信息安全发展论文(共10篇)

时间:2022-06-23 10:58:05

导语:信息安全发展论文(共10篇)一文来源于网友上传,不代表本站观点,若需要原创文章可咨询客服老师,欢迎参考。

信息安全发展论文(共10篇)

第一篇:大学生信息安全素质教育

一、大学生信息安全素养现状分析

学生作为信息安全教育的接受者,其素养初始水平和学习需求直接影响教育目标、教育内容和教育方法的选择。为了有效提高信息安全教育的针对性,笔者编制了《高校学生信息安全素养调查问卷》,并抽取第四军医大学2012级580名本科学生进行了调查分析。

1.问卷设计

问卷主要从信息安全意识、信息安全知识、信息安全技能和信息安全伦理4个维度对学生的素养水平进行考察,共32道试题。问卷采用内部一致性较佳的李克特氏5点量表进行设计,试题由一组陈述组成,每一陈述有5种不同的回答方式,分别记为5分、4分、3分、2分、1分,部分试题如表1所示。

2.调查结果

调查结果显示,绝大多数学生能够意识到信息安全对学习、工作、生活非常重要,需要遵守一定的信息安全法规和网络道德规范,但不少学生信息安全知识比较匮乏,防范技能较弱,无法正确识别信息安全风险并进行有效防护。以信息安全技能维度为例,调查结果显示,36.3%的学生不能够正确设置Windows、Office、E-mail等的安全密码;41.4%的学生不能够定期整理和备份重要资料并存放到安全介质,36.2%的学生不能够识别出不良网站(如钓鱼网站、挂马网页);50.5%的学生计算机操作系统受攻击时,不能快速做出修复;超过60%的学生在计算机出现一般的硬件故障时,不能自主维修。此外,从近年来不断涌现的青少年网络犯罪(如熊猫烧香病毒事件等)和高校信息安全事件可知,以高智商为特征的大学生群体已经成为网络犯罪的“易感人群”,信息安全素养整体水平偏低,亟需采取有效的教育方法进行提升和改善。

二、面向培养全过程的信息安全教育方案

基于对高校学生信息安全素养的现状分析,笔者结合自身实践经验,从教育目标、教育内容、教育方法和教育评价4个方面提出了较为完善的信息安全教育方案,并结合本科学生培养过程,给出了具体的实施建议,旨在促进高校信息安全教育的深入开展。

1)信息安全教育目标。目标是信息安全教育活动的出发点和归宿,起着重要的导向、激励、调控和评价作用。总体目标可描述为通过信息安全教育,学生能够充分认识到信息安全的重要作用,具备较强的敏锐性和责任感,掌握信息安全的基础知识、基本技能和基本方法,有效规避信息安全风险,具备良好的信息安全伦理道德。

2)信息安全教育内容。教育内容作为整个方案的核心,是教育目标能否实现的重要基础。本文根据学生的培养周期和自身发展需要,设计了课程教学与主题教育两类信息安全教育内容,既保持内容体系相对完整,又能根据实际情况灵活实施。

3)信息安全教育方法。信息安全教育应根据内容特点和目标指向,灵活采用理论讲解、案例分析、原理演示、操作实验、角色扮演、宣传教育等多种方式方法,充分发挥信息化教学的优势,易化教学难点,提高教学效果。信息安全意识的教学方面,可通过举办信息安全警示教育、播放信息安全谍战影片、组织失泄密案例分析研讨会以及张贴信息安全意识海报等方式,使学生认识到信息安全的重要性,增强信息安全危机意识。信息安全知识的教学方面,可通过开展知识讲座、知识竞赛、问卷调查、发放信息安全知识手册、印发保密教育宣传材料等方式,使学生的信息安全理论知识和技能知识得到稳固提升。信息安全技能的教学方面,可通过计算机动画进行技术原理演示,有条件的学校可以建立信息安全技术实验室,为学生提供实验操作平台,模拟信息安全攻防过程,使学生掌握必要的防范和处理技能。

三、信息安全教育方案的实施建议

信息安全教育是一种素质养成教育,单靠独立的一门课程或几次讲座很难实现教育目标,必须以系统科学为指导,在大学生的整个培养周期中采取灵活多样的教育形势进行“阶梯式,不断线”培养,因此,笔者提出了3阶段信息安全教育实施建议:第一阶段为初期普修,主要针对大一学生。此阶段主要开展入学信息安全专题讲座和信息安全通识课程教学。入学信息安全专题讲座主要介绍信息安全的严峻形势、重要地位及信息安全教育的目标、意义、流程等,引起学生对信息安全的关注,激发学习兴趣。信息安全通识课程需要系统讲授信息安全基础知识、基本技能、基本方法,在开课之前,教学单位应进行一次全面的信息安全素养测评,及时了解学生现有的素养水平和学习需求。第二阶段为中期,主要针对大二和大三学生。在学生掌握一定的信息安全知识的基础上,开展丰富多样的主题教育和实践活动。经过第二阶段的教育,学生将掌握一些日常生活中经常遇到的信息安全问题及解决策略,从而获得稳固、全面的信息安全素养。此外,在中期应进行一次信息安全素养测评,旨在考察学生的素养水平有无提升,以及得出哪些方面还存在不足,为后期培养提供参考。第三阶段为末期,主要针对大四学生。经过初期及中期的信息安全教育,学生整体素养水平已显著提升,因此,此阶段主要为学生毕业开展信息安全专题教育,为学生在求职中可能遇到的信息安全问题寻找解决方法,明确信息安全法规和管理要求,以使学生到工作岗位之后能够正确、有效地处理信息安全问题,并保持良好的信息安全素养。《2006-2020年国家信息化发展战略》明确指出“建设国家信息安全保障体系,提高国民信息技术应用能力,造就信息化人才队伍”是我国信息化发展的重点战略。高校是国家信息化人才的培养重地,对大学生进行信息安全通识教育,将能有效提升其信息安全风险识别、处理和防护能力,并形成良好的信息安全伦理道德,进而增强信息社会生存能力。

作者:沈霞娟1高东怀1许浩1宁玉文1蔡华2工作单位:1.第四军医大学网络中心2.兰州军区综合训练基地二大队

第二篇:电子政务信息安全问题分析

一、我国电子政务信息安全问题日益突出

(一)重信息安全建设,轻信息安全管理

在实际的安全管理工作中会经常出现这么一种状况,领导往往更加重视系统的软硬件建设,设备和人的管理工作相对抓的比较少。系统的风险管理、信息的审计跟踪、数据的备份恢复以及突发事件的应急处理是电子政务安全系统运行必备的四个方面,而这四个方面的管理主体都是系统操作人员,因此管理人员的安全素质跟电子政务信息安全息息相关。另一方面,人是网络上各类攻击、破解、监听等黑客工具和病毒的制造者,是互联网的管理者,据调查由于管理人员的疏忽大意和懒惰无知而造成的黑客入侵案例占80%以上。从实际情况来看,我国的电子政务建设存在着不足,一方面政府部门在建设电子政务时实行“谁建设谁运维”的做法;另一方面政府对网络专业人员的培训相对薄弱,缺乏专、精、高的技术型人才,从而遇到一些相对专业和复杂的问题不能及时解决或交由网络公司的专业人员来解决;同时部门中的网管人员责权不明确、人事管理制度不健全、人员频繁变动等等这些问题都会给电子政务信息的安全造成重大隐患。

(二)信息技术发展滞后

1.硬件发展先天不足,核心技术是关键。我国因历史原因,信息化的发展起步比一些发达国家要晚,硬件的核心技术还没有掌握,因此电子政务建设中的很多关键设备都是从国外进口,我国的信息化发展从根源上被桎梏,也造成了很多的重要机密泄露事件。诸如Windows98操作系统和PⅢ处理器暗留“后门”等此类行为都会对用户的信息造成极大的安全隐患。近年来我国信息化产业飞速发展,电脑制造技术也取得了丰硕成果,但像中央处理器等此类需要高端技术的设备研发仍然较弱,其核心技术都是来源于国外。由于缺乏相关的高端技术人才,对国外引进设备的技术监督和改造力量薄弱,导致我国电子政务的信息安全先天就存在着致命的隐患,一旦与这些国家的关系发生转变,就可能给军事、经济、社会等领域带来不可预料的后果[1]。

2.软件开发滞后,安全和应用系统缺乏创新。我国电子政务系统中的应用、信息安全两大系统开发相对滞后,因技术创新薄弱、核心技术和自主产品的缺乏、黑客行为防御能力弱等原因,造成了电子政务系统在针对各类入侵和破坏的防御薄弱。比如黑客攻击,大部分都是利用软件预留的“后门”进入系统的,而“后门”则是程序员为了方便自己而设计的,程序设计人员的变动极易让这种后门代码流转出去,被一些别有目的的势力或黑客获得,一旦这些人打开了“后门”,后果将不言而喻。大家所熟知的诸如“熊猫烧香”、“灰鸽子”、“CIH”等病毒攻击,就曾导致我国很多计算机的信息被破坏、修改,乃至瘫痪,这些事情无时都在提醒我们软件系统的自主开发已经迫在眉睫了。

3.缺乏统一的技术标准,数据不一致,内容不共享。一方面由于职权的分割,造成各部门在搜集和存储政务信息时产生了很多不一致乃至是矛盾的信息。比较突出的如税务、海关、工商某些数据库就没有标准性的维护机制;由于各自的政务信息管理队伍、管理机制和数据库都已经建成,于是政府各部门间都想方设法要保留自己的成果而希望取缔别人的雷同成果;同时,由于种种原因不能为他人提供及时的信息共享。另一方面就是“信息孤岛”现象,目前由于缺乏统一的规划,政务建设中的技术标准未统一,导致很多政府部门建立的政务系统和政务网站没有应用到具体工作之中,经常处于“死网”或“死库”的状况。政府部门或单位间的软硬件系统兼容性较弱,硬件缺乏接口或者接口的标准不一;软件各为其政,设计重复,互相无法访问;资源建设百花齐放,数据格式不一,无法共建共享。这种各自为政的电子政务建设不仅造就了大量的“信息孤岛”,浪费国家资源,而且也很难实现政府部门间的互连互通和信息共享。

