个人信息安全管理办法
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇个人信息安全管理办法范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
个人信息安全管理办法范文第1篇
中图分类号:TP393.08 文献标识码:A文章编号:1673-0992(2011)04-0234-01
一、信息安全现状
(一)定义
信息安全是指由于各种原因引起的信息泄露、信息丢失、信息篡改、信息虚假、信息滞后、信息不完善等,以及由此带来的风险。具体的表现有:窃取商业机密;泄漏商业机密;篡改交易信息,破坏信息的真实性和完整性;接收或发送虚假信息,破坏交易、盗取交易成果;伪造交易信息;非法删除交易信息;交易信息丢失;病毒破坏;黑客入侵等。
(二)现状
目前,一个突出问题是网络上个人信息的丢失和被非法窃取。2009年3月15日,央视315晚会曝光了海量信息科技网盗窃个人信息的实录,给国人极大震惊。“海量信息科技网,全国各地的车主信息,各大银行用户数据,甚至股民信息等等,这个网站一应俱全,而且价格也极其低廉。我们仅仅花了100元就买到了1000条各种各样的信息,上面详细记录了姓名、手机号码、身份证号码等等,应有尽有。如果说上面这些信息你觉得还不够全面,接下来的这个木马程序一定会让你心惊肉跳,种了这种木马后,电脑会在你毫不知情的情况下在网上随意任人摆布。”这个事件典型的反映在信息化时代高速发展的今天,个人信息安全问题的解决提上日程已是刻不容缓。
随着网上交易和电子商务的发展,个人信息网上流通日益频繁,加上“产业化的一个明显标志是病毒制造者从单纯的炫耀技术,转变为以获利为目的。前者希望病毒尽量被更多人知道,而后者希望最大限度地隐蔽以更多地获利”,而且,目前国内对于这方面并无专门的法律予以裁制,因此,网络上个人信息安全问题已经日益凸显。
二、应对措施
(一)法律措施
据了解,目前的《计算机信息网络国际联网安全保护管理办法》中规定,制造和传播病毒是违法的,但是对于木马、黑客程序等并没有清晰的界定,这也是木马程序制造者敢于利用网络公开叫卖的根本原因。此外,目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。黄澄清说,面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全,建立网络安全国家应急体系,加大对网络安全领域犯罪的打击,完善立法。
从个人来说,很多网络个人信息安全问题的产生,一方面是利益的驱动,但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁,并且被侵权者也不能够借助法律的武器有效的保护自己的利益,这就更加助长了侵权行为的发生。从我国经济发展趋势来说,经济发展和信息发展联系愈益紧密,必须加快法治建设水平,使之适应我国经济快速发展的需要。
在实践层面上:“一是要准确界定利用网络技术犯罪案件的管辖范围,这样有利于划清国家安全公安、检察、法院等单位的职责,打击违法犯罪!二是针对当前利用网络技术犯罪的独特特点和发展趋势,制定一套完整的法律,如制定《国家网络安全法》等,并在实践中加以完善!三是对各类利用电脑犯罪的立案标准,应有明确的司法解释。以便于基层安全、司法部门操作,保证查办工作的顺利进行!”
(二)自我保护措施
防患于未然,自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且,妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。最后,对于移动存储设备,因其传染病毒的可能性加大,因此,要选择相对比较保险的移动存储设备。如选用趋势维C片,它“价格更加便宜,更重要的趋势科技将独有的安全存储扫描引擎植入到u盘中,而不只是将杀毒软件向u盘简单复制。也正因为此,趋势维C片具备个人防火墙,防间谍软件防网络欺诈。漏洞检查、垃圾邮件过滤、家长控制、专用网络控制、无线网络安全等其它所谓杀毒u盘产品所不具备的功能。”
(三)技术保护措施
1.网络防火墙技术
防火墙主要是用来隔离内部网和外部网,对内部网的应用系统加以保护。目前的防火墙分为两大类:一类是简单的包过滤技术,它是在网络层对数据包实施有选择的通过。依据系统内事先设定的过滤逻辑,检查数据流中每个数据包后,根据数据包的源地址、目的地址、所用的TCP端口和TCP链路状态等因素来确定是否允许数据包通过。另一类是应用网管和服务器,可针对特别的网络应用服务协议及数据过滤协议,且能够对数据包分析并形成相关的报告。
