公共信息安全精品(七篇)
时间:2023-10-12 09:49:57
序论:写作是一种深度的自我表达。它要求我们深入探索自己的思想和情感,挖掘那些隐藏在内心深处的真相,好投稿为您带来了七篇公共信息安全范文,愿它们成为您写作过程中的灵感催化剂,助力您的创作。
篇(1)
1 引言
移动互联网主要是指在互联网的基础上逐渐发展起来的新型技术。它主要包括了两个层面:一方面包含了互联网不受传统现实社会约束限制的个性,强调自由、平等的特性;另一方面在隐私性、攻击性等方面相比传统互联网具有更大的威胁。移动互联网的优势显著:其一,移动互联网的接入成本低,它可以凭借手机随时随地进行接入;其二,移动互联网对接入地点没有特殊要求,只要是有移动网络信号,就可以接入。
移动互联网信息主要是指利用移动互联网,可以存取、访问的涉及到公共利益的信息。移动互联网公共信息安全具有几个特点:其一,保密性,主要是指信息不被未授权解析与使用的特性;其二,完整性,主要是指信息传播过程中,不会遭到任何篡改;其三,可用性,主要是指不论处于何种情况下,信息与信息系统都能在满足基本需求的基础上被使用;其四,真实性,主要是指信息系统在交互运行的过程中,信息的来源与信息的者是真实可靠的。
2 制约移动互联网公共信息安全的因素
2.1 移动互联网运行的全民性
移动互联网是在互联网的基础上产生的,而互联网自产生起就带有公开性、全民共享性。目前,这一趋势随着移动互联网的普及更加显著,但是随着全民广泛参与到移动互联网的应用中,这就导致移动互联网的控制权被分散。由于移动互联网使用者的利益、目标以及价值等方面都不尽相同,因此,对移动互联网资源的保护与管理也就容易产生分歧,促使移动互联网公共信息安全的问题变得更加广泛、复杂。
2.2 移动互联网监管不严
我们对移动互联网公共信息安全管理的过程中,往往存在着界定不明晰、管理观念落后等问题。比如对移动互联网上频繁出现的不良信息的划分不明确,这就导致相关管理部门进行监管时,没有可以依据的规则,进而导致监管过度或不力。
2.3 缺乏核心的移动互联网技术
我国的移动互联网处于起步阶段,缺乏自主性的网络和软件核心技术,这就导致我们在移动互联网运行过程中不得不接受发达国家制定的一系列管理规则与标准。此外,由于我们的移动互联网核心技术主要是源自他国,这就导致我国的移动互联网常常会处于被窃听、干扰以及欺诈等信息威胁的状态之下,造成我国的移动互联网公共信息安全管理系统极为脆弱。
2.4 缺乏制度化的移动互联网保障机制
我国对移动互联网公共信息安全的管理并没有建立相应的安全管理保障制度,同时也没有建立有效地安全检查制度与安全保护制度。此外,我国现有的政策法规很难适应当今移动互联网公共信息发展的需要,移动互联网公共信息安全保护还存在着大量的立法空白。
3 建立移动互联网公共信息安全保障机制的措施
3.1 政府应充分发挥其职能
政府在移动互联网公共信息安全管理中,应占据主导地位,引导整个移动互联网公共信息安全向着健康方向发展。首先,政府应发挥应急事件指挥者的角色。政府对控制一般网络公共信息安全事件演变为危机事件肩负巨大责任,需要通过自身的能力使社会秩序尽快恢复正常。其次,政府应对移动互联网公共信息安全相关法律进行监管。政府应依据相关法律对移动互联网信息是否安全运行进行有效监管,同时应不断完善移动互联网公共信息安全中薄弱环节的法律法规制度。
3.2 加强移动互联网公共信息安全法律建设
建立手机实名制法律。手机实名制对预防手机犯罪、净化手机信息具有至关重要的作用,实施手机实名制能够保障消费者的合法权益。在我国制定的《通信短信息服务管理办法》中对手机实名制就进行了明确规定,与此同时,若想让手机实名制充分发挥其作用,就必须加强公民隐私权益方面的建设。
完善公共信息安全法律法规。首先,应重点建立信息安全的基本法,保障信息安全的各项问题有法可依;其次,可以在专门信息安全基本法出台之前,建立必要的、急需的单行法;最后,在建立信息安全法的时候,应尽量避免采用制定地方性法规和部门规章的方法代替制定全国性法律法规。
3.3 组建统一的管理机构
建立统一的移动互联网管制机构时,应遵循三个原则。首先,管制机构建立的独立性原则。建立的管制机构不仅要独立于电信运营企业,同时还应该独立于任何行政部门,这样才能够保障管制机构办事的公正性。其次,管制机构建立的依法设立原则。在建立互联网公共信息安全管制机构时,应以《电信法》或专门管制机构法对所建立的管制机构的职责进行明确划分。最后,管制机构建立的融合性原则。管制机构应是一个综合性的管制机构,它所监管的范围应该包括整个信息通信领域。
3.4 加强终端安全保障技术研发
(1)重视病毒防御。当前的移动互联网终端基本上都是职能设备,采用的都是专门的移动操作系统,这些操作系统必须具备对常见的病毒、木马等的防范功能,同时也应不断降低应用软件系统可能出现的安全漏洞。
(2)实施软件签名。软件签名的实现能够保障软件的完整性,从而避免用户的信息被篡改。此外,当应用程序发现信息被篡改后,能够及时向用户发出报警信息。
(3)采用软件防火墙。在终端设备上应用软件防火墙,用户可以通过设置白名单与黑名单对设备上传入与传出的信息进行有效地控制,保障信息安全。
(4)采用加密存储。用户对设备上的重要信息应在加密之后再将其存储到终端设备中,这样能够有效避免非法窃取现象的产生。与此同时,用户在加密与解密的时候,一定要快速的完成,以防信息被窃取。
(5)统一管理。对安全设备应该进行统一管理,即在一个统一的界面中能够对全部的安全设备都进行相应的管理,并对网络中的实时信息进行及时反映,然后可以对得到的各种数据进行汇总、筛选、分析以及处理,从而提升终端对安全风险的反应能力,降低设备受到攻击的机率。
4 结束语
综上所述,移动互联网技术的不断发展,使得公共信息安全日益成为突出问题。保障移动互联网公共信息安全不仅对移动互联网用户的切身利益息息相关,同时与国家安全也密切相关。我们可以从政府、法律、统一的管理机构以及终端安全保障技术研发这几个方面入手,加强移动互联网公共信息安全的保障机制。只有大力保障移动互联网公共信息的安全性,才能够促使移动互联网更加健康的发展,使移动互联网更好地为我们服务。
参考文献
[1] 满代军.移动互联网公共信息安全对策研究[D].山东师范大学,2010.
