关键词:
安全保密检查(精选九篇)
安全保密检查 篇1
CMMI为待改进机构提供基本的有效的改进方法。CMMI可以帮助机构 (或公司) 整合其原本独立的功能体系、帮助他们确定过程改进的目标和步骤、为质量控制过程进行有力的指导以及为评估当前所使用的过程提供科学合理的参考数据。
1 CMMI模型基本结构
1.1 集成能力成熟度模型 (CMMI)
Carnegie Mellon大学软件工程研究所 (SEI) 在已有“软件能力成熟度模型” (SW-CMM) 的研究基础上, 结合当今软件业的发展特点 (重效益、重结果、重市场、重时间) , 于2003年发布了软件能力成熟度模型的新一代版本-集成能力成熟度模型 (CMMI) 。CMMI与CMM最大的变化是:相对于CMM来说, CMMI增加了更多的非常具有应用价值的关键实践, 通过这些新增的关键实践活动可以使过程改进趋近完善。
CMMI的5个成熟度等级分别为:初始级、可重复级、已定义级、已管理级和优化级。
1.2 CMMI三级过程域
CMMI的过程域分为4大类:过程管理类、项目管理类、工程类、支持类。同SW-CMM相比, CMMI中新增了如下过程域:在能力成熟度二级中新增如下过程域:测度及分析;在能力成熟度三级中新增了如下过程域:需求开发、技术解决方案、产品整合、验证、决策分析与解决方案。
欲使基于CMMI三级的企业项目管理系统能够适用于多种开发模型, 它就需要具备一定的可变更性。笔者在进行本软件管理系统的架构设计时, 首先按照CMMI模型结构对其进行模块化。尽量保持模块内部子模块之间的高度耦合而使模块之间低度耦合, 这样就可以保证研发部在开发不同的项目时, 能够根据项目的需要进行功能调整。满足CMMI三级能力成熟度, 需要同时实现CMMI一级和二级以及三级的过程域。
CMMI三级:
过程管理类:组织流程定义 (OPD) 、组织流程专注 (OPF) 、组织培训 (OT) 。
项目管理类:整合的项目管理 (IPM) 、风险管理 (RSKM) 。
工程类:需求开发 (RD) 、技术解决方案 (TS) 、验证 (VER) 、确认 (VAL) 、产品整合 (PI) 。
支持类:决策分析与解决方案 (DAR) 。
CMMI二级:
项目管理类:供应商协议管理 (SAM) 、项目监控 (PMC) 、项目计划 (PP) 。
工程类:需求管理 (REQM) 。
支持类:配置管理 (CM) 、度量与分析 (MA) 、过程与产品质量保证 (PPQA) 。
2 基于CMMI三级的企业项目管理系统总体设计
2.1 项目管理系统工作流程
根据CMMI三级的过程域间关系及CMMI三级所规定的关键实践, 再结合企业研发部门原有的业务结构, 我们定义了一套既能符合CMMI三级规范又能适应该软件研发部门现行管理体制的平稳过渡的新的项目管理系统工作流程, 并成功应用于安全保密检查软件的开发过程中。
2.2 项目管理系统总体架构
本企业项目管理系统主要包括项目管理功能区和系统功能区, 其中项目功能区由6个模块组成, 分别是项目管理模块、项目开发模块、技术支持模块、文档管理模块、日常管理模块和员工管理模块;系统功能区主要包括用户管理、文档管理和角色管理模块。本企业项目管理系统架构纵览图, 如图1所示。
3 基于CMMI三级的企业项目管理系统主要模块设计
根据项目总体架构和CMMI3的要求, 本系统主要包括系统管理、项目管理、项目开发、技术支持、文档管理、员工管理和日常管理模块。CMMI3的要求体现在每一个模块的具体实现过程中。
3.1 立项管理
从图1中可以得知立项管理处于系统工作流程的初始, 既产品概念阶段, 同时立项管理在CMMI中属于项目管理类。立项管理的目的是为了采纳符合机构最大利益的立项建议, 通过立项管理使该建议成为正式的项目。项目管理的立项管理阶段的关键实践有立项建议、立项评审和项目筹备, 参与立项管理阶段的人员角色有部门经理和项目经理。
3.2 项目规划
项目规划属于系统工作流程的产品定义阶段, 同时项目规划在CMMI中属于项目管理类, 直接对应于项目计划过程域 (PP) 。项目规划的目的是为项目的研发和管理工作制定合理的行动纲领 (即项目计划) , 使所有相关人员按照计划有条不紊地开展工作。项目管理的项目规划阶段的关键实践有项目估计、制定项目计划、审批项目计划等, 参与项目规划阶段的人员角色有部门经理和项目经理。
3.3 需求开发
需求开发横跨系统工作流程的产品概念和产品定义阶段, 同时需求开发在CMMI中属于项目开发类, 直接对应于需求开发过程域 (RD) 。需求开发是通过调查与分析, 获取用户需求并定义产品需求。需求开发的关键实践有需求确认、需求跟踪和需求变更控制, 参与需求开发阶段的人员角色主要是需求分析员。
3.4 系统设计
系统设计处于系统工作流程的产品开发阶段, 同时系统设计在CMMI中涉及到技术支持 (TS) 和产品整合 (PI) 过程域, 属于工程类。系统设计阶段的任务和目标是设计软件系统的体系结构、用户界面、数据库和模块等, 从而在需求与代码之间建立桥梁, 指导开发人员去实现能满足用户需求的软件产品。系统设计的关键实践有体系结构设计、用户界面设计、数据库设计和模块设计, 参与系统设计阶段的人员角色主要有系统设计员。
3.5 编码与测试
编码与测试、系统测试横跨系统工作流程的产品开发、产品测试阶段, 同时它们在C M MI中属于工程类 (Engineering) , 涉及技术支持 (TS) 和产品整合 (PI) 以及验证 (VER) 和确认 (VAL) 过程域。编码与测试依据系统设计文档, 编写并测试整个系统的代码, 包含的关键实践有编程、代码审查单元测试、集成测试、缺陷管理和改错;系统测试对最终系统进行全面的测试, 确保最终系统满足产品需求并且遵循系统设计。
编码与测试、系统测试虽然在实现的目的和标准上有着很大的不同, 但是在实现方式上有着很多的相似性, 编码实现和测试的联系异常紧密, 它们之间的关系也较为复杂:
我们设计了一种迭代式任务状态判断法, 即为每个编码和测试任务设定一个信息位以记录和判断编码或测试任务的当前进行状态。然后通过为项目任务的状态设定不同的时间片段, 通过对这些时间片段的测试和计算来判断出编码或测试的状态、效率和质量。同时, 系统也为编码控制员或测试控制员提供了主观评分的入口, 协助他们进一步掌握编码人员或测试人员的编码或测试任务的分配情况。编码控制员根据自己所参与的项目情况, 负责为每位当前项目的参与人员分配编码任务, 所有的项目情况来自于“项目情况表”和“已提交文档表”。其中“项目情况表”说明的是项目的概念信息, 比如项目名称、项目开始和结束时间、项目的简单描述等;而“已提交文档表”的信息是用来给项目管理系统自动判断当前项目所处于的状态并决定已经登录系统的编码控制员是否有权利为当前所选择的项目进行编码任务分配。
在编码与测试模块中, 我们对文档管理模式加强了规范, 采取的办法大致描述如下:
(1) 按照项目的名称对文档进行分类;
(2) 在同一个项目中, 根据文档所属的模块对其进行分类。
比如, 系统设计属于产品开发阶段, 则将系统设计所形成的文档全部放置于产品开发模块下。
(3) 文档的版本根据其所处状态值来判断, 进而赋予该文档应有的版本信息, 同时, 文档版本信息同其可操作权限直接关联, 不同版本的文档被赋予了不同的操作权。比如项目经理只能对已通过审核并且被置于基线版本状态的文档进行阅读和审批。
(4) 文档的版本和状态信息被作为项目流程监控的一个依据。测试与编码是迭代的, 测试任务的分配和控制与编码有较大的相似性, 这里不作细节的介绍。
3.6 项目监控
项目监控处于项目管理阶段, 同时项目监控在CMMI中涉及到项目监控 (PMC) 和度量与分析 (MA) 过程域, 属于项目管理和支持类。项目监控阶段的任务和目标是为项目的研发和管理工作制定合理的行动纲领 (既项目计划) , 以便所有相关人员按照计划有条不紊地开展工作。SPP中项目监控的关键实践有项目计划跟踪、偏差控制和项目进展总结这3个, 参与项目监控阶段的人员角色主要有部门经理和项目经理。
项目状态监控的设计是根据项目文档的产生、提交和审核而来的, 根据分析, 得出项目进度有以下两个特点:项目进度的情况集中反映在所提交的文档的进度上, 也就是说, 文档提交的进度反映了项目的进展情况;同时, 不同模块提交的文档也不同, 根据这个特点, 可以根据提交文档的情况来表示项目各个模块进展的情况。
根据上述特点, 我们设计了两种项目状态显示和控制的图示方法, 第一种命名为“项目进程-文档提交情况图”, 第二种命名为“项目进程-模块进展情况图”。
4 系统功能特点
系统在功能设计上, 具备3个较为突出的特点:首先采用了基于项目开发文档信息的开发流程控制和管理技术, 对整个项目开发过程中所涉及到的44个标准文档进行分析, 找出这些文档之间的依赖关系, 制作出了文档依赖关系图。然后通过该文档依赖关系图对符合CMMI三级要求的项目文档信息进行分析来实现对项目开发工作流的控制。同时, 根据文档所涉及到的内容, 对这44个标准文档进行模块分类, 将它们分别划分到不同的系统模块中去, 可以通过对当前模块中标准文档的完成情况来判断该模块的运行情况。其次, 笔者还设计并实现了一种基于时间片的交叉迭代式编码和测试任务管理模块。不同的时间片, 代表不同的任务完成状态, 因此可以通过任务当前所处的时间片来确定该任务的进行状况和完成情况。最后, 按照一般软件公司所给予的软件开发事业部员工评分规则, 设计并实现了一个能够根据员工参与项目完成情况、员工日常表现和项目经理主管评定等条件来对他们进行综合自动评分的人员管理模块, 该模块有效地改进了软件开发部门对部门人员的工作情况管理和绩效评定。
5 结束语
CMMI框架模型是本系统设计主题思想, 通过对CMMI三级所包含的关键过程域的分类和分析, 再结合项目管理准则以及SPP模型的具体要求, 通过系统支持对一般软件企业开发部门将项目开发过程达到CMMI三级框架的要求。本文研发的项目管理系统已在某软件企业实际应用, 在提升项目管理的效率和水平方面效果明显, 且具有一定的推广应用价值。随着软件行业对项目管理系统需求的日益增长, 必然会对CMMI的成功实施提出更高的要求, 也必然会有越来越多的专家和技术人员参与到基于CMMI的项目管理系统实施策略的研究中。
参考文献
[1]CMMISM for software engineering version1.1continuous representation[S].Camegie Mellon, Software Engineering Institute, 2002.
[2]周金陵, 张鹏.基于CMMI的软件过程改进研究[J].计算机工程与设计, 2003, 24 (11) :60-62.
[3]Process Maturity Profile, CMMI SCAMPI class a appraisal results[S].Software Engineering Institution, 2007.
[4]龚波, 于自跃.小型软件企业实施CMMI过程改进研究和分析[J].计算机应用研究, 2004, 21 (8) :64-67.
[5]郑栋, 谭玲.基于CMMI的小型软件过程自评估工具[J];计算机科学, 2006, 33 (2) :263-265.
联合开展信息安全保密检查工作方案 篇2
2007年**市联合开展信息安全保密检查的工作方案
为深入贯彻落实省委保密委员会和省公共信息网络安全管理领导小组的工作部署,加强我市信息安全保密工作,进一步建立和完善基础信息网络和重要信息系统的信息安全保密管理工作的长效机制,筑牢安全保密防线,严密保守国家秘密,维护计算
机信息系统安全,为党的十七大胜利召开营造良好的安全保密环境,为我市信息化建设和经济的快速发展保驾护航,根据省公安厅、省保密局、省安全厅、省信息产业厅和省通信管理局五个部门有关2007年联合开展信息安全保密检查工作的总体部署,结合我市工作实际,经研究决定,对我市计算机信息系统安全保护重点单位开展信息安全保密联合检查工作。工作方案如下:
一、工作目标
要通过安全保密检查,各计算机信息系统安全管理重点单位的计算机安全保密意识得到进一步提高,信息安全保密管理措施得到进一步贯彻落实,信息安全保密长效机制得到进一步的健全和完善,计算机信息系统和涉密信息的管理得到进一步的规范和加强。
二、工作内容
(一)保密检查:计算机信息系统和信息网络安全保密管理制度以及技术措施的落实情况。
(二)信息安全检查:网络重点单位信息网络安全检查,包括安全组织成立、安全管理制度建立、安全措施落实情况。
(三)国家安全事项检查:计算机网络涉及国家安全事项。
(四)重要信息系统安全监测(包括网络安全和保密技术检测)。
(五)安全管理技术人员培训。
(六)各有关部门充分利用联合检查平台深化本部门的其他重点工作。
三、组织领导
(一)市里成立联合检查领导小组。领导小组是联合检查工作的组织协调机构,由五部门有关负责同志组成:
叶成富(**市国家保密局副局长)、陈海斌(**市公安局副局长)、揭育辉(**市国家安全局副局长)、李永良(广东省电信有限公司**市分公司,副总经理)、廖国树(**市信息产业局,副局长)。
领导小组下设工作小组和办公室,工作小组由五部门相关处室负责同志组成,负责工作的联络和实施检查。办公室设在牵头单位,负责日常工作。本工作由**市公安局牵头组织,下一工作由轮值单位牵头组织。
(二)各县(市)参照市模式成立相应机构,建立联合工作机制,有关单位落实人员开展信息安全保密检查工作。
(三)分工情况:市联合安全保密检查领导小组负责市直单位的信息安全保密检查,并组织对各县(市)工作开展情况进行督查。各县(市)检查领导小组负责本辖区内各单位的安全保密检查。
四、时间安排
(一)准备阶段:6月中旬—7月上旬。
1、召开市五部门领导小组和工作小组会议,研究、制定工作方案。
2、部署各县(市)开展安全保密检查工作。
3、市保密、公安、国家安全、信息、电信等五部门各自指导下级业务部门开展联合检查工作小组成员的培训工作。
4、编订安全保密工作检查指引。
5、确定自查对象。
(二)自查阶段:7月上旬—7月中旬。
发出通知和检查指引,要求各相关单位按照通知的要求和指引内容的提示,认真组织开展信息安全保密自查工作。
(三)抽查阶段:7月中旬—8月上旬。
市安全保密联合检查领导小组根据工作开展情况,研究确定重点抽查单位,派出工作组全面开展信息安全保密抽查工作。并督促相关单位做好准备,迎接省联合检查组的检查。
(四)总结阶段:8月中旬—8月下旬。
1、联合检查领导小组对抽查和各单位的自查情况进行总结,10月5日前将工作开展情况上报省联合检查领导小组。
2、召开五部门领导小组、工作小组会议,总结本的工作,初步议定明年工作计划,并对有关资料进行交接。
五、检查范围
检查的范围主要是计算机信息系统重点安全保护单位(简称:“重点单位”),包括:涉及国家安全、经济命脉、社会稳定的基础信息网络和重要信息系统及其单位。具体包括:
1、县级以上的国家机关、国防单位;
2、财政、金融、税务、海关、审计、工商、社会保障、能源、交通运输、国防工业等关系到国计民生的单位;
3、国家及省重点科研、教育单位;
4、国有大中型企业;
5、互联单位、接入单位及重点网站;
6、向公众提供上网服务的场所。
六、检查方式
采取单位自查、汇报,检查小组组织实地检查、检测等多种方式进行。
七、人员培训
培训
对象是全市各计算机信息系统重点安全保护单位的网络管理维护技术人员,参加安全保密培训和信息网络安全专业技术人员继续教育培训。各重点单位在开展自查工作中,须将本单位的自查工作情况总结和本单位从事计算机信息系统或网络管理维护的技术人员名单、联系方式7月30日前报送市联合检查领导小组的牵头组织单位(2007年牵头组织单位是**市公安局)。
8月底前要分期分批完成对全市重点单位网络管理技术人员的培训工作。培训完成并通过考试后,颁发有五个部门统一发的保密培训证书和信息网络安全专业技术人员继续教育证书。培训的师资为**电视大学及其教学点。
六、工作要求
(一)高度重视,加强工作的组织领导。这次检查,是省保密委员会和省公共信息网络安全管理领导小组部署的一项重要工作,是在新时期下加强和做好信息安全保密工作的重要环节。开展信息安全保密检查工作,对及时掌握本地计算机信息管理重点单位的信息安全保密工作和管理的状况,及时发现存在的安全保密隐患和漏洞,有针对性采取有效措施加强管理,增强信息安全保密意识,提高信息安全保密防范能力具有十分重要的意义。各单位要从讲政治、讲大局出发,从构建和谐平安网络环境的高度,充分认识到信息安全保密检查工作的重要性和必要性。要切实落实工作责任,明确工作要求,加强对安全保密检查工作的组织领导,确保我市的安全保密检查工作取得实效。
(二)明确职责,加强合作。各部门要按照职责分工,充分发挥各自职能优势,齐抓共管,全面加强合作,建立、健全高效的工作协作机制,全面、深入地开展我市信息安全保密检查工作。公安机关作为今年的牵头单位,负责此项工作的协调组织和部署实施,并加强对重点单位及互联网服务单位信息网络的安全检查工作;保密部门作为保密工作的主管部门,重点检查计算机信息系统安全保密工作情况;国家安全部门重点对信息网络涉及国家安全的事项进行检查;信息化主管部门重点加强信息行业的管理和协调监督;通信管理部门重点加强对基础电信企业及互联网行业的管理和协调监督。
(三)编订指引,规范检查。各部门要根据各自职能、业务特点和工作情况,认真组织人员编订信息安全保密检查的工作指引,明确检查的项目、条款和详细内容、工作要求等,以便进一步统一和规范信息安全保密检查工作的操作环节。
七、相关的法律法规和文件
开展信息安全保密检查、培训工作的依据和参考文件、资料如下:
1、《中华人民共和国保守国家秘密法》
2、《中华人民共和国国家安全法》
3、《刑法》
4、《中共中央关于加强新形势下保密工作的决定》(中发[1997]16号)
5、中办、国办转发《国家信息化领导小组关于加强信息安全保障工作的意见(中办发[2003]27号)
6、中办、国办《关于进一步加强互联网管理工作的意见》([2004]32号)
7、《〈关于加强信息安全保障工作中保密管理的若干意见〉的通知》(中保委发[2004]7号)
8、《互联网信息服务管理办法》
9、《计算机信息系统国际联网保密管理规定》
10、《计算机信息系统保密管理暂行规定》
11、《信息安全等级保护管理办法(试行)》
12、《涉及国家秘密的计算机信息系统分级保护管理办法》
13、《关于加强技术产品使用保密管理的通知》(国办发[2006]3号)
14、《计算机信息网络国际联网安全保护管理办法》
15、《互联网安全保护技术措施规定》
16、《广东省计算机信息系统安全保护管理规定》
17、《公安部、人事部〈关于开展信息网络安全专业技术人员继续教育工作的通知〉》(公信安[2006]526号)
18、《信息安全技术教程》
19、《信息安全管理教程》
20、《互联网信息内容安全管理教程》
21、《互联网上网服务营业场所安全管理教程》
安全保密检查 篇3
自2012年3月开始实施月度保密检查工作机制以来,部门保密管理面貌得到进一步改善,各项保密工作得以定期监督、保密措施得以有效落实,涉密人员保密工作习惯逐步形成、保密意识明显提升,为维护部门保密工作良性发展起到了推动作用。但随着保密工作形势的不断变化、保密工作要求的不断加强,现有的保密检查方法已不能很好地推动部门实际保密工作的发展,出现保密检查人力、物力、财力等的投入和产出效率比不高的现象,比如检查内容的不够深入、检查人员素质的良莠不齐、检查结果的判定不够准确、检查记录信息的不够翔实及其整改情况的反馈落实不够彻底等不完善因素使得部门保密检查无法最大程度地发挥应有的成效和影响。
为解决保密检查“不对症”、“表面化”的问题,更好地发挥保密检查对保密工作的监督和指导作用,我们运用先进的管理理念对保密检查工作的质量进行改进。通过一定时期内的保密检查记录进行统计分析,挖掘保密检查欠规范的问题和原因,结合SMART原则提出符合部门工作实际的改进措施,制定改进计划并在后期工作过程中检验实施效果,实现了将保密检查质量问题总量占比控制在20%以下的目标,以事实证明了此质量改进方法能够有效加强保密检查科学性和规范性。
2 SMART 原则释义
目标管理是一种目前广泛运用于企业管理的优秀的方法论,它将制订目标上升到技术的层面并科学地阐述出来,是通过组织管理者共同参与制定和实现目标的模式。而目标管理的核心理念就是SMART原则,分别由明确性 (Specific)、衡量性 (Measurable)、可实现 性(Attainable)、相关性 (Relevant)、时限性 (Time-based) 五项指标组成。
明确性指的是目标要清晰明确,让制定者和执行者能够准确地理解目标; 可实现性指的是目标要通过努力可以实现,也就是目标不能偏低或偏高;衡量性指的是目标要量化,执行时可以采用相同标准准确衡量;相关性指的是目标要和工作有相关性, 不是执行者的工作不应设为其目标; 时限性指的是目标要在规定的时间内完成。
3 基于数据的保密检查质量问题分析
通过在对2014年1月至8月共8次部查中共515条检查记录进行统计分析后, 发现共计近三分之二显示保密检查存在质量问题, 在此基础上分析保密检查结果影响因素并进行分类, 通过统计过程中不同影响因素出现的次数, 找出当前保密检查中存在的最主要的短板。
4 基于 SMART 的保密检查质量改进措施
对于保密检查质量改进而言,实现质量问题大幅减少、提升检查成效是既定目标。针对以上分析所得几大类质量问题,按照SMART原则逐一制定改进措施。
4.1 针对 A 类问题,制定保密检查的明确性对策
梳理保密检查各个环节的工作要求,对比现有工作机制中不完善的工作方法进行纠偏,形成“策划、组织、检查、处罚、复查”的标准化工作流程。检查的牵头科室按照规范程序开展检查组织工作,尤其是在检查的策划阶段要注重检查项目的制定,需综合考虑现阶段部门保密工作发展形势和需求, 且应明确检查方法和检查要求,确保此次保密检查达到预期目标。
4.2 针对 B 类问题,制定保密检查的可衡量性对策
制定《保密检查处罚条例》,为保密检查结果的定性提供参考,解决判定不准问题。结合部门保密工作的实际特点,建立单位内部保密检查问题的处罚规则,对保密问题逐条进行分析,提出保密违规行为责任者或相关人员的相应处罚标准。保密问题处罚表如同交通违规行为处罚表, 是保密检查工作可衡量的基础和前提。有了制度保障,检查人员在对检查问题进行“对标”时即可做到有章可循。
4.3 针对 C 类问题,制定保密检查的可实现性对策
保密检查的可实现性即为检查过程的组织和协调过程的保证。鉴于部门人数众多且保密组织机构健全,保密检查的检查组常常由各科室兼职保密员不定人抽调组成。在组建检查组时, 要与成员充分沟通检查目标、明确职责分工、宣贯检查要求,创造其彼此间横向交流的机会,还可借此提高基层保密管理人员保密检查技能,建立保密工作质量观念,以带动各科(室)保密工作水平整体提升。
4.4 针对 D 类问题,制定保密检查的相关性对策
兼职保密员岗位存在一定的流动性,因此检查人员的保密工作技能亦存在差异性,而这种差异性在保密检查过程中有着很明显的体现。技能高的检查人员能够更快、更全面的发现问题,也能够更自信的判定问题。我们通过对这些人员的表现进行分析后提出了“敢于检查、精于检查”两方面的保密检查人员素质要求,并在开展质量改进工作的期间开展了数次循序渐进的保密工作技能培训,辅之以专题交流,从意识上减少或消除人为影响因素,取得了很好的效果。
4.5 针对 E、F 类问题,制定保密检查的时限性对策
保密检查的时限性主要强调的是“时间节点”的重要性。我们的保密检查一直以“飞行检查”的形式开展,这样虽然能够促进保密检查工作的常态化发展,但对检查问题的整改复查及检查的覆盖面的要求相对弱化一些。为解决这一问题,我们采取了“飞行检查”与“定时定点检查”相结合的方式。“定时”即对于已经查出来的问题,除了进行处罚之外还给出了整改复查时间节点,“定点”即将检查覆盖面扩大,定为全体涉密人员(含七类人员)人数的10%以上,此举对于保密检查的全闭环式管理非常有利。
5 结束语
依托SMART原则的质量改进成果在保密检查工作中取得明显成效,大幅度降低了保密检查质量问题的发生率。由于保密检查所面对的工作局面涉及人防、技防、物防多个层面,故保密检查的手段、形式和内容还需不断延展和深入。我们将不断开展保密管理的系统性研究,培养保密管理人员队伍的技能,切实提高保密检查的可信度和影响力。
摘要:保密工作是涉密科研生产单位的立身之本,而随着保密工作的技术含量越来越高、越来越复杂,将先进的管理理论体现和应用在保密工作中十分必要。保密检查作为监督保密工作落实情况的重要手段,虽然有关武器装备科研生产单位保密标准对其有一定要求,然而一段时期以来,我们的保密检查工作存在着要求不理解、执行不落实的现象,流于形式的保密检查对保密监督管理无益。目标管理理论是由美国管理学大师Peter Drucker于20世纪50年代提出的经典理论,SMART原则是该理论的核心原则。笔者所在部门从保密检查的工作质量着手,在对大量保密检查结果进行数据分析的基础上,找出其存在的短板和不足,运用SMART原则制定针对性的解决措施,以此提升保密检查的科学性和规范性。
安全保密检查 篇4
定期检查制度
为加强计算机模块考试管理,提高考试质量,保证广大考生公平、公正原则,依照<专业技术人员计算机应用能力考试考务工作规程>要求,积极推行考试安全保密第一责任人制度,以强化考试安全保密和安全监督定期检查的第一把关人,确保考生切身利益。
一、考试安全保密第一责任人制度
1、在计算机模块考试中,考试科科长为考试安全保密的工作人员,担任“考试安全保密第一责任人”,使其对考试安全保密管理工作层层分解落实到每一个环节,每一个人员,并建立健全相关制度。
2、实行“考试安全保密第一责任人”签字制度,要求责任人对每一个环节必须把关签字。
3、对“考试安全保密第一责任人”建立电子档案,并签订“责任书”,明确管理目标,管理职责,确实把计算机模块考试安全保密责任落实到位。
二、安全监督定期检查制度
1、要做好安全预防工作,把事故消灭在萌芽阶段,考点应每月组织一次大检查。安全检查工作应对管理现场严查,发现安全隐患及时处理,还要对管理基础工作进行检查,做到管理有记录、有痕迹,要善于发现问题及时解决。
2、明确职责,健全制度,全面落实考点安全工作领导责任制和责任追究制。安全责任重于泰山,切实抓好安全工作,明确职责,完善制度,全面落实领导责任制和责任追究制,层层落实责任,签订安全责任书,做到各司其职,共同抓好考点安全工作。
数据信息安全保密技术研究 篇5
1 保密技术对数据信息安全的重要性
保密技术是企业为获得自身利益和安全, 将与自身发展密切相关的信息进行隐藏的一种手段, 随着互联网的快速发展, 企业信息的保密也越发重要。保守企业秘密是指严格按照有关经济法律和企业内部的规章制度, 将涉及信息和涉密信息的载体控制在一定的范围之内, 限制知悉的人员, 同时也包含了企业自身或内部员工保守秘密的职责, 并以此采取相应的保密活动。通常情况下, 属于保密范畴的信息, 都应当明确内容, 并规定相应的期限, 在此阶段内, 保密主体不能够擅自改变, 并且其知悉范围是通过强制性手段和措施来实现控制的[1]。
企业为防止关乎自身利益的秘密被公开, 对自身的信誉和形象造成损失, 需要对这些数据信息进行保密, 并将一些重要信息列入所实施的保护行为中。在信息大爆炸时代, 数据信息安全保密能够保障社会的健康、有序发展, 同时还能够推动各个企业的持续进步。而如果企业中重要的数据信息被泄露或者遭到恶意破坏, 会直接影响企业的经济安全, 甚至会导致企业经济瘫痪。
2 数据信息安全保密技术类型
2.1 口令保护
对数据信息设置口令是数据信息安全的基础保障。在对数据保密信息设置安全保障的过程中, 可以先根据计算机技术设置登录密码, 并确保密码的复杂性, 如字母与数字混合、大小写字母与数字混合等, 以免被黑客破解。如果有提示密码可能被盗的消息, 则应当及时辨别消息的真实性, 并登录到安全中心重新设置密码, 从而确保数据信息登录的安全性和可靠性。
2.2 数据加密
在信息的存储及传输过程中有一个重要的手段, 就是对数据进行加密, 这样才能够保证数据信息的安全性, 从而提升信息保密的抗攻击度。所谓数据加密, 主要是指根据较为规律的加密变化方法, 对需要设置密码的数据进行加密处理, 由此得到需要密钥才能识别的数据[2]。加密变化不仅能够保护数据, 还能够检测数据的完整性, 是现代数据信息系统安全中最常用也是最重要的保密技术手段之一。数据加密和解密的算法和操作一般都由一组密码进行控制, 形成加密密钥和相应的解密密钥。在数据信息传输的过程中, 可以根据相应的加密密钥, 加密数据信息, 然后根据解密密钥得出相应的数据信息。在此过程中, 大大保障了数据信息的安全, 避免被破解。
数据加密主要是指根据加密算法E和加密密钥Ke, 将明文X变换成不容易识读的密文Y, 记为:Y=EKe (X) 。
数据解密主要是指根据解密算法D和加密密钥Ka, 将密文Y变换成为容易试读的明文X, 记为:X=DKd (Y) 。
2.3 存取控制
为保证用户能够存取相关权限内的数据, 已经具备使用权的用户必须事先将定义好的用户操作权限进行存取控制。在一般情况下, 只要将存取权限的定义通过科学的编译处理, 将处理后的数据信息存储到相应的数据库中。如果用户对数据库发出使用信息的命令请求, 数据库操作管理系统会通过对数据字典进行查找, 来检查每个用户权限是否合法。如果存在不合法的行为, 则可能是用于用户的请求不符合数据库存储定义, 并超出了相应的操作权限, 这样则会导致数据库对于用户的指令无法识别, 并拒绝执行。因此, 只有在采取存取控制保护措施下, 数据库才能够对发出请求的用户进行识别, 并对用户身份的合法性进行验证。同时还需要注意不同用户之间的标识符都具有一定差异, 经过识别和验证后, 用户才能够获取进入数据库的指令, 以此确保数据信息的安全性, 为用户提供一个良好的数据应用环境。
系统在对用户身份进行识别和验证后, 还需要对用户的输入信息进行分辨。如果用户的数据信息符合数据库信息应用要求, 则允许其对数据库中的资源进行共享, 这样不仅能够确保各个用户的数据应用需求, 同时还能够保证数据库信息的安全性。对于登录数据库的用户一般被分为以下四种类型:一是特殊用户, 也就是系统的管理人员, 具有较高级别的特权。特殊用户能够任意访问系统的资源, 并且具有全部的操作能力。二是一般用户, 对于数据库的访问受到一定限制, 系统管理员会对用户的指令进行分辨处理。三是指审计用户, 系统管理员应当对数据库内的资源使用情况及安全控制情况进行分析和统计。四是指作废用户, 一般为非法用户, 被系统拒绝访问。
2.4 其他技术措施
出现的计算机犯罪行为, 大多是为得到数据库信息而攻击数据库。而导致数据库信息泄密的主要因素就是计算机病毒, 它不仅入侵计算机系统, 同时还会导致计算机因出现病毒而无法使用[3]。很多计算机病毒能够篡改、复制和窃取数据信息, 从而造成泄密。计算机病毒能在计算机上自动运行, 并且隐藏在系统内存中创建进程。应安装和使用安全软件对U盘病毒进行彻底查杀, 并对计算机进行保护, 如对系统进行安全优化, 定期进行体检等。对于插入计算机的光盘或U盘等外来硬件, 则应当首先进行扫描处理, 以避免病毒入侵。此外, 还可在Windows系统中点击运行 (R) , 在弹出的对话框中输入gpedit.msc命令, 在弹出的组策略窗口中依次点击“计算机配置”、“管理模块”、“系统”、“关闭自动播放”即可。其中“计算机配置”中的设置优先, 并且不阻止自动播放音乐CD。
3 增强数据信息安全保密技术
3.1 数字签名技术
在计算机网络通信中, 经常会出现一些假冒、伪造、篡改的数据信息, 对企业应用数据信息造成了严重影响, 对此, 采取相应的技术保护措施也就显得非常重要。数字签名技术主要是指对数据信息的接收方身份进行核实, 在相应的报文上面签名, 以免事后影响到数据信息的真实性[4]。在交换数据信息协议的过程中, 接收方能够对发送方的数据信息进行鉴别, 并且不能够出现否认这一发送信息的行为。通过在数据签名技术中应用不对称的加密技术, 能够明确文件发送的真实性, 而通过解密与加密技术, 能够实现对数据信息传输过程的良好控制, 以免出现信息泄露的情况。
3.2 接入控制技术
接入控制技术主要是指针对用户所应用的计算机信息系统进行有效控制, 实现一般用户对数据库信息的资源共享, 这是避免非法入侵者窃取涉密信息的另一关卡。对于需要密切保密的数据信息库, 用户在访问之前应当明确是否能够登陆, 及登陆之后是否涉及保密信息, 以加强数据信息控制。在对绝密级信息系统进行处理时, 访问应当控制到每个用户。在系统内部用户非授权的接入控制中, 任意访问控制是指用户可以随意在系统中规定的范围内活动, 这对于用户来说较为方便, 而且成本费用也比较低廉。但是此种做法的安全性较低, 如果有用户进行强制访问, 势必会导致外来信息入侵系统。对此, 采用强制访问方法能够有效避免非法入侵行为, 虽然安全费用较大, 但是安全系数较高[5]。
3.3 跟踪审计技术
跟踪审计技术主要是指对数据信息的应用过程进行事后的审计处理, 也就是一种事后追查手段, 对数据系统的安全操作情况进行详细记录。通过采用此种技术, 如果数据库系统出现泄密事件, 能够对泄密事件的发生时间、地点及过程进行记录, 同时对数据库信息进行实时监控, 并给出详细的分析报告, 以保证数据库系统的可靠性。跟踪审计技术可以分为好几种类型, 如数据库跟踪审计、操作系统跟踪审计等。这些技术的应用及实施, 能够加强对数据库信息的安全限制, 以免再次出现病毒入侵的情况。
3.4 防火墙技术
防火墙技术主要是指对计算机网络的接入进行有效控制, 如果有外部用户采用非法手段接入访问内部资源, 防火墙能够进行识别并进行相应的反击处理, 从而将不良信息隔在网络之外。防火墙的基本功能是对网络数据信息进行过滤处理, 同时对外来用户的访问进行分析和管理, 拦截不安全信息, 将网络攻击挡在网络之外[6]。
网络防火墙所采用的技术措施不同, 可分为四种类型: (1) 包过滤型技术。该技术是分组交换技术在网络中的应用, 将数据分割成一定大小的数据包后, 在每个分组包含一定信息的情况下, 防火墙一旦发现来自危险站点的分组包, 就会自动选择丢弃。这种技术的优势是成本较低, 并且能够进一步加强数据库系统的安全保障。但也存在一定的缺点, 就是对于应用层的恶意侵入信息无法有效识别。 (2) 网络地址转化。网络地址转换技术的应用允许具有私有化的IP地址的内部网络访问因特网, 在内部网络通过安全网卡访问外部网络时, 将会产生映射记录, 系统将外出的源地址和源端口映射为一个伪装的地址和端口, 该地址和端口通过非安全网卡与外部网络相连接。这样, 虽然通过非安全网络, 但隐藏了真实地址。防火墙根据事先定义好的映射规则检测请求访问的IP地址的安全性, 符合规则的则会接受访问请求。 (3) 代理型防火墙技术。它的安全性比包过滤技术要高很多, 能够完全阻挡客户机和服务器之间的数据交流。代理服务器根据客户机的请求向服务器索取数据, 然后由代理服务器传回, 内部网络系统很难遭到外部的恶意侵害。 (4) 监测型防火墙技术。它与传统防火墙技术有本质区别, 此种技术措施不仅能够对各个层次的数据信息进行检测和存储, 同时还能够对这些数据信息进行分析和过滤, 以避免出现非法侵入。同时能够检测网络外部的攻击, 还能对来自内部的恶意破坏进行有效防范。
3.5 数据信息安全保密人才的培养
人才是技术的载体和关键, 企业要想应用数据信息安全保密技术, 应当注重人才的培养, 以适应信息化背景下保密工作的高要求。可对有关技术人员进行短期集中训练, 训练工作要重点突出, 并且具有一定的针对性。为技术人员提供进入院校进修的机会[7]。技术人员应注意总结经验和提高个人素质, 根据工作需要和个人实际情况, 充分利用有效资源和条件进行学习, 将所学理论知识和实际工作进行有效结合。
4 结语
对数据信息进行安全保密管理是信息安全的关键, 也是安全管理的核心。随着现代科学技术的不断发展, 信息化条件下的保密工作和传统的保密工作已经有了截然不同的特点。因此, 在未来的发展过程中, 对于数据信息的安全保密显得更加重要, 需要进一步改进相关技术, 需要企业不断努力。
摘要:数据信息安全保密技术是保障数据信息化水平和信息能力的基础, 也是保障企业经济利益的基础。随着计算机技术的广泛应用, 信息安全保密管理的对象、范围、手段、方式等都发生了很大的变化, 安全保密技术的要求, 难度也不断加大。本文将对数据信息安全保密技术进行详细研究。
关键词:数据信息,安全技术,保密技术
参考文献
[1]杨通胜, 徐芳萍.数据信息安全保密技术浅析[J].计算机与网络, 2012, 08 (05) :55-57.
[2]胡鑫.公共部门在发展电子政务中的信息安全保密管理对策研究[D].内蒙古大学, 2011, 08 (12) :156-157.
[3]周瑾, 杨倩.构建海洋科研机构信息安全保密技术防范体系[J].信息系统工程, 2012, 09 (03) :68-69+50.
[4]罗滦.档案信息“三轴四维能力”安全保障体系研究[D].浙江大学, 2013, 06 (05) :108-109.
[5]柳琰.信息安全专家眼中的保密科技与发展——访北京邮电大学信息安全中心主任杨义先教授[J].保密科学技术, 2011, 04 (10) :116-118.
[6]宋文江.基于电子签章技术的电子政务系统设计与实现[D].电子科技大学, 2013, 03 (08) :157-158.
浅析部队网络安全保密价值 篇6
关键词:部队,网络安全,保密,价值
0 引言
随着网络技术的普及发展和广泛应用,互联网已经成为大众生活离不开的工具,经济、文化、军事和社会活动都强烈地依赖于网络。中国网民人数达4.85亿,互联网普及率达36.2%,网络在带给人们工作生活快捷、便利、高效的同时,互联网上渗透与反渗透、破坏与反破坏、窃密与反窃密的斗争日趋激烈,网络安全保密已成为事关国家安全、经济发展、社会稳定和军事斗争成败的重大战略性课题。
1 部队网络安全保密工作的现状
1.1 网络安全保密工作,各级领导高度重视,措施得力,防范技术不断完善,官兵警惕性高、意识性强,网络安全保密工作成效显著。
1.2 网络安全保密工作存在的主要问题。
1.2.1 人员失泄密是失泄密问题的主体
无意识泄密。主要表现为“无知”。有些同志对安全保密工作面临的复杂严峻形势认识不足,重视程度不够,忽视了对保密规定和安全保密常识的学习,缺乏对网络保密常识的了解,缺少基本的防范技能,在工作中出现了不知不觉泄密现象。违规失泄密。主要表现为“妄为”。有些同志对有关保密规定熟记于心,却并不落实到行动中。凡事只图个人方便,把有关法律规定抛之脑后,上级和有关规定明令禁止的行为,偏要以身试法,认为不会出事。对保密制度的漠视、侥幸心理的存在和违规操作,是发生失泄密的主要原因。故意出卖秘密。主要表现为“变节”。极个别人员由于受不良信息侵蚀,理想信念发生动摇,丧失革命气节,经不住金钱私利诱惑,主动向敌特提供军事情报。尽管这部分人很少,但对国防和军队建设影响极为恶劣,也是防范网络失泄密的难点问题。
1.2.2 网络窃密是失泄密问题的手段
病毒窃密。所谓病毒窃密,就是将具有特定功能的“木马”程序隐藏在正常的软件、邮件和图文资料中,安插到用户的信息系统中。当用户信息系统出现敏感信息时,“木马”程序便会自动收集打包将信息秘密发往指定地址。“后门”窃密。“后门”技术是一种可以绕过安全控制而直接获取对程序或系统访问权的方法。程序员为了修改程序和调取数据方便,常会在软件内创建“后门”。窃密人员正是利用“后门”技术,使上网涉密计算机和电子储存介质在不知不觉中受其控制,从而窃取机密。“黑客”攻击窃密。黑客利用当前操作系统、网络协议和数据库自身设计缺陷,以及人为因素产生的各种安全漏洞,采取侵入、访问与控制等方式,对涉密计算机和存储设备发起网络攻击,收集、修改有关涉密信息和资料。网络互动窃密。窃密人员通过伪装成普通网民,采取聊天交友、招聘工作、论坛或博客发帖等方式,引诱上网涉密人员暴露身份或使知情者发布敏感信息。有的甚至直接在网上明码标价收购涉密信息。
2 网络失泄密问题的主要原因
2.1 思想认识不到位
2.1.1 敌情观念淡薄
有些同志对网络窃密与反窃密斗争的尖锐性、复杂性认识不足,对网络窃密的手段、方法及途径了解掌握不多,缺乏基本的防范常识和技能,存在严重的侥幸心理,总认为互联网时代信息透明、公开,自己职务层次低、工作岗位普通,没有掌握什么核心机密,感到“无密可保”,缺少起码的防范意识。
2.1.2 认识过于片面
有些同志认为网络窃密都是高技术方面的问题,自身无力解决,该由技术部门管,不愿投入精力学习掌握有关知识,过分依赖技术部门的保障,造成了网络安仝工作无法形成齐抓共管的局面。
2.1.3 网络安全摆位不正
有些同志认为加强网络安全就是高投入进行网络基础建设,只要花钱就能买来应有的安全,忽视了网络建设中配套的管理工作。对管理工作中发现的问题不是主动解决,而是被动应付,甚至直接采取关闭网络系统,禁止使用的方法。
2.2 制度落实不严格
有的同志把保密法规制度只是挂在嘴边、贴在墙上、记在本里,我行我素,时时搞变通,处处打折扣,没有用有关规章制度来规范网络安全秩序,约束自身的言行,使得各种规章制度形同虚没。有的单位缺乏“保密就是保胜利,保密就是保打赢”的危机意识,把网络安全保密当作负担,工作缺乏主动性,想起来抓一抓,上级督促时抓一抓,出了问题抓一抓,只求过得去,不求过得硬。有的单位抓网络安全保密工作态度消极,韧劲不足,不是结合实际谋长远打基础,而是挖空心思考虑应付检查,经常是检查前突击,检查时投机,检查后着急,过后问题依旧,没有形成常抓不懈的局面。
2.3 防护体系不完善
2.3.1 硬件建设滞后
各级硬件基础设施投入水平参差不齐,呈现出由上至下越来越差的状态,基层终端网络硬件更新很难跟上网络时代快速升级换代的速度。同时,网络建设与保密建设缺乏统筹规划,发展不够协调,存在“先建设、后防护”、“重使用、轻管理”等错误倾向。
2.3.2 技术创新缓慢
缺乏自主研发网络软件的技术支撑,诸如操作系统、数据库、网管软件等都来自国外,存在大量的安全漏洞,极易被侵入导致瘫痪。使得网络安全性能大大降低,网络处于被窃听、干扰、监视和欺诈等多种安全威胁中,网络安全处于极脆弱的状态。
2.3.3 专业人才匮乏
网络安全专业技术人才匮乏是制约网络安全发展的现实课题。在我军现有序列内.缺乏计算机网络安全保密专职机构和专业技术人员队伍,网络管理人才特别是应用型技术人才更为稀缺,造成在日常工作中指导部队的能力明显不足。
3 网络安全保密在军队和国防建设中的价值
3.1 是保证队纯洁巩固的需要
随着国际斗争形势的日趋尖锐复杂,西方敌对势力和境内反动势力相勾结,千方百计地对我军进行渗透、瓦解和腐蚀等活动,妄图改变我军的性质,使之成为他们推行“和平演变”的工具。他们想方设法联络与部队有各种关系的人员,图谋通过他们发展与军内人员的联系。他们将我军作为渗透、策反、窃密的重要目标,把渗透的触角伸向部队,大肆进行情报窃密活动,结交拉拢我军官兵,给我们军队的纯洁巩固带来了危害。部队发生的失泄密问题虽发生在极个别的人身上,但对国家和部队的安全带来了严重威胁和现实危害,造成了很坏的政治影响。因此,教育官兵牢固树立国家安全意识和敌情观念,保持清醒的头脑,有效的做好防止失泄密工作,是保证我军政治上、组织上纯洁巩固的一项重要措施。
3.2 是“打得赢”的基本保证
保守军事秘密是军队建设健康发展的基本条件,是提高部队战斗力的重要保证。随着科学技术的高速发展,高技术将越来越多的用于军事装备,战争的规模与性质已发生了深刻的变化,战场上窃密与反窃密的斗争将更趋残酷和复杂多变。在未来战争中,大量重要的军事信息需要网络来传递,利用网络进行窃密、渗透、策反会是敌对势力重要手段。“打得赢、不变质”是我军面临的两大历史性课题,信息化条件下“保密就是保打赢”这对我们的防失泄密工作提出了新的更高的要求。因此,我们必须加强保密意识,要切实采取有效措施,防止核心机密、重要情报和涉密资料的泄露,来为“打得赢”服务。
3.3 是新时期预防工作的基本要求
基层保卫工作的重点在预防,而防止政治性问题的发生是预防工作的重中之重。随着西方对我一次次颠覆活动的破败,他们已将“和平演变”推向了更加重要的历史舞台,把窃密工作作为他们进一步进行破坏活动的重要手段。冷战结束后,西方敌对势力针对我国的窃密活动更加猖獗,已把我军的一些重点要害部位列为搜集情报的重点对象和主要目标;手段更加复杂,他们不断的采取思想渗透、物质利诱、色情勾引等来套取、搜集情报。这对我们做好预防工作,提出了更高的要求。
3.4 是军队建设顺利进行的重要条件
信息是支撑国家政治、经济、军事和科技的重要战略资源,信息安全保障工作在平时的军队建设过程中,发挥着十分重要的作用。搞好信息安全保障建设,才能有效应对信息安全威胁,确保信息的保密、完整、真实、可信、可控,提高信息系统的建设和使用效益,保证军队建设的顺利实施。近年来,发达国家军队正投入巨大的人力、物力、财力,组建信息作战机构和力量,加紧信息进攻与防御技术装备的研制。例如,美军新成立了网络战司令部,积极研究和开发各种计算机病毒、计算机病毒探查、高强度密码等信息攻防技术,通过计算机网络截获、利用、篡改、破坏对方的信息,利用虚假信息或病毒来影响对方的信息与信息基础设施。
3.5 是锻炼提高网络人才队伍的基本途径
打赢未来信息化战争需要大批高素质的网络专业技术人才,做好网络安全保密工作,防范网络失泄密、提高应对网络窃密的本领,是提高网络人才队伍素质的重要途径。
参考文献
[1]王春明.军队在信息化建设过程中的网络安全浅析[J].电脑与电信.2009(05).
[2]卢磊.浅议消防部队计算机网络安全问题[J].科技传播.2011(08).
通信安全认证与保密协议研究 篇7
安全认证与通信保密是紧密相连, 密不可分的。以密码技术为基础的认证技术提供了辨认真假机制, 在计算机系统、网络环境中得到广泛应用。而通信保密是为了确保在开放网络中传输数据的隐私性。
通信保密不仅取决于加密算法本身的安全强度, 更取决于安全的密钥分配方案。密钥分配协议分为两类:第一类是密钥由一个可信任的第三方 (TTP) 单独产生并分配给各个用户;另一类是密钥由通信各方共同协商产生。
2 安全认证研究分析
2.1 身份认证技术
身份认证是信息安全的第一道防线, 一个人想要进入一个安全系统获取信息, 首先必须向系统证实自己的合法身份, 才能得到授权访问系统资源。这一过程就是身份认证。身份认证在安全系统中的地位极其重要, 是最基本的安全服务。在实际应用中, 受黑客攻击最多, 而且黑客得手最多的就是身份认证。所以, 身份认证技术的研究至关重要。
一般说来, 身份认证有三种:根据约定的口令进行身份认证;采用智能卡进行身份认证;根据人的生理特征, 比如指纹、脸型、声音等进行身份认证, 这种方法要求使用诸如指纹阅读器, 脸型扫描器, 语音阅读器等价格昂贵的硬件设备。同时, 由于验证身份的双方一般都是通过网络而非直接交互, 所以该类方法并不适合于在诸如Internet或无线应用等分布式的网络环境。 (1) 基于口令的身份认证方法, 在远程登录, 安全数据库访问, 电子支付, 电子商务等许多基于网络的应用中, 都需要对用户身份的合法性进行识别。基于口令的身份认证方法是最常用, 也是行之有效的一种方法该。方法有两个弱点:①服务器端存放的用户明文口令表一旦被盗窃, 则系统中所有用户的口令均不安全, 将会给系统带来难以估量的损失;②不能抵抗重传攻击, 即攻击者可以中途截获用户的口令信息, 以后使用该口令信息冒充合法用户进行登录请求, 从而给系统安全带来威胁。 (2) 基于智能卡的身份认证方法, 上述的基于口令的身份认证技术的优点是不需要附加的硬件设备, 比较容易实现。但它的缺点也非常明显:用户与服务器之间要经过数次通信才能完成识别过程。另外, 虽然服务器端不直接存放用户明文口令, 但仍然要存放与用户口令有关的一些信息, 给系统的安全性造成一定的隐患。
2.2 数字签名
数字签名是实现网络应用中身份认证、数据完整性保护和反拒认的基础。目前对数字签名的研究已经非常深入。根据不同的具体应用, 出现了许多专用的数字签名方案。比如, 在电子选举、电子支付系统中有广泛应用的盲数字签名, 以及失败-终止数字签名, 不可否认数字签名, 指定的确定人签名, 代理签名以及群签名方案等。这里以群签名方案为例, 简单分析如下, 群签名方案允许群中的任何合法成员代表整个群体对一个消息进行签名, 而签名的验证者只需要知道该群体的唯一公钥, 就可以验证签名的有效性。一般说来, 一个群签名方案有以下特点: (1) 只有群中的成员才能代表群签发消息; (2) 签名的接收者可以验证签名的合法性, 但不能确定它是群中的哪一位成员产生的; (3) 当产生纠纷时, 通过群权威或群中部分成员的合作, 可以查出签名者的身份。
2.3 电子证据与反拒认技术
在现实的商业交易活动中, 人们常常借助于票证 (合同、发票等) 来解决交易中出现的争议和纠纷。与此类似, 电子商务也必须具备这一机制, 能够为交易双方提供足够的证据, 以便在产生纠纷时仲裁机构可以利用这些证据来解决纠纷。则系统必须为收发双方提供收发数据的不可否认性验证。要达到此要求, 就必须通过电子证据与反拒认技术来完成。反拒认就是为了保护事务的参与者, 以防止不诚实者否认参与了某项事务, 从而拒绝承担相应的责任。拒认存在两种可能:发送者拒认和接收者拒认。发送者拒认是指发送者否认自己发送过某一消息。接收者拒认是指接收者否认自己接收过某一消息。借助于数字签名, 解决发送者拒认比较容易。然而, 解决接收者拒认问题却要复杂的多。在设计反拒认协议时, 必须要保证发送者和接收者所处地位是公平的, 也就是说反拒认协议运行的每一个阶段, 发送者和接收者都不比对方更占优势;当协议运行完毕, 每方都拥有对方的反拒认证据。
2.4 公钥证书
公钥证书有时也称为“数字ID”或“数字证明”。如果甲、乙两方通过Intemet获得各自的公开密钥, 他们必须对这些密钥进行认证。甲方不能简单地向乙方询问其公开密钥, 因为在网络上可能存在非法的第三方截获甲方的请求, 并发送他自己的公钥。
3 通信保密协议安全问题分析
3.1 通信保密协议概述
由于国际互联网络的开放性和不安全性等特点, 用户间数据的安全传输变得格外重要。用户间的秘密通信不仅取决于加密算法本身, 更取决于安全的密钥分配方案。加密算法的研究相对较为成熟。为了减少用户的计算负荷和通信时间, 一般使用对称密钥对通信数据进行加密, 这就要求用户间共同拥有一个对称密钥, 该密钥又称为会议密钥。如何有效、安全地分配会议密钥, 已经引起密码学家的高度重视。一般地, 密钥分配协议分为两类:第一类是“集中式”密钥分配协议, 即密钥由一个可信任的第三方 (TTP) 单独产生并分配给各个用户, 该类协议的特点是协议设计简单, 但不足之处是过分依赖可信任的第三方, 容易受到攻击者的集中攻击, 且可能给TTP带来计算量和通信。量过大的“瓶颈”问题;另一类是“协商式”密钥分配协议, 即会议密钥由通信各方共同协商产生。目前, 许多研究均集中在这一方面。
3.2 Diffie-Hellman算法
Diffie-Hellman算法是第一个公钥算法, 其安全性是基于有限域上计算离散对数的困难性。Diffie-Hellman算法非常适合于密钥协商。
假设n是一个大素数, g是Zn上一个本原元, 通信实体A、B分别选择一个大随机数x和y。协议如下:
(1) A→B:X=gxmodn
(2) B→A:Y=gymodn
(3) A计算:K=Yxmodn
(4) B计算:K=Xymodn
3.3 多用户间密钥协商协议研究
Diffie-Hellman协议是一个经典的有两个通信实体参与的密钥协商协议, 但它并不适合于多用户的情况。Becker和Wille提出了两个具有不同拓扑结构的密钥协商协议, 即“超立方体”密钥协商协议和“章鱼”密钥协商协议。Burmeste等人提出了一个“树型”密钥协商协议, 这三个协议均适用于多用户间的密钥协商。但是, 它们拓扑结构过于复杂, 实用性不强。M.Steiner等提出了三个密钥协商协议, 这些协议推广了Diffie-Hellman方案, 即把两个通信实体扩展到多个。M.Steine:等提出的三个协议拓扑结构均为线形的, 结构简单, 有较强的实用价值。其中, GDH.1是为了说明设计思想而提出的一个协议, 计算负荷和通信负荷均较大。GDH.2和GDH.3侧重点不一样, 前者主要希望能尽可能地减少协议执行过程中的通信负荷, 而后者则希望能尽可能地减少协议执行过程中的计算负荷, 并对其中最重要的一个协议GDHZ进行分析, 指出其中的安全隐患 (该类攻击同样适用于GDH.3) , 并提出了一个新的会议密钥协商协议M-GDH.2。该协议在没有明显增加计算负荷和通信负荷的情况下, 安全性较GDH.2协议有很大提高。
4 结语
信息的安全性主要有两个方面, 即信息的保密性和认证性。安全认证主要包括身份认证、数字签名、公钥证书以及电子证据与反拒认机制等。身份认证在安全系统中的地位极其重要, 是最基本的安全服务。所以, 身份认证技术的研究至关重要。数字签名用来确保数据真实性和完整性, 是安全认证的一个热点问题, 群签名技术由于在电子投标、电子支付系统中的特殊用途而备受关注。电子证据与反拒认机制是最重要的网络安全认证服务之一, 在信息处理系统和电子商务领域有着广泛的应用, 主要是在通信双方发生纠纷时进行公正仲裁。通信保密是信息安全技术的另一个重要方面。秘密通信的核心问题是如何有效、安全地分配会话密钥。
摘要:随着信息技术分速发展, 目前通信网络受到的安全威胁也愈加明显, 有效地保护重要数据信息, 即提高通信网络的安全性已经成为一个迫切任务。分析了基于密码技术的几个关键认证问题, 即身份认证技术、群数字签名、电子证据与反拒认机制等, 也分析了通信保密协议安全。
关键词:信息安全,身份认证,数字签名,通信保密
参考文献
[1]傅伟玉, 网络安全防范技术探讨[J].济南职业学院学报, 2009, 01.
浅谈信息安全保密的主要对策 篇8
1 筑牢“防火墙”意识, 加强信息安全保密教育
首先, 观念上转变是信息安全保密教育的前提。在抓好高技术信息安全保密的新形势下, 保密工作的思路要从单纯地“保”转变到“保放结合, 确保重点”上来, 切实做到该保密的能够保住, 严防死守;保不住也无需再保的, 应大胆放开, 以适应国家经济建设、社会发展对信息的需求。保密工作的重点, 不仅只注重抓常规保密工作不放松, 还要做到信息安全保密管理能过硬。保密管理方式, 要从以行政管理为主的传统方式转变到行政管理与技术防护相结合的方式上来。同时要把有形的技术网与无形的思想网结合起来, 多管齐下, 形成思想、技术、管理三位一体的联防“网络”。其次, 内容上求新是信息安全保密教育的关键。新形势下保密教育应突出高科技发展的特点, 增加高科技知识含量, 调整、充实、完善保密教育知识体系, 提供适应形势发展的保密工作新教材, 使保密宣传教育具有时代性、针对性和前瞻性。应针对计算机网络技术含量高的特点, 大力普及计算机网络安全保密知识, 在基本常识、操作程序、防护手段、应急措施上下功夫, 实现所学知识向能力方面的转化。最后, 效果上求实是信息安全保密教育的根本。人是网络安全保密工作的主体, 搞好网络安全保密工作, 首要是做好人的工作, 把“防火墙”建在大家头脑中, 不断增强做好保密工作的自觉性。改变只注重教育上了多少课, 文件学过了多少个的现象, 把教育的实效定位在高技术条件下保密知识多与少, 保密意思的强与弱, 泄密事件有与无的标尺上。不断探索新形势下保密工作的特点和规律, 研究和解决保密工作面临的新情况、新问题, 切实在增长知识、强化意识、提高技能上下功夫。
2 锻造安全卫士, 加强信息安全保密人才队伍
首先, 人才建设至关重要。高技术条件下的窃密与反窃密斗争, 既是技术的较量, 又是管理的较量, 但归根到底是人才的较量。现如今, 国家机密已经不只是以红头文件的形式存在, 还大量存在于声、光、电、磁之中。面对新形势, 信息安全必须要有新的发展, 从重点抓一般条件下的保密转到重点抓现代技术的保密上来, 必须建立和培养一支掌握现代技术的高素质人才队伍。其次, 树立新的人才观念。新的历史时期, 信息安全工作的内容和方式正逐步向技术含量较高的专业性发展。因而, 信息安全人才就必须具有时代特征:复合性标准, 即政治思想要强, 知识结构要新, 具有较高的综合素质;适应性标准, 即对任职岗位、突发性情况要有很强的适应能力;创新性标准, 即针对信息安全保密工作的复杂性、多变性和不可预测性具有创新意识。最后, 大力培养高素质人才。抓信息安全人才建设, 既要坚持“人才共享”的原则, 又要始终以本单位人才的培养提高为主体。通过以老带新、对外交流的方式使人才在工作岗位上不断实践, 提高实际工作能力。要瞄准强敌, 加大信息技术的科技含量, 使受训人员熟悉和掌握信息安全保密的专业知识和专业技能, 更好地胜任本职工作。
3 坚持同步建设, 加强信息安全保密防护体系
关于航天网络信息安全与保密探讨 篇9
1.1 恶意攻击
认为的恶意攻击其实是具有一定故意性的。主动和被动是恶意攻击中所划分出的两种内容。所谓主动攻击, 就是选择各种方式, 将信息破坏掉, 例如, 修改、删除、伪造、添加、重放、乱序、冒充、病毒等;所谓被动攻击, 就是对于网络信息系统的正常各种不会产生任何影响, 进行窃取、截获、破译、业务流量分析和电磁泄漏。
1.2 安全缺陷
计算机技术和通信技术相结合, 就是网络信息系统。在网络信息系统安全隐患的出现中, 计算机系统中存在的缺陷和通信链路的安全缺陷都起着决定性的作用。自然和人为对于计算机硬件资源都能够产生很大的副作用;计算机病毒的侵扰以及非授权用户在软件资源和数据信息中都会产生严重的影响和损坏。计算机的正常工作, 都可能会受到计算机在运行时候的电磁辐射和软硬件的一些损坏。对主动攻击和被动攻击进行采取, 通信链路的信息就可以有所获得, 并且还会分发进入计算机获取一些机密性的信息。
1.3 软件漏洞
硬件和软件是组成网络信息系统的主要部分。因为软件程序具有一定的复杂性和多样性, 在网络信息系统软件中, 一些不容易被发现的安全漏洞就会残留在其中, 这样的话, 网络信息的安全和保密很明显就会受到软件漏洞的影响, 其中出现最为频繁的漏洞就是存在与操作系统、数据库、TCP/IP协议、网络软件和网络服务、口令设置中。
1.4 操作系统的安全漏洞
操作系统是硬件和软件应用程序之间接口的程序模块, 是整个网络信息系统的核心控制软件, 系统的安全体现在整个操作系统之中。操作系统的安全是深层次的安全, 主要的安全功能包括存储器保护、文件保护、访问控制、用户认证。
2 加强航天网络信息安全的对策
存在于航天计算机网络中的安全问题想要得到一定的解决, 最主要的就是要将计算机网络信息安全防护体系建立起来, 并且具有一定的完善性, 站在技术的角度上进行分析, 想要将使建立起来的网络安全解决方案具有完整性, 就需要通过总体对策得以实现, 站在管理的角度上进行分析, 网络安全管理制度的制定一定要具备可靠性。
2.1 技术对策
2.1.1 采用安全性较高的系统和使用数据加密技术。
美国国防部技术标准把操作系统安全等级划分为Dl, Cl, C2, B1, B2B3, A级, 安全等级由低到高。目前主要的操作系统等级为C2级, 在使用C2级系统时, 应尽量使用C2级的安全措施及功能对操作系统进行安全配置。对涉密信息在网络中的存储和传输可以使用传统的信息加密技术和新兴的信息隐藏技术来提供安全保证。在传发、保存涉密信息的过程中, 不但要用加密技术隐藏信息内容, 还要用信息隐藏技术来隐藏信息的发送者、接收者甚至信息本身。通过隐藏术、数字水印、数据隐藏和数据嵌入、指纹和标杆等技术手段可以将秘密资料先隐藏在普通的文件中, 然后再通过网络来传递, 提高信息保密的可靠性。
2.1.2 安装防病毒软件和防火墙。
在主机上安装防病毒软件能对病毒进行定时或实时的扫描及漏洞检测, 变被动清毒为主动截杀, 既能查杀未知病毒, 又可对文件、邮件、内存、网页进行实时监控, 发现异常情况及时处理。防火墙是硬件和软件的组合, 它在内外部络网之间建立起安全屏障, 过滤数据包, 决定是否转发到目的地。它能控制网络进出的信息流向, 提供网络使用状况和流量的审计、隐藏内部IP地址及网络结构的细节;可以帮助系统进行有效的网络安全隔离, 通过安全过滤规则严格控制外网用户非法访问, 并只打开必须的服务。同时, 防火墙可以通过时间安全规则变化策略, 以控制内网用户访问外网时间, 并通过设置
IP地址与MAC地址绑定来防止目的IP地址欺骗。更为重要的是, 防火墙所发挥的作用不仅仅只是使恶意攻击无法造成伤害, 而且对于网络内部的不良行为也可以发挥一定的屏蔽作用, 这样的话, 某些保密的信息想要在外部网络中活动是绝对不可能的。
2.2 管理对策
2.2.1 使思想教育得到强化, 并且要使
相关的制度得到广泛的应用, 这对于网络安全管理工作来讲石是尤为重要的。想要将航天网络安全管理工作做到位, 最重要的就是将人作为工作中的重点。航天企业员工对于相关法规文件和安全教材一定要有深刻的了解和掌握, 只有这样, 网络安全保密意识才能有一定的提升, 对于网络安全保密知识才会引起足够的重视, 使网络安全保密环境真正得到很好地完善。通过举办信息安全技术培训、组织专家到基层部门宣讲网络信息安全保密知识、举办网上信息知识竞赛等系列活动, 使广大航天企业员工牢固树立信息安全领域没有和平期的观念。
2.2.2 制定出来的信息安全管理制度一定要具有严格性。
对于信息安全管理机构来讲, 安全措施的确定一定要具有专业性, 方针、政策、策略的制定都是其中所包含的内容, 而且协调、监督、检查安全措施的实施;负责分配具体管理系统的工作, 包括信息安全管理员、信息保密员和系统管理员等。
2.2.3 确立安全管理的原则。
要让多人负责同一个项目, 其实也就是在开展各项安全相关活动的时候, 在场的人数一定要在2人以上;任期有限, 其实就是不管是什么样的人, 都不能长期负责安全相关的工作, 应该在一定时间内, 主动换人去负责, 例如, 计算机的编程与操作、秘密资料的传送和接收、操作与存储介质保密、系统管理与安全管理等工作职责应当由不同人员负责。
3 结语
总而言之, 对于网络来讲, 安全一直以来都发挥着重要的作用。只要网络存在, 风险也就会出现, 没有风险, 其实网络也就不会发挥应有的作用, 其中最主要的问题就是怎么样才能使两者之间达到平衡, 我们能够将技术、管理和法律充分地利用起来, 找到最合适的防范措施, 风险必定会得到一定的降低, 网络所能够发挥的效用也就会是最大的。
参考资料
摘要:本文针对网络信息安全中存在的威胁进行分析和阐述, 指出航天网络信息安全的对策。
关键词:网络信息安全,威胁
参考文献
[1]沈昌祥.关于加强信息安全保障体系的思考[J].计算机安全, 2002 (09)
[2]丁丽川, 曹晖, 王清标, 高峰.计算机网络信息安全探析[J].科技创新导报, 2010 (35)
[3]毛茫茫.浅谈网络环境中的信息安全技术[J].知识经济, 2010 (17)
