序言:寫作是分享個人見解和探索未知領域的橋梁�,我們?yōu)槟x了1篇的信息安全論文樣本���,期待這些樣本能夠為您提供豐富的參考和啟發(fā)�����,請盡情閱讀。
信息安全論文:信息安全技術標準分類體系研究
摘要:介紹了國內(nèi)外信息安全標準體系的現(xiàn)狀,在對目前系統(tǒng)安全問題分析的基礎上,提出了信息安全技術參考模型和標準體系框架,探討了信息安全標準化工作存在的問題,并提出了建議��。
關鍵詞:信息安全標準體系標準
信息系統(tǒng)安全體系的研制和建設是一個非常復雜的過程,如果沒有與之相配套的安全標準做支撐,就不能實現(xiàn)系統(tǒng)的安全可信,只有從系統(tǒng)的視角全面考慮信息系統(tǒng)的安全性,構建起合理的信息安全標準體系,才能保證各信息系統(tǒng)和平臺的安全可控和高效運行,也只有建立起涵蓋系統(tǒng)安全結構的完整的技術標準體系,才能促進安全組件之間的相互協(xié)作和關聯(lián)操作,實現(xiàn)系統(tǒng)安全性的最大化�。
1信息安全標準體系分類現(xiàn)狀
1.1信息安全國際標準現(xiàn)狀及分類體系
1.1.1美國國防部信息安全標準體系
美國國防部(DoD)將美軍信息安全標準按安全部件與安全功能相結合的方法進行分類,其標準體系見圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標準���、信息傳輸安全標準�、信息理解表示安全標準、安全管理標準和安全環(huán)境標準五類�。安全功能從信息安全的基本要素(機密性���、完整性、可用性��、可控性、抗抵賴性)來進行劃分,分為鑒別安全服務標準��、訪問控制安全服務標準、保密性安全服務標準�、完整性安全服務標準�����、抗抵賴性安全服務標準和可用性安全服務標準六類。DoD的信息安全標準體系,雖然覆蓋全面,但安全部件和安全功能之間的標準交叉重復比較多,層次不夠清晰���。
1.1.2聯(lián)合技術參考模型(JTA 6.0)
JTA 6.0中的信息安全標準體系為實現(xiàn)對國防部信息系統(tǒng)的安全防護提供了支撐,包括(本地)計算環(huán)境、飛地邊界�����、網(wǎng)絡和基礎設施、支撐性基礎設施和安全評估五類標準����。這種分類比較合理,但分類下面對應的標準大部分是國際標準和美國國家標準,因此,應在借鑒該分類的基礎上,針對目前我國已有的國家標準,建立起合理的標準體系。
ISO信息安全工作組分類如圖3所示����。目前,ISO制定的信息安全標準按照工作組的分類分為信息安全管理體系(ISMS)標準����、密碼和安全機制���、安全評價準則���、安全控制與服務和身份管理與隱私技術五類。該分類方法比較粗糙,對于建立安全運行的信息系統(tǒng),針對性不太強����。
1.1.4國際電信聯(lián)盟(ITU-T)標準
ITU-T SG17組負責研究網(wǎng)絡安全標準,包括通信安全項目���、安全架構和框架���、計算安全��、安全管理�、用于安全的生物測定、安全通信服務,如圖4所示該分類方法對信息安全技術分類比較粗糙,信息安全技術也只側重于通信安全��。
ITU-T頒布的比較有影響力的安全標準主要有:消息處理系統(tǒng)(X.400系列)、目錄系統(tǒng)(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標準是PKI的重要基礎標準,X.805是端到端通信安全的重要標準����。
目前,ITU-T在安全標準化方面主要關注NGN安全����、IPTV安全��、身份管理(IDM)��、數(shù)字版權管理(DRM)、生物認證��、反垃圾信息等熱點問題。
1.2國家信息安全標準體系
我國國家信息安全標準自1995年開始制定,至2002年共制定標準19項,全部由國際標準直接轉化而來,主要是有關密碼和評估的標準����。在這19項中,2004年后已有12項進行了修訂。自全國信息安全標準化技術委員會2004年成立以來至目前我國實際現(xiàn)存正式信息安全標準87項,這些標準中,既包括技術標準,如產(chǎn)品和系統(tǒng)(網(wǎng)絡)標準,亦包括管理標準,如風險管理標準等,覆蓋了當前信息安全主要需求領域。
由此可見,目前我國信息安全標準的制定工作已經(jīng)取得了長足的進展,標準的數(shù)量和質量都有了很大的提升,本著“科學、合理���、系統(tǒng)��、適用”的原則,在充分借鑒和吸收國際先進信息安全技術標準化成果和認真梳理我國信息安全標準的基礎上,經(jīng)過全國信息安全標準化技術委員會各工作組的認真研究,初步形成了我國信息安全標準體系��。該標準體系分類相對合理���、全面,涵蓋了體系結構�����、安全保密技術、安全管理和安全測評等方面的標準,但龐大繁雜的標準體系常常讓開發(fā)人員無所適從,無法選取需要遵循的標準��。因此,針對信息安全系統(tǒng)的開發(fā)工作要進一步精簡標準體系,突出重點,尤其是影響系統(tǒng)集成方面的安全接口標準,進而增強各個安全組件之間的互操作和安全技術間的協(xié)作,提升整個信息系統(tǒng)的安全防護能力。
支撐性基礎設施主要涉及到實現(xiàn)通信與網(wǎng)絡��、應用環(huán)境和數(shù)據(jù)安全所應用的支撐性技術,包括認證�、授權���、訪問控制、公鑰基礎設施(PKI)和密碼管理基礎設施(KMI)����。
通信與網(wǎng)絡安全主要體現(xiàn)在網(wǎng)絡方面的安全性,包括網(wǎng)絡層身份認證�����、網(wǎng)絡資源的訪問控制�����、數(shù)據(jù)傳輸?shù)谋C芘c完整性��、遠程接入的安全��、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測的手段���、網(wǎng)絡設施防病毒等。
應用環(huán)境安全主要包括終端安全和應用系統(tǒng)安全���。其中:
終端安全主要包括計算機和服務器的安全�。其中服務器可以歸結為廣義上的終端,防火墻、IDS��、服務器存儲備份等技術可以為服務器提供安全服務�����。
應用系統(tǒng)的安全問題主要來自網(wǎng)絡內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫的安全,操作系統(tǒng)安全主要表現(xiàn)在三個方面:(1)操作系統(tǒng)本身的缺陷帶來的不安全因素,主要包括身份認證��、訪問控制�、系統(tǒng)漏洞等;(2)對操作系統(tǒng)的安全配置問題;(3)病毒對操作系統(tǒng)形成的威脅。數(shù)據(jù)庫系統(tǒng)的威脅主要來自:非法訪問數(shù)據(jù)庫信息;惡意破壞數(shù)據(jù)庫或未經(jīng)授權非法修改數(shù)據(jù)庫數(shù)據(jù);用戶通過網(wǎng)絡進行數(shù)據(jù)庫訪問時受到各種攻擊,如搭線竊聽等����。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運行的核心,數(shù)據(jù)的安全性保障關系到整個系統(tǒng)能否正常運行和服務。數(shù)據(jù)安全通過數(shù)據(jù)容災備份技術、網(wǎng)絡隔離技術和加密技術保障數(shù)據(jù)的完整性����、不受損壞、不被竊取��。數(shù)據(jù)容災備份主要通過對系統(tǒng)����、數(shù)據(jù)���、文件等進行快速��、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復的機制�。網(wǎng)絡隔離技術主要通過隔離網(wǎng)絡攻擊來確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點加密來確保數(shù)據(jù)不被截獲。
安全運維管理是在企業(yè)進行了一定的安全系統(tǒng)建設之后的工作,其目的是保證所應有的安全產(chǎn)品和技術能夠真正���、充分發(fā)揮其預期應有的效果和效率��。安全運維管理包括安全設備的策略配置�、安全測評�����、安全監(jiān)控和審計���、安全應急響應等方面的技術,主要完成安全風險的實時監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。
3信息安全標準分類體系
信息安全技術參考模型是建立信息安全標準體系的基礎和前提,只有在信息安全技術發(fā)展趨勢的基礎上建立起覆蓋全面,分類合理的標準體系,才能科學地預見需要制/修訂的標準,進一步明確信息安全標準化的研究方向,更好地支撐信息安全系統(tǒng)的開發(fā)和集成,確 保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作��。在前面提出的技術參考模型的基礎上,進一步對信息安全標準體系進行了劃分���。
應用環(huán)境安全主要包括終端安全和應用系統(tǒng)安全�。其中:
終端安全主要包括計算機和服務器的安全���。其中服務器可以歸結為廣義上的終端,防火墻�����、IDS、服務器存儲備份等技術可以為服務器提供安全服務��。
應用系統(tǒng)的安全問題主要來自網(wǎng)絡內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫的安全,操作系統(tǒng)安全主要表現(xiàn)在三個方面:(1)操作系統(tǒng)本身的缺陷帶來的不安全因素,主要包括身份認證����、訪問控制��、系統(tǒng)漏洞等;(2)對操作系統(tǒng)的安全配置問題;(3)病毒對操作系統(tǒng)形成的威脅。數(shù)據(jù)庫系統(tǒng)的威脅主要來自:非法訪問數(shù)據(jù)庫信息;惡意破壞數(shù)據(jù)庫或未經(jīng)授權非法修改數(shù)據(jù)庫數(shù)據(jù);用戶通過網(wǎng)絡進行數(shù)據(jù)庫訪問時受到各種攻擊,如搭線竊聽等�����。
系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運行的核心,數(shù)據(jù)的安全性保障關系到整個系統(tǒng)能否正常運行和服務��。數(shù)據(jù)安全通過數(shù)據(jù)容災備份技術�����、網(wǎng)絡隔離技術和加密技術保障數(shù)據(jù)的完整性�����、不受損壞��、不被竊取。數(shù)據(jù)容災備份主要通過對系統(tǒng)���、數(shù)據(jù)��、文件等進行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復的機制�����。網(wǎng)絡隔離技術主要通過隔離網(wǎng)絡攻擊來確保網(wǎng)間數(shù)據(jù)的安全交換�����。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點加密來確保數(shù)據(jù)不被截獲���。
安全運維管理是在企業(yè)進行了一定的安全系統(tǒng)建設之后的工作,其目的是保證所應有的安全產(chǎn)品和技術能夠真正、充分發(fā)揮其預期應有的效果和效率。安全運維管理包括安全設備的策略配置��、安全測評��、安全監(jiān)控和審計�、安全應急響應等方面的技術,主要完成安全風險的實時監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。
3信息安全標準分類體系
信息安全技術參考模型是建立信息安全標準體系的基礎和前提,只有在信息安全技術發(fā)展趨勢的基礎上建立起覆蓋全面,分類合理的標準體系,才能科學地預見需要制/修訂的標準,進一步明確信息安全標準化的研究方向,更好地支撐信息安全系統(tǒng)的開發(fā)和集成,確保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作����。在前面提出的技術參考模型的基礎上,進一步對信息安全標準體系進行了劃分。
信息安全論文:論網(wǎng)絡環(huán)境下軍事信息安全策略
論文關鍵詞:軍事信息 信息安全 網(wǎng)絡環(huán)吮
論文摘要:在軍事活動中,軍事信息的交流行為越來越效繁,局城網(wǎng),廣城網(wǎng)等技術也逐步成為了軍事活動中不可或缺的內(nèi)容,信����。息的劫持與反劫持等安全技術占據(jù)了一個舉足輕重的地位����。本文擾為了保證我軍軍事秘密這個大前提,對網(wǎng)絡壞境下軍事信息安全加以闡述.
1軍事信息安全概述
軍事信息安全一般指軍事信息在采集����、傳遞�����、存儲和應用等過程中的完整性、機密性��、可用性,可控性和不可否認性�。為防止自身的意外原因,實現(xiàn)軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用可靠、安全的信息傳輸網(wǎng)絡來保障信息采集、傳遞�����、應用過程中信息的機密性,完整性�、可利用性以及可控制性,信息安全狀態(tài)的確定性;信息的可恢復性等。
2網(wǎng)絡環(huán)境下軍事信息面臨的安全威脅
網(wǎng)絡軍事安全從其本質上來說是網(wǎng)絡計算機上的軍事信息安全,是指計算機系統(tǒng)的硬件��、軟件�����、數(shù)據(jù)受到保護,不因偶然的或惡意的原因而遭到破壞����、更改和顯露,在確保系統(tǒng)能連續(xù)正常運行的同時,保證計算機上的信息安全��。如何更有效地保護重要的信息數(shù)據(jù)�、提高計算機網(wǎng)絡系統(tǒng)的安全性已經(jīng)成為所有計算機網(wǎng)絡應用必須考慮和必須解決的一個重要問題。軍事信息網(wǎng)絡安全威脅主要有以下幾點�。
2.1計算機病毒
現(xiàn)代計算機病毒可以借助文件���、郵件、網(wǎng)頁�����、局域網(wǎng)中的任何一種方式進行傳播,具有自動啟動功能,并且常潛人系統(tǒng)核心與內(nèi)存,利用控制的計算機為平臺,對整個網(wǎng)絡里面的軍事信息進行大肆攻擊�。病毒一旦發(fā)作,能沖擊內(nèi)存����、影響性能����、修改數(shù)據(jù)或刪除文件,將使軍事信息受到損壞或者泄露。
2.2網(wǎng)絡攻擊
對于網(wǎng)絡的安全侵害主要來自于敵對勢力的竊取�����、纂改網(wǎng)絡上的特定信息和對網(wǎng)絡環(huán)境的蓄意破壞等幾種情況。目前來看各類攻擊給網(wǎng)絡使用或維護者造成的損失已越來越大了,有的損失甚至是致命的�����。一般來講,常見的網(wǎng)絡攻擊有如下幾種:
(1)竊取軍事秘密:這類攻擊主要是利用系統(tǒng)漏洞,使人侵者可以用偽裝的合法身份進入系統(tǒng),獲取軍事秘密信息����。
(2)軍事信息網(wǎng)絡控制:這類攻擊主要是依靠在目標網(wǎng)絡中植人黑客程序段,使系統(tǒng)中的軍事信息在不知不覺中落人指定入侵者的手中。
(3)欺騙性攻擊:它主要是利用網(wǎng)絡協(xié)議與生俱來的某些缺陷,入侵者進行某些偽裝后對網(wǎng)絡進行攻擊���。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙�����、電子郵件欺騙��、源路由欺騙,地址欺騙等�����。
(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當加密和強身份標識����、身份鑒別功能結合在一起時,截獲攻擊便難以實現(xiàn)。
(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設計和實現(xiàn)上存在著缺陷����。這就導致攻擊的產(chǎn)生,進而出現(xiàn)軍事信息的泄露��。
(6)網(wǎng)絡偵聽:它是主機工作模式,是一種被動地接收某網(wǎng)段在物理通道上傳輸?shù)乃行畔?并借此來截獲該網(wǎng)絡上的各種軍事秘密信息的手段�。
2.3人為因素造成的威脅
因為計算機網(wǎng)絡是一個巨大的人機系統(tǒng),除了技術因素之外,還必須考慮到工作人員的安全保密因素�����。如國外的情報機構的滲透和攻擊,利用系統(tǒng)值班人員和掌握核心技術秘密的人員,對軍事信息進行竊取等攻擊;內(nèi)部人員的失誤以及攻擊。網(wǎng)絡運用的全社會廣泛參與趨勢將導致控制權分散�。由于人們利益、目標�、價值的分歧,使軍事信息資源的保護和管理出現(xiàn)脫節(jié)和真空,從而使軍事信息安全問題變得廣泛而復雜。
3網(wǎng)絡環(huán)境下軍事信息安全的應對策略
3.1信息管理安全技術
軍事信息存儲安全最起碼的保障是軍事信息源的管理安全�����。隨著電子技術的快速發(fā)展,身份證、條形碼等數(shù)字密鑰的可靠性能越來越高,為了驗證身份,集光學、傳感技術�、超聲波掃描技術等一體的身份識別技術逐漸應用到軍事信息安全中來。
3.1.1指紋識別技術
自動指紋識別系統(tǒng)通過獲取指紋的數(shù)字圖像,并將其特征存儲于計算機數(shù)據(jù)庫中,當用戶登錄系統(tǒng)時,計算機便自動調(diào)用數(shù)據(jù)庫中的信息,與用戶信息進行比對,以此來保證用戶對軍事信息使用權的不可替代性�����。
3.1.2虹膜��、角膜識別技術
虹膜識別系統(tǒng)是利用攝像機來采集虹膜的特征,角膜掃描則是利用低密度紅外線來采集角膜的特征,然后將采集來的信息與數(shù)據(jù)庫中的注冊者信息進行比對,借此來保證登錄的權限,進而起到保護軍事信息安全的作用����。
3.2防火墻技術
防火墻是指設置在不同網(wǎng)絡或網(wǎng)絡安全域之間的一系列部件的組合,它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口,能根據(jù)使用者的安全政策控制出入網(wǎng)絡的信息流。根據(jù)防火墻所采用的技術和對數(shù)據(jù)的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監(jiān)測型�。
3.3數(shù)據(jù)加密技術