[2] 毛晓娟.移动互联网公共信息安全保障机制研究[D].华东理工大学,2013.
[3] 陈奇毅.移动互联网公共信息安全保障措施分析[J].计算机光盘软件与应用,2014,11:108-109.
[4] 范渊.移动互联网警钟长鸣信息安全保障迫在眉睫[J].杭州(周刊),2015,05:15-16.
篇(2)
目前,我国对信息安全政策并未给出明确的定义,但我国很多专家学者都对信息政策做出了定义。虽然目前国内外关于信息政策的含义存在着不同的理解,对信息政策的范围和内容也缺乏统一的认识,但对于作为我国信息政策重要组成部分的信息安全政策的定义仍有着重要的借鉴作用,因此,笔者首先对信息政策定义进行归纳研究,从而进一步探讨我国信息安全政策的定义。当前,我国学术界对国家信息政策的概念有多种表述,归纳起来主要有以下几种观点:①从管理的角度出发,信息政策是国家根据需要规定的有关发展与管理信息事业的方针、措施和行动指南;②从决策的角度出发,信息政策是政府或实体为实现一定的目标,如信息自由流通、信息资源共享而采取的行动准则;③从信息活动出发,认为信息政策是调控社会信息活动的规范和准则。以上观点从不同的角度对信息政策进行了定义,但它们在目标和功能上是一致的,可以归纳为信息政策是指在为解决信息管理和信息经济发展中出现的,涉及公共权益、安全问题,保障信息活动协调发展而采取的有关信息产品及资源生产、流通、利用、分配以及促进和推动相关信息技术发展的一系列措施、规划、原则或指南。借鉴信息安全和信息政策的定义,笔者认为:信息安全政策是指为保护信息的完整性、可用性、保密性和可靠性,使内部信息不受到外部威胁而制定的一系列措施、规划、原则或行动指南。
2信息安全政策的作用
2.1信息安全政策是保障社会团体组织实现信息安全管理目标的行为准则
不同的组织团体根据自身的信息安全的需要制定一系列作用于组织内部的信息安全政策,这些政策主要包括保障信息在收集、传播、服务和共享等方面安全的规章制度,以及相关的激励和处罚条例,这些信息安全政策对组织内部人员对信息的安全使用提供了行为规范,从而保障了信息活动安全顺利进行。
2.2信息安全政策是对信息系统安全运行机制进行调节的一整套政策体系,对我国信息事业安全发展具有宏观推动作用
信息安全政策是一个庞大的政策体系集合,它是在国家信息政策的指导下,根据不同的信息安全状况,而制定的一系列保障信息工作安全进行,信息市场快速、安全、稳定发展的原则、指南、规定、条例等。这些安全政策为我国信息工作和信息产业的安全发展起到了宏观指导和规划作用,从而在很大程度上推动着我国信息工作安全进行和信息产业安全发展。
2.3信息安全政策是我国信息安全建设的方针、原则和办法,它对我国信息安全活动起到指南作用
随着信息技术事业的发展,涉及信息安全领域的问题愈来愈多,如何才能保障信息在流通使用各个环节中的安全已成为国内外专家学者的研究热点。信息安全技术的发展虽然为信息安全起到了技术保障作用,但却不能对信息安全使用、保障信息安全建立起秩序并起到指导作用,信息安全政策弥补了技术上的不足,建立起了我国信息安全建设的方针、原则和办法,对我国信息事业的发展建设和信息活动的安全进行起到了指南作用。
3信息安全政策的本质
信息安全政策是一种政治政策措施,而政治政策措施具有多种规定性,这些规定性放在一起使得政策成为权力机关为达到一定的目标而采用的方法和手段,它是理论与实践的中间环节,因此它具有理论和实践的二重性。
3.1信息安全政策是维护信息环境趋向和谐和正常运转的基础
信息安全政策是解决信息安全问题的最直接环节,信息安全政策制定的正确与否决定着信息安全政策目标能够实现与否和信息安全政策实施的程度及范围,信息安全政策的实施是完善、维护现有信息安全政策,制订新的信息安全政策的基础,通过信息安全政策的有效实施和完善健全,信息在信息流通的各个环节的正确性、安全性、完整性、冗余性得以保障,从而使信息环境更加美好和谐的运转。
3.2信息安全政策是政策主体站在公共立场上维护信息不受侵害的重要工具