2.采用安全通信措施,保障个人数据的传输安全
为保证数据传输线路的安全,可将集中器和调制解调器放在受监视的地方,定期检测是否有搭线窃听、外连或破坏行为。通过路由选择控制来限制某些不安全通路。也可采用鉴别技术来鉴别通信方的实体身份和特权,常用的方法有报文鉴别,数字签名和终端识别。此外,还可以通过加密算法来实现数据的加密,例如美国数据加密标准DES和因特网免费提供的PGP系统。
3.加强对用户的管理
在网上银行管理中,身份验证和访问授权是网上管理用户的基本措施。口令、安全账号和密码是最常用的验证,可以通过采用加长口令,使用较大字符集构造口令、限制用户键人口令次数及用户注册时间等方法来保证用户登录的安全性,或通过采用访问授权来控制或限制用户对资源的利用。
4.加强对病毒的测控
网络个人信息主要是由病毒和木马进行窃取,病毒对计算机系统的危害最大,为防止计算机病毒和木马的危害,可以通过限制软盘的拷贝进入;采用集中式防病毒管理模式,对整个局域网中所有节点实行集中管理和控制,通过各种检测方法(特征码扫描、完整性检查、变形分析、推断分析等)检测病毒,自动进行特征码更新,实时清除病毒。
参考文献:
[1]王中锋,李尚.计算机网络安全管理浅议[J].南昌教育学院学报.2010年04期
个人信息安全管理办法范文第2篇
关键词:互联网金融;风险;影响因素;防范机制
互联网金融发展到现阶段主要有第三方支付、P2P借贷模式、众筹、小微金融模式等。与传统的金融行业相比较,互联网金融的边际成本较低、更新速度较快、客户精准服务程度较高等。互联网金融在为人们提供方便的同时也面临着一定程度的风险影响因素。因此,需要对风险影响因素进行总结,并对其防范机制进行逐步完善,为互联网金融未来的发展提供保障。
一、互联网金融风险影响因素分析
虽然互联网金融具有其非常明显的特点,且有较多应用优势,但是受到多种因素的影响,使得互联网金融面临着一定的风险。
(一)安全风险影响因素第一,外部欺诈。外部欺诈是当前互联网金融风险中表现最为明显的风险影响因素,其主要表现为:发送欺诈性电子邮件和短信,通过中奖、顾问等多种形式诱使用户填写身份证号、密码等个人因素信息,以盗取用户的资金;伪冒银行机构客服诱使用户告知验证码和账户密码;在网站的各种可下载内容中隐藏木马程序,并在木马的攻击下盗取用户的账号密码;用非法手段模仿用户的亲朋好友,诱使其为对方账户打款等。这种欺诈方式的技术水平高、金额小、速度快、隐蔽性好,且对于互联网金融机构来说的防御难度较大。第二,内部管理失当。内部管理失当的具体风险事件包含多种情况,例如交易管理失控、技术以及信息安全防控存在漏洞、资金管理不到位、人员管理不到位等。在内容管理失当的各种事件中,资金挪用、产品服务缺陷以及用户个人隐私信息泄露等事件是非常容易导致互联网金融企业出现信任危机的,甚至严重的情况还会成为社会关注的焦点。
(二)网络信任风险影响因素第一,社会信用体系不健全。互联网金融行业的发展良莠不齐、鱼龙混杂,为了保护个人信息安全,很多互联网金融企业还不能够与我国征信系统进行对接。在无法对用户个人信用进行征信查询的背景下,互联网金融机构在对用户风险识别和综合评价的过程中就会依靠其他信息,如:水电费缴纳是否拖欠等,导致“长尾”情况严重,且风险评估的准确性不高。第二,信息不对称导致的信任危机。互联网金融是一种虚拟性的经营模式,其虚拟的交易特征很容易产生信任危机,特别是当信息不对称的前提下,信息优势的一方在利益的驱使下可能会存在欺骗对方的情况。
(三)法律风险影响因素在互联网金融风险中,所有的风险问题到最后都会转化为法律风险。虽然我国已经出台了诸如《消费者权益保护法》《网络交易管理办法》《征信业管理条例》《电信和互联网用户个人信息保护规定》等多个法律法规来对互联网金融进行约束和管理,但是由于互联网金融的发展还处在探索的阶段,在法律建设方面呈现出分散、零星、不完整、不成体系的状态,所以一些不法分子会钻法律空子,利用不法手段来获取更多的利益,也让互联网金融的交易环境面临着较高的风险。
二、互联网金融风险防范机制的完善措施
