序論：寫作是一種深度的自我表達(dá)。它要求我們深入探索自己的思想和情感，挖掘那些隱藏在內(nèi)心深處的真相，好投稿為您帶來(lái)了一篇信息安全論文范文，愿它們成為您寫作過程中的靈感催化劑，助力您的創(chuàng)作。

信息安全論文:信息安全技術(shù)標(biāo)準(zhǔn)分類體系研究

摘要:介紹了國(guó)內(nèi)外信息安全標(biāo)準(zhǔn)體系的現(xiàn)狀,在對(duì)目前系統(tǒng)安全問題分析的基礎(chǔ)上,提出了信息安全技術(shù)參考模型和標(biāo)準(zhǔn)體系框架,探討了信息安全標(biāo)準(zhǔn)化工作存在的問題,并提出了建議。

關(guān)鍵詞:信息安全標(biāo)準(zhǔn)體系標(biāo)準(zhǔn)

信息系統(tǒng)安全體系的研制和建設(shè)是一個(gè)非常復(fù)雜的過程,如果沒有與之相配套的安全標(biāo)準(zhǔn)做支撐,就不能實(shí)現(xiàn)系統(tǒng)的安全可信,只有從系統(tǒng)的視角全面考慮信息系統(tǒng)的安全性,構(gòu)建起合理的信息安全標(biāo)準(zhǔn)體系,才能保證各信息系統(tǒng)和平臺(tái)的安全可控和高效運(yùn)行,也只有建立起涵蓋系統(tǒng)安全結(jié)構(gòu)的完整的技術(shù)標(biāo)準(zhǔn)體系,才能促進(jìn)安全組件之間的相互協(xié)作和關(guān)聯(lián)操作,實(shí)現(xiàn)系統(tǒng)安全性的最大化。

1信息安全標(biāo)準(zhǔn)體系分類現(xiàn)狀

1.1信息安全國(guó)際標(biāo)準(zhǔn)現(xiàn)狀及分類體系

1.1.1美國(guó)國(guó)防部信息安全標(biāo)準(zhǔn)體系

美國(guó)國(guó)防部(DoD)將美軍信息安全標(biāo)準(zhǔn)按安全部件與安全功能相結(jié)合的方法進(jìn)行分類,其標(biāo)準(zhǔn)體系見圖1,其中安全部件以信息流為主線貫穿始終,分為信息處理安全標(biāo)準(zhǔn)、信息傳輸安全標(biāo)準(zhǔn)、信息理解表示安全標(biāo)準(zhǔn)、安全管理標(biāo)準(zhǔn)和安全環(huán)境標(biāo)準(zhǔn)五類。安全功能從信息安全的基本要素(機(jī)密性、完整性、可用性、可控性、抗抵賴性)來(lái)進(jìn)行劃分,分為鑒別安全服務(wù)標(biāo)準(zhǔn)、訪問控制安全服務(wù)標(biāo)準(zhǔn)、保密性安全服務(wù)標(biāo)準(zhǔn)、完整性安全服務(wù)標(biāo)準(zhǔn)、抗抵賴性安全服務(wù)標(biāo)準(zhǔn)和可用性安全服務(wù)標(biāo)準(zhǔn)六類。DoD的信息安全標(biāo)準(zhǔn)體系,雖然覆蓋全面,但安全部件和安全功能之間的標(biāo)準(zhǔn)交叉重復(fù)比較多,層次不夠清晰。

1.1.2聯(lián)合技術(shù)參考模型(JTA 6.0)

JTA 6.0中的信息安全標(biāo)準(zhǔn)體系為實(shí)現(xiàn)對(duì)國(guó)防部信息系統(tǒng)的安全防護(hù)提供了支撐,包括(本地)計(jì)算環(huán)境、飛地邊界、網(wǎng)絡(luò)和基礎(chǔ)設(shè)施、支撐性基礎(chǔ)設(shè)施和安全評(píng)估五類標(biāo)準(zhǔn)。這種分類比較合理,但分類下面對(duì)應(yīng)的標(biāo)準(zhǔn)大部分是國(guó)際標(biāo)準(zhǔn)和美國(guó)國(guó)家標(biāo)準(zhǔn),因此,應(yīng)在借鑒該分類的基礎(chǔ)上,針對(duì)目前我國(guó)已有的國(guó)家標(biāo)準(zhǔn),建立起合理的標(biāo)準(zhǔn)體系。

ISO信息安全工作組分類如圖3所示。目前,ISO制定的信息安全標(biāo)準(zhǔn)按照工作組的分類分為信息安全管理體系(ISMS)標(biāo)準(zhǔn)、密碼和安全機(jī)制、安全評(píng)價(jià)準(zhǔn)則、安全控制與服務(wù)和身份管理與隱私技術(shù)五類。該分類方法比較粗糙,對(duì)于建立安全運(yùn)行的信息系統(tǒng),針對(duì)性不太強(qiáng)。

1.1.4國(guó)際電信聯(lián)盟(ITU-T)標(biāo)準(zhǔn)

ITU-T SG17組負(fù)責(zé)研究網(wǎng)絡(luò)安全標(biāo)準(zhǔn),包括通信安全項(xiàng)目、安全架構(gòu)和框架、計(jì)算安全、安全管理、用于安全的生物測(cè)定、安全通信服務(wù),如圖4所示該分類方法對(duì)信息安全技術(shù)分類比較粗糙,信息安全技術(shù)也只側(cè)重于通信安全。

ITU-T頒布的比較有影響力的安全標(biāo)準(zhǔn)主要有:消息處理系統(tǒng)(X.400系列)、目錄系統(tǒng)(X.500系列)、安全框架和模型(X.800系列)等,其中的X.509標(biāo)準(zhǔn)是PKI的重要基礎(chǔ)標(biāo)準(zhǔn),X.805是端到端通信安全的重要標(biāo)準(zhǔn)。

目前,ITU-T在安全標(biāo)準(zhǔn)化方面主要關(guān)注NGN安全、IPTV安全、身份管理(IDM)、數(shù)字版權(quán)管理(DRM)、生物認(rèn)證、反垃圾信息等熱點(diǎn)問題。

1.2國(guó)家信息安全標(biāo)準(zhǔn)體系

我國(guó)國(guó)家信息安全標(biāo)準(zhǔn)自1995年開始制定,至2002年共制定標(biāo)準(zhǔn)19項(xiàng),全部由國(guó)際標(biāo)準(zhǔn)直接轉(zhuǎn)化而來(lái),主要是有關(guān)密碼和評(píng)估的標(biāo)準(zhǔn)。在這19項(xiàng)中,2004年后已有12項(xiàng)進(jìn)行了修訂。自全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)2004年成立以來(lái)至目前我國(guó)實(shí)際現(xiàn)存正式信息安全標(biāo)準(zhǔn)87項(xiàng),這些標(biāo)準(zhǔn)中,既包括技術(shù)標(biāo)準(zhǔn),如產(chǎn)品和系統(tǒng)(網(wǎng)絡(luò))標(biāo)準(zhǔn),亦包括管理標(biāo)準(zhǔn),如風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)等,覆蓋了當(dāng)前信息安全主要需求領(lǐng)域。

由此可見,目前我國(guó)信息安全標(biāo)準(zhǔn)的制定工作已經(jīng)取得了長(zhǎng)足的進(jìn)展,標(biāo)準(zhǔn)的數(shù)量和質(zhì)量都有了很大的提升,本著“科學(xué)、合理、系統(tǒng)、適用”的原則,在充分借鑒和吸收國(guó)際先進(jìn)信息安全技術(shù)標(biāo)準(zhǔn)化成果和認(rèn)真梳理我國(guó)信息安全標(biāo)準(zhǔn)的基礎(chǔ)上,經(jīng)過全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)各工作組的認(rèn)真研究,初步形成了我國(guó)信息安全標(biāo)準(zhǔn)體系。該標(biāo)準(zhǔn)體系分類相對(duì)合理、全面,涵蓋了體系結(jié)構(gòu)、安全保密技術(shù)、安全管理和安全測(cè)評(píng)等方面的標(biāo)準(zhǔn),但龐大繁雜的標(biāo)準(zhǔn)體系常常讓開發(fā)人員無(wú)所適從,無(wú)法選取需要遵循的標(biāo)準(zhǔn)。因此,針對(duì)信息安全系統(tǒng)的開發(fā)工作要進(jìn)一步精簡(jiǎn)標(biāo)準(zhǔn)體系,突出重點(diǎn),尤其是影響系統(tǒng)集成方面的安全接口標(biāo)準(zhǔn),進(jìn)而增強(qiáng)各個(gè)安全組件之間的互操作和安全技術(shù)間的協(xié)作,提升整個(gè)信息系統(tǒng)的安全防護(hù)能力。

支撐性基礎(chǔ)設(shè)施主要涉及到實(shí)現(xiàn)通信與網(wǎng)絡(luò)、應(yīng)用環(huán)境和數(shù)據(jù)安全所應(yīng)用的支撐性技術(shù),包括認(rèn)證、授權(quán)、訪問控制、公鑰基礎(chǔ)設(shè)施(PKI)和密碼管理基礎(chǔ)設(shè)施(KMI)。

通信與網(wǎng)絡(luò)安全主要體現(xiàn)在網(wǎng)絡(luò)方面的安全性,包括網(wǎng)絡(luò)層身份認(rèn)證、網(wǎng)絡(luò)資源的訪問控制、數(shù)據(jù)傳輸?shù)谋Ｃ芘c完整性、遠(yuǎn)程接入的安全、域名系統(tǒng)的安全、路由系統(tǒng)的安全、入侵檢測(cè)的手段、網(wǎng)絡(luò)設(shè)施防病毒等。

應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:

終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。

應(yīng)用系統(tǒng)的安全問題主要來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素,主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫(kù)系統(tǒng)的威脅主要來(lái)自:非法訪問數(shù)據(jù)庫(kù)信息;惡意破壞數(shù)據(jù)庫(kù)或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)數(shù)據(jù);用戶通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫(kù)訪問時(shí)受到各種攻擊,如搭線竊聽等。

系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過隔離網(wǎng)絡(luò)攻擊來(lái)確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點(diǎn)加密來(lái)確保數(shù)據(jù)不被截獲。

安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。

3信息安全標(biāo)準(zhǔn)分類體系

信息安全技術(shù)參考模型是建立信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)和前提,只有在信息安全技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上建立起覆蓋全面,分類合理的標(biāo)準(zhǔn)體系,才能科學(xué)地預(yù)見需要制/修訂的標(biāo)準(zhǔn),進(jìn)一步明確信息安全標(biāo)準(zhǔn)化的研究方向,更好地支撐信息安全系統(tǒng)的開發(fā)和集成,確 保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作。在前面提出的技術(shù)參考模型的基礎(chǔ)上,進(jìn)一步對(duì)信息安全標(biāo)準(zhǔn)體系進(jìn)行了劃分。

應(yīng)用環(huán)境安全主要包括終端安全和應(yīng)用系統(tǒng)安全。其中:

終端安全主要包括計(jì)算機(jī)和服務(wù)器的安全。其中服務(wù)器可以歸結(jié)為廣義上的終端,防火墻、IDS、服務(wù)器存儲(chǔ)備份等技術(shù)可以為服務(wù)器提供安全服務(wù)。

應(yīng)用系統(tǒng)的安全問題主要來(lái)自網(wǎng)絡(luò)內(nèi)使用的操作系統(tǒng)和數(shù)據(jù)庫(kù)的安全,操作系統(tǒng)安全主要表現(xiàn)在三個(gè)方面:(1)操作系統(tǒng)本身的缺陷帶來(lái)的不安全因素,主要包括身份認(rèn)證、訪問控制、系統(tǒng)漏洞等;(2)對(duì)操作系統(tǒng)的安全配置問題;(3)病毒對(duì)操作系統(tǒng)形成的威脅。數(shù)據(jù)庫(kù)系統(tǒng)的威脅主要來(lái)自:非法訪問數(shù)據(jù)庫(kù)信息;惡意破壞數(shù)據(jù)庫(kù)或未經(jīng)授權(quán)非法修改數(shù)據(jù)庫(kù)數(shù)據(jù);用戶通過網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)庫(kù)訪問時(shí)受到各種攻擊,如搭線竊聽等。

系統(tǒng)中的數(shù)據(jù)是系統(tǒng)運(yùn)行的核心,數(shù)據(jù)的安全性保障關(guān)系到整個(gè)系統(tǒng)能否正常運(yùn)行和服務(wù)。數(shù)據(jù)安全通過數(shù)據(jù)容災(zāi)備份技術(shù)、網(wǎng)絡(luò)隔離技術(shù)和加密技術(shù)保障數(shù)據(jù)的完整性、不受損壞、不被竊取。數(shù)據(jù)容災(zāi)備份主要通過對(duì)系統(tǒng)、數(shù)據(jù)、文件等進(jìn)行快速、完整備份,保證數(shù)據(jù)的安全性,并支持快速恢復(fù)的機(jī)制。網(wǎng)絡(luò)隔離技術(shù)主要通過隔離網(wǎng)絡(luò)攻擊來(lái)確保網(wǎng)間數(shù)據(jù)的安全交換。數(shù)據(jù)加密主要通過鏈路加密和節(jié)點(diǎn)加密來(lái)確保數(shù)據(jù)不被截獲。

安全運(yùn)維管理是在企業(yè)進(jìn)行了一定的安全系統(tǒng)建設(shè)之后的工作,其目的是保證所應(yīng)有的安全產(chǎn)品和技術(shù)能夠真正、充分發(fā)揮其預(yù)期應(yīng)有的效果和效率。安全運(yùn)維管理包括安全設(shè)備的策略配置、安全測(cè)評(píng)、安全監(jiān)控和審計(jì)、安全應(yīng)急響應(yīng)等方面的技術(shù),主要完成安全風(fēng)險(xiǎn)的實(shí)時(shí)監(jiān)控和安全問題的處理等系統(tǒng)安全保障工作。

3信息安全標(biāo)準(zhǔn)分類體系

信息安全技術(shù)參考模型是建立信息安全標(biāo)準(zhǔn)體系的基礎(chǔ)和前提,只有在信息安全技術(shù)發(fā)展趨勢(shì)的基礎(chǔ)上建立起覆蓋全面,分類合理的標(biāo)準(zhǔn)體系,才能科學(xué)地預(yù)見需要制/修訂的標(biāo)準(zhǔn),進(jìn)一步明確信息安全標(biāo)準(zhǔn)化的研究方向,更好地支撐信息安全系統(tǒng)的開發(fā)和集成,確保系統(tǒng)內(nèi)部和系統(tǒng)之間形成安全可信的互連互通互操作。在前面提出的技術(shù)參考模型的基礎(chǔ)上,進(jìn)一步對(duì)信息安全標(biāo)準(zhǔn)體系進(jìn)行了劃分。

信息安全論文:論網(wǎng)絡(luò)環(huán)境下軍事信息安全策略

論文關(guān)鍵詞:軍事信息 信息安全 網(wǎng)絡(luò)環(huán)吮

論文摘要:在軍事活動(dòng)中,軍事信息的交流行為越來(lái)越效繁,局城網(wǎng),廣城網(wǎng)等技術(shù)也逐步成為了軍事活動(dòng)中不可或缺的內(nèi)容,信。息的劫持與反劫持等安全技術(shù)占據(jù)了一個(gè)舉足輕重的地位。本文擾為了保證我軍軍事秘密這個(gè)大前提,對(duì)網(wǎng)絡(luò)壞境下軍事信息安全加以闡述.

1軍事信息安全概述

軍事信息安全一般指軍事信息在采集、傳遞、存儲(chǔ)和應(yīng)用等過程中的完整性、機(jī)密性、可用性,可控性和不可否認(rèn)性。為防止自身的意外原因,實(shí)現(xiàn)軍事信息安全,起碼要做到的是:提出有效策略,建立健全信息管理體制,使用可靠、安全的信息傳輸網(wǎng)絡(luò)來(lái)保障信息采集、傳遞、應(yīng)用過程中信息的機(jī)密性,完整性、可利用性以及可控制性,信息安全狀態(tài)的確定性;信息的可恢復(fù)性等。

2網(wǎng)絡(luò)環(huán)境下軍事信息面臨的安全威脅

網(wǎng)絡(luò)軍事安全從其本質(zhì)上來(lái)說(shuō)是網(wǎng)絡(luò)計(jì)算機(jī)上的軍事信息安全,是指計(jì)算機(jī)系統(tǒng)的硬件、軟件、數(shù)據(jù)受到保護(hù),不因偶然的或惡意的原因而遭到破壞、更改和顯露,在確保系統(tǒng)能連續(xù)正常運(yùn)行的同時(shí),保證計(jì)算機(jī)上的信息安全。如何更有效地保護(hù)重要的信息數(shù)據(jù)、提高計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)的安全性已經(jīng)成為所有計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)用必須考慮和必須解決的一個(gè)重要問題。軍事信息網(wǎng)絡(luò)安全威脅主要有以下幾點(diǎn)。

2.1計(jì)算機(jī)病毒

現(xiàn)代計(jì)算機(jī)病毒可以借助文件、郵件、網(wǎng)頁(yè)、局域網(wǎng)中的任何一種方式進(jìn)行傳播,具有自動(dòng)啟動(dòng)功能,并且常潛人系統(tǒng)核心與內(nèi)存,利用控制的計(jì)算機(jī)為平臺(tái),對(duì)整個(gè)網(wǎng)絡(luò)里面的軍事信息進(jìn)行大肆攻擊。病毒一旦發(fā)作,能沖擊內(nèi)存、影響性能、修改數(shù)據(jù)或刪除文件,將使軍事信息受到損壞或者泄露。

2.2網(wǎng)絡(luò)攻擊

對(duì)于網(wǎng)絡(luò)的安全侵害主要來(lái)自于敵對(duì)勢(shì)力的竊取、纂改網(wǎng)絡(luò)上的特定信息和對(duì)網(wǎng)絡(luò)環(huán)境的蓄意破壞等幾種情況。目前來(lái)看各類攻擊給網(wǎng)絡(luò)使用或維護(hù)者造成的損失已越來(lái)越大了,有的損失甚至是致命的。一般來(lái)講,常見的網(wǎng)絡(luò)攻擊有如下幾種:

(1)竊取軍事秘密:這類攻擊主要是利用系統(tǒng)漏洞,使人侵者可以用偽裝的合法身份進(jìn)入系統(tǒng),獲取軍事秘密信息。

(2)軍事信息網(wǎng)絡(luò)控制:這類攻擊主要是依靠在目標(biāo)網(wǎng)絡(luò)中植人黑客程序段,使系統(tǒng)中的軍事信息在不知不覺中落人指定入侵者的手中。

(3)欺騙性攻擊:它主要是利用網(wǎng)絡(luò)協(xié)議與生俱來(lái)的某些缺陷,入侵者進(jìn)行某些偽裝后對(duì)網(wǎng)絡(luò)進(jìn)行攻擊。主要欺騙性攻擊方式有:IP欺騙,ARP欺騙,Web欺騙、電子郵件欺騙、源路由欺騙,地址欺騙等。

(4)破壞信息傳輸完整性:信息在傳輸中可能被修改,通常用加密方法可阻止大部分的篡改攻擊。當(dāng)加密和強(qiáng)身份標(biāo)識(shí)、身份鑒別功能結(jié)合在一起時(shí),截獲攻擊便難以實(shí)現(xiàn)。

(5)破壞防火墻:防火墻由軟件和硬件組成,目的是防止非法登錄訪問或病毒破壞,但是由于它本身在設(shè)計(jì)和實(shí)現(xiàn)上存在著缺陷。這就導(dǎo)致攻擊的產(chǎn)生,進(jìn)而出現(xiàn)軍事信息的泄露。

(6)網(wǎng)絡(luò)偵聽:它是主機(jī)工作模式,是一種被動(dòng)地接收某網(wǎng)段在物理通道上傳輸?shù)乃行畔?并借此來(lái)截獲該網(wǎng)絡(luò)上的各種軍事秘密信息的手段。

2.3人為因素造成的威脅

因?yàn)橛?jì)算機(jī)網(wǎng)絡(luò)是一個(gè)巨大的人機(jī)系統(tǒng),除了技術(shù)因素之外,還必須考慮到工作人員的安全保密因素。如國(guó)外的情報(bào)機(jī)構(gòu)的滲透和攻擊,利用系統(tǒng)值班人員和掌握核心技術(shù)秘密的人員,對(duì)軍事信息進(jìn)行竊取等攻擊;內(nèi)部人員的失誤以及攻擊。網(wǎng)絡(luò)運(yùn)用的全社會(huì)廣泛參與趨勢(shì)將導(dǎo)致控制權(quán)分散。由于人們利益、目標(biāo)、價(jià)值的分歧,使軍事信息資源的保護(hù)和管理出現(xiàn)脫節(jié)和真空,從而使軍事信息安全問題變得廣泛而復(fù)雜。

3網(wǎng)絡(luò)環(huán)境下軍事信息安全的應(yīng)對(duì)策略

3.1信息管理安全技術(shù)

軍事信息存儲(chǔ)安全最起碼的保障是軍事信息源的管理安全。隨著電子技術(shù)的快速發(fā)展,身份證、條形碼等數(shù)字密鑰的可靠性能越來(lái)越高,為了驗(yàn)證身份,集光學(xué)、傳感技術(shù)、超聲波掃描技術(shù)等一體的身份識(shí)別技術(shù)逐漸應(yīng)用到軍事信息安全中來(lái)。

3.1.1指紋識(shí)別技術(shù)

自動(dòng)指紋識(shí)別系統(tǒng)通過獲取指紋的數(shù)字圖像,并將其特征存儲(chǔ)于計(jì)算機(jī)數(shù)據(jù)庫(kù)中,當(dāng)用戶登錄系統(tǒng)時(shí),計(jì)算機(jī)便自動(dòng)調(diào)用數(shù)據(jù)庫(kù)中的信息,與用戶信息進(jìn)行比對(duì),以此來(lái)保證用戶對(duì)軍事信息使用權(quán)的不可替代性。

3.1.2虹膜、角膜識(shí)別技術(shù)

虹膜識(shí)別系統(tǒng)是利用攝像機(jī)來(lái)采集虹膜的特征,角膜掃描則是利用低密度紅外線來(lái)采集角膜的特征,然后將采集來(lái)的信息與數(shù)據(jù)庫(kù)中的注冊(cè)者信息進(jìn)行比對(duì),借此來(lái)保證登錄的權(quán)限,進(jìn)而起到保護(hù)軍事信息安全的作用。

3.2防火墻技術(shù)

防火墻是指設(shè)置在不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間的一系列部件的組合,它是不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的唯一出入口,能根據(jù)使用者的安全政策控制出入網(wǎng)絡(luò)的信息流。根據(jù)防火墻所采用的技術(shù)和對(duì)數(shù)據(jù)的處理方式不同,我們可以將它分為三種基本類型:包過濾型,型和監(jiān)測(cè)型。

3.3數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密是對(duì)軍信息內(nèi)容進(jìn)行某種方式的改變,從而使其他人在沒有密鑰的前提下不能對(duì)其進(jìn)行正常閱讀,這一處理過程稱為“加密”。在計(jì)算機(jī)網(wǎng)絡(luò)中,加密可分為“通信加密”和“文件加密”,這些加密技術(shù)可用于維護(hù)數(shù)據(jù)庫(kù)的隱蔽性、完整性、反竊聽等安全防護(hù)工作,它的核心思想就是:既然網(wǎng)絡(luò)本身并不安全、可靠,那么,就要對(duì)全部重要的信息都進(jìn)行加密處理,密碼體制能將信息進(jìn)行偽裝,使得任何未經(jīng)授權(quán)者無(wú)法了解其真實(shí)內(nèi)容。加密的過程,關(guān)鍵在于密鑰。

3.4數(shù)字簽名技術(shù)

