时间:2023-03-01 16:30:41
序论:在您撰写信息安全调查报告时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
此次调查以国内120家企事业单位为调查对象,涉及教育、信息技术单位、机械制造、政府机关、金融服务等五个行业,大多数处于江苏省南京地区。调查时间范围从2002年3月到2002年12月。有72家被调查单位填写并寄回问卷,有效率为60%。
被访单位以中小型单位居多,其中200-400人以上的单位占六成以上,另外值得强调的是,本次调查的针对性极强,被访者多为单位的科技、信息或电脑主管、计算机专业人员和管理决策层人士,对网络安全产品有极高的认知程度。从事计算机相关工作的被访者达90%强,其中科技、信息或电脑主管占56.1%。
调查的内容主要包括被调查单位自然状况、网络应用状况、网络信息安全的软硬件(包括规章制度)、紧急情况及应对措施和政府政策的支持等五个方面。
由此可见,本次调查的结果具有一定的代表性。
一、网络安全问题不容乐观
Internet技术的高速发展带动了单位及政府各部门的上网工程,他们纷纷采用先进的互联网技术建立自己的内部办公网(Intranet)。在被访的单位中,“已经建立”单位内部网(Intranet)的单位达82.3%,“正在规划”的单位占15.0%,只有2.7%的单位还未考虑单位内部网的建设。在Intranet已建成的单位中,平均每单位拥有1.3台服务器及28.4台客户终端。
当问及被访者对于信息系统安全的认识时,92.2%的被访者认为信息系统的安全事关单位运行,其余认为不很重要的被访单位均还未建立单位内部网。由此看来,享受到信息共享的单位已充分意识到网络安全的重要性。在信息安全的六个领域,被访者对其重要性的认知不一,90.3%的被访者认为病毒防护最重要,81.7%的被访者认为防止来自Internet的恶意入侵的重要性次之,排名第三重要的为服务器及数据库应用的访问控制和内部用户口令管理、安全审计(均为75.9%),第四、五位为数据加密和虚拟单位网(59.4%)和身份鉴别、电子签名(58.8%)。
在已建立单位内部网的单位中,其信息安全领域亟待解决的问题分别有病毒防护、防止来自Internet的恶意入侵、服务器及数据库应用的访问控制、内部用户口令管理、安全审计、身份鉴别、电子签名、数据加密和虚拟单位网。电脑主管对以上问题处理的紧急程度可以体现出其问题的重要性。在以上单位中,68.2%的被访单位已感受到网络安全的威胁,其中35.8%的被访者认为威胁主要来自于单位外部,另外32.4%的被访者认为威胁主要源于内部。
二、安全投入有待提高
从技术层面来看,网络安全现在已经有了各种各样的解决方案,但在实际应用过程中,真正重视网络安全的单位并不是很多。在国外单位的IT投资中,网络安全投资将占20~30%,而在中国,单位对网络安全的投资在整个IT系统投资中的比例不到10%。本次调查结果验证了这一说法,高达75.5%的被访单位能够接受网络安全产品投资在信息化建设总投资中的比例都在五个百分点以下。
“服务是增值商品”的概念在中国还不普及。在问及被访者是否愿意接受免费或低价但需为此支付服务费用的网络安全产品时,53.8%被访者愿意,29.5%的被访者认为无所谓,16.7%被访者明确表示不愿意。在愿意接受服务费用的被访者中,比例也不高,通常都在3%以下。
三、曾遇到的网络安全问题及其处理
在问及被访单位遭受病毒侵害的悲惨遭遇时,有18.0%的被访单位很庆幸地回答“从没有”遭受过病毒的侵害。在遭受侵害的单位中,频率多为一年或更长(21.3%)、一个季度(21.0%)、半年(18.3%)和一个月(16.2%)。为免遭病毒和黑客的侵扰造成损失,14.8%的单位时时备份数据,25.3%的单位每天备份一次数据,28.2%的单位每周做一次备份,23.0%的被访单位的备份频率较为稀疏,为8天或更长时间。从以上数据中我们发现,单位备份数据的周期通常为时时备份、当天、一周。在从不备份的单位中,多是从未尝试到病毒威力或长时间未遭受侵害的单位。在单位备份数据和文件时使用最多的介质是可擦写光盘(48.8%)、软盘(44.2%)和磁带机(37.8%)。
随着互联网的日益普及,计算机安全问题不再仅仅局限于单机安全。由于病毒不仅可以通过软盘,而且能通过网络传播,随着联入因特网的用户不断增加,受国际病毒传播的机率大大增加,所以,使得计算机病毒防范、防治范围也不断扩大,加之计算机犯罪的手段近年来出现日趋新颖化、多样化和隐蔽化的发展态势。据被访者对于不同类别的安全防护产品的市场潜力预测显示,网络防病毒产品的市场潜力最大,为54.3%,其次为网络监测产品(20.1%),再次为端到端安全通道及认证(13.8%),网络安全评估审计产品和VPN产品的潜力较小,分别为7.9%和3.9%,由此可见病毒给单位带来的巨大压力。
调查显示,所有单位遇到的首要网络安全问题是病毒袭击,其他安全问题依次是:未授权的信息存取、网站内容遭破坏、未授权的数据或配置的更改。从规模来看,50~100人的单位遇到的安全问题最多;
对于网络安全产品,目前使用最多的是防病毒软件,在200个被访用户中,有191个正在使用防病毒产品,占总数的95.5%;其次是防火墙产品,使用者占45.0%。
