信息安全论文
前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全论文范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。
信息安全论文范文第1篇
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
信息安全论文范文第2篇
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
信息安全论文范文第3篇
在这个网络信息时代,伴随着信息化的进程的发展,提升管理水平的重要手段就是信息,这也是企业成败的关键。而根据最新的调查结果显示,只有不到四分之一的企业应用了电子商务这样关系到交易。也就是说,约有82%的企业对网站的应用还处于初级阶段———即停留在对企业形象的宣传,对产品和服务信息的和对客户资料的简单收集。电子商务形势已被现在的企业商务活动采用,信息化技术已经被企业的生产运作,运输和销售等诸多方面加以运用。例如,利用网络收集各种原材料信息从而建立对采购有重要作用的原材料信息系统,电子信息化水准经由分析系统的网络数据得到采购建议和对策得以实现。但还不到四分之一这一数据说明企业还未充分开发和利用商业渠道信息。企业信息化时代已经到来,企业应该加快信息化的建设。
2电子信息安全技术阐述
2.1电子信息中的加密技术为保证数据的传送更加完整和安全,电子信息重要使用加密技术。对称加密技术和非对称加密技术是加密技术的两种类型。对称加密技术的实现经由包括明文、密钥、加密算法和解密算法这样的五个基本成分在内的分组机密或序列密码。而非对称加密技术解密和加密相对独立,经由两把不同的密钥进行加密和解密。被称为公钥的加密秘钥向公众公开,被称为私钥的加密秘钥秘密保存,二者必须配对使用。被传送的加密信息经过加密技术起到了保密作用。发送电子信息的过程中,所要发出的信息被发送人经过加密秘钥加密后发出,如果信息在传输过程被窃取,他也只能拿到没办法没理解的密文,但是密文可以被接受者用解密秘钥进行解密,得到明文。
2.2电子信息中的防火墙技术网络技术的发展也使网络安全收到了来自网络黑客,邮件炸弹以及木马病毒的威胁。其网络也同样被企业的信息化以这样的形式所威胁着以至于难以保证企业电子信息的安全。防火墙这一保护措施在这种网络极度不安全的情况下被最初采用。防火墙在阻止电脑信息被恶意篡改和防止被黑客入侵等方面也同样在个人电脑的保护中起到了重要的作用。
2.3电子信息中的认证技术电子信息的认证技术分为身份认证和消息认证两种。身份认证包括识别(明确并区分访问者身份)以及验证(确认访问者身份),用于对用户身份的鉴别。身份认证必须在用户访问不公开的资源时被通过。消息认证是用来辨别信息的真伪和信息有没有经过第三方的伪造或者修改,被用于确认和保证信息的完整性和抗否认性。
3企业电子信息的主要安全要素
3.1企业电子信息的机密性信息的保密工作随着网络的发展已经变得越来越困难。但是身为企业商业机密代表的信息其重要性也不言而喻。摆在各个企业面前的首要解决问题就是:应当怎样确保自己的信息安全地在互联网上传递而不被第三方进行窃取和篡改或者滥用和破坏。
3.2企业电子信息的有效性现今,企业的信息传递大多采用电子的形式,这是电子信息技术发展的必然结果。关系企业贸易能否顺利进行和整个企业的经济利益的前提条件就是信息的有效性。要保证信息传递的有效性,排除各类潜在的对信息有效传递存在威胁的因素尤为重要。
3.3企业电子信息的完整性对企业交易双方都十分重要的一点是要保证交易各方的信息的完整,因其经营的策略被交易方的信息完整性所制约。所以企业之间进行交易的基础就是防止信息在传送的过程中丢失,或被随意生成或者篡改,保证信息的完整性。
4企业中电子信息安全问题的解决策略
电子信息技术发展的安全性直接关系着企业以及个人发展的根本利益,因此,我们应该在这方面加强建设的力度,采取有效的措施提高网络信息的安全。
4.1提高电子信息发展的安全意识
