时间:2022-03-05 05:10:44
序论:在您撰写信息安全时,参考他人的优秀作品可以开阔视野,小编为您整理的7篇范文,希望这些建议能够激发您的创作热情,引导您走向新的创作高度。
信息安全是防止非法的攻击和病毒的传播,保证计算机系统和通信系统的正常运作,保证信息不被非法访问和篡改。信息安全主要包括几个方面的内容:即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全的根本目的就是使内部信息不受外部威胁,因此信息通常要加密。
计算机通信网络的安全涉及到多种学科,包括计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等,这些技术各司其职,保护网络系统的硬件、软件以及系统中的数据免遭各种因素的破坏、更改、泄露,保证系统连续可靠正常运行。
影响信息安全的因素有很多:
信息泄露:保护的信息被泄露或透露给某个非授权的实体,使得隐私信息在一定范围内大规模泄露。
破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
恶意攻击:恶意攻击就是人们常见的黑客攻击及网络病毒,是最难防范的网络安全威胁。随着电脑教育的大众化,这类攻击也越来越多,影响越来越大。无论是任何攻击,简单的看,都只是一种破坏网络服务的黑客方式,虽然具体的实现方式千变万化,但都有一个共同点,就是其根本目的是使受害主机或网络无法及时接收并处理外界请求,或无法及时回应外界请求。具体表现方式有以下几种:
(1)制造大流量无用数据,造成通往被攻击主机的网络拥塞,使被攻击主机无法正常和外界通信。
(2)利用被攻击主机提供服务或传输协议上处理重复连接的缺陷,反复高频的发出攻击性的重复服务请求,使被攻击主机无法及时处理其它正常的请求。
(3)利用被攻击主机所提供服务程序或传输协议的本身实现缺陷,反复发送畸形的攻击数据引发系统错误而分配大量系统资源,使主机处于挂起状态甚至死机。(信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。)
对于计算机的信息安全,可以从以下几方面做起:
防火墙技术,是指设置在不同网络(如可以信任的企业内部网和不可以信任的外部网)或网络安全域之间的一系列软件或硬件的组合。在逻辑上它是一个限制器和分析器,能有效地监控内部网和Internet之间的活动,保证内部网络的安全。
网络加密技术是网络安全最有效的技术之一。一个加密网络,不但可以防止非授权用户的搭线窃听和入网,而且也是对付恶意软件的有效方法之一。信息加密过程是由形形的加密算法来具体实施的,它以很小的代价提供很牢靠的安全保护。在多数情况下,信息加密是保证信息机密性的唯一方法。据不完全统计,到目前为止,已经公开发表的各种加密算法多达数百种。
网络防止病毒技术,网络防病毒技术的具体实现方法包括对网络服务器中的文件进行频繁地扫描和监测,工作站上采用防病毒芯片和对网络目录及文件设置访问权限等。防病毒必须从网络整体考虑,从方便管理人员在夜间对全网的客户机进行扫描,检查病毒情况考虑;利用在线报警功能,网络上每一台机器出现故障、病毒侵入时,网络管理人员都能及时知道,从而从管理中心处予以解决。
身份验证技术,是用户向系统出示自己身份证明的过程。身份认证是系统查核用户身份证明的过程。这两个过程是判明和确认通信双方真实身份的两个重要环节,人们常把这两项工作统称为身份验证。它的安全机制在于首先对发出请求的用户进行身份验证,确认其是否为合法的用户,如是合法用户,再审核该用户是否有权对他所请求的服务或主机进行访问。
随着网络技术的日益普及,以及人们对网络安全意识的增强,许多用于网络的安全技术得到强化并不断有新的技术得以实现。不过,从总的看来,信息的安全问题并没有得到所有公司或个人的注意。在安全技术提高的同时,提高人们对网络信息的安全问题的认识是非常必要的。当前,一种情况是针对不同的安全性要求的应用,综合多种安全技术定制不同的解决方案,以及针对内部人员安全问题提出的各种安全策略。另一种是安全理论的进步,并在工程技术上得以实现,我们必须综合考虑安全因素。世界上不存在绝对安全的网络系统,随着计算机网络技术的进一步发展,网络安全防护技术也必然随着网络应用的发展而不断发展。
关键字:信息安全;技术;产品
