信息安全论文范文1
论文提要:当今世界已进入了信息化时代,信息化和信息产业发展水平已成为衡量一个国家综合国力的重要标准。党的十七大明确提出了一条“以信息化带动工业化,以工业化促进信息化”的具有中国特色的信息化道路。信息资源随之成为社会资源的重要组成部分,但由于信息资源不同于其他资源的特殊性质,如何保证信息的安全性和保密性成为我国信息化建设过程中需要解决的重要问题。
一、信息化的内涵、信息资源的性质及信息的安全问题
“信息化”一词最早是由日本学者于20世纪六十年代末提出来的。经过40多年的发展,信息化已成为各国社会发展的主题。
信息作为一种特殊资源与其他资源相比具有其特殊的性质,主要表现在知识性、中介性、可转化性、可再生性和无限应用性。由于其特殊性质造成信息资源存在可能被篡改、伪造、窃取以及截取等安全隐患,造成信息的丢失、泄密,甚至造成病毒的传播,从而导致信息系统的不安全性,给国家的信息化建设带来不利影响。因此,如何保证信息安全成为亟须解决的重要问题。
信息安全包括以下内容:真实性,保证信息的来源真实可靠;机密性,信息即使被截获也无法理解其内容;完整性,信息的内容不会被篡改或破坏;可用性,能够按照用户需要提供可用信息;可控性,对信息的传播及内容具有控制能力;不可抵赖性,用户对其行为不能进行否认;可审查性,对出现的网络安全问题提供调查的依据和手段。与传统的安全问题相比,基于网络的信息安全有一些新的特点:
一是由于信息基础设施的固有特点导致的信息安全的脆弱性。由于因特网与生俱来的开放性特点,从网络架到协议以及操作系统等都具有开放性的特点,通过网络主体之间的联系是匿名的、开放的,而不是封闭的、保密的。这种先天的技术弱点导致网络易受攻击。
二是信息安全问题的易扩散性。信息安全问题会随着信息网络基础设施的建设与因特网的普及而迅速扩大。由于因特网的庞大系统,造成了病毒极易滋生和传播,从而导致信息危害。
三是信息安全中的智能性、隐蔽性特点。传统的安全问题更多的是使用物理手段造成的破坏行为,而网络环境下的安全问题常常表现为一种技术对抗,对信息的破坏、窃取等都是通过技术手段实现的。而且这样的破坏甚至攻击也是“无形”的,不受时间和地点的约束,犯罪行为实施后对机器硬件的信息载体可以不受任何损失,甚至不留任何痕迹,给侦破和定罪带来困难。
信息安全威胁主要来源于自然灾害、意外事故;计算机犯罪;人为错误,比如使用不当,安全意识差等;“黑客”行为;内部泄密;外部泄密;信息丢失;电子谍报,比如信息流量分析、信息窃取等;信息战;网络协议自身缺陷,等等。
二、我国信息化中的信息安全问题
近年来,随着国家宏观管理和支持力度的加强、信息安全技术产业化工作的继续进行、对国际信息安全事务的积极参与以及关于信息安全的法律建设环境日益完善等因素,我国在信息安全管理上的进展是迅速的。但是,由于我国的信息化建设起步较晚,相关体系不完善,法律法规不健全等诸多因素,我国的信息化仍然存在不安全问题。
1、信息与网络安全的防护能力较弱。我国的信息化建设发展迅速,各个企业纷纷设立自己的网站,特别是“政府上网工程”全面启动后,各级政府已陆续设立了自己的网站,但是由于许多网站没有防火墙设备、安全审计系统、入侵监测系统等防护设备,整个系统存在着相当大的信息安全隐患。美国互联网安全公司赛门铁克公司2007年发表的报告称,在网络黑客攻击的国家中,中国是最大的受害国。
2、对引进的国外设备和软件缺乏有效的管理和技术改造。由于我国信息技术水平的限制,很多单位和部门直接引进国外的信息设备,并不对其进行必要的监测和改造,从而给他人入侵系统或监听信息等非法操作提供了可乘之机。
3、我国基础信息产业薄弱,核心技术严重依赖国外,缺乏自主创新产品,尤其是信息安全产品。我国信息网络所使用的网管设备和软件基本上来自国外,这使我国的网络安全性能大大减弱,被认为是易窥视和易打击的“玻璃网”。由于缺乏自主技术,我国的网络处于被窃听、干扰、监视和欺诈等多种信息安全威胁中,网络安全处于极脆弱的状态。
4、信息犯罪在我国有快速发展趋势。除了境外黑客对我国信息网络进行攻击,国内也有部分人利用系统漏洞进行网络犯罪,例如传播病毒、窃取他人网络银行账号密码等。
5、在研究开发、产业发展、人才培养、队伍建设等方面与迅速发展的形势极不适应。
造成以上问题的相关因素在于:首先,我国的经济基础薄弱,在信息产业上的投入还是不足,尤其是在核心和关键技术及安全产品的开发生产上缺乏有力的资金支持和自主创新意识。其次,全民信息安全意识淡薄,警惕性不高。大多数计算机用户都曾被病毒感染过,并且病毒的重复感染率相当高。
除此之外,我国目前信息技术领域的不安全局面,也与西方发达国家对我国的技术输出进行控制有关。
三、相关解决措施
针对我国信息安全存在的问题,要实现信息安全不但要靠先进的技术,还要有严格的法律法规和信息安全教育。
