時間:2023-04-10 11:05:01
開篇:寫作不僅是一種記錄,更是一種創造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇網絡信息安全教育,希望這些內容能成為您創作過程中的良師益友,陪伴您不斷探索和進步。
誠然,網絡信息安全教育早已成為新時期教育的主題,目前,各方對安全教育的重視程度仍顯不足,表現在:首先,盡管越來越多的學校已正式開設信息安全教育活動,并作為整個高校管理工作的組成內容,然而,幾乎沒有高校將信息安全教育納入到教學規劃中。從這個視角看,高校自身對信息安全教育的關注程度仍較低;其次,進行信息安全教育的方式不明確,教育實施方案欠完善,例如,一些高校將信息安全教育歸入到學校安全小組的職能范圍中,部分大學生將其納入到學生處的工作職責中,高校對于信息安全教育工作的順利進展尚未形成強大的合力。
(2)對大學生網絡信息安全教育的觀念相對滯后
在當下,高校對于信息安全教育的各種觀念相對滯后,表現在兩方面:其一,未能將培養綜合素質高尚的新型人才同做好大學生的信息安全教育緊密聯系在一起,誠然,大學生信息安全教育工作的成功進行離不開社會各界的廣泛支持,同時也需綜合素質過硬的新型人才做后盾;其二,對信息安全教育的認識落后于網絡發展的客觀形勢,網絡信息技術的迅猛發展,亟需高校不失時機地抓緊抓好對大學生的信息安全教育,確保大學生的理想信念不動搖,以同資產階級領域的意識形態徹底分裂開來。(3)網絡信息安全教育的說服力度不夠目前,一批高校在信息安全教育過程中,所選用的教科書過于偏重理論探究,缺乏對大學生防范信息安全風險的技能培養,對大學生的說教僅停留于教材理論的層面,尚無法完全說服提升自我防范意識;除此以外,個別高校開展信息安全教育的手段十分老套,仍延續陳舊的方式方法,無法使學生對該項教育產生興趣。
2強化大學生網絡信息安全教育的有效途徑和方法探析
(1)綜合利用多種教育方式搞好教育工作
網絡信息安全教育的方式切忌單一化,否則,會難以獲得大學生的有效配合。有鑒于此,首先,高校要充分借助于學校的輿論及傳媒工具,利用校報、校園廣播網路、校園內部的宣傳欄等多種途徑開展規范的信息安全教育,引領大學生在潛移默化中接收正確的信息安全知識,使信息安全教育取得立竿見影的效果;其次,要依靠行政手段,通過定期舉辦各類會議開展教育活動;第三,可借由網絡的交互性平臺,開設網絡論壇,為師生之間的雙向經驗交流提供新渠道;第四,通過教育的形式,舉辦信息安全經驗研討會、信息安全常識競賽、安全常識講座等搞好教育工作。
(2)引領學生踴躍參加網絡信息安全的教育教學實踐
信息安全教育決不能僅停留在教材理論灌輸的層面,還要將書本理論同教學實踐緊密結合起來。高校要不斷地激勵、鞭策學生投身于實踐中,使其均能發揮主觀能動性解決實際問題。大學生要具備這種能力,有賴于學校創設良好的實驗環境,所以說,高校可在計算機專業設置信息安全教育實驗室,該實驗室的創建要以網絡環境為前提,從連接到互聯網,對內單獨設定網絡群,并安置若干應用普遍的信息安全設備及系統,根據較常見的信息安全問題,模擬信息安全實驗環境,這不單為計算機專業的大學生創造必備的教學實踐機會,更能充當高等學校開展系統地信息安全教育的實訓基地。
(3)就網絡信息安全教育設置專業化的課程
網絡信息的安全教育是一個理論同實踐緊密聯系的學習過程,如若在教育中更直觀地體現學以致用、用以促學的原則理念,勢必會贏得大學生們的積極肯定和響應。有鑒于此,高校要設置專業化的網絡信息安全課程,為全體大學生提供全面地、詳細地了解和掌握信息安全常識的機會。高校要著力打造一支業務過硬、專業本領過強的師資團隊,要在教材的編撰上體現“網絡法制教育”的原則,學生們需按照各項網絡法律規范的要求,預防和杜絕一切網絡違法行為,通過網絡普法教育,使學生們的網絡法律意識得到有序提升,在利用網絡時,便會正確地分辨是與非、錯與對,做出合乎法律規章的行為。
(4)健全完善網絡信息安全教育的長效運行機制,狠抓落實
完善高等院校的網絡信息安全教育機制,首要的任務便是在全校范圍內設立信息安全教育指導機構,擔負起對學生進行系統的信息安全教育的任務,明確教育內容,編制詳盡的安全教育實施規劃,加大落實力度,安排富于經驗的專業教師親自講授,并對教學效果進行科學考核。為抓緊落實,高校可把信息安全教育統一歸入教學規劃之中,在校教務處的統一領導和正確指揮下有條不紊地開展各項教育活動。
3結語
信息安全意識淡薄
以我們對唐山所在高校大學生的調查為例,有28.6%的學生由于計算機安全方面的事件對自己造成了不同程度的損失,造成網絡安全事件發生的主要原因有37.5%的學生選擇不清楚,由于未防范軟件漏洞導致發生安全事件的占總數的45.2%,登錄密碼過于簡單或未修改密碼導致發生安全事件的占35.1%,足見學生的安全防范意識之薄弱。盡管如今眾多專家學者已經認識到高校屬于信息安全高危環境,但只有少數高校進行這方面意識的培養,也很少有高校能夠達到指導教工和學生清楚地認識到信息系統安全在現有科技和新興科技中所扮演的重要角色。一些學校中開展的尚不健全且目的不明確的教學研究項目可以反映出當前信息安全意識教育在高校中的地位很低。與此相反,信息技術的進步卻不斷要求學生具備更多信息安全的知識。顯然,這兩方面已經成為了一對尖銳的矛盾,學術界的相關研究也常常陷入孤軍奮戰的尷尬境地。多數研究局限于信息安全對于軍事的價值和意義,工業、商業、社會生活等方面的用途沒有得到應有的關注和投入。這種全民信息安全意識的缺乏將造成一個惡性循環,高校的大學生走向社會必將成為未來企業中的中流砥柱,由于網絡安全意識的缺乏,可能在毫無察覺的情況下將重要的商業信息暴露于危險之中,或者在遇到這種不利的處境時束手無措,而給公司造成不必要的損失。
網絡信息安全教育明顯滯后
也以我們對唐山高校的調查為例,發現學校網絡信息安全教育滯后。滯后的情況有以下幾種:第一是對學生信息安全教育滯后于形勢的發展。學校沒有充分認識到快速發展的網絡已經延伸到了校園的各個角落。搞好大學生網絡信息安全教育,不但可以保證大學生身心健康發展,也是培養優質人才的需要。第二是高校加強大學生網絡信息安全教育與培養健康、理性的高素質合格人才的關系處理不當。搞好大學生網絡信息安全教育,不但能提高大學生自我防御、免受不良信息的侵害的能力,同時也避免大學生本身違法犯罪行為的發生。也是高校保證其“產品”高質量、高出品率的至關重要的因素。第三是未能處理好安全教育課程與其他專業課程設置的關系。不少高校片面認為大學生安全信息教育不是學校教學內容可有可無,因而大學生的安全信息教育也就不能列入學校的教學日程。在接受調查的大學生中有36.5%的同學表示,學校的信息安全教育不系統。
對大學生網絡信息安全教育缺乏重視程度
學校的重視程度如何,直接影響大學生的信息安全意識的水平。通過我們的調查,發現在各個高校有不同程度的欠缺:第一是領導機制不健全。大多數學校沒有專門的信息安全領導或管理機構。大學生信息安全教育采取什么樣的運行機制,以什么形式納入學校教學內容,沒有明確的規定和安排,有的學校把大學生網絡信息安全教育放在各院系辦公室,有的放在學生處,教務處,有的放在保衛處等等,從管理體制上沒有形成自上而下的統一。第二是沒有把大學生網絡信息安全教育作為學校教學工作的一部分。信息安全教育方面的專門課程、專業教師和教科書寥寥無幾。對大學生網絡信息安全教育一般也只是以報告、宣傳等方式零敲碎打,致使大學生獲取網絡信息安全教育渠道不暢通信息不全面系統。第三是沒有把大學生安全教育納入教學計劃。調查顯示,大多數學校沒有信息安全教育課程的教學計劃,信息安全教育的時間、內容、教材、教師、教學效果等,都沒有統一的規劃。因此說,大學生信息安全教育在學校教學工作中一直沒有應有的位置。
大學生信息安全教育缺乏力度
主要表現在幾個方面:第一是制度不健全,沒有納入規范化、制度化的軌道。二是教育手段落后。多數高校教育手段都是老一套,沒有根據時代的發展而有所創新,脫離實際,對大學生沒有吸引力。三是缺乏系統性。教育過程比較隨意,而在法律規范、倫理道德和防范技術、安全意識等方面存在缺陷,沒有形成較完整的安全教育體系。(本文作者:單位:)
【關鍵詞】計算機;信息安全
隨著計算機網絡的不斷發展與普及,人類生活已經入信息化、數字化時代,在我們的日常生活、學習、工作等諸多領域都有著網絡的痕跡,而目前獲取信息進行交流的主要手段也是網絡。眾所周知,一個國家國民教育程度的高低對整個國家國民素質的發展有著重要的影響。因此,網絡化教育已經成為教育發展的必然趨勢,國家的發展離不開教育,而教育的發展離不開網絡。然而,由于種種原因,網絡也有其不足之處,我們在進行網絡教育的過程中必然存在很多問題。為了提供一個安全可靠的網絡環境,在培養信息安全人才的同時,還必須加大網絡安全系統建設的投入,這是確保信息安全的關鍵。
網絡系統的信息安全是指防止信息被故意或偶然的非法泄露、更改、破壞或使信息被非法系統識別、控制等[4]。所以,強化網絡的信息安全,解決信息安全問題,才能使信息更加持續化,向健康的方向發展。
1. 目前學校網絡教育中信息安全教育存在的問題
當前,盡管全球信息化正在飛速發展,但信息在網絡上也面臨著隨時被竊取、篡改和偽造的危險,這就對保障信息安全帶來了很多挑戰。因此,我們在校園環境中也要認識到,現在學生上網已經是一種非常普遍的現象,而虛擬的網絡環境在為學生的學習和生活提供廣闊發展空間的同時,也對學生的健康成長起著直接或間接的負面影響,例如計算機病毒、黑客攻擊等現象。如果不能正確引導學生認識,那么學生對于網絡信息安全的理解就會走向誤區。下面將針對網絡教育中存在的信息安全問題做簡單論述:
1.1 對信息安全教育的認識不足。
加強學校信息安全教育,不僅是保證學生身心健康發展的關鍵,也是同其他國家爭奪人才的需要。目前很多學校未能意識到網絡信息安全教育的重要性,不能深刻理解其內涵,因此,從現在開始就要培養學生對網絡信息安全重要性的認識,掌握信息安全體系中最基本的原理和概念,能夠熟練運用常用的工具和必要手段進行安全故障的排查等等[5]。我們要最大限度地保證學生免受不良信息的侵害,盡量避免學生自身違法犯罪的發生,為我國培養高素質、高水平人才提供保障。