互联网的迅速发展直接牵动了科技创新、信息产业的发展和知识经济的勃兴;信息网络已逐渐成为经济繁荣、社会稳定和国家发展的基础。信息化深刻影响着全球经济的整合、国家战略的调整和安全观念的转变。全球化和信息化的潮流,给我国带来了难得的发展机遇,同时也在国际斗争和国家安全方面提出了严峻的挑战。信息安全问题已从单纯的技术性问题变成事关国家安全的全球性问题。
一、信息安全的问题会引起国家面临许多其他的安全威胁,比如:信息霸权的威胁,经济安全的威胁,舆论安全的威胁,社会稳定的威胁。网络空间打破了传统的地缘政治格局,信息霸权日益成为国家安全的新威胁。网络空间的权利制衡包括制信息化权、制信息权、制创新权和网络能力的制衡权。以信息为武器,在数字化地球这个新的国际舞台上,各国将围绕信息化利益展开政治角逐。信息霸权已成为政治扩展的新武器。信息化还会给日益全球化的经济带来安全隐患,国民经济运行与监管的安全,国家金融资本流动与运作的安全,证券市场的安全,经济金融网络的安全,经济信息的安全等。信息化网络是传媒的革命,对文化和文明提出了新挑战:多样的文化将共存在一个互联网上,文明的冲突直接表现为信息的冲突,舆论操纵已成为互联网上的政治武器,文化侵略是国家必须面临的持久战。而且,信息化社会的安定依赖信息基础设施,政府管理、航空运输、水、通信传播、指挥调度、财税经贸、日常生活都要依靠信息系统和信息化设备。信息基础设施一旦遭到破坏,立即就会引发社会不安和动荡。
二、信息技术和产品逐渐成为信息安全的基础和焦点。信息技术已成为应用面最广、渗透性最强的战略性技术。信息安全问题日益突出,信息安全产业应运而生。信息安全产品和信息系统固有的敏感性和特殊性,直接影响着国家的安全利益和经济利益。各国政府纷纷采取颁布标准,实行测评认证制度等方式,对信息安全产品的研制、生产、销售、使用和进出口实行严格、有效的控制。
三、网络安全产品供应厂家基本可分为三类:国家级的专业信息安全产品供应厂家、新兴的专业信息安全产品供应厂家和国外厂家。常用的一些信息安全产品有:加密产品、防火墙、防病毒产品、入侵检测产品、虚拟专网产品,此外,还有身份鉴别产品、证书机关、物理安全产品。加密产品是非常传统的信息安全产品,主要提供信息加密功能。加密产品一般可以分为链路加密、网络加密、应用加密和加密协处理器等几个层次的产品。防火墙是用于实施网络访问控制的产品,是最常见也是中国国内技术非常成熟的信息安全产品之一。防病毒产品是中国国内最早出现并大规模使用的信息安全产品。国内外生产的厂家很多,目前能够在国内获得一定市场的都是不错的产品。入侵检测产品是近一两年发展起来的,主要用于检测网络攻击事件的发生。国内外供货厂家也较多。身份鉴别产品也属于非常传统的产品,目前技术成熟的是一些基于信息技术的鉴别产品。一些基于生理参数(如:指纹、眼纹)的技术和产品发展很快,已经有成熟产品推出。虚拟专网产品是利用密码技术和公共网络构建专用网络的一种设备,该设备集成了网络技术、密码技术、远程管理技术、鉴别技术等于一体,是用户以非常低的成本构建专用网络的一种非常重要的产品。证书机关是一类非常基础的产品,任何基于证书体制实现安全的信息系统都需要该产品。物理安全产品是非常特殊的信息安全产品,如干扰器、隔离计算机、隔离卡等,其主要功能是确保信息处理设备的物理安全,提供诸如防电磁辐射、物理隔离等功能。
四、传统的安全测评方法像厂商自测、商业性测试、攻击性检测等存在着不足,缺乏标准的安全需求规范、缺乏通用的安全测评准则、缺乏客观的安全测评工具、缺乏专业的安全测评人员、缺乏公正的第三方测评机制和完善的测评认证体系。而测评认证是信息安全保障的重要环节,世界各国都将测评认证体系作为国家信息化的重要基础设施,由信息安全主管部门和质量监督部门共同负责管理。测评认证已成为国际性话题。各国政府在充分认识到全球化和信息化利弊的基础上对信息安全都予以高度重视,各国为适应信息化时代国际竞争的新形势纷纷成立了专门的测评认证机构,有条件的互认是各国参与国际化和维护自的务实选择。