1、加强全民信息安全教育,提高警惕性。从小做起,从己做起,有效利用各种信息安全防护设备,保证个人的信息安全,提高整个系统的安全防护能力,从而促进整个系统的信息安全。超级秘书网
2、发展有自主知识产权的信息安全产业,加大信息产业投入。增强自主创新意识,加大核心技术的研发,尤其是信息安全产品,减小对国外产品的依赖程度。
3、创造良好的信息化安全支撑环境。完善我国信息安全的法规体系,制定相关的法律法规,例如信息安全法、数字签名法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息进出境法等,加大对网络犯罪和信息犯罪的打击力度,对其进行严厉的惩处。
4、高度重视信息安全基础研究和人才的培养。为了在高技术环境下发展自主知识产权的信息安全产业,应大力培养信息安全专业人才,建立信息安全人才培养体系。
5、加强国际防范,创造良好的安全外部环境。由于网络与生俱有的开放性、交互性和分散性等特征,产生了许多安全问题,要保证信息安全,必须积极参与国际合作,通过吸收和转化有关信息网络安全管理的国际法律规范,防范来自世界各地的黑客入侵,加强信息网络安全。
信息安全论文范文2
(一)学生信息安全意识缺乏
高校大学生是使用网络和通讯手段较为频繁的一个群体,但对信息安全的界定和措施认识模糊。多数学生认为信息安全就是网络病毒,忽略了对个人网络信息资料的保护。大学生忽略信息安全习惯的养成,在各类密码设置时用个人电话或生日设置,在网上过度公开个人基本信息,给黑客提供了破解的机会。
(二)信息安全管理不够完善
一方面,从管理制度上缺乏重视,没有形成健全的信息安全防护机制,即使有制度但执行不严,造成旧的管理体制和方法难以适应日新月异的安全问题。另一方面,从技术上缺乏支撑,一些管理人员缺乏必要的安全防护技术,不能安全地配制和管理网络,不重视经费投入,造成设备陈旧引发安全隐患。
(三)信息安全教育缺乏创新
许多高校对学生的安全教育只停留在口头宣传或讲座,学生听过之后只能引起暂时的重视,并不能引导形成长期的意识和习惯。一些高校尝试将信息安全教育纳入教学,但课程开设、教材充实和教学效果缺乏研讨与完善,造成教学流于理论灌输,达不到启发实践的目的。
(四)犯罪分子手法不断翻新
当前,我国一些地区电信、网络诈骗案件持续高发,被骗金额巨大。此类犯罪在原有作案手法的基础上手段翻新,作案者冒充电信局、公安局等单位工作人员,使用任意显号软件、VOIP电话等技术,对受害人进行恫吓威胁,或以网购、亲属遭绑架等理由骗取受害人钱财。
二、大学生信息安全教育的内容
(一)信息安全法律教育
加强大学生对信息安全法律和学校相关管理规定的学习,使学生了解和认清信息安全的重要性和相关犯罪所必须承担的责任,培养他们的法律观念,从而自觉规范思想和行为,以免违犯或自身利益受到侵害。
(二)信息安全意识教育
通过开设课程和案例教育,使学生了解信息系统和黑客可能对其进行的攻击与破坏,提高防范意识,培养良好的日常操作习惯,在遇到问题时能够及时加以识别和解决,避免因认知匮乏或行为失范造成的损失和伤害。
(三)信息安全技能教育
重视理论与实践相结合地教育方式,使学生掌握基本的防范技能,如安全工具和软件的使用等,以及一旦遭受侵害应及时采取的措施,提高学生自身的应对能力,抵御和防范信息安全事故发生。
三、加强大学生信息安全教育的措施
(一)加强网络信息安全管理建立和完善
校园网络安全管理机构,加大对信息安全工作的重视和投入,选拔和聘用既有技术又懂管理的网络信息安全专职人员,落实信息安全责任,明确信息资源安全等级,加强信息安全技术硬件建设及日常维护升级。在学生中发展和建立一支专门的信息安全员队伍加以监控,完善网络信息安全应急处置预案,从各方面完善信息安全防范体系,为教育教学创造安全的网络环境。
(二)加强信息安全的宣传与培训
通过安全知识讲座、研讨会、安全周活动等形式,会同公安部门向大学生广泛普及信息安全知识,以案例和技能的培训提高大学生自觉抵制信息诈骗与犯罪的意识和能力。充分利用校园微博、微信的新媒体作用,加强日常安全提示和安全常识的宣传,在新生开学、毕业生就业等重要节点加大宣传力度,营造信息安全的良好氛围。
(三)将信息安全教育纳入日常教学
开设信息安全教育课程,针对学校的实际情况和专业的实际特点,融入不同侧重和有针对性的授课内容,如单设课程或将其纳入形势政策课等。加强信息安全师资队伍建设,建立一支既掌握相关科学知识又了解信息安全法律法规的高素质教师队伍,提高课堂授课水平和效果。
(四)加强大学生信息安全防范实践
信息安全论文范文3
1.1SP800-16