數(shù)據(jù)加密是對軍信息內(nèi)容進行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對其進行正常閱讀,這一處理過程稱為“加密”。在計算機網(wǎng)絡中,加密可分為“通信加密”和“文件加密”,這些加密技術可用于維護數(shù)據(jù)庫的隱蔽性�����、完整性�、反竊聽等安全防護工作,它的核心思想就是:既然網(wǎng)絡本身并不安全�����、可靠,那么,就要對全部重要的信息都進行加密處理,密碼體制能將信息進行偽裝,使得任何未經(jīng)授權者無法了解其真實內(nèi)容���。加密的過程,關鍵在于密鑰����。
3.4數(shù)字簽名技術
數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認證。在傳統(tǒng)密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造����、修改密文,發(fā)信方也可以抵賴他發(fā)過該密文,若產(chǎn)生糾紛,將無法裁決誰是誰非。
由于公鑰密碼的每個用戶都有兩個密鑰,所以實際上有兩個算法,如用戶A,一個是加密算法EA,一個是解密算法DA��。
若A要向B送去信息m,A可用A的保密的解密算法DA對m進行加密得DA(m),再用B的公開算法EB對DA(m)進行加密得:C=EB(DA(m)); B收到密文C后先用他自己掌握的解密算DDB對C進行解密得:DB(C)=DB(EB(DA(m)))=DA(m);再用A的公開算法EA對DA(m)進行解密得:EA(DA(m))二m,從而得到了明文m��。由于C只有A才能產(chǎn)生,B無法偽造或修改C,所以A也不能抵賴,這樣就能達到簽名的目的。
4總結
要確保軍事信息網(wǎng)絡安全,技術是安全的主體,管理是安全的靈魂.當前最為緊要的是各級都要樹立信息網(wǎng)絡安全意識,從系統(tǒng)整體出發(fā),進一步完善和落實好風險評估制度,建立起平時和戰(zhàn)時結合����、技術和管理一體、 綜合完善的多層次��、多級別、多手段的軍事安全信息網(wǎng)絡�。
信息安全論文:個人電腦網(wǎng)絡信息安全的研究
隨著互聯(lián)網(wǎng)技術的迅猛發(fā)展,網(wǎng)絡通信(如QQ及微信)�����、網(wǎng)絡購物����、網(wǎng)絡銀行����、網(wǎng)絡電影及網(wǎng)絡游戲等已成為人們現(xiàn)代化的生活方式,這些都是網(wǎng)絡信息技術帶給人們帶來的無限便利�。但是,在網(wǎng)絡資源共享及通信的同時,網(wǎng)絡也伴隨各種風險,如黑客入襲、病毒泛濫����、數(shù)據(jù)丟失����、信息被盜等網(wǎng)絡安全問題的頻繁出現(xiàn),這些非法行為嚴重威脅著個人電腦網(wǎng)絡信息的安全,也使電腦網(wǎng)絡系統(tǒng)運行緩慢,甚至出現(xiàn)系統(tǒng)崩潰等安全狀況����。這些情況嚴重干擾了人們的正常生活,甚至給用戶造成重大經(jīng)濟損失��。本文結合多年電腦網(wǎng)絡通信和使用經(jīng)驗,對個人電腦網(wǎng)絡信息安全與防范方面展開研究���。
1個人電腦網(wǎng)絡信息安全面臨的威脅
電腦上網(wǎng)運行過程中面臨的威脅主要表現(xiàn)在以下幾個方面:
1.1個人電腦操作系統(tǒng)本身存在缺陷與漏洞����。目前絕大多數(shù)個人電腦使用的Windows操作系統(tǒng)本身存在或多或少的漏洞,漏洞是在硬件�����、軟件�、協(xié)議的具體實現(xiàn)或系統(tǒng)安全策略上存在的缺陷,黑客和病毒制造者利用漏洞讓病毒或木馬侵入他人電腦,從而在未被授權的情況下訪問或破壞系統(tǒng)。
1.2人為惡意攻擊����。這是目前個人電腦網(wǎng)絡面臨的最大安全威脅,計算機犯罪就屬于人為的惡意攻擊。它以各種手段破壞個人電腦網(wǎng)絡信息的完整性及有效性;竊取�����、截獲、破譯,從而獲取個人電腦網(wǎng)絡的數(shù)據(jù)信息�����。對個人電腦網(wǎng)絡安全造成很大的威脅,并造成個人數(shù)據(jù)信息的外泄���。
1.3人為主觀因素�。個人電腦用戶對電腦網(wǎng)絡的安全配置不當,而造成的安全威脅,用戶的網(wǎng)絡安全意識不高,對用戶口令的設置不重視等。
1.4計算機病毒入侵���。計算機病毒具隱蔽性和潛伏性,個人電腦一旦被病毒侵入,系統(tǒng)將長期遭到損傷���、破壞����。計算機病毒激發(fā)后會通過格式化�����、改寫、刪除�����、破壞設置等破壞計算機儲存數(shù)據(jù)�。竊取用戶隱私信息(如銀行密碼、賬戶密碼),盜用用戶財產(chǎn)或利用被病毒控制的用戶計算機進行非法行為��。
2個人電腦網(wǎng)絡信息安全性的有效防范措施
針對面臨的各種威脅,我們必須采取相對應的有效防范措施,以保證我們的個人電腦網(wǎng)絡信息安全�。
2.1及時更新電腦操作系統(tǒng)�。電腦操作系統(tǒng)要不定期地更新,而新的操作系統(tǒng)在之初往往存在著安全漏洞,這就要求用戶在使用網(wǎng)絡時對操作系統(tǒng)及時進行更新���。系統(tǒng)漏洞就是指操作系統(tǒng)軟件在開發(fā)過程中出現(xiàn)的缺陷,新出現(xiàn)的漏洞最先多由網(wǎng)絡攻擊者發(fā)現(xiàn),微軟為了完善操作系統(tǒng),就會通過不定期地補丁的方式,對新發(fā)現(xiàn)的系統(tǒng)漏洞進行修補完善�����。漏洞修復補丁是為完善操作程序另外編制的小程序。為了保證電腦網(wǎng)絡安全,使個人電腦網(wǎng)絡處于相對安全的狀態(tài),就必須對操作系統(tǒng)進行及時的更新���。因微軟已經(jīng)停止對WindowsXP提供補丁更新,建議用戶使用Windows7以上的版本,并及時更新操作系統(tǒng)��。
2.2部署網(wǎng)絡防火墻���。個人電腦網(wǎng)絡系統(tǒng)在安裝網(wǎng)絡防火墻的情況下,一般能過濾掉一些非法攻擊,降低病毒或非法者入侵的風險。除此之外,防火墻還具備關閉不常用端口����、對特定端口流出的通信進行封鎖等功能��。最后,防火墻技術還可以識別特殊網(wǎng)站的訪問,使計算機免遭不明攻擊的侵入。
2.3安裝殺毒軟件���。網(wǎng)絡病毒是影響個人電腦網(wǎng)絡安全系統(tǒng)的重要因素,因此安裝殺毒軟件勢在必行�����。除了安裝正版的防毒殺毒軟件之外,用戶在進行網(wǎng)絡使用時還可以開啟殺毒軟件實時監(jiān)控���、定期更新����、定時升級,堅持“防殺結合(防為主,殺為輔)��、軟硬互補��、標本兼治”的原則,使個人電腦網(wǎng)絡系統(tǒng)在安全���、無毒的環(huán)境中得以快速運行�����。
2.4合理設置Administrator賬號。個人電腦裝上系統(tǒng)后,系統(tǒng)會自動新建一個叫administrator的管理計算機(域)的內(nèi)置賬戶,是擁有計算機管理的最高權限,它的密碼默認是空,很多用戶習慣空密碼使用這個賬號登錄系統(tǒng),這是電腦上網(wǎng)的大忌���。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼���。每一臺計算機至少需要一個帳戶擁有administrator(管理員)權限,但不一定非用“Administrator”這個名稱不可���。所以,無論在那個Windows系統(tǒng)中,最好創(chuàng)建另一個擁有全部權限的帳戶,然后停用Administrator帳戶或改名。用戶帳戶建議設置足夠復雜的密碼,應盡量設置為數(shù)字字母組合,密碼的長度不應小于6位,最好在8位以上,避免使用純數(shù)字或常用英語單詞的組合���。復雜的賬號密碼能夠增加窮舉破解軟件的破解密碼難度����。
2.5合理使用文件共享與遠程桌面���。建議平時停止系統(tǒng)默認打開的共享文件夾,關閉不使用的遠程連接端口。需要使用的必須有設置訪問權限控制,在安全環(huán)境下合理使用文件共享和啟用遠程桌面也是避免攻擊者侵入的有力措施��。
2.6保護個人信息�。個人電腦用戶要自覺養(yǎng)成良好的防盜習慣,各種賬號密碼千萬不要用文檔保存在電腦硬盤,登錄密碼、支付密碼以及證書密碼不應該設置相同,也不適宜選擇電話號碼���、生日等容易猜中的數(shù)字作為密碼,密碼應該數(shù)字和字母混合,并且交易密碼與信用卡密碼應該定期進行更改。登錄網(wǎng)絡銀行系統(tǒng)交易過程遭遇的異常情況都需要格外重視,并及時查看已經(jīng)發(fā)生的交易���。用戶還應該定期查看網(wǎng)絡銀行辦理轉賬業(yè)務與支付業(yè)務的記錄,也可以采用短信定制帳戶變動通知,實時掌握帳戶的變動情況��。
2.7防范釣魚網(wǎng)站�����。不少賬戶被盜的案例其實是因為訪問了釣魚網(wǎng)站。他們偽裝成正規(guī)的銀行頁面或是支付頁面,騙取你輸入的帳戶名和密碼,利用ARP欺騙,可以在用戶瀏覽網(wǎng)站時植入一段HTML代碼,使其自動跳轉到釣魚網(wǎng)站�。避免被釣一方面需要對別人發(fā)來的網(wǎng)絡地址多留心,因為這個地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址,打開的頁面也幾乎和真實的頁面完全一致,但是實際你進入的是一個偽裝的釣魚網(wǎng)站;另一方面,盡量選擇具有安全認證功能的瀏覽器,這些瀏覽器能夠自動提示你打開的頁面是否安全,避免進入釣魚網(wǎng)站���。
2.8盡量避免瀏覽色情網(wǎng)站����。眾所周知,色情網(wǎng)站一般都會掛上各種各樣的木馬,確實很危險。木馬傳播者通常是以色情視頻為誘餌,網(wǎng)民若想觀看則需安裝指定播放器,當下載這個播放器時便會將木馬下載器也一同下載到自己的電腦,在觀看視頻的過程中,一些遠程控制類木馬也被捆綁進播放器,用于竊取用戶的個人隱私信息,甚至于一些有價證券類的帳號密碼也被竊取。因此,個人電腦用戶要盡量避免瀏覽色情網(wǎng)站����。
2.9選擇安全方式下載軟件���。在互聯(lián)網(wǎng)中,通信與共享是計算機網(wǎng)絡的最基本應用,個人電腦用戶通常從網(wǎng)站下載各種應用軟件,但以欺騙手段窺探用戶隱私���、竊取個人信息的各種惡意軟件及網(wǎng)絡釣魚活動嚴重威脅著網(wǎng)絡信息安全���。這類軟件的制作者在對軟件反編譯后,進行重新封裝,在程序安裝時,隱藏在軟件中的木馬與不安全控件也會被裝入計算機,程序在運行時,用戶的信息隱私得不到保障,甚至網(wǎng)銀����、賬號密碼等重要信息也會被竊取。下載文件的安全風險主要是木馬程序己被植入到文件中或是通過調(diào)用瀏覽器彈出網(wǎng)頁的方式,把用戶引入到含有木馬的危險網(wǎng)站���。因此,個人電腦用戶應選擇正版軟件網(wǎng)站下載軟件,在完成下載任務后應先利用殺毒軟件對文件進行掃描,保證網(wǎng)絡下載安全��。
2.10對個人電腦存放的重要數(shù)據(jù)定期進行備份。盡管網(wǎng)絡安全的防范措
施非常嚴密,也不能保證安全無憂,個人電腦在遭到攻擊癱瘓時,應用軟件程序和操作系統(tǒng)能夠重裝,而一些重要的數(shù)據(jù)卻無法恢復,因此應對個人電腦存放的重要數(shù)據(jù)進行定期備份�。 2.11網(wǎng)絡支付配備U盾。目前的個人電腦的安全狀況在網(wǎng)絡支付的環(huán)境下已經(jīng)不再值得信任,目前銀行都會配備U盾。為進一步確??蛻粼谥Ц额I域的安全性,通用U盾設計了高級別����、多層次的網(wǎng)絡交易安全防護技術,保障客戶資金安全,它內(nèi)置微型智能卡處理器,采用1024位非對稱密鑰算法對網(wǎng)上數(shù)據(jù)進行加密、解密和數(shù)字簽名,確保交易的保密性�����、真實性����、完整性和不可否認性���。它的最大特點就是同時配備有USB接口和音頻接口,同時保障客戶在電腦和手機支付上的雙重安全,相當于為這兩個支付渠道都裝上了一道防火墻。
個人電腦已離不開網(wǎng)絡,個人電腦網(wǎng)絡信息安全與防范應該引起我們的重視��。本文簡要的分析了一些個人電腦網(wǎng)絡中的一些主要的信息安全問題以及安全防范措施,可以根據(jù)這些措施定期或不定期的對個人電腦做一些檢查,這樣才能保證安全���、高效的運行��。
信息安全論文:智能電網(wǎng)信息安全技術的應用
一、智能電網(wǎng)信息安全技術的作用
信息安全是智能電網(wǎng)高效穩(wěn)定運營發(fā)展的重要保障基礎,是電力通信安全技術研究的一個重要課題��。智能電網(wǎng)配電自動化系統(tǒng)信息安全體系可有效提高智能電網(wǎng)信息安全水平,促進智能電網(wǎng)的高效穩(wěn)定����、節(jié)能經(jīng)濟的運營發(fā)展。我們所謂的智能電網(wǎng)信息安全技術,主要是保證信息的安全性,在保證安全性的同時,也提出了相應的技術要求,比如應用電網(wǎng)核心部件�、建設業(yè)務系統(tǒng)安全、研究電網(wǎng)基礎信息�、安全保障技術等,另外,它也負責研究和開發(fā)安全存儲和防范攻擊以及防范網(wǎng)絡病毒等方面,這些方面也需要高度重視。
二�����、智能電網(wǎng)信息安全體系的組成部分
2.1 基礎硬件設備
發(fā)電�����、輸電、配電�、用電這四個環(huán)節(jié)中包括基礎硬件。其中,發(fā)電所覆蓋的范圍極廣,比如電源接入�、電源光伏等,輸電所覆蓋的范圍包括網(wǎng)架、超導���、高壓等;配電所涵蓋的范圍包括高級電表設備、虛擬電廠�����、配電微網(wǎng)等;用電所涵蓋的范圍包括電力供應站���、自動控制設備�、電力存儲設施等。
2.2 感知測量層的組成
感知測量層必須在應用智能測控設備后,才能成功實現(xiàn)智能感知,進一步評估電網(wǎng)是否穩(wěn)定和是否存在堵塞狀況以及監(jiān)控設備是否處于正常運行狀況中����。感知測量層主要由電磁信號測量系統(tǒng)���、分析系統(tǒng)����、數(shù)字繼電器、智能讀書系統(tǒng)等組成�����。通常情況下,上述所講的儀器表都是運用射頻加以識別,與智能電網(wǎng)進行連接���。
2.3 信息通信層的組成
在信息通信層中,所使用的技術覆蓋配電自動化��、能量管理���、數(shù)字移動通信����、采集數(shù)據(jù)、光纖通信等領域范疇之內(nèi),真正實現(xiàn)交換數(shù)據(jù)和信息以及進行相應的控制,保證系統(tǒng)的穩(wěn)定性和可靠性,充分運用資產(chǎn)利用率,實現(xiàn)信息的安全共享����。
2.4 調(diào)度運維層的組成
智能電網(wǎng)還涉及其他方面很多因素,比如社會因素�����、自然因素����、經(jīng)濟因素等,因此想要精確控制和管理,需要結合人工智能技術��。為保證整個系統(tǒng)有序運行,并更好地進行協(xié)調(diào)控制管理,可將網(wǎng)狀控制結構形式以及分布式智能化等設計理念與系統(tǒng)建設相結合。系統(tǒng)既可集中協(xié)調(diào),也可實施分布式?jīng)Q策控制����。
三���、應用智能電網(wǎng)信息安全技術所涉及的內(nèi)容
3.1 智能電網(wǎng)物理安全
智能電網(wǎng)系統(tǒng)在正常運行情況下,所需要的安全硬件設備稱之為智能電網(wǎng)的物理安全。其中這些硬件設備通常包括測量儀器和智能流量計等類型的傳感器,在通信系統(tǒng)中,各種計算機和網(wǎng)絡設備以及存儲數(shù)據(jù)等各種類型的存儲介質�����。其所謂的物理安全實際指保證與智能電網(wǎng)系統(tǒng)有關的硬件安全以及硬件設備本身的安全等,這也是智能電網(wǎng)安全信息控制的主要工作內(nèi)容。物理安全主要是指防止人為因素破壞業(yè)務系統(tǒng)的安全性,同時也防止有人通過各種方式入侵系統(tǒng)中,這就需要無論在信息事件發(fā)生前,還是在信息事件發(fā)生后,都應審查所有物理設備的接觸行為��。
3.2 網(wǎng)絡的安全性
智能電網(wǎng)所具有的可靠性也就是指網(wǎng)絡方面的安全性,這就要求通信網(wǎng)絡應完善的二次系統(tǒng)防護措施。安全分區(qū)�����、橫向隔離、縱向認證等是網(wǎng)絡安全防護的標準。我國目前網(wǎng)絡安全方面遭遇到黑客攻擊,且黑客攻擊的技能技術也在不斷提高,傳統(tǒng)的網(wǎng)絡安全手段和方法已不能滿足現(xiàn)代網(wǎng)絡發(fā)展的要求�����。如果在這時應用大量的智能電網(wǎng)設備將十分困難,有可能面臨電網(wǎng)癱瘓的局面。因此,在選擇安全加密算法時和建設整個網(wǎng)絡體系時,都要具有充足的前瞻性,做好設計以及計劃工作��。在網(wǎng)絡信息系統(tǒng)正常運行中,要充分運用虛擬專用網(wǎng)和防火墻以及網(wǎng)絡病毒查殺等技術進一步保證網(wǎng)絡安全運行���。
3.3 數(shù)據(jù)傳送的安全
在應用智能電網(wǎng)過程中,一定要保證信息數(shù)據(jù)的傳送安全,也需要掌握好數(shù)據(jù)的保密性���、正確性、防復制等重要指標����。對于整個數(shù)據(jù)的安全認證以及管理中心數(shù)據(jù)都要進行備份,防止數(shù)據(jù)庫數(shù)據(jù)的丟失?�;謴蛿?shù)據(jù)庫以及備份數(shù)據(jù)庫都需要系統(tǒng)管理員操作����。一些經(jīng)常變動的數(shù)據(jù)每天既要做好記錄,也要做好備份��。一些不常變化的數(shù)據(jù),可定期或者不定期進行備份����。另外,數(shù)據(jù)庫中所存儲的密鑰信息和加密信息以及關鍵信息等,都需要進行加密存儲�。
3.4 業(yè)務安全的任務
保證智能電網(wǎng)業(yè)務應用的可靠性����、穩(wěn)定性��、完整性、科學性等是應用業(yè)務安全的重要任務,也更加要保證業(yè)務工作流程的可操作性和完整性��。對于電力系統(tǒng)安全防護方面的特征,可運用強制性的控制技術來提高網(wǎng)絡信息的安全性,防止網(wǎng)絡信息被損壞或者操控,進一步加強電網(wǎng)信息業(yè)務系統(tǒng)的安全性����。
