信息安全及防范策略5篇

導語：信息安全及防范策略5篇一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

第一篇

1信息安全的概念

所謂信息安全，有多種說法。按照百度百科的說法，信息安全的范圍很廣，大到國家的經濟、國防大業，中到企業的商業機密，小到老百姓的個人隱私。信息安全有廣義和狹義這分。廣義的信息安全是個綜合性的專業學科，是多種行業、專業的綜合研究問題。狹義的信息安全是指計算機信息安全。在這里，主要討論狹義的信息安全概念。信息安全是指計算機信息系統（其中主要包括計算機硬件、計算機軟件、計算機數據、用戶、物理環境及其基礎設施）受到一定的保護，能夠不受偶然的或者惡意的原因而遭受到破壞、變更、泄露，信息系統可以連續的、可靠的正常地運行，信息服務實現連續性。因此，信息安全的根本目的，就是使系統內部的信息不會受到系統內部、系統外部和自然界等因素的破壞威脅。為了保障信息安全，就應該要求計算機系統有信息源認證機制、訪問控制機制，系統中不能有非法軟件駐留，系統不能有未授權的操作等行為。

2信息安全的內容

在當前的計算機網絡化、計算機數字時代，計算機、網絡和信息已經融為一體。網絡信息安全的主要內容包括以下五方面，即信息的保密性、真實性、完整性、可用性和信息載體的安全性。2.1信息的保密性。信息的保密性，即是指在計算機、網絡和信息系統的使用過程中，信息的和使用只給有合法權限的用戶至上，也就是被授權的用戶，未獲得授權的非法用戶不能使用此信息。也可以即是信息不能泄露給未授權者。2.2信息的真實性。信息的真實性，是指信息的內容、形式要真實、可靠，信息的提供者和者要真實、準確地處理信息。也即信息的提供者要對信息的真實性負責，不得虛假、編造的信息。2.3信息的完整性。信息的完整性是指在信息的到用戶信息的收取過程中要保證信息的完整，信息不能在中間環節被修改、增加、刪除等加工。2.4信息的可用性。信息的可用性是指信息系統或者信息的者隨時可以為授權的合法用戶提供服務，在信息的使用和處理過程中不會出現信息授權者拒絕服務合法用戶的情況，同時也杜絕非法用戶使用信息。2.5信息載體的安全性。信息載體，就是指以信息所處的媒體、途徑或信息系統，信息或流通的過程中是很容易受到不安全因素的威脅和破壞，因此，首先要保證信息流通的途徑安全性。

3信息安全的防范策略

為了保障信息安全，可以依據一定的防范策略。主要分為個人計算機的信息安全策略和計算機網絡安全策略。3.1個人計算機信息安全策略3.1.1安裝正版軟件。個人計算機應該安裝正版軟件，包括正版的操作系統和應用軟件。在這方面，很多用戶做得不是很好，考慮到經濟的原因，安裝的是網上下載的破解軟件或盜版軟件。盜版軟件破壞了版權法，得不到使用保障。正版軟件可以及時升級，及時打上補丁，防范不安全的因素產生，預防黑客的攻擊，保障了信息不被泄露，從而保證了信息的安全。3.1.2安裝個人版防火墻。如果個人計算機要用到局域網或互聯網中，在個人計算機上可以選擇安裝個人版的防火墻。用技術去防范黑客的攻擊，防范別有用心的人對信息的盜取。3.1.3安裝防病毒軟件或防木馬程度。計算機病毒對計算機的破壞可以造成信息的泄露或其他不安全的因素。木馬程序的目的就是盜取計算機的有用信息。因此，為了防止病毒程序和木馬程序對計算機的破壞，個人計算機安裝好操作系統和常用軟件后，應該及時安裝防病毒程序和防木馬程序。3.1.4定期備份重要資料。現在很多用戶的習慣是將所有的資料信息都保存在計算機中，一旦計算機出了故障，用戶的資料等信息得不到安全保障。用戶要養成定期備份重要資料的習慣，以防止因計算機的硬件或軟件故障造成信息的破壞。3.1.5設置使用權限和密碼。計算機有使用過程中，要給系統設置使用權限及給計算機或者重要的軟件、資料設置密碼，還要禁止來歷不明的人使用計算機。特別如果是計算機處于網絡中，用戶更要做好計算機的權限設置和密碼保護，以防止非法用戶盜取計算機的資料信息。3.2計算機網絡信息安全策略3.2.1建立和完善網絡信息安全管理制度。計算機網絡涉及的計算機設備較多，給安全管理帶來一定的困難和壓力。對于網絡的信息安全管理，首先要建立或完善管理制度，以制度規范需要管理。制度是管理的先導條件和管理的保障。制定安全管理制度時要結合本單位或網絡的實際情況，作出規范的管理條款。網絡安全管理制度要具有可操作性。3.2.2專人負責網絡管理人員。計算機網絡的和管理要配備專用的管理員，專人負責網絡的安全。對于網絡安全管理員，一是要提高安全意識，二是要提高進行安全管理的操作技能，三是要做好網絡安全管理的檢查機制。3.2.3安裝網絡防火墻。計算機網絡是很容易受到黑客攻擊的對象，因此，計算機網絡要安裝網絡防火墻。網絡防火墻有硬件防火墻和軟件防火墻兩類。不論是何種防火墻，目的是保證網絡不受非法用戶或黑客的攻擊。防火墻是網絡中使用最廣泛的安全技術之一。它的作用是在網絡內部和網絡外部之間構建網絡通信的監控系統，監控網絡的進入和流出的數據流，監控網絡的訪問者，以達到控制網絡安全的作用。3.2.4安裝防病毒軟件。計算機病毒曾經給計算機網絡造成相當大的破壞。所以計算機網絡要安裝防病毒軟件，防止因為病毒的入侵造成網絡的破壞，從而信息受到威脅和泄露。3.2.5做好網絡數據備份。及時做好網絡的數據備份，是網絡信息安全的保障機制之一。網絡數據備份需要有硬件的支持，及時將網絡中的資料、信息備份到物理存儲空間。網絡數據備份還有人為因素，加強數據備份的意識，定期對網絡數據進行有策略地備份，保障信息的安全。

