时间:2022-10-20 19:51:48
引言:易发表网凭借丰富的文秘实践,为您精心挑选了九篇中国信息安全论文范例。如需获取更多原创内容,可随时联系我们的客服老师。
1当前企业信息化建设中的信息安全问题
1.1信息安全管理问题
目前企业的信息安全管理上存在的问题,首先,信息管理人员缺乏或者人员经验不足:计算机信息安全很大程度上取决于管理人才,调查显示,我国七成IT企业信息安全系统保障不足,主要原因是管理人员没有及时更新系统补丁程序、没有及时维护系统。企业信息安全是上不断完善的动态过程,需要不断对现有系统进行安全检查、评估,及时发现新的问题,跟踪最新安全技术,及时调整安全策略,增强企业信息安全性。其次,在企业的信息化建设中信息安全管理系统不完善,信息安全管理系统,如果没有一个很好的保障体系,会使得信息的管理错乱,无秩序,重复管理、漏管等现象发生,使得信息系统出现漏洞,安全性降低。最后,安全以人为本,如果管理不善,人为原因,造成的操作失误,误用或滥用关键、敏感数据或资源等导致信息丢失泄露,外部人员和硬件的商家等对于企业的系统有一定的了解,有权限合法访问,这也会造成信息的安全问题。
1.2信息化建设中的硬件问题
近年来,由于信息化发展较快,企业信息化建设的成本也在不断提高,由于信息化建设投资大、回报慢,一些企业虽然有信息化建设的意愿,但是在实际投入上比较小,这就使得企业信息化建设过程中,企业的硬件设施跟不上时代的不发,导致企业信息化建设止步不前,计算机硬件设施的老化,对企业信息化建设过程中的安全问题存在这一定的隐患,而且,计算机的硬件决定着信息化建设的稳定性。另外在链路传输、网络设备(路由器、交换机、防火墙、通讯线路故障)等以及物量的一些不可抗力造成的地震、水灾、火灾等环境事故使系统毁灰。
1.3信息化建设中的软件问题
(1)国内的软件水平与世界先进水平还存在较大的差距,更容易受到黑客和病毒的攻击。这样就会造成使用这些软件的企业信息化建设中存在信息安全问题。
(2)配置中存在的问题,很多的系统和应用软件在初装后会使用默认的用户名和口令以及开放的端口,而这些都容易造成信息的泄露。
(3)Web服务中的安全问题,www体系的主要特点是开放、共享、交互,这使得信息安全问题增加,安全漏洞多样,如果服务器的保密信息被窃取,信息系统就会受到攻击,获取Web主机信息,使机器暂时不能使用,使机器暂时不能使用,服务器和客户端之间的信息被监听等。
(4)路由器信息的不安全行为,路由器简单的密码或共享密码、安全功能没有设置会导致信息的泄露。
2企业信息化建设中信息安全的对策
信息安全是企业信息化建设中的重要问题,只有保证信息的安全才能使企业在信息化建设中走得更远。企业在信息化建设进行信息安全的建设,主要可以从强化信息安全观念、加强硬件建设安全防护、提升软件建设安全措施三个方面进行。
2.1强化信息安全观念
在企业信息化建设中,一旦企业信息被盗取或丢失,对企业肯定会造成损失甚至是致命的打击。要从企业的基层员工到管理者都要正确认识信息安全的重要性,强化信息安全的观念,提高信息安全意识,从思想上认识提高信息安全的必要性。
2.2加强硬件建设安全防护
加强企业信息化建设过程中的硬件建设安全,首先要保证计算机的安全。企业的信息化建设离不开计算机,要保证计算机的安全就要对计算机进行定期的维护与保养,避免计算机在运行过程中出现突发性故障而导致企业信息的丢失。
另外,企业的信息化建设中,要加强网络硬件的建设。目前,市场上应用比较广泛的企业网络协议就是TCP/IP协议,硬件组成有服务器、通信设备、网络安全设备,主要应用技术是网络交换、网络管理、WEB数据库技术、防火墙等技术,同时还有支持网络运行的支撑系统,整个硬件建设安全、稳定、可靠。
2.3提升软件建设安全措施
要解决企业信息化建设过程中的信息安全问题还需要加强企业信息系统的软件安全防御措施,要采用高性能的安全软件对系统进行防护,使用防护软件要使其发挥其价值所在,不要因小失大。目前,大多数企业的软件防护措施不到位,主要原因就在于软件防护措施不到位,例如企业在公共区域设置无密码的无线路由器,等于是向所有人公开企业的信息,安全无法保证。因此,企业在信息化建设过程中有必要采取高性能的安全防护软件来保证信息的安全。
3小结
ICICS 2013将为国内外信息安全学者与专家齐聚一堂,提供探讨国际信息安全前沿技术的难得机会。作为国际公认的第一流国际会议,ICICS 2013将进一步促进国内外的学术交流,促进我国信息安全学科的发展。本次学术会议将由中国科学院软件研究所、北京大学软件与微电子学院和中国科学院信息工程研究所信息安全国家重点实验室主办,并得到国家自然基金委员会的大力支持。
会议论文集均由德国Springer出版社作为LNCS系列出版。ICICS2013欢迎来自全世界所有未发表过和未投递过的原始论文,内容包括访问控制、计算机病毒与蠕虫对抗、认证与授权、应用密码学、生物安全、数据与系统安全、数据库安全、分布式系统安全、电子商务安全、欺骗控制、网格安全、信息隐藏与水印、知识版权保护、入侵检测、密钥管理与密钥恢复、基于语言的安全性、操作系统安全、网络安全、风险评估与安全认证、云安全、无线安全、安全模型、安全协议、可信计算、可信赖计算、智能电话安全、计算机取证等,但又不局限于此内容。
作者提交的论文,必须是未经发表或未并行地提交给其他学术会议或学报的原始论文。所有提交的论文都必须是匿名的,没有作者名字、单位名称、致谢或其他明显透露身份的内容。论文必须用英文,并以 PDF 或 PS 格式以电子方式提交。排版的字体大小为11pt,并且论文不能超过12页(A4纸)。所有提交的论文必须在无附录的情形下是可理解的,因为不要求程序委员阅读论文的附录。如果提交的论文未遵守上述投稿须知,论文作者将自己承担论文未通过形式审查而拒绝接受论文的风险。审稿将由3位程序委员匿名评审,评审结果为:以论文形式接受;以短文形式接受;拒绝接受。
