信息安全论文

开篇：写作不仅是一种记录，更是一种创造，它让我们能够捕捉那些稍纵即逝的灵感，将它们永久地定格在纸上。下面是小编精心整理的12篇信息安全论文，希望这些内容能成为您创作过程中的良师益友，陪伴您不断探索和进步。

第1篇

论文摘要：结合单位的实际，分析了现有计算机专业课程特点和不足，讨论了高师计算机专业学生开设信息安全法律法规课程的必要性、可行性，分析了信息安全技术课程、与信息安全有关法律法规课程的特点．给出了高师信息安全法律课程的教学目标定位、设置方法．

论文关键词：高师计算机专业；信息安全；法律法规课程

人类进入21世纪，现代信息技术迅猛发展，特别是网络技术的快速发展，互联网正以其强大的生命力和巨大的信息提供能力和检索能力风靡全球．

网络已成为人们尤其是大学生获取知识、信息的最快途径．网络以其数字化、多媒体化以及虚拟性、学习性等特点不仅影响和改变着大学生的学习方式生活方式以及交往方式，而且正影响着他们的人生观、世界观、价值取向，甚至利用自己所学的知识进行网络犯罪，所有这些使得高师学生思想政治工作特别是从事网络教学、实践的计算机专业的教育工作者来说，面临着前所未有的机遇和挑战，这不仅因为，自己一方面要传授学生先进的网络技术，另一方面也要教育学生不要利用这些技术从事违法活动而从技术的角度来看，违法与不违法只是一两条指令之间的事情，更重要的是高师计算机专业学生将来可能成为老师去影响他的学生，由此可见，在高师计算机专业学生中开设与信息安全有关的法律法规课程有着十分重要的意义．如何抓住机遇，研究和探索网络环境下的高师计算机专业学生信息安全法律法规教学的新特点、新方法、新途径、新对策已成为高师计算机专业教育者关心和思考的问题．本文主要结合我校的实际，就如何在高师计算机专业中开设信息安全法律课程作一些探讨．

1现有的计算机专业课程特点

根据我校人才培养目标、服务面向定位，按照夯实基础、拓宽专业口径、注重素质教育和创新精神、实践能力培养的人才培养思路，沟通不同学科、不同专业之间的课程联系．全校整个课程体系分为“通识教育课程、专业课程(含专业基础课程、专业方向课程)、教师教育课程(非师范除外)、实践教学课程”四个大类，下面仅就计算机专业课程的特点介绍．

1．1专业基础课程专业基础课是按学科门类组织的基础知识课程模块，均为必修课．目的是在大学学习的初期阶段，按学科进行培养，夯实基础，拓宽专业口径．考虑到学科知识体系、学生转专业等需要，原则上各学科大类所涵盖的各专业的学科专业基础课程应该相同．主要内容包括：计算机科学概论、网页设计与制作、C++程序设计、数据结构、操作系统等．

1．2专业方向课程各专业应围绕人才培养目标与规格设置主要课程，按照教育部《普通高等学校本科专业目录》的有关要求，结合学校实际设置必修课程和选修课程．同时可以开设2—3个方向作为限选．学生可以根据自身兴趣和自我发展的需要，在任一方向课程组中选择规定学分的课程修读．主要内容包括：计算机网络、汇编语言程序设计、计算机组成原理、数据库系统、软件工程导论、软件工程实训、计算机系统结构等．

1．3现有计算机专业课程设置的一些不足计算机技术一日千里，对于它的课程设置应该具有前瞻性，考虑到时代的变化，计算机应用专业旨在培养一批适合现代软件工程、网络工程发展要求的软件工程、网络工程技术人员，现有我校的计算机专业课程是针对这一目标进行设置的，但这一设置主要从技术的角度来考虑问题，没有充分考虑到：随着时代的发展，人们更广泛的使用网络、更关注信息安全这一事实，作为计算机专业的学生更应该承担起自觉维护起信息安全的责任，作为高师计算机专业的课程设置里应该考虑到教育学生不得利用自己所学的技术从事不利于网络安全的事情．

2高师计算机专业学生开设信息安全法律法规的必要性和可行性

2．1必要性信息安全学科群体系由核心学科群、支撑学科群和应用学科群三部分构成，是一个“以信息安全理论为核心，以信息技术、信息工程和信息安全等理论体系为支撑，以国家和社会各领域信息安全防护为应用方向”的跨学科的交叉性学科群体系．该学科交叉性、边缘性强，应用领域面宽，是一个庞大的学科群体系，涉及的知识点也非常庞杂．

仅就法学而言，信息安全涉及的法学领域就包括：刑法(计算机犯罪，包括非法侵入计算机信息系统罪、故意制作传播病毒等)、民商法(电子合同、电子支付等)、知识产权法(著作权的侵害、信息网络传播权等)等许多法学分支．因此，信息安全教育不是一项单一技术方面的教育，加强相关法律课程设置，是信息安全学科建设过程中健全人才培养体系的重要途径与任务．

高师计算机专业，虽然没有开设与信息安全专业一样多与信息安全的有关技术类课程．但这些专业的学生都有从事网络工程、软件工程所需要的基本编程能力、黑客软件的使用能力，只要具备这些能力且信息安全意识不强的人，都可能有意识或无意识的干出违反法律的事情，例如“YAI”这个比CIH还凶猛的病毒的编写者为重庆某大学计算机系一名大学生．由此可见，在高师计算机专业的学生中开设相关的法律法规选修课程是必要的．

2．2可行性技术与法律原本并不关联，但是在信息安全领域，技术与法律却深深的关联在一起，在全世界各国都不难发现诸如像数字签名、PKI应用与法律体系紧密关联．从本质上讲，信息安全对法律的需求，实际上来源于人们在面临信息技术革命过程中产生的种种新可能的时候，对这些可能性做出选择扬弃、利益权衡和价值判断的需要．这也就要求我们跳出技术思维的影响，重视信息安全中的法律范畴．

根据前面对信息安全法律法规内容的特点分析可知：信息安全技术与计算机应用技术有着千丝万缕的联系．从事计算机技术的人员很容易转到从事信息安全技术研究上，加之信息安全技术是当今最热门技术之一，因此，在高师计算机专业中开设一些基本的信息安全技术选修课程、开设一些与法律体系紧密关联的信息安全法律法规选修课程学生容易接受，具有可操作性．

3信息安全技术课程特点

信息安全技术课程所涉及的内容众多，有数学、计算机、通信、电子、管理等学科，既有理论知识，又有实践知识，理论与实践联系十分紧密，新方法、新技术以及新问题不断涌现，这给信息安全课程设置带来了很大的难度，为使我校计算机专业学生了解、掌握这一新技术，我们在专业课程模块中开设《密码学基础》、《网络安全技术》、《入侵检测技术》等作为专业选修课．我校本课程具有以下特点：

(1)每学期都对知识内容进行更新．

(2)对涉及到的基本知识面，分别采用开设专业课、专业选修课、讲座等多种方式，让学生了解信息安全知识体系，如有操作系统、密码学基础、防火墙技术、VPN应用、信息安全标准、网络安全管理、信息安全法律课程等．

(3)对先修课程提出了较高的要求．学习信息安全技术课程之前，都可设了相应的先行课程让学生了解、掌握，如开设了计算机网络基本原理、操作系统、计算机组成原理、程序设计和数论基础等课程．

(4)注重实践教学．比如密码学晦涩难懂的概念，不安排实验实训，不让学生亲手去操作，就永远不能真正理解和运用．防火墙技术只有通过亲手配置和测试．才能领会其工作机理．对此我们在相关的课程都对学生作了实践、实训的要求．

4涉及到信息安全法律法规内容的特点

信息安全的特点决定了其法律、法规内容多数情况下都涉及到网络技术、涉及到与网络有关的法律、法规．

4．1目的多样性作为信息安全的破坏者，其目的多种多样，如利用网络进行经济诈骗；利用网络获取国家政治、经济、军事情报；利用网络显示自己的才能等．这说明仅就破坏者方面而言的信息安全问题也是复杂多样的．

4．2涉及领域的广泛性随着网络技术的迅速发展，信息化的浪潮席卷全球，信息化和经济全球化互相交织，信息在经济和社会活动中的作用甚至超过资本，成为经济增长的最活跃、最有潜力的推动力．信息的安全越来越受到人们的关注，大到军事政治等机密安全，小到防范商业企业机密泄露、青少年对不良信息的浏览、个人信息的泄露等信息安全问题涉及到所有国民经济、政治、军事等的各个部门、各个领域．

