信息安全篇1
关键词:信息;安全
信息是客观世界中物质和能量存在和变动的有序形式,和组织系统对这个形式的能动的反映及改组。其中前一个表语表述了信息概念的广义内涵,后一个表语表述了信息概念的狭义内涵。
一、信息的概述
信息是物质的普遍性,是物质运动的状态与方式。信息的一般属性主要包括普遍性、客观性、无限性、动态性、异步性、共享性、可传递性等。信息的功能是信息属性的体现,主要可以分为两个层次:基本功能和社会功能。信息的功能主要体现在以下几个方面:信息是一切生物进化的导向资源,是知识的来源,是决策的依据,是控制的灵魂,是思维的材料。
二、信息安全的重要性
在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,因此,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。当今世界已进入信息社会,随着计算机、通信技术的迅猛发展,计算机信息系统的广泛应用,促使它渗透到社会各个行业和部门,人们对它的依赖性越来越大。在军事、经济、科学技术、文化教育商业等行业中,重要的信息资源是通过计算机网络进行输入、处理、存储、传递、输出,给人们提供迅速、高效的各种信息服务,因此如果不重视计算机信息系统的保护,国家的机要信息资源如不加保护,势必容易被非法窃取、更改、毁坏,将会造成国民经济的巨大损失,国家安全的严重危害。
三、信息安全体系结构
(1)息安全的保护机制
信息安全保护存在的主要问题与政策:正确的信息安全政策和策略是搞好国家信息安全保护工作的关键,引发信息安全问题的因素有有外部因素和内部两方面,主要的因素在于内部如信息安全政策不确定;信息安全保护工作组织管理制度不健全,安全责任制不落实,导致管理混乱、安全管理与技术规范不统一;信息安全市场和服务混乱、不规范;国家监管机制不健全,监管手段缺乏等。
信息安全等级保护要贯彻国家保护重点和基础信息网络与重要信息系统内分区重点兼顾一般的原则。
(2)信息安全体系框架
依据信息安全的多重保护机制,信息安全系统的总要求是物理安全、网络安全、信息内容安全、应用系统安全的总和,安全的最终目标是确保信息的机密性、完整性、可用性、可空性和抗抵赖性,以及信息系统主体对信息资源的控制。完整的信息系统安全体系框架由技术体系、组织机构体系和管理体系共同构建。
为了适应信息技术的迅速发展以及信息安全的突出需求,国际上许多标准化组织和机构很早就开始了信息安全标准的研究和制定工作,如美国的国防部DoD(DepartmentofDefense),国际标准化组织iSo,英国标准化协会BSi(BritishStandardsinstitute)等。
四、漏洞扫描技术与信息安全管理
(1)漏洞扫描技术
一般认为,漏洞是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。
随着internet的不断发展,信息技术已经对经济发展、社会进步产生了巨大的推动力。不管是存储在工作站、服务器中还是流通于internet上的信息,都已转变成为一个关系事业成败的策略点,因此,保证信息资源的安全就显得格外重要。目前,国内网络安全产品主要是以硬件为主,防火墙、入侵检测系统、Vpn应用较为广泛。漏洞扫描系统也是网络安全产品中不可缺少的一部分,有效的安全扫描是增强计算机系统安全性的重要措施之一,它能够预先评估和分析系统中存在的各种安全隐患。换言之,漏洞扫描就是对系统中重要的数据、文件等进行检查,发现其中可被黑客所利用的漏洞。随着黑客入侵手段的日益复杂和通用系统不断发现的安全缺陷,预先评估和分析网络系统中存在的安全问题已经成为网络管理员们的重要需求。漏洞扫描的结果实际上就是系统安全性能的一个评估报告,因此成为网络安全解决方案中的一个重要组成部分。
(2)信息安全管理
随着社会信息化的深入和竞争的日益激烈,信息安全问题备受关注。制定信息安全管理策略及制度才能有效的保证信息的安全性。
制定信息安全管理策略及制度
目前关于信息安全的理论研究,一个是信息安全问题不仅仅是保密问题,信息安全是指信息的保密性、完整性和可用性的保持,其最终目标是降低组织的业务风险,保持可持续发展;另一个观点是,信息安全问题不单纯是技术问题,它是涉及很多方面如历史,文化,道德,法律,管理,技术等方面的综合性问题,单纯从技术角度考虑是不可能得到很好解决的。
这里讨论的组织是指在既定法律环境下的盈利组织和非盈利组织,其规模和性质不足以直接改变所在国家或地区的信息安全法律法规。作为这样一个组织实体应该有一个完整的信息安全策略。
信息安全策略也叫信息安全方针,是组织对信息和信息处理设施进行管理,保护和分配的原则,以及使信息系统免遭入侵和破坏而必须采取的措施,它告诉组织成员在日常的工作中哪里是安全区,哪里是敏感区,就像交通规则之于车辆和行人,信息安全策略是有关信息安全的行为规范。
制定信息安全管理制度应遵循如下统一的安全管理原则:
(1)规范化原则。各阶段都应遵循安全规范要求,根据组织安全信息需求,制定安全策略。
(2)系统化原则。根据安全工程的要求,对系统个阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑。
(3)综合保障原则。人员、资金、技术等多方面综合保障。
(4)以人为本原则。技术是关键,管理是核心,要不断提高管理人员的技术素养和道德水平。
(5)首长负责原则。
(6)预防原则。安全管理以预防为主,并要有一定的超前意识。
(7)风险评估原则。根据实践对系统定期进行风险评估以改进系统的安全状况。
(8)动态原则。根据环境的改变和技术的进步,提高系统的保护能力。
(9)成本效益原则。根据资源价值和风险评估结果,采用适度的保护措施。
(10)均衡防护原则。
信息安全系统工程
信息安全篇2
关键词:信息化;信息资源;信息安全
中图分类号:F49文献标识码:a
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
四、结束语
信息安全篇3
关键词:税收信息化;信息状态安全;信息转移安全;信息安全技术
从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(operatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryaccessControl,DaC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(prefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(mandatoryaccessControl,maC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKerneltechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(authentication),保证只有授权的合法用户才能注册和访问;(2)授权(authorization),对不同的用户访问数据库授予不同的权限;(3)审计(auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(identificationandauthentication);访问控制(accessControl);可记账性(accountability);对象重用(objectReuse);精确性(accuracy);服务可用性(availabilityofServices)等功能。
1.防火墙技术(Firewalltechnology)
证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的ip层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,ip层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(informationencryptiontechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(authenticationCenter,aC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(informationauthenticationtechnology)
数字签名技术(DigitalSignaturetechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(integrityauthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(anti-virustechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2]andrewS.tanenbaum,“modernoperatingSystems”,prenticeHall,1992.
