的科研成果,數據真實、可靠,未公開發表過,引用他人成果已注明出處,署名無爭議,論文摘要及全文不涉及保密內容;
2. 會議只接受以Word排版的電子稿件,稿件一般不超過5000字;
3. 稿件以Email方式發送到征稿郵箱;
4. 凡投稿文章被錄用且未作特殊聲明者,視為已同意授權出版;
5. 提交截止日期: 2014年5月25日。
三、聯系方式
通信地址:北京市海淀區首都體育館南路1號
郵編:100048
Email:.cn
聯系人: 范博、王晨
聯系電話:010-68773930,
13717905088,13581879819
論文摘要:隨著互聯網技術的蓬勃發展,基于網絡和多媒體技術的電子商務應運而生并迅速發展。所謂電子商務通常是指是在全球各地廣泛的商業貿易活動中,在因特網開放的網絡環境下,基于瀏覽器/服務器應用方式,買賣雙方不謀面地進行各種商貿活動,實現消費者的網土購物、商戶之間的網交易和在線電子支付以及各種商務活動和相關的綜合服務活動的一種新型的商業運營模式。信息技術和計算機網絡的迅猛發展使電子商務得到了極大的推廠,然而由于互聯網的開放性,網絡安全問題日益成為制約電子商務發展的一個關鍵性問題。
一、電子商務網絡信息安全存在的問題
電子商務的前提是信息的安全性保障,信息安全,勝的含義主要是信息的完整性、可用性、保密險和可靠性。因此電子商務活動中的信安全問題主要體現在以兩個方面:
1、網絡信息安全方面
(l)安全協議問題。目前安全協議還沒有全球性的標準和規范,相對制約了國際性的商務活動。此外,在安全管理方面還存在很大隱患,普遍難以抵御黑客的攻擊。
(3)防病毒問題。互聯網的出現為電腦病毒的傳播提供了最好的媒介,不少新病毒直接以網絡作為自己的傳播途徑,在電子商務領域如何有效防范病毒也是一個十分緊迫的問題。
(4)服務器的安全問題。裝有大量與電子商務有關的軟件和商戶信息的系統服務器是電子商務的核心,所以服務器特別容易受到安全的威脅,并且一旦出現安全問題,造成的后果會非常嚴重。
2、電子商務交易方面
(1)身份的不確定問題。由于電子商務的實現需要借助于虛擬的網絡平臺,在這個平臺上交易雙方是不需要見面的,因此帶來了交易雙方身份的不確定性。攻擊者可以通過非法的手段盜竊合法用戶的身份信息,仿冒合法用戶的身份與他人進行交易。
(2)交易的抵賴問題。電子商務的交易應該同傳統的交易一樣具有不可抵賴性。有些用戶可能對自己發出的信息進行惡意的否認,以推卸自己應承擔的責任。
(3)交易的修改問題。交易文件是不可修改的,否則必然會影響到另一方的商業利益。電子商務中的交易文件同樣也不能修改,以保證商務交易的嚴肅和公正。
二、電子商務中的網絡信息安全對策
1、電子商務網絡安全的技術對策
(1)應用數字簽名。數字簽名是用來保證信息傳輸過程中信息的完整和提供信息發送者身份的認證,應用數字簽名可在電子商務中安全,方便地實現在線支付,而數據傳輸的安全性、完整性,身份驗證機制以及交易的不可抵賴性等均可通過電子簽名的安全認證手段加以解決。(2)配置防火墻。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能阻止網絡中的黑客來訪問你的網絡,防止他們更改、拷貝、毀壞你的重要信息。它能控制網絡內外的信息交流,提供接人控制和審查跟蹤,是一種訪問控制機制。在邏輯,防火墻是一個分離器、限制器,能有效監控內部網和工nternet之間的任何活動,保證內部網絡的安全。
(3)應用加密技術。密鑰加密技術的密碼體制分為對稱密鑰體制和公用密鑰體制兩。相應地,對數據加密的技術分為對稱加密和非討稱力日密兩類。根據電子商務系統的特點,全面加密保護應包括對遠程通信過程中和網內通信過程中傳輸的數據實施加密保護。一般來說,應根據管理級別所對應的數據保密要求進行部分加密而非全程加密。
2、電子商務網絡安全的管理策略
(1)建立保密制度。涉及信息保密、口令或密碼保密、通信地址保密、日常管理和系統運行狀況保密、工作日記保密等各個方面。對各類保密都需要慎重考慮,根據輕重程度劃分好不同的保密級別,并制定出相應的保密措施。
(2)建立系統維護制度。該制度是電子商務網絡系統能否保持長期安全、穩定運行的基本保證,應由專職網絡管理技術人員承擔,為安全起見,其他任何人不得介人,主要做好硬件系統日常借理維護和軟件系統日常管理維護兩方面的工作。
(3)建立病毒防范制度。病毒在網絡環境下具有極大的傳染性和危害性,除了安裝防病毒軟件之外,還要及時升級防病毒軟件版本、及時通報病毒人侵信息等工作。此外,還可將網絡系統中易感染病毒的文件屬性、權限加以限制,斷絕病毒人侵的渠道,從而達預防的目的。
(4)建立數據備份和恢復的保障制度。作為一個成功的電子商務系統,應針對信息安全至少提供三個層面的安全保護措施:一是數據在操作系統內部或者盤陣中實現快照、鏡像;二是對數據庫及郵件服務器等重要數據做到在電子交易中心內的自動備份;三是對重要的數據做到通過廣域網專線等途徑做好數據的克隆備份,通過以土保護措施可為系統數據安全提供雙保險。
三、電子商務的網絡安全體系結構
電子商務的網絡信息安全不僅與技術有關,更與社會因素、法制環境等多方面因素有關。故應對電子商務的網絡安全體系結構劃分如下:
1.電子商務系統硬件安全。主要是指保護電子商務系統所涉及計算機硬件的安全性,保證其可靠哇和為系統提供基礎性作用的安全機制。
2.電子商務系統軟件安全。主要是指保證交易記錄及相關數據不被篡改、破壞與非法復制,系統軟件安全的目標是使系統中信息的處理和傳輸滿足整個系統安全策略需求。
3.電子商務系統運行安全。主要指滿足系統能夠可靠、穩定、持續和正常的運行。
4.電子商務網絡安全的立法保障。結合我國實際,借鑒國外先進網絡信息安全立法、執法經驗,完善現行的網絡安全法律體系。
“我的信息安全嗎?”相信所有對信息技術有所了解的人都會存在這個擔憂。就我們所使用的IT設備而言,軟硬件的安全性將直接影響信息的安全。是否有什么手段來認定軟硬件的安全性呢?答案是肯定的,那就是對其進行安全認證。
多年來,嘉興市辰翔信息科技有限公司致力于IT軟硬件安全檢測認證,憑借著國際一流的技術,為IT軟硬件“蓋”上了信息安全的“合格章”。
權威認證覆蓋全球
據國家工信部的《2013年電子信息產業統計公報》顯示,我國2013年電子信息產業銷售收入總規模達到12.4萬億元,同比增長12.7%。在信息安全日益受重視的今天,這意味著巨大的安全認證市場。就全球而言,反病毒軟件的檢測認證市場銷售規模在2億人民幣左右,而安全硬件提供商全球多達幾萬家,銷售額至少在幾百億人民幣。檢測認證行業作為IT軟硬件方案服務提供商的服務商,市場前景巨大。如此大的“蛋糕”,此前一直被AV-TEST、ISCA LABs、Virus Bulletin等幾家巨頭壟斷。