4．3技术的复杂性信息安全不仅涉及到技术问题，也涉及到管理问题，信息安全技术又涉及到网络、编码等多门学科，保护信息安全的技术不仅需要法律作支撑，而且研究法律保护同时，又需要考虑其技术性的特征，符合技术上的要求．

4．4信息安全法律优先地位综上所述，信息安全的法律保护不是靠一部法律所能实现的，而是要靠涉及到信息安全技术各分支的信息安全法律法规体系来实现．因此，信息安全法律在我国法律体系中具有特殊地位，兼具有安全法、网络法的双重地位，必须与网络技术和网络立法同步建设，因此，具有优先发展的地位．

5高师信息安全技术课程中的法律法规内容教学目标

对于计算机专业或信息安全专业的本科生和研究生，应深入理解和掌握信息安全技术理论和方法，了解所涉到的常见的法律法规，深入理解和掌握网络安全技术防御技术和安全通信协议．

而对普通高等师范院校计算机专业学生来说，由于课程时间限制，不能对信息安全知识作较全面的掌握，也不可能过多地研究密码学理论，更不可能从法律专业的角度研究信息安全所涉到的法律法规，为此，开设信息安全法律法规课程内容的教学目标定位为：了解信息安全技术的基本原理基础上，初步掌握涉及网络安全维护和网络安全构建等技术的法律、法规和标准．如：《中华人民共和国信息系统安全保护条例》，《中华人民共和国数字签名法》，《计算机病毒防治管理办法》等．

6高师信息安全技术法律法规课程设置探讨

根据我校计算机专业课程体系结构，信息安全有关的法律法规课程，其中多数涉及信息安全技术层面，主要以选修课、讲座课为主，作为信息安全课程的补充．主要可开设以下选修课课程或讲座课程．

(1)信息安全法律法规基础讲座：本讲座力图改变大家对信息安全的态度，使操作人员知晓信息安全的重要性、企业安全规章制度的含义及其职责范围内需要注意的安全问题，让学生首先从信息安全的非技术层面了解与信息安全有关的法律、法规，主要内容包括：国内信息安全法律法规概貌、我国现有信息安全相关法律法规简介等．

(2)黑客攻击手段与防护策略：通过本课程的学习，可以借此提高自己的安全意识，了解常见的安全漏洞，识别黑客攻击手法，熟悉提高系统抗攻击能力的安全配置方法，最重要的还在于掌握一种学习信息安全知识的正确途径和方法．

(3)计算机犯罪取证技术：计算机取证是计算机安全领域中的一个全新的分支，涉及计算机犯罪事件证据的获取、保存、分析、证物呈堂等相关法律、程序、技术问题．本课程详细介绍了计算机取证相关的犯罪的追踪、密码技术、数据隐藏、恶意代码、主流操作系统取证技术，并详细介绍了计算机取证所需的各种有效的工具，还概要介绍了美国与中国不同的司法程序．

第2篇

1.销售系统设施建设。

硬件方面，各石油销售企业都具有设施完善的中心计算机系统，供电采用UPS方式，采用“双机热备”的核心服务器工作模式，以确保整个硬件的可靠性和安全性；网络方面，采用SDH光纤接入广域网，包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式，设备之间，层层之间以光纤方式连接，以均衡网络负载。除了安装必备的防火墙，部分企业为进一步提高安全防范能力还安装了外网入侵检测系统；大多数加油站采用SSLVPN方式访问企业内部网，以保证网络接入的安全性。在PC系统方面，大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统，实现PC机的MAC地址绑定。

2.销售系统信息化建设。

目前，企业的销售信息系统主要包括：加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点：一是用户众多，几乎所有企业管理人员都是各系统用户；二是应用领域广，涉及企业经营、管理、对外服务诸多方面；三是要求连续运转，如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性，其数据的安全性和保密性更关系到广大客户的利益。所以，基于上述的原因，企业对销售信息系统的安全运转提出了更高的要求。

3.销售系统的信息安全现状。

石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统，国家对其信息安全高度重视，并在《2006-2020年国家信息化发展战略》中强调，我国要全面加强国家信息安全保障体系的建设，大力增强国家信息安全保障能力，实现信息化建设与信息安全保障的协调发展。同时，国内石油销售企业也长期重视信息安全工作，逐步建立了相应的保障体系和规章制度，但还存在以下问题：

（1）范围涉及广泛。

石油销售企业分支机构多，终端运营组织庞大且分散，以中石油集团为例，其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中，信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端，必然会造成联网方式的多样化、网络环境的复杂化。

（2）设备系统众多。

石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深，并且范围广泛，包括加油站、油库等大量的自动化控制系统。因此，业务管理流程复杂，安全风险增大。

（3）人员素质不齐。

由于石油销售属于传统行业，因此企业人员年龄跨度较大，对信息安全管理的职业组织参差不齐；甚至对于企业管理人员，对于信息安全的认识也多停留在纸上谈兵；基层人员众多，且直接面对客户，流动性大，信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早，应用水平高，日常使用频繁，在缺乏网络安全防护意识的情况下更易导致信息泄漏，甚至在好奇心理的鼓动下主动发起网络攻击行为，所以企业内网安全也成为一个突出的问题。

（4）资金投入有限。

国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%，而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元，中国的损失也达到了一百亿美元以上，但是中国企业在这方面的投资只有几十亿美元。因此，我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务，需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系，建立并维护高效的网络杀毒系统、企业级防火墙、IDS、IPS系统和完善的补丁更新及发放机制，以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入，而且其投入回报慢，因此石油企业普遍轻视这方面的投入和维护，信息安全建设相对于企业的发展整体滞后。

二、石油销售系统的信息安全管理系统设计

石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系，以预防控制为主，强调动态全过程控制。建立相应的信息安全管理系统，需要从物理、信息、网络、系统、管理等多方面保证整体安全；建立综合防范机制，确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行，保障整体信息网络的安全、高效、可靠运转，规避潜在风险，供系统的可靠性和安全性。因此，石油销售系统的信息安全管理系统构架分为以下组成：

（1）组织层面。

石油销售部门应建立责任明确的各级信息安全管理组织，包括信息安全委员会、信息安全管理部门，并通过设立信息安全员，指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训，提高企业员工对信息安全重要性的认识。

（2）制度层面。

制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程，经科学性审核和测试后下发各级部门，提升企业的信息安全管理的效能，减少事故发生风险，提高应急响应能力。

（3）执行层面。

信息安全管理部门应当定期检查和随机抽查相结合，监督安全制度在各级部门的执行情况，评估安全风险，负责PDCA的循环控制。

（4）技术层面。

信息安全管理部门要提供安全管理、防护、控制所需的技术支持，全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面，主要包括监控与审核跟踪，数据备份与恢复，访问管理与身份认证，信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台，在最短时间内对信息安全事件进行响应处理，保障信息安全管控措施的落实，实现信息安全管理的目标。

三、结语

第3篇

现代计算机网络技术的发展，为我国档案信息管理提供了现代化的管理手段和方式。档案信息是社会生产活动的真实记录，是一种不可否认的社会史实；另外站在更高的角度来讲，档案又是一种重要的信息资源，与社会生活和经济活动密不可分。从目前来看，可利用的社会资源越来越少，社会上的虚假信息越来越多，人们为了自身的发展，不惜一切代价获取真实的信息资源。重要的档案信息资源对个人来说，可能为个人的成功提供了机会；对一个企业来说，可能是帮助企业渡过难关，获得最大效益的法宝；对一个国家来说，信息资源甚至决定国家的兴衰。由此可见，档案信息资源在国家社会生活的方方面面发挥着深远的影响，具有重要的价值。因此，做好档案信息的安全管理工作是当前档案工作的重中之重。

二、档案信息安全管理的现状分析

近年来随着计算机网络技术的发展，我国的档案管理模式基本上分为两种：实体档案信息管理和电子档案信息管理。下面针对不同的档案信息管理模式，对其现状和存在的问题进行分析。