3.5 加強網(wǎng)絡通信的安全
支撐智能電網(wǎng)基礎平臺運行的是信息安全通信���。一方面既需要有計劃和有目標部署對應的安全通信產(chǎn)品,做到通信技術與通信管理的要求相統(tǒng)一,另一方面也要提高網(wǎng)絡通信管理的安全性,規(guī)范管理員工的各項操作行為。通過對信息通信和重要網(wǎng)絡所進行的主動控制,比如網(wǎng)絡邊界保護系統(tǒng)��、防御系統(tǒng)����、數(shù)據(jù)傳輸系統(tǒng)等重要技術,實現(xiàn)對網(wǎng)絡數(shù)據(jù)的交換和控制,加強網(wǎng)絡數(shù)據(jù)通信的安全。
四�、結 語
在智能電網(wǎng)的快速發(fā)展下,雖然網(wǎng)絡信息的安全性得到進一步保證,但還存在很多問題,這需要深入分析和研究信息安全技術,在研究的同時,也需要與智能電網(wǎng)信息系統(tǒng)相結合,建立健全信息安全系統(tǒng),保證網(wǎng)絡通信的安全,提高網(wǎng)絡業(yè)務的可信性和操作性。
信息安全論文:計算機信息安全特征的分析
科學技術的產(chǎn)生與實際廣泛運用總是在矛盾中發(fā)展,計算機網(wǎng)絡通信技術也不例外�����。21世紀是計算機技術蓬勃發(fā)展的時代,人們的日常生活極大程度的依賴其技術的發(fā)展與完善。然后,伴隨著計算機科學技術的不斷發(fā)展,我們也看到網(wǎng)絡信息技術的各種漏洞對人們個人信息和財產(chǎn)安全帶來的實際威脅�。同時,我國的政治、經(jīng)濟�����、國防等部分的正常運作也依賴于計算機科學技術,若出現(xiàn)安全漏洞對國家財產(chǎn)和公民安全所造成的危害是不可估量的��。所以,無論是國家部門、企事業(yè)單位��、集體組織以及個體都需高度重視計算機信息安全管理問題。
1 計算機信息安全的相關概念
計算機信息安全是指現(xiàn)代計算機網(wǎng)絡通信所需要的內(nèi)部和外部環(huán)境,主要的保護對象為計算機信息通信系統(tǒng)中硬件及軟件等數(shù)據(jù)信息,在運行過程中使其免受木馬��、盜號����、惡意篡改信息等黑客行為,從而保障計算機網(wǎng)絡服務的安全、穩(wěn)定運行�。因此,計算機信息安全指的是保障信息在網(wǎng)絡傳輸是能抵御各種攻擊,并對系統(tǒng)產(chǎn)生的各種安全漏洞進行自我修復或發(fā)出預警指示提醒信息管理人員及時采取相應措施�����。計算機信息安全所涉及的系統(tǒng)信息數(shù)據(jù)極為龐大,主要包括計算機ID信息、硬件資源、網(wǎng)絡服務器地址�、服務器管理員密碼����、文件夾密碼以及計算機系統(tǒng)不斷變換與更新的各類登錄用戶名和密碼信息等內(nèi)容。從整體來來歸類,可以將計算機信息安全劃分為信息的存儲安全和傳輸安全兩大類��。
2 計算機信息安全技術防護的內(nèi)容
計算機信息安全防護技術所包含的內(nèi)容較為繁雜,從現(xiàn)階段安全技術應用的實際情況來看,強化計算機安全防護技術可以從安全技術管理入手���。安全管理包含的主要內(nèi)容為:對計算機系統(tǒng)進行安全檢測和漏洞修補��、分析系統(tǒng)數(shù)據(jù)��、安裝系統(tǒng)防火墻���、設置管理員密碼、安裝正版殺毒軟件���、對系統(tǒng)進行定期不定期的入侵檢測掃描等��。同時,計算機安全防護管理人員應積極的研究并完善信息安全管理制度,嚴格根據(jù)管理條列規(guī)范安全防護行為,加強對管理人員的安全知識培訓,提高其安全防護意識��。
3 提高計算機信息安全的策略
為了提高計算機信息安全防護水平,保護國家和個人的信息與財產(chǎn)安全,以充分發(fā)揮計算機科學技術的社會和經(jīng)濟效益,我們應從以下幾個方面來加強計算機信息安全防護工作�����。
3.1 提高計算機信息安全防護意識,加強法律立法
隨著計算機網(wǎng)絡技術的高速發(fā)展以及個人PC機、移動終端的大眾化使用,隨之而來的信息安全威脅與日俱爭,一方面是由于計算機操作使用者的技術門檻要求過低;另一方面是計算機安全防護技術與黑客技術的發(fā)展所呈現(xiàn)出的矛盾性���。無論是國家部門還是企事業(yè)組織對職工的安全防護知識力度的不足,更導致計算機安全事故頻發(fā)。因此,要提高計算機信息安全防護技術水平,首要加強法律立法,對各種黑客入侵和人為惡意破壞行為進行法律上的制裁;同時,國家應出臺并完善計算機安全防護管理條例,使計算機信息安全防護工作有法可依,有法可循�����。針對認為操作失誤而導致的計算機安全事故,應做好對相關人員的安全防護知識教育工作,提高其安全防護意識,從思想上認知到計算機安全防護知識對維護個人和集體財產(chǎn)安全的重要性。企事業(yè)單位應將掌握一定的計算機安全防護知識作為職工聘任標準之一,并將這一標準加入到職工考核之中,在各類組織結構內(nèi)容構建計算機信息安全管理條例,以規(guī)范人們的日常行為。
3.2 計算機信息安全防護的具體技術
1)設立身份驗證機制�����。身份驗證機制即是確認訪問計算機信息系統(tǒng)的具體個人是否為系統(tǒng)所允許,最主要的目的是防止其他個人的惡意欺詐和假冒攻擊行為��。對身份驗證通常有三種方法:①設立管理員登陸密碼和私有密鑰等;②通過特殊的媒介進行身份驗證,如網(wǎng)銀登陸所需要的U盾,管理員配置的IC卡和護照等;③通過驗證用戶的生物體征來達到密碼保護的功能,如IPHONE的HOME鍵指紋識別功能,或者其他的視網(wǎng)膜識別和筆跡識別等��。
2)設定用戶操作權限���。結合計算機信息數(shù)據(jù)的具體應用,設置不同的個體訪問、修改����、保存�、復制和共享權限,以防止用戶的越權行為對信息安全系統(tǒng)所帶來的潛在威脅��。如設置計算機PC端的管理員和訪客密碼,文件的可修改����、可復制權限等。
3)加密計算機信息數(shù)據(jù)�����。信息數(shù)據(jù)的加密即是通過美國改變信息符號的排列足組合方式或設置對象之間的身份識別機制,以實現(xiàn)只有合法用戶才能獲取信息的目的�����。計算機信息加密方法一般分為:信息表加密��、信息記錄加密以及信息字段加密等。其中計算機信息記錄的加密處理方式因其操作方式便利、靈活性高����、選擇性多而受到較為廣泛的應用��。如網(wǎng)絡聊天工具的異地登錄聊天信息查詢的密碼登錄功能����。
3.3 網(wǎng)絡安全監(jiān)測
對計算機網(wǎng)絡傳輸帶寬進行合理分配,并預留相應的空間,以滿足網(wǎng)絡使用高峰期的資源需求,并控制網(wǎng)絡IP訪問,設置IP過濾和黑名單功能,關閉系統(tǒng)的遠程控制與撥號功能����。局域網(wǎng)內(nèi)設置用戶訪問���、復制、修改與共享權限,有WIFI的局域網(wǎng)設置相應的密鑰���。同時,要監(jiān)測端口掃描����、木馬攻擊��、服務攻擊、IP碎片攻擊���、惡意插件下載與安裝等潛在的信息安全威脅���。對操作終端安裝殺毒軟件,定期的進行全盤掃描和殺毒,以及時的檢測系統(tǒng)是否存在惡意攻擊代碼,系統(tǒng)不能刪除的文件要進行手動清除��。
4 結束語
隨著計算機信息網(wǎng)絡技術的不斷發(fā)展,對計算機信息安全防護工作也提出了更多的挑戰(zhàn),我國的計算機信息安全防護技術已然取得了一定的成績,但仍存在著諸多的不足,這就需要科研人員不斷吸收更多先進的技術并積極的進行自主研發(fā),在實踐工作中不斷的提高與完善計算機信息安全防護機制,使計算信息網(wǎng)絡技術更好的服務于人們的日常工作與生活��。
信息安全論文:對企業(yè)信息安全困境的探微
1、提高企業(yè)信息系統(tǒng)的策略及措施解決企業(yè)信息安全方案分析
解決信息系統(tǒng)安全要有以下幾點認識:要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念����。解決信息系統(tǒng)的安全問題要樹立系統(tǒng)觀念,不能光靠一個面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計算機系統(tǒng)兩者組成,這包括人和技術兩點因素。使用和維護計算機安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動態(tài)性和變化性等特點進行調(diào)整��。信息系統(tǒng)是一項長期屬于相對安全的工作,必須制訂長銷機制,絕不能以逸待勞�。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進����、科學及適用的安全技術系統(tǒng),在對系統(tǒng)進行監(jiān)控和防護,及時適當?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應機制,配合智能型動態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來自于風險評估、安全策略���、自我防御、實時監(jiān)測�、恢復數(shù)據(jù)、動態(tài)調(diào)整七個方面��。其中,通過風險評估可以找出影響信息系統(tǒng)安全存在的技術和管理等因素產(chǎn)生的問題��。在經(jīng)過分析對即將產(chǎn)生問題的信息系統(tǒng)進行報告����。
安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導具體措施的進行����。是保障整個安全體系運行的核心�。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問題采用相關的技術防護措施,解決各種安全威脅和安全漏洞是保障安全體系的重心����。并且通過監(jiān)測系統(tǒng)實時檢測運行各種情況�����。在安全防護機制下及時發(fā)現(xiàn)并且制止各種對系統(tǒng)攻擊的可能性,假設安全防護機制失效必須進行應急處理,立刻實現(xiàn)數(shù)據(jù)恢復���。盡量縮小計算機系統(tǒng)被攻擊破壞的程度���?��?梢圆扇∽灾鱾浞?數(shù)據(jù)恢復,確保恢復,快速恢復等手段����。并且分析和審理安全數(shù)據(jù),適時跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定�。
通過改善系統(tǒng)性能引入一套先進的動態(tài)調(diào)整智能反饋機制,可以促進系統(tǒng)自動產(chǎn)生安全保護,取得良好的安全防護效果���??梢詫σ慌_安全體系模型進行分析,在管理方面,對安全策略和風險評估進行測評,在技術層面,實時監(jiān)測和數(shù)據(jù)恢復形成一套防御體系�����。在制度方面,結合安全跟蹤進行系統(tǒng)排查工作。系統(tǒng)還應具備一套完整的完整的動態(tài)自主調(diào)整的反饋機制,促進該體系模型更好的與系統(tǒng)動態(tài)性能結合����。
信息安全管理在風險評估和安全策略中均有體現(xiàn),將這些管理因素應用與安全保障體系保護信息安全系統(tǒng)十分重要����。企業(yè)必須設立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全�。由企業(yè)主要領導帶頭,組織信息安全領導小組,專門負責企業(yè)的信息安全實行總體規(guī)劃及管理。在設立信息主管部門實施具體的管理步驟�����。企業(yè)應該制訂關于保證信息系統(tǒng)安全管理的標準�。標準中應該明確規(guī)定信息系統(tǒng)中各類用戶的職責和權限��、必須嚴格遵守操作系統(tǒng)過程中的規(guī)范��、信息安全事件的報告和處理流程��、對保密信息進行嚴格存儲、系統(tǒng)的帳號及密碼管理�、數(shù)據(jù)庫中信息管理、中心機房設備維護����、檢查與評估信息安全工作等等信息安全的相關標準。而且在實際運用過程中不斷地總結及完善信息系統(tǒng)安全管理的標準��。
相關部門應該積極開展信息風險評估工作。通過維護信息網(wǎng)的網(wǎng)絡基礎設施有拓撲����、網(wǎng)絡設備和安全設備,對系統(tǒng)安全定期的進行評估工作,主動發(fā)現(xiàn)系統(tǒng)存在的安全問題。主要針對企業(yè)支撐的信息網(wǎng)和應用IT系統(tǒng)資產(chǎn)進行全方位檢查,對管理存在的弱點進行技術識別�。對于企業(yè)的信息安全現(xiàn)狀進行全面的評估,可以制作一張風險視圖表現(xiàn)企業(yè)全面存在的問題。為安全建設提供指導方向和參考價值�。為企業(yè)信息安全建設打下堅實的基礎。
最后,加強信息系統(tǒng)的運行管理���??梢酝ㄟ^以下措施進行:規(guī)范系統(tǒng)電子臺帳、設備的軟件及硬件配置管理���、建立完善的設備以及相關的技術文檔�。系統(tǒng)日常各項工作進行閉環(huán)管理,系統(tǒng)安裝�、設備運營管理等�。還要對用戶工作進行規(guī)范管理,分配足夠的資源和應用權限��。防御體系�、實時檢測和數(shù)據(jù)恢復三方面都體現(xiàn)了技術因素,信息安全管理系統(tǒng)技術應用于安全保障體系中����。在建設和維護信息安全保障體系過程中,需要多方面,多角度的進行綜合考慮����。采用分步實施,逐步實現(xiàn)的手法��。在信息安全方面采取必要的技術手段,加強系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性�����。
對中心數(shù)據(jù)庫系統(tǒng)�����、核心交換機���、數(shù)據(jù)中心的存儲系統(tǒng)�、關鍵應用系統(tǒng)服務器等。為了避免重要系統(tǒng)的單點故障可以采取雙機甚至群集的配置���。另外,加強對網(wǎng)絡系統(tǒng)的管理�。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)����。網(wǎng)絡系統(tǒng)的不安全給系統(tǒng)安全帶來風險。接下來重點談網(wǎng)絡安全方面需要采取的技術手段��。網(wǎng)絡安全的最基礎工作,是加強網(wǎng)絡的接入管理��。
與公用網(wǎng)絡系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡系統(tǒng)中有專門的網(wǎng)絡,系統(tǒng)只準許規(guī)定的用戶接入,因此必須實現(xiàn)管理接入����。在實際操作過程中,可以采取邊緣認證的方式�。筆者在實際工作經(jīng)驗總結出公司的網(wǎng)絡系統(tǒng)是通過對網(wǎng)絡系統(tǒng)進行改造實現(xiàn)支持802.1X或MAC地址兩種安全認證的方式。不斷實現(xiàn)企業(yè)內(nèi)網(wǎng)絡系統(tǒng)的安全接入管理����。網(wǎng)絡端口接入網(wǎng)絡系統(tǒng)時所有的工作站設備必須經(jīng)過安全認證,從而保證只有登記的、授權記錄在冊的設備才能介入企業(yè)的網(wǎng)絡系統(tǒng),從而保證系統(tǒng)安全�。根據(jù)物理分布可以利用VLAN技術及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡廣播流量,整個系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡風暴�。其次是提高系統(tǒng)的管理性���。通過劃分子網(wǎng)可以實現(xiàn)對不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍����。根據(jù)一些應用的需要實現(xiàn)某些應用系統(tǒng)中的相對隔離。
2����、結語
本文結合了筆者實際工作經(jīng)驗對企業(yè)信息系統(tǒng)的安全問題提出了系統(tǒng)性的思考,對長期存在相對動態(tài)的信息系統(tǒng)安全解決的方法進行探討���。可以用一句話進行概括總結:系統(tǒng)安全六要素是組成的系統(tǒng)安全的必要因素�����。同時,抓好規(guī)范管理,實現(xiàn)信息系統(tǒng)的安全技術��。
信息安全論文:網(wǎng)絡信息安全技術及其應用的分析
一��、計算機網(wǎng)絡信息所面臨的安全威脅分析
(一)網(wǎng)絡本身弱點
信息網(wǎng)絡具有開放性的顯著特點,既為網(wǎng)絡用戶提供了便捷高速的服務方式,也成為網(wǎng)絡信息需要面臨的一項安全威脅。同時,運用于信息網(wǎng)絡的相關通信協(xié)議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊����、信息篡改��、數(shù)據(jù)截取等安全問題�����。
(二)人為惡意攻擊
人為惡意攻擊是網(wǎng)絡信息中,用戶所面臨的最大安全威脅�。人為惡意攻擊具有較強的針對性,是有目的地進行網(wǎng)絡信息數(shù)據(jù)完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對網(wǎng)路信息數(shù)據(jù)的竊取�����、破譯、篡改等,主要威脅到用戶的經(jīng)濟利益����。
(三)計算機病毒
計算機病毒存在隱蔽性����、傳染性、破壞性等特點,往往隱藏或偽裝為正常程序,隨著計算機程序的啟動而被運行��。計算機病毒通過破壞、竊聽等方式,實現(xiàn)對網(wǎng)絡信息的操作����。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統(tǒng)的運行效率,重則破壞用戶的整體系統(tǒng)數(shù)據(jù),且難以被恢復,形成不可挽回的損失����。
二�����、網(wǎng)絡信息技術安全現(xiàn)狀分析