為了打破國外檢測機構對計算機安全軟硬件檢測壟斷的局面,辰翔科技通過多年來的理論研究和實踐應用研發了一系列符合計算機安全技術潮流發展的檢測技術和認證標準,并在一些關鍵的技術環節大量應用了新的檢測標準和檢測技術,是大中華區唯一專業從事計算機安全軟硬件測試認證的公司,也是公安部計算機病毒應急響應中心的合作伙伴和唯一具有公安機關病毒分析備案的公司。除了自行研發外,辰翔科技還通過與國內高等院校的合作,研究如何將病毒流行度指標應用在計算機安全檢測之上,相關論文也已經在國際會議上發表。另外,其關于計算機安全軟硬件檢測的專用認證標志已經在歐盟、美國和大陸成功注冊。
辰翔科技作為全球主要的安全軟件檢測認證服務提供商,客戶基本已經涵蓋主要的殺毒軟件提供商。值得一提的是,在手機Android操作系統安全測試領域,公司已經基本實現壟斷。除了手機端的安全認證外,辰翔科技還與美國微軟總部合作研發Windows安全認證體系。目前辰翔科技在全球安全軟件測試認證行業主要競爭對手有6個,目標客戶覆蓋率基本達到國外同行水平。未來,辰翔科技將以電源產品作為切入點,進一步開展通用IT硬件(如CPU、內存、音響制品、顯示器等)與安全硬件(如嵌入式反病毒硬件,硬件防火墻,郵件過濾器等)的檢測認證工作。
打造全方位“防御體系”
通過從計算機軟件到硬件,再加上手機與網站的安全測評,辰翔科技打造了一個全方位的安全防御圈。
安全軟件測試
通過測試安全軟件的多層防御能力來判斷安全軟件的綜合防御能力。關鍵技術在于多層實時檢測技術,傳統的安全軟件檢測比較單一、一般都只檢測安全的一個參數值,比如病毒的查殺率,誤報水平等,而辰翔科技對測評體系進行了升級,擺脫單一功能檢測無法反映軟件綜合性能的缺失,目前已經基本運用到日常檢測認證中來。
云安全檢測認證
辰翔科技采集最新最全的病毒樣本,運用高性能的爬蟲系統,通過大量的新出現的病毒和常用軟件來判斷云安全軟件對未知病毒的響應能力、白名單庫的收集能力和誤報水平、云安全技術的穩定性判斷,在國內率先提出了云安全檢測技術的思路和測試基本框架。
手機安全軟件檢測認證
通過手機操作系統模擬器或真機來模擬或者重現手機安全軟件在各系統上的運行情況,包括對病毒的檢測查殺能力、常用功能的比較和不同病毒對手機用戶的危害。目前,辰翔科技建立了一套完整的病毒分析流程,可以為殺毒軟件公司提供分析支持和軟件配套服務。
軟件安全性評估
通過代碼和行為分析判斷軟件是否具有惡意行為,對驗證無惡意行為的軟件頒發認證標志。
非安全軟件類軟硬件檢測認證
通過輔助軟件對同類通用軟件和硬件進行性能評估和檢測認證,對達標產品相對應的認證標志。通用軟硬件的測評和認證將由辰翔科技和中國計量學院、浙江質監局共同進行研發,遠期將提供市場準入認證和產品改良服務。
網絡掛馬釣魚分析系統的建立和網站認證
【關鍵詞】網站服務器;安全維護
隨著校園網絡環境的不斷改善和圖書館網絡技術的飛速發展,依托校園網的各類資源也日益豐富和完善。為了確保信息系統的穩定運行,必須全面細致的進行服務器的管理和維護工作,一點點小的疏忽都可能會導致嚴重的后果。
1.網站服務器安全維護內容
為確保網站服務器的正常運行及使用應及對服務器進行及時的更新,及時對服務器上各種應用程序的安全補丁、安全隱患進行合理配置,及時修補服務器的安全漏洞,并及時解決服務器的相關不安全因素,通過這些手段使服務器的安全風險降底到最小。對網站服務器進行定期安全性設置、檢查,對服務器上系統存在的各種木馬、后門進行全面防御,讓所有系統級、內核級感染的惡意黑客軟件都無法正常使用,從而保障主機的安全穩定運行;避免網站服務器發生不安全的現象。具體的維護內容包括網站安全評估、網站安全檢測、網站安全加固、網頁木馬檢測、網頁病毒清除、網站中毒解決方案、防sql注入、sql漏洞、清除木馬、去除惡意代碼、木馬檢測、木馬檢測工具、流氓軟件清除、清除惡意軟件、清除木馬、網站程序漏洞修復、數據庫漏洞處理、數據庫漏洞加固、防數據庫木馬注入、網頁病毒處理、掛木馬、網站掛馬、惡意代碼清除、網站安全、病毒處理、病毒清除、病毒防范。本地帳戶系統維護,包括帳戶開通、停用及密碼更改、本地日志維護、審計。本地安全策略維護,包括安全策略的啟用、停用流量、服務及性能監控信息檢查、系統配置維護、系統配置及注冊表備份、故障排查與處理、系統崩潰狀況下的系統重裝及配置恢復、軟件安全隱患排除、服務器系統木馬防御。
2.網站服務器的維護技巧
2.1 終端服務器及固件出現故障
如果終端服務器以前工作正常而突然所有端口都不能工作,重新開啟后仍然不行,要檢查是否發生此類故障。這類故障大多可以通過機器前面板的指示燈如Alarm、Ready、Power等顯示出來。例如Ready指示燈不斷閃動,或Alarm燈持續亮,或者電源有電而Power燈不亮。此外當健入命令有誤而不能恢復到提示符狀態,也屬這種情況。這時用戶須和廠家技術人員聯系維修,自己不要拆卸機器。
2.2 賬號和密碼保護
在很多時候一臺服務器不僅運行了網站的應用,而且還會運行許多服務器和流媒體服務器之類的網絡服務。在同一臺服務器上使用多種網絡服務很可能造成服務之間的相互感染。這也就是說攻擊者只要攻擊一種服務,就可以運用相關的技能攻陷其他使用。因為攻擊者只需要攻破其中一種服務,就可以運用這個服務平臺從內部攻擊其他服務,一般來說,從內部執行攻擊要比外部執行攻擊方便得多。賬號和密碼保護可以說是系統的第一道防線,目前網上的大部分對系統的攻擊都是從截獲或猜測密碼開始的。一旦黑客進入了系統,那么前面的防衛措施幾乎就沒有作用,所以對服務器系統管理員的賬號和密碼進行管理是保證系統安全非常重要的措施。
2.3 監測系統日志
通過運行系統日志程序,系統會記錄下所有用戶使用系統的情形,包括最近登錄時間、使用的賬號、進行的活動等。日志程序會定期生成報表,通過對報表進行分析,你可以知道是否有異常現象。
2.4 關閉不需要的服務和端口
服務器操作系統在安裝的時候,會啟動一些不需要的服務,這樣會占用系統的資源,而且也增加了系統的安全隱患。對于假期期間完全不用的服務器,可以完全關閉;對于假期期間要使用的服務器,應關閉不需要的服務。另外,還要關掉沒有必要開的TCP端口。
2.5 禁用與設備運行、維護等工作無關的服務
操作系統在安裝后都會默認開啟一些服務進程,其中許多的服務都是與設備運行和維護無關的。這些開啟了卻不使用的服務,由于存在著很多安全漏洞,就往往成為黑客訪問或破壞系統的入口點。為此應該在不影響系統的正常使用和維護的前提下,禁用與設備運行、維護等工作無關的服務。
2.6 做好數據備份
為防止不能預料的系統故障或用戶不小心的非法操作,必須對系統進行安全備份。除了對全系統進行每月一次的備份外,還應對修改過的數據進行每周一次的備份。同時,應該將修改過的重要系統文件存放在不同的服務器上,以便出現系統崩潰時,可及時地將系統恢復到正常狀態。俗話說:“有備無患”,雖然大家都不希望系統突然遭到破壞,但是做好準備是必須的。作好服務器系統備份,萬一遭破壞的時候也可以及時恢復。
3.結束語