在问及遭到攻击后是否向政府相关法律部门报告时,65%的单位选择不会,其中70%认为报告会引发消极影响(例如客户对其保护其私人信息安全的能力的怀疑),12%的人为不知道向哪个部门报告,还有8%的认为采取内部补救措施比报告来得更好。
四、最迫切需要的网络安全产品和服务
调查显示,目前有36.5%的用户对网络安全产品无需求,无需求主要有两种情况:一是已有网络安全产品,暂无需求(70%);二是目前未遇到安全问题,购买安全产品还未纳入议事日程(30%)。接下来,需要的网络安全产品是防火墙、防病毒、黑客入侵监测,分别占被访者的31.5%、26.0%和18.5%。前两种产品又是目前使用最多的产品,对于防病毒产品,单机版占近一半。黑客入侵监测、漏洞扫描等也有许多用户迫切需求,这说明一些用户的总体网络安全意识已经提高。
在问及希望政府的支持方面,76.3%的单位认为政府相关部门应开通企业信息化管理咨询热线提供对口技术支持,20%希望政府开设信息安全方面的免费讲座。96%的认为应该加强相关法律建设。
调查报告最后认为,我国国内企业的信息化基础建设整体还比较落后,投入较少,对网络信息安全缺乏足够的重视,网络信息安全前景不容乐观。
南京审计学院《网络经济及其风险防范》课题组
第一部分 调查背景、方法 随着用户在网络与信息安全意识和安全需求方面的提升,近几年来,网络与信息安全市场正以倍速增长,行业发展日趋集中化和规范化,国内的网络与信息安全厂商已逐渐由原来的星星之火发展起燎原之势。网络与信息安全产业不但关系到国家的政治、经济、文化和国防安全,同时也成为it产业发展的一大亮点,在产业发展的过程中,也涌现出了大批优的网络与信息产品和服务品牌,其中也不乏行业中的后起之秀。 为了让优秀的、具有一定实力的中国网络与信息安全生产和服务厂商脱颖而出,拥有更广泛的合作机会,让用户了解国内优秀的网络安全厂商和安全产品;推动构建面向未来、一体化的可信赖网络的发展,XX中国互联网大会.网络与信息安全论坛组委会,结合大会和论坛在组织、媒体、用户和专家层面的资源,发起了中国网络与信息安全优秀品牌调查活动。本次活动由中国互联网协会主办,上海交通大学信息安全工程学院承办,国家信息产业部、科技部等部委对活动予以指导,组织成立了中国网络与信息安全优秀品牌推荐专家评审委员会,保证了评选活动的中立性、专业性和权威性。 本次调查共有有效样本1143份,样本广泛覆盖政府机关、金融、电信、能源、教育文化、互联网企业等各类用户。调查时间为**年7月15日--**年8月20日。采用的调查方式是通过网络调查、传真、e_mail和信件等多种方式向广大的互联网用户发放问卷。 活动评选的过程同时得到了网易、新浪、天极、计算机世界、信息安全与通信保密、信息网络安全等大众和专业媒体的大力支持。 第二部分 调查结果 一、使用过何种类型的网络与信息安全产品 (一)网民中安全产品的使用情况:防火墙产品和防病毒产品是网民使用最多的两种网络与信息安全产品 在调查问卷中设计了问题:在您所在的网络信息系统中,您使用过何种类型的网络与信息安全产品?(可多选),调查结果显示,防火墙产品和防病毒产品是网民使用最多的两种网络与信息安全产品,有三分之二的网民使用过防火墙产品,防病毒产品也有62.9%的网民使用过。 身份认证产品、pki平台产品、入侵检测(ids)产品也都有二十多个百分点的网民使用率,三者居于调查所列产品的三、四、五位,在网民中分别有26.77%、25.02%和21.35%的人使用过这些产品。vpn产品以17.94%的网民使用率排在第六位。 安全容灾与数据存储产品、安全管理产品、安全审计产品在网民中的使用率分别为7.26%、6.21%和6.04%,排在所调查的十二个产品类别的最后三位。 (具体参见下页图) 略 (二)各种安全产品的市场份额比较:防火墙产品、防病毒产品占了四点五成的市场份额 根据网民对各种网络与信息安全产品的使用情况,可以看出各个产品所拥有的市场份额。从调查的情况来看,病毒和防火墙产品占据市场很高的比例,两者所占的比例超出了20%。另外依次排列其后的是身份认证类(占9.5%),如果考虑进pki的因素(8.9%),关于认证产品的使用情况也占了很高的比例。另外占比例比较高的还有ids产品、vpn产品,其它产品也都有选择,所占比例不是很高。 (具体参见下图) 略 二、最信赖的防病毒厂商品牌:国产品牌位居三甲,趋势、瑞星、symantic是三种网民最信赖的防病毒厂商品牌 对于问题您认为最值得信赖的防病毒厂商品牌?(最多限选三家),统计结果显示,占前三名的分别是趋势、瑞星和symantic,在网民中分别各有23.45%、17.5%、15.84%的网民认为它们是最值得信赖的防病毒厂商品牌。值得注意的是,国产品牌瑞星位居第二,其它两个属于国外品牌。 另外,卡巴斯基、金山、.朝华安博士三个品牌都有十个百分点以上的网民信赖率。(具体参见下图) 三、最值得信赖的国外防火墙产品品牌:cisco和netscreen是中国网民最信赖的国外防火墙产品品牌 调查数据显示,对于最值得信赖的国外防火墙产品品牌?(最多限选三家)这一问题,cisco和netscreen是中国网民最信赖的国外防火墙产品品牌,在网民中分别有有四分之一的人和五分之一的人认为这两个品牌是最值得信赖的国外防火墙产品品牌。 