信息安全政策的制订实施为维护信息安全提供了保障工具,它的制订和实施从公共立场上维护了政策主体的利益,然而由于信息安全政策主体即信息安全政策的制定实施者和信息政策客体即政策目标人群之间存在着价值取向地位不同的问题,从而导致了信息安全政策主体和目标群体的价值能否独立在信息安全政策过程之外,换而言之:信息安全政策制定者、执行者及目标群体自身的价值取向是否会影响政策最终地价值趋向就成为了研究关键。笔者认为:虽然信息安全政策的主体是站在维护公共信息安全的角度来制定和执行信息安全政策的,但是由于政策制定者和政策执行者在信息安全政策的制定中或多或少的受到个人主观因素的影响,政策目标与政策目标群体在价值取向上不完全吻合,使得信息政策过程不再是直线过程,因此,希望信息安全政策一出台就能解决所有的信息安全政策问题是不现实的,这是对信息安全政策主体和信息安全政策目标群体主观能动性的否定,也是对信息安全政策过程中自上而下的信息流的忽视,更是把信息安全政策当做一成不变的决策结果和行动指南的唯心思想。
4信息安全政策的功能
4.1导向功能
信息安全政策的向导功能主要是通过两种途径表现出来的:①借助于信息安全政策目标群体目标因素,来规范目标群体的行为方式。信息安全政策的制定者根据其对信息安全事业发展的客观过程、变化趋势以及目标群体的需求分析进行预测,提出政策目标,并为目标实现制定具体方针、步骤、方法及措施等,以此规定人们的行为准则,从而使信息活动能够安全进行。②借助目标群体的价值因素,来规范目标群体的行为方向。信息安全政策目标群体的自利性以及对信息安全政策的理解认知程度,都是影响信息安全政策颁布施行的关键因素,信息安全政策能够通过其价值系统来明示人们信息安全政策的是非界限,统一人们的价值观念,从而达到信息安全政策的目标。
4.2调控功能
随着信息技术的进步,人们对信息需求量日益增加,信息为社会各个团体带来的巨大利益清晰可见,信息的拥有量和经济效益成正比例趋势攀升。现实社会中的不同利益群体之间不可避免地会有摩擦、冲突和对抗,政府必须使用公共政策这种有效工具来对信息使用中的各种矛盾进行调控,从而减少利益团体在对信息使用争夺过程中对信息造成的泄露、破坏、丢失等危害,以及这危害带来的经济损失。其次,信息社会之所以能够运用信息安全政策对信息的安全流通进行调控,是因为现代信息社会的运行不是一个自发的无序的过程,而是一个依据客观规律、有序的过程。
4.3管制功能
信息安全政策的解决,可以通过令信息安全政策对象不做什么来达成信息安全政策的目标,信息安全政策主体要制定相应的政策条例来禁止政策对象不做什么,或者说要使信息安全政策对象不发生政策主体不愿见到的行为,如信息泄露、信息丢失、信息盗用等行为,就必须使信息安全政策对政策目标
篇(3)
【关键词】电力通信技术;信息安全;策略
随着科学技术的进步,如今电力自动化通信技术日趋成熟,有着越来越高的自动化水平,电力系统对通信技术信息安全也提出了更高的要求,只有保证通信技术中的信息安全可靠,方可以更加快速的发展电力系统,促使其更加可靠的运行。
1 信息安全防护在电力自动化通信技术中的应用
通过调查研究发现,电网安全防护工程在电力自动化通信技术中发挥着十分重要的作用,它可以保证信息的安全。本安全防护工程有机结合了管理技术和工程实施的流程,并且将其他先进的技术方法给应用了进来;从理论角度上来讲,电网的安全防护系统工程,主要是将信息安全工程的模型方法给套用了过来,用系统的安全工程管理、设计、组织以及验证等来替换单一的安全设备和设置。
电力自动化通信技术中的信息安全模型,还有机组合了其他的因素,如策略、技术和管理,这样就会有一种简单信息安全的模型形成。信息安全工程的实施,说明信息安全是动态的过程,不能够停止,并且需要不断的分析安全需求,做好实时监测工作,报警响应要及时发出来,采取一系列针对性的技术措施,对审计评估产生足够的重视,这样一个动态的自适应安全模型就形成了。
2 电力自动化通信技术中信息安全分析
一是电力自动化通信技术信息安全的典型数据加密算法:通过调查研究发现,如今在电力自动化通信技术信息安全典型的数据加密算法,可以划分为两类。首先是公开密钥,公开密钥算法主要包括两对密钥,分别是专用密钥和公共密钥,专用密钥的安全必须要得到保证,而可以向外界公布公共密钥。公共密钥紧密联系着专用密钥,通过公共密钥,可以解密专用密钥的加密信息,依靠主用密钥,可以解密公共密钥中的加密信息。公共密钥算法不需要依靠联机密钥的服务器,并且有着较为简单的分配协议,这样密钥管理就得到了一定程度的简化。加密功能是公共密钥算法的基础功能,还可以用数字签名。可以用密钥来分配公共密钥中的安全实用算法,并且有些还可以作为加密算法使用,但是部分只能作为数字签名。很多的算法,大数是其主要的运算对象,那么就影响到运算速度,在数据加密中无法使用,而在公共密钥中的RSA算法,则是将公钥和私钥给应用进来。