五、信息安全产品的种类比较多,许多安全产品的功能上也有一定交叉,在选型时有几个基本原则。适用原则,绝对的安全是不存在的,因此您必须具有“安全风险”意识。信息安全产品的安装不一定意味信息系统不发生安全事故。所有的安全产品只是降低安全事件发生的可能性,减小安全事件所造成的损失,提供弥补损失的手段。也不可能追求绝对的安全。应考虑清楚自己信息系统最大的安全威胁来自何处,信息系统中最有价值的是什么,信息系统造成的哪些损失是自己无法忍受的。安全产品只要为企业提供足够的手段应对主要的安全威胁,将可能的损失减小到可以接受的范围之内,就可以了。不降低信息系统综合服务品质的原则,目前中国许多企业往往是在信息系统规划(或建设)完成之后才考虑信息安全,即所谓的“打安全补丁”。这种“补丁”做法往往会给信息安全产品的选型带来很多困难,因为很多时候,信息安全与系统的使用便利性和效率往往是一对矛盾。需要在考虑安全性的前提下,综合系统的其它性能,结合评估系统的服务品质,定下系统综合服务品质参数,在此基础上,以不降低综合服务品质为原则,对信息安全产品进行选型。
六、安全策略分为基于身份的安全策略和基于规则的安全策略种。基于身份的安全策略是过滤对数据或资源的访问,有两种执行方法:若访问权限为访问者所有,典型的作法为特权标记或特殊授权,即仅为用户及相应活动进程进行授权;若为访问数据所有则可以采用访问控制表(ACL)。这两种情况中,数据项的大小有很大的变化,数据权力命名也可以带自己的ACL基于规则的安全策略是指建立在特定的,个体化属性之上的授权准则,授权通常依赖于敏感性。在一个安全系统中,数据或资源应该标注安全标记,而且用户活动应该得到相应的安全标记。
总的看来,对等网络将成为主流,与网格共存。网络进化的未来―绿色网络―呼唤着新的信息安全保障体系。国际互联网允许自主接入,从而构成一个规模庞大的,复杂的巨系统,在如此复杂的环境下,孤立的技术发挥的作用有限,必须从整体的和体系的角度,综合运用系统论,控制论和信息论等理论,融合各种技术手段,加强自主创新和顶层设计,协同解决网络安全问题。保证网络安全还需严格的手段,未来网络安全领域可能发生三件事,其一是向更高级别的认证转移;其二,目前存储在用户计算机上的复杂数据将“向上移动”,由与银行相似的机构确保它们的安全;第三,是在全世界的国家和地区建立与驾照相似的制度,它们在计算机销售时限制计算机的运算能力,或要求用户演示在自己的计算机受到攻击时抵御攻击的能力。
参考文献:
[1]《信息安全导论》武汉大学出版社 2008年8月第一版
[2]《信息安全与网络安全研究新进展》中国科学技术大学出版社 2007年7月第一版
大数据安全标准化研究进展
国家信息安全标准化概述
物联网安全参考架构研究
无线网络的中间人攻击研究
国内外云计算安全标准研究
移动互联网信息安全标准综述
智慧校园一卡通系统安全研究
融合的世界需要安全模式的创新
美国网络威慑战略解析及启示
物理空间信息安全技术发展综述
可见光信息隐蔽传输与检测技术
基于大数据分析的APT防御方法
面向大数据安全的密码技术研究
数据安全重删系统与关键技术研究
恶意URL多层过滤检测模型策略研究
基于RI码计算的Word复制文档鉴别
无线通信调制信号的信息安全风险分析
恶意USB设备攻击与防护技术研究
大数据安全和隐私保护技术架构研究
面向网络搜索日志的方法研究
基于数字签名的QR码水印认证系统
大数据安全形势下电商的机遇与挑战
基于声信道的隐蔽信息传输关键技术
应急资源大数据云安全管理模式研究
渗透测试之信息搜集的研究与漏洞防范
一种新型的RSA密码体制模数分解算法
基于WinHex手机图片信息的恢复与取证
光纤通信的光信息获取及防护技术研究
基于Web日志的Webshell检测方法研究
国内外工业控制系统信息安全标准研究
智慧城市网络安全标准化研究及进展
智慧城市网络安全保障评价体系研究
一种基于安卓系统的手机侧抓包分析方法
大数据时代的网络舆情管理与引导研究
基于系统调用的恶意软件检测技术研究
安全通论——“非盲对抗”之“童趣游戏”
应对高级网络威胁建立新型网络防御系统
基于人工免疫的移动恶意代码检测模型
乌克兰电力系统遭受攻击事件综合分析
一种实时网络风险可视化技术研究及实现
电商大数据服务与监管时代的机遇与合作
更快、更高、更强:DT时代的信息安全挑战
信息设备电磁泄漏还原图像的文本识别研究
网络空间信息基础设施核心要素的自主之路
网络安全标准是“牛鼻子”促进标准实施应用
Windows7下USB存储设备接入痕迹的证据提取
基于大数据分析的电信基础网安全态势研究
关键词:信息;信息安全; 防范策略
中图分类号:G353.1 文献标识码:A 文章编号:1007-9599 (2012) 10-0000-02
21世纪信息技术飞速发展,在社会发展中信息越来越重要,国家的政府、军事、文教等诸多领域都与信息有关。如果信息的安全时常受到威胁,则会影响到国家各部门的日常活动。因此,信息的安全与防范非常重要。本文针对信息的安全问题进行分析,并提出了相应出的安全防护策略。