[3]滕至阳.现代操作系统教程[m].北京:高等教育出版社,2000.
[4]陆楠.现代网络技术[m].西安:西安电子科技大学出版社,2003.
信息安全篇4
1移动eRp的产生
自1990年美国GartnerGroup公司提出企业资源计划(eRp)概念以来,eRp也不断升级和演进,应用的内容也越来越广。传统eRp对电脑和网络的依赖决定了其办公时的局限性。由于新一代移动通信技术的发展以及移动终端智能化,移动eRp恰好弥补了传统eRp由于终端设备体积较大,携带不方便等诸多不足,为移动办公增加了更大的动力,有效的提高了企业的工作效率。
2移动eRp的特点
移动eRp系统以传统eRp系统为依托,覆盖了财务、生产、销售、物流等多个层面,保存着企业所有的数据信息。任何一个企业员工都能够通过接入网络的移动终端设备实时了解业务状态、及时得到重要预警、随时随地处理重要任务并制定决策。
2.1价格低廉
传统eRp需要配备相应的pC终端,资金投入高,尤其是对于中小企业而言,不堪重负。而移动eRp采用手机等通信终端即可,资金投入较少。
2.2即时管理
随着经济全球化,企业的生存环境越来越复杂,业务模式随着市场区域变化也在不断改变,而移动eRp为企业即时管理提供了更强的灵活性。
2.3全网互通
移动eRp基于对传统eRp的拓展,实现全网互通,从而为中小企业的业务实施提高了更强的实时性。
3移动eRp不安全因素分析
美国一份权威报告曾指出,“企业必须考虑其系统安全功能和控制的全面设置,以便交易得以正常安全地进行”。移动eRp系统在与外网进行信息通信的同时,也使得外面的世界能够接触到局域网并对其产生影响,这便对系统本身产生了威胁。虽然对每个工作站和系统本身都配置强大的安全特性是可能的,但这似乎并不能够完全解决系统安全问题。硬件的失效、操作失误、人为破坏等都会影响到移动eRp系统的正常运行,从而导致系统进入危险状态。其次系统软硬件在某种特殊条件下运行时,病毒与恶意攻击对于移动eRp而言或许是最危险的。隐藏的木马不仅会读取短信方式发送的eRp数据,而且还会窃取系统中的数据信息,从而威胁到移动eRp的信息安全。如何安全、有效的利用移动eRp,成为当下最值得思考的问题。分析其安全隐患,主要有如下几个方面:
(1)用户身份异常登录;
(2)使用未知wiFi造成信息泄露;
(3)数据信息的非正常扩散和泄密;
(4)入侵者非授权或恶意攻击造成数据的不完整性;
(5)系统自身的设计缺陷威胁信息安全。
4移动eRp的安全策略
eRp安全重于泰山,根本方法是对可预见的安全隐患通过“控”、“管”、“审”、“防”等四种手段以达到最佳的信息安全管理效果。
4.1移动终端自身的信息安全
物理安全通常是安全的第一道防线,未经加密处理或对相关权限未经授权的登录信息都有可能利用移动终端从而造成安全隐患。移动终端的物理安全包含几个层面的安全,首先是移动终端的安全性。为提高安全程度,应提供一定的防范措施。目前,较为常用的方式是使用移动终端绑定。管理员可以设置带唯一编号iD的移动终端请求,该iD为移动客户端自动生成,即使同一客户端换台设备重新安装程序也无法使用。如此,则只需确定终端没有安装木马程序,登录程序并未被第三方程序加载调试即可。
4.2信息传输安全
移动eRp系统作为网络系统,其网络级安全主要包括两个方面:信息的存储安全和信息的传输安全。信息的存储安全是指信息在静态存放状态下的安全。信息的传输安全是指信息在动态存放状态下的安全。为确保eRp系统数据传输过程中的信息安全,其核心解决方案有以下几个方面:
(1)利用应用级网关,用于对远程接入用户进行高精度的认证和授权。
(2)使用Vpn技术以保证传输数据安全可靠。所谓的Vpn就是终端用户和企业服务器之间通信的安全通道,利用加密技术对传输数据进行加密,以保证数据的私有性和安全性。而且Vpn客户端软件还具有连接“超时”功能,即如果连接长时间处于非活动状态时就会被自动中断,这一功能有助于防止黑客利用开放的连接进行攻击。
(3)数据通信的安全性。数据传输进行加密接入移动网络时,系统可为用户提供高强度aeS数据加密体制。其次,对于网络传输而言,加密有三种方式:①网络通道的加密,如SSL、GRe隧道等方式。②在网络通道不加密的情况下,被传输的数据本身的加密。③加密通道和加密数据的结合,在加密的网络通道中传输加密的数据。
4.3权限控制安全
移动eRp系统的权限管理、运维期间的权限变更以及角色互换等,都是移动eRp系统上线后面临的重要的信息安全工作。移动eRp相较于传统eRp能够提供高安全性能的短信智能、终端实体等多重绑定,保证eRp系统的正常运行。
4.4移动设备监控