其次是数据加密标准的算法,如今,信息技术得到了不断发展,在各个行业内都开始广泛应用数据加密标准的DES算法,其中,收费站、加油站等被我们所熟知,这种加密算法也被应用到电力自动化信息通信技术中。通过实践研究表明,采用数据加密标准DES算法,可以促使加密和解密速度得到显著提升,我们对其进行了测试,采用的是AES候选算法,结果显示,可以达到每秒数十兆。在DES加密算法中,明文的分组长和密钥的长分别是64bit和56bit,通常可以用三个阶段来概括明文处理过程,第一个阶段主要是对IP初始置换,重新排序明文分组中64bit数据;第二个阶段则是变化有着相同功能的16轮,并且每轮的置换运算和代换运算都是独立的,并且对16轮的输出次序进行变换,将其划分为两个部分;逆初始置换是最后一个阶段,这样就会有64bit密文产生。因为数据加密标准DES算法的安全性较好,因此得到了较为广泛的应用。
还有就是公开密钥和数据加密标准算法的混合使用,RSA算法主要是分解大数,但是从理论层面还没有得到证实,在因式分解的过程中,部分RSA的变体难度较大,甚至无法恢复RSA加密算法中的密文;有着诸多的方法都可以攻击DES算法,如差分密码分析法、强力攻击等等。DES算法中因为产生了分布式系统,16循环,这样就会在一定程度降低DES算法的抗攻击能力。
二是电力自动化通信技术信息安全系统中密匙的生成与管理:在电力自动化通信技术信息安全数据加密中,非常重要的一项技术就是密钥的管理技术,本管理技术需要对多个方面进行处理,如密钥的生成、备份与存储以及验证与传递、保管与保护等等。密钥管理技术将密钥整个生存的周期给容纳了进来,因此,较为薄弱,如果没有合理的进行密钥管理,就会泄露明文内容,这样不管是认证还是接入电力自动化通信技术中的信息安全技术,安全性就无法得到保证。因此,选择的密钥管理机制,就需要符合于通信技术网络的应用环境、规模和特性,对管理机制进行合理判断,以便在电力自动化通信网络中正确运用。
3 电力自动化通信技术中信息安全关键技术的强化
一是对电力自动化通信网络的安全技术进行改进:要科学安全的设置密码,尽量不要将自己的名字或者生日等信息运用起来,设置密码的过程中,需要组合不同的符号,如英文字母、数字等等。要想保证通信网络安全,非常关键的环节就是密码安全,因此,就需要对密码进行良好的保管。要实时监控各个网络端口或节点,并且对电力行业通信网络的日志定期检查,对病毒经常查杀,及时备份那些重要的数据,对安全管理体系进行科学的改进,提升其科学程度,促使电力自动化通信网络更加安全的运行。要对技术人员的安全意识和管理意识进行强化,如果从思想层面上出现了松懈问题,那么就容易有漏洞出现于电力自动化通信技术中,也不能够对不明文件随意下载,否则就可能会导致病毒的侵入。
二是对电力自动化通信技术中的信息安全系统进行完善:要对信息安全系统的建设进行完善,将专用的通道给利用起来,并且安全的隔离公共通信网络和电力自动化通信网络,数据之间的业务通信,只能够在电力调度的数据网络和电力生产之间进行。在电力自动化通信系统中,如果电力自动化系统需要连接其他的信息系统或电力监控系统,那么就需要将较为安全可靠的隔离设施给运用起来,在数据调度的过程中,不能够连接互联网,电子邮件也尽量不要使用。
4 结语
通过上文的叙述分析我们可以得知,随着时代的发展,我国电力自动化通信技术日趋成熟,对网络信息安全也提出了更高的要求。为了保证电网能够更加安全经济的运行,就需要综合分析电力自动化通信技术信息安全的加密技术和改进措施,促使电力行业整体网络安全的防护体系得到强化,信息化水平得到提升,推动我国电力行业获得更好更快的发展和进步。
参考文献:
[1]吴岩.电力自动化通信技术中的信息安全分析[J].中国新技术新产品,2012(32).
[2]杨洋.电力自动化无线通信中加密方案的设计探析[J].科技创新导报,2009(34).
[3]游春.电力通信中的信息安全研究[J].电脑与电信,2009(14).
