精华内容
下载资源
问答
  • 互联网时代,怎么做到真正的信息安全? 大数据时代,大家最为关注的是什么?个人信息安全。作为网络安全中重要的部分,数据安全成为了当下很多人关注的重点。根据权威机构对20万中国网民的调查结果分析,目前有近...

    互联网时代,怎么做到真正的信息安全?

    大数据时代,大家最为关注的是什么?个人信息安全。作为网络安全中重要的部分,数据安全成为了当下很多人关注的重点。根据权威机构对20万中国网民的调查结果分析,目前有近一半的网民都认为网络并不是那么安全。其中,近40%的网民认为现在个人信息泄露严重,而20%的网民认为互联网企业没有履行安全责任。
    而从这样的评价中,我们也可以注意到多数人眼中互联网时代,我们的个人信息并不安全。而事实正如大家所认知的那般。如今,不论是什么app,打开后要么会要求我们定位,要么会要求我们短信注册,有时候还会要求我们开放相机权限。而这些都是导致我们信息泄露的原因。互联网社会,还有很多大型企业都在超范围采集公民的个人隐私。不仅是采集,有些公司更是为了谋取利益而贩卖大家的信息。这些问题共同导致了个人信息泄露事件。
    其实从某种意义上讲,互联网时代的确促进人们彼此之间的信息交互,我们不论是提交信息或者获取信息都变得更加方便快捷。但由于现在网络安全方面的漏洞,也导致如今我们的生活中经常会出现这种信息泄露的事件。而且在我看来,现在人们信息泄露事件时有发生。甚至还有不少人觉得信息泄露已经成为常态,从而破罐子破摔。在我看来,虽然这些事件时有发生,但这并不代表我们就可以直接忽略信息保护。
    现在很多被过度获取的敏感权限,都是由于很多app超范围采集公民个人隐私。其中有些是因为用户没有仔细阅读须知而被用户大意授予的,还有一些则是被悄悄获取的。现在国家也在进行治理工作,虽然已经初见成效,但总归信息泄露事件还是时有发生的。而面对这样的事情,我们应该怎么办呢?
    其实,进入互联网大数据时代,需要使用个人信息的场景在无限增多,而获取个人信息的途径也在不断增加。而大家如果想要保护自己的信息,首先要做的就是在开通权限时仔细阅读说明,必要的app,我们可以提供相应的信息。但是对于毫无用处的app,我们完全没有必要提供身份验证。这些,是不懂信息保护的我们,在这个互联网时代首先需要学会的。
    其次,作为企业,也应该遵纪守法。在之前,我们也提到过有些企业为了谋取利益,贩卖信息或者非法获取信息。对于企业和员工来说,这些行为不仅是不正当行为,还是违法行为。在获取信息的时候,大家应该通过正当的途径。然而现在依旧有不少互联网企业对于用户的行动了如指掌。定位权限让他们可以了解这个用户去了哪里,相机权限可以让他们了解用户都见了谁。而有些用户在用户浏览了哪些信息,买些什么东西,一举一动都在公司的掌控之中。甚至有不少企业还可以随意登录用户的社交账号,帮助他们关注别人,加群等。
    我们在网上经常能看到这样的消息,网络是把双刃剑,用得好造福人民,反之贻害无穷。面对互联网,我们需要做的就是权衡利弊。有些时候,我们完全没有必要因为一点小的利益就去损害自己的信息。此外,在互联网时代,想要保护自己的信息,也需要有专业的人员来维护,就比如说现在的程序员。很多人都觉得互联网时代,这些专业成为了当下比较热门的选择。为什么在众多的专业中,他们会成为热门专业,还是因为他们在当今社会的重要地位。
    相比专业人士,普通人想要保护自己的信息简直是难如登天,但是这对于程序员来说就相对轻松一些。因此,在互联网时代,如果大家想要保护自己的信息,还不知道应该怎么做的时候,就可以多学习一些与计算机相关的知识。这样既可以帮助自己保护信息,同样也可以帮助其他人更好地保护信息。

    展开全文
  • 信息安全

    千次阅读 2020-06-07 15:11:52
    1、信息安全基本概念和发展趋势 1)信息安全和信息系统安全 (1)信息安全:指信息在存储、处理和传输状态下均能保证其保密、完整、可用和可控。 (2)保密性:只能由授权的用户访问。 完整性:只能由授权的...

    1、信息安全基本概念和发展趋势

    1)信息安全和信息系统安全

    (1)信息安全:指信息在存储、处理和传输状态下均能保证其保密、完整、可用和可控。

    (2)保密性:只能由授权的用户访问。

             完整性:只能由授权的用户进行修改,以确保信息资源没有被篡改。

             可用性:系统中的资源对授权用户是有效可用的。

             可控性:对信息及信息系统实施安全监控。

    (3)信息系统安全:指存储信息的计算机、数据库的安全,以及传输信息的网络安全。

    (4)两者关系:信息安全依赖于信息系统安全得以实现;信息安全是结果,确保信息系统时信息安全的手段。

    2)威胁信息安全的因素

    (1)操作错误

    (2)电源故障

    (3)硬件失效

    (4)黑客攻击

                    方法:网络报文嗅探、破解系统口令(方法:字典攻击、蛮力攻击)、拒绝服务攻击、放置木马程序。

    (5)病毒破坏

    3)信息安全的任务

               要做到:

    (1)安装完整、可靠的数据冗余备份设备,防止数据受到灾难性的破坏。

    (2)充分利用数据加密手段,防止数据在传输过程中被窃取、分析、篡改。

    (3)建立严谨的访问控制机制,拒绝非法访问。

    (4)及时修补软件系统的缺陷,封堵自身的安全漏洞。

    (5)安装防火墙,在内网与外网之间,计算机与网络之间建立安全屏障。

    2、常见的信息存储安全技术

    1)定义:实现数据动态冗余存储的技术,分为磁盘镜像技术、磁盘双工技术、双机容错技术。

    2)磁盘镜像技术

    (1)工作原理:通过安装两块容量和分区一致的磁盘,对两者同时进行操作。

                     

     

     

    (2)缺点:该技术完全依靠操作系统的软件支持来实现,因此降低了使用磁盘镜像的数据服务器的运行速度,磁盘控制器的故障会使两个磁盘同时失去工作能力。

    3)磁盘双工技术

    (1)工作原理:同时在两块或两块以上的磁盘中保存数据。

                     

     

     

    (2)优点:不仅保护了数据的完整性,还提供了一定的数据可用性支持。

    4)双机容错技术

    (1)工作原理:使用两台磁盘驱动器的结构和速度完全相同的数据服务器,其中一台充当面向用户的主服务器,另外一台则跟踪主服务器的所有数据写操作。

    3、常见的信息安全防范技术

    1)数据加密技术

    (1)数据加密模型:发送方用加密密钥对明文X进行加密,得到密文Y,并送到网络中传输;接收方收到密文Y,用解密密钥进行解密,还原出明文X。

                     

     

     

    (2)DES数据加密标准

                     主要特点:加密密钥和 解密密钥相同;加密、解密速度快。

                     缺点:密钥交换不方便,即发送方加密时所用的密钥难以安全的传送到接收方的手中。

                    

    (3)RSA公开密钥密码体制

                     主要特点:使用一对密钥进行加密和解密,一个称为公钥,另一个称为私钥;

                                       公钥可以解开用私钥加密的信息,私钥也可以解开公钥加密的信息,但公钥不能解开用公钥加密的信息;

                                       加密、解密速度慢,一般只能用于少量数据的加密。

                     

    (4)DES与RSA结合

                     

     

                 

     

     

    (5)MD报文摘要

                    主要特点:摘要是由明文经报文摘要算法(哈希函数)处理后得到的128位长度的信息;

                                      由明文生成摘要很容易,但由摘要推出明文几乎是不可能的;

                                      不同的明文产生的摘要不同,摘要可作为验证明文是“指纹”数据。

                   

     

                   

     

     

    2)数字签名技术

    1)数字签名:通过密码技术对电子文档形成的签名

    2)数字签名的目的:保证发送信息的真实性和完整性,解决网络通信中双方的确认,防止欺骗和抵赖行为的发生。

    3)数字签名要能够实现网上身份的认证,必须保证以下三点:

    (1)接收方能够确认数据是指定的发送方送来的,而不是冒充者送来的。

    (2)发送方事后不能抵赖对数据的签名。

    (3)接收方不能伪造签名或篡改发送的信息。

                     

     

                   

     

     

    3)数字证书

    (1)定义:数字证书包含了用户的身份信息,主要用于数字签名的一个数据文件。

    (2)作用:用于数字前ing和信息的保密传输。

    (3)管理:由CA颁发和管理的,一般分为个人数字证书和单位数字证书。

    4)访问控制技术

    (1)定义:用于保护计算机既信息系统免受非授权的访问,是通过用户注册和对用户授权进行审查的方式实施的。

    (2)口令身份认证协议PAP:提供一种简单的访问控制身份认证机制,需要进入安全系统的远端计算机要传送自己的用户名和口令,交给安全系统进行验证。

    (3)挑战身份认证协议CHAP:采用更复杂的访问控制机制来防范伪装的侵入。

    5)防火墙技术

    (1)防火墙:是保护内部网安全的最主要、最有效、最经济的措施之一。

    (2)防火墙的作用:

                    用来屏蔽、阻拦数据报。

                    阻断黑客通过因特网对内部网发起的入侵和破坏。

                    禁止存在安全脆弱性的服务进出网络,并抗击来自各种线路的攻击。

    (3)防火墙分类:

                    包过滤防火墙:通过对路由器进行配置来实现

                            优点:速度快,不需要额外费用。

                            缺点:包过滤规则的制定是相当复杂的,安全性不高。

                    应用级防火墙:采用代理服务器来实现。

    6)地址转换技术

    4、计算机病毒的基本知识

    1)计算机病毒:一种认为编制的具有自我复制能力和破坏性的计算机程序。计算机程序、寄生、恶意、自我复制。

    2)计算机病毒的特点:

    (1)人为编制

    (2)传染性:即自我复制和可传播性,病毒的本质特征,是判断一个程序是否为计算机病毒的重要依据。

    (3)隐蔽性

    (4)潜伏性

                    触发条件:利用计算机系统能提供的时间作为触发器,这种处罚机制被大量病毒采用;

                                      利用病毒自带的计数器作为触发器,这种计数器记录某种时间发生的次数,一旦达到设定值就执行破坏操作;

