前言:中文期刊网精心挑选了信息安全保护措施范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
信息安全保护措施范文1
(一)采用系统的思想
网络安全的建设是一个系统工程,它需要对影响信息系统安全的各种因素进行综合考虑,同时需要对信息系统运行的全过程进行综合分析,实现预警、防护、恢复等网络安全的全过程环节的无缝衔接;另一方面要充分考虑技术、管理、人员等影响网络安全的主要因素,实现技术、管理、人员的协同作战。
(二)强调风险管理
基于风险管理,体现预防控制为主的思想,强调全过程和动态控制,确保信息的保密性、完整性和可用性,保持系统运作的持续性。
(三)动态的安全管理
公安信息网络安全模型中的“动态”网络安全有两个含义:一是整个网络的安全目标是动态的,而不再是传统的、一旦部署完毕就固定不变的,从而支持部分或者全网范围内安全级别的动态调整;二是达到安全目标的手段、途径必须能够根据周边/内部环境的变化进行动态调整。
二、基于策略的动态安全管理模型的定义
基于上述指导思想,建立基于策略的动态安全管理模型,主要包括四类要素:人员、管理、策略、流程(技术产品)。安全策略确定后,需要根据组织切实的安全需要,以上述定义的安全策略为基础,将安全周期内各个阶段的、反映不同安全需求的防护手段和实施方法以一种利于连动的、协同的方式组织起来,提高系统的安全性。总的指导原则是:第一,防护是基础,是基本条件,它包含了对系统的静态保护措施,是保护信息系统必须实现的部分。第二,检测和预测是手段,是扩展条件,提供对系统的动态监测措施,是保护信息系统须扩展实现的部分。第三,响应是目标,是进行安全控制和缓解入侵威胁的期望结果,反应了系统的安全控制力度,是保护信息系统须优先实现的部分。这些不同的安全技术和产品按照统一的策略集成在一起,保持防护、监测、预警、恢复的动态过程的无缝衔接,并随着环境的变化而进行适当的调整,这样就能够针对系统的薄弱环节有的放矢,有效防范,从而完善信息安全防护系统。
三、基于策略的动态安全管理模型的实施过程
在公安信息安全管理体系的建立、实施和改进的过程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型将信息安全管理体系分解成风险评估、安全设计与执行、安全管理和再评估四个子过程。组织通过持续的执行这些过程而使自身的信息安全水平得到不断的提高。PDCA模型的主要过程如下:
(一)计划(Plan)
计划就是根据组织的业务目标与安全要求,在风险评估的基础上,建立信息安全框架。包括下面三项主要工作:
1.明确安全目标,制定安全方针根据公安专用网络信息安全需求及有关法律法规要求,制定信息安全方针、策略,通过风险评估建立控制目标与控制方式,包括公安系统工程必要的过程与持续性计划。
2.定义信息安全管理的范围信息安全管理范围的确定需要重点确定信息安全管理的领域,公安信息安全管理部门需要根据公安系统工程的实际情况,在整个金盾工程规划中或者各业务部门构架信息安全管理框架。
3.明确管理职责成立相应的安全管理职能部门,明确管理职责,同时要对所有相关人员进行信息安全策略的培训,对信息安全负有特殊责任的人员要进行特殊的培训,以使信息安全方针真正植根于所有公安干警的脑海并落实到实际工作中。
(二)实施(Do)
实施过程就是按照所选定的控制目标与方式进行信息安全控制,即安全管理职能部门按照公安信息安全管理策略、程序、规章等规定的要求进行信息安全管理实施。在实施过程中,以公安信息安全管理策略为核心,监测、安全保护措施、风险评估、补救组成一个循环链,其中信息安全管理策略是保证整个安全系统能够动态、自适应运行的核心。
1.选择安全策略根据公安业务目标、公安信息安全管理目标、公安信息安全管理指导方针选择或制定信息安全策略。