(三)安全管理机制不规范

我国电子政务信息安全的管理机制还不完善,其主要表现有以下几方面:一是涉密信息的审查机制不够完善:一方面,尽管制定了一系列诸如《政府信息公开条例》、《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等的规定,建立了政务网络信息保密审查制度,可是在具体操作过程时,信息人员往往分不清哪些可以公开,哪些信息需要保密,往往仅注重了信息的真实性和及时性,稍一疏忽就把机密信息公开出去,从而造成了泄密。另一方面,涉密信息的审查机制和相关人员责任的追究机制还不完善,从而导致涉密信息上网审查和把关不到位,一些涉密信息被人为或无意地公布于网络之上,致使政务信息泄密事件屡有发生,对政府的执政威信造成一定的影响。二是动态的监督机制不到位:电子政务信息的安全管理过程是动态的,也就是说突发事件随时可能发生。目前我国对电子政务信息安全的动态监督不到位,风险评估机制和突发事件管理机制尚未完善,各级之间缺乏监管机制,全方位、常态化的巡查机制亟待完善,从而导致突发事件处理不当,不能及时将其消灭在萌芽状态,造成一些电子政务网络不能及时、恰当地应对各类网络信息破坏和入侵等事件。三是信息的保密管理机制不健全:我国电子政务的起步较晚,电子政务信息安全管理方面的立法相对滞后,法律法规建设还不完善,只是对互联网的管理制定了一些限制性的行政法规和条例,甚至一些地方政府制定的保密制度都已过时或不健全,且缺乏监督执行。因此,我国的电子政务信息安全领域亟待加强信息保密管理的机制建设。目前我国还缺乏一个具有最高权威的、能统筹管理的信息安全机构,以及一个与社会信息化建设进程步调一致的信息安全发展战略规划。电子政务建设的关键是做好长期的战略规划,否则就会出现部门重复建设和地区发展不平衡,不仅造成基础建设和信息资源浪费,也会带来管理上的混乱[2]。

二、齐抓共管构筑安全的电子政务系统

针对国内外信息安全形势和我国信息安全的现状,结合电子政务工作中实际存在的问题,为加强电子政务信息安全保障工作,可从以下几个方面采取措施。

(一)基础建设和安全管理两手都要抓

1.加强信息安全防御资源的整合。全方位整合、清理信息防护资源,统一制定信息防护系统的战略目标,避免重复建设和信息孤岛现象的出现。系统的技术保障方面,先要统一与具有国家标准资质、专业且口碑好的安全技术服务公司签订服务合同,再根据本单位的具体情况来分步实施。

2.完善信息安全系统的管理机制。从战略的高度制定覆盖整个信息系统从建设到运行的安全管理制度,学习国外管理经验,引入其先进的设计理念和管理机制到信息系统开发阶段中去,加强信息系统基础建设中的安全管理;强化整个信息系统运行维护阶段的安全管理,形成常态化的定期风险评估和处理机制,以及突发信息安全事件的管理机制。

3.加强制定信息安全的管理规范。根据电子政务信息安全的发展趋势,制定信息安全保障的中长期战略规划和工作目标,完善电子政务信息安全的管理细则,从而形成规范的电子政务信息管理体系。

4.加强专业人才培养,保障信息安全。安全保障体系建设不仅需要对管理人员进行专业的培养,还需要全体政务管理人员具有强烈的政务信息安全意识和专业的操作知识,各部门不仅要对专业的技术人才进行培养,还要对政务管理人员进行全员培训,除了岗前培训外,还要制定定期培训、座谈会、请专家演示等多种形式的信息安全培训和考核机制,使信息安全操作成为一项政务信息管理人员的必备技能。

(二)自主研发,统一技术标准

电子政务运行的基础是计算机和网络技术,电子政务信息安全的关键是要有软硬件的自主产权和核心技术。因此,我国应出台相应政策,集中人力、物力自主发展专用芯片、密码技术等,培养高端人才,完善安全评估和质量认证体系,发展具有先进性和自主性的信息化技术,逐步摆脱核心技术受制于人的现象。电子政务系统建设,要尽可能开发、利用具有自主产权的关键技术和基础设备,自主建设具有可靠的技术、自主生产的软硬件产品的电子政务信息系统,以确保我国电子政务持续健康的发展。电子政务统一的标准应当分层设计。一方面根据急用先行原则设计一些急需的标准;另一方面,规划出我国电子政务发展的阶段性目标和路径,根据这些目标来一步一步设计电子政务标准。就我国目前的现状来看,行政区域辽阔,地区之间的经济发展和信息化水平存在的差异较大,不平衡性表现突出,因此在设计标准时,应当把这些客观因素充分考虑进来;就我国地区间信息化水平差异较大的特点来看,可先制定网络的标准,然后按照信息化水平由高到低逐步覆盖;就“信息孤岛”现象来看,可以统一程序编写语言、数据库架构、信息资源格式等标准,使得部门之间能够互联互通。然后把电子政务的种类和服务类型进行划分,功能上由易到难,机构上由简到繁,对相关标准的制定进行逐步推进,而不能一蹴而就地把电子政务的相关标准一次性设置出来,导致标准一次性设置过多,难以兼顾到细节且脱离实际,各部门在执行标准时也可能因为标准过多而无从下手,进而使得电子政务建设没有达到预期的标准。标准的设立是一个长期的过程,要根据专家、政府、用户等多方的反馈意见来不断修改,最终才能确立,社会的广泛参与是电子政务标准设立过程中必不可少。

(三)加强机制建设,构建安全的电子政务网络

政府部门要严格督促下属各单位、系统的管理机构,明确信息安全建设的领导及岗位责任制,制定相关管理措施,严格安全管理机制,确保政务信息的安全,并对破坏电子政务信息安全的事件进行严肃调查和处理。

1.提高保密意识。电子政务信息安全管理首要解决的问题是提高政务信息管理者的保密意识,要加强组织领导,加强电子政务信息安全知识的宣传教育。采取授课、座谈、知识竞赛等多种方式,对政务信息管理人员进行全方位常态化的宣传教育,提高其信息的安全保密意识,推动电子政务信息安全流转。另外还要积极开展安全策略研究,明确安全责任,增强政务信息工作者的责任心[3]。

2.建立安全管理制度。没有管理组织保证,再好的设备和技术也难以保障政务信息的安全。据调查,在已发生的网络安全事件中,因为管理者问题造成的案例占80%以上,因此信息安全保障体系的建设,首要解决的就是各类相关组织体系的建设,如:信息与网络安全领导小组、信息安全管理处、信息安全管理员等。另外,信息化贯穿了政务工作的全过程,政务信息安全不仅仅是相关信息化部门的问题,更是整个政府政务人员的综合安全管理问题,因此政府领导和各部门对信息安全管理问题的重视很重要,要想把政务信息的安全保障体系建设落到实处,就只有把信息安全管理纳入到政府整体的政务管理中去。

3.健全法律制度,严格依法执行。电子政务规范有序发展的保障是具有完善的电子政务法律体系。为了推动我国电子政务安全、健康的发展,就要树立“立法先行”的理念,通过制定相应的法律法规、修订现有的法律,逐步建立电子政务法律体系,促进我国电子政务持续健康的发展。

第三篇:供应链信息安全体系的构建

1供应链信息安全的特点

现代供应链中无论是企业内部的生产、销售订单、合作企业的生产进度,还是企业间的资金转帐、招投标信息,都是需要高度保密的敏感信息,这些信息的准确性、机密性将直接影响到供应链企业的生产和经营决策[2]。在供应链中,由于信息在节点企业间共享,对信息安全提出了新的要求:(1)信息安全不再是某个企业个体的事情,而是整条供应链所有节点企业共同面临的问题,任何一家企业由于自身原因导致的信息安全事故,将可能危害整条供应链的利益。供应链信息安全保障工作要远比单个企业复杂。(2)供应链上下游企业形成“委托—”关系,具有优势的方往往倾向于增加信息不对称,来获得额外的利益。(3)由于供应链企业间共享的信息具有较高的商业价值,有些企业为了自身利益,可能会将共享的信息泄露给供应链外企业。如何既保证节点企业间的信息共享,又防止企业泄露信息、身份欺诈等有害行为的发生是供应链信息安全需要研究的问题。

2供应链信息安全现状与问题

目前,我国企业在供应链管理的实践中,对供应链信息安全或者重视不够或者束手无策,存在一些较为突出的问题。

(1)信息安全意识淡薄目前我国很多供应链节点企业没有意识到信息是重要资产,没有把信息安全管理工作作为日常工作的重点。据北京谷安天下公司开展的《2011年度中国企业员工信息安全意识调查》活动结果显示,受访者的工作胸卡保管、个人及公司物品保管、出差物理环境安全、办公桌面安全、打印机安全、尾随、口令/密码设置、敏感数据保护、数据备份、密级资料处理、电脑桌面安全等相关安全意识相对较差。

(2)信息安全管理无章可循、有章不循现象普遍供应链信息安全工作缺乏统一的依据和准则,节点企业的安全制度互相间存在内容交叉甚至矛盾,边界定义不明确,安全职责模糊不清,部门责任和岗位责任制得不到真正落实,执行监督机制薄弱。许多企业对移动存储设备的使用无严格规定,员工可以随意使用移动存储设备对文件进行存储备份,企业信息逐步成为个人资产,随着人员流动而广泛传播。员工工作时间上网畅通无阻,无限制地使用QQ、MSN等传送、接收文件,容易导致机密泄露和病毒、木马、黑客的攻击。掌握大量机密信息的特权员工,例如数据库管理员、网络管理员、营销主管和技术研发人员容易将掌握的机密信息出售给企业的竞争对手。