本文作者:花巍工作單位:重慶三峽醫藥高等專科學校

第二篇

一、信息安全的概念和重要性

（1）信息安全的概念。信息安全就是關注信息本身的安全，保護信息財產，以防止偶然的或未授權者對信息的惡意泄露、修改和破壞，從而導致信息的不可靠或無法處理等問題，能使人們在最大限度的利用信息的同時而不招致損失或使損失最小。信息就是數據，從這個角度來說，信息安全可以分為數據安全和系統安全。信息安全具有完整性、保密性、可用性、不可否認性、可控性。（2）信息安全的重要性。信息安全是任何國家、政府、單位、行業都必須十分重視的問題，是一個不允許忽視的國家安全戰略。針對不同的單位和行業來說，他們對信息安全的要求和重點都是有區別的。對行政、事業單位來說，信息網絡主要是為了更好地為人們服務，方便大眾的信息查詢，也方便工作人員的信息管理和及時更新，整條服務網絡若收到影響或者癱瘓，會大大影響行政、事業單位人員的辦公和百姓的生活；對國家機密和軍事機密而言，信息是絕密文件，是關系到國家安全和發展的關卡，如果受到竊取和利用，那后果是不可估量的，信息安全不僅僅關系到個人利益，更是整個國家的利益和安全。所以說，做好信息內容安全和信息網絡安全是信息化時代的重要任務。

二、我國信息安全管理的現狀

（1）法律法規問題。第一、還沒有形成一個完整性、適用性。現有的法律法規僅僅調整某一個方面的問題，有些法律法規之間內容有重復交叉，同一種行為有多個處罰單位，在很多實踐過程中有一環節多部門管理，或者多環節多部門重復管理的狀況發生，這在一定程度上造成了法律資源的浪費。第二、現執行的法律法規已跟不上信息技術發展的需要，存在一定存在滯后性。我國現行的信息安全法律結構比較單一、層次較低，很難適應信息網絡技術發展的需要和不斷出現的信息安全問題。隨著網絡應用深入的發展，原來頒布實施的一系列網絡法律法規，對一些關于網絡行為的認定過于原則或籠統，在涉及網絡規劃與建設、網絡管理與經營、數據的法律保護、電子資金劃轉的法律認證、計算機犯罪、計算機證據的法律效力等方面的比較缺乏，對此類網絡犯罪的行為打擊比較被動。（2）管理問題。在一些最新的研究數據中發現，全部的計算機安全事件中，約有60%是人為因素造成的，屬于管理方面的失誤比重高達70%以上，在這些安全問題中95%是可以通過科學的、合理的管理方式來避免發生。所以說，管理已經成為信息安全整個過程的生命線。第一、信息安全管理現狀仍舊比較混亂，沒有一個國家層面上的整體策略。實際管理的力度不夠，政策的執行和監管的力度不夠。第二、對信息安全問題的認知，仍舊處于空白狀態。除了少數大型互聯網企業，大部分企事業機關單位習慣性的把信息安全問題等同于“電腦中毒”、“網絡擁堵”這類在辦公網絡中常見的現象，一般都簡單的采用安裝殺毒軟件的方法解決問題，從普通職員到管理層對信息資產所面臨威脅的嚴峻度認識不夠。第三、重技術，輕管理。雖然一直在強調信息安全是“三分技術、七分管理”，但是在日常的工作生活中，人們往往偏向于技術，忽視了在這些技術的運行中管理才是第一位的，如果在實際管理過程中出現管理措施不到位，系統的運行、維護和開發等崗位分配不清，職責劃分不明，存在一人身兼多職的現象，再先進的技術也不可能發揮其應有的效力，一樣不具備競爭力、防御力。第四、專項經費投入不足，管理人才極度缺乏，基礎理論研究和關鍵技術比較薄弱，對引進的信息技術和設備缺乏保護信息安全不可缺少的有效管理和技術改造。第五、對信息安全管理缺乏系統管理的思想。在多數單位現有的安全管理模式仍舊采用傳統的管理辦法，通常是出現問題才去想補救的辦法，用一種就事論事、靜態的管理辦法去處理動動態問題，沒有采取建立在安全風險評估基礎上的動態管理辦法。