數(shù)字簽名是通信雙方在網(wǎng)上交換信息用公鑰密碼防止偽造和欺騙的一種身份認(rèn)證。在傳統(tǒng)密碼中,通信雙方用的密鑰是一樣的,既然如此,收信方可以偽造、修改密文,發(fā)信方也可以抵賴他發(fā)過該密文,若產(chǎn)生糾紛,將無(wú)法裁決誰(shuí)是誰(shuí)非。

由于公鑰密碼的每個(gè)用戶都有兩個(gè)密鑰,所以實(shí)際上有兩個(gè)算法,如用戶A,一個(gè)是加密算法EA,一個(gè)是解密算法DA。

若A要向B送去信息m,A可用A的保密的解密算法DA對(duì)m進(jìn)行加密得DA(m),再用B的公開算法EB對(duì)DA(m)進(jìn)行加密得:C=EB(DA(m)); B收到密文C后先用他自己掌握的解密算DDB對(duì)C進(jìn)行解密得:DB(C)=DB(EB(DA(m)))=DA(m);再用A的公開算法EA對(duì)DA(m)進(jìn)行解密得:EA(DA(m))二m,從而得到了明文m。由于C只有A才能產(chǎn)生,B無(wú)法偽造或修改C,所以A也不能抵賴,這樣就能達(dá)到簽名的目的。

4總結(jié)

要確保軍事信息網(wǎng)絡(luò)安全,技術(shù)是安全的主體,管理是安全的靈魂.當(dāng)前最為緊要的是各級(jí)都要樹立信息網(wǎng)絡(luò)安全意識(shí),從系統(tǒng)整體出發(fā),進(jìn)一步完善和落實(shí)好風(fēng)險(xiǎn)評(píng)估制度,建立起平時(shí)和戰(zhàn)時(shí)結(jié)合、技術(shù)和管理一體、 綜合完善的多層次、多級(jí)別、多手段的軍事安全信息網(wǎng)絡(luò)。

信息安全論文:個(gè)人電腦網(wǎng)絡(luò)信息安全的研究

隨著互聯(lián)網(wǎng)技術(shù)的迅猛發(fā)展,網(wǎng)絡(luò)通信(如QQ及微信)、網(wǎng)絡(luò)購(gòu)物、網(wǎng)絡(luò)銀行、網(wǎng)絡(luò)電影及網(wǎng)絡(luò)游戲等已成為人們現(xiàn)代化的生活方式,這些都是網(wǎng)絡(luò)信息技術(shù)帶給人們帶來(lái)的無(wú)限便利。但是,在網(wǎng)絡(luò)資源共享及通信的同時(shí),網(wǎng)絡(luò)也伴隨各種風(fēng)險(xiǎn),如黑客入襲、病毒泛濫、數(shù)據(jù)丟失、信息被盜等網(wǎng)絡(luò)安全問題的頻繁出現(xiàn),這些非法行為嚴(yán)重威脅著個(gè)人電腦網(wǎng)絡(luò)信息的安全,也使電腦網(wǎng)絡(luò)系統(tǒng)運(yùn)行緩慢,甚至出現(xiàn)系統(tǒng)崩潰等安全狀況。這些情況嚴(yán)重干擾了人們的正常生活,甚至給用戶造成重大經(jīng)濟(jì)損失。本文結(jié)合多年電腦網(wǎng)絡(luò)通信和使用經(jīng)驗(yàn),對(duì)個(gè)人電腦網(wǎng)絡(luò)信息安全與防范方面展開研究。

1個(gè)人電腦網(wǎng)絡(luò)信息安全面臨的威脅

電腦上網(wǎng)運(yùn)行過程中面臨的威脅主要表現(xiàn)在以下幾個(gè)方面:

1.1個(gè)人電腦操作系統(tǒng)本身存在缺陷與漏洞。目前絕大多數(shù)個(gè)人電腦使用的Windows操作系統(tǒng)本身存在或多或少的漏洞,漏洞是在硬件、軟件、協(xié)議的具體實(shí)現(xiàn)或系統(tǒng)安全策略上存在的缺陷,黑客和病毒制造者利用漏洞讓病毒或木馬侵入他人電腦,從而在未被授權(quán)的情況下訪問或破壞系統(tǒng)。

1.2人為惡意攻擊。這是目前個(gè)人電腦網(wǎng)絡(luò)面臨的最大安全威脅,計(jì)算機(jī)犯罪就屬于人為的惡意攻擊。它以各種手段破壞個(gè)人電腦網(wǎng)絡(luò)信息的完整性及有效性;竊取、截獲、破譯,從而獲取個(gè)人電腦網(wǎng)絡(luò)的數(shù)據(jù)信息。對(duì)個(gè)人電腦網(wǎng)絡(luò)安全造成很大的威脅,并造成個(gè)人數(shù)據(jù)信息的外泄。

1.3人為主觀因素。個(gè)人電腦用戶對(duì)電腦網(wǎng)絡(luò)的安全配置不當(dāng),而造成的安全威脅,用戶的網(wǎng)絡(luò)安全意識(shí)不高,對(duì)用戶口令的設(shè)置不重視等。

1.4計(jì)算機(jī)病毒入侵。計(jì)算機(jī)病毒具隱蔽性和潛伏性,個(gè)人電腦一旦被病毒侵入,系統(tǒng)將長(zhǎng)期遭到損傷、破壞。計(jì)算機(jī)病毒激發(fā)后會(huì)通過格式化、改寫、刪除、破壞設(shè)置等破壞計(jì)算機(jī)儲(chǔ)存數(shù)據(jù)。竊取用戶隱私信息(如銀行密碼、賬戶密碼),盜用用戶財(cái)產(chǎn)或利用被病毒控制的用戶計(jì)算機(jī)進(jìn)行非法行為。

2個(gè)人電腦網(wǎng)絡(luò)信息安全性的有效防范措施

針對(duì)面臨的各種威脅,我們必須采取相對(duì)應(yīng)的有效防范措施,以保證我們的個(gè)人電腦網(wǎng)絡(luò)信息安全。

2.1及時(shí)更新電腦操作系統(tǒng)。電腦操作系統(tǒng)要不定期地更新,而新的操作系統(tǒng)在之初往往存在著安全漏洞,這就要求用戶在使用網(wǎng)絡(luò)時(shí)對(duì)操作系統(tǒng)及時(shí)進(jìn)行更新。系統(tǒng)漏洞就是指操作系統(tǒng)軟件在開發(fā)過程中出現(xiàn)的缺陷,新出現(xiàn)的漏洞最先多由網(wǎng)絡(luò)攻擊者發(fā)現(xiàn),微軟為了完善操作系統(tǒng),就會(huì)通過不定期地補(bǔ)丁的方式,對(duì)新發(fā)現(xiàn)的系統(tǒng)漏洞進(jìn)行修補(bǔ)完善。漏洞修復(fù)補(bǔ)丁是為完善操作程序另外編制的小程序。為了保證電腦網(wǎng)絡(luò)安全,使個(gè)人電腦網(wǎng)絡(luò)處于相對(duì)安全的狀態(tài),就必須對(duì)操作系統(tǒng)進(jìn)行及時(shí)的更新。因微軟已經(jīng)停止對(duì)WindowsXP提供補(bǔ)丁更新,建議用戶使用Windows7以上的版本,并及時(shí)更新操作系統(tǒng)。

2.2部署網(wǎng)絡(luò)防火墻。個(gè)人電腦網(wǎng)絡(luò)系統(tǒng)在安裝網(wǎng)絡(luò)防火墻的情況下,一般能過濾掉一些非法攻擊,降低病毒或非法者入侵的風(fēng)險(xiǎn)。除此之外,防火墻還具備關(guān)閉不常用端口、對(duì)特定端口流出的通信進(jìn)行封鎖等功能。最后,防火墻技術(shù)還可以識(shí)別特殊網(wǎng)站的訪問,使計(jì)算機(jī)免遭不明攻擊的侵入。

2.3安裝殺毒軟件。網(wǎng)絡(luò)病毒是影響個(gè)人電腦網(wǎng)絡(luò)安全系統(tǒng)的重要因素,因此安裝殺毒軟件勢(shì)在必行。除了安裝正版的防毒殺毒軟件之外,用戶在進(jìn)行網(wǎng)絡(luò)使用時(shí)還可以開啟殺毒軟件實(shí)時(shí)監(jiān)控、定期更新、定時(shí)升級(jí),堅(jiān)持“防殺結(jié)合(防為主,殺為輔)、軟硬互補(bǔ)、標(biāo)本兼治”的原則,使個(gè)人電腦網(wǎng)絡(luò)系統(tǒng)在安全、無(wú)毒的環(huán)境中得以快速運(yùn)行。

2.4合理設(shè)置Administrator賬號(hào)。個(gè)人電腦裝上系統(tǒng)后,系統(tǒng)會(huì)自動(dòng)新建一個(gè)叫administrator的管理計(jì)算機(jī)(域)的內(nèi)置賬戶,是擁有計(jì)算機(jī)管理的最高權(quán)限,它的密碼默認(rèn)是空,很多用戶習(xí)慣空密碼使用這個(gè)賬號(hào)登錄系統(tǒng),這是電腦上網(wǎng)的大忌。黑客入侵的常用手段之一就是試圖獲得Administrator帳戶的密碼。每一臺(tái)計(jì)算機(jī)至少需要一個(gè)帳戶擁有administrator(管理員)權(quán)限,但不一定非用“Administrator”這個(gè)名稱不可。所以,無(wú)論在那個(gè)Windows系統(tǒng)中,最好創(chuàng)建另一個(gè)擁有全部權(quán)限的帳戶,然后停用Administrator帳戶或改名。用戶帳戶建議設(shè)置足夠復(fù)雜的密碼,應(yīng)盡量設(shè)置為數(shù)字字母組合,密碼的長(zhǎng)度不應(yīng)小于6位,最好在8位以上,避免使用純數(shù)字或常用英語(yǔ)單詞的組合。復(fù)雜的賬號(hào)密碼能夠增加窮舉破解軟件的破解密碼難度。

2.5合理使用文件共享與遠(yuǎn)程桌面。建議平時(shí)停止系統(tǒng)默認(rèn)打開的共享文件夾,關(guān)閉不使用的遠(yuǎn)程連接端口。需要使用的必須有設(shè)置訪問權(quán)限控制,在安全環(huán)境下合理使用文件共享和啟用遠(yuǎn)程桌面也是避免攻擊者侵入的有力措施。

2.6保護(hù)個(gè)人信息。個(gè)人電腦用戶要自覺養(yǎng)成良好的防盜習(xí)慣,各種賬號(hào)密碼千萬(wàn)不要用文檔保存在電腦硬盤,登錄密碼、支付密碼以及證書密碼不應(yīng)該設(shè)置相同,也不適宜選擇電話號(hào)碼、生日等容易猜中的數(shù)字作為密碼,密碼應(yīng)該數(shù)字和字母混合,并且交易密碼與信用卡密碼應(yīng)該定期進(jìn)行更改。登錄網(wǎng)絡(luò)銀行系統(tǒng)交易過程遭遇的異常情況都需要格外重視,并及時(shí)查看已經(jīng)發(fā)生的交易。用戶還應(yīng)該定期查看網(wǎng)絡(luò)銀行辦理轉(zhuǎn)賬業(yè)務(wù)與支付業(yè)務(wù)的記錄,也可以采用短信定制帳戶變動(dòng)通知,實(shí)時(shí)掌握帳戶的變動(dòng)情況。

2.7防范釣魚網(wǎng)站。不少賬戶被盜的案例其實(shí)是因?yàn)樵L問了釣魚網(wǎng)站。他們偽裝成正規(guī)的銀行頁(yè)面或是支付頁(yè)面,騙取你輸入的帳戶名和密碼,利用ARP欺騙,可以在用戶瀏覽網(wǎng)站時(shí)植入一段HTML代碼,使其自動(dòng)跳轉(zhuǎn)到釣魚網(wǎng)站。避免被釣一方面需要對(duì)別人發(fā)來(lái)的網(wǎng)絡(luò)地址多留心,因?yàn)檫@個(gè)地址可能非常接近如淘寶、網(wǎng)上銀行的域名地址,打開的頁(yè)面也幾乎和真實(shí)的頁(yè)面完全一致,但是實(shí)際你進(jìn)入的是一個(gè)偽裝的釣魚網(wǎng)站;另一方面,盡量選擇具有安全認(rèn)證功能的瀏覽器,這些瀏覽器能夠自動(dòng)提示你打開的頁(yè)面是否安全,避免進(jìn)入釣魚網(wǎng)站。

2.8盡量避免瀏覽色情網(wǎng)站。眾所周知,色情網(wǎng)站一般都會(huì)掛上各種各樣的木馬,確實(shí)很危險(xiǎn)。木馬傳播者通常是以色情視頻為誘餌,網(wǎng)民若想觀看則需安裝指定播放器,當(dāng)下載這個(gè)播放器時(shí)便會(huì)將木馬下載器也一同下載到自己的電腦,在觀看視頻的過程中,一些遠(yuǎn)程控制類木馬也被捆綁進(jìn)播放器,用于竊取用戶的個(gè)人隱私信息,甚至于一些有價(jià)證券類的帳號(hào)密碼也被竊取。因此,個(gè)人電腦用戶要盡量避免瀏覽色情網(wǎng)站。

2.9選擇安全方式下載軟件。在互聯(lián)網(wǎng)中,通信與共享是計(jì)算機(jī)網(wǎng)絡(luò)的最基本應(yīng)用,個(gè)人電腦用戶通常從網(wǎng)站下載各種應(yīng)用軟件,但以欺騙手段窺探用戶隱私、竊取個(gè)人信息的各種惡意軟件及網(wǎng)絡(luò)釣魚活動(dòng)嚴(yán)重威脅著網(wǎng)絡(luò)信息安全。這類軟件的制作者在對(duì)軟件反編譯后,進(jìn)行重新封裝,在程序安裝時(shí),隱藏在軟件中的木馬與不安全控件也會(huì)被裝入計(jì)算機(jī),程序在運(yùn)行時(shí),用戶的信息隱私得不到保障,甚至網(wǎng)銀、賬號(hào)密碼等重要信息也會(huì)被竊取。下載文件的安全風(fēng)險(xiǎn)主要是木馬程序己被植入到文件中或是通過調(diào)用瀏覽器彈出網(wǎng)頁(yè)的方式,把用戶引入到含有木馬的危險(xiǎn)網(wǎng)站。因此,個(gè)人電腦用戶應(yīng)選擇正版軟件網(wǎng)站下載軟件,在完成下載任務(wù)后應(yīng)先利用殺毒軟件對(duì)文件進(jìn)行掃描,保證網(wǎng)絡(luò)下載安全。

2.10對(duì)個(gè)人電腦存放的重要數(shù)據(jù)定期進(jìn)行備份。盡管網(wǎng)絡(luò)安全的防范措

施非常嚴(yán)密,也不能保證安全無(wú)憂,個(gè)人電腦在遭到攻擊癱瘓時(shí),應(yīng)用軟件程序和操作系統(tǒng)能夠重裝,而一些重要的數(shù)據(jù)卻無(wú)法恢復(fù),因此應(yīng)對(duì)個(gè)人電腦存放的重要數(shù)據(jù)進(jìn)行定期備份。 2.11網(wǎng)絡(luò)支付配備U盾。目前的個(gè)人電腦的安全狀況在網(wǎng)絡(luò)支付的環(huán)境下已經(jīng)不再值得信任,目前銀行都會(huì)配備U盾。為進(jìn)一步確保客戶在支付領(lǐng)域的安全性,通用U盾設(shè)計(jì)了高級(jí)別、多層次的網(wǎng)絡(luò)交易安全防護(hù)技術(shù),保障客戶資金安全,它內(nèi)置微型智能卡處理器,采用1024位非對(duì)稱密鑰算法對(duì)網(wǎng)上數(shù)據(jù)進(jìn)行加密、解密和數(shù)字簽名,確保交易的保密性、真實(shí)性、完整性和不可否認(rèn)性。它的最大特點(diǎn)就是同時(shí)配備有USB接口和音頻接口,同時(shí)保障客戶在電腦和手機(jī)支付上的雙重安全,相當(dāng)于為這兩個(gè)支付渠道都裝上了一道防火墻。

個(gè)人電腦已離不開網(wǎng)絡(luò),個(gè)人電腦網(wǎng)絡(luò)信息安全與防范應(yīng)該引起我們的重視。本文簡(jiǎn)要的分析了一些個(gè)人電腦網(wǎng)絡(luò)中的一些主要的信息安全問題以及安全防范措施,可以根據(jù)這些措施定期或不定期的對(duì)個(gè)人電腦做一些檢查,這樣才能保證安全、高效的運(yùn)行。

信息安全論文:智能電網(wǎng)信息安全技術(shù)的應(yīng)用

一、智能電網(wǎng)信息安全技術(shù)的作用

信息安全是智能電網(wǎng)高效穩(wěn)定運(yùn)營(yíng)發(fā)展的重要保障基礎(chǔ),是電力通信安全技術(shù)研究的一個(gè)重要課題。智能電網(wǎng)配電自動(dòng)化系統(tǒng)信息安全體系可有效提高智能電網(wǎng)信息安全水平,促進(jìn)智能電網(wǎng)的高效穩(wěn)定、節(jié)能經(jīng)濟(jì)的運(yùn)營(yíng)發(fā)展。我們所謂的智能電網(wǎng)信息安全技術(shù),主要是保證信息的安全性,在保證安全性的同時(shí),也提出了相應(yīng)的技術(shù)要求,比如應(yīng)用電網(wǎng)核心部件、建設(shè)業(yè)務(wù)系統(tǒng)安全、研究電網(wǎng)基礎(chǔ)信息、安全保障技術(shù)等,另外,它也負(fù)責(zé)研究和開發(fā)安全存儲(chǔ)和防范攻擊以及防范網(wǎng)絡(luò)病毒等方面,這些方面也需要高度重視。

二、智能電網(wǎng)信息安全體系的組成部分

2.1 基礎(chǔ)硬件設(shè)備

發(fā)電、輸電、配電、用電這四個(gè)環(huán)節(jié)中包括基礎(chǔ)硬件。其中,發(fā)電所覆蓋的范圍極廣,比如電源接入、電源光伏等,輸電所覆蓋的范圍包括網(wǎng)架、超導(dǎo)、高壓等;配電所涵蓋的范圍包括高級(jí)電表設(shè)備、虛擬電廠、配電微網(wǎng)等;用電所涵蓋的范圍包括電力供應(yīng)站、自動(dòng)控制設(shè)備、電力存儲(chǔ)設(shè)施等。

2.2 感知測(cè)量層的組成

感知測(cè)量層必須在應(yīng)用智能測(cè)控設(shè)備后,才能成功實(shí)現(xiàn)智能感知,進(jìn)一步評(píng)估電網(wǎng)是否穩(wěn)定和是否存在堵塞狀況以及監(jiān)控設(shè)備是否處于正常運(yùn)行狀況中。感知測(cè)量層主要由電磁信號(hào)測(cè)量系統(tǒng)、分析系統(tǒng)、數(shù)字繼電器、智能讀書系統(tǒng)等組成。通常情況下,上述所講的儀器表都是運(yùn)用射頻加以識(shí)別,與智能電網(wǎng)進(jìn)行連接。

2.3 信息通信層的組成

在信息通信層中,所使用的技術(shù)覆蓋配電自動(dòng)化、能量管理、數(shù)字移動(dòng)通信、采集數(shù)據(jù)、光纖通信等領(lǐng)域范疇之內(nèi),真正實(shí)現(xiàn)交換數(shù)據(jù)和信息以及進(jìn)行相應(yīng)的控制,保證系統(tǒng)的穩(wěn)定性和可靠性,充分運(yùn)用資產(chǎn)利用率,實(shí)現(xiàn)信息的安全共享。

2.4 調(diào)度運(yùn)維層的組成

智能電網(wǎng)還涉及其他方面很多因素,比如社會(huì)因素、自然因素、經(jīng)濟(jì)因素等,因此想要精確控制和管理,需要結(jié)合人工智能技術(shù)。為保證整個(gè)系統(tǒng)有序運(yùn)行,并更好地進(jìn)行協(xié)調(diào)控制管理,可將網(wǎng)狀控制結(jié)構(gòu)形式以及分布式智能化等設(shè)計(jì)理念與系統(tǒng)建設(shè)相結(jié)合。系統(tǒng)既可集中協(xié)調(diào),也可實(shí)施分布式?jīng)Q策控制。

三、應(yīng)用智能電網(wǎng)信息安全技術(shù)所涉及的內(nèi)容

3.1 智能電網(wǎng)物理安全

智能電網(wǎng)系統(tǒng)在正常運(yùn)行情況下,所需要的安全硬件設(shè)備稱之為智能電網(wǎng)的物理安全。其中這些硬件設(shè)備通常包括測(cè)量?jī)x器和智能流量計(jì)等類型的傳感器,在通信系統(tǒng)中,各種計(jì)算機(jī)和網(wǎng)絡(luò)設(shè)備以及存儲(chǔ)數(shù)據(jù)等各種類型的存儲(chǔ)介質(zhì)。其所謂的物理安全實(shí)際指保證與智能電網(wǎng)系統(tǒng)有關(guān)的硬件安全以及硬件設(shè)備本身的安全等,這也是智能電網(wǎng)安全信息控制的主要工作內(nèi)容。物理安全主要是指防止人為因素破壞業(yè)務(wù)系統(tǒng)的安全性,同時(shí)也防止有人通過各種方式入侵系統(tǒng)中,這就需要無(wú)論在信息事件發(fā)生前,還是在信息事件發(fā)生后,都應(yīng)審查所有物理設(shè)備的接觸行為。

3.2 網(wǎng)絡(luò)的安全性

智能電網(wǎng)所具有的可靠性也就是指網(wǎng)絡(luò)方面的安全性,這就要求通信網(wǎng)絡(luò)應(yīng)完善的二次系統(tǒng)防護(hù)措施。安全分區(qū)、橫向隔離、縱向認(rèn)證等是網(wǎng)絡(luò)安全防護(hù)的標(biāo)準(zhǔn)。我國(guó)目前網(wǎng)絡(luò)安全方面遭遇到黑客攻擊,且黑客攻擊的技能技術(shù)也在不斷提高,傳統(tǒng)的網(wǎng)絡(luò)安全手段和方法已不能滿足現(xiàn)代網(wǎng)絡(luò)發(fā)展的要求。如果在這時(shí)應(yīng)用大量的智能電網(wǎng)設(shè)備將十分困難,有可能面臨電網(wǎng)癱瘓的局面。因此,在選擇安全加密算法時(shí)和建設(shè)整個(gè)網(wǎng)絡(luò)體系時(shí),都要具有充足的前瞻性,做好設(shè)計(jì)以及計(jì)劃工作。在網(wǎng)絡(luò)信息系統(tǒng)正常運(yùn)行中,要充分運(yùn)用虛擬專用網(wǎng)和防火墻以及網(wǎng)絡(luò)病毒查殺等技術(shù)進(jìn)一步保證網(wǎng)絡(luò)安全運(yùn)行。

3.3 數(shù)據(jù)傳送的安全

在應(yīng)用智能電網(wǎng)過程中,一定要保證信息數(shù)據(jù)的傳送安全,也需要掌握好數(shù)據(jù)的保密性、正確性、防復(fù)制等重要指標(biāo)。對(duì)于整個(gè)數(shù)據(jù)的安全認(rèn)證以及管理中心數(shù)據(jù)都要進(jìn)行備份,防止數(shù)據(jù)庫(kù)數(shù)據(jù)的丟失。恢復(fù)數(shù)據(jù)庫(kù)以及備份數(shù)據(jù)庫(kù)都需要系統(tǒng)管理員操作。一些經(jīng)常變動(dòng)的數(shù)據(jù)每天既要做好記錄,也要做好備份。一些不常變化的數(shù)據(jù),可定期或者不定期進(jìn)行備份。另外,數(shù)據(jù)庫(kù)中所存儲(chǔ)的密鑰信息和加密信息以及關(guān)鍵信息等,都需要進(jìn)行加密存儲(chǔ)。

