论文部分内容阅读
网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题,其重要性,正随着全球信息化步伐的加快越來越重要。2015年7月1日,中国网络安全大会在京召开,“立体化”“大数据”和“自主可控”成为本次大会的热点关键词,“互联网+”“移动”“云”和“行业”等是此次大会的主要议题方向,“信息安全领袖巅峰对话”和“黑客大师讲堂”成为大会的关注焦点。7月23日,2015中国网络安全论坛成功举办,论坛以“共建网络安全为互联网+护航”为主题,强化网络基础设施安全防护,高度重视数据安全和用户个人信息保护,深入推进网络安全技术手段创新,积极推动信息共享,共同应对网络威胁。
计算机犯罪对全球造成了前所未有的新威胁,犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。我国自 1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多传统犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
计算机犯罪的犯罪主体大多是掌握了计算机和网络技术的专业人士,甚至一些原为计算机及网络技术和信息安全技术专家的职业人员也铤而走险,其犯罪所采用的手段则更趋专业化。他们洞悉网络的缺陷与漏洞,运用丰富的电脑及网络技术,借助四通八达的网络,对网络及各种电子数据、资料等信息发动进攻,进行破坏。
计算机病毒是一种人为编制的程序,能在计算机系统运行的过程中自身精确地拷贝或有修改地拷贝到其他程序体内,给计算机系统带来某种故障或使其完全瘫痪,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。随着互联网的发展,计算机病毒的种类急剧增加,扩散速度大大加快,受感染的范围也越来越广。
据粗略统计,全世界已发现的计算机病毒的种类有上万种,并且正以平均每月300-500的速度疯狂增长。计算机病毒不仅通过软盘、硬盘传播,还可经电子邮件、下载文件、文件服务器、浏览网页等方式传播。近年来先后爆发的CIH病毒、爱虫病毒、求职信病毒、尼姆达病毒等对网络造成的危害极大,许多网络系统遭病毒感染,服务器瘫痪,使网络信息服务无法开展,甚至于丢失了许多数据,造成了极大的损失。
网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。
网络信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不被未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息内部的修改。
网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
为了达到网络信息安全的目的,需要全方位的对网络信息进行保护,那么一个完善的管理体系是不可缺少的。1989年,由美国国家标准与技术研究院在《Special Publication SP500169》的《信息资源保护执行指南》中提出:“信息资源保护项目的成功依赖于所采用的策略,也依赖于管理层对自动系统中信息的保护态度。作为策略的制定者,应当定好基调,强调信息安全在机构中所产生的重要作用。制定者的主要责任就是为机构制定信息资源安全策略达到下述目标:减少风险,遵从法律和规则,确保机构运作的连续性、信息完整性和机密性。”
创建一个安全的网络环境,必须设计一个安全计划,计划的顺利实施需要一个管理模型来执行和维护。首先分析现有的安全控制策略和措施,找出其他必要的安全控制,形成一个安全框架,从而建立一个完整的管理模型。安全管理模型目前已经有了被认可的国际标准,美国联邦代理机构和国际组织都有很好的参考模型。英国标准 7799(BS7799)提供了两个部分,分别阐述了安全管理实践的不同领域。NIST安全模型可公开获得,并且得到了政府和行业专家的广泛检查,一个混合安全管理模型参考了很多相关资料,更好地描述了安全控制,共由三部分组成。
管理控制:覆盖了由策略计划者设计并由安全管理者实施的安全过程。内容包括项目管理、系统安全计划、生命周期维护、风险管理、安全控制检查和合法性等。
操作控制:处理机构内部操作功能的安全性。包括应急计划、安全教育、培训和意识提升、人员安全、物理安全、产品输入和输出、硬件和软件系统维护、数据完整性。
技术控制:针对在机构内设计和实施安全的战术与技术问题。涉及到逻辑访问控制、识别、认证、授权和义务、审计追踪、资产分类与控制和密码编码学。
首先从业务需求来分析,详细了解当前存在的网络信息安全威胁,以及网络信息安全的攻击手段,可以从几个方面建立一个安全的网络信息系统。
网络物理安全方面。要做好物理访问控制和设施及防火安全,从技术上保障可行的资源保护和网络访问安全,从工作环境以及工作人员、外来人员方面切实做好保密工作,以便从物理上断绝对网络安全的威胁。用户本身方面,要做好自主保护,从机构方面要严格的岗位考核管理,对人员的安全意识要经常培训。
做好安全保密协议的管理,对离岗人员要有严格的调离手续。人员管理方面。对于内部工作人员来讲,要从以下几个方面来管理。操作权限要进行合理划分、分配,从管理的效率和方便程度上,按级别和重要程度进行管理,保障网络的畅通和安全。要强化和落实责任制,保证职工在规定的权限范围内进行工作,并承担相应的操作责任。同时要对信息进行监控,避免工作人员有意或无意的信息泄漏。对一些灾难事件要有相应的拯救措施,避免不适当操作带来的损失,技术人员要保证可以及时恢复被毁坏数据。
在网络安全中,无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理。管理是多方面的,有信息的管理、人员的管理、制度的管理、机构的管理等,它的作用也是关键的,是网络安全防范中的灵魂。
在机构或部门中,各层次人员的责任感,对信息安全的认识、理解和重视程度,都与网络安全息息相关。所以信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑进去,则成本会更低、效率会更高。
计算机犯罪对全球造成了前所未有的新威胁,犯罪学家预言未来信息化社会犯罪的形式将主要是计算机网络犯罪。我国自 1986年深圳发生第一起计算机犯罪案件以来,计算机犯罪呈直线上升趋势,犯罪手段也日趋技术化、多样化,犯罪领域也不断扩展,许多传统犯罪形式在互联网上都能找到影子,而且其危害性已远远超过传统犯罪。
计算机犯罪的犯罪主体大多是掌握了计算机和网络技术的专业人士,甚至一些原为计算机及网络技术和信息安全技术专家的职业人员也铤而走险,其犯罪所采用的手段则更趋专业化。他们洞悉网络的缺陷与漏洞,运用丰富的电脑及网络技术,借助四通八达的网络,对网络及各种电子数据、资料等信息发动进攻,进行破坏。
计算机病毒是一种人为编制的程序,能在计算机系统运行的过程中自身精确地拷贝或有修改地拷贝到其他程序体内,给计算机系统带来某种故障或使其完全瘫痪,它具有传染性、隐蔽性、激发性、复制性、破坏性等特点。随着互联网的发展,计算机病毒的种类急剧增加,扩散速度大大加快,受感染的范围也越来越广。
据粗略统计,全世界已发现的计算机病毒的种类有上万种,并且正以平均每月300-500的速度疯狂增长。计算机病毒不仅通过软盘、硬盘传播,还可经电子邮件、下载文件、文件服务器、浏览网页等方式传播。近年来先后爆发的CIH病毒、爱虫病毒、求职信病毒、尼姆达病毒等对网络造成的危害极大,许多网络系统遭病毒感染,服务器瘫痪,使网络信息服务无法开展,甚至于丢失了许多数据,造成了极大的损失。
网络信息安全一般是指网络信息的机密性、完整性、可用性及真实性。网络信息的机密性是指网络信息的内容不会被未授权的第三方所知。
网络信息的完整性是指信息在存储或传输时不被修改、破坏,不出现信息包的丢失、乱序等,即不被未授权的第三方修改。信息的完整性是信息安全的基本要求,破坏信息的完整性是影响信息安全的常用手段。当前,运行于互联网上的协议,能够确保信息在数据包级别的完整性,即做到了传输过程中不丢信息包,不重复接收信息包,但却无法制止未授权第三方对信息内部的修改。
网络信息的可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。网络信息的真实性是指信息的可信度,主要是指对信息所有者或发送者的身份的确认。
为了达到网络信息安全的目的,需要全方位的对网络信息进行保护,那么一个完善的管理体系是不可缺少的。1989年,由美国国家标准与技术研究院在《Special Publication SP500169》的《信息资源保护执行指南》中提出:“信息资源保护项目的成功依赖于所采用的策略,也依赖于管理层对自动系统中信息的保护态度。作为策略的制定者,应当定好基调,强调信息安全在机构中所产生的重要作用。制定者的主要责任就是为机构制定信息资源安全策略达到下述目标:减少风险,遵从法律和规则,确保机构运作的连续性、信息完整性和机密性。”
创建一个安全的网络环境,必须设计一个安全计划,计划的顺利实施需要一个管理模型来执行和维护。首先分析现有的安全控制策略和措施,找出其他必要的安全控制,形成一个安全框架,从而建立一个完整的管理模型。安全管理模型目前已经有了被认可的国际标准,美国联邦代理机构和国际组织都有很好的参考模型。英国标准 7799(BS7799)提供了两个部分,分别阐述了安全管理实践的不同领域。NIST安全模型可公开获得,并且得到了政府和行业专家的广泛检查,一个混合安全管理模型参考了很多相关资料,更好地描述了安全控制,共由三部分组成。
管理控制:覆盖了由策略计划者设计并由安全管理者实施的安全过程。内容包括项目管理、系统安全计划、生命周期维护、风险管理、安全控制检查和合法性等。
操作控制:处理机构内部操作功能的安全性。包括应急计划、安全教育、培训和意识提升、人员安全、物理安全、产品输入和输出、硬件和软件系统维护、数据完整性。
技术控制:针对在机构内设计和实施安全的战术与技术问题。涉及到逻辑访问控制、识别、认证、授权和义务、审计追踪、资产分类与控制和密码编码学。
首先从业务需求来分析,详细了解当前存在的网络信息安全威胁,以及网络信息安全的攻击手段,可以从几个方面建立一个安全的网络信息系统。
网络物理安全方面。要做好物理访问控制和设施及防火安全,从技术上保障可行的资源保护和网络访问安全,从工作环境以及工作人员、外来人员方面切实做好保密工作,以便从物理上断绝对网络安全的威胁。用户本身方面,要做好自主保护,从机构方面要严格的岗位考核管理,对人员的安全意识要经常培训。
做好安全保密协议的管理,对离岗人员要有严格的调离手续。人员管理方面。对于内部工作人员来讲,要从以下几个方面来管理。操作权限要进行合理划分、分配,从管理的效率和方便程度上,按级别和重要程度进行管理,保障网络的畅通和安全。要强化和落实责任制,保证职工在规定的权限范围内进行工作,并承担相应的操作责任。同时要对信息进行监控,避免工作人员有意或无意的信息泄漏。对一些灾难事件要有相应的拯救措施,避免不适当操作带来的损失,技术人员要保证可以及时恢复被毁坏数据。
在网络安全中,无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理。管理是多方面的,有信息的管理、人员的管理、制度的管理、机构的管理等,它的作用也是关键的,是网络安全防范中的灵魂。
在机构或部门中,各层次人员的责任感,对信息安全的认识、理解和重视程度,都与网络安全息息相关。所以信息安全管理至少需要组织中的所有雇员的参与,此外还需要供应商、顾客或股东的参与和信息安全的专家建议。在信息系统设计阶段就将安全要求和控制一体化考虑进去,则成本会更低、效率会更高。