1.实体档案信息管理

实体档案信息管理是长期以来一直沿用的管理方法。实体档案信息管理需要大量的档案馆库做支撑，但是我国目前的档案馆库多是20世纪80年代的建筑，特别是在经济发展相对缓慢、生活贫困的地区，其中不少档案馆库及设施在漫长的岁月演变中变得破败不堪，档案库房的功能大大减弱，这对档案信息的存放和保管构成了严重的威胁。不仅档案馆库等建筑设施的状况影响档案信息的安全，在档案信息管理中同样存在严重的安全漏洞。主要表现在以下几方面：首先，字迹不清晰。受到历史条件的制约，以前很多纸质档案书写所用的材料不符合规范，形成大量的铅笔、圆珠笔字迹，再加上时间久远，档案保护不当，造成档案字迹模糊不清晰。其次，档案信息保护环境不良。在档案存放和保管过程中，由于存放环境的恶劣导致档案的破坏屡见不鲜。最后，档案的自然损坏严重。档案信息的自然损坏主要是历史原因所致，由于存放时间比较久远，记录档案信息的载体经过漫长的时期发生了不同程度的损坏，导致所记录的档案信息随之发生损坏。

2.电子档案信息管理

随着经济发展水平的不断提高，特别是计算机、互联网和信息技术的出现和应用，为档案信息管理提供了新的管理手段和方法。电子档案信息管理不仅保证了档案管理的高效性，还节省了档案信息管理的经济成本。但是由于受到技术发展水平的限制，电子档案信息管理受到网络黑客的攻击和威胁，电子档案信息管理工作同样面临严峻的安全问题，主要存在以下两方面问题。

(1)档案信息在查询利用过程中面临安全威胁

由于目前经济发展水平的限制，电子档案信息管理并没有形成统一的机制。因此导致电子档案信息系统平台不一致，在管理上无法达到统一规范，造成电子档案信息管理网络环境不稳定，极易遭受网络攻击。目前并没有专门为电子档案信息管理建立的安全可靠的局域网，也没有针对档案信息安全管理的完善的法律法规，这种管理上的不到位致使电子档案信息在利用的过程中受到网络环境的影响和损害。

(2)电子档案信息管理系统功能不够强大

电子档案信息是一种重要的信息资源，一个单位档案信息的失窃可能会给一个企业带来巨大的经济损失，一个国家的档案信息泄漏，严重的会引发国与国之间的矛盾或战争。尽管国家对电子档案信息管理十分重视，并且出台了涉及国家秘密的信息系统审批管理相关法律法规，但是由于受到各种条件的限制，不少地区的电子档案信息管理系统功能并不能达到国家相关规定的要求，从而使档案信息安全面临极大风险。具体到系统的登录权限、身份识别、数字认证、指纹识别等功能都有待进一步的完善和提高。

三、档案信息安全管理措施探析

1.增强档案实体管理

档案实体管理是一种重要的管理形式，针对档案实体管理中出现的问题，应着力发挥国家的财政支撑作用，对不符合标准的馆库及时进行修整，对库房的防护功能定期进行检查和确认，确保档案信息管理硬件环境的安全。

2.营造电子档案网络安全环境

众所周知，档案信息具有严格的保密性，是十分重要的信息资源。这就要求我们一定要营造一个安全的电子档案网络环境。首先对于网络应用的硬件和软件系统要进行有效的保护，防止网络黑客及病毒的袭击是不容忽视的，要不断研究和升级防范网络黑客攻击的技术，将档案信息的安全隐患降到最低。其次还要对电子档案的网络系统功能进行完善和升级，对网络系统的登入采用先进的指纹识别技术，进行严格的身份验证，从而建立强大的网络系统。

3.加强行政保护

档案信息来源于社会生活和社会生产，为国家经济建设和经济活动的开展提供必要的信息支持。随着国家经济建设的不断发展，档案信息的发展与传播步伐也越来越快，并逐渐对社会生活的各个领域产生不可估量的影响和作用。首先国家要重视并宣传档案信息的重要性，使人们普遍树立档案信息的保密意识，其次还要采取一定的行政手段，制定相关的法律法规，约束和规范档案信息安全管理，特别要对电子档案网络安全管理系统制定严格的规范，从而在制度保障的前提下建立强大的档案信息安全系统。

四、结语

第4篇

1.销售系统设施建设。

硬件方面，各石油销售企业都具有设施完善的中心计算机系统，供电采用UPS方式，采用“双机热备”的核心服务器工作模式，以确保整个硬件的可靠性和安全性；网络方面，采用SDH光纤接入广域网，包括接入层、汇聚层、核心层。核心层中路由器和交换机采用双机模式，设备之间，层层之间以光纤方式连接，以均衡网络负载。除了安装必备的防火墙，部分企业为进一步提高安全防范能力还安装了外网入侵检测系统；大多数加油站采用SSLVPN方式访问企业内部网，以保证网络接入的安全性。在PC系统方面，大多数企业统一安装了企业版的病毒防护软件系统和桌面安全网络接入系统，实现PC机的MAC地址绑定。

2.销售系统信息化建设。

目前，企业的销售信息系统主要包括：加油卡系统、办公自动化系统、加油站零售管理系统、企业门户网站、ERP系统等。信息系统具有如下特点：一是用户众多，几乎所有企业管理人员都是各系统用户；二是应用领域广，涉及企业经营、管理、对外服务诸多方面；三是要求连续运转，如ERP系统必须满足7×24小时运转。由于信息系统的安全运转不仅关系到企业经营管理的可持续性，其数据的安全性和保密性更关系到广大客户的利益。所以，基于上述的原因，企业对销售信息系统的安全运转提出了更高的要求。

3.销售系统的信息安全现状。

石油销售管理系统是关系国家安全、经济命脉、社会稳定的重要信息系统，国家对其信息安全高度重视，并在《2006-2020年国家信息化发展战略》中强调，我国要全面加强国家信息安全保障体系的建设，大力增强国家信息安全保障能力，实现信息化建设与信息安全保障的协调发展。同时，国内石油销售企业也长期重视信息安全工作，逐步建立了相应的保障体系和规章制度，但还存在以下问题：

（1）范围涉及广泛。

石油销售企业分支机构多，终端运营组织庞大且分散，以中石油集团为例，其截至2013年分布在全国的加油站已超过30000座。在如此庞大的销售系统中，信息网络承载着指导业务运行的重要功能。大量、分散部署的加油终端，必然会造成联网方式的多样化、网络环境的复杂化。

（2）设备系统众多。

石油销售企业信息化管理系统中所涉及的设备精度髙、技术要求深，并且范围广泛，包括加油站、油库等大量的自动化控制系统。因此，业务管理流程复杂，安全风险增大。

（3）人员素质不齐。

由于石油销售属于传统行业，因此企业人员年龄跨度较大，对信息安全管理的职业组织参差不齐；甚至对于企业管理人员，对于信息安全的认识也多停留在纸上谈兵；基层人员众多，且直接面对客户，流动性大，信息泄露风险极高。而且新生代的企业员工对计算机和网络接触早，应用水平高，日常使用频繁，在缺乏网络安全防护意识的情况下更易导致信息泄漏，甚至在好奇心理的鼓动下主动发起网络攻击行为，所以企业内网安全也成为一个突出的问题。

（4）资金投入有限。

国外企业在信息安全方面的资金投入达到了企业整体基建的5%-20%，而我国企业基本都在2%以下。全世界每年因信息安全方面的漏洞导致的经济损失达数万亿美元，中国的损失也达到了一百亿美元以上，但是中国企业在这方面的投资只有几十亿美元。因此，我国企业整体信息化安全建设预算不足。石油企业信息化工程是一项繁重的任务，需要在信息安全方面有更大的投入。大型油企需要建立复杂庞大的数据库备份体系，建立并维护高效的网络杀毒系统、企业级防火墙、IDS、IPS系统和完善的补丁更新及发放机制，以保证企业各方面的数据安全。建立这一复杂的系统需要大量的资金投入，而且其投入回报慢，因此石油企业普遍轻视这方面的投入和维护，信息安全建设相对于企业的发展整体滞后。

二、石油销售系统的信息安全管理系统设计

石油销售系统的信息安全管理系统是一个程序化、系统化、文件化的管理体系，以预防控制为主，强调动态全过程控制。建立相应的信息安全管理系统，需要从物理、信息、网络、系统、管理等多方面保证整体安全；建立综合防范机制，确保销售信息安全以及加油卡、EPR等电子销售系统的可靠运行，保障整体信息网络的安全、高效、可靠运转，规避潜在风险，供系统的可靠性和安全性。因此，石油销售系统的信息安全管理系统构架分为以下组成：