1.2 對網絡信息安全教育的重視力度不夠。
目前很多學校對于如何將信息安全教育正規、科學的納入到學校教學計劃,還沒有做出明確的規定。有些學校甚至只對個別專業的學生開設相關的信息安全教育課程,普及面非常狹窄,重視程度遠遠不夠,導致學生對計算機軟件和硬件知識體系的了解相當缺乏。為了全面提高我國高素質人才的計算機信息安全意識,我們不能僅僅對計算機專業的學生普及信息安全教育,還要將這項教育推廣到非計算機專業,這對于增強我國經濟社會全面信息化建設具有十分重要的保障作用。
1.3 對學校信息安全教育采用的方法不當。
很多學校所采用的信息安全教育的方法比較落后,依舊沿用老方法,跟不上當今網絡時代快速發展的要求,脫離了實際。大部分的教材只局限于理論的講述,而忽視了對信息安全技能方面的培養,缺少必要的實踐經驗,嚴重影響了信息安全教育的效果。
2. 計算機網絡系統本身存在的主要信息安全問題
由于計算機網絡的重要性和對社會活動的影響越來越大,大量數據需要進行存儲和傳輸,某些偶然的或惡意的因素都有可能對數據造成破壞、泄露、丟失或更改。以下內容主要是論述計算機網絡系統中本身存在的信息安全問題,并針對這些問題進一步提出了解決的策略。
2.1 影響計算機網絡安全的因素有多種,主要是自然因素和人為因素。自然因素是指一些意外事故,例如服務器突然斷電等;人為因素是指人為的入侵和破壞,這種情況危害性大且隱藏性較強。
2.2 無意的損壞,例如系統管理員安全配置不當而造成的安全漏洞,有些用戶安全意識不強、口令選擇不慎、將自己賬戶隨意轉借他人或與他人共享資源等帶來的安全問題。
2.3 有意的破壞,例如黑客利用網絡軟件設計時產生的漏洞和“后門”對電腦系統的非法惡意攻擊,從而使處于網絡覆蓋范圍的電腦系統遭到非法入侵者的攻擊,有些敏感數據就有可能被泄露或修改,這種破壞主要來自于黑客。
2.4 網絡黑客和計算機病毒是造成信息安全問題的主要原因。網絡黑客和計算機病毒的出現給計算機安全提出了嚴峻的挑戰,因此要解決此問題,最重要的一點是樹立“預防為主,防治結合”的思想,牢固樹立計算機安全意識,防患于未然,積極地預防黑客的攻擊和計算機病毒的侵入[4]。而病毒則以預防為主,主要是阻斷病毒的傳播途徑。
3. 網絡信息安全的防范措施
3.1 加強計算機防火墻的建設。
所謂計算機防火墻是由軟件和硬件設備組成、在內網和外網之間、專用網與公共網之間的界面上構造的保護屏障。它是一種計算機硬件和軟件的結合,保護內部網免受非法用戶的入侵,能夠保護計算機系統不受任何來自“本地”或“遠程”病毒的危害,向計算機系統提供雙向保護,也防止“本地”系統內的病毒向網絡或其他介質擴散[2]。
3.2 建立一個安全的網絡系統。
3.2.1 從技術上保障可行的資源保護和網絡訪問安全,主要包括網絡身份認證,數據傳輸的保密與完整性,域名系統的安全,路由系統的安全,入侵檢測的手段,網絡設施防御病毒等。如加密技術,它是電子商務采取的主要安全保密措施,是最常用的安全保密手段,是利用技術手段把重要的數據變為亂碼(加密)傳送,到達目的地后再用相同或不同的手段還原(解密)的一種技術。
3.2.2 詳細了解當前存在的網絡信息安全問題,以及網絡信息安全的攻擊手段,積極采取相應的有效措施進行解決。
3.2.3 要從工作環境以及工作人員、外來人員方面切實做好保密工作,要有嚴格的崗位考核管理制度,對工作人員的安全意識要經常培訓,以便從物理上斷絕對網絡安全的威脅。
3.2.4 用戶本身方面,要有強烈的自我保護意識,對于個人隱私及與財產有關的相關信息要做好保密工作,不能輕易告知他人。
3.2.5 要對網絡外部運行環境(溫度、濕度、煙塵)進行不定期的檢測、檢查和維修,提供一個良好、暢通的外界環境。
隨著信息化進程的加快和網絡安全行業的快速發展,網絡教育在學校教育中扮演著越來越重要的角色,推動新的教育模式不斷向前發展。同樣,我們也面臨著新的威脅,因此我們必須運用新的防護技術。網絡信息安全是一個系統的工程,我們不能僅靠硬件設備(殺毒軟件、防火墻、漏洞檢測)等的防護,還應意識到計算機網絡系統是一個人機系統,計算機是安全保護的對象,但執行保護的主體是人,只有樹立人的計算機安全意識,才有可能防微杜漸,同時還要不斷進行網絡信息安全保護技術手段的研究和創新,從而使網絡信息能安全可靠地為廣大用戶服務。
參考文獻
[1] 葉炳煜.淺論計算機網絡安全[J].電腦知識與技術,2009,(03)
[2] 閻慧.防火墻原理與技術[M] .北京:機械工業出版社,2004
[3] 張紅旗.信息網絡安全[M].北京:清華大學出版社,2002
[4] 袁家政.計算機網絡安全與應用技術[M].北京:清華大學出版社,2003
[關鍵詞] 信息 安全技術 教育
我們都知道一個政治經濟學定律:生產力決定生產關系。根據這個定律,可以把人類文明分為三種:農業社會文明,工業社會文明,信息社會文明。農業文明使用的工具是鐮刀、鋤頭,代表者是農民;工業文明使用的主要工具是錘子、機器(馬克思說過,農業社會是水推磨,工業社會是機器磨),代表者是工人;信息社會文明使用的主要生產工具是計算機,代表者是知識分子。從世界范圍來看,農業文明中國領先,工業文明中國落后,信息文明則全球在行動,這是大趨勢。信息社會的根本是重視教育、重視人才。
信息社會文明從技術上講有三個技術很重要:以CPU為核心的技術、操作系統技術、信息安全技術。三大技術中前兩大技術國外暫時領先,我們不能掉以輕心,仍有追擊之力。對于第三項信息安全技術,我們是大有希望占有較大技術份額,甚至有可能領先。試想:在整個信息化文明到來時,作為一個占全世界人口四分之一的民族,核心技術又一舉占先,數字化經濟、信息化社會將垂涎于整個國家和民族。那么國家的綜合勢力必定大上一個臺階。
1 信息安全概述
隨著現代通信技術的發展和迅速普及,特別是計算機互聯網連接到千家萬戶,信息安全問題日益突出,而且情況也變得越來越復雜。信息安全本身包括的范圍很大,大到國家軍事政治等機密安全,小范圍的當然還包括如防范商業企業機密泄露,防范青少年對不良信息的瀏覽以及個人信息的泄露等。
在通信過程中,存在著人為因素和非人為因素造成的對通信安全的威脅。其中,以人為攻擊所造成的威脅最大。“攻擊”分被動攻擊和主動攻擊兩類。被動攻擊是不改變系統信息內容以及系統狀態的一種攻擊。例如,以合法或非法手段竊取系統中的信息,或者通過對系統長期監視和對有關參數的統計分析,從中掌握某些規律,或獲取有價值的信息情報等,都屬于這種類型。被動型攻擊主要威脅信息的保密性。主動攻擊意在竄改系統中所包含的信息內容,或改變系統的狀態或操作。常見的攻擊手段有冒充、篡改、抵賴等。冒充是指非法用戶冒充合法用戶,特權小的用戶冒充特權大的用戶等;篡改是指采取刪除、偷換、添加信息內容的辦法,以假亂真;抵賴是指通過否認自己曾過的消息或偽造、修改來信等手段來實現的欺騙。主動攻擊主要是威脅信息的完整性、可用性和真實性。
2 信息安全技術
針對上述攻擊,目前常用的保障通信安全的技術即信息安全技術主要有:
2.1 信息保密技術
信息保密技術是利用數學或物理手段,對電子信息在傳輸過程中和存儲體內進行保護,以防止泄漏的技術。保密通信、計算機密鑰、防復制軟盤等都屬于信息保密技術。信息保密技術是保障信息安全最基本、最重要的技術,一般采用國際上公認的安全加密算法實現。例如, 目前世界上被公認的最新國際密碼算法標準AES,就是采用128、192、256比特長的密鑰將128比特長的數據加密成128比特的密文技術。在多數情況下,信息保密被認為是保證信息機密性的唯一方法。它的特點是用最小的代價來獲得最大的安全保護。
2.2 信息確認技術
信息確認技術是通過嚴格限定信息的共享范圍來達到防止信息被偽造、篡改和假冒的技術。通過信息確認,應使合法的接收者能夠驗證他所收到的信息是否真實;使發信者無法抵賴他發信的事實;使除了合法的發信者之外,別人無法偽造信息。一個安全的信息確認方案應該做到:其一,合法的接收者能夠驗證他收到的消息是否真實;其二,發信者無法抵賴自己發出的信息;其三,除合法發信者外,別人無法偽造消息;其四,發生爭執時可由第三人仲裁。按照其具體目的,信息確認系統可分為消息確認、身份確認和數字簽名。 例如,當前安全系統所采用的DSA簽名算法,就可以防止別人偽造信息。
2.3 網絡控制技術
常用的網絡控制技術包括防火墻技術、審計技術、訪問控制技術和安全協議等。其中,大家所比較熟悉的防火墻技術是一種允許獲得授權的外部人員訪問網絡,而又能夠識別和抵制非授權者訪問網絡的安全技術。它起到指揮網上信息安全、合理、有序流動的作用。審計技術能自動記錄網絡中機器的使用時間、敏感操作和違紀操作等,它是對系統事故分析的主要依據之一。訪問控制技術是能識別用戶對其信息庫有無訪問的權利,并對不同的用戶賦予不同的訪問權利的一種技術。訪問控制技術還可以使系統管理員跟蹤用戶在網絡中的活動,及時發現并拒絕“黑客”的入侵。安全協議則是實現身份鑒別、密鑰分配、數據加密等的安全機制。整個網絡系統的安全強度實際上取決于所使用的安全協議的安全性。
3 信息安全教育
為了保證信息安全,防范計算機犯罪,需要從技術、法律、管理和教育等方面著手,缺一不可。信息安全教育也是信息安全的重要組成部分。信息安全教育是一項新的安全工作,不僅是一個技術問題,更重要的是它對社會各方面可能產生重大影響。信息安全問題影響到整個社會,并逐漸成為社會的公共問題。抓好信息安全教育,進行有效管理,對維護社會的穩定與發展具有深遠的意義。信息安全教育的比較內容比較多,主要包括法規教育、安全基礎知識教育。
3.1 法規教育
法規教育是信息安全教育的核心。現代社會中,計算機的社會化程度正在迅速提高,大量與國計民生、國家安全有關的重要數據信息,迅速地向計算機系統集中,被廣泛地用于各個領域。同時計算機的脆弱性所導致的詐騙犯罪,已經給計算機發達國家和公眾帶來嚴重損失和危害,成為社會關注的問題。因此,許多國家都在紛紛采取技術、行政和法律措施,加強對計算機的安全保護,建立了計算機安全管理、監察和審計機構。
