精华内容
参与话题
问答
  • 信息安全

    千次阅读 2011-10-24 20:14:22
    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、...
     
    

    信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。

    信息安全

      是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。

      其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法软件驻留,不能有非法操作。

      信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。

      关于这一部分的具体介绍,详见信息安全专业

    重要性

      

      

    积极推动信息安全等级保护

    信息作为一种资源,它的普遍性、共享性、增值性、可处理性和多效用性,使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏,即保证信息的安全性。根据国际标准化组织的定义,信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。但是,对于不同的部门和行业来说,其对信息安全的要求和重点却是有区别的。

      我国的改革开放带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,通信技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,运用侦察台、侦察船侦察机卫星等手段,形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网,截取我国通信传输中的信息。

      从文献中了解一个社会的内幕,早已是司空见惯的事情。在20世纪后50年中,从社会所属计算机中了解一个社会的内幕,正变得越来越容易。不管是机构还是个人,正把

      

    信息安全策略

    [1]

    日益繁多的事情托付给计算机来完成 ,敏感信息正经过脆弱的通信线路在计算机系统之间传送,专用信息在计算机内存储或在计算机之间传送,电子银行业务使财务账目可通过通信线路查阅,执法部门从计算机中了解罪犯的前科,医生们用计算机管理病历,所有这一切,最重要的问题是不能在对非法(非授权)获取(访问)不加防范的条件下传输信息。

      传输信息的方式很多,有局域计算机网、互联网和分布式数据库,有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中,都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出,单一的保密措施已很难保证通信和信息的安全,必须综合应用各种保密措施,即通过技术的、管理的、行政的手段,实现信源、信号、信息三个环节的保护,藉以达到秘密信息安全的目的。

    编辑本段主要威胁

      信息安全的威胁来自方方面面,不可一一罗列。但这些威胁根据其性质,基本上可以归结为以下几个方面:

      (1) 信息泄露:保护的信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      

    现代密码学宗师——肖国镇

    (3) 拒绝服务:信息使用者对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。我们平常所说的黑客大多采用的就是假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)抵赖:这是一种来自用户的攻击,涵盖范围比较广泛,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (11)计算机病毒:这是一种在计算机系统运行过程中能够实现传染和侵害功能的程序,行为类似病毒,故称作计算机病毒。

      (12)信息安全法律法规不完善:由于当前约束操作信息行为的法律法规还很不完善,存在很多漏洞,很多人打法律的擦边球,这就给信息窃取、信息破坏者以可趁之机。

    实现目标

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息

      

    信息安全相关书籍

    予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁

      (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      

    信息安全

    (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)。

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等

    主要来源

      ◆ 自然灾害、意外事故;

      ◆ 计算机犯罪

      ◆ 人为错误,比如使用不当,安全意识差等;

      ◆ "黑客" 行为;

      ◆ 内部泄密;

      ◆ 外部泄密;

      ◆ 信息丢失;

      ◆ 电子谍报,比如信息流量分析、信息窃取等;

      ◆ 信息战

      ◆ 网络协议自身缺陷,例如TCP/IP协议的安全问题等等。

      ◆ 嗅探,sniff。嗅探器可以窃听网络上流经的数据包。

    编辑本段安全策略

      信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    主要问题

      ◆ 网络攻击与攻击检测、防范问题

      ◆ 安全漏洞与安全对策问题

      ◆ 信息安全保密问题

      ◆ 系统内部安全防范问题

      ◆ 防病毒问题

      ◆ 数据备份与恢复问题、灾难恢复问题

    编辑本段技术简介

      目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEY、IC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆网络安全隔离:网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料[2]。网络安全隔离与防火墙的区别可参看参考资料[3]。 ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      信息安全服务

      信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作

    安全问题

      电子商务安全从整体上可分为两大部分:计算机网络安全和商务交易安全

      (一)计算机网络安全的内容包括:

      (1)未进行操作系统相关安全配置

      不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。网络软件的漏洞和“后门” 是进行网络攻击的首选目标。

      (2)未进行CGI程序代码审计

      如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。

      (3)拒绝服务(DoS,Denial of Service)攻击

      随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。今年2月美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。

      (4)安全产品使用不当

      虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。

      (5)缺少严格的网络安全管理制度 

      网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。

      (二)计算机商务交易安全的内容包括:

      (1)窃取信息

      由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。

      (2)篡改信息

      当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。这种方法并不新鲜,在路由器或网关上都可以做此类工作。

      (3)假冒

      由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。

      (4)恶意破坏

      由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。

    安全对策

      电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。

      1.计算机网络安全措施

      计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。

      (一)保护网络安全。

      网络安全是为保护商务各方网络端系统之间通信过程的安全性。保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。保护网络安全的主要措施如下:

      (1)全面规划网络平台的安全策略。

      (2)制定网络安全的管理措施。

      (3)使用防火墙。

      (4)尽可能记录网络上的一切活动。

      (5)注意对网络设备的物理保护。

      (6)检验网络平台系统的脆弱性

      (7)建立可靠的识别和鉴别机制。

      (二)保护应用安全。

      保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。

      由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。

      虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。

      (三)保护系统安全。

      保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。涉及网络支付结算的系统安全包含下述一些措施:

      (1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。

      (2)技术与管理相结合,使系统具有最小穿透风险性。如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。

      (3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。

      2.商务交易安全措施

      商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。

      各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。

      (一)加密技术。

      加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。加密技术分为两类,即对称加密和非对称加密。

      (1)对称加密。

      对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。

      (2)非对称加密。

      非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。信息交换的过程是:甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。

      (二)认证技术。

      认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。

      (1)数字签名。

      数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。

      (2)数字证书。

      数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。

      (三)电子商务的安全协议。

      除上文提到的各种安全技术之外,电子商务的运行还有一套完整的安全协议。目前,比较成熟的协议有SET、SSL等。

      (1)安全套接层协议SSL。

      SSL协议位于传输层和应用层之间,由SSL记录协议、SSL握手协议和SSL警报协议组成的。SSL握手协议被用来在客户与服务器真正传输应用层数据之前建立安全机制。当客户与服务器第一次通信时,双方通过握手协议在版本号、密钥交换算法、数据加密算法和Hash算法上达成一致,然后互相验证对方身份,最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息,客户和服务器各自根据此秘密信息产生数据加密算法和Hash算法参数。SSL记录协议根据SSL握手协议协商的参数,对应用层送来的数据进行加密、压缩、计算消息鉴别码MAC,然后经网络传输层发送给对方。SSL警报协议用来在客户和服务器之间传递SSL出错信息。

      (2)安全电子交易协议SET。

      SET协议用于划分与界定电子商务活动中消费者、网上商家、交易双方银行、信用卡组织之间的权利义务关系,给定交易信息传送流程标准。SET主要由三个文件组成,分别是SET业务描述、SET程序员指南和SET协议描述。SET协议保证了电子商务系统的机密性、数据的完整性、身份的合法性。

      SET协议是专为电子商务系统设计的。它位于应用层,其认证体系十分完善,能实现多方认证。在SET的实现中,消费者帐户信息对商家来说是保密的。但是SET协议十分复杂,交易数据需进行多次验证,用到多个密钥以及多次加密解密。而且在SET协议中除消费者与商家外,还有发卡行、收单行、认证中心、支付网关等其它参与者。

    工程监理

      信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。

      信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。

    编辑本段技术对比

    1. 信息安全法规、政策与标准

      1)法律体系初步构建,但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。

      据相关统计,截至2008年与信息安全直接相关的法律有65部,涉及网络与信息系统安全、信息内容安全、信息安全系统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域,从形式看,有法律、相关的决定、司法解释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时,与信息安全相关的司法和行政管理体系迅速完善。但整体来看,与美国、欧盟等先进国家与地区比较,我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法,信息安全在法律层面的缺失对于信息安全保障形成重大隐患。

      2)相关系列政策推出,与国外也有异曲同工之处从政策来看,美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列:

      一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南;

      二是形成了军、政、学、商分工协作的风险管理体系;

      三是国防部、商务部、审计署、预算管理等部门各司其职,形成了较为完整的风险分析、评估、监督、检查问责的工作机制。

      3)信息安全标准化工作得到重视,但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。

      我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检测、管理等方面的几十个主要标准。但总体而言,我国的信息安全标准体系目前仍处于发展和建立阶段,基本上是引用与借鉴了国际以及先进国家的相关标准。因此,我国在信息安全标准组织体系方面还有待于进一步发展与完善。

    2.信息安全用户意识与实践

      1) 信息安全意识有待提高

      与发达国家相比,我国的信息安全产业不单是规模或份额的问题,在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看,与美欧等相比较,仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低,以及在互联网使用过程中的密码使用以及更换等方面都更多地表明,我国个人用户的信息安全意识有待于提高。

      2)信息安全实践过程有待加强管理

      信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施,虽然,这是一个全球性的问题,但是我国用户在这一方面与发达国家还有一定差距。

    3.中间组织对信息安全产业发展的影响

      同国外相比较,国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等,而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等,其覆盖层次更多,面积更广。与欧美比较,国内资本市场相对薄弱,对于安全产业的发展而言,就缺乏有效的中间组织形式来推进和导向其发展,虽然国内目前有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务,但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