                                      利用计算机上执行的某些特定的操作作为触发器。

    (5)破坏性:取决于病毒作者的主观愿望和他所具有的技术水平。

    3)病毒的分类:

    (1)按传染方式分类:引导型、文件型、混合型

    (2)按破坏程度的大小:良性病毒、恶性病毒

    4)病毒的破坏方式:攻击硬盘、攻击内存、攻击CPU、攻击输入输出系统、攻击主板、攻击网络

    5)病毒的传播途径

    (1)单机环境下:软盘、U盘、硬盘、光盘

    (2)联网环境下:网页浏览、文件下载、电子邮件等

    6)病毒的防治

    (1)安装实时监控的杀毒软件或防毒卡,定期更新病毒库。

    (2)经常运行Windows update,安装操作系统的补丁程序。

    (3)安装防火墙工具,设置相应的访问规则,过滤不安全的站点访问。

    (4)不要随便拷贝来历不明的软件,不要使用盗版软件。

    (5)从因特网上下载的软件要先查毒再使用。

    (6)收到来历不明的电子邮件时,不要随手打开附件。

    (7)对重要的文件及时备份。

    5、网络道德及相关法规

    1)网络道德:人们在网络活动中公认的行为准则和规范。

    2)强调和维护网络道德是建立健康、有序的网络环境的重要工作,是依靠所有网络活动参与者共同实施的。

    3)网络道德建设的主要问题在于处理以下关系:

    (1)虚拟空间与现实空间的关系

    (2)网络道德和传统道德的关系

    (3)个人隐私和社会监督的关系

    (4)信息共享与信息所有的关系

    展开全文
  • 信息安全简答题

    千次阅读 2020-12-28 11:57:49
    一、区块链技术在网络与信息安全领域的应用 1.1区块链概念 在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改...

    一、区块链技术在网络与信息安全领域的应用

    1.1区块链概念

    在2008年由署名为中本聪的作者在《比特币:一种点对点的电子现金系统》一文提出,指的是一种在对等网络环境下,通过透明和可信规则,构建防伪造、防篡改和可追溯的块链式数据结构,实现和管理事务处理的模式。区块链本质上是一个去中心化的数据库,通过其独特的技术设计和数据管理方式,可以支撑不同领域的多方协作。区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着密切的联系,可以用来解决该领域的一些问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但区块链作为新技术在许多方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高,现阶段的用途和效果可能存在夸大和炒作的情况,实现技术优化和更好的应用仍是需要研究的重要课题。

    1.2区块链的核心技术

    区块链的核心技术中共识机制、数据存储、网络协议、加密算法、隐私保护和智能合约等6类公认的区块链核心技术发展活跃,不断取得新的进展。此外,跨链、分片等技术进展较快,也已逐渐成为新的核心技术方向。

    1.2.1共识机制

    共识机制指的是群体或组织达成和维护共识的方式。区块链作为分布式记账技术,没有一个中心来指挥协调多方之间的协作,就必须有一个共识机制来解决谁有权写入数据和如何进行同步数据的问题。常用的共识机制主要有PoW工作量证明、PoS 权益证明、DPoS 委托权益证明、Paxos 算法、PBFT实用拜占庭容错算法、dBFT授权拜占庭容错算法等。

    1.2.2数据存储

    区块链中每一个区块记录了创建期间所有的交易信息,按时间顺序逐个先后生成并连接成链。每个区块都指向前一个区块,形成链表。区块分为区块头和区块体两部分。区块头存储着区块的多项特征值,包含上一个区块的哈希值、本区块体的哈希值以及时间戳等等。区块体中记录了该区块存储的交易数量以及交易数据。

    1.2.3网络协议

    区块链在网络层一般采用P2P协议,由多个节点组成网络结构,节点之间处于对等的地位且共享资源,既可以是资源的提供者,也可以资源的接受者。P2P 网络结构是扁平化的拓扑结构,节点相互之间没有层次之分。不同的区块链系统往往有其独特的P2P网络协议。

    1.2.4加密算法

    区块链中用到的密码学算法主要有两大类:哈希算法和非对称加密算法。哈希算法是将任意长度的字符串映射为较短的固定长度的字符串。其确定性、高效性使得去中心化的计算能够实现,其对输入的敏感性和抗原像攻击对区块链系统的安全性有很大帮助,被广泛地用于构建区块和确认交易的完整性。非对称加密技术的加密和解密过程使用的是一对不同的密钥:公开密钥和私有密钥。交换信息时使用一方的公钥或私钥加密,则需对应的私钥或公钥才能解密。非对称加密在区块链中有数据加密和数字签名等用途。

    1.2.5隐私保护

    目前区块链上传输和存储的数据都是公开可见的。为了达到匿名效果,通常以一串无意义的数字作为组织或个人的代号,通过该代号的表面信息无法将其对应到某一个具体对象的真实身份。但这样的保护并非完美,通过一°些手段还是可以追查到帐户和交易的关联性。想要加强区块链的隐私保护,可以采用混币、环签名、同态加密、零知识证明等方式。

    1.2.6智能合约

    智能合约是一种特殊协议,旨在提供、验证及执行合约,可以由一个计算系统自动执行。其最大的优势是利用程序算法替代人仲裁和执行合同。区块链可以实现去中心化的重要原因之一是智能合约,使得进行可追溯、不可逆转和安全的交易时可以不依赖第三方。

