信息安全
什么是信息安全
信息安全是指爲數據處理系統而採取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。這裏面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看做是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。
網絡信息安全的內容
1.硬件安全。即網絡硬件和存儲媒休的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡r 各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即刪絡中的各個信息系統能夠正常運行並能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的腖測,發現不安全因素能及時報警並採取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存能及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的同的。
信息安全風險分析
1.計算機病毒的威脅
隨着Intemet技術的發展、企業網絡環境的日趨成熟和企業網絡應用的增多。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網絡環境爲病毒傳播、生存提供了環境。
2.黑客攻擊
黑客攻擊已經成爲近年來經常出現的問題。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷,採用後門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或佔用系統資源。
3.信息傳遞的安全風險
企業和外部單位, 以及國外有關公司有着廣泛的工作聯系,許多日常信息、數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨着各種安全風險,例如:①被非法用戶截取從而泄露企業機密;②被非法篡改,造成數據混亂、信息錯誤從而造成工作失誤;③非法用戶假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂, 造成破壞和損失。因此,信息傳遞的安全性日益成爲企業信息安全中重要的一環。
4.身份認證和訪問控制存在的問題
企業中的信息系統一般供特定範圍的用戶使用,信息系統中包含的信息和數據也只對一定範圍的用戶开放,沒有得到授權的用戶不能訪問。爲此各個信息系統中都設計了用戶管理功能,在系統中建立用戶、設置權限、管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。如部分應用系統的用戶權限管理功能過於簡單,不能靈活實現更詳細的權限控制;各應用系統沒有一個統一的用戶管理,使用起來非常不方便,不能確保账號的有效管理和使用安全。
信息安全的對策
1.安全技術
爲了保障信息的機密性、完整性、可用性和可控性,必須採用相關的技術手段。這些技術手段是信息安全體系中直觀的部分,任何一方面薄弱都會產生巨大的危險。因此,應該合理部署、互相聯動,使其成爲一個有機的整體。具體的技術介紹如下:
(1)加解密技術。在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。
(2)VPN技術。VPN即虛擬專用網,通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接.是一條穿過混亂的公用網絡的安全、穩定的隧道。通常VPN是對企業內部網的擴展,可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。