(一)建立互联网金融安全管理体系第一,创新以安全合作为主的模式。在安全管理体系的建设过程中,不同的主体要发挥不同的作用。对于互联网企业来说,应当要平衡互联网金融企业的经营效率和安全之间的关系,在提升用户体验的过程注重金融风险的识别与控制,整个产业链中高度配合,以提升互联网金融企业的效益。对于政府相关监管部门来说,其应当以互联网金融安全与效率为核心监管目标,积极推动银行、互联网金融以及用户之间的配合,同时要建立统一的标准,让网络支付能够遵循统一的标准、竞争有序。第二,加强互联网金融风险相关教育。互联网金融企业需要加强风险方面的教育。一方面要保证用户信息的安全性,向用户介绍杀毒软件、加密软件、密码设置的重要性,并引导用户正确使用,避免个人隐私信息泄露,同时引导用户正确识别安全产品,提升用户的安全风险防范综合水平。另一方面,互联网金融企业可以利用各种新媒体途径来对风险和安全教育等进行宣传和教育,向普罗大众普及互联网金融安全管理知识,提高社会公众风险防范意识,这样,不法分子就不会有机可乘。
(二)安全技术的进一步应用第一,各种反黑技术的综合使用。安全技术的使用是保证互联网金融环境安全的重要技术手段,因此,互联网金融企业应当要加强各种反黑技术的使用,例如安全扫描工具、防火墙技术、反病毒技术、加密技术等。以反病毒技术为例,在互联网金融企业进行反病毒的过程中主要涉及到以下内容:通过系统监控、加密程序等预防计算机以及相关网络中存在的病毒;通过关键字技术、变化文件长度等来检测计算机及相关网络中的病毒,同时判断病毒的特征;通过病毒删除程序、恢复源文件软件等来分析并清除计算机的病毒。第二,智能实时防控系统的应用。智能实时防控系统的应用能够对风险进行自动识别,实现全方位的自动化监控。互联网金融企业可以利用智能实时防控系统进行风险分析、预警以及控制等,并对用户的行为进行监控,进行风险的稽查、处置等。同时,通过该系统可以对交易过程中的交易风险、账户风险、违规风险等进行全方位的监控,对风险事件的全过程进行响应,有效降低互联网金融中存在的欺诈行为、洗钱行为的发生几率。
个人信息安全管理办法范文第3篇
[论文摘要]随着Internet的不断发展,伴随而来的网络信息安全问题越来越引人关注。计算机信息一旦遭受破坏,将给单位造成严重的损失。就网络信息安全问题,对可能产生的安全因素进行剖析,并采取一定的措施。
一、信息安全的概念
目前,我国《计算机信息安全保护条例》的权威定义是:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全,其基本属性有:完整性、可用性、保密性、可控性、可靠性。
二、计算机网络系统安全因素剖析
(一)来自计算机网络的病毒攻击
目前,计算机病毒的制造者大多利用Internet网络进行传播,所以广大用户很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响计算机网络的正常运行。
(二)软件本身的漏洞问题
任何软件都有漏洞,这是客观事实。就是美国微软公司,全球的软件霸主,也不例外。但是这些漏洞恰恰是非法用户窃取用户信息和破坏信息的主要途径。针对固有的安全漏洞进行攻击,主要有:①协议漏洞。利用POP3等协议的漏洞发动,获得系统管理员的特权;②缓冲区溢出。攻击者利用该漏洞发送超长的指令,超出缓冲区能处理的限度,造成系统运行的不稳定,使用户不能正常工作;③口令攻击。黑客通过破译,获得合法的口令,而入侵到系统中 。还有IP地址轰击等方法,不一一举例。
(三)来自竞争对手的破坏
俗话说:同行是冤家。有的企业利用不正当手段,对同行进行破坏。攻击对方的网站或篡改对方的信息,或在其他网站上散布谣言,破坏竞争对手的良好形象。有的轰击对方的IP地址,使对方的网站不能正常工作。
(四)用户使用不慎产生的后果
计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度。很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。
三、网络信息安全的应对措施
(一)加强入网的访问控制
入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。对用户账号、口令应作严格的规定,如:口令和账号要尽可能地长,数字和字母混合,避免用生日、工号等常见的东西作口令,尽量复杂化,而且要定期更新,以防他人窃取。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。
(二)加强病毒防范