    1.2.7跨链

    区块链的链与链之间存在高度异构化,每一个单独的区块链网络都是-一个相对独立的网络,数据信息不能做到互通互联。不同的区块链网络之间协作的难度大,极大地限制了区块链应用的发展。跨链可以理解为一种协议,解决两个或多个不同链上的资产以及功能状态可以互相传递、转移、交换的难题。跨链的存在,不仅是增加了区块链的可拓展性,还可以解决不同区块链之间交易困难产生的信息孤岛问题。

    1.2.8分片

    分片是数据库设计中的一个概念,将较大的数据库分成更小、更快、更容易管理的部分,实现扩容并提高性能。可以将分片的思想运用到区块链网络中,将一个大任务拆分为多个可以并行处理的小任务,从而提升性能。将网络中的工作分摊给所有参与的节点,通过使用多个网络设备来获得平行处理转账的功能,进行分片处理。将网络分割为碎片可以使得更多的交易同时被处理和验证。

    1.3区块链技术在网络与信息安全领域的应用

    区块链技术是加密和安全领域新的研究成果,与网络与信息安全有着本质的联系,提供了一种完全不同的方法来存储信息、进行交易、执行功能和建立信任,可以用来解决网络与信息安全领域的某些问题。

    1.3.1支持更安全的DNS架构

    区块链中的交易一旦被确认,不容易被篡改。可以利用该特性将域名和P地址对应关系的操作记录在区块链中,在全网达成共识,不可篡改,形成交易记录,完美地保存域名服务器信息。使用去中心化的区块链技术的域名服务器比传统的中心化域名服务器更安全,能支持域名管理,防止域名服务器缓存投毒。

    1.3.2 缓解DDoS攻击

    分布式拒绝服务攻击(DDoS 攻击)将多个计算机联合起来作为攻击平台来发动攻击,通过大量合法的请求,大规模消耗目标网站的主机资源,使被攻击的对象无法正常提供服务。区块链技术允许用户加入分布式网络,从而缓解DDoS攻击。此外,还可通过出租额外带宽,以支持那些流量过载的网络。

    1.3.3保护边缘计算设备

    由于边缘计算的网络体系和网络环境庞杂,要想为分散布局的边缘计算设备设置有效的隔离保护,增加的大量网络隔离设备会带来成本和工作量的压力。但若不防护,边缘计算设备一旦被入侵或者攻击,会渗透到整个网络。此外,如果边缘计算中的终端设备没有身份认证体系,攻击者可以随意接入恶意终端来传播病毒或恶意软件,也会导致网络瘫瘓,影响生产和生活。通过区块链技术可以很好解决以上问题。区块链技术可以通过给边缘计算不同域及终端设备分发数字证书,控制功能权限和数据权限,提供更安全的运算与存储环境。区块链技术也可以为边缘计算中的终端设备提供身份认证体系。在进行边缘计算和数据上传前,首先要进行身份验证,之后才能传输数据。

    1.3.4数据保护

    区块链构建分布式账本不可篡改,能够通过加密和权限控制等技术保障数据的机密性、完整性、可用性。区块链对数据的完全加密可以确保这些数据在传输过程中不会被未授权的用户访问。使用分布式记账技术对文件进行签名,来代替传统的签名方式,使得攻击者几乎不可能伪造和窃取数据。区块链可以被视为一条存储数据的链条,环环紧扣。每当加入新的一环,前一环中数据的特征值将被记录在新的环节上。只要验证对应某一环与前后两环的特征值,就可以判断原始信息是否被篡改。

    1.3.5与PKI结合提高安全性

    目前标准的加密技术是基于公钥基础设施(PKI)的,主要依赖于中心化、受信任的第三方认证机构(CA)来发放、激活和存储用户证书。如果黑客攻击了这些第三方认证机构,就可以伪造成CA欺骗用户身份并破解加密通信。在区块链中依靠非对称加密技术,对用户的身份信息进行高度加密,发放密钥来鉴别对方的真实身份,一旦信息经过验证并添加至区块链,采用去中心化的管理方式,不容易篡改,理论上来说可以大大提高数字证书的安全性。

    1.3.6隐私保护

    区块链技术可以通过分布式结构、可追溯性、匿名性来实现隐私保护。在区块链中,用户的隐私数据是随机发布在分布式账本中的,攻击者无法通过入侵单一节点来收集到用户的所有数据,能最大限度地防止数据泄露。区块链的可追溯特性使得数据从采集、交易、流通到计算分析的每步记录都可以留存在区块链上,不容易被篡改。在区块链技术中,各节点之间的数据交换基于地址而非个人身份,交易双方采取匿名方式就能交易,因此大部分个人隐私信息都不会暴露。

    1.3.7崩溃恢复

    区块链上的数据分布在对等节点之间。不同于传统数据库中所有数据都存储在中心位置,区块链上的每个用户有权生成并维护数据的完整副本。虽然造成数据冗余,但大大提高了可靠性,增加了网络的容错性。如果某些节点受到攻击,不会对其余部分网络造成损害,也容易实现崩溃恢复。