(3)防火牆技術。防火牆在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙, 防止外界對內部資源的非法訪問,以及內部對外部的不安全訪問(4)入侵檢測技術。人侵檢測技術IDS是防火牆的合理補充,幫助系統防御網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。人侵檢測技術從計算機網絡系統中的若幹關鍵點收集信息,並進行分析,檢查網絡中是否有違反安全策略的行爲和遭到襲擊的跡象。
(5)安全審計技術。包含日志審計和行爲審計。
日志審計協助管理員在受到攻擊後察看網絡日志,從而評估網絡配置的合理性和安全策略的有效性,追溯、分析安全攻擊軌跡。並能爲實時防御提供手段。
通過對員工或用戶的網絡行爲審計,可確認行爲的規範性,確保管理的安全。
2.安全管理
只有建立完善的安全管理制度。將信息安全管理自始至終貫徹落實於信息系統管理的方方面面,企業信息安全才能真正得以實現。具體技術包括以下幾方面:
(1)开展信息安全教育,提高安全意識。員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。據不完全統計,信息安全的威脅除了外部的(佔20%), 主要還是內部的(佔8O%)。在企業中,可以採用多種形式對員工开展信息安全教育,例如:① 可以通過培訓、宣傳等形式,採用適當的獎懲措施,強化技術人員對信息安全的重視,提升使用人員的安全觀念;②有針對性地开展安全意識宣傳教育,同時對在安全方面存在問題的用戶進行提醒並督促改進,逐漸提高用戶的安全意識。
(2)建立完善的組織管理體系。完整的企業信息系統安全管理體系首先要建立完善的組織體系,即建立由行政領導、IT技術主管、信息安全主管、系統用戶代表和安全顧問等組成的安全決策機構,完成制定並發布信息安全管理規範和建立信息安全管理組織等工作,從管理層面和執行層面上統一協調項目實施進程。克服實施過程中人爲因素的幹擾,保障信息安全措施的落實以及信息安全體系自身的不斷完善。
(3)及時備份重要數據。在實際的運行環境中,數據備份與恢復是十分重要的。即使從預防、防護、加密、檢測等方面加強了安全措施,但也無法保證系統不會出現安全故障,應該對重要數據進行備份,以保障數據的完整性。企業最好採用統一的備份系統和備份軟件,將所有需要備份的數據按照備份策略進行增量和完全備份。要有專人負責和專人檢查,保障數據備份的嚴格進行及可靠、完整性,並定期安排數據恢復測試,檢驗其可用性,及時調整數據備份和恢復策略。目前,虛擬存儲技術已日趨成熟,可在異地安裝一套存儲設備進行異地備份,不具備該條件的,則必須保證備份介質異地存放,所有的備份介質必須有專人保管。
信息安全的方法
從信息安全屬性的角度來看,每個信息安全層面具有相應的處置方法:
1.物理安全:是指對網絡與信息系統的物理裝備的保護,主要的保護方式有幹擾處理、電磁屏蔽、數據校驗、冗余和系統備份等。
2.運行安全:是指對網絡與信息系統的運行過程和運行狀態的保護,主要的保護方式有防火牆與物理隔離、風險分析與漏洞掃描、應急響應、病毒防治、訪問控制、安全審計、入侵檢測、源路由過濾、降級使用以及數據備份等。
3.數據安全:是指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示和擴散等過程中的保護,使得在數據處理層面保障信息依據授權使用,不被非法冒充、竊取、篡改、抵賴,主要的保護方式有加密、認證、非對稱密鑰、完整性驗證、鑑別、數字籤名和祕密共享等。
4.內容安全:是指對信息在網絡內流動中的選擇性阻斷,以保證信息流動的可控能力,主要的處置手段是密文解析或形態解析、流動信息的裁剪、信息的阻斷、信息的替換、信息的過濾以及系統的控制等。
5.信息對抗:是指在信息的利用過程中,對信息真實性的隱藏與保護,或者攻擊與分析,主要的處置手段是消除重要的局部信息、加大信息獲取能力以及消除信息的不確定性等。
信息安全的基本要求
1.數據的保密性
由於系統無法確認是否有未經授權的用戶截取網絡上的數據.這就需要使用一種手段對數據進行保密處理。數據加密就是用來實現這一目標的,加密後的數據能夠保證在傳輸、使用和轉換過程中不被第三方非法獲取。數據經過加密變換後,將明文變成密文,只有經過授權的合法用戶使用自己的密鑰,通過解密算法才能將密文還原成明文。數據保密可以說是許多安全措施的基本保證,它分爲網絡傳輸保密和數據存儲保密。