ICICS2013会议论文集可在会议其间获取。凡接受论文的作者中,至少有1位必须参加会议,并在会议上报告论文成果。
投稿截止时间:2013年6月5日 通知接受时间:2013年7月24日 发表稿提交截止时间:2013年8月14日
会议主席:林东岱 中国科学院信息工程研究所 研究员
程序委员会主席:卿斯汉 中国科学院软件研究所、北京大学软件与微电子学院 教授
Jianying ZHOU博士 Institute for Infocomm Research,新加坡
程序委员会:由国际和国内知名学者组成(参看网站 http://icsd.i2r.a-star.edu.sg/icics2013/)
1.论信息安全、网络安全、网络空间安全
2.用户参与对信息安全管理有效性的影响——多重中介方法
3.基于信息安全风险评估的档案信息安全保障体系构架与构建流程
4.论电子档案开放利用中信息安全保障存在的问题与对策
5.美国网络信息安全治理机制及其对我国之启示
6.制度压力、信息安全合法化与组织绩效——基于中国企业的实证研究
7.“棱镜”折射下的网络信息安全挑战及其战略思考
8.再论信息安全、网络安全、网络空间安全
9.“云计算”时代的法律意义及网络信息安全法律对策研究
10.计算机网络信息安全及其防护对策
11.网络信息安全防范与Web数据挖掘技术的整合研究
12.现代信息技术环境中的信息安全问题及其对策
13.处罚对信息安全策略遵守的影响研究——威慑理论与理性选择理论的整合视角
14.论国民信息安全素养的培养
15.国民信息安全素养评价指标体系构建研究
16.高校信息安全风险分析与保障策略研究
17.大数据信息安全风险框架及应对策略研究
18.信息安全学科体系结构研究
19.档案信息安全保障体系框架研究
20.美国关键基础设施信息安全监测预警机制演进与启示
21.美国政府采购信息安全法律制度及其借鉴
22.“5432战略”:国家信息安全保障体系框架研究
23.智慧城市建设对城市信息安全的强化与冲击分析
24.信息安全技术体系研究
25.电力系统信息安全研究综述
26.美国电力行业信息安全工作现状与特点分析
27.国家信息安全协同治理:美国的经验与启示
28.论大数据时代信息安全的新特点与新要求
29.构建基于信息安全风险评估的档案信息安全保障体系必要性研究
30.工业控制系统信息安全研究进展
31.电子文件信息安全管理评估体系研究
32.社交网络中用户个人信息安全保护研究
33.信息安全与网络社会法律治理:空间、战略、权利、能力——第五届中国信息安全法律大会会议综述
34.三网融合下的信息安全问题
35.云计算环境下信息安全分析
36.信息安全风险评估研究综述
37.浅谈网络信息安全技术
38.云计算时代的数字图书馆信息安全思考
39.“互联网+金融”模式下的信息安全风险防范研究
40.故障树分析法在信息安全风险评估中的应用
41.信息安全风险评估风险分析方法浅谈
42.计算机网络的信息安全体系结构
43.用户信息安全行为研究述评
44.数字化校园信息安全立体防御体系的探索与实践
45.大数据时代面临的信息安全机遇和挑战
46.企业信息化建设中的信息安全问题
47.基于管理因素的企业信息安全事故分析
48.借鉴国际经验 完善我国电子政务信息安全立法
49.美国信息安全法律体系考察及其对我国的启示
50.论网络信息安全合作的国际规则制定
51.国外依法保障网络信息安全措施比较与启示
52.云计算下的信息安全问题研究
53.云计算信息安全分析与实践
54.新一代电力信息网络安全架构的思考
55.欧盟信息安全法律框架之解读
56.组织信息安全文化的角色与建构研究
57.国家治理体系现代化视域下地理信息安全组织管理体制的重构
58.信息安全本科专业的人才培养与课程体系
59.美国电力行业信息安全运作机制和策略分析
60.信息安全人因风险研究进展综述
61.信息安全:意义、挑战与策略
62.工业控制系统信息安全新趋势
63.基于MOOC理念的网络信息安全系列课程教学改革
64.信息安全风险综合评价指标体系构建和评价方法
65.企业群体间信息安全知识共享的演化博弈分析
66.智能电网信息安全及其对电力系统生存性的影响
67.中文版信息安全自我效能量表的修订与校验
68.智慧城市环境下个人信息安全保护问题分析及立法建议
69.基于决策树的智能信息安全风险评估方法
70.互动用电方式下的信息安全风险与安全需求分析
71.高校信息化建设进程中信息安全问题成因及对策探析
72.高校图书馆网络信息安全问题及解决方案
73.国内信息安全研究发展脉络初探——基于1980-2010年CNKI核心期刊的文献计量与内容分析
74.云会计下会计信息安全问题探析
75.智慧城市信息安全风险评估模型构建与实证研究
76.试论信息安全与信息时代的国家安全观
77.IEC 62443工控网络与系统信息安全标准综述
78.美国信息安全法律体系综述及其对我国信息安全立法的借鉴意义
79.浅谈网络信息安全现状
80.大学生信息安全素养分析与形成
81.车联网环境下车载电控系统信息安全综述
82.组织控制与信息安全制度遵守:面子倾向的调节效应
83.信息安全管理领域研究现状的统计分析与评价
84.网络信息安全及网络立法探讨
85.神经网络在信息安全风险评估中应用研究
86.信息安全风险评估模型的定性与定量对比研究
87.美国信息安全战略综述
88.信息安全风险评估的综合评估方法综述
89.信息安全产业与信息安全经济分析
