安全保密系统

安全保密系统（精选十篇）

安全保密系统篇1

1.1计算机信息的系统泄密的途径

通过计算机进行泄密的途径主要有三种 (1) 计算机的电磁波辐射会引起泄密, 因为任何一台电子机械在工作的时候都可能发出电磁辐射, 计算机在工作的过程中, 其显示器、主机、联接线以及键盘等都会发出不同程度的电磁辐射, 实验研究, 计算机如果在正常工作的过程中, 在一公里之外用设备都能将信息接收起来。 (2) 计算机的存储设备会引起泄密, 学校里很多学生信息需要重点保护, 计算机里的信息很容易被复制, 给窃密者带来了便利。此外这些存储过涉密的信息的设备, 如果使用之后没有及时的销毁, 会产生剩的磁效应也会引起泄密。 (3) 如果计算机连接网络会引起泄密, 联网之后, 计算机的泄密的几率开始大大增加, 所以窃密者如果在网络中的随意一条信道上或者终端、节点上进行截取, 就能够窃取整个网络传输的信息, 造成严重的泄密。

1.2计算机信息系统安全的主要内容

⑴实体安全

保障信息系统的安全首先要确保计算机系统的设备安全, 除去无法抗争的地震、战争、水灾等情况造成计算机的破坏以外, 计算机的系统要注意防电磁的辐射、防火以及防尘等。

⑵数据安全

在高校的信息部门的工作中, 要保证教务系统、资源管理系统、学院网站上的一些信息不会被非法的读取、删除、更改等, 但是数据共享又是计算机的信息系统中的重要特点, 为了解决这个矛盾, 一般会限制系统中的用户对于数据使用的权限, 系统在运行中如果有对数据文件的操作要求, 信息系统的软件会自身根据其使用的权限来检查, 对于越权的操作要坚决的杜绝, 来保证系统数据的安全性。

⑶软件安全

软件的安全是指软件中的防止篡改、防止复制、防止非法的执行, 对于计算机信息软件要首先运行其检测机构, 才能检测出系统中非法篡改信息的状况。

⑷运行安全

在计算机管理信息系统的运行中, 需要注意的有工作人员对于设备的维护和使用、信息系统自身的监督机构等。运行是否安全决定于是否有健全的信息管理体系以及工作人员的维护能力以及责任心。

二、计算机的信息系统的安全与保密的技术

2.1对于病毒的防治技术

对于计算机中的病毒处理采取的主要流程为:发现病毒-分析病毒-消灭病毒。在技术层面上来讲, 要在服务器之中装上相应防毒的模块, 那么在定期防治软件的过程中, 就要对计算机全面的检测, 或者采用安装插件的方式, 在网络的接口处安装上防毒的芯片。

2.2关于媒体介质的技术

计算机的信息系统之中, 能够泄露秘密的的媒介有磁盘、光盘、硬盘以及软盘等, 这些用来存储的介质不仅非常容易受到修改、破坏、窃取。甚至残留下来的信息还会重复出现。那么在计算机的信息管理之中必须要加强对于介质的管理。可以采取的措施有, 可以根据信息的特征、密级、重要性等来分类登记, 并且在介质的内部和外部分别做好标记, 然后根据秘密等级和重要分别存放。

2.3关于信道的隐蔽技术

这个隐蔽通常采用的是隐蔽宽带的方式, 在一秒之内所传输的信息量。消除掉信道可以在计算机的系统中尽量减少隐蔽性的信道, 在计算机的测试之中, 需要对信道测量, 保证计算机能够拥有审计的功能。

2.4关于数据库安全技术

计算机中的信息系统不安全, 在技术方法、安全要求之中都是相似的, 为了计算机系统能够运行正常, 就要对其实施必要的安全策略, 首先, 在技术应用方面可以通过身份认证、密钥口令、信息的传输、防止病毒感染、数据加密等措施来保证信息系统的安全, 其次, 在数据库的周边要设置警卫系统、报警警以及出入控制等。

三、保证信息系统安全和保密的措施

3.1物理措施

对于系统中的环境、数据库的工作区、计算机房、数据存储区等进行安全的保密措施。首先是采用信号线和电源线来安装性能较好的滤波器, 以减少导线和传输阻抗之间的耦合, 其次, 就是对于辐射进行防护, 恋情低辐射的计算机设备, 把设备的信息辐射降低到最小程度, 并且根据辐射量对计算机的主机或者机房进行屏蔽, 经检测合格之后, 再开机工作。再次, 就是依据电子的对抗原理, 将干扰器中产生的噪音与计算机产生的辐射一起向外, 对计算机产生的辐射信号进行干扰, 确保信息的安全。

3.2访问的控制技术

控制用户获取网络资源的权限, 通常用户入网的访问体系为:识别用户名-验证用户的口令-检查用户账号缺少限制。还可以控制用户组能够访问的目录、文件、子目录以及其它资源等。

在客户端进行防护, 要减少病毒感染的风险。对于信息传输要进行加密, 因为网络上的信息都是通过一些中介网站到达目的地的, 还可以配置安全的网络服务器、完善网络的安全管理等法师来减少安全漏洞。

参考文献

[1]孟茜浅析步密计算机信息系统的安全监控[J].田科技创新与应用, 2013 (14) :93

涉密系统安全保密方案篇2

1、涉密网安全的脆弱性是体制性的、多层次的、多范畴的，这种复杂性导致涉密网安全机制的复杂性。因此，解决涉密网的安全保密问题需要整体的解决方案。针对这种情况，论文设计了涉密网安全保密整体解决方案(TheWholeSolutionofSecret-relatedNetworkSafety：WSSNS)。

2、涉密网安全风险威胁分析

涉密网安全风险威胁分析涉密网安全风险分析的目的是明确涉密网可能存在的安全风险，从而为制定安全保密解决方案提供依据。涉密网安全风险与网络系统结构和系统的应用等因素密切相关，下面从物理安全、系统安全、网络安全、应用安全及管理安全五个方面进行分别描述。

2.1物理安全风险分析物理安全风险分析涉密网物理安全是整个网络系统安全的前提。物理安全的风险主要有：

(1)地震、火灾、水灾等自然灾害。

(2)设备被盗、被毁，链路老化或被有意或者无意的破坏;

(3)设备意外故障、停电;

(4)因电磁辐射造成信息泄露。

2.2系统安全风险分析系统安全风险分析

涉密网系统安全通常是指网络操作系统、应用系统的安全。目前的操作系统和应用系统或多或少存在安全漏洞，这些安全漏洞可能造成重大安全事故。从实际应用看，系统的安全程度与是否对其进行安全配置有很大关系，系统如果没有采用相应的安全配置，则会漏洞百出，掌握一般攻击技术的人都可能入侵得手。

2.3网络安全风险分析网络安全风险分析

目前涉及国家秘密的政府和企业网络系统通常建了三种网络：

(1)Internet接入网，简称外网。各个单位通过外网获取信息，对外发布相关信息。

(2)单位内网，简称内网。内网为单位应用系统提供统一的运行平台，统一管理内部的各类信息。

(3)涉密网。主要是针对秘密信息，构建的独立、完整、统一的涉密网平台，通过这个涉密网平台，实现内部涉密信息的安全流向和保密。

涉密网网络安全风险主要包括以下几种情况：

(1)涉密网与外网互联的安全危胁;

(2)涉密网与单位内网互联的安全威胁;

(3)涉密网内部的安全威胁。

2.4应用安全风险分析应用安全风险分析

涉密网应用安全涉及很多方面。应用系统是动态的、不断变化的，应用的安全性也是动态的，这就需要我们对不同的应用，检测安全漏洞，采取相应的安全措施，降低应用的安全风险。应用安全风险主要有：

(1)资源共享所造成的重要信息泄密;

(2)病毒侵害所造成的信息泄漏、文件丢失、机器死机等。

2.5管理安全风险分析管理安全风险分析

管理是网络中安全得到保证的重要组成部分，是防止来自内部网络入侵的必要部分。责权不明，管理混乱、安全管理制度不健全等都可能引起管理安全的风险。

3、涉密网安全保密整体解决方案

涉密网安全保密整体解决方案在分析涉密网安全风险威胁的基础上，论文设计了涉密网安全保密整体解决方案(WSSNS)，WSSNS从物理安全、系统安全、网络安全、应用安全和管理安全五个方面来实现涉密网的安全保护。涉密网安全保密体系框架如图1所示。单位内网网单位内外网网外物理隔离离物理隔物理隔离离物理隔涉密网涉密网物理安全物理安全系统安全系统安全网络安全网络安全应用安全应用安全管理安全管理安全环境安全全环境安设备安全全设备安媒体安全全媒体安操作系统安全全操作系统安应用系统安全全应用系统安物理隔离离物理隔身份认证证身份认安全审计跟踪踪安全审计跟入侵检测测入侵检共享控制制共享控病毒防护护病毒防安全管理体制制安全管理体安全管理平台台安全管理平图1涉密网安全保密体系框架图1涉密网安全保密体系框架。