    1.4

    运用区块链技术可以解决一些网络与信息安全领域的问题,例如攻击防御、数据保护、隐私保护、身份认证、崩溃恢复等。但其作为新技术,在稳定性、安全性、业务模式、经济评价等方面尚未成熟,多数的应用仍处于研究和发展阶段,运行成本较高。现阶段的用途和效果可能存在夸大和炒作的情况,如何实现技术优化和更好的应用仍是需要研究的重要课题。

    二、大数据背景下的网络信息安全控制的研究

    2.1大数据

    2.1.1大数据的概念

    20 世纪 80 年代,美国著名学者阿尔文·托夫勒在《第三次浪潮》中提出了“大数据”(Big Data)的概念。大数据是指以计算机技术为基础的规模庞大、无法用当前常规数据处理方法实现有效、及时的提取、储存、分析、搜索以及处理等操作的数据。大数据的出现也在表明,当今的信息技术框架和数据处理模式,已经与过去的情形完全不同,当前的数据信息处理模式要求能够更加经济、高效、智能地从海量信息以及多样化类型的数据中找到可利用价值。

    2.1.2大数据的特点

    (1)Volume 表示大数据规模巨大、数据量多的特性。在描述大数据时,常见的

    GB 或者 TB 的数据储存单位已经无法再适用,而是通过 PB(1024TB)、EB(1024PB)甚至 ZB(1024EB)进行储存。国际互联网数据中心 IDC 预测,2020 年全球互联网数据量将达到 35ZB。因此,大数据的特点之一就是数据规模庞大。

    (2)Variety 表示大数据的数据结构多样化,数据类型复杂多变,不但包括常规的计算机处理的结构型数据,同时也包括大量的视频、文字、音频以及图片等非结构化的数据信息。互联网数据分布具有自身的特点,再加上云计算、物联网等技术平台的不断完善,信息数据的来源逐渐向多样化趋势发展,互联网数据来源逐渐增多。主要的数据来源有以下几个方面:海量的互联网终端用户在多种互联网应用中传递、应用图片、文字、音频、视频等多种类型的数据信息;各种互联网设备以及多种信息管理系统在运作过程中产生各种数据库、文件、操作日志、审计等等信息数据;近些年兴起的物联网信号采集设备和传感设备,例如智能医疗设备所产生的各种生命特征数据、天文望远镜产生的大量天文观测相关的信息数据等。

    1. Value 表示大数据具有价值密度低的特性。因为大数据虽然拥有庞大的数据量,但是对决策产生有利作用的信息和数据是有限的,需要进行有效地挖掘。相对有限的价值量除以巨大的数据基数,就使得大数据形成了价值密度低的又一特点。需要强调的是,价值密度低并不代表没有价值,而是强调大数据的价值需要利用更精密的算法进行更进一步的数据挖掘才能体现,这对数据处理技术提出了新的要求。
    2. Velocity 表示大数据的数据信息处理速度快的特性。因为大数据数量巨大,从中提取有效信息成为大数据发挥作用的关键,因此对数据传递和处理的速度要求也大大提升。并且大数据所催生的信息产业瞬息万变,因此要求大数据处理过程能及时快速的响应变化,对数据的分析也要快速,因此数据处理速度快将为大数据时代处理数据的一个最显著的特点。
    3. Complexity 表示大数据复杂性的特征。数据量的庞大和数据类型的繁多都成为大数据复杂特征的原因,在当前环境下,大数据的智能处理和分析成为体现大数据价值的关键步骤,大数据的复杂性已经成为其处理与分析过程中必须应对的问题。

    2.2大数据背景下网络信息安全存在的问题及成因分析

    2.2.1网络信息安全面临的挑战

    1.日益严重的计算机病毒的形成

    以“震荡波”病毒为例,“震荡波”(Sasser)病毒利用微软公布的 Lsass漏洞进行传播,通过Windows2000/XP 等操作系统,开启上百个线程去攻击其他网上用户,造成机器运行缓慢、网络堵塞。利用病毒,木马技术传播垃圾邮件和进行网络攻击、破坏的事件呈上升趋势。

    2.愈发严重的网络黑客攻击

    网络黑客(Hacker)是专业进行网络计算机入侵的人员,通过入侵计算机网络窃取机密数据和盗用特权,或进行文件破坏,或使系统功能得不到充分发挥直至瘫痪。从世界范围看,黑客的攻击手段在不断地更新,几乎每天都有不同系统安全问题出现。黑客就是利用网络安全的漏洞,尝试侵入其聚焦的目标。

    2.2.2网络信息安全面临的问题成因分析

    1. 技术层面的问题:网络通信线路和设备的缺陷以及软件存在漏洞和后门。网络通信线路和设备缺陷包括电磁泄漏、设备监听、终端接入和网络攻击。软件存在漏洞和后门包括网络软件的漏洞被利用、软件病毒入侵和软件端口未进行安全限制。
    2. 人员层面的问题:网络信息安全存在的问题离不开人员的控制和影响。从系统使用人员的角度上出发,系统使用人员保密观念不强,关键信息没进行加密处理,密码保护强度低和文档的共享没有经过必要的权限控制;从技术人员的角度上出发,技术人员因为业务不熟练或缺少责任心,有意或无意中破坏网络系统和设备的保密措施;从专业人员的角度上出发,专业人员利用工作之便,用非法手段访问系统,非法获取信息;从不法人员的角度上出发,不法人员利用系统的端口或者传输的介质,采用监听、捕获、破译等手段窃取保密信息。所以,人员层面是严重危害和影响网络信息安全的关键主体。
    3. 管理层面的问题:网络安全管理可以有效提高网络安全系数,保护用户的个人信息及电脑中的重要数据信息,但由于管理层面上的问题,也导致网络信息安全的问题的产生。首先,安全管理制度不健全,缺乏完善的制度管理体系,管理人员对网络信息安全重视不够;其次,监督机制不完善,技术人员有章不循,对安全麻痹大意,缺乏有效地监管;再次,教育培训不到位。对使用者缺乏安全知识教育,对技术人员缺乏专业技术培训。