90.信息安全政策体系构建研究
91.智能电网物联网技术架构及信息安全防护体系研究
92.我国网络信息安全立法研究
93.电力信息安全的监控与分析
94.从复杂网络视角评述智能电网信息安全研究现状及若干展望
95.情报素养:信息安全理论的核心要素
96.信息安全的发展综述研究
97.俄罗斯联邦信息安全立法体系及对我国的启示
98.国家信息安全战略的思考
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
关键词 信息政策;信息法规;定量分析
中图分类号TP39 文献标识码 A 文章编号 1674-6708(2015)133-0146-02
随着社会信息化水平的不断提升,信息资源作为中国社会经济发展的一种重要战略资源受到了业界越来越多的关注。促进信息资源产业发展的相关政策的制定,信息资源在整个社会资源结构中的比重的攀升,使之成为许多国家增强国际竞争力的手段和提升全球影响力的重要战略选择。我国目前关于研究信息政策与法规研究的论文也与日俱增,对信息政策与法规的需求也在不断扩大,对这些研究成果进行数据统计和内容分析,有利于研究者们了解信息政策与法规的研究现状,预测其未来的发展趋势。
1 文献计量分析
笔者以“信息政策”、 “情报政策”、“信息法规”、 “信息立法”、“信息法学”为主题词或关键词,从CNKI“中国学术期刊网络出版总库”、“特色期刊”和“中国优秀硕博士学位论文全文数据库中”4个数据库进行了精确检索,将其搜索结果合并,并去除重复结果,得到2003-2012年间发表的与含有这些关键词的相关论文共576篇,其中65篇为毕业论文。
1.1 论文时间分布
一个学科或研究领域的成长过程与其研究文献的数量和内容有密切的关系。研究相关文献量,可在一定程度上反映我国信息政策与法规研究的水平、发展速度和研究规模等。
2003年是我国信息政策与法规研究的一个高峰,之后逐年减缓,2007年达到谷值,然后迅速回升,2009年的发文数量几乎和2003年持平,后又有所减少。十年间的年均发文量是57.6篇,2003-2007这五年的年均发文量是56.4篇,2008-2012的年均发文量是58.8篇。总体来说,虽然我国的信息政策与法规研究有一定的起伏,但都在合理范围之内,且年均发文量都在40篇以上,说明我国信息政策与法规研究正处在一个相对繁荣的时期,有众多的学者为此付出了关注和研究。
1.2 论文期刊分布
排在前10位的期刊载文量都在10篇以上(含10篇),它们的载文量占总载文量的28.47%,因此在一定意义上可以说,《图书馆学研究》、《图书情报工作》、《情报资料工作》、《现代情报》、《图书馆理论与实践》、《情报科学》、《情报理论与实践》、《情报探索》、 《情报杂志》、《科技情报开发与经济》处于信息政策与法规研究的布拉德福核心区,是信息政策与法规研究的重要情报源。
1.3 论文作者分布
通过对几位核心作者的研究范围和研究内容进行分析可以发现,马海群教授研究范围广泛,从信息政策的体系建构、方案优选到信息政策的运行机制和评价过程,都有专门的研究。马海群教授和周丽霞共同研究了信息法学学科体系、学科价值及学科归属问题、研究模式及其研究方法等。肖希明教授和张新鹤博士侧重于信息资源建设政策的研究。马费成教授对中、美及欧盟信息政策法规建设进行了比较研究,详细介绍了日本国家信息战略的发展经验,并在信息政策与法规的基础理论研究方面做了深入探讨。李东业主要做比较研究,对美国、日本和中国的信息政策进行对比。汪传雷主要研究科技信息资源开发利用法规政策和企业信息政策模型。
1.4 论文作者合著率分析
1982年美国学者提出了分析合著率方法,他认为:一个学科的合著率可以用公式:C=Nm/(Nm+Ns)表示,其中C为合著率,即一个学科的合作程度,Nm为一个学科在1年内发表的多著者论文书,Ns为一个学科在1年内发表的单著者论文书。
从整体上来说,2003-2012我国信息政策和法规论文著者合著率呈上升趋势,2007年的合著率达到一个高峰,2012年为48.08%,为十年间的最高值。这说明了,我国信息政策的相关研究越来越深入,与其他领域的沟通和交流也在逐渐加强,这符合信息政策与法规这一研究课题的交叉性、多学科性,以便于取各学科、各领域专家的特长,能够更全面、更系统、更科学地分析信息政策与法律所涉及的各方面的复杂问题。
2 十年来我国信息政策与法规研究的主要内容
2.1 信息政策与法规的基础理论研究
信息政策与法规的基础理论研究一直是学者们关注的重点,包括信息政策与法规的目标、内容、体系结构、运行机制、保障机制、评估和反馈、与现实的协调性、国际兼容性等方面。马海群等人在信息政策与法规的理论研究上取得的成就较为突出,在信息政策的方案优选上,他提出基于加权灰靶决策理论,依据靶心距离对多个方案进行排序,根据这些理论依据从而做出最优选择;在信息政策的综合评价上,他提出了信息政策方案的综合评价指标体系,主要应用模糊综合评价法建立了评价模型,并通过模拟实验验证了模型的可行性。
2.2 国外信息政策与法规研究
国外关于信息政策与法规的研究比国内更早,尤其是发达国家起步早,成就突出。因此,在2003-2012年发表的相关论文中,多数都是介绍、评价欧美日俄等国家的信息政策与法规的。根据其内容与范围,主要分为以下两种。
1)对国外信息政策与法规研究的总体介绍,主要介绍其发展道路、研究特点以及对我国的研究启示,还出现了综述类的研究。
2)对具体国家信息政策与法规的介绍,也出现了一些综述类研究,如《20 世纪 90 年代以来俄罗斯国家信息政策综述》,《美国国家信息安全政策综述》等。
2.3 信息政策与法规的比较研究