3.4 業(yè)務(wù)安全的任務(wù)

保證智能電網(wǎng)業(yè)務(wù)應(yīng)用的可靠性、穩(wěn)定性、完整性、科學(xué)性等是應(yīng)用業(yè)務(wù)安全的重要任務(wù),也更加要保證業(yè)務(wù)工作流程的可操作性和完整性。對(duì)于電力系統(tǒng)安全防護(hù)方面的特征,可運(yùn)用強(qiáng)制性的控制技術(shù)來(lái)提高網(wǎng)絡(luò)信息的安全性,防止網(wǎng)絡(luò)信息被損壞或者操控,進(jìn)一步加強(qiáng)電網(wǎng)信息業(yè)務(wù)系統(tǒng)的安全性。

3.5 加強(qiáng)網(wǎng)絡(luò)通信的安全

支撐智能電網(wǎng)基礎(chǔ)平臺(tái)運(yùn)行的是信息安全通信。一方面既需要有計(jì)劃和有目標(biāo)部署對(duì)應(yīng)的安全通信產(chǎn)品,做到通信技術(shù)與通信管理的要求相統(tǒng)一,另一方面也要提高網(wǎng)絡(luò)通信管理的安全性,規(guī)范管理員工的各項(xiàng)操作行為。通過對(duì)信息通信和重要網(wǎng)絡(luò)所進(jìn)行的主動(dòng)控制,比如網(wǎng)絡(luò)邊界保護(hù)系統(tǒng)、防御系統(tǒng)、數(shù)據(jù)傳輸系統(tǒng)等重要技術(shù),實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的交換和控制,加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)通信的安全。

四、結(jié) 語(yǔ)

在智能電網(wǎng)的快速發(fā)展下,雖然網(wǎng)絡(luò)信息的安全性得到進(jìn)一步保證,但還存在很多問題,這需要深入分析和研究信息安全技術(shù),在研究的同時(shí),也需要與智能電網(wǎng)信息系統(tǒng)相結(jié)合,建立健全信息安全系統(tǒng),保證網(wǎng)絡(luò)通信的安全,提高網(wǎng)絡(luò)業(yè)務(wù)的可信性和操作性。

信息安全論文:計(jì)算機(jī)信息安全特征的分析

科學(xué)技術(shù)的產(chǎn)生與實(shí)際廣泛運(yùn)用總是在矛盾中發(fā)展,計(jì)算機(jī)網(wǎng)絡(luò)通信技術(shù)也不例外。21世紀(jì)是計(jì)算機(jī)技術(shù)蓬勃發(fā)展的時(shí)代,人們的日常生活極大程度的依賴其技術(shù)的發(fā)展與完善。然后,伴隨著計(jì)算機(jī)科學(xué)技術(shù)的不斷發(fā)展,我們也看到網(wǎng)絡(luò)信息技術(shù)的各種漏洞對(duì)人們個(gè)人信息和財(cái)產(chǎn)安全帶來(lái)的實(shí)際威脅。同時(shí),我國(guó)的政治、經(jīng)濟(jì)、國(guó)防等部分的正常運(yùn)作也依賴于計(jì)算機(jī)科學(xué)技術(shù),若出現(xiàn)安全漏洞對(duì)國(guó)家財(cái)產(chǎn)和公民安全所造成的危害是不可估量的。所以,無(wú)論是國(guó)家部門、企事業(yè)單位、集體組織以及個(gè)體都需高度重視計(jì)算機(jī)信息安全管理問題。

1 計(jì)算機(jī)信息安全的相關(guān)概念

計(jì)算機(jī)信息安全是指現(xiàn)代計(jì)算機(jī)網(wǎng)絡(luò)通信所需要的內(nèi)部和外部環(huán)境,主要的保護(hù)對(duì)象為計(jì)算機(jī)信息通信系統(tǒng)中硬件及軟件等數(shù)據(jù)信息,在運(yùn)行過程中使其免受木馬、盜號(hào)、惡意篡改信息等黑客行為,從而保障計(jì)算機(jī)網(wǎng)絡(luò)服務(wù)的安全、穩(wěn)定運(yùn)行。因此,計(jì)算機(jī)信息安全指的是保障信息在網(wǎng)絡(luò)傳輸是能抵御各種攻擊,并對(duì)系統(tǒng)產(chǎn)生的各種安全漏洞進(jìn)行自我修復(fù)或發(fā)出預(yù)警指示提醒信息管理人員及時(shí)采取相應(yīng)措施。計(jì)算機(jī)信息安全所涉及的系統(tǒng)信息數(shù)據(jù)極為龐大,主要包括計(jì)算機(jī)ID信息、硬件資源、網(wǎng)絡(luò)服務(wù)器地址、服務(wù)器管理員密碼、文件夾密碼以及計(jì)算機(jī)系統(tǒng)不斷變換與更新的各類登錄用戶名和密碼信息等內(nèi)容。從整體來(lái)來(lái)歸類,可以將計(jì)算機(jī)信息安全劃分為信息的存儲(chǔ)安全和傳輸安全兩大類。

2 計(jì)算機(jī)信息安全技術(shù)防護(hù)的內(nèi)容

計(jì)算機(jī)信息安全防護(hù)技術(shù)所包含的內(nèi)容較為繁雜,從現(xiàn)階段安全技術(shù)應(yīng)用的實(shí)際情況來(lái)看,強(qiáng)化計(jì)算機(jī)安全防護(hù)技術(shù)可以從安全技術(shù)管理入手。安全管理包含的主要內(nèi)容為:對(duì)計(jì)算機(jī)系統(tǒng)進(jìn)行安全檢測(cè)和漏洞修補(bǔ)、分析系統(tǒng)數(shù)據(jù)、安裝系統(tǒng)防火墻、設(shè)置管理員密碼、安裝正版殺毒軟件、對(duì)系統(tǒng)進(jìn)行定期不定期的入侵檢測(cè)掃描等。同時(shí),計(jì)算機(jī)安全防護(hù)管理人員應(yīng)積極的研究并完善信息安全管理制度,嚴(yán)格根據(jù)管理?xiàng)l列規(guī)范安全防護(hù)行為,加強(qiáng)對(duì)管理人員的安全知識(shí)培訓(xùn),提高其安全防護(hù)意識(shí)。

3 提高計(jì)算機(jī)信息安全的策略

為了提高計(jì)算機(jī)信息安全防護(hù)水平,保護(hù)國(guó)家和個(gè)人的信息與財(cái)產(chǎn)安全,以充分發(fā)揮計(jì)算機(jī)科學(xué)技術(shù)的社會(huì)和經(jīng)濟(jì)效益,我們應(yīng)從以下幾個(gè)方面來(lái)加強(qiáng)計(jì)算機(jī)信息安全防護(hù)工作。

3.1 提高計(jì)算機(jī)信息安全防護(hù)意識(shí),加強(qiáng)法律立法

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的高速發(fā)展以及個(gè)人PC機(jī)、移動(dòng)終端的大眾化使用,隨之而來(lái)的信息安全威脅與日俱爭(zhēng),一方面是由于計(jì)算機(jī)操作使用者的技術(shù)門檻要求過低;另一方面是計(jì)算機(jī)安全防護(hù)技術(shù)與黑客技術(shù)的發(fā)展所呈現(xiàn)出的矛盾性。無(wú)論是國(guó)家部門還是企事業(yè)組織對(duì)職工的安全防護(hù)知識(shí)力度的不足,更導(dǎo)致計(jì)算機(jī)安全事故頻發(fā)。因此,要提高計(jì)算機(jī)信息安全防護(hù)技術(shù)水平,首要加強(qiáng)法律立法,對(duì)各種黑客入侵和人為惡意破壞行為進(jìn)行法律上的制裁;同時(shí),國(guó)家應(yīng)出臺(tái)并完善計(jì)算機(jī)安全防護(hù)管理?xiàng)l例,使計(jì)算機(jī)信息安全防護(hù)工作有法可依,有法可循。針對(duì)認(rèn)為操作失誤而導(dǎo)致的計(jì)算機(jī)安全事故,應(yīng)做好對(duì)相關(guān)人員的安全防護(hù)知識(shí)教育工作,提高其安全防護(hù)意識(shí),從思想上認(rèn)知到計(jì)算機(jī)安全防護(hù)知識(shí)對(duì)維護(hù)個(gè)人和集體財(cái)產(chǎn)安全的重要性。企事業(yè)單位應(yīng)將掌握一定的計(jì)算機(jī)安全防護(hù)知識(shí)作為職工聘任標(biāo)準(zhǔn)之一,并將這一標(biāo)準(zhǔn)加入到職工考核之中,在各類組織結(jié)構(gòu)內(nèi)容構(gòu)建計(jì)算機(jī)信息安全管理?xiàng)l例,以規(guī)范人們的日常行為。

3.2 計(jì)算機(jī)信息安全防護(hù)的具體技術(shù)

1)設(shè)立身份驗(yàn)證機(jī)制。身份驗(yàn)證機(jī)制即是確認(rèn)訪問計(jì)算機(jī)信息系統(tǒng)的具體個(gè)人是否為系統(tǒng)所允許,最主要的目的是防止其他個(gè)人的惡意欺詐和假冒攻擊行為。對(duì)身份驗(yàn)證通常有三種方法:①設(shè)立管理員登陸密碼和私有密鑰等;②通過特殊的媒介進(jìn)行身份驗(yàn)證,如網(wǎng)銀登陸所需要的U盾,管理員配置的IC卡和護(hù)照等;③通過驗(yàn)證用戶的生物體征來(lái)達(dá)到密碼保護(hù)的功能,如IPHONE的HOME鍵指紋識(shí)別功能,或者其他的視網(wǎng)膜識(shí)別和筆跡識(shí)別等。

2)設(shè)定用戶操作權(quán)限。結(jié)合計(jì)算機(jī)信息數(shù)據(jù)的具體應(yīng)用,設(shè)置不同的個(gè)體訪問、修改、保存、復(fù)制和共享權(quán)限,以防止用戶的越權(quán)行為對(duì)信息安全系統(tǒng)所帶來(lái)的潛在威脅。如設(shè)置計(jì)算機(jī)PC端的管理員和訪客密碼,文件的可修改、可復(fù)制權(quán)限等。

3)加密計(jì)算機(jī)信息數(shù)據(jù)。信息數(shù)據(jù)的加密即是通過美國(guó)改變信息符號(hào)的排列足組合方式或設(shè)置對(duì)象之間的身份識(shí)別機(jī)制,以實(shí)現(xiàn)只有合法用戶才能獲取信息的目的。計(jì)算機(jī)信息加密方法一般分為:信息表加密、信息記錄加密以及信息字段加密等。其中計(jì)算機(jī)信息記錄的加密處理方式因其操作方式便利、靈活性高、選擇性多而受到較為廣泛的應(yīng)用。如網(wǎng)絡(luò)聊天工具的異地登錄聊天信息查詢的密碼登錄功能。

3.3 網(wǎng)絡(luò)安全監(jiān)測(cè)

對(duì)計(jì)算機(jī)網(wǎng)絡(luò)傳輸帶寬進(jìn)行合理分配,并預(yù)留相應(yīng)的空間,以滿足網(wǎng)絡(luò)使用高峰期的資源需求,并控制網(wǎng)絡(luò)IP訪問,設(shè)置IP過濾和黑名單功能,關(guān)閉系統(tǒng)的遠(yuǎn)程控制與撥號(hào)功能。局域網(wǎng)內(nèi)設(shè)置用戶訪問、復(fù)制、修改與共享權(quán)限,有WIFI的局域網(wǎng)設(shè)置相應(yīng)的密鑰。同時(shí),要監(jiān)測(cè)端口掃描、木馬攻擊、服務(wù)攻擊、IP碎片攻擊、惡意插件下載與安裝等潛在的信息安全威脅。對(duì)操作終端安裝殺毒軟件,定期的進(jìn)行全盤掃描和殺毒,以及時(shí)的檢測(cè)系統(tǒng)是否存在惡意攻擊代碼,系統(tǒng)不能刪除的文件要進(jìn)行手動(dòng)清除。

4 結(jié)束語(yǔ)

隨著計(jì)算機(jī)信息網(wǎng)絡(luò)技術(shù)的不斷發(fā)展,對(duì)計(jì)算機(jī)信息安全防護(hù)工作也提出了更多的挑戰(zhàn),我國(guó)的計(jì)算機(jī)信息安全防護(hù)技術(shù)已然取得了一定的成績(jī),但仍存在著諸多的不足,這就需要科研人員不斷吸收更多先進(jìn)的技術(shù)并積極的進(jìn)行自主研發(fā),在實(shí)踐工作中不斷的提高與完善計(jì)算機(jī)信息安全防護(hù)機(jī)制,使計(jì)算信息網(wǎng)絡(luò)技術(shù)更好的服務(wù)于人們的日常工作與生活。

信息安全論文:對(duì)企業(yè)信息安全困境的探微

1、提高企業(yè)信息系統(tǒng)的策略及措施解決企業(yè)信息安全方案分析

解決信息系統(tǒng)安全要有以下幾點(diǎn)認(rèn)識(shí):要解決信息系統(tǒng)要有統(tǒng)籌全局的觀念。解決信息系統(tǒng)的安全問題要樹立系統(tǒng)觀念,不能光靠一個(gè)面。從系統(tǒng)的角度分析信息系統(tǒng)是由用戶和計(jì)算機(jī)系統(tǒng)兩者組成,這包括人和技術(shù)兩點(diǎn)因素。使用和維護(hù)計(jì)算機(jī)安全信息系統(tǒng)可以根據(jù)信息系統(tǒng)具有動(dòng)態(tài)性和變化性等特點(diǎn)進(jìn)行調(diào)整。信息系統(tǒng)是一項(xiàng)長(zhǎng)期屬于相對(duì)安全的工作,必須制訂長(zhǎng)銷機(jī)制,絕不能以逸待勞。企業(yè)信息系統(tǒng)安全可以采取的策略是采用一套先進(jìn)、科學(xué)及適用的安全技術(shù)系統(tǒng),在對(duì)系統(tǒng)進(jìn)行監(jiān)控和防護(hù),及時(shí)適當(dāng)?shù)姆治鲂畔⑾到y(tǒng)的安全因素,使這套系統(tǒng)具有靈敏性和迅速性等響應(yīng)機(jī)制,配合智能型動(dòng)態(tài)調(diào)整功能體系。需要緊記的是系統(tǒng)安全來(lái)自于風(fēng)險(xiǎn)評(píng)估、安全策略、自我防御、實(shí)時(shí)監(jiān)測(cè)、恢復(fù)數(shù)據(jù)、動(dòng)態(tài)調(diào)整七個(gè)方面。其中,通過風(fēng)險(xiǎn)評(píng)估可以找出影響信息系統(tǒng)安全存在的技術(shù)和管理等因素產(chǎn)生的問題。在經(jīng)過分析對(duì)即將產(chǎn)生問題的信息系統(tǒng)進(jìn)行報(bào)告。

安全策略體現(xiàn)著系統(tǒng)安全的總體規(guī)劃指導(dǎo)具體措施的進(jìn)行。是保障整個(gè)安全體系運(yùn)行的核心。防御體系根據(jù)系統(tǒng)中出現(xiàn)的問題采用相關(guān)的技術(shù)防護(hù)措施,解決各種安全威脅和安全漏洞是保障安全體系的重心。并且通過監(jiān)測(cè)系統(tǒng)實(shí)時(shí)檢測(cè)運(yùn)行各種情況。在安全防護(hù)機(jī)制下及時(shí)發(fā)現(xiàn)并且制止各種對(duì)系統(tǒng)攻擊的可能性,假設(shè)安全防護(hù)機(jī)制失效必須進(jìn)行應(yīng)急處理,立刻實(shí)現(xiàn)數(shù)據(jù)恢復(fù)。盡量縮小計(jì)算機(jī)系統(tǒng)被攻擊破壞的程度。可以采取自主備份,數(shù)據(jù)恢復(fù),確保恢復(fù),快速恢復(fù)等手段。并且分析和審理安全數(shù)據(jù),適時(shí)跟蹤,排查系統(tǒng)有可能出現(xiàn)的違歸行為,檢查企業(yè)信息系統(tǒng)的安全保障體系是否超出違反規(guī)定。

通過改善系統(tǒng)性能引入一套先進(jìn)的動(dòng)態(tài)調(diào)整智能反饋機(jī)制,可以促進(jìn)系統(tǒng)自動(dòng)產(chǎn)生安全保護(hù),取得良好的安全防護(hù)效果。可以對(duì)一臺(tái)安全體系模型進(jìn)行分析,在管理方面,對(duì)安全策略和風(fēng)險(xiǎn)評(píng)估進(jìn)行測(cè)評(píng),在技術(shù)層面,實(shí)時(shí)監(jiān)測(cè)和數(shù)據(jù)恢復(fù)形成一套防御體系。在制度方面,結(jié)合安全跟蹤進(jìn)行系統(tǒng)排查工作。系統(tǒng)還應(yīng)具備一套完整的完整的動(dòng)態(tài)自主調(diào)整的反饋機(jī)制,促進(jìn)該體系模型更好的與系統(tǒng)動(dòng)態(tài)性能結(jié)合。

信息安全管理在風(fēng)險(xiǎn)評(píng)估和安全策略中均有體現(xiàn),將這些管理因素應(yīng)用與安全保障體系保護(hù)信息安全系統(tǒng)十分重要。企業(yè)必須設(shè)立專門的信息系統(tǒng)安全管理部門,保障企業(yè)信息系統(tǒng)的安全。由企業(yè)主要領(lǐng)導(dǎo)帶頭,組織信息安全領(lǐng)導(dǎo)小組,專門負(fù)責(zé)企業(yè)的信息安全實(shí)行總體規(guī)劃及管理。在設(shè)立信息主管部門實(shí)施具體的管理步驟。企業(yè)應(yīng)該制訂關(guān)于保證信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)中應(yīng)該明確規(guī)定信息系統(tǒng)中各類用戶的職責(zé)和權(quán)限、必須嚴(yán)格遵守操作系統(tǒng)過程中的規(guī)范、信息安全事件的報(bào)告和處理流程、對(duì)保密信息進(jìn)行嚴(yán)格存儲(chǔ)、系統(tǒng)的帳號(hào)及密碼管理、數(shù)據(jù)庫(kù)中信息管理、中心機(jī)房設(shè)備維護(hù)、檢查與評(píng)估信息安全工作等等信息安全的相關(guān)標(biāo)準(zhǔn)。而且在實(shí)際運(yùn)用過程中不斷地總結(jié)及完善信息系統(tǒng)安全管理的標(biāo)準(zhǔn)。

相關(guān)部門應(yīng)該積極開展信息風(fēng)險(xiǎn)評(píng)估工作。通過維護(hù)信息網(wǎng)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施有拓?fù)洹⒕W(wǎng)絡(luò)設(shè)備和安全設(shè)備,對(duì)系統(tǒng)安全定期的進(jìn)行評(píng)估工作,主動(dòng)發(fā)現(xiàn)系統(tǒng)存在的安全問題。主要針對(duì)企業(yè)支撐的信息網(wǎng)和應(yīng)用IT系統(tǒng)資產(chǎn)進(jìn)行全方位檢查,對(duì)管理存在的弱點(diǎn)進(jìn)行技術(shù)識(shí)別。對(duì)于企業(yè)的信息安全現(xiàn)狀進(jìn)行全面的評(píng)估,可以制作一張風(fēng)險(xiǎn)視圖表現(xiàn)企業(yè)全面存在的問題。為安全建設(shè)提供指導(dǎo)方向和參考價(jià)值。為企業(yè)信息安全建設(shè)打下堅(jiān)實(shí)的基礎(chǔ)。

最后,加強(qiáng)信息系統(tǒng)的運(yùn)行管理。可以通過以下措施進(jìn)行:規(guī)范系統(tǒng)電子臺(tái)帳、設(shè)備的軟件及硬件配置管理、建立完善的設(shè)備以及相關(guān)的技術(shù)文檔。系統(tǒng)日常各項(xiàng)工作進(jìn)行閉環(huán)管理,系統(tǒng)安裝、設(shè)備運(yùn)營(yíng)管理等。還要對(duì)用戶工作進(jìn)行規(guī)范管理,分配足夠的資源和應(yīng)用權(quán)限。防御體系、實(shí)時(shí)檢測(cè)和數(shù)據(jù)恢復(fù)三方面都體現(xiàn)了技術(shù)因素,信息安全管理系統(tǒng)技術(shù)應(yīng)用于安全保障體系中。在建設(shè)和維護(hù)信息安全保障體系過程中,需要多方面,多角度的進(jìn)行綜合考慮。采用分步實(shí)施,逐步實(shí)現(xiàn)的手法。在信息安全方面采取必要的技術(shù)手段,加強(qiáng)系統(tǒng)采取冗余的配置,提高系統(tǒng)的安全性。

對(duì)中心數(shù)據(jù)庫(kù)系統(tǒng)、核心交換機(jī)、數(shù)據(jù)中心的存儲(chǔ)系統(tǒng)、關(guān)鍵應(yīng)用系統(tǒng)服務(wù)器等。為了避免重要系統(tǒng)的單點(diǎn)故障可以采取雙機(jī)甚至群集的配置。另外,加強(qiáng)對(duì)網(wǎng)絡(luò)系統(tǒng)的管理。企業(yè)信息系統(tǒng)安全的核心內(nèi)容之一是網(wǎng)絡(luò)系統(tǒng)。同樣也是影響系統(tǒng)安全因素最多的環(huán)節(jié)。網(wǎng)絡(luò)系統(tǒng)的不安全給系統(tǒng)安全帶來(lái)風(fēng)險(xiǎn)。接下來(lái)重點(diǎn)談網(wǎng)絡(luò)安全方面需要采取的技術(shù)手段。網(wǎng)絡(luò)安全的最基礎(chǔ)工作,是加強(qiáng)網(wǎng)絡(luò)的接入管理。

與公用網(wǎng)絡(luò)系統(tǒng)存在區(qū)別的是,企業(yè)在網(wǎng)絡(luò)系統(tǒng)中有專門的網(wǎng)絡(luò),系統(tǒng)只準(zhǔn)許規(guī)定的用戶接入,因此必須實(shí)現(xiàn)管理接入。在實(shí)際操作過程中,可以采取邊緣認(rèn)證的方式。筆者在實(shí)際工作經(jīng)驗(yàn)總結(jié)出公司的網(wǎng)絡(luò)系統(tǒng)是通過對(duì)網(wǎng)絡(luò)系統(tǒng)進(jìn)行改造實(shí)現(xiàn)支持802.1X或MAC地址兩種安全認(rèn)證的方式。不斷實(shí)現(xiàn)企業(yè)內(nèi)網(wǎng)絡(luò)系統(tǒng)的安全接入管理。網(wǎng)絡(luò)端口接入網(wǎng)絡(luò)系統(tǒng)時(shí)所有的工作站設(shè)備必須經(jīng)過安全認(rèn)證,從而保證只有登記的、授權(quán)記錄在冊(cè)的設(shè)備才能介入企業(yè)的網(wǎng)絡(luò)系統(tǒng),從而保證系統(tǒng)安全。根據(jù)物理分布可以利用VLAN技術(shù)及使用情況劃分系統(tǒng)子網(wǎng)。這樣的劃分有以下益處:首先,隔離了網(wǎng)絡(luò)廣播流量,整個(gè)系統(tǒng)避免被人為或者系統(tǒng)故障引起的網(wǎng)絡(luò)風(fēng)暴。其次是提高系統(tǒng)的管理性。通過劃分子網(wǎng)可以實(shí)現(xiàn)對(duì)不同子網(wǎng)采取不同安全策略,可以將故障縮小到最低范圍。根據(jù)一些應(yīng)用的需要實(shí)現(xiàn)某些應(yīng)用系統(tǒng)中的相對(duì)隔離。