2.部署安全策略对于高层策略,在此阶段,首先应将各种全局的高层策略规范编译成低级(基本)策略。根据底层的服务或是应用的要求将策略编译成执行组件可以理解的形式,针对特定类型的策略实施封装具体实施策略所需的行为,封装执行策略所必需的实现代码,这些代码与底层实现有关。将策略分发并载入到相应的策略实施中,继而可以对策略对象执行启用、禁用、卸载等策略操作。
3.执行安全策略(1)监测。对公安信息系统进行安全保护以后并不能完全消除信息安全风险,所以要定期地监控整个信息系统以发现不正常的活动。(2)进行信息安全风险评估。风险评估主要对公安信息安全管理范围内的数据信息进行鉴定和估价,然后对数据信息面对的各种威胁进行评估,同时对已存在的或规划的安全管理措施进行鉴定。(3)公安信息安全风险处置。根据风险评估的结果进行相应的风险处置,公安信息安全风险处置措施主要包括降低风险、避免风险、转嫁风险、接受风险等,使得公安业务可以正常进行,并重新进行风险分析与评估,增加或更改原有的信息安全保护措施。在公安信息系统正常运行时,要定期地对系统进行备份。(4)根据公安信息安全策略调整控制安全措施。由于信息安全是一个动态的系统工程,安全管理职能部门应实时对选择的管理目标和管理措施加以校验和调整,以适应变化了的情况,使公安系统数据资源得到有效、经济、合理的保护。
(三)检查(Check)
检查就是根据安全目标、安全标准,审查变化中环境的风险水平,执行内部信息安全管理体系审计,报告安全管理的有效性,在实践中检查制定的安全目标是否合适、安全策略和控制手段是否能够保证安全目标的实现,系统还有哪些漏洞。
(四)改进(Action)
改进就是对信息安全管理体系实行改进,以适应环境的变化。改进内容包括三部分:一是系统的安全目标、安全指导思想、安全管理制度、安全策略。二是安全技术手段的改进。随着安全技术和安全产品的改进,系统的安全技术手段也要不定期地更换。但更换后的安全技术手段仍然要遵循相应的信息安全策略。三是对人员的改进。安全管理措施和手段改进后,要对民警要进行安全教育与培训,并根据民警的不同角色为其制定不同的安全职责和年度信息安全计划,并按照计划进行工作,年底时要对安全计划的执行情况进行检查。
四、结束语
信息安全保护措施范文2
一、网络个人信息安全现状
当今,随着计算机和网络技术的发展,个人数据资料被越来越广泛地收集和使用,各行业的内部和跨区域的私人数据资料交换也正在加速进行。而且网上交易和电子商务的发展,个人信息网上流通日益频繁,加上“产业化”的一个明显标志是病毒制造者从单纯的炫耀技术,转变为以获利为目的。个人信息被泄露、被非法窃取滥用已经到了相当严重的地步,因此网络上个人信息安全问题已经日益凸显。
很多网络用户对个人信息安全保护意识并不强烈,个人信息安全意识淡薄。很多网络用户为了省去麻烦,把所有的密码都设置成一样的,而且越简单、好记越好。在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。
个人信息在网络环境下所受的安全侵害,可分为以下几种情况:1、大量的网站通过合法的手段(要求用户填写注册表格等)或者是隐蔽的技术手段搜集到网络用户的个人信息。2、大批专门从事网上调查业务的公司,使用木马程序及具有跟踪功能的工具浏览和定时跟踪用户站上所进行的操作、自动记录用户访问的站点和内容,非法获取、利用他人的隐私,甚至以极其低廉的价格出售。3、有些软件和硬件厂商开发出的各种互联网跟踪工具,用于收集用户的隐私。4、黑客未经授权进入他人系统收集资料或打扰他人安宁,截获或复制他人信息。
二、网络个人信息安全保护措施
自我保护是保护自己个人信息安全重要手段。首先。当我们遇到一些必须输入个人信息才能登录的网址或完成操作时,我们输人的个人数据必须限于最小的范围,并且妥善保管自己的口令、帐号密码,并不时修改。其次,谨慎注意该网站是否有针对个人数据保护的声明和措施,对那些可以匿名登录的网站要坚决匿名登录。网络用户都应该意识到自己拥有维护自己个人信息资料的权利。网络用户应对自己的个人资料随时查询及更正;随时删除及处理,以避免遭到不必要的麻烦。在未经个人同意及确认之前,个人不允许网站披露个人资料。再次,要懂得网站公共论坛等区域内,用户公布的任何信息都会成为公开的信息。因此,用户应慎重考虑是否有必要在这些区域公开自己的个人信息。