綜上所述,服務器在圖書館網站建設中具有舉足輕重的地位。各高校圖書館應根據其具體情況選擇合適的服務器。管理維護好它,這樣才能更好的建設圖書館網站。更深入地開展圖書館網上信息服務。
參考文獻
關鍵詞:會計電算化 內部控制 內部審計
會計電算化,是把以電子計算機為代表的現代化數據處理工具和以信息論、系統論、控制論、數據庫以及計算機網絡等新興理論和技術應用于會計核算和財務管理工作中,以提高財會管理水平和經濟效益,進而實現會計工作的現代化。會計電算化對事業部門內部控制制度產生深刻的影響, 對事業單位內部控制制度提出了新要求。環境的改變必然要求有新的內部控制系統與之相匹配, 以全新的方法去建立一套行之有效的內部控制系統已是形勢所需。
一、會計電算化對內部控制的影響
內部控制制度是企事業單位在會計工作中為維護會計數據的真實性、業務經營的有效性和財產的安全完整而制定的各項規章制度、管理方法等的總稱。會計電算化使事業單位內部控制制度發生深刻變化,具體體現為:
(1)內部控制環境的變化
事業單位計算機處理會計和財務數據后,單位的會計核算環境發生了很大的變化,會計部門的組成人員從原來由財務、會計專業人員組成,轉變為由財務、會計專業人員和計算機數據處理系統的管理人員及計算機專家組成。會計部門不僅利用計算機完成基本的會計業務,還能利用計算機完成各種原先沒有的或由其他部門完成的更為復雜的業務活動,如銷售預測、人力資源規劃等。
(2)控制方式發生改變
計算機系統的內部控制也由單一人工控制轉為人工和程序共同控制。例如,從前應由會計人員處理的有關業務事項,現在可由其他業務人員在終端機上一次完成;以往應由幾個部門逐步完成的業務事項,現在能集中在一個部門甚至由一個人完成。實行會計電算化后,單位的內部控制是由會計人員通過會計軟件實施的,由會計人員和計算機來共同完成。
(3) 內部控制的重點發生變化
實現會計電算化后,會計數據一般都集中由計算機數據處理部門進行處理,而財務部門人員往往只負責原始數據的收集、審核和編碼,并對計算機輸出的各種會計報表進行分析。這樣,會計系統內部控制的重點就由對人的控制為主轉變為對人、機控制為主。
(4) 內部控制的范圍發生變化
傳統的內部控制主要針對交易處理。計算機技術的引入,給會計工作增加了新的工作內容,同時也增加了新的控制措施。由于系統建立和運行的復雜性,內部控制的范圍相應擴大,包含了傳統手工系統所沒有的控制,如網絡系統安全的控制、系統權限的控制、修改程序的控制等,以及磁盤內會計信息安全保護、計算機病毒防治、計算機操作管理、系統管理員和系統維護人員的崗位責任制度等。
(5)會計檔案發生變化
由各種紙質的原始單據、憑證、賬簿、報表變為打印輸出的各種憑證、賬簿、報表和存儲在計算機軟盤、硬盤或其他介質中的會計數據。
二、會計電算化對事業單位內部控制制度的新要求
會計電算化使事業部門內部控制制度發生深刻變化, 對事業單位內部控制制度提出了新要求,具體體現為:
1. 要確保原始數據操作的準確度
在電算化會計中, 確保輸入數據的精確度是最基本的前提。電腦中的原始數據必須是由人工事先進行審核和輸入計算機的, 一旦原始數據在輸入中發生錯誤, 計算機無法識別, 只會將錯就錯地進行各種計算工作。正因為會計電算化的這一固有弱點, 所以對內部控制提出了一些新的具體要求: 一切數據的處理方法和過程都必須規范化, 并保持準確性和相對的穩定性, 這樣才能保證會計信息質量的真實性、完整性和準確性。為保證機房設備的安全, 計算機的正常運行, 會計數據和會計軟件的安全保密, 對應用計算機的單位, 要求制訂硬、軟件管理制度, 修改會計核算軟件的審批和監督制度。
2.要制定嚴格的操作管理制度
嚴格的操作管理制度,也是會計電算化對內部控制提出的新要求。電算化功能和知識的高度集中導致了職責的集中, 特別是會計人員的職能開始從核算型向管理型轉移。某些人員既可從事數據的輸入, 又可負責數據的輸出和報送;未經授權的人員有可能通過計算機和網絡瀏覽全部數據文件,復制、偽造、銷毀單位重要的數據。
3、規范檔案管理制度
手工條件下,會計數據和信息記錄在紙介質的單、證、賬、表上,修改困難,修改會留有明顯痕跡,從而便于查證、控制。實行了電算化會計后, 傳統手工會計系統下的有形記錄大為減少, 憑證、經濟業務事項的說明和賬簿等大多要依賴計算機方可錄入、閱讀或查詢,而且眾多信息都轉化為數字形式存儲在磁(光)介質上,因此極易被篡改甚至偽造而不留任何痕跡。另外,電磁介質易受損壞,所以會計信息也存在丟失或毀壞的危險。因此,如何使磁性介質上的數據安全可靠、防止數據被非法修改是一個非常重要的問題。
4、網絡環境下的網絡控制能力
網絡技術無疑是目前IT發展的方向,電算化會計信息系統也不可避免受到其深遠的影響,特別是Internet在財務軟件中的應用對電算化會計信息系統的影響將是革命性的。網絡的廣泛應用在很大程度上彌補了單機電算化系統的不足,使電算化會計系統的內控制度更加完善。
三、加強事業單位會計電算化條件下內部控制制度的措施
會計電算化系統的內部控制是一項范圍大、程序復雜的系統工程,完善事業單位會計電算化系統內部控制的具體措施主要體現為:
1、加強對會計電算化的重視
《內部會計控制規范》規定“單位負責人對本單位內部會計控制的建立健全及有效實施負責”因此,要保證會計電算化內部控制的事實,首要問題就是要求各級領導加強對會計電算化的重視,自覺強化對電算化內部控制的認識,更新管理觀念。會計電算化內部控制的執行程度很大程度上取決于領導層對會計電算化的重視程度。只有領導管理層真正認識和重視會計電算化內部控制的重要性,才能夠以身作責,從上到下組織力量去認真貫徹和執行,才能充分發揮會計電算化信息系統內部控制作用。
2、會計數據準確性控制
首先, 控制數據輸入的準確性與可靠性。事 業單位可以建立起一整套內部控制制度以便對輸入的數據進行嚴格的控制,保證數據輸入的準確性。數據輸入控制要求輸入的數據應經過必要的授權,并經有關的內部控制部門檢查;同時可以采用各種技術手段對輸入數據的準確性進行校驗,如總數控制校驗、平衡校驗、數據類型校驗、重復輸入校驗等。
其次,控制輸出數據的完整性與準確性。數據輸出控制是單位為了保證輸出信息的準確、可靠而采取的各種控制措施,包括輸出數據正確性控制與輸出結果的處理、分發控制。
3、會計操作系統的安全控制
這項控制是為了保證計算機系統的運行安全, 保證機房設備的安全, 保證會計數據和會計軟件安全保密, 避免由于外部環境因素導致系統運行錯誤的不安全隱患。其內容主要包括接觸控制、實體安全控制、硬件安全控制、軟件安全控制、病毒的防范與控制等。
接觸控制是為了保證非系統維護人員不得接觸到程序的技術資料、源程序和加密文件,以減少程序被修改的可能性。實體安全控制涉及到計算機機房的環境、光和磁介質等數據存儲體的存放和保護。硬件安全控制要求硬件設備的質量必須有充分保證,為防萬一,關鍵性的硬件設備可采用雙系統備份。
4、會計操作人員的權限與職能控制