为了能有效地预防病毒并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,要建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。主要从以下四个方面来阐述:
1.漏洞检测。主要是采用专业工具对系统进行漏洞检测,及时安装补丁程序,杜绝病毒发作的条件。
2.病毒预防。要从制度上堵塞漏洞,建立一套行之有效的制度;不要随意使用外来光盘、移动硬盘、U盘等存储设备。
3.病毒查杀。主要是对病毒实时检测,清除已知的病毒。要对病毒库及时更新,保证病毒库是最新的。这样,才可能查杀最新的病毒。
4.病毒隔离。主要是对不能杀掉的病毒进行隔离,以防病毒再次传播。
(三)进行数据加密传输
为防止信息泄漏,被竞争对手利用,可对传输数据进行加密,并以密文的形式传输。即使在传输过程中被截获,截获者没有相应的解密规则,也无法破译,从而保证信息传输中的安全性。比如:微软公司的Windows XP就有这样的数据加密功能。
(四)采用防火墙技术
应用过滤防火墙技术能实现对数据包的包头进行检查,根据其IP源地址和目标地址做出放行或丢弃决定,但对其携带的内容不作检查;应用防火墙技术能对数据包所携带的内容进行检查,但对数据包头无法检查。因此,综合采用包过滤防火墙技术和防火墙技术,既能实现对数据包头的检查,又能实现对其携带内容的检查。
(五)应建立严格的数据备份制度
一要重视数据备份的重要性,认为它很有意义,是一个必要的防范措施;二要严格执行数据备份制度。要定期或不定期备份,对重要数据要有多个备份。因为杀毒软件不是万能的,以防万一,很有必要建立数据备份制度。
(六)加强安全管理
安全管理对于计算机系统的安全以及可靠运行具有十分重要的作用。就目前而言,应做到以下几点:
1.树立守法观念,加强法制教育。有关计算机和网络的一些法律知识,要了解并熟悉,如:《中国信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等条例,培养良好的法律意识。
2.制定并严格执行各项安全管理规章制度。包括出入机房制度、机房卫生管理制度、在岗人员责任制、机房维护制度、应急预案等。
3.建立检查机制。定期或不定期地对计算机系统进行安全例行检查,要有记录,看落实情况,以免流于形式。
(七)培养用户的信息安全意识
个人信息安全管理办法范文第4篇
关键词:第三方支付安全问题解决办法
一、第三方支付的概念
和以前由传统的由中央银行,银行,非银行金融机构,在境内开办的外资、侨资、中外合资金融机构所组成的完整金融机构体系独自运作不同,现如今,已经有越来越多的非金融机构参加到金融体系的运作之中。非金融机构提供支付服务、与银行业既合作又竞争,已经成为一支重要的力量。这种合作尤其体现在一些和国内玩各大银行签约并具备一定实力和信誉保障的第三方支付服务商提供的交易支持平台,即上文所说的第三方支付。这个交易平台在收付款人和各个法人组织之间作为中介机构提供了货币资金转移服务,包括现行的网络支付、预付卡的发行与受理、预付资金的管理与银行卡收单,及主流金融机构确定的其他支付服务的作为第三方支付平台的非金融机构,也就是我们提到的“第三方支付机构”[1]。
二、第三方支付存在的主要安全问题
伴随着第三方支付的迅猛发展的,必然是一系列亟需我们解决的重要安全问题。我国支付方面的法律相对比较落后,在支付过程中容易留下许多漏洞,使许多不法商人有机可趁。目前存在的数百家第三方支付机构中,鱼龙混杂,质量参差不齐,用户的交易安全和个人信息其实存在很大的风险。
1.应用程序中存在安全漏洞导致信用卡套现、洗钱问题层出不穷
第三方支付技术门槛较低,在第三方支付平台的搭建中没有对安全防护能力给予足够的重视,致使系统可能存在信息管理,支付安全等方面的问题。通过专业安全系统的不定时抽量检测,发现了许多存在的重要隐患,如SQL注入、跨站脚本、网络钓鱼以及登录方式不安全,用户信息泄漏等[2]。显然,在第三方支付平台的建设过程中,安全防护的环节是相对不受重视的,太快的发展与不过硬的安全防护措施必然会使安全防护环节显得很薄弱,让存在的安全问题显得更为突出并造成很大的信用危机以及一种不健康的交易状况。根据资料,主要存在以下几个问题:
(1)安全设备以及防火墙不完善
(2)没有对平台部署实施监控系统
(3)重要网络设备的物理环境不安全,容易出现人为操作篡改数据
(4)应对突发事件的处理能力不足