篇(4)
关键词:信息安全;等级保护;分级保护
随着我国信息系统建设的逐步完善,信息安全越来越得到重视,目前,我国已提出实行信息安全等级保护管理,并建立了信息系统分级保护制度。
1 信息安全等级保护
2003年,中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号),提出实行信息安全等级保护,建立国家信息安全保障体系的明确要求。
信息系统的安全保护等级应当根据信息系统在国家安全、经济建设、社会生活中的重要程度,信息系统遭到破坏后对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定。
信息系统的安全保护等级分为五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。该级别是用户自主保护级。完全由用户自己来决定如何对资源进行保护,以及采用何种方式进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。该级别是系统审计保护级。本级的安全保护机制受到信息系统等级保护的指导,支持用户具有更强的自主保护能力,特别是具有访问审计能力。即能创建、维护受保护对象的访问审计跟踪记录,记录与系统安全相关事件发生的日期、时间、用户和事件类型等信息,所有和安全相关的操作都能够被记录下来,以便当系统发生安全问题时,可以根据审计记录,分析追查事故责任人,使所有的用户对自己行为的合法性负责。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。该级别是安全标记保护级。除具有第二级系统审计保护级的所有功能外,它还要求对访问者和访问对象实施强制访问控制,并能够进行记录,以便事后的监督、审计。通过对访问者和访问对象指定不同安全标记,监督、限制访问者的权限,实现对访问对象的强制访问控制。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。该级别是结构化保护级。将前三级的安全保护能力扩展到所有访问者和访问对象,支持形式化的安全保护策略。其本身构造也是结构化的,将安全保护机制划分为关键部分和非关键部分,对关键部分强制性地直接控制访问者对访问对象的存取,使之具有相当的抗渗透能力。本级的安全保护机制能够使信息系统实施一种系统化的安全保护。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。该级别是访问验证保护级。这一个级别除了具备前四级的所有功能外还特别增设了访问验证功能,负责管理访问者对访问对象的所有访问活动,管理访问者能否访问某些对象从而对访问对象实行专控,保护信息不能被非授权获取。因此,本级的安全保护机制不易被攻击、被篡改,具有极强的抗渗透的保护能力。
2 信息系统分级保护
2004年,中保委下发《关于加强信息安全保障工作中保密管理的若干意见》(中保委发〔2004〕7号),明确提出建立健全信息系统分级保护制度。
涉及国家秘密的信息系统要按照党和国家有关保密规定进行保护。我国的国家秘密分为秘密、机密、绝密三级,信息系统也按照秘密、机密、绝密三级进行分级管理。
秘密级:信息系统中包含有最高为秘密级的国家秘密,其防护水平不低于国家信息安全等级保护三级的要求,并且还必须符合分级保护的保密技术要求。
机密级:信息系统中包含有最高为机密级的国家秘密,其防护水平不低于国家信息安全等级保护四级的要求,还必须符合分级保护的保密技术要求。属下列情况之一的机密级信息系统应按机密级(增强)要求管理:
(1) 信息系统的使用单位为副省级以上的党政首脑机关,以及国防、外交、国家安全、军工等要害部门;
(2) 信息系统中的机密级信息含量较高或数量较多;
(3) 信息系统使用单位对信息系统的依赖程度较高。
绝密级:信息系统中包含有最高为绝密级的国家秘密,其防护水平不低于国家信息安全等级保护五级的要求,还必须符合分级保护的保密技术要求,绝密级信息系统应限定在封闭的安全可控的独立建筑内,不能与城域网或广域网相联。
信息系统的等级由系统使用单位确定,按照“谁主管、谁负责”的原则进行管理。实现对不同等级的信息系统进行分级保护,对信息系统使用的安全保密产品进行分级管理,对信息系统发生的泄密事件进行分级处置。
3 等级保护与分级保护的关系
国家信息安全等级保护与信息系统分级保护既有联系又有区别。
篇(5)
根据相关理论,网络信息安全主要受技术、操作及管理等三方面因素的影响。其中,管理是影响网络信息安全最核心的因素,值得网络信息安全工作中高度关注。
(1)技术。
主要指信息产品和过程,比如防火墙技术、杀毒软件、侵入检测技术及信息加密方法等。
(2)操作。
主要包括信息安全的强化机制与方法、各种信息安全威胁所引起的运行缺陷纠正措施、物理干预方法、数据备份机制、环境威胁规避方法等。
(3)管理。
一般指信息安全的非技术性领域,包含所应用的政策、员工培训计划、业务规划策略等。其中,网络安全信息领域所应用的“三全”工作模式便是近些年来大范围推广的网络信息安全管理方法。