比较研究主要包括:信息政策内容比较、信息政策环境比较研究、信息管理体制和组织机构比较、信息政策目标比较研究、以及政府在信息政策上参与程度比较研究。主要是美、日、俄、英等国与我国的比较,如《中美信息政策模式比较研究及对我国的启示》。也有一些文章对国外两国或者多国之间的信息政策与法规进行比较,以期对我国的理论和实践建设提供有益的借鉴。如李东业等人的《美日信息政策比较及其启示》。
2.4 信息保护政策与法规
由于信息社会信息技术、网络技术的广泛应用,给信息的采集、加工、存储、传输、使用等带来了一系列安全与保密上的问题,同时现代信息网络技术突破了传统的信息存储方式和获取手段,使得具有产权性质的创造性智力成果可以被轻而易举的复制和扩散,再加上信息社会信息自由和信息资源共享的原则被滥用,知识产权与信息产权被侵犯的现象屡屡发生,所以信息保护政策与法规的研究倍受学者们的关注。
2.5 信息资源建设政策
信息资源建设受到多方面因素的影响,比如社会政治、经济、文化等,它不仅仅是一个单纯的技术问题,它是国家信息化发展的重要内容,是国家和社会为实现信息资源建设目标而制定的方针、原则、策略、措施、对策等。论文内容分析的结果显示,2003-2012年十年间我国关于信息资源建设的政策大多偏重于有关数字信息资源建设的相关政策、信息资源共建共享政策以及信息技术与标准化政策的研究。
2.6 网络信息政策
网络信息政策是针对互联网的特殊性而制定的有关规范、管理和发展网络信息活动的行为准则和指南。网络信息政策的研究热点大多集中在电子商务政策、电子政府政策等方面。内容涉及网络信息安全、网络信息服务、网络信息的调控、网络信息隐私权以及计算机犯
罪等。
参考文献
查看更多《中国信息界》杂志社信息请点击: 《中国信息界》编辑部
战略与政策
(5)广播电视网络在三网融合中的对策研究 李大珊 梁跃 鲁英杰 袁韵峰 蒋安玲 裴多
实践与应用
(9)村级电子政务现状及发展对策分析 赵丽敏 廖桂平 陈艳 姚元森
(13)智慧城市的发展和问题浅析 彭保
(15)市民卡建设推广的思路和路径浅析——以南京市市民卡建设和推广为例 顾颖
(17)团结湖智慧街道建设探索与实践 李容珍 徐锋 马哲 邱逸
(19)科学规划智慧莱州建设 加快推进县域经济 吴琼 施瑞军 曲锡峻 陈爱峰 吴开平
(21)大力推进智慧城市建设 邓小勇
(27)资源整合下的政府数据中心建设研究与实现 严爱明
(31)省(市)国资委信息化建设策略与系统架构研究 杜罗砷
(33)浅析后危机时代江苏省中小企业“云”改造模式 葛福江 姚立
(35)企业信息安全问题研究 刘文华
(37)基于itil理念的高校云服务资源管理研究 方力 沈鑫 叶昭晖
(39)电子商务专业能力培养与课程设置满意度研究 赵丽 付华
(41)提升党校教师信息素养要念好“四字经” 张青
(43)我国汽车制造业erp系统应用研究 李志刚
(45)烟草农业信息化的困境与对策 彭俊
(47)可编程短波数据处理终端的设计与实现 朱贤斌
(49)it服务持续性管理的风险评估和预防措施的最优化选择 朱光
(52)长春市政务信息资源目录体系规划设计研究 柳羽辉
(54)基于starlims平台的实验室信息管理系统工作流配置的研究 马文俊 张家勇 罗承渺 胡卫民
(57)从“国家检察官学院吉林分院内部办公业务网”建设谈项目的整体管理 赵淑霞
(59)基于oracle的epdm模型数据迁移策略研究 孔明华 顾娟
(61)探析物联网在石油行业的应用 王伟 陈奇志
(63)基于云计算模式的应用系统集中管理技术开发与应用 单延明 吴钧 李大勇 王志敏
(65)勘探战略选区信息化平台的建设及应用 冯红君 马玉龙 滕良娟 段非 张海勇
(67)应用油水生产数据分析技术判别水平井水侵类型的研究 刘斐
(69)云gis在石化行业总图管理系统中的应用实践 廖志锐 刘争飞 刘力嘉 任宗雷 徐
(72)面向流程行业mes系统的虚拟化硬件架构 谷克宏 黄岷 张振宇 朱家兵
(74)万兆交换机在企业中的应用研究 李淑倩 杨敏 关宇
(76)玛河气田智能建设试点设想 蔺胜利 滑晓辉 单鸿飞
(78)智能安防报警系统的研究与应用 门虎 郭振杰 武旭
(81)智能巡检系统在克拉美丽气田的应用 杨斌 张扬 蔺胜利
(83)石油企业网络信息安全的监控系统研究与应用 于顺安
学子园地
(85)“沙集模式”未来发展之路——在“小即是美”与“大是所趋”之间的抉择 齐志强
(89)电子政务系统-环境生态学测评指标分析 夏宜君
报告与方案
(92)信息通信技术对超链接社会的影响分析 无
海外论文
(98)因特网是我们生活的主页 张进京(译)
资讯
(104)以信息生产力推动“新四化”及社会转型 无
(104)《中国经济向何处去——基于信息经济学的分析》新书会在京召开 无
关键词:信息安全,网络,措施作者,才让昂秀,单位,青海省交通通信信息中心
一、信息安全的概念
目前,我国《计算机信息安全保护条例》的权威定义是:通过计算机技术和网络技术手段,使计算机系统的硬件、软件、数据库等受到保护,最大可能不因偶然的或恶意的因素而遭破坏、更改或泄密,系统能够正常运行,使用户获得对信息使用的安全感。信息安全的目的是保护信息处理系统中存储、处理的信息的安全,其基本属性有:完整性、可用性、保密性、可控性、可靠性。
二、计算机网络系统安全因素剖析
(一)来自计算机网络的病毒攻击
目前,计算机病毒的制造者大多利用Internet网络进行传播,所以广大用户很大可能要遭到病毒的攻击。病毒可能会感染大量的机器系统,也可能会大量占用网络带宽,阻塞正常流量,如:发送垃圾邮件的病毒,从而影响计算机网络的正常运行。
(二)软件本身的漏洞问题
