信息安全类论文范文地址
所属栏目:信息安全论文
发布时间:2014-02-09 16:56:54 更新时间:2014-02-09 16:17:54
【摘要】计算机信息安全涉及方方面面,影响着众多计算机使用者的切身利益。打击网络犯罪固然重要,但防范措施也必不可少,本文打破网络社会是一个虚拟社会的观点,将网络社会看作现实社会的一部分,从而将管理现实社会秩序的一些方法应用到信息安全领域,丰富信息安全防范措施,以计算机中信息的存储位置和信息的主要类型为出发点,逐步总结出一系列具有创新观点的信息安全防范思路。
【关键词】计算机信息安全,信息安全防范,信息安全补偿
1.引言
信息安全事故在世界范围内时有发生,2013年3月20日韩国遭遇大规模网络攻击,KBS韩国广播公司、MBC文化广播公司、YTN韩联社电视台等广播电视网络和新韩、农协、济洲等金融机构网络以及部分保险公司网络全面瘫痪,造成部分媒体和金融服务中断,超过3.2万台计算机和大量ATM提款机无法启动[1]。调查结果是黑客所为。信息安全不容忽视,针对这些事故,我们提出了一些策略加以预防和弥补。
2.大数据时代网络信息安全
2.1计算机信息安全的定义
国内常见的信息安全定义:计算机的硬件、软件和数据受到保护,不因偶然的和恶意的原因而遭到破坏、更改和泄露,系统能正常地运行[2]。在信息安全的原则中,基本原则方面上最小化原则、分权制衡原则和安全隔离原则是信息安全活动赖以实现的准绳,而在实施原则方面上人们在实践中总结出的宝贵经验包括:整体保护原则、谁主管谁负责原则、适度保护的等级原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向保护原则。同所有技术一样,信息技术本身也存在局限性、缺陷性或漏洞。
2.2大数据时代网络信息安全现状
网络安全的本质其实就是信息安全,也就是保证网络中的信息的完整性、可用性、可控性、可审计性和不可否认性等等。网络在服务于用户过程中发挥的主要功能是传递信息,各种生活信息、商业信息、娱乐信息均可借助网络平台操作处理。正计算机网络的广泛性、匿名性、隐蔽性和多样性以及其他计算机自身原因,使得信息安全日益严峻,其中在人为威胁下比较典型的安全威胁有黑客攻击、拒绝服务攻击、假冒服务攻击、网络病毒攻击、中间人攻击和重放攻击。在这些人为威胁下,信息安全还必须考虑自然的威胁。信息系统都是在一定自然环境下运行的,自然灾害对信息系统容易造成毁灭性的破坏,地震、水灾、火灾和雷击都可造成毁灭性的破坏,甚至鼠患,潮湿都可能造成极大的损失。网络无处不在,安全威胁也是无所不在,解决通信网络信息安全的方案包括分层安全防御与运营、Ip安全平台、虚拟化与应用安全交付、安全运维自动化与智能化、安全增值业务、电信业信息技术的风险管理、云安全、Web应用安全、无线安全等[3]。
2.3大数据时代网络信息安全保护思考方向
信息安全是一门复杂容纳多种学科的专业工程。由规范化的信息安全管理内容组建以风险和策略为核心的控制方法促使信息安全管理的内容实施,并通过定性分析和定量度量的信息安全测评确保任务的顺利进行和成果验收,以此为基本内容建立一套完善的信息安全管理体系[4]。同时,为达到保护信息安全,应建立起系统运行维护的管理体系,将信息安全管理合并信息系统的审核统计以及内部控制体系的强效监控与信息技术服务体系高效结合,高质量确保业务持续性和安全性的要求。
3.计算机本地信息安全
3.1本地媒体信息种类
所谓的本地媒体信息通俗上来说就是指存在本地(如个人电脑,PC终端)上的信息,常见的媒体信息有文本、图形、图像、声音,音乐、视频、动画等种类。
3.2本地媒体信息安全现状
目前,本地媒体信息面临的安全隐患可以分为以下几个方面:
(1)本地媒体信息以文件的方式存储于计算机的硬盘内存中,且大多是明文的形式存在。任何人员只要登录操作系统,就能获得本地数据的完全控制权,这其中包括删除数据,篡改数据内容、拷贝数据内容等操作,造成非法访问,数据泄漏;
(2)当用户在使用本地媒体信息时,由于操作不当造成数据丢失,系统崩溃,硬件的损坏等也会使本地信息的安全受到威胁:
(3)由于病毒等恶意程序的入侵使得本地媒体信息受到破坏。会造成一些敏感数据(如财务报表等)和各种账号(如QQ账号密码:支付宝账号和密码,网上股票交易的账号密码等)的泄漏;
3.3保护本地信息的必要性及影响
随着社会的进步科学的发展,计算机与人们的生活已息息相关,应用范围已经涉及到各行各业,但是计算机本地数据泄漏、被盗的也越来越多。如果计算机本地媒体信息的安全得不到保障,将会使计算机使用者带来很多的麻烦和巨大的损失,如个人信息的泄漏,银行、股票证劵公司、政府机要部门、军方数据的泄漏,被盗等。
当今世界的各行各业都与信息化有着越来越密切的联系,信息产业已经涉及到了社会的各个角落。数据安全是信息产业建设的基石,如果数据安全得不到保障,那么信息产业的发展将会受到极大的影响,将会造成不可估量的损失,甚至致使社会的进步减慢。现在IT技术发展很快,每隔一段时间就会出现新的技术和安全威胁,还将会有更多的威胁涉及到计算机本地数据的安全。如果连本地媒体信息的安全不得不到保障,那么接下来的安全问题也难以保障。
4.计算机可视媒体信息安全
4.1可视媒体类型
可视媒体的基本类型包括四类:符号、图形、图像和视频。符号是对特定图形某种抽象的结果,我们平时经常用到的文本,就是一种符号媒体形式;图形是图像的抽象化,是对图像进行分析后产生的结果;我们所谈论的图像一般是指光学图像,在日常生活中经常见到,图像只有经过数字化处理,才能适合计算机使用[5];视频又可称作动态图像,这里所说的动态图像不是指gif,gif属于图像的范畴,视频是指通过进行一系列静态影像以电信号方式加以捕捉、纪录等进行一系列处理的技术而构成的运动视感媒体。4.2可视媒体现状及发展
信息安全主要是研究如何防范信息免受来自外部和内在的侵害,内在的风险是由系统的脆弱性造成的,是信息安全的内因;外在的威胁不仅会来自人为地破坏,也会来自于各种自然灾害,这是信息安全的外因。所以,对于可视媒体信息安全,这个问题也是在所难免,随着信息安全产业的不断发展,可视媒体的安全研究从可视媒体信息加密发展到可视媒体信息认证和安全分发的过程
4.3研究可视媒体信息安全的意义
可视媒体是一种重要的信息门类,在当今社会中各个领域已被广泛接受和使用:在警务工作中,随着视频监控等技术的发展,对打击犯罪、维护社会稳定起到了重要作用;在军事工业方面,卫星、遥感技术对信息安全的要求极高,因为这关系到国家的安全,研究可视媒体信息安全有利于保卫国防;在商业领域,符号、图像、视频等资料可能记载着公司的商业秘密,一旦被别有用心的人窃取,可能将遭受不可挽回的损失。目前互联网中网络犯罪集团化趋势明显,所以,研究可视媒体信息安全非常必要,要求可视媒体安全技术水平不断提高。
5.结论
5.1信息安全主要预防措施
随着信息安全产业的发展,产品体系逐渐健全,信息安全产品的种类不断增多,产品功能逐步向系统化方向发展,密码技术、防火墙、病毒防护、入侵检测、网络隔离、安全审计、安全管理、备份恢复等领域,取得明显进展,在此介绍一些当今社会具有代表性的技术以及对未来技术发展的构想。
5.1.1风险评估
信息系统的风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对威胁、脆弱点以及由此带来的风险大小的评估[6]。风险评估方法主要分为定性评估方法、定量评估方法和定性与定量相结合的评估方法三类:定量的评估方法运用数量指标来对风险进行评估,它通过分析风险出现的几率,风险危害程度所形成的量化值;定性的评估方法主要靠研究者的非量化资料对信息系统状况做出判断;定性与定量相结合的评估方法,两者相结合,促使评估结果准确、公正。进行信息系统风险评估,可以发现系统目前与将来发生风险的可能性,从而更好地保障信息安全。
5.1.2人工智能综合利用
人工智能是指通过人工的方法在计算机上实现智能,在信息安全领域,人工智能主要体现在入侵检测和风险评估两个方面。入侵检测是指在不影响网络性能的情况下对计算机网络或计算机系统中的若干关键点收集信息并进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象,同时收集入侵证据,为数据恢复和事故处理提供依据;风险评估模型中的智能方法层次分析法是一种对风险问题建立层次结构并根据评价者的主观判断确定各因素变量的传统的风险评估方法,模糊综合评判法是一种智能方法。在信息安全风险评估模型中,模糊综合评判是根据专家对信息系统的评价结果运用模糊逻辑和熵理论求得信息系统的风险等级,确定在某些方面采取一定程度的安全防范措施[7]。综合利用人工智能技术,可以从多方面,多层次进行信息安全管理,以确保信息系统的安全。
5.1.3等级保护
为了加强对信息安全监管,我国制定了计算机信息系统安全保护等级划分准则(GB17859-1999)标准,该标准涉及身份鉴别、自主访问控制等十个安全要求,将信息安全的等级分为用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级,每一个等级包含的安全要求如图1所示,图中的高等级包含低等级的要素。信息系统安全等级保护为信息安全监管奠定了基础,等级保护作为信息安全系统分级分类保护的一项国家标准,对于提高安全建设的整体水平,增强信息安全的整体性、针对性和时效性具有重要意义。
5.1.4信息安全管理
随着信息技术在科技、军事、企业等领域的大规模应用,信息问题越来越突出,信息安全技术趋于复杂,所以加强信息安全管理很有必要。现代管理理论创始人HenriFayol认为,管理就是计划、组织、指挥、协调、控制。某位专家曾经说过:“信息安全管理是‘国家意志,政府行为’”,对于信息安全管理要加大力度。在物理安全方面,要做好物理访问控制和设施及防火安全;在人员方面,工作人员要做好保密工作,防止从内部造成对网络安全的威胁,用户自身要增强人员的安全意识,做好自主保护工作。信息系统的安全管理是信息安全保障工作的重要内容之一,为信息安全建设发挥了不可替代的作用。
5.2信息安全主要补偿措施
5.2.1转嫁风险
目前,因特网的迅速发展,网络信息安全事故也处于高发状态,图2所示,虽然信息安全技术能够起到一些抑制作用,但是通过运用转嫁风险的方法可以减少损失。转嫁风险主要靠网络信息安全保险,网络信息安全保险是指保险公司对因网络漏洞而导致恶意攻击所造成的重要资料丢失、知识产权受到侵犯、服务中断和营业收入损失等承担赔偿保险金责任的商业保险行为,是一种以信息资产安全性为保险标的的特殊保险[8]。网络信息安全保险主要是对网络灾害事故损失进行补偿的一种经济保障手段,同时也是一种合同行为,具有法律效力。另一方面,这个保险不是万能的,对于不能用金钱衡量的信息,损失将会巨大。尽管如此,转嫁风险的方法对信息安全保障建设能够起到一定的积极作用。
5.2.2数据恢复
数据恢复技术就是在计算机系统遭受误操作、病毒侵袭、硬件故障、黑客攻击等事件后,将用户的数据从存储设备中重新恢复出来,将损失减到最小的技术。数据恢复方式主要分为软件恢复方式和硬件恢复方式。其中硬件恢复可分为硬件替代、固件修复、盘片读取三种恢复方式,硬件替代就是用同型号的好硬件替代坏硬件达到恢复数据的目的;固件修复,就是用硬盘专用修复工具,修复硬盘固件;盘片读取就是在100级的超净工作间内对硬盘进行开盘,取出盘片,然后用专门的数据恢复设备对其扫描,读出盘片上的数据数据恢复方式。软件恢复可分为系统级恢复与文件级恢复,系统级恢复就是操作系统不能启动,利用各种修复软件对系统进行修复,使系统工作正常,从而恢复数据;文件级恢复,就只是存储介质上的某个应用文件坏,如DOC文件坏,用修复软件对其修复,恢复文件的数据[9]。数据恢复不能保证可以将所有遗失的数据恢复出来,对于减小数据丢失的损失,将会起到一定作用。5.3信息安全预防和补偿措施的结合
目前,我国信息安全法律体系已经初步建立,但是法律法规不够完善:地方法规比较多,法律法规比较少;部分法律已经过时,无法顺应时代要求;加快制定信息安全基本法,以加强对其他法律的理论指导。对比国外信息安全法律,欧盟信息安全法律框架体系完备,早在1992就出台了信息安全相关法律,这些年来进一步完善,法律结构合理,对信息安全的监管机构、监管模式做出了规定,明确了社会人员的权利和义务,有效地规范了信息经济的发展。美国1981年成立全美计算机安全中心,之后出台了一系列信息安全法律,特别是“9.11”后,美国政府加强了对信息技术的投入和监管,采取强有力地立法措施以解决其网络及计算机系统的脆弱性问题。我国应进一步完善信息安全法律法规,借鉴他国经验,结合本国特色,形成有中国特色的信息安全法律体系。
参考文献
[1]韩国遭大规模网络攻击[OL].中国信息安全等级保护网,2013.
[2]王斌君,景乾元,吉增瑞,等.信息安全体系[M].北京:高等教育出版社,2008.
[3]李璋.浅析网络信息安全技术[J].天津市政工程,2013(1):37-39.
[4]邓小民.信息安全管理标准及综合应用[J].建材发展导向,2013,11(13):211-212.
[5]徐正全,徐彦彦.可视媒体信息安全[M].北京:高等教育出版社,2012.
月期刊平台服务过的文章录用时间为1-3个月,依据20年经验,经月期刊专家预审通过后的文章,投稿通过率100%以上!