    4.信息安全培训与教育

      教育培训是培育信息安全公众或专业人才的重要手段,我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业,国家各级以及社会化的信息安全培训也得到了开展,但这些仍然是不够的,社会教育深入与细化程度与美国等发达国家比较仍有差距。在美国,对于企业的信息安全有很多监管规范,因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划,他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

    编辑本段信息安全专业

    专业简介

      信息安全是国家重点发展的新兴交叉学科,它和政府、国防、金融、制造、商业等部门和行业密切相关,具有广阔的发展前景。通过学习,使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关(部队)、金融行业、信息产业及其使用管理部门从事系统设计和管理,特别是从事信息安全防护方面的高级工程技术人才。

    主要课程

      离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程现代密码学、网络安全、信息伪装等

    培养要求

      通过学习本专业的学生应获得以下几方面的基本知识和职业能力:(1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识;(2)掌握计算机软、硬件加密、解密的基本理论、基本知识;(3)掌握计算机维护和系统支持的基本知识、基本技能;(4)掌握参与企业管理进行经济信息分析、处理的基本技能;(5)较熟练掌握一门外语,并能实际应用于信息安全管理领域

      基本技能掌握

      (1)掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。

      (2)掌握计算机软、硬件加密、解密的基本理论、基本知识。

      (3)掌握计算机维护和系统支持的基本知识、基本技能。

      (4)掌握参与企业管理进行经济信息分析、处理的基本技能。

      (5)较熟练掌握一门外语,并能实际应用于信息安全管理领域。

    我国信息安全专业较强的大学

      1. 信息安全国家重点实验室。

      最早由中国科学技术大学创办,后归中科院统一管理。以国字头命名,是中国目前唯一的国家级信息安全实验室。其实力不言而喻,当之无愧的NO.1!

      2、西安电子科技大学

      作为信息安全的主干学科,西电的密码学全国第一。1959年,受钱学森指示,西安电子科技大学在全国率先开展密码学研究,1988年,西电第一个获准设立密码学硕士点,1993年获准设立密码学博士点,是全国首批两个密码学博士点之一,也是唯一的军外博士点,1997年开始设有长江学者特聘教授岗位,并成为国家211重

      

    西安电子科技大学

    点建设学科。2001年,在密码学基础上建立了信息安全专业,是全国首批开设此专业的高校。在中国密码学会的34个理事中,西电占据了12个,且2个副理事长都是西电毕业的,中国在国际密码学会唯一一个会员也出自西电。毫不夸张地说,西电已成为中国培养密码学和信息安全人才的核心基地。 以下简单列举部分西电信安毕业生:来学嘉,国际密码学会委员,IDEA分组密码算法设计者;陈立东,美国标准局研究员;丁存生,香港科技大学教授;邢超平,新加坡NTU教授;冯登国,中国科学院信息安全国家实验室主任,中国密码学会副理事长;张焕国,中国密码学会常务理事,武汉大学教授、信安掌门人;何大可,中国密码学会副理事长,西南交通大学教授、信安掌门人;何良生,中国人民解放军总参谋部首席密码专家;叶季青,中国人民解放军密钥管理中心主任。西电拥有中国在信息安全领域的三位领袖:肖国镇、王育民、王新梅。其中肖国镇教授是我国现代密码学研究的主要开拓者之一,他提出的关于组合函数的统计独立性概念,以及进一步提出的组合函数相关免疫性的频谱特

      

    西安电子科技大学礼仪广场

    征化定理,被国际上通称为肖—Massey定理,成为密码学研究的基本工具之一,开拓了流密码研究的新领域,他是亚洲密码学会执行委员会委员,中国密码学会副理事长,还是国际信息安全杂志(IJIS)编委会顾问。西电的信息安全专业连续多年排名全国第一,就是该校在全国信息安全界领袖地位的最好反映。

      3. 中国科学技术大学

      信息安全的概念最早由中科大的华罗庚教授提出来,并参与创建了信息安全国家重点实验室。现在依托于中科院各软件所、计算所、实验室,所系结合创办有自己风格的信息安全专业,并每年有接近半数的本科毕业生保送到中科院各研究所、实验室。

      4. 武汉大学 2001年武汉大学第一批创建了信息安全本科专业, 2003武大又建立了信息安全硕士点、博士点和信息安全企业博士后流动站。

      武汉大学的信息安全专业综合实力不容小觑,就业率高达98%。毕业生大部分去了腾讯 (Tencent)、百度 (baidu)、谷歌(Google),更有少部分较优秀的直接去了IBM 、微软。

      其教学优势在于学院学风严谨 要求严格 专业设置与国际接轨。而且全国名师(百度百科可查)梁意文、余纯武等均亲自授课。信息安全作为新兴的综合性专业 涉及法律经济通讯等多个方面,综合实力强取传统IT学科之精华,去其糟粕,而且此专业录取分数较高。

      5. 上海交通大学

      上海交通大学信息安全工程学院,创建于2000年10月,是由国家教育部、科技部共同发起的国内首家信息安全专业人才培养基地;学院同时也是国家863计划信息安全产业化(东部)基地的重要组成部分,将为加速信息安全的研究及产业化进程,培养国家紧缺的信息安全专业人才提供有力保障。

      信息安全工程学院是以交通大学通信与信息系统学科和计算机应用技术学科中从事信息安全的研究力量为主,集中了学校信息安全各方面优势的跨学科、跨专业的新型教学科研实体。信息安全工程学院目前有密码理论及应用技术、网络安全与检测技术、计算机病毒防范技术、保密通信理论技术、电子商务技术、安全集成电路芯片设计、移动通信安全、安全操作系统、安全数据库、信息智能检索等研究方向。信息安全工程学院所有专业依托通信与信息系统和计算机应用技术两个二级学科,都具有博士、硕士学位授予权。

      6. 清华大学

      整个清华大学的综合实力就是这个专业的保证。如果在国内读的话,清华的信息安全是很不错的。王小云,姚期智都在那里。

      清华大学的信息安全课程需要设计的内容包括:国家的政策与法规,计算机环境安全和实体安全,用户安全,软件安全与盗版,软件加密,软件防拷贝和反跟踪技术,软件漏洞,操作系统安全,计算机病毒,计算机密码学,网络安全协议,防火墙,通讯安全和数据库安全,黑客安全技术,入侵检测,电子商务的安全等等。

    全国高校信息安全专业排名

      

    学位代码 院校名称 整体排名 学术队伍 科学研究 人才培养 学术声誉
    排名 得分 排名 得分 排名 得分 排名 得分 排名 得分
    10701 西安电子科技大学 1 92.44 9 77.70 1 100 4 83.14 1 100
    10003 清华大学 2 91.56 7 86.59 3 86.74 1 100 4 92.83
    10358 中国科学技术大学 3 88.65 1 100 5 82.89 2 84.84 2 93.72
    10486 武汉大学 4 83.16 8 85.99 8 76.93 5 80.03 3 93.31
    10248 上海交通大学 5 81.07 3 94.04 9 76.81 6 77.93 9 82.40
    90002 国防科学技术大学 6 80.65 2 94.58 2 86.83 3 83.87 6 83.81
    10013 北京邮电大学 7 80.62 5 88.14 7 79.25 7 75.96 8 82.69
    10213 哈尔滨工业大学 8 79.44 6 87.01 6 80.07 10 68.96 5 84.48
    10001 北京大学 9 78.29 10 70.34 4 85.18 8 71.56 10 80.17
    10613 西南交通大学 10 78.09 4 90.99 10 73.88 9 71.24 7 83.06

    就业方向和主要从事的工作

      信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈,信息安全成为维护国家安全和社会稳定的一个焦点,各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题,它不但是发挥信息革命带来的高效率、高效益的有力保证,而且是抵御信息侵略的重要屏障,信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分,是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面,如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。

      总之,在网络信息技术高速发展的今天,信息安全已变得至关重要,信息安全已成为信息科学的热点课题。目前我国在信息安全技术方面的起点还较低,国内只有极少数高等院校开设“信息安全”专业,信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作,也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景,适应时代,抓住机遇!