开启移动eRp系统的日志功能,能够满足实时对应用日志、用户访问行为、系统运行状态等各类信息进行集中监控、过滤及分析处理,及时发现各种安全隐患及异常行为事件,以保证安全最优化。
综上所述,企业移动eRp系统的安全实施,是硬件、软件和网络的高效结合,缺一不可。企业要充分考虑各种有助于系统安全的措施,提升企业系统的信息安全性,促进企业的信息安全,提高企业的核心竞争力。
信息安全篇5
【关键词】网络通信;信息安全问题;信息安全维护方式
在当下科学技术和网络结构不断进步的背景下,全世界已经步入了一个全新的信息化网络时代。当前我国电子类商务业、电子金融、电子政务等各类相关的网络服务都日益走向成熟,网络通信在人们日常生活中的地位越来越重要,加快生产与生活以及信息之间的交互作用。移动通信信息的安全问题也日益显现,所以相关工作者要引起重视,立足于目前移动通信信息安全中的问题找寻合理的解决维护办法,更好地促进网络通讯行业的稳步发展。
一、移动通信信息安全的重要价值
在网络通信项目建立过程中,整体管控措施较为多样化,具备高效且开放的优势,并能在极大程度上满足互联网时代下人们生活和生产中的需求。当前社会各方面发展的较快,程度也较深,移动通信的应用范围也在不断地扩大中,作用也越来越明显。移动通信信息技术不断发展的过程中,信息安全的问题也日益明显,网络通信中有很多不合理的结构,安全系统中的漏洞也能够让黑客很轻松的侵入,这不但给网络通信安全造成了极大的威胁,也会影响网络通信的总系统。所以,社会对此高度重视,并提出了相应的信息安全维护的目标,将维护通信信息安全作为一项重要任务来执行,为更好地实现网络信息交换提供技术支持,进而让移动通信信息技术更好地为人们生产生活去服务,更好地完善社会发展下通信技术全面安全的总体目标。
二、移动通信信息安全中的问题
2.1信息结构的问题
就目前的网络信息情况来看,主要立足于tCp/ip协议,据此来实现移动网络的数据交互。在对通信模式进行综合分析的过程中,技术人员要借助树状参数结构对整体信息结构进行系统化分析。技术人员要针对网络连接项目中存在的问题给予一定的综合化考量,确保管控机制和管理层级的有效性,只有对网络连接中的漏洞要进行集中处理,才能减少类似于信息窃听问题以及信息丢失问题的出现。
2.2通信软件中的信息数数据安全问题
科学的进步带动了信息通信项目的综合升级,在网络通信结构建立的过程中,要借助基础软件和系统,这就使得其多元化和开放性优势得以发挥,但同时也带来了信息通信的安全隐患。系统运行过程中会遭遇源代码被黑客攻击的问题,需要技术人员借助有效的软件系统和管理框架对信息进行集中处理,提升信息安全性。
2.3网络攻击被动性的问题
就当下的网络环境来看,移动网络通信中网络攻击的方式很多,而随着科技的发展,攻击的方式也有较多地创新。为了实现移动网络信息的安全,就要从各方面开始预防,加强网络信息防火墙系统的建设,对恶意的攻击做出一个全面预防的态势。
三、实现移动通信信息安全的主要策略
1、加强网络通信系统对ip地址的保护力。
在通信项目建立过程中,技术人员要强化对于ip地址的保护能力,借助网络交换机进行系统的集中管控,提升整体管理层级结构的有效性,并且将tCp/ip组成结构进行综合解构和数据处理,从而优化整体项目的保护力。技术人员也要对家庭网络以及企业内网的ip参数进行综合管控,一定程度上保证地址参数完整,减少攻击的可能性。
2、对网络通信信息进行加密处理。
在加密技术运行时,技术人员要将管理重点落在设立密码以及信息加密方面。不仅要集中提升技术结构的有效性,也要从根本上保证整体管控层级的健全和完整,只有优化网络维护工作的整体质量,才能进一步选取更加有效的机密方式。
3、建构完善的网络身份验证系统。
系统管理人员要针对具体情况建立具有针对性的管控和处理机制,就要使前两者能获得使用权限。在当前网络资源的运用中,大多数人都会将用户名和密码分开保存,这样是为了更好地避免遗忘密码或是丢失密码。在一定程度上可以很好的防护私人信息被窃取。但是这类的身份验证方法只在一定的时间内有效,长期发展下去的话,系统内部的中间环节也会遭到攻击,所以还是不够稳定。其次,我们也可以采取辅助的方式来进行验证,比如安全令牌等,这类方式能提升整体数据处理的可靠性和完整度,进一步提高验证结构的综合水平,确保管控结构和管理层级的有效性,也保证其发展结构和科学技术的同步性。特别要注意的是,目前较为新兴的技术包括指纹验证、视网膜验证等,正是由于其难以复制和伪造,才能从根本上保证向信息和数据的安全性。结语:移动通信信息中还存在着较多的安全问题,需要每位网络工作者在实际工作和研究中探寻更多的信息安全维护方式,为创建一个安全稳定的网络通信环境不断努力。
参考文献:
[1]闫丰,王梅.通信计算机信息安全问题及解决对策[J].信息通信,2014(12):203-203.
