信息安全技术范文
时间:2023-03-19 00:39:40
信息安全技术范文第1篇
关键词:税收信息化;信息状态安全;信息转移安全;信息安全技术
从三个方面来考虑:首先是信息状态安全,即税务系统安全,要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利,必须以一定的方式将它的数据中心开放,这对税务系统本身带来了很大的风险。其次是信息转移安全,即服务安全,如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度,即使用安全,保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
[1]杨怀则.税收信息化建设存在的问题及建议[J].草原税务,2002,(12):31-32.
[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.
[3]滕至阳.现代操作系统教程[M].北京:高等教育出版社,2000.
[4]陆楠.现代网络技术[M].西安:西安电子科技大学出版社,2003.
[5]谭伟贤,杨力平.计算机网络教程[M].北京:国防工业出版社,2001.
信息安全技术范文第2篇
许多信息安全技术和标准在现有的其他系统中都已经有了很好的应用,这些技术和标准可以为RFID的信息安全所借鉴。比如在银行卡授权和大楼出入系统等应用中,已经有许多安全标准被采用,如ISO15693数据认证标准。而RFID技术又有其自身的特点,所以现行的安全规范如果应用于RFID系统也可能会引起一些问题。举例而言,如果对标签进行加密,就会大大消耗标签的处理能力,并增加标签的成本。
RFID应用中存在的信息安全问题在标签、网络和数据这三个层面均可能出现,所以本文就这三个方面对RFID的信息安全技术进行了分析。
标签上的“隐私”
标签的体积虽小,但是其潜在的安全问题却不容忽视。对于刚刚使用RFID的企业,RFID标签很容易被黑客、商店扒手或不满的职员所操控。大多数支持EPCglobal标准的无源标签只能写入一次,但是支持ISO等其他标准的RFID标签,就具备多次写入的功能。2005年春天,支持EPCgolbal超频第二代协议的RFID标签大量上市,这些标签也支持多次写入功能,由于没有写保护功能,这些无源标签可以被更改或写入“好几千次”,DN系统企业互联网解决方案公司的咨询师Lukas Grunwald说。
为了应对RFID标签的安全问题,很多建议、技术已经规范开始出现。
例如,给每一个产品惟一的电子产品代码,类似于汽车的牌照号码,一旦有人想破坏安全,他得到的只是单个产品的信息,这样的话,就不值得花时间去解码。不过,Unisys Corp的全球可视贸易方案副总裁Peter Regen认为这种方法门槛太高,没有人会这么做。
新的EPCgolbal超频第二代协议标准增强了无源标签的安全性能。据EPCglobal产品管理总监Sue Hutchinson介绍,新标准不仅提供了密码保护,而且能对数据从标签传输到读取器的过程进行加密,而不是对标签上的数据进行加密。
隐私安全问题主要体现在RFID标签上。一种想法是“软屏蔽器”(soft blocker)。它能加大对顾客的隐私偏好的保护,不过这是在商品已经购买之后。在销售点,顾客会出示其会员卡,通过这张卡就能看到其隐私偏好的数据。“商品购买之后,销售点就会立即对隐私数据进行更新,保证这些数据不会被某些读取器读取,比如供应链读取器。”RSA实验室RFID解决方案构架师Dan Bailey说。软屏蔽器可能是解决RFID标签隐私问题的一个好办法,在EPCglobal第二代标签中就加入了这种功能。
借鉴其他网络技术
在零售商店中,或者在货物从一个地点运输到另一个地点的过程中,有很多机会可以覆盖甚至修改RFID标签上的数据。这种漏洞在公司用来处理贴有RFID标签的货箱、托盘或其他货物的网络上同样存在。这些网络分布在公司的配送中心、仓库或商店的后台。未经安全处理的无线网络,给拦截数据带来了机会。而在RFID读取器的后端是非常标准化的互联网基础设施,因此,RFID后端的网络存在的安全问题及其机会和互联网是一样的。
在读取器后端的网络中,完全可以借鉴现有的互联网络的各种安全技术。
解决办法是,确保网络上的所有阅读器在传送信息给中间件(中间件再把信息传送给企业系统)之前都必须通过验证,并且确保阅读器和后端系统之间的数据流是加密的。部署RFID阅读器时应采取一些非常切合实际的措施,确保验证后方可连入企业网络,并且不会因为传输而被其他人窃取重要信息。比如,基于Symbol Technologies和ThingMagic等公司的技术的阅读器支持标准的网络技术,包括防止未授权者访问的内置验证方法。
为了防止有人窃听RFID阅读器发出的功率较高的信号,一个办法是采用名为“无声爬树”的反窃听技术。RSA实验室的首席科学家兼主任Burt Kaliski表示,在RFID无线接口的限制范围内,这种方法可确保阅读器绝不重复发送标签上的信息。RFID标签上的数字不是由阅读器播送,而是被间接引用,接收端中间件知道如何解释这些数字,而窃听者却不知道。
“透明”引发的数据危机
虽然RFID技术的应用提高了整个供应链的透明度,但由此也引发了人们对数据安全的担忧。企业对数据需要有很强的安全感,对于企业而言,他们的数据,包括和他们业务相关的信息数据,不再仅仅是他们自己的数据,也是他们贸易伙伴的数据,VeriSign公司解决方案市场营销经理Beth Lovett说。
BSI(德国联邦信息安全办公室)也对RFID系统数据保护提出了要求,据该办公室的评估,在系统设计中包含数据安全和匿名个人信息的要求应该尽快执行,为了在充分利用RFID带来的机会的同时尽量减少对隐私安全的威胁,在RFID系统设计和市场应该在初期就颁布数据保护法。
到目前为止,在EPCglobal网络上使用哪个标准来保障数据安全还没有清晰确定。而最新的版本EPCglobal Certificate Profile V1.0在2006年3月已经正式公布在EPCglobal网站上。安全规范涵盖了EPCglobal Network所有组件间的数据安全,从企业间透过EPCIS接口的数据交换,到RFID Reader与Middleware的沟通,以及Reader管理系统等。
当数据在EPCglobal网络上交换时,现有的一些安全手段,比如防火墙和其他接入管理技术可以用来保护数据安全,并确保只有被授权者才能接触到数据。一些公司具有很好的数据安全实践,他们可以把经验应用到RFID项目上。
有关RFID数据安全问题,还有一些技术正在开发中。
比如,SAP正与合作伙伴共同开发新的数据库查询技术,可以让商品生产商和零售商交换RFID数据,不必在无法由数据所有者控制的服务器上建立数据副本,一些数据存放在中央虚拟资料库中,而其他重要数据分开查询。SAP公司全球业务开发副总裁Amar Singh说,“采用我们的技术后,零售商不用再把查询信息公布在虚拟环境中的某个地方。他们可以直接从制造商那儿获得查询的数据。”数据出现的地方越多,风险就越大。
预计现有的安全方法,如防火墙及其他访问管理技术,会被用于数据通过EPCglobal网络交换时只提供给授权方,确保数据安全。
惠普实验室的Pradhan认为: “我们所讨论的有关公司之间共享信息的问题,如怎样确保信息不会落入旁人之手,可借助典型的IT系统得到解决。因为就这些系统而言,我们对安全相当了解。”而进一步的开发正在进行中。
链接:RFID信息安全产品
RFID信息安全的产品,大部分也是基于标签、网络和数据这三个层面。
标签
RFID标签安全产品,主要是物理的硬件性质的。
2004年初,RSA演示了其特别设计的RSA屏蔽器标签(RSA Blocker Tag)。把这个屏蔽器装在购物袋上,RFID读取器就不能读取放在购物袋中的商品的RFID标签,系统会显示“拒绝服务”。
IBM研究人员模仿刮奖的方法研究出一种在利用RFID标签时可以保护消费者隐私的方法。IBM的建议就是在标签上附加一个可以部分被破坏掉的RFID天线,这样消费者在完成购物后可以将部分天线去除,标签整体上依然可以发挥作用,但是它的可读取范围大大缩小了,从而达到保护消费者隐私权,同时也使制造商和贸易商的利益不受损害的“双赢”目的。按照协议,IBM的行列式和热感应印条码印表机将继续使用Printronix,IBM的产品组合也将Printronix无线射频辨识(RFID)加密技术纳入。
2005年9月,XINK公司开发了一种新墨水可以消除RFID标签被仿冒从而其编码系统被复制的隐患,这是一种理论上不可见的印刷墨水,在货币防伪上面已经有采用。把这种墨水与Creo公司的隐形标签技术结合,标签被仿冒的担忧就可以消除。
杜邦鉴别系统(DAS)公司制作出了3D成像技术的RFID标签用以增强产品的防伪性。3D图像可以很直观地证明信息的真实度,因此可以与RFID标签结合起来。如果有人想把正品上的防伪标签撕下贴到伪造品上去,那么3D效果的图像就整个被破坏掉了。