    编辑本段安全技术

    加密

      数据加密技术从技术上的实现分为在软件和硬件两方面。按作用不同,数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。

      在网络应用中一般采取两种加密形式:对称密钥和公开密钥,采用何种加密算法则要结合具体应用环境和系统,而不能简单地根据其加密强度来作出判断。因为除了加密算法本身之外,密钥合理分配、加密效率与现有系统的结合性,以及投入产出分析都应在实际环境中具体考虑。

      对于对称密钥加密。其常见加密标准为DES等,当使用DES时,用户和接受方采用64位密钥对报文加密和解密,当对安全性有特殊要求时,则要采取IDEA和三重DES等。作为传统企业网络广泛应用的加密技术,秘密密钥效率高,它采用KDC来集中管理和分发密钥并以此为基础验证身份,但是并不适合Internet环境。

      在Internet中使用更多的是公钥系统。即公开密钥加密,它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后,将其中一个作为公钥公开,另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法,加密强度很高。具体作法是将数字签名和数据加密结合起来。发送方在发送数据时必须加上数据签名,做法是用自己的私钥加密一段与发送数据相关的数据作为数字签名,然后与发送数据一起用接收方密钥加密。当这些密文被接收方收到后,接收方用自己的私钥将密文解密得到发送的数据和发送方的数字签名,然后,用发布方公布的公钥对数字签名进行解密,如果成功,则确定是由发送方发出的。数字签名每次还与被传送的数据和时间等因素有关。由于加密强度高,而且并不要求通信双方事先要建立某种信任关系或共享某种秘密,因此十分适合Internet网上使用。

    认证和识别

      认证就是指用户必须提供他是谁的证明,他是某个雇员,某个组织的代理、某个软件过程(如股票交易系统或Web订货系统的软件过程)。认证的标准方法就是弄清楚他是谁,他具有什么特征,他知道什么可用于识别他的东西。比如说,系统中存储了他的指纹,他接入网络时,就必须在连接到网络的电子指纹机上提供他的指纹(这就防止他以假的指纹或其它电子信息欺骗系统),只有指纹相符才允许他访问系统。更普通的是通过视网膜血管分布图来识别,原理与指纹识别相同,声波纹识别也是商业系统采用的一种识别方式。网络通过用户拥有什么东西来识别的方法,一般是用智能卡或其它特殊形式的标志,这类标志可以从连接到计算机上的读出器读出来。至于说到“他知道什么”,最普通的就是口令,口令具有共享秘密的属性。例如,要使服务器操作系统识别要入网的用户,那么用户必须把他的用户名和口令送服务器。服务器就将它仍与数据库里的用户名和口令进行比较,如果相符,就通过了认证,可以上网访问。这个口令就由服务器和用户共享。更保密的认证可以是几种方法组合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一环是规程分析仪的窃听,如果口令以明码(未加密)传输,接入到网上的规程分析仪就会在用户输入帐户和口令时将它记录下来,任何人只要获得这些信息就可以上网工作。为了解决安全问题,一些公司和机构正千方百计地解决用户身份认证问题,主要有以下几种认证办法。

      1. 双重认证。如波斯顿的Beth IsrealHospital公司和意大利一家居领导地位的电信公司正采用“双重认证”办法来保证用户的身份证明。也就是说他们不是采用一种方法,而是采用有两种形式的证明方法,这些证明方法包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器。

      2.数字证书。这是一种检验用户身份的电子文件,也是企业现在可以使用的一种工具。这种证书可以授权购买,提供更强的访问控制,并具有很高的安全性和可靠性。随着电信行业坚持放松管制,GTE已经使用数字证书与其竞争对手(包括Sprint公司和AT&T公司)共享用户信息。

      3. 智能卡。这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。

      4. 安全电子交易(SET)协议。这是迄今为止最为完整最为权威的电子商务安全保障协议。 信息安全的目标和原则

      信息安全的目标

      所有的信息安全技术都是为了达到一定的安全目标,其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。

      保密性(Confidentiality)是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性,也是信息安全主要的研究内容之一。更通俗地讲,就是说未授权的用户不能够获取敏感信息。对纸质文档信息,我们只需要保护好文件,不被非授权者接触即可。而对计算机及网络环境中的信息,不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者,以致信息被泄漏。

      完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态,使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等,形成虚假信息将带来严重的后果。

      可用性(Usability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求,也是在网络化空间中必须满足的一项信息安全要求。

      可控性(Controlability)是指对信息和信息系统实施安全监控管理,防止非法利用信息和信息系统。

      不可否认性(Non-repudiation)是指在网络环境中,信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

      信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制,实现对保密性、完整性和可用性的有效补充,主要强调授权用户只能在授权范围内进行合法的访问,并对其行为进行监督和审查。

      除了上述的信息安全五性外,还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。信息安全的可审计性是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比,可审计性的含义更宽泛一些。信息安全的可见鉴别性是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。

      信息安全的原则

      为了达到信息安全的目标,各种信息安全技术的使用必须遵守一些基本的原则。

      最小化原则。受保护的敏感信息只能在一定范围内被共享,履行工作职责和职能的安全主体,在法律和相关安全策略允许的前提下,为满足工作需要。仅被授予其访问信息的适当权限,称为最小化原则。敏感信息的。知情权”一定要加以限制,是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(need to know)和用所必须(need协峨)的原则。

      分权制衡原则。在信息系统中,对所有权限应该进行适当地划分,使每个授权主体只能拥有其中的一部分权限,使他们之间相互制约、相互监督,共同保证信息系统的安全。如果—个授权主体分配的权限过大,无人监督和制约,就隐含了“滥用权力”、“一言九鼎”的安全隐患。

      安全隔离原则。隔离和控制是实现信息安全的基本方法,而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离,按照一定的安全策略,在可控和安全的前提下实施主体对客体的访问。

      在这些基本原则的基础上,人们在生产实践过程中还总结出的一些实施原则,他们是基本原则的具体体现和扩展。包括:整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

    展开全文
  • 课程紧跟软考信息安全工程师考试大纲,通过作者多年的软考辅导经验及实际的信息安全工作实战经历,本视频教程对信安考试中的所有知识点进行了详细的讲解及总结;对于软考中重点考、反复考的知识点做了强化训练;对于...
  • 课程紧跟软考信息安全工程师考试大纲,通过作者多年的软考辅导经验及实际的信息安全工作实战经历,本视频课程对信安考试中的所有知识点进行了详细的讲解及总结;对于考试中重点考、反复考的知识点做了强化训练;对于...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...

    需要网络安全制度汇编请下载 网络安全等级保护-信息安全管理制度汇编参考下载 ,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构

       需要加强等网络、信息安全级保护定级备案,网络安全测评及网络安全整改工作。

       链接:https://pan.baidu.com/s/1Z5n_1S4hHUFfuuci2yIpnw 提取码:fwfi 
     

    • 机房管理制度

    为规范机房内部管理,确保系统安全可靠运行,特制定本制度。

    一、机房内部实行区域安全责任制,有关责任人对自己相应责任区负责。区域划分和相应责任人另行作出具体规定;

    二、工作人员进入机房实行权限管理制度,被授权人员按照权限刷卡进入相应区域;

    三、参观考察或者监测维修等非工作人员进入机房需经批准并登记,其在机房内的一切活动必须得到允许并接受监督;

    四、严禁将易燃易爆、强腐蚀、强磁性物品带入机房,未经许可不得将手机等移动通讯设备、摄影摄像设备和与工作无关的移动存储设备带入机房;

    五、未经允许严禁参观、拍照、录音、录像,禁止在机房内吸烟;

    六、进入机房必须戴鞋套或更换机房专用拖鞋;

    七、机房内物品摆放要整齐有序,机器设备要清洁干净,保持良好的卫生环境;严禁在机房内会客接待、大声喧哗,保持安静的工作环境;

    八、相关责任人要定时检查供电配电系统、空调通风系统、视频监控系统、门禁控制系统和消防安全系统等,确保各配套系统安全正常运转;

    九、严禁用机房内的计算机运行与工作无关的软件,以防计算机病毒感染;

    十、严禁随意拆卸设备、私自接线和开关电源等操作;

    十一、定时查看机房温度、湿度,保持其符合规定范围。

     

    • 介质管理制度

    一、本规定所称介质包括:硬盘、软盘、光盘、磁带、数字证书介质(USB Key/IC卡)、系统密钥介质等,分涉密和非涉密两种;

    二、非涉密介质的使用管理;

    1、非涉密介质包括通用产品如服务器驱动、防病毒软件系统光盘/软盘等;

    2、非涉密介质,实行谁使用管理的原则。

    三、涉密介质的使用管理;

    1、涉密介质管理遵循“统一购置、统一标识、统一备案、跟踪管理”的原则;

    2、实行专人管理。收发应履行清点、登记、编号、签收等手续,严格登记交接手续。要按类编号,注明涉密标识,并定期进行检查;

    3、涉密介质必须存放在安全场所的保密设备里;

    4、涉密介质严禁在与互联网连接的计算机和个人计算机上使用;

    5、各类涉密介质未经批准严禁外出使用,更不得外借使用。特殊情况携带涉密介质外出使用时,须履行审批手续;

    6、要根据介质的目录清单对介质的使用现状进行定期检查,检查项目包括数据的完整性和介质及数据的可用性检查。

    四、介质的销毁。

    1、与业务系统相关的涉密介质损坏后不得自行销毁或丢弃,需按照普通密码使用管理规定进行办理;

    2、非涉密介质的销毁,经单位领导批准后统一处理。

    • 软件管理制度

    一、软件管理的范围包括对操作系统、应用软件、数据库、安全软件、工具软件的采购、安装、使用、更新、维护、防病毒的管理;

    二、本中心所使用的操作系统、应用软件、数据库、安全软件、工具软件必须是正式版本,严禁使用测试版和盗版软件;

    三、中心重要系统出现故障或需要重装主要的应用软件,必须经中心领导批准才能进行安装;

    四、所有的涉密软件原件(盘)应严格登记,并由专人保管;

    五、软件的销毁应按有关的规定执行;

    六、软件的防病毒管理

    1、必须安装经相关部门认可的防、杀病毒软件产品;

    2、定期组织防病毒系统的病毒库升级及杀毒工作;

    3、不得使用未经批准和检测的外来软件或磁盘、光盘,不允许在计算机上玩游戏;

    4、发现病毒后立即使用防病毒工具进行检测和灭毒,如不能完全消灭病毒时,立即上报并暂停工作;

    5、对于染毒次数、杀毒后果进行详细记录,不得隐瞒不报。

    • 设备管理制度

    一、设备包括:计算机及配套设备、打印机、传真机、复印机、照相机、录像机等;