2、結(jié)語(yǔ)

本文結(jié)合了筆者實(shí)際工作經(jīng)驗(yàn)對(duì)企業(yè)信息系統(tǒng)的安全問題提出了系統(tǒng)性的思考,對(duì)長(zhǎng)期存在相對(duì)動(dòng)態(tài)的信息系統(tǒng)安全解決的方法進(jìn)行探討。可以用一句話進(jìn)行概括總結(jié):系統(tǒng)安全六要素是組成的系統(tǒng)安全的必要因素。同時(shí),抓好規(guī)范管理,實(shí)現(xiàn)信息系統(tǒng)的安全技術(shù)。

信息安全論文:網(wǎng)絡(luò)信息安全技術(shù)及其應(yīng)用的分析

一、計(jì)算機(jī)網(wǎng)絡(luò)信息所面臨的安全威脅分析

(一)網(wǎng)絡(luò)本身弱點(diǎn)

信息網(wǎng)絡(luò)具有開放性的顯著特點(diǎn),既為網(wǎng)絡(luò)用戶提供了便捷高速的服務(wù)方式,也成為網(wǎng)絡(luò)信息需要面臨的一項(xiàng)安全威脅。同時(shí),運(yùn)用于信息網(wǎng)絡(luò)的相關(guān)通信協(xié)議,不具備較高的安全性能,極易讓用戶遭受欺騙攻擊、信息篡改、數(shù)據(jù)截取等安全問題。

(二)人為惡意攻擊

人為惡意攻擊是網(wǎng)絡(luò)信息中,用戶所面臨的最大安全威脅。人為惡意攻擊具有較強(qiáng)的針對(duì)性,是有目的地進(jìn)行網(wǎng)絡(luò)信息數(shù)據(jù)完整性、有效性等方面的破壞,其攻擊方式較為隱蔽,包括對(duì)網(wǎng)路信息數(shù)據(jù)的竊取、破譯、篡改等,主要威脅到用戶的經(jīng)濟(jì)利益。

(三)計(jì)算機(jī)病毒

計(jì)算機(jī)病毒存在隱蔽性、傳染性、破壞性等特點(diǎn),往往隱藏或偽裝為正常程序,隨著計(jì)算機(jī)程序的啟動(dòng)而被運(yùn)行。計(jì)算機(jī)病毒通過破壞、竊聽等方式,實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)信息的操作。相比于其他安全威脅而言,其整體威脅程度較大,輕則影響操作系統(tǒng)的運(yùn)行效率,重則破壞用戶的整體系統(tǒng)數(shù)據(jù),且難以被恢復(fù),形成不可挽回的損失。

二、網(wǎng)絡(luò)信息技術(shù)安全現(xiàn)狀分析

目前,國(guó)內(nèi)絕大部分企業(yè)、單位都已建立了相關(guān)的信息系統(tǒng),實(shí)現(xiàn)了對(duì)各類豐富信息資源的充分利用。但隨著各行各業(yè)信息網(wǎng)絡(luò)系統(tǒng)的逐步成型,網(wǎng)絡(luò)信息所面臨的黑客、惡意軟件與其他攻擊等安全問題越來(lái)越多,雖已研發(fā)、改進(jìn)了許多信息安全技術(shù),用于網(wǎng)絡(luò)信息安全防護(hù),但仍舊存在許多問題,究其原因,主要表現(xiàn)在以下三方面:

第一,未建立健全的安全技術(shù)保障體系。當(dāng)前大部分企業(yè)、單位,在信息安全設(shè)備上投入較多資金,以確保網(wǎng)絡(luò)信息系統(tǒng)的安全可靠。但是,沒有建立健全相應(yīng)的技術(shù)保障體系,預(yù)期目標(biāo)難以被實(shí)現(xiàn)。

第二,缺乏制度化與常規(guī)化的應(yīng)急反應(yīng)體系。現(xiàn)階段,許多行業(yè)領(lǐng)域內(nèi),在網(wǎng)絡(luò)信息技術(shù)安全方面,還未建立健全相應(yīng)的應(yīng)急反應(yīng)系統(tǒng),而對(duì)已有應(yīng)急反應(yīng)系統(tǒng),沒有進(jìn)行制度化、常規(guī)化改進(jìn)。

第三,企業(yè)、單位的信息安全標(biāo)準(zhǔn)與制度滯后。在網(wǎng)絡(luò)信息安全的標(biāo)準(zhǔn)與制度建設(shè)方面,企業(yè)與單位都為進(jìn)行及時(shí)的調(diào)整與改進(jìn)。同時(shí),用戶缺乏信息安全意識(shí),網(wǎng)絡(luò)信息安全管理員為經(jīng)歷科學(xué)、系統(tǒng)的安全技術(shù)培訓(xùn),安全管理水平不高。而用于信息安全的經(jīng)費(fèi)投入較少,難以達(dá)到信息安全標(biāo)準(zhǔn)與要求。

三、現(xiàn)行主要信息安全技術(shù)及應(yīng)用分析

(一)通信協(xié)議安全

作為下一代互聯(lián)網(wǎng)通信協(xié)議,IPv6安全性較高,強(qiáng)制實(shí)施Internet安全協(xié)議IPSec,由認(rèn)證協(xié)議、封裝安全載荷、Internet密鑰交換協(xié)議三部分組成,即AH、ESP、IKE。IPSec確保IPv6擁有較高的互操作能力與安全性能,讓IP層多種安全服務(wù)得到有效實(shí)現(xiàn)。

(二)密碼技術(shù)

確保網(wǎng)絡(luò)信息安全的核心與關(guān)鍵為信息安全技術(shù)中的密碼技術(shù),其密碼體質(zhì)包括單鑰、雙鑰、混合密碼三種。其中,單鑰為對(duì)稱密碼;雙鑰為不對(duì)稱密碼;混亂密碼為單雙鑰的混合實(shí)現(xiàn)。在網(wǎng)絡(luò)系統(tǒng)中,采用加密技術(shù)能避免使用特殊網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu),便于數(shù)據(jù)傳輸?shù)耐瑫r(shí),確保網(wǎng)絡(luò)路徑的安全可靠,為網(wǎng)絡(luò)通信過程提供真正的保障。現(xiàn)階段,在網(wǎng)絡(luò)信息中,所采用的密碼技術(shù)主要為雙鑰與混合密碼。

1、公鑰密碼

為了加強(qiáng)公鑰密碼的安全性能,公鑰的長(zhǎng)度均≥600bit。目前,基于Montgomery算法的RSA公鑰密碼,排出了已有的除法運(yùn)算模式,通過乘法與模減運(yùn)算的同時(shí)進(jìn)行,大程度提升了運(yùn)算速度,被廣泛使用。同時(shí),部分廠商已成功研制出與IEEEPl363標(biāo)準(zhǔn)相符合的橢圓曲線公鑰密碼,并成功運(yùn)用于電子政務(wù)中,具備較強(qiáng)的保密性與較高的運(yùn)行速度。

2、Hash函數(shù)

關(guān)于SHA-0碰撞與SHA-1理論破解的提出,降低了SHA-1破解的計(jì)算量,在很大程度上影響了Hash函數(shù)安全現(xiàn)狀的評(píng)估及其今后設(shè)計(jì)。同時(shí),由于MD5和SHA-1的破解,讓數(shù)字簽名的現(xiàn)有理論根基遭到質(zhì)疑,給正在使用中的數(shù)字簽名方法帶來(lái)巨大威脅。

3、量子密碼

量子加密技術(shù)采用量子力學(xué)定律,讓用戶雙方產(chǎn)生私有隨機(jī)數(shù)字字符串,以代表數(shù)字字符串的單個(gè)量子序列傳遞信息,并通過比特值進(jìn)行信息接收,確保通信不被竊聽。一旦竊聽現(xiàn)象發(fā)生,通信就會(huì)結(jié)束,并生成新的密鑰。

(三)防火墻技術(shù)

防護(hù)墻技術(shù)是一組軟硬件的有機(jī)組合,為控制內(nèi)部與外部網(wǎng)絡(luò)訪問的有效手段,能確保內(nèi)部網(wǎng)安全穩(wěn)定運(yùn)行。防火墻技術(shù)為用戶提供存取控制與信息保密服務(wù),具有操作簡(jiǎn)單、透明度高的優(yōu)點(diǎn),在保持原有網(wǎng)絡(luò)應(yīng)用系統(tǒng)功能的基礎(chǔ)上,最大限度滿足用戶的網(wǎng)絡(luò)信息安全要求,受到用戶的廣泛推崇。防火墻技術(shù)的應(yīng)用,讓外部與內(nèi)部網(wǎng)絡(luò)必須通過防火墻實(shí)現(xiàn)相互通信。企業(yè)、單位在關(guān)于防火墻技術(shù)的應(yīng)用上,需制定合理、科學(xué)的安全策略,在此基礎(chǔ)上設(shè)置防火墻,隔絕其它類型信息。目前,防火墻技術(shù)主要分為以下三類:

第一,包過濾技術(shù)(Packet filtering)。其技術(shù)主要作用于網(wǎng)絡(luò)層,結(jié)合不同數(shù)據(jù)包源IP地址、目的IP地址、TCP/UDP源端口號(hào)與目的端口號(hào)等進(jìn)行區(qū)分、判斷,分析數(shù)據(jù)包是否符合安全策略,予以通行,其設(shè)計(jì)為過濾算法。

第二,(Proxy)服務(wù)技術(shù)。其技術(shù)主要作用于應(yīng)用層,通過轉(zhuǎn)接外部網(wǎng)絡(luò)對(duì)內(nèi)部網(wǎng)絡(luò)的申請(qǐng)服務(wù),有效控制應(yīng)用層服務(wù)。內(nèi)部網(wǎng)絡(luò)無(wú)法接受外部網(wǎng)絡(luò)其它節(jié)點(diǎn)申請(qǐng)的直接請(qǐng)求,其接受的服務(wù)請(qǐng)求只能為模式。應(yīng)用網(wǎng)關(guān)即為服務(wù)運(yùn)行的主機(jī),具備較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄等相關(guān)功能。

第三,狀態(tài)監(jiān)控(State Inspection)技術(shù)。其技術(shù)主要作用于網(wǎng)絡(luò)層,通過網(wǎng)絡(luò)層實(shí)現(xiàn)包過濾與網(wǎng)絡(luò)服務(wù)。現(xiàn)階段,較為可行的為虛擬機(jī)方式(即:Inspect Virtual Machine)。

防護(hù)墻技術(shù)作為網(wǎng)絡(luò)信息安全技術(shù)之一,操作簡(jiǎn)單且實(shí)用性較強(qiáng),被廣泛應(yīng)用。但受其特點(diǎn)限制,缺乏對(duì)動(dòng)態(tài)化與復(fù)雜化攻擊手段的主動(dòng)響應(yīng),只能進(jìn)行靜態(tài)安全防御,無(wú)法保障對(duì)所有外部攻擊都能進(jìn)行有效阻擋。一些計(jì)算機(jī)水平較高的黑客便能翻過防火墻,達(dá)到攻擊目的。同時(shí),防火墻無(wú)法阻擋內(nèi)部攻擊。因此,為實(shí)現(xiàn)網(wǎng)絡(luò)安全,需進(jìn)行數(shù)據(jù)的加密處理,加強(qiáng)內(nèi)部網(wǎng)絡(luò)控制與管理。

信息安全論文:淺談中小企業(yè)電子信息安全技術(shù)研究

論文關(guān)鍵詞:電子信息安全 安全技術(shù) 安全要素

論文摘要:隨著我國(guó)信息技術(shù)的不斷發(fā)展,對(duì)中小企業(yè)電子信息安全的保護(hù)問題也成為人們關(guān)注的焦點(diǎn)。本文以電子信息安全為主體,介紹中小企業(yè)信息化建設(shè),對(duì)電子信息安全技術(shù)進(jìn)行概述,提出主要的安全要素,找出解決中小企業(yè)中電子信息安全問題的策略。

在企業(yè)的管理信息系統(tǒng)中有眾多的企業(yè)文件在流轉(zhuǎn),其中肯定有重要性文件,有的甚至涉及到企業(yè)的發(fā)展前途,如果這些信息在通用過網(wǎng)絡(luò)傳送時(shí)被競(jìng)爭(zhēng)對(duì)手或不法分子竊聽、泄密、篡改或偽造,將會(huì)嚴(yán)重威脅企業(yè)的發(fā)展,所以,中小企業(yè)電子信息安全技術(shù)的研究具有重要意義。

一、中小企業(yè)的信息化建設(shè)意義

在這個(gè)網(wǎng)絡(luò)信息時(shí)代,企業(yè)的信息化進(jìn)程不斷發(fā)展,信息成了企業(yè)成敗的關(guān)鍵,也是管理水平提高的重要途徑。如今企業(yè)的商務(wù)活動(dòng),基本上都采用電子商務(wù)的形式進(jìn)行,企業(yè)的生產(chǎn)運(yùn)作、運(yùn)輸和銷售各個(gè)方面都運(yùn)用到了信息化技術(shù)。如通過網(wǎng)絡(luò)收集一些關(guān)于原材料的質(zhì)量,價(jià)格,出產(chǎn)地等信息來(lái)建立一個(gè)原材料信息系統(tǒng),這個(gè)信息系統(tǒng)對(duì)原材料的采購(gòu)有很大的作用。通過對(duì)數(shù)據(jù)的分析,可以得到跟多的采購(gòu)建議和對(duì)策,實(shí)現(xiàn)企業(yè)電子信息化水準(zhǔn)。有關(guān)調(diào)查顯示,百分之八十二的中小企業(yè)對(duì)網(wǎng)站的應(yīng)還處于宣傳企業(yè)形象,產(chǎn)品和服務(wù)信息,收集客戶資料這一階段,而電子商務(wù)這樣關(guān)系到交易的應(yīng)用還不到四分之一,這說(shuō)明企業(yè)還未充分開發(fā)和利用商業(yè)渠道信息。中小企業(yè)信息化時(shí)代已經(jīng)到來(lái),企業(yè)應(yīng)該加快信息化的建設(shè)。

二、電子信息安全技術(shù)闡述

1、電子信息中的加密技術(shù)

加密技術(shù)能夠使數(shù)據(jù)的傳送更為安全和完整,加密技術(shù)分為對(duì)稱和非對(duì)稱加密兩種。其中對(duì)稱加密通常通過序列密碼或者分組機(jī)密來(lái)實(shí)現(xiàn),包括明文、密鑰、加密算法以及解密算法等五個(gè)基本組成成分。非對(duì)稱加密與對(duì)稱加密有所不同,非對(duì)稱加密需要公開密鑰和私有密鑰兩個(gè)密鑰,公開密鑰和私有密鑰必須配對(duì)使用,用公開密鑰進(jìn)行的加密,只有其對(duì)應(yīng)的私有密匙才能解密。用私有密鑰進(jìn)行的加密,也只有用其相應(yīng)的公開密鑰才能解密。

加密技術(shù)對(duì)傳送的電子信息能夠起到保密的作用。在發(fā)送電子信息時(shí),發(fā)送人用加密密鑰或算法對(duì)所發(fā)的信息加密后將其發(fā)出,如果在傳輸過程中有人竊取信息,他只能得到密文,密文是無(wú)法理解的。接受著可以利用解密密鑰將密文解密,恢復(fù)成明文。

2、防火墻技術(shù)

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,一些郵件炸彈,病毒木馬和網(wǎng)上黑客等對(duì)網(wǎng)絡(luò)的安全也造成了很大的威脅。企業(yè)的信息化使其網(wǎng)絡(luò)也遭到同樣的威脅,企業(yè)電子信息的安全也難以得到保證。針對(duì)網(wǎng)絡(luò)不安全這種狀況,最初采取的一種保護(hù)措施就是防火墻。在我們的個(gè)人電腦中防火墻也起到了很大的作用,它可以阻止非黑客的入侵,電腦信息的篡改等。

3、認(rèn)證技術(shù)

消息認(rèn)證和身份認(rèn)證是認(rèn)證技術(shù)的兩種形式,消息認(rèn)證主要用于確保信息的完整性和抗否認(rèn)性,用戶通過消息認(rèn)證來(lái)確認(rèn)信息的真假和是否被第三方修改或偽造。身份認(rèn)證使用與鑒別用戶的身份的,包括識(shí)別和驗(yàn)證兩個(gè)步驟。明確和區(qū)分訪問者身份是識(shí)別,確認(rèn)訪問者身份叫驗(yàn)證。用戶在訪問一些非公開的資源時(shí)必須通過身份認(rèn)證。比如訪問高校的查分系統(tǒng)時(shí),必須要經(jīng)過學(xué)號(hào)和密碼的驗(yàn)證才能訪問。高校圖書館的一些資源要校園網(wǎng)才能進(jìn)行訪問,非校園網(wǎng)的不能進(jìn)入,除非付費(fèi)申請(qǐng)一個(gè)合格的訪問身份。

三、中小企業(yè)中電子信息的主要安全要素

1、信息的機(jī)密性

在今天這個(gè)網(wǎng)絡(luò)時(shí)代,信息的機(jī)密性工作似乎變得不那么容易了,但信息直接代表著企業(yè)的商業(yè)機(jī)密,如何保護(hù)企業(yè)信息不被竊取,篡改,濫用以及破壞,如何利用互聯(lián)網(wǎng)進(jìn)行信息傳遞又能確保信息安全性已成為各中小企業(yè)必須解決的重要問題。

2、信息的有效性

隨著電子信息技術(shù)的發(fā)展,各中小企業(yè)都利用電子形式進(jìn)行信息傳遞,信息的有效性直接關(guān)系的企業(yè)的經(jīng)濟(jì)利益,也是個(gè)企業(yè)貿(mào)易順利進(jìn)行的前提條件。所以要排除各種網(wǎng)絡(luò)故障、硬件故障,對(duì)這些網(wǎng)絡(luò)故障帶來(lái)的潛在威脅加以控制和預(yù)防,從而確保傳遞信息的有效性。

3、信息的完整性

企業(yè)交易各方的經(jīng)營(yíng)策略嚴(yán)重受到交易方的信息的完整性影響,所以保持交易各方的信息的完整性是非常重要對(duì)交易各方都是非常重要的。在對(duì)信息的處理過程中要預(yù)防對(duì)信息的隨意生成、修改,在傳送過程中要防止信息的丟失,保持信息的完整性是企業(yè)之間進(jìn)行交易的基礎(chǔ)。

四、解決中小企業(yè)中電子信息安全問題的策略

1、構(gòu)建中小企業(yè)電子信息安全管理體制

解決信息安全問題除了使用安全技術(shù)以外,還應(yīng)該建立一套完善的電子信息安全管理制度,以確保信息安全管理的順利進(jìn)行。在一般中小企業(yè)中,最初建立的相關(guān)信息管理制度在很大程度上制約著一個(gè)信息系統(tǒng)的安全。如果安全管理制度出了問題,那么圍繞著這一制度來(lái)選擇和使用安全管理技術(shù)及手段將無(wú)法正常進(jìn)行,信息的安全性就得不到保證。完善,嚴(yán)格的電子信息安全管理制度對(duì)信息系統(tǒng)的安全影響很大。在企業(yè)信息系統(tǒng)中,如果沒有嚴(yán)格完善的信息安全管理制度,電子信息安全技術(shù)和相關(guān)的安全工具是不可能發(fā)揮應(yīng)有的作用的。

2、利用企業(yè)的網(wǎng)絡(luò)條件來(lái)提供信息安全服務(wù)

很多企業(yè)的多個(gè)二級(jí)單位都在系統(tǒng)內(nèi)通過廣域網(wǎng)被聯(lián)通, 局域網(wǎng)在各單位都全部建成,企業(yè)應(yīng)該利用這種良好的網(wǎng)絡(luò)條件來(lái)為企業(yè)提供良好的信息安全服務(wù)。通過企業(yè)這一網(wǎng)絡(luò)平臺(tái)技術(shù)標(biāo)準(zhǔn),安全公告和安全法規(guī),提供信息安全軟件下載,安全設(shè)備選型,提供在線信息安全教育和培訓(xùn),同時(shí)為企業(yè)員工提供一個(gè)交流經(jīng)驗(yàn)的場(chǎng)所。

3、定期對(duì)安全防護(hù)軟件系統(tǒng)進(jìn)行評(píng)估、改進(jìn)

隨著企業(yè)的發(fā)展,企業(yè)的信息化應(yīng)用和信息技術(shù)也不斷發(fā)展,人們對(duì)信息安全問題的認(rèn)識(shí)是隨著技術(shù)的發(fā)展而不斷提高的,在電子信息安全問題不斷被發(fā)現(xiàn)的同時(shí),解決信息安全問題的安全防護(hù)軟件系統(tǒng)也應(yīng)該不斷的改進(jìn),定期對(duì)系統(tǒng)進(jìn)行評(píng)估。

總之,各中小企業(yè)電子星系安全技術(shù)包含著技術(shù)和管理,以及制度等因素,隨著信息技術(shù)的不斷發(fā)展,不僅中小企業(yè) 辦公室逐漸趨向辦公自動(dòng)化,而且還確保了企業(yè)電子信息安全。

信息安全論文:“木桶理論”與信息安全

摘 要:本文首先對(duì)傳統(tǒng)木桶理論和其在信息安全中的運(yùn)用作了簡(jiǎn)單的介紹,并結(jié)合作者在實(shí)際工作中對(duì)信息安全的理解,提出了對(duì)傳統(tǒng)木桶理論幾點(diǎn)思考,通過對(duì)幾點(diǎn)思考的闡述,指出了在信息安全工作中如何更好地結(jié)合木桶理論。

關(guān)鍵詞:木桶理論 信息安全 運(yùn)用

引言

說(shuō)到木桶理論,可謂眾所周知:一個(gè)由若干塊長(zhǎng)短不同的木板箍成的木桶,決定其容水量大小的并非是其中最長(zhǎng)的那塊木板或全部木板長(zhǎng)度的平均值,而是取決于其中最短的那塊木板。要想提高木桶的整體效應(yīng),不是增加最長(zhǎng)的那塊木板的長(zhǎng)度,而是要下功夫補(bǔ)齊最短的那塊木板的長(zhǎng)度。這個(gè)理論由誰(shuí)提出,目前已經(jīng)無(wú)從考究了,但這個(gè)理論的應(yīng)用范圍卻十分廣泛,從經(jīng)濟(jì)學(xué)、單位管理到人力資源,到個(gè)人發(fā)展。這個(gè)理論也被引進(jìn)了安全領(lǐng)域,在信息安全中,認(rèn)為信息安全的防護(hù)強(qiáng)度取決于安全體系最為薄弱的一環(huán),因此出現(xiàn)的一個(gè)狀況是發(fā)現(xiàn)哪個(gè)安全問題嚴(yán)重就買什么樣的產(chǎn)品。這個(gè)理論的意義在于使我們認(rèn)識(shí)到整個(gè)安全防護(hù)中最短木塊的巨大威脅,并針對(duì)最短木塊進(jìn)行改進(jìn)。

根據(jù)這個(gè)理論,我們會(huì)發(fā)現(xiàn)有些單位找出安全防護(hù)中的最短木塊,并買了很多安全產(chǎn)品進(jìn)行防護(hù):發(fā)現(xiàn)病毒對(duì)單位影響很大,就買了最好的反病毒軟件;發(fā)現(xiàn)邊界不安全,就用了最強(qiáng)的防火墻;發(fā)現(xiàn)有黑客入侵,就部署了最先進(jìn)的入侵檢測(cè)系統(tǒng)。這其實(shí)只是一種頭痛醫(yī)頭,腳痛醫(yī)腳的做法,是治標(biāo)不治本的方法。

1.木桶理論新解

經(jīng)分析,傳統(tǒng)的木桶理論存在一定的缺陷,實(shí)際上一個(gè)木桶能不能容水,容多少水,除了看最短木板之外,還要看一些關(guān)鍵信息:這個(gè)木桶是否有堅(jiān)實(shí)的底板、木板之間是否有縫隙。

1.1 木桶底板是木桶能否容水的基礎(chǔ)

一個(gè)完整的木桶,除了木桶中長(zhǎng)板、短板,木桶還有底板。正是這誰(shuí)也不太重視的底板,決定了這只木桶能不能容水,能容多大重量的水。這只底板正是信息安全的基礎(chǔ),即單位的信息安全架構(gòu)、安全管理制度和安全流程。對(duì)于多數(shù)單位而言,目前還沒有整體的信息安全規(guī)劃和建設(shè),也沒有完善的制度和流程。信息安全還沒有從整體上進(jìn)行考慮,隨意性相當(dāng)強(qiáng)。這就需要對(duì)單位進(jìn)行一次比較全面的安全評(píng)估,然后結(jié)合單位的業(yè)務(wù)需求和安全現(xiàn)狀來(lái)做安全信息架構(gòu)和安全建設(shè)框架,制訂符合單位的安全制度和流程。而在另外一些單位里,信息安全制度不是沒有,也不是不完備,最大的問題在于執(zhí)行不力。目前在大型單位和運(yùn)營(yíng)商中,安全的最大問題是無(wú)法貫徹執(zhí)行單位的安全政策和流程。所以可以說(shuō):“安全是一把手工程,只有得到領(lǐng)導(dǎo)的強(qiáng)有力支持,才可能把安全策略進(jìn)行推廣;安全是全民工程,只有全民參與,才能有效地貫徹安全策略和制度。”同時(shí)需要注意的是,由于單位不斷發(fā)展,安全是動(dòng)態(tài)變化的,因此也就需要我們不定期的檢查信息安全這個(gè)“木桶”的桶底是否堅(jiān)實(shí),一個(gè)迅速長(zhǎng)大的單位,正如一只容納了相當(dāng)水量的木桶,越來(lái)越大的水容量將構(gòu)成木桶底板的巨大挑戰(zhàn),如果不時(shí)關(guān)注底板,最后可能因?yàn)椴荒艹惺苤囟鴮?dǎo)致所有的蓄水都丟失。

1.2 木桶是否有縫隙是木桶能否容水的關(guān)鍵。

木桶能否有效地容水,除了需要堅(jiān)實(shí)的底板外,還取決于木板之間的縫隙,這個(gè)是大多數(shù)人不易看見的。對(duì)于一個(gè)安全防護(hù)體系而言,其不同產(chǎn)品之間的協(xié)作和聯(lián)動(dòng)有如木板之間的縫隙,通常為我們所忽視,但其危害卻最深。安全產(chǎn)品之間的不協(xié)同工作有如木板之間的縫隙,將致使木桶不能容納一滴水!如果此時(shí),單位還把注意力放在最短的木板上,豈非緣木求魚?