2信息安全及网络安全“三全”工作模式探讨
为确保信息安全工作基础得以进一步的强化,提升信息安全的保障能力及提高运维服务能力,在网络信息安全领域中应用“三全”工作模式显得极其重要。主要可从以下渠道进行:
(1)健全信息化项目管理机制。
在信息化工作中,逐步落实《信息化工作职责一览表》及《信息化工作整体流程图》等制度的制定工作,并推进实际信息化建设与管理中的整体流程及职责落地工作。另外,还需要不断完善信息项目管理机制及过程管控机制,不断优化完善信息化管控体系管理手册、过程管控文件、工作记录文件及过程文件等不同等级的文档,以确保项目推进规范化。项目得以顺利推进的核心在于项目沟通协调监理机制的完善。
(2)推进信息安全长效机制建设。
在网络信息安全工作中,以“三全”工作管理模式作为基本的契合点,不断完善应用系统的“三全”基础性信息库,并依据信息基础设施及业务系统的实际动态情况进行及时性地更新、调整,以确保信息化基础性数据处于最新的状态下。另外,加强应用系统技术性及信息管理问题的排查工作,提出相应的整改方法,明确整改责任人,限定最后的整改期限,确保整改工作得以高效、顺利进行。
(3)加快信息安全保障体系构建。
开展应用系统的安全层级保护整改项目的稳健落地,积极评估信息安全风险,加强对信息安全的配置,网络信息安全领域的管理体系咨询工作;对现有及未来将采购的信息化应用产品、系统软硬件平台及自主开发的信息安全管控模块与不同信息化平台进行整合为具备特定信息安全等级的集成系统,并全面规划企业网络信息安全技术集成方案。另外,后续所开发的业务管理运营系统需确保与公司所推进的网络信息安全管理体系相匹配,以扎实推进信息安全管控体系的实施落地。
(4)积极开展信息安全应急演练。
应急方案演练,是提升信息安全等级的重要渠道之一。可高效利用周末实际,根据企业实际情况安排停机时间,结合企业实际情况编写信息安全应急演练方案,按照应急演练通知,组织培训、掌握应急方案,开展应急演练,现场实际操作等流程规范化、有序化地进行应急演练活动。对于应急演练中所发现的各项问题,应有计划性地进行结语与评估,并认真研究有效的处理方法,提升企业网络信息安全管控水平。
(5)加强网站及邮件系统安全防护。
在公共服务区外网入口区域部署防DNS攻击、入侵实时监测、预防网络篡改、网络负载均衡、反垃圾邮件等软硬件系统,为互联网公共服务提供有效的保护策略。每个季度、每个月定期化地进行一次企业内部操作系统、应用系统的安全性检测,提高网络运行的安全稳定性。
3结语
篇(6)
关键词:虚拟专用网络技术;计算机网络;信息安全
0引言
虚拟专用网络技术主要是以公共网络为基础,为用户提供有效的信息共享与传输技术。该技术能够有效提高数据的安全,降低风险,为客户提供安全、完善的网络环境。本文主要分析虚拟专用网络技术在计算机网络信息安全中的应用。
1虚拟专用网络技术概述
虚拟专用网络技术不同于公共网络技术,该技术可以有效提高网络的安全性,为客户提供针对性的网络服务。目前,虚拟专用网络技术已经用于许多领域之中,比如财务管理、图书馆等。采用虚拟专用网络技术能够节省投入,简化操作步骤,帮助用户建立专门的信息通道,使信息的获取更加方便。虚拟专用网络技术对设备的要求较低,操作比较方便,受到许多企业的青睐。企业若要提高核心竞争力,就要借助虚拟专用网络实现技术进步,加之该技术具备良好的扩容性,因此就会为提高企业核心竞争力提供充分的技术条件,具有广泛的发展空间。
2虚拟专用网络技术主要类型
虚拟专用网络技术不同于普通网络技术,该技术可以提供加密与解密以及身份认证等功能。现阶段,虚拟专用网络技术主要应用于计算机网络信息安全之中,下面分别介绍其具体类型。
2.1隧道技术
隧道技术是虚拟专用网络技术中的主要类型,其主要是对局域数据进行重新封装。该技术主要是借助数据包传播各种各样的数据,为了保障数据包正常运行,工作人员会添加相应的信息,信息会经由物联网传达至虚拟网络。由于工作人员会对数据包进行相应的操作与编辑,其形成的一系列路径就是隧道。
2.2加密技术
加密技术的主要功能是对数据信息进行加密,这样就可以避免被不法分子或者黑客侵袭、篡改。加密技术具有隧道技术无法达到的优势,即保障数据安全,提高计算机网络运行的安全性。加密技术的应用可以保护用户的隐私和企业的合法权益,在互联网不断发展的今天,加密技术不可或缺。
2.3密钥管理技术
密钥管理技术是由ISAKMP和Skip组合而成。在虚拟专用网络中,需要借助密钥管理技术实现对公用数据的安全传输,Diffie的验算法则功能在Skip基础之上可以得到充分展现,对数据采取密钥后,就可以继续传输;与Skip相比,ISAKMP的密钥是公开的。
2.4身份认证技术
在虚拟专用网络技术中,身份认证技术十分常见,也非常重要。身份认证技术主要是为用户服务,旨在保证系统安全和使用者的合法权益。用户设置的密码、用户名、预留信息等都可以作为身份认证的主要内容,一旦用户填写的密码或者信息有问题,用户就不能继续使用.