目前,國內(nèi)絕大部分企業(yè)��、單位都已建立了相關的信息系統(tǒng),實現(xiàn)了對各類豐富信息資源的充分利用�����。但隨著各行各業(yè)信息網(wǎng)絡系統(tǒng)的逐步成型,網(wǎng)絡信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來越多,雖已研發(fā)��、改進了許多信息安全技術,用于網(wǎng)絡信息安全防護,但仍舊存在許多問題,究其原因,主要表現(xiàn)在以下三方面:
第一,未建立健全的安全技術保障體系���。當前大部分企業(yè)�����、單位,在信息安全設備上投入較多資金,以確保網(wǎng)絡信息系統(tǒng)的安全可靠。但是,沒有建立健全相應的技術保障體系,預期目標難以被實現(xiàn)。
第二,缺乏制度化與常規(guī)化的應急反應體系?�,F(xiàn)階段,許多行業(yè)領域內(nèi),在網(wǎng)絡信息技術安全方面,還未建立健全相應的應急反應系統(tǒng),而對已有應急反應系統(tǒng),沒有進行制度化��、常規(guī)化改進。
第三,企業(yè)�、單位的信息安全標準與制度滯后����。在網(wǎng)絡信息安全的標準與制度建設方面,企業(yè)與單位都為進行及時的調(diào)整與改進�。同時,用戶缺乏信息安全意識,網(wǎng)絡信息安全管理員為經(jīng)歷科學����、系統(tǒng)的安全技術培訓,安全管理水平不高����。而用于信息安全的經(jīng)費投入較少,難以達到信息安全標準與要求���。
三、現(xiàn)行主要信息安全技術及應用分析
(一)通信協(xié)議安全
作為下一代互聯(lián)網(wǎng)通信協(xié)議,IPv6安全性較高,強制實施Internet安全協(xié)議IPSec,由認證協(xié)議���、封裝安全載荷���、Internet密鑰交換協(xié)議三部分組成,即AH、ESP�、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務得到有效實現(xiàn)���。
(二)密碼技術
確保網(wǎng)絡信息安全的核心與關鍵為信息安全技術中的密碼技術,其密碼體質包括單鑰��、雙鑰���、混合密碼三種����。其中,單鑰為對稱密碼;雙鑰為不對稱密碼;混亂密碼為單雙鑰的混合實現(xiàn)�。在網(wǎng)絡系統(tǒng)中,采用加密技術能避免使用特殊網(wǎng)絡拓撲結構,便于數(shù)據(jù)傳輸?shù)耐瑫r,確保網(wǎng)絡路徑的安全可靠,為網(wǎng)絡通信過程提供真正的保障?��,F(xiàn)階段,在網(wǎng)絡信息中,所采用的密碼技術主要為雙鑰與混合密碼�。
1、公鑰密碼
為了加強公鑰密碼的安全性能,公鑰的長度均≥600bit���。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運算模式,通過乘法與模減運算的同時進行,大程度提升了運算速度,被廣泛使用���。同時,部分廠商已成功研制出與IEEEPl363標準相符合的橢圓曲線公鑰密碼,并成功運用于電子政務中,具備較強的保密性與較高的運行速度���。
2���、Hash函數(shù)
關于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計算量,在很大程度上影響了Hash函數(shù)安全現(xiàn)狀的評估及其今后設計���。同時,由于MD5和SHA-1的破解,讓數(shù)字簽名的現(xiàn)有理論根基遭到質疑,給正在使用中的數(shù)字簽名方法帶來巨大威脅��。
3����、量子密碼
量子加密技術采用量子力學定律,讓用戶雙方產(chǎn)生私有隨機數(shù)字字符串,以代表數(shù)字字符串的單個量子序列傳遞信息,并通過比特值進行信息接收,確保通信不被竊聽。一旦竊聽現(xiàn)象發(fā)生,通信就會結束,并生成新的密鑰��。
(三)防火墻技術
防護墻技術是一組軟硬件的有機組合,為控制內(nèi)部與外部網(wǎng)絡訪問的有效手段,能確保內(nèi)部網(wǎng)安全穩(wěn)定運行。防火墻技術為用戶提供存取控制與信息保密服務,具有操作簡單�����、透明度高的優(yōu)點,在保持原有網(wǎng)絡應用系統(tǒng)功能的基礎上,最大限度滿足用戶的網(wǎng)絡信息安全要求,受到用戶的廣泛推崇�����。防火墻技術的應用,讓外部與內(nèi)部網(wǎng)絡必須通過防火墻實現(xiàn)相互通信�。企業(yè)�����、單位在關于防火墻技術的應用上,需制定合理、科學的安全策略,在此基礎上設置防火墻,隔絕其它類型信息�����。目前,防火墻技術主要分為以下三類:
第一,包過濾技術(Packet filtering)�����。其技術主要作用于網(wǎng)絡層,結合不同數(shù)據(jù)包源IP地址、目的IP地址��、TCP/UDP源端口號與目的端口號等進行區(qū)分、判斷,分析數(shù)據(jù)包是否符合安全策略,予以通行,其設計為過濾算法���。
第二,(Proxy)服務技術�����。其技術主要作用于應用層,通過轉接外部網(wǎng)絡對內(nèi)部網(wǎng)絡的申請服務,有效控制應用層服務�。內(nèi)部網(wǎng)絡無法接受外部網(wǎng)絡其它節(jié)點申請的直接請求,其接受的服務請求只能為模式。應用網(wǎng)關即為服務運行的主機,具備較強的數(shù)據(jù)流監(jiān)控�����、過濾��、記錄等相關功能��。
第三,狀態(tài)監(jiān)控(State Inspection)技術。其技術主要作用于網(wǎng)絡層,通過網(wǎng)絡層實現(xiàn)包過濾與網(wǎng)絡服務?,F(xiàn)階段,較為可行的為虛擬機方式(即:Inspect Virtual Machine)����。
防護墻技術作為網(wǎng)絡信息安全技術之一,操作簡單且實用性較強,被廣泛應用�����。但受其特點限制,缺乏對動態(tài)化與復雜化攻擊手段的主動響應,只能進行靜態(tài)安全防御,無法保障對所有外部攻擊都能進行有效阻擋�����。一些計算機水平較高的黑客便能翻過防火墻,達到攻擊目的��。同時,防火墻無法阻擋內(nèi)部攻擊。因此,為實現(xiàn)網(wǎng)絡安全,需進行數(shù)據(jù)的加密處理,加強內(nèi)部網(wǎng)絡控制與管理�。
信息安全論文:淺談中小企業(yè)電子信息安全技術研究
論文關鍵詞:電子信息安全 安全技術 安全要素
論文摘要:隨著我國信息技術的不斷發(fā)展,對中小企業(yè)電子信息安全的保護問題也成為人們關注的焦點�。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設,對電子信息安全技術進行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問題的策略��。
在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉,其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡傳送時被競爭對手或不法分子竊聽���、泄密、篡改或偽造,將會嚴重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術的研究具有重要意義�����。
一、中小企業(yè)的信息化建設意義
在這個網(wǎng)絡信息時代,企業(yè)的信息化進程不斷發(fā)展,信息成了企業(yè)成敗的關鍵,也是管理水平提高的重要途徑��。如今企業(yè)的商務活動,基本上都采用電子商務的形式進行,企業(yè)的生產(chǎn)運作����、運輸和銷售各個方面都運用到了信息化技術。如通過網(wǎng)絡收集一些關于原材料的質量,價格,出產(chǎn)地等信息來建立一個原材料信息系統(tǒng),這個信息系統(tǒng)對原材料的采購有很大的作用��。通過對數(shù)據(jù)的分析,可以得到跟多的采購建議和對策,實現(xiàn)企業(yè)電子信息化水準�����。有關調(diào)查顯示,百分之八十二的中小企業(yè)對網(wǎng)站的應還處于宣傳企業(yè)形象,產(chǎn)品和服務信息,收集客戶資料這一階段,而電子商務這樣關系到交易的應用還不到四分之一,這說明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息��。中小企業(yè)信息化時代已經(jīng)到來,企業(yè)應該加快信息化的建設�����。
二、電子信息安全技術闡述
1�����、電子信息中的加密技術
加密技術能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術分為對稱和非對稱加密兩種�����。其中對稱加密通常通過序列密碼或者分組機密來實現(xiàn),包括明文���、密鑰�����、加密算法以及解密算法等五個基本組成成分。非對稱加密與對稱加密有所不同,非對稱加密需要公開密鑰和私有密鑰兩個密鑰,公開密鑰和私有密鑰必須配對使用,用公開密鑰進行的加密,只有其對應的私有密匙才能解密���。用私有密鑰進行的加密,也只有用其相應的公開密鑰才能解密���。
加密技術對傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時,發(fā)送人用加密密鑰或算法對所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無法理解的��。接受著可以利用解密密鑰將密文解密,恢復成明文。
2����、防火墻技術
隨著網(wǎng)絡技術的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對網(wǎng)絡的安全也造成了很大的威脅����。企業(yè)的信息化使其網(wǎng)絡也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對網(wǎng)絡不安全這種狀況,最初采取的一種保護措施就是防火墻���。在我們的個人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等��。
3�、認證技術
消息認證和身份認證是認證技術的兩種形式,消息認證主要用于確保信息的完整性和抗否認性,用戶通過消息認證來確認信息的真假和是否被第三方修改或偽造��。身份認證使用與鑒別用戶的身份的,包括識別和驗證兩個步驟�。明確和區(qū)分訪問者身份是識別,確認訪問者身份叫驗證。用戶在訪問一些非公開的資源時必須通過身份認證�。比如訪問高校的查分系統(tǒng)時,必須要經(jīng)過學號和密碼的驗證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進行訪問,非校園網(wǎng)的不能進入,除非付費申請一個合格的訪問身份���。
三�、中小企業(yè)中電子信息的主要安全要素
1�、信息的機密性
在今天這個網(wǎng)絡時代,信息的機密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機密,如何保護企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題�。
2、信息的有效性
隨著電子信息技術的發(fā)展,各中小企業(yè)都利用電子形式進行信息傳遞,信息的有效性直接關系的企業(yè)的經(jīng)濟利益,也是個企業(yè)貿(mào)易順利進行的前提條件����。所以要排除各種網(wǎng)絡故障、硬件故障,對這些網(wǎng)絡故障帶來的潛在威脅加以控制和預防,從而確保傳遞信息的有效性�����。
3���、信息的完整性
企業(yè)交易各方的經(jīng)營策略嚴重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對交易各方都是非常重要的��。在對信息的處理過程中要預防對信息的隨意生成����、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進行交易的基礎����。
四、解決中小企業(yè)中電子信息安全問題的策略
1���、構建中小企業(yè)電子信息安全管理體制
解決信息安全問題除了使用安全技術以外,還應該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進行�。在一般中小企業(yè)中,最初建立的相關信息管理制度在很大程度上制約著一個信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來選擇和使用安全管理技術及手段將無法正常進行,信息的安全性就得不到保證��。完善,嚴格的電子信息安全管理制度對信息系統(tǒng)的安全影響很大�。在企業(yè)信息系統(tǒng)中,如果沒有嚴格完善的信息安全管理制度,電子信息安全技術和相關的安全工具是不可能發(fā)揮應有的作用的����。
2�、利用企業(yè)的網(wǎng)絡條件來提供信息安全服務
很多企業(yè)的多個二級單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應該利用這種良好的網(wǎng)絡條件來為企業(yè)提供良好的信息安全服務��。通過企業(yè)這一網(wǎng)絡平臺技術標準,安全公告和安全法規(guī),提供信息安全軟件下載,安全設備選型,提供在線信息安全教育和培訓,同時為企業(yè)員工提供一個交流經(jīng)驗的場所��。
3��、定期對安全防護軟件系統(tǒng)進行評估、改進
隨著企業(yè)的發(fā)展,企業(yè)的信息化應用和信息技術也不斷發(fā)展,人們對信息安全問題的認識是隨著技術的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時,解決信息安全問題的安全防護軟件系統(tǒng)也應該不斷的改進,定期對系統(tǒng)進行評估。
總之,各中小企業(yè)電子星系安全技術包含著技術和管理,以及制度等因素,隨著信息技術的不斷發(fā)展,不僅中小企業(yè) 辦公室逐漸趨向辦公自動化,而且還確保了企業(yè)電子信息安全��。
信息安全論文:“木桶理論”與信息安全
摘 要:本文首先對傳統(tǒng)木桶理論和其在信息安全中的運用作了簡單的介紹,并結合作者在實際工作中對信息安全的理解,提出了對傳統(tǒng)木桶理論幾點思考,通過對幾點思考的闡述,指出了在信息安全工作中如何更好地結合木桶理論。
關鍵詞:木桶理論 信息安全 運用
引言
說到木桶理論,可謂眾所周知:一個由若干塊長短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長的那塊木板或全部木板長度的平均值,而是取決于其中最短的那塊木板��。要想提高木桶的整體效應,不是增加最長的那塊木板的長度,而是要下功夫補齊最短的那塊木板的長度。這個理論由誰提出,目前已經(jīng)無從考究了,但這個理論的應用范圍卻十分廣泛,從經(jīng)濟學、單位管理到人力資源,到個人發(fā)展�。這個理論也被引進了安全領域,在信息安全中,認為信息安全的防護強度取決于安全體系最為薄弱的一環(huán),因此出現(xiàn)的一個狀況是發(fā)現(xiàn)哪個安全問題嚴重就買什么樣的產(chǎn)品����。這個理論的意義在于使我們認識到整個安全防護中最短木塊的巨大威脅,并針對最短木塊進行改進�����。
根據(jù)這個理論,我們會發(fā)現(xiàn)有些單位找出安全防護中的最短木塊,并買了很多安全產(chǎn)品進行防護:發(fā)現(xiàn)病毒對單位影響很大,就買了最好的反病毒軟件;發(fā)現(xiàn)邊界不安全,就用了最強的防火墻;發(fā)現(xiàn)有黑客入侵,就部署了最先進的入侵檢測系統(tǒng)�。這其實只是一種頭痛醫(yī)頭,腳痛醫(yī)腳的做法,是治標不治本的方法。
1.木桶理論新解
經(jīng)分析,傳統(tǒng)的木桶理論存在一定的缺陷,實際上一個木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關鍵信息:這個木桶是否有堅實的底板�、木板之間是否有縫隙�。
1.1 木桶底板是木桶能否容水的基礎
一個完整的木桶,除了木桶中長板���、短板,木桶還有底板��。正是這誰也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水����。這只底板正是信息安全的基礎,即單位的信息安全架構、安全管理制度和安全流程�����。對于多數(shù)單位而言,目前還沒有整體的信息安全規(guī)劃和建設,也沒有完善的制度和流程。信息安全還沒有從整體上進行考慮,隨意性相當強���。這就需要對單位進行一次比較全面的安全評估,然后結合單位的業(yè)務需求和安全現(xiàn)狀來做安全信息架構和安全建設框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒有,也不是不完備,最大的問題在于執(zhí)行不力����。目前在大型單位和運營商中,安全的最大問題是無法貫徹執(zhí)行單位的安全政策和流程�����。所以可以說:“安全是一把手工程,只有得到領導的強有力支持,才可能把安全策略進行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度?!蓖瑫r需要注意的是,由于單位不斷發(fā)展,安全是動態(tài)變化的,因此也就需要我們不定期的檢查信息安全這個“木桶”的桶底是否堅實,一個迅速長大的單位,正如一只容納了相當水量的木桶,越來越大的水容量將構成木桶底板的巨大挑戰(zhàn),如果不時關注底板,最后可能因為不能承受之重而導致所有的蓄水都丟失。
1.2 木桶是否有縫隙是木桶能否容水的關鍵�。
木桶能否有效地容水,除了需要堅實的底板外,還取決于木板之間的縫隙,這個是大多數(shù)人不易看見的。對于一個安全防護體系而言,其不同產(chǎn)品之間的協(xié)作和聯(lián)動有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深��。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時,單位還把注意力放在最短的木板上,豈非緣木求魚?