NIST于1998年4月出版发行了SP800-16标准,这是对SP500-172的取代和更新,奠定了针对美国政府工作人员保密教育培训的总体框架和内容,提出了有效的框架并据此评估这一培训体系。SP800-16中提出了IT安全连续学习统一模型。模型基于学习是一个连续统一体这一前提,主要体现了以下观念。“安全意识”显然是所有员工所必须具备的,而“安全基础和文化”是那些以任何方式参与到IT系统的员工(包括承包方员工)所必须具备的。“安全基础和文化”是“意识培养”和“培训”之间的一个过渡阶段。它通过提供一套关键性安全术语和概念的通用基准,来为后续的培训打下基础。经过“安全基础和文化”后,培训的焦点集中于针对个人“相对于IT系统的角色和职责”来提供知识、技术和能力。在这一层,按照技术需求的不同,培训分为初级、中级、高级3个层次。“教育和经验”层着眼于开发能够实现复杂的跨学科活动和所需技能的能力及预见力,以促进IT安全专业化的发展,并与安全威胁发展和技术发展保持同步。按照知识的层次来看,学习是一个连续统一体,但是传授这些知识并不需要按部就班地进行。如果资源有限,组织有责任评估它们的IT安全培训需求范围和培训效果,使培训资源分配能够获得最大的投资回报。与早期美国推行的基于工作职称的教育培训不同,SP800-16旨在提供基于个人工作职能和角色的培训方案,将原本的“一职称一方案”变成了“一角色一方案”。尤其对于一个人在组织中具有多个角色的情况,SP800-16针对每个员工个人培养方案的不同需求灵活变通,力求满足每个角色的培训需求,提供复合式、全面的培训方案。此外,这种培训方法还对不同组织间职称标准划分不同的情况进行了统一,提高了同种角色、不同组织、不同职称间培训方案制定的一致性;同时,提供了开发课程的工具和学习效果评估体系,尽可能准确地确定不同角色、不同职责的每个学生的学习效果,为课程开发者提供全面、翔实的学习效果反馈,帮助保密培训课程、资料的开发者进一步优化教学培训过程。
1.2SP800-50
2003年10月NIST推出的SP800-50标准,它在SP800-16的基础之上更加注重项目在实施过程中机构资源的安全性,特别强调在IT安全意识培养和培训项目的整个生存周期中的4个关键步骤:(1)安全意识培养和培训项目的设计。做机构范围内的需求评估,制定和核准培训策略。为了支持机构已经设立的安全性培训目标,这一策略性的计划文档还需确定所要实现的任务。(2)安全意识培养和培训材料的开发。集中讨论了可利用的培训资源、范围、内容以及培训材料的开发。(3)项目实施。阐述安全意识培养和培训项目的有效沟通和实施,提出传送安全意识培养和培训材料的可选方式(如基于Web、远程教育、视频、网站等)。(4)项目实现之后。就保持项目的通用性和监控其有效性的问题给予指导,描述有效的反馈方式。SP800-50标准讨论了用于管理安全培训项目中的集中式、部分分散式、完全分散式3种比较普遍的模型。(1)集中式。所用责任都集中于核心的权威人士(如IT安全项目经理)。(2)部分分散式。培训方针和策略来自于核心的权威人士,但是实施的职责被分散。(3)完全分散式。只有方针的制订属于核心权威人士,而其他所有的任务均被委派给机构。模型的选用应基于项目的预算、资源分配、组织规模、任务的一致性以及整个组织的地理分布。
2NISTSP800-16的版本演变过程
1998年4月出版的SP800-16第一版首次提出IT安全连续学习统一模型,并设计基于角度和表现的培训模型。该模型按政府工作人员的职能将受训人员分为6种角色,即管理人员、采购人员、设计与开发人员、操作人员、检查测评人员以及普通使用人员。模型针对这6种角色设计了3个基本的培训领域(法律和法规、安全项目管理以及信息系统安全),并为此设计了安全培训课程框架,提出了培训有效性的评估方案。2009年3月NIST了SP800-16的第一次修订草案。一是明确信息安全培训职责,即对涉及信息安全培训的机构领导、首席信息技术执行官、高级机构信息安全官、管理人员、培训设计专家、对信息安全负有重要责任的人员以及用户等7类人员的职责划分。二是在信息安全培训课程的学习层次上强调知识水平的连贯性。三是对第一版的基于角色的培训提出了一个教学设计模型,即针对政府人员的信息安全需求,依次进行需求分析、课程设计、课程开发、培训实践和教学评估等五大环节,这使得信息安全的培训可以迭代改进。2013年10月NIST了对SP800-16的第二次修订版本草案,这次修订中首次提出了网络空间安全培训,因为美国2010年4月启动了《国家网络空间安全教育计划》(NationalInitiativeofCyberSecurityEducation,NICE),该计划旨在通过促进教育和培训来改善人的网络行为、技能和知识,从而增强美国整体的网络空间安全。这意味着美国政府已着手于将网络空间安全上升到国家安全的战略层面上来。2013年版的改动有以下几个方面:一是强调信息安全意识的培训应当在网络空间的背景下进行设计;二是在信息安全培训的目标对象中加入了对重要信息技术和网络空间安全负有责任的政府工作人员;三是对信息安全培训的评估体系进行了细化,即明确提出了评估培训的4个目的。不到半年时间,NIST再次了SP800-16的第三次修订草案,这个版本改动较小,主要是在信息安全培训的组织责任中加入了网络空间培训管理员/首席学习执行官。其职责包括:一是确保培训教材针对具体人员进行设计;二是确保培训教材对目标人员的有效性;三是为信息安全培训提供有效的反馈信息;四是对信息安全培训教材进行及时更新;五是重视培训效果的跟踪和汇报。