网络
ThingMagic公司副总裁Kevin Ashton表示,安全壳(Secure shell)和安全槽层(secure socket layer)这两大基础安全技术,有望成为RFID设备的标准。该公司已开始将这些技术集成到它们的RFID读卡器内。该公司开发的RFID读取器技术具有内置验证功能,确保“恶意读取器”无法窃取数据。而且同时必须确保网络上所有的RFID读取器,在传输数据到中间设备然后再到系统之前,都要经过验证。
在读取器后端的RFID网络中的信息安全问题的解决方法,完全可以参照互联网的信息安全解决办法和一些有较好经验的公司的现有产品。
数据
2005年,无线安全软件开发商Columbitech宣布无线VPN支持RFID读取器的信息安全。这次升级的内容包括加强安全架构建设,为应用单位的无线通信提供特别安全保护。
信息安全技术范文第3篇
Internet广泛应用下确保信息安全尤为重要。信息隐藏技术因其不可见性、通用性、安全性等特点,应用前景广阔。文章主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
关键词:
信息安全技术;信息隐藏技术;原理;应用
0引言
在Internet广泛应用下,网络已经深入到我们工作生活中的各个领域。当前的电子商务对网络安全提出了更高要求,如信息安全不能得到保障,国家信息安全建设就潜在巨大安全隐患。信息隐藏技术是信息安全领域中的新兴学科,能利用人类感觉器官及多媒体信号的冗余性,将信息隐匿到其它宿主信号中,让信息不易被觉察,也不影响宿主信号的使用价值[1-2]。信息隐藏技术具备不可见性、通用性、安全性等特点,应用前景广阔。本文主要对信息隐藏技术原理、特点及在信息安全领域中的应用进行简要阐述。
1信息隐藏技术
1.1基本原理
信息隐藏技术是一种将待隐信息(密文、软件序列号、版权信息等)利用某嵌入算法隐藏至一个载体信息中,从而获得一个隐藏载体的过程[3]。在此过程中,信息隐藏的目的是要确保信息不被觉察破坏,而此过程中信息的交流存储并不受限制。在信息隐藏技术下配合密码加密能更确保信息安全性。
1.2信息隐藏技术特点
信息在不同媒体掩藏下具备不同的特点,但信息隐藏技术都具备如下基本特点:(1)隐藏性:信息嵌入之后,遮掩载体外部特征不会显著改变,秘密信息的质量也不会下降,不会让人们从感官上察觉到掩护对象的变化,让非法拦截者对是否有秘密信息不能判断。(2)不可测性:隐蔽载体同原始载体特性一致,非法拦截者要将秘密信息检测并提取出来非常困难[4]。(3)不可见性:经过隐藏处理,目标资料质量不会明显下降,对这些隐藏信息,人们不会看见,也不会听见。(4)鲁棒性:信息隐藏技术不会因图像文件出现了某种改动而让隐藏的信息丢失。我们所说的改动包括如下几方面:滤波、重采样等一般信号处理;分割、缩放、平移等一般几何变换;恶意攻击等。(5)自恢复性:隐蔽载体尽管在经过变换操作后会受到破坏,但是只要存在部分数据,就可在宿主信号缺失情况下恢复隐藏信息[5]。(6)安全性:信息隐藏技术中的隐藏算法抗攻击力强,可承受较强程度人为攻击,确保隐藏信息安全可靠。
1.3模型
我们将待隐藏信息称之为为秘密信息,将公开信息称之为载体信息,他可以是文本、图像、视频或者是音频信号。信息隐藏多由密钥来控制,密钥将秘密信息利用嵌入算法隐藏到公开信息中,隐藏载体利用通信信道进行传递,随后在检测器中利用密钥将秘密信息从隐蔽载体中进行检测或恢复.
2信息隐藏术与加密技术的关系
信息的密码技术及隐藏技术都是信息安全保障技术,但两者是有显著区别的。信息加密技术能把明文在加密算法下转换成密文并利用公开信道传送至接收者的手中,非授权者能意识到保密信息存在,但却不能获知信息具体内容。信息隐藏技术下攻击者则不能对保密信息进行直观判断。两种技术不是相互竞争、相互矛盾的,是相互补充的,如果在信息隐藏技术中融入加密技术,那么信息在数据传输的过程中会达到理论上的一个最高的安全级别。
3信息隐藏的常用技术
3.1替换技术
替换就是指的是用秘密信息将伪装载体内的不重要部分替换掉,并对秘密信息进行编码的一种技术,属于空间域操作,将适合的伪装载体嵌入到适当区域,确保数据失真度保持在人的视觉允许的范围之内。这种技术算法简单,但不能抵抗图像压缩、尺寸变化等攻击,鲁棒性较差。
3.2变换技术
变换技术主要包括离散小波变换(DWT)、离散余弦变换(DCT)及离散傅利叶变换(DFT)等,每个技术都具有自身特点,DWT可对图像进行多空间、多尺度、多频率分解,可将输入信号分解成系列低分辨率细节信号;DCT能让空间域内能量重新分布,图像相关性降低;DFT能将图像分割为多个感觉的频段,让秘密信息能选择更适合部分去嵌入。这种技术鲁棒性较好,可抵抗压缩、噪音等的攻击。
3.3扩频技术
扩频技术指的是将一个比特多次嵌入到伪装载体中,让隐藏的信息在过滤之后仍能保留。这种技术尽管传输率差,但是实际应用中,在随机码下能使载有信息数据的基带信号频谱扩展,让信号变成宽带低功率谱密度的信号。其中,跳频扩频、直序扩频最为典型。且这种技术检测只需盲检,即使传输中受到乘性、加性噪音攻击,隐藏信息也不会丢失。
4信息安全技术中信息隐藏技术的应用
4.1对数字知识产权进行保护对数字知识产权进行保护是将数字指纹技术及数字水印技术来解决信息隐藏技术中所遇到的问题[6]。信息隐藏技术利用“数字
水印”在数字知识信息中嵌入签字信号,对数字知识进行产权保护。通过信息隐藏技术可将音频信号、视频信号机数字图像中嵌入不可见的信号标签,可防止攻击者对其进行数据跟踪及非法拷贝。为确保数字信息安全,服务商向用户发送产品同时可在作品中以水印形式将双方信息代码隐藏其中,一旦数字产品出现非法传播,能够利用水印代码对非法散播者进行追查。信息隐藏技术对数字知识产权进行保护中数据嵌入量小,因此对签字信号鲁棒性及安全性都要求很高。数字水印技术在使用中有一定缺陷,一旦所保护媒体被篡改,水印就会被破坏,信息就变得容易识别。而对数字票据来说就不会出现这种情况,数据票据中的隐藏水印在打印之后仍是存在的,因此对于数据票据可以利用对数据进行扫描这一形式对防伪隐藏水印进行提取,以此来判断票据真实与否。
4.2对数据完整性进行鉴定
所谓的数据完整性鉴定指的是对信号完整性及真伪进行判别,指出信号同原始信号间的差别,借此确认信息在传输及存储过程中有没有被破坏、篡改。如果接收到音频、视频等多媒体形式的信号,需对信号原始式进行判断,看信号是否为某一真实信号的修改版本,并要对原始信号内容进行是否真实性的判断[7]。要完成这种鉴定需首先在数据库的管理系统中输入各种完整数据,并制定相应的约束机制,这样才能确保数据在输入及存储过程中的完整性。其次,如数据传输可视的情况下,可以采用数据校验的方式对这些数据进行检测。
4.3对数据进行保密
网络上进行秘密数据传输的过程中最重要的就是要防止一些非法用户将其截获及使用,确保数据安全也是信息安全技术的一个主要内容。随经济全球化,电子信息技术得到了飞速发展,已经涉及到国家军事、政治、金融、商业等众多领域,关系到国家安全及个人隐私。而信息隐藏技术就是要确保网上交流信息的安全性,为信息数据进行保密。例如网上银行的交易数据,电子商务的秘密合同,电子政务的敏感信息,重要文件的数字签名等等都可以利用网络隐藏技术进行保护。除此之外,信息隐藏技术还能够将不愿让人知道的信息内容采用隐藏方式来存储,让数据更为隐匿,保密性更强,信息也更为安全。
4.4对资料不可抵赖性进行确认
网上交易的过程中,参与交易的任何一方对自己的行为都不能抵赖,对于曾接收过、接收到了对方信息也不能否认,这是确保网上交易安全的一个重要环节。在交易系统中应用信息隐藏技术之后,交易体系下的任何一方在接收及发送信息时就可以将自身独特的标记隐藏到传递的信息中,这些隐藏的标记不能被清除,从而能够确保交易过程中任何一方都不能对自己行为进行抵赖[8]。
5结语
综上所述,信息隐藏技术为多媒体信号处理及多媒体通信领域内的一个新兴研究方向,信息隐藏技术能为多媒体信息安全提供新思路。当前国际上的信息隐藏技术可以做到将隐藏信息进行仪器检测,抵抗人为攻击,但是还没有发展到可以实用的阶段,今后将密码技术同信息隐藏技术有机结合,建立不可感知性的数学度量模型,有效进行信息隐藏容量上界的计算,是今后信息隐藏技术需要努力的方向。
作者:李蟾膺 单位:民航西南空管局
参考文献:
[1]古春杰.信息隐藏技术的理论及应用[J].计算机光盘软件与应用,2014(10):189-190
[2]李彩容,胡瑞敏,涂卫平.使用信息隐藏技术保障档案信息安全[J].中国电子商情•通信市场,2013(1):183-187
[3]马秀芳,时晨,赵洪钢.具有广泛军事应用前景的信息隐藏技术[J].电信快报:网络与通信,2013(12):11-13
[4]刘会平,国伟.数字加网信息隐藏技术在隐秘保密通信中的应用[J].计算机应用,2014,34(9):2645-2649
[5]谢灵智.数字水印——信息安全研究新方向[J].信息安全与通信保密,2013(2):28.
