网络安全入门模板(10篇)

时间:2023-09-24 10:20:44

导言:作为写作爱好者,不可错过为您精心挑选的10篇网络安全入门,它们将为您的写作提供全新的视角,我们衷心期待您的阅读,并希望这些内容能为您提供灵感和参考。

网络安全入门

篇1

国际注册信息安全专家(CISSP)认证

主办机构:国际信息系统安全认证联盟(ISC)。

适用人群:针对电信业、银行证券业、系统集成与服务供应商、电子商务和电子政务及企业的信息系统安全专业人员。

报考条件:具备4年工作经验或本科毕业3年者;如经验不够者,通过考试后需工作时间满4年,才能申请CISSP资质。

考试内容:共250道全英文单选题,内容覆盖信息安全公共知识体系的10个专业范畴,着重考核考生的实际专业能力和经验。

CIW网络安全专家认证

主办机构:国际Webmaster协会(IWA)、互联网专家协会(AIP)、国际互联网证书机构(ICII)。

适用人群:适合于已熟练掌握互联网管理技能并希望有效提高网络安全技能的专业人士,如网络服务器管理员、防火墙管理员、系统管理员、应用开发人员及IT安全管理人员。

报考条件:已参加CIW基础培训,或有MCSE、CCNA基础证书者。

考试内容:涉及网络安全与防火墙,Windows和Linux/Unix系统安全,安全审核、攻击与威胁分析等内容,考试时间为90分钟,共60题,以选择题为主。

安全工程师(CCSE)认证

主办机构:Check Point公司,是全球网络安全领域的主流厂商,产品的市场占有率高达68%。

适用人群:从事VPN-1/Firewall-1基本安装及配置的系统管理员、安全管理员及网络工程师。

报考条件:报考者需掌握Windows NT或UNIX的操作知识,熟悉TCP/IP协议原理,并具有一定的TCP/IP与Internet知识和实际经验。

考试内容:共安排两次考试,分别为CCSA认证考和CCSE认证考,均为英文试题,内容涉及配置Internet防火墙、网络拓扑结构、TCP/IP协议、DNS和DHCP等。

哪些证书门槛较高

CISSP

在信息安全认证考试中,CISSP的考试难度最大。CISSP采用全英文试题,需要考生具有扎实的英语基础和丰富的专业英语词汇。此外,考试时间较长,为6个小时,对考生的体力和耐力是一大考验。

CIW

CIW的考试难度和思科考试差不多,难度偏高,而且都偏重实践经验。对考生来说,要想通过考试,多做实验非常重要。

CCSE

总体来看,CCSE考试不太难,但需要考生熟悉Check Point的操作系统,并需要有一定的实践经验。

“十大热门认证”

信息化安全占据三席

2004北美地区十大最热门认证排行榜,仅关于信息化安全的认证就占据了其中三席:第一名:微软MCSE:Security,第三名:美国计算机协会Security+认证,第七名:CISSP(Certified Information System Security Professional,信息系统安全认证专业人员)。可见,在北美地区安全类认证受到追捧。

第一名:MCSE:Security

2003年6月微软该项认证时,大家都很看好这个由企业的专门的安全认证。它属于升级考试,只需要在MCSE课程中多选2门安全升级课程,就可以得到MCSE:security。通过此认证,可以掌握微软平台的系统与安全知识,得到MCSE的title,开始网络安全的职业生涯。基于每年众多的MCSE认证应考者,2004年,MCSE:Security的大热想必是肯定的。

不过也有人觉得这项认证的含金量不高,对于应考者的资质要求也太低,与其他安全认证相比,企业在选择安全人员的时候,很少会选择只有一年经验的候选人即便是拥有MCSE: Security的title。

不过对于网络安全知识的渴望,仍旧激发了大量网友的热情,相比CISSP,MCSE: Security可以给你更多的实际的基础知识。

第三名:美国计算机协会Security+认证

Security+是由全美计算机协会CompTIA颁发的证书,类似国内信息产业部的NCSE,也正是由于这个原因,所以在美国很多人都选择这项带有官方标准的安全认证,但是Security+的知识涵盖面很广,不是普通的入门考试,需要有一定的网络知识,CCNA或者MCSE的基础准备。

第七名:CISSP

安全认证持续走红,CISSP作为权威的安全认证,入选这个排行实至名归。由于是非厂商跨平台的第三方认证,所以使得CISSP在企业市场越加受到欢迎。当然比起其他安全认证CISSP的要求也是最高的,一定程度上影响了人气排名,否则这个认证的热门程度也至少前五。

特别提醒

篇2

1网络工程专业网络安全人才培养的优势

随着网络技术的发展,各种网络威胁也随影而至。特别是无线网络技术的发展,使得互联网的体系结构更加复杂,任何网络节点的薄弱环节都有可能会是网络攻击者的突破口。近几年,引起广泛关注的高级持续性威胁(AdvancedPersistentThreat)更是综合了各种可以利用的突破口对目标进行长期踩点,并在适当的时候对目标发动攻击。因此,网络安全管理人员需要具备操作系统、数据库、密码学的理论与技术、掌握网络路由与交换技术、网络管理技术,网络编程技术,以及常见的网络服务器的管理与配置,尤其是对Web服务器的深入理解。但无论是信息安全专业还是信息对抗专业的培养方案都在网络路由域交换技术、网络管理技术等相关课程的设置方面比较薄弱,无法满足网络安全管理人员对相关知识体系的要求。因此,网络工程专业依托其深厚的网络知识体系,更适合建立网络安全管理所需要的理论技术,更适合培养网络安全管理人才。

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。次开课,经过十年的建设,目前已经成为本专业的骨干课程之一,建有密码学专业实验平台,形成了系统的教学与实践体系。课程设计64学时,其中48学时为理论授课,16学时为实验学时。通过该课程的学习使学生掌握常见密码算法的基本原理及其应用,能够利用相应的密码算法研发安全信息系统或者安全通信系统。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。为此,本文对近3年的毕业生就业情况进行了抽班级统计。每年的毕业生中都有近90%的学生从事与网络管理和网络安全相关的工作,继续考研深造的人数超过10%,其它无业或者情况不明者仅占4%。由此可见本专业基本达到了培养计划所规定的人才培养目标。