3.2 安全基礎知識教育
安全基礎知識主要包括安全技術教育、網絡安全教育、運行安全教育,實體安全教育,所涉及的內容既深又廣。正確使用計算機系統和規范上網操作是各行各業工作必備的基本技術素質。
針對青少年的特點,重視學校和家庭教育,一是加強青少年的法制教育、愛國主義、政治思想教育,使青少年在思想上提高自我約束、自我保護的能力。二是積極創造條件,在普及網絡知識上下功夫,普及信息安全知識上加大投入,一方面促使青少年更好地學習信息安全知識,另一方面在學習的過程中提高青少年的水準。三是家長不但要有所意識,及早行動,通過提高自身素質,以便更好地教育、引導孩子,而且在情感方面也要不斷地與孩子交流。
4 結語
信息安全十分重要,但是絕對安全也是不可能的。因此,加強信息安全知識的普及和教育十分重要。結合信息安全的特殊性,加強長期培訓和短期培訓相結合,面對面傳授和網上遠程教育相結合,尤其是重視對青少年的啟蒙和引導教育,為他們的智力、能力的發揮提供更吸引人的正確的信息安全教育平臺。
參考文獻
(湖北文理學院 數學與計算機科學學院,湖北 襄陽 441053)
摘 要:基于前期的問卷調查結果,提出大學生信息安全教育的教學內容,說明教學案例和教學策略,介紹在新生計算機基礎課程中進行教學實踐的情況。
關鍵詞 :大學生;信息安全教育;案例驅動;教學實踐
基金項目:湖北省教育科學規劃研究項目(2013B202);湖北省高等學校省級教學研究項目(2014370)。
第一作者簡介:楊建強,男,副教授,研究方向為信息安全和無線網絡技術,xfxy_yjq@126.com。
0 引 言
幾年前,國內的一些學者已經對大學生信息安全教育提出了一些建議[1-4]。但是,受多種因素影響,大學生的信息安全教育問題并未引起大多數高校的重視。盡管如此,智能手機和計算機在大學生中的普及,卻開始影響大學生對信息安全的認識。為了把握目前大學生的信息安全知識和安全意識情況,為大學生的信息安全教育提供參考,我們進行了問卷調查。結果表明,受電腦普及,特別是智能手機在學生中流行的影響,目前的大學生對信息安全知識有了一定的了解,具有一定的信息安全意識。不過,大學生的信息安全知識非常有限,缺乏系統性;他們的信息安全意識也不足以應付日益復雜的網絡環境。調查結果還表明,大學生普遍非常重視信息安全教育,希望通過計算機基礎課程學習信息安全知識,并建議采用案例驅動的教學方式[5]。基于調查結果,我們對信息安全的教學內容進行了總結和提煉,設計了教學案例和教學策略,并在部分班級計算機基礎課程中進行了教學嘗試。
1 教學內容
大學生信息安全教育包括3個方面的內容:①信息安全知識及防范技術;②信息安全法律法規;③信息安全倫理道德[1-2,4,6]。其中,第一部分是重點,第二、三部分也可以安排到法律基礎、大學生思想道德修養等課程中[5]。信息安全內容非常龐雜,在計算機專業的信息安全課程中,通常需要30多個學時來完成理論課的教學。這意味著,要在計算機基礎課程中嵌入信息安全教學內容,必須精簡信息安全教學內容,壓縮授課學時。所以,選擇哪些信息安全知識作為教學內容就變得非常重要。我們認為,所選擇的內容應該涵蓋信息安全最基本的知識點,同時具有一定的系統性;學生學習后,能夠對信息安全有一個系統的把握,掌握最基本的信息安全知識,提高信息安全意識,同時掌握實用信息安全防御技能。表1為知識單元及其對應的知識點。
2 教學案例設計
根據前面給出的信息安全知識單元和知識點,可以設計出11個教學案例,其知識點的對應關系見表2。
案例1、2是與惡意軟件有關的兩個典型案例。案例3是經典密碼案例。因為現代密碼比較抽象,難以理解,借助經典密碼有助于學生理解現代密碼的有關概念。案例4、5應用非常廣泛,是了解公鑰密碼技術非常好的案例。案例6比較常見,不過學生通常并不知道它的作用及背后的工作機制。案例7、8、9都是比較典型的安全事件,學生或多或少都了解一些。案例10中的工具是學生容易忽視,但卻非常重要的安全工具。這些工具所涉及眾多的信息安全知識也是學生需要了解或掌握的。案例11與學生日常使用的智能手機相關,有助于提高學生的安全防范技能。
另外,除了知識單元①⑧沒有專門設計教學案例外,其他知識單元都有相應的教學案例。不過,知識單元⑧實際上與大多數案例都有關系,其知識點可以放在其他案例中講授。知識單元①是對信息安全基本概念的介紹,受學時的限制,不建議設置教學案例。
3 教學策略設計
總體上來說,信息安全的教學主要圍繞表1的知識單元順序進行。各知識單元的教學策略如下。
知識單元①。以圖例的方式簡單描述信息安全事件的一些發展趨勢,比如近幾年惡意軟件的發展趨勢圖、網絡攻擊變化趨勢圖等,然后給出信息安全的含義、目標、需求和意義。知識單元①大約需要10分鐘講授完畢。
知識單元②。引入案例1,因為很多學生都遇到過U盤病毒,所以教師可以指出U盤病毒是一種蠕蟲病毒,然后給出蠕蟲病毒的特征、危害。之后以一個感染了蠕蟲病毒的U盤為例,演示手工清除U盤蠕蟲病毒的過程,同時提醒學生防范U盤感染病毒的方法。對于案例2,以生活中發生的手機惡意軟件(大多是木馬程序)事件為例,比如“超級手機病毒”事件,手機掃描二維碼中毒事件等。然后指出木馬的特征,與蠕蟲的區別。指出手機惡意軟件傳播的途徑及危害。告知學生防范惡意軟件的方法。比如,下載軟件的時候注意來源是否可靠,別人的評價如何;為手機安裝軟件的時候,注意軟件所請求的權限是否超出了它的功能;安裝安全軟件等。之后,指出傳統病毒與蠕蟲、木馬的區別,并簡單介紹其他類型的惡意軟件及流氓/間諜軟件。最后,提醒制作惡意軟件是計算機犯罪行為,將要受到法律的制裁,并給出計算機犯罪的含義,以及相關法律法規的條文說明。這部分內容大約需要40分鐘完成。
知識單元③。首先說明加密的目的,然后給出密碼學的一些基本概念,如明文、密文、密鑰等。然后引入案例3,通過一個4×4階的矩陣,演示整個“矩陣換位加密”過程,加密一個包含正好16個字符的明文。然后指出哪些是明文、密文和密鑰。說明消息超過16個字符時的處理方法。然后指出“矩陣換位加密”中的密文字符僅僅是明文字符改變位置的結果,這叫置換;指出某些經典加密算法中的密文字符是不同于明文字符的另一類字符,這叫替代。之后,給出現代對稱密碼的基本原理,即現代對稱加密算法本質上是置換和替代的多次重復。此時可以給出DES算法的框圖,讓學生進一步理解對稱密碼的基本原理。最后,指出目前廣泛使用的對稱加密算法3DES、AES等。這部分內容大約需要20分鐘完成。
引入案例4,打開顯示有下載軟件的SHA1或MD5值的網頁。提問學生是否知道SHA1或MD5的作用。然后指出SHA1或MD5是哈希算法,其作用是生成數據的指紋,可用來檢測對原始數據的更改。接下來引入案例5,打開帶有數字簽名文件的屬性對話框。比如QQ安裝程序,查看數字簽名的詳細信息,指出數字簽名的含義和作用,并說明QQ安裝程序是經過騰訊公司簽名的,如果顯示“該數字簽名正常”,則該程序是原始程序,否則被修改過,不要安裝。接下來繼續查看數字簽名對應的數字證書,查看數字證書中的哈希算法(通常是SHA1)和簽名算法(通常是SHA1RSA)。此時,就可以講授公鑰密碼的一些概念了。和對稱密碼對比,指出公鑰密碼的特點。告訴學生RSA是流行的公鑰密碼算法。當學生記住這些概念之后,就可以指出數字證書的作用了:保證公鑰的真實性。然后告訴學生證書對話框中的公鑰。接著,進一步說明數字簽名及驗證簽名的大致過程,并以QQ安裝程序為例進行說明。到此,公鑰密碼、數字簽名和數字證書的概念已經講授完畢。建議進一步向學生說明,他們所看到的數字證書,實際上是由權威機構簽名并頒發的,在證書路徑上可以看到簽名的權威機構,并讓學生看一看計算機上已安裝的“受信任的根證書頒發機構”列表。這部分內容大約需要30分鐘完成。
知識單元④。引入案例6,打開啟用了安全連接的網頁,比如中國銀行的“個人客戶網銀登錄”,提問學生該網頁與普通網頁有什么不同?然后,單擊瀏覽器上的小鎖,讓學生看到“連接是加密的”字樣;單擊“查看證書”,告訴學生這個證書如果是被信任的,則說明所訪問的網站是官方網站。接下來,打開鐵路12306網站,單擊“購票”,指出證書不被信任時電腦的表現。單擊“繼續瀏覽網站(不推薦)”,單擊瀏覽器上方的“證書錯誤”,提醒學生注意顯示的信息。進一步“查看證書”,解釋不被信任的原因。接下來,說明如果所訪問的網站的確是官方網站,如何讓計算機信任它。根據需要,可以進一步說明“受信任的根證書頒發機構”的作用。到這里,就可以指出https與SSL的關系,以及SSL的作用了。之后,簡單介紹一下SET的作用,并指出SSL和SET在應用上的主要區別。
引入案例7,如果有現成的釣魚網站,直接打開它。如果沒有,則找一個以往釣魚網站的圖片示例。比較真實網站和釣魚網站的差別,指出釣魚網站的危害性,并給出被釣魚網站欺騙的實際案例。然后,指出識別和防范釣魚網站的方法,比如通過網址識別、啟用瀏覽器的假冒網站檢測功能等。告訴學生不要輕信郵件、QQ、微信、微博等上面的鏈接,特別是要求給出敏感信息的鏈接。同時提醒這種網絡欺詐行為也是一種計算機犯罪。案例6、7所涉及的知識點大約需要30分鐘完成。
知識單元⑤。引入案例8,給出典型的示例,比如2014年1月21日的國內大量網站無法訪問這個事件。然后指出拒絕服務攻擊的含義,并說明拒絕服務攻擊只是網絡攻擊的一種形式。然后指出其他攻擊形式,比如傳播惡意軟件、釣魚網站、郵件欺騙、社會工程、網絡竊聽、網絡掃描攻擊等。給出網絡攻擊的目的、一般過程,以及防范技術和方法,比如防火墻及IDS。同時提醒學生,網絡攻擊也是一種犯罪行為。
引入案例9,指出從2011年年末開始,因特網用戶資料不斷遭到大規模泄露。打開與此相關的網絡新聞報道,提問學生是否資料遭到泄漏。然后給出用戶資料遭到泄漏的兩種原因:用戶資料庫泄漏和撞庫。告訴學生目前第一種情況越來越少,更多的是第二種情況。提醒學生不要在不同的網站上使用同樣的賬號和密碼,特別是密碼,否則會遭遇撞庫攻擊而影響到其他賬戶的安全。另外密碼不能太簡單,不要用生日、電話、QQ號碼、親朋好友寵物的名字等作為密碼。案例8、9所涉及的內容大約需要30分鐘完成。