3com、checkpoint以非常接近的十七个左右百分点的网民信赖比例位列三、四位;sonicwall和fortigate也以和接近的十二个左右百分点分列五、六位;isa、amaranten、watchguard分别有8.66%、8.22%、6.47%的网民信赖率排在七、八、九位;nokia在所调查的产品品牌中处于最后,只有1.31%的网民最信赖这一产品。(具体参见下图) 四、最值得信赖的国内防火墙产品品牌:蓝盾是在网民中最值得信赖的国内防火墙产品品牌;与国外品牌相比,国内防火墙产品品牌的网民信赖率较低,还没有绝对的优势品牌 调查结果显示,对于调查题目:您认为最值得信赖的国内防火墙产品品牌?(最多限选三家),蓝盾是在网民中最值得信赖的国内防火墙产品品牌,在网民中有16.71%的人最信赖这一品牌。 在其它选项中的得票数为14.87%,超出了第二位天融信的得票数,可以看出,一方面是最多信赖率的蓝盾的网民比例不是很高,另一方面是 其他 项这种不确定的品牌比例较高,说明了在国内的防火墙品牌中,还没有在用户中形成牢固的品牌概念,也就是还没有绝对优势的品牌。 除了其他项外,天融信是第二家被网民认为最值得信赖的国内防火墙产品品牌,有14%信赖选择率。 海信、联想、朝华分别以12.16%、11.9%、10.32%的信赖选择率居于第二集团;清华得实、紫光比威、天网、东方龙马、方正、东软分别以8.92%、7.79%、7.7%、7.61%、7.52%、7.44%居于网民的信赖选择率的第三集团;在调查所列项目中居于最后两位的是华堂(6.47%)华依(5.86%)。(具体参见下图) 略 与国外防火墙品牌相对比,可以发现国内品牌的网民信赖率偏低。如国外最值得信赖的防火墙品牌前两位的网民信赖率分别比国内品牌的高了九个和六个百分点,国内最高的蓝盾在国外品牌的信赖率中只能排在前四名以外。 五、最值得信赖的身份认证品牌:没有明显的领先者,相对而言,上海ca unitrust证书系统、verisign、安盟身份认证是最值得网民信赖的前三位 对于调查题目:您认为最值得信赖的身份认证品牌?(最多限选三家),获得最多网民选择的是其他,有21.96%的网民选择率
,这说明了这一产品还没有形成市场的领先者。 相对而言,不包括其他项,最值得网民信赖的身份认证品牌前三位是上海ca unitrust证书系统、verisign、安盟身份认证,分别有16.71%、13.56%、13.21%的网民信赖选择率。而彩虹天地ikey、cfca的网民信赖选择率最低,分别只有7.79%和6.74%的网民信赖选择率。(具体参见下图) 略 六、最值得信赖的pki认证厂商品牌:格尔、信安世纪是最值得信赖的两个品牌 对于题目:您认为最值得信赖的pki认证厂商品牌?(最多限选两家),调查结果显示,格尔、信安世纪分别有35.52%、33.42%的网民信赖选择率居于前两位。吉大正元获得了21.87%的网民信赖率,排在第三位。不包括其他项的话,维豪在所列的四个调查品牌中排在了最后,只有4.55%的信赖选择率。(具体参见下图) 略 七、最值得信赖的入侵检测(ids)品牌:排除其它选项,最值得信赖的入侵检测(ids)品牌前三名的是:绿盟、清华紫光、启明星辰 调查数据显示,调查问题:您认为最值得信赖的入侵检测(ids)品牌?(最多限选三家),没有绝对的优势品牌,获得最多选择的是其他项。排除其他项,最值得信赖的入侵检测(ids)品牌前三名的是:绿盟、清华紫光、启明星辰,它们的信赖选择率分别是:19.42%、15.14%、13.39%。所列的调查品牌中,也没有明显的弱势品牌,信赖选择率最低的三零鹰眼品牌都有十个以上的百分点,获得了10.06%的信赖选择率。(具体参见下图) 略 八、最值得信赖的vpn产品:不包括其他项的话,获得网民最高信赖选择率的vpn产品品牌前三位依次是:华为、迈普、东软 对于调查题目:您认为最值得信赖的vpn产品?(最多限选三家),网民的选择结果是其他项获得的信赖比例最高。这同样也说明了在这一产品上还没有形成优势品牌。 不包括其他项,获得网民最高信赖选择率的vpn产品品牌前三位依次是:华为、迈普、东软,三者分别获得了22.05%、16.89%、14.26%的网民信赖选择率。处于最后两位的是:安达通vpn(10.76%)、鹏越惊虹(7.35%).(具体参见下图) 略 九、认为最值得信赖的安全容灾与存储品牌:ibm 、hp是最值得信赖的安全容灾与存储品牌 调查数据显示,对于问题:您认为最值得信赖的安全容灾与存储品牌?(最多限选三家),ibm 、hp是获得最多网民选择的两个品牌,分别获得了27.21%、23.10%的信赖选择率。 brocade silkworm也有较高的选择率,有21.70%。在所列的七个调查品牌中,最低的是亚美联estor nas,获得了7.17%的信赖选择率。(具体参见下图) 略 十、最值得信赖的内容安全产品品牌:不包括其他选项的话,美讯智、中网依次是前两位的产品品牌 对于您认为最值得信赖的内容安全产品品牌?(最多限选两家),获得最多选择的是其它,有25.02%的网民信赖选择率。与前面的一些产品一样,说明在这一方面还没有完全的市场领先者。不包括其它选项,选择率排在前三位的依次是:美讯智、中网、思维世纪,它们获得的选择率分别是:20.56%、15.92%、13.47%。在这一调查题目所列的品牌,没有明显的市场弱势者,最后一个品牌世纪瑞达(10.15%)的信赖选择率都在十个百分点以上。 (具体参见下图) 略 十一、最值得信赖的安全服务品牌:不包括其他选项,选择率最高的前三位依次是:中联绿盟、iss、联想 调查结果显示,对于调查题目:您认为最值得信赖的安全服务品牌?(最多限选三家),获得最高选择的是其他选项。排除这一选项的话,选择率最高的前三位依次是:中联绿盟、iss、联想,它们的信赖选择率依次是:16.54%、13.12%、13.04%。其后依次是安氏(11.37%)、启明星辰(10.76%)、济南得安(9.97%)、亿阳信通(9.45%)、三零卫士(9.27%)、鹏越惊虹(7.35%)、川大能士(6.04%)。居于后三位的是:科联(5.60%)、广州科友(4.11%)、和亚信(2.01%)。(具体参见下图) 略 十二、最值得信赖的安全隔离品牌: 如果排除其它选项,得票数最多的前三位是:朝华、浪潮网泰、金电网安 调查发现,对于问题:您认为最值得信赖的安全隔离品牌?(最多限选三家),其它选项获得了20.65%的选择率,排在最高,比后面的高了近四个百分点。这说明了在这一产品上还没有形成优势品牌。不包括其它选项,得票数最多的前四位是:朝华、浪潮网泰、金电网安、天行网安,它们分别获得了16.97%、14.61%、12.69%、12.34%的信赖选择率。在所列的调查品牌中,信赖选择率最低的是中科诚毅(2.80%)。(具体参见下图) 略
[1]
为了准确掌握我校学生网络信息安全意识现状,为分析原因、加强防范、堵塞漏洞提供依据,我们在部分学生中专题开展了网络信息安全意识问卷调查。从调查反馈的情况来看,我校学生网络信息安全意识相对有一定的基础,但总体仍不够强,值得我们深入分析研究并采取有效对策,及时全面提高学生的防范意识和防范能力,在充分享受互联网和信息社会带来好处的同时,严防网络信息违法犯罪现象和受骗受害现象的发生。具体报告如下:
一、调查概况
本次调查对象为东校区学生,采取随机确定的方式,共发放问卷300份,收回291份,回收率达97%。调查的主要方式是实际接触被调查者,交谈了解基本情况,要求被调查者独立填写不记名调查问卷。调查得到了同学们的积极支持,大家普遍比较认真地回答了每一个问题,并且比较真实地表述了自己的情况、表达了自己的想法。
二、数据分析
本次问卷调查共15道题目,以多选题为主,占三分之二;另有单选题5道。内容主要涉及大学生网络信息安全知识的掌握、对本人及他人信息安全的认知态度等多个方面,具体分析如下:
1)网络信息安全知识了解情况。291名被调查大学生中,有93人表示经常有意识地了解网络信息安全知识,占31.96%;有84人表示非常少;有65人表示偶尔了解;有49人表示从来没有了解。说明大学生普遍还没有及时掌握必要的网络信息安全知识。
2)个人信息安全的认知情况。291名被调查大学生中,有98人次认为个人信息安全是指在使用计算机时个人信息不泄露或不会被他人获取;有74人次认为是信息网络的硬件、软件及其系统中的个人数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常的运行,信息服务不中断;有63人次认为是日常生活中个人信息不被他人知道和窃取;有80人次认为是一切与个人有关的信息的保护。可见相当一部分大学生对个人信息安全的概念仍不清楚,不知道个人信息安全与计算机技术、网络技术发展密切相关。
3)利用网络搜索他人信息情况。291名被调查大学生中,有110人表示经常会利用网络搜索他人信息,因为想解他人;有145人表示仅在有需要的时候偶尔会利用网络搜索他人信息;有36人表示从不这样,因为很无聊。三者比例分别占37.80%、49.83%和12.37%,说明大学生网搜他人信息行为总体正常。
4)网络安全问题认知情况。291名被调查大学生中,有53人次认为破坏分子作伪装绕过安全检查属于网络安全问题,有128人认为网络服务器因断电停机属于网络安全问题,有83人认为因病毒导致系统瘫痪属于网络安全问题,有61人次认为伪造IP地址骗取其口令获取对计算机的访问权限属于网络安全问题。说明有近一半的大学生对网络安全问题内涵不太清楚。
5)遭遇过哪些网络安全问题。291名被调查大学生中,有121人次反映遭遇过垃圾邮件侵扰,有89人次表示受到过病毒攻击,有119人次表示信息曾经被盗,有76人次表示遇到过其它形式的网络安全问题。说明侵犯网络信息安全的现象已经较多地影响到大学生。
6)个人信息泄露原因。291名被调查大学生中,有83人认为个人信息泄露最主要的原因是网络普及管理不规范,有112人认为是法律不健全,存在个人信息买卖市场,有72人认为是学生个人信息安全意识薄弱,有69人认为是电脑病毒、木马横行。总体上表明大学生对个人信息泄露原因是有思考的。
7)对校内个人信息安全建设的满意度。291名被调查大学生中,有182人对校内的个人信息安全建设表示满意,有109人表示不满意。说明校园个人信息安全建设尽管得到大部分大学生的认可,但仍有值得加强的地方。
8)对学校信息安全保障的期待。291名被调查大学生中,关于学校应当采取哪些措施保障个人信息安全,有114人次提出应该建设个人信息安全平台并绑定个人,137人次提出应该加强后续处理监督,121人次提出应该加强对于学生信息安全教育。应该说学生们的期待是建立在关心信息安全基础上的合理要求。