一、信息安全威胁
信息已经成为社会健康发展的重要保证,然而很多信息被人为篡改,窃取,泄露。信息载体还要经受不可抗拒的自然灾害的威胁。而人为的威胁是最大的威胁。
随着0Day 漏洞的增加和第三方软件漏洞将常被黑客利用,黑客经常用第三方软件的漏洞进行攻击系统。随着无线技术的推广和普及,黑客也针对无线进行攻击,因此在网络上出现很多无线的破解技术,这样攻击者可以轻易地攻击网络,这样对用户的安全带来很大的威胁。为了欺骗用户,攻击者还制造或编写虚假的网站,即就是钓鱼网,攻击者利用钓鱼伪造电子邮件或网站点等对用户进行“攻击”,因此用户的信息由此而被泄漏出去。
计算机病毒以破坏程序等为目标。病毒主要是对用户的文件或相关程序进行破坏,对系统和用户资料威胁非常大。很多攻击者利用网络的相关工具如电子邮件等添加到文件或程序,因此有些用户打开邮件都会被感染上病毒,这样用户的相关资料会受到不同程度的破坏。
除此外攻击者通过不正当入侵手段向合法网站输入非法的数据,数据量非常大,从而多出的数据会传入到其他领域。如果对程序执行不当,那么相关程序和系统的设置会受到限制。
二、影响信息安全因素
信息载体与周边环境的安全会影响到信息本身的安全。信息存储场屏蔽处理不好,磁鼓、磁带与高辐射设备等的信号外泄。信息处理和管理设置的电源系统不稳定,则用于存储数据的设置会受到影响,特别是临时性的RAM存储器的数据会丢失,信息本身就无法得到保障。除此外硬件故障,特别是存储信息的内存、硬盘等计算机部件的故障出现影响信息存储和处理。
人的主观性也是威胁的主要因素,特别是信息系统的操作人员,如果其故意篡改数据或没有按规定进行操作程序,其信息就没有可靠性。如果系统等出现故障则不能正确保存数据,这样数据会丢失。信息设计人员或系统设计人员以对系统设计或对数据设计考虑不全面,这样没办法在处理或传输中保证数据的完整,因此攻击者就可以利用系统的漏洞进行攻击,摧毁系统的数据等。网络信息或数据传输往往受到通讯设备的影响,通讯设备的安全设计不全也会造成数据的丢失或损坏。同是攻击者可利用这些不员以假冒、身份攻击等对系统进行非法操作或操控。
考虑周全只是对现有的条件,对将来的考虑往往没法预设,因此新的系统出现,本身就有漏洞。而攻击者也容易找出漏洞。大部分系统都配备的改进系统管理及服务质量的工具软件被破坏者利用,去收集非法信息及加强攻击力度。系统维护不正当的操作和管理的本身不足也会对信息或数据产生威胁。因此作为管理人员必须对新系统进行分析,特别是对其漏洞危险进行分析并提出相关措施。管理人员的设计和检测能力差没办法设计好的系统,也就没办法对系统中的数据进行有效的保护,因为系统不能抵御复杂的攻击。建立和实施严密的安全制度与策略是真正实现网络安全的基础。
三、信息安全防范策略
保证数据或信息安全可以使用技术,仅靠技术不能完全保证数据的安全,同时还需要严格的管理,制定相关法律,利用法律进行约束,还有对员工进行安全教育。采取恰当的防护措施也能有效保护信息的安全。
(一)从技术层面进行防护
1.数据加密。可以用加密技术对信息进行加密以保护信息,如用MD5等加密技术,这样攻击不能轻易看到数据,加密的作用就是让数据隐藏,这样更好的保护数据。MD5是一种散列函数,主要是用来保护信息的完整性。在登录认证中MD5运动得比较多,用户在登录系统或平台时的用户名和密码等运动MD5加密,然后将加密后的结果存在相应的数据库。其原理就是用户登录后平台或系统会被MD5加密运算。如果运算得出的值与数据库存在的值正确则可直接进入系统。这样避免操具有管理权限的人员知道从而保证信息的安全。为加强数据的安全性,可以对MD5进行改进,比如可以运MD5进行两次加密改进了单次加密的不安全性。总之加密可根据情况采用对称加密和非对称加密,更好的保护数据。
2.数字签名,数字签名主要是用来签名和验证。其运算主要运用了HASH函数从而更好的鉴别解决伪造、抵赖、冒充和篡改等问题。签名技术可以有效的防止抵赖,在网络中进行商务活动,即就是开展电子商务活动等,在活动中汲及到的数据是非常重要。大部分数据是商业机密,对买卖双方来讲非常重要。如果数据被篡改,对买卖双方会产生巨大的损失。因此采用数字签名可有效防止攻击者的篡改而产生抵赖,同时也可以保证数据的安全和完整。