并且,在支付中,有相当一部分属于虚拟货币的交易,比如腾讯公司的Q币,移动通讯公司的话费充值等,不排除有些人通过设立多个账户,从事虚假的虚拟货币交易,以此转移不法资金,已达到洗钱的目的。
2.安全管理机构不健全,安全保障的技术手段需要改进
目前第三方支付平台普遍采用的技术安全保障手段――数字证书,其并不是真正意义的独立第三方CA认证,而是内部建设一套符合实际要求的证书注册审计系统,是自身具备证书申请、审批、下载、证书状态在线查询、证书撤销等功能。然而这种数字证书并没有法律效力。并且,从当下的网络现状来看,信息安全管理制度还不成体系,没有建立总体方针,安全管理制度和操作规程缺失,安全策略存在着很大的不完整。
3.个人信息不能得到保护造成了许多账户资金被盗,网络诈骗时有发生
许多第三方支付平台要求用户提供真实姓名、银行卡号甚至身份证号,然后这些平台中,个别网站在信息管理上存在很大问题,致使这些信息很容易被窃取,造成客户隐私的泄露。第三方支付平台隐私管理政策不合理,免责条款过多,大多把最终解释全留给自己,使用户不得不同意这些条款并且当自己利益受到损失的时候,没有办法有效的进行反击。
4. 第三方支付平台本身不是金融机构,用户的安全意识薄弱
目前,国内的第三方支付企业属于非金融机构,是有限责任公司的性质,一旦公司出现破产等情形,则可能引发剧烈的多米诺骨牌的效应,导致其他的企业资金链出现问题。然后很多用户没有意识到,即使是附属于某些著名的网站,第三方支付平台也存在一个信用问题,不能盲目信任。相对银行金融机构,非金融机构对于安全问题的认识还远不能及,对用重要信息
三、针对国内主流第三方支付平台的安全策略分析以及监督管理
随着第三方支付平台交易规模的逐渐扩大,电子商务的影响已经越来越大,在各个领域层面均有渗透。因此,有关非金融机构备付金管理、网络系统稳定性以及消费者权益保护等问题,已经引起了广大群众的高度关注。采取措施促进非金融机构和第三方支付平台的健康发展,会很大程度上影响电子商务的成败,关系到整个交易平台的正常进行。
1.加强实名认证、全额赔付应对资金被盗和网络诈骗。第三方支付机构应加强安全检查,及时修复安全漏洞
早在2006年7月,支付宝就推出了支付宝认证服务,对所有使用支付宝的卖家进行双重身份认定,即身份证和银行卡的认证。除了与公安部全国公寓身份证号码查询服务中心合作检验身份证的真伪,支付宝海域各大商业银行进行合作,利用银行账户实名制信息来校验用户填写的姓名和银行账户号码是否准确。并且,支付宝公司还在国内率先推出了全额赔付制度和交易安全基金,网络欺诈发生率仅为万分之二。
2.配合国家出行的制度,配合央行加大力度打击各种诈骗
2009年4月,中国人民银行公告,对从事支付业务的非金融机构进行登记。
2010年6月14日,中国人民银行《非金融机构支付服务管理办法》,对非金融机构支付业务实施行政许可。
2010年12月,中国人民银行《非金融支付服务管理办法实施细则》[3]。
这些不仅对作为第三那方支付平台的非金融机构做出严格规定,同时也对支付平台的用户加以严格管理,此举无疑会对网络非法套现造成打击。央行对非金融机构的支付的技术和安全性的高度重视,技术和安全监测是非金融机构申请许可证过程中最关键也是最严格的环节。
3.第三方支付机构应增强安全意识,加强信息安全体系建设,争取早日拿到央行的电子支付牌照
完善网络信息安全管理制度,加强交易平台的安全管理,增强客户对交易平台的信任。对第三方支付平台操作人员进行统一的安全知识和专业知识的培训,加强这个操作队伍的安全组织性。及时出台主流有效的针对安全漏洞的安全措施与策略并积极落实。同时对所有用户进行安全信息管理的知识普及。
并且根据中国之声新闻纵横报道,央行支付结算司相关工作人员表示,首批第三方支付牌照已在2010年年底发放。因此,获得官方认证是主流第三方支付平台的必经之路[4]。
四、结束语
相信随着电子支付的发展,这些非金融机构从事电子支付业务会成为电子支付发展的不可逆转的趋势,然而这同样要求非金融机构即这些第三支付平台有更完善的信息安全管理系统,为用户提供一个更加安全的交易平台。一旦第三方支付交易平台存在的问题得到解决,突破了网上交易中的信用问题,其必将成为引导网络消费者走入健康发展的轨道,成为促进中国网上支付完善和发展的主要途径和必然趋势。同时,第三方支付服务也将成为解脱诚信困扰,迈向下一里程碑的重要环节之一,成为电子商务发展的助推器。
参考文献:
[1]林小燕.基于第三方电子商务平台的C2C贸易[M].厦门大学出版社,2010.