3NIST特别出版物版本演变带来的启示
纵览美国历时17年对信息技术安全培训指南的修订过程,其发展特点如下:首先,该指南进行了顶层设计,即提出IT安全连续学习统一模型,设计基于角度和表现的培训模型,对需要接受信息安全培训的目标对象进行角色划分,按照角色需求从法律法规、安全项目管理以及信息系统安全3个领域进行课程设计,初步提出了课程的评估框架。此后的3个版本都是在该体系结构下,从角色划分、培训领域和课程评估方法等3个方面进行充实、完善。其次,该指南具有可扩展性,即该指南的最初版本就设计了连续学习统一体,为培训对象的知识结构发生变化后,如何满足其信息安全的知识结构留下了足够的学习空间。第三,该指南的实时更新性,即结合信息安全领域的新技术,对培训目标对象和培训课程进行实时更新。如在美国NICE计划颁发之后,指南很快在培训环节增加了对国家网络空间安全的培训内容。目前,我国的信息安全教育工作主要侧重于专业技术人才的培养,对涉及使用信息系统的广大普通用户的相关信息安全常识的教育重视不够,更确切地说,对公众的信息安全常识教育的计划和实施体系尚未建立。我国有关部门应该参照NISTSP800-16和SP800-50出台适合我国国情的有关信息安全常识和培训纲要的规范指南,以便完善我国的信息安全教育的完整体系,推进提高全民信息安全意识和技能的工作,为构建我国信息安全保障体系提供人员安全素质方面的基础保证。
4结语
信息安全论文范文4
一、信息状态安全技术
信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。
(一)系统主机服务器安全(ServerSecurity)
服务器是存储数据、处理请求的核心,因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护,对非法接触服务器配件具有一定的保护措施,比如加锁或密码开关设置等;同时,服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性,不会因为大量的访问导致服务器崩溃;服务器要能够支持基于硬件的磁盘阵列功能,支持磁盘及磁带的系统、数据备份功能,使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复,保证服务器的不间断运行;服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面,这直接关系到服务器不间断运行的时间和网络数据访问的效率。
(二)操作系统安全(OperatingSystemSecurity)
设置操作系统就像为构筑安全防范体系打好“地基”。
1.自主访问控制(DiscretionaryAccessControl,DAC)。自主访问控制是基于对主体(Subject)或主体所属的主体组的识别来限制对客体(Object)的访问。为实现完备的自主访问控制,由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体,每列表示一个受保护的客体,矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表,根据表中信息的不同可分为三种形式:(1)权力表(CapabilitiesList),它决定是否可对客体进行访问以及可进行何种模式的访问。(2)前缀表(PrefixList),它包括受保护客体名以及主体对客体的访问权。(3)口令(Password),主体对客体进行访问前,必须向税务操作系统提供该客体的口令。对于口令的使用,建议实行相互制约式的双人共管系统口令。
2.强制访问控制(MandatoryAccessControl,MAC)。鉴于自主访问控制不能有效的抵抗计算机病毒的攻击,这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中,税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性,系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施:(1)限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用,该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下,用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。(2)限制编程。鉴于税务系统仅需要进行事务处理,不需要任何编程的能力,可将用于应用开发的计算机系统分离出去,完全消除用户的编程能力。