9)网络安全信息技术了解情况。291名被调查大学生中,了解网络信息安全技术的情况不太乐观,有97人次表示知道密匙管理技术,有103人次表示知道数字签名和认证技术,有141人次表示知道网络入侵检测和防火墙技术,有107人次表示了解电子商务安全技术。
10)获取网络信息安全知识的途径。291名被调查大学生中,有131人表示从网络获得相关知识,107人表示从书籍上获得,146人表示从课堂上获得,123人次表示从新闻媒体上获得。应该说大学生获取信息安全知识的途径是多方面的,基本上不存在获取不到的困难,主要是看不看的问题。
11)提高大学生网络安全意识的办法。291名被调查大学生中,有121人次建议开设讲座,97人次建议开主题班会,27人次提出发宣传单,101人次提出通过网络视频。应该说,大家对提高网络安全意识是有期待的,也希望有更多的渠道来加强个人信息安全保障。
综合以上数据进行分析,调研组认为,我校大学生信息安全意识有待提高,尽管越来越多地利用网络、自媒体进行交流、娱乐和学习,但主要精力花在如何从网上得到信息, 较少考虑如何在网络环境下保护自己的信息。交谈得知,不少学生会将自己的真实材料到网上, 碰到过QQ 密码会被盗, 登录口令过于简单等现象。大学生信息安全防范知识和操作能力有待加强,尽管因为新闻宣传、课堂教育等因素对防火墙、病毒等基本知识比较了解,但比较完全的网络信息安全管理和防范知识知之不多,一些学生不会安装操作系统、配置防火墙,不知道需要定期升级病毒防治产品, 不懂得如何更好的配置自己的计算机,也没有掌握保护自身信息安全的基本防范技能。
三、对策建议
大学生的学习、生活和准备就业已经越来越离不开网络,网络的发展对当代大学生的思维方式、行为模式、心理发展、价值观念和政治趋向等都产生了深远的影响。在越来越多地参与网上购物,使用网上银行等网上商务活动的过程中,涉世不深的大学生也日渐成为网络信息盗取和网络诈骗、网络盗窃等违法犯罪行为的猎物,一些不良商家也通过盗取信息来达到不正当竞争的目的。作为学校要重视和提高大学生的网络综合素质,加强学生的网络素质、网络技能、实践运用网络综合能力和网络安全意识的培养,督促提高安全上网意识,学会使用杀毒软件及防火墙,学会为别人也为自己提供一个安全和谐的网络空间。具体有四个方面的建议:
1)加强大学生网络法制教育。网络安全教育一个不可忽视的方面是思想教育,这其中最重要的是法制教育。目前网络犯罪是十分常见的包括网络欺诈、网络谣言的散播等。网络的匿名性特点给了许多人一种“漠视法律的理由”,认为没有具体监管就不算犯罪,其实不然。这体现的是网络法制教育的缺失,所以教育学生们什么在网络上是可以做的、是合法的,什么是不可以做的、是违法的是十分重要的,对维护网络安全运行也是有重要作用的。
2)充分利用课堂教育普及网络安全知识和技能。建议在计算机普及课程中除讲授常用软件知识外,增加计算机网络安全知识,让学生了解系统管理用户、文件和其他硬件资源的安全机制。对网络安全的基本理论知识和系统安全策略,如加密解密算法、防火墙的工作原理与作用、系统漏洞及修补方法、硬盘保护卡的工作原理与使用方法也要多加讲授。同时,要加强对大学生的网络安全法制教育,提高学生的网上自我约束能力、自控能力,不利用网络散播其它同学和老师的私密信息,不参与网络信息违法活动。
3)积极拓展课外空间,开展形式多样的网络信息安全防范活动。可以定期开设网络安全知识专题讲座,就课堂教学中不能深入讲解的问题或薄弱环节,如网络行为规范、个人计算机安全策略、计算机病毒的新动向、病毒查杀软件的使用,引导有兴趣、有需要的大学生深入学习并积极参与防范。 建议每年举办网络安全知识大赛、网络安全知识调查、网络安全主题漫画比赛等,丰富大学生的业余生活,实现以生教生,在校园中普及网络安全知识,构建网络安全防范的群防群治机制。
4)建议成立校级的信息安全管理机构。主要负责校园网的日常安全与管理工作,及时了解本校学生的网络使用情况;定期最新的网络安全信息,让大学生及时了解网络不安全因素的动态。现代大学生作为国家未来的接班人,有责任与义务充分意识到网络安全隐患,在经济全球化,网络快捷化的浪潮里,不被外界因素迷失本心,努力做到规范上网,不触犯法律法规,提高网络安全意识,做一名合格的大学生。
1 调研项目的设计与调研范围及方法
1.1 项目设计。“十一五”期间,省人口计生委全面推进人口信息化管理,启动建设国家中部人口信息中心和河南全员人口统筹管理信息系统(“金人”工程)。以省级集中方式实现全员户籍人口和流动人口信息管理,个案信息纳入省库管理,人口计生信息化网络已经覆盖省、市、县、乡和30%以上的行政村。信息工作全面推开,数字档案信息安全管理出现了许多亟待解决的问题。项目目的是为摸清数字档案信息安全现状,发现信息安全管理工作中存在的问题及困难,提出合理化建议,以便采取有针对性的措施。
1.2 调研范围与方式。此次调研从2011年3月起至2013年3月30日止,在全省随机选取4个省级计生部门(省计生科研院、省药具管理站和省计生协会、省计生干部学院)、26个市级计生部门(包括市计生委、市药具站、市协会、市技术指导站)、63个县区级计生部门(包括县计生委、县计生指导站、县药具站)单位和个人,发放调查表200份,收回问卷196份,有效率98%。