[2]刘建国.电子商务安全管理与支付[M], 立信会计出版社,2011
个人信息安全管理办法范文第5篇
1.1高校信息安全的概念
目前,信息安全并没有明确的定义。ISO/IEC17799中将信息安全定义为:通过实施一组控制而达到的、包括策略、措施、过程、组织结构及软件功能,是对机密性、完整性和可用性保护的一种特性。美国对信息安全的定义是:对信息、系统以及使用、存储和传输信息的硬件的保护。美国从技术和管理两个角度出发,将信息安全概括为信息环境安全、信息数据安全、信息程序安全、信息运行系统安全四个方面。沈昌祥院士将信息安全定义为:“保护信息和信息系统不被未经授权的访问、使用、泄露、修改和破坏,为信息和信息系统提供保密性、完整性、可用性、可控性和不可否认性。”我国关于信息安全的定义基本上从技术和管理角度提出(主要指信息系统安全)。在本文中,笔者将高校信息安全界定为:高校信息安全是指确保涵盖信息处理系统的安全、信息自身的安全和信息利用安全在内的,从电脑硬件安全、处理系统运行安全、信息数据安全、信息内容本身安全四个维度出发,对具有机密性、完整性和可用性的高校信息保护的一种特性。
1.2高校信息安全的内容
通过上文对高校信息安全概念的界定,笔者认为高校信息安全主要内容归纳为以下四个方面:一是从物理安全维度看,主要是校园网络内运行的硬件设备的安全。涉及的是动力安全、设备安全、电磁安全、环境安全等;二是从运行安全维度看,主要涉及网络系统的可控性、可用性、可信赖性等,即保障信息系统不被篡改、破坏或不被非法操作等;三是从数据安全维度看,保障校园网络中流通数据的安全,既网络中的数据不被篡改、非法增删、复制、解密、盗用等;四是从内容安全维度看,是对信息本身内容真实性的鉴定、隐藏信息的发现以及对信息的选择性阻断。其中物理安全和运行安全是信息安全的基础。
1.3高校信息风险表现及信息安全保障之必要性
高校信息风险主要表现为:一是高校“信息风险人群”比例远高于国内其他行业“风险人群”。据360安全中心的《2013年第一季度中国个人电脑网上安全报告》显示,国内高校“风险人群”比例为28.7%。比全国“风险人群”的25.8%高近3个百分点。二是高校引发信息安全的因素种类繁多。除自然因素外,如计算机病毒、黑客、钓鱼网站、非法入侵盗号、系统的漏洞、人为操作等。三是高校的私有机密信息如学校公共数据、师生的个人信息、财务信息、档案信息、设备资产信息、教务信息等重要数据容易泄露或被非法窃取。针对高校信息风险表现,积极探索高校信息安全保障策略具有重大意义。一是有利于提高高校信息安全管理整体意识;二是有助于制定行之有效的信息安全管理制度,三是能促进高校信息安全保障机制的不断完善,有效推进高校信息化进程;四是是能提高师生信息安全意识,促进我国信息安全专业人才的培养。
2高校信息安全风险分析
信息风险分析是一种主动识别信息风险的过程。笔者分别采用定性分析、定量分析、定性和定量相结合的方法对高校现实信息系统的实际情况做了调查研究、结合学校信息泄露案例进行分析,从共性上看,认为信息安全风险因素可以归纳为以下几类。
2.1高校信息安全保护机制普遍存在认识不足,防护不够的现象
首先,高校网络系统使用人员信息安全意识淡薄。主要表现为大学生对信息安全缺乏足够的重视,高校没有成型的大学生信息安全教育模式,对大学生进行信息安全教育处于形式。高校对大学生的信息安全教育不够重视,严重滞后于信息技术的发展。大学生对学校信息安全缺乏正确认识,对相关信息安全法律法规缺乏了解,信息安全意识淡薄。作为系统使用人员的教师,由于缺乏必要的信息安全知识和信息技术,对信息安全防护漠不关心,片面的以为学校信息安全属于专业技术人员,于己无关。其次,高校信息管理人员安全意识淡薄。对于缺乏信息安全教育专业培训的技术管理人员来说,他们缺乏“防黑防毒”意识,对于来自外部或内部的恶意攻击缺乏警惕性,缺乏积极防御、保障信息安全的主动性。再次,高校信息安全专业人才的培养尚处于起步阶段,高校贫缺专业信息安全管理人才。由于缺乏专业信息安全人才的专业指导,导致高校信息安全建设缺乏系统规划和整体布局,对信息风险认识不够,分析不彻底,所制定的信息保障策略存在漏洞。最后,对信息系统安全漏洞未能及时、定期修复。安全漏洞是指在网络系统硬件、软件、协议和系统安全策略存在的缺陷和错误。攻击者就是通过研究这些漏洞向高校的信息系统传播病毒,或者人为控制计算机系统。管理者只有及时修复这些漏洞,才可以确保信息安全。
