为了保证信息系统安全,我们要防范计算机犯罪,需要从技术、法律、管理和教育等几方面着手。信息系统安全教育是建设单位或承建单位保证信息系统安全的重要组成部分,是信息安全体系建设不可缺少的一项重要工作内容。
安全观念先行,抓好安全教育是增强人们安全意识、提高人员安全素质的有效方法,是做好信息系统安全的基础。众所周知,信息系统是人建造的,是为人服务的,除了少数难以预知和抗拒的天灾,很多灾害都是人为的。人,始终是信息系统安全工作的核心因素。所以,增强对人的信息系统安全意识教育是信息系统安全体系中的重中之重。
1)信息系统安全教育的特点
(1)信息系统安全教育是涉及自然科学和社会科学的多学科方面。
目前其教育所涉及的主要有:计算机硬件、计算机软件、电磁泄漏和屏蔽、通信、密码学、电磁材料、工程生理学、管理学、社会心理学、法学、审计学和安全保卫等。
(2)信息系统安全教育是一种特殊教育。
人们很容易忽视下列现象:对计算机病毒的分析、防治,病毒的制造与传播,同时对于病毒在技术上并无确定界限;会加密,同时也具备破译的条件;掌握加密技术的人员给信息系统安全管理工作增加了一份力量;反过来,也可以认为是多了一份信息系统安全的潜在威胁。由此决定了信息系统安全教育不能是任何单位与个人都可以进行的,必须在有关部门统一管理下,目标明确,有领导、有组织、有计划、有步骤地开展。包括在教育的形式上,如安全技术专业的设置、课程的开设、培训班的开办等。一哄而上,良荞不分,会给社会信息系统安全体系增加极大的潜在威胁。
2)信息系统安全教育的对象
凡是与信息系统安全有关的所有人员都可以列为信息系统安全教育的对象:
·领导与管理人员;
·计算机工程人员,包括研究开发人员和维护应用人员;
·计算机厂商的有关人员;
·一般用户;
·计算机安全管理部门的工作人员;
·法律工作人员;
·其他有关人员。
信息系统安全教育的内容比较多,主要包括法规教育、安全基础知识教育和职业道德教育。
1)法规教育
在现代社会中,计算机的社会化程度正在迅速提高。一方面大量与国计民生、国家安全有关的重要数据信息,迅速地向信息系统集中,并被广泛地用于各个领域。另一方面,计算机系统又处在高科技下非法的以至敌对的渗透、窃取、篡改或破坏的复杂环境中,面临着计算机犯罪、攻击和计算机故障的威胁。事实上,计算机的脆弱性所导致的诈骗犯罪,己经给信息化发达国家和公众带来严重损失和危害,成为社会关注的焦点。因此,许多国家在走过一段弯路后,都纷纷采取技术、行政和法律措施,加强对计算机的安全保护,至今己有许多国家制定了计算机安全法准则。
法规教育是信息系统安全教育的关键环节。无论是作为一名计算机工作人员,还是国家公务员,都应该接受信息系统安全法规教育并熟知有关章节的要点。因为法规是我们保证信息系统安全的准则。
2)安全基础知识
安全基础知识教育包括网络安全教育、运行安全教育、实体安全教育、安全技术基础知识等。
(1)安全技术教育:熟练掌握使用一般的安全工具;了解计算机的硬件参数与软件参数、一般信息系统的薄弱点和风险等。
(2)网络安全教育。熟练掌握计算机网络安全方法学、可信网络指导标准、网络安全模型、计算机网络安全设计方法。
(3)运行安全教育。保障信息系统功能的实现,提供一套安全措施来保护信息处理过程的安全。运行安全教育应该了解:信息系统的安全运行与管理、计算机系统的维护、机房环境的监测及维护、随机故障的维修、风险分析、应急、恢复与备份。
(4)实体安全教育。保护信息、系统设备、设施以及其他媒体免遭地震、水灾、火灾、有害气体和其他环境事故破坏的措施。实体安全教育应该了解计算机机房的安全技术要求、实体访问控制、计算机系统的静电防护等。
3)职业道德教育
道德是社会意识形式之一,是一定社会条件下,调整人与人之间以及个人和社会之间的关系的行为规范的总和。
道德属于形态范畴,它是人们的信念或信仰,也是规范行为的准则。全社会良好的道德规范是文明社会的标志之一。道德与法律不同,法律对人们行为的判定只有违法和不违法,而不违法的行为视为正确。法律适合于每一个人,是强制执行,尽管某人可能不同意某一法律工作条文,但必须按照法律的要求去做。法律不可能规定所有符合社会的准则,也不可能处理所有不符合社会行为的事件。而道德是一种人们行为正确和错误的客观标准,社会根据伦理道德标准,规定可接受的行为准则并由社会舆论来监督执行职业道德。首先,应尊重事实,任何不确定的情况应首先了解清楚;其次,所遵循的职业准则应包括诚实、努力工作、适当补偿、尊重隐私权等内容;最后,种种道德准则在特定的情况下会有冲突,有时需要比较、分析而坚持最合理的准则。计算机人员要加强思想道德修养教育,提高其思想认识水平;树立为客户服务,为社会做贡献的思想观念。
法律虽然规定了对社会公物破坏者行为的制裁,但仅仅依靠法律的力量不是惟一的解决办法。重要的是信息系统工程的行业人员和社会都能普遍地认识到安全管理的重要性。从事信息系统工程建设和应用的企业或政府部门要鼓励其员工培养认真、负责的职业作风,道德标准和责任心问题必须寓于教育体系中,尤其在计算机安全教育课程中加以强调。
各省软考办 | ||||||||||