    2.3大数据背景下网络信息安全控制要素分析

    2.3.1人员

    1. 网络控制人员:网络用户构成网络信息安全管理工作的又一管理对象群体。网络用户并不是孤立存在的,而是处于相互连接的系统中。网络用户的信息行为是影响网络信息安全的重要因素之一,不安全的操作行为会在不经意间暴露个人隐私信息,且由于是网络用户的主观行为,使得追责工作难以有效取证。
    2. 网络安全管理者:首先要明确的是,作为网络信息安全管理者,必须具备较高的网络信息安全素养,尤其是在信息量剧增的大数据时代,海量数据对网络信息安全工作的影响已见端倪,在数据存储、数据挖掘、数据过滤等方面均面临挑战。网络信息安全管理者的信息安全素养是指管理工作人员积极适应网络信息安全管理活动职业所需要的和信息环境变化(如大数据环境)所要具备的有关信息安全方面的知识、能力和文化修养。只有具备较高的网络信息安全意识,才能从根本上明确网络信息安全工作的重要性,才能为掌握必须的安全工作技能与技术打下坚实的基础。

    2.3.2环境

    1. 网络设施:互联网的正常运行离不开网络设施的正常运转与维护,在大数据背景下,物联网、云计算、三网融合等 IT 与通信技术的迅猛发展,对现有 IT 架构的处理和计算能力提出了挑战,目前大数据的数据处理规模能够从 TB 级上升到 PB、EB级,因而如何降低数据存储成本,如何充分地利用计算资源,并且提高系统并发吞吐率,如何支持分布式的非线性迭代算法的优化,成为升级和维护网络设施的重要难题。大数据背景下,如何构建海量数据的存储与管理体系,挖掘和计算体系以及网络平台及其应用是保障网络信息安全的基础。
    2. 网络文化:在信息技术高速发展的今天,网络文化由一种草根文化,被逐步引导而向高级文化发展,在社会生活中逐渐起到不可忽视的作用。作为大数据背景下传播速度最快的文化形式,网络文化与网络信息安全息息相关。网络文化尤其以社交网络中的形式为典型,社交网络拥有庞大的用户群,能够产生巨大的用户信息量。社交网络的社会交互性使得用户的个人信息很大程度上处于公开透明的状态,而且,热点信息会在短时间内吸引众多的关注并且以病毒式营销的方式迅速传播,因此网络暴力等网络信息安全问题容易出现。因此,健康的网络文化会促进网络信息安全工作的进行,相反,不健康的网络文化则会引发相应的网络安全问题。
    3. 政策与法规:我国现有的政策制度和法律法规大多存在原则性强、实际执行操作性差的问题,在大数据背景下,无法切实对网络信息行为进行有效地规范,对网络信息和数据的保护力度也不够大。需要明确在网络环境中,政策与法规的强制力作用是保障网络信息安全的有效外在动力,是网络信息安全控制机制正常运行的有效保障。