随着社会发展的需要,各个领域的发展都在逐步走向智能化,这与网络信息技术的发展是息息相关的,尤其是网络技术在军事和经济上的应用更应该引起我们的重视,直接关系着整个国家的发展和国防的安全性。为此,我们应该清楚的认识到电子信息安全的重要性,树立维护电子信息安全的意识,促进网络的安全发展。
4.2构建企业信息安全管理体制
保证顺利进行信息安全的管理,除了对各种安全技术的使用之外,建立完善的电子信息安全管理的制度也是十分必要的。一个信息系统的安全被一开始建立的相关的信息管理制度所制约。这是一般的企业中都存在的。信息的安全性无法被保证都是因为相关的安全管理制度的问题所致,因为这一制度的相关安全管理技术都无法被正常进行,可见一个严格的管理制度极度影响着信息系统的安全。电子信息安全技术及其工具无法发挥相应作用的重要原因之一就是没有一套完善且严格的信息安全管理制度。
4.3培养专业技术人才
我国电子信息技术的发展还存在很大的发展空间,各方面的技术还有待提高,因此,应该进一步的进行发展和研究。而电子信息的发展离不开专业化、高素质的信息安全人才。为了提高信息技术安全发展的脚步,我们加大对人才的培养力度。通过加大对科研教育的投入,使他们能够拥有更高端的实验器材以及科研资金进行技术的研究和开发;同时与国际接轨,进行学术上的经验交流,学习优秀的技术并应用到我国发展的实际当中,提高我国信息技术的发展水平;加强对企业内部人员的培训,提高工作人员的专业水平和道德修养,保证工作团队的团结协作,为我国信息技术的发展凝聚力量。
4.4利用企业的网络条件来提供信息安全服务
很多企业的多个二级单位都在系统内通过广域网被联通,局域网在各单位都全部建成,企业良好的信息安全服务是经由优良的网络条件来提供的。技术标准、安全公告和法规经由企业网络平台,同时信息安全软件下载和安全设备选择也可通过这一平台提供。除此之外,企业的员工也可以利用这一平台进行经验交流,进行信息安全的在线教育培训等。4.5定期评估和改进安全防护软件系统企业的信息安全技术和应用随着企业的发展也在推进发展着,伴随技术发展,人们对信息安全问题的认识也在提高。安全防护软件系统———这一用来解决信息的安全问题的“解药”也应伴随着信息安全问题的发现而定期评估和改进。
5总结
信息安全论文范文第4篇
【关键词】电力信息安全;监控;安全隐患;电网
数字化时代的到来,对电力信息系统服务服务功能的不断完善产生了深远的影响,一定程度上扩大了电力企业的产业规模。与此同时,随着电力信息系统运行中所承载信息量的不断加大,电力信息安全能否得到有效的保障,影响着电力系统的稳定运行。因此,需要采取科学的监控方法,实现电力信息系统长期运行中的实时监控,确保所有电力信息安全性。
1电力信息安全基本组成架构分析
电力信息安全所关注的是所有电力信息的安全有效性,并严格遵循信息保密性、可用性、完整性及可控性原则,确保电力系统的稳定、高效运行。实现这样的发展目标,需要明确电力信息安全基本组成架构,最大限度地满足电力系统安全运行的多样化需求。当前电力信息安全基本组成架构包括:①电力信息流结构。该结构的存在是为了确保各项电力业务的顺利开展,确保了电力信息的安全传递;②性能可靠的电力信息网络结构。通过专用网络与公用网络配合使用电力信息网络结构的合理设置,可以保障电力信息安全,确保了电力网络结构与互联网的有效结合;③完善的电力信息安全预防与保护体系结构。该结构的设置与不断完善,实现了电力信息系统组成结构的科学划分,为电力信息安全策略的制定提供了重要的参考依据,也为电力信息系统的安全运行打下了坚实的基础。
2电力信息安全监控系统构建要点分析
电力信息安全监控水平的提升,依赖于安全监控系统构建,从而实现电力信息系统运行及电力信息传递的实时监控。同时,随着电力企业业务量的不断加大,对电力信息安全管理提出了更高的要求,需要注重电力信息安全监控系统构建,明确系统的主要功能及相关的支撑技术。
2.1安全监控系统的主要功能