本文作者:張丹丹工作單位:酒泉職業技術學院

第三篇

一、引言

網絡安全實質上是指網絡系統在流量和數據保存方面確保其不被隨意更改、破壞、泄露等，從而可以保證網絡系統能夠正常工作。廣義的網絡安全還包括一切涉及到網絡信息的保密性和完整性的工作。網絡信息安全手段的研究就是避免系統因為破壞而無法正常工作，保護系統的機密性防止其被竊聽和欺詐，起到保護用戶人合法權益的目的。

二、網絡安全控制技術及其特征

2．1網絡安全概念及其特征

網絡安全就是指采用各種技術和措施使系統能夠正常運行，從而保證網絡數據的可用性。網絡安全的具體含義是隨著社會的變化而變化的，從個人和企業的角度來說用戶最希望將涉及個人隱私和商業利益的信息在網絡上傳輸時使其密性、完整性和真實性受到保護的權利。從網絡運行者角度來說，網絡管理者希望用戶對本網絡信息進行合法的訪問和讀寫相關操作，避免出現非法存取和網絡資源非法占用的威脅，管理者希望對非法的信息進行過濾和防堵，避免出現信息泄露從而帶來損失。從教育者角度來說，他們不希望網絡上有不健康的內容，因為這些不健康的內容會對社會的穩定和發展帶來障礙，因而他們希望有關部門對網絡信息進行相關控制，抑制不良信息的擴展。網絡安全所具有的特征，網絡安全具有以下幾方面的特征:保密性，就是指用戶的信息不會通過非法渠道泄露給用戶沒有授權的實體。完整性，就是數據在沒有通過授權的情況下不會被隨便改動，在傳輸過程中保持不被隨意修改和破壞。可用性，就是指被授權使用的用戶可以隨便使用其授權范圍的信息的特征。可控性，就是信息在傳播過程中的內容和渠道具有一定的可控制性。可審查性，就是信息在傳播過程中對于其出現的問題具有一定的解決手段和途徑。

2．2網絡安全技術的特征

網絡安全的保護是需要一定的技術來支持的，網絡安全技術主要包括以下幾個方面:第一，生物識別技術。生物識別技術就是依靠人體的特征來對網絡安全的身份進行驗證的技術，人體具有不可以復制的特性，因而據此發展起來的生物識別技術的安全系數的驗證機制也是不可以復制的。這里所使用的技術主要包括指紋、聲音、面孔、掌紋、骨架等，其中指紋具有非常高的穩定性和不可復制性，因而在生物識別技術中應用非常廣泛，除此之外近年來視網膜識別技術有專家開始研究并取得了一定的成績。第二，防火墻技術。防火墻技術就是綜合利用多種網絡技術在被保護網絡和外部網絡之間設置一道技術屏障，從而可以使被保護網絡不會被非法侵入。第三，數據加密技術。數據加密技術就是按照預先設定的密碼對重要文件及數據進行密碼鎖定，用戶在使用的過程中通過不同的鑰匙可以對不同的數據進行閱讀和修改，非法用戶沒有密碼因而不可以隨意使用加密信息。第四，入侵檢測技術。入侵檢測技術是為了保證計算機系統的安全而設置的能夠發現數據報告中異常信息的技術，通過異常信息報告可以用來判斷網絡中是否存在非法操作的入侵行為。第五，網絡安全漏洞掃描技術。這種技術主要應用于檢測和安全風險評估，可以通過預測主體受到攻擊的可能性從而對這些攻擊有可能受到的結果進行指正，這種技術可以幫助識別系統資源，分析這種資源的可攻擊指數，從而可以分析系統本身受到攻擊時候的脆弱性，識別其存在的安全風險。第六，安全審計技術。安全設計技術主要使用幾種安全檢測工具，采用幾種預先設定的漏洞檢測方法，檢查系統中的安全漏洞，從而可以使系統的薄弱環節得到及時的報告，采取相應措施對這些漏洞的安全隱患進行防治。

三、網絡信息安全現狀及策略分析

3．1物理傳輸對網絡信息安全威脅

網絡通信就是通過通信線路、調節器、網絡接口、終端等的檢測，從而可以保證這些地方不受非法侵害。因為以上幾個部件是黑客比較傾向的攻擊對象，通過對以上幾個部件的攻擊就可以攻擊整個網絡。當前黑客的攻擊行為主要包括以下幾個方面:第一，電磁泄漏。黑客通過破解一些常見的算法捕獲無線網絡的傳輸信號，然后再通過相應的算法制定完整的入侵方案，達到竊取用戶信息的目的。第二，非法終端。非法終端就是黑客在用戶的終端安裝另外的終端，使用戶的網絡與非法竊取者的網絡實現連接，然后非法用戶通過對通信接口的訪問和操作，使信息傳輸到非法授權的終端。第三，違法監測。不法分子通過自己預先設定的通信設備和監控設備對用戶的通信內容進行違法捕獲，這些非法分子使用的監測設備一般是不會妨礙用戶的網絡正常工作，因而用戶很難發現違法監測設備。防范網絡攻擊的手段主要是通過裝置交換機設備來檢測系統是否異常情況發生。