在信息安全中,目前攻擊手法已經(jīng)是融合了多種技術(shù),比如蠕蟲就融合了緩沖區(qū)溢出技術(shù)、網(wǎng)絡(luò)掃描技術(shù)和病毒感染技術(shù),這時(shí)候,如果我們的產(chǎn)品還卻還是孤軍作戰(zhàn),防病毒軟件只能查殺病毒,卻不能有效地組織病毒地傳播;IDS可以檢查出蠕蟲在網(wǎng)絡(luò)上的播,卻不能清除蠕蟲;補(bǔ)丁管理可以防止蠕蟲的感染,卻不能查殺蠕蟲。各個(gè)安全產(chǎn)品單獨(dú)工作,無(wú)法有效地查殺病毒、無(wú)法組織病毒的傳播。而且更為嚴(yán)重的是,每個(gè)系統(tǒng)都會(huì)記錄這些安全日志,這些日志之間沒有合并和關(guān)聯(lián),大量的日志將沖垮管理員,導(dǎo)致無(wú)法看到真正關(guān)心的日志。

目前出現(xiàn)的SOC產(chǎn)品可以說(shuō)是木桶的桶箍,它能把各種安全技術(shù)、安全產(chǎn)品、安全策略、安全措施等各種目標(biāo)等箍在一起,共同形成一個(gè)堅(jiān)實(shí)的木桶,保護(hù)里面的水資源。SOC包含安全事件收集、事件分析、狀態(tài)監(jiān)視、資產(chǎn)管理、配置管理、策略管理以及長(zhǎng)期形成的知識(shí)中心,并通過流程優(yōu)化、系統(tǒng)聯(lián)動(dòng)、事件管理等方式減少木板與木板之間的縫隙,協(xié)調(diào)各方面資源,最高效率地處理安全問題,保護(hù)整體安全。

2.木桶理論與信息安全的幾點(diǎn)闡述

2.1 如何處理木桶中的最短木板

通過上面的分析,我們可以知道木桶的底板是基礎(chǔ),桶箍是關(guān)鍵,而最短木板決定了能容水的最大容量。但是如何處理這塊最短木板,通常做法是看準(zhǔn)了單位的最短木板,并且花大力氣去提高,但效果往往不明顯。其實(shí)這陷入了一種慣性思維,如果要提高木桶的容量,有時(shí)候不一定非要提高最短木板不可,只要那塊最短木板的范圍不是很寬,我們只要干脆去掉那個(gè)最短木板,然后重新用桶箍圍成桶,這個(gè)新桶的容量就有可能大于原來(lái)的舊桶。

這種做法其實(shí)在單位運(yùn)作中經(jīng)常會(huì)使用,對(duì)于一些非核心業(yè)務(wù),一些單位領(lǐng)導(dǎo)往往會(huì)采用外包的方式來(lái)處理,自己做最擅長(zhǎng)的事情。但是在信息安全領(lǐng)域,這塊目前做的并不夠,這其中的原因一部分可能是由于信息安全比較重要,要找一個(gè)可靠的外包供應(yīng)商才可以,另外的原因也可能是還沒有意識(shí)到這個(gè)問題。目前越來(lái)越多的單位開始重視安全,都在建立自己的政策體系和人員隊(duì)伍,但是由于信息安全具有專業(yè)性強(qiáng),知識(shí)面廣的特點(diǎn),要建立一個(gè)完善的體系和隊(duì)伍是比較困難的。

2.2 木桶理論與安全等級(jí)保護(hù)法

《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》中認(rèn)為,不同的信息系統(tǒng)有著不同的安全需求,必須從實(shí)際出發(fā),綜合平衡安全成本和風(fēng)險(xiǎn),優(yōu)化信息安全資源的配置,確保重點(diǎn),要重點(diǎn)保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系信息安全、經(jīng)濟(jì)命脈、社會(huì)穩(wěn)定等方面的重要信息系統(tǒng),抓緊建立信息安全等級(jí)保護(hù)制度,制定信息安全等級(jí)保護(hù)的管理辦法和技術(shù)指南。

信息安全領(lǐng)域中,密級(jí)分類、等級(jí)保護(hù)就是把信息資產(chǎn)分為不同等級(jí),根據(jù)信息資產(chǎn)不同的重要等級(jí),采取不同的措施進(jìn)行防護(hù)。它的出發(fā)點(diǎn)就是要突出重點(diǎn),要突出重點(diǎn)要害部位,分級(jí)負(fù)責(zé),分層實(shí)施。在單位的安全建設(shè)過程中,我們可以根據(jù)等級(jí)保護(hù)法,把系統(tǒng)分成幾個(gè)等級(jí),不同等級(jí)采用不同的“木桶”來(lái)管理,然后對(duì)每一個(gè)木桶再進(jìn)行安全評(píng)估和安全防護(hù),這樣就可以在投入

有限的情況下,確保重要信息的安全性。

2.3 木桶理論與內(nèi)核加固

如何在木桶有縫隙的情況下,還能保護(hù)桶里面的水嗎?有一個(gè)一個(gè)思路:把水降溫變成冰塊,這樣即使有縫隙,水也不會(huì)馬上流走,可以為我們進(jìn)一步修復(fù)木桶提供時(shí)間。對(duì)于系統(tǒng)來(lái)說(shuō),加固操作系統(tǒng)內(nèi)核就是這個(gè)作用,比如在某個(gè)系統(tǒng)上發(fā)現(xiàn)了一個(gè)很嚴(yán)重的漏洞,但是如果內(nèi)核是進(jìn)行了加固的,那么就不容易被利用進(jìn)行攻擊。

3.總結(jié)

傳統(tǒng)的木桶理論在信息安全中的運(yùn)用,讓我們了解了什么是當(dāng)前最為嚴(yán)重的問題,但是如果只著眼于最短木板,而忽視了木桶的底板這個(gè)基礎(chǔ),忘記了使木塊能成為木桶的桶箍的作用,那么信息安全這個(gè)木桶還是很不成熟、不完善的。

信息安全論文:數(shù)字化檔案信息安全管理策略

一、實(shí)施數(shù)字化檔案信息安全管理的意義

隨著我國(guó)信息化水平的迅速提升,我國(guó)對(duì)數(shù)字化檔案信息安全管理也有了更為深刻的認(rèn)識(shí)。信息安全管理是維護(hù)數(shù)字化信息安全的重要手段,正所謂“三分技術(shù),七分管理”,由此可見信息安全管理的重要性。數(shù)字化檔案信息保障體系建設(shè)過程中必須有一套較為完善的制度,只有這樣才能保證信息保障體系建設(shè)各個(gè)環(huán)節(jié)開展的規(guī)范性與合理性,而在信息保障體系建設(shè)中運(yùn)用信息安全管理制度就能夠達(dá)到保障信息安全的目的。對(duì)數(shù)字化檔案信息進(jìn)行安全管理,能夠使所有人員主動(dòng)參與到數(shù)字化檔案信息保障建設(shè)過程中,不僅能夠大大提高員工工作質(zhì)量,同時(shí)還能夠提高員工工作效率,因?yàn)榭茖W(xué)有效的安全管理能夠提高企業(yè)員工的凝聚力與向心力,對(duì)維護(hù)數(shù)字化信息安全及企業(yè)發(fā)展都有一定的積極作用。

二、數(shù)字化檔案的信息安全問題分析

數(shù)字化檔案信息與計(jì)算機(jī)中其他普通數(shù)據(jù)一樣,都會(huì)受到多種不安全因素的影響。數(shù)字化檔案信息主要是以信息數(shù)據(jù)的形式儲(chǔ)存在于計(jì)算機(jī)內(nèi)部系統(tǒng)中,若出現(xiàn)安全問題會(huì)直接影響檔案信息的完整性與安全性。據(jù)調(diào)查了解所知,目前數(shù)字化檔案信息主要存在的安全問題有以下幾個(gè)方面:

(一)計(jì)算機(jī)硬件故障

現(xiàn)在大部分計(jì)算機(jī)中各個(gè)部件都采用了一定的保護(hù)機(jī)制,但這并不能阻止一些硬件故障的出現(xiàn)。硬件故障對(duì)數(shù)字化檔案信息的危害性很大,比如若計(jì)算機(jī)中的硬盤磁道出現(xiàn)損壞或者嚴(yán)重故障,那么在很大程度上會(huì)造成信息數(shù)據(jù)破壞或者丟失,導(dǎo)致數(shù)字化檔案信息的不完整。近年來(lái),隨著計(jì)算機(jī)設(shè)備的應(yīng)用量越來(lái)越大,其內(nèi)部硬件故障發(fā)生的頻率也隨之不斷增高。

(二)計(jì)算機(jī)軟件故障

要實(shí)現(xiàn)計(jì)算機(jī)對(duì)各項(xiàng)數(shù)字化檔案數(shù)據(jù)的處理,有賴于計(jì)算機(jī)操作系統(tǒng)及數(shù)據(jù)信息處理相關(guān)軟件。計(jì)算機(jī)軟件的性能高低直接關(guān)系著數(shù)字化檔案信息數(shù)據(jù)的安全性與完整性。隨著數(shù)字化檔案信息系統(tǒng)的不斷完善,信息系統(tǒng)對(duì)軟件的要求也越來(lái)越高,在這種情況下就出現(xiàn)了計(jì)算機(jī)軟件功能性無(wú)法滿足數(shù)字化信息系統(tǒng)的要求,在軟件使用中無(wú)法確保其性能的穩(wěn)定性。雖然在數(shù)字化檔案信息系統(tǒng)操作中存在一些計(jì)算機(jī)軟件故障,但與硬件故障相比,其發(fā)生故障的機(jī)率較小。

(三)病毒及黑客侵襲

病毒及黑客入侵是影響數(shù)字化檔案信息安全的主要問題之一,這種問題較為常見,雖然一些計(jì)算機(jī)用戶設(shè)置了防火墻,安裝了多種殺毒軟件,但依然無(wú)法完全避免病毒及黑客的非法入侵。

(四)系統(tǒng)更換操作或者停機(jī)

硬軟件本身的兼容問題或者系統(tǒng)中包含的諸多無(wú)用資源,很容易導(dǎo)致計(jì)算機(jī)出現(xiàn)停機(jī)或死機(jī)狀況,這是導(dǎo)致信息數(shù)據(jù)丟失的一個(gè)原因。

(五)人為操作引起的故障

在數(shù)字化信息數(shù)據(jù)安全維護(hù)過程中由于信息管理人員計(jì)算機(jī)操作不當(dāng),會(huì)對(duì)數(shù)字化檔案信息安全造成一定的威脅,比如誤刪除信息數(shù)據(jù)的現(xiàn)象在日常工作中時(shí)有發(fā)生。

三、數(shù)字化檔案的信息安全管理策略

針對(duì)上述問題在數(shù)字化檔案信息安全維護(hù)中不僅要選擇可靠的硬件設(shè)備,采用先進(jìn)的信息安全保障技術(shù),更要進(jìn)行全方位的數(shù)字化檔案信息安全管理,只有這樣才能有效解決數(shù)字化檔案信息安全問題,提高數(shù)字化檔案的安全性。以下是筆者結(jié)合目前數(shù)字化檔案信息安全問題所提出的安全管理策略:

(一)硬件設(shè)備安全管理

據(jù)調(diào)查了解所知,計(jì)算機(jī)硬件故障發(fā)生率十分頻繁,嚴(yán)重影響了數(shù)字化檔案信息安全,因此在信息安全管理工作中的首要任務(wù)就是對(duì)硬件設(shè)備進(jìn)行科學(xué)選擇與管理。應(yīng)根據(jù)數(shù)字化檔案信息系統(tǒng)的實(shí)際情況選擇合適且性能良好的硬件及軟件設(shè)備。另外在選擇過程中應(yīng)重點(diǎn)考慮計(jì)算機(jī)服務(wù)器的品牌及客戶機(jī),全面審核硬件設(shè)備的兼容性及拓展性,這樣做的目的是為了當(dāng)系統(tǒng)升級(jí)時(shí)避免數(shù)據(jù)信息丟失。

(二)信息技術(shù)安全管理

在數(shù)字化檔案信息安全管理過程中僅靠管理人員的力量是不夠的,還需要信息技術(shù)的協(xié)助。為了保證數(shù)字化檔案信息數(shù)據(jù)的安全性,在管理工作中可以運(yùn)用一些先進(jìn)的信息技術(shù)來(lái)提高數(shù)字化檔案信息安全。比如可以設(shè)置信息訪問身份驗(yàn)證、防病毒體系,還可以對(duì)相對(duì)機(jī)密的數(shù)據(jù)進(jìn)行加密操作,采取數(shù)據(jù)加密的方式可以有效防止信息數(shù)據(jù)在傳輸過程中被一些木馬病毒及非法網(wǎng)站入侵,對(duì)保護(hù)數(shù)字化檔案信息十分奏效。

(三)完善信息安全管理制度

在數(shù)字化檔案信息安全管理工作中需要一套完善的信息安全管理制度,原因在于數(shù)字化檔案信息種類較多,且具有一定的復(fù)雜性,若不制定完善制度,實(shí)行全面的制度化管理,很容易導(dǎo)致信息安全管理內(nèi)部一片混亂,為了避免這種狀況,企業(yè)應(yīng)積極建立并完善信息安全管理制度。一般建立完善的信息安全管理制度需要從二個(gè)方面入手:

1.建立數(shù)字化文檔管理制度。對(duì)于已儲(chǔ)存在計(jì)算機(jī)中的信息應(yīng)進(jìn)行分類管理,大致應(yīng)將其分為秘密、機(jī)密、絕密與非保密等幾種保護(hù)類型。另外對(duì)于一些相對(duì)機(jī)密及敏感信息不僅要采取加密措施,還要將其儲(chǔ)存在脫機(jī)的安全環(huán)境中,以免信息被他人非法竊取、破壞或修改。

2.建立人員安全管理制度。首先要將信息安全管理貫徹落實(shí)到實(shí)際信息維護(hù)中,讓管理人員對(duì)信息安全管理有一個(gè)清晰客觀的認(rèn)識(shí)。這樣一來(lái),管理人員就會(huì)在工作中認(rèn)真貫徹執(zhí)行,極力維護(hù)數(shù)字化檔案的安全。信息安全管理部門總負(fù)責(zé)人應(yīng)對(duì)各個(gè)管理人員的工作進(jìn)行考核,對(duì)于一些管理操作不當(dāng)或管理不夠嚴(yán)格的人員應(yīng)給予相應(yīng)的警告或處罰,讓其從思想上意識(shí)到信息安全管理的重要性。其次應(yīng)對(duì)信息安全管理人員進(jìn)行定期培訓(xùn),讓其及時(shí)學(xué)習(xí)其他企業(yè)及國(guó)外優(yōu)秀的信息安全管理方法及理念,為信息安全管理工作注入新的血液。這樣一來(lái),不僅能夠大大提高信息安全管理的時(shí)效性與合理性,同時(shí)還能夠提升信息安全管理人員的綜合素質(zhì),對(duì)數(shù)字化檔案信息安全管理工作的有效開展具有一定的積極意義。在數(shù)字化檔案信息安全管理中,要想充分發(fā)揮管理的作用,全面維護(hù)檔案信息安全,保障檔案信息的完整性,就要結(jié)合數(shù)字化檔案信息系統(tǒng)的實(shí)際運(yùn)行特點(diǎn),全面考慮信息安全問題,從而有針對(duì)性的采取相應(yīng)的管理策略,實(shí)現(xiàn)數(shù)字化檔案信息的制度化管理。

信息安全論文:電子金融信息安全防護(hù)措施

一、我國(guó)電子金融領(lǐng)域信息安全的現(xiàn)狀

全國(guó)相關(guān)的金融機(jī)構(gòu)陸續(xù)成立了專門的安全防范機(jī)構(gòu),并重點(diǎn)加強(qiáng)對(duì)系統(tǒng)需求設(shè)計(jì)、投產(chǎn)、推廣和軟件開發(fā)等重點(diǎn)程序的監(jiān)管和保護(hù)以及風(fēng)險(xiǎn)防范;在系統(tǒng)設(shè)計(jì)開發(fā)、防火墻選用、認(rèn)證密碼等方面加大了投入。但是,當(dāng)前的金融電子行業(yè)仍然存在著一些隱患,具體是傳遞信息的安全隱患和業(yè)務(wù)系統(tǒng)維護(hù)的風(fēng)險(xiǎn)防范隱患。

二、信息安全防護(hù)措施

(一)行業(yè)自律

行業(yè)或是客戶自身的信息包括最敏感機(jī)密部分對(duì)金融機(jī)構(gòu)而言往往是公開的,金融機(jī)構(gòu)可以輕松的獲取這部分信息,其中有部分信息具有相當(dāng)?shù)慕?jīng)濟(jì)價(jià)值。對(duì)信息保護(hù),行業(yè)的自律有著相當(dāng)重要的意義,政府的監(jiān)管只是被動(dòng)的行為,防患于未然更多的在于金融結(jié)構(gòu)的自律行為。電子金融行業(yè)需制定一個(gè)有效的行業(yè)自律規(guī)范,從行業(yè)內(nèi)部規(guī)范從事人員的行為總則,爭(zhēng)取將非法信息來(lái)源斬?cái)唷?guó)外大多數(shù)國(guó)家在立法上對(duì)行業(yè)自律機(jī)制給予較高的肯定,我國(guó)其實(shí)也可以借鑒,進(jìn)一步發(fā)揮行業(yè)自律在信息安全上的作用。

(二)金融信息監(jiān)管

完善的信息安全法律法規(guī)是做好信息安全工作的基礎(chǔ)。我國(guó)在信息安全法律法規(guī)建設(shè)方面已經(jīng)做了很多工作,如今與信息安全有關(guān)的法律法規(guī)包括法律、行政法規(guī)、部門規(guī)章及規(guī)范性文件三個(gè)層面。但是,我國(guó)的信息安全法律法規(guī)仍然不夠完善,管理機(jī)構(gòu)存在多頭管理,要求從金融信息監(jiān)督開始為信息安全做好第一步。同時(shí),中國(guó)人民銀行對(duì)網(wǎng)上銀行業(yè)務(wù)的監(jiān)管尚處于起步階段,應(yīng)在《人民銀行法》等相關(guān)法規(guī)中將網(wǎng)上銀行明確納入中國(guó)人民銀行、銀監(jiān)會(huì)監(jiān)管的對(duì)象。其次,金融服務(wù)業(yè)消費(fèi)者安全保障的投訴與受理機(jī)制欠缺,監(jiān)管機(jī)構(gòu)中缺乏專門負(fù)責(zé)金融消費(fèi)者安全保障方面事務(wù)的部門,對(duì)于投訴問題沒有從自律或者強(qiáng)制性法律機(jī)制角度進(jìn)行規(guī)范。建議在我國(guó)因成立一個(gè)獨(dú)立的電子金融監(jiān)管機(jī)構(gòu),它獨(dú)立于各個(gè)行政體系,采用直接負(fù)責(zé)制,這是由于電子金融領(lǐng)域如出現(xiàn)信息安全事故,它所牽扯的相關(guān)行政部門較多,地域范圍較廣,現(xiàn)有職能部門無(wú)法對(duì)它進(jìn)行有效的監(jiān)管,該機(jī)構(gòu)應(yīng)對(duì)電子金融機(jī)構(gòu)信息可審查,可回溯并構(gòu)建一個(gè)評(píng)價(jià)體系,將其評(píng)價(jià)結(jié)果對(duì)外公示,對(duì)于那些信息安全保護(hù)不當(dāng)?shù)臋C(jī)構(gòu)應(yīng)給予懲罰,改變我國(guó)對(duì)信息泄露或是保護(hù)不當(dāng)?shù)慕鹑跈C(jī)構(gòu)只罰不懲的局面。