信息安全篇6
关键词:公安边防,信息安全,措施
公安边防信息化初步实现了新时期公安边防警务活动的统一指挥、快速反应、协同作战的目标,大大提高了边防机关的工作质量和效率,在边防工作中具有十分重要的地位和作用。公安信息网作为我国公安信息化的重要成果,它在公安边防工作中的基础性、全局性作用日益明显。
公安边防信息化建设虽然历来以安全保密为基本原则,但在边防工作实践和发展中还普遍存在着一些不足。随着社会信息化的逐渐发展,公安边防工作面对的信息安全问题逐步呈现出多样化,复杂化,因此,在不断总结信息利用的实践经验基础上,紧密结合公安边防工作中对信息利用存在的安全问题,不断完善信息管理的各个过程,总结确保信息安全的对策,充分发挥信息在边防工作中的作用,是当前乃至今后加强公安边防信息化建设与发展的重要内容之一。
一概述
(一)公安边防信息化建设
公安边防信息建设是公安信息化建设的应用部分。公安信息化建设是利用现代化信息通信技术,增强公安机关快速反应、协同作战的能力;提高公安机关的工作效率和侦查破案水平,适应新形式下社会治安的动态管理。目的是实现以全国犯罪信息中心(CCiC)为核心,以各项公安业务应用为基础的信息共享和综合利用,为各项公安工作提供强有力的信息支持。
公安边防信息化建设就是充分利用了公安综合信息系统中的治安管理信息系统,刑事案件信息系统,出入境管理信息系统,监管人员信息系统,禁毒信息系统,办公管理信息系统等。公安综合信息网络已经覆盖了公安边防业务的方方面面,尤其是在情报信息主导警务的大环境下,公安边防信息化建设将会发挥更大的作用。
(二)公安边防信息化建设的特点
1.公安边防信息网络接入全国公安信息网络,其覆盖面广,是多警种公用网络。
2.采用多种通信信道。免费论文。有线;无线;短波、超短波、微波、卫星。
3.信息密级不同。有公开、内部、秘密、机密、绝密。
4.存储各种信息。有语音、数据、图像、视频图像、传真等。
5.信息量大,保存时间长。
6信息传输要求迅速、高效、准确、可靠、安全。对秘密信息的保密传输,适应边防工作机动灵活、快速反应的要求。
7.数据存储量大,信息准确,更新及时,便于查询并及时备份。
8.实现全网稳定、可靠、不间断正常运行。
这些特点,即对公安边防信息网络系统的应用提出了很高的要求,同时对保障其正常运转的保障体系提出了更高的要求。
(三)确保公安边防信息安全的重要性
新时期的公安边防工作对信息的依赖程度越来越大,对信息服务的准确性和处理的及时性要求越来越高。公安信息网作为我国政府的重要信息网之一,它在公安边防工作中的基础性、全局性作用日益明显,同时,网络和信息安全问题也日益凸显。随着国际上围绕信息的获取、使用和控制的斗争愈演愈烈,全球范围内网络攻击、网络窃密等问题日渐突出,公安边防信息网络安全问题已为我们敲响了警钟。免费论文。
公安边防信息网络一旦发生安全问题,造成系统中断、网络瘫痪、病毒爆发或者重要信息数据破坏、丢失、泄露,势必导致灾难性的后果,给公安边防工作的正常运转带来重大损失。加强公安边防信息网络安全工作,确保公安边防信息网络安全,已成为摆在我们面前的一项十分重要而又紧迫的任务。
二、公安边防信息安全存在的问题及现状
(一)公安边防信息安全法制不够健全
目前,有关公安边防信息安全的法律法规主要散见于《国家安全法》、《保密法》、《解放军保密条例》、《计算机信息系统安全保护条例》、《计算机信息网络国际联网管理暂行规定》、《计算机信息网络国际互联网络安全保护管理办法》、《计算机病毒防治管理办法》、《全国人大常委会关于维护互联网安全的决定》、《计算机信息系统安全保护等级划分准则》之中。但是有关边防信息安全的法律、法规、条例、规定,尚不足以全方位覆盖边防信息安全工作,难以完全满足新形势下边防信息安全工作的客观需求。而且现有的边防信息安全法律体系的法律位阶过低,法律效力层次不高,“立法偏于概括,规范对象狭窄,法规偏重于系统管理”[①],缺少违法犯罪行为处罚,法律责任规范不明确,同时,由于现有法规、条例、规定制定主体混乱、客体交叉,从而导致相关内容的冲突,难以操作,在实际工作中无所适从,甚至造成无法可依的尴尬境地。
(二)缺乏信息安全管理专业人才
信息化的人才是信息化建设的关键,目前公安边防部门中最缺少的是既了解边防业务工作,又拥有信息安全管理专业知识,还有实践经验的高级复合型人才。而且这样的人才无法从学校中直接培养,只有在信息化建设的实践中不断的锻炼挖掘。我国的基础信息产业还很薄弱,目前使用的多数信息产业电子信息设备的核心技术都是进口的,对外国的依赖性很大,这不仅使我们面临市场的垄断,也造成网络管理人员严重缺乏。很多单位没能及时培养或引进网络安全技术人员,技术人员太少,技术水平较低。另外,对网络管理部门配置人员时,人员素质的差别也直接影响了网络信息安全管理的质量。
(三)公安边防网络信息系统不够完善
我们信息技术的运用相对发达国家而言,还有较大的差距,而且由于我们严重缺乏网络技术的自主性,不仅有其他国家普遍存在的网络信息安全问题,还存在我们特有的信息安全隐患:一是用外国制造的芯片;二是用外国的操作系统和数据库管理系统。我们不知道里头有些什么“后门”或“陷阱”,这使的我们的信息可能随时处于别人的监控之中。网络设施在核心技术上一直依赖国外企业,这是很危险的。近年来发生的各种计算机泄密事件已经为公安边防信息安全敲响了警钟。