    2.3.3技术

    1. “防”——防火墙技术:“防火墙”是位于内部网络与外部网络间的网络安全系统,是在两个网络通讯时执行的一种访问控制,属于网络通信监控系统范畴。“防火墙”被建立在网络边界上,具有对计算机网络安全进行保障的功能,既可以用软件产品体现,又可以在某种硬件产品上制作或嵌入。通常防火墙构成为软件系统和硬件设备的组合,在内部网络和外部网络间把安全的保护屏障构建起来。立足逻辑视角看防火墙,其作用体现为分隔和限制以及分析;就网络安全策略组成而言,防火墙可以借助对网络间信息交换和访问行为的控制与监测,效管理网络安全。在网络安全保护实施中,防火墙处于核心地位。防火墙是连接所有内部网和外部网的必经之路,检查和连接在此进行,只通过被授权的通信。防火墙基于一定条件具备隔离内部网络与外部网络功能,并对非法入侵和对系统资源非法使用具有防止的作用。
    2. “密”——数据加密技术: 在不断发展和创新的科技背景下,不断的更新与改进加密技术才能使当下网络信息安全保障需要得以满足。对称加密和非对称加密是加密技术被划分的两种类型。对称加密就是以相同密钥进行加密和解密,目前是使用最为广泛的加密技术,典型的 SessionKey 就是美国政府使用的数据加密标准(DES)。反之,非对称加密(公开或私有密钥)技术就是在加密和解密上使用不同密匙,其中能够对外公布公钥,私人持有私钥,因而数据的安全性具有保障。为了保密传输的数据,加密和解密数据环节必不可少。加密就是把明文数据转化为特定的密码算法,使其达到不易辨认的程度,某一明文可依靠不同密钥和相同算法进行加密,形成不相同的密文。解密就是把密文数据依靠密钥进行转化,形成明文数据过程。
    3. “控”——入侵检测技术与网络监控技术:入侵检测系统就是识别和处理恶意使用计算机和网络资源行为的系统。外部入侵系统行为和没有授权的内部用户行为是其处理的主要内容。入侵检测系统是能够对系统中没有授权现象及时发现并报告的技术,其目的是为计算机系统安全提供保障,入侵检测系统包括入侵检测软件与硬件两部分。网络监控,是针对局域网内的计算机进行监视和控制。在大数据背景下,互联网的使用呈现出越来越普遍的情况,网络监控技术的使用也越发频繁。监控软件与监控硬件是网络监控产品的主要类型。
    4. “审”——安全审计技术:计算机网络安全审计就是以一定的安全策略为指导依据,以记录的系统活动等信息为依托,对事件的环境及活动进行检查和审查以及检验等操作,从而把系统漏洞和入侵行为找出,使系统性能改善的技术,也是针对系统安全风险进行审查评估并实施相应措施过程,是系统安全性提高的重要途径。安全审计的主要作用和目的如下:
    • 具有威慑和警示可能存在的潜在攻击者功能,风险评估是核心。
    • 对系统的控制情况进行测试,进而及时调整,达到与安全策略和操作规程实现协调一致目的。
    • 评估已经出现的破坏事件,从而为灾难恢复和责任追究提供有效依据。
    • 评价和反馈系统控制和安全策略以及变更规程,从而为决策和部署的修订带来便利。
    • 发挥使系统管理员对网络系统入侵或对潜在漏洞及时发现的协助作用。

    (创作不易,欢迎您的意见和建议,感谢支持♥♥♥)

     
    展开全文
  • 信息安全意识

    千次阅读 2017-12-13 13:51:10
    什么是信息安全意识? 信息安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态。 ...

    什么是信息安全意识?

    信息安全意识就是人们头脑中建立起来的信息化工作必须安全的观念,也就是人们在信息化工作中对各种各样有可能对信息本身或信息所处的介质造成损害的外在条件的一种戒备和警觉的心理状态。

    如何增强信息安全意识?

    通过各种形式的信息安全意识教育、培训及宣贯,使得信息安全意识融入到生活工作中,变成一种常态化的工作。再配以检测、奖罚等机制,让信息安全意识变得如同呼吸一般必要和自然。




    了解更多关于信息安全的内容:

    信息安全意识



    内容介绍:

    第1 章 : 【安全动画讲座】-1

    课时1:提升信息安全意识观念四部曲 03:15

    课时2:身份证复印件安全 01:03

    课时3:手机私密信息安全 01:28

    课时4:上网安全 01:24

    课时5:社交网站安全 01:03

    课时6:如何设计一个好密码 01:54

    课时7:口令密码安全 01:20

    课时8:保险单安全 01:14

    第2 章 : 【安全动画讲座】-2

    课时9:病毒 蠕虫 木马程序 02:01

    课时10:今天你被‘勒索’了吗? 02:00


    课程目标

    • 增强企业全体人员的信息安全意识,做到“信息安全,人人有责”!


    适合人群

    • 适用于整个企业


    阿里云大学官网(阿里云大学 - 官方网站,云生态下的创新人才工场

    展开全文
  • 关于信息安全专业学习的一些看法

    万次阅读 多人点赞 2016-05-15 20:22:18
    总结了自己从本科到目前研究生阶段对信息安全学习的看法。
  • 浅谈信息安全

    千次阅读 多人点赞 2014-07-21 19:20:07
    那么如何做到信息安全呢?我们先来看下面两个故事。 施乐公司的帕洛奥图研究中心(常被叫做“施乐PARC”) 成立于1970年,是图形用户界面(GUI)技术的先驱。它可能是世界上最善于创新而最不善于将创新商业化的机构了。...
  • 信息安全专业学习建议

    千次阅读 多人点赞 2018-03-20 07:59:30
    一、信息安全入门指南http://blog.idf.cn/2013/09/getting-started-in-information-security/http://bbs.chinaunix.net/forum.php?mod=viewthread&tid=711737...
  • 信息安全发展的三个阶段:通信保密,信息安全,信息保障 Wind River的安全专家则针对IoT设备安全提出了如下建议: 安全启动 设备首次开机时,理应采用数字证书对运行的系统和软件作认证; 访问控制 采用不同...
  • 浅谈信息安全及解决方案

    千次阅读 2017-01-16 15:15:04
    随着信息技术的发展,随着市场竞争的激烈化与网络攻击技术的飞速发展,信息安全形势变得日益严峻。信息安全是信息社会的保障,而网络环境的开放性复杂性和多变性决定了信息安全的威胁长期客观存在。在信息攻防战中,...
  • 个人信息安全管理条例解释

    千次阅读 2019-11-06 19:45:56
    给人们生活带来便利的同时,也出现了对个人信息的 非法收集、滥用、泄露 等问题,个人信息安全面临严重威胁。 为了保护公民个人隐私数据不被肆意收集、滥用、泄漏甚至非法售卖,各国政府纷纷出台相关法律政策文件,...
  • 本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 我国信息安全保障工作主要内容 为构建信息安全...
  • 计算机信息安全认识实习报告