主要运用问卷调查、电话采访与实地调研相结合的方法,把影响数字档案信息安全的管理、硬件设施和人员素质三个方面作为问卷设计和访谈内容。根据国家有关的电子文件归档管理文件和计生系统的实际,针对单位和个人设计了两张问卷,单位问卷设置了21道题目,个人问卷设置了2大类题,16道小题。
2 数字档案信息安全现状与调查分析
2.1 数字档案业务概况。在省级机构,2个单位有综合档案室,其他单位档案按照业务划分科室管理,都有专兼职固定的档案员,单位档案管理状况较好,数字档案占全部档案资料的7%;受编制限制和工作业务限制,市县区级计生档案部门纸质档案文件来源少,最少的内部发文只有10件,数字档案数量更少,没有实现集中管理;全系统的档案管理工作大多停留在传统的保管纸质档案文件的工作模式上,电子文件不能有效归档,从而无法实现妥善保管。
2.2 管理体制情况。参与调研的单位中,数字档案信息安全工作均实行统一领导、分级管理的模式,包括业务督导和组织培训。省市级单位按要求全部参加全省人口计生系统网络安全培训班,对网络基础知识、交换原理、路由技术与路由器、信息安全有一定了解。对本单位档案部门或下属单位档案工作主要通过组织人员参加基本业务或专题培训班(如安装统一的管理软件)以及个别指导的方式进行。市县级计生部门的数字档案信息安全工作以接受上级监督指导为主,95%单位把数字档案信息安全工作纳入了年度工作计划或“十二五”档案数字加工与信息安全发展规划;用于数字档案信息安全工作所需经费全部来自财政拨款,投入比例信息大都不愿透露,无法了解到;参与调研单位全部配备信息员和专、兼职人员管理数字档案信息工作。
2.3 制度建设情况。在省人口计生委突发公共事件应急处理工作领导小组领导下,出台了《河南省人口计生委突发公共事件应急预案》,其中包含了数字档案信息安全内容。70%以上的单位有信息安全紧急预案,但是数字档案信息安全专项制度缺失。
2.4 硬件配备情况。安全基础设施是数字档案信息安全管理的保障。对安全基础设施包括设备配置、网站建设、是否安装防病毒设施等方面进行了调研。在被调研的单位中,98.89%市县人口计生委单机配备数量和机关公务员编制人数(不含机房设备和笔记本计算机)持平,市县药具站单机配备数量达到每个业务科室至少1台标准,95.37%以上单位计算机安装有防火墙,但在入侵检测、信息加密方面设施不足;大多应用office办公软件对档案进行目录级管理,数字化管理档案水平普遍偏低;省级、市级计生部门全部建有网站和局域网,26个市级调研单位中安装数字化档案采集转化系统的有6个,占23.08%;安装在线档案存储管理与安全系统的有4个,占15.38%,县区级计生部门安全设施建设在经费紧张的情况下,投入较少。
2.5 人员数字档案信息安全素质情况。从参加调研的196名工作人员中了解到,工作上大量使用计算机,每天使用电脑工作2小时~5小时的有83人,占总数的42.34%,使用5小时~8小时的有54人,占总数的27.55%。使用电脑的主要目的,选工作的有164人,占总数的83.67%;查阅资料的有129人,占总数的65.82%。人员学历水平,中专学历的有31人,占总数的15.81%;大专以上学历的有94人,占总数的47.95%;本科以上学历的有67人,占总数的34.18%;硕士学位的有1人,占总数的0.05%。
平常工作中,使用杀毒软件的有193人,占总数的98.47%;能够自行处理病毒(求助他人或者找专业人士)的有161人,占总数的82.14%。在“您了解哪类信息安全技术和产品”问题的备选答案“防火墙、反病毒软件、反垃圾邮件、动态密码令牌”中,选择最多的是防火墙,占总数的83.81%。认为当前数字档案信息安全障碍主要有:选择信息安全人才不够的有66人,占总数的33.67%;选择技术不过关的有60人,占总数的30.61%;选择普遍缺乏信息安全意识的有44人,占总数的22.45%。参加了计算机安全知识培训的有158人,占总数的80.61%,其中,参加本单位档案信息安全培训的有77人,占总数的39.29%,参加计生委培训的有85人,占总数的43.37%,86.53%的人员只接受过一次培训。
3 关于我省计生系统数字档案安全的建议
通过定量和定性的分析,得出当前计生系统的数字档案信息安全存在以下问题:档案的数字化水平偏低,多数人员对数字档案信息安全管理的重要性、紧迫性认识不足,认为保障信息安全就是保障数字档案信息安全;对数字档案信息安全知识了解甚少,认为保障数字档案信息安全就是安装杀毒软件、设置防火墙;接受档案业务培训和数字档案信息安全教育频次偏低;行业性的数字档案信息安全制度缺失;缺乏专业数字档案安全管理人才和硬件设备等问题,与当前数字档案信息安全工作发展有相当大差距,与大量应用计算机工作实际情况极不协调。针对以上问题,提出如下建议:
一是加强数字档案信息安全意识教育和宣传。建议在已有的人口数据信息平台的基础上,利用全员、流动人口、利导、人事、财务等人口信息系统服务基层,同时宣传档案和数字档案信息安全知识,以期达到良好效果。在实际工作中,加强宣传和管理力度,将数字档案信息安全工作实行工作考核制,纳入年度考核和目标考评。