篇3

2网络工程专业的网络安全课程体系建设

根据当前社会对于网络和网络安全人才的需求,本校制定了相应的人才培养计划,历经10年的改革与发展,形成了当前网络工程专业下的三个特色方向:网络技术方向、网络安全方向、网络编程技术方向。无论是网络技术还是网络安全技术都离不开网络编程技术的支撑,缺少相应的编程能力网络技术与网络安全技术也注定会是瘸腿的技术,无法满足网络管理与网络安全管理的需求。因此这三个方向相互融合形成的高级网络与网络安全技术方向,形成了目前网络工程专业较为稳定的培养目标。“PKI体系及应用”与“网络安全协议”是以应用密码学为基础的延伸课程。培养学生利用现代密码学的技术研发密码产品的能力。“PKI体系及应用”以证书认证中心为轴心,详细介绍公开密钥基础设施的基本概念、基本原理、基本方法,以及公开密钥基础设施在现代密码产品中的应用研发技术。“网络安全协议”从密码应用系统业务逻辑层面的安全分析入手,介绍常见的网络安全协议、网络安全标准和典型的网络安全应用系统,在此基础上,介绍安全协议设计及其安全性分析的基本理论与技术,使学生掌握基本的网络安全协议设计方法,能够根据具体的应用背景设计对应的网络安全协议,研发安全应用系统。网络攻防类课程是在以“应用密码学”等信息安全类课程开设的基础上,根据网络工程专业的建设和国内网络安全形势的需要而开设的网络维护类课程。其中,“网络攻防技术入门”是在大一新生中开设的新生研讨课,共16学时,分8次上课,以学生讨论的方式组织教学,通过安排技术资料研读和课堂讨论,启发学生对网络攻防技术的学习兴趣,掌握基本的网络威胁防护方法。“网络信息对抗”综合讲授与网络安全相关的法律法规、网络渗透技术和网络防护技术。课程共64学时,理论授课32学时,实验32学时,每个理论学时跟着一个实验学时,以边学边练的方式组织教学。实验教学通过专用综合攻防平台进行验证性训练。“计算机取证技术”主要讲述计算机取证的基本方法、基本过程、数据恢复技术、证据提取技术、证据分析技术,以及常见的计算机取证工具的使用方法。“信息安全技术实训”是在四年级上学期开设的实训课程,共计192学时,8个学分。该课程分为两个部分,第一部分以实际的项目案例为驱动,训练学生对现代密码理论技术应用能力与程序设计能力,目标是设计并实现一个小型的网络安全软件系统。第二部分以实际的网络安全案例为驱动,训练学生对于目标系统的渗透能力与网络加固能力、以及对于整个渗透过程的取证分析能力。该实训课程与学生的实习相互结合,部分学生进入网络安全公司进行实习,提交综合实习报告来获得同校内综合实训相当的学分。通过三年的实践,效果良好。

3网络安全方向的人才培养分析

网络安全方向已经形成了较为完善的课程体系,学生学习兴趣高涨,在校内形成了良好的网络安全研究氛围。自发形成了保有数为20人左右的本科生兴趣研究小组,另外,通过每年一届的全校网络安全知识比赛,促进了全校网络安全知识的普及与人才培养,通过组织参加全省大学生网络信息安全知识比赛,选拔优秀本科生进入相关课题研究,而且都取得了较好的效果。

篇4

1.完整的攻防过程模拟

每次教学都是先构建出一个网络环境,然后在此基础上进行具体网络攻防任务的演示和练习。这样做有两个好处,首先是构建网络会牵涉到前导课程例如网络基础和互联、操作系统、网页制作的知识,先配置出网络环境有利于复习那些知识和技能。另外这样做让学生从头至尾清晰地观察到任务的操作步骤,能尽快进入学校状态。

实践证明,课堂上讲到某个情景任务时,如能讲授理论的同时,亲自进行完整的演示,教学效果是非常好的,当然这会考验教师自己的水平和应变能力,并存在一些不可控的风险,例如发生了意料之外的故障导致演示失败。因此,教师本人也需要不断提高自己的水平,即使水平已经足够,也需要更新知识与时俱进,并经常操作保持熟练度,才能在课堂上游刃有余地向学生讲授和演示。

通常没有专门网络安全实训室情况下,可以综合VMwareWorkstation、GNS3等虚拟机和模拟器软件构建全仿真网络攻防环境。实际上,合理设计加熟练使用,完全可以仿真出足够复杂和逼真的网络环境,演示和练习效果也很好。

2.保持趣味性

不少学生对网络安全有认识误区,一种常见的想法是认为网络入侵技术都很神秘和高端,只有最聪明的黑客才有能力做到。对此可以在教学过程一开始就演示Sniffer嗅探密码、木马植入和远程控制等实验,可以起到先声夺人的效果,让学生被有趣的实验任务吸引,并认识到其实某些网络攻击技术并没有想象的那么难,自己完全可以学会。另外先学习入侵,可以切实感悟到网络安全的脆弱性,有利于后面认真学习安全防护技术。

教学过程中还可以尽量联系现实世界和最新时事,例如讲到密码学知识,联系到现实世界上的情报战。讲到MD5等散列技术,提及CSDN网站用户泄露事件等,都是保持学生学习兴趣的好方法。

3.直面难点

另一个常见认识误区是,有些学生了解了一些网络攻防的基本原理,并在实验环境学会了一些工具的简单使用后,就认为网络安全其实也没什么稀奇,即使不懂原理的拿现成的工具也能完成任务,可一旦面临实际环境中稍微复杂一点情况,又束手无策了。

因此,也需要给学生讲授一些类似驱动编写、反汇编、反编译等高级安全技术。虽然,现在很多学生已经不学汇编、编译原理、操作系统原理这些基础课程了,在有限的课时里无法将技术讲深讲透,但实践证明做一些最简单演示和练习让学生入门是可能的也是有益的。例如,简单使用动态调试工具OllyDBG和反汇编工具IDAPro去爆破一个简单的软件,用开源的MetaSploit漏洞测试平台在没有账号密码的情况下直接入侵一个有漏洞的系统等。

4.适当紧跟最新技术

网络安全领域很多基本原理和方法是多年来没有多大变化的,所以并不需要刻意追求采用最新的平台和版本进行教学。不过对一些过于古老的系统和技术,例如Windows2000、RedhatLinux9及更早的操作系统,IE6以前的安全漏洞之类就确实没必要再讲了。而对于像无线网络、智能手机之类较新领域的安全课题则可以根据条件适当提及。

学习环节的设计

教的环节设计的再好,也无法面面俱到解决所有问题。网络安全的特点是知识点特多,更新快,一些微妙的特定技巧还很难用语言讲清楚,基本只能靠自己去摸索领悟。因此需要创造条件鼓励学生自主学习和进修。