电力信息安全监控系统的主要功能包括:确保所有信息化设备的完好性;实时监控信息化监控系统运行,了解其安全状况。通过在线监视的方式,有利于提升电力信息化设备的安全管理水平,促使信息化系统长期处于稳定的运行状态,优化资源配置的同时保持系统良好的安全性。具体表现在:①对所有电力信息化设备进行安全管理。在这种管理方式的作用下,可以实时地监视信息设备的运行状态,合理配置各种信息设备,并对设备进行维护与升级;②对系统运行进行实时安全管理。通过对信息系统运行状况了解,可以有效的应对各类突发事件,促使系统中存在的问题能够得到及时处理。在这种安全管理模式中,系统运行信息采集中是以网络节点为单位,能够对各类安全事件进行实时响应,可以显示出系统的运行状态;③离线状态下进行安全性分析,促使其中的安全数据能够得到分析与处理,逐渐形成完善的安全机制,并获得安全评估报告;④对用户、系统日志、安全制度等进行日常管理,并通过安全监控中心对下级电力信息安全进行检查与评估。
2.2安全监控系统的主要支撑技术
电力信息安全监控系统服务功能的不断完善及服务范围的扩大,对各类技术有着较强的依赖性。因此,需要了解该监控系统的主要支撑技术。这些技术包括:①面向对象的高效管理组织技术。通过对电力信息系统中各对象特征的深入分析,可以进行高效管理;②适用范围广的数据统一管理技术。在该技术在支持下,可以提高电力信息安全监控系统运行效率;③电力信息化设备管理技术。将设备内部或者外部与计算机相连,能够在标准协议支持下确保各设备的安全使用;④确保各厂商产品信息共享的安全管理适配器技术。
3电力信息安全分析
为了提高对电力信息安全的正确认识,需要构建相关的模型对电力系统安全事件可能造成的影响进行分析,从而为电力信息安全控制提供保障。构建模型进行电力信息安全分析时,需要从这些方面入手:①确定所有信息安全事件可能影响电力系统安全的集合;②对电力信息安全隐患相关性进行分析,大致确定各类安全事件可能发生的概率;③通过信息安全事件结合及安全隐患相关性分析,确定信息安全事件权重。
4结束语
综上所述,合理设置电力信息安全基本架构,构建可靠的电力信息安全监控系统,可以确保电力信息安全,增强电力系统运行稳定性。因此,未来电力信息系统构建中应充分地考虑电力系统正常工作的具体要求,注重电力信息安全分析,灵活运用信息技术及专业技术手段保持电力信息安全监控系统运行良好性,促使其中存在的问题能够得到高效处理。
作者:林康 单位:首都医科大学附属北京世纪坛医院
参考文献
[1]余勇,林为民.基于等级保护的电力信息安全监控系统的设计[J].计算机科学,2012(13).
信息安全论文范文第5篇
在铁路行业里绝大部分客票售票终端、TVM售票终端采用了XP操作系统。2014年5月8日,在第15届中国信息安全大会上,中国工程院院士沈昌祥指出全国约有2亿台运行XP操作系统的终端将面临无人服务的局面。由此可见,虽然微软对XP操作系统停止了技术支持,但对XP的使用却没有停止。对于个人用户而言,使用新的操作如Windows7或更高版本可能是应对XP终止服务的不错选择。但对于政府、企事业单位而言,由于大量运行WindowsXP的计算机在硬件配置上无法支持系统升级,或者由于预算等原因,不能全面终止或者替换XP系统。因此,在将来的一段时间内仍然有大量的用户使用XP操作系统。在继续使用XP操作系统的时间里,加强计算机操作系统的安全,有效降低安全风险,是目前迫切需要解决的问题。
2后XP时代信息安全隐患分析
2.1漏洞威胁
XP停止服务带来的威胁首先就是系统漏洞得不到官方修补。XP漏洞数量近几年呈现逐年增加的趋势,这与微软操作系统的演进过程密切相关。从早期的Windows到WinXP、Vista、Win7等一直都沿用了NT架构,长期的持续迭代开发过程和大量复用的代码,形成了漏洞的关联关系,也就造成了漏洞的大面积重叠WindowsXP停止服务后,国内不少杀毒软件厂商承诺将继续为WindowsXP用户提供安全升级补丁以及相关产品的解决方案。然而,业内专家认为,第三方软件虽然可以弥补一些漏洞,但是并不能够做到面面俱到,这对解决病毒、木马攻击的行为有一定的作用,但对漏洞、后门、远程执行代码、远程攻击等能够起到的作用是有限的。WindowsXP停止官方支持后,诸如后门、远程执行代码等网络威胁一旦攻向终端,仅依靠终端杀毒软件一层防护是远远不够的。
2.2病毒及木马攻击的威胁