3.用户身份认证就是对用户身份进行验证。用户访问服务器时,必须提供合法的身份证明,这样服务器才给与相关的操作权限。用户要存取等操作数据必须提供有效的标记,以方便服务器验证。可以使用加密技术、人体等器官或生理特征进行认证,大部分可以用数字签名技术进行认证。双方互相认证,这样可以保证数据的真实性。
关键词:信息安全;信息安全等级
中图分类号:TP393.08文献标识码:A文章编号:16727800(2011)012014502
作者简介:张新豪(1982-),男,河南郑州人,黄河科技学院现代教育中心助教,研究方向为计算机应用;郭喜建(1978-),男,河南郑州人,黄河科技学院现代教育中心助教,研究方向为计算机应用;宋朝(1983-),男,河南郑州人,黄河科技学院现代教育技术中心职员,研究方向为信息服务质量管理。1网络信息安全
信息安全是指信息网络的硬件、软件及其系统中数据受到保护,不因偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续、可靠、正常地运行,信息服务不中断。信息安全是一门设计计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。从广义上说,设计信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是信息安全的研究领域。
信息安全要实现的目标主要有:①真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别;②保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义;③完整性:保证数据的一致性,防止数据被非法用户篡改;④可用性:保证合法用户对信息和资源的使用不会被不正当的拒绝;⑤不可抵赖性:建立有效的责任机制,防止用户否认其行为;⑥可控制性:对信息的传播及内容具有控制能力;⑦可审查性:对出现的网络安全故障为您能够提供调查的依据和手段。
2网络信息安全性等级
2.1信息安全等级保护
信息安全等级保护是指对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
信息安全等级保护制度是国家信息安全保障工作的基本制度、基本策略和基本方法,是促进信息化健康发展,维护国家安全、社会秩序和公共利益的根本保障。国务院法规和中央文件明确规定,要实行信息安全等级保护,重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度。信息安全等级保护是当今发达国家保护关键信息基础设施、保障信息安全的通行做法,也是我国多年来信息安全工作经验的总结。开展信息安全等级保护工作不仅是保障重要信息系统安全的重大措施,也是一项事关国家安全、社会稳定、国家利益的重要任务。
2.2DoD可信计算机系统评估准则
1983年,美国国家计算机中心发表了著名的“可信任计算机标准评价准则”(Trusted Computer Standards Evaluation Criteria,简称TCSEC,俗称橘皮书)。TCSEC是在20世纪70年代的基础理论研究成果Bell & La Padula模型基础上提出的,其初衷是针对操作系统的安全性进行评估。1985年,美国国防部计算机安全中心(简称DoDCSC)对TCSEC文本进行了修订,推出了“DoD可信计算机系统评估准则,DoD5200.28-STD”。
美国国防部计算机安全中心(DoDCSC)提出的安全性评估要求有:①安全策略:必须有一个明确的、确定的由系统实施的安全策略;②识别:必须唯一而可靠地识别每个主体,以便检查主体/客体的访问请求;③标记:必须给每个客体(目标)作一个“标号”,指明该客体的安全级别。这种结合必须做到对该目标进行访问请求时都能得到该标号以便进行对比;④可检查性:系统对影响安全的活动必须维持完全而安全的记录。这些活动包括系统新用户的引入、主体或客体的安全级别的分配和变化以及拒绝访问的企图;⑤保障措施:系统必须含实施安全性的机制并能评价其有效性;⑥连续的保护:实现安全性的机制必须受到保护以防止未经批准的改变。
根据以上6条要求,“可信计算机系统评估准则”将计算机系统的安全性分为A、B、C、D 4个等级,A、B3、B2、B1、C2、C1、D 7个级别,如表1所示。
表1网络安全性标准(DoD5200.28――STD)