（1）组织层面。

石油销售部门应建立责任明确的各级信息安全管理组织，包括信息安全委员会、信息安全管理部门，并通过设立信息安全员，指定专人专项负责。通过这些部门和负责人开展信息安全认知宣传和培训，提高企业员工对信息安全重要性的认识。

（2）制度层面。

制定安全方针、安全管理制度、安全操作规程和突发事件应急预案等一系列章程，经科学性审核和测试后下发各级部门，提升企业的信息安全管理的效能，减少事故发生风险，提高应急响应能力。

（3）执行层面。

信息安全管理部门应当定期检查和随机抽查相结合，监督安全制度在各级部门的执行情况，评估安全风险，负责PDCA的循环控制。

（4）技术层面。

信息安全管理部门要提供安全管理、防护、控制所需的技术支持，全面保障企业整体信息安全管理系统建设。通常信息安全技术分为物理安全、网络安全、主机安全、终端安全、数据安全以及应用安全等六个方面，主要包括监控与审核跟踪，数据备份与恢复，访问管理与身份认证，信息加密与加固等具体技术措施。通过有效的信息安全管理平台和运作平台，在最短时间内对信息安全事件进行响应处理，保障信息安全管控措施的落实，实现信息安全管理的目标。

三、结语

第5篇

论文摘要：随着网络技术的飞速发展和广泛应用，信息安全问题正日益突出显现出来，受到越来越多的关注。文章介绍了网络信息安全的现状．探讨了网络信息安全的内涵，分析了网络信息安全的主要威胁，最后给出了网络信息安全的实现技术和防范措施．以保障计算机网络的信息安全，从而充分发挥计算机网络的作用。

论文关键词：计算机，网络安全，安全管理，密钥安全技术

当今社会．网络已经成为信息交流便利和开放的代名词．然而伴随计算机与通信技术的迅猛发展．网络攻击与防御技术也在循环递升，原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁．网络安全已变成越来越棘手的问题在此．笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。

1网络信息安全的内涵

网络安全从其本质上讲就是网络上的信息安全．指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见．网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性：动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。

2网络信息安全的现状

中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示，截至2008年底，中国网民数达到2．98亿．手机网民数超1亿达1．137亿。

Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示．2006年中国(大陆)病毒造成的主要危害情况：“浏览器配置被修改”是用户提及率最高的选项．达20．9％．其次病毒造成的影响还表现为“数据受损或丢失”18％．“系统使用受限”16．1％．“密码被盗”13．1％．另外“受到病毒非法远程控制”提及率为6．1％“无影响”的只有4．2％。

3安全防范重在管理

在网络安全中．无论从采用的管理模型，还是技术控制，最重要的还是贯彻始终的安全管理管理是多方面的．有信息的管理、人员的管理、制度的管理、机构的管理等．它的作用也是最关键的．是网络安全防范中的灵魂。

在机构或部门中．各层次人员的责任感．对信息安全的认识、理解和重视程度，都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与．此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去．则成本会更低、效率会更高那么做好网络信息安全管理．至少应从下面几个方面人手．再结合本部门的情况制定管理策略和措施：

①树立正确的安全意识．要求每个员工都要清楚自己的职责分工如设立专职的系统管理员．进行定时强化培训．对网络运行情况进行定时检测等。

2）有了明确的职责分工．还要保障制度的贯彻落实．要加强监督检查建立严格的考核制度和奖惩机制是必要的。

③对网络的管理要遵循国家的规章制度．维持网络有条不紊地运行。

④应明确网络信息的分类．按等级采取不同级别的安全保护。

4网络信息系统的安全防御

4．1防火墙技术

根据CNCERT／CC调查显示．在各类网络安全技术使用中．防火墙的使用率最高达到76．5％。防火墙的使用比例较高主要是因为它价格比较便宜．易安装．并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况．以此来实现网络的安全保护。

4．2认证技术

认证是防止主动攻击的重要技术．它对开放环境中的各种消息系统的安全有重要作用．认证的主要目的有两个：

①验证信息的发送者是真正的主人

2）验证信息的完整性，保证信息在传送过程中未被窜改、重放或延迟等。

4．3信息加密技术

加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密．两种方法各有所长．可以结合使用．互补长短。

4．4数字水印技术

信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中．然后通过公开信息的传输来传递机密信息对信息隐藏而吉．可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在．难以截获机密信息．从而能保证机密信息的安全随着网络技术和信息技术的广泛应用．信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向．它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中．但不影响原内容的价值和使用．并且不能被人的感觉系统觉察或注意到。

4．5入侵检测技术的应用

人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息．再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门．它能使在入侵攻击对系统发生危害前．检测到入侵攻击．并利用报警与防护系统驱逐入侵攻击：在入侵攻击过程中．能减少入侵攻击所造成的损失：在被入侵攻击后．收集入侵攻击的相关信息．作为防范系统的知识．添加入策略集中．增强系统的防范能力．避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术．是一种用于检测计算机网络中违反安全策略行为的技术。

第6篇

现代社会的发展主要依靠着科技发展做领航，以经济发展为主要目的，在科技不断进步中，计算机信息的发展逐步走入了人们的视线以内，在这样的大环境中信息产业逐步进入人们的生活生产中，并且在经济市场中占领了主导的地位。信息产业的发达，其中重要的是计算机信息的发展，计算机信息的重要性则大大提高，对于信息的处理问题也随之加大了实际操作的难度。控制信息的获路径，还是信息传播及利用与管理都变得更加地严峻，因为对信息的管理与控制不当，将会出现信息安全事故，造成不可估量的后果。有效保障信息的安全对于个人与国家都是有益的，也有利于整个社会的有序发展。从美国开始对于信息进行监控，通过信息获取各国的实际情况开始，计算机信息的安全管理，已经不再是个人隐私的安全问题，其中也关系到国家的完整以及国家安全的重要问题。现在可以看出，结合我国的实际情况做出一套具有科学性、可施性的计算机管理存储方案是很重要的，对于整个计算机网络来说更是至关重要的。

2计算机信息储存中安全

2.1计算机中的安全问题

由于计算机信息与传统信息在特点上的不同，因此计算机信息在传统信息中也存在着更多的不同，其中主要原因在于计算机信息离不开是科技产物的发展，计算机信息出现问题主要表现在技术上。计算机信息的主要问题与传统信息属于一致性的问题在于信息遗漏，盗取信息经行出售更多地不是黑客所为，而是出自企业内部所造成的。信息遗漏对企业造成更多地经济损失，造成这样事件的发生的原因与企业内部员工有很多原因，如：企业工作人员对于计算机实际操作的不娴熟，在无意间将信息泄露，还有则是为了自己的私利，将企业内部信息使自己获取利益，还有则是黑客进攻企业网络信息系统窃取信息，但是由于企业的网络受到外部网络的监控，其中黑客的攻击很少能进入企业的内部网络系统进行信息窃取。由此可以看出计算机信息的存储安全问题，在现代计算机高速发展中的重要发展对象。

2.2造成计算机信息安全问题的原因

计算机的安全问题主要集中在计算机信息的遗漏上，其中造成计算机信息的遗漏有着很多方面的原因，其中以下几点原因是造成计算机信息安全的主要原因。

2.2.1电磁波的辐射泄露计算机在储存信息的工作中少不了计算机硬件设备的支持，当计算机的硬件设备在工作中会产生一点量的电磁波，在计算机存储信息的同时，部分人员利用现代技术，经过电磁波的控制可以获得计算机的存储信息，这样的方法严重的威胁着计算机信息的安全存在问题。

2.2.2网络路径获得用户信息计算机网络普及到大家的生活中时，信息的网络化，更多的人员依赖计算机来存储信息，但是在对自己信息的管理往往不太重视，使得不法分子有机可乘，利用计算机在网络传输的节点，信息渠道，信息端口实行信息窃取用户的计算机信息。再加上现代网络在使用上的普及，计算机知识并没有得到普及，更多的用户对于自己网络信息的保密程度不够重视，在自己的网络中没有设置用户密码，这样给信息掠取者更多的机会，在用户没有设置权限下，更容易获取其私人的信息，造成更多的问题。