(三)信息安全體系

電子金融主要的運(yùn)行手段是基于計(jì)算機(jī)網(wǎng)絡(luò)或是通信網(wǎng)絡(luò),必須要技術(shù)層面上保護(hù)其安全,傳統(tǒng)的金融交易手段是基于柜臺(tái)式、盤點(diǎn)式,早期電子金融只是較為粗獷的將原有的業(yè)務(wù)照搬于網(wǎng)絡(luò)環(huán)境中,又由于網(wǎng)絡(luò)是個(gè)開放的平臺(tái),所以造成了較多的信息安全事故,在近幾年的發(fā)展中有了迅猛的進(jìn)步,但還存在諸多問題:用戶認(rèn)證手段單一、支付手段繁雜、內(nèi)網(wǎng)權(quán)限過大、設(shè)備更新過于頻繁、客戶端保護(hù)不夠、異常行為監(jiān)管不到位、標(biāo)準(zhǔn)不統(tǒng)一等問題。現(xiàn)應(yīng)構(gòu)建一個(gè)統(tǒng)一標(biāo)準(zhǔn)網(wǎng)絡(luò)信息安全體系。將用戶權(quán)限分割,將用戶不常用或是對(duì)其信息保護(hù)有隱患的功能部分需轉(zhuǎn)為傳統(tǒng)的柜臺(tái)辦理,用戶可對(duì)其權(quán)限進(jìn)行縮減,提供用戶常用功能及其權(quán)限。用戶認(rèn)證需多層次的,一般的安全層次認(rèn)證簡(jiǎn)單快捷,高層次需提供較多有效憑證方可使用。網(wǎng)絡(luò)模型要做到有效的內(nèi)外分離,對(duì)外網(wǎng)要設(shè)置多層安全防范,不能以單一的防火墻形式存在,應(yīng)具有動(dòng)態(tài)更新、行為分析、危害恢復(fù)等功能。對(duì)內(nèi)網(wǎng)必須將權(quán)限分割,無(wú)單一權(quán)限,在很多核心內(nèi)容上應(yīng)采用多人協(xié)同開啟權(quán)限功能,防止某一個(gè)體權(quán)限過大造成過多損失等。客戶端應(yīng)該附加對(duì)客戶端安全的監(jiān)察,如發(fā)現(xiàn)客戶端存在隱患則盡到提醒義務(wù),保護(hù)客戶信息安全。

三、結(jié)束語(yǔ)

安全建設(shè)的研究一定要考慮到多方面,找到多種技術(shù)和管理方法,而不能只局限到某一種策略。單一的安全技術(shù)和產(chǎn)品已滿足不了行業(yè)用戶保障網(wǎng)絡(luò)安全的需求,防火墻、隔離卡、防病毒技術(shù)、信息加密技術(shù)、入侵檢測(cè)技術(shù)、安全評(píng)估技術(shù)、等級(jí)管理體系、安全認(rèn)證技術(shù)、漏洞掃描等相互配合,構(gòu)成網(wǎng)絡(luò)安全整體解決方案,并能在穩(wěn)定性及協(xié)同性整體配合上加強(qiáng)。信息的安全建設(shè)如今不僅僅只是技術(shù)的問題,更需要管理與技術(shù)相融合而發(fā)揮作用的一項(xiàng)系統(tǒng)工程。當(dāng)然,不斷完善的規(guī)章制度、科學(xué)系統(tǒng)的管理以及高素質(zhì)、高執(zhí)行力的團(tuán)隊(duì)也是安全建設(shè)所必不可少的。

信息安全論文:計(jì)算機(jī)信息安全的改進(jìn)措施

1計(jì)算機(jī)信息安全技術(shù)存在的弊端

1.1缺乏核心技術(shù)

目前,我國(guó)使用的計(jì)算機(jī)核心技術(shù),像操作系統(tǒng)、網(wǎng)關(guān)、數(shù)據(jù)庫(kù)等大多是國(guó)外進(jìn)口而來(lái)的,我國(guó)自主研發(fā)的產(chǎn)品比較少。CPU芯片是計(jì)算機(jī)的核心,目前使用最多的品牌是由我國(guó)臺(tái)灣與美國(guó)共同研發(fā)的,同樣缺乏自主性。在操作系統(tǒng)方面,國(guó)外操作系統(tǒng)本身會(huì)存在一些漏洞,且設(shè)計(jì)上并不是根據(jù)我國(guó)居民上網(wǎng)操作習(xí)慣來(lái)設(shè)定的,因此容易讓一些病毒有機(jī)可乘。操作系統(tǒng)中的安全隱患主要表現(xiàn)在可恢復(fù)密鑰、嵌入式病毒以及隱性通道方面,且由于系統(tǒng)是由國(guó)外引進(jìn),因此即使我國(guó)發(fā)現(xiàn)了漏洞也沒有資格進(jìn)行大范圍整改,只能夠等到國(guó)外補(bǔ)丁再引入國(guó)內(nèi)進(jìn)行安裝。這些漏洞讓計(jì)算機(jī)的安全性大大降低,使得信息在傳輸過程中處于被監(jiān)視以及干擾的狀態(tài),安全級(jí)別較弱。

1.2傳輸過程中安全風(fēng)險(xiǎn)較多

信息在通過網(wǎng)絡(luò)進(jìn)行傳輸?shù)倪^程中,隱秘信息以及涉密信息與普通信息一樣,都是存在于網(wǎng)絡(luò)這個(gè)開放性較強(qiáng)地區(qū)之中的,因此同樣容易造成泄密。信息在傳輸過程中會(huì)經(jīng)過多個(gè)外節(jié)點(diǎn),在其中一個(gè)節(jié)點(diǎn)出現(xiàn)問題就會(huì)影響到信息傳輸?shù)陌踩?一旦發(fā)生安全事故,對(duì)出現(xiàn)故障的信息點(diǎn)是難以查證的。且傳輸環(huán)節(jié)中,任意一個(gè)節(jié)點(diǎn)都可能會(huì)被惡意修改,對(duì)數(shù)據(jù)進(jìn)行假冒或是篡改。

1.3外部攻擊較多

現(xiàn)如今,黑客已經(jīng)不再是犯罪的象征,在一定程度上,黑客也意味著著計(jì)算機(jī)能力較高,是現(xiàn)代少部分年輕人追逐的目標(biāo)。隨著計(jì)算機(jī)的全面普及,我國(guó)計(jì)算機(jī)用戶在年齡上呈現(xiàn)出下降趨勢(shì),且計(jì)算機(jī)能力越來(lái)越高。黑客有時(shí)并不是要進(jìn)行利益上的獲取,大多數(shù)情況下,他們只是希望通過這種方式來(lái)證明自己的能力。黑客們對(duì)用戶電腦中植入木馬,進(jìn)行數(shù)據(jù)信息的獲取,或是在網(wǎng)絡(luò)中偽裝成管理員進(jìn)行信息的有效攔截,另外,黑客們還會(huì)對(duì)一些網(wǎng)站進(jìn)行攻擊來(lái)發(fā)泄自身的不滿。據(jù)日本新聞網(wǎng)2012年8月18日消息,日本奈良國(guó)立博物館的網(wǎng)站17日遭到黑客攻擊,博物館網(wǎng)站主頁(yè)上用英文打上了“還我釣魚島”之類的標(biāo)語(yǔ)。記者18日登陸該博物館網(wǎng)站主頁(yè)時(shí)發(fā)現(xiàn),頁(yè)面已恢復(fù)正常。據(jù)報(bào)道,日本國(guó)立文化財(cái)機(jī)構(gòu)發(fā)表的消息說(shuō),奈良國(guó)立博物館的館員于17日下午一點(diǎn)左右,發(fā)現(xiàn)博物館的網(wǎng)站主頁(yè)最上方的畫像檢索畫面遭到篡改,頁(yè)面上出現(xiàn)了“還我釣魚島”之類的英文標(biāo)語(yǔ)口號(hào)。一個(gè)小時(shí)后,該英文標(biāo)語(yǔ)口號(hào)又換成了其他的英文詞句。另外,還有一些黑客進(jìn)行網(wǎng)站信息攻擊是為了從中謀取利益。在今年5月底,南京市公安局接到報(bào)警,報(bào)案人稱自己公司經(jīng)營(yíng)的游戲網(wǎng)站遭到了黑客攻擊。與以往不同的是,在網(wǎng)站被攻擊后,發(fā)動(dòng)攻擊的黑客會(huì)主動(dòng)現(xiàn)身,通過網(wǎng)站客服QQ主動(dòng)聯(lián)系被攻擊者,承認(rèn)自己破壞了網(wǎng)站。他們并不是在炫耀自己的能力,而是以此為要挾收取“保護(hù)費(fèi)”。據(jù)該公司工作人員介紹,黑客實(shí)施的是大流量攻擊,就是通過網(wǎng)絡(luò)向公司服務(wù)器IP短時(shí)間內(nèi)發(fā)送大流量訪問,導(dǎo)致公司服務(wù)器癱瘓,網(wǎng)絡(luò)堵塞,用戶無(wú)法正常訪問。該公司網(wǎng)絡(luò)游戲的IP地址隨即被租賃公司停用兩天,造成公司間接經(jīng)濟(jì)損失達(dá)10萬(wàn)余元。1.4內(nèi)部操作人員素質(zhì)欠缺在利益的驅(qū)使下,網(wǎng)絡(luò)管理人員并不能夠保證自己完全不被金錢所誘惑。另外,在計(jì)算機(jī)網(wǎng)絡(luò)建設(shè)過程中,人們大多將重點(diǎn)放在網(wǎng)絡(luò)功能的建設(shè)上,很少會(huì)在安全性能方面加大投入。一些網(wǎng)絡(luò)執(zhí)行領(lǐng)導(dǎo)認(rèn)為,對(duì)網(wǎng)絡(luò)進(jìn)行安全性能的加強(qiáng)并不能夠在短期內(nèi)為網(wǎng)站帶來(lái)經(jīng)濟(jì)效益,且這種投資若是沒有碰到安全事故就相當(dāng)于無(wú)回報(bào)投資,因此覺得在網(wǎng)絡(luò)安全方面不投資影響也不大。正是因?yàn)檫@種思想,網(wǎng)絡(luò)安全事故屢禁不止,且在問題發(fā)生之后,由于沒有進(jìn)行相應(yīng)投入,因此在補(bǔ)救措施上缺乏行之有效的管理,只能夠采取直接將網(wǎng)絡(luò)關(guān)閉的消極手段來(lái)應(yīng)對(duì),不能讓安全隱患得到實(shí)質(zhì)性的有效解決。

2信息安全改進(jìn)措施

2.1安裝防火墻及殺毒軟件

現(xiàn)如今,各項(xiàng)殺毒軟件與防火墻充斥著網(wǎng)絡(luò)資源市場(chǎng),用戶只需根據(jù)自己平時(shí)在計(jì)算機(jī)上進(jìn)行的主要操作來(lái)選取需要用到的軟件即可。防毒軟件的安裝能夠自動(dòng)檢測(cè)出瀏覽網(wǎng)站的不良信息,確保用戶不會(huì)進(jìn)行點(diǎn)擊操作,這樣一來(lái),一些病毒或是惡意程序就不會(huì)侵入到個(gè)人電腦中,也不會(huì)對(duì)電腦中信息造成損害了。同時(shí),殺毒軟件可以定期、定時(shí)的對(duì)計(jì)算機(jī)中的軟件進(jìn)行掃描,對(duì)于會(huì)修改計(jì)算機(jī)操作的程序或是目的地不明確的程序能夠及時(shí)找出并向用戶通報(bào)。同時(shí),殺毒軟件會(huì)將用戶在網(wǎng)絡(luò)上自行下載的資源進(jìn)行自動(dòng)掃描,對(duì)于含有病毒的程序或是發(fā)現(xiàn)有異常的程序能夠自動(dòng)將其毀滅,保障用戶計(jì)算機(jī)安全。

2.2信息備份

就目前網(wǎng)絡(luò)安全問題而言,許多病毒都是以破壞用戶計(jì)算機(jī)內(nèi)的資料數(shù)據(jù)為目的的。因此要做好數(shù)據(jù)的備份工作,保障在數(shù)據(jù)丟失之后能夠被及時(shí)找回,不影響后續(xù)工作、學(xué)習(xí)。并且,數(shù)據(jù)的備份還需進(jìn)行技術(shù)上的完善,讓數(shù)據(jù)在丟失之后還能夠及時(shí)的被找回與回復(fù),這樣一來(lái),即使沒有及時(shí)進(jìn)行備份,也能夠避免丟失造成的損失。

2.3定期進(jìn)行補(bǔ)丁更新

對(duì)于局域網(wǎng)內(nèi)的計(jì)算機(jī)而言,病毒很容易就會(huì)通過局域網(wǎng)進(jìn)行傳播,因此要定期進(jìn)行網(wǎng)絡(luò)軟件以及計(jì)算機(jī)操作系統(tǒng)的維護(hù)工作。對(duì)于一般的維護(hù)而言,通常是以補(bǔ)丁形式的,省去了安裝的時(shí)間。若是沒有及時(shí)安裝補(bǔ)丁,一些系統(tǒng)的漏洞就容易被利用,相應(yīng)的病毒會(huì)進(jìn)入到系統(tǒng)內(nèi)部進(jìn)行攻擊。像是蠕蟲病毒、沖擊波病毒,在補(bǔ)丁安裝之后就失去了進(jìn)入的通道,自然不會(huì)威脅到計(jì)算機(jī)網(wǎng)絡(luò)安全。

2.4身份認(rèn)證

用戶對(duì)信息讀取的身份認(rèn)證是非常重要的。由于網(wǎng)絡(luò)是一個(gè)較為開放的平臺(tái),因此黑客能夠利用其開放性對(duì)信息進(jìn)行攔截、讀取與篡改。在這個(gè)過程中,文件是處于不被保護(hù)狀態(tài)的,因此就應(yīng)該提高文件傳輸?shù)陌踩?對(duì)文件進(jìn)行訪問的用戶需要進(jìn)行身份驗(yàn)證才能夠繼續(xù)訪問。這種身份的認(rèn)證一般是以用戶安裝安全密鑰或是協(xié)議的方式完成的。對(duì)于計(jì)算機(jī)信息中心管理人員而言,通過身份的鑒別能夠有效發(fā)現(xiàn)黑客的存在,并且設(shè)置文件的讀取權(quán)限,像一些加密的文件,權(quán)限范圍就要比不加密文件有效,保障加密文件的安全性。

3小結(jié)

隨著計(jì)算機(jī)的普及以及網(wǎng)絡(luò)化的不斷發(fā)展,我國(guó)計(jì)算機(jī)信息安全越來(lái)越受到用戶的廣泛關(guān)注。信息安全關(guān)系到信息傳輸雙方以及個(gè)人電腦的安全管理,因此應(yīng)該加大對(duì)這方面的重視程度,讓計(jì)算機(jī)在帶來(lái)方便快捷的同時(shí),不會(huì)對(duì)人們的工作、 生活、學(xué)習(xí)造成負(fù)面影響。相信通過各方面的不斷努力以及投入力度的增加,我國(guó)計(jì)算機(jī)信息安全能夠得到更好的改進(jìn)。

信息安全論文:對(duì)林業(yè)信息安全保障體質(zhì)研究

近年來(lái),隨著我省林業(yè)信息化建設(shè)進(jìn)程不斷加快,信息系統(tǒng)在政府服務(wù)企業(yè)人民群眾中得到廣泛應(yīng)用,使得生產(chǎn)效率大幅提高。然而,隨著社會(huì)經(jīng)濟(jì)對(duì)信息化依賴性不斷增長(zhǎng),信息系統(tǒng)的脆弱性日益暴露,信息安全問題日益凸出。從我省林業(yè)信息安全現(xiàn)狀來(lái)看,不論是軟硬件系統(tǒng)本身還是組織和管理方面,都還不同程度地存在著各種安全隱患,因重大故障而引發(fā)系統(tǒng)停機(jī)、業(yè)務(wù)停頓的現(xiàn)象也時(shí)有發(fā)生,被黑客攻擊、病毒傳染致使系統(tǒng)癱瘓和數(shù)據(jù)丟失也不乏其例。因此,信息安全保障工作是一項(xiàng)關(guān)系我省國(guó)民經(jīng)濟(jì)和社會(huì)信息化全局的長(zhǎng)期性任務(wù)。在省內(nèi)的推廣和應(yīng)用對(duì)全省信息安全保障體系建設(shè)具有重要意義。本文全面地介紹了我省林業(yè)系統(tǒng)信息安全現(xiàn)狀,分析了我省林業(yè)信息安全保障取得的成果和存在的問題,在通過參會(huì)、走訪、調(diào)研多種形式的基礎(chǔ)上,得到充分的信息安全保障資料,結(jié)合國(guó)家各信息安全相關(guān)標(biāo)準(zhǔn),提出林業(yè)系統(tǒng)信息安全保障的下一步工作研究。

1我省林業(yè)信息化安全形勢(shì)嚴(yán)峻

我省林業(yè)系統(tǒng)信息安全面臨的形勢(shì)不容樂觀,從省直機(jī)關(guān)及部分地市單位的調(diào)查結(jié)果看,有39%的單位發(fā)生過信息安全事件,說(shuō)明我省林業(yè)系統(tǒng)網(wǎng)絡(luò)和信息安全基礎(chǔ)還比較薄弱,保障機(jī)制尚待健全。主要有以下四個(gè)方面表現(xiàn)。

1.1從發(fā)生信息安全事件的結(jié)構(gòu)上看,超過半數(shù)的屬于感染病毒、木馬。引起事件的原因35.5%來(lái)自于單位外部,主要原因是未修補(bǔ)或升級(jí)軟件漏洞。42.2%的事件損失比較輕微,只有0.9%的事故屬于比較嚴(yán)重。而對(duì)于事件的覺察,36%是通過網(wǎng)絡(luò)管理員工作監(jiān)測(cè)發(fā)現(xiàn),22.7%是事后分析發(fā)現(xiàn)。這說(shuō)明,我省林業(yè)網(wǎng)絡(luò)安全形勢(shì)總體上是好的,但也說(shuō)明網(wǎng)絡(luò)與信息安全事件總體防范能力不足,缺乏對(duì)安全事件的提前預(yù)防。

1.2從信息安全管理來(lái)看,有74%的單位制定了安全管理規(guī)章制度,78%的單位能做到隨時(shí)進(jìn)行安全檢查,61.1%的部門在管理中采取口令加密。這說(shuō)明林業(yè)系統(tǒng)內(nèi)大部門單位已經(jīng)認(rèn)識(shí)到了信息安全的重要性,但管理手段單一,技術(shù)落后,缺乏有效的身份認(rèn)證、授權(quán)管理和安全審計(jì)手段。

1.3從信息安全投資來(lái)看,只有14.70%的單位信息安全投入達(dá)到了15%,70%的單位信息安全投資低于信息化項(xiàng)目總投資的10%,甚至還有7%的單位在信息安全方面從來(lái)沒有過投資。說(shuō)明整體網(wǎng)絡(luò)與信息安全投入明顯不足。

1.4從專職人員配備情況來(lái)看,只有46%的部門有專職的信息安全人員,大部分是兼職人員或外包服務(wù)。僅有3.8%的單位組織了對(duì)單位全體員工的信息安全培訓(xùn),而對(duì)于網(wǎng)絡(luò)安全管理技術(shù)人員的培訓(xùn)也只有46%的單位搞過。從業(yè)人員不足,安全培訓(xùn)少,也是影響信息安全的一個(gè)重要因素。上述現(xiàn)狀,反映出我省林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全意識(shí)淡薄,信息系統(tǒng)綜合防范手段匱乏,信息安全管理薄弱,應(yīng)急處理能力不強(qiáng),信息安全管理和技術(shù)人才缺乏。隨著我省林業(yè)信息化建設(shè)和應(yīng)用的加快,多樣化的侵害和信息安全隱患將會(huì)不斷地暴露出來(lái),使我省林業(yè)網(wǎng)絡(luò)與信息安全工作面臨著更大的威脅和風(fēng)險(xiǎn)。

2我省林業(yè)系統(tǒng)信息安全保障思路及主要任務(wù)

省委省政府關(guān)于建設(shè)“平安山東”的決定,提出了把我省建設(shè)成為全國(guó)最穩(wěn)定、最安全的地區(qū)之一的明確目標(biāo)和任務(wù),切實(shí)加強(qiáng)網(wǎng)絡(luò)與信息安全保障工作是大力推進(jìn)國(guó)民經(jīng)濟(jì)和社會(huì)信息化的重要保障,是平安山東建設(shè)的重要內(nèi)容。省政府印發(fā)的山東省國(guó)民經(jīng)濟(jì)和社會(huì)信息化的十二五規(guī)劃,把信息安全保障體系作為主要內(nèi)容之一。在此基礎(chǔ)上,林業(yè)信息化建設(shè)以全面提高網(wǎng)絡(luò)與信息安全的保障能力為己任,努力開創(chuàng)了我省信息化建設(shè)與信息安全保障體系相互適應(yīng)、共同進(jìn)步的新局面。

2.1信息安全保障工作的思路以科學(xué)發(fā)展觀為指導(dǎo),認(rèn)真貫徹“積極防御,綜合防范”的方針,加強(qiáng)網(wǎng)絡(luò)信任體系、信息安全監(jiān)控體系和應(yīng)急保障體系建設(shè),全面提高林業(yè)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)和應(yīng)急事件處置能力,重點(diǎn)保障我省林業(yè)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全;強(qiáng)化林業(yè)信息安全制度建設(shè)和人才隊(duì)伍建設(shè),充分發(fā)揮各方面的積極性,協(xié)同構(gòu)筑我省網(wǎng)絡(luò)與信息安全保障體系。

2.2信息安全保障工作的主要任務(wù)

2.2.1建立健全我省信息安全管理體制,充分發(fā)揮網(wǎng)絡(luò)與信息安全建設(shè)的作用,建立了信息安全的通報(bào)制度,形成我省林業(yè)信息安全相關(guān)部門密切配合的良好機(jī)制。

2.2.2積極推進(jìn)了信息風(fēng)險(xiǎn)評(píng)估和等級(jí)保護(hù)制度的建立。省信息辦制定了山東省信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施辦法,介紹了實(shí)施風(fēng)險(xiǎn)評(píng)估的方法和流程,十一五期間,已選取了多家單位作為試點(diǎn),下一步將根據(jù)自己工作實(shí)施風(fēng)險(xiǎn)評(píng)估,并爭(zhēng)取在全省范圍內(nèi)推廣。

2.2.3大力促進(jìn)網(wǎng)絡(luò)與信息安全的制度建設(shè),積極貫徹有關(guān)信息安全標(biāo)準(zhǔn)的應(yīng)用和推廣,出臺(tái)了林業(yè)系統(tǒng)網(wǎng)絡(luò)信息安全建設(shè)的指導(dǎo)意見。

2.2.4加強(qiáng)信息安全應(yīng)急處置體系建設(shè),利用現(xiàn)有的專業(yè)隊(duì)伍和技術(shù)資源,規(guī)劃和建設(shè)林業(yè)數(shù)據(jù)備份中心,啟動(dòng)建設(shè)信息化應(yīng)急技術(shù)處理中心,逐步實(shí)現(xiàn)為我省林業(yè)網(wǎng)絡(luò)信息安全提供預(yù)警、評(píng)測(cè)等服務(wù),按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)營(yíng)誰(shuí)負(fù)責(zé)”的要求,各部門出現(xiàn)問題及時(shí)處理,如果處理不了,可以呼叫應(yīng)急中心通過技術(shù)手段判斷突發(fā)事件的原因。

2.2.5加強(qiáng)人才隊(duì)伍培養(yǎng)和建設(shè)。不定期的舉辦了面向工作人員提高安全意識(shí)、防范意識(shí)的培訓(xùn),對(duì)從事信息化的專業(yè)人員建立管理培訓(xùn)的制度。

3加快我省林業(yè)信息安全保障體系建設(shè)進(jìn)程的建議林業(yè)信息安全保障體系的建設(shè)是關(guān)系我省民生的大事,做好這項(xiàng)工作十分重要。

3.1充分認(rèn)識(shí)做好信息安全保障工作的重要意義。目前對(duì)信息安全問題不少人仍然缺乏全面的、深刻的認(rèn)識(shí),現(xiàn)有各個(gè)部門在安全工作中缺乏安全防范的意識(shí),安全防護(hù)注重于系統(tǒng)外部,忽略了系統(tǒng)內(nèi)部的安全管理措施,安全保障缺乏循環(huán)、良性的提高,不能自主發(fā)現(xiàn)和及時(shí)消除安全隱患,對(duì)安全工作仍然不同程度的存在“說(shuō)起來(lái)重要,忙起來(lái)次要,干起來(lái)不要”的問題。各單位各部門要從經(jīng)濟(jì)發(fā)展、社會(huì)穩(wěn)定的高度充分認(rèn)識(shí)信息安全的重要性,增強(qiáng)緊迫感、責(zé)任感和自覺性。