计算机病毒、木马威胁是日常网络安全防护中最普遍的网络威胁,后XP时代,快速识别并防御利用新病毒、新木马发起的攻击行为,难度进一步增加。采用威胁特征码匹配识别攻击行为的传统安全设备和安全手段暴露出极大的弊端。攻击行为识别的准确率受限于本地特征库容量和更新延时的问题,对于新的病毒、木马并不能做到全面、快速的防护。代码特征的检测技术对于新漏洞引发的未知威胁则束手无策。由于XP停止服务,木马、病毒利用新的安全漏洞产生的攻击行为将对XP用户造成巨大损失。
2.3软件环境封顶造成APT攻击的威胁
XP系统停止服务后,给一些软件带来新的问题。如在XP停止服务后,IE8未来也不会再得到相应的系统补丁更新。这样,攻击者就可以基于XP上封顶版本的IE浏览器进行集中攻击。关于Office版本的封顶问题,XP最高支持到Office2010,虽然微软一直在改善其主要应用程序内建的安全机制,对于2013版以后的版本,会持续的改善其安全机制,但对于之前版本的Office只发补丁,却不会同步最新的安全机制。这样基于封顶环境的IE、Office软件的APT攻击将成为XP停止服务后的又一安全威胁。
3后XP时代信息安全防护
3.1加强政府引导
加强政府引导,防止Windows8系统进入我国政府和重要行业。微软停止对XP系统的支持目的之一就是要力推Windows8系统,然而回顾2006年微软Vista操作系统时,当时国内有关专家对其进行评估,确认Vista的架构会使用户电脑被微软高度掌控。用户开发的软件需得到微软的授权后才能运行,不能自己更改系统。即使改一个字节也会被发现,其结果是Vista没有进入我国政府采购目录。Windows8和Vista是同类架构,Windows8与可信平台模块(TPM2.0)绑定,对用户控制能力超过Vista。Windows8还捆绑了微软的杀毒软件,时刻在检查用户终端,随时可以给用户电脑下载补丁,更容易为“棱镜”项目等监控手段提供支持。如果让Windows8系统进入我国政府及重要行业,我国的信息安全建设将更加被动。
3.2建立第三方漏洞修复和补丁分发体系
建立第三方漏洞修复和补丁分发体系,保证XP系统短期安全过渡。在我国国家信息安全漏洞库的支撑下,以国内信息安全企业为依托,加大漏洞分析资金投入和WindowsXP安全漏洞的收集力度,建立漏洞信息共享机制,建立WindowsXP第三方安全补丁研发体系,形成一批XP系统的安全加固方案和针对各种应的安全加固能力。同时,以国家信息安全测评中心为主导,集结各信息安全企业的力量对第三方WindowsXP补丁可能存在稳定性、兼容性和性能等多方面问题进行测试,保证第三方开发WindowsXP补丁的实用性和时效性。利用已有补丁分发机制,向社会公布推广,通过数字签名等技术保证补
丁分发过程中的安全性和完整性。
3.3加大XP系统防护技术的研发力度
加大XP系统防护技术的研发力度,保证XP系统一段时间内安全运行。发展自主可控的国产化操作系统一直是我们努力的目标,国产操作系统完全取代国外操作系统还有很长的路要走。在一段时间内,WindowsXP系统还将继续使用。因此,应通过构建产业联盟,整合国内信息安全优质资源,研WindowsXP系统的安全防护技术。研究利用可信计算、主动防御、安全云服务、云杀毒、黑白名单等技术,
实现对XP系统的漏洞修复、实时杀毒等操作。
3.4加强自主可控的核心软硬件建设
加强自主可控的核心软硬件建设,实现国产化产品的健康替代。XP系统停止服务,给我国带来严峻挑战的同时也带来机遇。国家应加强政策引导,发挥市场在资源配置中的作用,建立健全信息安全产业生态环境,通过协同攻关,到2020年形成PC终端、手机、嵌入式每种类型1~2款成熟的国产操作系统,充分运用自主创新的可信计算技术,研发满足不同应用需求的国产操作系统以及相应的应用开发、测试等工具,具备对国外PC和移动终端操作系统的替代能力。
3.5加大创新力度
加大创新力度,研制世界领先水平的操作系统产品。以WindowsXP停止服务事件为契机,加大技术创新力度,形成完全自主可控、安全可信、具有世界领先水平的操作系统品牌,构建安全可信的信息安全防御体系。
4结束语