2.2.3信息存储介质的不合理利用信息存储介质主要是指U盘、移动硬盘、光盘等信息移动存储，存储介质的出现给我们带来更多便利，运用存储介质可以将计算机信息随身携带，有计算机的地方则可以调取设备中的计算机信息，方便外出工作，但是存储介质的不合理利用将会导致信息外漏，因为存储介质的使用方法简单，复制与粘贴可以将信息外带，计算机信息使用后没有进行及时的删除，很容易将信息外泄。

2.2.4计算机使用者的操作不当由于计算机发展较快，从计算机的普及到计算机的运用属于快速发展，信息技术的开发更是迅速，在这样的情况下，人们由于每天忙碌工作，很少时间来学习先进的计算机操作技术，更多使用人员对于计算机的基本操作知识的缺乏，由于个人使用不当造成信息外漏的情况很多，因此计算机使用者自身也对计算机信息安全造成了一定的影响。

2.2.5企业公司员工的忠诚度企业中工作人员的忠诚度也会对该企业自身的计算机信息安全造成隐患。随着计算机的便利，更多企业的工作离不开计算机，由于计算机自身的特点和优势，利用计算机存储信息的便捷，公司企业的大多数信息都存储在计算机内，在企业中如果管理计算机信息安全员工出现信息泄露，将对公司企业的发展造成不可估算的损失，其中在大型的企业当中，员工的技术性问题是不存在的，因此计算机信息安全问题，主要出现在员工对于企业的忠诚度上，更多的员工泄露企业公司计算机信息主要原因在于谋取私人利益，使自己获得更多利润。

3计算机信息安全利用

解决计算机信息安全利用要从多个角度开始进行，不能仅仅依靠一部分的调控进行管理，要通过几个部分的相互协调共同控制，才能有效地提高计算机信息安全与合理的利用计算机信息。首先，要建立完整的计算机信息库，对计算机信息进行有效地分类管理，良好控制计算机信息的出口与入口，可以降低计算信息的外泄问题，其次是对企业公司的员工加强计算机知识普及的培训，提高工作人员的对计算机的正确操作避免造成不必要的损失，而且要通过公司文化熏陶公司员工，提高员工对公司的忠诚度，避免员工出现故意外漏现象。

3.1建立较为完整的信息管理

在公司或者企业当中，信息的多样化是一定会出现的，建立一套完整的公司信息管理库是有必要的，将公司的信息进行分类管理，并且实行多方面的管理设施，使用多人员管理信息，避免信息过多而导致信息混乱，在使用信息时不能快速查找，造成工作效率不高。

3.2进行计算机技术的普及

由于计算机技术更新时间较快，计算机使用人员很难快速跟上计算机的最新操作，因此定期对公司员工进行计算机知识普及有利于员工自身知识积累，提高员工的自身发展的同时有助于提高员工的忠诚度，也有利于员工妥善管理计算机信息，提高公司企业的计算机信息安全。

3.3建立内部网络

建立公司的内部网络，有利于公司企业及单位的计算机信息的共享，在公司内部也有助于公司内部人员交流，并且内网的使用面积不大，通常在公司内部，对网络实行监控较为容易，可以有效的防治计算机信息泄露。

4结束语

第7篇

关键词：电子商务信息安全安全技术

伴随经济的迅猛发展，电子商务成为当今世界商务活动的新模式。要在国际竞争中赢得优势，必须保证电子商务中信息交流的安全。

一、电子商务的信息安全问题

电子商务信息安全问题主要有：

1.信息的截获和窃取：如果采用加密措施不够，攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据，获取机密信息或通过对信息流量、流向、通信频度和长度分析，推测出有用信息。2.信息的篡改：当攻击者熟悉网络信息格式后，通过技术手段对网络传输信息中途修改并发往目的地，破坏信息完整性。3.信息假冒：当攻击者掌握网络信息数据规律或解密商务信息后，假冒合法用户或发送假冒信息欺骗其他用户。4.交易抵赖：交易抵赖包括多方面，如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。

二、信息安全要求

电子商务的安全是对交易中涉及的各种信息的可靠性、完整性和可用性保护。信息安全包括以下几方面:

1.信息保密性：维护商业机密是电子商务推广应用的重要保障。由于建立在开放网络环境中，要预防非法信息存取和信息传输中被窃现象发生。2.信息完整性：贸易各方信息的完整性是电子商务应用的基础，影响到交易和经营策略。要保证网络上传输的信息不被篡改，预防对信息随意生成、修改和删除，防止数据传送中信息的失和重复并保证信息传送次序的统一。3.信息有效性：保证信息有效性是开展电子商务前提，关系到企业或国家的经济利益。对网络故障、应用程序错误、硬件故障及计算机病毒的潜在威胁控制和预防，以保证贸易数据在确定时刻和地点有效。4.信息可靠性：确定要交易的贸易方是期望的贸易方是保证电子商务顺利进行的关键。为防止计算机失效、程序错误、系统软件错误等威胁，通过控制与预防确保系统安全可靠。

三、信息安全技术

1.防火墙技术。防火墙在网络间建立安全屏障，根据指定策略对数据过滤、分析和审计，并对各种攻击提供防范。安全策略有两条：一是“凡是未被准许就是禁止”。防火墙先封闭所有信息流，再审查要求通过信息，符合条件就通过；二是“凡是未被禁止就是允许”。防火墙先转发所有信息，然后逐项剔除有害内容。

防火墙技术主要有：(1)包过滤技术：在网络层根据系统设定的安全策略决定是否让数据包通过，核心是安全策略即过滤算法设计。(2)服务技术：提供应用层服务控制，起到外部网络向内部网络申请服务时中间转接作用。服务还用于实施较强数据流监控、过滤、记录等功能。(3)状态监控技术：在网络层完成所有必要的包过滤与网络服务防火墙功能。(4)复合型技术：把过滤和服务两种方法结合形成新防火墙，所用主机称为堡垒主机，提供服务。(5)审计技术：通过对网络上发生的访问进程记录和产生日志，对日志统计分析，对资源使用情况分析，对异常现象跟踪监视。(6)路由器加密技术：加密路由器对通过路由器的信息流加密和压缩，再通过外部网络传输到目的端解压缩和解密。2.加密技术。为保证数据和交易安全，确认交易双方的真实身份，电子商务采用加密技术。数据加密是最可靠的安全保障形式和主动安全防范的策略。目前广泛应用的加密技术有：(1)公共密钥和私用密钥:也称RSA编码法。信息交换的过程是贸易方甲生成一对密钥并将其中一把作为公开密钥公开；得到公开密钥的贸易方乙对信息加密后再发给贸易方甲：贸易方甲用另一把专用密钥对加密信息解密。具有数字凭证身份人员的公共密钥在网上查到或请对方发信息将公共密钥传给对方，保证传输信息的保密和安全。(2)数字摘要:也称安全Hash编码法。将需加密的明文“摘要”成一串密文亦称数字指纹，有固定长度且不同明文摘要成密文结果不同，而同样明文摘要必定一致。这串摘要成为验证明文是否真身的“指纹”。(3)数字签名:将数字摘要、公用密钥算法两种加密方法结合。在书面文件上签名是确认文件的手段。签名作用有两点：一是因为自己签名难以否认，从而确认文件已签署；二是因为签名不易仿冒，从而确定文件为真。(4)数字时间戳:电子交易中文件签署日期和签名是防止交易文件被伪造和篡改的关键性内容，数字时间戳服务能提供电子文件发表时间的安全保护。

3.认证技术。安全认证的作用是进行信息认证。信息认证是确认信息发送者的身份，验证信息完整性，确认信息在传送或存储过程中未被篡改。(1)数字证书:也叫数字凭证、数字标识，用电子手段证实用户身份及对网络资源的访问权限，可控制被查看的数据库，提高总体保密性。交易支付过程中，参与各方必须利用认证中心签发的数字证书证明身份。(2)安全认证机构:电子商务授权机构也称电子商务认证中心。无论是数字时间戳服务还是数字证书发放，都需要有权威性和公正性的第三方完成。CA是承担网上安全交易认证服务、签发数字证书并确认用户身份的企业机构，受理数字证书的申请、签发及对数字证书管理。