2.數據的完整性
數據的完整性是數據未經授權不能進行改變的特徵,即只有得到允許的人才能修改數據,並且能夠判斷出數據是否已被修改。存儲器中的數據或經網絡傳輸後的數據,必須與其最後一次修改或傳輸前的內容形式一模一樣。其目的就是保證信息系統上的數據處於一種完整和未受損的狀態,使數據不會因爲存儲和傳輸的過程.而被有意或無意的事件所改變、破壞和丟失。系統需要一種方法來確認數據在此過程中沒有改變。這種改變可能來源於自然災害、人的有意和無意行爲。顯然保證數據的完整性僅用一種方法是不夠的,應在應用數據加密技術的基礎上,綜合運用故障應急方案和多種預防性技術,諸如歸檔、備份、校驗、崩潰轉儲和故障前兆分析等手段實現這一目標。
3.數據的可用性
數據的可用性是可被授權實體訪問並按需求使用的特徵,即攻擊者不能佔用所有的資源而阻礙授權者的工作。如果一個合法用戶需要得到系統或網絡服務時,系統和網絡不能提供正常的服務。這與文件資料被鎖在保險櫃裏,开關和密碼系統混亂而不能取出一樣。
信息安全的經典案例
美國時間2003年8月14日下午四點,北美大部分地區突然停電。誰也沒有料到這一停就是20多個小時,而8月15日恰好是麥格勞·希爾公司旗下《商業周刊》的出版日——麥格勞·希爾公司全球首席信息官MostafaMehrabani講述了他們在紐約大停電時的親身經歷。“當時情況非常緊急,許多人不斷詢問公司的業務情況,而且第二天《商業周刊》能否正常出版更是得到人們的普遍關注。而實際上,在停電瞬間,我們已經把出版業務全部轉移到新澤西州,因爲在那我們有一套備用設備。“我們的電力系統很穩定,備用發電機可以在沒有電的情況下持續工作好幾天,所以我們的出版工作沒有受到任何影響。第二天,《商業周刊》如期出版。”麥格勞·希爾公司作爲信息服務提供商,保護信息安全成爲頭等重要之事。對於中小企業來說,出於成本考慮建立一個數據備份中心並不是最恰當的解決方案,但在離自己電腦一段距離的地方做一個數據備份,花費的成本幾乎爲零,而許多企業尚沒有這種意識。
信息安全是指爲數據處理系統而採取的技術的和管理的安全保護,保護計算機硬件、軟件、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。這裏面既包含了層面的概念,其中計算機硬件可以看作是物理層面,軟件可以看做是運行層面,再就是數據層面;又包含了屬性的概念,其中破壞涉及的是可用性,更改涉及的是完整性,顯露涉及的是機密性。
網絡信息安全的內容
1.硬件安全。即網絡硬件和存儲媒休的安全。要保護這些硬設施不受損害,能夠正常工作。
2.軟件安全。即計算機及其網絡r 各種軟件不被篡改或破壞,不被非法操作或誤操作,功能不會失效,不被非法復制。
3.運行服務安全。即刪絡中的各個信息系統能夠正常運行並能正常地通過網絡交流信息。通過對網絡系統中的各種設備運行狀況的腖測,發現不安全因素能及時報警並採取措施改變不安全狀態,保障網絡系統正常運行。
4.數據安全。即網絡中存能及流通數據的女全。要保護網絡中的數據不被篡改、非法增刪、復制、解密、顯示、使用等。它是保障網絡安全最根本的同的。
信息安全風險分析
1.計算機病毒的威脅
隨着Intemet技術的發展、企業網絡環境的日趨成熟和企業網絡應用的增多。病毒感染、傳播的能力和途徑也由原來的單一、簡單變得復雜、隱蔽,尤其是Internet環境和企業網絡環境爲病毒傳播、生存提供了環境。
2.黑客攻擊
黑客攻擊已經成爲近年來經常出現的問題。黑客利用計算機系統、網絡協議及數據庫等方面的漏洞和缺陷,採用後門程序、信息炸彈、拒絕服務、網絡監聽、密碼破解等手段侵入計算機系統,盜竊系統保密信息,進行信息破壞或佔用系統資源。
3.信息傳遞的安全風險
企業和外部單位, 以及國外有關公司有着廣泛的工作聯系,許多日常信息、數據都需要通過互聯網來傳輸。網絡中傳輸的這些信息面臨着各種安全風險,例如:①被非法用戶截取從而泄露企業機密;②被非法篡改,造成數據混亂、信息錯誤從而造成工作失誤;③非法用戶假冒合法身份,發送虛假信息,給正常的生產經營秩序帶來混亂, 造成破壞和損失。因此,信息傳遞的安全性日益成爲企業信息安全中重要的一環。
4.身份認證和訪問控制存在的問題
企業中的信息系統一般供特定範圍的用戶使用,信息系統中包含的信息和數據也只對一定範圍的用戶开放,沒有得到授權的用戶不能訪問。爲此各個信息系統中都設計了用戶管理功能,在系統中建立用戶、設置權限、管理和控制用戶對信息系統的訪問。這些措施在一定程度上能夠加強系統的安全性。但在實際應用中仍然存在一些問題。如部分應用系統的用戶權限管理功能過於簡單,不能靈活實現更詳細的權限控制;各應用系統沒有一個統一的用戶管理,使用起來非常不方便,不能確保账號的有效管理和使用安全。
信息安全的對策
1.安全技術
爲了保障信息的機密性、完整性、可用性和可控性,必須採用相關的技術手段。這些技術手段是信息安全體系中直觀的部分,任何一方面薄弱都會產生巨大的危險。因此,應該合理部署、互相聯動,使其成爲一個有機的整體。具體的技術介紹如下:
(1)加解密技術。在傳輸過程或存儲過程中進行信息數據的加解密,典型的加密體制可採用對稱加密和非對稱加密。
(2)VPN技術。VPN即虛擬專用網,通過一個公用網絡(通常是因特網)建立一個臨時的、安全的連接.是一條穿過混亂的公用網絡的安全、穩定的隧道。通常VPN是對企業內部網的擴展,可以幫助遠程用戶、公司分支機構、商業夥伴及供應商同公司的內部網建立可信的安全連接,並保證數據的安全傳輸。
(3)防火牆技術。防火牆在某種意義上可以說是一種訪問控制產品。它在內部網絡與不安全的外部網絡之間設置障礙, 防止外界對內部資源的非法訪問,以及內部對外部的不安全訪問(4)入侵檢測技術。人侵檢測技術IDS是防火牆的合理補充,幫助系統防御網絡攻擊,擴展了系統管理員的安全管理能力,提高了信息安全基礎結構的完整性。人侵檢測技術從計算機網絡系統中的若幹關鍵點收集信息,並進行分析,檢查網絡中是否有違反安全策略的行爲和遭到襲擊的跡象。
(5)安全審計技術。包含日志審計和行爲審計。
日志審計協助管理員在受到攻擊後察看網絡日志,從而評估網絡配置的合理性和安全策略的有效性,追溯、分析安全攻擊軌跡。並能爲實時防御提供手段。
通過對員工或用戶的網絡行爲審計,可確認行爲的規範性,確保管理的安全。
2.安全管理
只有建立完善的安全管理制度。將信息安全管理自始至終貫徹落實於信息系統管理的方方面面,企業信息安全才能真正得以實現。具體技術包括以下幾方面:
(1)开展信息安全教育,提高安全意識。員工信息安全意識的高低是一個企業信息安全體系是否能夠最終成功實施的決定性因素。據不完全統計,信息安全的威脅除了外部的(佔20%), 主要還是內部的(佔8O%)。在企業中,可以採用多種形式對員工开展信息安全教育,例如:① 可以通過培訓、宣傳等形式,採用適當的獎懲措施,強化技術人員對信息安全的重視,提升使用人員的安全觀念;②有針對性地开展安全意識宣傳教育,同時對在安全方面存在問題的用戶進行提醒並督促改進,逐漸提高用戶的安全意識。
(2)建立完善的組織管理體系。完整的企業信息系統安全管理體系首先要建立完善的組織體系,即建立由行政領導、IT技術主管、信息安全主管、系統用戶代表和安全顧問等組成的安全決策機構,完成制定並發布信息安全管理規範和建立信息安全管理組織等工作,從管理層面和執行層面上統一協調項目實施進程。克服實施過程中人爲因素的幹擾,保障信息安全措施的落實以及信息安全體系自身的不斷完善。
(3)及時備份重要數據。在實際的運行環境中,數據備份與恢復是十分重要的。即使從預防、防護、加密、檢測等方面加強了安全措施,但也無法保證系統不會出現安全故障,應該對重要數據進行備份,以保障數據的完整性。企業最好採用統一的備份系統和備份軟件,將所有需要備份的數據按照備份策略進行增量和完全備份。要有專人負責和專人檢查,保障數據備份的嚴格進行及可靠、完整性,並定期安排數據恢復測試,檢驗其可用性,及時調整數據備份和恢復策略。目前,虛擬存儲技術已日趨成熟,可在異地安裝一套存儲設備進行異地備份,不具備該條件的,則必須保證備份介質異地存放,所有的備份介質必須有專人保管。
信息安全的方法
從信息安全屬性的角度來看,每個信息安全層面具有相應的處置方法:
1.物理安全:是指對網絡與信息系統的物理裝備的保護,主要的保護方式有幹擾處理、電磁屏蔽、數據校驗、冗余和系統備份等。
2.運行安全:是指對網絡與信息系統的運行過程和運行狀態的保護,主要的保護方式有防火牆與物理隔離、風險分析與漏洞掃描、應急響應、病毒防治、訪問控制、安全審計、入侵檢測、源路由過濾、降級使用以及數據備份等。
3.數據安全:是指對信息在數據收集、處理、存儲、檢索、傳輸、交換、顯示和擴散等過程中的保護,使得在數據處理層面保障信息依據授權使用,不被非法冒充、竊取、篡改、抵賴,主要的保護方式有加密、認證、非對稱密鑰、完整性驗證、鑑別、數字籤名和祕密共享等。
4.內容安全:是指對信息在網絡內流動中的選擇性阻斷,以保證信息流動的可控能力,主要的處置手段是密文解析或形態解析、流動信息的裁剪、信息的阻斷、信息的替換、信息的過濾以及系統的控制等。
5.信息對抗:是指在信息的利用過程中,對信息真實性的隱藏與保護,或者攻擊與分析,主要的處置手段是消除重要的局部信息、加大信息獲取能力以及消除信息的不確定性等。
信息安全的基本要求
1.數據的保密性
由於系統無法確認是否有未經授權的用戶截取網絡上的數據.這就需要使用一種手段對數據進行保密處理。數據加密就是用來實現這一目標的,加密後的數據能夠保證在傳輸、使用和轉換過程中不被第三方非法獲取。數據經過加密變換後,將明文變成密文,只有經過授權的合法用戶使用自己的密鑰,通過解密算法才能將密文還原成明文。數據保密可以說是許多安全措施的基本保證,它分爲網絡傳輸保密和數據存儲保密。
2.數據的完整性
數據的完整性是數據未經授權不能進行改變的特徵,即只有得到允許的人才能修改數據,並且能夠判斷出數據是否已被修改。存儲器中的數據或經網絡傳輸後的數據,必須與其最後一次修改或傳輸前的內容形式一模一樣。其目的就是保證信息系統上的數據處於一種完整和未受損的狀態,使數據不會因爲存儲和傳輸的過程.而被有意或無意的事件所改變、破壞和丟失。系統需要一種方法來確認數據在此過程中沒有改變。這種改變可能來源於自然災害、人的有意和無意行爲。顯然保證數據的完整性僅用一種方法是不夠的,應在應用數據加密技術的基礎上,綜合運用故障應急方案和多種預防性技術,諸如歸檔、備份、校驗、崩潰轉儲和故障前兆分析等手段實現這一目標。
3.數據的可用性
數據的可用性是可被授權實體訪問並按需求使用的特徵,即攻擊者不能佔用所有的資源而阻礙授權者的工作。如果一個合法用戶需要得到系統或網絡服務時,系統和網絡不能提供正常的服務。這與文件資料被鎖在保險櫃裏,开關和密碼系統混亂而不能取出一樣。
信息安全的經典案例
美國時間2003年8月14日下午四點,北美大部分地區突然停電。誰也沒有料到這一停就是20多個小時,而8月15日恰好是麥格勞·希爾公司旗下《商業周刊》的出版日——麥格勞·希爾公司全球首席信息官MostafaMehrabani講述了他們在紐約大停電時的親身經歷。“當時情況非常緊急,許多人不斷詢問公司的業務情況,而且第二天《商業周刊》能否正常出版更是得到人們的普遍關注。而實際上,在停電瞬間,我們已經把出版業務全部轉移到新澤西州,因爲在那我們有一套備用設備。“我們的電力系統很穩定,備用發電機可以在沒有電的情況下持續工作好幾天,所以我們的出版工作沒有受到任何影響。第二天,《商業周刊》如期出版。”麥格勞·希爾公司作爲信息服務提供商,保護信息安全成爲頭等重要之事。對於中小企業來說,出於成本考慮建立一個數據備份中心並不是最恰當的解決方案,但在離自己電腦一段距離的地方做一個數據備份,花費的成本幾乎爲零,而許多企業尚沒有這種意識。
熱門資訊更多
新西蘭元/美元 當日內: 有上漲的可能,目標價位定在 0.5926 。
05/01 18:15
KVB昆侖國際
澳元/日元 當日內: 看漲,當 101.96 爲支撐位。
05/01 18:14
KVB昆侖國際
歐元/日元 當日內: 看漲,當 168.02 爲支撐位。
05/01 18:14
KVB昆侖國際
歐元/英鎊 當日內: 看漲,當 0.8532 爲支撐位。
05/01 18:14
KVB昆侖國際
英鎊/日元 當日內: 看漲,當 196.57 爲支撐位。
05/01 18:14
KVB昆侖國際