(四)公安边防网络信息管理落实不到位
由于综合信息网络覆盖面大、使用人数多、业务内容广,危害公安边防信息网络安全的事件却时有发生。违反“一机两用”规定将公安边防信息网及设备联接外网,擅自浏览与工作无关的网页、聊天室等、擅自允许非公安边防民警使用公安边防信息网和应用系统数据等情况屡见不鲜。
三公安边防信息安全管理的目标和原则
公安综合信息网本身就是跨部门、跨警种、跨地域等不同情况下的极大深度和广度的资源共享,要实现公安边防信息安全,其目标是在保证具有足够开放性的前提下提供信息资源的保密性、完整性和可介入性。
1.保密性——防止非法侵入未审查的敏感信息
2.完整性——对信息数据的准确性和完整性有保护的能力
3.可获得性(可靠性)——保证信息和其它重要资源在需要时能供用户使用。
保密性、完整性和可靠性既有一定的独立性,又有相关性。没有保密性,完整性和可靠性就可能受到人的有意和无意的破坏。没有完整性,可靠性就失去意义。没有可靠性也很难保证信息的完整性。为保证各自级别和范围内信息共享,安全策略要紧密结合信息和软硬件资源共享的需求、机制来设计。
公安边防信息安全管理贯穿于信息系统规划、设计、实施和运行、维护的各个阶段。每个阶段都应遵循统一的安全管理原则:
1.规范化原则:各阶段都应遵循安全规范要求,根据组织安全需求,制定安全策略;
2.系统化原则:根据安全工程的要求,对系统各阶段,包括以后的升级、换代和功能扩展进行全面统一地考虑;
3.综合保障原则:人员、资金、技术等多方面综合保障;
4.以人为本原则:技术是关键,管理是核心,提高管理人员的技术素养和道德水平;
5.首长负责原则:只有首长负责才能把安全管理落到实处;
6.预防原则:安全管理以预防为主,并要有一定的超前意识;
7.风险评估原则:根据实践对系统定期进行风险评估以改进系统的安全状况;
8.动态原则:根据环境的改变和技术的进步,提高系统的保护能力;
9.均衡防护原则:根据“木桶原理”,整个系统的安全强度取决最弱的一环,片面追求某个方面的安全强度对整个系统没有实际意义。
四确保公安边防信息安全应采取的措施
(一)健全公安边防信息安全法制
首先,根据信息安全法律、法规,应尽快修订和完善公安边防信息安全等级制度、风险评估制度、许可证制度、人员管理制度、访问权限制度等,避免条例、规定与国家法律、法规相冲突。
其次,根据国家有关法律,结合公安边防信息安全的特点、规律及公安边防部队的编制体制,按照突出重点、填补空白、逐步完善的原则,及时制定公安边防信息安全法规。公安边防信息安全法规是对信息安全法在公安领域的具体和细化,重点对公安边防通信安全、计算机系统安全、人员管理安全等方面加以规范,使其具有较强的针对性、操作性,以便在实际工作中有法可依、有章可循。
(二)加强公安边防信息安全队伍建设
高素质的人才队伍是公安边防信息安全保障体系的智力支撑,应该把人才问题摆上公安边防信息安全建设的战略位置,在普及信息安全保密知识、提高官兵信息安全意识的基础上,制定信息安全人才发展战略,完善教育培养、引进和使用的机制,制定有利于人才成长的相关政策,努力建设一支专业精深、技管兼备、善于创新的高素质信息人才队伍。免费论文。
信息安全呼唤人才。当前应该重点培养和引进一下两类人才:一是对信息安全有很深造诣的专业技术人才。二是既能解决信息安全方面的具体问题又熟悉边防业务的复合型人才。公安边防部门一方面可以拓宽渠道培养人才,把培养信息安全专业人才作为重要的战略。另一方面,有针对性的引进信息安全人才可以及时填补公安边防部门信息安全人才的不足。
(三)加强科学技术建设,筑牢技术防线
公安边防部门首先要采用我国核心技术的网络设施,才能筑起信息安全的首到防线。其次要注重公安边防部门网络信息安全技术的研发。当前,应力争在以下三种技术上求得突破:一是能逐步改善信息安全状况的,带有普遍性的关键技术,如密码技术、鉴别技术、病毒防御技术、入侵检测技术等;二是创新性强、可发挥杠杆作用的突破性技术,如网络侦查技术、信息监测技术、风险管理技术、测试评估技术和tempeSt技术[②]等;三是能形成“杀手铜”的战略性技术,如操作系统、密码专用芯片和安全处理器等。
公安边防信息安全防护必须与时俱进。时代在前进,技术在进步,信息技术利用的技巧也在提高,信息安全防护技术和措施无疑也应随时跟进,才有可能确保系统和信息的安全。
(四)加强公安边防网络信息监管
要把“重技术更重管理”[③]作为公安边防信息安全管理的基本原则。公安边防网络信息系统所提供的各种安全设施、服务,涉及到各个层次、多个实体和多种安全技术,按照统一标准、规范管理的原则,贯彻落实公安边防信息安全管理的制度、规定,保证系统各种安全技术真正有效的发挥作用。比如机房管理、网络管理、数据管理、设备管理、应急管理、人员管理、技术资料管理等有关信息系统建设的规范。
参考文献
[1]xdnet.cn/news/2008-2-13/2568.html.
[2]zg.china-b.com/dzswzgks/alfx/20090817/261383_1.html.
[3]金盾工程实现科技强警[J].每周电脑报,2006年35期
[4]郭亚红.计算机的信息电磁泄漏及防护[J].长春师范学院学报,2007,06.
[5]段卫.加强信息安全管理的几点思考[J].广西警官高等专科学校学报,2004年第3期.