必要时还要采用一定的技术保护措施,如网络防火墙技术、杀毒软件监控手段。网络个人信息主要是由病毒和木马进行窃取,一般可以采用集中式防病毒管理模式,对整个局域网中所有节点实行集中管理和控制,通过各种检测方法检测病毒,自动进行特征码更新,实时清除病毒。并且还要及时清理上网后的垃圾及相关遗留痕迹,如Cookie信息等等。
作为网络用户还要注意使用管理严格,资质优良的网站。保护网络用户的个人信息安全和网络隐私是网站应尽的义务,提供了相关的隐私保护条款,在未经网络用户同意及确认之前,网站不将为网络用户参加网站之特定活动所提供的资料利用于其它目的。如在网上银行管理中,身份验证和访问授权是网上管理用户的基本措施,保证用户的安全性,或通过采用访问授权来控制或限制用户对资源的利用。
很多网络个人信息安全问题的产生,一方面是利益的驱动,但是另一个很重大的问题是法律真空的存在使侵犯个人信息安全对的行径得不到有效的制裁,并且被侵权者也不能够借助法律的武器有效的保护自己的利益,这就更加助长了侵权行为的发生。网站如何才能建立安全有效的保障机制,用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。
强化公民的网络隐私权的保护意识,使公民个人明白隐私权保护的重要性,了解、知悉网络隐私保护政策与法律、法规。自觉采取防范措施、方法。保护个人隐私,同时尊重他人隐私,从而整体提高社会的隐私权保护意识。加强对网络经营者的监督管理,规范网络经营商的行为。政府对网络经营商的守法及自律情况要进行严格的监督检查,堵住网络隐私侵权的“源头”,行政执法机关一旦发现违法、违规情况,应及时做出处理,增大网络经营商违法经营的成本,进而加强他们的守法意识。
目前在打击新形式犯罪中还存在着立案难、取证难、定罪难等难题。面对黑色病毒产业链,必须站在维护国家安全和促进中国互联网健康快速发展的高度来保障网络安全,建立网络安全国家应急体系,加大对网络安全领域犯罪的打击,完善立法。制定保护网络隐私权的行政规章,在规章中对个人数据的安全保护的权利和义务,不当使用个人数据的法律责任等做出明确的规定,且具有可操作性。借鉴国际社会的相关规定,完善我国网站传播的行业自律。建立网络隐私达标认证体制,推进行业自身发展。及时修改、完善相关法律的规定。将侵犯隐私权的行为、侵权责任等问题做出具体的规定。制订个人信息保护相关法规,确立个人信息的保护原则。加大对侵犯隐私权行为的打击力度。
如何使个人信息在网上得到充分的保护,如何使网络用户的个人信息资料被合理的利用,以使之在发挥巨大价值的同时,又能够保证不被滥用,这需要包括提高网络用户个人信息安全意识、制定网络信息(隐私)保护法、实行行业自律、采取技术保护措施等多个方面的共同努力。只要社会各有关方面和公民个人共同努力,相互协作,必能营造一个安全、高效、健康的网络新环境。
信息安全保护措施范文3
支付安全受到各方重视安全措施频频亮相
不只是支付企业重视支付安全,最近,银行方面也加强了网上支付安全方面的投入,相继推出的各项措施都十分引人注目。
9月19日,招商银行安全通告,2007年9月20日对安全控件进行升级。
2007年11月1日,中国农业银行正式推出一款保障电子银行安全的新产品――动态口令卡,还特别推出口令卡免费领取活动。
2007年10月11日,中国工商银行了关于预防在线支付网页诈骗资金的安全提示,提醒人们注意识e不法分子通过即时聊天工具、电子邮件等向客户的虚假信息。
此外,中国人民银行副行长苏宁也指出,“人民银行非常关注网上货币的发展,正在研究各种措施,使它规范运行,既给企业、居民提供一个良好的新的支付工具,同时又防范风险,保护老百姓权益。”