2.2高校信息安全制度不健全,存在信息安全管理漏洞
虽然高校信息化普及很快,但大部分高校对信息安全在监督和管理上都存在着漏洞。高校在信息安全管理上缺乏健全的制度,高校内部管理相对松散,已有的制度大多数是趋于形式的要求而设立,没有严格的监督检查机制,甚至连信息安全领导小组都未成立,对突发的信息安全问题缺乏应急处置预案,出现头痛医头,脚痛医脚的忙乱应对现象。据初步统计,大部分的信息安全问题是由于管理疏忽或者管理不善造成的,因此,从管理角度加强信息管理,是能够有效保障信息安全的。
2.3高校信息安全投入不足,安全保障设施不健全
目前高校数字化建设已经取得一定成绩,数字化教学、管理、服务基本普及。但在管理和保障信息安全的设备上投入资金十分有限。首先因为用于保障信息安全设备成本较高,而信息风险的不确定性导致信息安全本身又不被领导充分重视,大部分高校安全保障配套设施陈旧;其次伴随高校扩张,大部分高校网络缺乏战略发展规划,网络边界设备之间缺乏有效的联动,网络拓扑结构不合理,内网和外网在数据交换及数据流转方面存在不安全因素;最后为节约网络运行成本,学校采取与网络营销商合作的方式来减少学校网络运行维护人员,忽视对网络安全维护方面的投入。
2.4高校缺乏对BYOD、云计算和大数据安全问题应对方案
由于在智能手机、平板电脑、超极本的智能终端使用某些应用比在PC上操作方式更简单快捷,2013年移动办公设备的信息安全问题成为安全信息的新问题。调查显示,高校基本上还没有制定相关的BYOD安全管理政策,以具体规定师生员工如何在学习工作场所中使用自己的移动。如何在确保信息安全的情况下更好的利用BYOD带来好处成为高校信息安全风险分析的重要任务。高校在云计算信息安全方面专注于保护云计算主机站点的数据安全,对从移动终端访问云数据的用户安全重视不够,他们经常面临数据泄露、数据丢失、账户劫持、不安全的API、拒绝服务攻击、内部人员的恶意操作、云计算服务的滥用、云服务规划不合理、共享技术的漏洞等问题。
3高校信息安全保障策略
建立高效、协调、集成的数字化办公系统是长春理工大学成为综合性、研究型、开放式的国内一流大学的信息化保障,如何保障信息安全便成为建设数字化办公系统需要面对的首要问题。
3.1加强信息安全知识教育和技能培训,从信息主体层面增强网络安全防护
为从根本上增强网络安全防护,长春理工大学采取了一系列措施提高网络信息主体——师生的信息安全防范意识和防范技能。一是加强国内外信息安全法律法规教育,增强师生信息安全法律意识。如:长春理工大学定期组织管理员、信息源接入人员、广大师生学习《计算机信息网络国际互联网安全保护管理办法》、《网络安全管理制度》及《信息审核、登记制度》等国内外信息安全法律法规教育,普及信息安全知识,提高师生安全保密素质,让师生明确维护信息安全的重要性和维护信息安全人人有责,充分发挥师生在信息安全维护中的主体作用。二是对师生进行信息安全技术培训,提高师生信息安全防御技能。信息安全技术培训主要是针对师生的实际需求,开展计算机应用和网络运用技能的培训,培养学生基本的网络防御技能。长春理工大学多年来一直坚持定期邀请专职技术人员对学校师生进行信息安全技术培训。如电脑操作系统定期更新,及时修补电脑安全漏洞,辨别不良网站等知识,让师生学会日常的安全操作和系统维护。
3.2坚持校园网硬件投入和有效信息技术的充分融合,确保网络运行安全
首先,建立完整的校园网络病毒防御体系。一是安装正版杀毒软件。如:长春理工大学将正版的杀毒软件挂在学校的信息中心网站上,让学校教师免费使用正版杀毒软件,通过利用正版杀毒软件定期扫描杀毒,及时修复系统漏洞,遇到问题及时向软件开发商发送错误报告并进行分析,定期升级防毒软件、更新病毒库等,有效保障了学校电脑的安全运行。二是详细设置防火墙防范策略。对操作系统的端口配置严格把关,必须及时做到开放该开放的,关闭不需要的端口。对外提供网络服务的服务器。把必须利用的端口开放,其他的端口必须全部关闭。三是安装与配置IDS入侵检测系统。入侵检测系统主要监控内部网络操作行为及多种攻击,是检测防火墙过滤后的隐匿攻击。