任何软件都有漏洞,这是客观事实。就是美国微软公司,全球的软件霸主,也不例外。但是这些漏洞恰恰是非法用户窃取用户信息和破坏信息的主要途径。针对固有的安全漏洞进行攻击,主要有:①协议漏洞。利用POP3等协议的漏洞发动,获得系统管理员的特权;②缓冲区溢出。攻击者利用该漏洞发送超长的指令,超出缓冲区能处理的限度,造成系统运行的不稳定,使用户不能正常工作;③口令攻击。黑客通过破译,获得合法的口令,而入侵到系统中 。还有IP地址轰击等方法,不一一举例。
(三)来自竞争对手的破坏
俗话说:同行是冤家。有的企业利用不正当手段,对同行进行破坏。攻击对方的网站或篡改对方的信息,或在其他网站上散布谣言,破坏竞争对手的良好形象。有的轰击对方的IP地址,使对方的网站不能正常工作。论文参考,措施作者。
(四)用户使用不慎产生的后果
计算机管理人员平时工作马虎,不细心,没有形成规范的操作,也没有制定相应的规章制度。很多管理人员安全意识不强,将自己的生日或工号作为系统口令,或将单位的账号随意转借他人使用,从而造成信息的丢失或篡改。
三、网络信息安全的应对措施
(一)加强入网的访问控制
入网访问控制是网络的第一道关口,主要通过验证用户账号、口令等来控制用户的非法访问。对用户账号、口令应作严格的规定,如:口令和账号要尽可能地长,数字和字母混合,避免用生日、工号等常见的东西作口令,尽量复杂化,而且要定期更新,以防他人窃取。目前安全性较高的是USBKEY认证方法,这种方法采用软硬件相结合,很好地解决了安全性与易用性之间的矛盾。USBKEY是一种USB接口的硬件设备,用户的密钥或数字证书无需存于内存,也无需通过网络传播。因此,大大增强了用户使用信息的安全性。论文参考,措施作者。
(二)加强病毒防范
为了能有效地预防病毒并清除病毒,必须建立起有效的病毒防范体系,这包括漏洞检测、病毒预防、病毒查杀、病毒隔离等措施,要建立病毒预警机制,以提高对病毒的反应速度,并有效加强对病毒的处理能力。论文参考,措施作者。主要从以下四个方面来阐述:
1.漏洞检测。主要是采用专业工具对系统进行漏洞检测,及时安装补丁程序,杜绝病毒发作的条件。
2.病毒预防。要从制度上堵塞漏洞,建立一套行之有效的制度;不要随意使用外来光盘、移动硬盘、U盘等存储设备。
3.病毒查杀。主要是对病毒实时检测,清除已知的病毒。要对病毒库及时更新,保证病毒库是最新的。这样,才可能查杀最新的病毒。
4.病毒隔离。主要是对不能杀掉的病毒进行隔离,以防病毒再次传播。
(三)进行数据加密传输
为防止信息泄漏,被竞争对手利用,可对传输数据进行加密,并以密文的形式传输。即使在传输过程中被截获,截获者没有相应的解密规则,也无法破译,从而保证信息传输中的安全性。比如:微软公司的WindowsXP就有这样的数据加密功能。
(四)采用防火墙技术
应用过滤防火墙技术能实现对数据包的包头进行检查,根据其IP源地址和目标地址做出放行或丢弃决定,但对其携带的内容不作检查;应用防火墙技术能对数据包所携带的内容进行检查,但对数据包头无法检查。因此,综合采用包过滤防火墙技术和防火墙技术,既能实现对数据包头的检查,又能实现对其携带内容的检查。论文参考,措施作者。
(五)应建立严格的数据备份制度
一要重视数据备份的重要性,认为它很有意义,是一个必要的防范措施;二要严格执行数据备份制度。要定期或不定期备份,对重要数据要有多个备份。因为杀毒软件不是万能的,以防万一,很有必要建立数据备份制度。
(六)加强安全管理
安全管理对于计算机系统的安全以及可靠运行具有十分重要的作用。就目前而言,应做到以下几点:
1.树立守法观念,加强法制教育。有关计算机和网络的一些法律知识,要了解并熟悉,如:《中国信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》等条例,培养良好的法律意识。
2.制定并严格执行各项安全管理规章制度。论文参考,措施作者。论文参考,措施作者。包括出入机房制度、机房卫生管理制度、在岗人员责任制、机房维护制度、应急预案等。
3.建立检查机制。定期或不定期地对计算机系统进行安全例行检查,要有记录,看落实情况,以免流于形式。
(七)培养用户的信息安全意识
要注意个人信息的保护,不要将个人信息随意保存在纸质上,在ATM上交易时,也要防止是否有人偷窥,不要使用真实信息在网站上注册等等,时时刻刻培养自己的信息安全意识。
以上是本人对计算机网络信息安全的初浅认识。单位决策者不但思想上要高度重视,而且行动上也要给予大力支持,包括财力和人力。只有这样,才有可能保证单位用户对网络信息的安全使用。
这个人的重要性也可以从他的文字成果中得到证明:他曾在国际刊物和会议上发表100多篇论文,欧美著名的信息安全教科书引用他的定理,同时还拥有5个国际专利。
他的重要性还在于他的行动:他成功地攻击了世界顶尖的网络安全系统,发明了密码物理分析方法,他的公开密钥加/解密算法的工作处于国际领先地位。
黑客的“感觉”
能够攻破美国和挑战世界一流的网络安全系统是一种什么样的感觉?兴奋、狂喜、还是不可言表的成就感?这种感觉,一个叫韩永飞的人知道。他曾经成功地攻击了PGP系统、美国CIA和FBI的KR系统,让美国政府最终放弃了一项投巨资并组织了包括微软、惠普、波音在内的60多家大公司共同制定的密钥托管方案。让美国人掏钱是件难事,让美国人掏冤枉钱更是要有点本事。这韩永飞究竟是何许人也,竟有如此大能耐?一个偶然的机会,我见到了这位“神秘人物”,他现在是北京密安信息技术有限责任公司的总裁。
让我吃惊的是,这位英国伦敦大学的密码学博士、国际知名的密码学专家和信息安全专家,魁梧的身材、铜色的皮肤、一口东北音的普通话,全身充满了中国特色,要不是他那么自然地一挥手就要了一杯咖啡作饮料,我真不敢想像眼前这位还是留洋回国的海归人士。