    二、设备管理实行责任到人制度,对所有设备进行区分,分别指定责任人;

    三、所有设备必须建立档案,记录设备的生产厂家、购买地点、用途、价格、型号、维修记录和责任人等信息;

    四、设备的使用说明、维修、技术资料、培训资料以及相关的书籍图纸等要分类保管;

    五、设备的转让、借出、报废、销毁,须报经机要局批准,并履行相应手续;

    六、严格按操作规程使用设备,保持设备清洁,定期维护保养,确保设备正常运转;

    七、根据工作需要,需购置新设备的,写出书面申请报机要局批准,内容包括申请理由、用途、预算等;

    八、拟购设备必须是是国家认可的产品;

    九、所购设备要及时备案。

    • 环境管理制度

    一、周边环境安全管理

    1、通过电子视频和警报系统对机房门口进行监控;

    2、对机房配套设施应经常进行检查,及时维修,保证设备正常使用。

    二、涉密场所安全保密管理

    1、涉密机房。

    1)涉密信息系统按有关规定,确定保密要害部门、部位,实施安全保密管理;

    2)机房建设应满足GB 50174、GB/T 2887-2000的要求,并在防火、防水、防震、防雷、防静电、布线、电力等方面应符合GB 9361-1988中A类机房建设要求;

    3)对于机房涉密程度较高的区域,进入时实行指纹或刷卡验证方式。离开机房应关好门窗,节假日打开报警装置;

    4)机房安全实行责任制,分区域专人管理;

    5)机房核心区域内采取相应防护措施,设置监控录像并对机房进出人员情况进行监控,自动记录日志;

    6)接待参观考察或本系统的人员进入机房,应有相关人员陪同,做好登记;设备检修、调试等外来人员,应先登记报领导同意后,方可进入;

    7)禁止携带与工作无关的具有录音、信息存储以及无线通信等功能的设备进入机房核心区域;

    8)工作人员应对机房内设备所发生的故障、处理过程和结果等做好详细登记;

    9)各类软件系统的维护、增删、配置的更改,各类硬件设备的添加、更换必需经严格审批后方可进行,并进行详细登记和记录;

    10)机房内应保持安静的工作环境,不大声喧哗。禁止会客、吸烟、喝水,未经允许不得拍照、摄像;

    11)工作人员临时离开机房,应及时关门;下班或节假日期间,应将涉密介质及相关保密设备应放入保密柜。

    2、无线、多媒体产品使用规定。

    1)禁止使用具有无线互联功能的信息设备处理涉密信息,凡用于处理涉密信息的信息设备应拆除具有无线联网功能的硬件模块;

    2)用于处理涉密信息的信息设备应禁止使用无线键盘、无线鼠标及其它无线互联的外围设备;

    3)在涉密场所内谈论涉及国家秘密事项时,应对具有音频输入功能并与互联网连接的信息设备采取关机断电措施;

    4)手机等无线通信和定位终端设备的使用应符合“中办发(2005)29号”文件的要求;

    5)手机存放屏蔽柜,严禁带入机房。

    3、安全巡查。

    1)建立日常、节假日值班制度,每天检查重要部位的安全状况,离岗时要进行安全和用电检查;

    2)做好工作区域内的防火、防盗等工作,发现异常情况及时处理。

    三、保障设施

    1、定期检测检修。为了密钥管理系统运行的稳定正常,定期对配套设施进行检测与检修;

    2、应不定期对机房内设置的消防器材、监控设备进行检查,以保证其有效性。

    • 培训考核制度

    培养和配备过硬的人才队伍,是成功实现技术转移、保证系统长期稳定和良好运转的重要保障。为此,对所有相关使用、管理人员进行全面、细致的培训是必不可缺的。

    一、培训内容和目标。

    1、培训内容:主要包括但不限于网络安全基础知识、信息系统的基本原理和基本的操作维护常识;中心网站及信息管理系统的安装、使用、故障处理、维护等内容。

    2、培训目标:全面了解网络信息安全基础知识、信息系统的操作使用;能够掌握网站及信息系统相关设备的安装、调试与基本维护技能;能独立对安全设备进行管理、运行、故障处理及日常测试维护等工作,保障系统正常运行。

    二、培训方式。根据培训对象和培训内容的实际情况采用现场培训或集中培训的方式进行。

    三、培训时间和培训地点。时间根据培训需要另行确定;地点主要应安排在系统的研发现场、安装和使用现场。

    四、培训考核。培训完成后,对受训人员进行上机操作和笔试考核,所有受训人员考核必须全部过关。

    • 机房进出管理制度

    中心机房工作人员和参观访问者要严格遵守本规章制度。控制范围包括机房公共区、操作区、管理区、服务区和核心区,其中操作区、管理区、服务区和核心区称为敏感区域,而服务区和核心区又称为特别敏感区域。

    一、所有进出贵阳高**厅政务中心机房的人员都必须佩带有关证件来标示自己的身份,包括工作人员需要佩带职员工作证和外来访问者需要佩带访问者证件,中心管理员应及时制止并记录非法授权访问;

    二、访问者进入贵阳高**厅政务中心机房时要领取访问时间表格,访问完成之后要由接待者(必须是中心工作人员)签名本次访问时间的表格,并由访问者出门时交给办公室;

    三、参观访问人员进出敏感区域必须经中心领导的同意,同时必须要有贵阳高**厅政务中心的相关工作人员陪同,未经同意,不得擅自闯入敏感区域;中心工作人员进出敏感区域操作必须由两人协同进入(一人指纹,一人刷卡),同时要有详细的日志记录;

    四、需要访问敏感区域的访问者,必须由陪同的工作人员从公共区带领进入,必须穿鞋套或拖鞋进入,必要时需穿白大褂,保证机房清洁。参观期间,要求陪同的工作人员始终和访问者在一起,访问期间应注意机房卫生,访问结束后陪同人员负责协助回收访问证件;

    五、进出贵阳高**厅政务中心机房特别敏感区域必须由中心主任会指定的两名管理员协同配合,由一人刷卡,一人输入指纹进入机房,其中有一方不在场则不允许也不能进入机房的特别敏感区域;同时,对所有进出特别敏感区域的事件必须有详细的日志记录;

    六、所有卡、指纹和证件有专人管理,一旦丢失了卡或证件或指纹数据,必须立即向中心管理员报告,同时采取相应的补救措施,如取消该卡或该证件进出机房的权限以及补录指纹等措施;

    七、对公共区的访问可以由机房保安人员陪同,登记后即可访问和参观该区。

     

    • 岗位责任与权限管理制度

    贵阳高**厅政务中心信息系统日常运行维护管理,由工作人员严格按照划分的岗位执行,对应岗位赋予相应责任和权限。

    一、贵阳高**厅政务中心信息系统的日常运行维护管理工作由中心运维人员承担;

    二、按照运行维护需要设置相应的组织机构,保证系统安全运行、业务有序开展;

    三、根据运行维护需要设置业务岗位和管理岗位;

    四、业务岗位应包含业务管理人员、系统维护人员、文档和介质管理人员、业务受理和咨询服务人员;

    五、管理岗位应包含保密管理人员;

    六、岗位设置应责任到人,业务管理人员中,业务管理和操作人员与审计管理人员应设置不同人员;

    七、相应岗位人员不得越权使用系统。如岗位人员缺岗需其他人员代岗,须先报请运行维护领导者批准。

    • 机房日常安全管理制度-总则

    必须严格遵守《互联网信息服务管理办法》、《互联网电子公告服务管理规定》、《中华人民共和国计算机信息网络国际联网管理暂行规定》等国家有关法律法规;

    严格执行安全保密制度,对所提供的信息负责;不得利用计算机网络从事危害国家安全、泄露国家秘密等犯罪活动,不得制作、查阅、复制和传播有碍社会治安和有伤风化的信息;必须接受并配合国家有关部门、各级网络中心依法进行监督检查;

    严格执行有关维护管理的各项规章制度,维护规程;

    机房保持整齐、清洁,严禁吸烟、吃零食、闲谈及大声喧哗;制定机房每日清扫人员安排表,并定期进行大扫除;

    爱惜设备、仪器,保持设备的日常清洁,严禁携带强磁物进入机房,进入机房时要更换专用工作服和专用工作鞋;

    为了保证系统的正常运行,以及机房对运行和安全上的要求,在机房实行7*24*365值班制度,值班人员为不少于1名,保证出现故障能及时处理;

    凡进入机房进行日常维护和检查需两名以上工作人员,一人操作,另一人对所做操作进行记录;

    维护网络、机房的安全使用,发现故障及时处理并填写好各项记录;

    对设备应按正常规程进行操作,不得随意进行任何与工作无关的其他操作;

    机房内的任何设备不得随意拆卸、破坏;

    一般情况下,非工作人员不得进入机房;

    需要进出机房进行维护或其他非常规操作的人员,按机房出入控制制度进行管理;

    管理好各类原始记录和技术档案资料。定期向中心主管部门文档管理人员提交原始记录和技术档案资料归档管理;

    严禁携带照相机、摄像机等映像设备进入机房进行拍照、录像等活动;

    机房进出专人管理,做好登记;

    对各级机构人员编制、机房、设备图纸、系统资料等机密资料不得抄录影印或对外泄露;