4.防病毒技术。(1)预防病毒技术，通过自身常驻系统内存，优先获取系统控制权，监视系统中是否有病毒，阻止计算机病毒进入计算机系统和对系统破坏。(2)检测病毒技术，通过对计算机病毒特征进行判断的侦测技术，如自身校验、关键字、文件长度变化。(3)消除病毒技术，通过对计算机病毒分析，开发出具有杀除病毒程序并恢复原文件的软件。另外要认真执行病毒定期清理制度，可以清除处于潜伏期的病毒，防止病毒突然爆发，使计算机始终处于良好工作状态。

四、结语

信息安全是电子商务的核心。要不断改进电子商务中的信息安全技术，提高电子商务系统的安全性和可靠性。但电子商务的安全运行，仅从技术角度防范远远不够，还必须完善电子商务立法，以规范存在的各类问题，引导和促进我国电子商务快速健康发展。

参考文献:

[1]谭卫:电子商务中安全技术的研究.哈尔滨工业大学,2006

第8篇

1.1供应链的流程主要包含：备件生产、采购、储备与库房建设、管理等一系列流程，需要设备供应商、采购商与用户等轮流接手，将电力物资在此供应链上顺承。因此，只有保证各个环节所获取的信息准确无误，才能进一步确定最终信息的正确性，进而防止信息在传播过程中遭受恶意攻击破坏。如果发现文档被篡改，合理的进行篡改定位，可以及时发现被改动的信息，防止导致严重的后果。

1.2文本数字水印技术文本数字水印技术利用文本文档的冗余空间，完成水印信息的嵌入，以达到隐蔽通信、真伪鉴定、内容认证等目的。文本数字水印技术结合人类视觉系统（HVS），在肉眼感知系数变化不超过不可感知的范围内，通过微调文档格式或改变文档内容嵌入水印信息，以达到所需目的。基于微调文档格式的水印算法主要是在肉眼不可分辨的阈值内，轻微改变行间距、字符间距及字符属性嵌入水印信息，此类水印算法鲁棒性较好，可以抵抗一定的攻击，透明性高，容量大；通过改变文档内容嵌入水印信息的方法主要是依靠同义词替换和等价句式替换完成水印信息的嵌入，此类算法鲁棒性高于基于格式嵌入水印的算法，但是，由于引起了内容的变化，透明性较差，容量较小。

2基于字符颜色的文本水印算法

电力物资供应链中文档的可信传输，针对算法的透明性与鲁棒性要求较高，即不能发生易察觉的变化，引起攻击者的兴趣，保证文档内容不能发生变化导致歧义的同时还必需保障算法具备较好的鲁棒性以抵抗攻击。因此，本文采取基于改变字符颜色嵌入水印信息的水印算法。根据人眼视锥细胞对颜色的敏感度测试可知，肉眼对颜色的RGB分量敏感度不同，对红色最敏感，绿色次之，蓝色最弱。为了保证嵌入水印信息具备更好的透明性，本算法不改变字符颜色的R位，而采用修改字符颜色G分量的低三位，B分量的低四位，完成水印信息的嵌入。

2.1水印信息潜入规则水印信息的预处理过程为了提高安全性，本算法结合密码学，对水印信息进行预处理，使用汉明编码对加密后的信息进行编码。基于线性同余法实现了水印信息嵌入位置的随机化。线性同余伪随机序列的迭代公式为：xi+1=(axi+c)(modm)其中，m为最接近文档字符总数的素数，a∈(2,m)，c小于m且与m互素。步骤1：输入密钥信息，并将其转化为二进制序列K=k1k2k3…km；步骤2：输入水印信息，并将其转化为二进制序列W=w1w2w3…wn；步骤3：针对密钥与水印序列进行循环取模，获得加密后的二进制序列M=m1m2m3…ml，其中，l=max{m,n}；步骤4：基于（7，4）汉明编码增加监督码，以实现错位纠正的目的，即可获得预处理后的二进制序列H=h1h2h3…ht，其中，t=7*l/4，hi∈0,1,1≤i≤t。水印信息的嵌入步骤1：文档初始化，将字符颜色均设置为黑色，即RGB（0,0,0）；步骤2：遍历文档，统计字符数N，判断预嵌入空间是否足够；步骤3：根据水印信息预处理部分所得的位置，对于字符（jj<N），嵌入水印信息的间隔标识S，进行水印信息的循环嵌入，即修改字符的RGB值，此时，RGB分别被修改为（0,0,1），（0,0,2）；步骤4：选定字符j，若j<N，则执行步骤7；否则判断间隔标识，标识嵌入完成执行步骤5，未完成则执行步骤1；步骤5：hi=1时，修改当前字符为RGB（0,1,1）；修改下一个字符为RGB（0,1,2）；hi=0时，修改当前字符为RGB（0,2,0）；修改下一个字符为RGB（0,2,1）；步骤6：重复执行步骤1-5嵌入信息。步骤7：嵌入完成，保存文档。

2.2水印信息的提取步骤1：输入密钥，将其转换成二进制序列K；步骤2：遍历文档，查找RGB被修改的位置，根据嵌入的规则，提取“1”，“0”，得到二进制序列S；步骤3：通过对S解码和纠错，得到二进制序列M；当imod7=0时，计算校正子，如果3位校正子全为0，则水印未被篡改，如果得到其它值，对其进行篡改定位并进行一位错码纠正，去除监督位。步骤4：对二进制序列M与密钥K进行循环取模，可以得到水印信息的二进制序列，再对其进行转换，得到输入的水印信号。

3实验结果与实验分析

本实验随机选取3篇包含中、英文字符的word文档为测试文档，对其进行水印信息的嵌入和提取，以及攻击实验，其中，嵌入的测试水印信息为“电力物资123”。

（1）透明性分析：该算法的透明性设计充分考虑了HVS，满足肉眼不可分辨字符色彩有所变化的范围。同时，由图1和图2对比所见，嵌入信息后的文档与原始文档并无差异。

（2）鲁棒性分析：该算法的鲁棒性较强，由于此算法采用循环嵌入水印信息的方式，因此，含有水印信息的文档只要有一个完整的水印信息没有被攻击破坏，就可以完成该水印信息的检测提取。该算法可以抵抗除了全篇字符颜色攻击外的其他格式攻击，同时，在针对一部分字符遭受颜色攻击时可以成功进行篡改定位。针对内容攻击，该算法的鲁棒性亦较强，只要全篇内容没有均遭受攻击，嵌入的水印信息就可以被正确检测。

（3）容量分析：该算法基于改变字符RGB值完成水印信息的嵌入，一个字符可以完成一个字节信息的嵌入，容量很大，但是，算法中结合了纠错机制，即汉明编码，每7个码字包含4个信息位，纠正1比特错误。因此，平均两个字符可以完成一个字节水印信息的嵌入，容量可以满足基本的使用。综上，该算法具备透明性、容量较大的特点，可以实现针对内容进行隐蔽通信，不易引起对手的兴趣，该算法鲁棒性较强，可以抵抗一定的攻击，同时该算法具备一定的篡改定位性能，进一步保障了文档的安全传输。

4结束语

第9篇

目前信息安全是一个所有人都比较关注的问题，作为唯一一个对用户的移动业务体现形式的移动终端，同时作为载体存储用户个人的信息，是要与移动网络配合以保证安全的移动业务，实现移动终端与移动网络之间可靠安全的通信通道，同时还要使具有机密性、完整性的用户个人信息得以保证。不断强大的和逐渐普及的移动终端功能，不可或缺的用品逐渐成为移动终端在日常生活中人们的普遍共识，而同时在带给用户便利的这些具有强大功能的智能终端，也导致了一系列日益突显的信息安全的问题。一方面，越来越多的个人信息存储在智能终端中;而另一方面，信息的泄露与病毒的传播也会为数据交换功能和丰富的通信所引起。在管理进网检测中，分析现有的信息安全威胁，并对移动智能终端通过专业的安全检测工具检测操作系统，让终端自身的防护能力被移动智能终端的制造商所提高，以保护原本没有防护能力的智能终端。使用户在使用通过行业标准规范的应用程序时可知、可控。但是，目前仍有水平不足的自我管理、意识不强的信息安全的一部分用户，同样会导致暴露部分用户在移动智能终端上的个人信息。