支付安全受到如此重视,一方面是因为电子商务蓬勃发展,网上支付已经成为人们生活中的重要工具;另一方面,则是因为支付安全仍然是阻碍人们使用网上支付的主要因素。《2007中国消费者网上支付应用调查报告》调查表明,61.7%的被访者在进行网上购物时首选网上支付,79.5%的被访者认为安全或便捷是影响网上支付主要因素。安全、便捷的支付方式,成为当前网上支付市场主要的需求点。
网上盗号风起云涌网上犯罪或进入高发期
近年来国内网上支付市场交易额增长迅猛,2007年Q3中国第三方网上支付市场交易额达到了255亿元,但是网上盗号也是风起云涌。中国金融认证中心总经理李晓峰说,网银在给公众和企业带来方便的同时,也引起了不法分子的窥视。“过去针对网上银行犯罪的黑客,开始是非获利性质的,但现在正向获利性、团伙性和产业化方向发展,网上银行的犯罪分工日渐细化。如果一个领域犯罪的分工细化到这个程度,这个领域就可能进入一个犯罪的高发期。”因此,及时制定安全保护措施是当前网上支付工作的重中之重。
业内人士指出,要避免这些问题,需要各方面的协同配合:银行方面要采取足够的安全手段,或者根据不同用户特点、交易特点提供不同的安全手段;政府需要加强行业监管,尽快颁布实施相应法规,用户则需要提高安全保护意识等;但是最直接、最有效的措施还是从技术上进行防护。
安全保护出现三大类型安全技术完成三级跳
目前,人们使用的安全保护技术主要分为三大类:一类就是最初出现的动态密码,现在已经普遍为各类网站采用;第二类就是数字签名、数字证书,例如建行推出的UKEY、支付宝推出的数字证书等;第三类是硬件保护措施,例如工行推出的U盾、快钱推出的快钱盾等;三类保护技术的安全系数基本上呈递增关系。此外,刚刚开始应用的生物特征识别技术也值得关注,但目前其安全系数还比较难确定。
动态密码作为基础的保护措施,能防止最基本的暴力破解,但是也基本处于不断变换外表、防止机器识别的状态。
数字证书被认为是目前安全级别相当高的保护措施,但是并非无懈可击,数字证书的使用都是在用户登陆支付页面时下载并安装,防御手法还是被动式防止破解。安全专家分析说,手段高明的骇客仍旧可以截获用户没有来得及发出的数据。
U盾等的推出是对数字证书的一项提升,它将密钥存储于安全介质之中,无法从外部直接读取,对密钥文件的读写和修改都必须由内部的程序调用。但是由于与网络直接接触,还是要防止更加高端的暴力破解技术攻击。
不久前,快钱为严防木马和黑客,推出了国内第一款硬件安全设备“快钱盾”,将安全保护措施提升到了新的层次,也完成了支付安全保护措施――动态密码、数字证书、硬件保护产品的三级跳。
信息安全保护措施范文4
当前,智能设备逐渐深入,互联网技术不断发展,因特网已经逐渐渗透到我们的日常生活中,成为我们生活的便捷助手。社交网络就是通过互联网将全球的个人联系在一起,组建一个开放性的社交平台。社交网络在一定程度上拉近了朋友之间的友谊,与此同时,社交网络中用户个人信息的安全受到越来越多人的关注,成为影响互联网发展的一道屏障,为了保护社交网络中用户个人信息安全,本文通过对当前社交网络个人信息安全现状进行分析,对当前一些较为流行的互联网保护措施进行研究,并提出一些保护用户个人信息安全的措施。
关键词:
社交网络;隐私保护;个人信息安全;信息安全举措
引言
社交网络平台是互联网应用中非常重要的组成部分,随着当前科技的发展,移动互联终端迅速普及,智能手机、移动电脑等设备充实人们的生活。社交平台为社会上的个人创建了一个平台,在这个平台上,用户可以逐渐发展自己的人脉关系,扩充自己的人脉网络,寻找曾经的朋友;用户还可以通过这个平台分享自己的照片等;还有就是近两年逐渐流行的朋友圈之间互发红包等等,通过该平台逐渐拉近了朋友间的友谊。但是,分享的同时,个人信息也被上传到网络平台,成为一些不法分子注意的对象,近年来,网络犯罪的比例日益变大,社交网络中个人信息安全的保护迫在眉睫。
一、社交网络安全性分析