    未经批准不得将机密图纸、机密文凭、软件版本、技术档案和内部资料携带出机房,并按时履行清退和登记签收手续。

     

    • 机房日常安全管理制度-日常维护管理

    日常维护指日常检测等经常性的简单维护工作,日常维护应在业务空闲时进行。发现不正常情况应及时处理和详细记录,对处理不了的问题,应立即向主管人员报告。日常维护工作主要内容包括:

    一、日志管理。主要是包括网络进出访问、机房对外应用系统、系统操作员的所有操作活动、与各分中心的交互活动、服务器运行情况、系统备份等信息进行日志记录。日志管理的功能包括:日志参数设置、日志查询、日志备份等。中心必须保存有全部详细的日志记录。设置独立的日志审计服务器存放各种日志信息,当日志库达到一定数量或日志记录超过一定时限的时候,操作员需归档备份日志,即是将日志转存到系统日志历史库中,保存于不可更改的介质上;

    二、日常检查。每日巡查至少四次,包括:配线间、空调房、UPS房、监控室、消防间、操作区和管理区,如有异常,按《机房故障事故处理流程》处理;每日早上上班后和晚上下班前检查各网络设备及各应用系统的状况,检查内容包括:防火墙进出访问情况、网络连接、监控系统检查、网站、OA、邮件系统以及日志检查等。如有异常,按《系统故障处理流程》处理;

    三、系统权限管理。针对不同的应用系统、用户实体、操作人员设置数据库信息的访问权限,应用系统功能的选择权限。系统提供对各种应用、各类用户实体、不同担任者的集中式的权限管理;

    四、系统服务维护。提供对各种业务流程的处理和管理方法的维护手段。维护的内容包括服务规则、服务参数设置和服务处理模式。服务维护应提供专门的界面,避免直接通过源程序或数据库进行操作;

    五、系统数据库维护。通过数据库系统提供的维护工具进行。操作人员要观察数据库系统运行的状况,及时对用户实体、数据库、数据空间进行调整,保证系统应能够在发生故障时恢复;

    六、系统服务器维护。通过服务器硬件厂商提供的维护工具进行。包括对服务器系统内部硬件资源的状态检测,对外部设备的检测、硬件障碍的恢复等;

    七、操作系统管理。通过操作系统厂商提供的维护工具进行的。包括对系统运行的状态检测,内部和外部设备的运行状态进行监视,对资源配置进行调整;

    八、系统网络管理。通过网管软件进行。运用设置在网管软件可以对机房各大系统如网站、主机、网络等设备进行集中检测、维护和控制;

    九、应用软件维护。应用软件开发应当按照国家软件工程相关技术标准提交文档资料。对应用软件因功能要求变化或软件出错的维护应当制订详细的可溯性文档,如问题分析、处理方法、处理结果等。

    • 机房日常安全管理制度设备管理

    必须对机房设备采取适当的、严格的安全防护措施以减少偶然无意构成的威胁,如硬设备故障、突然断电或电源波动太大等安全威胁。

    一、未经中心系统管理员同意,任何人不得打开机房服务器机柜,随意拆卸、更换交换机、服务器硬件配置等设备;

    二、机房设备的搬迁,必须填写《物品放行条》,经中心主管部门批准后,由中心系统管理员负责处理;

    三、需对机房设备定期进行设备清点和维护。并填写《机房设备清点列表》;

    四、机房内的所有设备,均应进行定期检查,防止磁场强度超标。

     

    • 机房日常安全管理制度系统安全管理

    一、计算机病毒防范制度。

    1、网络管理人员应有较强的病毒防范意识,定期进行病毒检测,发现病毒立即处理并通知管理部门或专职人员;

    2、采用国家许可的正版防病毒软件并及时更新软件版本;

    3、未经上级管理人员许可,当班人员不得在服务器上安装新软件,若确为需要安装,安装前应进行病毒例行检测;

    4、经远程通信传送的程序或数据,必须经过检测确认无病毒后方可使用。

    二、数据保密及数据备份制度。

    1、根据数据的保密规定和用途,确定使用人员的存取权限、存取方式和审批手续;

    2、禁止泄露、外借和转移专业数据信息;

    3、制定业务数据的更改审批制度,未经批准不得随意更改业务数据;

    4、业务数据规定每周定期、完整、真实、准确地转储到不可更改的介质上(磁带),并要求集中和异地保存,归档保存于保险柜内,保存期限至少十年;

    5、采取多种的数据备份模式,以确保数据的可靠安全,分为本机备份、交叉备份、实时备份、定期冷备份、远程容灾备份;

    6、备份数据每周必须检查一次,检查每日数据是否已经按时完整备份,备份过程是否出现异常;

    7、每月定期从归档备份数据中随机抽取样本进行恢复测试,以检查数据的完整性和可用性;

    8、备份的数据必须指定专人负责保管,由管理人员按规定的方法同数据保管员进行数据的交接。交接后的备份数据应在指定的数据保管室或指定的场所保管;

    9、备份数据资料保管地点应有防火、防热、防潮、防尘、防磁、防盗设施。

    三、网络安全。

    1、网络安全管理员主要负责机房网络的系统安全;

    2、严格控制网络上Email、BBS、WEB、FTP等工具传播或发表危害国家安全、泄露国家机密的信息,不得侵犯国家、社会、集体的利益和公民的合法权益,不得从事任何形式违法犯罪活动;

    3、网络安全管理员对于发现有重大安全事故或隐患,应及时保存证据并上报高一级网络管理部门和公安机关,由公安机关追究其相应责任;

    4、负责日常操作系统、网管系统、邮件系统的安全补丁、漏洞检测及修补等工作;

    5、网络安全管理员应时刻保持对最新网络技术的追踪掌握,实时了解网络的安全动向,了解各种黑客入侵手段,做到预防为主;

    6、良好周密的日志记录以及细致的分析经常是预测攻击,定位攻击,以及遭受攻击后追查攻击者的有力武器。察觉到网络处于被攻击状态后,网络安全管理员应确定其身份,并对其发出警告,提前制止可能的网络犯罪,若对方不听劝告,在保护系统安全的情况下可做善意阻击并向主管领导汇报;

    7、网络安全管理员每日负责检查各网络设备(包括防火墙、IDS、三层交换机、VPN设备、路由器、负载均衡等设备),以及对外开放访问系统(包括网站、电子邮件、对外应用服务等)的日志记录和运行情况,发现异常及时做好记录,并按相关规定进行处理;

    8、设置专门的日志审计查询服务器,对网络进出访问情况进行记录,并定期归档备份;

    9、定期对网络设备配置文件进行备份,并归档保存;

    10、定期测试恢复网络设备的归档配置备份,检查其可用性和准确性;

    11、所有网络设备必须保留一台作冗余,已备损坏后做到快速恢复;

    12、在做好本职工作的同时,应协助机房管理人员进行机房管理,严格按照机房制度执行日常维护;

    13、每月安全管理人员应向主管人员提交当月值班及事件记录,并对系统记录文件保存归档,以备查阅。

    • 机房日常安全管理制度人员管理

    一、操作员安全管理。中心的操作员分为:系统管理员、业务管理员和业务操作员。业务操作员由本中心业务管理员产生并赋予权限,业务管理员由本中心的系统管理员产生并赋予只有产生本中心业务操作员的权限,中心的系统管理员由系统初始化产生并赋予最大权限。

    对不同的操作员根据业务需要,可设置不同的操作权限,还允许根据实际需要修改操作员的权限。

    二、机房进出人员管理。机房出入控制指对内部和外部人员进出机房所作的限制和规定,具体包括:

    1、对机房应建立严格的进出管理制度,无关人员未经机房值班人员批准,严禁进入;

    2、机房采取分区控制。根据每个工作人员的实际工作需要规定能进入的区域,并对进入、退出时间及进入理由进行登记。对无权进入者的跨区域访问或外来者进入机房,必须经过机房值班人员的批准,并做好记录;

    3、进入机房需两人以上,采用密码输入加指纹的验证方式,进入核心区需按规定做好记录;

    4、凡不属于中心内部工作人员的其他单位工作人员进入机房前,必须填写《系统维护登记表》,经中心领导批准后,由机房值班人员陪同进入机房,机房值班人员应按照《维护登记表》严格监督此类工作人员进入中心机房后的工作并填写相关记录;

    5、凡跨区域或外来单位来访人员进入机房前,必须填写《来访登记表》,经中心主管部门领导批准后,由机房值班人员陪同进入机房。

    三、值班人员安全管理。为了保证系统的正常运行,以及机房对运行和安全上的要求,机房实行24小时值班制度,值班人员为不少于1名。对值班人员的要求如下:

    1、坚持四项基本原则,杜绝违反四项基本原则和情调不健康的信息上网或下载;

    2、严守保密规则,注意保守国家和部门的机密;

    3、遵守职业道德,为用户的个人资料、邮件和交换的数据文件保密;

    4、做好当天的卫生值日,保持机房的整齐、清洁;

    5、当班人员要严格遵守、并遵照执行机房管理制度,不得有任何违反行为;

    6、发生故障、迅速处理、及时排除。发生重大故障,例如服务器无法正常启动或某个软件模块不能正常运行一个小时以上,在处理同时,立即报告上级部门;

    7、当班人员要检查和分析设备及系统运行情况,保证设备的完好,电路合格通畅,系统运行正常;