3.安全核技术(SecurityKernelTechnology)。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是:将与安全有关的软件隔离在操作系统的一个可信核内,而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则:(1)完备性(Completeness),要求使主体必须通过引进监控器才能对客体进行访问操作,并使硬件支持基于安全核的系统。(2)隔离性(Isolation),要求将安全核与外部系统很好的隔离起来,以防止进程对安全核的非法修改。(3)可验证性(Verifiability),要求无论采用什么方法构造安全核,都必须保证对它的正确性可以进行某种验证。
其他常见措施还有:信息加密、数字签名、审计等,这些技术方法在数据库安全等方面也可广泛应用,我们将在下面介绍。
(三)数据库安全(DatabaseSecurity)
数据库是信息化及很多应用系统的核心,其安全在整个信息系统中是最为关键的一环,所有的安全措施都是为了最终的数据库上的数据的安全性。另外,根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求,数据库需要提供安全性控制的层次结构和有效的安全性控制策略。
数据库的安全性主要是依靠分层解决的,它的安全措施也是一级一级层层设置的,真正做到了层层设防。第一层应该是注册和用户许可,保护对服务器的基本存取;第二层是存取控制,对不同用户设定不同的权限,使数据库得到最大限度的保护;第三层是增加限制数据存取的视图和存储过程,在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系,税务网络信息系统需要设置对机密和非机密数据的访问控制:(1)验证(Authentication),保证只有授权的合法用户才能注册和访问;(2)授权(Authorization),对不同的用户访问数据库授予不同的权限;(3)审计(Auditing),对涉及数据库安全的操作做一个完整的记录,以备有违反数据库安全规则的事件发生后能够有效追查,再结合以报警(Alert)功能,将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定,这样用户只能取得对视图和存储过程的授权,而无法访问底层表。视图可以限制底层表的可见列,从而限制用户能查询的数据列的种类。
二、信息转移安全技术
信息转移安全即网络安全。为了达到保证网络系统安全性的目的,安全系统应具有身份认证(IdentificationandAuthentication);访问控制(AccessControl);可记账性(Accountability);对象重用(ObjectReuse);精确性(Accuracy);服务可用性(AvailabilityofServices)等功能。
1.防火墙技术(FirewallTechnology)
为保证信息安全,防止税务系统数据受到破坏,常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙,是一类防范措施的总称,是指在受保护的企业内联网与对公众开放的网络(如Internet)之间设立一道屏障,对所有要进入内联网的信息进行分析或对访问用户进行认证,防止有害信息和来自外部的非法入侵进入受保护网,并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散,从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型,最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋,IP层防火墙对用户透明性好,应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可,常常将两种防火墙结合使用,以互相补充,确保网络的安全。另外,还有专门用于过滤病毒的病毒防火墙,随时为用户查杀病毒,保护系统。
2.信息加密技术(InformationEncryptionTechnology)
信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式,经过线路传送,到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法,可以使破译的难度大大增加。具体有两种加密方式:(1)私钥加密体制(Secret-keyCryptography),即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组,然后逐组加密。而序列密码把明文符号立即转换为密文符号,运算速度更快,安全性更高。(2)公钥加密体制(Public-keyCryptography),其加密密钥与解密密钥分为两个不同的密钥,一个用于对信息的加密,另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。
在传输过程中,只有税务系统和认证中心(AuthenticationCenter,AC)才有税务系统的公开密钥,只有纳税人和认证中心才有纳税人的公开密钥,在这种情况下,即使其他人得到了经过加密后双方的私有密钥,也因为无法进行解密而保证了私有密钥的重要性,从而保证了传输文件的安全性。
3.信息认证技术(InformationAuthenticationTechnology)
数字签名技术(DigitalSignatureTechnology)。数字签名可以证实信息发送者的身份以及信息的真实性,它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的,其主要方式是:信息发送方首先通过运行散列函数,生成一个欲发送报文的信息摘要,然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名,这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后,首先运行和发送方相同的散列函数生成接收报文的信息摘要,然后再用发送方的公开密钥对报文所附的数字签名进行解密,产生原始报文的信息摘要,通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。
完整性认证(IntegrityAuthentication)。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是:信息发送者在信息中加入一个认证码,经加密后发送给接收者检验,接收者利用约定的算法对解密后的信息进行运算,将得到的认证码与收到的认证码进行比较,若两者相等,则接收,否则拒绝接收。
4.防病毒技术(Anti-virusTechnology)
病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施,来最大限度地加强网络端到端的防病毒架构,再加上防病毒制度与措施,就构成了一套完整的防病毒体系。
参考文献:
信息安全论文范文5
1.1无线通信传输技术
无线通信传输中无线射频识别技术又称为自动ID识别技术,通过无线射频自动准确的捕捉目标唯一标签ID,并通过互联网云端数据处理分析,获取准确、实时的信息,数据标签在一定条件下不能被温度、湿度影响,数据的更改存储较为方便快捷,数据存储量大。
1.2无线射频传输基本工作原理
链接读写器与标签之间的无线通信通道主要分为三种:数据交换;时序;能量。当读写器在工作范围内呗激活时,数据能量通过电磁信号被读写器接收并双向作用于所存储的数据,同时具备改写能力。
1.3无线通信传输的意义与内涵
信息产业在经历3次技术浪潮之后,以感知为核心、实现物与物、人与人、物与人之间关联的综合信息系统——物联网出现使得数据感知、无线数据传输、信息智能化处理等技术得到迅猛的发展。其中,国际上不少国家已经把无线传输技术提升到战略高度,投入庞大资源来深入研究并普及,无论国家政府,还是学术、企业,都涵括在区域化的信息之中。无线传输要通过传感器进行数据的收集、并通过与互联网相连进行信息处理,讲一个个完整的小范围的网络进行识别。无线射频识别是无线传输的核心技术,用来实现人机交互,例如:防伪商品、身份识别、电子票证等有有应用到。
2互联网无线通信网络的组成
互联网范围内的标签数据在互联网中相互“交流”,得益于RFID技术。数据标签存储数据信息,传感器工作自动接收存储至网络中央处理系统,识别分析信号;另外还能通过网络共享和交换信息,扩大云端计算处理,以及信息存储能力,更有利于互联网的发展壮大。无线网络依托互联网的拓展将系统分为物理、逻辑两个空间。
2.1物理空间
互联网所谓的物理空间其实是有传感器、微型计算机等物理硬件组成的,通过物理上的部件组成,使得虚拟网络得意更生动形象的呈现,同时虚拟网络以物理基础为支持进一步拓展功能,人机交互也需要实体界面,实现人工智能。
2.2逻辑空间
逻辑空间意义上属于互联网的虚拟网络端部分,是链接数据与用户的桥梁,离不开数据标签层、读写器层、应用层、互联网层与通信层的构成。1)无线射频的识别所接收的是物品所烙印的标签,就比如物品的标价,材料等物质信息都储存在标签多特定的标签当中;2)读写器层工作的运作以来数据无线射频模块和数字信息处理单元,读写器工作包括信号解码,在低误码率的传输过程中调整并处理,通过云端网络计算能力处理所接收的信号;3)通信层是虚拟网络的实体化表现,是数据标签层与读写接收层的桥梁,是完成数据通信读取信息的基础;4)互联网层是读写接收层对数据的保存与应用的部分;5)应用层,总的来说在数据透明化管理的条件下,是任何数据的操作平台,是用户反馈标签信息的系统。
3无线通信传输网络安全分析与措施
随这信息技术的发展,无线网络的应用不断涌现,普及范围变广,人工维护工作量加大,智能化处理系统以及神经网络加入到互联网,传统的网络安全措施已经无法满足现阶段的互联网信息安全需求,在网络用户端隐私性的前提下,攻击者通过非法跟踪标签信息,对读写器进行非法通信。
3.1安全问题因素分析
1)存储空间。标签的特定性,导致标签容量单一且唯一。虽然一定程度上减少了数据计算的强度,但标签本身不具备任何安全保障措施来保证自身安全,导致标签数据信息遭到非法改写甚至删除。只有标签数据能保证安全完整、真实有效,安全性才能得到保障;2)网络。网络自身的脆弱性在一定程度造成了整个互联网的安全隐患。在标签数据在虚拟网络中传输,没有任何物理层构成,使得作用范围、数据计算能力、节点能量受限,工作强度一旦高于自身网路的负荷上线,就会出现数据丢失。传统互联网网络层与应用层相互独立,但是互联网则恰恰相反,二者相互依存,一损俱损,导致一旦任何问题出现,互联网的安全都难以得到保障,这也使信息隐私安全制约了互联网的发展。3)用户非法访问。无线网络的开放性是其优势之一,同时也是其最容易收到网络非法攻击的一点。开放式的访问导致网络传输中的信息容易被第三方获取,拦截、篡改,三方用户访问网络资源同时也对无线信道资源进行了非法占用,损害了其他用户正常访问的权益,降低网络服务质量。4)WEP加密协议破解。WEP作为叫基本的保密协议,虽然能够阻挡低程度的非法访问,但是在网络技术发展的同时,较低级的保密协议无法完全保障用户数据,WEP密钥的回复较为简单,进行少量数据收集、分析,就能够解密WEP密钥。5)地址协议(ARP)攻击。第三方非法用户操作,通过网络监听截获并篡改信息,利用信息物理MAC地址,对计算机发送错误的伪ARP答文来欺骗主机,导致正确的信息无法到达目标主机出,形成ARP欺骗。6)AP服务攻击。AP端攻击是对网络进行巨大损害的攻击方式,AP服务为数据发送提供资源,非法用户则通过不停对AP服务资源进行转发,反复占用,消耗资源,使得AP无法对其他端进行服务发送。7)网络体系的攻击。在高程度的非法攻击面前,不仅仅针对用户端口服务信息的截取与篡改,高级攻击者通过各种安全漏洞,打破整个区域无线网络体系与有线网络体系的有机结合,阻碍局域网与互联网的信息交互,甚至造成更严重的后果。
3.2安全优化措施
保证互联网稳定安全运行是互联网发展的前提,因此目前针对信息传输安全的手段如:在网络基本指令中设立Kill指令、屏蔽除标签意外任何数据的传输;在安全协议层上通过信息加密、哈希锁进行用户协议保护。1)防标签频率检测。法拉第网罩模仿法拉第电磁笼将传导材料构成容器,屏蔽容器外的电磁信号,使得干扰信号无法进入,将标签数据放入其中,使得任何非法检测跟踪无法实现;设置干扰信号,破坏对读写的操作;数据标签碰撞,使得非法获取的标签数据都是靶数据,保护真正数据标签;2)设定标签识读范围和强度。缩小读写器工作范围,减少被攻击目标;3)安全协议认证。Hash-Lock协议能随机询问标签应答,不断动态刷新标签,交换信息,还有双向认证协议、LCAP协议等,创建随机伪函数认证,另外还有密钥的保护Hash锁、Hash链;4)系统端口。读写器与数据处理系统借口采用相互认证的方式,进行保护,防止假冒接口;5)信息传输安全。互联网上储存了大量数据,用户隐私、商业机密均在其中,保证信息数据安全目前传统的方法是使用虚拟专用网络上的网络安全传输层协议来保证RFID上的相关信息的安全性。
4总结
信息安全论文范文6
论文摘要:随着网络技术的飞速发展和广泛应用,信息安全问题正日益突出显现出来,受到越来越多的关注。文章介绍了网络信息安全的现状.探讨了网络信息安全的内涵,分析了网络信息安全的主要威胁,最后给出了网络信息安全的实现技术和防范措施.以保障计算机网络的信息安全,从而充分发挥计算机网络的作用。
论文关键词:计算机,网络安全,安全管理,密钥安全技术
当今社会.网络已经成为信息交流便利和开放的代名词.然而伴随计算机与通信技术的迅猛发展.网络攻击与防御技术也在循环递升,原本网络固有的优越性、开放性和互联性变成了信息安全隐患的便利桥梁.网络安全已变成越来越棘手的问题在此.笔者仅谈一些关于网络安全及网络攻击的相关知识和一些常用的安全防范技术。
1网络信息安全的内涵
网络安全从其本质上讲就是网络上的信息安全.指网络系统硬件、软件及其系统中数据的安全。网络信息的传输、存储、处理和使用都要求处于安全状态可见.网络安全至少应包括静态安全和动态安全两种静态安全是指信息在没有传输和处理的状态下信息内容的秘密性、完整性和真实性:动态安全是指信息在传输过程中不被篡改、窃取、遗失和破坏。
2网络信息安全的现状
中国互联网络信息中心(CNNIC)的《第23次中国互联网络发展状况统计报告》。报告显示,截至2008年底,中国网民数达到2.98亿.手机网民数超1亿达1.137亿。
Research艾瑞市场咨询根据公安部公共信息网络安全监察局统计数据显示.2006年中国(大陆)病毒造成的主要危害情况:“浏览器配置被修改”是用户提及率最高的选项.达20.9%.其次病毒造成的影响还表现为“数据受损或丢失”18%.“系统使用受限”16.1%.“密码被盗”13.1%.另外“受到病毒非法远程控制”提及率为6.1%“无影响”的只有4.2%。
3安全防范重在管理
在网络安全中.无论从采用的管理模型,还是技术控制,最重要的还是贯彻始终的安全管理管理是多方面的.有信息的管理、人员的管理、制度的管理、机构的管理等.它的作用也是最关键的.是网络安全防范中的灵魂。
在机构或部门中.各层次人员的责任感.对信息安全的认识、理解和重视程度,都与网络安全息息相关所以信息安全管理至少需要组织中的所有雇员的参与.此外还需要供应商、顾客或股东的参与和信息安全的专家建议在信息系统设计阶段就将安全要求和控制一体化考虑进去.则成本会更低、效率会更高那么做好网络信息安全管理.至少应从下面几个方面人手.再结合本部门的情况制定管理策略和措施:
①树立正确的安全意识.要求每个员工都要清楚自己的职责分工如设立专职的系统管理员.进行定时强化培训.对网络运行情况进行定时检测等。
2)有了明确的职责分工.还要保障制度的贯彻落实.要加强监督检查建立严格的考核制度和奖惩机制是必要的。
③对网络的管理要遵循国家的规章制度.维持网络有条不紊地运行。
④应明确网络信息的分类.按等级采取不同级别的安全保护。
4网络信息系统的安全防御
4.1防火墙技术
根据CNCERT/CC调查显示.在各类网络安全技术使用中.防火墙的使用率最高达到76.5%。防火墙的使用比例较高主要是因为它价格比较便宜.易安装.并可在线升级等特点防火墙是设置在被保护网络和外部网络之间的一道屏障,以防止发生不可预测的、潜在破坏性的侵入。它通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况.以此来实现网络的安全保护。
4.2认证技术
认证是防止主动攻击的重要技术.它对开放环境中的各种消息系统的安全有重要作用.认证的主要目的有两个:
①验证信息的发送者是真正的主人
2)验证信息的完整性,保证信息在传送过程中未被窜改、重放或延迟等。
4.3信息加密技术
加密是实现信息存储和传输保密性的一种重要手段信息加密的方法有对称密钥加密和非对称密钥加密.两种方法各有所长.可以结合使用.互补长短。
4.4数字水印技术
信息隐藏主要研究如何将某一机密信息秘密隐藏于另一公开的信息中.然后通过公开信息的传输来传递机密信息对信息隐藏而吉.可能的监测者或非法拦截者则难以从公开信息中判断机密信息是否存在.难以截获机密信息.从而能保证机密信息的安全随着网络技术和信息技术的广泛应用.信息隐藏技术的发展有了更加广阔的应用前景。数字水印是信息隐藏技术的一个重要研究方向.它是通过一定的算法将一些标志性信息直接嵌到多媒体内容中.但不影响原内容的价值和使用.并且不能被人的感觉系统觉察或注意到。
4.5入侵检测技术的应用
人侵检测系统(IntrusionDetectionSystem简称IDS)是从多种计算机系统及网络系统中收集信息.再通过这此信息分析入侵特征的网络安全系统IDS被认为是防火墙之后的第二道安全闸门.它能使在入侵攻击对系统发生危害前.检测到入侵攻击.并利用报警与防护系统驱逐入侵攻击:在入侵攻击过程中.能减少入侵攻击所造成的损失:在被入侵攻击后.收集入侵攻击的相关信息.作为防范系统的知识.添加入策略集中.增强系统的防范能力.避免系统再次受到同类型的入侵入侵检测的作用包括威慑、检测、响应、损失情况评估、攻击预测和支持。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术.是一种用于检测计算机网络中违反安全策略行为的技术。
信息安全论文通用六篇相关文章:
《信息安全论文通用六篇》