“和一般意义上的黑客不同,我所进行的攻击只是在学术上的研究,并不会对项目本身构成危害。黑客在信息社会是必然存在的,我们不能一味地否定。信息安全的防御和攻击就是矛和盾的关系。这种对立和统一的关系会一直持续下去。特别是在新时期,国家出于打信息战的需要,政府大规模投入到信息攻击领域的可能性越来越大,攻击技术会越来越发达。所以这就使得我们在信息安全上的技术也必须不断提升,密安信息技术有限责任公司就是要为网络和信息行业锻造一面安全之盾。”真是三句话不离本行。
坚持:踏平坎坷所需要的
2004年5月6日,这是韩永飞和所有密安人都会记住的好日子。这一天,密安公司终于拿到了商用密码定点生产许可证和销售许可证。在国内,密安网络是第一家也是惟一一家拿到“两证”的信息安全公司。这就意味着,韩永飞终于可以在国内市场放开手脚大干一场了。
“几年来,我的朋友问我最多的一句话就是,‘你们是怎么活下来的?’”也许是因为跨过了最关键的一道门槛,韩永飞说这句话的时候嘴角明显带着胜利者的微笑。这种由衷的喜悦是有充分理由的。稍微对信息安全领域熟悉一点的人都知道,在没有拿到国家颁发的商用密码定点生产许可证和销售许可证之前,任何涉及信息安全的企业都不可能公开地做市场。事实上,密安也有过非常困难的时期,有段时间韩永飞需要拿自己的银行卡给员工发工资。“我们不是没有遇到过困难,遇到困难就要看我们用什么样的心态去面对。”
尽管受到国家相关政策的限制,但是凭着雄厚的技术实力和在专业领域的良好声誉,密安开始承接国家部委和地方政府的研究项目。“在做项目的过程中陆续产生自己的产品,并逐步推向国际市场,是密安得以存活的一个重要原因。”现在的密安已经连续开发出了一系列具有鲜明特色的,拥有自主知识产权的网络安全产品,像SJW47―I―IV加密机系列、安全的虚拟隐私网VPN、网络安全整体保护系统SVN、无线传输WTLS等等,其中的SVN还是国际领先产品。这说明北京密安已经经受住了市场的考验,成功突破了创业初期的瓶颈。
未来:国际一流的企业追求
基于计算机网络、可移动通讯和卫星网络的全球信息化正在成为人类发展的大趋势,如何保障网络安全,确保电子商务信息的安全性就是电子商务发展和应用的必要条件之一。只有当人们感到电子商务系统是安全的,他们才可能在网上交易、购物和订货等等。而由于网络的开放性,网络安全已从一种特殊的防卫变成了一种非常普遍的防范。攻击者可以在网络的任何一点对网络进行攻击,这种攻击过去只是专业人员才能做成,而现在很多不安全因素是由业余者造成的,很多人出于热爱和好奇而攻击网络,他们的攻击所带来的损失是巨大的。
说到国内的信息安全情况,韩永飞显得忧心忡忡。他曾经用一句经典的话用来描述国内信息安全产业发展的状况,那就是:“本人外出呆了一段时间,回来后发现家里没关窗户没关门。”
“我们不得不承认,中国的网络安全在技术上、结构上、管理上与西方发达国家存在着相当大的差距。原因是多方面的:一是网络在中国出现得晚;二是我国网络化具体应用的水平还没有达到相当的程度;三是大家对网络安全的麻痹和忽视。人们往往感到了网络安全问题产生的严重后果,才开始意识到网络安全的重要性。”韩永飞一字一顿地说。
“我们的目标是做国际一流的企业”,这是韩永飞常常提醒员工的一句话。尽管北京密安的发展速度可以用火箭式来形容,但韩永飞并没有感到满足,他给公司也是给自己提出了新的发展目标。“在中国第一并不意味着在世界上就是最好的。随着经济全球化进程的加快,中国加入WTO以及较为统一的全球商务规则的实行,企业间的竞争也将趋于全球化,要把眼光放得长远一点。”把眼光放长远一点就是要在注重实现公司利益最大化的同时讲求公司的整体发展,主要体现的指标是公司的价值增长,其次就是队伍建设、人员培训等方面,都是公司须臾不可放松的地方。
面对成功,韩永飞这样评价自己:“我这个人比较好强,凡事都想拿第一。”韩永飞凭实力获得英国女王全额奖学金赴英国伦敦大学后,师从著名密码学家Mitchell教授。他的博士论文《高速的公开密钥算法》获得优秀博士论文,并被编入西方密码学教科书,这在华人中是第一次。
多年来,得安科技先后承担并参与了30多项国家和地方科研项目和产业化任务,并在面向金融领域的关键安全技术、信息安全基础设施关键技术体系研究等关键领域做出了突出贡献,取得了创新性的科研成果。得安科技载誉业内的实事,让我们不得不去关注隐藏在其高速发展背后的研发实力和技术动力。今天的得安,对其自身如何定位?其发展潜力何在?以得安科技为代表的密码核心技术提供商又如何看待国内信息安全市场发展趋势?为寻找这些问题的答案,中国信息化周报记者约访了得安科技技术总监孔凡玉。
中国信息化周报:商用密码产品及服务是信息安全产业的重要一环,也是得安的核心竞争力。基于怎样的背景,得安投入商用密码技术研发?
孔凡玉:所谓网络安全、信息安全,最重要的目标是保证信息系统和网络环境中的“数据”、“信息”的安全,而不单是对计算机设备、网络设备自身的安全防护。大到一个国家,小到一个企业和个人,多数黑客进行攻击的真正目的就是窃取机密数据和信息,而不仅仅是破坏信息系统本身。因此,商用密码产品及服务作为保障数据的机密性、完整性等安全性的关键一环,是信息安全产业的重要组成部分。
得安公司成立于1997年10月7日,是我国最早致力于商用密码产品研发及产业化的企业之一,这与我国当时对网络安全和商用密码产品的迫切需求密切相关:一个是随着互联网技术的发展,网上银行、网上证券等金融业务的开展迫切需要商用密码产品和网络安全系统的出现;另一个是,我国信息化建设的飞速发展迫切需要实现商用密码技术的国产化,以保证信息安全核心技术的独立性和自主性。
中国信息化周报:得安现有哪些科研成果?具有哪些核心技术优势?