等级名称主要特征A可验证的安全设计形式化的最高级描述和验证,形式化的隐密通道分析,非形式化的代码一致性证明B3安全域机制安全内核,高抗渗透能力B2结构化安全保护设计系统时必须有一个合理的总体设计方案,面向安全的体系结构,遵循最小授权原则,较好的抗渗透能力,访问控制应对所有的主体和客体提供保护,对系统进行隐蔽通道分析B1标号安全保护除了C2级别的安全需求外,增加安全策略模型,数据标号(安全和属性),托管访问控制C2受控的访问环境存取控制以用户为单位广泛的审计C1选择的安全保护有选择的存取控制,用户与数据分离,数据的保护以用户组为单位D最小保护保护措施很少,没有安全功能2.3计算机信息系统安全保护等级划分准则
在我国,以《计算机信息系统安全保护等级划分准则》为指导,根据信息和信息系统在国家安全、经济建设、社会生活中的重要程度,针对信息的保密性、完整性和可用性要求及信息系统必须达到的基本的安全保护水平等因素,将信息和信息系统的安全保护分为5个等级。
第一级:用户自主保护级。本级的计算机信息系统可信计算基通过隔离用户与数据,使用户具备自主安全保护的能力。它为用户提供可行的手段,保护用户和用户组信息,避免其他用户对数据的非法读写与破坏。
第二级:系统审计保护级。与用户自主保护级相比,本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制,它通过登录规程、审计安全性相关事件和隔离资源,使用户对自己的行为负责。
第三级:安全标记保护级。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。具有准确地标记输出信息的能力,消除通过测试发现的任何错误。
第四级:结构化保护级。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上,将第三级系统中的自主和强制访问控制扩展到所有主体与客体,同时考虑隐蔽通道。关于可信计算基则结构化为关键保护元素和非关键保护元素,必须明确定义可信计算基的接口。加强了鉴别机制,增强了配置管理控制,具有相当的抗渗透能力。
第五级:访问验证保护级。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的,信息系统支持安全管理员职能,具有扩充审计机制,提供系统恢复机制。系统具有很高的抗渗透能力。
3结束语
信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法,是维护国家信息安全的根本保障。通过开展信息安全等级保护工作,可以有效地解决我国信息安全面临的主要问题,将有限的财力、人力、物力投入到重要信息系统的安全保护中去。参考文献:
[1]赵鹏,李剑.国内外信息安全发展新趋势[J].信息网络安全,2011(7).
[2]肖国煜.信息系统等级保护测评实践[J].信息网络安全,2011(7).
[3]马力,毕马宁.安全保护模型与等级保护安全要求关系的研究[J].信息网络安全,2011(6).
Research on Network Information Security
and Information Security Level
相关热搜:信息安全 网络信息安全 信息安全技术
网络的崛起和广泛应用,使得信息安全问题变得日益突出,已经成为国家和军队安全所需关注的重要领域之一。本文通过对军事信息网络系统可能受到的威胁分析,提出了针对网络坏境下军事信息安全的对策。
0 引言
在信息时代里,网络化的信息系统已经成为国防力量的重要标志。军事活动中,军事信息的交流行为越来越多,局城网、广城网等技术也逐步成为了军事活动中不可或缺的内容。确保网络环境下军事信息的安全就是一项非常重要任务。
1 网络环境下军事信息安全面临的威胁
军事信息安全的主要威胁有:网络攻击、蓄意入侵、计算机病毒等。
1.1 计算机病毒
现代计算机病毒可以借助文件、邮件、网页、局域网中的任何一种方式进行传播,具有自动启动功能,并且常潜人系统核心与内存,利用控制的计算机为平台,对整个网络里面的军事信息进行大肆攻击。病毒一旦发作,能冲击内存、影响性能、修改数据或删除文件,将使军事信息受到损坏或者泄露。
1.2 网络攻击
对于网络的安全侵害主要来自于敌对势力的窃取、纂改网络上的特定信息和对网络环境的蓄意破坏等几种情况。目前来看各类攻击给网络使用或维护者造成的损失已越来越大了,有的损失甚至是致命的。一般来讲,常见的网络攻击有如下几种:
(1)窃取军事秘密:这类攻击主要是利用系统漏洞,使入侵者可以用伪装的合法身份进入系统,获取军事秘密信息。