在信息安全中,目前攻擊手法已經(jīng)是融合了多種技術,比如蠕蟲就融合了緩沖區(qū)溢出技術、網(wǎng)絡掃描技術和病毒感染技術,這時候,如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn),防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網(wǎng)絡上的播,卻不能清除蠕蟲;補丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。各個安全產(chǎn)品單獨工作,無法有效地查殺病毒�、無法組織病毒的傳播。而且更為嚴重的是,每個系統(tǒng)都會記錄這些安全日志,這些日志之間沒有合并和關聯(lián),大量的日志將沖垮管理員,導致無法看到真正關心的日志��。
目前出現(xiàn)的SOC產(chǎn)品可以說是木桶的桶箍,它能把各種安全技術����、安全產(chǎn)品、安全策略�����、安全措施等各種目標等箍在一起,共同形成一個堅實的木桶,保護里面的水資源。SOC包含安全事件收集���、事件分析�、狀態(tài)監(jiān)視�、資產(chǎn)管理�����、配置管理����、策略管理以及長期形成的知識中心,并通過流程優(yōu)化�����、系統(tǒng)聯(lián)動、事件管理等方式減少木板與木板之間的縫隙,協(xié)調(diào)各方面資源,最高效率地處理安全問題,保護整體安全。
2.木桶理論與信息安全的幾點闡述
2.1 如何處理木桶中的最短木板
通過上面的分析,我們可以知道木桶的底板是基礎,桶箍是關鍵,而最短木板決定了能容水的最大容量�。但是如何處理這塊最短木板,通常做法是看準了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實這陷入了一種慣性思維,如果要提高木桶的容量,有時候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個最短木板,然后重新用桶箍圍成桶,這個新桶的容量就有可能大于原來的舊桶�。
這種做法其實在單位運作中經(jīng)常會使用,對于一些非核心業(yè)務,一些單位領導往往會采用外包的方式來處理,自己做最擅長的事情。但是在信息安全領域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個可靠的外包供應商才可以,另外的原因也可能是還沒有意識到這個問題�����。目前越來越多的單位開始重視安全,都在建立自己的政策體系和人員隊伍,但是由于信息安全具有專業(yè)性強,知識面廣的特點,要建立一個完善的體系和隊伍是比較困難的�����。
2.2 木桶理論與安全等級保護法
《國家信息化領導小組關于加強信息安全保障工作的意見》中認為,不同的信息系統(tǒng)有著不同的安全需求,必須從實際出發(fā),綜合平衡安全成本和風險,優(yōu)化信息安全資源的配置,確保重點,要重點保護基礎信息網(wǎng)絡和關系信息安全�、經(jīng)濟命脈�、社會穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級保護制度,制定信息安全等級保護的管理辦法和技術指南�����。
信息安全領域中,密級分類�����、等級保護就是把信息資產(chǎn)分為不同等級,根據(jù)信息資產(chǎn)不同的重要等級,采取不同的措施進行防護�。它的出發(fā)點就是要突出重點,要突出重點要害部位,分級負責,分層實施。在單位的安全建設過程中,我們可以根據(jù)等級保護法,把系統(tǒng)分成幾個等級,不同等級采用不同的“木桶”來管理,然后對每一個木桶再進行安全評估和安全防護,這樣就可以在投入
有限的情況下,確保重要信息的安全性�����。
2.3 木桶理論與內(nèi)核加固
如何在木桶有縫隙的情況下,還能保護桶里面的水嗎?有一個一個思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會馬上流走,可以為我們進一步修復木桶提供時間�����。對于系統(tǒng)來說,加固操作系統(tǒng)內(nèi)核就是這個作用,比如在某個系統(tǒng)上發(fā)現(xiàn)了一個很嚴重的漏洞,但是如果內(nèi)核是進行了加固的,那么就不容易被利用進行攻擊��。
3.總結
傳統(tǒng)的木桶理論在信息安全中的運用,讓我們了解了什么是當前最為嚴重的問題,但是如果只著眼于最短木板,而忽視了木桶的底板這個基礎,忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個木桶還是很不成熟�����、不完善的。
信息安全論文:數(shù)字化檔案信息安全管理策略
一�、實施數(shù)字化檔案信息安全管理的意義
隨著我國信息化水平的迅速提升,我國對數(shù)字化檔案信息安全管理也有了更為深刻的認識。信息安全管理是維護數(shù)字化信息安全的重要手段,正所謂“三分技術,七分管理”,由此可見信息安全管理的重要性���。數(shù)字化檔案信息保障體系建設過程中必須有一套較為完善的制度,只有這樣才能保證信息保障體系建設各個環(huán)節(jié)開展的規(guī)范性與合理性,而在信息保障體系建設中運用信息安全管理制度就能夠達到保障信息安全的目的���。對數(shù)字化檔案信息進行安全管理,能夠使所有人員主動參與到數(shù)字化檔案信息保障建設過程中,不僅能夠大大提高員工工作質量,同時還能夠提高員工工作效率,因為科學有效的安全管理能夠提高企業(yè)員工的凝聚力與向心力,對維護數(shù)字化信息安全及企業(yè)發(fā)展都有一定的積極作用。
二��、數(shù)字化檔案的信息安全問題分析
數(shù)字化檔案信息與計算機中其他普通數(shù)據(jù)一樣,都會受到多種不安全因素的影響�。數(shù)字化檔案信息主要是以信息數(shù)據(jù)的形式儲存在于計算機內(nèi)部系統(tǒng)中,若出現(xiàn)安全問題會直接影響檔案信息的完整性與安全性�����。據(jù)調(diào)查了解所知,目前數(shù)字化檔案信息主要存在的安全問題有以下幾個方面:
(一)計算機硬件故障
現(xiàn)在大部分計算機中各個部件都采用了一定的保護機制,但這并不能阻止一些硬件故障的出現(xiàn)��。硬件故障對數(shù)字化檔案信息的危害性很大,比如若計算機中的硬盤磁道出現(xiàn)損壞或者嚴重故障,那么在很大程度上會造成信息數(shù)據(jù)破壞或者丟失,導致數(shù)字化檔案信息的不完整��。近年來,隨著計算機設備的應用量越來越大,其內(nèi)部硬件故障發(fā)生的頻率也隨之不斷增高。
(二)計算機軟件故障
要實現(xiàn)計算機對各項數(shù)字化檔案數(shù)據(jù)的處理,有賴于計算機操作系統(tǒng)及數(shù)據(jù)信息處理相關軟件����。計算機軟件的性能高低直接關系著數(shù)字化檔案信息數(shù)據(jù)的安全性與完整性����。隨著數(shù)字化檔案信息系統(tǒng)的不斷完善,信息系統(tǒng)對軟件的要求也越來越高,在這種情況下就出現(xiàn)了計算機軟件功能性無法滿足數(shù)字化信息系統(tǒng)的要求,在軟件使用中無法確保其性能的穩(wěn)定性�。雖然在數(shù)字化檔案信息系統(tǒng)操作中存在一些計算機軟件故障,但與硬件故障相比,其發(fā)生故障的機率較小。
(三)病毒及黑客侵襲
病毒及黑客入侵是影響數(shù)字化檔案信息安全的主要問題之一,這種問題較為常見,雖然一些計算機用戶設置了防火墻,安裝了多種殺毒軟件,但依然無法完全避免病毒及黑客的非法入侵�。
(四)系統(tǒng)更換操作或者停機
硬軟件本身的兼容問題或者系統(tǒng)中包含的諸多無用資源,很容易導致計算機出現(xiàn)停機或死機狀況,這是導致信息數(shù)據(jù)丟失的一個原因。
(五)人為操作引起的故障
在數(shù)字化信息數(shù)據(jù)安全維護過程中由于信息管理人員計算機操作不當,會對數(shù)字化檔案信息安全造成一定的威脅,比如誤刪除信息數(shù)據(jù)的現(xiàn)象在日常工作中時有發(fā)生���。
三����、數(shù)字化檔案的信息安全管理策略
針對上述問題在數(shù)字化檔案信息安全維護中不僅要選擇可靠的硬件設備,采用先進的信息安全保障技術,更要進行全方位的數(shù)字化檔案信息安全管理,只有這樣才能有效解決數(shù)字化檔案信息安全問題,提高數(shù)字化檔案的安全性。以下是筆者結合目前數(shù)字化檔案信息安全問題所提出的安全管理策略:
(一)硬件設備安全管理
據(jù)調(diào)查了解所知,計算機硬件故障發(fā)生率十分頻繁,嚴重影響了數(shù)字化檔案信息安全,因此在信息安全管理工作中的首要任務就是對硬件設備進行科學選擇與管理���。應根據(jù)數(shù)字化檔案信息系統(tǒng)的實際情況選擇合適且性能良好的硬件及軟件設備�。另外在選擇過程中應重點考慮計算機服務器的品牌及客戶機,全面審核硬件設備的兼容性及拓展性,這樣做的目的是為了當系統(tǒng)升級時避免數(shù)據(jù)信息丟失。
(二)信息技術安全管理
在數(shù)字化檔案信息安全管理過程中僅靠管理人員的力量是不夠的,還需要信息技術的協(xié)助��。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全性,在管理工作中可以運用一些先進的信息技術來提高數(shù)字化檔案信息安全。比如可以設置信息訪問身份驗證�����、防病毒體系,還可以對相對機密的數(shù)據(jù)進行加密操作,采取數(shù)據(jù)加密的方式可以有效防止信息數(shù)據(jù)在傳輸過程中被一些木馬病毒及非法網(wǎng)站入侵,對保護數(shù)字化檔案信息十分奏效����。
(三)完善信息安全管理制度
在數(shù)字化檔案信息安全管理工作中需要一套完善的信息安全管理制度,原因在于數(shù)字化檔案信息種類較多,且具有一定的復雜性,若不制定完善制度,實行全面的制度化管理,很容易導致信息安全管理內(nèi)部一片混亂,為了避免這種狀況,企業(yè)應積極建立并完善信息安全管理制度�。一般建立完善的信息安全管理制度需要從二個方面入手:
1.建立數(shù)字化文檔管理制度���。對于已儲存在計算機中的信息應進行分類管理,大致應將其分為秘密、機密�����、絕密與非保密等幾種保護類型���。另外對于一些相對機密及敏感信息不僅要采取加密措施,還要將其儲存在脫機的安全環(huán)境中,以免信息被他人非法竊取、破壞或修改����。
2.建立人員安全管理制度。首先要將信息安全管理貫徹落實到實際信息維護中,讓管理人員對信息安全管理有一個清晰客觀的認識��。這樣一來,管理人員就會在工作中認真貫徹執(zhí)行,極力維護數(shù)字化檔案的安全�����。信息安全管理部門總負責人應對各個管理人員的工作進行考核,對于一些管理操作不當或管理不夠嚴格的人員應給予相應的警告或處罰,讓其從思想上意識到信息安全管理的重要性。其次應對信息安全管理人員進行定期培訓,讓其及時學習其他企業(yè)及國外優(yōu)秀的信息安全管理方法及理念,為信息安全管理工作注入新的血液���。這樣一來,不僅能夠大大提高信息安全管理的時效性與合理性,同時還能夠提升信息安全管理人員的綜合素質,對數(shù)字化檔案信息安全管理工作的有效開展具有一定的積極意義���。在數(shù)字化檔案信息安全管理中,要想充分發(fā)揮管理的作用,全面維護檔案信息安全,保障檔案信息的完整性,就要結合數(shù)字化檔案信息系統(tǒng)的實際運行特點,全面考慮信息安全問題,從而有針對性的采取相應的管理策略,實現(xiàn)數(shù)字化檔案信息的制度化管理。
信息安全論文:電子金融信息安全防護措施
一�、我國電子金融領域信息安全的現(xiàn)狀
全國相關的金融機構陸續(xù)成立了專門的安全防范機構,并重點加強對系統(tǒng)需求設計、投產(chǎn)���、推廣和軟件開發(fā)等重點程序的監(jiān)管和保護以及風險防范;在系統(tǒng)設計開發(fā)���、防火墻選用���、認證密碼等方面加大了投入�。但是,當前的金融電子行業(yè)仍然存在著一些隱患,具體是傳遞信息的安全隱患和業(yè)務系統(tǒng)維護的風險防范隱患���。
二、信息安全防護措施
(一)行業(yè)自律
行業(yè)或是客戶自身的信息包括最敏感機密部分對金融機構而言往往是公開的,金融機構可以輕松的獲取這部分信息,其中有部分信息具有相當?shù)慕?jīng)濟價值。對信息保護,行業(yè)的自律有著相當重要的意義,政府的監(jiān)管只是被動的行為,防患于未然更多的在于金融結構的自律行為����。電子金融行業(yè)需制定一個有效的行業(yè)自律規(guī)范,從行業(yè)內(nèi)部規(guī)范從事人員的行為總則,爭取將非法信息來源斬斷。國外大多數(shù)國家在立法上對行業(yè)自律機制給予較高的肯定,我國其實也可以借鑒,進一步發(fā)揮行業(yè)自律在信息安全上的作用���。
(二)金融信息監(jiān)管
完善的信息安全法律法規(guī)是做好信息安全工作的基礎�����。我國在信息安全法律法規(guī)建設方面已經(jīng)做了很多工作,如今與信息安全有關的法律法規(guī)包括法律����、行政法規(guī)����、部門規(guī)章及規(guī)范性文件三個層面。但是,我國的信息安全法律法規(guī)仍然不夠完善,管理機構存在多頭管理,要求從金融信息監(jiān)督開始為信息安全做好第一步��。同時,中國人民銀行對網(wǎng)上銀行業(yè)務的監(jiān)管尚處于起步階段,應在《人民銀行法》等相關法規(guī)中將網(wǎng)上銀行明確納入中國人民銀行�����、銀監(jiān)會監(jiān)管的對象���。其次,金融服務業(yè)消費者安全保障的投訴與受理機制欠缺,監(jiān)管機構中缺乏專門負責金融消費者安全保障方面事務的部門,對于投訴問題沒有從自律或者強制性法律機制角度進行規(guī)范。建議在我國因成立一個獨立的電子金融監(jiān)管機構,它獨立于各個行政體系,采用直接負責制,這是由于電子金融領域如出現(xiàn)信息安全事故,它所牽扯的相關行政部門較多,地域范圍較廣,現(xiàn)有職能部門無法對它進行有效的監(jiān)管,該機構應對電子金融機構信息可審查,可回溯并構建一個評價體系,將其評價結果對外公示,對于那些信息安全保護不當?shù)臋C構應給予懲罰,改變我國對信息泄露或是保護不當?shù)慕鹑跈C構只罰不懲的局面。
(三)信息安全體系
電子金融主要的運行手段是基于計算機網(wǎng)絡或是通信網(wǎng)絡,必須要技術層面上保護其安全,傳統(tǒng)的金融交易手段是基于柜臺式�、盤點式,早期電子金融只是較為粗獷的將原有的業(yè)務照搬于網(wǎng)絡環(huán)境中,又由于網(wǎng)絡是個開放的平臺,所以造成了較多的信息安全事故,在近幾年的發(fā)展中有了迅猛的進步,但還存在諸多問題:用戶認證手段單一、支付手段繁雜、內(nèi)網(wǎng)權限過大�、設備更新過于頻繁、客戶端保護不夠���、異常行為監(jiān)管不到位�����、標準不統(tǒng)一等問題?����,F(xiàn)應構建一個統(tǒng)一標準網(wǎng)絡信息安全體系。將用戶權限分割,將用戶不常用或是對其信息保護有隱患的功能部分需轉為傳統(tǒng)的柜臺辦理,用戶可對其權限進行縮減,提供用戶常用功能及其權限�����。用戶認證需多層次的,一般的安全層次認證簡單快捷,高層次需提供較多有效憑證方可使用�。網(wǎng)絡模型要做到有效的內(nèi)外分離,對外網(wǎng)要設置多層安全防范,不能以單一的防火墻形式存在,應具有動態(tài)更新、行為分析����、危害恢復等功能。對內(nèi)網(wǎng)必須將權限分割,無單一權限,在很多核心內(nèi)容上應采用多人協(xié)同開啟權限功能,防止某一個體權限過大造成過多損失等��?����?蛻舳藨摳郊訉蛻舳税踩谋O(jiān)察,如發(fā)現(xiàn)客戶端存在隱患則盡到提醒義務,保護客戶信息安全��。
三����、結束語
安全建設的研究一定要考慮到多方面,找到多種技術和管理方法,而不能只局限到某一種策略。單一的安全技術和產(chǎn)品已滿足不了行業(yè)用戶保障網(wǎng)絡安全的需求,防火墻�、隔離卡�����、防病毒技術�����、信息加密技術�����、入侵檢測技術����、安全評估技術��、等級管理體系��、安全認證技術、漏洞掃描等相互配合,構成網(wǎng)絡安全整體解決方案,并能在穩(wěn)定性及協(xié)同性整體配合上加強�。信息的安全建設如今不僅僅只是技術的問題,更需要管理與技術相融合而發(fā)揮作用的一項系統(tǒng)工程。當然,不斷完善的規(guī)章制度����、科學系統(tǒng)的管理以及高素質�、高執(zhí)行力的團隊也是安全建設所必不可少的。