[6]刘丽,周亚建.二维条码数字水印技术研究[J].信息网络安全,2014(1):56-60
[7]刘昊辰,罗森林.Android系统木马隐藏及检测技术[J].信息网络安全,2013(1):33-37
信息安全技术范文第4篇
【关键词】广电系统 信息安全 对策分析
数字化、网络化时代下,信息安全成为人们普遍关注的问题。广电网络是我们国家的基础性的信息设施,直接关系着国家的利益和广大人民群众的利益。在时代下互联网是开放性的,虽然广电系统中的信息安全技术在不断地更新和发展,但是各种非法攻击破坏系统还是对国家的广电信息系统造成了重大的损失。这对广电系统的信息安全技术无疑又提出了巨大的挑战。
1 广电系统中信息安全技术体系存在的问题
1.1 互联网络信息的威胁
随着广电信息网络的数据业务的不断发展,广电网络会提供电子邮件、视频下载等服务,而这些服务会引入大量的系统病毒、木马病毒等不同性质的病毒,轻则会使广电系统中的一台服务器丧失工作能力,重则会使整个广电系统中心瘫痪。
再者就是,对电子信息业的使用和管理我国尚未形成完整而规范的法律法规制度,这使得信息在可靠性、完整性和真实性等方面缺乏有利的保障。网络信息安全不能得到及时有效的防控,那么广电的安全也就无从谈起。
1.2 网络基础设备的安全威胁
从计算机自身系统来看,其自身的安全和保护功能较为脆弱,来自网络的攻击随时可能产生,计算机病毒的破坏性、传染性和潜伏性等,这些问题让广电信息安全有了较大的困难。
网络拥塞问题,地域网、入户网等如何建立拓扑关系到整个网络的安全、顺利运行。网络设备的性能问题,双向化上下行频率分配问题,接入控制问题,网络协议接入标准问题……这一系列的问题都会影响广播电视系统信息的安全问题。这些作为人为可以控制和管理的问题是可以避免的,但是如果不加强管理和整治终究会影响到广电系统的信息安全。所以说相关部门需要做好本职工作,防患于未然。
1.3 技术管理人员的技术落后
在现在的广电系统中大多数的管理人员都是兼职人员,在技术管理上明显存在不足,特别是对一些新型的网络病毒更是不知所措。这就使得一些网络病毒乘机而入,对广电系统环境进行破坏,导致系统瘫痪,无法正常运转。最终影响广电系统信息的传输与接收。所以,对于广播电视行业而言,培养一批专业的管理技术人员,加强对这些专业技术管理人员的培训是很有必要的。
2 加强广电系统中信息安全技术体系措施与建议
2.1 大力推动技术创新,加强网络信息技术开发
不断加强网络技术的研究与开发,形成高效的技术防范体系,进一步提升对危害网络信息安全的不良信息的发现与管理控制能力。采用加密技术、水印技术等对用户的身份进行标识,防止不良信息的上传。同时,对于关键性的网络设施和网络信息,可以对行业内部的技术人员开展授权和身份验证工作,确保工作的有序无误的开展。
2.2 制定网络信息安全保障体系与措施,健全网络信息安全法律制度保障体系
应该说,法律的保护是广电系统信息安全的有利防控线。所以在新的广播电视行业形势下,需要制定相应的法律法规。我们要充分发挥法律法规的制度保障作用,严格规范不法的行为,使得广电系统的信息安全得到法律的有效保障,维护广电系统的网络信息安全,使得整个广电系统有章可循。
2.3 加强对技术人员的管理
对于技术人员的管理,我们首先要做的是要设定专职的专业技术管理人员,这样才能在技术上得到保障。其次,要不断加强对信息技术管理人员的信息安全教育,尤其是保密的教育。只有在技术管理人员具有高度的可靠性的情况下,广电信息的管理才能得到安全的保障。再者就是要确保档案信息的安全性,这主要是还得从制度上进行管理。在对库房管理、档案借阅等方面要做到有制度、有规范;其次,在操作上要做到信息管理工作的严格、细化,管理人员应有严格的操作规范,做到对广播电视系统信息的安全负责。这样可以在一定程度上解决一些不利于信息安全的因素。
2.4 建立信息安全技术体系
信息技术安全体系的建立涉及到了行业领域的各个环节,因此必须建立完整的安全防护体系保证信息系统的安全、稳定运行。建立信息安全技术体系的前提是要合理划分安全域,然后是针对安全域的边界安全及内部进行重点安全防护,最终形成完整的信息安全技术体系,维护广电系统的信息安全。
安全域的合理划分。安全域的划分是对系统实施分级安全保护的前提条件,是对安全域进行等级划分的安全保护。通过对安全域的合理划分,可以明确网络边界,便于实现对物理区域和网络区域之间的有效隔离和访问控制。信息安全技术体系利用各种安全技术作为安全管理和运行落实的重要手段,最终支撑信息安全体系的建设。所以,在对安全域进行合理划分的基础,要实现安全域防护技术的有效设计,使信息安全技术体系得到完善。
3 结束语
信息化、网络化、数字化时代下信息的开放性与日俱增,一方面它为人们的工作和生活提供了较大的便利,但是,也使得信息的传播存在着不安全性。计算机病毒、木马等通过互联网严重影响和威胁着信息的传播。广电信息在社会中起到了促进交流、方便协作的作用。因此,我们要对广电系统的信息安全给予高度的重视。通过我们上述对广电系统的信息安全的讨论,对问题的研究和对策的提出,来增强广电系统信息的安全,推动广电事业的快速发展。
参考文献
[1]张增嵘.信息安全监控平台的研究与实现[D].浙江工业大学,2009.
[2]李迅.网络环境下的文档管理系统[D].大连理工大学,2000.
[3]郝文江,马晓明.三网融合背景下信息安全问题与保障体系研究[J].信息网络安全,2010(9).
[4]杨状振.从网络信息安全角度看三网融合[J].信息网络安全,2010(9).
[5]梁炜莹.数字电视信息安全研究[D].华南理工大学,2009(12).