3计算机网络信息安全中运用虚拟专用网络技术的方法
为了保证计算机网络信息的安全,就要应用先进的虚拟专用网络技术。企业可以在公共区域网络中建立专属服务网络,采取多种技术全面保障企业信息安全,构建安全网络。常见的虚拟专用网络技术应用方法有MPLSVRN与IPsecVPN。
3.1MPLSVRN
应用MPLSVRN这种方法,可以有效实现企业公共网络与专用网络的信息传递,同时还能够保障信息安全与数据传输完整。MPLSVRN应用范围比较广泛,可为信息安全传输提供必要的技术保障。MPLSVRN作为公共网络与专有网络的纽带,在具体应用中必须要重视操作步骤,还要明确应用目的。首先,利用MPLSVRN要构建信息分层地带,充分发挥公共网络的作用,为用户提供有针对性的信息,使用户享受到多元化的信息服务。其次,利用MPLSVRN能够有效沟通公共网络与专有网络,保障二网之间的信息安全传递。在这一过程中,路由器起到了很重要的作用,使数据可以从虚拟网络中传递。
3.2IPsecVPN
最初,IPsec主要为计算机IP地址提供安全保障,确保系统稳定、可靠。随着虚拟专用网络技术的持续应用,计算机网络信息安全得到有效提升,IPsec的应用范围变得更加广泛,其可以为虚拟专用网络技术提供有效的辅助作用,全面保障网络信息安全。随着技术的不断进步,IPsec逐渐演变成IPSECVPN。IPsecVPN是一种非常专业而有针对性的方法,主要是将虚拟专用网络技术运用在计算机网络信息安全中。在运用的过程中,IPsecVPN主要利用框架式结构,并遵循该结构中的三项协议,分别是EPS协议、端到端协议、PC到网关协议。第一种EPS协议可以保障用户在特定时间内的信息获取安全,确保这一段时间内的信息得到及时、安全传输;会采取这种有效的方法对信息进行加密,保障用户的合法权益。第二种协议是端到端协议。IPsecVPN端到端协议侧重对信息共享的过程进行保护,保障数据两端网络安全。第三种协议是IPsecVPN的PC到网关协议。该协议可以对不同的PC网络信息传输开展保护,提高信息传输的可靠性和及时性,有效保障计算机网络信息安全。通过IPsecVPN这一方法,可以帮助虚拟专用网络技术更好地发挥作用,在计算机网络中传输的各种信息、数据都可以得到有效维护。为了实现不同站点的信息传输安全,可分别采用传输模式与隧道模式。这两种模式在发挥作用时也会存在一定的差别:EPS和AH在处理完成后,传输模式与隧道模式就会存在是否需要添加外网IP地址的区别。前者无须添加,后者必须要添加。
4虚拟专用网络技术在计算机网络信息安全中的应用
4.1在企业部门和远程分支部门的应用
虚拟专用网络技术在企业部门和远程分支部门中多见其身影。利用该网络可以组建虚拟局域网,实现对企业分部的远程管理与控制,随时保持联系和沟通,实现信息共享。虚拟局域网主要应用于规模比较大的企业之中,每一个部门都可以在这一网络中传递信息,随时查看相关文件。虚拟专用网络技术的应用需要有质量过硬的设备,通常会采用硬件式虚拟网络网管设备,其具备良好的加密性能和较高的技术水平,能够保证企业网络信息安全。在虚拟局域网中,需要实现对企业各部门的监控与管理,借助硬件式虚拟网络网管设备就可以获得事半功倍的效果。
4.2在企业网和远程员工间的应用
在以销售和采购为主的企业中会使用虚拟专用网络技术,从而实现与员工的远程沟通。在企业网和远程员工之间应用该技术可以实现信息资源共享,促使数据得到及时传递,提高工作效率。采用虚拟专用网络技术时,通常会以企业总部为中心,实现有效的网络连接,具有很高的安全性。在总部要设置互联网防火墙设备,这样就可以实现对分部的出口网关统一控制。防火墙设置的原因是提高互联网的安全系数,面对不同类型的用户登录,可借助防火墙鉴别其身份。比如,采用移动办公的工作人员与从事具体业务的人员在进行登录时,必须要通过专有的客户端,这样才能顺利通过防火墙的考验。虚拟专用网络技术在企业网和远程员工间的应用比较频繁,由于其设备是虚拟的,还具有很高的安全性,因此就可以大幅降低企业的成本。
4.3在企业与企业合作伙伴中的应用
企业发展到一定阶段,就会有许多合作伙伴与客户,还会有其他参与方共同分担风险。为了实现互利共生,企业需要不断拓展业务量,与各个合作方建立默契的联系。频繁的合作与联系就会产生大量的信息与数据,若要提高其安全性,就需要采用虚拟专用网络技术对信息进行加密,保证企业、合作伙伴、客户的隐私。外界用户在访问的过程中,防火墙会自动隔开加密信息,这样既不耽误用户正常浏览和使用,又可以保护好商业秘密。不管是对于企业、合作伙伴还是客户而言,该技术的应用都可以维护各自的合法权益。
5虚拟专用网络技术发展趋势
随着计算机技术与网络技术的进一步发展,虚拟专用网络技术的应用范围不断拓展,不仅安全性会进一步增强,还会为提高企业效益与竞争力提供重要技术保障。企业为了获得可持续发展,实现信息安全传递,保障商业机密,就会采用虚拟专用网络技术。虚拟专用技术可以在电信行业中崭露头角,以保障网络信息安全为目标,提高电信企业的竞争力。同时,在市场中,虚拟专用网络技术在防火墙技术的支持下会更有卖点。
篇(7)
【关键词】网络;信息;安全事件;财产安全