3．2軟件對網絡信息安全的威脅

隨著計算機技術和網絡技術的不斷發展，現代通信系統種類繁多，例如:ATM、IMS、POS終端等，這些系統的運用都是一些軟件在支持其通信技術，因此非法用戶很容易通過對這些軟件進行攻擊從而可以對用戶的信息進行攻擊。通過軟件對信息進行攻擊主要有以下幾種方法:第一，利用網絡軟件的漏洞和缺陷進行攻擊。網絡軟件的漏洞主要分為蓄意制造和無意制造兩種。蓄意制造主要是設計者為了日后可以對用戶的信息進行攻擊而故意設計的漏洞;無意制造是系統設計者由于疏忽或技術障礙而造成的漏洞。第二，軟件病毒入侵后打開后門，可以肆意繁殖。一些病毒通過細小的入侵后就可以在用戶的系統內進行無限的繁殖，最后發展到可以破壞用戶的計算機系統，嚴重的時候甚至可以是用戶的系統癱瘓。第三，通信系統或軟件端口被入侵。一些用戶的軟件端口未能進行安全限制，非常容易被黑客攻擊，黑客攻擊系統后使用多種方式對用戶信息的有效性和完整性進行破壞，有些黑客通過一定的程序可以使用戶的網絡運轉的情況下，獲取自己所想要的各種信息。

3．3網絡安全策略分析

鑒于以上網絡安全存在的風險，用戶必須采用一些技術手段，防止其信息被非法攻擊和盜取，從而帶來不必要的損失。首先，物理信息安全傳輸的安全性分析。第一，降低電磁輻射，將傳輸線路的保護措施打開或埋在地下，而且將其遠離各種輻射，輻射可以使系統受到電磁干擾，因此無線傳輸應該裝置在遠離輻射的區域內并將其隱藏起來進行連接，防止非法用戶的攻擊。第二，使用數據加密技術。數據的打開和使用都必須采用一定的加密算法，從而可以使用戶在一定的加密環境中對數據和信息進行修改，防止非法用戶竊取到原始數據。第三，使用可信度高的路由器。私人網絡系統要使用必要的隱藏技術，將通信系統中的傳輸路徑隱藏在不容易被人發現的地方，避免不必要的人員接觸，從而可以達到拒絕一定的攻擊對象的目的。其次，信息安全軟件。為了快速安全地對網絡病毒進行定位，用戶應該在系統中安裝必要的軟件，從而系統中一旦發現有危害安全的行動，系統就會做出一定的反應從而用戶可以采取一定的措施來防止危害事件的發生。第一，安裝軟件補丁。用戶要在網絡系統中安裝操作補丁，使通信系統軟件得到及時的升級，當系統的漏洞被攻擊時候，操作補丁可以避免非法用戶的攻擊。第二，使用防火墻技術。使用防火墻技術可以實現對網絡安全信息訪問權的控制，根據安全側羅可以使信息流得到允許或被拒絕，這樣系統就具有一定的抗攻擊能力。這個系統可以為用戶提供一定的信息安全服務，使用戶免受黑客的攻擊。第三，使用殺毒軟件。殺毒軟件的病毒庫升級，用戶在使用殺毒軟件的過程中同時要謹慎使用移動存儲設備，存儲設備在使用前務必先進性掃描和殺毒，確保其沒有安全威脅的時候可以放心使用。第四，使用入侵檢測系統。入侵檢測系統主要包括基于網絡和基于主機的檢測方法。基于網絡的入侵檢測方法檢測的主要部分主要是模塊，它通過提前受保護系統的運行數據進行分析，從而實現對網絡進行保護的目的。基于主機的入侵檢測方法主要是實施實時監控，系統通過檢測其設置的不公平系統來檢測系統是否受到攻擊，基于主機的入侵檢測系統具有檢測效率高、成本低和速度快的特點，因而目前被廣泛使用。再次，加強工作人員信息安全保障。加強局域網安全控制策略的使用，局域網中的用戶要根據其權限對數據進行使用和修改。局域網安全控制策略主要包括以下幾個方面:第一，可以防止用戶對已經編制信息目錄和文件進行刪除和修改，限制用戶對信息的拷貝、共享等。第二，控制用戶的對系統的操作時間和地點。系統內的用戶都被賦予一定的操作權限和限制，特定的用戶可以對數據和信息進行操作，離開某種環境用戶的權限就會受到一定的限制，因而用戶必須在系統設定的環境中進行操作，這樣通過最小化原則對系統的用戶權限進行分配。最后，利用桌面管理系統來控制操作。用戶可以利用桌面系統配置一定的裝置從而可以對軟件的合法性、病毒庫的及時性、防火墻技術等進行及時的控制。如果用戶發現使用的終端和系統沒有按照系統要求的方式來運行，此時用戶的網絡管理員應該及時對網絡系統進行檢測，查看其系統中有無非法用戶，阻止不安全因素的擴張。

四、加密技術的應用分析

4．1在電子商務領域的應用

在電子商務環境中用戶最擔心的就是其信用卡密碼被盜，因而加密技術在電子商務環境中主要是提供一種安全套接協議來對非法用戶進行限制，客戶和電子商務服務器的系統中會生成一個會話密鑰，客戶運用對稱和非對稱的方法通過對這個程序進行加密并且把這個加密過程傳輸到服務器經過服務器認可后就可以傳輸數據，然后雙方可以在這個加密的環境中實現商業洽談和成交。

4．2加密技術的應用

當數據從發送者的局域網中通過路由器到達用戶手中，數據首先經過的是一個用戶端和路由硬件，這個硬件必須進行加加密，然后在傳送的過程中經過路由時候路由繼續對數據加密，最后到達用戶手中的是一個未經破壞的信息。五、結語網絡信息安全關系到社會的方方面面，不僅涉及到國家安全而且涉及到社會安全，當前世界各國都已經認識到了網絡安全的重要性，因而不斷對網絡安全技術進行探索。當前的網絡安全技術發展速度是非常快的，但是不可忽視的是其仍然存在一定問題，因而網絡用戶應該根據其存在的問題，采取必要的措施使信息安全技術更加健全。

本文作者:趙剛工作單位:太原大學

第四篇

一、對信息安全特別是物理域上信息安全的挑戰

信息安全涉及到信息的三個域，即物理域、信息域和認知域。信息域的安全就是我們通常所說的信息安全，其定義是:保護和防止信息和信息系統在存貯、處理或發送信息中不被非授權訪問或修改，不對授權用戶發生拒絕服務。信息安全還包括為檢測、記載和對付這類威脅所必需的措施。這都是涉及信息域的安全問題。而認知域與我們通常所說的輿論戰和心理戰相關。美軍對認知管理（perceptionmanagement）有明確的定義：有選擇地向外國民眾和官方散布和/或否認一些信息和跡象的行動，以影響他們的情緒、動機、客觀推理和判斷。顯然，認知域的安全通常涉及到的是宣傳、思想和政治領域的斗爭。目前我國學術界對信息域和認知域的研究較多，對其重要性認識比較全面，本文不再詳述，而把重點放在探討大數據對我們密切相關的物理域信息安全的威脅和挑戰上。先從前蘇聯遠東輸氣管道大爆炸、伊朗核電站事故、美加大停電等幾個重大國際安全事件談起。這是典型的由信息安全問題引起的物理世界安全事件。1.美蘇爭霸時期的前蘇聯2004年3月，美國前空軍部長托馬斯•里德（ThomasReed）回憶錄《身在地獄：一個內幕人士撰寫的冷戰史》出版，書中披露：1982年6月，一個美國早期預報衛星探測到了在西伯利亞蘇聯輸氣管道的一次大爆炸,原因是蘇聯從一家加拿大公司盜竊來的控制系統中的故障，蘇聯不知道某大天然氣廠控制系統軟件被中央情報局秘密植入惡意破壞程序，在逐漸獲得信任后開始改變泵速和筏門設定，使輸氣管內壓力升高到遠超過管線接合處所能承受的程度，結果造成輸氣管道大爆炸。爆炸規模之大，使得美國衛星拍到地球上最壯觀的非核爆炸引起的大火。2.與互聯網隔離的伊朗核電站2010年6月,“震網（Stuxnet）病毒”對西門子公司系統SIMATICWinCC系統攻擊事件造成伊朗核電站核反應堆離心機遭到嚴重破壞，核計劃被迫拖后至少兩年。西門子公司工業控制系統是目前世界上使用量最大的高可靠性工業控制系統之一，并且與互聯網物理隔離。但面對有組織的網絡攻擊，它還是不堪一擊。Stuxnet病毒利用了5個Windows系統漏洞及2個西門子公司SIMATICWinCC軟件的漏洞。這顯然是一次有組織的網絡攻擊行動。3.北美地區大停電2003年8月14日，北美發生持續4天大停電，影響美加地區5000萬人生活，造成100~140億美元損失。起因于“電力線路狀態評估系統”軟件故障，接著發生Ohio電廠高壓電線觸及路旁樹枝而造成局部跳電，由于“能源管理系統”軟件設計錯誤，關鍵時刻警報功能喪失，致使操作員未能立即發現及處理剛發生的跳電。在未被隔離情況下，負載失衡效應擴散波及造成鄰近電廠跳電，一路牽連導致北美空前大停電。此事件引起美國重視，調查認為該事件顯示，恐怖分子經由攻擊各電力公司的SCADA系統而癱瘓美國電力網是可能而且可行的。美國能源部國家實驗室舉行的多次針對電網SCADA系統的演習，多次成功地控制了地區電力公司。4.美軍的能力、目的、作戰條令從前空軍部長托馬斯•里德回憶錄可以看出美國強大的信息戰能力，顯然，美國至少三十多年前就掌握了利用軟件程序破壞敵國關鍵基礎設施的能力。其目的是向世界公開聲明其能力，對敵國或潛在敵國進行戰略威懾。其進行戰略溝通和威懾的意味更濃。其實，早在1998年的美軍《聯合信息作戰條令》，就已把敵國關鍵基礎設施作為美軍信息作戰的攻擊目標。工業控制網也已經被列為美國信息戰的主要對象。

二、對我國物理域信息安全的現實威脅與挑戰

以上情況，引起對與我們的日常生活緊密相連的實體網絡安全問題的關注。其實，物理世界安全由來已久，并不是新問題，比如停電、油氣爆炸、化工原料泄漏等。為什么現在高度強調呢？因為物理世界所有這一切，都通過物聯網連接起來，并高度自動化。物聯網、云計算和移動互聯網形成的大數據時代，使傳統安全問題，由于大數據造成安全問題的規模、程度和破壞性呈非線性急劇放大。以工業控制網中最常見的數據采集與監控（SCADA）系統為例，SCADA系統是以計算機為基礎的生產過程控制與調度自動化系統，它對現場的運行設備進行監視和控制，以實現數據采集、設備控制、管理、測量、參數調節以及各類信號報警等各項功能。SCADA系統由監控中心、若干個分散的遠程測控終端RTU和通信介質三部分組成。SCADA系統采用分散式測控、集中式管理的方式，需要執行遠程數據采集、設備控制和運行管理等功能。必須要采用某種通信媒介進行數據的遠程通信，這是工業領域自動化發展到一定階段的必然結果。同時，工業高度自動化也就為有實力執行信息戰的敵對力量介入工業控制網中的通信過程并實施破壞留下了隱患。SCADA系統在我國電力、石油天然氣、水利、鐵路、市政系統等領域得到廣泛應用。西氣東輸管道工程，管道全長4000公里，設計年輸氣量120億立方米，起點塔里木，經新疆、江蘇等9省市，終點為上海。調度控制中心在上海，后備控制中心在北京，衛星通信是西氣東輸管道主用通信方式。陜京天然氣輸送管線，西起陜西靖邊，線路總長為918km，全線實現衛星通信、管道SCADA系統集中控制。SCADA在我國電力系統中的應用最廣泛。它作為能量管理系統一個最主要子系統，已成為我國電力調度不可缺少的工具。SCADA深入到從發電、調度、變電、配電、用電的各個環節，構成了電力系統的神經中樞，正是因為采用了SCADA系統，我國的電力調動自動化水平達到國際先進水平。我國工業控制網的發展規模已可與因特網匹敵，并且應用領域仍在急劇擴展，特別是物聯網的推出和普及，將使我們的物理世界與虛擬世界融為一體。從作用上看，其在我國物理基礎設施中的核心作用大于因特網，從國家層面上看安全性日益突顯。同時，整個社會對其依賴也越來越大。工業控制網絡與公共計算機網絡在結構上截然不同。對兩種網絡的防護的主要差別有：一是重點保護對象不同，前者重點是實體對象，后者是邏輯對象；二是對防護反應速度要求不同，前者的損壞是實時的，后者的損壞是延時的；三是防護的側重點不同，前者重視攻擊的事后災難鏈，后者重視攻擊的預防；四是攻擊的側重點不同，前者是完整性，后者是保密性和可用性。顯然，以實體傳感器和控制器連接而形成的工業控制網中，每時每刻都在產生著海量數據，這些數據在實體正常運行時顯得多而無用，但在系統初期出現異常時，這些數據會及時地反映出來，而一旦沒有發現這些異常，事態的發展就會造成嚴重后果，處理不好還會造成更大的災難鏈。因此，我們在物理域上的信息安全面臨的首要問題就是如何應用大數據挖掘技術在來自物理世界的海量數據中挖掘出有用的信息。這個挑戰是我們必須要勇敢面對的，并且要盡快找到有效的技術手段和解決方案。

三、大數據對我國信息安全產業的影響

大數據時代對信息安全產業的技術體系和關鍵技術的挑戰巨大，并且需要信息安全產業界盡快趕上新時代的要求。僅海量、異構、跨域、移動、動態、分布式、不同維度、多安全域等不同信息特征，局域網、互聯網、移動網和物聯網等不同網絡特征，光纜、衛星、微波、無線和有線等不同接入特征，給信息安全產業界帶來了新的挑戰。信息安全界從未像現在這樣同時面臨著如此之多的環境挑戰、理論挑戰、技術挑戰和應用挑戰，新理論、新方法和新技術都需要有新的突破。因此信息安全界必須既要統籌考慮物理域、信息域和認知域方面的整體信息安全需求，又要根據各系統或網絡特點重點保護其中一項或多項信息資產，比如對工業控制網的安全就要重點考慮保護其完整性和可用性，以及發生事故的快速發現能力和快速隔離能力，從而使事故不會引發大規模的災難鏈。對核心機要信息和隱私信息則要重點確保其保密性，而對提供公眾服務的系統和網絡則要重點保護其可用性。現有的網絡滲透測試手段和安全防護策略都需要根據大數據時代的特征進行相關的理論創新、技術創新和技術改進。并且信息安全界要大大擴展保護對象，需要保護的對象至少應包括如下廣義內容的系統和網絡：計算機網絡，通信網絡，工業控制網及SCADA系統，無線移動網絡，傳感器網絡，以及衛星導航系統等。

四、需要凝練和解決的大數據科學問題

根據國內在大數據安全方面的一些研究進展，本文初步考慮，目前至少應當研究和解決如下一些科學和技術問題。1.工業控制網大數據實時的完整性和可用性保護方法和機制；2.大數據中關鍵資產突發安全事故的快速發現和隔離機制和方法；3.大數據中針對關鍵資產的可疑行為關聯分析方法和實現機理,云計算；4.大數據中重點行為數據，包括已知或未知事件發生的用戶、時間、地點、起因、經過和結果等數據的審計、提取和保護方法；5.大數據行為表征與建模、行為上下文感知與推理、行為特征挖掘、行為情感分析與推理、行為關聯分析與演變分析方法等；6.大數據中面向多源、多維度、多屬性、海量的行為數據的大數據挖掘、模式識別等智能處理方法；7.適用于大數據的技術，包括大規模并行處理（MPP）數據庫，智能數據挖掘專用網，分布式文件系統，分布式數據庫，云計算平臺，互聯網和可擴展的存儲系統；8.針對多源、多維、多種、多屬性的大數據，重點開發大數據處理專用算法，以及可大規模應用的專用大數據處理芯片；9.大數據復雜性、不確定性特征描述的刻畫方法及大數據的系統建模。

本文作者:張友春工作單位:解放軍信息工程大學

第五篇

1全臺網信息安全保障體系模型分析

在全臺網信息安全體系建設中,必須從系統級層面構建高安全、高可用的安全防護系統,這一體系不是一個簡單、孤立的系統,它是由各個層次軟硬件及管理規范組成的聯動防范體系。為簡化網絡結構復雜度,方便問題的分析,需要建立清晰的網絡安全模型描述。通過對已有的成熟安全模型的研究,是構成科學的信息安全保障體系的前提之一,本節主要分析兩個參照模型一APPDRR動態安全模型和STMME臺內網安全保障體系模型。LlAPPDRR動態安全模型[1]網絡安全具有動態性的特點,網絡安全的防范應該根據風險評估結果的變化而調整。APPDRR動態安全模型是從整體性和動態性角度考慮系統的網絡安全建設,它可由下面的公式概括(如圖1):網絡安全(S)=風險分析(A卜安全策略(P)+防御系統(P)+實時檢測(D)+實時響應(R)+災難恢復(R)圖1APPD】U滅動態安全模型該模型中的六個環節代表了安全事件的生命周期的各個功能階段,之間存在著一定的銜接關系,各個環節相互補充,建立了一個多重的防護體系。其中的風險分析和安全策略是屬于事前的防護管理,而防御系統、實時監測、實時響應和災難恢復則是屬于事中的具體安全措施實施,這四個環節為信息安全的防護鑄造起四道防線,當其中一個環節被攻破時,其它環節仍可以保護網絡的安全,四者共同作用能最大限度地降低信息安全事件帶來的損害。APPDRR模型鮮明地表現了信息安全的動態性和信息安全事件是一個螺旋上升的過程的特點,信息安全建設是一個不斷改進和積累的過程,在這一過程中通過上述六環節的循環流動,相互作用,信息安全逐漸地得以完善和優化,從而實現信息安全保護網絡資產的目標。APPDRR模型是針對所有的信息安全系統建立的,偏重于理論研究的描述且普適性比較強,而廣電行業又有很多自身的特點,在實際工程實施的安全模型中應該將動態安全模型和臺內網的信息安全規劃有效地結合起來,形成偏重于工程實施的實用的安全模型,從而能夠給予信息安全建設實踐以直接指導。1.2STMME臺內網安全保障體系模型[2]廣電總局科技司的《電視臺數字化網絡化建設白皮書2007》中提出了“STMME安全保障體系模型”(如圖2),將安全保障體系分為三個重要的層次:指導策略、構成要素、動態實現過程,包括安全策略、安全技術、安全管理、安全運維[2]、安全評估共五個部分,其中每一部分都具有詳細的分析和對策,形成了比較系統的安全保障體系,但沒有將信息安全等級保護有效的與臺內網的信息安全建設結合起來。圖2STMME臺內網安全保障體系模型經過以上對全臺網信息安全模型的分析,下節將參照STMME安全保障體系模型,結合APPDRR模型和等級保護基本要求,定義出一個較為適合我臺信息安全建設的信息安全保障體系模型,并對其每一部分的構成進行闡述。

2全臺網信息安全保障體系模型設計

參照STMME安全保障體系模型、APPDRR動態安全模型及其他相關的國際國內信息安全保障體系的基本模型,以及廣電總局播出相關信息系統等級保護定級指南和基本要求,結合目前主流的廣播電視全臺網的業務系統的構成,及多家電視臺信息安全項目的最佳實踐,在此提出全臺網信息安全保障體系模型(如圖3)。該模型從信息安全規范體系、信息安全評估體系、信息安全管理體系、信息安全技術體系和信息安全運行體系五個方面進行定義,每一部分都具有詳細的分析和對策。

2.1信息安全規范體系

信息安全的工作是一個自上而下的工作,它不僅僅是一個源自底層的技術驅動自下而上的以業務為目標的工作,更是自上而下的以政策為驅動的管理過程,這一過程中最重要的就是國家相關的標準和行業的制定。各級電視臺作為這一標準和行業制定的對象,首要任務是在其臺內網各信息系統的建設中遵循國家政策法律及行業規范。

2.2信息安全評估體系

信息安全評估體系對應APPDRR模型中的風險分析(A),是指以臺內網安全標準及規范為依據,運用定性、定量的科學方法和手段,系統地分析系統的性能指標以及面臨的安全威脅,從而有針對性地提出防護對策和整改措施,最大限度地保證系統安全[z]o由于各板塊功能定位和網絡結構各不相同,安全評估內容有較大不同。臺內網安全風險評估內容主要包括管理、技術、運維三個方面。在評估過程完成后應該進行相關的評估分析,就系統或設備評估數據進行安全風險的影響和可能性分析,并就各類分析可能形成的影響,創建評判標準,對各個業務板塊可能發生的安全風險進行等級劃分,最終形成對風險評估活動結果進行評審并提出相應安全措施建議的評估報告。在此需要強調的是,正如APPDRR動態模型中所描述的網絡安全動態特點,安全評估也應該是個動態跟蹤的過程,系統生命周期包括規劃、設計、實施、運行維護和廢棄等五個階段,安全評估應貫穿于全臺網建設的各階段,每個階段安全評估的具體實施,應根據該階段實施的內容、對象和安全需求的不同有所側重[s]o