為建立相互監督和相互制約的機制保障會計信息的真實、可靠,需要從制度上對操作人員的工作職責和工作權限加以規定, 制訂相應的組織和管理控制制度, 明確職責分工, 加強組織控制, 實現操作人員職能控制制度的創新。會計電算化所要求的完善的人員職能控制制度就是職責分工。首先是將會計電算化部門與用戶部門的職責相分離, 明確規定每個崗位的職責, 以防止對處理過程的不適當干預。
5.加強內部審計
內部審計通過檢查、評價內部控制的健全、有效程度,來促成建立好的控制環境,它是單位內部控制系統的重要組成部分。電算化內部審計是內部會計控制的一種特殊形式,在會計電算化中,由于是會計人員操作電腦進行大量數據運算,因而對內部審計提出了更高、更嚴格的要求, 主要包括: 對會計資料定期進行審計, 審查機內數據與書面資料的一致性, 監督數據保存方式的安全、合法性以及對系統運行各環節進行審查等。加強內部審計,可以對不妥或錯誤的賬表處理進行及時調整, 可以監督數據保存方式的安全性、合法性, 防止發生非法修改歷史數據的現象, 對系統運行各環節進行審查, 防止出現漏洞。
6.加強會計隊伍建設
高素質的會計隊伍是實施內部控制的關鍵,會計電算化系統的應用不僅要求會計人員具有良好的職業道德和專業素質,更要具有計算機操作技能,嚴格和規范系統操作,因此需要加強具有扎實的會計專業基礎,熟練的外語與計算機水平等綜合能力的高水平的復合型人才的培養。會計人員應持證上崗,并經常對會計人員進行計算機系統培訓,提高會計人員對電算化系統的認識和理解,了解會計電算化系統運行程序和內部控制制度,加強會計電算化警戒教育和日常操作技能,對電算化會計信息樹立良好的思想認識和風險防范意識,減少人為操作和系統運行出錯的可能性。
參考文獻:
1、 加強事業單位會計電算化條件下內部控制制度芻議 薛康蓉 沿海單位與科技 2007(8) 129-130
2、 淺談會計電算化條件下的內部控制制度。秦華 財會月刊 2006(2)77-78
【 關鍵詞 】 新版ISO27000;軟件行業;信息安全管理體系;PDCA模型
Based on the New ISO27000 to the Understanding of the Software Industry, Information Security
Wen Yan-ge Chen Wen-e Wang Gang
(Tianjin University of Commerce Tianjin 300134)
【 Abstract 】 The effective corporate security system will become the basic requirement of modern enterprise development. As the software industry, good information security system was the core of enterprise competitiveness. This article from the ISO27000 redesign is interpreted accordingly-the enterprise will how to adjust and improve their information security management system to the new standard and new control measures.
【 Keywords 】 the new iso27000; software industry; information security management system; the pdca model
1 引言
如今隨著信息化的步伐日益加速以及信息相關技術的飛猛發展,信息資源也日漸成為所有企業維持正常運轉的重要資源。信息以及載體信息系統、網絡等已經成為了企業生存和發展的重要資產。然而企業的信息安全和數據泄露仍然是企業管理者關注的主要問題之一。大部分企業基于企業實際情況,通過引入國際信息安全管理體系IS027000以及通過最佳的業務實踐,建立、實施、運行、監視、評審、保持和改進文件化的信息安全管理體系(即ISMS),實現對信息安全的預控、在控、可控、能控。
而隨著2013年的ISO27000的改版,各行各業勢必會根據自身信息安全的情況對信息安全體系作出調整。本文將針對軟件行業在調整下的信息安全管理體系下,如何更好地保持和改進信息安全體系作出解讀,使企業更好地依據標準體系和方法論,制定出符合企業長久發展的信息安全管理體系。
2 ISO標準
2.1 ISO標準及變化
ISO/IEC27000(Information Security Management System Fundamentals And Vocabulary)是信息安全管理體系基礎和術語,ISO/IEC 27000提供了ISMS標準族中所涉及的通用術語及基本原則,是ISMS標準族中最基礎的標準之一。最新版本于2013年9月25日。
相對于2005版,新版本對于ISMS建立的基礎進行了調整和明確,相較于2005年版本以資產和技術為主題,新版標準則把更多的目光投向組織業務關系,更多地考慮到組織自身及利益相關方的需求,這也是時展的整體趨勢。新版控制措施ISO27002從舊版的11個領域更新為14個領域,刪除了舊版中一些重復的和操作級的控制項。具體是舊版通信與操作管理被劃分成為兩個獨立的領域操作安全和通信安全,足以見新版對這兩個領域的重視;新增密碼學和供應關系兩個獨立領域。新版ISO27001將舊版中4.1章節即有關建立和管理ISMS的總要求獨立成出來;為了使邏輯性更加嚴謹,人力資源安全、資產管理以及訪問控制位置發生一定改變;從章節上講,由8個章節拓展到10個章節,重新構建了ISO標準PDCA的章節構架。
2.2 關于PDCA模型
此處對于PDCA模型以及新版標準的劃分做一簡單說明:PDCA模式是國際認可的模型,很多著名的標準和管理體系都遵循這一模式。該模型是一個很好的周期性框架,每個階段都與其他階段相關聯。
PDCA模型分別由四部分組成:P(Plan)――建立ISMS, 根據組織的整體策略和目標,確定活動的計劃,包括第四至七章(組織背景、領導力、計劃、支持);D(Do)――實施和運作ISMS,實際地去完成計劃中的內容,包括第八章(運行);C(Check)――監視和評審ISMS,總結實施和運作的結果,查找問題,包括第九章(績效評價);A(Action)――保持和改進ISMS,對評審的結果做出處理,成功的經驗要進行保持和推廣,失敗的教訓要尋找原因,避免下次再出現同樣的錯誤,沒有解決的問題放到下一個PDCA循環中,包括第十章(改進)。