四是安装漏洞扫描系统。如:长春理工大学为每位教工电脑安装漏洞扫描系统,采用主动探测的方式快速获取目标设备的脆弱点,从而协助系统操作人员对目标系统建立风险快照。分别采用ping扫描、端口扫描、OS探测、脆弱点探测等技术对指定的远程或本地的计算机系统的安全威胁进行定期扫描检测,及时修补各种漏洞。其次,以防内为主,内外兼防为辅,确保信息终端平台的可信赖性。安全终端平台的建设依靠密码服务和安全操作系统支持。一是确保终端平台用户的合法性,用户只能根据规定的权限和控制规则进行操作;二是采用身份认证、访问控制、密码加密等措施,构建计算机系统应用环境安全,如:长春理工大学教师采用一卡通的上网卡号进行身份认证;三是建立提供认证、授权、检测、应急和处理非法访问服务的信息安全管理中心,提供互联互通的密码配置,公钥证书等密码服务措施。具体保障措施如下:选用LOTUSNOTES/DOMINO作为办公自动化系统的主要开发平台。(1)数据加密。包括使用秘钥对电子邮件文档加密;网络端口级加密;使用SSL对在INTERNET客户机和DOMINO服务器间或在NOTES工作站和INTERNET服务器间传送的住处进行加密;域、文档和数据库加密。(2)NOTES的数字签名,身份认证包括NOTES工作站与DOMINO服务器之间的认证以及客户端与mMmo服务器之间的认证。(3)NOTES还允许用户通过建立群组的角色的方式来规划NOTES数据库的访问安全性。(4)利用双网卡主机技术实现办公网络安全隔离。(5)引入第三方的公钥基础结构(PK),进一步改善网络系统的安全性。
3.3建构多重信息安全管理渠道,加强信息安全运行的制度保障
首先,设置层次明晰,职能合理的信息安全管理机构。依照“预防为主,综合治理”、“制度防范和技术防范相结合”的原则,信息安全管理实行三级管理机制,由领导决策并负监督,中层干部管理,基层操作者具体执行。以长春理工大学为例,近年来学校建立了信息安全管理的三级管理机制,成立了专门的信息中心,处级单位,配备具有专业知识的工作人员,由一名副校长分管学校信息安全工作,中层领导分管本部门的信息安全工作,基层建立兼职信息员队伍,具体负责本部门的信息安全工作,使得信息安全工作层层落实。同时学校还制定了具体的组织体系和信息安全工作职责,厘清三级体制下各级各部门的具体职责;制定了《长春理工大学信息员管理办法》,详细规定各信息安全岗位人员管理考核办法,使信息安全工作落到实处。其次,建立常规管理制度、应急处理和定期评估制度。一是针对信息安全具有复杂性、动态性和突发性强的特点,制定常规化信息管理制度。如长春理工大学先后制定了《长春理工大学操作系统和数据库的安全配置程序管理制度》、《长春理工大学网络信息中心机房管理制度》、《长春理工大学计算机案件和事故报告制度》、《长春理工大学计算机病毒及有害数据报告制度》、《长春理工大学病毒检测和安全漏洞检测制度》、《长春理工大学网络设备管理制度》、《长春理工大学信息审核制度》等多项信息管理制度。二是制定应急处理机制,对于突发的、涉及范围广,危害性大或影响深的信息安全事件采取有效的应对措施,有效控制信息危机的发生。如长春理工大学成立信息危机应急处理小组,及时应急处理方案和信息,有效控制信息危机的发生。三是注意日常信息安全动态,建立定时测评,不定期检查,随时抽查的信息检查制度,如:长春理工大学建立了信息检查制度,不定期检查各基层单位信息安全情况,并对相关测评、检查、抽查的情况进行汇总形成相关信息安全检查日志,及时通报相关部门。
3.4设立信息技术咨询指导部门,促进信息安全防护与前沿信息技术的紧密结合
没有一劳永逸的信息安全保障策略。随着信息技术的发展,保障策略要不断更新、完善。例如:长春理工大学组建专业技术咨询指导部门,成立了长春理工大学信息中心,由专职工作人员跟踪最前沿的安全信息及新信息技术的发展动态,寻找已有防御网络隐患,积极引进前沿网络技术,并为信息安全保障系统建设提供专业、合理、可行化建议,积极完善和革新信息安全保护措施,取得了较好的效果。学校还将最新的技术发展及时体现在校园网络系统中,并对相关信息维护人员进行专业化培训,应对随时可能爆发的信息安全事件,增加广大师生的信息安全知识,提高信息安全意识,使学校的信息安全工作切实做到实处,收到了实效。
4结语