社交网络是一种基于因特网的网络使用方式,它为用户提供了一个扩充人脉的平台,在这个平台上,用户相当于整个社交网络中的节点,用户之间通过交流与沟通,将节点与节点之间的连线越来越复杂,互联沟通面得到不断扩展,社交网络普及面越来越广阔。当前,Android系统和IOS系统中的聊天通讯应用更新频率不断加快,应用软件层出不穷,因此,为社交网络的进一步发展和普及提供了良好的条件基础。因此,未来社交网络的覆盖面将会更加广泛,用户活跃度将会更加高昂。但是,正是由于社交网络的开放性,使得网络上的虚拟人物良莠不齐,相关用户很难从表面上去进行辨伪,很容易上当受骗;此外,当前许多通讯聊天应用为了实现更加精准化的交友条件选择,对用户的个人信息完全透明化,虽然在一定程度上使得用户能够更加轻松的找到自己需要找的人,但是也为网络犯罪创造了绝佳的搜索平台;还有,当前许多人过分依赖网络,为了让别人相信自己的真实存在,对自己的信息毫无忌惮地展现在社交网络上,希望通过这种方法来提高自己的空间浏览量和关注度,用户在进行分享的同时,用户个人的信息有可能会被不法分子所关注,进而进行违法犯罪行为。据调查,2014年我国因网络犯罪造成的经济损失将近万亿元人民币,高达90%的互联网用户都受到过网络犯罪的攻击。因此,增强社交网络中用户个人信息安全保护势在必行。
二、隐私保护控制方法
为了在社交网络中保护用户个人信息安全,许多专家学者提出了许多理论研究,常见的有以下几种技术:①Sweeney专家提出的K-匿名技术,该技术将用户信息数据库的部分信息数据进行泛化处理,使得其中包含个人敏感信息的K个位置的信息数据形成匿名集,进而实现对用户隐私的保护;②Chen等人提出的生成虚假信息的隐私保护方法,在用户位置信息的服务器中形成多种不同位置信息,进而使得攻击者难以正确识别用户信息;③MatsuuraK和HuangL提出的基于区域划分的轨迹隐私保护理论,将用户的轨迹进行分析分类,对用户经过的敏感区域进行用户个人信息的保护,防止用户个人信息的泄漏;④Gabrial提出基于分布式协议的prive方法等等。
三、用户个人信息安全保护措施
3.1建立健全相关法律条文
在当前法制社会里,通过建立健全对用户个人信息保护的法律条文非常必要,通过法律保护社交网络中用户个人信息安全不受侵犯,是立法机构当前非常紧要的事务。对于当前有些不法分子通过非法手段搜集个人信息,然后通过各种渠道用于违法犯罪的行为,相关法律应该给予严惩,对于一些通过设计开发包含有非法搜集个人信息漏洞的应用软件,然后用于从事非法商业活动的商家个人,相关法律条文也应该严厉惩罚。
3.2社交网络企业加强用户信息保护管理
社交网络企业应用实名制注册,在一定程度上能够减少不法分子通过注册一些非法账号用于网络诈骗,防止个人信息的泄漏,但是,这种情况下,注册的用户需要填写的信息更为透明化,如果账号被盗泄漏的信息将会更严重。在这种矛盾下,这就需要社交网络企业加强对用户信息的保护和管理。通过不断优化相关软件应用,对其中的漏洞进行不断修复升级,提升系统稳定性,运用先进手段对网络攻击者进行拦截。
3.3提高社交网络用户安全意识
除了需要国家和相关企业提高对用户个人信息的保护以外,用户个人也需要了解一些保护个人信息的方法。虽然社交网络是一个开放性的社交平台,但相关用户也不能过于放开自己,将自己的全部信息全盘透露给好友,将自己的一举一动都分享给好友,这样就会存在许多安全隐患。所以,作为社交网络用户,需要时刻提防社交网络的局限性,及时对自己的软件进行升级,完善系统漏洞,对自己的一些敏感性信息有防范保护意识,对自己的信息安全负责。
四、结论
社交网络有利有弊,它在拉近朋友间距离的同时,也拉近了用户与网络犯罪的距离,为了保护社交网络中用户个人信息安全,立法机构、相关网络管理企业、用户本人都应该具备时刻保护用户个人信息安全的意识,通过相应的措施不断完善社交网络,使得社交网络平台更加安全、便捷、实用。
作者:刘伟彦 单位:武汉市第六中学
参考文献:
[1]郭祥.基于移动社交网络的隐私保护关键技术研究与应用[D].电子科技大学硕士学位论文,2015.6.