    8、按规定时间上下班,未经批准不得擅自调换班次或离开岗位。在值班期间不得做与工作无关的事情;

    9、值班人员严格执行交接班制度,做到手续清楚,上下衔接;

    10、值班人员要正确及时的填写好各种原始记录,包括值班记录、故障记录、开通记录、设备日常检修记录、交接班记录。并妥善管理,直到交班;

    11、值班期间要尽职尽责,不得随意中断电力供应,不得随意改动系统数据;不得在毫无把握的情况下,对系统做任何的操作,以免破坏系统;

    12、未经上级主管部门批准,严禁修改系统数据;

    13、对系统所做的任何操作都要有详细的记录。

    四、交接班人员管理。交接班过程中双方人员的主要工作内容包括:

    1、检查网络、系统、动力及其他机房外围设备的运行情况;

    2、查看值班记录,了解系统运行情况;

    3、检查机房电源空调设备是否符合要求;

    4、防火装置及灭火器是否齐全、良好,告警装置是否正常;

    5、监控系统数据是否异常;

    6、在交接班时所发现的问题均应记入交接班记录薄中,并由交接双方签字;

    7、交接班时发生故障,暂缓交接,接班人员应协同处理或告一段落时再进行交接;

    8、属于漏交造成影响系统运行的,由交班人员负责;

    9、由于未认真进行接班而产生的问题,由接班人员负责。

    • 机房日常工作规范-每年工作

    一、系统脆弱性评估。每季度对系统进行脆弱性评估,扫描主要对外服务器的WEB漏洞和系统漏洞,针对发现的问题,进行安全防护,最终填写《主要对外服务器安全季度检测》。

    二、系统日志检查。检查中心信息系统的运行日志,分析日志中出现的异常。若日志中的异常因系统、网络故障所导致,将故障进行定级,把故障的情况和处理方法加入《中心系统故障处理规范》中。

    四、资料归档。归档《机房日常维护记录表》、《系统异常情况登记表》、《值班登记表》、《来访人员登记表》、《设备维护登记表》、《物品及费用管理登记表》;归档系统维护日志和数据库操作日志。

    五、清洗空调冷凝器(适用普通空调)。对于普通空调的室外冷凝器应每年至少清洗两次。使空调的冷凝器有良好的换热效果。避免空调室外风机的频繁启动及长时间运行。以提高空调的性能和节能。

    六、清洗/更换空调加湿器(适用精密空调)。对空调的加湿器应每季度作一次清洗工作,以使加湿器能正常工作保证机房的湿度正常和延长加湿器的工作寿命。对于结垢严重的加湿器应作更换。一般每年更换两次。

    七、清洁/更换空调过滤网。一定时间后空调的过滤网恢沾上较多的灰尘,为使空调具有较好的制冷效果,缩短空调压缩机的运行时间而节省电能及发挥空调的良好性能,过滤网需要每季度清洗一次。
    对于老化的或使用时间较长的过滤网应作更换处理,一般每年更换两次。

    八、检查空调制冷剂量(雪种)。对空调的制冷剂量一般在每年四-五月份(夏季空调使用高峰来临前)作一次检测,看空调制冷系统的制冷剂量是否合适。以免使压缩机过负荷工作或轻载工作而影响制冷效果。

    九、机房清洁。年终对机房所有设施及内外环境进行大扫除,保持机房一个洁净的环境。

    十、UPS保养。每半年进行一次UPS的完全充放电,放电完全后再充满电,保持UPS电池性能。本操作需要填写UPS保养记录表。

    十一、消防应急灯保养。每半年进行一次消防应急灯的完全充放电,即完全放电完全后再充满电,保持消防应急灯电池性能。本操作需要填写设备维护记录表。

    十二、蓄电池保养。每半年进行一次蓄电池的完全充放电,完全放电后再充满电,保持蓄电池的性能。本操作需要填写《设备维护登记表》。

    十三、环境综合检查。检查电力、空调、门禁、监控和消防系统:请物业和消防部门对机房各系统进行检查,杜绝隐患。

    • 机房日常工作规范-每月工作

    一、备份删除。检查各系统备份情况,根据备份机制,删除冗余

    备份,保证系统资源的有效利用,具体情况如下:

    1、备份机制为本机备份和备份终端备份,具体情况是:

    1)本机备份:信息系统本机数据库备份删除(保留完整的一个月数据)。
          2)终端备份:所有的删除机制都是自动进行,检查自动删除是否已完成即可;

          3)磁带备份:不做任何删除操作,检查磁带是否已满,如满

    则更换,直至无磁带更换时,擦录旧磁带,覆盖原有数据;删除备份应做到细心谨慎,不可误操作。除终端备份,一般都要保留一个月,即各系统都至少有一个月的数据存档保存。

    二、资料归档。归档《机房日常维护记录表》、《系统异常情况登记表》以及《值班登记表》;归档系统维护日志和数据库操作日志。

    三、监控系统维护。检查监控系统状态,主要包括监控软件的各项参数以及硬盘的使用状态,保证监控系统的正常运行。

    四、门禁系统维护。检查门禁软件的各项功能、上个月的门禁记录和硬盘的使用状态,将检查结果详细记录到《机房日常维护记录表》。

    五、操作系统升级。检查操作系统的最新升级包和补丁,并对操作系统进行升级/打补丁,保证服务器操作系统的安全。对操作系统打补丁,必须按照《系统变更制度》,经过严格的测试,并通过审核的情况下进行。

    六、设备资料备份。对重要设备资料进行备份,包括防火墙、入侵检测系统、核心交换机等重要设备的配置文件以及数据库的建表语句(如有改动)等。

    七、清洗空调室外冷凝器(适用精密空调)。空调室外冷凝器(也叫室外散热器)容易吸入较多灰尘,为使空调的冷凝器有良好的换热效果,避免空调室外风机的频繁启动及长时间运行,以提高空调的性能和节能,同时精密空调需要较好的维护,因此对精密空调的室外冷凝器每月用水冲洗一次。

    八、发电机每月检修。对机房发电机每月进行两次测试运行以便检修,保障发电机的正常运行和日常维护。

    九、消防每季度巡检。对机房消防系统进行季度巡检,保障消防系统的正常运行和日常维护,巡检内容请见《消防设备定期巡检记录表》。

    十、精密空调每季度巡检。对机房精密空调进行季度巡检,保障精密空调的正常运行和日常维护。

     

     

     


     

    展开全文
  • 信息安全技术

    千次阅读 2010-03-07 09:48:00
    信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全是一门涉及计算机科学、网络技术、通信技术、密码...

    信息安全是指信息网络的硬件软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。

    信息安全是一门涉及计算机科学网络技术通信技术密码技术信息安全技术应用数学数论信息论等多种学科的综合性学科。
    实现目标:

      ◆ 真实性:对信息的来源进行判断,能对伪造来源的信息予以鉴别。

      ◆ 保密性:保证机密信息不被窃听,或窃听者不能了解信息的真实含义。

      ◆ 完整性:保证数据的一致性,防止数据被非法用户篡改。

      ◆ 可用性:保证合法用户对信息和资源的使用不会被不正当地拒绝。

      ◆ 不可抵赖性:建立有效的责任机制,防止用户否认其行为,这一点在电子商务中是极其重要的。

      ◆ 可控制性:对信息的传播及内容具有控制能力。

      ◆ 可审查性:对出现的网络安全问题提供调查的依据和手段

    安全威胁:

    (1) 信息泄露:信息被泄露或透露给某个非授权的实体。

      (2) 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

      (3) 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

      (4) 非法使用(非授权访问):某一资源被某个非授权的人,或以非授权的方式使用。

      (5) 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

      (6) 业务流分析:通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。

      (7) 假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

      (8) 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”,利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。

      (9) 授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。

      (10)特洛伊木马:软件中含有一个觉察不出的有害的程序段,当它被执行时,会破坏用户的安全。这种应用程序称为特洛伊木马(Trojan Horse)

      (11)陷阱门:在某个系统或某个部件中设置的“机关”,使得在特定的数据输入时,允许违反安全策略。

      (12)抵赖:这是一种来自用户的攻击,比如:否认自己曾经发布过的某条消息、伪造一份对方来信等。

      (13)重放:出于非法目的,将所截获的某次合法的通信数据进行拷贝,而重新发送。

      (14)计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

      (15)人员不慎:一个授权的人为了某种利益,或由于粗心,将信息泄露给一个非授权的人。

      (16)媒体废弃:信息被从废弃的磁的或打印过的存储介质中获得。

      (17)物理侵入:侵入者绕过物理控制而获得对系统的访问。

      (18)窃取:重要的安全物品,如令牌或身份卡被盗。

      (19)业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。

    安全策略:

    信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全,不但靠先进的技术,而且也得靠严格的安全管理,法律约束和安全教育:

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

      ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估,决定其所需要的安全服务种类,选择相应的安全机制,然后集成先进的安全技术,形成一个全方位的安全系统;

      ◆ 严格的安全管理。各计算机网络使用机构,企业和单位应建立相应的网络安全管理办法,加强内部管理,建立合适的网络安全管理系统,加强用户管理和授权管理,建立安全审计和跟踪体系,提高整体网络安全意识;

      ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依,无章可循,导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪,必须建立与网络安全相关的法律、法规,使非法分子慑于法律,不敢轻举妄动。