3.1物理安全物理安全

物理安全是保护涉密网中的设备和媒体免遭地震、水灾、火灾等环境事故和其他人为事故的破坏。WSSNS的物理安全主要包括三个方面：

(1)环境安全针对涉密网的环境安全，国家制定了一些规范。WSSNS遵循国家制定的规范，要求设置防火、防水、防震、防雷和防静电等方面的装置和设施。

(2)设备安全WSSNS要求配置防盗报警系统装置;要求配置磁带机进行备份，对于涉密信息，要求配置光盘刻录机进行备份;同时要求电源设备冗余备份。

(3)媒体安全为了防止涉密网中的信息通过电磁波扩散出去，通常是在物理上采取一定的防护措施。WSSNS要求采用通过国家安全机关认证的电磁波干扰器进行保护，平均每30平方米的室内配1~2台电磁波干扰器。

3.2系统安全系统安全

WSSNS的系统安全包括两个方面：

(1)操作系统安全WSSNS要求采用安全性较高的网络操作系统，并且对操作系统进行必要的安全配置、关闭一些不常用却存在安全隐患的应用;同时要求配备操作系统安全扫描系统对操作系统进行安全性扫描，如果发现其中存在安全漏洞，必须对网络设备重新配置或升级。

(2)应用系统安全WSSNS要求应用系统加强登录身份认证，严格限制登录者的操作权限;同时要求充分利用操作系统和应用系统本身的日志功能，对用户所访问的信息做记录，为事后审查提供依据。

3.3网络安全网络安全

网络安全是WSSNS的核心，主要包括四个方面：

(1)物理隔离为了确保涉密网中的信息不被非法获取和访问，WSSNS要求涉密网与外网、涉密网与单位内网之间完全物理隔离。要求涉密网单独布线，采用独立交换机和专用服务器，不允许与其他网络相连接。

(2)身份认证和权限管理WSSNS采用严格的身份认证和权限管理，保留了口令方式进行身份认证和权限管理。针对涉密网，口令的使用有一些严格的要求，比如增加口令复杂程度、不要使用与用户身份有关的、容易猜测的信息作为口令等。

(3)安全审计跟踪WSSNS要求配置通过国家安全机关认证的安全审计跟踪系统。在涉密网系统中配置安全审计跟踪系统，可以跟踪用户的访问行为，并可根据需求对通信内容进行审计，防止敏感信息的泄漏以及非法信息的传播。

(4)入侵检测[3]WSSNS要求配置通过国家安全机关认证的入侵检测系统。入侵检测系统是根据系统已知的攻击模式对网络中的访问行为进行匹配，并按制定的策略实行响应。入侵检测系统可以在一定程度上识别并防范来自内部的攻击。

3.4应用安全应用安全应用安全主要包括两个方面：

(1)共享控制WSSNS严格控制内部员工对涉密网内资源的共享。要求在涉密网中一般不要轻易开放共享目录，对有经常交换信息需求的用户，在共享时也必须加上必要的口令认证机制。

(2)病毒防护由于病毒的传播难以控制，病毒一旦进入，有可能马上殃及整个涉密网，其破坏力将是非常大的。因此，WSSNS要求建立一个全方位的病毒防范系统，要求涉密网中的各个计算机都必须配置病毒防护系统。

3.5管理安全管理安全

保障涉密网的安全运行，安全管理显得尤为重要。WSSNS的管理安全包括两个方面：

(1)制定健全的安全管理体制WSSNS要求制定健全的安全管理体制。各单位可以根据自身的实际情况，制定如安全操作流程、安全事故的奖罚制度，网络安全防范的培训制度等。

(2)构建安全管理平台WSSNS要求构建安全管理平台对涉密网进行统一管理，实现全网的安全。

4、企业涉密网拓扑图企业涉密网拓扑图

目前在涉及国家秘密的行业系统中正在进行涉密网建设与保密资格审查认证工作。将WSSNS应用于国家某重点企业涉密网建设，建立的该企业涉密网拓扑图如图2所示。涉密网核心交换机涉密网核心交换机设计室一设计室一设计室二设计室二办公室一办公室一办公室二办公室二……涉密网备份服务器涉密网备份服务器入侵检测系统入侵检测系统安全审计跟踪系统安全审计跟踪系统图2某企业涉密网拓扑图图2某企业涉密网拓扑图涉密网服务器涉密网服务器磁带机磁带机该企业涉密网配备了涉密网服务器、涉密网备份服务器、磁带机、安全审计跟踪系统、入侵检测系统和涉密网核心交换机等，其中，涉密网核心交换机和涉密网服务器是整个涉密网的核心设备。根据WSSNS中物理安全方面的内容，该涉密网配置了备份服务器，一旦涉密网服务器出现故障，可以保持涉密网的继续运行;同时配置了磁带机，对某些重要信息进行备份。各设计室和办公室安装了电磁波干扰器，有效地防止了涉密网中的信息通过电磁波扩散出去。

根据WSSNS中系统安全方面的内容，涉密网服务器和涉密网备份服务器均安装安全性很高的UNIX操作系统，设计室和办公室计算机安装安全性较高的LINUX操作系统。同时对各计算机安装的应用软件或系统进行严格的控制。根据WSSNS中网络安全方面的内容，该涉密网与其他网络物理隔离，有效地防范了来自其他网络的攻击。

各服务器和计算机采用了严格的用户认证和权限管理，大大提高了涉密网内部的安全性。同时配置了安全审计跟踪系统和入侵检测系统，可以跟踪用户访问，有效地识别并防范来自内部的攻击。

根据WSSNS中应用安全方面的内容，该涉密网中服务器安装了网络杀毒软件，各设计室和办公室计算机安装客户版杀毒软件，建立了有效的防病毒体系。根据WSSNS中管理安全方面的内容，该企业制定了严格的管理制度和监控体系。半年的实际运行表明，根据WSSNS构建的该企业涉密网安全保密性很高，这就初步表明WSSNS是一个整体而有效的方案。

5、结束语

涉密网运行中出现任何问题都可能造成难以估量的损失，因此，确保其安全、稳定、高效的运行是十分重要的。论文设计了涉密网安全保密整体解决方案(WSSNS)。WSSNS应用在国家某重点企业涉密网中取得了良好的效果，受到了该厂领导和专家的一致好评。

2涉密计算机保密管理制度方案

为进一步加强涉密计算机信息保密管理工作，杜绝泄密隐患，确保国家秘密的安全，根据《中华人民共和国保守国家秘密法》，结合实际，制定本制度。

(一) 办公室负责本单位计算机网络的统一建设和管理，维护网络正常运转，任何人不得擅自在网络上安装其他设备。

(二) 秘密信息不得在与国际互联网联网(外网)的计算机中存储、处理、传递。涉密的材料必须与国际互联网(外网)物理隔离。涉密计算机不得擅自接连上互联网。

(三) 凡涉及涉密计算机设备的维修，应保证储存的信息不被泄露。到保密工作部门指定的维修点进行维修，并派技术人员在现场负责监督。

(四) 发现计算机系统泄密后，应及时采取补救措施，并按规定在24小时内向市保密局报告。

(五) 涉密的计算机信息在打印输出时，打印出的文件应当按照相应密级文件管理，打印过程中产生的残、次、废页应当及时销毁。

(六) 不按规定管理和使用涉密计算机造成泄密事件的，将依法依规追究责任，构成犯罪的将移送司法机关处理。

(七) 本制度由单位保密工作领导小组办公室负责解释。

(八) 本制度从x年x月x日起执行。

涉密计算机维修、更换、报废保密管理规定

一、涉密计算机系统进行维护检修时，须保证所存储的涉密信息不被泄露，对涉密信息应采取涉密信息转存、删除、异地转移存储媒体等安全保密措施。无法采取上述措施时，安全保密人员和该涉密单位计算机系统维护人员必须在维修现场，对维修人员、维修对象、维修内容、维修前后状况进行监督并做详细记录。

二、涉及计算机设备的故障现象、故障原因、扩充情况记录在设备的维修档案记录本上。

三、凡需外送修理的涉密设备，必须经保密工作领导小组领导批准，并将涉密信息进行不可恢复性删除处理后方可实施。

四、办公室负责对办公计算机软件的安装和设备的维护维修工作，严禁使用者私自安装计算机软件和擅自拆卸计算机设备。

五、涉密计算机的报废由保密领导小组专人负责定点销毁。

信息安全保密课程教学浅谈篇3

关键词信息安全保密课程教学军事教育

中图分类号：G64 文献标识码：A

0概述

《信息安全保密》课程是军事教育中的一项重要内容，掌握基本的信息安全保密知识对自身的安全乃至国家的安全都起到至关重要的作用。在当代信息化背景下，信息的内涵与外延都发生了很大的变化。如何使学员认识到保密的深刻含义，确保在今后的工作与学习中做好信息安全保密工作，是本门课程教学的重中之重。而如何在有限的时间内，组织好本课程的教学活动，却是对教员的最大考验。下面笔者结合自身的教学体验谈一下对本课程教学的思考。

1课程特点

一是该课程教学内容涉及通信学、计算机科学、网络、法律等多个学科，可以说是一门综合性很强的交叉学科。作为一门面向各专业、所有培养类型及层次开设的课程，虽然涉及的知识内容不深，但要补充的背景知识非常多。二是保密和窃密从来都是此消彼长的，该课程涉及的知识，每几个月甚至几天都会有新的技术和手段出现，课堂教学内容也必须做相应的更新。以上特点要求授课内容知识点全面，与时俱进，相关技术点必须紧跟时代发展潮流，要具有很强的生活贴切性。

2学员特征分析

学员信息安全保密意识淡薄，保密技能较差。主要表现为：一是学员来自社会的各个阶层，受教育情况和认知特点各有不同，学习自信心不足。二是学员长期长活在一个相对封闭的培训环境，对于一些高科技产品例如手机、移动存储介质、计算机及网络等常用工具的安全隐患知之甚少，信息安全保密知识欠缺，技能较差，对于信息安全保密技术防范的衣服、措施更是鲜有涉及。三是学习方式僵化，大部分学员学习思维方式基本还停留在“被填灌式”阶段，思维的主动性、灵活性较差。常规保密法规不了解，也不关心。对信息安全尚不具备做事时，依照保密规章制度，进行信息安全保密方面的自我管理能力。

3课程教学思维的转变

思想是行动的指南，提高信息化条件下安全保密工作的质量和效益，最根本的还在于进一步解放思想，更新观念。首先，课程教学中要坚持“管”与“疏”相结合。长期以来，教员的教学理念受到了传统思维的深刻影响，以知识传授为主的传统教学占据着统治地位，因此要克服“单纯封堵”的被动思维，坚持“管”与“疏”相结合。其次，课程教学中要坚持“技”与“管”相结合。做好“信息安全保密”课程的教学，必须一面强调技术防范，一面强调管理教育，忽视了任何一面都将顾此失彼，劳而无功。第三，课程教学中要坚持“用”与“研”相结合。当前各级保密工作普遍存在着科技含量不高、发现隐患和漏洞能力较弱的问题。要在引进先进技术的同时搞好科研开发，不断研制开发有自主知识产权的保密技术，掌握信息安全的主动权。第四，课程教学中要坚持“保”与“放”相结合。保密工作同其他各项工作是相辅相成的，“只强调方便工作而忽视安全保密”或“过分强调安全保密而影响工作”都是不对的。教学过程中，应让学生思考如何更好地把课堂学到的知识运用到日常或今后的学习、部队工作中。第五，课程教学中要坚持“分”与“统”相结合。保密工作是一个大系统，没有各自的利益，只有共同的责任。只要有利于提高保密工作的质量与效益，不管软件系统、设施设备是哪个单位、哪个部门研制的，生产的各单位、各部门都要坚决地“拿来”。各级保密委员会要有效整合保密、保卫、通信、机要等部门人员的力量，形成抓保密工作的合力。

4关于课程教学形式的思考

本课程教材是全军统一配发的，根据教学对象和教学硬环境的实际情况，笔者及课程组考虑全课程安排85%课堂讲授和实验演示，15%为学生综合讨论。从重视基础内容教学和加强综合研讨实践环节两个方面，运用掌握的现代教育技术，充分利用多媒体等辅助教学手段开展教学。在调动学生的积极性和参与感的同时，有效的活跃课堂气氛和提高教学效果。

（1）基础内容教学方面。针对教材的前四章，主要采取教员讲授的方式。由于很多内容学员是头一次接触，例如窃听器内容的介绍等，所以学员就很感兴趣。用很多古今中外的实例充实课堂教学，让学员从心里感到课上的知识有很强的生活背景且源于生活，学的知识很实用。对于通信系统的安全隐患，通过课堂上讲授现存电话网与无线通信网存在的漏洞和隐患，配上对口的视频资料，使学员真正体会到，哪些是有必要防范的，哪些是早就应该予以重视的。第四章网络安全也是学员比较感兴趣的焦点。课程内容从技术角度分析计算机终端和网络传输的安全问题，许多学员对这个领域具有很浓厚的兴趣，也纷纷意识到自己知识的不足。在未来的工作学习生活中，可以让他们更加关注计算机的安全使用、关注自己上网的安全，也真正起到增强安全保密意识，加强和提升信息安全保密管理的能力。

（2）综合研讨实践环节方面。考虑到学员对第五、六章的内容不大感兴趣，笔者所在课程组研究决定这部分以学生自学、讨论的方式展开教学。这样的学习方式一方面避免了教员讲课学生不认真听，教学效果不理想的情况；另一方面又给学员自主扩展的空间。让学员以主人翁姿态来备课，收集素材，实践表明，取得了非常好的效果。

5结束语

关于信息安全保密课程教学，前辈们已经取得了很多宝贵的研究成果，笔者也只是把前辈们的研究成果拿来在教学中进行尝试运用，发现效果确实不错。但笔者能力和水平有限，这里也只是粗浅的梳理探讨，有不足和不对的地方请大家批评。愿和大家一道共同做好信息安全保密教育工作。

教育系统内信息安全及保密问题探析篇4

1 信息安全威胁

广义上的信息安全威胁 (即信息安全风险) 主要是由信息系统自身脆弱性特点诱发的。其主要是指, 在某些特定事件的发生下, 信息系统存在的可被攻击性以及可被破坏性。由于信息系统当前仍处于发展过程当中, 决定了无论是从硬件设置还是从软件配备的角度, 均存在一定的弱点与缺陷, 而一旦信息安全威胁成功利用了这部分弱点, 则可能会对整个系统内部的关键信息产生恶劣的影响, 造成不可估量的后果。对于本文所研究教育系统而言, 其系统本身同样存在一定脆弱性: 首先, 以学校为例, 系统所对应的业务应用以及网络操作模块存在安全方面的缺陷, 在搭载互联网传输的情况下, 未实现对上/下行信息的加密处理, 不但无法确保信息的安全与保密, 还可能对认证功能产生影响。其次, 教育系统安全技术设备的使用率不够理想, 参数设置不够合理。再次, 缺乏对人员的管理, 且教育系统领导对于信息安全与保密的认知不够全面, 无法形成良好的支持力度, 导致组织层面决策支持受损。同时, 过于依赖技术设备自身的安全性能, 未形成应对信息安全威胁的控制机制。

2 信息安全及保密措施

2.1 管理性措施

从管理控制的角度上来说, 应当在对信息对象进行安全管理的过程中引入岗位责任认定制度, 以教育系统为整体, 明确各个工作部门所对应的信息保密范围与安全责任归属, 并且以此为基础, 对教育信息共享级别进行划分, 同时制定针对性的电子文档管理制度。笔者建议, 可以根据文件信息所对应信息安全共享级别的不同, 结合教育部门职能差异, 明确信息共享的范围。一方面可使访问群体与信息之间的关系倾向于固定, 另一方面可有助于工作部门、人员对信息保密责任的落实。同时, 还可在组织管理方面引入对信息安全的计划。结合教育系统的运行状态, 确保出现信息安全威胁的第一时间可启动相应的应急预案措施。并且, 考虑到教育系统中信息共享具有一定的增值性以及相对性特征, 因而建议结合教育系统内部各个岗位的实际情况, 对工作人员有关信息的操作 (包括信息访问、信息输出/输入等在内) 进行权限设置。特别是对于学校而言, 需要及时取消非在职员工原有权限设置, 并制定合理的制度, 要求其对已掌握信息严格保密。

2.2 技术性措施

根据前文中对教育系统内部潜在信息安全威胁因素的分析, 建议进一步强化对整个系统网络的审计管理、口令管理、线路管理、资料管理以及建设管理方面的工作。具体的措施为:

(1) 教育系统中的信息威胁可能存在于操作系统、应用系统、网络系统等等子系统当中, 需要通过审计管理的方式, 加强对线索的监视与控制, 及时发现并控制、根除安全隐患。同时, 还可以审计为手段, 明确信息操作方面的异常行为, 及时追查至责任部门及责任人员。

(2) 口令管理的主要内涵在于 , 在对敏感性教育系统内部信息进行访问时, 需要适当提高对应口令的长度、复杂度。同时, 基于安全性因素考量, 可对信息系统面向特定信息访问群体的开放时间进行限制。采取强制性措施对重要信息访问对象的用户名及密码进行更换, 同时也可引入一次性口令, 防止恶意入侵。

(3) 网络线路作为教育系统的访问载体, 需要确保其传输质量的安全可靠。要求安排专人定期对线路安全进行检查, 重点评估线路是否搭载有非法装置窃取安全信息, 一旦发现需要及时清除。

(4) 为防止因技术性缺陷而造成的教育系统内部信息丢失问题, 要求在系统更新、升级或定期检查时, 对既有设备资料进行备份, 并妥善保存。

(5) 需要教育系统相关操作人员通过引入口令隐蔽技术的方式, 对服务功能技术加以更新与完善, 持续提高整个系统的安全级别, 并对既有或潜在漏洞进行修补。

3 结语

信息安全伴随着网络系统的发展而备受关注。对于教育系统而言, 为确保信息的安全与保密, 要求引入完整的工作体系, 将管理性措施与技术性措施相互融合, 形成健全的信息安全保障架构, 并遵循教育系统的一般性特点, 提高系统内部信息的安全性水平。

摘要：教育系统内部信息的利用价值体现在为领导决策的制定提供服务, 因而需要保障其真实性。同时, 由于时间期限会对内部信息的利用价值产生深入的影响, 因而也需要保障信息的时效性。为此, 做好信息安全及保密工作是极为必要的。文章针对教育系统内部信息安全与信息保密方面的现状进行分析, 并在此基础上探讨能够积极应对威胁、保障信息安全的保密措施, 构建一套完整体系。

关键词：教育系统,信息安全,信息保密

参考文献

[1]陶遵适, 孙若萍, 柴丽文.三代远程教育系统信息传播子系统的分析[J].现代远程教育研究, 2004 (2) :65-68.

[2]刘彩霞, 王会寨, 邱旭东.全国高等体育教育系统文献信息资源共享模式研究[J].中国体育科技, 2003, 39 (6) :35-37.

[3]林继熙.基于CSMS技术的高校安全教育系统的设计[J].福建农林大学学报 (自然科学版) , 2011, 40 (1) :101-105.

涉密应用系统安全保密改造探讨篇5

信息管理部陈金文

目前，国家保密形势异常严峻，尤其计算机及其网络已成为泄密的重要隐患，通过计算机信息系统采用信息技术手段发生的泄密案与窃密案频发，随着国家BMB相关标准的出台，以及从业人员对国家BMB相关标准的深入理解，势必对企业应用系统的安全保密防护提出更高的要求。已经运行的应用系统如企业0A、PDM、CAPP、项目管理系统、档案等系统中存储着本单位各方面的大量信息，可以说是本单位的核心机密所在,这些数据的安全保密要求就需要对原有的应用系统进行安全改造。

一、应用系统安全保密改造目的

随着企业信息化程度的进一步推广，应用深度也进一步增加，涉密应用系统的应用范围和业务应用的规模伴随着业务的需求必然会快速增长，信息的安全保密技术也会不断出现新的安全隐患，也在不停地发展，对系统的安全保密管理的要求也会有所变化。随着业务的发展，规模会变化，机构会变化人员会变化，环境会变化，涉密应用系统也会跟随着调整、扩充、搬迁等，总会有或大或小的不同变化，因此，在涉密应用系统的安全保密工作中．我们在跟随技术发展的同时，管理方法和技术手段也必须不断调整来适应技术和要求的发展。只有这样才能使涉密信息系统始终保持安全良好的运行状态。就拿航宇公司而言，随着信息化工作的不断深入，企业先后陆续上了大量的应用系统，如：OA、PDM、TDM、CAPP、项目管理系统、门户、档案管理系统等，这些应用系统中积累了大量的数据，而且这些多数属于涉密数据。在早年推广的系统中，重点考虑应用的便利性和数据的安全性，很少会考虑到数据保密这个范畴，因此，原有的应用系统也就存在大量的漏洞和风险，如用户管理、“三员”管理、日志管理、审计管理、身份鉴别等，或多或少存在由于功能缺陷导致的保密问题、安全问题等，这些问题不解决，势必容易造成涉密信息被非授权访问，以及对窃、泄密事件的无法追溯。因此，为了保证这些数据的安全，除做好单机防护、访问控制和边界防护外，还应该对已经投入使用的应用系统进行安全保密改造工作。

二、应用系统安全保密改造方案

应用系统安全保密改造方案的总体思路是要适应实际和发展的需要，既要满足信息化对应用系统便捷性的要求，又要满足保密对应用系统安全性的要求，整个改造过程动态推进，具体做法如下：

(一)用户管理改造

原有的应用系统用户一般有系统管理员和普通用户两类，没有考虑“三员分立”管理功能。根据国家BMB标准的相关要求，在应用系统安全保密改造过程中将系统用户分为以下几类：用户按照功能和权限一般划分为三类：第一类是普通用户。第二类是业务管理员．主要指管理某个业务的功能模块的而设置的人员。例如OA协同办公系统的表单管理员，主要负责表单的设计、制作、发布、修订和表单流程的设立。第三类为“三员”。即系统管理员、安全管理员和安全审计员。“三员”应该按照最小权限的原则和权限分离原则进行权限划分，各管理员的权限应相互独立、相互监督和相互制约。系统管理员用于建立使用该应用系统的组织机构、建立和管理用户组和用户、用户的新增、变更、注销等等；安全管理员主要负责应用系统安全策略的设置、调整。用户账号安全策略的设置(口令复杂度、长度，口令更改周期，用户和用户组的访问控制权限分配和调整)以及普通用户操作系统信息(包括登录、操作和退出等)的查看；安全审计员负责审计业务管理员、系统管理员和安全管理员的操作，并对操作结果进行验证。因此，新上的应用系统除了具备“三员分立”的管理功能，实行三员分立的管理模式．三员的权限相互独立，互不交叉，从而防范违规事件的发生外，还应删除系统默认用户、删除超级管理员，避免管理员的权限过于集中导致信息安全问题。

(二)系统备份和恢复改造

1、系统备份

(1)应用软件备份：系统应用软件通过应用服务器发布，每次系统BUG修改和版本的升级、需求功能的补充，均会产生系统应用软件的更新，程序的每次更新均有版本控制器记录，每周对系统应用软件进行备份，且备份后的程序与应用服务器不在同一台机器中。该项工作由业务管理员进行负责操作和记录。

(2)数据库备份：系统提供数据库自动备份的批处理命令文件，通过系统的计划任务进行自定义设置，并定时对数据库进行备份，且备份文件与数据库服务器不在同一台机器中。该项工作由业务管理员进行定期检查和记录。

2、系统恢复

业务管理员按照各系统恢复预案进行系统恢复，操作人员及接触数据的范围，数据存储要求均符合保密要求。具体恢复分为以下两个方面：

应用软件恢复：一旦应用服务器出现故障或瘫痪，业务管理员应按照系统恢复预案进行恢复，协调有关部门和岗位人员配合该项工作的开展。首先，恢复应用服务器操作系统；其次，恢复应用服务器的WEB发布支撑软件；最后，恢复备份的应用系统软件，并在应用服务器上进行部署和发布，并记录恢复过程。

数据库恢复：一旦数据库服务器出现故障或瘫痪，业务管理员应按照恢复预案进行恢复，根据系统备份的数据文件，首先恢复数据库，然后按照数据库恢复批处理命令文件进行数据的恢复，并记录恢复过程。

(三)安全审计改造

涉密的应用系统需要有完整的安全审计功能，而我们很多应用系统在安全审计方面功能不足，需要改造。具体改造方案如下：首先，涉密应用系统的安全审计实现必须覆盖所有用户，并且能确保审计内容至少包括事件的日期、时间、事件发生的用户身份标识、发生事件的设备标识、事件类型、描述和结果；其次，安全审计的记录信息要符合机密性、完整性、可控性、可用性和不可否认性(抗抵赖)的原则；再次，应用系统要具备相当充分的审计条件，做好这方面的安全审计内容，主要反映在应用层面的审计数据收集工作，将有用的信息提取出来作为审计的内容，通过特定的管理页面提供给进行审计工作的用户，对审计数据能进行统计、分析、按条件查询及生成统计报表等功能，方便审计人员的统一审计管理。

(四)日志管理改造

过去的应用系统在日志管理功能方面不足或者不全，日志可读性、可管理性较差，我们现在的日志管理改造要求有日志管理策略设置的统一界面，该统一的日志管理界面将作为整个日志的管理中心，所有日志信息都将归总到这个统一日志管理中心里进行管理。日志管理要求一般可以包括三个方面，一是日志的存放要求，如日志存储路径、日志存储方式、目志存储空间或存储周期，所有的日志同时应具有存储空间满时的告警功能和自动覆盖最早日志或自动转存的功能等；二是日志容量和目志的覆盖周期，一般可追溯周期不少于1个月。三是应用系统的安全日志应与系统日志分开，同时涉密应用系统还应具备对特定事件进行实时报警功能，并限制用户对日志的访问，能确保日志管理的安全性，防止用户的恶意篡改日志记录。此外，为增强日志的可读性，日志管理还应该具备导出功能，建议应用系统采用SYSLOG接口、SNMP接口或者数据库接口三种之一提供日志的导出接口。

(五)身份鉴别改造

保密标准对应用系统身份鉴别的要求主要归纳为几点：“确保身份标识唯一性、可审计性和可核查性”、“口令设置长度、复杂度和更改周期”、“重鉴别”、“鉴别失败”等。常用的鉴别方式有用户名／口令，动态口令，数字证书，生物特征识别等。随着应用系统的数量的增加，越来越多的用户面临着“分散身份鉴别”带来的各种各样的问题，也就是“身份漫游”功能，漫游功能在信息化来讲是非常便利的，但从保密角度来讲却存在极大风险，因为不同身份所接触的涉密信息是不同的，涉密信息内有机密级计算机和秘密级计算机，甚至还有非密计算机，而各密级计算机所能接触的涉密信息等级不同，因此身份鉴别除了考虑上述要求同时，应考虑多个应用系统的单点登录和统一身份鉴别功能的实现。笔者认为：为了达到便利又安全保密的要求，采用身份认证网关实现单点登录访问控制是较好的办法。航宇公司的几个主要应用系统如：OA系统，PDM系统等大部分采用B／S架构，采用CA数字证书的验证的方式统一身份认证访问应用系统，并用防火墙对应用系统的端口进行最小化授权开放，用户成功登录应用系统后，应用系统会根据用户的角色出现相应的操作界面。在OA、PDM等重要的应用系统中均实现了通过门户统一身份认证身份鉴别方式实现了应用系统登录。

(六)涉密信息流向控制改造

涉密信息流向控制主要包括两个方面：一是对于密级级别高的人员，不但可以获取相同密级的数据信息，还可以获取比其密级低的数据信息；相反，密级低的人员不能获取比其密级高的数据信息。二是防止知悉范围扩大，即非授权用户无法查获非授权的密级信息，授权用户仅能查获相应授权的密级信息。重点是通过菜单权限和数据权限对用户权限进行限制。涉密信息的流向还可以通过企业内不同部门岗位和不同业务范围来进行控制，这种控制通常是结合系统权限控制来实现。例如：班组级、车间级、工厂级，部门级别高的人员有权访问下属级别的数据信息，相反，则受到限制。相应密级用户浏览相应的密级信息，低密级的人员无法获取高密级信息的目的；相应的业务用户浏览相应的业务信息，无法浏览不相关业务信息。实现方式主要有：

1、功能权限控制。

涉密应用系统的功能权控制也就是菜单权限，主要是针对用户或用户组设置不同的菜单权限，主要有两个方面：一是针对管理员权限而言，企业普通用户或用户组具有授权的相关业务的浏览、查询、处理等权限，但没有用户管理、权限管理和审计管理的功能，这些功能分别是系统管理员、安全保密管理员和安全审计员的功能。二是针对业务而言，不同的用户和用户组具有不同的业务权限权的控制由相应的业务应用系统内进行权限控制。

2、数据权限控制。

在应用系统中，系统提供对数据的访问权限进行控制，即针对系统用户或用户组按用户或用户组的角色进行权限划分，根据不同的用户角色可以看到特定的内容。普通用户可以看到业务上授权个人的可以看到的信息；系统管理员、安全管理员和安全审计员可以看到相应授权的信息或数据。如安全保密管理员可以看到的一般员工操作信息，安全审计员可以看到三员操作信息，别人看不到。

三、总结和建议

综上所述，要提高涉密应用系统的安全水平，除了硬件和环境应具备相应防范措施外，重点应该关注应用系统的安全保密防护，而应用系统的安全保密防护除技术措施外，还应在管理措施和相应的标准规范上下功夫，才能真正做好应用系统的安全保密工作。相对于用户改造，文中提到的密级流向控制是比较难改造的，很有可能会涉及到应用系统结构性调整。当然，原有的应用系统由于最初设计时目标的差异，应用系统进行改造过程中会由于历史应用原因，无法彻底按照本文描述的内容进行改造，但应该重点关注应用系统改造的原因和目的，采用其他方法达到保护应用系统中的涉密信息得到防护的目的。

参考文献：

『1】王勇，李丹．物联网信息安全体系结构分析

保密科学技术，2010，10 『2】顾景民，郭利波，姜进成．企业信息软件系统安全运行探讨

山东煤炭科技，2009，3 『3】国家军工保密资格认证办公室，军工保密资格审查认证工作指导手册

浅谈计算机信息系统的安全保密技术篇6

(一) 病毒防治技术。

目前, 处理计算机病毒的主要方法仍是:发现—分析—消灭。从技术层面来看, 必须在服务器上安装对应的防毒模块, 在软件定期防治的过程中, 对计算机进行定期检测;或者通过安装插件, 在网络接口安装对应的防毒芯片。

(二) 信道隐蔽技术。

信道隐蔽又称泄密路径与通道隐性。因为很多信息通过它可以泄露, 所以通常利用隐蔽带宽的方式, 也就是一秒内传输的信息量, 单位为比特每秒。而消除信道的主要方法, 是在计算机系统设计中尽量减少隐蔽性信道;在计算机测试中, 必须对信道进行测量, 从而让计算机内核拥有对应的审计功能。

(三) 媒体介质技术。

在计算机信息系统中, 泄密介质主要有光盘、磁盘、硬盘、软盘等。计算机存储介质不仅很容易遭到破坏、修改、窃取, 残留信息还能复现。因此, 在计算机信息系统管理中, 必须加强介质管理。介质管理的措施主要是分类标记, 根据密级、信息特征、重要性对其登记、分类, 并且在介质内外做上标记。在分类记录中, 必须根据重要程度与秘密等级将其放在容器内部, 并且分成备份与再用两个部分;对于移动性介质, 则根据密件程度进行对应的保存。

(四) 数据库技术。

计算机系统和数据库安全, 不管是在技术方法, 还是在安全要求中都很相近。为了保障计算机系统正常运行, 必须严格执行安全策略, 在技术应用中, 通过密钥口令、身份认证、信息传输、数据加密、防病毒传染等介质保护, 从根本上保障信息系统安全, 防止天灾或者预谋性窃密对整个系统造成的不利影响, 并且在数据库周边就有警卫系统、出入控制与报警警戒等。

二、计算机信息系统安全保密管理

从当前信息系统使用情况来看, 计算机对社会发展具有非常重要的作用, 如果没有信息安全保护系统, 不仅会影响正常工作, 还会造成一系列不可补救的损失。因此, 在实际工作中, 必须努力增强各项制度建设, 提高相关人员的保密意识。在认真学习保密法规的同时, 严禁涉密的计算机、收集、数码产品与存储载体的接触, 从源头上保障信息系统的安全可靠性。

根据网络信息以及国家秘密, 计算机信息系统可以分成涉密与公共信息网, 对于不同的情况, 必须采用对应的措施处理。在公共信息网中, 主要是公共信息网与公共信息网相连的内部网络, 内容公开;虽然很多都是内部网, 但是大部分都间接或者直接的和国际互联网连接, 所以成为公众信息交流的媒体与工具, 这种特点也决定了它不涉嫌涉密信息。对于公共网, 工作重点是怎样防止秘密信息上网, 进而对信息网进行审查。

涉密的信息网络, 一般是存储、采集。加工、传输、处理与使用国家秘密信息的信息网络, 它有独立的网络结构, 在物理层面, 和公共网络分开。而涉密的技术管理, 必须在计算机信息安全的基础上, 从媒体、信息、系统、场所等不同的方面进行防护, 使用的技术是根据保密要求, 进行对应的建设、规划。

结束语

为了保障计算机信息系统安全运行, 除了环境与硬件措施外, 还必须将工作重心放在保密技术与管理中, 根据技术特征以及已经出现的问题, 从各方面确保信息系统安全。

参考文献

[1]孟茜.浅析涉密计算机信息系统的安全监控[J].科技创新与应用, 2013 (14) :93.

安全保密系统篇7

信息系统面临的安全问题主要表现在信息犯罪、盗号木马、计算机病毒等方面。信息系统的安全主要包括基础设施的安全、数据库系统的安全以及应用服务的安全。由于信息系统安全的重要性,目前已有大量的机构和学者对信息系统安全技术和安全体系进行了研究。

本文将以某广电单位的安全传输发射运行监控系统(以下简称TBMS)项目的建设为例,讨论信息系统的安全性与保密性设计。

1设计背景

TBMS的建设单位是直属国家新闻出版广电总局的公益性文化事业单位,拥有我国最大的无线传输发射网,主要从事广播电视节目的传输发射工作。随着信息化建设进程的逐步推进,该建设单位已经初步建设了以安全传输发射为核心的“局机关-基层单位-机房-设备”管理与自动控制平台。但是这些现有系统在建设过程中缺乏整体规划,数据规范不统一,因此产生了数据对接困难、展现效果不够理想等一系列问题。

针对上述问题,设计开发了TBMS。TBMS是基于WMware基础设施私有云平台和Hadoop数据集群建立的信息系统,由数据可视化门户、运行监控、安全传输发射主题库三大子系统构成。TBMS主要采用JAVA语言开发,使用标准的J2EE开发流程,采用Spring框架作为基础平台;在Web端运用j Query、D3、Web Socket等多种RIA(Rich Internet Application,富网络应用)技术实现丰富的可视化展现效果;在数据层针对数据仓库分析、离线业务数据分析、实时流数据分析等不同数据使用场景分别采用Hive、My SQL、Mongo DB等技术实现对数据的管理和操作。

通过充分调研、深挖需求,总结分析出TBMS的建设主要面临以下挑战。

(1)领域特殊性:广电行业属于特定领域,项目开发时需要充分考虑广电领域的技术标准和专业特性及信息安全。

(2)可靠性要求高:该建设单位担负着把广播电视节目送入千家万户的重大思想文化宣传职责,停播率是以“秒/百小时”计算的,且通常要求优于计划的不低于99.5%。

(3)性能要求高:要求对播出设备实现秒级实时监控。在发生停播时,要求10s内启动应急响应机制并生成代播方案,第一时间挽救停播。

在系统安全性分析设计的过程中,结合项目实际情况和以往类似的项目经验,项目在机密性、完整性、可用性、可控性、可审查性等由易到难作了全面权衡。在基础设施、数据库和应用服务器多个层次采取了网络隔离、身份认证、权限控制等措施,为提高系统的安全性发挥了巨大作用。

2基础设施安全设计

信息的存储安全是信息系统安全中的重要组成部分,包括信息使用的安全,如用户存取权限限制。用户存取权限主要是限制进入系统的用户所能做的操作。存取控制是对所有的直接存取活动通过授权进行控制,以保证计算机系统安全保密机制,是对处理状态下的信息进行保护。存取控制一般有两种方法:隔离控制法和限制权限法。隔离控制技术的主要实现方式包括物理隔离方式、时间隔离方式和逻辑隔离方式等。

TBMS严格按照《信息系统安全等级保护基本要求》所规定的等级保护三级标准进行建设。TBMS和该建设单位所有的业务系统一样,在基础设施层次采取物理隔离方式,从物理上实现了网络隔离,而且基层和局机关采用了专用的网络线路,在源头上杜绝了内外网的混用。为了防止类似笔记本有线/无线同时连接,造成内外网混用的情况发生,建设单位还要求所有入网的终端设备进行MAC地址登记并安装网络监控客户端软件。这样一来可以防止用户的非法网络访问,二来可以记录用户的上网行为作为审计/追踪的依据。

借助基础设施云平台所提供的云安全服务,也能为系统的安全性提供保障。如Vmware自带的虚拟机隔离、虚拟机磁盘加密、防IP和MAC欺骗等技术,可以透明地、低成本地分配安全虚拟机资源。

3数据安全设计

对于数据库的安全性设计,我们采用用户认证、角色管理、访问控制和备份容灾等多种技术手段。通过对用户进行分类管理,将安全密级、授权不同的用户分在不同类别;对系统中数据、文件的访问控制进行严格的权限控制,防止越权操作。

在TBMS数据库中权限角色主要分为三类,分别是数据采集者、TBMS系统用户和数据管理员。其中数据采集者是指TBMS向第三方应用系统提供数据服务时,可以获取有限的数据视图读取权限的数据库用户,这类数据库用户不能修改数据库中的任何数据。TBMS系统用户可以通过访问并登录TBMS后获得相应的数据权限,基于数据视图,具有一定的CRUD(Create、Retrieve、Update和Delete,创建、读取、更新和删除数据)功能,但是这类用户不能直接修改数据库内部的表结构。数据管理员具有数据库管理的全部权限,包括访问任何用户的任何数据、分配用户的各种权限、创建各种数据对象、完成数据库的整库备份/装入重组、进行全系统的审计等工作。

数据库服务器上部署了SHELL脚本,定期为数据进行备份,还运用My SQL的数据同步复制技术实现了数据的互备,提高了系统的容灾能力。

4应用服务安全设计

TBMS集成了单点登录功能,不仅能实现用户信息的统一管理,还能方便用户在多个系统间漫游。考虑到原有基于账户/口令的加密方式强度不够,存在弱口令被暴破的风险。因此在TBMS建设的同时,建设单位还部署了全局统一数字证书和Ukey增强认证系统。在TBMS的任务下发、事故审批等关键业务环节中,强制用户必须通过UKey认证。

考虑到基于角色的权限控制的权限配置的灵活程度和可控性要明显优于自主访问控制和强制访问控制,TBMS采用RBAC权限控制体系,从而实现了根据用户所属的单位级别、职能部门和用户职责等因素,对用户权限进行个性化配置。

TBMS通过对核心业务平台上已建成的各独立系统、分散数据进行联动分析,形成安全传输发射主题数据,很好地解决了客户面临的基础数据不统一、运行数据不实时、业务数据不准确等问题,并且运用数据挖掘和数据可视化技术提供设备运行状态监控、播出业务质量分析和安全传输发射辅助决策等服务。

5结论

本文以某广电单位的TBMS项目为例,讨论了信息系统的安全性与保密性设计。其中,在基础设施层次采用物理隔离技术,在数据安全层次采取用户认证、角色管理和访问控制相结合的技术手段,在应用服务层次采取单点登录方式保障信息系统的安全性和保密性。通过有效实践证明了合理运用多种技术手段可以使系统的安全性和保密性得到显著的提升。

参考文献

[1]钱红雷.计算机信息系统安全现状及分析[J].电子技术与软件工程,2015(17):216.

[2]孔德生.新阶段计算机网络安全威胁与对策分析[J].数字技术与应用,2014(3):177.

[3]杨锷.计算机信息系统安全技术的研究及应用[J].硅谷,2015(2):246-247.

[4]龚永明.企业信息系统安全体系建设分析[J].信息系统工程,2015(3):59-60.

网络信息安全保密问题分析篇8

1 计算机网络中经常遇到的威胁

网络信息在传播过程中经常受到威胁主要是黑客攻击、病毒感染、电磁泄漏等方面。

1.1 黑客攻击

“黑客” (英文名字为Hacker) 是指拥有一定的计算机相关技能、可利用计算机攻击他人计算机网络的人。他们运用一定的编辑技术编写一些代码程序或利用现有的黑客工具, 对他人的电脑现有的应用或数据进行破坏或窃取存在电脑里的文件信息。现在网络信息的泄漏大多来自于黑客攻击, 其通过网络安全漏洞侵入计算机系统从而进行破坏或获取他们需要的信息。黑客侵入计算机网络方式主要有两种:破坏和非破坏性攻击。破坏性攻击是通过各种方式来多次尝试获取信息, 容易造成信息的泄漏和不可恢复, 为暴力性破解方式。非破坏性攻击的主要是通过多次密码尝试的方式或其它不影响信息二次使用的情况下获取信息的复制件, 从而获取到其需要的数据信息。这两种方式都会造成信息泄漏, 对信息维护人员的工作造成被动的局面。

1.2 计算机病毒

计算机病毒 (Computer Virus) 也是利用计算机代码编写的程序, 其主要作用是来破坏已有的程序的正常运行, 从而影响计算机使用或窃取一定的数据信息, 并可自我复制。这些代码具有可执行性、破坏性、隐蔽性、传染性等特点, 有的还具有一定的潜伏期, 可定时发作。其主要通过网络或可移动设备 (U盘) 等传播, 可针对特定或不特定的文件对象进行破坏。还有一些病毒本身并不破坏现有的文件系统, 而是窃取运行文件中的重要数据并通过网络或其它方式发送给制造病毒的人员, 从而达到一些盈利或其它目的, 如一些专门用来窃取他人账号和密码的病毒。如果用户企图运行该可执行文件, 那么病毒就有机会运行, 从而给计算机本身软、硬件运行造成不必要的麻烦或造成信息的泄漏。

1.3 电磁泄漏

电磁泄漏是指计算机等信息系统设备在工作时经过相应的信号传输线产生的电磁信号或电磁波被非法获取, 从而造成电磁泄漏。电磁泄漏的后果是通过获取泄漏的电磁信号并加工处理, 就可以还原出原有信息, 造成信息泄漏, 所以具有保密要求的信息系统应该具有防止电磁泄漏的能力。

2 对网络威胁进行防护的对策

以上分析对计算机安全威胁的几个主要方面进行了总结, 根据这些问题, 可通过以下几个方面应对计算机信息安全威胁。

2.1 加强人员管理, 制定安全防范规章

人员的安全意识是在信息化时代的首要问题, 首先应加强人员管理与培训, 让工作人员形成良好的电脑使用习惯, 并对电脑出现的问题能及时察觉, 从而能更好的避免或及早发现问题。比如经常更新电脑系统, 对一些外来存储设备优先杀毒。其次应当建立健信息安全保障制度, 包括电脑及网络连接、使用相关的规章制度, 并确保落实到位。对一些重要信息和文件应有专人专用电脑管理, 规范化使用, 并提升相关人员监督管理水平, 做到相互监督, 相互制约。同时也应当建立明确的分工, 建立建全责任倒查机制。

2.2 采用专线接入网络技术

网络专线就是通过物理或虚拟建立一条专用的网络传输信道, 这条线路与外界隔绝, 从而更好的保证在信息传输过程中不被截获。这样的专线的优势是安全性较高, 可有效避免黑客采用互联网网络线路进行攻击。专线接入的接放方式主要有两种:一是物理专用信道。物理专用信道就是在服务商到用户之间铺设有一条专用的物理线路, 这条线路专用于该用户, 从而杜绝了其它人员的接入, 避免黑客通过线路攻击的方式侵入该网络, 比普通的多用户线路更加安全可靠;二是虚拟专用信道。虚拟专用信道就是在一般的多用户共享信道上为用户虚拟出一定的带宽的线路, 用户可以专用这部分带宽, 就像专门铺设了这条线路, 仅允许专门的用户使用, 而且对这部分带宽内的数据进行加密, 从而提高了可靠性与安全性。

2.3 优化网络内外部环境

各单位对计算机安全等级要求不同, 接入互联网的方式也各有差异, 单位网络管理人员应主动分析影响本单位计算机系统稳定的所有因素, 并做好相应的防御措施。计算机安全防护分为内部与外部防护。一是内部防护方面, 安装相应的计算机报警系统或杀毒软件系统, 做好威胁预警与防护工作。二是外部防护方面, 外部防护对计算机网络安全同样具有较大的影响。主要包括物理安全防护, 如防盗、防火、防止物理破坏。对此管理人员应定期对电脑线路进行安全检查, 并设置必要的防雷等措施, 确保计算机网络安全稳定性。

2.4 加强计算机密码管理工作

黑客和计算机病毒对企业和个人机密文件的获取很多通过破解密码的方式。在日常工作中很多电脑及相关的应用软件还是初始密码, 而且并没有定期更换新密码, 这样他们就可以轻松的进入到电脑系统中获取到所需要的文件。因此, 要做好计算机加密处理, 设置高强度密码, 防止个人信息和案件信息被盗。

2.5 做好外围环境防护工作, 注重安全预防

防火墙、网闸等是网络机房防护软件中较常见的设备, 这些设备具体很好的隔离防护作用, 同时应配备红黑电源 (红黑电源隔离插座) 、防辐射隔离等设施, 确保阻断电磁泄漏。开启服务器及防火墙日志功能, 根据这些日志可以分析入侵者在系统留下的操作记录, 有利于管理员及时发现系统中存在的漏洞及隐患, 以便有针对性地实施维护。

3 结束语

通过以上论述可知, 计算机网络信息安全防护是一项复杂而系统的工程。信息安全管理人员必须针对影响信息安全的各项因素进行针对性的分析, 根据这些问题做好有效的防护措施。同时我们也应该清楚的认识到再好的外部防护也不能阻断人员的内部泄密, 所以在制定文件政策的同时也应该加强人员的思想素质教育, 让每位涉密人员都有较强的安全意识, 这样才能更好的防止信息泄漏。

摘要：随着信息化应用的逐渐普及, 网络信息安全越来越受到重视。本文首先介绍了网络安全方面常见的问题, 之后对这些问题如何进行防护进行了深入分析研究。

关键词：信息化,信息网络,安全

参考文献

[1]丁彦芳.电磁泄漏对计算机信息安全的影响及预防方法[J].信息通信, 2013 (10) .

数据信息安全保密技术研究篇9

1 保密技术对数据信息安全的重要性

保密技术是企业为获得自身利益和安全, 将与自身发展密切相关的信息进行隐藏的一种手段, 随着互联网的快速发展, 企业信息的保密也越发重要。保守企业秘密是指严格按照有关经济法律和企业内部的规章制度, 将涉及信息和涉密信息的载体控制在一定的范围之内, 限制知悉的人员, 同时也包含了企业自身或内部员工保守秘密的职责, 并以此采取相应的保密活动。通常情况下, 属于保密范畴的信息, 都应当明确内容, 并规定相应的期限, 在此阶段内, 保密主体不能够擅自改变, 并且其知悉范围是通过强制性手段和措施来实现控制的[1]。

企业为防止关乎自身利益的秘密被公开, 对自身的信誉和形象造成损失, 需要对这些数据信息进行保密, 并将一些重要信息列入所实施的保护行为中。在信息大爆炸时代, 数据信息安全保密能够保障社会的健康、有序发展, 同时还能够推动各个企业的持续进步。而如果企业中重要的数据信息被泄露或者遭到恶意破坏, 会直接影响企业的经济安全, 甚至会导致企业经济瘫痪。

2 数据信息安全保密技术类型

2.1 口令保护

对数据信息设置口令是数据信息安全的基础保障。在对数据保密信息设置安全保障的过程中, 可以先根据计算机技术设置登录密码, 并确保密码的复杂性, 如字母与数字混合、大小写字母与数字混合等, 以免被黑客破解。如果有提示密码可能被盗的消息, 则应当及时辨别消息的真实性, 并登录到安全中心重新设置密码, 从而确保数据信息登录的安全性和可靠性。

2.2 数据加密

在信息的存储及传输过程中有一个重要的手段, 就是对数据进行加密, 这样才能够保证数据信息的安全性, 从而提升信息保密的抗攻击度。所谓数据加密, 主要是指根据较为规律的加密变化方法, 对需要设置密码的数据进行加密处理, 由此得到需要密钥才能识别的数据[2]。加密变化不仅能够保护数据, 还能够检测数据的完整性, 是现代数据信息系统安全中最常用也是最重要的保密技术手段之一。数据加密和解密的算法和操作一般都由一组密码进行控制, 形成加密密钥和相应的解密密钥。在数据信息传输的过程中, 可以根据相应的加密密钥, 加密数据信息, 然后根据解密密钥得出相应的数据信息。在此过程中, 大大保障了数据信息的安全, 避免被破解。

数据加密主要是指根据加密算法E和加密密钥Ke, 将明文X变换成不容易识读的密文Y, 记为:Y=EKe (X) 。

数据解密主要是指根据解密算法D和加密密钥Ka, 将密文Y变换成为容易试读的明文X, 记为:X=DKd (Y) 。

2.3 存取控制

为保证用户能够存取相关权限内的数据, 已经具备使用权的用户必须事先将定义好的用户操作权限进行存取控制。在一般情况下, 只要将存取权限的定义通过科学的编译处理, 将处理后的数据信息存储到相应的数据库中。如果用户对数据库发出使用信息的命令请求, 数据库操作管理系统会通过对数据字典进行查找, 来检查每个用户权限是否合法。如果存在不合法的行为, 则可能是用于用户的请求不符合数据库存储定义, 并超出了相应的操作权限, 这样则会导致数据库对于用户的指令无法识别, 并拒绝执行。因此, 只有在采取存取控制保护措施下, 数据库才能够对发出请求的用户进行识别, 并对用户身份的合法性进行验证。同时还需要注意不同用户之间的标识符都具有一定差异, 经过识别和验证后, 用户才能够获取进入数据库的指令, 以此确保数据信息的安全性, 为用户提供一个良好的数据应用环境。

系统在对用户身份进行识别和验证后, 还需要对用户的输入信息进行分辨。如果用户的数据信息符合数据库信息应用要求, 则允许其对数据库中的资源进行共享, 这样不仅能够确保各个用户的数据应用需求, 同时还能够保证数据库信息的安全性。对于登录数据库的用户一般被分为以下四种类型:一是特殊用户, 也就是系统的管理人员, 具有较高级别的特权。特殊用户能够任意访问系统的资源, 并且具有全部的操作能力。二是一般用户, 对于数据库的访问受到一定限制, 系统管理员会对用户的指令进行分辨处理。三是指审计用户, 系统管理员应当对数据库内的资源使用情况及安全控制情况进行分析和统计。四是指作废用户, 一般为非法用户, 被系统拒绝访问。

2.4 其他技术措施

出现的计算机犯罪行为, 大多是为得到数据库信息而攻击数据库。而导致数据库信息泄密的主要因素就是计算机病毒, 它不仅入侵计算机系统, 同时还会导致计算机因出现病毒而无法使用[3]。很多计算机病毒能够篡改、复制和窃取数据信息, 从而造成泄密。计算机病毒能在计算机上自动运行, 并且隐藏在系统内存中创建进程。应安装和使用安全软件对U盘病毒进行彻底查杀, 并对计算机进行保护, 如对系统进行安全优化, 定期进行体检等。对于插入计算机的光盘或U盘等外来硬件, 则应当首先进行扫描处理, 以避免病毒入侵。此外, 还可在Windows系统中点击运行 (R) , 在弹出的对话框中输入gpedit.msc命令, 在弹出的组策略窗口中依次点击“计算机配置”、“管理模块”、“系统”、“关闭自动播放”即可。其中“计算机配置”中的设置优先, 并且不阻止自动播放音乐CD。

3 增强数据信息安全保密技术

3.1 数字签名技术

在计算机网络通信中, 经常会出现一些假冒、伪造、篡改的数据信息, 对企业应用数据信息造成了严重影响, 对此, 采取相应的技术保护措施也就显得非常重要。数字签名技术主要是指对数据信息的接收方身份进行核实, 在相应的报文上面签名, 以免事后影响到数据信息的真实性[4]。在交换数据信息协议的过程中, 接收方能够对发送方的数据信息进行鉴别, 并且不能够出现否认这一发送信息的行为。通过在数据签名技术中应用不对称的加密技术, 能够明确文件发送的真实性, 而通过解密与加密技术, 能够实现对数据信息传输过程的良好控制, 以免出现信息泄露的情况。

3.2 接入控制技术

接入控制技术主要是指针对用户所应用的计算机信息系统进行有效控制, 实现一般用户对数据库信息的资源共享, 这是避免非法入侵者窃取涉密信息的另一关卡。对于需要密切保密的数据信息库, 用户在访问之前应当明确是否能够登陆, 及登陆之后是否涉及保密信息, 以加强数据信息控制。在对绝密级信息系统进行处理时, 访问应当控制到每个用户。在系统内部用户非授权的接入控制中, 任意访问控制是指用户可以随意在系统中规定的范围内活动, 这对于用户来说较为方便, 而且成本费用也比较低廉。但是此种做法的安全性较低, 如果有用户进行强制访问, 势必会导致外来信息入侵系统。对此, 采用强制访问方法能够有效避免非法入侵行为, 虽然安全费用较大, 但是安全系数较高[5]。

3.3 跟踪审计技术

跟踪审计技术主要是指对数据信息的应用过程进行事后的审计处理, 也就是一种事后追查手段, 对数据系统的安全操作情况进行详细记录。通过采用此种技术, 如果数据库系统出现泄密事件, 能够对泄密事件的发生时间、地点及过程进行记录, 同时对数据库信息进行实时监控, 并给出详细的分析报告, 以保证数据库系统的可靠性。跟踪审计技术可以分为好几种类型, 如数据库跟踪审计、操作系统跟踪审计等。这些技术的应用及实施, 能够加强对数据库信息的安全限制, 以免再次出现病毒入侵的情况。

3.4 防火墙技术

防火墙技术主要是指对计算机网络的接入进行有效控制, 如果有外部用户采用非法手段接入访问内部资源, 防火墙能够进行识别并进行相应的反击处理, 从而将不良信息隔在网络之外。防火墙的基本功能是对网络数据信息进行过滤处理, 同时对外来用户的访问进行分析和管理, 拦截不安全信息, 将网络攻击挡在网络之外[6]。

网络防火墙所采用的技术措施不同, 可分为四种类型: (1) 包过滤型技术。该技术是分组交换技术在网络中的应用, 将数据分割成一定大小的数据包后, 在每个分组包含一定信息的情况下, 防火墙一旦发现来自危险站点的分组包, 就会自动选择丢弃。这种技术的优势是成本较低, 并且能够进一步加强数据库系统的安全保障。但也存在一定的缺点, 就是对于应用层的恶意侵入信息无法有效识别。 (2) 网络地址转化。网络地址转换技术的应用允许具有私有化的IP地址的内部网络访问因特网, 在内部网络通过安全网卡访问外部网络时, 将会产生映射记录, 系统将外出的源地址和源端口映射为一个伪装的地址和端口, 该地址和端口通过非安全网卡与外部网络相连接。这样, 虽然通过非安全网络, 但隐藏了真实地址。防火墙根据事先定义好的映射规则检测请求访问的IP地址的安全性, 符合规则的则会接受访问请求。 (3) 代理型防火墙技术。它的安全性比包过滤技术要高很多, 能够完全阻挡客户机和服务器之间的数据交流。代理服务器根据客户机的请求向服务器索取数据, 然后由代理服务器传回, 内部网络系统很难遭到外部的恶意侵害。 (4) 监测型防火墙技术。它与传统防火墙技术有本质区别, 此种技术措施不仅能够对各个层次的数据信息进行检测和存储, 同时还能够对这些数据信息进行分析和过滤, 以避免出现非法侵入。同时能够检测网络外部的攻击, 还能对来自内部的恶意破坏进行有效防范。

3.5 数据信息安全保密人才的培养

人才是技术的载体和关键, 企业要想应用数据信息安全保密技术, 应当注重人才的培养, 以适应信息化背景下保密工作的高要求。可对有关技术人员进行短期集中训练, 训练工作要重点突出, 并且具有一定的针对性。为技术人员提供进入院校进修的机会[7]。技术人员应注意总结经验和提高个人素质, 根据工作需要和个人实际情况, 充分利用有效资源和条件进行学习, 将所学理论知识和实际工作进行有效结合。

4 结语

对数据信息进行安全保密管理是信息安全的关键, 也是安全管理的核心。随着现代科学技术的不断发展, 信息化条件下的保密工作和传统的保密工作已经有了截然不同的特点。因此, 在未来的发展过程中, 对于数据信息的安全保密显得更加重要, 需要进一步改进相关技术, 需要企业不断努力。

摘要：数据信息安全保密技术是保障数据信息化水平和信息能力的基础, 也是保障企业经济利益的基础。随着计算机技术的广泛应用, 信息安全保密管理的对象、范围、手段、方式等都发生了很大的变化, 安全保密技术的要求, 难度也不断加大。本文将对数据信息安全保密技术进行详细研究。

关键词：数据信息,安全技术,保密技术

参考文献

[1]杨通胜, 徐芳萍.数据信息安全保密技术浅析[J].计算机与网络, 2012, 08 (05) :55-57.

[2]胡鑫.公共部门在发展电子政务中的信息安全保密管理对策研究[D].内蒙古大学, 2011, 08 (12) :156-157.

[3]周瑾, 杨倩.构建海洋科研机构信息安全保密技术防范体系[J].信息系统工程, 2012, 09 (03) :68-69+50.

[4]罗滦.档案信息“三轴四维能力”安全保障体系研究[D].浙江大学, 2013, 06 (05) :108-109.

[5]柳琰.信息安全专家眼中的保密科技与发展——访北京邮电大学信息安全中心主任杨义先教授[J].保密科学技术, 2011, 04 (10) :116-118.

[6]宋文江.基于电子签章技术的电子政务系统设计与实现[D].电子科技大学, 2013, 03 (08) :157-158.

手机安全保密隐患与防护研究篇10

手机通信作为移动通信家族中的一个分支, 由移动核心网、无线接入网 (基站) 和移动台 (手机) 三部分组成。其中移动台与基站是通过空中无线链路联接, 基站与移动核心网的内部及相互之间基本上是地面有线联接。手机是目前最不安全的一种通信手段, 存在若干安全隐患。本文在分析了手机存在的诸多安全隐患的基础上, 提出了相应的防护措施。

2 通信信息安全隐患

由于存在军事、商业秘密或一些个人隐私, 一些组织或个人会通过监听关注对象的手机窃取秘密, 用户本人很难发现, 其手段主要有以下几种方式:

⑴间谍软件窃听。间谍软件主要通过蓝牙、彩信、网络等途径非法安装, 如“卧底”监听软件。一旦被监听手机被非法安装这类软件, 就可以把手机上所有发送的短信、通话记录通过网络上传到服务器上, 监视者可以通过服务器看到被监听用户所有的短信和通话记录。

⑵移动电话拦截窃听。移动电话拦截系统有多种多样, 有的类似手机随身携带, 有的需要装包手提, 还有车载系统, 功能、性能各不相同。例如市面上销售的GSM-1移动电话拦截系统, 这是手机窃听器的新一代产品, 可以同时监听两部手机, 只需输入对方的手机号码, 对方通话时就有铃声或者震动提示, 就可监听, 在对方不通话时还可以拨打对方手机号码, 听他们周围的声音。

⑶冒充网络实体的监听。冒充网络实体的监听方法主要有复制手机SIM卡、设立伪基站等。其中, 复制SIM卡一般需要拿到SIM卡, 如手机保管不善、随便外借、外修, SIM卡就会失控;使用被复制过的SIM卡, 通话语音、短信息就很容易被另一部手机接受到。冒充手机通信基站非常可怕, 尤其是在涉密单位比较集中的地域, 伪基站能接受附近所有手机通信信息。

⑷空间无线通信被截获。手机通信过程中有相当一段时间在空间无线传输, 易被截获。例如美国的“梯队-Echelon”全球监听系统, 全球95%的无线信号都要被该系统过滤一遍。重点对象的语音特征都有记录, 只要该特征语音一出现, 系统就自动捕捉识别并存储下来, 留待分析。即使通信信息加密也不可靠, 因为加密算法不断被破解。如A5.2算法、CAVE算法、用LFSR产生PN序列加密等都被陆续证明是不安全的。

3 手机病毒木马攻击隐患

3.1 彩信病毒

这种病毒通过短信附加彩信来传送。其原理一般是利用用户麻痹心理, 一条短信后面还跟着彩信, 因为是朋友发过来的, 没有太多戒备。打开之后也看不到有什么内容, 没注意就安装了, 安装了以后什么也没有, 然后就不再管它。实际上, 病毒已植入运行, 自我复制短信再按通讯簿往外发送, 其内容与样式和接到的那个是一样的。这种病毒的传播速度很快, 感染人数比较多, 给用户造成的损失也大 (短信费) 。

3.2 木马程序

随着个体与手机之间的关系愈发亲近, 手机中存储的各种私人信息越发隐秘, 激发了一些人的恶意破坏欲望, 专门窥探手机用户的秘密。木马程序能被伪装成了普通游戏软件, 在用户接收安装这一程序的同时, 手机便自动向该网址回复安装该程序的手机上存放的通讯录, 有的还能实现短信、照片等一些数据文件远程获取。此外还有专门针对以手机为终端的银行转账、炒股等金融交易活动, 恶意程序能在后台自动截获键盘事件, 将键入的用户名和密码通过短信方式发送到事先预置的电话中。

4 手机安全防护措施

4.1 切断手机发送涉密场所信息的途径

如在涉密场所设置屏蔽室或者手机屏蔽柜 (套) , 进入涉密场所之前一律将手机存放在屏蔽室或者手机屏蔽柜 (套) 内;在保密会场等涉密场所使用移动通信干扰器, 切断移动通信工具与公众移动通信网的联系。

4.2 使用加密手机, 增加加密模块

通过加密, 可以极大地降低泄密的风险。因为很多秘密泄露, 都是别人在无意中发现的。但加密手机只是加密了通信信息, 并未对用户位置信息、身份信息等进行加密。稍有不慎, 涉密信息仍有可能泄露。另外, 移动通信加密也给密钥管理增加了困难。总之, 加密防护是相对的, 不是也不可能是绝对安全的。

4.3 提高警惕, 增强安全防范意识

涉密单位的领导和重要涉密岗位的工作人员不得使用他人赠予的移动通信工具;严禁使用普通移动通信工具谈论、传送涉密信息;慎重使用移动新业务, 一般不要开通移动定位、无线上网、移动电话簿等新业务;不要将移动通信工具连接到电脑等涉密信息设备上;移动通信工具外借、外修、保管要慎重, 防止失控;慎重使用别人送给你的用户卡, 不要使用来路不明的用户卡, 尽量在正规的运营商经销处购买用户卡;不要在手机上存储秘密数据或个人资料、隐私照片等;发现手机病毒后, 应尽快关闭手机, 妥善查杀病毒。