[2]孟晓明.贺敏伟.社交网络大数据商业化开发利用中的个人隐私保护[J].图书馆论坛,2015(6).
信息安全保护措施范文5
关键词:计算机信息安全;潜在风险;解决措施
计算机技术的不断发展,在增加用户数量的同时,也使得计算机网络使用环境越来越复杂,进而加大了计算机信息的安全风险。如果用户的计算机安全等级低,就会给黑客入侵攻击计算机系统创造机会,进而使用户的信息资料遭到丢失或泄露,从而严重威胁了用户信息的隐私性,甚至会给用户造成巨大的财产损失[1]。目前有许多计算机病毒都是以网络的形式进行传播,同时也存在许多以网络协议以及计算机应用程序漏洞来实施入侵攻击的行为。因此,用户有必要对如何提高计算机信息安全引起高度重视。
1潜在风险
1.1计算机服务端口攻击
在设计一些计算机应用软件的过程中,由于在边界条件以及函数指针等方面考虑不足,这就会在一定程度上使地址空间出现安全漏洞。例如,有些应用软件无法对特定的请求实施操作处理,进而就会影响到计算机应用软件的正常运行,严重时还会导致用户的计算机系统瘫痪[2]。最典型的利用计算机服务端口进行攻击的行为便是OOB攻击,主要是利用了Windows系统TCP端口139随机发送数据的形式,进而实施入侵攻击,从而使用户的计算机CPU始终处在工作状态。
1.2传输协议攻击
部分计算机中存在传输协议漏洞,有些不法分子便会利用到这些漏洞来恶意请求资源,从而导致用户计算机出现服务器超载的现象,进而造成用户的计算机系统无法正常运行,严重时还会导致系统崩溃[3]。例如,SYNFlood攻击便是利用传输协议来实施攻击的一种行为,主要是对TCP/IP协议中的“三次握手”漏洞开展攻击。除此之外,还有ICMPFlood攻击,这种攻击方式通过发送大量的垃圾数据包来消耗接收端的资源,从而导致用户的计算机系统瘫痪。
1.3伪装技术攻击
利用伪装技术来实施入侵攻击,主要是伪造路由条目、DNS解析地址以及IP地址等,服务器无法有效辨别与响应这些请求,就会阻塞到缓冲区,甚至导致用户计算机死机。除此之外,有些不法分子会在局域网中将IP地址设定在某台计算机上,让IP地址跟网关地址相同,这就会导致网络的数据包无法实现正常转发,进而造成某一网段出现瘫痪。
1.4木马病毒攻击
当前的木马病毒隐蔽性较强,是不法分子用来入侵攻击用户计算机的重要工具。如果用户的计算机遭到了入侵攻击的话,不法分子就可以通过远程控制手段来控制住用户计算机的主机,从而成为具有隐蔽性的超级用户。不法分子常常会通过木马程序来收集口令、密码以及账号等大量重要的用户计算机数据信息资源,从而对用户计算机的信息安全造成了重大威胁。
2风险解决措施
2.1加密保护措施
用户需要通过加密保护措施来强化对一些重要计算机信息的安全保护,避免不法分子修改或窃取网络传输信息。当用户的数据信息转化为相应的密文之后,不法分子在没有密钥的情况下,就无法对数据实施还原处理,这在一定程度上可以有效保障用户计算机信息的安全性。加密保护通常有两种方法,分别是对称加密以及非对称加密。对称加密是一种私钥加密方式,主要是使信息发送方以及接收方都利用相同的密钥来对数据信息实施加密与解密操作。这种加密方法具有加密与解密迅速的优点,但在密钥管理方面存在相应的缺陷,容易造成密钥泄露。非对称加密是一种公钥加密方式,在加密或者是解密的过程中,都需要利用一对密钥来分别进行操作。公钥通常会公开,用户自己保存好相关私钥。在具体交换信息的过程中,甲方首先会生成一对密钥,再向其他交易方公开其中一把作为公钥来进行使用。乙方利用公钥将数据加密后发送给甲方,甲方最后将另一把私钥用来实施数据信息解密操作。
2.2病毒防护技术
当前的病毒防护技术包含了未知病毒查杀、智能引擎、病毒免疫等。未知病毒查杀主要是在虚拟执行技术的基础上发展起来的,当人工智能技术跟虚拟执行技术有机结合之后,便可以有效保障对未知病毒查杀的准确性。智能引擎拥有特征码扫法的优点,可以避免病毒库增大对扫描病毒的速度产生影响。病毒免疫技术是当前反病毒专家的重点研究内容,这种技术可以有效通过对访问的自主控制以及设置相应的磁盘禁写保护区来实现对病毒的免疫。