信息安全篇7
关键词:信息安全工程;理论;规范信息
随着信息时代的到来,给人们生活带来了方便,还带来了许多商机,同时各方面的隐患合危险也增加,黑客的攻击也已经逐渐的渗入到了政府机关、军事部门和商业企业等各个角落当中,给人们的日常生活造成了严重的干扰,对国家经济也造成了非常大的损失,严重的话还会对国家的安全造成严重的威胁。现阶段的情况是,大部分企事业单位都在遭受到攻击之后,再进行全方面的防护,然后非常迷茫的等待下一次攻击的到来。网络信息的安全不仅仅是技术方面的问题,也是必须要将策略和管理以及技术进行的有机结合的一个非常重要的过程。
1信息工程的安全理念
信息安全不仅是一项非常绝对的技术,也是一项非常复杂的系统性工程,这些主要指的就是信息安全的工程。其主要利用工程的概念、原理和技术以及方法,然后来对企业的信息和网络系统安全的过程进行深入的研究、开发和实施以及维护,并且必须要经过长期的考验和证明,才能够明确工程实施的流程和管理的技术,信息安全的工程当中的生命周期的模型,也是信息安全工程学当中的一个落脚点和支撑点,并且也是在信息安全工程学中进行重点研究的一项技术。作为一个信息时代的先导和主角,internet不仅仅是一个让计算机连接起来的一个非常简单的组合体。所以,也可以说in-ternet是人类社会在数字空间中的一个投影。这样的事实都会导致internet的某些行为的非常异常并且复杂,也非常明显的反映出网络的安全问题是internet社会性一个非常明显的标注。在internet发展的短短几年当中,人们对安全的理解,从早期是为了杀毒防毒到后来就是安装防火墙,到现在对相关系列的安全产品进行不断的购买,也是在对安全意识进行了逐渐的加深。
2信息安全工程的五大特性
第一,信息的安全具有着全面性的特点。对于信息各个方面的安全的问题,就必须要进行全方面的综合性的考虑,并且在系统当中的安全程度也对系统中最薄弱的环节有着非常重要和决定性的作用。第二,信息的安全周期性。一个比较完整的安全过程中就必须要包括安全的目标以及对原则的确定、风险的分析、需求的分析、安全策略的深入研究、安全体系结构的研究、安全实施领域的确定、安全技术和产品的测试与选型、安全工程的施工、安全工程的实施监理、安全工程的测试与运行、安全意识的教育和技术培训还有安全稽查与检查以及应急的响应等多个方面,这是在一个实际的过程中,而一个具有完整性的信息安全工程的生命周期,就必须要经过对安全方面进行全方面的稽核和检查之后,才能逐渐的形成新一轮的生命周期,也是不断反复和上升螺旋式一个安全的模型。第三,信息的安全也具有着动态性。我国信息技术不断的发展的同时,黑客的技术水平也在不断的提高,因此,安全策略和安全体系以及各方面安全技术就必须要进行全方面的调整,才能够在最大的程度上对安全系统进行促进,才能够根据实际情况的变化,来充分的发挥作用,从而就可以促使整个安全系统的发展,并且还能够一直处在一个不断更新和完善以及进步的实际动态的过程中。第四,信息的安全要具有层次性,就需要对多层次的安全技术和方法以及手段进行利用,对安全的风险进行分层次以及全方面的化解。第五,信息的安全也具有相对性。各方面安全是比较相对的,但是也没有绝对的安全可言,安全的措施应该和保护的信息以及网络系统的价值进行相应的结合。因此,信息安全工程进行实施保护的时候,要对风险严重的威胁以及防御措施的利弊和得失进行充分合理的平衡,在安全的级别和投资之间,找到一个比较合理能够使企业接受的一个平衡点。只有这样进行实际的施工,才能对信息安全进行有效的保证。
3信息安全工程涉及广泛领域
信息安全工程学,是具有着比较清晰研究范围,其中主要包括了信息安全工程的目标、原则与范围,信息安全风险的分析以及评估的方法和手段及流程,信息安全的需求主要的分析方法,安全的策略,安全体系的结构,安全实施的领域以及安全的相关解决方案。安全的技术和产品的测试以及选型的各个方面的方法,安全工程的实施规范,安全工程的实施监理方法和流程,安全工程的测试和运行,安全意识的教育与技术的培训,安全稽核和检查以及应急响应的技术和方法与流程等等。
4信息安全工程的前景
如果是一个非常系统的工程,那么就必须要对系统工程的观点和方法进行合理的利用。还要对信息安全的问题进行相应的对待和及时的处理。因此,就企业实际情况看,在建立和实施企业级的信息以及网络系统安全体系的时候,必须要对信息的安全进行全方面的考虑,还要必须要兼顾信息网络的风险评估与分析、安全需求的分析、整体安全的策略、安全的模型、安全体系结构的开发、信息网络安全技术标准规范的制定、信息网络安全工程的实施、监理和信息网络安全意识教育以及技术的培训等多个方面,只有这样,才能够实现真正意义上的信息安全系统安全。
结束语
综合上文所述,随着全球信息化在不断进行发展和进步的同时,信息的革命也在各个层面中发展,促进了人类发生了翻天覆地的变化。我国现阶段的信息逐渐发展成具有代表综合国力的战略性的资源,但是信息安全,也成为保证国民经济信息化进程能够健康有序发展的一个非常重要的基础,与此同时,也会对国家的安全造成比较严重的影响。从信息安全工程的角度方面来说,如果对我国的信息安全进行全方面的构建和规范,也将大大的对我国的信息安全系统进行逐渐的稳固,从而对国家信息资源的安全进行保证。
参考文献
[1]王志强,李建刚,颜立,洪建光.电网信息安全等级保护纵深防御示范工程在浙江电力的试点建设[C].2010电力行业信息化年会论文集,2010(7):44-47.
[2]张竹松,大理州人力资源和社会保障信息中心主任.社会保障工作要重视“金保工程”信息安全建设[J].大理日报(汉),2013(11):105-106.
[3]赵俊阁,朱婷婷,陈泽茂.优化信息安全工程课程建设的实践与探索[J].proceedingsof2011nationalteachingSeminaronCryptogra-phyandinformationSecurity(ntS-CiS2011)Vol.1,2011(8):55-58.
[4]丁震.2004,信息安全法制建设与理论研究并进———访国务院信息化工作办公室网络与信息安全组副组长吕诚昭[J].信息网络安全,2005(1):66-69.