二是培养复合型人才。专业信息安全管理人才是保障信息安全的最有效措施。对计生部门全体人员根据对象的业务需求分层级、有重点、有周期地组织数字档案信息安全知识培训,提高数字档案安全意识水平,并保证各层级档案人员接受培训的频次。如通过上级对下级的业务监督指导或参加相关的数字档案信息安全培训、组建QQ业务群、制作数字档案整理流程教学光盘、电子版制度汇编及业务手册等手段,实行多渠道、多层次、多类型的方法培养人才,提高队伍的整体数字档案信息安全业务素质。
三是建立健全数字档案信息安全规章制度。针对调研中发现的缺乏人口计生数字档案信息安全标准规范体系问题,今后,应着重建立管理制度:首先是实行数字档案信息安全管理岗位责任制,做到分工明确、层层负责,确保网络、系统和数据的安全,让参与数字档案信息安全保障的所有人员都能够按照确定的要求去行动。其次是建立符合实际的数字档案信息安全管理制度。根据数字档案业务实际,对数字档案信息化管理的软件、操作系统、数据的维护、防灾和恢复建立相关制度,制定应急处置预案。定期开展应急演练,提高整体数字档案信息安全防范水平。最后是业务工作制度化,对新发现的问题,如人口科技档案、免费计生项目电子档案的归档范围及整理方式等制定相应的管理规范,及时统一归档,为科技业务工作提供高质量的数据支持。
四是项目带动,加快数字档案信息硬件设施的建设。数字档案信息安全工作包括人财物投入、软硬件的集成,需要资金、技术、政策等各方面的支持,通过计划生育科技服务项目带动数字档案信息安全工作是很好的一个途径,争取把数字档案信息安全建设纳入信息化建设总体规划中,从项目获取数字档案信息安全建设的专项资金支持。例如,我院的孕前优生项目数据库的建设,不仅为项目提供了所需的软硬件设施,也推动了单位的数字档案信息安全网络建设。
计划生育系统形成的档案,含有大量民生信息,与改善民生、维护广大人民群众的合法权益息息相关,数字档案信息安全显得尤为重要。由于此次调研样本量有限,难免使所得结论存在一定的局限性。期望此次调研对计生系统不同层级的部门数字档案信息安全工作所作的客观描述,能为推进和改善计生数字档案安全工作提供参考。
根据市人民政府办公室《关于开展政府信息系统安全的检查的通知》(天政电[2010]52号)文件精神。我镇对本镇信息系统安全情况进行了自查,现汇报如下:
一、自查情况
(一)安全制度落实情况
1、成立了安全小组。明确了信息安全的主管领导和具体负责管护人员,安全小组为管理机构。
2、建立了信息安全责任制。按责任规定:保密小组对信息安全负首责,主管领导负总责,具体管理人负主责。
3、制定了计算机及网络的保密管理制度。镇网站的信息管护人员负责保密管理,密码管理,对计算机享有独立使用权,计算机的用户名和开机密码为其专有,且规定严禁外泄。
(二)安全防范措施落实情况
1、计算机经过了保密技术检查,并安装了防火墙。同时配置安装了专业杀毒软件,加强了在防篡改、防病毒、防攻击、防瘫痪、防泄密等方面有效性。
2、计算机都设有开机密码,由专人保管负责。同时,计算机相互共享之间没有严格的身份认证和访问控制。
3、网络终端没有违规上国际互联网及其他的信息网的现象,没有安装无线网络等。
4、安装了针对移动存储设备的专业杀毒软件。
(三)应急响应机制建设情况
1、制定了初步应急预案,并随着信息化程度的深入,结合我镇实际,处于不断完善阶段。
2、坚持和计算机系统定点维修单位联系机关计算机维修事宜,并商定其给予镇应急技术以最大程度的支持。
3、严格文件的收发,完善了清点、修理、编号、签收制度,并要求信息管理员每天下班前进行系统备份。
(四)信息技术产品和服务国产化情况
1、终端计算机的保密系统和防火墙、杀毒软件等,皆为国产产品。
2、公文处理软件具体使用金山软件的wps系统。
3、工资系统、年报系统等皆为市政府、市委统一指定产品系统。
(五)安全教育培训情况
1、派专人参加了市政府组织的网络系统安全知识培训,并专门负责我镇的网络安全管理和信息安全工作。
2、安全小组组织了一次对基本的信息安全常识的学习活动。
二、自查中发现的不足和整改意见
根据《通知》中的具体要求,在自查过程中我们也发现了一些不足,同时结合我镇实际,今后要在以下几个方面进行整改。
1、安全意识不够。要继续加强对机关干部的安全意识教育,提高做好安全工作的主动性和自觉性。
2、设备维护、更新及时。要加大对线路、系统等的及时维护和保养,同时,针对信息技术的飞快发展的特点,要加大更新力度。
金融信息化是一个热点话题,关系金融行业的稳定性和发展。所谓金融信息化,是构建在由通信网络、计算机、信息资源和人力资源等四要素组成的国家信息基础框架之上,由具有统一技术标准,能以不同速率传送数据、语音、图形图像、视频影像的综合信息网络,将具备智能交换和增值服务的多种以计算机为主的金融信息系统互连在一起,创造金融经营、管理、服务新模式的长期系统工程。
当今世界经济全球化趋势日益明显,经济全球化,首先是信息全球化,随着人类社会进入信息时代,金融信息化进程加快,因特网在信息全球化中扮演着非常重要的角色。通信、计算机技术等高科技手段在银行业广泛运用,外资银行大举进入,网络银行迅速发展,给人们带来方便的同时,利用信息网络技术犯罪也在迅速增长。曾几何时,银行存折和信用卡明明在自己手里,银行支票和印章明明锁在保险柜里,计算机操作密码慎之又慎,账户上的存款却不翼而飞。