知識單元⑥。引入案例10,首先說明Windows系統已經提供了許多保障系統安全的工具。然后逐個演示Windows系統更新、Windows防火墻、Windows Defender、MRT和EFS的基本操作。同時說明系統更新的作用及漏洞的含義,說明防火墻的作用,說明Windows Defender與MRT的作用和它們的區別,說明EFS與對稱及公鑰密碼的關系,并指出使用EFS時需要注意的事項。接下來,演示Windows賬戶設置及訪問權限設置,指出它們的含義、作用,通過創建新的賬戶,并設置某個文件夾或文件的NTFS訪問權限,讓學生切實感受到Windows賬戶和NTFS相結合的強大之處,促使學生理解并掌握相應的操作技能。這部分內容大約需要40分鐘完成。
知識單元⑦。引入案例11,給出典型的示例。比如在公共的免費Wi-Fi環境中對信用卡信息進行操作,導致信用卡里的錢款被盜的新聞事件,使用公共Wi-Fi導致手機感染病毒的新聞事件,指出示例中的計算機犯罪行為。然后指出公共Wi-Fi可能帶來的兩類威脅:個人敏感信息的泄漏,和偽裝Wi-Fi攻擊。給出防范措施:不登錄郵箱、微博,不操作網銀等。另外,移動設備Wi-Fi連接僅在需要時打開;開啟安全軟件的網絡保護和隱私保護功能。然后,指出移動設備的其他安全威脅,比如惡意軟件、設備丟失等。提醒學生除了采用前面第②單元提到的安全措施,還應該經常備份手機中的重要數據,開啟手機鎖碼功能。這部分內容大約需要20分鐘完成。
知識單元⑧。本知識單元的知識點已經分散到他知識單元的案例中了,不需要專門的教學說明。
至此,信息安全的全部知識點都已講授完畢。可以簡單地總結一下所講授的主要內容,并再次給出信息安全的含義和目標,促進學生對它們的理解和掌握。
4 教學實踐及效果
在兩個2014級新生班級的計算機基礎課程中,按照上面的教學策略,我們進行了信息安全的教學嘗試。時間安排在計算機網絡部分結束之后的兩周內,共3個下午,每次2學時,實際使用學時不到6個。
在計算機基礎課程結束之后(三周后),我們再次使用原來的調查問卷對這兩個班的學生進行了調查(回收問卷120份),并和上一次對2013級學生(當時也是新生)調查的結果進行了比較。見表3、表4、表5。順便說一下,上一次的調查問卷是基于學生沒有經過系統的信息安全學習而設計的,其中有不少題目選項并不適合本次調查,所以表3、表4、表5中的題目選項要比文獻[5]中對應的表少一些。
很明顯,和2013級學生相比,2014級學生對信息安全術語的了解比例大幅度提升。
結合上一次的調查結果及分析[5],表4中2014級學生對A、B、C三項的選擇比例基本上是一致的,說明他們的確比較了解加密等安全技術。選項D的選擇也說明了這一點。
很明顯,2014級學生比2013級的學生有更強的信息安全意識。總之,經過比較系統的學習,盡管只使用了不到6個學時,學生對信息安全的基本知識已經有了比較深入的了解,信息安全意識也得到顯著的提高。
5 結 語
信息安全素養是大學生應該具備的素養,許多學者都曾經對大學生信息安全教育進行過探索[1-4,6-7],但結果不盡如人意。為了找到解決大學生信息安全教育的有效方法,我們在2013年下半年對大學生進行了問卷調查。根據調查結果,我們對大學生信息安全的教學內容進行了提煉,并把它們融入到11個案例中。在2014級新生的計算機基礎課程中,我們按照所設計的教學策略進行了教學實踐。結果表明,在計算機基礎課程中至多增加6個學時的課時,就可以基本上解決大學生的信息安全教育問題。我們的探索為大學生信息安全教育提供了一個有效的解決方案。
參考文獻:
[1] 付沙, 肖葉枝. 試論加強高校網絡信息安全教育[J]. 當代教育論壇:學科教育研究, 2007(5): 81-82.
[2] 肖紅光, 譚作文, 周亞卉. 論大學生信息安全意識教育[J]. 當代教育理論與實踐, 2009, 1(4): 29-31.
[3] 彭國軍, 黎曉方, 張煥國, 等. 信息安全意識培養應納入大學生素質教育培養體系[J]. 計算機教育, 2008(22): 44-45.
[4] 陳世偉, 熊花. 大學生網絡信息安全教育探析[J]. 武漢科技學院學報, 2005, 18(1): 101-103.
[5] 楊建強, 姜洪溪, 鄭毅, 等. 大學生信息安全知識、安全意識調查及分析[J]. 計算機教育, 2014(13): 51-55.
[6] 楊建強, 李學鋒. 大學生信息安全教育探討[J]. 襄樊學院學報, 2012(2): 46-49.
社會信息化的程度越來越高,網絡信息安全問題也日益突出。從大的方面來講,網絡信息安全是關系國家安全和主權、社會穩定、民族文化繼承和發揚的重要問題;從個體角度來說,關系到公司單位重要經營信息,及個人隱私。當前,我國基礎信息網絡和重要信息系統安全面臨的形勢十分嚴峻,對于置身于網絡社會的每一位在職人員,增強網絡信息安全意識,加強自我防范,任務十分艱巨。
與此相對應,作為社會新生代的大學畢業生,應具備良好的信息安全素養,掌握必要的信息安全知識和防范技能;而作為培養社會骨干人才的各高校,在著力培養信息安全專業人才的同時,不應忽視網絡信息安全在非計算機專業教學體系中的作用和地位,有必要將網絡信息安全教育作為衡量大學生綜合素質的一項重要指標。
2 非計算機專業“信息安全”教學現狀
經過調研,大多數的高校針對非計算機專業信息安全教育僅限于兩個方面,一是“計算機基礎”課程中包含的計算機病毒及防范知識,這些教學內容過于簡單和陳舊,難于應對當今復雜的信息安全形勢;二是部分高年級同學選修的“網絡信息安全”課程,該課程知識結構特點要求學生不僅要具備相當的計算機基礎,而且還要具備較為深厚的數學功底。[1]對非計算機專業的學習者而言,教學內容顯得過于理論化和專業化,晦澀難懂,教學手段和方法單一,實際效果不佳。
針對非計算機專業大二大三學生進行網絡問卷調查,設計的問卷主要包括3個復選題:(A)您認為所學專業會涉及涉密信息的泄露嗎?(B)您知道發生網絡信息安全事件類型有哪些?(病毒、蠕蟲、木馬、網絡釣魚、篡改網頁、拒絕服務攻擊、應用軟件縱、未經授權的入侵、移動無線應用入侵、數據庫受到威脅、系統漏洞、垃圾郵件)(C)您知道網絡信息安全造成的后果有哪些?(硬件損壞、網絡癱瘓、網絡不正常、知識產權被盜、ERP等關鍵應用癱瘓、文件丟失或被破壞、身份被盜用、客戶資料泄密、被欺詐或被勒索、公司資料下載泄密、其他),最后將問卷結果量化分析,結果令人堪憂,反映出高校在網絡信息安全教育上的缺失。如圖1所示。
3 構建“三導一體”信息安全教學體系模型
網絡信息安全是一門涉及計算機科學、網絡技術、通信技術、密碼技術、信息安全技術、應用數學、數論、信息論等多種學科的綜合性學科,對于非計算機專業信息安全教學而言,鑒于學習者的基礎知識和就業崗位需要等差異,特別是受到專業側重點和教學課時的約束,教學難度大。在分析非計算機專業在校生實際教學實際的基礎上,嘗試通過MOOC教學資源平臺,[2]構建 “三導一體”網絡信息安全教學模式,即以課堂教學為主體,以班級教育、知識(征文)競賽、宣傳活動(知識講座、網絡論壇等)為輔助的綜合教育模式。
3.1 課堂教學為主體
課堂教學是素質教育的主渠道,是高校非計算機專業“網絡信息安全”教學的主體。在原有的網絡信息安全教學內容基礎上,適當增加計劃課時,補充相關教學內容,在有限的機房實驗時間內,精選案例和演示,完善上機實踐環節,激發學生好奇心和求知欲,力求教學效果最優化。
3.2 班級教育為指導
在日常班主任、輔導員的安全教育中融入網絡商務犯罪和網絡欺詐案例,從法律和道德層面去了解認識網絡信息安全的重要性和必要性,指導日常相關言行。[3]
3.3 知識競賽為引導
有計劃地開展信息安全知識競賽或征文比賽,教師收集網絡信息安全知識形成若干難度適中的競賽題庫,在校園網絡的MOOC平臺中,充分調動學生積極性,起到以賽促學的目的。
3.4 主題宣傳為傳導
校園內定期開展信息安全宣傳活動,通過網站專題、講座、展覽和微信等形式,傳遞信息安全知識,創建信息安全的良好教學氛圍。
通過MOOC 網站平臺實現資源整合,教師、班主任(輔導員)、學生、社團相互協同配合,多方聯動,形成合力,最終達到預期的教學效果。
4 教學中存在問題與改革思路
“三導一體”信息安全教育體系模型確立后,將兩個校區作為研究對象,開展了為期1學年的專項課題研究,通過SPSS工具的獨立樣本T檢驗,分別對兩校區的期初和期末數據進行比對,得到的統計量表和獨立樣本檢驗表顯示,兩總體的均值存在顯著差異,效果顯著。針對研究工作中存在的問題和改革創新思路,摸索并總結出幾個關鍵性的問題。
4.1 教學定位
準確定位課堂教學,明確教學目標,[4]有利于教師更好地把握教材、了解學生,有利于全面提升學生素質,不斷提高學校教學質量。
各行業對信息安全的要求各異,教學目標大致可以分為三個層次:信息安全技術開發應用、信息安全服務管理員和信息安全工程師、信息安全相關理論科學研究。[5]對于非計算機專業信息安全教學,應明確定位在信息安全技術開發應用層面,即要求掌握信息安全的基礎知識,在生活、學習和工作中可熟練地使用當前比較流行的軟件,保護系統的基本網絡安全,確保信息不被泄露,抵抗基本的攻擊。
圍繞教學定位,根據不同專業實際情況,調整并完善非計算機專業整個教學計劃。
4.2 教材教案
教材與教案是鞏固教學改革成果、提高教學質量、造就高素質人才的重要環節。針對非計算機專業的特殊性,教學內容方面盡可能貼近各專業實際,如財經類專業包含財經信息安全案例等,強化實際應用和操作實踐,擯棄部分理論,如復雜的密碼技術和算法等,結合實際,適時增加新的教學內容,如移動終端(手機、IPAD等)有關信息安全知識和防范技巧。
由于信息安全涉及的理論、技術比較豐富,采用深入淺出的多媒體動畫、視頻課件幫助學生理解深奧、龐雜的信息安全概念,加深學習者對知識印象。[6]
4.3 師資培養