2.3入侵检测技术
利用入侵检测技术可以及时发现未经计算机用户授权允许而进行访问的行为,检测计算机系统异常现象。将入侵检测技术应用到用户的计算机信息安全保护当中,可以使用户的计算机拥有提前预防入侵的功能,同时利用防护系统以及入侵报警系统来及时阻止不法分子的入侵行为,将用户的损失降至最低程度,有效保障了用户的实际利益。如果用户发现自己的计算机系统遭受了入侵攻击的话,就需要将入侵的信息资料保存到防范系统知识库当中,防止下次出现类似的入侵攻击行为。
3结语
虽然当前网络信息技术获得了长足的发展与进步,但基于当前计算机网络环境日益复杂的情况下,计算机用户需要重视自身的数据信息安全性,能够有效做好相应的保护措施,将相关安全隐患扼杀在萌芽之中。从而不断提高自身使用计算机的安全性与稳定性,让计算机更好为工作与生活服务。
参考文献
[1]费杰.试析计算机网络安全问题及其解决措施[J].数字技术与应用,2012,06:196.
[2]江山.试析计算机网络的信息安全问题与解决措施[J].计算机光盘软件与应用,2012,14:17-19.
信息安全保护措施范文6
总的来讲,我们目前对信息系统的安全保障工作处在初级阶段,主要表现在信息系统安全建设和管理的目标不明确,信息安全保障工作的重点不突出,信息安全监管体系尚待完善。为了实施信息系统的安全保护,我国制定颁布了《计算机信息系统安全保护等级划分准则》(GB17859-1999)和《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)等基本标准,随后又制定了一系列相关的国家标准,对信息等级保护工作的定级、建设、测评、安全管理等进行规范。信息安全等级保护制度一个很重要的思想就是对各领域的重要信息系统依照其对国家的重要程度进行分类分级,针对不同的安全等级采取不同的保护措施,以此来指导不同领域的信息安全工作[1]。99年颁布的《等级划分准则》对计算机信息系统安全保护能力划分了五个等级[2],保护能力随着安全保护等级的增高,逐渐增强。第一级为用户自主保护级。使用户具备自主安全保护的能力。第二级为系统审计保护级。在继承前面安全级别安全功能的基础上,需要创建和维护访问的审计跟踪记录。第三级为安全标记保护级。在继承前面安全级别安全功能的基础上,要求依据访问安全级别限制访问权限。第四级为结构化保护级。继承前面安全级别安全功能的基础上,划分安全保护机制为两部分,关键部分和非关键部分,对关键部分访问者直接控制访问对象的存取。第五级为访问验证保护级。按要求增设访问验证的功能,负责访问者对所有访问对象的访问活动进行仲裁。
2.企业信息安全等级保护的实施流程
在实施企业信息安全等级保护流程时,主要得工作可以分为信息系统定级、规划与设计和实施、等级评估与改进三个主要的阶段。
2.1信息系统定级
系统定级是根据整个系统要求达到的防护水平,确定信息系统和各个子系统的安全防护等级。需要由专业人员评估企业的信息系统、各种软硬件设备及企业业务支撑的各个环节,根据其重要性和复杂性划分为各个子系统,描述子系统的组成和边界,以此确定总系统和子系统的安全等级。2.2安全规划和设计安全规划和设计是根据系统定级的结果,对信息系统及其子系统制定全套的安全防护解决方案,并根据方案选取相应的软、硬件防护产品进行具体实施的阶段,这个阶段的工作主要可以归纳为以下三个方面的内容:
2.2.1系统对象的分类划分及相应保护框架的确立。
企业需要对信息系统进行保护对象进行分类和划分,建立起一个企业信息系统保护的框架,根据系统功能的差异和安全要求不同对系统进行分域、分级防护。
2.2.2选择安全措施并根据需要进行调整。