3 .2正確把握加強(qiáng)信息安全保障工作的總體要求。要堅(jiān)持積極防御、綜合防范的方針,正確處理發(fā)展與安全的關(guān)系,堅(jiān)持以發(fā)展求安全、以安全保發(fā)展,同時(shí)管理與技術(shù)并用,大力發(fā)展信息技術(shù)的同時(shí),切實(shí)加強(qiáng)信息安全管理工作,努力從預(yù)防、監(jiān)控、應(yīng)急處理和打擊犯罪等環(huán)節(jié)在法律、管理、技術(shù)、人才各方面采取各種措施全面提升信息安全的防護(hù)水平。

3.3突出重點(diǎn),抓好落實(shí)。各部門要制定工作重點(diǎn),加強(qiáng)信息安全體系建設(shè)和管理,最大限度的控制和限制安全風(fēng)險(xiǎn),重點(diǎn)保障基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全,做好應(yīng)急服務(wù)工作,盡可能的防止因信息安全問題造成的重要信息系統(tǒng)的大面積的出現(xiàn)問題。防止數(shù)據(jù)丟失和錯(cuò)誤,避免對(duì)社會(huì)造成的損失。

3.4建立相應(yīng)的信息安全管理體制。明確信息安全的綜合建設(shè)和管理思路,搞好信息安全保障體系的建設(shè),目前省級(jí)部門已經(jīng)按照國(guó)家要求做了落實(shí),現(xiàn)在要求地市的信息安全管理部門、相關(guān)人員也要按照要求做好這項(xiàng)工作。

3.5加快網(wǎng)絡(luò)信任體系、監(jiān)控及應(yīng)急保障體系等信息安全基礎(chǔ)設(shè)施建設(shè)。促進(jìn)重要信息系統(tǒng)容災(zāi)備份和災(zāi)難存儲(chǔ)的建設(shè),建立全覆蓋、多層次、高性能的全省林業(yè)信息安全保障基礎(chǔ)架構(gòu),深化在我省林業(yè)系統(tǒng)電子政務(wù)、電子商務(wù)中的應(yīng)用,結(jié)合數(shù)字證書的應(yīng)用,保證網(wǎng)上信息的安全和法律效力。信息安全保障體系的建設(shè)是一件大事,也是一件新興事物,將面臨著許多難以想象的困難和挑戰(zhàn),我們一定要轉(zhuǎn)變觀念,一手抓信息化推進(jìn),一手抓網(wǎng)絡(luò)的信息安全,共同服務(wù)于社會(huì)發(fā)展的大局,全面提高我省信息安全保障的能力和水平,為國(guó)民經(jīng)濟(jì)和社會(huì)信息化做好保障,為“平安山東”做出應(yīng)有的貢獻(xiàn)。

信息安全論文:電腦信息安全的威脅與管理策略

一、計(jì)算機(jī)信息安全

計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)不斷發(fā)展,應(yīng)用較為廣泛,但是也存在安全性問題,使個(gè)人或者企事業(yè)單位面臨威脅。如果計(jì)算機(jī)信息管理的方法不恰當(dāng),會(huì)使機(jī)密的信息被竊取,引起經(jīng)濟(jì)損失。對(duì)計(jì)算機(jī)信息進(jìn)行安全管理成為重要的問題。計(jì)算機(jī)安全保護(hù)的目的主要是進(jìn)行信息的安全管理,保證計(jì)算機(jī)在存儲(chǔ)信息方面具備完整性以及機(jī)密性,信息的效用價(jià)值被激發(fā)出來(lái)。

二、計(jì)算機(jī)信息安全存在的問題

信息安全威脅主要指的是人、事、物對(duì)某一資源信息造成的威脅,主要安全威脅表現(xiàn)在以下方面:機(jī)密性;完整性;可用性;真實(shí)性;可控性。安全威脅可以分為兩類:主動(dòng)威脅、被動(dòng)威脅。主動(dòng)威脅指的是對(duì)信息作出修改,被動(dòng)威脅指的是對(duì)信息只做監(jiān)聽不做修改。

2.1攻擊方式

信息的安全問題一直受到人們的關(guān)注,對(duì)計(jì)算機(jī)進(jìn)行侵襲的方式花樣百出。典型的方式包括:()l信息泄露;(2)重放;(3)拒絕服務(wù)。無(wú)法訪問信息資源,延遲操作。(4)竊聽:(5)否認(rèn):(6)業(yè)務(wù)流分析:(7)病毒。

2.2網(wǎng)絡(luò)外部因素出現(xiàn)問題

網(wǎng)絡(luò)外部因素是出現(xiàn)信息安全的重要原因,在信息安全問題中處于關(guān)鍵地位。主要表現(xiàn)在:()l借助技術(shù)手段進(jìn)行網(wǎng)絡(luò)干擾;(2)借助先進(jìn)的設(shè)備,植人病毒等,威脅信息系統(tǒng)。

2.3網(wǎng)絡(luò)內(nèi)部因素出現(xiàn)的問題

網(wǎng)絡(luò)系統(tǒng)具有脆弱性,是信息安全問題的內(nèi)因。主要表現(xiàn)在:(l)安全策略與安全管理有待完善;(2)軟件系統(tǒng)存在漏洞;(3)網(wǎng)絡(luò)協(xié)議體系存在問題。

三、計(jì)算機(jī)信息安全管理的方法

3.1進(jìn)行信息加密

在安裝防火墻軟件后,不能有效防御系統(tǒng)內(nèi)部的威脅,在這種情況下,可以采用信息加密的技術(shù),把明文文件、數(shù)據(jù)信息等進(jìn)行優(yōu)質(zhì)化處理,進(jìn)行密文的傳送,到達(dá)目的地后,錄人密鑰,重現(xiàn)原來(lái)的信息內(nèi)容,對(duì)信息文件設(shè)置安全保護(hù),使數(shù)據(jù)資源保持安全性。與加密過程相反的是解密,主要是轉(zhuǎn)化已經(jīng)編碼的信息,還原本來(lái)的信息。根據(jù)系統(tǒng)功能的要求,選擇信息加密的手段,保證信息的安全性以及可靠性。

3.2采用安全性較高的系統(tǒng)軟件

安全性較高的系統(tǒng)軟件指的是操作系統(tǒng)以及數(shù)據(jù)庫(kù)等具有很高的安全性。在系統(tǒng)終端,操作系統(tǒng)應(yīng)當(dāng)版本統(tǒng)一,為維護(hù)以及管理提供了很大的方便。對(duì)系統(tǒng)的終端進(jìn)行安全管理,主要指的是針對(duì)應(yīng)用軟件進(jìn)行遠(yuǎn)程操控,對(duì)于不安全的端口以及軟件進(jìn)行屏蔽。在系統(tǒng)的終端,安裝殺毒軟件,對(duì)系統(tǒng)的補(bǔ)丁進(jìn)行自動(dòng)的更新,便于進(jìn)行集中的控管。對(duì)客戶端的操作系統(tǒng)進(jìn)行定期的掃描殺毒。

3.3訪問控制技術(shù)

訪問控制主要指的是對(duì)用戶的訪問權(quán)限進(jìn)行控制,允許特定的用戶進(jìn)行網(wǎng)絡(luò)訪問,人網(wǎng)的用戶需要進(jìn)行身份確認(rèn),用戶訪問系統(tǒng)的特定資源,規(guī)定資源的使用程度等等。訪問控制可以加強(qiáng)網(wǎng)絡(luò)系統(tǒng)的安全,對(duì)網(wǎng)絡(luò)資源進(jìn)行有效的保護(hù)。訪問控制的措施包括:第一,設(shè)置口令;第二,應(yīng)用數(shù)字證書等。通過以上方法,驗(yàn)證、確認(rèn)用戶的信息,設(shè)定訪問的權(quán)限,進(jìn)行網(wǎng)絡(luò)跟蹤,并對(duì)網(wǎng)絡(luò)系統(tǒng)采取防護(hù)措施。為了確保口令的安全性,要注重口令的選取以及保護(hù)。進(jìn)行訪問控制,主要是為了確保訪問操作的合法性,避免非授權(quán)的訪問。

3.4進(jìn)行風(fēng)險(xiǎn)分析

采用信息加密算法可以增加計(jì)算機(jī)信息整體的安全性。從傳統(tǒng)的加密方法來(lái)看,主要是把密匙作為核心,也就是對(duì)稱加密。在進(jìn)行解密和加密時(shí),用戶可以采用相同的密鑰。近年來(lái),加密算法發(fā)展較快,公開密鑰得到了廣泛的應(yīng)用,也稱為非對(duì)稱加密。進(jìn)行加密、解密,采用不同的密鑰,主體涵蓋的技術(shù)包括RsA以及DsA技術(shù)。現(xiàn)在比較常用的是DES、RSA算法,與PGP加密的方式相混合,能夠進(jìn)行優(yōu)質(zhì)運(yùn)用。與此同時(shí),還要進(jìn)行病毒的防御。計(jì)算機(jī)技術(shù)在不斷進(jìn)步,病毒的形式更加多樣,分辨存在很大的難度,產(chǎn)生很大的危害。

因此,為了保證計(jì)算機(jī)信息的安全性,我們應(yīng)當(dāng)更新技術(shù),不斷研發(fā)防御病毒的方式,使功能更加優(yōu)質(zhì)全面。我們必須進(jìn)行風(fēng)險(xiǎn)分析,分析利弊,制定適當(dāng)?shù)墓芾矸椒?使計(jì)算機(jī)信息安全有所保證。養(yǎng)成規(guī)范操作的習(xí)慣,加強(qiáng)密鑰的管理。

四、結(jié)語(yǔ)

隨著計(jì)算機(jī)技術(shù)的廣泛應(yīng)用,計(jì)算機(jī)信息安全受到了嚴(yán)重的威脅。在現(xiàn)階段,計(jì)算機(jī)網(wǎng)絡(luò)存在問題,網(wǎng)絡(luò)自身具有脆弱性,并容易受到潛在的威脅,注重管理,在必要的情況下,需要加強(qiáng)法律的治理,保證網(wǎng)絡(luò)系統(tǒng)的安全性。針對(duì)個(gè)人的使用,采取一定的管理方法。加強(qiáng)計(jì)算機(jī)的信息安全管理,保證網(wǎng)絡(luò)信息的安全性。

信息安全論文:淺談經(jīng)濟(jì)信息安全的法律保護(hù)問題與對(duì)策

論文關(guān)鍵詞：經(jīng)濟(jì)信息安全　國(guó)家經(jīng)濟(jì)安全　信息化　法律保護(hù)

論文摘要：信息時(shí)代，信息資源的占有率已成為影響一國(guó)生產(chǎn)力發(fā)展的核心要素之一。面對(duì)日益激烈的市場(chǎng)競(jìng)爭(zhēng)，世界各國(guó)對(duì)經(jīng)濟(jì)信息的爭(zhēng)奪加劇。完善我國(guó)經(jīng)濟(jì)信息安全的法律保護(hù)體系是維護(hù)國(guó)家經(jīng)濟(jì)安全，保障生產(chǎn)力健康發(fā)展的重要任務(wù)。文章對(duì)經(jīng)濟(jì)信息安全的概念進(jìn)行了界定，通過分析我國(guó)經(jīng)濟(jì)信息安全面臨的挑戰(zhàn)與現(xiàn)有法律保護(hù)的不足，提出完善經(jīng)濟(jì)信息安全法律保護(hù)的對(duì)策。

一、信息化挑戰(zhàn)我國(guó)經(jīng)濟(jì)信息安全

與西方發(fā)達(dá)國(guó)家相比，我國(guó)的經(jīng)濟(jì)安全保障體系非常脆弱，對(duì)于經(jīng)濟(jì)信息安全的保護(hù)更是一片空白。國(guó)家經(jīng)濟(jì)數(shù)據(jù)的泄露，泄密案件的連續(xù)出現(xiàn)昭示著我國(guó)經(jīng)濟(jì)信息安全面臨前所未有的嚴(yán)峻挑戰(zhàn)。

(一)對(duì)經(jīng)濟(jì)信息的爭(zhēng)奪日益加劇

經(jīng)濟(jì)競(jìng)爭(zhēng)的白熾化與信息高速化在推動(dòng)世界經(jīng)濟(jì)迅速發(fā)展的同時(shí)也使得業(yè)已存在的竊取經(jīng)濟(jì)信息活動(dòng)更為猖獗，無(wú)論是官方的經(jīng)濟(jì)情報(bào)部門還是各大財(cái)團(tuán)、公司都有自己的情報(bào)網(wǎng)絡(luò)。世界各國(guó)在千方百計(jì)地保護(hù)本國(guó)經(jīng)濟(jì)信息安全的同時(shí)也在千方百計(jì)地獲取他國(guó)的經(jīng)濟(jì)情報(bào)。目前我國(guó)正處于泄密高發(fā)期，其中通過計(jì)算機(jī)網(wǎng)絡(luò)泄密發(fā)案數(shù)占泄密法案總數(shù)的70％以上，并呈現(xiàn)逐年增長(zhǎng)的趨勢(shì)；在商業(yè)活動(dòng)中，商業(yè)間諜與經(jīng)濟(jì)信息泄密事件頻繁發(fā)生，據(jù)業(yè)內(nèi)人士透露泄密及損失最滲重的是金融業(yè)；其次是資源行業(yè)，大型并購(gòu)很多，而十次并購(gòu)里面九次會(huì)出現(xiàn)信息泄密事故；高科技、礦產(chǎn)等領(lǐng)域也非常嚴(yán)峻，很多行業(yè)在經(jīng)濟(jì)信息安全保護(hù)上都亮起了紅燈。

(二)竊密技術(shù)先進(jìn)，手段多樣化

一方面，發(fā)達(dá)國(guó)家及其情報(bào)組織利用信息技術(shù)優(yōu)勢(shì)，不斷監(jiān)聽監(jiān)視我國(guó)經(jīng)濟(jì)情報(bào)，非法獲取、篡改我國(guó)信息或傳播虛假信息造成經(jīng)濟(jì)波動(dòng)，以獲取經(jīng)濟(jì)乃至政治上的收益；另一方面，除技術(shù)手段，他們還通過商業(yè)賄賂、資助學(xué)術(shù)研究、舉辦研討會(huì)、派專人在合法范圍內(nèi)收集企業(yè)簡(jiǎn)報(bào)、股東報(bào)告甚至是廢棄垃圾通過仔細(xì)研究，分析出有價(jià)情報(bào)等方式大量收集我國(guó)經(jīng)濟(jì)信息。正如哈佛大學(xué)肯尼迪政治學(xué)院的一位中國(guó)專家認(rèn)為：“在中國(guó)，當(dāng)前賄賂最主要的形式不再是支付現(xiàn)金，更多可能由公司付費(fèi)途經(jīng)洛杉磯或拉斯維加斯到公司總部考察。這種費(fèi)用可以被看做是合法的營(yíng)業(yè)支出，也可以為官員設(shè)立獎(jiǎng)學(xué)金。”竊密技術(shù)日益先進(jìn)與手段日趨多樣化、合法化對(duì)我國(guó)經(jīng)濟(jì)安全，特別是經(jīng)濟(jì)信息的安全造成嚴(yán)重威脅。

(三)經(jīng)濟(jì)信息安全保密意識(shí)淡薄

近年來(lái)，每當(dāng)政府機(jī)構(gòu)公布國(guó)民經(jīng)濟(jì)運(yùn)行數(shù)據(jù)前，一些境外媒體或境外研究機(jī)構(gòu)總是能準(zhǔn)確“預(yù)測(cè)”；許多重要的經(jīng)濟(jì)信息，包括經(jīng)濟(jì)數(shù)據(jù)、經(jīng)濟(jì)政策等伴隨學(xué)術(shù)報(bào)告、會(huì)議研討甚至是一句家常閑聊便被泄露出去；載有核心經(jīng)濟(jì)信息的移動(dòng)存儲(chǔ)介質(zhì)被隨意連接至互聯(lián)網(wǎng)導(dǎo)致信息泄露等問題嚴(yán)重。有調(diào)查顯示，我國(guó)有62％的企業(yè)承認(rèn)出現(xiàn)過泄密現(xiàn)象；國(guó)有以及國(guó)有控股企業(yè)為商業(yè)秘密管理所設(shè)立專門機(jī)構(gòu)的比例不到20％，未建立任何機(jī)構(gòu)的比例高達(dá)36．5％；在私營(yíng)企業(yè)中，這樣的情況更加嚴(yán)峻。經(jīng)濟(jì)信息安全保密意識(shí)的薄弱已成為威脅我國(guó)經(jīng)濟(jì)安全，影響社會(huì)經(jīng)濟(jì)穩(wěn)定發(fā)展的制約因素之一。

二、經(jīng)濟(jì)信息安全法律保護(hù)的缺失

安全的實(shí)質(zhì)是一種可預(yù)期的利益，是法律所追求的價(jià)值主張。保障經(jīng)濟(jì)信息的安全是信息時(shí)代法律在經(jīng)濟(jì)活動(dòng)中所追求的最重要的利益之一。法律保障經(jīng)濟(jì)信息安全，就要維護(hù)經(jīng)濟(jì)信息的保密性、完整性以及可控性，這是由信息安全的基本屬性所決定的。然而，由于我國(guó)立法上的滯后，對(duì)經(jīng)濟(jì)信息安全的法律保護(hù)仍存在相當(dāng)大的漏洞。

(一)缺乏對(duì)保密性的法律保護(hù)

保密性是指保證信息不會(huì)泄露給非授權(quán)者，并對(duì)需要保密的信息按照實(shí)際情況劃分為不同等級(jí)，有針對(duì)性的采取不同力度的保護(hù)。現(xiàn)行《保密法》對(duì)于國(guó)家秘密的范圍以及分級(jí)保護(hù)雖有相關(guān)規(guī)定，但其內(nèi)容主要針對(duì)傳統(tǒng)的國(guó)家安全，有關(guān)經(jīng)濟(jì)信息安全方面僅出現(xiàn)“國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展中的秘密事項(xiàng)”這樣原則性的規(guī)定，對(duì)經(jīng)濟(jì)秘密的劃定、保密范圍和措施等缺乏相應(yīng)條款；對(duì)于跨國(guó)公司或境外利益集團(tuán)等竊取我國(guó)經(jīng)濟(jì)政策、產(chǎn)業(yè)關(guān)鍵數(shù)據(jù)等行為也缺乏法律上的界定，以至要追究法律責(zé)任卻沒有相應(yīng)法律條款可適用的情況屢屢發(fā)生。

在涉及商業(yè)秘密的法律保護(hù)上，法律規(guī)定分散而缺乏可操作性，不同部門對(duì)商業(yè)秘密的定義不統(tǒng)一，商業(yè)秘密的概念模糊而混亂，弱化了商業(yè)秘密的保密性；①另一方面，與TRIPS協(xié)議第39條規(guī)定的“未披露的信息(undiscoveredinformation)”即“商業(yè)秘密”相比，我國(guó)《反不正當(dāng)競(jìng)爭(zhēng)法》要求商業(yè)秘密須具有秘密性、價(jià)值型、新穎性與實(shí)用性且經(jīng)權(quán)利人采取保密措施，并將構(gòu)成商業(yè)秘密的信息局限于技術(shù)信息和經(jīng)營(yíng)信息，這樣的規(guī)定不以商業(yè)秘密在商業(yè)上使用和繼續(xù)性使用為要件，使不具實(shí)用性卻有重大價(jià)值或潛在經(jīng)濟(jì)價(jià)值的信息得不到保護(hù)，不利于經(jīng)濟(jì)信息的保密。此外，人才流動(dòng)的加快也使商業(yè)秘密伴隨著員工的“跳槽”而流失的可能性激增，但對(duì)商業(yè)秘密侵權(quán)威脅(ThreatenedMisappropriationofTradeSecrets)我國(guó)尚無(wú)沒有明確法律依據(jù)；對(duì)于泄露或竊取他人商業(yè)秘密的行為，《刑法》第219條雖增加了刑事處罰，但處罰力度過輕而又缺乏處罰性賠償規(guī)定，導(dǎo)致權(quán)利人的損失無(wú)法得到彌補(bǔ)。

(二)缺乏對(duì)完整性的法律保護(hù)

完整性是指信息在存儲(chǔ)或傳輸過程中保持不被未授權(quán)的或非預(yù)期的操作修改和破壞，它要求保持信息的原始面貌，即信息的正確生成、正確存儲(chǔ)和正確傳輸。目前，我國(guó)保障信息與信息系統(tǒng)完整性主要依靠《刑法》與《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》等法律法規(guī)，總體而言層級(jí)較低又缺乏統(tǒng)一性。《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》第4條規(guī)定了“計(jì)算機(jī)信息系統(tǒng)的安全保護(hù)工作，重點(diǎn)維護(hù)國(guó)家事務(wù)、經(jīng)濟(jì)建設(shè)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)等重要領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的安全”，但在第23和25條卻只規(guī)定對(duì)破壞和危害計(jì)算機(jī)信息系統(tǒng)安全造成財(cái)產(chǎn)損失的承擔(dān)民事責(zé)任，并對(duì)個(gè)人處以5000元以下罰款，對(duì)單位處以15000元以下罰款的較輕處罰規(guī)定；現(xiàn)行《刑法》第285條也只規(guī)定入侵國(guó)家事務(wù)、國(guó)防建設(shè)、尖端科學(xué)技術(shù)領(lǐng)域的計(jì)算機(jī)信息系統(tǒng)的行為構(gòu)成非法侵入計(jì)算機(jī)信息系統(tǒng)罪。這就是說(shuō)，行為人非法侵入包括經(jīng)濟(jì)信息系統(tǒng)在內(nèi)的其他信息系統(tǒng)并不構(gòu)成本罪。可見，法律對(duì)信息安全的保障依然側(cè)重于政治、軍事等傳統(tǒng)安全領(lǐng)域，而忽略了對(duì)經(jīng)濟(jì)信息安全的保護(hù)。

(三)缺乏對(duì)可控性的法律保護(hù)

可控性是對(duì)經(jīng)濟(jì)信息的內(nèi)容和信息的傳播具有控制能力，能夠按照權(quán)利人的意愿自由流動(dòng)。網(wǎng)絡(luò)的盛行使得經(jīng)濟(jì)間諜、商業(yè)賄賂等竊密手段的頻繁出現(xiàn)而使得經(jīng)濟(jì)信息不能按照權(quán)利人的意愿流動(dòng)。面對(duì)日趨“合法化”的竊密行為，《刑法》第110條的間諜罪與第11l條的為境外的機(jī)構(gòu)、組織、人員竊取、刺探、收買、非法提供國(guó)家秘密或情報(bào)罪都只是籠統(tǒng)的規(guī)定了“危害國(guó)家安全”和“竊取、刺探、收買、非法提供國(guó)家秘密或情報(bào)”，缺乏有關(guān)經(jīng)濟(jì)間諜罪的專門規(guī)定；而《國(guó)家安全法》也只是籠統(tǒng)的規(guī)定了國(guó)家安全整體的法律條文，并且側(cè)重的是傳統(tǒng)安全的政治和軍事領(lǐng)域，對(duì)于經(jīng)濟(jì)安全，尤其是經(jīng)濟(jì)信息安全這樣一個(gè)新的非傳統(tǒng)安全領(lǐng)域的存在的威脅仍缺乏適當(dāng)?shù)姆梢?guī)制。