教師是完成教學工作的基本保證,一支好的教師隊伍必須要有素質優良的學科帶頭人。從專業化的角度,應該對教師的教學方向有所分工,有所側重;從教師的角度,教師本身應該主動接受新生事物,關注信息安全的發展,主動學習信息安全新技術。[7]
4.4 實驗建設
單純的理論教學很難激發學生的學習興趣,學習效果也達不到預期目標。通過精心組織實驗教學,讓學生親身體會網絡信息安全攻防演練,比如數據篡改,口令竊取等等,并不斷完善和規范信息安全實驗教學體系。[8]
網絡信息安全的實驗環境往往帶有一定的開放性[9]、破壞性,網絡機房采用了硬盤還原技術,或者采用VMWARE 等虛擬機軟件技術,通過在一臺實體計算機上安裝任意臺的虛擬機,模擬真實網絡服務環境,解決了網絡信息安全教學備課、教學演示中對于特殊網絡環境的要求問題。[10]
4.5 網絡資源
“三導一體”教學體系離不開信息安全教學資源的支撐作用,將收集到的教學案例、軟件工具、教學課件和動畫、視頻等相關教學資源進行整合,建立相關資源庫,通過網絡媒介,有助于師生全天候高效地獲取資源,更好地實現互動式教學,彌補非計算機專業信息安全教學課時不足的缺憾。
4.6 教學方式
充分調動非計算機專業學生積極主動學習網絡信息安全的積極性。在授課過程中,結合課程特點,嘗試采用探究式學習方法、問題驅動和任務驅動等教學方法,以具體問題為引導,使學生在解決問題過程中掌握和理解網絡信息安全的基礎理論和基本方法,引起同學們的興趣,激發求知欲。[11]在教學過程和實驗器材的管理中讓有興趣的同學參與管理和教學過程,組建相關學生社團,也起到了良好的輔助效果。
5 結語
網絡信息安全是信息時展產生的一門重要學科,網絡信息安全成為高校非計算機專業教學體系的重要一環是發展的必然趨勢。目前,該項研究工作尚處于起步階段,各院校應根據自己的實際情況和專業要求,加大教研力度,設定合理的信息安全教學目標,不斷完善課程體系,充實教學內容,增大教學資源的投入,確定科學的考核要求,培養更全面、高素質、全方位的綜合型人才。
關鍵詞:職業學校;網絡安全;教育
調查數據顯示,截至2013年年底,中國互聯網的使用人數已經超過了6億,并且以每年新增5000萬左右人數的速度向上攀升,且調查發現處于10歲到29歲年齡段的群眾幾乎全部都在使用互聯網。互聯網為人們的日常生活、工作辦公以及自主學習都帶來了很多便捷,豐富的信息資源更加可以幫助學生認識外界的社會。但是凡事有利就有弊,網絡上雖然有著豐富的信息資源,但是網絡上的信息也魚龍混雜。學生經常接觸到不良的信息,對于思想發展并不夠成熟的青少年學生容易造成巨大的危害。公安機關公布的數據顯示,青少年犯罪者中有近八成的是受到網絡不良信息誘惑的學生。他們在網絡世界中受不良信息的蠱惑,沉迷于網絡或游戲當中。這類沉迷網絡的青少年十分容易進行搶劫、打架斗毆以及等犯罪行為。目前國內職業學校的辦學規模以及招生數量都日漸提高,在職業學校內如何展開網絡安全教育已經是一個十分重要的問題,指導青少年學生們的成長健康是職業學校義不容辭的責任。
一、國內青少年學生上網情況調查
筆者為了保證本篇文章的針對性,在青少年學生當中做了一個關于上網情況的調查。在上網地點的選項當中,90%的學生是在家上網;13%的學生是在網吧上網;4%的學生是在同學或者親戚家上網;僅僅只有2%的學生是在學校機房上網。在處理不良信息方法的選項當中,30%的學生表示從來不關心,隨它去;21%的學習表示擔心但是并不知道怎么解決;48%的學生會下載綠色上網軟件;還有2%的學生會惡作劇一般故意傳播給其他人。根據調查數據顯示,目前大部分青少年上網的時候依然存在許多的安全隱患。在上網地點的選擇當中,在家上網以及在網吧上網的選擇人數最多,而在家上網以及在網吧上網的時候缺乏家長的監管,極容易接觸到不良信息。同時大部分的青少年學生上網主要在使用聊天軟件或者玩網絡游戲,真正在網絡上自主學習的學生所占的比例較低。并且我們發現大部分的學生在面對不良信息的時候沒有引起重視,只是任由不良信息傳播而未告訴家長或老師。
二、目前國內職業學校網絡安全教育情況
目前國內的職業學校在安全教育方面的情況分為兩種:一種是高等專業人才教育方面的院校,大多數的院校將教育重點放在專業人才的培養方面,并沒有開設網絡安全專業,而就算有網絡安全專業的院校也普遍教材內容老舊、教學方法過時并且缺乏專業教師;另一種便是在普及教育方面,僅僅有一部分院校在通識教育當中開設了公選課,而在大部分院校當中僅僅是在計算機文化基礎課程當中捎帶提起,只是十分簡略地提到了一些網絡安全意識的基礎概念。以廣東省的一個職業院校為例,該院校在計算機學院中并沒有信息安全專業,而在應用數學學院當中有信息安全專業,但是每屆僅僅只招生兩個班,總共學生人數不過百人。該校在通識教育當中計算機學院開設有網絡與信息安全以及信息安全風險評估的公選課,但是每個學期的選修人數也不過三百左右。而計算機學院中每個學生都必修的計算機文化基礎課程中并未提及網絡安全教育內容,學校也并沒有在學生當中宣傳網絡安全意識的重要性。由此可見,國內大多數的職業學院對青少年網絡安全意識教育并未引起重視。國內的職業院校對于青少年網絡安全教育不夠重視,青少年學生的網絡安全意識不夠成熟,極容易出現安全隱患,比如:青少年網絡安全意識淡薄,缺少使用安全上網軟件的意識,對安全防護措施不夠重視;過于依賴安全上網軟件,大多數青少年學生在安裝了安全上網軟件之后便完全失去安全意識,甚至覺得上網安全跟自己無關了,當安全事故發生時便完全不知道如何應對;對于個人信息的保護意識薄弱,對于某些網站需要填寫身份證號、真實姓名、聯系電話以及真實家庭住址這些私密信息的時候沒有保護意識,極容易造成個人信息的泄露;青少年學生往往對他人的警惕性較低,極容易受到網友的欺騙;對網絡安全沒有責任心,青少年學生由于責任心不夠成熟且比較單純,經常不清楚自己在無心的時候已經造成了網絡安全事故的發生,并且影響到了其他網民的用網安全;青少年學生對于網絡安全的法律法規不夠了解,有部分學生因為好奇心、好勝心、沒有抵制住經濟利誘或者純粹是一種找樂子的心態而學習黑客知識或是鉆研電腦病毒知識,對他人的電腦進行入侵或者破壞,常常并不知道自己已經犯法。
三、網絡安全教育的重要性
目前,國內的大多數職業院校在網絡課程教學當中仍然在重點研究教學策略以及教學內容的質量,向學生們灌輸網絡發展的重要性以及網絡在全社會當中的作用,卻并未向學生們強調網絡不良信息的危害。許多的職業院校中的法律基礎公開課以及計算機網絡專業課沒有將網絡安全教育以及網絡安全法律法規教育加入教學大綱當中,更加不存在相關課程的制訂計劃。國內的大多數青少年學生都未能及時接受系統的網絡安全教育以及網絡安全法律法規教育,網絡安全意識薄弱,對于網絡犯罪的定義以及網絡犯罪的后果認知模糊。許多沉迷于網絡的青少年學生由于自身的思想并未成熟,受到網絡不良信息的影響,導致暴力、自私、孤僻甚至厭世的性格,還有的學生走上了犯罪的道路,由此可見網絡的不良信息對于思想并為發展成熟的青少年學生來說危害巨大。在這個網絡發展速度以及網絡普及速度都越來越快的社會,在職業院校中開展網絡安全教育是刻不容緩的,是保障青少年學生健康成長的重要教育任務。開設專門的網絡安全教育課程以及網絡安全法律法規課程,全面建立起青少年學生的網絡安全意識,提升青少年學生的網絡安全素質,是目前國內職業院校中最為重要的教育內容。只有在青少年學生中建立起明確的網絡安全意識,加強對青少年學生的網絡安全教育,才能夠避免青少年學生受到網絡不良信息的危害,才能夠幫助青少年學生們健康成長。
四、開展網絡安全教育的方法
1.網絡安全法律法規知識教育
在網絡世界當中最為顯著的標簽就是自由,但是網絡世界中的自由與現實世界當中的自由一樣需要有法律法規來進行約束。我國在互聯網方面有著明確的法律規定,讓互聯網世界有法可依、有法必依。職業院校需要針對網絡法律條例以及計算機法律基本知識對青少年學生進行系統的教育。教育內容應該以《刑法》《計算機軟件保護條例》《中國公用計算機互聯網國際聯網管理辦法》《計算機信息系統國際聯網保密管理規定》以及《中華人民共和國計算機信息系統安全保護條例》這些國家規定的網絡安全條例為基礎展開。
2.青少年學生網絡安全自律教育
青少年學生對于外界的誘惑力抵抗力較弱,尤其是在信息豐富的網絡世界。他們的好奇心使得他們容易沉迷于網絡世界,而青少年學生們的自我保護意識薄弱,網絡安全素質較低,極容易受到網絡不良信息的危害。首先職業院校網絡中心的防火墻需要加強對校內微機房的信息安全管理,加強校園網絡對外界網絡隔離的可靠性。同時職業院校需要加強對青少年學生網絡安全自律意識的教育,讓青少年學生們清楚地認識到網絡不良信息以及網絡攻擊的后果的嚴重性。除此之外要培養青少年學生們對網絡攻擊的防范技術,加強青少年學生們的防范意識,能夠有效地避免他們受到網絡不法分子的危害。
3.在教育當中多采用疏導的方法
青少年學生由于其自身的安全意識以及自律意識薄弱,容易沉迷于網絡,若是沒有及時發現并有效改善青少年學生的上網習慣,他們便容易走入歧途。家庭教育以及學校教育都極為重要,但是家庭教育以及學習教育的方法需要改善。大多數沉迷網絡的青少年學生容易出現交友觀以及性格的扭曲,需要通過疏導的方式讓他們宣泄出內心壓抑的情緒并指引他們去外面進行真實的人際交流,建立起正確的交友觀以及世界觀,幫助他們體驗到現實中人際交往的樂趣,建立起他們的自信心。若是采取強硬的教育方式反而容易導致青少年學生們因為逃避和叛逆心理更加抗拒真實世界。
五、小結
綜上所述,幫助青少年學生們建立起網絡安全意識,健全學生們的素養教育,已經成為了目前職業學校極為重要的任務。在網絡安全教育方面,西方發達國家對此極其重視,而國內對于網絡安全教育的開展和重視程度都略微低于國外,職業院校學生們的網絡安全意識都不夠成熟。因而職業院校應該全面開展網絡安全教育,重點培養青少年學生們的網絡安全意識,讓學生們避免受到網絡不良信息的侵害,幫助學生們健康成長。
參考文獻:
[1]張立敏,李玉堂,趙瑞蘭等.北京市順義區中學生健康危險行為現狀調查[J].職業與健康,2011(10).