1.设计的实验实训题目不完全定死,保留一定的灵活性,必要时给出思考题和提高难度的操作题。

篇5

1、反病毒技术:计算机病毒是引起计算机故障、破坏计算机数据的程序,它能够传染其它程序,并进行自我复制,特别是要网络环境下,计算机病毒有着不可估量的威胁性和破坏力,因此对计算机病毒的防范是校园网络安全建设的一个重要环节,具体方法是使用防病毒软件对服务器中的文件进行频繁扫描和监测,或者在工作站上用防病毒芯片和对网络目录及文件设置访问权限等。如我校就安装了远程教育中心配置的金山毒霸进行实时监控,效果不错。

2、入侵检测:入侵检测指对入侵行为的发现。它通过对计算机网络或计算机系统中的若干关键点收集信息并对它们进行分析,从中发现是否有违反安全策略的行为和被攻击的迹象,以提高系统管理员的安全管理能力,及时对系统进行安全防范。入侵检测系统包括进行入侵检测的软件和硬件,主要功能有:检测并分析用户和系统的活动;检查系统的配置和操作系统的日志;发现漏洞、统计分析异常行为等等。

从目前来看系统漏洞的存在成为网络安全的首要问题,发现并及时修补漏洞是每个网络管理人员主要任务。当然,从系统中找到发现漏洞不是我们一般网络管理人员所能做的,但是及早地发现有报告的漏洞,并进行升级补丁却是我们应该做的。而发现有报告的漏洞最常用的方法,就是经常登录各有关网络安全网站,对于我们有使用的软件和服务,应该密切关注其程序的最新版本和安全信息,一旦发现与这些程序有关的安全问题就立即对软件进行必要的补丁和升级。许多的网络管理员对此认识不够,以至于过了几年,还能扫描到机器存在许多漏洞。在校园网中服务器,为用户提供着各种的服务,但是服务提供的越多,系统就存在更多的漏洞,也就有更多的危险。因此从安全角度考虑,应将不必要的服务关闭,只向公众提供了他们所需的基本的服务。最典型的是,我们在校园网服务器中对公众通常只提供WEB服务功能,而没有必要向公众提供FTP功能,这样,在服务器的服务配置中,我们只开放WEB服务,而将FTP服务禁止。如果要开放FTP功能,就一定只能向可能信赖的用户开放,因为通过FTP用户可以上传文件内容,如果用户目录又给了可执行权限,那么,通过运行上传某些程序,就可能使服务器受到攻击。所以,信赖了来自不可信赖数据源的数据也是造成网络不安全的一个因素。

3、审计监控技术。审计是记录用户使用计算机网络系统进行所有活动的过程,它是提高安全性的重要工具。它不仅能够识别谁访问了系统,还能指出系统正被怎样地使用。对于确定是否有网络攻击的情况,审计信息对于确定问题和攻击源很重要。同时,系统事件的记录能够更迅速和系统地识别问题,并且它是后面阶段事故处理的重要依据。另外,通过对安全事件的不断收集、积聚和分析,有选择性地对其中的某些站点或用户进行审计跟踪,可以及早发现可能产生的破坏。

因此,除使用一般的网管软件系统监控管理系统外,还应使用目前已较为成熟的网络监控设备,以便对进出各级局域网的常见操作进行实时检查、监控、报警和阻断,从而防止针对网络的攻击与犯罪行为。二、网络运行安全

网络运行安全除了采用各种安全检测和控制技术来防止各种安全隐患外,还要有备份与恢复等应急措施来保证网络受到攻击后,能尽快地全盘恢复运行计算机系统所需的数据。

一般数据备份操作有三种。一是全盘备份,即将所有文件写入备份介质;二是增量备份,只备份那些上次备份之后更改过的文件,这种备份是最有效的备份方法;三是差分备份,备份上次全盘备份之后更改过的所有文件。

根据备份的存储媒介不同,有“冷备份”和“热备份”两种方案。“热备份”是指下载备份的数据还在整个计算机系统和网络中,只不过传到另一个非工作的分区或是另一个非实时处理的业务系统中存放,具有速度快和调用方便的特点。“冷备份”是将下载的备份存入到安全的存储媒介中,而这种存储媒介与正在运行的整个计算机系统和网络没有直接联系,在系统恢复时重新安装。其特点是便于保管,用以弥补了热备份的一些不足。进行备份的过程中,常使用备份软件,如GHOST等。

三、内部网络安全

为了保证局域网安全,内网和外网最好进行访问隔离,常用的措施是在内部网与外部网之间采用访问控制和进行网络安全检测,以增强机构内部网的安全性。

1、访问控制:在内外网隔离及访问系统中,采用防火墙技术是目前保护内部网安全的最主要的,同时也是最在效和最经济的措施之一。它是不同网络或网络安全域之间信息的唯一出入口,能根据安全政策控制出入网络的信息流,且本身具有较强的抗攻击能力。它是提供信息安全服务。实现网络和信息安全的基础设施。防火墙技术可以决定哪些内部服务可以被外界访问,外界的哪些人可以访问内部的哪些服务,以及哪些外部服务可以被内部人员访问。其基本功能有:过滤进、出的数据;管理进、出网络的访问行为;封堵某些禁止的业务等。应该强调的是,防火墙是整体安全防护体系的一个重要组成部分,而不是全部。因此必须将防火墙的安全保护融合到系统的整体安全策略中,才能实现真正的安全。

另外,防火墙还用于内部网不同网络安全域的隔离及访问控制。防火墙可以隔离内部网络的一个网段与另一个网段,防止一个网段的问题穿过整个网络传播。针对某些网络,在某些情况下,它的一些局域网的某个网段比另一个网段更受信任,或者某个网段比另一个网段更敏感。而在它们之间设置防火墙就可以限制局部网络安全问题对全局网络造成的影响。

2、网络安全检测:保证网络系统安全最有效的办法是定期对网络系统进行安全性评估分析,用实践性的方法扫描分析网络系统,检查报告系存在的弱点和漏洞,建议补救措施和安全策略,达到增强网络安全性的目的。

以上只是对防范外部入侵,维护网络安全的一些粗浅看法。建立健全的网络管理制度是校园网络安全的一项重要措施,健康正常的校园网络需要广大师生共同来维护。

篇6

一、加强顶层设计,确立信息安全教育国家战略

 

1.《网络空间安全国家战略》

 

布什政府在2003年2月了《网络空间安全国家战略》,其中首次从国家层面提出了“提高网络安全意识与培训计划”,指出,“除了信息技术系统的脆弱性外,要提高网络的安全性至少面临着两个障碍:缺乏对安全问题的了解和认识;无法找到足够多的经过培训或通过认证的人员来建立并管理安全系统。“为此,美国要开展全国性的增强安全意识活动,加强培训和网络安全专业人员资格认证。