PDCA模型是管理學中常用的一個模型。該模型在運作過程中,按照P-D-C-A 的順序依次進行,一次完整的循環可以看作是管理學上的一個管理周期,每經過一次循環,管理情況就會得到改善,同時進入更高的P-D-C-A周期循環,組織的管理體系不斷的得到提升,管理水平也不斷提高。而這四個步驟成為一個閉環,通過這個環的不斷運轉,使信息安全管理體系得到持續改進,使信息安全績效螺旋上升。
新的內容將使企業的側重點不同,從上面的論述中明顯可以看出新標準在企業建立信息安全體系之前加重了對企業內外環境信息安全的重視,在構建信息安全體系之前需要企業全方位考慮其組織環境、企業資源、管理現狀,了解其發展所面臨的機遇與風險,從而高標準、高精度、高要求來對待信息安全管理工作。
對于軟件行業來說,信息安全體系已初步建立和實施,主要是監視評審并持續改進自身信息安全體系的工作――PDCA模型的C和A。
3 軟件行業信息安全現狀及新標準變化下應對策略
軟件行業是對信息安全要求最高的行業,也是企業引入國際信息安全管理體系IS027000通過認證最多的行業。前面已經提到,軟件行業已經初步建立和實施自己的信息安全體系,面對新版ISO27000的要求,大刀闊斧地重新開始構建體系勢必會給企業帶來大的浪費和困擾。因此,在新的要求下如何監視并改進ISMS是軟件行業中企業面臨的最大的問題。ISO27001新標準中把舊版4.1獨立成章作為建立體系之前的組織環境的了解,將原來的領導力、可實現信息安全的計劃、資源等的支持都放入構建ISMS之前,也就是說軟件行業在監控并改進信息安全管理體系上要從這些方面完善自身。而這些方面在其信息安全管理措施上簡單歸納為兩個方面:管理和技術。企業需要通過管理和技術的雙方面進行控制和管理來改善信息安全體系。
3.1 管理角度分析
從管理角度考慮,企業信息安全管理體系中所需采取的安全管理方面的措施主要包括物理安全管理、數據安全管理、人員安全管理、軟件安全管理、運行安全管理、系統安全管理、技術文檔安全管理,通過對風險的技術性控制和管理的實施、部署后,在風險控制管理中能保證防御大量存在的威脅,技術性的控制管理手段不僅包括從簡單直至復雜的各種具體的技術手段,還包括系統架構、系統培訓以及一系列的軟件、硬件的安全設備,這些措施和方式應該配套使用,從而保護關鍵數據、敏感信息及信息系統的功能。而這些也是ISO27001中第四章組織的背景、第五章領導力、第六章計劃、第七章支持對企業的具體要求。
主要管理措施可以從幾個方面出發。
(1)建立信息安全管理體系監督機制、在體系運行期間,要進行有效的檢查、監督、反饋和溝通,保證信息安全管理體系能夠按照公司制訂的方針策略,滿足公司業務的需求。
(2)根據企業自身的特點,制訂可行的獎懲制度,將信息安全的管理納入到績效考核,直接與工作和獎金掛鉤,將對違反信息安全管理體系規定進行懲罰。
(3)建立內部審核制度,各部門應按照信息安全管理體系的要求,進行自查和由負責部門進行隨時抽查,并在每年定期組織檢查,對表現好的單位給予嘉獎,同時對違反的單位進行懲罰,并進行公示;同時對信息安全審計、安全事件處理和外部組織進行反饋溝通,檢查信息安全管理體系的有效性和合理性。
(4)考慮組織和技術等的變化對信息安全管理體系的影響,應實時更新相關的規章制度,具體變化情況如:組織變化、技術變革、業務目標流程的改變、新的威脅和風險點的出現、法律法規的變化等;通過不斷的優化和改善,使信息安全管理體系能夠永遠適合企業業務的需要。
3.2 技術角度分析
新版ISO270002控制措施中新增和調整了一些措施,涉及信息系統開發、信息安全事件管理、業務連續性管理等部分,這些要求對軟件行業中企業的具體實行至關重要。從技術角度考慮,軟件行業企業信息安全管理體系中所需采取的安全技術體系包括幾個方面。
3.2.1物理環境安全信息系統硬件安全
這是無論舊版控制措施還是新版都沒有絲毫改變的控制項,也是軟件行業中企業應加強管理的基礎。在公司的信息系統硬件管理上,首先對機房的硬件環境進行安全管理,包括溫度、濕度、消防、電力等安全管理,對關鍵的應用需要采取UPS供電,同時采取相應的備份,對硬件的使用率進行實時地監控,避免硬件的使用率過高造成業務持續性的影響,另外需要對硬件的物理環境進行監控,避免非法人員的進入,同時也是對管理員的日常行動進行監控,最后需要對機房人員和物品的出入進行權限的管理和等級制度。
3.2.2操作系統與應用程序安全
這是新版控制措施新增的安全開發策略和系統開發程序等對企業新的要求,保證操作系統與應用程序的安全會保護企業在系統開發和集成工作的安全開發環境,使企業整個開發周期安全。
(1) 操作系統安全。除了進行必要的補丁和漏洞的管理和更新外,最主要的是進行防病毒管理,通過殺毒軟件來防止非法的木馬、惡意代碼、軟件對操作系統的安全影響;應用程序安全――直接關系信息系統的安全性,通過硬件、軟件的安全保護來保證應用程序的安全。
(2) 密碼算法技術。密碼學在新版控制措施中獨立成為一個領域,這就是企業必須要引起重視的理由,密碼算法技術,密碼算法技術應用主要是確保信息在傳送的過程中不被非法的人員竊取、篡改和利用,同時接收方能夠完整無誤的解讀發送者發送的原始信息。
(3) 安全傳輸技術與安全協議技術。這是針對新增供應關系領域企業需要加強的技術。為減緩供應商以及其他用戶訪問企業資產帶來的風險,對于重要的系統和對外的訪問,進行安全的傳輸技術,以此來保證信息在傳輸過程中的安全,避免被非法用戶竊取、篡改和利用。
(4) 安全協議技術。主要是指身份認證功能,目前企業系統的安全保護主要都是依賴于操作系統的安全,這樣入侵系統就非常容易,因此需要建立一套完善的身份認證系統,其目的是保證信息系統能確認系統訪問者的真正身份,身份認證協議都是使用數據加密或數字簽名等方法來確認消息發送方的身份。
(5) 信息處理設備冗余部署。這在新版控制措施第十七章信息安全方面的業務連續性管理中作為新增的控制措施,要求企業識別信息系統可用性的業務需求,如果現有系統框架不能保證可用性,應該考慮冗余組建或架構。在適當情況下,對冗余信息系統進行測試,保證在發生故障時可以從一個組件順利切換到另外一個組件。
4 結束語
信息安全管理體系的建設改進工作是持續進行的,是會隨著公司業務的發展、技術的更新、以及新標準的要求等不斷變化的。它需要采用科學的方法來保證體系的持續穩定運行,從而使信息安全管理體系化、常態化的保持下去。而新版ISO27000在信息安全體系的工作上,使各行各業都有了新的指導。本文主要針對軟件行業做出一定解讀。總體來講,我們需要對己經建立的信息安全管理體系進行監督、完善、優化,這實際上還是要求企業貫徹執行PDCA模型,無論從管理還是具體操作上不斷進行PDCA循環,才能使得企業信息安全管理體系不斷改進和優化。
參考文獻
[1] 高仁斗.企業安全工作中存在的問題與對策[J].中國職業安全衛生管理體系認證,2004(05).
[2] 蔣永康,朱冬林,潘豐.我國中小企業法律法規體系建設現狀及對策[J].管理工程師,2012(06).
[3] 楊愛民.電子商務安全的現狀及對策探討[J].科技資訊,2006.6.