[2]陳瑞.中職校開展職業安全健康教育的路徑探索——以南京市莫愁中等專業學校為例[J].江蘇教育研究,2014(30).
一、初中生網絡安全教育的特點
初中生作為未成年人,正處于青春期,有其特殊性;同時由于初中生安全關系整個社會千家萬戶,具有復雜性;因危險隨時可能發生,所以安全教育具有長期性[2]。
1.初中生網絡安全教育的特殊性
初中生網絡安全教育具有其特殊性,首先是教育對象的特殊性,初中生的年齡段大約是12~15歲,正處于青春發育期,此時是自我意識發展的第二個飛躍期,他們具有強烈的“成人感”,認為自己已經長大成人,渴望參與成人角色,要求獨立,渴望受到尊重,是初中生在個性發展中獨立性增長的突出表現。其次是教育內容的特殊性,隨著社會的發展與進步,學生接觸網絡的年齡越來越小,初中生大多已經熟練掌握上網沖浪的技能,由于其心智發育還未完全成熟,容易受到外界不良因素的誘惑從而沉迷于網絡,不能很好地辨別是非真假,因此,培育學生的網絡安全意識,形成文明的上網行為習慣更是成為了教育的重中之重。
2.初中生網絡安全教育的復雜性
初中生網絡安全教育需要學生、學校、家庭和社會共同作用,多方面的影響因素增加了網絡安全教育的復雜性。在信息化時代,學生需要自覺遵守文明上網的規范,充分利用網絡開放的學習資源提升自身素質,主動抵制和屏蔽不良信息,學會辨別是與非的能力。學校應當加強網絡安全教育,學校和教師應通過級會、班會、宣傳板等多種形式加強網絡信息的安全教育,讓學生學會文明上網。家庭需要發揮模范表率作用,家長以身作則為孩子樹立起良好的上網行為的榜樣,理解和配合學校對孩子加強網絡安全教育,在家庭教育中增加網絡安全教育的內容。社會應該承擔網絡安全教育應有的責任,校園周邊嚴禁網吧的經營,網吧嚴禁未成年人入內,互聯網形成綠色文明的網絡環境,保護孩子的身心健康。
3.初中生網絡安全教育的長期性
由于網絡已經滲透到學生的日常生活當中,每一天都會接受到大量的網絡信息,危險時刻都會發生,因此網絡安全教育需要常抓不懈,一刻也不能放松。網絡安全教育必須貫穿學生身心發展的全過程,是教育者長期的教育內容,需要預防性和補救性教育相結合,其中預防性教育更需要大力提倡和加強,而不總是等出現網絡消極事件后再緊急補救進行教育,應多以正面的積極事例作為教育的樣本,引導學生養成良好的上網習慣。初中生的認知能力還沒有完全的發展,對網絡上不良信息的鑒別能力還不是十分完善,作為教育者應該把網絡安全的重要性融入日常的教育中,讓學生潛移默化當中強化文明上網的意識和行為。
二、初中生網絡安全教育的實施途徑
1.初中生網絡安全教育常規化
學校應加強網絡安全教育,把網絡安全教育納入到學校的常規化教育當中。學校應嚴格按照國家教育部的規定,把安全教育作為必修課納入教學計劃排上課表,并確保授課時數。把防網吧危害作為安全教育內容進行系統的規劃,根據不同年級確定安全教育的內容[3]。在日常教育的過程中,學校要在學科教學和綜合實踐活動課程中滲透網絡安全教育內容。各科教師在學科教學中要挖掘隱性的公共安全教育內容,和顯性的公共安全教育內容一起,與學科教學有機整合,按照要求,予以貫徹落實。教師在教學當中找到適當的切入點,因地因時制宜地開展網絡安全教育。
2.初中生網絡安全教育多樣化
學校在實施網絡安全教育時,需要考慮到初中生熱愛新奇、喜好體驗的心理特點,采取多種途徑從不同角度開展教育內容,以提高學生參與教育活動的積極性和增強效果。在學生教育方面,除充分利用校會、班會、廣播等形式進行安全教育之外,還可以采用電影放映、網絡安全講座、圖片文字宣傳、現場模擬體驗、安全情景劇、安全知識問答、正面事跡報告和現身說法等形式,根據實際情況選擇合適的教學形式組合,大力推進初中生的網絡安全教育。在家庭和社會教育方面,改變以往教師在校內教育的單一形式,實行“走出去,請進來”的方法,定期請家長和社會共建單位代表參加學校網絡安全教育的工作座談會[3]。討論研究學校安全教育活動的開展情況,集大家智慧,取眾人之長,探索新思路,總結新經驗,增強安全教育的實效性。
3.初中生網絡安全教育活動化
開展安全教學活動要注重與學生生活經驗和社會實踐相聯系,要采用能收到實效的、學生樂于參與的活動形式提高學生的興趣,培養學生的自我保護能力[3]。學校可以針對一個或多個主題相應地設計出網絡安全的主題活動,如情景劇扮演、班級板報宣傳、知識講座、網絡安全征文比賽、“安全小衛士”評比等,把網絡安全教育的思想融入到初中生喜聞樂見的體驗式活動中去,做到寓教于樂,寓教于豐富多彩的教育活動中,全面提高網絡安全教育的效果。同時,學校也要加強建設符合網絡安全教育的物質環境和人文環境,讓學生在潛移默化之中提高網絡安全意識,促進學生掌握安全知識,提高抵御不良網絡誘惑的能力。
4.初中生網絡安全教育社會化
網絡安全教育是學校、家庭和社會共同的教育責任。學校應充分利用日常學校教育的優勢,培養學生網絡安全的意識,同時還要發揮家庭教育的力量,向家長傳授各種事故發生的特點和預防、逃生的知識,使家長能夠根據子女的特點和具體情況,給子女傳授各種安全知識。家長要注意對子女開展情境化訓練,在生活中指導子女科學使用網絡[4]。在網絡安全教育方面,學校要加強與公安、治安、信息安全等部門的合作,建立起密切的聯系,最好能聘請有關人員擔任網絡安全的校外輔導員,共同承擔網絡安全教育的責任,協助學校制定出網絡安全的應急預案及相關紀律規范。
參考文獻
[1] 教育部.中小學公共安全教育指導綱要.中國教育報,2007-03-01.
[2] 陳慧萍.中小學安全教育機制研究.長沙:湖南師范大學,2010.