在确定了企业信息系统及各个子系统的安全等级以后,根据需要选择相应的等级安全要求。根据对系统评估的结果,确定出主系统、子系统和各保护对象的安全措施,并根据项目实施过程中的需要进行适当的调整。
2.2.3安全措施规划和安全方案实施。
确定需要的安全措施以后,定制相应安全解决方案和运维管理方案,以此为依据采购必要的安全保护软、硬件及安全服务。
2.3实施、等级评估和改进[4]
依照此前确定的安全措施和解决方案,在企业中进行方案实施。实施完毕之后,对照“信息安全等级保护”相关标准,评估所部署的方案是否达到了预想的防护要求,如果评估未能通过,则需对部分安全方案进行改进后再进行评估,直至符合等级保护要求。
3.企业信息安全等级保护体系的主要内容
3.1安全体系设计的原则及设计目标
信息系统安全体系的设计需要按照合规可行、全局均衡、体系化和动态发展原则,达到并实现“政策合规、资源可控、数据可信、持续发展”的生存管理与安全运维目的。系统安全等级保护体系的技术指标,可以分为信息技术测评指标和非信息技术测评指标两类。所以整个安全等级保护体系应包含基本技术措施和基本管理措施两个组成部分。
3.2基本技术措施
3.2.1物理安全
物理安全是信息系统安全的基础,物理安全主要内容包括环境安全(防火、防水、防雷击等)、设备和介质的防盗窃、防破坏等方面。
3.2.2网络安全
网络是若干网络设备组成的可用于数据传输的网络环境,是信息系统安全运行的基础设施。对于内网未通过准许联到外网的行为,可以使用终端安全管理系统来检测。对登录网络设备和服务器的用户进行基本的身份识别,使网络最基本具备基本的防护能力。[5]
3.2.3主机安全
主机安全主要是指服务器和终端系统层面的安全风险。主机的安全风险主要包括两个方面:一是操作系统的脆弱性,二是来自系统配置管理和使用过程。可以通过建立一套完善安全审计系统实现系统层、网络层以及应用层的安全审计。
3.2.4应用系统安全
应用系统是提供给用户真正可使用的功能,是以物理层、网络层和主机层为基础的,是用户与系统底层的接口。应用安全首先要考虑身份验证、通讯加密、信息保护和抗抵赖性等安全风险,对应用系统方面应关注系统资源控制、应用代码安全、系统安全审计和系统容错等内容,一般需要通过安全审计系统和专业的安全服务来实现。
3.2.5数据安全
数据是指用户真正的数据,信息系统数据安全所面临的主要风险包括:数据遭到盗窃;数据被恶意删除或篡改。在考虑数据安全方案时,除了使用从物理层到应用层的各种层次的安全产品,更重要的是考虑对数据的实时备份。目前主要使用数据库技术来保证数据私密性和完整性,制定好数据存储与备份方案,来完成日常的数据备份与恢复。这部分工作可以考虑引入专业安全服务。
3.3基本管理措施
3.3.1安全管理制度
安全管理制度的制定、、审核和修订等工作,需要在信息安全领导小组的统筹下,按照安全工作的总体方案,根据系统应用安全的实际情况,组织相关人员进行,并进行定期的审核和修订。
3.3.2安全管理机构
要根据要求建立专门的安全职能部门,配置专门的安全管理人员,并对安全管理人员进行日常活动的监督指导。同时要对安全职能部门进行全面的设计,内容包括的人员和岗位的配置、日常工作流程、与其他部门的沟通和合作、系统安全的审核和检查等方面。
3.3.3人员安全管理
人员的入职、离职、绩效考核、业务培训等环节都要考虑安全因素。对第三方人员管理上也要考虑安全风险。
3.3.4系统建设过程管理
要在系统建设的各个阶段贯彻系统安全等级保护体系的思想和内容。主要是对系统建设从方案设计、采购、开发、实施、测试验收、交付到系统备案、安全测评等环节进行全流程的监控,对所有涉及安全保护的方面提出具体要求。
3.3.5系统运行和维护管理
信息系统运维安全管理涉包括日常管理、安全事件处置、应急预案管理和安管中心等几方面内容,可以是内部人员管理维护,也可以根据需要采用内部人员和专业安全厂商相结合的方式。
4.总结