信息安全篇8
关键词:信息安全技术;信息安全保密管理
中图分类号:tL372文献标识码:a
一、案例分析
本文以成都某办公楼自动化办公系统内的信息安全技术与安全保密管理进行了分析,针对该系统的信息安全技术以及加强保密管理的具体措施进行了分析。
二、信息安全技术分析
1、安全管理介质技术
在办公自动化中会用到各种信息媒介,如硬盘、光盘等,这些信息介质容易导致计算机中存储的重要信息被泄漏、毁坏,对办公自动化的安全保密工作非常不利。在办公自动化中要采用安全管理介质技术,对介质进行标记,然后根据介质的类别进行管理,对于特别重要的介质,要进行加密管理。可以将需要加密的介质分类放到保险箱中,保险箱钥匙和密码只有知道介质信息的人员才有,对一些需要丢弃的介质,不可以随意丢弃,可以通过某种方式进行秘密销毁,从而提高办公自动化的安全保密性。
2、数据库和信息网络安全技术
每个办公自动化中都有数据库,数据库是所有信息的集合,保护好数据库的信息,对做好安全保密工作具有非常重要的意义。要利用数据库安全技术,加强对数据库信息资源的保护,并及时对数据库内的信息资源进行备份,防止有人恶意破环或是其他意外灾害造成数据库系统信息的丢失。网络信息技术的普遍应用导致网络信息的安全性降低,利用安全技术来加强对网络的安全保护对提高计算机网络系统信息的安全性具有重要意义,可以采用安装防火墙、口令等来防止网络黑客的攻击,加强对办公自动化中信息的安全保密工作,减少信息泄漏造成的危害【1】。
3、消除泄密路径技术
在办公自动化中,有时存在的一些路径,会导致计算机系统中的一些重要信息被泄漏出去。隐蔽信道的存在就容易导致信息泄漏出去,对企业或是一些部门会造成很大的危害。为此,可以采用消除泄漏路径的技术,减少办公自动化中信息的泄漏。消除泄漏路径的主要方法是在设计办公计算机系统时,特别注意尽量产生较少的隐蔽信道。在测量办公自动化计算机的隐蔽信道时,如果隐蔽信道过多,需要对计算机系统重新进行设计,一直到隐蔽信道数目比较适合,这样就可以防止在办公自动化计算机中有过多的隐蔽信道,减少办公自动化信息的泄漏。在计算机内部需要设计一个审计功能,来对计算机隐蔽信道的使用情况进行分析、计数,并且附带有报警系统,当隐蔽信道使用次数过多,可能造成信息泄漏时,审计功能就会及时发出报警声音,从而减少计算机信息的泄漏。
4、防治病毒技术
在办公自动化中离不开计算机的使用,计算机在使用过程中会遇到各种计算机病毒,计算机一旦感染病毒,将会对信息造成很大的危害,为此,需采用防治病毒技术来做好办公自动化中的安全保密工作。对计算机病毒进行防治主要坚持防止计算机病毒为主,治疗病毒为辅的原则,可以通过以下三种方式做到防治计算机病毒:(1)在计算机的网络接口上安装具有防治计算机病毒功能的芯片。(2)在计算机上安装杀毒软件,通过设置自动或是手动的方式定期对计算机进行查杀病毒【2】。(3)在计算机的服务器上安装防病毒模块或是安装防病毒卡。上述几种方法可以混合使用,这样更能够提高防治病毒的功效,有利于做好办公自动化的安全保密工作。
三、信息安全保密管理
1、信息泄密方式
1.1网络安全漏洞泄密
电子信息系统,特别是计算机信息系统,其利用通信网络实现互联互通,不同系统间在进行远程传输、远程访问和资源共享的过程中,黑客和不法分子也在利用其实施网络渗透攻击。因计算机信息系统远程程序数量众多,同步使用通信协议多且复杂,计算机在运行过程中很容易发生系统、配置、协议等多项漏洞,进而被非法分子利用。在大型软件中,每1000~4000行源程序中就有可能包含一个漏洞,当存储重要数据的信息软件接入网络时,窃密者就会通过漏洞实施渗透攻击、网络扫描,进而对系统主机进行远程监控。在计算机信息系统中,黑客很容易利用网络安全漏洞进行网络攻击,如侵入联网计算机实施窃密,或通过“木马”程序进行远程控制;将远程植入木马的计算机作为中介,蛙跳式窃取和攻击网络内重要计算机信息,或对重点计算机实施长时间监控等。通过黑客技术入侵网站并获取相关权限后,能够任意盗取数据库信息或篡改网页内容,多数漏洞都会支持远程恶意代码的执行,成为黑客进行远程攻击的主要利用对象。
1.2物理泄密
在政府的网络信息系统中,物理风险是多种多样的,主要有地震、水灾、火灾等环境事故,人为操作失误或错误,设备被盗被毁,电磁干扰,电源故障等等。
1.3移动存储介质泄密
数码相机、优盘、记忆棒、移动硬盘等具有使用简便、存储容量较大的优点,其为人们带来便利的同时也存在着诸多安全隐患。此类移动存储介质可拷贝和存储大量的文件资料且可随身携带,若管理或使用不当则很容易导致文件泄密。
1.4无线设备泄密
无线设备包含两种:一种是全部或局部采用无线电波实施连接通信的计算机装置,另一种是全部或局部采用无线广播实施连接通信的计算机装置。在计算机系统开启无线联网功能后,在设备正常运行条件下即可自动连接无线Lan,进而同internet连接。而此种连接很容易被他人进行远程控制,即使在无线联网功能关闭后,也可通过相应技术方法激活,进而盗取有用信息。另外无线鼠标、无线网卡、蓝牙、无线键盘及红外接口等设备都通过开发式空间进行信息传输,其数据信息直接暴露在空气中,非法人员可通过专用设备实施信息拦截,进而窃取信息内容【3】。
2、加强信息安全保密管理的措施
2.1发展自主的信息产业,构建网络安全的技术支撑
网络信息的全球化使各国之间的信息流通的更快,交流的更频繁,同时,网络信息安全问题也越来越严重。如今虽然科技在不断的进步,但我国在计算机应用上还多是使用国外的计算机技术,没有自己的计算机核心技术,受外国的计算机软件开发商的控制,政府网络信息安全自然就没有保障。政府网络信息关系到党政部门,关系到整个国家的政治经济利益,我们必须发展自主的信息产业,构建网络安全技术支撑。国家政府要在资金、技术、人力等方面加大投入力度,开发计算机自主知识产权技术。例如我国基于Linux操作系统开发出来的中软,中科等。
2.2建立完善的安全保密系统