關鍵詞:水電站;梯級調度網絡;管理
1運行管理的安全原則
(1)制定并不斷完善公司專用的安全策略。為了保護網絡安全,最重要的事情就是編寫安全策略,描述要保護的對象,保護的理由,以及如何保護它們。安全策略的內容最好具有可讀性,同時,注意哪些是保密的,哪些是可以公開的。此外,應嚴格執行。最后,必須隨時保持更新。
(2)安全防范應基于技術、動機和機會3個方面考慮,以減少攻擊者的成功率。從技術上講,系統應同時需要相當高的通用技術和專用技術,從而避免不同級別的人員濫用系統。攻擊者的動機方面,應消除攻擊者的滿足程度,使其感到受挫。每次攻擊失敗時,安全系統讓攻擊者移動到網絡系統的其它地方,使攻擊者工作很辛苦。
(3)應盡可能少地向攻擊者提供可攻擊的機會。首先關閉不用或不常用的服務,需要時再打開。第二,訪問控制權限的管理應合理。第三,系統應能自我監視,掌握違反策略的活動。第四,一旦發現問題,如果有補救措施,應立刻采用。第五,如果被保護的服務器不提供某種服務,如FTP,那么,應封鎖FTP請求。
(4)安全只能通過自己進行嚴格的測試,才能達到較高的安全程度。因為每個人都可能犯錯誤,只有通過完善的安全測試,才能找到安全系統的不足。要做到主動防御和被動防御相結合,應能提前知道自己被攻擊。如果知道自己被攻擊,其實已經贏了一半。安全系統不但防御攻擊者,同時防御他們的攻擊。因為攻擊者經常失敗后就換個地方,再次實行新的攻擊,因此,不但防御攻擊的源地址,同時防御主機周圍靈活選擇的范圍。
(5)戰時和訓練相結合,也就是說,主動防御必須嚴格測試,并不斷改進。同時,安全軟件的選擇應基于應用的重要性和產品的更新周期,保證安全系統應能跟上新技術的發展。應經常維護、定期測試和檢查防御系統的每一個部件,避免安全系統的能力退化。
(6)在企業內部,應讓每一為員工都深刻理解安全是大家的事,不是口號,而是警告,安全和業務可能有沖突,最好能夠得到領導和業務人員的理解和支持。安全管理過程中,對人員的信任應合理、明智,不能盲目信任。在企業的安全防御系統中,除了采用常規的防御方案,應盡可能采用一些適合行業特點的新方案,對攻擊者而言,也就多了一層堡壘。要有運行規范,包括管理制度、審計評估、網絡安全規劃、工程管理、安全監督和災難恢復。
2運行管理的組織結構
為實現整個梯級調度的網絡安全,需要各種保證網絡安全的手段。網絡安全功能的實現,必須從安全管理功能和管理員的職責上結合。企業的調度中心的信息部門應成立安全系統運行小組管理整個安全系統的運行,負責完成全企業的安全系統總體運行方案的編制,負責安全管理中心的建設,制訂全企業范圍的安全管理規范,對相關人員進行基本培訓,指導各電站(廠)完成其安全系統的運行。應有專人負責網絡安全,成立網絡安全管理組,其成員包括領導、系統管理員、網絡工程師以及網絡安全專家等組成。
3運行管理的培訓支持
3.1建立安全教育培訓體系
為企業建立信息安全教育培訓的制度,包括安全教育政策制訂、安全教育計劃制訂和安全教育實施支持方案。此外,文檔包括《企業信息安全組織管理》、《企業信息安全人員崗位指南》和《企業信息安全教育培訓體系》。
3.2提供教育培訓課程
(1)安全基礎培訓。
對象:企業全部與網絡安全相關的人員。
容:系統安全、網絡安全及增強安全意識的重要性、主要網絡安全威脅、網絡安全層次、網絡安全度量、主機安全、黑客進攻步驟、安全防范措施和商用安全產品分類等。
目標:增強系統管理員的安全意識,基本了解安全的實際要領,能夠分辯出系統中存在的安全問題。
(2)Unix/Windows系統安全管理培訓。
對象:公司安全相關的系統管理員。
內容:掌握Unix/Windows系統的安全策略,常見的攻擊手段分析,各種流行安全工具的使用,在實驗環境中實際編譯、配置和使用各種安全工具。
目標:能夠獨立配置安全系統,獨立維護Unix/Windows系統安全。在沒有防火墻的情況下,使Unix/Windows系統得到有效的保護。
(3)防火墻、入侵檢測、安全掃描、防病毒和加密等技術方面的培訓課程。
對象:企業的安全運行和管理人員。
內容:安全軟件和設備的基本概念和原理、作用與重要性、局限性、分類、安全設備安全策略、設計、自身的安全與日常維護、安全設備代表產品的演示和上機。
目標:了解Internet防火墻的基本概念,基本原理和基本的設計方法。能夠對安全設備作日常維護。能夠根據系統需求,做出相應的安全設備設計。能夠對現有安全產品有一定的了解。
要求:具有基本UNIX/Windows, TCP/IP的知識,了解網絡設計常識。
(4)安全開發培訓課程。
對象:應用系統設計開發中與安全相關的人員。
內容:TCP/IP協議和傳統Socket編程、IPSpoofing的詳細剖析、StackOverflow的詳細剖析、其他流行進攻方法IP Sniff: Sniff, Deny of Service,Connection Killing, IP hijacking等的解釋、并配有實驗。
目標:使系統管理員掌握黑客進攻的手段、原理和方法;并能在實際工作中保護系統的安全性。
3.3安全人員考核
協助企業建立信息安全人員考核體系,包括制訂信息安全人員考核標準和建立安全相關人員定期的評估和考核制度。此外,文檔包括《企業信息安全人員考核體系》。
4運行管理的技術服務
一、學校領導高度重視、組織落實是做好校園網絡安全管理工作的重要前提
校黨政主要領導和分管安全保衛工作的校領導高度重視網絡與信息安全工作,經常在各種會議上強調做好校園網絡與信息安全工作對維護學校安全穩定的極端重要性,對安全保衛部門上報的有關網絡動態信息認真閱讀和研判,并及時作出重要處理批示,在學校每次召開的有關維護校園穩定的工作會議上都要對加強校園網的安全管理與監控工作進行專門部署。學校還制定下發了《關于開展“平安校園”創建活動的實施意見》,其中指出“要堅持正確的輿論導向,防止信息傳媒的管理失控,要健全網絡管理機構,落實管理措施,強化網上監控”,為做好校園網絡與信息的安全管理工作明確了目標和方法。
二、各職能部門分工明確、互相配合是做好校園網絡安全管理工作的重要條件
在維護校園網絡安全方面,學校有關職能部門根據自身的工作性質有著明確的分工。如校宣傳部門主要負責全校網絡安全教育,網絡信息動態的監查、跟蹤和掌握并進行相關處置;校網絡主管部門主要負責加強整個校園網絡技術方面的安全防范、保障、封堵和指導,采用合理的技術手段對網絡運行安全進行有效的監查,為查處網絡不良、有害信息及案事件提供技術支持;保衛部門主要負責對網絡不良、有害信息及案事件進行查處,并根據自身工作性質對網絡信息進行監查。各職能部門既各司其職又密切配合、協作形成合力,為做好校園網絡安全工作提供了重要的基礎條件,使工作更為順利、效率更為提高、成效更為明顯。
三、建全各項管理規章制度是做好校園網絡安全管理工作的重要基礎
學校根據國家網絡與信息安全管理的有關法律法規,并結合學校的實際情況,制定了校園網絡安全管理條例與規定,并根據上級有關規定、形勢發展和學校具體實際情況,不斷予以修訂完善。各責任單位則根據學校有關規定和本單位的實際情況,制定網絡與信息安全管理方面的各項具體規章制度,如日常安全管理制度、信息審核制度、安全檢查制度、網管員工作職責等。由此校園網絡與信息安全管理工作做到有章可依,有章可循,不斷制度化、規范化。
四、建立和完善有效的管理機制是做好校園網絡與信息安全管理工作的保障
(一)實行分級管理、逐級負責制
學校成立網絡與信息安全領導小組,由主要領導擔任雙組長、分管領導擔任副組長。領導小組定期不定期地對校園網絡安全情況進行分析研判,研究制定涉及網絡安全方面重大問題的對策、措施,并對一段時期內的網絡與信息安全工作作出部署。領導小組下設辦公室,主要負責全校網絡與信息安全工作的管理和協調。各學院、部門、單位應當相應成立網絡與信息安全工作小組,其主要負責人為第一責任人,并指定專人擔任網管員,負責本級網絡與信息安全工作。
(二)實行安全責任制
學校與各學院、部門、單位簽訂網絡與信息安全責任書,各責任單位要將網絡與信息安全管理責任層層落實到所屬各部門和人員。其中,各責任單位的網管員,具體負責本單位日常的網絡與信息安全工作,網絡與信息系統的主管單位承擔系統的安全管理和監督責任,運行維護單位和個人承擔系統的技術安全保障責任,使用單位和個人承擔系統操作與信息內容的直接安全責任。堅持“誰主管、誰負責,誰運行、誰負責”的原則,切實落實網絡安全工作責任制。
(三)實行一票否決制
校園網絡與信息安全工作實行一票否決制。對在網絡與信息安全方面存在重大隱患和問題而不認真及時進行整改,或發生重大網絡與信息安全事件的相關單位和責任人,實行一票否決制,取消當年評先評優及個人晉職晉級的資格。
(四)實行責任追究制
對網絡與信息安全責任不落實、日常安全管理措施不落實、安全教育不到位等,導致網絡與信息重大安全事故或事件的,學校將根據網絡與信息安全責任書的有關規定,追究相關單位和責任人的責任,并予以全校通報批評。對觸犯法律的,則移交司法機關依法處理。
(五)實行值班備勤制
各責任單位要指定專人進行日常網絡與信息安全保障工作,確保24小時通訊聯系保持暢通。在重要、敏感時期,重大節假日期間,安排值班人員,一旦發生問題快速反應,及時處置。
五、強化網絡安全形勢的預測研判是做好校園網絡安全管理工作的重要環節
學校各職能部門密切關注國內外發生的重大事件及學校出臺的重大舉措,結合當下校園網絡的具體實際并根據網絡本身的特點,對一段時期內校園網絡的安全形勢進行分析研判并上報學校,為領導科學決策提供依據。特別是在每年重要敏感時間節點時,對校園網絡安全形勢進行預測研判并提出有關防范措施上報學校,使網絡安全防范工作更趨主動和有的放矢,例如,在北京奧運會、上海世博會、G20峰會等時期,均及時對校園網絡可能出現的輿情、動態預作研判,將防范工作做在前面。
六、切實加強宣傳教育活動是做好校園網絡安全管理工作的重要內容
關鍵詞:電力企業信息系統安全防護
前言
隨著企業的生產指揮,經營管理等經營活動越來越依賴于計算機信息系統,如果這些系統遭到破壞,造成數據損壞,信息泄漏,不能提供服務等問題,則將對電網的安全運行,電力企業的生產管理以及經濟效益等造成不可估量的損失,高技術在帶來便利與效率的同時,也帶來了新的安全風險和問題。
一、電力企業信息安全風險分析
1、電力公司信息安全的主要風險分析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力公司信息系統面臨的主要風險存在于如下幾個方面:
(1)計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的。
在目前的局域網建成,廣域網聯通的條件下,計算機病毒的傳播更加迅速,一臺計算機感染病毒,在兩三天內可以感染到區域內所有單位的計算機系統。病毒傳播速度,感染和破壞規模與網絡尚未聯通之時相比,高出幾個數量級。
(2)網絡安全問題日益突出:企業網絡的聯通為信息傳遞提供了方便的途徑。企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。企業開通了互聯網專線寬帶上網,企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等。