作者单位
信息安全技术范文第5篇
1.1完整性
信息在网络传输过程中,要保证信息的完整性,信息传输过程中,涉及到传输介质,存储方式、传输媒体等多方面影响,但我们在现有的技术的条件下,要保证信息传输过程中信息不丢失,保证信息的完整性,这是网络信息安全的最基本目标。
1.2机密性
机密性就是信息在传输过程中,不能被窃取。网络信息的机密性主要体现出一些重要信息方面,比如银行领域、军事领域一旦数据被窃取,其后果是非常严重的。我们通常采用的方法就是信息在传输过程中进行数据加密,保证信息不被窃取。
1.3有效性
有些信息是具有一定的时效性,信息在一定时间传输到,才具有一定的意义。比如在战争年代,有些军事信息,必须准确的在一定时间内传送到,其超过这段时间就没有意义了,因此信息的有效性也是网络信息安全目标之一。
2网络信息安全所要解决的问题
2.1物理安全
物理安全主要是OSI参考模型中物理层的安全,物理层安全是网络参考模型底层的安全,主要有以下几种物理安全问题。
2.1.1自然灾害、物理损坏、设备故障
网络信息安全也受自然灾害影响,比如地震、火灾、水灾等一系列自然灾害,这些灾害对网络信息安全设备进行严重破坏,影响了网络的正常通信。传输设备在使用一定时间内,会出现一定的物理损坏,设备故障等一系列问题,这些问题一旦出现问题,网络根本不能运行,严重影响了网络正常工作,对网络信息安全造成一定影响。
2.1.2电磁辐射、痕迹泄露等
这种信息安全问题一般不容易被发现,刚新建的网络这类问题一般不会出现,当网络运行很长时间以后,网络设施受到电磁辐射等问题,会出现一定泄露问题,对网络信息的机密性有一定影响,信息容易被外界窃取,信息窃取有时候会造成很严重的问题。
2.1.3操作失误、意外疏漏
这类网络信息安全基本都是人为造成的,因此网络技术安全管理员要经过正规的培训,才能上岗,网络信息安全由于人为因素给客户带来损失,这是不能原谅的,因此有关部门要重视网络信息安全管理员的培训,达标以后才能上岗。
2.2安全控制
安全控制主要包含操作系统的安全控制、网络接口模块的安全控制及网络互连设备的安全控制这三类安全控制。网络安全控制在网络安全中占有重要地位,正确控制网络安全是解决网络安全技术关键因素之一,因此网络安全控制是非常重要的。
2.3安全服务
安全服务是指在应用程序层对网络信息的保密性、完整性和真实性进行保护和鉴别,防止各种安全威胁和攻击,其可以在一定程度上弥补和完善现有操作系统和网络信息系统的安全漏洞。安全服务主要内容包括:安全机制、安全连接、安全协议、安全策略等。
3网络信息安全技术
3.1防火墙技术
防火墙技术主要包括数据包过滤、应用网关和服务等。防火墙技术是网络信息安全使用最早,最普遍的技术。现在网络机器基本都按照防火墙。防火墙技术是通过软件主要起到包过滤作用,对一些简单的网络攻击具有一定拦截作用,对网络信息安全起到一定保护作用,对一些不重要机器按照防火墙技术可以完成网络信息安全作用,但对于一些重要部门机器,单纯按照防火墙技术解决网络信息安全技术是不现实的,必须采用其他网络信息安全技术解决网络安全问题。
3.2数据加密技术
数据加密技术是网络中最基本的安全技术,主要是通过对网络中传输的信息进行数据加密来保障其安全性,这是一种主动安全防御策略,用很小的代价即可为信息提供相当大的安全保护。加密是一种限制对网络上传输数据的访问权的技术。原始数据(也称为明文,plaintext)被加密设备(硬件或软件)和密钥加密而产生的经过编码的数据称为密文(ciphertext)。将密文还原为原始明文的过程称为解密,它是加密的反向处理,但解密者必须利用相同类型的加密设备和密钥对密文进行解密。
3.3身份认证技术
身份认证(Authentication)是系统核查用户身份证明的过程,其实质是查明用户是否具有它所请求资源的存储使用权。身份识别(Identification)是指用户向系统出示自己的身份证明的过程。这两项工作常被称为身份认证。
3.4安全协议
安全协议在网络信息安全中起到重要作用,网络安全协议主要包括加密协议、密钥管理协议、数据验证协议、安全审计协议、防护协议。安全协议的完善对网络安全内部起到保护作用,信息在网络中传输起到重要保障作用。总之,网络信息安全技术关系到人们的切身利益,现在人们生活与工作离不开网络,网络安全技术的重视也是一项关于民生事宜,希望国家安全部门重视网络安全技术的研发,严厉打击网络犯罪,让网络成为一片净土。
信息安全技术范文第6篇
1.1电子信息的加密技术
所谓电子信息的加密技术也就是对于所传送的电子信息能够起到一定的保密作用,也能够使信息、数据的传递变得更加安全和完整。电子信息的加密技术是保障电子科技企业信息安全的重要保证。加密技术也主要分为对称以及非对称两类,对称的加密技术一般都是通过序列密码或是分组机密的方式来实现的。这其中还包括了明文、密钥、加密算法以及解密算法五个基本的组成部分。而非对称加密与对称加密也存在一定的差异,非对称加密必须要具备公开密钥和私有密钥两个密钥,同时,这两种密钥只有配对使用,这样才能解密。因此加密技术对于电子信息的安全具有很大的保障。如果在发送电子信息的时候,发送人是使用加密技术来发送邮件的,那么有人窃取信息的时候,也只能够得到密文,不能得到具体的信息。这样就大大加强了信息传送的安全性。加快推进国内关键行业领域信息系统的安全评估测试。在安全评估方面,主要针对主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
1.2防火墙技术
随着网络技术的不断发展,虽然对于信息安全问题已经不断的得到加强,但是一些信息的不安全因素也在逐级的提高。有一些黑客或者是病毒木马也在不断的入侵,而这些不安全的因素会极大的威胁到电子科技企业信息的安全。而针对这种情况,一种比较有效的防护措施就是防火墙技术的使用。这种技术可以有效的防止黑客的入侵以及电脑中的信息被篡改等情况的发生。这样就能够有效的保障电子科技企业信息的安全。加强企业信息基础设施和重要信息系统建设,建设面向企业的信息安全专业服务平台。重点开展等级保护设计咨询、风险评估、安全咨询、安全测评、快速预警响应、第三方资源共享的容灾备份、标准验证等服务;建设企业信息安全数据库,为广大企业提供快速、高效的信息安全咨询、预警、应急处理等服务,实现企业信息安全公共资源的共享共用,提高信息安全保障能力。
二、解决电子科技企业信息安全问题的方法
2.1构建电子科技企业信息安全的管理体系
如果要想有效的保障电子科技企业的信息安全,除了要不断的提高安全技术水平,还要建立起一套比较完善的信息安全管理体系。这样才能使整个信息安全工作更加有条不紊的进行。在很多电子科技企业当中,最初所建立的相关信息制度在很大程度上都制约着信息系统的安全性。如果一旦安全管理制度出现了问题,那么一系列的安全技术都无法发挥出来。很多信息安全工作也无法正常进行下去。因此,严格的信息安全管理体系对于信息安全的保障具有十分重要的作用。只有当信息安全管理形成了一个完善的体系,那么信息安全工作才能够更加顺利的进行,同时也能够大大的提升信息安全的系数。
2.2利用电子科技企业自身的网络条件来提供信息安全服务
一般来说,电子科技企业都拥有自己的局域网,很多企业也可以通过局域网来相互连通。因此,电子科技企业应该充分的利用这一特点为自身的企业提供良好地信息安全服务。通过局域网的连通,不仅能够在这个平台上及时的公布一些安全公告以及安全法规,同时还可以进行一些安全软件的下载,为员工提供一些关于信息安全的培训。这样不仅能够为企业之间的员工提供一个安全的互相交流的平台,同时还能够很好的保障企业信息安全。针对企业主机安全保密检查与信息监管,采取文件内容检索、恶意代码检查、数据恢复技术、网络漏洞扫描、互联网网站检测、语意分析等技术,评估分析重要信息是否发生泄漏,并找出泄漏的原因和渠道。
2.3定期对信息安全防护软件进行及时的更新
随着企业的不断发展、各种新的资讯和信息也在不断的更新。在这种情况下,电子科技企业不能依赖于原有的安全防护软件。因为新的信息安全隐患可能随时都会升级,因此要电子科技企业要随着信息的不断发展来提升自己的信息安全防护软件,对软件进行及时的更新。这样才能有效的提升信息安全的系数。
信息安全技术范文第7篇