(2)军事信息网络控制:这类攻击主要是依靠在目标网络中植入黑客程序,使系统中的军事信息在不知不觉中落入指定入侵者的手中。
(3)欺骗性攻击:它主要是利用网络协议与生俱来的某些缺陷,入侵者进行某些伪装后对网络进行攻击。主要欺骗性攻击方式有:IP欺骗,ARP欺骗,Web欺骗、电子邮件欺骗、源路由欺骗,地址欺骗等。
(4)破坏信息传输完整性:信息在传输中可能被修改,通常用加密方法可阻止大部分的篡改攻击。当加密和强身份标识、身份鉴别功能结合在一起时,截获攻击便难以实现。
(5)破坏防火墙:防火墙由软件和硬件组成,目的是防止非法登录访问或病毒破坏,但是由于它本身在设计和实现上存在着缺陷。这就导致攻击的产生,进而出现军事信息的泄露。
1.3 人为因素造成的威胁
因为计算机网络是一个巨大的人机系统,除了技术因素之外,还必须考虑到工作人员的安全保密因素。如国外的情报机构的渗透和攻击,利用系统值班人员和掌握核心技术秘密的人员,对军事信息进行窃取等攻击。网络运用的全社会广泛参与趋势将导致控制权分散,由于人们利益、目标、价值的分歧,使军事信息资源的保护和管理出现脱节和真空,从而使军事信息安全问题变得广泛而复杂。
2 网络环境下军事信息安全的应对策略
2.1 确立网络信息安全的战略意识
要确保网络信息的完整性、可用性和保密性,当前最为紧要的是各级都要确立网络信息安全的战略意识。必须从保证信息安全,就是保证国家主权安全,掌握军事斗争准备主动权和打赢信息化战争主动权的高度,来认识网络信息安全的重要性。要坚决克服那种先把网络建起来,解决了"有"的问题之后,再去考虑信息安全保密问题的错误认识。注意从系统的整体性出发,统筹考虑,同步进行,协调发展。
2.2 重视网络信息安全人才的培养。
加强计算机网络指挥人员的培训,使网络指挥人员熟练通过计算机网络实施正确的指挥和对信息进行有效的安全管理,保证部队的网络信息安全。加强操作人员和管理人员的安全培训,主要是在平时训练过程中提高能力,通过小间断的培训,提高保密观念和责任心,加强业务、技术的培训,提高操作技能;对内部涉密人员更要加强人事管理。
定期组织思想教育和安全业务培训,不断提高人员的思想素质、技术素质和职业道德。积极鼓励广大官兵研究军队计算机网络攻防战的特点规律,寻找进入和破坏敌力网络系统的办法,探索竭力阻止敌人网络入侵,保护己方网络系统安全的手段。只有拥有一支训练有素、善于信息安全管理的队伍,才能保证军队在未来的信息化战争中占据主动权。
2.3 加强网络信息安全的技术手段
在进行军队信息化建设时,要大力开发各种信息安全技术,普及和运用强有力的安全技术手段。技术的不断创新和进步,才是网络信息安全的关键,才是实现网络信息安全最重要、最有力的武器。
2.3.1 防火墙技术
防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合,它是不同网络或网络安全域之间信息的唯一出入口,能根据使用者的安全政策控制出入网络的信息流。根据防火墙所采用的技术和对数据的处理方式不同,我们可以将它分为三种基本类型:过滤型,型和监测型。
2.3.2 数据加密技术
数据加密是对军信息内容进行某种方式的改变,从而使其他人在没有密钥的前提下不能对其进行正常阅读,这一处理过程称为"加密"。在计算机网络中,加密可分为"通信加密"和"文件加密",这些加密技术可用于维护数据库的隐蔽性、完整性、反窃听等安全防护工作,它的核心思想就是:既然网络本身并不安全、可靠,那么,就要对全部重要的信息都进行加密处理,密码体制能将信息进行伪装,使得任何未经授权者无法了解其真实内容。加密的过程,关键在于密钥。
2.3.3安装入侵检测系统和网络诱骗系统。入侵检测能力是衡量个防御体系是否完整有效的重要因素,入侵检测的软件和硬件共同组成了入侵检测系统。强大的、完整的入侵检测系统可以弥补军队网络防火墙相对静态防御的小足,可以对内部攻击、外部攻击和误操作进行实时防护,当军队计算机网络和系统受到危害之前进行报拦截和响应,为系统及时消除威胁。
网络诱骗系统是通过构建个欺骗环境真实的网络、主机,或用软件模拟的网络和主机),诱骗入侵者对其进行攻击或在检测出对实际系统的攻击行为后,将攻击重定向到该严格控制的环境中,从而保护实际运行的系统;同时收集入侵信息,借以观察入侵者的行为,记录其活动,以便分析入侵者的水平、目的、所用上具、入侵手段等,并对入侵者的破坏行为提供证据。
要确保军事信息网络安全,技术是安全的主体,管理是安全的保障,人才是安全的灵魂。当前最为紧要的是各级都要树立信息网络安全意识,从系统整体出发,进一步完善和落实好风险评估制度,建立起平时和战时结合、技术和管理一体、综合完善的多层次、多级别、多手段的军事安全信息网络。
【关键词】 信息安全 违规外联 电力企业
一、前言
国网公司现已建成覆盖至基层生产班站及营业站所的信息内网。随着SG186工程的全面投入运行,从职能部室到一线班组,电力企业所有的业务数据都依赖网络进行流转,电网企业生产和经营对信息网络和信息系统的依赖程度越来越高信息安全的重要性日益凸显。国网公司已将网络与信息安全纳入公司安全管理体系。
一直以来,信息安全防御理念常局限于常规的网关级别(防火墙等)、网络边界(漏洞扫描、安全审计)等方面的防御,重要的安全设施大多集中于核心机房、网络入口处,在这些设备的严密监控下,来自网络外部的安全威胁已大大减少,尤其实行内外网隔离、双网双机后,来自于互联网的威胁微乎其微。而内网办公终端由于分布地点广泛,管控难度大,加之现在无线上网卡、无线wifi和智能手机的兴起,内网计算机接入互联网的事件时有发生,一旦使用人员将内网计算机通过以上方式接入互联网,即造成违规外联事件。由于违规外联开通了一条无任何保护措施进出内外网的通道,一旦遭遇黑客袭击,就可能造成信息泄露、重要数据丢失、病毒入侵、网络瘫痪等信息安全事故,给企业信息安全带来重大的安全隐患和风险。
二、强化管理、落实责任,监培并进
1、将违规外联明确写入公司各项规章制度,并纳入经济责任考核。在《公司信息系统安全管理办法》中,对杜绝违规外联事件进行了明确的要求:所有内网计算机必须粘贴防止违规外联提示卡,严禁将接入过互联网未经处理的计算机接入内网,严禁在普通计算机上安装双网卡,严禁将智能设备(3G手机、无线网卡等)插入内网计算机USB端口,严禁在办公区通过路由器连接外网,杜绝违规外联行为。 一旦发生违规外联事件,依据《企业信息化工作评级实施细则》,按照“谁主管谁负责、谁运行谁负责、谁使用谁负责”的原则对事件责任人进行严肃处理和经济考核,并在全公司通报批评。将信息安全责任落实到人。
2、加大违规外联宣贯和培训力度。信息安全工作,重在预防,将一切安全事件消灭在萌芽状态,才能确保信息系统安全稳定运行。分层次组织开展公司在岗员工,尤其是新员工的信息安全教育培训工作,即重点培训各部门信息化管理人员,各级管理人员培训本部门技术人员,本部门技术人员培训一线员工。通过分层式培训,提高了培训效果,同时各级管理人员、技术人员作为下级培训对象讲师提高了自身素质,强化了信息安全关键点的作用。确保违规外联事件的严重性、危害性和工作机理已宣贯至公司每一位员工,实现全员重视、全员掌握,做到内网计算机“离座就锁屏,下班就关机”的工作习惯。
3、加强外来工作人员管控。加强外来工作人员信息安全教育,并签订《第三方人员现场安全合同书》,严禁外来工作人员计算机接入公司内外网。对第三方人员工作过程全程监控,防止因外来工作人员擅自操作造成违规外联事件。
二、加强技术管控,从源头杜绝安全事件的发生
2.1严格执行“双网双机”
严禁在信息内网和外网交叉使用计算机。对要求接入信息内、外网的计算机,需向本人核实该计算机之前网络接入情况,对内外网络接入方式有变化、或者是不清楚的情况,需对计算机进行硬盘格式化并重装系统后方可接入网络。
2.2安装桌面终端,设置强口令,防止违规外联
实时监控全公司内网终端桌面终端系统安装率,确保所有内网计算机桌面终端安装率达100%。设置桌面终端策略,一旦发生违规外联,系统立即采取断网措施,并对终端用户进行警示。要求全部内网计算机设置开机强口令(数字+字母+特殊符号,且大于8位),防止非本人操作的违规外联行为。通过桌面终端系统对内网计算机开机强口令进行实时监控。
2.3做好温馨提示,明确内外网设备,防止违规外联
做到每一台内网计算机均粘贴信息安全提示标签提示员工切勿内网计算机接入外网网络,无线网卡及智能手机切勿接入内网。内外网网络端口模块、网线端口都要有明显标识,防止员工误接网络。
2.4实行内网计算机IP、MAC绑定和外网计算机IP、认证账号绑定
加强IP地址绑定,从交换机端口对接入内网的计算机进行IP、MAC地址绑定,确保除本计算机外,其余计算机无法通过该端口接入内网。
通过外网审计(网康科技)对外网IP和用户认证账户进行绑定,完善外网用户和计算机基础资料,做到全局外网终端和用户可控。