 

2.《美国网络安全评估》报告

 

2009年5月29日美国公布了《美国网络安全评估》报告,评估了美国政府在网络空间的安全战略、策略和标准,指出了存在的问题,提出行动计戈IJ。所提议的优先行动计划之一就是“加强公众网络安全教育”。

 

3.《国家网络安全综合计划》(CNCI)

 

2010年3月2日,奥巴马政府对前布什政府在2007年制定的一份国家网络安全综合计划的部分内容进行解密。CNCI计划提出要实现重要目标之一就是:“为了有效地保证持续的技术优势和未来的网络安全,必须制定一个技术熟练和精通网络的劳动力和未来员工的有效渠道。扩大网络教育,以加强未来的网络安全环境。”

 

4.《国家网络空间安全教育战略计划》

 

2011年8月11日,NIST授权《美国网络

 

安全教育倡议战略规划:构建数字美国》草案,征求公众意见。该规划是美国网络安全教育倡议(NICE)的首个战略规划,阐明了NICE的任务、远景和目标。NICE旨在通过创新的网络行为教育、培训和加强相关意识,促进美国的经济繁荣和保障国家安全,并通过以下三个目标实现这一愿景:增强公众有关网上活动风险的意识;扩展能支持国家网络安全的人员队伍;建立和维持一支强大的具有全球竞争力的网络安全队伍。

 

二、做好立法工作,完善法规标隹体系

 

1.《联邦信息安全管理法案》(FISMA)

 

2002年7月,美国政府制定了《联邦信息安全管理法案》(FISMAhFISMA法案以立法的形式表明美国政府已经认识到信息安全对美国经济和国家安全利益的重要性,并从风险管理角度提出了一个有效的信息安全管理体系。信息安全教育与培训是信息安全管理体系中一个重要环节。

 

FISMA法案明确要求:联邦政府机构须为内外部相关人员提供信息安全风险的安全意识培训,为此还提议了一个较为完善的国家安全意识及其培训系统。

 

2.国防部(DoD)8570指令

 

2005年12月,为了更好地支持“全球信息网格计戈j”,美国国防部了8570指令。该指令涵盖以下主要内容:建立技术基准,管理职员的信息保障技能;实现正规的信息保障劳动力技能培训和认证活动;通过标准的测试认证检验信息保障人员的知识和技能;在基础教育和实验教育中,持续的增加信息保障内容。

 

3.联邦政府信息技术安全培训标准(FIPS)

 

FISMA法案明确指定NIST负责制定联邦政府(除国防、情报部门以外)所使用的信息安全技术、产品和培训方面的国家标准。目前,NIST已制定和两部权威的信息安全培训标准:《信息技术安全培训要求:基于角色和表现的模型》(NISTSP800-16)和《建立信息安全意i只和培训方案》(NISTSP800—50)cNIST在SP800—16标准中提出了信息安全培训概念性的框架,依据这些框架,美国联邦政府部门开展了很多综合性的联邦计算臟务(FSC)项目。

 

4.网络安全法案

 

2010年3月24日,美国参议院商务、科学和运输委员会全票通过了旨在加强美国网络安全、帮助美国政府机构和企业有效应对网络威胁的《网络安全法案》。该法案要求政府机构和私营部门加强在网络安全领域方面的信息共享,强调通过市场手段,鼓励培养网络安全人才,开发网络安全产品和服务。

 

三、构建信息网络安全组织机构,健全安全教育培训管理体制

 

为了落实信息安全教育培训相关政策和法律法规,美国将协调、执行、监督、管理等权利分配给多个政府部门,依据最新的《国家网络安全教育战略计划》的思路,国家标准技术研究所(NIST)为整个计划的负责单位,协调其他部门参与计划的实施;国土安全部(DHS)、国防部(DoD)、国务院、教育部和国家科学基金会(NSF)协力加强公众的信息安全意识;DHS、海关总署、NSF和国家安全局(NSA)共同加强从业人员f支术能力;DHS、DoD、NIST、NSA、NSF和人事管理局(OPM)负责建立高端网络安全人才队伍。

 

社会各界积极参与

 

行业协会已经站到了信息安全教育培训的前沿,成为信息安全教育培训的践行者。其职责主要是协助有关部门制定信息安全教育与培训的标准,组织持续的教育活动,并向内部成员单位实施培训。行业协会自身作为提供教育和培训的主体,一方面可以根据政府的引导和企业的需求来设置培训内容;另一方面可以利用政府和产业界的资源,充分发挥其在信息安全领域内不可替代的社会职能。行业协会提供的培训标准是政府制定的培训标准的主要补充,为规范和完善美国信息安全培训行业提供了切实可行的保障。

 

(1)国际信息系统审计协会(丨SACA)

 

国际信息系统审计协会(ISACA)是一个为信息管理、控制、安全和审计专业设定规范标准的全球性组织,会员遍布逾160个国家,总数超过86,000人。ISACA成立于1969年,除赞助举办国际会议外,还编辑出版《信息系统监控期刊》,制定国际信息系统的审计与监控标准,以及颁授国际广泛认可的注册信息系统审计师(CISA)专业资格认证。CISA认证体系已通过美国国家标准协会(ANSI)依照ISO/IEC17024:2003标准对其进行的资格鉴定。同时,美国国防部也认可了CISA认证,并将其纳入到国防系统信息技术人员技能商业资格认证体系当中。这产生了以下四方面的作用:认可CISA认证所提供的特有资格和专业知识技能;保护认证的信誉并提供法律保护;增进消费者和公众对本认证和持证者的信心;使跨国、跨行业的人才流动更加便利。

 

(2)美国系统网络安全(SANS)研究院SANS是于1989年创立的美国非政府组织(NGO),是一所具有代表性的从事网络安全研究教育的专业机构。1999年SANS首次推出了安全技术认证程序(GIAC)。

 

GIAC认证程序有以下几个特点:

 

GIAC提供超过20种的信息安全认证,其大多数符合DOD8570指令。GIAC依据国家标准对安全专业人员及开发人员进行各方面技能认证。GIAC安全认证分为入门级信息安全基础认证(GISF)和高级安全要素认证(GSEC)。两种认证都重点考察安全基础知识,保证揺正人员拥有必备的安全技能。其它GIAC安全认证包括:认证防火墙分析师(确认设计、配置和监控路由器、防火墙和其它边界设备所需的知识、技能和能力)、认证入侵分析师(评估考生配置和监控入侵检测系统的知识)、认证事故处理员(考察考生处理事故和攻击的能力)和认证司法辩论分析师(考查考生高效处理正式司法调查的能力。