       安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

    目前技术:

    在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:

      ◆ 用户身份认证:是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USB KEYIC卡、数字证书、指纹虹膜等。

      ◆ 防火墙:防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题,也可能会是一个潜在的瓶颈

      ◆ 安全路由器:由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

      ◆ 虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。

      ◆ 安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。

      ◆ 电子签证机构--CAPKI产品:电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。

      ◆ 安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。

      ◆ 入侵检测系统(IDS):入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。

      ◆ 入侵防御系统(IPS):入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。

      ◆ 安全数据库:由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

      ◆ 安全操作系统:给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。

      ◆DG图文档加密:能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密

    CAPKI产品:

    PKIPublic Key Infrastructure )即"公开密钥体系",是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。

    PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。

    PKI的基本组成

    完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口(API)等基本构成部分,构建PKI也将围绕着这五大系统来着手构建。

    认证机构(CA):即数字证书的申请及签发机关,CA必须具备权威性的特征;

    数字证书库:用于存储已签发的数字证书及公钥,用户可由此获得所需的其他用户的证书及公钥;

    密钥备份及恢复系统:如果用户丢失了用于解密数据的密钥,则数据将无法被解密,这将造成合法数据丢失。为避免这种情况,PKI提供备份与恢复密钥的机制。但须注意,密钥的备份与恢复必须由可信的机构来完成。并且,密钥备份与恢复只能针对解密密钥,签名私钥为确保其唯一性而不能够作备份。

    证书作废系统:证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废,原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。

    应用接口(API):PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务,因此一个完整的PKI必须提供良好的应用接口系统,使得各种各样的应用能够以安全、一致、可信的方式与PKI交互,确保安全网络环境的完整性和易用性。

    通常来说,CA是证书的签发机构,它是PKI的核心。众所周知,构建密码服务系统的核心内容是如何实现密钥管理。公钥体制涉及到一对密钥(即私钥和公钥),私钥只由用户独立掌握,无须在网上传输,而公钥则是公开的,需要在网上传送,故公钥体制的密钥管理主要是针对公钥的管理问题,目前较好的解决方案是数字证书机制。

     

    信息安全软件技术:

    CA技术、CSP/CNG/PKCS#11Openssl、加密库(OpenSCCrypto++CryptolibNSSCDSA

     

    Crypto++Openssl的区别

    openssl资源】
    作者:Eric Yang

    官方网站:
    http://www.openssl.org
    中文网站推荐:http://gdwzh.126.com
    当前版本: openssl-0.9.7
    Crypto++

    作者:
    Wei Dai
    下载网站:
    http://www.eskimo.com/~weidai/cryptlib.html
    当前版本:Version 5.0

    目前开放源代码的加密库中,opensslCrypto++都是比较流行的,本文将根据自己的一点理解对这两个库作一些比较,希望能对大家有用。这两个库的构造思想和目的都不太一样. Openssl主要是针对SSL/TLS协议的实现,SSL的功能体现的非常完善,而算法库只是一个附带的必要部分,当然也是非常重要和完善的一个部分。Crypto++则就是实现了加密算法以及相关的一些编码标准。

    openssl的组成和特点】

    openssl
    是一个非常优秀的SSL/TLS开放源码软件包,它包括SSL库、加密算法库以及应用程序三大部分,并提供了测试程序和一些应用例子,实现了SSL/TLS协议和其相关的PKI标准。openssl因为开发的比较早,所以采用了c语言作为编写的语言,但是,openssl里面确可以找到很多面向对象的思想,如BIO的封装就是一个典型的例子。对于刚刚开始接触openssl的技术人员来说,可能会觉得有点困难,因为openssl的结构非常膨大,即便要阅读完其非常不完善的文档,工作量也是非常膨大的。建议开始接触openssl的时候,除了有一些基本的密码学和PKI的概念外,最好从使用它提供的一些应用程序开始。其实,openssl的应用程序已经很完善,许多CA就是基于这些基础上做成的。

    对于很多人来说,openssl应用程序就足以完成他们需要的功能,openssl应用程序主要提供了下列的一些功能:

    1.
    各种类型密钥以及密钥参数的生成和格式转换功能

    2.
    使用各种加密算法进行数据加密的功能

    3.
    证书请求、证书生成和签发以及证书其它相关标准的转换功能,实现了一个CA的功能

    4.
    信息摘要算法以及其相关编码的实现

    5.SSL
    协议模拟客户端和服务器端的实现,可以用来测试SSL服务器和SSL客户端程序。

    Crypto++的组成和特点】

    Crypto++
    实现了各种公开密钥算法、对称加密算法、数字签名算法、信息摘要算法以及其相关的其它算法等等。它采用C++语言编写而成,因为是面向对象语言,所以对于初学者来说更容易理清其结构。该库没有提供应用程序,只是作为库函数提供应用。因为基于C++面向对象的思想,其算法的剥离相对于openssl来说可能更加容易。对于不需要涉及SSL协议的技术人员来说,使用该库函数应用是一个不错的选择。
       
    【应用现状以及建议】

    目前,很多CA以及其它PKI商业程序都是基于openssl开发的,基于openssl开发的好处周期非常短,而且功能强大。而Crypto++因为仅仅局限于加密算法,所以其应用没有openssl广泛,但是对于只需要加密算法的情况来说,这是一个更好的选择。

    建议如果你的应用涉及到SSLPKI协议,应该使用openssl;如果只是应用一些加密算法,则建议使用Crypto++,最好使用静态连接,不要使用动态连接。这样可以少去一层风险,或者省掉一层确保安全的机制。

     

    参考资料:

    http://www.infosec-china.cn/index.php

    展开全文
  • 第1章:信息安全基础 1.1 信息安全概念 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=517 一.大纲要求 1.1 了解网络空间的...

    第1章:信息安全基础

    1.1 信息安全概念

    欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。

    备考交流QQ群:39460595

    https://www.moondream.cn/?p=517

    一.大纲要求

    1.1 了解网络空间的概念、网络空间安全学科的内涵、网络空间安全学科的主要研究方向与研究内容

    二.思维导图

    三.备考知识要点

    1.网络空间(Cyberspace)是信息环境中的一个全球域,由独立且互相依存的IT基础设施和网络组成,包括互联网,电信网,计算机系统,以及嵌入式处理器和控制器。

    2.网络空间安全学科内涵:网络空间安全学科是研究信息获取,信息存储,信息传输和信息处理领域中信息安全保障问题的一门新兴学科。

    2015年6月,国务院学位委员会和教育部正式增设网络空间安全一级学科。

    3.信息安全的属性主要包含:

    信息的保密性:信息不被未授权者知晓的属性。

    信息的完整性:信息是正确的,真实的,未被篡改的,完整无缺的属性。

    信息的可用性:信息可以随时正常使用的属性。

    4.信息系统安全可以划分为以下四个层次:

    设备安全,数据安全,内容安全,行为安全。其中数据安全即是传统的信息安全。

    设备安全:稳定性,可靠性,可用性。

    数据安全:秘密性,完整性,可用性。(静态安全)

    数据的秘密性:信息不被未授权者知晓的属性

    数据的完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性

    数据的可用性:信息是随时可正常使用的属性

    内容安全:政治上健康,符合国家法律法规,符合中华民族优良道德规范;广义上还包括信息内容保密,知识产权保护,信息隐藏和隐私保护等诸多方面。

    行为安全:秘密性,完整性,可控性。(动态安全)

    信息系统的设备安全是信息系统安全的首要问题,是信息系统安全的物质基础,除了硬件设备外,软件系统也是一种设备。信息系统设备稳定可靠地工作是第一位的安全。

    数据安全:采取措施确保数据免受未授权的泄露,篡改和毁坏。

    内容安全:信息安全在政治上健康,符合法律法规,符合优良道德规范层次上的要求,还包括信息内容保密,知识产权保护,信息隐藏和隐私保护等诸多方面。

    行为安全:数据安全本质上是一种静态的安全,行为安全是一种动态安全,行为体现在过程和结果之中。程序的执行序列和相应的硬件动作构成了系统的行为,数据可以影响程序的执行走向,从而可以影响系统的行为。因此,信息系统的行为由硬件,软件和数据共同确定。所以,必须从硬件,软件和数据三方面来确保系统的行为安全。

    信息安全的技术措施包括硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。信息系统的硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全技术是关键技术。只有从信息系统的硬件和软件的低层做起,才能比较有效地确保信息系统的安全。

    5.量子信息的一个特性是具有叠加态和纠缠态。一个n量子比特的存储器同时存储着 2^n 个数据状态。因此,量子计算具有并行性。计算能力超强,导致基于计算复杂的现有公钥密码的安全受到挑战。

    目前可用于密码破译的量子计算算法主要有Grover算法和Shor算法。

    我国居民二代身份证使用256位椭圆曲线密码ECC(1488量子位的量子计算机可攻破)
    国内外许多电子商务系统使用1024位RSA密码(2048量子位的量子计算机可攻破)