二、分析个人信息安全的技术问题

随着不断发展的科学技术，越来越多的新业务集成在移动终端之上，对信息安全来说，部分的新业务是有其特殊的要求的，新的安全隐患可能伴随着用户的部分新的业务。例如移动终端集成了定位业务，其自身的位置信息时可以随时随地获得的，而个人用户的私密信息也是包含位置信息的；例如移动终端集成了生物识别的技术，则可以记性保护用户的个人信息的，但是在终端设备上同样会缓存生物识别的信息的，所以移动终端具备定位业务是有特殊的要求的，尤其是在对于信息安全方面。不存在绝对安全的软件系统，应在做好相关工作的同时规避不同的风险，可从以下几方面来实施防范个人信息安全受到威胁：

（1）应用程序的权限进行限制。

安装应用程序的时候，该应用程序的最小权限必须得以确认，应遵循的原则是最小权限的原则，将大大降低受到恶意软件攻击的可能性。但是对于不一定懂得如何验证是否合理权限要求的应用程序的广大普通用户，用户在大多数情况下对于系统所要求的权限会直接授予。所以则需要在设定权限或申请权限时的开发者，使最小权限的原则严格的执行。

（2）认证程序应用。

最有效的手段之一就是认证并防范恶意的程序。审查相关的代码经过应用程序以及完整的测试，可得到权威机构的认证并确认其合理的使用权限，这力的防范了恶意程序。

（3）设置数据信息的加密功能。

用户在使用浏览具有个人隐私性质的信息或是应用时，硬通过设置一系列的登录用户口令来使某些移动智能终端的功能解锁，以减少威胁安全的情况发生。

（4）备份私有数据以及做好防护措施。

用户在使用私有数据时，应提早及时的做好数据的备份以及防护措施能，以免在数据发生损毁或是泄漏时能够有效的找回，而且做好数据的防护措施例如密码找回。则可防止信息的二次泄露以免造成巨大的损失。

三、结语

第10篇

最近几年，水利部门根据水利工作的实际状况，在对治水经验和实际操作进行总结的过程中，提出要转变过去的水利发展道路，坚持走可持续发展水利道路，建立水利现代化的发展道路。随着水利事业的不断发展和变革，水利信息化构建也取得了一定的成绩，逐渐转变成为水利现代化的主要力量。根据国家防汛抗旱指挥系统中的一期工程城市水资源的监控管理，水利电子政务的相关项目和大型灌区信息化试点等重要工程的顺利完成，水利信息化基础设备也在不断的健全，对业务的使用能力也在逐渐加强。防汛抗旱，城市水资源的监控管理，水利电子政务和全国水土保持监管信息体系等业务也开始应用到实际生活中。在水利信息化基础构建和业务不断拓展的过程中，相关的保证水利信息化安全的体系也逐渐形成。

2强化水利网络信息安全的解决措施

网络和信息的安全隐患问题，使得水利信息化的发展受到阻碍，所以要及时的进行预防，综合治理和科学管理，逐渐增加信息的安全性，加强其中的保护能力，保证水利信息化的持续运行。

2.1加强信息安全管理

信息安全规划包含了技术、管理和相关法律等多个层面的问题，是稳定网络安全、物理安全、资料安全和使用安全的关键因素。信息安全规划不但依赖于信息化的管理，还是信息化形成的重要力量。在信息安全管理的过程中，信息系统安全构建和管理要更加具有系统性、整体性和目标性。

2.1.1以信息化规划为基础，构建信息化建设

信息安全是在信息化规划的基础上，对信息安全进行系统的整理，是信息化发展的主要力量。信息安全规划不但要对信息化发展的实际情况进行深入的分析和研究，更好的发现信息化中存在的安全隐患，还要根据信息化规划以及信息化发展的主要战略和思路，有效的处理信息安全的问题。

2.1.2构建信息安全系统

信息安全规划需要从技术安全、组织安全、战略安全等方面入手，构建相关的信息安全系统，从而更好的保证信息化的安全。

2.2日常的运维管理

2.2.1注重网络的安全监控

网络的飞速发展使得水利网络安全和互联网安全关系更加紧密。所以，注重互联网安全监控，从而及时的采取相关的安全防护措施，是现在日常安全管理工作中的主要内容。

2.2.2安全状态研究

网络信息安全是处于不断变化的过程中，需要定时对网络安全环境进行整体的分析，这样不但可以发现其中的问题，还可以及时的采取相关的措施进行改正。安全态势主要是利用网络设备、主机设备、安全设备和安全管理工具等策略来进行信息的处理，通过统计和分析，综合评价网络系统的安全性，并且对发展的状态进行判断。

2.2.3信息安全风险评估

风险评估是信息安全管理工作中的重要部分。通过进行风险评估，可以及时的发现信息安全中的问题，并且找到积极有效的解决措施。安全风险评估的主要方法是：（1）对被评估的主要信息进行确定；（2）通过本地审计、人员走访、现场观看、文档审阅、脆弱性扫描等方法，对评估范围中的网络、使用和主机等方面的安全技术和信息进行管理；（3）对取得的信息资料进行综合的分析，判别被评估信息资产中存在的主要问题和风险；（4）从管理体制、管理措施、系统脆弱性判别、威胁研究、漏洞和现有技术等方面，根据风险程度的不同，分析和管理相关的安全问题；（5）根据上面的分析结果，建立相关的信息安全风险评估报告。

2.2.4应急响应

所谓的应急响应就是信息安全保护的最后一道屏障，主要是为了尽量的减少和控制信息安全所造成的严重影响，进行及时的响应和修复。应急响应包含了前期应急准备和后期应急响应两个部分。前期应急准备主要有预警预防制度、组织指导系统、应急响应过程、应急团队、应急器械、技术支持、费用支持等应急措施，并且定时进行应急演练等。后期应急措施主要有检查病毒、系统防护、阻断后门等问题，对网络服务进行限制或关闭以及事后的恢复系统等工作。通过两个部分的不断配合，才能更好的发挥应急响应的重要作用。

2.3教育培养

人是信息安全的主要力量，其中的知识构造和使用能力对信息安全工作有着重要的影响。强化信息安全管理人员的专业素养，及时的进行信息安全教育，提升人们的信息安全意识，从而有效的减少信息安全问题的出现。

3总结

第11篇

信息安全素质指的是社会成员所具备的信息安全素质。在档案信息管理领域里,该项素质就是指档案管理者对于网络环境中的电子文件信息安全意识、能力。

2档案管理工作者信息安全素质现状

2.1信息化管理意识欠缺

档案管理者对于档案信息化的认识比较浅,不能够将电子文件作为我国的一项战略信息资源,不能够对档案信息网络安全有较深的意识,在自己的日常工作中就不能够去有意识的进行预防,积极的应对,这是导致信息化管理意识比较缓慢的主要原因。

2.2信息化管理专业基础知识相对薄弱

信息技术的日新月异,已经掌握的技能方法如果不及时更新就会很快过时。档案工作者不是信息技术专业人员,信息安全意识的缺乏使他们虽然意识到自身信息安全技能的不足,但由于缺乏强制性的提升专业水平的制度要求和定期的培训机制,使他们的信息安全能力与实际工作要求的差距越来越大。对于老的档案管理者虽然掌握了档案管理知识,但是缺乏信息技术能力,不少掌握信息技术的年轻档案工作者有的虽然掌握信息技术,但是又缺乏档案管理知识,而有的年轻的档案管理者由于在待遇、职称、前景等问题上的偏差认识而主动改行从事其他工作,使得整体信息技术水平偏低的档案部门更加缺乏掌握信息技术的人才。

3提高档案工作者信息安全素质的对策

3.1提升档案管理者的工作敏锐性,增加责任感

信息化时代大环境下,有很多的新领域和载体出现,在档案界引起了一些改变,同时也是提升了对档案管理人员的素质要求,我们要对档案管理工作的基础性有一个比较深刻的认识,将工作的重点置于服务和管理上,通过转变工作的着力点来提升管理能力和服务效率,改善观念,将档案管理的综合功能较好的发挥出来,对现有的领域进行拓展,变更服务模式,迎合现代档案需求,不断的开创进取,让档案管理可以为经济发展和社会发展提供帮助。