作者簡介:
文艷閣(1993-),女,山西孝義人,天津商業大學,本科(在讀)。
論文關鍵詞:金融信息化;信息安全;計算機犯罪
隨著金融信息化的加速,金融信息系統的規模逐步擴大,金融信息資產的數量也急劇增加,如何對大量的信息資產進行有效的管理,使不同程度的信息資產都能得到不同級別的安全保護,將是金融信息系統安全管理面臨的大挑戰同時,金融信息化的加速,必然會使金融信息系統與國內外公共互聯網進行互聯,那么,來自公共互聯網的各類攻擊將對金融信息系統的可用性帶來巨大的威脅和侵害:
一、計算機網絡安全威脅及表現形式
計算機網絡具有組成形式多樣性、終端分布廣泛性、網絡的開放性和互聯性等特征,這使得網絡容易受到來自黑客、惡意軟件、病毒等的攻擊
(一)常見的計算機網絡安全威脅
1.信息泄露:指信息被透漏給非授權的實體。它破壞了系統的保密性。能夠導致信息泄露的威脅有網絡監聽、業務流分析、電磁、射頻截獲、人員的有意或無意、媒體清理、漏洞利用、授權侵弛、物理侵入、病毒、術馬、后門、流氓軟件、網絡釣魚等:
2.完整性破壞。可以通過漏洞利用、物理侵犯、授權侵犯、病毒、木馬、漏洞等方式文現。
3.拒絕服務攻擊:對信息或資源可以合法地訪問,卻被非法地拒絕或者推遲與時間密切相關的操作:
4.網絡濫用:合法剛戶濫用網絡,引入不必要的安全威脅,包括非法外聯、非法內聯、移動風險、設備濫用、業務濫用。
(二)常見的計算機網絡絡安全威脅的表現形式
1.竊聽。攻擊者通過監視網絡數據的手段獲得重要的信息,從而導致網絡信息的泄密。
2.重傳。攻擊者事先獲得部分或全部信息,以后將此信息發送給接收者。
3.篡改。攻擊者對合法用戶之間的通信信息進行修改、刪除、插入,再將偽造的信息發送給接收者,這就是純粹的信息破壞,這樣的網絡侵犯者被稱為積極侵犯者。積極侵犯者的破壞作用最大。
4.拒絕服務攻擊:攻擊者通過某種方法使系統響應減慢甚至癱瘓,阻止合法用戶獲得服務。
5.行為否認。通信實體否認已經發生的行為。
6.電子欺騙。通過假冒合法用戶的身份進行網絡攻擊,從而達到掩蓋攻擊者真實身份,嫁禍他人的目的:
7.非授權訪問。沒有預先經過同意,就使用網絡或計算機資源
8.傳播病毒。通過網絡傳播計算機病毒,其破壞性非常高,而且用戶很難防范:
二、金融計算機犯罪的特征和手段
由于計算機網絡絡安全威脅的存存,不法分子通過其進行金融犯罪。金融計算機犯罪,已經引起我國立法部門的高度重視,在新《刑法》中已將金融計算機犯罪列為重點,第285,286,287條有明文規定。
(一)銀行系統計算機犯罪的特征:
1.涉案人多為內部人員。由于金融業務都是通過內部計算機網絡完成的,所以了解金融業務流程、熟悉計算機系統運行原理、對金融內部控制鏈上存在的漏洞和計算機程序設計上的缺陷比較清楚的內部職員,往往比其他人員更容易了解軟件的“硬傷”,更容易掌握犯罪的“竅門”以達到犯罪的目的。據有關部門統計,我國金融系統發生的計算機犯罪案件,九成以上是內部人員或內外勾結作案的。
2.手段隱蔽,痕跡不明顯:計算機犯罪智能化程度高,大多數犯罪分子熟悉計算機技術,可運用正常的操作規程,利用合法的賬戶進入金融計算機網絡,篡改計算機源程序或數據。這種犯罪短時期內不易被發覺。同時,犯罪分子作案迅速,所留痕跡甚少,隱蔽時間較長,一時不易暴露。
3.犯罪情節嚴重:犯罪分子突破計算機安全防護系統后,盜竊多少資金完全由犯罪分子任意輸人,動輒十幾萬、上百萬元,行為肆無忌憚,數目觸目驚心,導致了金融資金的巨大損失。
4.社會危害嚴重。由于金融的特殊地位和其在保持社會穩定方面所起的審要作用,一旦發生計算機犯罪,會帶來一系列的連鎖反應,引起儲戶的不滿,再加上輿論導向的渲染,有可能造成堪設想的后果。
(二)銀行系統計箅機犯罪的手段
1.終端機記賬員作案。記賬員利用其直接在終端操作計算機,熟悉記賬過程及賬務處理過程的作方便,進行犯罪。
2.終端復核員(包括出納員)作案。終端復核員利用與記賬員一同辦理終端業務的機會,進行犯罪。
3.系統管理員(包括主任、主機管理員)作案。系統管理員借助管理系統的特殊權限,利用系統正常命令、程序反向錯誤操作作案;自編程序進行作案;修改賬務及數據資料作案;利用系統終端私自記賬、復核作案;為犯罪分子提供方便。
4.軟件人員作案:軟件人員利用t作之便偽造干旱序及熟悉操作程序,進行作案
5.硬件人員作案硬件人員利用t作之便,進行犯罪作案。
6.行內其他人員作案。分理處、儲蓄所的其他人員利用接近計算機業務柜的機會,伺機作案:
7.行外人員作案:利用銀行管理中的某些漏洞作案;與行內人員相互勾結作案:
三、金融計算機信息泄密途徑
金融行業是具備特有的高保密性的行業,然而隨著信息技術的迅猛發展與廣泛應用,竊密手段更加隱蔽,泄密的隱患增多,泄密所造成的危害程度加大,保密工作面臨許多新情況、新問題。具體而言,金融汁箅機信息泄密的途徑主要有以下幾個方面。
(一)計算機電磁波輻射泄密
計算機設備工作時輻射出的電磁波,可以借助儀器設備在一定范圍內收到,尤其是利用高靈敏度的儀器可以穩定、清晰地看到計算機正在處理的信息。因此,不法分子只要具有相應的接收設備,就可以將電磁波接收,從中竊取秘密信息。
(二)計算機剩磁效應泄密
計算機的存儲器分為內存儲器和外存儲器兩種。存儲介質中的信息被刪除后有時仍會留下可讀信息的痕跡,存有秘密信息的磁盤被重新使用時,很可能被犯罪分子非法利用磁盤剩磁效應提取原記錄的信息。比如,計算機出故障時,存有秘密信息的硬盤不經處理或無人監督就帶修殫,就會造成泄密。此外,在有些信息系統中,刪除文件僅僅只刪掉文件名,原文還原封不動地保留在存儲介質中,一旦被利用,就會造成泄密。
(三)計算機聯網泄密
計算機網絡化使我們可以充分地享受網上的信息資源,然而聯網后,計算機泄密的渠道和范圍大大增加,主機與用戶之間、用戶與用戶之間通過線路聯絡,使其存在許多泄密漏洞。竊密者只要在網絡中任意一條分支信道上或某一個節點、終端進行截取,就可以獲得整個網絡輸送的信息。如果在計算機操作中,入網口令不注意保密和及時更換,入網權限不嚴密,超級用戶無人艙管,信息傳輸不進行加密處理,局域網和互聯網沒有做到完全的物理隔離,等等,都有可能使計算機遭到黑客、病毒等的攻擊,導致嚴重的泄密事件發生。
四、金融計算機網絡犯罪的成因
(一)防范意識和能力差
不少計算機主管領導和系統管理人員對計算機犯罪的嚴重危害性認識不足,防范意識低,堵截能力差,同時,計算機安全組織不健全,安全教育不到位,沒有彤成強有力的安全抵御防線。這些是導致計算機犯罪案件發生的重要原因:
(二)內控機制不完善,管理制度不落實