 

(3)国际信息系统安全认证联盟(ISC)2

 

国际信息系统安全核准联盟(ISC)2成立于1989年,是一家致力于为全球信息系统安全从业人员提供信息安全专业技能培训和认证的国际领先非营利组织。在(ISC)2各种认证中,CISSP数量最多。截至2010年底,全球共有75000名CISSP获证人员,其中,美国获证人员数量超过70%^CISSP获证人员中,约30%在政府部门工作,40%从事信息安全月服务行业,30%从事用户终端工作。

 

篇7

2电力系统国内外信息通信网络设备使用现状分析

电力系统信息通信网络是一个覆盖全面的网络,其各项通信和控制活动需要大量硬件设备的运转和工作。然而,在当前技术水平下,我国自主知识产权、自主核心技术设备的比重相对较小,在网络管理和运行上大量依赖从国外进口技术和设备,这种状况导致我国电力系统的安全防护工作存在很大的安全隐患,因此鉴于网络设备功能和操作的特殊性以及国家对电力部门的重要程度,必须加强网络安全管理和防护。一方面为保障电力系统运行的稳定可靠,电力系统通信网络部分技术和设备必须使用;另一方面,国外供应商,尤其是有政治背景的供应商,提供所谓“质量安全”的技术、产品的供应商,可能会在产品上留有“后门”,在软、硬件上存在固有的漏洞,隐藏了可能导致通信中断、错误、设备瘫痪等情况的恶意程序,威胁我国电力系统的安全。

3电力系统信息通信网络安全风险分析

经过多年的发展,我国为提高电力系统的运行效率,积极构建了电力系统管理专用网络。为防止电力系统网络受到互联网的攻击,造成电力系统故障、瘫痪等重大安全事故,我国在构建电力系统网络时采用内、外网双网模式,通过逻辑强隔离或物理隔离的方法构建信息通信网络安全防护的基础。然而,随着技术手段的不断升级和更新,新的网络安全问题不断出现,即使是在内、外网采用物理隔离的情况下,也可以通过各种方式实现对电力系统信息网络的入侵和破坏。

3.1设备与系统方面

在网络设备的选择上,由于当前过度依赖国外进口设备,一旦供应商在供应的网络设备上植入后门、木马等程序,将导致电力系统信息通信网络完全、局部对外部网络开放,最终导致电力系统信息通信网的安全风险。随着科技的不断发展,网络入侵和控制手段也不断增加,通过采用电磁辐射或者无线电信号可以实现对电力系统信息通信网络的入侵;通过利用供应商预设在硬件设备中的木马程序,使其发射出特有的辐射或者无线电信号,攻击者可利用这些信号实现对信息通信网络的侦测、破译和控制,从而实现对内网的破坏。同时,在系统设备的缺陷、漏洞上的防护不全面,也是极容易被攻击者利用的。由于部分系统漏洞被供应商公开或者电网系统修复不及时,使服务器等网络设备可能遭至频繁的攻击和利用,更加大了我国电力系统信息通信网络的安全风险。

3.2人员控制方面

我国电力系统内外网分离的策略取得了一定的成效,降低和消除了一部分由网络攻击等造成的系统故障。但是,在内网管理和运营上,管理和操作人员在运行维护过程中存在大量风险。一方面,由于部分核心设备依赖进口,其故障、维护、升级等过程过度依赖外来的技术人员,在进行内网系统监测维护期间大量敏感数据可能为他人所得进行非法研究;另一方面,电网公司内部的管理人员、操作人员也可以通过移动存储介质、终端等数据通讯时,利用设备预留的后门、漏洞等植入病毒或木马,使电力系统信息通信网络遭受内网式攻击。

4电力系统信息通信网络安全防护的措施

4.1设备供应国产化

设备安全是电力系统信息通信网络安全的基础,确保设备供应的国产化,尤其是核心设备的国产化可以在一定程度上规避进口设备的安全风险,降低由于进口设备存在预留后门、开放漏洞等隐患造成的各类设备风险,防止设备安全隐患威胁整个电力系统通信网络安全。

4.2设备供应审查化

在针对设备供应商的选择上进行严格的审查化,通过对供应企业的资质审核、设备选型、安全准入、企业投资人、操作人员、企业背景等进行严格的审查,提高供应商准入门槛,确保供应商在政治和经济利益上与国家的一致性。

4.3设备投运管控化

首先,在设备选购、实用分析阶段,对网络设备进行全方位的安全检测,降低和消除各类后门、策略配置以及代码等潜在的风险,对设备运行进行可行性分析,针对后门、策略配置以及代码等问题,与供应商一起积极协作,消除风险。其次,在使用过程中,针对系统和设备出现的各类问题和漏洞,与供应商积极沟通,升级消除,并通过完善漏洞数据库,实现漏洞监测和跟踪修复工作。同时,在实际控制过程中建立防范预警模式,优化电力系统信息网络安全监测系统,对系统运行状况、操作记录等进行日记化备份,对系统的重要内容进行隔离备份,以防遭受攻击后系统不能正常恢复。

4.4人员控制严格化

在人员控制方面,建立相关人员的管理和控制制度,对人员进行审查、教育,完善队伍管理工作,保障在电力系统通信网络操控过程中的安全,在内网独立的基础上,保障人员控制质量,消除人员控制失误和恶意攻击风险,同时做好离线设备的信息处理和消除教育工作,防止重要信息的泄漏。

5结论

篇8

1.学历教育

加强学科专业建设是加强信息安全人才培养的一个重要途径。自2001年教育部批准信息安全专业以来,我国已有100多所高校设置了信息安全类相关本科专业。2015年,国务院学位委员会、教育部联合发文《关于增设网络空间安全一级学科的通知》,旨在全面提升网络空间安全学科建设水平,为网络空间安全学科的发展带来机遇。事实上,网络空间安全学科在我国经过10多年的发展,理论和技术已经较为成熟,主要体现在以下几个方面:一是网络空间安全学科具有明确的研究对象,并形成相对独立的理论体系和研究方法。研究对象是网络空间及其安全问题。二是网络空间安全已经形成了若干相互关联的二级学科研究方向,密码学及应用、系统安全、网络安全是本学科多年来公认的三个比较成熟的研究领域,另外,还包括网络空间安全基础理论和应用系统安全。三是网络空间安全的研究已得到国内外学术界的普遍认同,并已经积累了多年的研究或信息安全相关专业人才培养的经验和基础。高校的信息安全和网络空间安全专业学历教育毕业生是网络信息安全人才培养的重要渠道之一。