除了經(jīng)濟(jì)間諜外，跨國(guó)公司對(duì)我國(guó)實(shí)施商業(yè)賄賂獲取經(jīng)濟(jì)信息與商業(yè)秘密的案件不斷增加，經(jīng)濟(jì)信息的可控性無(wú)法得到有效保證，在造成嚴(yán)重經(jīng)濟(jì)損失的同時(shí)也威脅著我國(guó)經(jīng)濟(jì)信息安全。目前我國(guó)尚無(wú)一部完備的《反商業(yè)賄賂法》，對(duì)于商業(yè)賄賂的法律規(guī)制主要體現(xiàn)在《刑法》與《反不正當(dāng)競(jìng)爭(zhēng)法》、《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》等法律法規(guī)上。然而，現(xiàn)行《刑法》并未直接對(duì)商業(yè)賄賂行為作出罪行定義，而《反不正當(dāng)競(jìng)爭(zhēng)法》第8條雖然規(guī)定商業(yè)賄賂的對(duì)象既可包括交易對(duì)方，又可包括與交易行為有關(guān)的其他人，但《關(guān)于禁止商業(yè)賄賂行為的暫行規(guī)定》中卻又將商業(yè)賄賂界定為“經(jīng)營(yíng)者為銷售或購(gòu)買商品而采用財(cái)物或者其他手段賄賂對(duì)方單位或者個(gè)人的行為”縮小了商業(yè)賄賂對(duì)象的范罔，將除交易雙方以外能夠?qū)灰灼饹Q定性作用或產(chǎn)生決定性影響的單位或個(gè)人被排除在外。另外，對(duì)于商業(yè)賄賂的經(jīng)濟(jì)處罰力度畸輕，根據(jù)《反不正當(dāng)競(jìng)爭(zhēng)法22條，不構(gòu)成犯罪的商業(yè)賄賂行為處以10000元以上200000元以下的罰款，并沒收違法所得。但事實(shí)上，通過商業(yè)賄賂手段所套取的經(jīng)濟(jì)信息往往可以帶來(lái)高達(dá)上百萬(wàn)的經(jīng)濟(jì)利益，過輕的處罰完全不能發(fā)揮法律應(yīng)有的威懾力。與美國(guó)的《反海外賄賂法》和德國(guó)的《反不正當(dāng)競(jìng)爭(zhēng)法》相比，我國(guó)對(duì)于商業(yè)賄賂，特別是跨國(guó)商業(yè)賄賂的治理仍存在不足。

三、完善我國(guó)經(jīng)濟(jì)信息安全法律保護(hù)的對(duì)策

法律保護(hù)經(jīng)濟(jì)經(jīng)濟(jì)信息安全，既要求能預(yù)防經(jīng)濟(jì)信息不受侵犯，也要求能通過國(guó)家強(qiáng)制力打擊各種侵犯經(jīng)濟(jì)信息安全的行為，從而達(dá)到經(jīng)濟(jì)信息客觀上不存在威脅，經(jīng)濟(jì)主體主觀性不存在恐懼的安全狀態(tài)。因此，維護(hù)經(jīng)濟(jì)信息安全需要構(gòu)建全方位的法律保護(hù)體系。

(一)修訂《保密法》，增加保護(hù)經(jīng)濟(jì)信息安全的專門條款

《保密法(修訂草案)》增加了針對(duì)涉密信息系統(tǒng)的保密措施以及加強(qiáng)涉密機(jī)關(guān)、單位和涉密人員的保密管理等五方面內(nèi)容，總體上得到了專家學(xué)者的肯定，但仍存在許多值得進(jìn)一步斟酌與完善的問題。特別是對(duì)于經(jīng)濟(jì)領(lǐng)域的信息安全保密問題，應(yīng)增設(shè)專門條款明確規(guī)定經(jīng)濟(jì)秘密的保密范同，明確哪些經(jīng)濟(jì)信息屬于國(guó)家經(jīng)濟(jì)秘密，通過明確“密”的界限強(qiáng)化保密意識(shí)，維護(hù)經(jīng)濟(jì)信息的安全。因此，在修訂《保密法》時(shí)，我們可以在保證法律的包容性與原則性的基礎(chǔ)上，可以借鑒俄羅斯的《聯(lián)邦國(guó)家秘密法》，采取列舉的方式將屬于國(guó)家秘密的經(jīng)濟(jì)信息以法律的方式予以規(guī)定，將對(duì)國(guó)家經(jīng)濟(jì)安全有重大影響的、過早透露可能危害國(guó)家利益的包括財(cái)政政策、金融信貸活動(dòng)以及用于維護(hù)國(guó)防、國(guó)家安全和治安的財(cái)政支出情況等經(jīng)濟(jì)信息包含在內(nèi)，以具體形象的樣態(tài)將國(guó)家經(jīng)濟(jì)秘密明確的歸屬于法律控制范疇，避免因法律缺乏明確性與可操作性而帶來(lái)的掣肘。

(二)制定《商業(yè)秘密保護(hù)法》，完善商業(yè)秘密的保護(hù)

針對(duì)我國(guó)商業(yè)秘密泄密案件的日益頻繁，商業(yè)秘密保護(hù)立法分散的問題，盡快制定專門的《商業(yè)秘密保護(hù)法》是維護(hù)經(jīng)濟(jì)信息安全的重要措施。在制定《商業(yè)秘密保護(hù)法》時(shí)，可以借鑒國(guó)外以及國(guó)際組織的先進(jìn)經(jīng)驗(yàn)，但應(yīng)當(dāng)注意以下問題：(1)在對(duì)商業(yè)秘密進(jìn)行界定時(shí)，應(yīng)采用列舉式與概括式相結(jié)合的體例明確商業(yè)秘密的內(nèi)涵。同時(shí)在商業(yè)秘密的構(gòu)成要件中剔除“實(shí)用性”的要求，使那些不為本行業(yè)或領(lǐng)域人員普遍知悉的，能為權(quán)利人帶來(lái)經(jīng)濟(jì)利益或競(jìng)爭(zhēng)優(yōu)勢(shì)，具有“經(jīng)濟(jì)價(jià)值”以及“潛在價(jià)值”并經(jīng)權(quán)利人采取合理保護(hù)措施的信息也能納入法律的保護(hù)范圍；(2)要明確規(guī)定各種法律責(zé)任，包括民事責(zé)任、行政責(zé)任以及刑事責(zé)任。由于商業(yè)秘密侵權(quán)行為是一種暴利行為，但給權(quán)利人造成的損失卻往往十分巨大，如不以刑事責(zé)任方式提高違法成本便難以遏制其發(fā)生；(3)在制定《商業(yè)秘密保護(hù)法》時(shí)應(yīng)當(dāng)引入不可避免泄露規(guī)則(InevitableDisclosureDoctrine)。該原則主要是針對(duì)商業(yè)秘密潛在的侵占行為采取的保護(hù)方式，旨在阻止離職員工在新的工作崗位上自覺或不自覺地泄露前雇主商業(yè)秘密的問題。引入不可避免泄露原則更能有效地保護(hù)商業(yè)秘密，避免因人才流動(dòng)為保密性帶來(lái)的威脅。

(三)制定統(tǒng)一《反商業(yè)賄賂法》，確保經(jīng)濟(jì)信息的正向流動(dòng)

隨著信息在經(jīng)濟(jì)活動(dòng)中作用加重，商業(yè)賄賂的目的不再局限于獲取商品銷售或購(gòu)買的機(jī)會(huì)，通過商業(yè)賄賂獲取競(jìng)爭(zhēng)對(duì)手經(jīng)濟(jì)秘密已成為信息時(shí)代非法控制經(jīng)濟(jì)信息流動(dòng)的重要手段之一。制定統(tǒng)一的《反商業(yè)賄賂法》將分散在各法律法規(guī)中的有關(guān)條例加以整合，實(shí)現(xiàn)對(duì)國(guó)內(nèi)外商業(yè)賄賂行為的有效監(jiān)管，是堵截經(jīng)濟(jì)信息非法流動(dòng)、維護(hù)我國(guó)經(jīng)濟(jì)信息安全與公平競(jìng)爭(zhēng)市場(chǎng)環(huán)境的必然選擇。因此，在制定統(tǒng)一《反商業(yè)賄賂法》時(shí)首先應(yīng)當(dāng)對(duì)商業(yè)賄賂的概念進(jìn)行準(zhǔn)確的界定，借鑒《布萊克法律詞典》的解釋將商業(yè)賄賂定義為經(jīng)營(yíng)者通過不正當(dāng)給予相關(guān)單位、個(gè)人或密切相關(guān)者好處的方式，獲取優(yōu)于其競(jìng)爭(zhēng)對(duì)手的競(jìng)爭(zhēng)優(yōu)勢(shì)；④其次，對(duì)于商業(yè)賄賂的管轄范圍應(yīng)當(dāng)適當(dāng)擴(kuò)大。根據(jù)《經(jīng)合組織公約》與《聯(lián)合國(guó)反腐敗公約》的規(guī)定，締約國(guó)應(yīng)確立跨國(guó)商業(yè)賄賂法律的域外管轄權(quán)制度，對(duì)故意實(shí)施的跨國(guó)商業(yè)行為予以制裁。因此，制定《反商業(yè)賄賂法》要求將我國(guó)經(jīng)營(yíng)者或該商業(yè)活動(dòng)的密切相關(guān)者無(wú)論是向國(guó)內(nèi)外公職人員、企業(yè)、相關(guān)個(gè)人以及國(guó)際組織官員行賄行為或是收受來(lái)自國(guó)內(nèi)外企業(yè)、個(gè)人的財(cái)務(wù)或其他利益優(yōu)惠的受賄行為都應(yīng)列入該法管轄范圍內(nèi)，并針對(duì)商業(yè)賄賂這種貪利性違法行為，完善民事、行政以及刑事法律責(zé)任；此外，在立法時(shí)還應(yīng)借鑒國(guó)外的成功經(jīng)驗(yàn)加大制裁力度，取消現(xiàn)行法律中固定處罰數(shù)額的不合理規(guī)定，采用相對(duì)確定的倍罰制，并制定對(duì)不構(gòu)成犯罪的商業(yè)賄賂行為的資質(zhì)罰(指取消從事某種職業(yè)或業(yè)務(wù)的資格的處罰)，使得經(jīng)營(yíng)者在被處罰后不再具備從事相同職業(yè)或業(yè)務(wù)再次進(jìn)行商業(yè)賄賂的條件，從而有效遏止商業(yè)賄賂行為的蔓延，以確保經(jīng)濟(jì)信息的合理正向流動(dòng)。

(四)完善《刑法》，維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全

“只有使犯罪和刑罰銜接緊湊，才能指望相聯(lián)的刑罰要領(lǐng)使那些粗俗的頭腦從誘惑他們的、有利可圖的犯罪圖景中立即猛醒過來(lái)”。故此，完善《刑法》并加重處罰力度，是維護(hù)經(jīng)濟(jì)領(lǐng)域信息安全的必要保證。

首先，計(jì)算機(jī)與網(wǎng)絡(luò)的廣泛使用使得計(jì)算機(jī)信息系統(tǒng)安全成為影響經(jīng)濟(jì)信息安全的關(guān)鍵因素。面對(duì)《刑法》對(duì)經(jīng)濟(jì)領(lǐng)域計(jì)算機(jī)信息系統(tǒng)保護(hù)的缺位，增加維護(hù)經(jīng)濟(jì)信息安全的專門條款是當(dāng)務(wù)之急。因此，應(yīng)首先對(duì)《刑法》第285條進(jìn)行調(diào)整，規(guī)定凡侵入具有重大價(jià)值(包括經(jīng)濟(jì)價(jià)值、科技價(jià)值與政治價(jià)值等)或者涉及社會(huì)公共利益的計(jì)算機(jī)信息系統(tǒng)的行為都構(gòu)成犯罪；同時(shí)，針對(duì)目前竊取計(jì)算機(jī)信息系統(tǒng)中不屬于商業(yè)秘密或國(guó)家秘密但卻具有知識(shí)性或重大價(jià)值，特別是經(jīng)濟(jì)價(jià)值的數(shù)據(jù)、資料現(xiàn)象日益嚴(yán)重，《刑法》中還應(yīng)增設(shè)竊取計(jì)算機(jī)信息資源罪，對(duì)以非法侵入計(jì)算機(jī)信息系統(tǒng)為手段，以竊取他人信息資源為目的且造成嚴(yán)重后果的行為予以規(guī)制；此外，在《刑法》還中還應(yīng)增設(shè)財(cái)產(chǎn)刑、資格刑，適當(dāng)提高法定刑幅度，從多維角度預(yù)防和制裁危害計(jì)算機(jī)信息系統(tǒng)犯罪。

其次，在對(duì)商業(yè)秘密的保護(hù)上，應(yīng)完善相關(guān)刑事責(zé)任與刑事訴訟中的保密規(guī)定。現(xiàn)行《刑法》規(guī)定了侵犯商業(yè)秘密的行為，但在刑罰的表述中并沒有詳細(xì)的劃分。縱觀國(guó)外立法，大多根據(jù)侵權(quán)行為社會(huì)危害程度的不同規(guī)定了多種量刑幅度。因此，對(duì)侵犯商業(yè)秘密罪的設(shè)置應(yīng)根據(jù)危害程度的不同規(guī)定不同的刑罰，對(duì)侵犯商業(yè)秘密情節(jié)惡劣，后果嚴(yán)重者從重處罰，確保罪責(zé)刑相適應(yīng)的同時(shí)保證法律的威懾力。此外，針對(duì)目前在審理涉及商業(yè)秘密案件除規(guī)定不公開審理外，沒有對(duì)參與商業(yè)秘密的訴訟人員規(guī)定保密義務(wù)的問題，在刑事訴訟中還應(yīng)設(shè)置相關(guān)保密義務(wù)條款，在司法解釋中也應(yīng)規(guī)定配套的保密措施，以確保權(quán)利人在伸張權(quán)利時(shí)其商業(yè)秘密的保密性不會(huì)因法律的漏洞而喪失。

最后，借鑒美國(guó)《經(jīng)濟(jì)間諜法》，在《刑法》中增設(shè)經(jīng)濟(jì)間諜罪。與侵犯商業(yè)秘密罪不同，經(jīng)濟(jì)間諜罪重在預(yù)防和制裁圖利于外國(guó)政府、外國(guó)機(jī)構(gòu)或外國(guó)政府的人且使之獲得不局限于經(jīng)濟(jì)之上的利益的行為。因此，增設(shè)經(jīng)濟(jì)間諜罪，應(yīng)明確經(jīng)濟(jì)間諜罪的界定、構(gòu)成要件、刑罰以及及于域外的法律效力等，從立法的價(jià)值取向上注重從國(guó)家安全角度保護(hù)商業(yè)秘密，特別是經(jīng)濟(jì)信息類秘密，對(duì)經(jīng)濟(jì)間諜行為予以嚴(yán)懲，維護(hù)國(guó)家經(jīng)濟(jì)信息安全。

總之，以法律預(yù)防和制裁各種侵犯經(jīng)濟(jì)信息安全行為，是維護(hù)國(guó)家經(jīng)濟(jì)安全，促進(jìn)生產(chǎn)力健康發(fā)展的有效保證。針對(duì)信息安全的基本特性，建立健全經(jīng)濟(jì)信息安全法律保護(hù)體系，實(shí)乃理論界與實(shí)務(wù)界當(dāng)務(wù)之急。

信息安全論文:關(guān)于科研網(wǎng)絡(luò)信息安全隱患及控制策略研究

論文摘要：利用網(wǎng)絡(luò)信息技術(shù)進(jìn)行科研管理，加強(qiáng)了信息共享與協(xié)同工作，提高了科研工作的效率，但與此同時(shí)也存在一些安全隱患。介紹了科研網(wǎng)絡(luò)信息安全的概念和意義，分析了其存在的安全隱患的具體類型及原因，為保證科研網(wǎng)絡(luò)信息的安全，提出了加強(qiáng)網(wǎng)絡(luò)風(fēng)險(xiǎn)防范、防止科研信息被泄露、修改或非法竊取的相應(yīng)控制措施。

論文關(guān)鍵詞：科研網(wǎng)絡(luò)信息；安全隱患；控制策略

1引言

隨著計(jì)算機(jī)網(wǎng)絡(luò)技術(shù)的普及，利用網(wǎng)絡(luò)信息技術(shù)來(lái)改造傳統(tǒng)科研管理模式已經(jīng)成為一種歷史潮流。由于計(jì)算機(jī)網(wǎng)絡(luò)的互聯(lián)性和開放性，在提供信息和檢索信息的同時(shí)，也面臨著一些安全隱患，科研信息一旦泄露，會(huì)給科研項(xiàng)目的實(shí)施帶來(lái)致命的打擊。因此，加強(qiáng)網(wǎng)絡(luò)安全、防止信息泄露、修改和非法竊取已成為科研單位普及與應(yīng)用網(wǎng)絡(luò)迫切需要解決的問題，及時(shí)掌握和控制網(wǎng)絡(luò)信息安全隱患是十分必要的。

2科研網(wǎng)絡(luò)信息安全的概念和意義

2．1概念

科研網(wǎng)絡(luò)信息安全主要包括以下兩個(gè)方面的內(nèi)容：①科研數(shù)據(jù)的完整性，即科研數(shù)據(jù)不發(fā)生損壞或丟失，具有完全的可靠性和準(zhǔn)確性。②信息系統(tǒng)的安全性，防止故意冒充、竊取和損壞數(shù)據(jù)。

2．2意義

根據(jù)信息安全自身的特點(diǎn)以及科研的實(shí)際情況。

網(wǎng)絡(luò)信息安全在科研單位的實(shí)施應(yīng)該以信息安全技術(shù)做支撐，通過流程、審查和教育等的全面協(xié)同機(jī)制，形成一個(gè)適合科研管理的完整的信息安全體系，并依靠其自身的持續(xù)改進(jìn)能力，始終同步支持科研項(xiàng)目發(fā)展對(duì)網(wǎng)絡(luò)信息安全的要求。

3科研網(wǎng)絡(luò)信息存在的安全隱患

3．1網(wǎng)絡(luò)管理方面的問題

科研網(wǎng)絡(luò)的信息化，由于覆蓋面大、使用人員多以及涉密資料、信息系統(tǒng)管理存在漏洞．有關(guān)人員缺乏保密意識(shí)，往往不能保證工作文稿、科研資料、學(xué)術(shù)論文等在網(wǎng)絡(luò)上安全、正確、實(shí)時(shí)的傳輸和管理。

3．2外部威脅

網(wǎng)絡(luò)具有方便、快捷的特點(diǎn)。但也面臨著遭遇各種攻擊的風(fēng)險(xiǎn)。各種病毒通過網(wǎng)絡(luò)傳播，致使網(wǎng)絡(luò)性能下降，同時(shí)黑客也經(jīng)常利用網(wǎng)絡(luò)攻擊服務(wù)器，竊取、破壞一些重要的信息，給網(wǎng)絡(luò)系統(tǒng)帶來(lái)嚴(yán)重的損失。

4科研網(wǎng)絡(luò)信息安全的控制策略

4．1建立完善的網(wǎng)絡(luò)信息管理體系

4．1．1制定并網(wǎng)絡(luò)信息安全管理制度這是科研網(wǎng)絡(luò)信息安全工作的指導(dǎo)準(zhǔn)則，信息安全體系的建立也要以此為基礎(chǔ)。

4．1．2建立網(wǎng)絡(luò)信息安全管理組織這為網(wǎng)絡(luò)信息安全體系的建立提供組織保障，也是網(wǎng)絡(luò)信息安全實(shí)施的一個(gè)重要環(huán)節(jié)，沒有一個(gè)強(qiáng)有力的管理體系，就不能保證信息安全按計(jì)劃推進(jìn)。

4．1．3加強(qiáng)網(wǎng)絡(luò)信息保密審查工作堅(jiān)持“誰(shuí)公開、誰(shuí)負(fù)責(zé)、誰(shuí)審查”的原則，落實(shí)保密審查責(zé)任制，規(guī)范各科室、部門分工負(fù)責(zé)的保密審查制度，不斷完善和細(xì)化保密審查的工作制度、工作程序、工作規(guī)范和工作要求。

4．2開展充分的信息安全教育

工作人員信息安全意識(shí)的高低，是一個(gè)科研單位信息安全體系是否能夠最終成功實(shí)施的決定性因素，所以需要對(duì)員工進(jìn)行充分的教育，提高其信息安全意識(shí)，保證信息安全實(shí)施的成效。

科研單位可以采取多種形式對(duì)工作人員開展信息安全教育，充分利用科研單位內(nèi)部的輿論宣傳手段，如觀看警示教育片、保密知識(shí)培訓(xùn)、簽訂保密承諾書、保密專項(xiàng)檢查等，并將工作人員的信息安全教育納入績(jī)效考核體系。

4．3選擇合適的網(wǎng)絡(luò)信息安全管理技術(shù)

網(wǎng)絡(luò)信息安全管理技術(shù)作為信息安全體系的基礎(chǔ)，在信息安全管理中起到基石的作用。

4．3．1設(shè)置密碼保護(hù)設(shè)置密碼的作用就是安全保護(hù)，主要是為了保證信息免遭竊取、泄露、破壞和修改等，常采用數(shù)據(jù)備份、訪問控制、存取控制、用戶識(shí)別、數(shù)據(jù)加密等安全措施。

4．3．2設(shè)置防火墻防火墻在某種意義上可以說(shuō)是一種訪問控制產(chǎn)品，它能強(qiáng)化安全策略，限制暴露用戶點(diǎn)，它在內(nèi)部網(wǎng)絡(luò)與不安全的外部網(wǎng)絡(luò)之間設(shè)置屏障，防止網(wǎng)絡(luò)上的病毒、資源盜用等傳播到網(wǎng)絡(luò)內(nèi)部，阻止外界對(duì)內(nèi)部資源的非法訪問，防止內(nèi)部對(duì)外部的不安全訪問。

4．3．3病毒防范和堵住操作系統(tǒng)本身的安全漏洞為了防止感染和傳播病毒，計(jì)算機(jī)信息系統(tǒng)必須使用有安全專用產(chǎn)品銷售許可證的計(jì)算機(jī)病毒防治產(chǎn)品。同時(shí)任何操作系統(tǒng)也都存在著安全漏洞問題，只要計(jì)算機(jī)接人網(wǎng)絡(luò)，它就有可能受到被攻擊的威脅，還必須完成一個(gè)給系統(tǒng)“打補(bǔ)丁”的工作，修補(bǔ)程序中的漏洞，以提高系統(tǒng)的性能。防止病毒的攻擊。

4．3．4使用入侵檢測(cè)技術(shù)人侵檢測(cè)系統(tǒng)能夠主動(dòng)檢查網(wǎng)絡(luò)的易受攻擊點(diǎn)和安全漏洞。并且通常能夠先于人工探測(cè)到危險(xiǎn)行為，是一種積極的動(dòng)態(tài)安全檢測(cè)防護(hù)技術(shù)，對(duì)防范網(wǎng)絡(luò)惡意攻擊及誤操作提供了主動(dòng)的實(shí)時(shí)保護(hù)。

4．4加強(qiáng)涉密網(wǎng)絡(luò)和移動(dòng)存儲(chǔ)介質(zhì)的管理

科研管理系統(tǒng)安全是由多個(gè)層面組成的，在實(shí)際的操作過程中．也要嚴(yán)格遵守操作規(guī)程。嚴(yán)禁在外網(wǎng)上處理、存儲(chǔ)、傳輸涉及科研秘密信息和敏感信息，嚴(yán)禁涉密移動(dòng)存儲(chǔ)介質(zhì)在內(nèi)外網(wǎng)上交叉使用，嚴(yán)格上網(wǎng)信息保密審查審批制度，嚴(yán)格執(zhí)行涉密計(jì)算機(jī)定點(diǎn)維修制度。

5結(jié)束語(yǔ)

為了確保科研網(wǎng)絡(luò)的信息安全，只有通過有效的管理和技術(shù)措施，使信息資源免遭威脅，或者將威脅帶來(lái)的損失降到最低限度，保證信息資源的保密性、真實(shí)性、完整性和可用性．才能提高信息安全的效果，最終有效地進(jìn)行科研管理、降低信息泄露風(fēng)險(xiǎn)、確保各項(xiàng)科研工作的順利正常運(yùn)行。