主管部門對計算機安全檢查不到位,監督檢查不力,不能及時發現和堵塞安全漏洞;不少單位在系統開發運行過程中,缺乏有效的內部制約機制。
(三)現代管理手段滯后
金融電子化項目從立項、開發,到驗收、運行等各環節沒有形成一套完整、科學的安全防范體系,從而使犯罪分子有機會利用計算機進行作案。
(四)密級不分,人人都是“千手觀音”
通過案發后,案件偵破時,案發單位員工都是懷疑對象這點,更反映出金融系統計算機管理的薄弱環節。只要是工作人員,都能輕車熟路進入計算機系統進行操作。而且使用的密碼和程序簡單易猜,造成人人都能使用,致使現問題后不能鎖定固定知情人。
五、金融計算機犯罪的防范措施
(一)制度保障
一定要根據本單位的實際情況和所采用的技術條件,參照有關的法規、條例和其他單位的版本,制定出切實可行又比較全面的各類安全管理制度,主要包括操作安全管理制度、場地與實施安全管理制度、設備安全管理制度、操作系統和數據庫安全管理制度、計算機網絡安全管理制度、軟件安全管理制度、密鑰安全管理制度、計算機病毒防治管理制度等。
制度的建立切忌流于形式,重要的是落實和監督。尤其是在一些細小的環節上更要注意,如系統管理員應定期及時審查系統日志和記錄;重要崗位人員調離時,應進行注銷,并更換業務系統的口令和密鑰,移交全部技術資料,但不少人往往忽視執行這一措施的及時性;又如防病毒制度規定,要使用國家有關主管部門批準的正版查毒殺毒軟件適時查毒殺毒,而不少人仍使用盜版殺毒軟件,使計算機查殺病毒時又染上了其他病毒。
(二)技術保障
1.減少輻射:為了防止電磁波輻射泄密,在選購計算機產品時,要使用低輻射計算機設備。根據輻射量的大小和客觀環境,對計算機機房或主機內部件加以屏蔽,在專用的計算機上安裝微機視頻保護機等設施,并采取一定的技術措施,對計算機的輻射信號進行十擾,增加接收還原解讀的難度,保護計算機輻射的秘密信息。
2.物理隔離:涉及國家秘密的計算機信息系統,不得直接或間接地與圍際互聯網或其他公共信息網絡相連接,必須實行物理隔離。與外部網相連的計算機不得存儲、處理和傳遞內部信息,在互聯網上提取的信息也必須經殺毒處理后再接入局域網內供內部使用。
3.加強存儲介質管理。對涉密信息進行清除處理時所采用的信息清除技術、設備和措施,應符合國家相關保密規定。使用u盤時應注意修改計算機系統中的注冊表,將系統各個磁盤的自動運行功能禁止;使用u盤進行數據文件存儲和拷貝時,打開計算機系統巾防病毒軟件的“實時監控”功能,避免病毒文件入侵感染,同時打開“文件夾”選項中“隱藏受保護的操作系統文件”選項,并選擇“顯示所有文件和文件夾”選項,以便u盤被感染后能及時發現病毒;外來u盤接人計算機系統時,切勿雙擊打開,一定要先經過殺毒處理,或是采用具有u盤病毒免疫功能的殺毒軟件查殺后,再接入計算機系統,同時關閉“自動播放”功能。
4.數據加密。在軟件方面,應加大在開發過程中加密軟件的開發投入,對重點涉密的應用軟件,加密設計要達到網絡級水平,從而最大限度地保證信息的全與保密。對涉密信息要做到加密保存,對存儲有涉密信息的計算機要設置開機密碼、屏保密碼等。
5.設置權限。將內部計算機維護權限與操作權限、數據權限分開,對不同的操作人員設置等級不同的權限,根據實際權限來分配查閱、修改文件內容等業務范圍。
(三)管理保障
1.提高安全管理意識。一是要加強對“物”的管理。對錄有秘密文件的硬盤、軟盤,要明確標示密級標志和編號,執行統一的登記和銷毀制度;對涉密較多的場所如打字室、機要室要設立相應的保密控制區,明確專人負責維護與保障;嚴格執行“上網信息不涉密、涉密信息不上網”的規定,明確專人負責信息的審查與審核。二是要加強對人的管理。要抓好涉密人員的選配和日常的考察,做到不合格的人員堅決不用;對有問題的人員要及時處理,嚴明紀律。
2.加大安全管理力度。金融系統各級領導要充分認識到計算機犯罪對金融信譽和資金的危害,認真部署計算機安全防范工作,提高系統、網絡的管理能力;強化系統開發、管理、操作人員的政治思想和安全教育,嚴格要害崗位人員的審查和管理。
[關鍵詞]信息安全 項目 教學改革
[中圖分類號] G642 [文獻標識碼] A [文章編號] 2095-3437(2013)09-0009-03
一、引言
積極為地方經濟服務,在服務中求生存與發展,對于地方高校,特別是新建本科院校的生存和發展,具有很強的現實意義。例如,梧州學院的辦學目標是成為廣西與粵港澳科技文化教育交流與合作的橋梁,成為一所適應梧州市和泛珠三角經濟區、中國-東盟自由貿易區支柱產業發展需要,特色和優勢鮮明,充滿活力的綜合性、實用性本科院校。因此,在人才的知識結構和能力體系培養方面,應強調培養理論基礎扎實、知識結構合理、動手能力強、具有創新精神的應用型人才。
二、梧州學院2012年大學生學風建設的調研對實踐教學改革的啟示
2012年10月-11月,學生工作部共發放問卷1200份,回收有效問卷1084份,問卷回收率為90.33%。其中,學生代表共753人,包括本科、專科,覆蓋一、二、三、四年級,每個年級所發數目均等。問卷的主要內容是學習狀態、學習動力、學習困難、學習習慣、讀書、自習、學風中需要改進的問題。其中與實踐教學有關的調研結果如下:
(一)你認為我校學風方面目前存在的最主要的問題是(多選)
A.缺乏學習動力,厭學,為考試而學。(選擇A項的占總數的45.95%)
B.沒有學習、學術氣氛。(選擇B項的占總數的26.56%)
C.迷戀上網游戲。(選擇C項的占總數的8.63%)
D.學習紀律意識差,遲到曠課現象嚴重。(選擇D項的占總數的11.42%)
E.浮躁不踏實,考試突擊。(選擇E項的占總數的9.56%)
F.滿于現狀,進取心不強。(選擇F項的占總數的8.23%)
G.創新性不強,缺乏實踐能力。(選擇G項的占總數的15.14%)
H.考試作弊。(選擇H項的占總數的5.71%)
I.其他(為文字填充項)。(選擇I項的占總數的3.19%)
(二)你認為目前學習中最大的問題(此項為多選)
A.不喜歡所學專業,負擔太重。(選擇A項的占總數的13.15%)
B.學習方法不科學,效率不高。(選擇B項的占總數的30.68%)
C.所學內容過于枯燥、陳舊,學習興趣不濃。(選擇C項的占總數的20.19%)
D.只掌握了書本知識、缺乏實踐能力。(選擇D項的占總數的28.82%)
E.沒有明確目標,很迷茫,不知道未來在哪里。(選擇E項的占總數的18.33%)
從結果中可以看到,為考試而學、缺乏學習氣氛、缺乏實踐能力會極大影響學生的學習積極性。而學習方法不科學、學習內容枯燥、缺乏實踐能力是目前學習中遇到的主要問題。所以,在信息安全專業教學中,提高信息安全實踐性教學比例,加強培養學生的實踐動手能力,對專業教學效果的提升會有明顯作用。