前言:网络与信息安全事件的发生是世界性问题,我国的网络与信息安全事件发生率一直高居不下,随着信息化社会的不断发展,网络与信息安全事件的频发,受到了我国各级政府和相关企业的高度关注,而预防与保障此事件发生的方法与手段也愈加关键。我国针对此应急事件的处理方法分为分类、预警、响应三步,全面预防与控制网络与信息安全事件的发生。
一、网络与信息安全的概述
随着现代信息社会的发展与进步,网络为人们的生活、工作、学习等带来了一定的便捷,由于网络的开放性、通用性、分散性等原因,很容易发生网络与信息安全事件。对于网络与信息安全事件的发生,已经对社会造成严重的影响,对此我国颁布的《中华人民共和国突发事件应对法》中有提到:需要建立一定的应急处理方法来应对由自然灾害、事故灾害、公共卫生灾害和社会安全引起的安全事故。对于网络安全事件的应急处置工作也有了明确的分类,《国家信息化领导小组关于加强信息安全保障工作的意见》中将网络与信息安全事件归纳为:由网络和信息系统直接产生对国家、社会、经济、公众等方面产生的利益损害事件。
网络与信息安全事件是世界各国重点关注的问题之一,就我国而言,我国网民数量多达4亿多,通过互联网产生的消费额已经超过6000亿元。信息安全问题已经影响到我国社会、经济、公众的利益,从过去发生过的网络与信息安全事件中可以看出,引起信息安全事件的因素多为以经济利益为目的的安全事件,另一部分是以非经济利益为目的的安全事件。由于网络与信息安全事件的发生具有无征兆且扩散十分迅速、传播范围广、对周边网络或计算机信息的危害大等特征,建立起完备的网络与信息安全事件应急处置体系十分必要。
二、建立网络与信息安全事件的应急处置体系
最初的网络与计算机信息技术应用范围较为狭隘,仅限于国家的军事、管理或社会经济、产业、技术等方面。目前网络与计算机信息技术已经涉及到社会中各层面、各行业的领域中,因此,出现的网络与信息安全事件便成为一个社会性问题。我国对此提出的建议是:由国家宏观调控指挥、各部门密切配合,建立起能够针对网络与信息安全事件的应急处理体系,对影响国家信息安全、社会经济发展、公众利益等方面作出一定的防范措施。对于建立的应急处置体系,还需要具有科学性、合理性:以预防为主,不能单纯的事后补救;以处置为主,不能放纵危险事件的发生。在各方面的努力下,我国的网络与信息安全事件的应急处置体系配备相应的法律法规,成为网络与信息安全事件的一项保障。信息安全是一种新兴的安全问题,不同于自然灾害、人为灾害或直接经济损失的危险事件,而是一种虚拟信息的泄露,这需要对网络与信息安全事件重新定位,建立统一的定位标准。我国对网络与信息安全事件的分类方法为:按照信息安全事件的引发因素、事件表现、影响等将信息安全分类为程序损害事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障事件和信息灾害事件等6大类,其中细节划分为40余种。再按照事件危害等级、预警等级将其划分为四个事件等级:A级:特大网络与信息安全事件;B级:重大网络与信息安全事件;C级网络与信息安全事件;D级一般网络与信息安全事件。
对于网络与信息安全事件的应急处置工作,我国已经将其纳入国家突发事件应对体系中。建立的应急预案分为国家、地区、单位的三级应急处置体系,并在此体系中建立具有高度统一、十分便捷、方便协调的组织机构,如遇网络与信息安全事件,通过综合分析,判定网络与信息安全事件的形势,再制定应急处置预案,经协调指挥相关技术人员落实预案。
在此系统中,地方政府和相关机构对本辖区内的网络与信息安全事件直接负责,负责的内容包括网络与信息安全事件的预防、监测、报告和应急处理工作。我国需要建立起网络与信息安全事件应急处理咨询机构,为此提供预防和处置技术的咨询。另外,需要向社会公众建立起信息通报机制,如报警电话等。由群众提供网络与信息安全事件信息,作为紧急事件预警的基础,根据建立起科学、有序的网络与信息安全事件的规章制度,全面控制网络与信息安全事件。
二、网络与信息安全的应急处置体系内容
(一)预警
预警包括对安全事件监测的预警、预警判定、预警审定、预警、预警响应和最终的预警解除。
预警机制的健全,能够全面避免安全事件发生后的扩展和对人类财产的损失扩大,为了防止这一问题,可根据上文所提到的事件发生的紧急程度和危害程度分级处理,按照不同级别进行不同预警。
(二)响应
响应的理论基础是在预警过后产生的事件起因预测、事件结果评估。响应工作是确定响应等级后开启响应指挥,迅速了解事件动态并进行部署,然后实施处置工作,最后对本次应急事件进行评估。响应也包括四个等级,根据预警等级不同,实施不同的响应等级工作。
结论:综上所述,网络与信息安全事件的发生十分迅速、不可预估,并且危害大、扩展性强,我国对此已经作出一系列法律法规的约束,但对于网络与信息安全事件的发生还需作应急处理,制定相应的应急处理机制,以预防为主,需要培养发现和控制事件的能力,减轻和消除由突发事件所引起的社会危害事件,并且需要在事件发生后第一时间做出总结,以防同样事件再次发生。
参考文献:
[1]王瑞刚.网络与信息安全事件应急响应体系层次结构与联动研究[J].计算机应用与软件,2011,09(10):117-119.