安全是金融信息系统的生命。在金融信息系统日益发展,信息越来越向上集中,规模越来越大,金融业对它的依赖性不断增加的同时,金融信息化系统安全的重要性也与日俱增。它关系到金融机构的生存和经营的成败,所以,应把金融信息化系统的安全视同资金的安全一样作是金融机构的生命。金融信息系统的安全不仅是金融行业本身的问题,它与我国的经济安全、社会安全和国家安全紧密相连,是保障金融业稳定发展、增强竞争力和生存能力的重要组成部分,金融信息系统的安全已成为我国金融信息化建设中具有战略意义的关键问题。
鉴于金融信息化安全的重要性,对阳泉市农村信用社信息化建设进行了初步调查,发现存在以下几方面的安全问题:
(1)内网与外网没有安全隔离。
目前,我们的业务网络与外网没有完全隔离,并未采取有效的安全措施、运行业务系统的计算机在没有相应安全措施的情况下与外网进行连接。
(2)一些拓展服务没有相应的安全保障措施。
我们的一些拓展服务,没有相应的安全措施。如网上对账系统,服务器运行于外网环境中,没有相应的安全措施,那么可能造成客户信息的泄密;对账系统运行于HTTP协议下,此协议不具备数据加密等要求,同样在数据传输中可能造成客户信息的泄密。
(3)员工信息化安全意识淡薄。
员工对业务系统、计算机密码的设置、保管、更换没有引起高度的重视。很多人的密码较简单,还有很多人的密码为系统预设密码。
(4)计算机外设的使用没有安全保障措施。
对于大多数的计算机外设的使用,我们没有相应的安全制度和措施。外设的随意使用,可能造成我们信息的泄密,如:移动硬盘。
针对以上问题,经过分析研究,觉得以下几方面的措施,可以有力的保障信息安全:
(1) 内网与外网进行有效隔离。
针对内网与外网有效隔离,可以采取运行内网业务计算机上安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;对计算机进行定期扫描系统及应用漏洞;避免安装未知软件,软件均由内网FTP服务器下载;外网出口架设硬件防火墙,并配置访问控制列表,防止计算机被攻击、下马。
(2) 拓展业务采取安全保障措施。
对于拓展业务采取相应的安全保障措施。接入外网的服务器,安装杀毒软件、防火墙,并及时更新病毒库、定时查杀;进行定期扫描系统及应用漏洞;禁止安装非业务相关软件;外网出口架设硬件防火墙,并配置访问控制列表,除业务应用外所有端口封闭;WEB应用采用安全的传输模式,如HTTPS,制作访问证书,并对相应客户颁发相应的访问证书,否则无法访问到业务服务器,并对证书进行定期撤销、更新;修改应用及数据库常用端口、避免端口被扫描及攻击;WEB应用的用户名密码采取MD5方式加密,该加密方式为不可逆,防止客户用户名与密码被窃取;
(3)加强员工信息安全培训。
分批、分级对员工进行信息安全培训,加强员工对信息安全的重视程度、培养信息安全方面的基础知识。
2016年11月29日,普华永道2017年全球信息安全状况调查报告(以下简称“调查”)。此次调查是2016年4月至6月由普华永道和CIO与CSO杂志联合在互联网上开展的全球范围调查研究。调研对象来自CIO和CSO杂志的读者与普华永道的客户群体,涵盖133个国家,其中超过10,000份调研来自CEO(首席执行官)、CFO(首席财务官)、CIO(首席信息官)、CISO(首席信息安全官)、CSO(首席安全官)、VP(副总裁)以及IT与安全总监,48%的受访企业年收益超过5亿美元。
调查显示,在过去12个月中,中国内地及香港企业检测到的信息安全事件平均数量高达2,577起,是前次调查记录的两倍,较2014年更是攀升969%。
同时,调查发现,在过去一年中,全球各行业检测到的信息安全事件平均数量有所下降,为4,782起,比2014年减少3%。
中国受访企业在信息安全方面的投资预算比去年削减了7.6%。值得注意的是,88%的中国受访企业认为,他们在信息安全上的投入受到了数字化的影响,而投入的重点主要集中在那些与企业自身的商业战略及安全监管相匹配的网络安全方面。此外,31.5%的中国受访企业表示其有意在人工智能、机器学习等先进安全技术领域进行投资。
对此,普华永道中国网络安全与隐私保护服务合伙人冼嘉乐认为,“国内一些有前瞻性的企业已经在调整信息安全的投资方向,通过加大对先进网络信息安全技术的投入,来明确并加强其独有的商业价值,为业务增长保驾护航。”
根据调查反馈,针对信息安全事件的攻击途径,49%的中国内地及香港受访者表示,网络钓鱼欺诈是主要手段,而商务邮件首先成为重灾区。44%的中国受访企业认为,内部原因是网络安全的最大威胁。同时,商业竞争对手也是不可忽视的因素。34%的中国受访企业将攻击归因于竞争对手,高于全球数值(23%)。
在商业机会和风险不断演变的大环境中,如何加强物联网中各个连接设备的网络安全,如何利用云科技来部署企业敏感职能已成为企业探索的主要方向。本期调查显示,57%的中国内地及香港受访企业正在对物联网安全策略进行投资(全球为46%),并且已有约45%的IT系统是基于云技术运行的(全球为48%)。
与此同时,根据调查反馈,75%的中国内地及香港受访企业在使用开源软件(全球为53%)。受访企业认为安全管理服务和开源软件能够有效提升企业信息安全水平。
冼嘉乐表示,企业在信息安全方面,应当重视员工的信息安全意识培训,同时做好企业数据的分类工作、对数据分类进行风险评估,并按照级别对信息采取相应的保护措施;采用科技数据保护方案是十分必要的;企业应该加强信息安全的管理,并提高对受访者身份的识别能力。