3.2提升档案管理人员的专业素质和水平

为档案工作者进行信息安全素质培养。对新入的档案工作者以及现有的档案管理者进行培训,针对他们的不同薄弱环节进行加强,增加档案管理知识,提升档案管理水平。根据不同岗位来进行任务的分配,根据档案人员自身的差异性来编排培训时间和内容,对培训结果进行考核。档案工作者在具备了一定的信息安全技术之后,需要对自己所需要承担的社会责任以及义务有明确的认识,能够知法、懂法、遵法,自觉的对违法行为进行监督管理,对知识产权和隐私给予保障,使用信息安全技术来提升档案管理效率和安全性。

3.3对档案信息管理制度进行强化

现在我国已经存在一些信息安全标准以及相关规定,可是这些规定尚处于初期,并不完善,存在很多的问题,还有很多的内容需要在探索中完善,这些标准和规定中涉及到档案信息管理者的信息安全素质的要求和内容,这也就导致了实际的问题还无法获得解决,因此无法将我国档案管理者信息安全素质差的现状给扭转过来。因此需要将档案信息管理制度进行强化,对现有的内容和标准进行完善,对档案管理工作者进行标准制定,结合当前的档案管理工作,选用优秀的档案管理人员,引入优秀的档案管理人才,提升档案队伍的整体水平。还有就是对档案管理工作者的专业技术职务进行考核,将信息素质作为考核的项目之一,督促档案工作者能够自主的进行档案信息管理内容的学习,根据岗位差异来具体的调整制度,方便其执行。

4结语

第12篇

传统信息安全风险主要包括3个要素:①资产，它是信息系统内部需要保护的重要资源或信息;②威胁，它是来自攻击者的恶意攻击，可能造成信息资产重大损失或外流的潜在因素;③脆弱性，它是信息系统内部容易被攻击的薄弱环节。实际的信息安全风险评估建立的模型对这3个要素有所深化和发展，并应用于信息安全的标准化制定中。

(1)国际标准ISO15408。

该标准强调人为因素的作用，将信息系统的“属主”从笼统的“资产”要素中分离出来，将“攻击者”从笼统的“威胁”要素中分离出来。该标准除了上述3个要素以外，还考虑漏洞、风险和措施这3个要素。

(2)国际标准ISO13335。

该标准细化了风险评估指标体系。它除了考虑“资产”要素以外，还考虑“资产价值”要素;除了考虑“防护措施”要素以外，还考虑“防护需求”要素，进一步强调了系统中要素的属性。此外，该标准还考虑到威胁、脆弱性、风险等3个一级指标，7个要素。

(3)国务院信息化工作办公室制定的《信息安全风险评估指南》。

它引入了“使命”要素，从源头上强调了信息风险管理工作的驱动力;引入了“残余风险”要素，强调了安全防范不可能一蹴而就，需要不断改进;同时引入了“事件”要素，强调了对突发事件的预判，比ISO13335扩展了3个要素，建立了适合中国国情的10个要素的信息安全风险评估标准。开展信息安全风险的评估一般分为5个步骤。①评估准备阶段，主要是明确风险评估的目的和意义，制定评估方案，确定评估模型等。②要素识别阶段，主要是按照上级制定的标准，结合被评估对象的实际情况，识别信息安全风险评估的各个要素，同时根据权威标准的一级指标体系合理扩展为可以测度的二级指标体系。③测度汇总阶段，主要是使用二级指标体系进行测度，给出评估分值，并使用合适的数学模型进行汇总评分。④风险分析阶段，主要是根据二级指标体系的评分结果和数学模型计算分析结果，综合进行风险判断，分析外部威胁和内部漏洞的危险程度，计算各指标蕴含的安全风险。⑤落实整改阶段，主要是通过评估工作的汇报验收，找到风险根源，落实整改措施，不断调整完善，提高系统抗风险的能力。

2两类信息安全风险综合评估指标体系

安全风险评估和预警工作中，指标体系的建立既很重要，也有很强的科学性。构建信息安全风险评估指标体系需要掌握以下7项原则:①目的性原则。建立评估指标体系的根本目的是有效防范信息安全风险。②科学性原则。指标体系必须科学有效地反映信息安全风险的所有特点。③系统性原则。建立的评价指标体系必须协调统一，层次合理，最大限度地反映信息安全风险的基本特点。④重要性原则。抓住反映信息安全风险本质特点的主要因素来设计指标，该指标体系必须能突出主要风险因素，建立重点突出，简明实用的指标体系。⑤互斥性原则。要求指标间相互独立，避免太多的涵盖等出现而导致指标内涵的重复。同时指标相互间又有密切联系，需要一些不同角度指标的设置来互相检验、弥补。⑥层次性原则。对评估的目标进行层次分解，使结构清晰，容易分析，逻辑性和科学性强，提高评估结论的可信度。⑦操作性原则。指标体系的各指标必须是可以采集的和可以量化的，数据应通过可靠来源直接或间接的获取，评估指标应尽量避免难以获得的参数。根据上述信息安全风险评估标准和评估原则，结合被评估对象的实际情况，将两类安全风险综合起来，建立综合评估的指标体系。技术风险按照资产/业务、技术脆弱性、威胁3个方面组织指标设计。在一般计算机系统中，其脆弱性方面也可以进行展开。之所以列出两个表格，旨在指出这方面的指标系统设计不是唯一的，可以根据上述原则，结合具体环境和条件进行设计。非传统的信息安全风险的评估，主要是指利用人的弱点产生的风险，一般体现在内部管理上的疏忽与过失，以及外部的蓄意攻击和阴谋策划。一般计算机系统可以进行展开。建立两类信息安全评估二级指标体系是一个方面，运用数学模型进行安全风险分析是更重要的一个方面。李成耀很早就研究了多层协议和多层结构的网络信息安全分层模型;罗帆等运用N－K模型分析了安全耦合风险;杨亚东等使用一般层次分析法(AHP)为安全监管系统建立了风险评价指标体系和综合评估模型。结构方程模型在这些模型中独树一帜，它既可以进行指标体系的汇总与路径影响分析，还可以深入分析某些因素之间的中介效应、调和效应和交互效应。笔者采用结构方程模型(SEM)进行两类信息安全风险综合评估，其数学表达和计算可以参见文献［13］。其提出了一种新的确定性算法，克服了传统的偏最小二乘算法与协方差拟合算法需要反复迭代的弱点，并且可以使用DASC软件实现计算。结构方程模型是针对一般信息系统的非传统信息安全风险评估而设立的，它很容易改写为适应其他二级指标体系的模型，使用DASC软件很容易实现数学计算。

3两类信息安全风险的综合防范

信息安全风险评估的目的在于防范，不同的信息系统在不同的环境下，风险防范措施很不一样。最近制定的信息系统安全风险评估的国内标准(GB/T9387－2)以及国际标准(ISO7498－2)都明确规定，信息安全实现主要以构筑防火墙、建立入侵检测系统、灾难备份和应急响应系统、物理隔离系统、杀毒软件包等方式实现。物理隔离系统是绝对的隔离，效果比较理想。防火墙以及网关主要应用于专用网络与公用网络的互联环节，技术复杂并在不断改进更新。入侵检测系统把系统的安全管理能力扩展到新的范围，引入了模式匹配、实时检测与响应等技术，使得信息系统建设得越来越复杂和庞大。非传统信息安全风险的防范，从宏观管理的角度主要考虑如下几个方面:①健全法规标准，加强高层对于信息安全的统一协调，加快安全标准制定。②建立信任机制，建立服务商之间、服务商与用户之间的信任关系，将是解决信息系统外部交流安全问题的根本。③发展关键技术，建立保证信息安全的技术体系，包括数据安全、可信计算和隐私保护技术等关键技术。④加强监督管理，着眼长效监管，完善应急机制，强化日志审计管理，提高溯源审查能力。非传统信息安全风险的防范，从个体心理的角度主要考虑如下几个方面:①加强心理防范，主要克服攻击者往往利用人的好奇心和虚荣心等弱点。②定期安全培训，让全体员工熟悉了解新的攻击者利用社会工程学的伎俩，学会防范非传统信息安全风险。③区分友谊责任，明确友谊必须有一定的信任基础。④提高安全意识，管理部门要制定更为严格的安全方案，同时落实到每一个员工。⑤实时事故响应，一旦发生信息安全事故，立即启动应急方案，除了检查技术漏洞和损失以外，特别要对利用社会工程学的攻击做出实时反应。

4结论