(3)缺乏信息安全技术与管理人才信息化建设中存在重硬件,轻软件和管理的现象,对信息人才的培养与引进关注不够。为了节约人力成本,往往一个信息安全管理员既要负责系统的配置,又要负责系统安全管理,管理权限过于集中,一旦出现管理员的权限失控或离职等情况,极易导致重要信息泄露。

(4)缺乏统一的信息安全战略规划和防范机制许多企业的信息安全措施随意性很强,缺少严格的科学论证,采取的是“贴膏药”式的安全策略,从而引起软硬件安全设备(系统)间防护功能的重叠和弱化,导致管理难度加大,重复投资现象普遍[6]。有些企业经常出现“先业务,后安全”的现象[7],安全管理严重滞后于业务的发展。安全事件发生后才去解决,信息安全人员变成“救火员”,安全建设经常是“亡羊补牢”。

(5)供应链企业之间信息的共享与交流存在安全问题供应链各节点企业在合作过程中一再强调依靠信息共享实现双赢,但又都是独立的利益个体,一旦企业之间发生利益冲突,则容易出现的主要问题有:①合作伙伴的逆向选择风险[8]。由于信息不对称,各节点企业形成的“委托—”关系往往导致了一种逆向选择的风险。委托方往往比方处于更不利的位置,企业往往通过阻碍信息共享,增加供应链中信息的不对称,从合作伙伴那里获得更大利益。②供应链节点企业的败德行为。当前我国企业与供应链(网络信息犯罪)相关法律法规不健全的法制环境下,节点企业会利用信息优势而采取一些违背供应链整体利益或者其它成员企业利益的措施。企业会主动或有意将供应链内共享的信息泄露给没用参与共享的企业来获得额外利益。企业成员间还存在欺诈行为,如不法企业利用身份欺骗,以某企业成员的名义,欺骗其他企业成员[9]。诸如此类败德行为如不加控制会降低供应链的服务水准,导致供应链其余节点企业、顾客的不满和利益流失。

3供应链信息安全体系框架

供应链信息安全系统中的各个安全组件或要素只有整合成为一个整体协同作用时,才能有效保证整体安全管控的目标得以实现。然而,对于我国大多数供应链企业说,信息安全存在上述诸多问题,主要原因是在信息安全建设之初,没有根据供应链整体业务发展的需要确立合理的信息安全需求,导致供应链信息安全架构不合理。供应链信息安全框架旨在为供应链及其节点企业提供一个全面的、自上而下的、结合了国际国内相关安全标准的安全模172型[10]。供应链信息安全框架由企业信息安全治理、信息安全管理、基础安全服务和架构、第三方信息安全服务与认证机构和供应链信息安全技术标准体系五个模块构成。安全治理作为架构的核心内容,是安全管理模块的服务对象,同时,它们也是信息安全策略制定的基础和依据,还是基础安全服务和架构模块中的各个子系统提供选择和建设的依据。基础安全服务和架构模块是信息安全建设技术需求和功能的实现者,是信息安全建设的重要支柱。中间的安全管理模块则通过一系列控制措施,确保基础安全服务功能的实现,最终实现安全治理的要求,满足供应链系统的信息安全需求。供应链信息技术标准体系为供应链和第三方信息安全服务与认证机构提供了标准保障和依据,有利于形成健康法制的第三方信息安全服务市场环境。第三方信息安全服务与认证机构可弥补供应链企业信息安全技术和经验的不足,提供安全托管及信息安全认证服务。

4供应链信息安全体系框架的应用

供应链信息安全框架参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果。在具体运用中可结合信息安全相关方法论、模型及标准,从企业需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业安全需求,再根据安全需求定义信息安全建设的内容和方向,如图2所示。图2供应链信息安全体系框架应用。

5结论

首先分析了我国供应链普遍存在的信息安全问题,主要有:企业员工的信息安全意识淡薄;信息安全管理有章不循现象普遍;缺少信息安全技术与管理人才;缺乏统一的信息安全战略规划和防范机制;合作企业间存在逆向选择风险和各种败德行为等。上述问题阻碍了我国供应链信息安全水平的提高。本文参考了众多企业所积累的经验,吸取了供应链信息安全领域的最新理论研究成果,从信息安全战略、信息安全技术和信息安全管理三方面提出了供应链信息安全框架。在具体运用中可结合信息安全相关方法论、模型及标准,从供应链整体业务需求出发,参照供应链信息安全管理框架,通过评估和风险分析等方法,定义供应链及其节点企业的信息安全需求,据此确定供应链及其节点企业的信息安全建设的内容和方向。需要指出的是,供应链信息安全问题是一个系统工程,其中供应链信息安全标准体系、第三方信息安全服务和信息安全管理体系认证是建立完善的信息安全服务市场的关键。这需要深入供应链企业做大量的调查研究,并对比借鉴国际上ISO28000等标准,研究适合我国供应链实际的信息安全标准体系,这正是笔者下一步要尝试解决的问题。

作者:黄晟辰1李勤2李剑锋3魏军4工作单位:1.杭州电子科技大学通信工程学院2.中国计量学院继续教育学院3.中国计量学院经济与管理学院4.中国信息安全认证中心

第四篇:海洋空间信息安全技术研究

1国外海洋空间信息安全威胁研发概况

1)海洋空间信息安全威胁向立体化发展海洋空间是以海洋为核心的立体空间,包含海底、深海、浅海、海面、海空等不同特性的空间。随着技术的发展,海洋空间信息安全威胁从海洋空间向临近空间、外层空间拓展,针对不同的层次空间特征,包括不同的信息环境和自然条件,采用不同的方案,形成多层次、立体化体系,实现多源信息融合、多功能冗余互补,海洋空间信息安全令人担忧。2)海洋空间信息安全威胁向一体化发展随着高科技的发展,未来战争对空间的依赖越来越强,海战将从海空一体战拓展到深海、太空及网络,信息安全威胁将以体系形式出现,因此,海洋空间信息安全威胁正在向一体化发展,跨越陆、海、空、天、赛博五维空间,适应联合作战的需求。另一方面,信息安全威胁手段也从单种方式(如电子或网络等)向网电一体化综合威胁(即网电一体)发展。3)海洋空间信息安全威胁向无人化发展随着微电子、计算机、人工智能、小型导航设备、指挥控制硬件和软件的发展,在海洋空间信息安全威胁中,无人化技术发展很快,海上无人机已经用于海洋信息侦察;水下无人航行器正在迅速发展,也应用于水下的信息获取,包括海洋战术数据收集、水下目标搜索和侦察等。无人化海洋信息获取手段使用灵活,功能多,环境适应性强,风险低,大大提升了海洋空间信息安全威胁效能。

2海洋空间信息安全军事需求

1)海洋空间信息安全是维护海权和国家安全的必需手段当今世界最引人瞩目的特征是全球化,表现为商品、资本、技术、人员、信息、观念文化等社会要素全球流动,以及各种事物相互影响的全球关联性。全球化显著改变着人类社会的总体面貌,孕育着对海洋的巨大依赖。海洋作为天然通道不仅是经济大动脉,也是方便快捷的军事交通线和广阔的战略机动空间,军事大国利用海洋对别国安全构成威胁。国家生存安全和发展安全都与海洋密切相关,维护海洋安全、掌控国家海权是一种举足轻重的国家战略手段;随着信息化战争转型,海洋空间信息安全是维护海权和国家安全的必需手段。2)海洋空间信息安全是全军信息安全的重要组成部分海洋空间占据地球空间的绝大部分,军事大国借助海洋公共通道和战略空间部署投放军事力量,对世界局势造成严重影响。海洋空间往往是觉察军事行动和战争征候最有效的空间之一,然而海洋空间人烟稀少,海洋信息系统复杂,海洋空间信息安全既具有独特性,又是全军信息安全的重要组成部分。

3海洋空间信息系统特点

由于海洋空间浩瀚无际,人烟稀少,海洋信息来源比较少,随着人们海洋活动日益频繁,对海洋空间信息的需求与日俱增,因此海洋空间信息系统也越来越复杂,通常包括海洋气象环境和海况信息系统,海洋通信系统,海洋导航系统,海洋警戒、预警系统,敌我识别系统,指挥控制系统等。海洋空间信息系统具有如下特点:1)海洋空间信息系统对外层空间的依赖密切海洋空间信息系统通常离不开天基的支持,海洋空间信息系统是空间信息系统的组成部分之一,因此海洋空间信息系统也具有空间通信的暴露性、脆弱性、链路距离长、误码率高等特点,海洋空间信息安全可借鉴空间信息安全技术。2)海洋空间信息系统移动性大由于海洋目标处于运动状态,因此海洋信息链路的建立和保持通常是动态的,具有移动通信的特点,即海洋空间信息系统处于动态变化中,从而使得海洋空间信息安全技术复杂多变,难度大。3)海洋链路通信方式多海洋链路既有无线传输,又有电缆和光缆传输,无线传输使用的频谱宽,从声波到光波,传输介质从海水到外层空间,都有涵盖,传输特性千变万化。由于海洋目标姿态变化大,一般天线波束较宽,链路暴露性、开放性突出,海洋空间信息安全途径拟采用声纳安全、电子安全、光电安全等手段。4)海洋空间信息网络节点分散、规模小由于海洋范围大,数据采集通常采用分散的数据收集平台(含浮标等),数据率不高,而海洋舰船编队相对规模也不大,网络链路层比较脆弱,海洋空间通信网络协议有一定特殊性,因此海洋空间网络安全需要专门研究。5)海洋空间信号环境密度较低由于海洋范围广阔,海洋目标密度相对稀少,电磁信号的背景环境不像陆地那样复杂,海洋上无线电干扰源很少,几乎不存在工业干扰、无意干扰。无线电信号密度较低,电磁信号环境比较“净”,信号安全相对容易实现。6)海洋空间信息系统开放性大海洋空间信息系统民用比例较大,有时军、民交织,开放性较大,同时海洋的国际法规多,因此,海洋空间信息安全拟采用军民结合、平战结合、寓军于民的策略。