    在量子计算环境下,RSA,EIGamal,ECC公钥密码和DH密钥协商协议将不再安全。

    6.网络空间安全学科的主要研究方向有:密码学,网络安全,信息系统安全,信息内容安全和信息对抗。

    密码学:由密码编码学和密码分析学组成。其中密码编码学主要研究对信息进行编码以实现信息隐蔽,而密码分析学主要研究通过密文获取对应的明文信息。

    网络安全的基本思想是在网络的各个层次和范围内采取防护措施,以便能对各种网络安全威胁进行检测和发现,并采取相应的相应措施,确保网络系统的信息安全。其中防护,检测和响应都需要基于一定的安全策略和安全机制。保护,检测,响应(PDR)策略是确保信息系统和网络系统安全的基本策略。

    信息系统安全的特点是从系统整体上考虑信息安全的威胁与防护。

    信息对抗的实质是斗争双方利用电磁波和信息的作用来争夺电磁频谱和信息的有效使用和控制权。

    7.网络空间安全学科的理论基础

    数学,信息理论(信息论,系统论,控制论),计算理论(可计算理论,计算复杂性理论)是网络空间安全学科的理论基础,而博弈论,访问控制理论和密码学理论是网络空间安全学科所特有的理论基础。

    现代密码可以分为两类:基于数学的密码和基于非数学的密码。

    计算理论包括可计算性理论和计算复杂性理论等。可计算理论是研究计算的一般性质的数学理论。它通过建立计算的数学模型,精确却分那些问题是可计算的,那些问题是不可计算的。计算复杂性理论:研究现实的可计算性,如研究计算一个问题类需要多少时间,多少存储空间。

    密码破译本质上是求解一个数学难题,如果这个难题是理论不可计算的,则这个密码就是理论上安全的。

    如果这个难题是理论可计算的,但是计算复杂性太大而实际上不可计算,则这个密码是实际安全的,或计算上安全的。

    设计一个密码就是设计一个数学函数,而破译一个密码就是求解一个数学难题。

    一次一密密码是理论上安全的密码,其余的密码都只能是计算上安全的密码。

    公钥密码的构造往往是基于一个NPC问题,以此期望密码是计算上安全的。

    信息论是香农为解决现代通信问题而创立的,控制论是维纳在解决自动控制技术问题中建立的,系统论是为了解决现代化大科学工程项目的组织管理问题而诞生的。

    系统论的核心思想是整体观念。

    信息安全遵从“木桶原理”,这“木桶原理”正是系统论的思想在信息安全领域的体现。

    协议是网络的核心,因此协议安全是网络安全的核心。

    授权是信息系统访问控制的核心,信息系统是安全的,其授权系统必须是安全的。

    访问控制是信息系统安全的核心问题。

    访问控制的本质是允许授权者执行某种操作获取某种资源,不允许非授权者执行某种资源获得某种资源。

    访问控制理论包括各种访问控制模型与授权理论。例如,矩阵模型,BLP模型,BIBA模型,中国墙模型,基于角色的模型(RBAC),属性加密等。其中属性加密是密码技术与访问控制结合的新型访问控制。

    8.网络空间安全学科方法论具体概括为理论分析,逆向分析,实验验证,技术实现四个核心内容。

    9.在进行网络安全防护设计时,首先要进行安全威胁分析和风险评估。

    网络空间安全领域对抗的本质是人与人之间的对抗,而人是最智能的。我们应当,以人为核心,运用定性分析和定量分析相结合,注意量变会引发质变,综合处理,追求整体效能,解决网络空间安全中的理论,技术和应用问题。

    展开全文
  • 企业信息安全的范围技术控制:访问控制:对权限、对账户的控制,例如:控制某个账户可以访问某个系统或者不可以访问某个系统网络安全:局域网、广域网、城域网、交换机的配置、防火墙配置、路由器配置等等系统安全:...
  • 课程紧跟软考信息安全工程师考试大纲,通过作者多年的软考辅导经验及实际的信息安全工作实战经历,本视频课程对信安考试中的所有知识点进行了详细的讲解及总结;对于考试中重点考、反复考的知识点做了强化训练;对于...
  • 浅谈信息安全

    千次阅读 多人点赞 2014-07-21 19:20:07
    对于很多IT公司来说,信息安全是老生常谈的问题了。那么如何做到信息安全呢?我们先来看下面两个故事。 施乐公司的帕洛奥图研究中心(常被叫做“施乐PARC”) 成立于1970年,是图形用户界面(GUI)技术的先驱。它可能是...
  • 信息安全攻防基础

    万次阅读 2020-07-13 04:21:39
    仅供学习和研究使用
  • 2016年11月12日,软考信息安全工程师考试已经落下帷幕。我第一时间给大家发布了2016年下半年软考信息安全工程师这门考试的真题解析,以助大家在好的记忆阶段对本次考试情况做一个准确的评估。同时也为未来参加信息...
  • 2016年11月12日,软考信息安全工程师考试已经落下帷幕。我第一时间给大家发布了2016年下半年软考信息安全工程师这门考试的真题解析,以助大家在好的记忆阶段对本次考试情况做一个准确的评估。同时也为未来参加信息...
  • 根据新的软考信息安全工程师考试大纲和作者长期辅导考试的经验,对考试中的所有知识点进行了详细的讲解,为考试和自身能力提高打下坚实基础。通过对考查知识点的细致讲解,让考生掌握解题思路和方法,做到举一反三,...
  • 信息安全方针和信息安全策略

    千次阅读 2009-12-30 11:34:00
    信息安全政策通过为组织的每一个人提供基本的规则、指南、定义,从而在组织中建立一套信息资源保护标准,防止员工的不安全行为引入风险。信息安全政策是进一步制定控制规则、安全程序的必要基础。安全政策应当目的...
  • 信息安全基础知识

    千次阅读 2019-06-08 17:00:00
    网络信息安全基础知识 1 计算机网络 计算机网络是利用通信线路将不同地理位置、功能不相同的 计算机和通信设备连接起来,实现资源的共享和信息的传递等目的地计算机系统。 主要有局域网、城域网、广域网等 1.2 信息...
  • 近年,随着信息技术的快速发展和互联网应用的普及,越来越多的组织大量收集、使用个人信息,给人们生活带来便利的同时,也出现了对个人信息的非法收集、滥用、泄露等问题,个人信息安全面临严重威胁。本标准针对个人...
  • 信息内容安全包括两部分:合法信息的保护和非法信息的监管; 信息隐藏和信息加密: 加密是把信息内容保护加密保护起来,不被旁人看到;而隐藏是将隐匿信息信息中,同时保证信息的可用性,保护的是版权; 内容保护...
  • 详细解析了信息安全工程师上午基础知识选择题的历年真题,对每一道题都进行了重点的讲解,并点出了相关的考察点。对于一些发散的知识点也给广大考生做了相应的说明。相信大家通过本次试题讲解能够抓住信息安全工程师...
  • 信息安全技术基础(1)

    千次阅读 2020-02-21 21:33:40
    1.对计算机系统威胁的三个方面 直接对计算机的硬件设备进行破坏; 对存放在存储设备中的信息...计算机外部安全:外部硬件安全和信息安全的相关制度以及法律规定等; 计算机内部安全:指计算机在存储介质上的安全,...
  • 详细解析了信息安全工程师下午案例分析的历年真题,对每一道题都进行了重点的讲解,并点出了相关的考察点。对于一些发散的知识点也给广大考生做了相应的说明。相信大家通过本次试题讲解能够抓住信息安全工程师下午...
  • 二、Unix 安全概览 原文:Unix Security Basics 译者:飞龙 1 用户和用户组 用户root:超极用户(UID = 0) daemon:处理网络。 nobody:不拥有文件,用作非特权操作的默认用户。 Web 浏览器可在这个模式下工作...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 信息安全专业

    千次阅读 2012-08-01 03:25:36
    5555,看得哥激动+泪奔,考研想考这个专业,但是只有牛X学校才开设这种专业。想死的心都有了。。。。    信息安全专业 ...信息安全的概念在本世纪经历了一个漫长的历史阶段,90年代以来得到了深
  • 信息安全,富人当道

    千次阅读 2006-03-13 01:28:00
    信息安全,富人当道 最近几年,信息安全的话题被广泛讨论,很多企业都开始加强了信息安全工作的力度,那么信息安全工作该不该实施,该如何实施,实施的力度是多少呢?我这里讲针软件企业提一些浅薄的看法。 我觉得...
  • 根据最新的软考信息安全工程师考试大纲和作者长期辅导考试的经验,对历年考试真题进行了详细解析和总结,挖掘其中的考试热点、重点、难点和基点,并准确把握考试的重点和难点,对其进行了详细的分析和讲解。...
  • 1.3 信息安全管理基础 欢迎加入最棒的信息安全工程师社群,分享信息安全工程师备考干货资料。 备考交流QQ群:39460595 https://www.moondream.cn/?p=521 一.大纲要求 1.3.1 信息安全管理制度与政策 * 熟悉...
  • 信息安全基础知识理论总结 信息安全概述 密码学 数字签名 信息隐藏 计算机病毒、木马、蠕虫 计算机网络 网络安全(防火墙,入侵检测系统,入侵防御系统,拒绝服务攻击/分布式拒绝服务攻击) 网络安全协议理论与技术...
  • 根据新的软考信息安全工程师考试大纲和作者长期辅导考试的经验,对考试中的所有知识点进行了归类分析和总结,挖掘其中的考试热点、重点、难点和基点,并准确把握考试的重点和难点,对其进行了详细的分析和讲解。...

空空如也

1 2 3 4 5 ... 20
收藏数 110,961
精华内容 44,384
关键字:

信息安全