孔凡玉:得安科技自主研发的“SMS100-1网络安全平台”,这是国内最早通过国家密码管理机构组织鉴定的商用密码PKI产品,并荣获国家科技进步三等奖和密码科技进步二等奖,此系统已在上海证券中国证券登记结算公司的证券系统中成功使用。此外,得安公司也顺利完成了中国金融认证中心CFCA的商用密码模块的国产化开发项目,实现了商用密码产品和接口的国产化,并逐渐将服务器密码机、智能IC卡等产品广泛应用于中国建设银行等各大银行以及邮政、电信、税务、电力、煤炭、石化、广电、烟草、航空等行业。
十六年以来,得安公司一直注重商用密码和信息安全核心技术的创新,在高速密码服务器、数字认证系统、智能IC卡、VPN设备、安全文件传输系统、云安全密码服务平台、大数据安全、移动安全计算等方面具备良好的技术积累,得安参与研发的多项产品和技术填补了国内外空白,保证了核心技术的领先优势。
中国信息化周报:从国家政策层面强化网络安全意识,到首席安全官渐成大型企业标配职位的发展现状,您如何理解密码安全对于企业信息安全堡垒建设的核心意义?
孔凡玉:在目前的互联网时代,每一个企业和个人都在享受着互联网给工作和生活带来的便捷的同时,也遭遇着前所未有的信息安全的巨大风险。中央网络安全和信息化小组的成立,标志着我国已经把网络信息安全上升为国家战略的层面。
在网络信息安全防护中,以数据加密、身份认证、数字签名等为代表的密码技术和以网络攻防、系统漏洞分析、防病毒、入侵检测等为代表的系统安全技术是网络信息安全的两大类核心技术。所以,商用密码安全产品和系统是信息安全市场的必不可少的重要组成部分。
近年来,发生的信息安全事件大致分为两种:一种是单纯的病毒、木马、系统攻击,没有特别的针对性,造成的后果是计算机系统的崩溃或者网络无法正常访问;第二种是针对数据和信息的窃取,这会造成重要数据或个人隐私的泄露,带来严重的后果。最近爆发的信息安全事件,八成以上都涉及到数据泄露问题,例如2013年底发生的美国第二大零售商Target的4000万用户的信用卡和借记卡信息泄露事件,近期爆出的OpenSSL的几个严重漏洞,以及我国近年发生的多个网站的数据泄露问题,这都存在密码技术防护措施不足的问题。这需要对数据的存储和传输进行加密保护,并进行严格的身份认证、访问控制、安全管理等。
得安科技大力推广信息安全服务的理念,所提出的企业信息安全堡垒的建设方案,是一个从技术实现到管理制度、从硬件产品到软件系统、从内部加固到外部防范的立体化的整体解决方案,实现服务端的核心数据的加密、安全可靠的网络数据传输、远程用户的身份认证和访问控制等功能,实现企业信息系统的高安全性和可靠性,为企业提供信息安全保障。
中国信息化周报:在与用户接触过程中,您认为目前企业信息安全系统普遍薄弱的环节有哪些?
孔凡玉:在云计算和大数据时代来临之际,任何信息系统的核心都是“数据”,因此任何信息系统的安全最重要的就是保证“数据”的安全。而数据的安全,包括了数据的产生、存储、传输、访问、处理、共享、销毁等各个环节的安全,这形成一个环环相扣的系统。
在与很多用户进行交流时,我们了解到,现在企业信息安全系统普遍存在的问题是缺乏一个完整、系统的安全解决方案,仅在某一个或几个方面进行了安全防护,但是仍然存在其他方面的漏洞,不能形成一个完整的防护体系。
中国信息化周报:对此,得安科技针对不同行业、不同应用场景下的安全问题,推出了哪些解决方案?
孔凡玉:得安公司一直专注于信息安全核心技术以及信息安全整体解决方案的研发和应用,针对不同行业、不同应用场景,已经在云计算安全、大数据安全、电子商务安全、企业级安全等领域形成了一系列先进的、成熟的、可靠的信息安全整体解决方案,包括云安全密码服务平台、远程文件安全传输解决方案、数字证书认证系统解决方案、安全移动办公解决方案、手机安全支付解决方案、桌面安全解决方案、统一认证授权平台等。具体包括:
■云安全密码服务平台:这是得安公司研发的基于“云计算”技术的高性能密码平台,将多款高端密码设备和软件中间件技术有机融合,以高安全性、高效率、高稳定性为目标,以先进的分布式计算和并行处理技术为核心,提供高性能的数据加密、数字签名、身份认证等密码服务功能。
■远程文件安全传输解决方案:此方案用于解决企业的总部与各分支机构、出差员工之间的文件安全传输问题,在数据的安全、可靠、高效的传输方面,可以解决FTP等传统传输方式的种种不足,为广大企业客户所信赖。同时,该方案可以集成于各类企业的信息系统平台中,实现企业的远程文件的安全传输,目前已经广泛应用于金融、证券、石油化工、电力等行业。
■数字证书认证系统解决方案:此方案用于解决企业内部的身份识别与认证的问题。数字证书是由权威机构―CA机构颁发的、标识身份信息的电子文件,提供了一种在网络环境中验证身份的方式,类似于日常生活中的身份证。得安数字证书认证系统简称CA系统,采用双证书机制,利用PKI技术提供数字证书的签发、验证、注销、更新等功能,将个人信息或单位信息及密钥、密码算法集合在一起,提供在虚拟的互联网世界可用的“网上身份证”。得安数字证书认证系统,已经成功应用于广东电子政务认证中心、贵州省数字认证中心的建设,并顺利运行。
■安全移动办公解决方案:此方案用于解决企业的各分支机构和出差员工的远程办公、移动办公问题。通过采用IPSec VPN、SSL VPN、安全网关以及安全客户端等产品,可实现各种复杂环境下的远程和移动办公系统。远程用户在通过互联网登录企业内部业务系统时,首先需要经过安全网关的身份认证,认证通过后才能访问其权限范围内的业务系统;可以在安全网关上进行细粒度的权限配置,保证接入终端的安全性;同时,安全网关支持客户端访问企业内网时不能同时访问其它互联网的功能,更加保证了接入的安全性。目前该解决方案已成功应用于国土资源、石油、煤炭、电力、电信、银行等行业。