三、地方高校信息安全專業實踐教學需要解決的關鍵問題
(一)實踐教學基礎較為薄弱
對信息安全專業實踐教學要求認知不足,早期教學計劃中實踐環節內容覆蓋不夠全面,多數信息安全實踐教學依托軟件工程等傳統的計算機專業教學環境。例如開設匯編語言、Java語言等課程時有相應的實驗教學。而在網絡安全編程、入侵檢測、專業安全防御軟件實踐能力培養方面的實踐性教學比例偏低。另外,受實驗設備等客觀條件限制,信息安全硬件開發設計方面的教學在地方高校中缺少實踐教學環節;對常用網絡安全設備安裝與配置等網絡安全實踐教學,也由于缺少專門的信息安全設備很難進行。
(二)實驗室教學人員和任課教師需要提高專業技術水平
在地方高校由于缺乏足夠的培訓和對外交流,以及對實驗室教學人員在高校中的地位和作用缺乏足夠認識,一般實驗室教學人員不具備實踐教學所需的管理能力,工作積極性也不高,對特殊實驗中使用的儀器設備了解很少,無法對實驗設備進行有效管理和充分利用,比如某些病毒、木馬實驗根本無法完成。實驗室教學人員要課前與任課教師做好充分溝通與測試評估,做好實驗環境規劃與安全防范措施。
(三)缺少實驗儀器設備以及未能對現有設備有效維護
梧州學院計算機教學實驗室配置的主要設備有臺式電腦、曙光服務器等。隨著信息安全技術的快速發展,對信息安全專業實踐教學要求的不斷提升,需要更復雜的軟硬件環境,不僅需要計算機、三層交換機、二層高性能交換機、路由器等網絡平臺設施,還需要防火墻、IDS等在實際商用環境中常見的專用信息安全設備系統。而作為地方高校的財力投入,未能一步到位購置最新的完整軟硬件實踐教學平臺是正常情況,這對培養應用型人才有一定制約作用。另外在設備出現故障時,經常遇到本地設備提供商快速響應能力不足、維修技術有限,導致售后不能進行及時有效的維修,造成一些精密儀器設備破損。
(四)實踐教學體系不夠完善
早期制定的信息安全專業培養計劃側重于理論教學,實踐教學的內容是作為理論教學的輔助和補充,沒有結合自身辦學特點建立有針對性的信息安全專業實踐教學體系。實踐教學內容只是單一地圍繞課程知識點進行驗證性實驗,缺少專門的實驗課程和增強性的實踐環節。由于實驗內容偏重于驗證,結論已知,學生只是按照課本所示得到最終結果,沒有自主發揮的地方,造成學生的學習興趣下降,容易敷衍完成。這樣的實踐教學不容易培養學生的創新能力、動手能力和解決實際問題的能力,缺乏師生之間的互動,不利于教師了解教學效果,改進教學方法。
四、依托科研項目建立科學合理的信息安全專業實踐教學體系
在信息安全本科專業應用型人才培養中,強調理論與實踐的結合,要求培養的人才具有寬闊的知識面、較強的實踐動手能力、快速的知識更新能力。[5]因此,基于實踐能力培養的規律性,按強化基礎、循序漸進、重視創新的原則,根據梧州學院人才培養目標是為地方經濟建設培養高級應用型人才的特點,依托學院與政府部門和企事業單位簽訂的大量科技開發項目,我們研究探索了依托科研項目來建設信息安全專業實踐教學體系。主要包含以下三個部分。
(一)項目團隊建設與實驗室建設并重
2010年以來信息安全專業分別引進博士,從中國移動公司引進有豐富實踐經驗的高級工程師,參與實踐教學環節,充實了實踐教學的一線教師隊伍。
同時,學院還設立網絡與信息安全研究所,給予一定啟動經費,資助年輕教師依托各級科研項目和本地科技開發項目鍛煉團隊,有效提升了教師隊伍解決實際問題,進行科技攻關的能力,為實踐教學提供很多真實案例和經驗。而且在項目開發過程當中,需要針對客戶需要,構建出各種適合業務要求的網絡與硬件測試運營環境,通過溝通,實驗室教學人員從中可得到很好的綜合型實驗思路,有效完成對相關知識的更新,進一步推動了實驗室教員自身素質的提高。
(二)課程實驗與項目產品研發配合
基本課程實驗依據具體課程設立,要求學生必須完成。綜合實驗面向高年級本科生開設,需要綜合運用多門專業課知識。部分綜合實驗由任課教師融入項目產品的測試環節,將產品測試流程、測試技術與測試工具使用說明編入實踐教學內容,利用教學實驗平臺,鍛煉學生的專業實踐能力,讓學生實際參與項目產品的測試。
為了滿足信息安全專業實踐教學工作需求,要建立信息安全實驗環境。考慮到應該優先利用現有硬件條件,在學院網絡中心進行服務器虛擬化操作,建立集中且易于管理的資源池給原來分散的學院各個業務系統使用,然后把剩余的服務器,跟軟件實驗室組成封閉的網絡。因為網絡信息安全專業課程實驗具有一定破壞性,建立封閉的實驗環境很有必要,這樣實驗時不會對其他網絡系統帶來影響。信息安全實驗環境所需要的軟件平臺,學院給予教學改革項目立項,由專業課程任課教師承擔,根據專業課程要求,指導學生開發各門課程的實驗軟件,這個過程能夠加強學生理解專業知識。利用上述方法建成的信息安全專業基礎實驗平臺,主要承擔密碼學、入侵檢測技術、計算機病毒原理等課程中的基礎驗證項目,如密碼學實驗中的DES、AES、RSA密碼、數字簽名、計算機文件加密、通信加密等實驗項目,計算機病毒原理及軟件安全實驗中的軟件漏洞機理分析、軟件漏洞利用實例分析、安全防護工具分析等實驗項目。
(三)推進項目研發成果產業化與本地網絡安全服務外包
為了培養學生的實踐能力和創新意識,利用學過的知識及積累經驗,針對各級業余科研項目、校內外科研競賽項目、校外實踐基地項目、信息安全應用領域科研子課題,鼓勵學生以團隊方式提出有創意的設計方案并加以實現,從而提高實踐創新能力,培養團隊合作與協作能力。這些項目研發成果的產業化過程,為學生自主創業提供了動力。
除了利用各級科研項目,學生還能依靠梧州學院校內實踐平臺――大學生綜合發展中心,通過課程體系、模訓體系、實踐體系和行動體系進行教育實踐活動,承接本地企事業單位的網絡安全服務外包項目,在實踐中得到更大的成長空間。
五、結束語
針對學院信息安全專業實踐教學方面存在的不足之處,通過將項目團隊建設與實驗室建設并重,課程實驗與項目產品研發配合,推進項目研發成果產業化與本地網絡安全服務外包等措施,推動為項目服務的實踐教學改革,提高信息安全專業實踐性教學比例。
[ 參 考 文 獻 ]
[1] 顧純祥,徐洪,鄭永輝.信息安全專業實踐教學方法探討[J].Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security,2011,(1).
[2] 王小軍,劉順蘭,黃騫儒.信息安全專業實踐教學體系的構建與探索[J].杭州電子科技大學學報(社會科學版),
2011,(7):66-68
[3] 延霞,關于高職信息安全技術專業實踐教學體系建設的思考[J].職業教育研究,2011,(10):116-117