信息安全論文:計算機信息安全的改進措施
1計算機信息安全技術存在的弊端
1.1缺乏核心技術
目前,我國使用的計算機核心技術,像操作系統(tǒng)�、網(wǎng)關、數(shù)據(jù)庫等大多是國外進口而來的,我國自主研發(fā)的產(chǎn)品比較少�����。CPU芯片是計算機的核心,目前使用最多的品牌是由我國臺灣與美國共同研發(fā)的,同樣缺乏自主性����。在操作系統(tǒng)方面,國外操作系統(tǒng)本身會存在一些漏洞,且設計上并不是根據(jù)我國居民上網(wǎng)操作習慣來設定的,因此容易讓一些病毒有機可乘。操作系統(tǒng)中的安全隱患主要表現(xiàn)在可恢復密鑰�、嵌入式病毒以及隱性通道方面,且由于系統(tǒng)是由國外引進,因此即使我國發(fā)現(xiàn)了漏洞也沒有資格進行大范圍整改,只能夠等到國外補丁再引入國內(nèi)進行安裝。這些漏洞讓計算機的安全性大大降低,使得信息在傳輸過程中處于被監(jiān)視以及干擾的狀態(tài),安全級別較弱���。
1.2傳輸過程中安全風險較多
信息在通過網(wǎng)絡進行傳輸?shù)倪^程中,隱秘信息以及涉密信息與普通信息一樣,都是存在于網(wǎng)絡這個開放性較強地區(qū)之中的,因此同樣容易造成泄密��。信息在傳輸過程中會經(jīng)過多個外節(jié)點,在其中一個節(jié)點出現(xiàn)問題就會影響到信息傳輸?shù)陌踩?一旦發(fā)生安全事故,對出現(xiàn)故障的信息點是難以查證的����。且傳輸環(huán)節(jié)中,任意一個節(jié)點都可能會被惡意修改,對數(shù)據(jù)進行假冒或是篡改���。
1.3外部攻擊較多
現(xiàn)如今,黑客已經(jīng)不再是犯罪的象征,在一定程度上,黑客也意味著著計算機能力較高,是現(xiàn)代少部分年輕人追逐的目標�����。隨著計算機的全面普及,我國計算機用戶在年齡上呈現(xiàn)出下降趨勢,且計算機能力越來越高���。黑客有時并不是要進行利益上的獲取,大多數(shù)情況下,他們只是希望通過這種方式來證明自己的能力����。黑客們對用戶電腦中植入木馬,進行數(shù)據(jù)信息的獲取,或是在網(wǎng)絡中偽裝成管理員進行信息的有效攔截,另外,黑客們還會對一些網(wǎng)站進行攻擊來發(fā)泄自身的不滿����。據(jù)日本新聞網(wǎng)2012年8月18日消息,日本奈良國立博物館的網(wǎng)站17日遭到黑客攻擊,博物館網(wǎng)站主頁上用英文打上了“還我釣魚島”之類的標語��。記者18日登陸該博物館網(wǎng)站主頁時發(fā)現(xiàn),頁面已恢復正常。據(jù)報道,日本國立文化財機構發(fā)表的消息說,奈良國立博物館的館員于17日下午一點左右,發(fā)現(xiàn)博物館的網(wǎng)站主頁最上方的畫像檢索畫面遭到篡改,頁面上出現(xiàn)了“還我釣魚島”之類的英文標語口號。一個小時后,該英文標語口號又換成了其他的英文詞句����。另外,還有一些黑客進行網(wǎng)站信息攻擊是為了從中謀取利益。在今年5月底,南京市公安局接到報警,報案人稱自己公司經(jīng)營的游戲網(wǎng)站遭到了黑客攻擊�����。與以往不同的是,在網(wǎng)站被攻擊后,發(fā)動攻擊的黑客會主動現(xiàn)身,通過網(wǎng)站客服QQ主動聯(lián)系被攻擊者,承認自己破壞了網(wǎng)站���。他們并不是在炫耀自己的能力,而是以此為要挾收取“保護費”。據(jù)該公司工作人員介紹,黑客實施的是大流量攻擊,就是通過網(wǎng)絡向公司服務器IP短時間內(nèi)發(fā)送大流量訪問,導致公司服務器癱瘓,網(wǎng)絡堵塞,用戶無法正常訪問���。該公司網(wǎng)絡游戲的IP地址隨即被租賃公司停用兩天,造成公司間接經(jīng)濟損失達10萬余元。1.4內(nèi)部操作人員素質欠缺在利益的驅使下,網(wǎng)絡管理人員并不能夠保證自己完全不被金錢所誘惑����。另外,在計算機網(wǎng)絡建設過程中,人們大多將重點放在網(wǎng)絡功能的建設上,很少會在安全性能方面加大投入。一些網(wǎng)絡執(zhí)行領導認為,對網(wǎng)絡進行安全性能的加強并不能夠在短期內(nèi)為網(wǎng)站帶來經(jīng)濟效益,且這種投資若是沒有碰到安全事故就相當于無回報投資,因此覺得在網(wǎng)絡安全方面不投資影響也不大�����。正是因為這種思想,網(wǎng)絡安全事故屢禁不止,且在問題發(fā)生之后,由于沒有進行相應投入,因此在補救措施上缺乏行之有效的管理,只能夠采取直接將網(wǎng)絡關閉的消極手段來應對,不能讓安全隱患得到實質性的有效解決���。
2信息安全改進措施
2.1安裝防火墻及殺毒軟件
現(xiàn)如今,各項殺毒軟件與防火墻充斥著網(wǎng)絡資源市場,用戶只需根據(jù)自己平時在計算機上進行的主要操作來選取需要用到的軟件即可。防毒軟件的安裝能夠自動檢測出瀏覽網(wǎng)站的不良信息,確保用戶不會進行點擊操作,這樣一來,一些病毒或是惡意程序就不會侵入到個人電腦中,也不會對電腦中信息造成損害了��。同時,殺毒軟件可以定期、定時的對計算機中的軟件進行掃描,對于會修改計算機操作的程序或是目的地不明確的程序能夠及時找出并向用戶通報��。同時,殺毒軟件會將用戶在網(wǎng)絡上自行下載的資源進行自動掃描,對于含有病毒的程序或是發(fā)現(xiàn)有異常的程序能夠自動將其毀滅,保障用戶計算機安全�����。
2.2信息備份
就目前網(wǎng)絡安全問題而言,許多病毒都是以破壞用戶計算機內(nèi)的資料數(shù)據(jù)為目的的��。因此要做好數(shù)據(jù)的備份工作,保障在數(shù)據(jù)丟失之后能夠被及時找回,不影響后續(xù)工作��、學習。并且,數(shù)據(jù)的備份還需進行技術上的完善,讓數(shù)據(jù)在丟失之后還能夠及時的被找回與回復,這樣一來,即使沒有及時進行備份,也能夠避免丟失造成的損失���。
2.3定期進行補丁更新
對于局域網(wǎng)內(nèi)的計算機而言,病毒很容易就會通過局域網(wǎng)進行傳播,因此要定期進行網(wǎng)絡軟件以及計算機操作系統(tǒng)的維護工作�。對于一般的維護而言,通常是以補丁形式的,省去了安裝的時間。若是沒有及時安裝補丁,一些系統(tǒng)的漏洞就容易被利用,相應的病毒會進入到系統(tǒng)內(nèi)部進行攻擊��。像是蠕蟲病毒�、沖擊波病毒,在補丁安裝之后就失去了進入的通道,自然不會威脅到計算機網(wǎng)絡安全�����。
2.4身份認證
用戶對信息讀取的身份認證是非常重要的���。由于網(wǎng)絡是一個較為開放的平臺,因此黑客能夠利用其開放性對信息進行攔截、讀取與篡改���。在這個過程中,文件是處于不被保護狀態(tài)的,因此就應該提高文件傳輸?shù)陌踩?對文件進行訪問的用戶需要進行身份驗證才能夠繼續(xù)訪問�����。這種身份的認證一般是以用戶安裝安全密鑰或是協(xié)議的方式完成的��。對于計算機信息中心管理人員而言,通過身份的鑒別能夠有效發(fā)現(xiàn)黑客的存在,并且設置文件的讀取權限,像一些加密的文件,權限范圍就要比不加密文件有效,保障加密文件的安全性����。
3小結
隨著計算機的普及以及網(wǎng)絡化的不斷發(fā)展,我國計算機信息安全越來越受到用戶的廣泛關注�����。信息安全關系到信息傳輸雙方以及個人電腦的安全管理,因此應該加大對這方面的重視程度,讓計算機在帶來方便快捷的同時,不會對人們的工作�、 生活����、學習造成負面影響��。相信通過各方面的不斷努力以及投入力度的增加,我國計算機信息安全能夠得到更好的改進��。
信息安全論文:對林業(yè)信息安全保障體質研究
近年來,隨著我省林業(yè)信息化建設進程不斷加快,信息系統(tǒng)在政府服務企業(yè)人民群眾中得到廣泛應用,使得生產(chǎn)效率大幅提高����。然而,隨著社會經(jīng)濟對信息化依賴性不斷增長,信息系統(tǒng)的脆弱性日益暴露,信息安全問題日益凸出�。從我省林業(yè)信息安全現(xiàn)狀來看,不論是軟硬件系統(tǒng)本身還是組織和管理方面,都還不同程度地存在著各種安全隱患,因重大故障而引發(fā)系統(tǒng)停機���、業(yè)務停頓的現(xiàn)象也時有發(fā)生,被黑客攻擊���、病毒傳染致使系統(tǒng)癱瘓和數(shù)據(jù)丟失也不乏其例�。因此,信息安全保障工作是一項關系我省國民經(jīng)濟和社會信息化全局的長期性任務����。在省內(nèi)的推廣和應用對全省信息安全保障體系建設具有重要意義。本文全面地介紹了我省林業(yè)系統(tǒng)信息安全現(xiàn)狀,分析了我省林業(yè)信息安全保障取得的成果和存在的問題,在通過參會����、走訪����、調(diào)研多種形式的基礎上,得到充分的信息安全保障資料,結合國家各信息安全相關標準,提出林業(yè)系統(tǒng)信息安全保障的下一步工作研究�����。
1我省林業(yè)信息化安全形勢嚴峻
我省林業(yè)系統(tǒng)信息安全面臨的形勢不容樂觀,從省直機關及部分地市單位的調(diào)查結果看,有39%的單位發(fā)生過信息安全事件,說明我省林業(yè)系統(tǒng)網(wǎng)絡和信息安全基礎還比較薄弱,保障機制尚待健全。主要有以下四個方面表現(xiàn)�。
1.1從發(fā)生信息安全事件的結構上看,超過半數(shù)的屬于感染病毒、木馬��。引起事件的原因35.5%來自于單位外部,主要原因是未修補或升級軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴重���。而對于事件的覺察,36%是通過網(wǎng)絡管理員工作監(jiān)測發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說明,我省林業(yè)網(wǎng)絡安全形勢總體上是好的,但也說明網(wǎng)絡與信息安全事件總體防范能力不足,缺乏對安全事件的提前預防�����。
1.2從信息安全管理來看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時進行安全檢查,61.1%的部門在管理中采取口令加密��。這說明林業(yè)系統(tǒng)內(nèi)大部門單位已經(jīng)認識到了信息安全的重要性,但管理手段單一,技術落后,缺乏有效的身份認證、授權管理和安全審計手段����。
1.3從信息安全投資來看,只有14.70%的單位信息安全投入達到了15%,70%的單位信息安全投資低于信息化項目總投資的10%,甚至還有7%的單位在信息安全方面從來沒有過投資����。說明整體網(wǎng)絡與信息安全投入明顯不足�。
1.4從專職人員配備情況來看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務。僅有3.8%的單位組織了對單位全體員工的信息安全培訓,而對于網(wǎng)絡安全管理技術人員的培訓也只有46%的單位搞過���。從業(yè)人員不足,安全培訓少,也是影響信息安全的一個重要因素���。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡與信息安全意識淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應急處理能力不強,信息安全管理和技術人才缺乏。隨著我省林業(yè)信息化建設和應用的加快,多樣化的侵害和信息安全隱患將會不斷地暴露出來,使我省林業(yè)網(wǎng)絡與信息安全工作面臨著更大的威脅和風險��。
2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務
省委省政府關于建設“平安山東”的決定,提出了把我省建設成為全國最穩(wěn)定���、最安全的地區(qū)之一的明確目標和任務,切實加強網(wǎng)絡與信息安全保障工作是大力推進國民經(jīng)濟和社會信息化的重要保障,是平安山東建設的重要內(nèi)容。省政府印發(fā)的山東省國民經(jīng)濟和社會信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一��。在此基礎上,林業(yè)信息化建設以全面提高網(wǎng)絡與信息安全的保障能力為己任,努力開創(chuàng)了我省信息化建設與信息安全保障體系相互適應���、共同進步的新局面���。
2.1信息安全保障工作的思路以科學發(fā)展觀為指導,認真貫徹“積極防御,綜合防范”的方針,加強網(wǎng)絡信任體系����、信息安全監(jiān)控體系和應急保障體系建設,全面提高林業(yè)系統(tǒng)網(wǎng)絡與信息安全防護和應急事件處置能力,重點保障我省林業(yè)基礎信息網(wǎng)絡和重要信息系統(tǒng)安全;強化林業(yè)信息安全制度建設和人才隊伍建設,充分發(fā)揮各方面的積極性,協(xié)同構筑我省網(wǎng)絡與信息安全保障體系��。
2.2信息安全保障工作的主要任務
2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡與信息安全建設的作用,建立了信息安全的通報制度,形成我省林業(yè)信息安全相關部門密切配合的良好機制。
2.2.2積極推進了信息風險評估和等級保護制度的建立���。省信息辦制定了山東省信息安全風險評估實施辦法,介紹了實施風險評估的方法和流程,十一五期間,已選取了多家單位作為試點,下一步將根據(jù)自己工作實施風險評估,并爭取在全省范圍內(nèi)推廣���。
2.2.3大力促進網(wǎng)絡與信息安全的制度建設,積極貫徹有關信息安全標準的應用和推廣,出臺了林業(yè)系統(tǒng)網(wǎng)絡信息安全建設的指導意見。
2.2.4加強信息安全應急處置體系建設,利用現(xiàn)有的專業(yè)隊伍和技術資源,規(guī)劃和建設林業(yè)數(shù)據(jù)備份中心,啟動建設信息化應急技術處理中心,逐步實現(xiàn)為我省林業(yè)網(wǎng)絡信息安全提供預警��、評測等服務,按照“誰主管誰負責�����、誰運營誰負責”的要求,各部門出現(xiàn)問題及時處理,如果處理不了,可以呼叫應急中心通過技術手段判斷突發(fā)事件的原因。
2.2.5加強人才隊伍培養(yǎng)和建設����。不定期的舉辦了面向工作人員提高安全意識��、防范意識的培訓,對從事信息化的專業(yè)人員建立管理培訓的制度����。
3加快我省林業(yè)信息安全保障體系建設進程的建議林業(yè)信息安全保障體系的建設是關系我省民生的大事,做好這項工作十分重要�����。
3.1充分認識做好信息安全保障工作的重要意義���。目前對信息安全問題不少人仍然缺乏全面的�、深刻的認識,現(xiàn)有各個部門在安全工作中缺乏安全防范的意識,安全防護注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)����、良性的提高,不能自主發(fā)現(xiàn)和及時消除安全隱患,對安全工作仍然不同程度的存在“說起來重要,忙起來次要,干起來不要”的問題����。各單位各部門要從經(jīng)濟發(fā)展����、社會穩(wěn)定的高度充分認識信息安全的重要性,增強緊迫感�����、責任感和自覺性�����。
3 .2正確把握加強信息安全保障工作的總體要求����。要堅持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關系,堅持以發(fā)展求安全���、以安全保發(fā)展,同時管理與技術并用,大力發(fā)展信息技術的同時,切實加強信息安全管理工作,努力從預防、監(jiān)控�、應急處理和打擊犯罪等環(huán)節(jié)在法律�、管理、技術�����、人才各方面采取各種措施全面提升信息安全的防護水平���。
3.3突出重點,抓好落實。各部門要制定工作重點,加強信息安全體系建設和管理,最大限度的控制和限制安全風險,重點保障基礎信息網(wǎng)絡和重要信息系統(tǒng)的安全,做好應急服務工作,盡可能的防止因信息安全問題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問題���。防止數(shù)據(jù)丟失和錯誤,避免對社會造成的損失����。
3.4建立相應的信息安全管理體制。明確信息安全的綜合建設和管理思路,搞好信息安全保障體系的建設,目前省級部門已經(jīng)按照國家要求做了落實,現(xiàn)在要求地市的信息安全管理部門�����、相關人員也要按照要求做好這項工作����。