[关键词]云计算;云档案;信息安全
云档案就是依托互联网,运用云计算技术和理念,将分散的档案信息资源(包括档案信息、档案服务设施、设备、档案服务人员等)通过云服务平台组织起来,形成一个个档案信息资源服务“云”,并借助这些“云”平台超强的计算能力和低成本、高安全性等特性来提高档案信息资源共享效率的一种档案信息资源服务模式,[1]这是档案信息组织和管理模式的发展方向。由于云档案的服务基于互联网,依赖互联网,而互联网是一个开放的系统,这样个人隐私、信息安全等问题也随之而来。因此,在云档案中如何确保档案信息的安全就成为云档案能否健康发展的基石。本文详细分析了云档案常用的安全技术,并介绍了云档案的其它最新安全措施。
一、云档案常用的安全技术
为了保护云档案信息的安全,可以通过提升云档案整体平台的安全性来确保档案信息的安全,以防止未授权的使用而导致数据被恶意更改、删除、泄露数据等安全性问题。常用的安全技术包括:
(一)强制存取控制。强制存取控制是通过对每一个数据进行严格的分配不同的密级,允许不同类型的用户访问不同密级的信息,它是保证云档案信息安全的重要的一环。在强制存取控制中,云档案所管理的全部实体被分为主体和客体两大类。主体是系统中的活动实体,它不仅包括被管理的实际用户,也包括代表用户的各进程。客体是系统中的被动实体,是受主体操纵的,包括各种数据信息。对于主体和客体,云档案管理系统为它们每个实例(值)指派一个敏感度标记。[2]主客体各自被赋予相应的安全级,主体的安全级反映主体的可信度,而客体的安全级反映客体所含信息的敏感程度。对于病毒和恶意软件的攻击可以通过强制存取控制策略进行防范。虽然强制存取控制并不能从根本上避免攻击的问题,但可以从较高安全性级别程序向较低安全性级别程序进行信息传递。
(二)基于PKI的访问控制。PKI(Public Key infrastructure,公钥基础设施)是一个利用非对称密码算法(即公开密钥算法)原理和技术,遵循标准的公钥加密技术,实现并提供公钥加密和数字签名服务的系统或平台。PKI通过认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,动态地管理所有网络应用所需要的密钥和证书,再通过密钥和证书对用户的信息交流和传递提供安全保障。目前,通用的办法是采用基于PKI结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,通过签名保证身份的真实性和抗抵赖。建立基于PKI的访问控制,可以保证云档案数字信息传输的机密性、真实性、完整性和不可否认性。
(三)建立统一身份认证基础上的单点登录技术。统一身份认证是通过一个适合于所有应用系统的、唯一的认证服务系统来接过每个应用系统中单独的认证模块,各应用系统只需要遵循统一认证服务调用接口,即可实现用户身份的认证过程。首先为每一用户分配如下用户信息,包括:用户标识、定义服务时段、初始管理员及其口令、定义用户资源、分配用户内部安全策略空间及客户可定义安全策略最大数量。在用户登录云服务系统时,通过云服务提供商对该用户进行身份认证和越界访问的判断;在用户通过身份认证并且没有超越访问权限的情况下,检查所述用户是否符合客户内部安全策略,若否,拒绝访问,若是,许可访问云资源。为了解决同一网络中多应用系统之间的复杂登录问题,可以建立在统一身份认证基础上的单点登录技术。同一用户只需要强制认证一次,就可以在不同的授权系统之间进行转换而不必重新登录,而系统的身份认证操作则在后台自动执行。
(四)数据加密技术。数据加密是对云档案中存储和传输的数据进行加密,使之成为密文,只有被授权者才能对加密后的数据进行解密和使用,这是一种主动安全防范策略。数据加密后,即使攻击者截获了数据,也无法知道数据的内容,从而保证了档案信息资源的安全。数据加密技术作为一种古老、而又重要和基本的防止信息泄露的技术,它可以从根本上满足信息完整性的要求,被认为是最可靠的安全保障形式。数据加密技术要求只有在指定的用户或网络下,才能解除密码而获得原来的数据,这就需要给数据发送方和接受方以一些特殊的密钥用于解密。[3]由于密钥的值是从大量的随机数中选取的,因此可以保证通过加密的云档案数据信息具有较高的安全性。
(五)审计。审计将用户操作云档案的所有记录存储在审计日志(Audit Log)中,对用户操作活动进行记录与监控。对于开放的云档案来说,用户活动非常频繁,并不是所有的事件都对系统的安全构成威胁。审计的任务是收集并分析用户与系统安全有关的事件,并根据事先确定的阈值,发现并尽量控制审计事件(事件结果达到或超过审计阈值),同时将审计信息记录下来(成为审计日志),以备日后分析追查。这样,当系统出现问题时,就可以很方便地进行调查和分析,找出非法存取数据的时间、内容以及相关的人。从软件工程的角度上看,目前通过存取控制、数据加密的方式对数据进行保护是不够的。[4]因此,作为重要的补充手段,审计是云档案信息安全系统不可缺少的一部分,是实现云档案信息安全的最后一道防线。
二、云档案的其它安全措施
为了确保云档案信息的安全,除了采取以上的安全技术外,还可以在“云”的核心架构里引入安全机制,基于云计算平台的强大处理能力,加强基础设施层、应用部署层与服务接口层的基础安全体系,增强云架构的档案信息平台的安全服务模式。主要包括[5]:
(一)建立高性能高可靠的网络安全一体化防护体系。在云档案的建设过程中,多条高速链路汇聚成大流量数据中心,要求云档案必须能够处理海量的数据流和各式各样的多用户需求。因此,为了应对云档案环境下的数据流量模型变化,相关安全防护体系的建设需要朝着高性能、高可靠、一体化的防护方向发展。如既带内容过滤的综合网络保护、带入侵检测和防护的深度数据包检测、恶意软件检测,又带状态的防火墙保护,以及能同时防护已知和未知威胁的电子邮件过滤,等等,真正实现大流量汇聚情况下的基础安全防护。
(二)建立以虚拟化为技术支撑的安全防护体系。虚拟化是云档案的关键技术,包括基础网络架构、存储资源、计算资源以及应用资源等虚拟化。基于虚拟化技术,云档案才可能根据不同用户的需求,提供个性化的存储计算及应用资源的合理分配,并实现不同用户之间的数据安全。但是,随着虚拟化的使用,私有云和公共云在资源隔离、数据安全事件管理和数据保护等领域将引发新的信息安全挑战。在利用虚拟化将多台服务器整合到单个主机时,两台服务器之间的物理隔离被清除,从而加大了危害可能从一台虚拟机扩散到同一台物理主机上的其它虚拟机的风险。此外,若虚拟软件的管理程序被攻击危害,可能会导致所有托管的虚拟机(VM)以及共享的物理资源(例如存储应用数据和代码的硬盘驱动器)都被波及。因此,建立以虚拟化为技术支撑的安全防护体系,包括数据加密和隔离、VM 隔离、安全的 VM 迁移、虚拟化网络隔离、安全事件和访问监控等方面,是确保云档案的安全措施。
(三)充分利用云端超强的计算能力实现云档案的安全检测和防护。这是充分利用云计算超强计算能力防护信息安全的一个模式,是云档案信息安全防范的一个重要方向。在这种安全防护模式中,要求挂在云端的海量用户在本地端具备对未知安全威胁或是可疑安全威胁的传感检测能力。这样,任何一个用户端对于本地不能识别的可疑流量都要第一时间送到后台的云检测中心,利用云端超强的检测计算能力快速定位解析安全威胁,并将安全威胁的协议特征推送到全部用户端或安全网关,从而使得整个云中的用户端和安全网关都具备对这种未知威胁的检测能力,[6]从而保证云档案信息资源安全。
(四)以集中的安全服务中心应对无边界的安全防护。由于云档案信息资源的高度整合,使得其中的信息资源只能实现基于逻辑的划分隔离,不存在物理上的安全边界,不可能基于每个或每类型用户进行流量的汇聚并部署独立的安全系统。因此,云档案的信息安全策略必须从传统的基于各子系统的安全防护,转移到基于整个云档案的安全防护,建设集中的安全服务中心,集中支持各子站群的安全防护,包括防病毒、防漏洞等,以适应云档案中信息资源逻辑隔离的现实。这种集中的安全服务中心,可以将需要进行安全服务的用户流量,通过合理的技术手段引入到集中的安全服务中心,完成安全服务后再返回到原有的转发路径,确保输电网信息的安全。
参考文献:
[1]吕元智.国家档案信息资源“云”共享服务模式研究[J].档案学研究,2011(4):61-64.