2.安全竞赛

信息网络安全具有很强的实践性,高校培养的信息安全人才和企业的实际需求还存在一定的差距,为了解企业对于信息安全人才的需求,高校师生参加网络安全技能竞赛,通过竞赛查不足、补短板,激发学生的学习热情,增强学习的针对性。高校可与网络安全相关度高、需求迫切的企业建立长期对口合作关系,根据企业实际需求培养学生实践能力。

3.单位内训

高校毕业生毕业进入企事业单位后,需要快速融入企业,掌握本岗位所需各种技能,很多单位针对信息安全从业人员组织单位内训。目前,很多单位采用在线授课和面授方式组织单位内部的信息安全培训。通过短期面授的方式组织信息安全培训,快速提升企业员工的岗位技能。企业内部的在线教育平台提供信息网络安全实践环境,这些在线教育的平台除了可以提供面向信息安全相关专业的相关课程实验之外,还紧跟国内外最新的安全技术发展与典型的安全热点事件,通过适当的简化与还原,为单位内训提供一系列与时俱进的创新型实践环境。

4.持续教育

信息安全持续教育是提高信息安全从业人员整体水平,解决信息安全专业人才缺口的重要方法和途径。国内与信息安全行业相关的培训机构也逐年增多,通过培训机构的持续教育提高信息安全专业毕业生的总体水平。国内现有的信息安全认证培训已经建立了多层次、综合性与专业性相结合的体系,从数量到质量都得到长足发展,为国家信息安全的人才培养打下良好基础。通过开展面向信息安全认证从业人员的专业持续教育培训工作,提高了信息安全认证相关人员的执业水平,加快了我国信息安全专业技术人才队伍的培养,保障了信息安全认证人员队伍的质量和数量。

信息安全人才教育培养所需条件

信息安全人才教育培养需要体系化教材、专业化师资和系统化实践环境。

1.体系化教材

体系化优秀教材是网络空间安全专业人才的关键,但是,这却是一项十分艰巨的任务。原因有二:其一,网络空间安全的涉及面非常广,至少包括密码学、数学、计算机、操作系统、通信工程、信息工程、数据库等多门学科,因此,其知识体系庞杂、难以梳理;其二,网络空间安全的实践性很强,技术发展更新非常快,对环境和师资要求也很高。教材是教学的基础。优秀体系化教材建设需要制定科学合理的网络安全教材编写方案,邀请高水平学者加入教材编委会,明确分工、层层把关,做好教材的编纂、评审和发行工作。此外,还可以开发视频教学资源,推动传统书本教材向多媒体互动式教材转化提升,可加强入门性、普及性培训教材和相关科普读物的编写。

2.专业化师资

信息网络安全人才培养离不开专业化师资队伍。新设立的网络安全学院需要大量的学术水平高的教师,以提高我国网络空间安全教育的整体水平。针对一些高校网络安全方面教师缺乏的情况,可以采取多种形式对高等院校网络安全专业教师开展在职培训。鼓励与国外大学、企业、科研机构在网络安全人才培养方面开展合作,不断提高在全球配置网络安全人才资源能力。支持高等院校大力引进国外网络安全领域高端人才,重点支持网络安全学科青年骨干教师出国培训进修。积极创造条件,聘请经验丰富的网络安全技术和管理专家、民间特殊人才担任兼职教师。鼓励高等院校有计划地组织网络安全专业教师到网信企业、科研机构和国家机关进行科研合作或挂职。鼓励和支持符合条件的高等院校承担国家网络安全科研项目,吸引政治素质好、业务能力强的网络安全教师参与国家重大科研项目和工程。

3.系统化实践

篇9

【摘 要】互联网技术在全球迅猛发展,信息化技术在给人们带来种种物质和文化生活享受的同时,我们也正受到日益严重的来自网络安针全的威胁。针对这些问题,提出了一些网络安全的策略。

关键词 网络安全;隐患;安全策略

0 引言

近年来,随着科学技术的不断发展,网络的规模化和复杂性也在不断扩大。在人们对计算机网络的喜爱程度不断飙升的同时,网站被黑客攻击的事件频发,大量用户数据不断被泄露,网络安全日益受到威胁。对于小型网站,如何保障服务器的安全高效运行,提高网络服务性能,成为网络管理员研究的重点,保障网络高效运行的任务也日趋紧迫。

1 网络安全

网络安全从其本质上讲就是网络上的信息安全,指网络系统的硬件、软件及数据受到保护,不遭受破坏、更改、泄露,系统可靠正常地运行,网络服务不中断。国际标准化组织(ISO)将计算机安全定义为“为数据处理系统建立和采取的技术和管理的安全保护,保护计算机硬件、软件数据不因偶然和恶意的原因而遭到破坏、更改和泄露。”我国自己提出的定义是:“计算机系统的硬件、软件、数据受到保护,不因偶然的或恶意的原因而遭到破坏、更改、显露,系统能连续正常运行。”因此,所谓网络安全就是指基于网络的互联互通和运作而涉及的物理线路和连接的安全,网络系统的安全,操作系统的安全,应用服务的安全和人员管理的安全等几个方面。但总的说来,计算机网络的安全性,是由数据的安全性、通信的安全性和管理人员的安全意识三部分组成。

网络安全根据其本质的界定,应具有以下基本特征:

1.1 机密性

是指信息不泄露给非授权的个人、实体和过程,或供其使用的特性。在网络系统的各个层次上都有不同的机密性及相应的防范措施。在物理层,要保证系统实体不以电磁的方式向外泄露信息,在运行层面,要保障系统依据授权提供服务,使系统任何时候都不被非授权人使用,对黑客入侵、口令攻击、用户权限非法提升、资源非法使用等;

1.2 完整性

是指信息未经授权不能进行改变的特性。即信息在存储或传输过程中不被修改、不被破坏、不入、不延迟、不乱序和不丢失的特性;

1.3 可用性

是指合法用户访问并能按要求顺序使用信息的特性,即保证合法用户在需要时可以访问到信息及相关资料。在物理层,要保证信息系统在恶劣的工作环境下能正常进行。在运行层面,要保证系统时刻能为授权人提供服务,保证系统的可用性,使得者无法否认所的信息内容。接受者无法否认所接收的信息内容,对数据抵赖采取数字签名。

2 网络安全的隐患

一般认为,计算机网络系统的安全威胁主要来自以下方面:

2.1 人为的无意失误

如操作员安全配置不当造成系统存在安全漏洞,相当比例的计算机设备管理人员并不具备相应的上岗的技术条件,也不具有相关的安全意识和责任心,无视操作规范要求。比如采用明码传输信息、密钥反复使用、密码设置过于简单等,将自己的帐号随意转借他人或与别人共享等都会给网络安全带来威胁。计算机用户在使用过程中,缺乏安全常识,同时也为计算机网络安全带来了危险。

2.2 人为的恶意攻击

这也是目前计算机网络所面临的最大威胁,比如敌手的攻击和计算机犯?罪都属于这种情况,此类攻击又可以分为两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息。这两种攻击均可对计算机网络造成极大的危害,并导致机密数据的泄漏。

2.3 网络软件的漏洞和“后门”

任何一款软件都或多或少存在漏洞,这些缺陷和漏洞恰恰就是黑客进行攻击的首选目标,黑客可通过研究这些漏洞,寻找破坏的机会。当前主流的操作系统无一例外全部存在着漏洞和后门,为计算机网络安全带来了隐患。绝大部分网络入侵事件都是因为安全措施不完善,没有及时补上系统漏洞造成的。此外,软件公司的编程人员为便于维护而设置的软件“后门”也是不容忽视的巨大威胁,一旦“后门”洞开,别人就能随意进入系统,后果不堪设想。

3 网络安全策略

如何才能使网络百分之百的安全,对这个问题的最简单的回答是:不可能。因为迄今还没有一种技术可完全消除网络安全漏洞。网络的安全实际上是理想中的安全策略和实际的执行之间的一个平衡。从广泛的网络安全意义范围来看,网络安全不仅是技术问题,更是一个管理问题,它包含管理机构、法律、技术、经济各方面。我们可从提高网络安全技术和人员素质入手,从目前来看。应注重以下几方面:

3.1 建立防火墙

网络工作就像一座办公楼或者一栋住宅的安全工作一样。你需要首先在门上安装一把锁,以便让未经容许的人和不受欢迎的人不能进入,把“锁”就是“防火墙”。防火墙能够控制网络上来往的信息,而仅仅容许合法用户进出局域网,它最好具备以下基本功能:(1)数据包过滤,主要是防止IP欺骗,TCP同步泛滥等。(2)网络地址翻译,它和数据包过滤通常是结合在一起的。它可将局域网中的虚拟IP地址转换成因特网上合法的IP地址,即能够增加专用网络中可用的IP地址数,又能够达到隐藏主机真实IP地址的目的。(3)应用级。网络地址翻译不能完全约束通过防火墙的数据包,也无法防范在应用层的攻击,如电子邮件缓冲区溢出和恶意的 javascript等,而应用层则能够避免上述问题的发生。(4)身份认证,通过身份认证可以实现对用户的访问控制,进而实施特定的安全策略。(5)虚拟专用网(VPN),这是一种通过公共网络(因特网)实现的具有授权检查和加密技术的通信方式。这种方式能够安全的连接因特网上两个物理上分离的网络,并且传送的数据不会被非法窃取。

3.2 病毒防护

网络的病毒防护应该是一个多层次、全方位、立体的计算机病毒防范措施。必要时应建立高级防病毒引擎,检测和阻止包含了计算机病毒的网络数据流。具体包括以下三个方面:

3.2.1 单机防护

对通过磁盘、可移动磁盘、光盘、调制解调器连接所收发的文件进行防护。

3.2.2 局域网防护

服务器端要求实现对通过网络操作系统及磁盘、光盘、调制解调器所收发文件的病毒防护。客户端工作站平台上实现对通过磁盘、可移动磁盘、光盘、网络映射驱动器、调制解调器所收发文件的病毒防护,并实现客户端与服务器端相配合的网络病毒防护构架。

3.2.3 互联网防护

要求实现对所收发的文件、电子邮件以及通过 Internet进入或发出的HTML文档的病毒防护。

3.3 建立网站监控与恢复系统

建立网站监控和恢复系统能够在系统受到攻击时具备继续完成既定任务的能力,可及时发现入侵行为并做出快速、准确的响应,预防同类事件的再发生。在灾难发生后,使用完善的备份机制确保内容的可恢复性,将损失降至最低。

3.4 重视网络安全的管理

首先是加强立法,及时补充和修订现有的法律法规。用法律手段打击计算机犯罪。其次是加强计算机人员安全防范意识,提高人员的安全素质,许多网络安全事件的发生都和缺乏安全防范意识有关。另外还需要有健全的规章制度和有效、易于操作的网络安全管理平台。

4 结语

网络安全与网络的发展戚戚相关。计算机网络系统是一个人机系统,安全保护的对象是计算机,而安全保护的主体则是人,应重视对计算机网络安全的硬件产品开发及软件研制,建立一个好的计算机网络安全系统,也应注重树立人的计算机安全意识,才可能防微杜渐,把可能出现的损失降低到最低点。

参考文献

[1]陈豪然.计算机网络安全与防范技术研究[J].科技风,2009(22).

篇10

一、高校大学生是消费信贷的重要参与者

消费信贷,是以刺激消费,扩大商品销售,加速商品周转为目的,以未来的收入为依据,以特定商品为对象,由放贷人向借贷人提供的贷款,以支持借款人购买消费品或进行消费活动,其实质是放贷人向有一定支付能力的消费者调剂资金余缺的信贷行为和信用关系。[1]自2005年开始我国消费信贷规模一直保持高速增长,截止2015年已达到约21万亿人民币。同时,网络消费信贷则是近年来发展迅猛的一种消费信贷方式,更是当前高校大学生的一种主要消费方式。

作为消费信贷的重要参与者,大学生的信贷消费主要集中在数码电子产品、学习生活消费、休闲娱乐消费、创业消费四个主要方面。[2]大学生群体有着享受生活的消费观、前卫新潮的消费心态、个性时尚的消费方式,因而消费信贷平台非常符合其消费特点。但大学生生活来源单一、花销两极分化,对网络借贷接纳意愿度高,投资心态不成熟,看重小额灵活、低成本消费的特点,[3]也使得互联网消费信贷对高校大学生产生了很多不良影响,包括盲目消费、攀比消费、冲动消费等。互联网消费信贷的快速发展和数码产品更新换代越来越快正好迎合了大学生对消费信贷的巨大需求,进一步激发了大学生的消费信贷欲望。

二、高校大学生消费信贷行为的现状分析

(一)问卷发放

本研究以互联网为主要平台,发放问卷并收集数据。问卷面向在校大学生,问题涉及受访大学生的每月生活费水平、对网络消费信贷的了解来源、使用的消费信贷平台、网络信贷消费品种类等方面,基本涵盖了研究所需的数据内容。问卷设计以选择题为主,答题便捷,有效率较高,目标发放问卷300份,其中回收有效问卷267份,有效回收率89%,问卷发放时间为2016年6月至10月31日。