4海洋空间信息安全技术途径

海洋空间信息安全的任务可分为海洋空间的信息防御和信息支援。信息防御是指海洋空间信息系统所采用的旨在保持、保护、恢复和重构己方(含友方)信息系统的措施,可分为主动防御和被动防御。信息支援是为信息防御提供技术支持,也包括为军事行动快速决策、提供近实时威胁识别而采取的行动。海洋空间信息安全技术途径可分为陆基、海基、空基、临近空间和天基海洋安全系统。陆基海洋空间信息安全系统是利用海岸、岛礁构建的海洋空间信息安全系统。陆基海洋空间信息安全的继承性和技术可行性较好,因为陆基设备的体积、质量和功耗可以不受限制,天线可以做大,所以既能接收微弱信号,也能发射大功率信号,但是由于受地球曲率和海况影响,其作用距离有限。海基海洋空间信息安全系统是利用舰船和水下航行器等构建的海洋空间信息安全系统。通常继承性和技术可行性也较好,但是技术条件还要受到平台一定的制约;海基信息安全系统活动范围大,可利用公海海域、水上、水下完成海洋空间信息安全任务,可以扩大海洋空间信息安全的覆盖范围。空基海洋空间信息安全系统是以飞机或气球为平台构建的海洋空间信息安全系统。由于设备受到平台技术条件限制,技术难度较大;而且飞机的活动范围往往受到领空限制;另一方面,飞机的飞行速度快,驻留时间短,效能较低。临近空间海洋信息安全系统是利用临近空间飞艇构建的海洋空间信息安全系统,由于临近空间处于空天过渡区,在覆盖、灵敏度和精度等多种性能上常常有恰到好处的特点,并且能在给定海域上空长期驻留,但飞艇的技术难度大,当前还处于预先研究阶段。天基海洋空间信息安全系统是利用空间飞行器构建的海洋空间信息安全系统,天基海洋空间信息安全系统瞬时覆盖范围大,效能高,不受地域、时域限制,与其它技术途径相比,具有较大优势和发展前景;但天基系统载荷设备受到体积、质量和功耗的严格限制,而且空间环境恶劣。

5关键技术

1)海洋空间信息安全总体技术分析研究海洋空间军事信息威胁和信息环境背景,研究海洋空间信息安全系统任务功能、使命,研究海洋空间信息安全技术途径,分析论证海洋空间信息安全体系构架和发展战略,研究海洋空间信息安全系统总体方案,并进行可行性分析论证,分解关键技术。2)海洋空间电子系统安全技术研究海洋空间电子系统安全任务功能、总体方案、技术指标,进行可行性分析论证,研究关键技术,包括海洋目标高精度定位技术、海洋空间盲侦察技术、海洋空间电子防御技术、海洋空间电子干扰和抗干扰技术等。3)海洋空间声纳安全技术研究海洋空间声纳安全任务功能、总体方案、技术指标,进行可行性分析论证,研究关键技术:海洋目标高精度声纳定位技术,海洋空间声纳探测、识别和防御技术,海洋空间声纳干扰和抗干扰技术等。4)海洋空间光电安全技术研究海洋空间光电安全任务功能、总体方案、技术指标,进行可行性分析论证,研究关键技术等。5)海洋空间网络安全技术研究海洋空间网络特性,研究海洋空间网络安全任务功能、技术途径、总体方案、技术指标,进行可行性分析论证,研究关键技术等。6)海洋空间一体化信息安全技术研究信息化转型,研究一体化联合信息安全,研究信息安全指挥控制方案,研究信息安全数据融合和共享,研究信息安全一体化方案等。7)海洋空间气象海况信息安全技术研究海洋空间气象海况信息系统,研究海洋空间气象、海况信息等关键技术。8)海洋空间信息安全仿真、评估技术研究海洋空间信息环境背景和模型,研究海洋空间信息安全模型,研究海洋空间信息安全指挥控制模型,研究海洋空间信息安全效果评估方法,构建系统仿真、演示研究平台。9)新概念海洋空间信息安全技术跟踪研究信息安全技术发展,研究海洋空间信息安全新概念、新技术。

6结束语

综上所述,与外层空间相比,海洋空间是人类资源的第二大空间,且包含人类共享而又更易到达的公海空间。随着经济全球化的加速发展,以及国际军事格局的变迁和信息化的转型,海洋空间信息安全必将是信息化时代的战略高地,开展海洋空间信息安全顶层设计研究、加速发展海洋空间信息安全系统具有深远的战略意义。

作者:黄汉文工作单位:上海卫星工程研究所

第五篇:数字化档案信息安全管理策略

一、实施数字化档案信息安全管理的意义

随着我国信息化水平的迅速提升,我国对数字化档案信息安全管理也有了更为深刻的认识。信息安全管理是维护数字化信息安全的重要手段,正所谓“三分技术,七分管理”,由此可见信息安全管理的重要性。数字化档案信息保障体系建设过程中必须有一套较为完善的制度,只有这样才能保证信息保障体系建设各个环节开展的规范性与合理性,而在信息保障体系建设中运用信息安全管理制度就能够达到保障信息安全的目的。对数字化档案信息进行安全管理,能够使所有人员主动参与到数字化档案信息保障建设过程中,不仅能够大大提高员工工作质量,同时还能够提高员工工作效率,因为科学有效的安全管理能够提高企业员工的凝聚力与向心力,对维护数字化信息安全及企业发展都有一定的积极作用。

二、数字化档案的信息安全问题分析

数字化档案信息与计算机中其他普通数据一样,都会受到多种不安全因素的影响。数字化档案信息主要是以信息数据的形式储存在于计算机内部系统中,若出现安全问题会直接影响档案信息的完整性与安全性。据调查了解所知,目前数字化档案信息主要存在的安全问题有以下几个方面:

(一)计算机硬件故障

现在大部分计算机中各个部件都采用了一定的保护机制,但这并不能阻止一些硬件故障的出现。硬件故障对数字化档案信息的危害性很大,比如若计算机中的硬盘磁道出现损坏或者严重故障,那么在很大程度上会造成信息数据破坏或者丢失,导致数字化档案信息的不完整。近年来,随着计算机设备的应用量越来越大,其内部硬件故障发生的频率也随之不断增高。

(二)计算机软件故障

要实现计算机对各项数字化档案数据的处理,有赖于计算机操作系统及数据信息处理相关软件。计算机软件的性能高低直接关系着数字化档案信息数据的安全性与完整性。随着数字化档案信息系统的不断完善,信息系统对软件的要求也越来越高,在这种情况下就出现了计算机软件功能性无法满足数字化信息系统的要求,在软件使用中无法确保其性能的稳定性。虽然在数字化档案信息系统操作中存在一些计算机软件故障,但与硬件故障相比,其发生故障的机率较小。

(三)病毒及黑客侵袭

病毒及黑客入侵是影响数字化档案信息安全的主要问题之一,这种问题较为常见,虽然一些计算机用户设置了防火墙,安装了多种杀毒软件,但依然无法完全避免病毒及黑客的非法入侵。

(四)系统更换操作或者停机

硬软件本身的兼容问题或者系统中包含的诸多无用资源,很容易导致计算机出现停机或死机状况,这是导致信息数据丢失的一个原因。

(五)人为操作引起的故障

在数字化信息数据安全维护过程中由于信息管理人员计算机操作不当,会对数字化档案信息安全造成一定的威胁,比如误删除信息数据的现象在日常工作中时有发生。

三、数字化档案的信息安全管理策略

针对上述问题在数字化档案信息安全维护中不仅要选择可靠的硬件设备,采用先进的信息安全保障技术,更要进行全方位的数字化档案信息安全管理,只有这样才能有效解决数字化档案信息安全问题,提高数字化档案的安全性。以下是笔者结合目前数字化档案信息安全问题所提出的安全管理策略:

(一)硬件设备安全管理

据调查了解所知,计算机硬件故障发生率十分频繁,严重影响了数字化档案信息安全,因此在信息安全管理工作中的首要任务就是对硬件设备进行科学选择与管理。应根据数字化档案信息系统的实际情况选择合适且性能良好的硬件及软件设备。另外在选择过程中应重点考虑计算机服务器的品牌及客户机,全面审核硬件设备的兼容性及拓展性,这样做的目的是为了当系统升级时避免数据信息丢失。

(二)信息技术安全管理

在数字化档案信息安全管理过程中仅靠管理人员的力量是不够的,还需要信息技术的协助。为了保证数字化档案信息数据的安全性,在管理工作中可以运用一些先进的信息技术来提高数字化档案信息安全。比如可以设置信息访问身份验证、防病毒体系,还可以对相对机密的数据进行加密操作,采取数据加密的方式可以有效防止信息数据在传输过程中被一些木马病毒及非法网站入侵,对保护数字化档案信息十分奏效。

(三)完善信息安全管理制度

在数字化档案信息安全管理工作中需要一套完善的信息安全管理制度,原因在于数字化档案信息种类较多,且具有一定的复杂性,若不制定完善制度,实行全面的制度化管理,很容易导致信息安全管理内部一片混乱,为了避免这种状况,企业应积极建立并完善信息安全管理制度。一般建立完善的信息安全管理制度需要从二个方面入手:

1.建立数字化文档管理制度。对于已储存在计算机中的信息应进行分类管理,大致应将其分为秘密、机密、绝密与非保密等几种保护类型。另外对于一些相对机密及敏感信息不仅要采取加密措施,还要将其储存在脱机的安全环境中,以免信息被他人非法窃取、破坏或修改。