3.5加快網(wǎng)絡信任體系�����、監(jiān)控及應急保障體系等信息安全基礎設施建設�����。促進重要信息系統(tǒng)容災備份和災難存儲的建設,建立全覆蓋�、多層次���、高性能的全省林業(yè)信息安全保障基礎架構,深化在我省林業(yè)系統(tǒng)電子政務、電子商務中的應用,結合數(shù)字證書的應用,保證網(wǎng)上信息的安全和法律效力��。信息安全保障體系的建設是一件大事,也是一件新興事物,將面臨著許多難以想象的困難和挑戰(zhàn),我們一定要轉變觀念,一手抓信息化推進,一手抓網(wǎng)絡的信息安全,共同服務于社會發(fā)展的大局,全面提高我省信息安全保障的能力和水平,為國民經(jīng)濟和社會信息化做好保障,為“平安山東”做出應有的貢獻。
信息安全論文:電腦信息安全的威脅與管理策略
一�、計算機信息安全
計算機網(wǎng)絡技術不斷發(fā)展,應用較為廣泛,但是也存在安全性問題,使個人或者企事業(yè)單位面臨威脅。如果計算機信息管理的方法不恰當,會使機密的信息被竊取,引起經(jīng)濟損失�。對計算機信息進行安全管理成為重要的問題。計算機安全保護的目的主要是進行信息的安全管理,保證計算機在存儲信息方面具備完整性以及機密性,信息的效用價值被激發(fā)出來����。
二��、計算機信息安全存在的問題
信息安全威脅主要指的是人、事�����、物對某一資源信息造成的威脅,主要安全威脅表現(xiàn)在以下方面:機密性;完整性;可用性;真實性;可控性。安全威脅可以分為兩類:主動威脅����、被動威脅。主動威脅指的是對信息作出修改,被動威脅指的是對信息只做監(jiān)聽不做修改���。
2.1攻擊方式
信息的安全問題一直受到人們的關注,對計算機進行侵襲的方式花樣百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒絕服務����。無法訪問信息資源,延遲操作����。(4)竊聽:(5)否認:(6)業(yè)務流分析:(7)病毒�����。
2.2網(wǎng)絡外部因素出現(xiàn)問題
網(wǎng)絡外部因素是出現(xiàn)信息安全的重要原因,在信息安全問題中處于關鍵地位���。主要表現(xiàn)在:()l借助技術手段進行網(wǎng)絡干擾;(2)借助先進的設備,植人病毒等,威脅信息系統(tǒng)�。
2.3網(wǎng)絡內(nèi)部因素出現(xiàn)的問題
網(wǎng)絡系統(tǒng)具有脆弱性,是信息安全問題的內(nèi)因�����。主要表現(xiàn)在:(l)安全策略與安全管理有待完善;(2)軟件系統(tǒng)存在漏洞;(3)網(wǎng)絡協(xié)議體系存在問題���。
三�����、計算機信息安全管理的方法
3.1進行信息加密
在安裝防火墻軟件后,不能有效防御系統(tǒng)內(nèi)部的威脅,在這種情況下,可以采用信息加密的技術,把明文文件、數(shù)據(jù)信息等進行優(yōu)質化處理,進行密文的傳送,到達目的地后,錄人密鑰,重現(xiàn)原來的信息內(nèi)容,對信息文件設置安全保護,使數(shù)據(jù)資源保持安全性��。與加密過程相反的是解密,主要是轉化已經(jīng)編碼的信息,還原本來的信息。根據(jù)系統(tǒng)功能的要求,選擇信息加密的手段,保證信息的安全性以及可靠性�����。
3.2采用安全性較高的系統(tǒng)軟件
安全性較高的系統(tǒng)軟件指的是操作系統(tǒng)以及數(shù)據(jù)庫等具有很高的安全性。在系統(tǒng)終端,操作系統(tǒng)應當版本統(tǒng)一,為維護以及管理提供了很大的方便����。對系統(tǒng)的終端進行安全管理,主要指的是針對應用軟件進行遠程操控,對于不安全的端口以及軟件進行屏蔽���。在系統(tǒng)的終端,安裝殺毒軟件,對系統(tǒng)的補丁進行自動的更新,便于進行集中的控管�。對客戶端的操作系統(tǒng)進行定期的掃描殺毒。
3.3訪問控制技術
訪問控制主要指的是對用戶的訪問權限進行控制,允許特定的用戶進行網(wǎng)絡訪問,人網(wǎng)的用戶需要進行身份確認,用戶訪問系統(tǒng)的特定資源,規(guī)定資源的使用程度等等�。訪問控制可以加強網(wǎng)絡系統(tǒng)的安全,對網(wǎng)絡資源進行有效的保護。訪問控制的措施包括:第一,設置口令;第二,應用數(shù)字證書等�����。通過以上方法,驗證�����、確認用戶的信息,設定訪問的權限,進行網(wǎng)絡跟蹤,并對網(wǎng)絡系統(tǒng)采取防護措施。為了確?�?诹畹陌踩?要注重口令的選取以及保護。進行訪問控制,主要是為了確保訪問操作的合法性,避免非授權的訪問�。
3.4進行風險分析
采用信息加密算法可以增加計算機信息整體的安全性�。從傳統(tǒng)的加密方法來看,主要是把密匙作為核心,也就是對稱加密�����。在進行解密和加密時,用戶可以采用相同的密鑰�����。近年來,加密算法發(fā)展較快,公開密鑰得到了廣泛的應用,也稱為非對稱加密�。進行加密、解密,采用不同的密鑰,主體涵蓋的技術包括RsA以及DsA技術?��,F(xiàn)在比較常用的是DES、RSA算法,與PGP加密的方式相混合,能夠進行優(yōu)質運用�����。與此同時,還要進行病毒的防御��。計算機技術在不斷進步,病毒的形式更加多樣,分辨存在很大的難度,產(chǎn)生很大的危害�。
因此,為了保證計算機信息的安全性,我們應當更新技術,不斷研發(fā)防御病毒的方式,使功能更加優(yōu)質全面���。我們必須進行風險分析,分析利弊,制定適當?shù)墓芾矸椒?使計算機信息安全有所保證��。養(yǎng)成規(guī)范操作的習慣,加強密鑰的管理。
四�����、結語
隨著計算機技術的廣泛應用,計算機信息安全受到了嚴重的威脅。在現(xiàn)階段,計算機網(wǎng)絡存在問題,網(wǎng)絡自身具有脆弱性,并容易受到潛在的威脅,注重管理,在必要的情況下,需要加強法律的治理,保證網(wǎng)絡系統(tǒng)的安全性。針對個人的使用,采取一定的管理方法�。加強計算機的信息安全管理,保證網(wǎng)絡信息的安全性����。
信息安全論文:淺談經(jīng)濟信息安全的法律保護問題與對策
論文關鍵詞:經(jīng)濟信息安全 國家經(jīng)濟安全 信息化 法律保護
論文摘要:信息時代���,信息資源的占有率已成為影響一國生產(chǎn)力發(fā)展的核心要素之一��。面對日益激烈的市場競爭��,世界各國對經(jīng)濟信息的爭奪加劇�����。完善我國經(jīng)濟信息安全的法律保護體系是維護國家經(jīng)濟安全��,保障生產(chǎn)力健康發(fā)展的重要任務��。文章對經(jīng)濟信息安全的概念進行了界定,通過分析我國經(jīng)濟信息安全面臨的挑戰(zhàn)與現(xiàn)有法律保護的不足�����,提出完善經(jīng)濟信息安全法律保護的對策�。
一�、信息化挑戰(zhàn)我國經(jīng)濟信息安全
與西方發(fā)達國家相比,我國的經(jīng)濟安全保障體系非常脆弱�����,對于經(jīng)濟信息安全的保護更是一片空白��。國家經(jīng)濟數(shù)據(jù)的泄露����,泄密案件的連續(xù)出現(xiàn)昭示著我國經(jīng)濟信息安全面臨前所未有的嚴峻挑戰(zhàn)��。
(一)對經(jīng)濟信息的爭奪日益加劇
經(jīng)濟競爭的白熾化與信息高速化在推動世界經(jīng)濟迅速發(fā)展的同時也使得業(yè)已存在的竊取經(jīng)濟信息活動更為猖獗�����,無論是官方的經(jīng)濟情報部門還是各大財團��、公司都有自己的情報網(wǎng)絡。世界各國在千方百計地保護本國經(jīng)濟信息安全的同時也在千方百計地獲取他國的經(jīng)濟情報����。目前我國正處于泄密高發(fā)期�,其中通過計算機網(wǎng)絡泄密發(fā)案數(shù)占泄密法案總數(shù)的70%以上,并呈現(xiàn)逐年增長的趨勢��;在商業(yè)活動中��,商業(yè)間諜與經(jīng)濟信息泄密事件頻繁發(fā)生��,據(jù)業(yè)內(nèi)人士透露泄密及損失最滲重的是金融業(yè);其次是資源行業(yè)���,大型并購很多��,而十次并購里面九次會出現(xiàn)信息泄密事故;高科技�����、礦產(chǎn)等領域也非常嚴峻��,很多行業(yè)在經(jīng)濟信息安全保護上都亮起了紅燈����。
(二)竊密技術先進��,手段多樣化
一方面�,發(fā)達國家及其情報組織利用信息技術優(yōu)勢�����,不斷監(jiān)聽監(jiān)視我國經(jīng)濟情報�,非法獲取���、篡改我國信息或傳播虛假信息造成經(jīng)濟波動�����,以獲取經(jīng)濟乃至政治上的收益;另一方面���,除技術手段���,他們還通過商業(yè)賄賂��、資助學術研究����、舉辦研討會���、派專人在合法范圍內(nèi)收集企業(yè)簡報、股東報告甚至是廢棄垃圾通過仔細研究�,分析出有價情報等方式大量收集我國經(jīng)濟信息����。正如哈佛大學肯尼迪政治學院的一位中國專家認為:“在中國��,當前賄賂最主要的形式不再是支付現(xiàn)金��,更多可能由公司付費途經(jīng)洛杉磯或拉斯維加斯到公司總部考察����。這種費用可以被看做是合法的營業(yè)支出�����,也可以為官員設立獎學金?���!备`密技術日益先進與手段日趨多樣化���、合法化對我國經(jīng)濟安全����,特別是經(jīng)濟信息的安全造成嚴重威脅。
(三)經(jīng)濟信息安全保密意識淡薄
近年來��,每當政府機構公布國民經(jīng)濟運行數(shù)據(jù)前����,一些境外媒體或境外研究機構總是能準確“預測”�;許多重要的經(jīng)濟信息�����,包括經(jīng)濟數(shù)據(jù)�、經(jīng)濟政策等伴隨學術報告�、會議研討甚至是一句家常閑聊便被泄露出去����;載有核心經(jīng)濟信息的移動存儲介質被隨意連接至互聯(lián)網(wǎng)導致信息泄露等問題嚴重。有調(diào)查顯示�����,我國有62%的企業(yè)承認出現(xiàn)過泄密現(xiàn)象�;國有以及國有控股企業(yè)為商業(yè)秘密管理所設立專門機構的比例不到20%�,未建立任何機構的比例高達36.5%����;在私營企業(yè)中��,這樣的情況更加嚴峻�����。經(jīng)濟信息安全保密意識的薄弱已成為威脅我國經(jīng)濟安全,影響社會經(jīng)濟穩(wěn)定發(fā)展的制約因素之一��。
二��、經(jīng)濟信息安全法律保護的缺失
安全的實質是一種可預期的利益�����,是法律所追求的價值主張。保障經(jīng)濟信息的安全是信息時代法律在經(jīng)濟活動中所追求的最重要的利益之一��。法律保障經(jīng)濟信息安全����,就要維護經(jīng)濟信息的保密性�����、完整性以及可控性,這是由信息安全的基本屬性所決定的�。然而����,由于我國立法上的滯后,對經(jīng)濟信息安全的法律保護仍存在相當大的漏洞���。
(一)缺乏對保密性的法律保護
保密性是指保證信息不會泄露給非授權者,并對需要保密的信息按照實際情況劃分為不同等級����,有針對性的采取不同力度的保護。現(xiàn)行《保密法》對于國家秘密的范圍以及分級保護雖有相關規(guī)定�����,但其內(nèi)容主要針對傳統(tǒng)的國家安全,有關經(jīng)濟信息安全方面僅出現(xiàn)“國民經(jīng)濟和社會發(fā)展中的秘密事項”這樣原則性的規(guī)定��,對經(jīng)濟秘密的劃定����、保密范圍和措施等缺乏相應條款���;對于跨國公司或境外利益集團等竊取我國經(jīng)濟政策、產(chǎn)業(yè)關鍵數(shù)據(jù)等行為也缺乏法律上的界定��,以至要追究法律責任卻沒有相應法律條款可適用的情況屢屢發(fā)生���。
在涉及商業(yè)秘密的法律保護上,法律規(guī)定分散而缺乏可操作性��,不同部門對商業(yè)秘密的定義不統(tǒng)一��,商業(yè)秘密的概念模糊而混亂,弱化了商業(yè)秘密的保密性����;①另一方面,與TRIPS協(xié)議第39條規(guī)定的“未披露的信息(undiscoveredinformation)”即“商業(yè)秘密”相比��,我國《反不正當競爭法》要求商業(yè)秘密須具有秘密性�����、價值型�����、新穎性與實用性且經(jīng)權利人采取保密措施�,并將構成商業(yè)秘密的信息局限于技術信息和經(jīng)營信息,這樣的規(guī)定不以商業(yè)秘密在商業(yè)上使用和繼續(xù)性使用為要件��,使不具實用性卻有重大價值或潛在經(jīng)濟價值的信息得不到保護,不利于經(jīng)濟信息的保密���。此外�����,人才流動的加快也使商業(yè)秘密伴隨著員工的“跳槽”而流失的可能性激增���,但對商業(yè)秘密侵權威脅(ThreatenedMisappropriationofTradeSecrets)我國尚無沒有明確法律依據(jù)����;對于泄露或竊取他人商業(yè)秘密的行為�����,《刑法》第219條雖增加了刑事處罰�����,但處罰力度過輕而又缺乏處罰性賠償規(guī)定,導致權利人的損失無法得到彌補��。
(二)缺乏對完整性的法律保護
完整性是指信息在存儲或傳輸過程中保持不被未授權的或非預期的操作修改和破壞��,它要求保持信息的原始面貌�,即信息的正確生成�、正確存儲和正確傳輸�����。目前����,我國保障信息與信息系統(tǒng)完整性主要依靠《刑法》與《計算機信息系統(tǒng)安全保護條例》等法律法規(guī)���,總體而言層級較低又缺乏統(tǒng)一性�����。《計算機信息系統(tǒng)安全保護條例》第4條規(guī)定了“計算機信息系統(tǒng)的安全保護工作�,重點維護國家事務����、經(jīng)濟建設��、國防建設��、尖端科學技術等重要領域的計算機信息系統(tǒng)的安全”���,但在第23和25條卻只規(guī)定對破壞和危害計算機信息系統(tǒng)安全造成財產(chǎn)損失的承擔民事責任��,并對個人處以5000元以下罰款�,對單位處以15000元以下罰款的較輕處罰規(guī)定��;現(xiàn)行《刑法》第285條也只規(guī)定入侵國家事務����、國防建設���、尖端科學技術領域的計算機信息系統(tǒng)的行為構成非法侵入計算機信息系統(tǒng)罪。這就是說�����,行為人非法侵入包括經(jīng)濟信息系統(tǒng)在內(nèi)的其他信息系統(tǒng)并不構成本罪���。可見����,法律對信息安全的保障依然側重于政治�����、軍事等傳統(tǒng)安全領域�����,而忽略了對經(jīng)濟信息安全的保護。
(三)缺乏對可控性的法律保護
可控性是對經(jīng)濟信息的內(nèi)容和信息的傳播具有控制能力�����,能夠按照權利人的意愿自由流動。網(wǎng)絡的盛行使得經(jīng)濟間諜�����、商業(yè)賄賂等竊密手段的頻繁出現(xiàn)而使得經(jīng)濟信息不能按照權利人的意愿流動�����。面對日趨“合法化”的竊密行為,《刑法》第110條的間諜罪與第11l條的為境外的機構�����、組織����、人員竊取�����、刺探�、收買�、非法提供國家秘密或情報罪都只是籠統(tǒng)的規(guī)定了“危害國家安全”和“竊取、刺探�����、收買���、非法提供國家秘密或情報”,缺乏有關經(jīng)濟間諜罪的專門規(guī)定���;而《國家安全法》也只是籠統(tǒng)的規(guī)定了國家安全整體的法律條文,并且側重的是傳統(tǒng)安全的政治和軍事領域��,對于經(jīng)濟安全�,尤其是經(jīng)濟信息安全這樣一個新的非傳統(tǒng)安全領域的存在的威脅仍缺乏適當?shù)姆梢?guī)制�����。
除了經(jīng)濟間諜外����,跨國公司對我國實施商業(yè)賄賂獲取經(jīng)濟信息與商業(yè)秘密的案件不斷增加,經(jīng)濟信息的可控性無法得到有效保證,在造成嚴重經(jīng)濟損失的同時也威脅著我國經(jīng)濟信息安全��。目前我國尚無一部完備的《反商業(yè)賄賂法》�����,對于商業(yè)賄賂的法律規(guī)制主要體現(xiàn)在《刑法》與《反不正當競爭法》、《關于禁止商業(yè)賄賂行為的暫行規(guī)定》等法律法規(guī)上�����。然而�,現(xiàn)行《刑法》并未直接對商業(yè)賄賂行為作出罪行定義��,而《反不正當競爭法》第8條雖然規(guī)定商業(yè)賄賂的對象既可包括交易對方����,又可包括與交易行為有關的其他人,但《關于禁止商業(yè)賄賂行為的暫行規(guī)定》中卻又將商業(yè)賄賂界定為“經(jīng)營者為銷售或購買商品而采用財物或者其他手段賄賂對方單位或者個人的行為”縮小了商業(yè)賄賂對象的范罔����,將除交易雙方以外能夠對交易起決定性作用或產(chǎn)生決定性影響的單位或個人被排除在外。另外�,對于商業(yè)賄賂的經(jīng)濟處罰力度畸輕,根據(jù)《反不正當競爭法22條����,不構成犯罪的商業(yè)賄賂行為處以10000元以上200000元以下的罰款����,并沒收違法所得。但事實上����,通過商業(yè)賄賂手段所套取的經(jīng)濟信息往往可以帶來高達上百萬的經(jīng)濟利益���,過輕的處罰完全不能發(fā)揮法律應有的威懾力�。與美國的《反海外賄賂法》和德國的《反不正當競爭法》相比���,我國對于商業(yè)賄賂�,特別是跨國商業(yè)賄賂的治理仍存在不足。