信息安全技术范文第8篇
论文关键词:馆息安全技术;威胁;网络安全
引言
随着计算机互联网的全面发展,信息的应用与共享日益广泛和深人,各种信息系统已成为企业的基础设施,支撑着整个企业的运行。由于网络所具有的开放性和共享性,人们在运用互联网的同时,其安全问题也日益突出。据统计,美国每年因为网络安全造成的经济损失超过170亿美元平均每20秒就有一个网络遭到入侵。由此看出,网络安全已经影响列国家的安全利益和经济利益。对干企业来说,保证信息、安全,避免经济损失已成为刚络建设和运行中所面对的重大问题。
一、信息安全面临的威胁
信息截取:通过信道进行信息的截取获取机密信息,或通过信息的流量分析通信频度,长度分析,推出有用信息,这种方式不破坏信息的内容,不易被发现攻击者可以通过监视网络数据获得信息还可以将重要信息发送出去或将正常的通讯信息修改、删除、插入,然后再继续发送。
内部窃密和破坏:是指内部或本系统的人员通过网络窃取机密、泄漏或更改信息以及破坏信息系统。黑客攻击:黑客已经成为网络安全的克星。例如用户通过ie等浏览器进入各种各样的web站点进行访问,一股的用户不会想到网页已被黑客篡改过的问题。黑客将用户要浏览的网页的url改写为指向自己的服务器,当用户浏览目标网页的时候,实际上是在向黑客服务器发出请求那么黑客就可已达到欺骗的目的了。黑客软件攻击也是一种比较普遍的攻击方法,它们可以非法取得用户电脑的超级权限,除了可以进行文件操作外,也可以进行抓图、取得密码等操作。
技术缺陷:由干认识能力和技术发展的局限性,在硬件和软件设计过程中,难免留下技术缺陷,由此可造成网络的安全隐患。其次,网络硬件、软件产品多数依靠进口,如全球90%的微机都装微软的windows操作系统,许多网络黑客就是通过微软操作系统的漏洞和后门而进人m络的。
信息污染:将过时冗余、虚假雷同等有害信息、渗透到信息资源中,对信息资源的收集、开发和利用造成干扰。目前,由于网络缺乏及时、有效的信息管理措施,大量已失去时效的信息来不及得到及时删除而滞留在网络中。网络的自由开放特性不仅决定丁网上资源很难以得到有效保护造成转载、剽窃、抄袭现象以及网络信息的大量雷同,同时也增加了网络系统的管理难度,加上网络可以在全球范围内传递文字、图像、声音等多媒体信息,且速度快使用方便,因此成为不法分子传播不良信息的工具和场所。
病毒:计算机病毒是一个程序,一段可执行代码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。如果病毒利用网络来进行主动传播,不仅带来网络的破坏,而且造成网上信息的泄漏,特别是在专用网络上,病毒感染已成为网络安全的严重威胁。
另外,一些人为的操怍也很容易造成信息的泄漏。用户安全意识不强,将自己的账号随意转借他人或与他人共享都会给信息安全造成成胁。
二、信息安全技术
防火墙技术:防火墙是一种网络安全部件,它可以是硬件,也可以是软件,也可能是硬件和软件的结合,通常处于内部网络与外部网络之间,是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制出人一个网络的权限,迫使所有的连接都经过这样的检查,防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑上,防火墙是个分离器,一个限制器,也是一个分析器,有效的监视了内部网络和外部网络之间的活动,保证了内部网络的安全。防火墙的功能是:内外网之间信息交流必经的集中检查点,实行恃定的安全策略,记录网上活动情况,防止网络之间安全问题的扩散。
信息保密技术:信息的保密性是信息安全性的一个重要方面。保密的目的是防止机密信息被破译。加密是实现信息的保密性的一个重要手段。所谓加密,就是数学方法来重新组织数据,使得除了合法的接受者之外,任何其他人都不能恢复原先的消息或读懂变化后的消息。加密技术可使些主要数据存储在一台不安全的计算机上,或可以在一个不安全的信道上传送。只有持有合法密钥的一方才能获得明文。
人侵检测技术:入侵检测系统是近年出现的新型网络安全技术,目的是提供实时的入侵检测及采取相应的防护手段,如记录证据用于跟踪和恢复、断开网络连接等。实时人侵检测能力之所以重要是因为它能够对付来自内外网络的攻击,其次是因为它能够缩短黑客人侵的时间。与防火墙不同,网络人侵检测系统是通过分析数据包的内容来识别黑客的人侵行为。因此,网络人侵检测系统可以判断出应用层的入侵事什,这样就极大地提高了判别黑客攻击行为的准确程度。络人侵检测系统以进程的方式运行在监控机上,为网络系统提供实时的黑客攻击侦测保护。一旦发现黑客攻击行为,网络人侵检测系统可以立即做出响应。响应的方法有多种形式,其中包括报警如屏幕显示报警、声音报警、必要时关闭服务直至切断链路。与此同时,网络入侵检测系统会对攻击的过程进行详细记录,为以后的调查取证工作提供线索。防火墙只能隔离来自本网段以外的攻击行为,而网络入侵检测系统监控的是所有网络的操作,因此它可以识别来自本网段内、其他网段以及外部网络的全部攻击行为,这样就有效解决了来自防火墙后由于用户误操作或内部人员恶意攻击所带来的安全成胁。
防病毒技术:病毒可能会从多方面威胁系统,为了免受病毒所造成的损失,应采用多层的病毒防卫体系。所谓的多层病毒防卫体系,是指在每台计算机上安装杀毒软件,在服务器上安装基于服务器的杀毒软件,在网关上安装基于网关的杀毒软件。目前公司内部使用的是symantec杀毒软件,采用多层部署,统一管理的方式。该软件具有防病毒和防间谍软件防护、网络威胁防护和主动型威胁防护的功能。防病毒和防间谍软件防护包括实时扫描文件和电子邮件,以及调度扫描和按需扫描。网络威胁防护提供防火墙和入侵防护和保护功能,可阻挡入侵攻击及有害内容进入客户端的计算机。主动型成胁防护能针对网络中的零时差攻击漏洞提供防护。
虚拟专用网技术:虚拟专用网(virtualprivatenetwork,vpn)是通过一个公用网络(通常是因特网)建立起一个临时的、安全的连接,是一条穿过不安全的公用网络的安全、稳定的隧道。目前公司内部一些由于工作需求到外地或国外出差并且网络环境不方便的用户会使用到vpn。身份认证技术:身份认证是指计算机网络系统确认操作者身份的过程。在一个更为开放的环境中,支持通过网络与其他系统相连,就需要采用“调用每项服务时需要用户证明身份,也需要这些服务器向客户证明他们自己的身份”的策略来保护位于服务器中用户的信息和资源。在公司内部的用户使用的是域账户登录,这样在登录时域控制器对用户进行认证,通过认证就可以进入公司域内进行操作。这样还可以却确保信息发出者不能抵赖所发信息,收到信息者不能否认收到了所要信息或篡改其内容。
安全扫描技术:安全扫描技术是又一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,网络管理员可以了解网络的安全配置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置,在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段,那么安全扫描就是一种主动的防范措施,可以有效避免黑客攻击行为,做到防患于未然。安全扫描工具源于黑客在入侵网络系统时所采用的工具,商品化的安全扫描工具为网络安全漏洞的发现提供了强大的支持。
三结束语
信息安全技术范文第9篇
关键词:网络环境 信息安全 信息安全技术
网络已经成为我们生活中密不可分的一部分,随着网络技术的发展,其开放的程度越来越大,对于社会的影响力也与日俱增,但是病毒、网络黑客和远程监听等网络安全威胁也成为了一个日趋严重的社会问题。本文就网络环境中的信息安全技术的相关问题做简要分析。
一、计算机网络信息安全的现状
当前,我国的网络安全面临严峻形势。互联网和网络应用以飞快的速度不断发展,网络应用日益普及并更加复杂,特网上频繁发生的大规模黑客入侵与计算机病毒泛滥事件是互联网和网络应用发展中面临的重要问题。因互联网本身没有时空和地域的限制,每当有一种新的攻击手段产生,就能在很短时间内传遍全世界,这些攻击手段利用网络和系统漏洞进行攻击从而造成计算机系统及网络瘫痪。蠕虫、后门、DOS和Sniffer等是大家熟悉的几种黑客攻击手段。这些攻击手段却都体现了它们惊人的威力,时至今日,有愈演愈烈之势。这几类攻击手段的新变种,与以前出现的攻击方法相比,更加智能化,攻击目标直指互联网基础协议和操作系统层次。从Web程序的控制程序到内核级Rootlets。安全问题已经摆在了非常重要的位置上,网络安全如果不加以防范,会严重地影响到网络的应用。