(二)问卷调查结果

在样本学生中,男女比例为109:158;样本学生分布在各个年级,其中大一学生80人,大二学生150人,大三学生28人,大四学生8人,其他1人;所在地区以沈阳市和天津市居多。

在大学生的每月生活费水平方面,3.75%学生每月生活费在500元以下,31.09%学生每月生活费在500~1000元,65.16%学生每月生活费在1000元以上。

三、高校大学生消费信贷行为存在的问题及原因分析

(一)网络消费信贷门槛低

一方面,网络信贷行业的准入门槛低,对于想要进入该行业的人而言,创建网络借贷平台很简单快捷,只需要几台电脑,几个员工,少量的资金就可以搞定一个网站,再加上一点宣传就能吸引很多大学生前来信贷消费,从中谋取丰厚的利润。这种较低的网络消费信贷行业准入门槛正是当前该行业混乱的重要原因之一,进一步导致越来越多的大学生在对平台不是很了解的情况下就进行信贷消费,从而上当受骗,造成比较大的经济损失。

另一方面,网络信贷的发展为小额信贷拓展了广阔的空间,贷款人群的数量和范围不受限制,借贷双方资金对接效率高,这也为大学生的网络消费信贷提供了机会。同时,网络贷款审核程序较简单,审核效率高且主要为信用贷款,无贷款抵押且不需要第三方担保人担保。有贷款需求的大学生不需向平台提供资产上的抵押即可获得贷款,那些无资产抵押又想申请银行贷款却被银行拒之门外的大学生也可以获得资金上的帮助。因此,正是网络信贷的准入门槛低和大学生网络信贷的容易获得,促使越来越多的大W生选择网络消费信贷。

(二)网络消费信贷监管缺位

我国的网络信贷发展起步较晚,但在近几年发展迅猛,存在的问题也逐渐显露出来,尤其是监管缺位。一方面,由于当前国内对P2P等网络信贷平台尚无明确的政策法规框架,缺乏有效的监督管理机制以及行业标准,因而导致市场参差不齐,[4]监管比较困难。此外,中国目前个人征信体系没有全面建立,网络借贷公司贷款资质审查又不够严格,导致大学生比较容易接触到网络消费信贷,进而产生一系列问题。

另一方面,在我国网络消费信贷监管方面,突出的问题就是很难确定具体的监管部门,即针对网络信贷缺乏一个专门的监管机构。此外,网络信贷行业准入门槛较低,只需在工商部门注册就可以运营,后期的发展限制较少。再加上我国缺少相关的法律法规支持,本身又缺乏经验,传统的监管手段在当前并不适用。因此,正是由于我国在网络消费信贷监管方面存在的不足,使得大学生消费信贷的安全性难以得到根本的保障,越来越多的大学生深受其害。

(三)大学生对自身和网络消费信贷的认识不足,金融安全意识薄弱

在问卷调查中,大多数大学生仅仅通过网站广告和校园传单了解到网络消费信贷,对其理解尚停留在比较浅的层次,缺乏全面准确的理解,对于网络信贷方面的安全意识淡薄,未能掌握一些关于网络信贷的基本经验和技巧,导致在遇到网络信贷时易冲动消费。

大学生往往引领着潮流,对于3C产品和衣帽等有着大量的需求,但是每个月的生活费并不能使他们感到满意,潜在的消费需求不能从父母那里得到满足,只能通过网络信贷来满足,但是由于自控能力差、超前的消费观、盲目攀比的价值观以及金融安全意识薄弱,导致网络信贷安全事件频发。这不仅与大学生自身消费能力弱,缺乏对基本金融安全知识的掌握有关,也和学校方面缺乏对于网络信贷安全知识的普及和宣传有关。

四、完善高校大学生消费信贷行为的对策

(一)提高网络消费信贷门槛

一方面,政府应提高诸如P2P、分期乐、校园贷等消费信贷平台的准入门槛,如适当提高消费信贷平台的注册资金、增加对消费信贷平台运营条件的限制、密切监控消费信贷平台的风险等,通过一系列的政策性规定,从不同的角度提高消费信贷行业的准入门槛。

另一方面,政府应严格限制信贷平台对大学生的消费信贷。比如信贷平台必须严格审核大学生的信贷申请材料,实行线上和线下审查结合的方法,对于不符合要求的申请,坚决拒绝,务必层层审核,严格把关,确保真实准确。此外,也可规定大学生申请信贷消费要根据要求提供担保人等。

(二)加大对网络消费信贷监管的力度

一方面,政府应该大力推进网络信贷的立法进度,完善现行的法律法规,清晰的界定网络信贷各个主体之间的责任和关系,就网络信贷平台的合法性、借贷资金的安全性、交易的真实性等方面加快立法进程,以适应社会实际的需要。

另一方面,政府应该明确网络信贷的监管主体,确立专门的监管机构负责监督管理,银监会、证监会、工商部等部门积极协作,明确各个部门的监管职责和范围。同时,政府应该加强引导网络信贷行业自律,对于相关的重大信息给予披露,提升行业的清晰度和透明度,促进消费信贷行业健康发展。

(三)完善大学生网络消费信贷行为

一方面,大学生应该树立正确的消费观和价值观,遇到自己喜爱的商品,做到不盲从、不攀比,根据自身实际情况适当消费。同r,可通过兼职、勤工俭学、创业等形式增加自己的可支配收入,提升自身的消费能力,以此来满足对消费的需求。

另一方面,高校应该充分利用课堂和课外时间,加强大学生的网络安全知识和网络金融安全法制教育,积极开展形式多样的信贷网络安全教育活动。如举办消费信贷安全知识大赛、消费信贷安全知识调查等,既可以丰富大学生的业余生活,又可以在校园中宣传网络消费信贷安全知识,积极引导学生全面发展,提高自控能力。此外,高校也可成立专门的信息安全管理机构,负责校园网的日常安全与管理工作,及时了解本校学生的网络信贷使用情况。

参考文献

[1]周显志.论加强和完善我国消费信贷法律制度建设.载《法治论坛》2011年6月30日,第九页.

[2]王瑜,范伟源.大学生消费信贷现状分析.西安航空职业技术学院,2016.

[3]宫慧菁,吴珏贤,陈敏纯等.基于消费角度的经济发达地区高校学生对网络借贷的使用意愿[J].商场现代化,2015 (8):261.