網絡聯通也帶來了網絡安全問題。企業內部廣域網上的用戶數量多且難于進行管理,互聯網更是連接到國際上的各個地方,什么樣的用戶都有。內部網,互聯網上的一些用戶出于好奇的心理,或者蓄意破壞的動機,對電力公司網絡上的連接的計算機系統和設備進行入侵,攻擊等,影響網絡上信息的傳輸,破壞軟件系統和數據,非法使用網絡資源等,給企業造成巨大的損失。更有極少數人利用網絡進行非法的,影響國家安定團結的活動,造成很壞的影響。
如何加強網絡的安全防護,保護企業內部網上的信息系統和信息資源的安全,保證對信息網絡的合法使用,是目前一個熱門的安全課題,也是電力企業面臨的一個非常突出的安全問題。
二、電力信息網安全防護方案
1、加強電力信息網安全教育
安全意識和相關技能的教育是企業安全管理中重要的內容,其實施力度將直接關系到企業安全策略被理解的程度和被執行的效果。為了保證安全的成功和有效,高級管理部門應當對企業各級管理人員、用戶、技術人員進行安全培訓。所有的企業人員必須了解并嚴格執行企業安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。
主管信息安全工作的高級負責人或各級管理人員,重點是了解、掌握企業信息安全的整體策略及目標、信息安全體系的構成、安全管理部¨的建立和管理制度的制定等。負責信息安全運行管理及維護的技術人員,重點是充分理解信息安全管理策略,掌握安全評估的基本方法,對安全操作和維護技術的合理運用等。
信息用戶,重點是學習各種安全操作流程,了解和掌握與其相關的安全策略,包括自身應該承擔的安全職責等。當然,對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續的進行。在企業中建立安全文化并納入整個企業文化體系中才是最根本的解決辦法。
2、電力信息安全防護技術措施
(1)網絡防火墻:防火墻是企業局域網到外網的唯一出口,所有的訪問都將通過防火墻進行,不允許任何饒過防火墻的連接。D M Z區放置了企業對外提供各項服務的服務器,既能夠保證提供正常的服務,又能夠有效地保護服務器不受攻擊。設置防火墻的訪問策略,遵循“缺省全部關閉,按需求開通的原則”,拒絕除明確許可證外的任何服務。
(2)物理隔離裝置:主要用于電力信息網的不同區之間的隔離,物理隔離裝置實際上是專用的防火墻,由于其不公開性,使得更難被黑客攻擊。
(3)入侵檢測系統:部署先進的分布式入侵檢測構架,最大限度地、全天候地實施監控,提供企業級的安全檢測手段。在事后分析的時候,可以清楚地界定責任人和責任時間,為網絡管理人員提供強有力的保障。入侵檢測系統采用攻擊防衛技術,具有高可靠性、高識別率、規則更新迅速等特點。
(4)網絡隱患掃描系統:網絡隱患掃描系統能夠掃描網絡范圍內的所有支持TCP/IP協議的設備,掃描的對象包括掃描多種操作系統,掃描網絡設備包括:服務器、工作站、防火墻、路由器、路由交換機等。在進行掃描時,可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析,可以方便直觀地對用戶進行安全性能評估和檢查。
(5)網絡防病毒:為保護電力信息網絡受病毒侵害,保證網絡系統中信息的可用性,應構建從主機到服務器的完善的防病毒體系。以服務器作為網絡的核心,對整個網絡部署查、殺毒,服務器通過Internet從免疫中心實時獲取最新的病毒碼信息,及時更新病毒代碼庫。同時,選擇的網絡防病毒軟件應能夠適應各種系統平臺、各種數據庫平臺、各種應用軟件。
(6)數據加密及傳輸安全:通過文件加密、信息摘要和訪問控制等安全措施,來實現文件存儲和傳輸的保密和完整性要求,實現對文件訪問的控制。對通信安全,采用數據加密,信息摘要和數字簽名等安全措施對通信過程中的信息進行保護,實現數據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全,通過VPN技術,提高實時的信息傳播中的保密性和安全性。
(7)數據備份:對于企業來說,最珍貴的是存儲在存儲介質中的數據信息。數據備份和容錯方案是必不可少的,必須建立集中和分散相結合的數據備份設施及切合實際的數據備份策略。
(8)數據庫安全:通過數據存儲加密、完整性檢驗和訪問控制來保證數據庫數據的機密和完整性,并實現數據庫數據的訪問安全。
三、電力信息網絡安全工作應注意的問題
(1)理順技術與管理的關系。
解決信息安全問題不能僅僅只從技術上考慮,要防止重技術輕管理的傾向,加強對人員的管理和培訓。
(2)解決安全和經濟合理的關系。安全方案要能適應長遠的發展和今后的局部調整,防止不斷改造,不斷投入。
(3)要進行有效的安全管理,必須建立起一套系統全面的信息安全管理體系,可以參照國際上通行的一些標準來實現。
[關鍵詞] 電力企業;信息安全;風險
1、前言
隨著計算機信息化建設的飛速發展而信息系統在電力企業中所處的地位越來越重要。信息安全隨著信息技術的不斷發展而演變,其重要性日益越來越明顯,信息安全所包含的內容、范圍也不斷的變化。信息安全有三個中心目標。保密性:保證非授權操作不能獲取受保護的信息或計算機資源。完整性:保證非授權操作小能修改數據。有效性:保證非授權操作不能破壞信息或計算機資源。信息安全的重點放在了保護信息,確保信息在存儲,處理,傳輸過程中及信息系統不被破壞,確保對合法用戶的服務和限制非授權用戶的服務,以及必要的防御攻擊的措施。
2、電力企業信息安全風險探析
信息安全風險和信息化應用情況密切相關,和采用的信息技術也密切相關,電力企業信息系統面臨的主要風險存在于以下幾個方面:①計算機病毒的威脅最為廣泛:計算機病毒自產生以來,一直就是計算機系統的頭號敵人,在電力企業信息安全問題中,計算機病毒發生的頻度大,影響的面寬,并且造成的破壞和損失也列在所有安全威脅之首。病毒感染造成網絡通信阻塞,系統數據和文件系統破壞,系統無法提供服務甚至破壞后無法恢復,特別是系統中多年積累的重要數據的丟失,損失是災難性的;②網絡安全問題日益突出:電力企業網絡的聯通為信息傳遞提供了方便的途徑。電力企業有許多應用系統如:辦公自動化系統,用電營銷系統,遠程教育培訓系統等,通過廣域網傳遞數據。電力企業開通了互聯網專線寬帶上網,電力企業內部職工可以通過互聯網方便地收集獲取信息,發送電子郵件等;③信息傳遞的安全不容忽視。電力企業和外部的單位,以及外部有關公司都有著許多的工作聯系,日常許多信息,數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨著各種安全風險,例如被非法用戶截取從而泄露企業機密;被非法篡改,造成數據混亂,信息錯誤從而造成工作失誤。非法用戶、還有可能假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂,造成破壞和損失。因此,信息傳遞的安全性日益成為企業信息安全中重要的一環。④用戶身份認證和信息系統的訪問控制急需加強:電力企業中的信息系統一般為特定范圍的用戶利用,信息系統中包含的信息和數據,也只對一定范圍的用戶開放,沒有得到授權的用戶不能訪問。為此各個信息系統中都設計了用戶管理功能,在系統中建立用戶,設置權限,管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。一是部分應用系統的用戶權限管理功能過于簡單,不能靈活實現更細的權限控制,甚至簡單到要么都能看,要么都不能看。二是各應用系統沒有一個統一的用戶管理,企業的一個員工要利用到好幾個系統時,在每個應用系統中都要建立用戶賬號,口令和設置權限,用戶自己都記不住眾多的賬號和口令,利用起來非常不方便,更不用說賬號的有效管理和安全了;⑤實時控制系統和數據網絡的安全至關重要:電網的調度指揮,自動控制,微機保護等領域的計算機應用在電力企業中起步早,應用水平高,不但實現了對電網運行狀況的實時監視,還實現了對電網一次設備的遙控及保護設備的遠方管理。隨著數據網的建設和應用,這些電網監視和控制方面的系統逐步從采用專線通道傳輸數據轉移到通過數據網絡來傳送數據和下發控制指控令。由于這些計算機系統可以直接管理和操作控制電網一次設備,系統的安全可靠,數據網的安全可靠,信息指令傳輸的實時性等直接關系著電網的安全,其安全等級要求高于一般的廣域網系統。
3、解決信息安全問題的基本原則
3.1采用信息安全新技術,建立信息安全防護體系。企業信息安全面臨的問題很多,我們可以根據安全需求的輕重緩急,解決相關安全問題的信息安全技術的成熟度綜合考慮,分步實施。技術成熟的,能快速見效的安全系統先實施
3.2計算機防病毒系統。計算機防病毒系統是發展時間最長的信息安全技術,從硬件防病毒卡,單機版防病毒軟件到網絡版防病毒軟件,到企業版防病毒軟件,技術成熟且應用效果非常明顯。防病毒軟件系統的應用基本上可以防治絕大多數計算機病毒,保障信息系統的安全。在目前的網絡環境下,能夠提供集中管理,服務器自動升級,客戶端病毒定義碼自動更新,支持多種操作系統平臺,多種應用平臺殺毒的企業版殺毒軟件,是電力企業的首選。個人版本的殺毒軟件適合家庭,小規模用戶。
3.3網絡安全防護系統。信息資源訪問的安全是信息安全的一個重要內容,在信息系統建設的設計階段,就必須仔細探析,設計出合理的,靈活的用戶管理和權限控制機制,明確信息資源的訪問范圍,制定信息資源訪問策略。 關于已經投入利用的信息系統,可以通過采用增加安全訪問網管的方法,來增強原有系統的用戶管理和對信息資源訪問的控制,以及實現單點登陸訪問任意系統等功能。這種方式基本上不需要改動原來的系統,實施的技術難度相對小一些。關于新建系統,則最好采用統一身份認證平臺技術,來實現不同系統通過同一個用戶管理平臺實現用戶管理和訪問控制。
4、解決信息安全問題的對策
4.1依據國家法律,法規,建立電力企業信息安全管理制度。根據國家信息安全方面一系列的法律法規和技術標準,應結合電力企業實際,建立開發信息系統的管理標準、制度、規范和流程和技術體系,來指導信息安全工作。并建立信息安全工作的組織體系和機構,明確領導,設立專責人長期負責信息安全的管理工作和技術工作,保證信息安全工作長期有效的開展。
4.2充分使用企業網絡條件,提供全面,及時和快捷的信息安全服務。我省電網公司廣域網聯通了系統內的各個二級單位,各單位的局域網全部建成,在這種良好的網絡條件下,作為省公司一級的信息安全技術管理部門應建立計算機網絡應急處理的信息與技術支持平臺,安全公告,安全法規和技術標準,提供安全軟件下載,搜集安全問題,解答用戶疑問,提供在線的信息安全教育培訓,并為用戶提供一個相互交流經驗的場所。網絡方式的信息服務突破了時間,空間和地域的限制,是信息安全管理和服務的重要方式。
4.3開展全員信息安全教育和培訓活動。開展安全教育和培訓應該注意安全教育知識的層次性。主管信息安全工作的負責人和各級信息安全員,重點要了解和掌握信息安全的整體策略及目標、安全管理部門的建立和管理制度的制定等;負責信息安全運行管理及維護的技術人員,重點要充分理解信息安全管理策略,掌握安全管理的基本方法,精通信息系統的安全維護技術等;廣大信息系統用戶重點要學習各種安全操作流程和行為規范,了解和掌握與其相關的信息安全策略,包括自身應該承擔的安全職責等。
5、結語
電力系統信息安全是一個系統的、全局的管理問題,我們應該用系統工程的觀點方法,分析信息的安全及具體措施。一個較好的安全措施往往是多種方法適當綜合的應用結果,只有從系統綜合整體的角度去看待、分析,才能取得有效、可行的措施。即信息安全應遵循整體安全性原則,根據規定的安全策略制定出合理的信息安全體系結構,這樣才能真正做到整個系統的安全。
參考文獻:
[1] 時小明,淺談我國網絡安全現狀及防范措施[J],黑龍江科技信息,2010(14).