二、影响计算机网络系统安全的因素
1.病毒入侵。计算机病毒因为其隐蔽性、潜伏性、传染性和破坏性的特点, 对计算机网络安全造成巨大的破坏。未来计算机病毒的摧毁力度将越来越强,隐蔽性和抗压性也日益增强,这些病毒的存在对于计算机网络安全而言无疑是定时炸弹。
2.恶意攻击。这是计算机网络所面临的最大威胁,敌手的攻击和计算机犯罪就属于这一类。此类攻击又可以分为以下两种:一种是主动攻击,它以各种方式有选择地破坏信息的有效性和完整性;另一类是被动攻击,它是在不影响网络正常工作的情况下,进行截获、窃取、破译以获得重要机密信息
3.软件漏洞
任何的系统软件和应用软件都不能百分之百的无缺陷和无漏洞的,而这些缺陷和漏洞恰事前非法用户、黑客进行窃取机密信息和破坏信息的首选途径。
4.操作员不当操作
安全设置不当造成的安全漏洞,用户安全意识不强,用户口令选择不慎,用户将自己的账号随意转借他人或与别人共享等都会对网络安全带来威胁。对于系统漏洞的不及时修补以及不及时防病毒都可能会给网络安全带来破坏。
5.有缺乏效评估和监控手段。全面准确的安全评估是防范黑客入侵体系的基础,它可以对将要构建的整个网络的安全防护性做出科学、准确的分析评估, 并保障将要实施的安全策略在经济上、技术上的可行性。但在现实中,计算机网络安全的维护更多注重的是事前预防与事后弥补,在事中评估和监控方面有所欠缺,这直接造成网络安全的不稳定。
三、网络环境中的信息安全技术
1.防火墙技术
防火墙技术是指隔离在本地网络与外界网络之间的一道防御系统的总称。在互联网上防火墙是一种非常有效的网络安全模型,通过它可以隔离风险区域与安全区域的连接,同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量,仅让安全、核准的信息进入。通常保障网络信息安全的方法有两大类:以“防火墙”技术为代表的被动防卫型和建立在数据加密、用户授权确认机制上的开放型网络安全保障技术。
“防火墙”(Firewall)安全保障技术主要是为了保护与互联网相连的企业内部网络或单独节点。它具有简单实用的特点,并且透明度高,可以在不修改原有网络应用系统的情况下达到一定的安全要求。防火墙一方面通过检查、分析、过滤从内部网流出的IP包,尽可能地对外部网络屏蔽被保护网络或节点的信息、结构,另一方面对内屏蔽外部某些危险地址,实现对内部网络的保护。
实现防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。
2.安全加密技术
加密技术是为通信信息流或数据提供机密性的保护。还为实现安全机制起主导或辅助的作用。加密的算法则是一种对于信息的编码规则,它也是编码与译码依赖于密钥的参数。用户使用该规则就可以在密钥的控制下将明文的消息改为密文,使用译码规则就可以将密文还原为明文。没有正确的密钥则无法实现加密或者解密的操作,非授权用户则无法还原加密的信息。密钥是有其特殊性的,目前主要有两种类型,即对称密码体制和非对称密码体制。对称密码算法为des和各种变形、idea以及aes、rc5算法等。非对称密码的算法较为著名的有rsa、圆曲线算法和背包密码等。
3.入侵检测技术
随着网络安全风险系数不断提高,作为对防火墙及其有益的补充,IDS(入侵检测系统)能够帮助网络系统快速发现攻击的发生,它扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。入侵检测系统是一种对网络活动进行实时监测的专用系统,该系统处于防火墙之后,可以和防火墙及路由器配合工作,用来检查一个LAN网段上的所有通信,记录和禁止网络活动,可以通过重新配置来禁止从防火墙外部进入的恶意流量。入侵检测系统能够对网络上的信息进行快速分析或在主机上对用户进行审计分析,通过集中控制台来管理和检测。
4.备份系统
备份系统可以全盘恢复运行计算机系统所需的数据和系统信息。对系统设备的备份。备份不仅在网络系统硬件故障或人为失误时起到保护作用,也在入侵者非授权访问或对网络攻击及破坏数据完整性时起到保护作用。
5.数字签名
数字签名又名电子签名,包括在身份认证、数据的完整性以及不可否认性和匿名性等方面的应用。主要有两个过程,即签名者用给定的数据单元来签名,接收者验证此签名。这种技术的应用也是十分广泛的,在电子印章和商务合同中经常采用,还有电子邮件安全协议族和安全电子支付协议等密钥分发都是采用的数字签名技术。
6.身份认证
身份认证技术又被称为鉴别或者确认,是通过验证被认证的对象是一个或者多个参数的真实性和有效性来证实该对象是否符合或有效的过程,用以保护数据的准确性和真实性。身份认证在金融、保险、电信和医疗、公安等领域都起着重要的作用,随着计算机网络技术的发展,电子银行和电子商务等特别注重网络安全的领域都亟需该技术的支持。目前的身份认证技术主要有两类:传统身份认证技术和双因素身份认证技术。
7.防病毒技术
随着计算机技术的不断发展,计算机病毒变得越来越复杂和高级,对计算机信息系统构成极大的威胁。在病毒防范中普遍使用的防病毒软件,从功能上可以分为网络防病毒软件和单机防病毒软件两大类。单机防病毒软件一般安装在单台PC上,即对本地和本地工作站连接的远程资源采用分析扫描的方式检测、清除病毒。网络防病毒软件则主要注重网络防病毒,一旦病毒入侵网络或者从网络向其它资源传染,网络防病毒软件会立刻检测到并加以删除。
8.安全管理队伍的建设
在计算机网络系统中,绝对的安全是不存在的,制定健全的安全管理体制是计算机网络安全的重要保证,只有通过网络管理人员与使用人员的共同努力,运用一切可以使用的工具和技术,尽一切可能去控制、减小一切非法的行为,尽可能地把不安全的因素降到最低。同时,要不断地加强计算机信息网络的安全规范化管理力度,大力加强安全技术建设,强化使用人员和管理人员的安全防范意识。
信息安全技术范文第10篇
关键词:信息安全;信息安全管理
中图分类号:TP393文献标识码:A文章编号:1009-3044(2012)15-3491-03
计算机、网络已经逐渐成为我们工作生活中必不可少的一部分了,企业办公自动化已经成为普遍现象。但是我们在享受信息化带来诸多便利的同时,也要看到信息化给企业带来的诸多不便。2011年上半年,花期银行由于遭受黑客攻击,二十多万客户资料信息外泄,为银行和客户带来巨大的损失,同期国际著名的安全解决方案提供商RSA遭受黑客的恶意攻击,对其超过五百家客户造成潜在风险,给该企业带来高达数百万的损失。信息安全是企业整体安全的重要方面,一旦企业重要的信息外泄,会给企业带来巨大的风险,甚至有可能将企业带入破产的境地。
1企业信息系统安全的发展
随着信息技术的产生,信息系统安全的保护也随之而来,并且随着信息技术的不断更新换代,信息系统安全保护的战略也不断发展,接下来我们可以简要地分析一下信息安全系统的发展历程。
信息系统安全的第一步是保障信息的安全,当时各个电子业务系统较为独立,互联网还不太流行,这时主要技术是对信息进行加密,普遍运用风险分析法来对系统可能出现的漏洞进行分析,合理地填补漏洞,消除威胁,这是一种基于传统安全理念指导下的系统安全保护。
随着互联网技术的深入,信息系统安全开始逐步向业务安全转化,开始从信息产业的角度出发来考虑安全状况,此时的互联网已经成为工作生活的一个组成部分。这时候我们需要保护的不再仅仅是相关信息了,我们需要对整个业务流程进行保护,分析其可能出现的问题。本阶段的安全防护理念关注整个业务流程的周期,对流程的每一个节点进行综合考虑。信息保护在此时只是整个系统安全的一部分,是作为最为基础的防护技术,除此之外,还强调对整个流程的监控,防止某个节点可能出现的不安全因素,一旦出现任何风吹草动的现象我们可以立即予以控制。此外,审计技术在这个时候也被引入,通过对技术操作的跟踪,可以对攻击发起者进行责任追究,对攻击者起到一种震慑的效果。
到目前为止,业务系统的独立性和边界已经逐步弱化,系统间的融合更为常见。以矿业企业为例,在大型集团中,往往存在财务系统、生产系统、销售系统、统计分析系统等,这些系统之间需要相互勾稽,系统与系统之间需要互相取数,因此大量的系统集中到了一个业务平台中,由该平台来提供整体服务。这样的话,我们对于信息系统安全的需求也从单系统向多系统转换,我们在关心单个系统安全的同时,还要对其系统平台服务给予更多的关注。这样的话,企业信息安全也开始由业务流程向服务转换。
2企业信息安全存在的问题分析
信息安全问题我们可以将其进行进一步细分为物理、技术以及人为等三类因素。