三、完善我國經(jīng)濟信息安全法律保護的對策
法律保護經(jīng)濟經(jīng)濟信息安全���,既要求能預防經(jīng)濟信息不受侵犯,也要求能通過國家強制力打擊各種侵犯經(jīng)濟信息安全的行為���,從而達到經(jīng)濟信息客觀上不存在威脅�����,經(jīng)濟主體主觀性不存在恐懼的安全狀態(tài)�。因此��,維護經(jīng)濟信息安全需要構建全方位的法律保護體系��。
(一)修訂《保密法》,增加保護經(jīng)濟信息安全的專門條款
《保密法(修訂草案)》增加了針對涉密信息系統(tǒng)的保密措施以及加強涉密機關�����、單位和涉密人員的保密管理等五方面內(nèi)容����,總體上得到了專家學者的肯定,但仍存在許多值得進一步斟酌與完善的問題�。特別是對于經(jīng)濟領域的信息安全保密問題����,應增設專門條款明確規(guī)定經(jīng)濟秘密的保密范同,明確哪些經(jīng)濟信息屬于國家經(jīng)濟秘密�����,通過明確“密”的界限強化保密意識�����,維護經(jīng)濟信息的安全���。因此��,在修訂《保密法》時��,我們可以在保證法律的包容性與原則性的基礎上�����,可以借鑒俄羅斯的《聯(lián)邦國家秘密法》��,采取列舉的方式將屬于國家秘密的經(jīng)濟信息以法律的方式予以規(guī)定,將對國家經(jīng)濟安全有重大影響的�、過早透露可能危害國家利益的包括財政政策、金融信貸活動以及用于維護國防�����、國家安全和治安的財政支出情況等經(jīng)濟信息包含在內(nèi),以具體形象的樣態(tài)將國家經(jīng)濟秘密明確的歸屬于法律控制范疇����,避免因法律缺乏明確性與可操作性而帶來的掣肘����。
(二)制定《商業(yè)秘密保護法》�,完善商業(yè)秘密的保護
針對我國商業(yè)秘密泄密案件的日益頻繁,商業(yè)秘密保護立法分散的問題��,盡快制定專門的《商業(yè)秘密保護法》是維護經(jīng)濟信息安全的重要措施����。在制定《商業(yè)秘密保護法》時����,可以借鑒國外以及國際組織的先進經(jīng)驗�����,但應當注意以下問題:(1)在對商業(yè)秘密進行界定時�,應采用列舉式與概括式相結合的體例明確商業(yè)秘密的內(nèi)涵。同時在商業(yè)秘密的構成要件中剔除“實用性”的要求,使那些不為本行業(yè)或領域人員普遍知悉的���,能為權利人帶來經(jīng)濟利益或競爭優(yōu)勢�����,具有“經(jīng)濟價值”以及“潛在價值”并經(jīng)權利人采取合理保護措施的信息也能納入法律的保護范圍;(2)要明確規(guī)定各種法律責任�,包括民事責任����、行政責任以及刑事責任�����。由于商業(yè)秘密侵權行為是一種暴利行為,但給權利人造成的損失卻往往十分巨大���,如不以刑事責任方式提高違法成本便難以遏制其發(fā)生�����;(3)在制定《商業(yè)秘密保護法》時應當引入不可避免泄露規(guī)則(InevitableDisclosureDoctrine)�����。該原則主要是針對商業(yè)秘密潛在的侵占行為采取的保護方式����,旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業(yè)秘密的問題��。引入不可避免泄露原則更能有效地保護商業(yè)秘密���,避免因人才流動為保密性帶來的威脅。
(三)制定統(tǒng)一《反商業(yè)賄賂法》����,確保經(jīng)濟信息的正向流動
隨著信息在經(jīng)濟活動中作用加重�����,商業(yè)賄賂的目的不再局限于獲取商品銷售或購買的機會�����,通過商業(yè)賄賂獲取競爭對手經(jīng)濟秘密已成為信息時代非法控制經(jīng)濟信息流動的重要手段之一。制定統(tǒng)一的《反商業(yè)賄賂法》將分散在各法律法規(guī)中的有關條例加以整合����,實現(xiàn)對國內(nèi)外商業(yè)賄賂行為的有效監(jiān)管,是堵截經(jīng)濟信息非法流動�、維護我國經(jīng)濟信息安全與公平競爭市場環(huán)境的必然選擇�����。因此,在制定統(tǒng)一《反商業(yè)賄賂法》時首先應當對商業(yè)賄賂的概念進行準確的界定���,借鑒《布萊克法律詞典》的解釋將商業(yè)賄賂定義為經(jīng)營者通過不正當給予相關單位�、個人或密切相關者好處的方式,獲取優(yōu)于其競爭對手的競爭優(yōu)勢�;④其次���,對于商業(yè)賄賂的管轄范圍應當適當擴大���。根據(jù)《經(jīng)合組織公約》與《聯(lián)合國反腐敗公約》的規(guī)定��,締約國應確立跨國商業(yè)賄賂法律的域外管轄權制度,對故意實施的跨國商業(yè)行為予以制裁��。因此����,制定《反商業(yè)賄賂法》要求將我國經(jīng)營者或該商業(yè)活動的密切相關者無論是向國內(nèi)外公職人員��、企業(yè)�����、相關個人以及國際組織官員行賄行為或是收受來自國內(nèi)外企業(yè)、個人的財務或其他利益優(yōu)惠的受賄行為都應列入該法管轄范圍內(nèi)�����,并針對商業(yè)賄賂這種貪利性違法行為�����,完善民事、行政以及刑事法律責任����;此外,在立法時還應借鑒國外的成功經(jīng)驗加大制裁力度�����,取消現(xiàn)行法律中固定處罰數(shù)額的不合理規(guī)定����,采用相對確定的倍罰制,并制定對不構成犯罪的商業(yè)賄賂行為的資質罰(指取消從事某種職業(yè)或業(yè)務的資格的處罰)���,使得經(jīng)營者在被處罰后不再具備從事相同職業(yè)或業(yè)務再次進行商業(yè)賄賂的條件,從而有效遏止商業(yè)賄賂行為的蔓延���,以確保經(jīng)濟信息的合理正向流動�����。
(四)完善《刑法》�����,維護經(jīng)濟領域信息安全
“只有使犯罪和刑罰銜接緊湊�����,才能指望相聯(lián)的刑罰要領使那些粗俗的頭腦從誘惑他們的���、有利可圖的犯罪圖景中立即猛醒過來”。故此����,完善《刑法》并加重處罰力度,是維護經(jīng)濟領域信息安全的必要保證�。
首先�,計算機與網(wǎng)絡的廣泛使用使得計算機信息系統(tǒng)安全成為影響經(jīng)濟信息安全的關鍵因素�����。面對《刑法》對經(jīng)濟領域計算機信息系統(tǒng)保護的缺位���,增加維護經(jīng)濟信息安全的專門條款是當務之急。因此����,應首先對《刑法》第285條進行調(diào)整����,規(guī)定凡侵入具有重大價值(包括經(jīng)濟價值、科技價值與政治價值等)或者涉及社會公共利益的計算機信息系統(tǒng)的行為都構成犯罪��;同時����,針對目前竊取計算機信息系統(tǒng)中不屬于商業(yè)秘密或國家秘密但卻具有知識性或重大價值,特別是經(jīng)濟價值的數(shù)據(jù)��、資料現(xiàn)象日益嚴重,《刑法》中還應增設竊取計算機信息資源罪�����,對以非法侵入計算機信息系統(tǒng)為手段�,以竊取他人信息資源為目的且造成嚴重后果的行為予以規(guī)制�;此外,在《刑法》還中還應增設財產(chǎn)刑�����、資格刑���,適當提高法定刑幅度,從多維角度預防和制裁危害計算機信息系統(tǒng)犯罪��。
其次�����,在對商業(yè)秘密的保護上,應完善相關刑事責任與刑事訴訟中的保密規(guī)定?,F(xiàn)行《刑法》規(guī)定了侵犯商業(yè)秘密的行為�����,但在刑罰的表述中并沒有詳細的劃分����?��?v觀國外立法���,大多根據(jù)侵權行為社會危害程度的不同規(guī)定了多種量刑幅度��。因此,對侵犯商業(yè)秘密罪的設置應根據(jù)危害程度的不同規(guī)定不同的刑罰��,對侵犯商業(yè)秘密情節(jié)惡劣�,后果嚴重者從重處罰�,確保罪責刑相適應的同時保證法律的威懾力。此外����,針對目前在審理涉及商業(yè)秘密案件除規(guī)定不公開審理外,沒有對參與商業(yè)秘密的訴訟人員規(guī)定保密義務的問題��,在刑事訴訟中還應設置相關保密義務條款�,在司法解釋中也應規(guī)定配套的保密措施��,以確保權利人在伸張權利時其商業(yè)秘密的保密性不會因法律的漏洞而喪失�。
最后�,借鑒美國《經(jīng)濟間諜法》����,在《刑法》中增設經(jīng)濟間諜罪。與侵犯商業(yè)秘密罪不同����,經(jīng)濟間諜罪重在預防和制裁圖利于外國政府、外國機構或外國政府的人且使之獲得不局限于經(jīng)濟之上的利益的行為�。因此��,增設經(jīng)濟間諜罪��,應明確經(jīng)濟間諜罪的界定、構成要件���、刑罰以及及于域外的法律效力等�,從立法的價值取向上注重從國家安全角度保護商業(yè)秘密����,特別是經(jīng)濟信息類秘密��,對經(jīng)濟間諜行為予以嚴懲�,維護國家經(jīng)濟信息安全��。
總之�,以法律預防和制裁各種侵犯經(jīng)濟信息安全行為,是維護國家經(jīng)濟安全�,促進生產(chǎn)力健康發(fā)展的有效保證。針對信息安全的基本特性�����,建立健全經(jīng)濟信息安全法律保護體系����,實乃理論界與實務界當務之急��。
信息安全論文:關于科研網(wǎng)絡信息安全隱患及控制策略研究
論文摘要:利用網(wǎng)絡信息技術進行科研管理����,加強了信息共享與協(xié)同工作����,提高了科研工作的效率,但與此同時也存在一些安全隱患�。介紹了科研網(wǎng)絡信息安全的概念和意義�,分析了其存在的安全隱患的具體類型及原因,為保證科研網(wǎng)絡信息的安全���,提出了加強網(wǎng)絡風險防范�、防止科研信息被泄露��、修改或非法竊取的相應控制措施�。
論文關鍵詞:科研網(wǎng)絡信息��;安全隱患���;控制策略
1引言
隨著計算機網(wǎng)絡技術的普及����,利用網(wǎng)絡信息技術來改造傳統(tǒng)科研管理模式已經(jīng)成為一種歷史潮流�����。由于計算機網(wǎng)絡的互聯(lián)性和開放性�,在提供信息和檢索信息的同時�����,也面臨著一些安全隱患,科研信息一旦泄露����,會給科研項目的實施帶來致命的打擊���。因此,加強網(wǎng)絡安全���、防止信息泄露�、修改和非法竊取已成為科研單位普及與應用網(wǎng)絡迫切需要解決的問題�,及時掌握和控制網(wǎng)絡信息安全隱患是十分必要的�。
2科研網(wǎng)絡信息安全的概念和意義
2.1概念
科研網(wǎng)絡信息安全主要包括以下兩個方面的內(nèi)容:①科研數(shù)據(jù)的完整性��,即科研數(shù)據(jù)不發(fā)生損壞或丟失���,具有完全的可靠性和準確性。②信息系統(tǒng)的安全性��,防止故意冒充����、竊取和損壞數(shù)據(jù)。
2.2意義
根據(jù)信息安全自身的特點以及科研的實際情況��。
網(wǎng)絡信息安全在科研單位的實施應該以信息安全技術做支撐��,通過流程、審查和教育等的全面協(xié)同機制�,形成一個適合科研管理的完整的信息安全體系,并依靠其自身的持續(xù)改進能力��,始終同步支持科研項目發(fā)展對網(wǎng)絡信息安全的要求���。
3科研網(wǎng)絡信息存在的安全隱患
3.1網(wǎng)絡管理方面的問題
科研網(wǎng)絡的信息化���,由于覆蓋面大、使用人員多以及涉密資料�、信息系統(tǒng)管理存在漏洞.有關人員缺乏保密意識,往往不能保證工作文稿��、科研資料�����、學術論文等在網(wǎng)絡上安全���、正確、實時的傳輸和管理�����。
3.2外部威脅
網(wǎng)絡具有方便�����、快捷的特點����。但也面臨著遭遇各種攻擊的風險�����。各種病毒通過網(wǎng)絡傳播�,致使網(wǎng)絡性能下降���,同時黑客也經(jīng)常利用網(wǎng)絡攻擊服務器,竊取�����、破壞一些重要的信息�����,給網(wǎng)絡系統(tǒng)帶來嚴重的損失�。
4科研網(wǎng)絡信息安全的控制策略
4.1建立完善的網(wǎng)絡信息管理體系
4.1.1制定并網(wǎng)絡信息安全管理制度這是科研網(wǎng)絡信息安全工作的指導準則��,信息安全體系的建立也要以此為基礎�。
4.1.2建立網(wǎng)絡信息安全管理組織這為網(wǎng)絡信息安全體系的建立提供組織保障�,也是網(wǎng)絡信息安全實施的一個重要環(huán)節(jié)�,沒有一個強有力的管理體系���,就不能保證信息安全按計劃推進。
4.1.3加強網(wǎng)絡信息保密審查工作堅持“誰公開、誰負責�、誰審查”的原則���,落實保密審查責任制��,規(guī)范各科室��、部門分工負責的保密審查制度����,不斷完善和細化保密審查的工作制度、工作程序���、工作規(guī)范和工作要求�����。
4.2開展充分的信息安全教育
工作人員信息安全意識的高低,是一個科研單位信息安全體系是否能夠最終成功實施的決定性因素�,所以需要對員工進行充分的教育,提高其信息安全意識��,保證信息安全實施的成效��。
科研單位可以采取多種形式對工作人員開展信息安全教育��,充分利用科研單位內(nèi)部的輿論宣傳手段��,如觀看警示教育片����、保密知識培訓�、簽訂保密承諾書��、保密專項檢查等����,并將工作人員的信息安全教育納入績效考核體系����。
4.3選擇合適的網(wǎng)絡信息安全管理技術
網(wǎng)絡信息安全管理技術作為信息安全體系的基礎���,在信息安全管理中起到基石的作用����。
4.3.1設置密碼保護設置密碼的作用就是安全保護,主要是為了保證信息免遭竊取���、泄露���、破壞和修改等,常采用數(shù)據(jù)備份�����、訪問控制�����、存取控制��、用戶識別、數(shù)據(jù)加密等安全措施����。
4.3.2設置防火墻防火墻在某種意義上可以說是一種訪問控制產(chǎn)品,它能強化安全策略�����,限制暴露用戶點�����,它在內(nèi)部網(wǎng)絡與不安全的外部網(wǎng)絡之間設置屏障���,防止網(wǎng)絡上的病毒�����、資源盜用等傳播到網(wǎng)絡內(nèi)部����,阻止外界對內(nèi)部資源的非法訪問,防止內(nèi)部對外部的不安全訪問��。
4.3.3病毒防范和堵住操作系統(tǒng)本身的安全漏洞為了防止感染和傳播病毒���,計算機信息系統(tǒng)必須使用有安全專用產(chǎn)品銷售許可證的計算機病毒防治產(chǎn)品���。同時任何操作系統(tǒng)也都存在著安全漏洞問題����,只要計算機接人網(wǎng)絡����,它就有可能受到被攻擊的威脅���,還必須完成一個給系統(tǒng)“打補丁”的工作����,修補程序中的漏洞��,以提高系統(tǒng)的性能。防止病毒的攻擊���。
4.3.4使用入侵檢測技術人侵檢測系統(tǒng)能夠主動檢查網(wǎng)絡的易受攻擊點和安全漏洞�。并且通常能夠先于人工探測到危險行為���,是一種積極的動態(tài)安全檢測防護技術�����,對防范網(wǎng)絡惡意攻擊及誤操作提供了主動的實時保護����。
4.4加強涉密網(wǎng)絡和移動存儲介質的管理
科研管理系統(tǒng)安全是由多個層面組成的,在實際的操作過程中.也要嚴格遵守操作規(guī)程�。嚴禁在外網(wǎng)上處理、存儲���、傳輸涉及科研秘密信息和敏感信息�����,嚴禁涉密移動存儲介質在內(nèi)外網(wǎng)上交叉使用,嚴格上網(wǎng)信息保密審查審批制度���,嚴格執(zhí)行涉密計算機定點維修制度�。
5結束語
為了確??蒲芯W(wǎng)絡的信息安全,只有通過有效的管理和技術措施����,使信息資源免遭威脅���,或者將威脅帶來的損失降到最低限度�����,保證信息資源的保密性、真實性����、完整性和可用性.才能提高信息安全的效果�,最終有效地進行科研管理�����、降低信息泄露風險����、確保各項科研工作的順利正常運行。