    千次阅读 2020-12-20 20:42:19
    认知实习,通过了解公司的相关信息和技术发展以及招聘情况,让我们了解我们信息安全专业在未来的发展趋势,使我们了解本专业相关领域的发展现状,了解到计算机相关领域的发展现状和最新科研成果,以及在生产科研中的...
  • 网络安全与信息安全

    千次阅读 2014-07-22 11:52:40
    然而,信息化发展浪潮带来的信息安全阴影就像雾霾一样笼罩着信息时代社会生活的各个角落。随着人们越来越重视信息的安全性,对信息安全工作的理解也不断深入。从早期的“三分技术、七分管理”,到后来的“技管并重”...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 信息安全导论复习(1-5章)

    万次阅读 2017-06-01 01:32:54
    第1章 信息化发展与信息安全 目录 1.1 信息化发展 1.1.1 信息化对我国的重要影响 1.1.2 信息化发展对信息安全的需求 1.2 信息安全的基本属性 1.2.1 保密性 1.2.2 完整性 1.2.3 可用性 1.3 信息安全概念的演变 1.3.1 ...
  • 信息安全习题(含答案)

    万次阅读 多人点赞 2018-07-06 16:21:37
    信息安全技术教程习题及答案第一章 概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2. 计算机场地可以选择在公共区域人流量比较大的地方。×3. 计算机场地可以选择在化工厂生产车间...
  • SAEJ3061汽车信息安全指南文档

    千次阅读 2018-04-09 15:27:58
    基本原理更多智能汽车信息安全信息,请关注博大汽车信息安全 公众号BodaSecurity。网络物理车载系统在整个开发生命周期进程中,需要提供一个网络安全进程框架和指导,帮助企业识别和评估网络安全威胁和设计网络安全...
  • 你的个人信息安全吗?

    千次阅读 2020-01-25 14:27:18
    你的个人信息安全吗?前言规律个人信息QQ密码的穷举中国最发达的行业是 服务行业90% 的人都玩游戏现代人写字的习惯是 从左到右人们在为某件事物取名字时更加偏向于自己 最熟悉的信息人们在做大量重复性工作时会产生一...
  • 需要网络安全制度汇编请下载网络安全等级保护-信息安全管理制度汇编参考下载,等级保护测评公司,网络安全等级保护测评,等级保护测评机构,等级保护机构 需要加强等网络、信息安全级保护定级备案,网络安全测评及...
  • 信息安全意识-密码安全

    千次阅读 2019-08-16 15:47:58
    密码安全,顾名思义,它指的是对于我们密码的安全。 密码是我们生活中最常见的进行身份验证的一个因素,一般我们在登录系统或者是其他应用程序的时候,最先需要利用用户名和密码来验证我们的身份,这称为单因素身份...
  • 信息安全常见名词解释

    万次阅读 多人点赞 2016-10-06 10:17:36
    信息安全意义上的 0Day 是指在系统商在知晓并发布相关补丁前就被掌握或者公开的漏洞信息。 18.网页挂马:黑客入侵了一些门户网站后,将自己编写的网页木马嵌入被黑门户网站的主页中,利用被黑网站的流量将...
  • 信息安全领域相关术语介绍

    千次阅读 2014-11-16 15:32:07
    信息安全领域相关术语介绍!
  • 个人信息安全如何保障?

    万次阅读 2017-02-25 20:49:13
    一、个人信息内容 一般情况下个人资料包括姓名、性别、年龄、家庭住址、工作单位、身份证号码、遗传特征、指纹、婚姻、健康、病历、财务情况通信地址、E-mail地址、学历、经历、账号与密码等。还包括社会活动及其他...
  • 以下有关信息安全管理员职责的叙述,不正确的是() A、信息安全管理员应该对网络的总体安全布局进行规划 B、信息安全管理员应该对信息系统安全事件进行处理 C、信息安全管理员应该负责为用户编写安全应用程序 D...
  • 信息安全事件管理

    万次阅读 2007-06-25 14:35:00
    目 次前 言 III引 言 IV1 范围 12 规范性引用文件 13 定义 14 背景 14.1 目标 14.2 过程 25 益处和关键问题 45.1 益处 55.2 关键问题 66 信息安全事件及其原因示例 96.1 拒绝服务 96.2 信息收集 96.3 未授权访问 107...
  • 信息安全概论期末复习知识点

    千次阅读 2018-06-30 16:49:27
    信息安全定义 1 信息安全的定义:在技术上和管理上为数据处理系统建立的安全保护,保护信息系统的硬件、软件及相关数据不因偶然或者恶意的原因遭到破坏、更改及泄露。 1 威胁类型 1)信息泄露 2)信息伪造 3)...
  • 网络与信息安全应急处置预案

    千次阅读 2018-11-06 01:09:20
    网络与信息安全应急处置预案
  • 根据新的软考信息安全工程师考试大纲(2020版)和作者长期辅导考试的经验,对考试中的所有知识点进行了详细的讲解,为考试和自身能力提高打下坚实基础。通过对考查知识点的细致讲解,让考生掌握解题思路和方法,做到...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 234,027
精华内容 93,610
关键字:

怎样做到信息安全