■手机安全支付解决方案:得安公司研发的智能SD卡以及软件系统,是近年新兴的一种信息安全产品,把高性能的安全模块集成到SD卡中,这样用户既可以像使用普通SD卡那样使用其大容量存储功能,又可以像使用智能IC卡那样使用SD卡中集成的安全模块,具有密钥管理、证书存储、权限控制、数据加解密等功能,实现个人隐私数据的加密保护和安全支付。此方案已经在金融、电信以及中小企业中推广使用。
■桌面安全解决方案:此方案用于解决企业内部计算机设备的安全控制和信息保密问题,采用智能密码钥匙、安全加密U盘、文件加密软件、Word/PDF文件签名等产品和技术,确保了信息在单位内的安全存储,确保了计算机设备的安全使用。该系统是针对客户端PC安全的整体解决方案,它的最大特点是既能“攘外”,又能“安内”,部署灵活且易于使用,特别适合金融、电信、政府机关、制造业等具有分布式网络应用的行业。
■统一认证授权解决方案:本方案可以为企业的多个业务系统提供安全支撑,简化业务系统的管理方式和使用方式,提高整体系统安全性。通过该解决方案,可以为企业提供各个业务系统的统一认证和登录服务,提供数据传输的加密服务、高强度的身份认证、人员的集中管理和应用的集中管理,适合在具有多个业务信息系统的企业中部署实施。
中国信息化周报:在国内市场,用户往往会在IT价值与IT风险之间寻求一个平衡。让用户为安全买单,很多用户关心的问题是需要支付哪些成本?又能获得哪些收益?得安科技的解决方案又是如何来降低用户IT应用风险的?
孔凡玉:得安科技采用的是一套科学的、系统的信息安全工程建设方法,达到用户的IT价值和风险、收益和成本之间的平衡。
首先,用户的信息系统和数据的有形资产和无形资产是可以进行估算的。这些数据的重要程度,一旦泄露会产生什么样的后果,决定了数据的价值。数据的价值越高,一旦泄露带来的后果越严重,因此需要投入的安全成本就越高。举例来说,价值100万的数据,如果投入200万进行安全防护可能是不必要的;同样,价值1亿的数据,仅投入1万元进行安全防护则可能具有极大的安全风险。
评估了资产的价值后,然后就要分析信息系统存在的风险和威胁,包括目前的信息系统存在哪些漏洞和弱点,内部和外部可能有哪些潜在的攻击威胁等。之后,就要和企业一起制定信息安全保障系统建设的内容,这主要取决于哪些风险必须要降低,降低到什么程度,采用哪些技术手段,成本是多少等。这样,在系统建设之前,用户很清楚建设目标是什么,需要花费多大的成本,会带来怎样的收益,做到有的放矢、未雨绸缪。在系统建设、维护运行以及管理等方面,还有一系列的方法和措施,以保证信息安全项目建设的可控性。
中国信息化周报:相比其他应用安全企业,得安科技有何自身特色?具体到商用密码解决方案,相比其他软件公司,得安科技有哪些独特的优势和创新?
孔凡玉:与其它信息安全企业相比,得安公司的特色体现在三方面。
第一,在商用密码及信息安全核心技术方面具有创新优势。作为国内最早从事商用密码产品研发及产业化的企业之一,得安公司在商用密码以及信息安全核心技术方面具有18年的积累,在高速密码算法实现、数字认证技术、云计算安全、大数据安全、移动互联网安全等方面具备核心技术的创新优势。
第二,在参与国家和行业标准制定方面具有领先优势。作为商用密码基础设施技术标准组的成员单位,得安公司主持或参与了服务器密码机技术规范等20多项国家标准、行业标准的制定,因此在把握行业的发展趋势方面具有优势。2012年,得安牵头制定的《密码应用标识规范》作为我国第一批密码行业标准进行颁布;两年来,《服务器密码机技术规范》、《签名验证服务器技术规范》等行业标准也陆续正式颁布。
第三,具备成熟的信息安全服务理念,并在多个行业成功应用实施。得安一直秉承为用户提供信息安全服务的理念,以可靠的技术实力、稳定的产品性能、优质的服务团队、强大的分支网络赢得了用户的信赖,成功案例遍布于金融、证券、税务、电信、邮政、石油、煤炭等行业。
得安科技的商用密码解决方案,具有以下独特的优势和创新:
(1) 核心产品可靠性和高效性:解决方案中所采用的硬件产品和软件系统必须具有高可靠性和高效性,才能保证整个信息系统的安全性和稳定性。例如,云安全密码服务平台采用了多机并行、动态分配、冗余配置、负载均衡等技术,保证整个平台的可靠和高速。
(2) 量身定制的整体安全架构:这些解决方案不是单纯的硬件和软件的累加,而是经过系统的整体设计后形成的有机整体,而且每一个方案的确立和实施,都要根据用户的信息系统的特点进行量身打造,以保证方案的科学性和合理性。
(3) 运维支持和管理制度:信息安全设施的建设,三分凭技术,七分靠管理。每一个解决方案中都包含了系统的运行维护方案和管理制体系,保证信息安全系统运行期间的动态实时监控和管理岗位的协同工作。
中国信息化周报:得安科技未来的市场竞争策略和发展目标是什么?
孔凡玉:得安未来的市场竞争策略和发展目标,可概括为两个词。
一是“共赢”。“共赢”是指与客户的关系,是对“服务”理念的拓展。“服务”是被动地满足用户的安全需求;“共赢”是主动地去帮助客户发现信息系统中的安全问题并提出科学的解决方案,从而达到与客户共赢的最终目标。
二是“领先”。“领先”是指保持公司的核心竞争力,是对“创新”理念的拓展。不仅要“创新”,还要领先一步,在新的技术出现和产业变化来临之际,率先致力于未来核心技术和产品的研发,领先于时代,领先于同行。