首先来看物理方面,物理安全主要指的是机器设备以及网络线路出现的问题。一般企业在进行信息设备设置时最先考虑的因素是人员安全,即在保证信息设备不会对企业员工人身安全造成威胁的前提下再进行设备本身考虑。信息设备一般属于电气设备,容易受到打雷、水电等灾害的影响。如果服务器主机受到严重破坏,有可能导致企业整个信息系统崩溃。相对于其他电气设备而言,信息设备耐压数值比较小,企业需要其持续不断地运行,并且磁场的干扰对网络影响比较明显,这些都对信息设备的物理安全提出了要求,需要防止可能出现的问题。
其次是技术方面,对于大量企业而言,可以分为内部网络和外部网络,内部网络相对安全性较高。对于绝大多数企业而言,局域网都会通过一定途径与外部网相连接。这样内部网路安全性就受到内部网络设备与外部网络进行的沟通的威胁。同时,操作系统的安全以及应用程序的安全都是技术上所面临的困扰。
在操作系统方面,我们的选择比较狭窄,大多数企业只能选择微软操作系统,每个系统都存在一定的漏洞,都会造成信息的外泄。其实操作系统同样是软件,微软为系统安全会不定期推出安全更新与漏洞补丁,虽然我们可以通过系统的Windows Update或其他辅助软件来给系统修修补补,但这还不是100%的安全保证。随着微软在安全技术上的逐渐改进,系统漏洞出现的次数越来越少,现在很多黑客开始把注意力转移到常用的第三方软件上来,也就是要利用这些软件的漏洞来进行攻击。相对于操作系统而言,应用软件方面我们选择性比较大,但目前流行的各种病毒、木马都会给我们企业的信息安全带来极大的影响。
尤其是现在大部分企业都建立有自己的官方网站,保存着企业的重要数据和客户资料等,而如果网站存在一个通用漏洞,就会被恶意的黑客攻击,甚至黑客还会进行木马的上传来得到WebShell,添加隐藏超级账号,使用远程桌面连接等操作,从而导致网络沦落为黑客手中的“肉鸡”。因此,如果使用网站模板代码,必须要时刻关注该网站模板是否有最新的漏洞被曝光,及时到官网上下载并打上相关的漏洞补丁程序。另外,网管务必要有经常查看网站登录日志的习惯,检查后台登录的IP是否有异地的可疑信息,或者是否被添加了异常的管理账号等等,永远绷紧安全这根弦。
对局域网进行妥善管理,让网络运行始终安全、稳定,一直是所有网络管理员的主要职责。为了保证局域网的安全性,不少网络管理员开动脑筋,并且不惜花费重金,“请”来了各式各样的专业安全工具,来为局域网进行保驾护航。然而在实际工作过程中,如果没有现成的专业安全防范工具,也可以利用客户端系统自带的安全功能,保护自己的上网安全。
最后是人员方面,人员是企业信息外泄的重要途径,其中我们可以将其分为两大类,一类是内部人员的泄密。这往往体现在员工将企业核心机密通过硬盘等设备将其带出公司信息设备,并且造成遗失等现象,最终导致公司机密为外界所获取,信息安全受到严重威胁。另一部分是黑客攻击,这类攻击对公司造成的损失非常大。该行为的目标就是获取相应的信息。随着黑客技术的发展,传统的防火墙甚至物理网闸断开都难以完全避免黑客的攻击。目前企业繁多的保护程序对黑客的防护效果不佳,反倒给用户带来了诸多不便。
3企业信息安全改进建议
3.1物理安全防护
网络结构设计直接影响到企业的信息安全,局域网的网络拓扑设计也成了信息防护的关键所在,一般情况下,企业的网络拓扑结构图如下:
图1内部网拓扑结构图
在整个流程中,核心交换机是关键,首先它必须满足国家相关的规定标准,可以承载相应的功能。机房设计要考虑到防盗、防火等,必须实行24小时监控。硬件防火墙是我们进行信息保护的一个重要措施,性能比软件防火墙更为强大,这也决定了硬件防火墙的价格相对而言更为昂贵。硬件加密卡也是我们目前使用范围比较广泛的一个技术措施,它独立于计算机系统,一般难以通过常用的软件模拟方式来对其进行攻击,因此独立性能更高。通过合理配置计算机硬件保护器,我们可以将信息保护的基础工作做得更加有效,能够为控制技术风险和人为风险提供良好的基础。
3.2技术安全
相对而言,技术安全是比较难以处理的,信息技术的发展非常迅速,我们难以面对层出不穷的网络技术攻击做出完全有效的防御,需要及时改变技术防御措施。
3.2.1数字签名和加密技术
在网络中,我们可以不断发展传统的数字签名和加密技术,防止黑客的多种入侵。
我们可以以数字签名为例,通过设定数字签名,用户在进行各种操作时会打上自身的印记,可以防止除授权者以外的修改,能够极大地提高整体的安全系数,抵御黑客的攻击。在这个程序中,我们需要予以关注的是数字证书的获取,一般有以下三个途径:a使用相关软件创建自身的数字证书;b从商业认证授权机构获取;c从内部专门负责认证安全管理机构获取。
3.2.2入侵防护系统(IPS)
传统的防火墙旨在拒绝那些明显可疑的网络流量,但仍然允许某些流量通过,因此防火墙对于很多入侵攻击仍然无计可施。绝大多数IDS系统都是被动的,而入侵防护系统(IPS)则倾向于提供主动防护,其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失,而不是简单地在恶意流量传送时或传送后才发出警报。IPS是通过直接嵌入到网络流量中实现这一功能的,即通过一个网络端口接收来自外部系统的流量,经过检查确认其中不包含异常活动或可疑内容后,再通过另外一个端口将它传送到内部系统中。这样一来,有问题的数据包,以及所有来自同一数据流的后续数据包,都能在IPS设备中被清除掉。
3.2.3统一威胁管理(UTM)
美国著名的IDC对统一威胁管理(UTM)安全设备的定义的是由硬件、软件和网络技术组成的具有专门用途的设备,它主要提供一项或多项安全功能。它将多种安全特性集成于一个硬设备里,构成一个标准的统一管理平台。UTM设备应该具备的基本功能包括网络防火墙、网络入侵检测/防御和网关防病毒功能。这几项功能并不一定要同时都得到使用,不过它们应该是UTM设备自身固有的功能。
UTM安全设备也可能包括其它特性,例如安全管理、日志、策略管理、服务质量(QoS)、负载均衡、高可用性(HA)和报告带宽管理等。不过,其它特性通常都是为主要的安全功能服务的。
3信息安全管理
这主要是针对人员管理而设定的,是企业内部管理流程的一个重要方面,这是企业内部管控制度的一个重要组成方面。
每个企业都要有明确的硬件设备管理制度,专人负责保管,监督审查,确保硬件使用的合理和安全性。其次要对操作人员进行足够的培训,要求每一个使用人员都了解应当进行的合理操作,明白可能存在的网络安全隐患。第三要对数据保管有明确的责任和制度,防止大量数据的丢失,导致公司整体系统瘫痪。
为了进一步加强和规范计算机信息系统安全,公安部、国家保密局、国家密码管理局、国务院信息化工作办公室于2007年6月和7月联合颁布了《信息安全等级保护管理办法》和《关于开展全国重要信息系统安全等级保护定级工作的通知》,并召开了全国重要信息系统安全等级保护定级工作部署专题电视电话会议,标志着我国信息安全等级保护制度历经十多年的探索正式开始实施。
建立计算机信息系统安全等级保护制度,是我国计算机信息系统安全保护工作中的一件大事,它直接关系到各行各业的计算机信息系统建设和管理,是一项复杂的社会化的系统工程,需要社会各界的共同参与。大中型企业应该认真学习《信息安全等级保护管理办法》及相关技术标准规范,大力开展培训工作,落实好信息网络安全管理、安全技术、信息安全等岗位人员的继续教育培训,不断提高信息安全等级保护的能力与水平。
4结束语
在我们进行企业信息安全管理过程中,企业及企业员工是否对信息安全工作有足够的认识十分重要,企业领导和上层应该对企业信息安全工作给予必要的关注,企业信息安全不能仅仅依靠专业的IT技术人员,它需要我们全体企业员工的共同努力。
参考文献:
[1]孙博.企业信息安全及相关技术概述[J].科技创新导报,2009(04).
[2]徐国芹.浅议如何建立企业信息安全体系架构[J].中国高新技术企业,2009(5).
[3]王东.“北京移动案”暴露信息安全管理软肋[J].中国新通信,2006(6).
[4]吴辉.浅谈企业信息安全管理方案[J].科技情报开发与经济,2010(25).
[5]徐新件,朱健华.关于企业网络信息安全管理问题研究[J].供电企业管理,2008(2).
[6]汪红梅.我国信息安全保障体系存在的问题及对策刍议[J].信息网络安全,2008(2).
[7]盛玉.档案信息安全与安全保障体系内容的关系分析[J].网络财富,2009(12).
[8]峥嵘.信息备份为企业信息安全保驾护航[J].中国经贸.2008(10).