在该系统中要运用安全保密技术来建立完善的信息安全保密系统,这对提高信息的安全,做好信息的保密工作具有重要意义。要对整个办公自动化进行分析、规划,对建立的信息安全保密系统做好规划、设计、测试等各项工作,保证信息安全保密系统能够符合办公自动化系统的要求,从而实现对该办公系统的信息的安全保密。要建立专门的信息安全保密部门,办公人员具有专业的安全保密技术,能够将安全保密技术及时应用到办公自动化中,并且还能够对办公自动化安全保密工作进行监督,对出现安全保密问题的地方,能够及时采取有效的措施,加强对安全保密技术的应用。在办公自动化系统不断发展的同时,要及时创新安全保密技术,让安全保密技术能够适应办公自动化系统的发展,这有利于更好地将安全保密技术应用于办公自动化系统中,防止信息泄漏。
2.3健全信息安全保密管理责任体制
依据分级负责及归口管理原理,严格明确不同部门在信息安全管理中的权力与任务,将安全、公安、信息化、机要、保密等部门进行联合配置,全力负责计算机的安全保密管理;将信息保密引入到目标管理过程中,并形成监察机制,提高督查强度和力度,严格执行保密纪律;采用领导责任制,将保密工作向具体业务不断延伸,将信息保密管理融入到业务工作的全过程中,充分发挥保密工作对业务工作服务的具体作用。
2.4提高对安全保密相关人员的培养
要想加强安全保密技术在办公自动化中的应用,使其发挥更好的安全保密效果,就需要加强对安全保密相关人才的培养。要建立严格的任职考核制度,具备专业安全保密技术的人才,只有在通过综合素质的考核之后才能够到该职位任职。要定期对安全保密技术人员进行相关信息安全保密技术的培训,使他们及时学习先进的安全保密技术和知识,从而保证安全保密技术人员的工作质量。
信息安全篇9
安全防范设施要投入到位为加强校园计算机信息安全管理工作,在硬件设施上要舍得投入,要做到事先花钱买安全,不要事后花钱买教训。①配好用好监控设备。当今社会,监控设备可以说是无处不在,无论你走到哪里,你的身影就会留在那里的监控设备中并保留一段时间。近年来监控设备之所以如此普及,最主要的原因是监控设备可以提供适时的图像,以便发生事故问题时可以对现场发生的情况做到一目了然。所以,为了加强校园计算机信息安全,必须配好用好监控设备,以防计算机信息硬件设备的丢失。
如果硬件不安全了,其中的信息自然也就没有安全可言。当然,配置的监控设备不一定能够全部完好,也不一定全天候在工作,还是有不法分子可利用和趁机行事的空隙和空间。但是,不能因为一个事物有不足,就认为它不起作用,我们应该看到,目前,监控发挥的作用是其他方法手段所不能替代的,并且大部分监控设备在大部分时间还是起作用的。
用好防盗设施,计算机信息安全只配置监控来防护还是不能百分之百安全,所以还要用好防盗设施,防盗设施包括多个方面。一是硬件防盗,如门禁系统、自动报警系统、电磁屏蔽和干扰系统等等;二是软件防盗,如设置开机密码、登录密码和屏保密码,防使用和复制软件以及其他数据认证系统等等。这些防盗设施有必要配备和使用,多一道门槛就多一层安全,多一次验证就多一份保险。当然,在使用这些防盗设施时,要使用通过安全部门认证的有效设施和软件,并尽可能确保安全、确保使用方便。否则太过于繁琐的防盗设施可能引起使用人员的诸多反感,渐渐从心里产生抵触情绪,这样的使用可能因防盗设施太多而影响工作,自然最终不能坚持下去。③监督使用人员。如果校院计算机里有需要保守的信息,除加强其他设施措施外,还要加强对计算机使用和管理人员的监督。计算机信息安全,说白了就是人们思想的安全,为此,要加强监督使用和管理人员,对计算机人员,要进行登记、注册、签订安全责任书,确保使用和管理人员保护校院计算机信息安全,确保计算机信息,不为别有用心的人所利用。
信息安全篇10
补丁介绍:网页攻击风行的今天,微软又被攻击者发现了可利用的缺陷:矢量标记语言(VmL)缓存溢出。由于windows系统对vgx.dll处理恶意代码错误出现溢出的用户权限外泄,导致攻击者可以远程执行任意代码完成对本地计算机的攻击。当用户的ie6.0/7.1被攻击者诱导执行含有攻击代码的weB网页后,有可能导致操作系统崩溃.微软此次补丁更新了vgx.dll对外来攻击代码的处理验证,从而降低用户被攻击的可能性,推荐全部windows操作系统的广大读者更新此补丁。
补丁下载:
针对windowsXpSp2的ie6.0补丁:
/downloads/details.aspx?displaylang=zh-cn&FamilyiD=4447D74F-09ea-4Be0-9Dae-C243Ce657FB7
针对windowsXpSp2的ie7.0补丁:
/downloads/details.aspx?displaylang=zh-cn&FamilyiD=9F5Da816-194C-478e-8a96-9421a0C52C9F
针对windowsVista的ie7.0补丁:
/downloads/details.aspx?displaylang=zh-cn&FamilyiD=2DD908a4-6152-4976-aaaa-01F5F37C9143
临时解决方案:
如用户无法及时升级此补丁,可采用以下方案临时减轻威胁。
1.注销VGX.DLL。
在“开始菜单运行”输入:
"%SystemRoot%\System32\regsvr32.exe"-u"%CommonprogramFiles%\microsoftShared\VGX\vgx.dll"
然后单击“确定”(上面的命令需要英文双引号)。
2.提高本地ie中浏览的安全级别:在ie浏览器的“工具”菜单中选中“internet选项”,将“安全”选项中的安全级别调到最高。
病毒资讯:“HtmL制作者”网页木马
现在很多weB网页都开始采用aSp/JSp生成HtmL的格式防御网络木马的入侵,可惜此技术被一款“HtmL制作者”的网页木马完全破解,而且此木马还分为Server和Client形式。Server采用javascript脚本语言编写,可以利用近期微软mS07-050的漏洞入侵weB服务器并将自身加入到iiS下的正常网页中,诱导用户访问后自动生成一个HtmL的本地木马程序,当用户开启ie浏览器时,木马自动下载Client端并运行。病毒会将主程序注入到“explorer.exe”、“notepad.exe”等用户级权限的进程中加载运行,隐藏自我,防止被查杀。被杀毒软件发现的病毒体大多附带了键盘记录软件用于窃取用户游戏、商务密码等隐私信息。
解决方案: