网络的安全风险无处不在,网络安全是一门涉及计算机科学、网络技术、通信技术、密码学技术、信息安全技术、应用数学、数论、信息论等学科的综合性学科。
1:什么是信息
2:什么是信息安全
3:网络信息安全的内容
4:信息安全风险分析
5:信息安全的对策
6:信息安全的方法
7:信息安全的基本要求
8:信息安全的防范
信息的定义
指音讯、消息、通讯系统传输和处理的对象,泛指人类社会传播的一切内容。人类通过获得、识别自然界和社会的不同信息来区别不同事物,得以认识和改造世界。在一切通讯和控制系统中,信息是一种普遍联系的形式。是事物运动状态与方式的表征,是物质的一种属性,信息是一种无形资产。
信息载体:
1:打印机、复印机
2:纸质文件
3:显示器
4:电脑主机
5:电子白板
6:电子屏
7:移动应用APP
8:手机、平板
9:电话
什么是信息安全
信息安全是指为数据处理系统而采取的技术的和管理的安全保护,保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、泄露。这里面既包含了层面的概念,其中计算机硬件可以看作是物理层面,软件可以看做是运行层面,再就是数据层面;又包含了属性的概念,其中破坏涉及的是可用性,更改涉及的是完整性,显露涉及的是机密性。
信息安全的基本目标:
完整性: 不被篡改
保密性:不会泄漏
可用性:随时访问
网络信息安全的内容:
1.硬件安全。即网络硬件和存储媒休的安全。要保护这些硬设施不受损害,能够正常工作。
2.软件安全。即计算机及其网络各种软件不被篡改或破坏,不被非法操作或误操作,功能不会失效,不被非法复制。
3.运行服务安全。即网络中的各个信息系统能够正常运行并能正常地通过网络交流信息。通过对网络系统中的各种设备运行状况的监测,发现不安全因素能及时报警并采取措施改变不安全状态,保障网络系统正常运行。
4.数据安全。即网络中存在及流通数据的安全。要保护网络中的数据不被篡改、非法增删、复制、解密、显示、使用等。它是保障网络安全最根本的目的。
信息安全风险分析
1.计算机病毒的威胁
随着Internet技术的发展、企业网络环境的日趋成熟和企业网络应用的增多。病毒感染、传播的能力和途径也由原来的单一、简单变得复杂、隐蔽,尤其是Internet环境和企业网络环境为病毒传播、生存提供了环境。
2.黑客攻击
黑客攻击已经成为近年来经常出现的问题。黑客利用计算机系统、网络协议及数据库等方面漏洞和缺陷,采用后门程序、信息炸弹、拒绝服务、网络监听、密码破解等手段侵入计算机系统,盗窃系统保密信息,进行信息破坏或占用系统资源。
3.信息传递的安全风险
企业和外部单位, 以及国外有关公司有着广泛的工作联系,许多日常信息、数据都需要通过互联网来传输。网络中传输的这些信息面临着各种安全风险,例如:①被非法用户截取从而泄露企业机密;②被非法篡改,造成数据混乱、信息错误从而造成工作失误;③非法用户假冒合法身份,发送虚假信息,给正常的生产经营秩序带来混乱, 造成破坏和损失。因此,信息传递的安全性日益成为企业信息安全中重要的一环。
4.身份认证和访问控制存在的问题
企业中的信息系统一般供特定范围的用户使用,信息系统中包含的信息和数据也只对一定范围的用户开放,没有得到授权的用户不能访问。为此各个信息系统中都设计了用户管理功能,在系统中建立用户、设置权限、管理和控制用户对信息系统的访问。这些措施在一定程度上能够加强系统的安全性。但在实际应用中仍然存在一些问题。如部分应用系统的用户权限管理功能过于简单,不能灵活实现更详细的权限控制;各应用系统没有一个统一的用户管理,使用起来非常不方便,不能确保账号的有效管理和使用安全。
信息安全的对策
1.安全技术
为了保障信息的机密性、完整性、可用性和可控性,必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分,任何一方面薄弱都会产生巨大的危险。因此,应该合理部署、互相联动,使其成为一个有机的整体。具体的技术介绍如下:
(1)加解密技术。在传输过程或存储过程中进行信息数据的加解密,典型的加密体制可采用对称加密和非对称加密。
(2)VPN技术。VPN即虚拟专用网,通过一个公用网络(通常是因特网)建立一个临时的、安全的连接.是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展,可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。
(3)防火墙技术。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍, 防止外界对内部资源的非法访问,以及内部对外部的不安全访问
(4)入侵检测技术。人侵检测技术IDS是防火墙的合理补充,帮助系统防御网络攻击,扩展了系统管理员的安全管理能力,提高了信息安全基础结构的完整性。人侵检测技术从计算机网络系统中的若干关键点收集信息,并进行分析,检查网络中是否有违反安全策略的行为和遭到袭击的迹象。
(5)安全审计技术。包含日志审计和行为审计。
日志审计协助管理员在受到攻击后察看网络日志,从而评估网络配置的合理性和安全策略的有效性,追溯、分析安全攻击轨迹。并能为实时防御提供手段。 通过对员工或用户的网络行为审计,可确认行为的规范性,确保管理的安全。
2.安全管理
只有建立完善的安全管理制度。将信息安全管理自始至终贯彻落实于信息系统管理的方方面面,企业信息安全才能真正得以实现。具体技术包括以下几方面:
(1)开展信息安全教育,提高安全意识。员工信息安全意识的高低是一个企业信息安全体系是否能够最终成功实施的决定性因素。据不完全统计,信息安全的威胁除了外部的(占20%), 主要还是内部的(占8O%)。在企业中,可以采用多种形式对员工开展信息安全教育,例如:① 可以通过培训、宣传等形式,采用适当的奖惩措施,强化技术人员对信息安全的重视,提升使用人员的安全观念;
②有针对性地开展安全意识宣传教育,同时对在安全方面存在问题的用户进行提醒并督促改进,逐渐提高用户的安全意识。
(2)建立完善的组织管理体系。(组组体系、信息安全管理制度)完整的企业信息系统安全管理体系首先要建立完善的组织体系,即建立由行政领导、IT技术主管、信息安全主管、系统用户代表和安全顾问等组成的安全决策机构,完成制定并发布信息安全管理规范和建立信息安全管理组织等工作,从管理层面和执行层面上统一协调项目实施进程。克服实施过程中人为因素的干扰,保障信息安全措施的落实以及信息安全体系自身的不断完善。
信息安全管理组织机构(组织机构构成、工作职责、工作内容)
信息安全管理制度
第一:策略总纲,
策略总纲是团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,是信息安全工作的总体要求。
第二层:技术指导、管理规定
遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分:
技术指南:从技术角度提出要求和方法;
管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。
第三层:操作手册、工作细则、实施流程
遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。
(3)备份重要数据。在实际的运行环境中,数据备份与恢复是十分重要的。即使从预防、防护、加密、检测等方面加强了安全措施,但也无法保证系统不会出现安全故障,应该对重要数据进行备份,以保障数据的完整性。企业最好采用统一的备份系统和备份软件,将所有需要备份的数据按照备份策略进行增量和完全备份。要有专人负责和专人检查,保障数据备份的严格进行及可靠、完整性,并定期安排数据恢复测试,检验其可用性,及时调整数据备份和恢复策略。目前,虚拟存储技术已日趋成熟,可在异地安装一套存储设备进行异地备份,不具备该条件的,则必须保证备份介质异地存放,所有的备份介质必须有专人保管。
信息安全的方法
从信息安全属性的角度来看,每个信息安全层面具有相应的处置方法:
1.物理安全:是指对网络与信息系统的物理装备的保护,主要的保护方式有干扰处理、电磁屏蔽、数据校验、冗余和系统备份等。
2.运行安全:是指对网络与信息系统的运行过程和运行状态的保护,主要的保护方式有防火墙与物理隔离、风险分析与漏洞扫描、应急响应、病毒防治、访问控制、安全审计、入侵检测、源路由过滤、降级使用以及数据备份等。
3.数据安全:是指对信息在数据收集、处理、存储、检索、传输、交换、显示和扩散等过程中的保护,使得在数据处理层面保障信息依据授权使用,不被非法冒充、窃取、篡改、抵赖,主要的保护方式有加密、认证、非对称密钥、完整性验证、鉴别、数字签名和秘密共享等。
4.内容安全:是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力,主要的处置手段是密文解析或形态解析、流动信息的裁剪、信息的阻断、信息的替换、信息的过滤以及系统的控制等。
5.信息对抗:是指在信息的利用过程中,对信息真实性的隐藏与保护,或者攻击与分析,主要的处置手段是消除重要的局部信息、加大信息获取能力以及消除信息的不确定性等。
信息安全的基本要求
1.数据的保密性
由于系统无法确认是否有未经授权的用户截取网络上的数据.这就需要使用一种手段对数据进行保密处理。数据加密就是用来实现这一目标的,加密后的数据能够保证在传输、使用和转换过程中不被第三方非法获取。数据经过加密变换后,将明文变成密文,只有经过授权的合法用户使用自己的密钥,通过解密算法才能将密文还原成明文。数据保密可以说是许多安全措施的基本保证,它分为网络传输保密和数据存储保密。
2.数据的完整性
数据的完整性是数据未经授权不能进行改变的特征,即只有得到允许的人才能修改数据,并且能够判断出数据是否已被修改。存储器中的数据或经网络传输后的数据,必须与其最后一次修改或传输前的内容形式一模一样。其目的就是保证信息系统上的数据处于一种完整和未受损的状态,使数据不会因为存储和传输的过程.而被有意或无意的事件所改变、破坏和丢失。系统需要一种方法来确认数据在此过程中没有改变。这种改变可能来源于自然灾害、人的有意和无意行为。显然保证数据的完整性仅用一种方法是不够的,应在应用数据加密技术的基础上,综合运用故障应急方案和多种预防性技术,诸如归档、备份、校验、崩溃转储和故障前兆分析等手段实现这一目标。
3.数据的可用性
数据的可用性是可被授权实体访问并按需求使用的特征,即攻击者不能占用所有的资源而阻碍授权者的工作。如果一个合法用户需要得到系统或网络服务时,系统和网络不能提供正常的服务。这与文件资料被锁在保险柜里,开关和密码系统混乱而不能取出一样
网络与信息防范要求
1:敏感信息的保存、防范(系统管控、加密、纸质文件
2:员工信息个人信息泄露、防范(移动APP)
3:使用安全存储介质(U盘的防病毒)
4:信息系统安全、防范(等保2.0)
5:网络安全、防范(网站安全访问)
6:病毒、木马(安装防病毒软件,正版软件)
7:外设安全(打印机、复印机等安全)
8:口令安全(要有登录密码和WIFI的密码,并用复杂)
9:手机安全(屏保,移动APP安全)
10:权限与安全审计(系统化、程序化管理)
11:网络攻击(设备、软件、技术)
信息安全管理制度和法律法规
系统保护
1:中华人民共和国计算机信息系统安全保护条例
2:计算机信息网络国际联网安全保护管理办法
3:中华人民共和国网络安全法
4:中华人民共和国数据安全法
5:中华人民共和国个人信息保护法
安全产品
1:商用密码管理条例
1国家秘密
1:中华人民共和国保守国家秘密法
2:计算机信息系统国际联网保密管理规定
知识产权
1:中华人民共和国著作权法
2:最高人民法院关于审理涉及计算机网络著作权纠纷案件适用法律若干问题的解释
3:计算机软件保护条例
4:中华人民共和国专利法
计算机犯罪
1:中华人民共和国刑法(摘录)
2:网络犯罪的法律问题研究
电子证据
1:中华人民共和国电子签名法
2:电子认证服务管理办法
信息安全的防范:
信息泄密的途径:
• 1、内部人员将资料通过软盘、U盘或移动硬盘从电脑中拷出带走;
• 2、内部人员通过互联网将资料通过电子邮件、QQ、MSN等发送出去或发送到自己的邮箱内;
• 3、将电脑上的文件打印后带出公司;
• 4、将文件复印后带出公司;
• 5、将办公用便携式电脑直接带回家中;
• 6、电脑易手后,原来的资料没有处理,导致泄密;
• 7、随意将文件设成共享,导致非相关人员获取资料;
• 8、移动存储设备共用,导致非相关人员获取资料;
• 9、将自己的笔记本带到公司,连上局域网,窃取资料;
• 10、趁同事不在,开启同事电脑,浏览、复制同事电脑里的资料;
• 11、非法进入公司盗走目标机密或机密载体;
• 12、网络黑客通过网络进入企业内部网络,窃取机密文件;
13、病毒、木马非法窃取文件。
信息与网络安全防范内容:
防范侵权建议
1、针对常用的Windows操作系统或Office办公软件等,建议企业将电脑和相应的软件打包采购,即要求电脑经销商提供硬件的同时,直接预装正版软件,并将相应条款写入采购合同,明确软件著作权侵权责任。
2、同时,应注意区分同一款软件的家庭版与专业版,家庭版一般仅限于家庭使用,其售价也是最低的,企业经营性使用应预装相应的专业版。另外,还应加强对企业员工办公电脑的监管,明确内部管理责任,及时删除盗版软件。
3、针对企业邮箱、FTP等类型的软件,除了购买正版软件外,还可以采用网站服务器托管等形式,合理规避侵权风险。
4、针对某些行业生产经营必须使用的专门软件,由于软件的使用企业较为特定,权利人比较容易掌握目标销售群体的情况,因此相关企业使用盗版软件被诉的风险较高。且该类软件一般每套售价较高,停止使用又意味着企业无法继续生产经营。对此类软件,建议充分发挥行业协会的作用,以统一谈判、集中采购等方式,提高议价能力,尽快实现企业软件正版化。
5、针对企业软件资产的管理,建议企业配备专门的软件管理人员,形成长效管理机制。