2.3信息安全管理體系

7414網絡通訊及安全信息安全管理體系主要包含管理制度的建設和信息安全組織策略體系的設計兩大部分,管理制度為信息安全工作的部署展開提供重要依據和保障,具有強制性;信息安全組織策略體系對應于APPDRR中的安全策略(P),是實現臺內網信息安全建設的指導性方針,具有原則性。信息安全組織策略體系的設計要從全局出發,基于風險評估的結果進行決策。各臺應依據相關的國內外標準和行業規范,結合自身情況,設計出一套適合于自身的信息安全策略體系,從宏觀策略到微觀操作流程、手冊全面落實信息安全管理體系[3]:a)總體策略,即結合國家相關的標準和行業的定制從最上層的企業發展戰略層面來實現信息安全策略總綱,是安全保障體系建設的全局性指導方針,闡述了全臺網各個板塊信息安全建設的基本解決思路;b)技術與管理策略,在上層的信息安全策略總綱的指導下,規范安全管理。從實際出發,各臺應按各業務系統板塊的功能特點及管理規范成立嚴格的安全管理制度,制訂出準確和詳實的文檔描述,并且需要及時隨著業務情況的變化而不斷地加以更新和修訂;c)運維策略,按照各具體系統制汀并執行嚴格的操作手冊、流程細則,特別是對于重要技術環節,要形成發生應急狀況或事故的應急措施,且應該遵循簡單、易操作和切實可行的原則,每隔一定時間要開展應急知識培訓和應急演練,提高工作人員應急能力。

2.4信息安全技術體系

信息安全技術體系主要是從業務系統的層面來進行分析和劃分,結合等級保護基本要求阱,的整體信息安全要求,可以從以下兩方面構建安全縱深防御體系,保證信息系統整體的安全防護能力:一方面按照臺內網各業務板塊的特點和重要程度來決定安全保護的級別將全臺網安全域整體規劃為生產綜合系統、制作系統、主干平臺、新聞制播、播出系統等多個安全子域,構建從外到內的業務安全縱深;同時各個業務板塊可分別從基礎網絡安全、邊界安全、計算機環境安全、安全管理等多個層次落實等保中的各項安全措施,形成縱深防御體系。信息安全等保中基本要求可從可從物理、網絡、應用、系統和數據五個層面來落實。在最終的技術實現手段里主要有終端、服務器、應用、網絡和物理五個層面,相應的技術手段包括身份認證、訪問控制、內容安全、監控審計、備份恢復、惡意代碼防范、數據安全七個縱向層面。

2.5信息安全運行體系

安全運行是全臺網建成后保障系統持續、可靠運轉的重要工作,信息安全運行體系包括運行管理和維護保障兩部分[2]:a)安全運行管理平臺的建設主要是指對各個生產業務系統進行的日常運行管理,包括系統日常巡檢、權限管理、資源控制、安全策略制定等。b)安全維護保障平臺的建設主要指為了保障業務系統的正常生產運行,而采取的各項安全措施,是保持全臺網的持續運行和電視臺發展的重要保證。運行管理部分建設主要通過建立統一安全管理中心來實現,在等級保護基本要求中,明確要求三級以上系統需設置獨立的安全管理中心,實現對審計信息的集中存儲、關聯分析預警,最終滿足實現“可追溯性”、“抗抵賴性”方面的相關要求。統一安全管理中心可從功能上可細分為統一的安全管理平臺、統一的安全監控平臺和統一的審計平臺[0]o統一的安全管理平臺:匯總所有安全信息,進行集中管理和分析,使得安全工作流程化、制度化。統一的安全監控平臺:監控全臺網中的各種安全事件和信息,特別是對于重要設備要重點監控,對預警設備設置合理的預警閥值,及時發現安全問題,進行風險預警和處理,提供安全風險管理與控制能力。統一的安全審計平臺:收集播出系統中網絡設備、安全設備、終端、應用和數據庫服務器等的安全審計日志,進行集中的審計管理和報表分析。系統維護保障部分則可參照APPDRR模型中的保護、檢測、響應、恢復四個方面(PDRR)來建設,從系統維護、監測、變更、應急、培訓五個方面來展開設計,具體的技術手段包括:安全漏洞掃描、滲透壓力測試、安全檢查、系統安全加固、日志審計、應急處理響應、安全事件通告、安全產品和技術的培訓等方面。

3結束語

本文結合多個信息安全模型,參照當今國際國內信息安全建設的最佳實踐,結合廣電行業規范和行業特點,提出了多層次、多方位、立體化全臺網信息安全保障體系,從信息安全規范體系、信息安全評估體系、信息安全管理體系、信息安全技術體系和信息安全運行體系五個方面來落實全臺網信息安全整體解決方案,從而為我臺即將開展的全臺網信息安全建設提供了借鑒和參考。

本文作者:李光輝李仁工作單位:江西廣播電視臺播出部