2.建立人员安全管理制度。首先要将信息安全管理贯彻落实到实际信息维护中,让管理人员对信息安全管理有一个清晰客观的认识。这样一来,管理人员就会在工作中认真贯彻执行,极力维护数字化档案的安全。信息安全管理部门总负责人应对各个管理人员的工作进行考核,对于一些管理操作不当或管理不够严格的人员应给予相应的警告或处罚,让其从思想上意识到信息安全管理的重要性。其次应对信息安全管理人员进行定期培训,让其及时学习其他企业及国外优秀的信息安全管理方法及理念,为信息安全管理工作注入新的血液。这样一来,不仅能够大大提高信息安全管理的时效性与合理性,同时还能够提升信息安全管理人员的综合素质,对数字化档案信息安全管理工作的有效开展具有一定的积极意义。在数字化档案信息安全管理中,要想充分发挥管理的作用,全面维护档案信息安全,保障档案信息的完整性,就要结合数字化档案信息系统的实际运行特点,全面考虑信息安全问题,从而有针对性的采取相应的管理策略,实现数字化档案信息的制度化管理。

作者:翟俊海工作单位:河北省邯郸市中心血站

第六篇:网络信息安全应急通报研究

1信息安全应急管理通报机制

信息安全应急管理通报机制是由政府组织的,对所辖范围内的信息系统进行实时监控,对系统状态、发生的安全事件等进行通知通告、对可能发生的安全事件进行预警通报的一种机制。建立良好的信息安全通报机制是做好应急管理的基础,及时网络与信息安全事件信息,进行预警,避免信息安全事件大规模爆发,及时进行事后总结,进行趋势分析,为信息安全应急管理提供必要依据。同时,建立网络与信息安全的信息共享和通报机制,能够确保在发生网络与信息安全事件时能统一协调行动,及时有效处置,加强联合防护减少危害损失和影响。建立信息安全应急管理的通报机制,应本着统一领导、快速反应、分工协作、及时预警等原则。通报机制的内容应涵盖组织机构、信息来源、通报内容、通报对象、通报流程与方式、通报后期处置等内容。省级信息安全管理通报机制的组织机构,包括应急管理的指挥机构、办事机构、监测成员单位(含各行业主管单位)、信息系统运营使用单位、处置专家组、技术支持单位等。其中指挥机构主要负责统筹协调跨部门的信息安全工作;办事机构是指挥机构的具体执行部门,承担安全信息的收集、汇总和上报,以及其他日常事务处理工作;实施监测单位主要负责对各类信息安全事件和可能引发信息安全事件的有关信息进行安全监测工作;信息系统运营使用单位、处置专家组、技术支持单位主要执行应急处置决定等。

2省级信息安全应急通报范围

在信息安全应急管理中,对信息安全事件的分类、分级是做好应急管理的基础,根据事件等级进行相应处理,做到适时适度地利用人力、物力等资源。网络与信息安全事件一般分为信息安全事件是已经发生的网络信息安全事件。信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、系统故障和灾害性事件等。这些事件可以按照严重程度划分为四个级别:I级(特别重大)、II级(重大)、III级(较大)、IV级(一般)。其中特别重大事件对国家安全、社会秩序、经济建设和公众利益造成的损害特别严重;重大事件指对国家安全、社会秩序、经济建设和公众利益造成严重损害,需要跨部门、跨地区协同处置的信息安全事件;较大事件是指某一区域或部门范围内发生的,对国家安全、社会秩序、经济建设和公众利益造成较严重损害的事件;一般事件是指对国家安全、社会秩序、经济建设和公众利益构成一定威胁,对公民、法人和其他组织的权益有一定影响的信息安全事件为一般信息安全事件。在信息安全通报机制中,还应对预警信息进行分级。预警信息是指预警信息是指存在潜在安全威胁或隐患但尚未造成实际危害和影响的信息,或者对事件信息分析后得出的预防性信息。预警信息分为四级:I级、II级、III级、IV级,依次为红色、橙色、黄色和蓝色表示,分别对应可能发生特别重大、重大、较大和一般的信息安全事件。省级信息安全应急通报应根据实际情况分为两种时期的通报,即紧急通报和常态化通报两种。常态化通报主要用于日常信息的统计、预测和汇报。不定期通报是指紧急状态下的信息安全情况通报。所谓紧急状态,是指发生或者即将发生特别重大信息安全事件,需要国家机关及我省应急指挥部依照宪法、法律规定,行使紧急权力予以控制、消除其社会危害和威胁时的一种临时性的严重危急状态。在此状态下,实施监测单位、事发行业主管单位及事发单位应执行24小时实时监测,并于每日16时前将当日监测结果报送至省协调小组办公室。信息安全通报机制的信息来源应包括对重点领域网站的安全性监测信息、横向信息来源、纵向信息来源和其他方面信息来源。网站监测信息是由省级网站监测部门实施的对全省的重点网站的信息安全事件及潜在风险进行的实时监测;横向来源是指政府中具有监管职能的部门实施监测所获得信息;纵向信息来源一般应由省级行业主管单位对本行业内部的信息安全事件和潜在风险实施监测所获信息,如电力、证券期货、银行、卫生、通讯、广电、教育,以及其他涉及国计民生的行业主管单位;其他信息来源指的是网络安全产品研发企业提供的信息。这些信息经过汇总与研判再进行下发、通报与汇报等。

3通报结果的考核

作为信息安全应急管理工作的重要环节,应急通报过程中及过程后的工作响应情况、信息准确情况、及时程度等都是决定应急处理工作成败的关键因素。因此,在进行应急信息通报及处理过程中,对通报的内容、结果进行考核是十分必要的。建立通报机制时,应考虑责任与考核问题。应能保证通报过程中各单位能够认真履行职责,保证通报信息的及时、准确,因瞒报、缓报、谎报而产生的后果,将依法追究其相关责任。对落实信息安全工作中表现突出的部门也应予以表彰奖励,对违反有关规定、未按要求落实工作或处理信息安全事件不积极、不及时的主管单位予以通报批评。考核能容至少包括安全整改情况、处置情况,信息安全事件等级与数量,预警信息等级和预警信息数量等因素。

4综述

综上所述,信息安全应急管理是一个多部门、多组织共同协调的过程,其中的信息安全应急通报机制也是实行分级管理、分级负责、统一指挥、立足防护的综合过程,各级通报单位和部门主管单位通过建立和完善信息通报、报告制度与联动工作机制,各司其职,形成合力,共同推进网络与信息安全保障工作。

作者:王希忠黄俊强马遥吴琼工作单位:黑龙江省信息安全测评中心

第七篇:信息安全课程创新教育研究

1传统信息安全教学模式存在的问题

目前在网络安全专业课程教学中,高等院校主要讲授网络安全的基本概念和基本原理、计算机病毒木马的特征类型、密码学、网络安全应用等课程。由于这些课程的理论性较强、概念繁多,因此学生普遍觉得太抽象,学不到与实际工程项目相关联的网络安全技术。

(1)课堂教学以教师的理论教学为主,主要讲授网络安全体系结构的基本概念和基本原理,只起到网络安全导论的作用,缺少互动性和项目实践。

(2)学生从大二第二学期才开始接触到信息安全课程,在入学初期没有培养起对信息安全的兴趣,不了解信息安全的基本概念、重要性以及与信息安全有关的就业岗位,教师也没有为学生科学地制定大学4年的学业规划。

(3)随着物联网和云计算的普及,各种网络安全攻击手段和保障网络安全的技术不断推陈出新。目前,信息安全的一些专业课程还只是停留在基本原理的讲解上,没有做到与时俱进,很少讲授前沿的网络安全应用及其存在的安全隐患及解决方案。教师没有引导学生利用发散性思维并投入到对前沿网络技术和安全技术的研究中。

(4)缺少网络安全工具实训。现在很多网络安全工具都是开源工具如Backtrack等,掌握这些工具需要花费大量时间,因此需要开设网络安全工具实训课程,让学生掌握如何配置、安装、使用和定制个性化的开源工具。

(5)缺少安全软件设计等实践课程。信息安全专业的学生除了要能够利用安全工具进行系统安全测试外,还要掌握如何防御和解决系统安全漏洞,另外,还有很多学生希望从事安全软件开发工作。这就要求高校设置安全软件设计开发类的课程,帮助学生掌握安全软件开发过程中所需的知识和技能。

(6)缺少创新思维的培养。国内大学生的创新性较欧美大学生有所欠缺,因此要注重信息安全专业学生的创新思维培养,并且要从大一开始就进行创新思维的锻炼。

2创新思维在信息安全领域的重要性

物联网、移动计算、云计算等新技术正在改变整个互联网,新技术、新应用和新服务正带来新的安全风险。这给网络安全工作者和研究者带来了新的挑战,网络安全从业人员应该具备创新思维以应对这些挑战。我们将从以下几个方面阐述创新思维在信息安全领域的重要性。

(1)社交网络、智能终端、手机等逐渐成为病毒的攻击目标。原有的安全防范技术和安全观念已很难抵御新的网络入侵技术和安全威胁。

(2)网络犯罪日益增多,许多网站的服务以及手机操作系统向第三方应用程序开放,软件通过挂木马和隐藏后门的方式窃取信息并监听用户系统,因此安全隐患问题不容忽视[1]。随着电子银行、电子商务、网上支付和手机支付等应用的全面普及,攻击支付网关、截取交易信息、抢夺虚拟财产等网络犯罪行为增多,网络犯罪的形式、手段和后果更加不可测。

(3)信息安全与网络管理的变革势在必行。由于互联网的革命性发展以及云计算和物联网的兴起,未来的网络将日益扩张并日趋融合,如“三网合一”。与此同时,网络入侵、木马病毒、手机病毒等恶意代码和网络犯罪方式也随着新技术、新业务和新应用的诞生而不断推陈出新,因此信息安全技术和网络管理也需要与时俱进地进行创新性变革,应对互联网的变革。

3网络安全教学中融入创新思维培养的实践

结合东华大学计算机科学与技术学院培养信息安全专业学生创新能力的经验,我们阐述如何从学生入学到毕业的4年间培养其创新思维和实践能力。

3.1培养学生对专业的兴趣

首先,我们要积极发挥班级导师的作用。网络安全的任课教师可以担任信息安全专业学生的学业导师,学业导师在学生入学后通过学习方法和学业规划等主题开展学习交流会,在会上介绍网络安全的知识结构、科学背景、发展趋势、行业需求、就业领域,并引用前沿网络安全技术和最新的网络安全隐患案例和视频,如利用智能手机安全漏洞和“云”查杀病毒技术等案例激发学生的兴趣。兴趣是学生的学习动力,学生是教学的主体,在教学中对课程的参与度高低直接影响整个教学成果,因此要提高学生的学习效率,首先要增强他们对网络安全技术的兴趣。导师应在易班网上学生活动社区或其他社交网站上建立网络班级,保持与学生的日常沟通,为学生选课提供帮助;协助学生进行学习生涯规划,同时为专业学习提供帮助;在网上班级设置“我的Idea”专题,让学生在论坛里发表自己的创新想法,如要做什么样的系统或软件解决生活中遇到的一些问题。该阶段学生还没有实现这些软件的技术能力,导师可以指导学生学习某方面的技术以实现这些有创意的想法。

3.2以赛代练,参与国家和市级大学生创新项目和高水平信息安全竞赛

在创新实践中,辅导员和学业导师起着非常关键的作用。学业导师都是计算机学院的在职讲师或教授,他们可以把自己主持或参与的科研课题介绍给学生,让学有余力的学生参与学业导师的课题研究,一方面培养学生的自学能力并积累科研所需的知识,另一方面培养学生的创新思维。辅导员和学业导师经常组织学生参加信息安全大赛,如全国大学生信息安全竞赛和信息安全技能大赛。同时,为了鼓励学生进行科技创新,东华大学计算机科学与技术学院每年组织学生参与全国和上海市的创新实践项目申请,学生组团挑选专业课教师作为项目导师,共同探讨创新课题、撰写科技创新项目申请书并提交给专家组,学院组织专家评选20多个创新性高且可行性强的课题并给予资助,在大四上学期对给予资助的项目进行结题审核。学院鼓励获得上海市级以上大学生创新实践项目的学生将创新实践项目的实施与大四毕业设计(论文)相结合,获得专利创新设计的学生还可提前完成毕业设计并参与创业基金项目的申请或到优秀企业实习。在这些科技创新项目中不乏优秀作品,如基于手势识别的文档加密系统的开发、基于Android的动态一次性口令生产器开发、基于Android系统的短信隐私保护软件的开发等。学院每年举办的这种创新性竞赛激发了学生的创新思维、团队合作意识、项目管理和软件设计开发能力。参与科技创新竞赛学生的学习成绩和项目实践能力远远高于平均水平,同时他们的创新能力和工程实践能力也得到广大教师和实训单位的认可,大部分学生获得了直研和被优秀企业聘用的机会。

4工程实践课程的成果展示

在过去3年的信息安全工程实践教学中,信息安全专业的学生完成了多个优秀工程实践项目。大三学生在学习了DES和AES算法后,在工程实践教学课程中利用HTML5中的动画技术实现了DES算法和AES算法的动画演示。图1所示为学生在工程实践课程中利用RC5算法实现Android手机短信加密系统,其中短信加密界面如图1(a)所示,短信解密界面如图1(b)所示。通信双方利用这个系统只需共享加密和解密密钥就可以进行加密通信,很好地解决了短信的隐私保护问题。

5结语

现今的网络安全已经成为全球关注的课题,新的网络应用与网络结构对网络管理和网络安全技术提出新的要求,因此高校在培养信息安全专业人才时,要抓住网络发展和网络安全技术的最新趋势,注重培养学生的工程实践能力和创新能力。我们在教学工作中也应注重学生的兴趣培养和学业规划,发挥学业导师的作用,鼓励学生参加科技创新竞赛和各类课外创新活动,同时开设CDIO模式的工程教学课程,在培养学生创新能力的同时加强学生的工程实践能力。

作者:李悦夏小玲王高丽李玮工作单位:东华大学计算机科学与技术学院

第八篇:信息安全政策理论构建

1信息安全政策的定义

目前,我国对信息安全政策并未给出明确的定义,但我国很多专家学者都对信息政策做出了定义。虽然目前国内外关于信息政策的含义存在着不同的理解,对信息政策的范围和内容也缺乏统一的认识,但对于作为我国信息政策重要组成部分的信息安全政策的定义仍有着重要的借鉴作用,因此,笔者首先对信息政策定义进行归纳研究,从而进一步探讨我国信息安全政策的定义。当前,我国学术界对国家信息政策的概念有多种表述,归纳起来主要有以下几种观点:①从管理的角度出发,信息政策是国家根据需要规定的有关发展与管理信息事业的方针、措施和行动指南;②从决策的角度出发,信息政策是政府或实体为实现一定的目标,如信息自由流通、信息资源共享而采取的行动准则;③从信息活动出发,认为信息政策是调控社会信息活动的规范和准则。以上观点从不同的角度对信息政策进行了定义,但它们在目标和功能上是一致的,可以归纳为信息政策是指在为解决信息管理和信息经济发展中出现的,涉及公共权益、安全问题,保障信息活动协调发展而采取的有关信息产品及资源生产、流通、利用、分配以及促进和推动相关信息技术发展的一系列措施、规划、原则或指南。借鉴信息安全和信息政策的定义,笔者认为:信息安全政策是指为保护信息的完整性、可用性、保密性和可靠性,使内部信息不受到外部威胁而制定的一系列措施、规划、原则或行动指南。

2信息安全政策的作用

2.1信息安全政策是保障社会团体组织实现信息安全管理目标的行为准则

不同的组织团体根据自身的信息安全的需要制定一系列作用于组织内部的信息安全政策,这些政策主要包括保障信息在收集、传播、服务和共享等方面安全的规章制度,以及相关的激励和处罚条例,这些信息安全政策对组织内部人员对信息的安全使用提供了行为规范,从而保障了信息活动安全顺利进行。

2.2信息安全政策是对信息系统安全运行机制进行调节的一整套政策体系,对我国信息事业安全发展具有宏观推动作用

信息安全政策是一个庞大的政策体系集合,它是在国家信息政策的指导下,根据不同的信息安全状况,而制定的一系列保障信息工作安全进行,信息市场快速、安全、稳定发展的原则、指南、规定、条例等。这些安全政策为我国信息工作和信息产业的安全发展起到了宏观指导和规划作用,从而在很大程度上推动着我国信息工作安全进行和信息产业安全发展。

2.3信息安全政策是我国信息安全建设的方针、原则和办法,它对我国信息安全活动起到指南作用

随着信息技术事业的发展,涉及信息安全领域的问题愈来愈多,如何才能保障信息在流通使用各个环节中的安全已成为国内外专家学者的研究热点。信息安全技术的发展虽然为信息安全起到了技术保障作用,但却不能对信息安全使用、保障信息安全建立起秩序并起到指导作用,信息安全政策弥补了技术上的不足,建立起了我国信息安全建设的方针、原则和办法,对我国信息事业的发展建设和信息活动的安全进行起到了指南作用。

3信息安全政策的本质

信息安全政策是一种政治政策措施,而政治政策措施具有多种规定性,这些规定性放在一起使得政策成为权力机关为达到一定的目标而采用的方法和手段,它是理论与实践的中间环节,因此它具有理论和实践的二重性。

3.1信息安全政策是维护信息环境趋向和谐和正常运转的基础

信息安全政策是解决信息安全问题的最直接环节,信息安全政策制定的正确与否决定着信息安全政策目标能够实现与否和信息安全政策实施的程度及范围,信息安全政策的实施是完善、维护现有信息安全政策,制订新的信息安全政策的基础,通过信息安全政策的有效实施和完善健全,信息在信息流通的各个环节的正确性、安全性、完整性、冗余性得以保障,从而使信息环境更加美好和谐的运转。

3.2信息安全政策是政策主体站在公共立场上维护信息不受侵害的重要工具

信息安全政策的制订实施为维护信息安全提供了保障工具,它的制订和实施从公共立场上维护了政策主体的利益,然而由于信息安全政策主体即信息安全政策的制定实施者和信息政策客体即政策目标人群之间存在着价值取向地位不同的问题,从而导致了信息安全政策主体和目标群体的价值能否独立在信息安全政策过程之外,换而言之:信息安全政策制定者、执行者及目标群体自身的价值取向是否会影响政策最终地价值趋向就成为了研究关键。笔者认为:虽然信息安全政策的主体是站在维护公共信息安全的角度来制定和执行信息安全政策的,但是由于政策制定者和政策执行者在信息安全政策的制定中或多或少的受到个人主观因素的影响,政策目标与政策目标群体在价值取向上不完全吻合,使得信息政策过程不再是直线过程,因此,希望信息安全政策一出台就能解决所有的信息安全政策问题是不现实的,这是对信息安全政策主体和信息安全政策目标群体主观能动性的否定,也是对信息安全政策过程中自上而下的信息流的忽视,更是把信息安全政策当做一成不变的决策结果和行动指南的唯心思想。

4信息安全政策的功能

4.1导向功能

信息安全政策的向导功能主要是通过两种途径表现出来的:①借助于信息安全政策目标群体目标因素,来规范目标群体的行为方式。信息安全政策的制定者根据其对信息安全事业发展的客观过程、变化趋势以及目标群体的需求分析进行预测,提出政策目标,并为目标实现制定具体方针、步骤、方法及措施等,以此规定人们的行为准则,从而使信息活动能够安全进行。②借助目标群体的价值因素,来规范目标群体的行为方向。信息安全政策目标群体的自利性以及对信息安全政策的理解认知程度,都是影响信息安全政策颁布施行的关键因素,信息安全政策能够通过其价值系统来明示人们信息安全政策的是非界限,统一人们的价值观念,从而达到信息安全政策的目标。

4.2调控功能

随着信息技术的进步,人们对信息需求量日益增加,信息为社会各个团体带来的巨大利益清晰可见,信息的拥有量和经济效益成正比例趋势攀升。现实社会中的不同利益群体之间不可避免地会有摩擦、冲突和对抗,政府必须使用公共政策这种有效工具来对信息使用中的各种矛盾进行调控,从而减少利益团体在对信息使用争夺过程中对信息造成的泄露、破坏、丢失等危害,以及这危害带来的经济损失。其次,信息社会之所以能够运用信息安全政策对信息的安全流通进行调控,是因为现代信息社会的运行不是一个自发的无序的过程,而是一个依据客观规律、有序的过程。

4.3管制功能

信息安全政策的解决,可以通过令信息安全政策对象不做什么来达成信息安全政策的目标,信息安全政策主体要制定相应的政策条例来禁止政策对象不做什么,或者说要使信息安全政策对象不发生政策主体不愿见到的行为,如信息泄露、信息丢失、信息盗用等行为,就必须使信息安全政策对政策目标的行为具有管制功能,这种功能是通过信息安全政策条文规定表现出来的。目前,我国还没有相应的信息安全法律出台,因此信息安全条例的管制功能就显得尤为重要。

5结束语

综上所述,笔者对信息安全政策定义、作用、本质、功能进行了论述,希望能为我国信息安全政策的发展起到推动作用。

作者:刘婷婷马海群工作单位:黑龙江大学信息管理学院

第九篇:信息安全人才培养研究

1我国信息安全人才缺乏现状及专科层次培养模式的不足

进入二十一世纪以来,信息安全人才的缺乏已经成为全球性问题,而这一点在我国尤为突出。权威数据显示,我国现有的信息化安全专业人才和获得中国信息安全产品测评认证证书的人员屈指可数。在目前的信息安全技术从业者中,能从事技术创新和产品开发的高端人才非常短缺,而能从事信息安全管理和服务的一般性人才同样严重不足。由此可见,我国各类层次的信息安全人才缺口较大。目前,我国的信息安全人才培养大致分为安全知识普及、认证考试短期培训和正规学历教育三个层次。在学历教育层面,我国高校自2001年开始培养信息安全专业本科生,目前提供本科层次教育的高校已经有50余所,且大都是有着雄厚办学基础的“985”、“211”重点院校。这些院校着重培养知识面宽广、理论基础扎实的理论研究人才和具有较强工程实践能力的技术人才。然而,这些相对高端的人才并不能完全满足当前各行业对能胜任普通的网络安全设备安装与调试,网络系统漏洞修复,电子商务网站安全运营、安全服务营销等人才的需要。尽管本科层次的人才培养体系日趋完善,然而以培养应用技能型人才为目标的专科培养层次仍处于起步和探索阶段。目前,开设信息安全专科专业的院校较少,尚未形成完善的培养体系,大多是采用了本科培养体系的压缩版或选摘版,既不符合专科学生的知识水平和学习规律,也无法真正实现应用技能型人才的培养目标。因此,对专科层次培养模式的研究是非常迫切和必要的。

2信息安全专科层次人才的培养定位、目标和能力要求

鉴于信息安全管理和服务人才的缺口较大,并结合专科层次人才“应用+技能”的基本培养目标,可以将专科学生的就业岗位目标定位在:网络安全设备维护,网站维护与安全管理,安全产品营销等。信息安全专科人才的培养目标是:培养能够适应社会主义市场经济发展需求的,德、智、体、美全面发展的,熟练掌握信息安全技术的基本理论,掌握防火墙、入侵检测技术及配置方法,掌握主流操作系统的安全机制,掌握网络病毒及网络入侵的基本原理和防范技术。培养人格健全、具有一定的工程实践能力且能胜任信息系统维护、网络安全设备维护、网站维护与安全管理及数据库应用系统管理等技术岗位和信息安全分析、规划与管理岗位的高素质技能型专门人才。信息安全专业的能力要求包括基本素质与技能以及专业能力两个主要方面。在基本素质与技能方面,要求学生具备基本的政治理论素质,思想品德与法律素质,计算机基础应用能力,外语运用能力,逻辑思维与抽象思维能力和良好的身体素质。在专业能力方面,要求学生具备软件系统分析设计能力(掌握算法的设计、分析技术,基本的计算机软件理论体系),微机语言程序设计能力(熟练掌握一到两门编程类语言并能灵活应用,掌握其编程思路及方法),数据库管理与应用能力(掌握数据库的基本原理,掌握数据库设计及网络数据库应用系统的开发方法),信息安全分析、实施和管理能力(掌握信息安全理论体系,了解现代密码学技术,掌握保护计算机网络及典型网络应用系统的安全协议、策略和解决方案),信息系统维护及防御能力(掌握计算机网络基础知识及组网方法,掌握信息安全产品的使用,熟悉信息安全管理规范,掌握黑客攻击手段、分析与防范技术以及病毒防范的方法)。

3信息安全专科层次的课程体系设置

在课程体系的制定过程中,以培养学生具有信息安全系统的维护与管理能力为目标,结合当前信息安全专科学生的就业岗位能力要求,我们引入了多门当前安全行业所必备的专业课程。考虑到知识体系的完备性以及学生毕业后在专业领域的继续发展,我们保留了计算机专业的核心专业基础课。同时,考虑到专科学生与应用型本科学生间的差异,在制定专业基础课的教学计划时强调以“能真正掌握、够用”为原则。具体地,信息安全专科专业的课程体系可分以下四个层次展开:公共基础课的教学目标是培养学生具备良好的人格品质和基本的专业素养。主要课程包括思想道德修养与法律基础、思想和中国特色社会主义理论体系概论(简称概论)、形势与政策、大学英语、大学体育、计算机技术基础、高等数学、职业规划与就业指导。专业基础课的教学目标是帮助学生为进一步学习专业课程打下坚实的基础。主要课程包括信息安全导论、C程序设计、计算机网络技术基础、Java语言与面向对象程序设计、Web编程技术。专业课的教学目标是帮助学生建立完整的知识体系结构,掌握本专业最核心的、支撑性的理论与技术。主要课程包括数据结构、密码学基础、计算机操作系统、SQLServer与数据库应用、信息安全综合实验、Lin-ux操作系统。专业选修课的教学目标是向学生介绍信息安全应用领域的关键性技术。主要课程包括安全电子支付、计算机病毒原理与防治、网络攻击与防御技术、信息系统安全管理等。

4信息安全专科层次培养计划实施过程中的教学、实践改革措施

为了确保信息安全专科人才培养的目标,需要在培养过程中重点加强以下几点:(1)实施双证培养模式(即毕业证+信息安全相关职业资格论证)。为了提升学生就业的竞争力,需要鼓励学生参加国家推出的权威信息安全职业资格认证考试(例如国家信息安全技术水平考试)或者国际认证的安全资格考试。(2)以“工学结合”为指导思想,加强实践教学环节培养,推进校企联合、顶岗实习。具体地,在确保理论环节教学质量的同时,加强实训教学环节建设。与企业合作,建立校内的工程实践中心建设。借助学校特有的人才和智力优势,将专业教师与部分优秀的学生编入项目组,承接部分校外的技术开发项目,从而提高学生的动手能力。拓宽渠道,建立校外顶岗实习基地,从而真正地实现工学结合。同时,以开展“订单式”教育为起点,积极探索与企业开展深入合作的新模式。通过上述环节,可以使学生在走上工作岗位前就能熟练地掌握一些在今后工作中所需的专业技能,实现“零距离就业”和与企业的“无缝对接”。使学生成为走出校门就能迅速上岗的应用型人才。(3)加强对教师的培训。在学校和学院的两级支持下,积极支持骨干专业教师攻读重点高校的信息安全专业学位或进修部分信息安全专业核心课程,定期组织专业教师赴省内外其他高校进行参观考察。同时,选派部分专业教师去合作企业进行技术交流和短期工作,深入了解企业的项目管理模式和技术需求,提升专业教师的“双师”素质。(4)加强信息安全教学实验室的建设力度。信息安全教学实验室是培养学生动手实践能力的教学场所,是确保培养质量的重要环节。目前,实验室开设的实验内容包括重要网络安全设备的安装与配置,典型密码技术的原理与演示,网络攻防技术等。在此基础上,重点加强综合性实验的实验项目设置和实验教学计划的制定。此外,需要结合现有的实验室环境和设备情况做好对实验指导、讲义的编写工作,从而确保实验教学的顺利进行和学生完全掌握实验步骤的具体细节。

5结语

针对当前信息安全专科层次培养体系的不足,围绕信息安全管理和服务人才培养过程中的培养目标、定位、课程设置以及教学改革等一系列问题展开研究,提出了较为完善且可操作性强的信息安全专科层次人才培养方案。当然,针对信息安全专科层次人才培养模式的研究是一个实践性强、困难较大且需要长期摸索的过程。我们相信通过不懈的努力与经验积累,必定能探索出一条适应于符合地方经济社会发展需要和地方高校生源实际情况的培养之路,从而为今后进一步提高信息安全人才的培养层次奠定坚实基础。

作者:柳欣1,2工作单位:1.山东青年政治学院信息工程学院2.山东省高校信息安全与智能控制重点实验室

第十篇:信息安全立法设计

一、中国网络信息安全现状

信息安全问题自古有之,只不过是在互联网出现后,这一问题被无限放大。网络颠覆了传统的信息交流环境,导致网络社会的信息安全问题较之传统社会更加复杂。与其他国家一样,信息安全已成为我国国家安全、公共安全和个人安全最严峻的威胁之一。

(一)国家安全受到严重威胁

网络运转是包括各种硬件设备和相应的软件在内的技术的有机结合,一旦离开了这些技术,网上活动将无法进行。就目前而言,从互联网资源到关键设备、网络核心技术和应用等都由以美国为首的西方国家所掌控,导致我国的网络安全岌岌可危。数据信息不仅蕴含着巨大的经济价值,而且隐藏着政治利益和国家利益,网络时代数据信息可能成为侵蚀他国主权和危害他国国家安全的一个强有力的武器。大数据时代,因各国的技术水平和收集、处理、控制数据的能力不同而导致信息流动出现了不对等:就经济、贸易信息而言,我国是典型的流出国,信息技术强国的信息“逆差”直接威胁着我国的经济主权和经济安全。

(二)公共安全受到严峻挑战

随着微博、SNS(社会性网络服务)的出现,信息在网上呈现瀑布式传播和扩散。上述网络创新应用所具有的强大的信息扩散力、渗透力可以将一般性局部事件快速演变为全局性的重大事件,使公共安全和社会稳定受到严重威胁。以美国为首的西方国家利用自身的网络技术和信息优势大量向我国灌输其意识形态和价值观念,恐怖组织、邪教组织、分裂势力积极借助网络空间攻击我国的社会政治制度,企图瓦解民族凝聚力,这直接威胁到党的执政地位和社会安全。此外,信息网络领域不断出现各种以渲染暴力恐怖为目的的文字、图片和视频,以侵害信息网络、破坏网络关键设施、侵犯公民人身财产权利的“恐怖主义”、“网络暴力”活动越来越猖獗,致使网络社会的公共安全受到严峻挑战。

(三)个人权益未获有效保障

数据信息已成为网络时代的重要资源。计算机网络所具有的强大的信息处理能力,导致个人信息被非法收集、利用以及泄露的损害后果更加严重,个人信息在网络时代受到了前所未有的威胁。苹果公司曾被曝在没有告知用户并获得许可的情况下,私自通过iPad和iPhone手机收集用户的行踪信息,经过处理后默认存储在一个未经加密的数据包中,每隔几个小时通过电信网或互联网成批发回苹果公司总部。DCCI互联网数据中心的《2013移动隐私安全评测报告》显示,有66.9%的智能手机移动应用(APP)在用户不知情的情况下抓取用户隐私数据,其中通话记录、短信记录、通讯录是隐私信息泄露的三个高危地带。违法收集和滥用个人信息不仅侵犯了权利人的人格尊严,且往往是其他违法犯罪的工具和手段。近年来,通过违法收集、窃取等滥用他人个人信息的手段实现诈骗、盗窃乃至侵犯他人生命权的犯罪形式呈逐年上升之势。CNNIC的《中国网民信息安全状况研究报告》显示,2012年有4.56亿网民遇到过信息安全事件,占网民总数的84.8%。在遇到信息安全事件的网民中,77.7%的网民都遭受了不同形式的损失,除花费时间和精力外,经济损失总额为194亿元。

二、信息安全法的立法目的

立法目的是需要通过立法、执法和司法来实现的基本价值。信息安全法是在网络信息安全问题的不断恶化,已严重威胁国家安全、社会安定和个人合法权益的情况下,由此引起人们的关注并由此产生了解决网络信息安全的强烈需求和实现这一欲望或目的的法律规范。信息安全法的立法目的是指立法机关通过运用法律这种有效的社会调控手段确立一国的信息安全政策以及网络信息安全与发展的目标。

(一)美、俄信息安全法的立法目的

信息安全法的立法目的是一国在分析其国内特殊的网络安全形势基础上确定该国网络信息安全政策的具体体现。美国的信息安全战略经历了从主张“发展优先”到“安全优先”,从“适度安全”到“先发制人”,根据国家需求,构建了“信息基础设施保护”、“网络信息安全管理制度”和“信息安全文化与价值观”三位一体的国家信息安全战略体系。奥巴马政府出台的《网络空间国际战略》改变了以防御为主的网络空间战略,转而发展以“互联网自由”为核心,以“控制—塑造”为基本特征的进攻型网络空间战略。[1]与国家的网络空间政策相适应,美国在本世纪之初的信息安全法的立法目的是防范网络攻击,保障网络安全,具体而言:减少美国对网络攻击的脆弱性,阻止针对美国至关重要的基础设施的网络攻击,在确实发生网络攻击时,使损害程度最小化、恢复时间最短化。[2]可以预见,随着美国网络空间战略的变化,美国今后的信息安全立法乃至整个网络立法都会以实现控制为核心的进攻性网络空间政策为目标。与美国不同,俄罗斯基于本国所面临的内在和外在的信息安全威胁,提出信息安全法的立法目的是:确保信息安全并在激烈的信息对抗中获得优势以维护国家利益。[3]俄罗斯和美国信息安全法的立法目的之所以存在差异,原因在于信息安全法解决的是一国的特定问题,是与国内特定的信息安全形势相关的。因此,不同的国情决定了各国的信息安全立法有着不同的目的。

(二)中国信息安全法的立法目的

以安全威胁的来源为标准,可以将威胁我国信息安全的因素分为以下两类:一是网络核心技术失控;二是网络滥用行为。决定了我国信息安全法既要通过规制危害网络安全的行为,又要通过促进网络技术的发展以掌控网络的新技术从而保障我国的信息安全。具体而言,我国信息安全法的目的应通过设定各类主体(政府、网络用户、信息基础设施运营者和信息内容提供者等)的权力或权利、义务和责任,规范信息收集或生成、传递、控制和利用行为,促进网络基础理论的研究,掌控网络的核心技术,实现信息的保密性、完整性、可控性、可用性和不可否认性,从而有效地保障国家安全和个人在信息社会的基本权益。安全主要体现工具性价值的特性又决定了它不可能被作为绝对的终极价值去追求[4],信息安全法的终极目的是实现网络主体的自由。信息安全法通过构建并维持网络社会的基本秩序进而实现保障自由的目的。网络社会秩序究其本质是网络主体的一种有组织化的活动方式,是网络主体行使其权利的基础。自由只能在秩序中获得,这决定网络主体的自由必须依存于网络社会的秩序。自由不是个体的任意,恰恰相反,自由是对个别人的任意的超越和对普遍性的认同。[5]信息安全法通过对危害信息安全的网络滥用行为的约束以保障其他网络主体的自由。从社会学的视角看,信息是社会结构中不可缺少的构成性要素。[6]14大数据时代,数据信息进一步从社会资源中独立出来并成为一种新的结构性要素,对人类社会活动的各个领域发挥着深远的影响:数据信息对人类的政治、经济、文化等领域起到了基础性的支撑作用。鉴于信息在网络社会中的重要作用,信息安全法的目的应以实现信息的自由流动、保障网络主体传播和获取信息的自由为其终极目标。中国已进入信息社会,网络之于中国公民的意义不仅仅是赋权、赋能,更重要的是赋信息。信息的自由流通能使人们进行独立思考并激发人们的创造能力。因此,网络不单单是信息传递的工具,而且是解放国人个性的工具。通过保障信息安全以促进信息自由流动,实现信息的最大化共享与利用;通过保障网络主体的行为自由,使其能够自由的传播和获取信息,从而激发网络主体的创造力。因此,信息安全法是提高国民素质,促进社会发展与进步,提升国家竞争力的重要制度保障。

三、中国信息安全立法的指导思想

信息安全立法的指导思想是指立法主体据以进行信息安全立法活动的重要理论根据,是为信息安全立法活动指明方向的理性认识。网络的开放性、全球性、虚拟性等特征以及信息安全立法的目的决定了我国信息安全立法应遵循以下指导思想。

(一)适度安全

绝对安全不具有技术上的可能性,抑或是要支付巨额的成本。不能为了获得绝对安全而不计成本,也不能因噎废食而放弃使用网络。因此,信息安全法的“安全”并非绝对安全,而应该是适度安全。适度安全是指信息安全法的制度设计应协调安全与其他价值之间的关系,不能为了保障信息安全而牺牲了网民的自由,进而扼杀了网络技术创新。网民可以在网络世界中自由地获取、传播、处理信息,这一权利已被我国宪法所确认,信息安全法律规范的制度设计不能因强调网络安全问题而影响网络的接入。原因在于,面对网络安全和信息安全问题,恐惧并不理智,不仅对问题解决没有效果,还可能导致过度控制。在个人生活和社会生活中,一味强调安全,只会导致停滞,最终还会导致衰败。[7]401因此,信息安全法应保证国内网民以及世界其他国家和地区的网民都有安全的接入机会。网络的可接入性应该有持续性的保障,除非发生危害国家安全的行为以及刑事犯罪行为。整体安全和个人自由都是需要重点保护的根本利益,对任何一方保护的偏颇或疏漏都有可能造成整个信息安全法律关系的不稳定。因此,未来中国的信息安全法在保障整体安全的同时,应充分重视对网民个体自由的保护,在提升国家和政府对网络安全控制力的同时,协调好国家安全与公民个人自由之间的关系。

(二)开放性

云计算、移动互联网、物联网、大数据的出现将互联网发展带入一个全新的阶段,这对个人信息保护和国家安全保障提出了更高的要求。博客、微博、SNS等网络新业务新形态的出现,移动通信技术的日益成熟和广泛应用,网络信息传播形式从以文字为主向音频、视频、图片等多媒体形态转变,不仅增加了监管的难度,而且使当事人之间的法律关系变得更为复杂。如果信息安全法律规范将有关范畴依附于某一特定的技术形态,而相关技术的发展则使得建立在先前某一特定技术基础之上的法律无法适应新技术条件下的网络活动。因此,信息安全立法应坚持开放性的原则,具有充分的前瞻性和预测性,保持适当的灵活性,避免将有关范畴局限于某一特定的技术形态而遗漏了对其他网络技术特别是网络创新应用的监管。

(三)依靠发展解决安全问题

安全问题最终要依靠网络技术进步解决,在此意义上,发展是解决安全问题的终极手段和措施。鉴于国内严峻的信息安全形势,决定了我国信息安全法既要侧重安全,又必须促进发展,依靠发展解决安全问题,在安全中求得发展。以网络攻击为例,利用最新的网络技术和应用可以有效地预防这一长期困扰行业健康发展的问题:通过对大数据的深入分析,能够帮助企业提前发现恶意进攻发起的时间,做出快速应对,制定智能驱动的安全策略,减少恶意攻击者的停留时间,建立以风险为基础、具备关联性、智能驱动的安全模型,帮助用户防御当今日益增长的高级威胁及恶意进攻者。

作者:崔聪聪工作单位:北京邮电大学法律系