IT2023-8目 錄\l“_TOC_250031“一、信息系統安全的含義 3\l“_TOC_250030“二、信息系統涉及的內容 4\l“_TOC_250029“三、現有信息系統存在的突出問題 6\l“_TOC_250028“1、信息系統安全治理問題突出 6\l“_TOC_250027“2、缺乏信息化安全意識與對策 7\l“_TOC_250026“3、重安全技術，輕安全治理 7\l“_TOC_250025“4、系統治理意識淡薄 7\l“_TOC_250024“四、信息系統安全技術及規劃 8\l“_TOC_250023“1、網絡安全技術及規劃 8\l“_TOC_250022“網絡加密技術 8\l“_TOC_250021“防火墻技術、內外網隔離、網絡安全域的隔離 9\l“_TOC_250020“網絡地址轉換技術 10\l“_TOC_250019“操作系統安全內核技術 11\l“_TOC_250018“身份驗證技術 11\l“_TOC_250017“網絡防病毒技術 11\l“_TOC_250016“網絡安全檢測技術 13\l“_TOC_250015“安全審計與監控技術 13\l“_TOC_250014“網絡備份技術 14\l“_TOC_250013“2、信息安全技術及規劃 14\l“_TOC_250012“鑒別技術 14\l“_TOC_250011“數據信息加密技術 15\l“_TOC_250010“數據完整性鑒別技術 15\l“_TOC_250009“防抵賴技術 15\l“_TOC_250008“數據存儲安全技術 16\l“_TOC_250007“數據庫安全技術 16\l“_TOC_250006“信息內容審計技術 17\l“_TOC_250005“五、信息系統安全治理 17\l“_TOC_250004“1、信息系統安全治理原則 18\l“_TOC_250003“、多人負責原則 18\l“_TOC_250002“、任期有限原則 18\l“_TOC_250001“、職責分別原則 19\l“_TOC_250000“2、信息系統安全治理的工作內容 19一、信息系統安全的含義體系性安全的綜合。具體來說，信息安全指的是信息的保密性、完整得到有效的防范和遏制。的緣由而患病到破壞、更改、泄漏，系統連續牢靠正常的運行，網絡安全風險的評估、掌握、治理、策略指定、制度落實、監視審計、持續改進等方面的工作。態，所謂的安全是相比照較而言的。其次，信息化安全是一個過程，斷的應用于網絡和其支撐體系，才可能提高系統的安全性。第三，在信息系統安全中，人始終是一個重要的角色，由于人的動機、素養、品德、責任、心情等因素，在治理、操作、攻擊等方面有不同表現，險都是不斷變化的。記錄、診斷、審計、分析、追溯各種攻擊，治理方面側重于相應于技術實現實行的人員、流程治理和規章制度。因此，從某種意義上講，信息系統安全不僅是技術難題，而且也是治理問題。二、信息系統涉及的內容信息系統安全所涉及到的主要內容包括：·系統運行的安全：擾。·訪問權限和系統信息資源保護：對網絡中的各種軟硬件資源〔主機、硬盤、文件、數據庫、子網等〕進展訪問掌握，防止未授權的用戶進展非法訪問，訪問權限掌握技術包括口令設置、身份識別、路由設置、端口掌握等。系統信息資源保護包括身份認證、用戶口令鑒別、用戶存取權限掌握、數據庫存取權限掌握、安全審計、計算機病毒防治、數據保密、數據備份、災難恢復等。·信息內容安全：全還包括信息傳播產生后果的安全、信息過濾等，防止和掌握非法、有害的信息進展傳播后的后果。·作業和交易的安全：網絡中的兩個實體之間的信息溝通不被非法竊取、篡改和冒充，保證信息在通信過程中的真實性、完整性、保密性和不行否認性。作業和交易安全的技術包括數據加密、身份認證。數字簽名等，其核心是加密技術的應用。·人員和安全的規章制度保障：息系統安全不行缺少的一個局部。在人員角色、流程、職責、考察、審計、聘任、解聘、辭職、培訓、責任分散等方面，建立可操作的治理安全防范體系。·安全體系整體的防范和應急反響功能：的恢復。三、現有信息系統存在的突出問題1、信息系統安全治理問題突出全的治理包括安全規劃、風險治理、應急反響打算、安全教育培訓、制度可落實性差，甚至沒有規章制度。對人的治理，還需要解決多人負責、責任到人、任期有限的問題。領導對信息化還不夠重視，沒有形成群防群治的意識。信息安全的教育和培訓還不夠。2、缺乏信息化安全意識與對策導和組織信息化安全治理工作，表現為缺乏完整的信息安全治理制度，缺乏對員工進展必要的安全法律法規和安全風險防范教育和培訓，現有的安全規章制度組織機構未能嚴格發揮作用。3、重安全技術，輕安全治理應的治理措施不到位，如系統運行、維護、開發等崗位不清，職責局部，存在一人身兼數職現象。信息化安全大約70％以上的問題是由術方面入手，同時更應當加強安全治理的工作。4、系統治理意識淡薄的方法，頭疼醫頭，腳疼醫腳，是一種就事論事，靜態的治理方法，不是建立唉安全風險評估根底之上的動態的持續改進治理方法。四、信息系統安全技術及規劃1、網絡安全技術及規劃技術、操作系統安全內核技術、身份驗證技術、網絡防病毒技術、檢測審計技術、備份技術等。網絡加密技術節點加密三種。對源節點到目的節點之間的傳輸鏈路供給加密保護。〔都加密，因此數據在傳輸中是密文的，但在中心節點必需解密得到路由信息。TCP/IP為不行閱讀和不行識別的數據穿過網絡，當這些信息一旦到達目的地，將自動解密、重組，成為可讀數據。端點加密是面對網絡高層主體的，它不對下層協議進展信息加密，協議信息以明文的形式傳輸，用戶數據在中心節點不需解密。更牢靠，更簡潔設計、實現和維護。端點加密還避開了其他加密系統所固有的同步問題，此外，從用戶的角度動身，端點加密更自然些，在對數據信息進展加密的同時，不影響網絡上其他的用戶。防火墻技術、內外網隔離、網絡安全域的隔離在內外部網絡之間，設置防火墻〔包括分組過濾和應用代理〕實＝控進出網絡的數據信息，從而完成僅讓安全、核準的數據信息進入，戶、限定訪問的特別站點等等。防火墻的主要技術類型包括網絡級數據包過濾器和應用級代理火墻系統各有優缺點，因此在實際中，應將二者結合起來使用。分組俗稱“網關“，作用在應用層，特點是完全隔絕了網絡通信流，通過對作用。實際中的應用網關通常有專用工作站實現。段的問題穿過整個網絡傳播。針對某些網絡，在某些狀況下，它的一對全局網絡造成的影響。網絡地址轉換技術IP地址缺乏的問題，現在多用于網絡安全。內部主IP地址，相反的，外部主機要向不到內部網絡，從而隱蔽內部網絡，到達保密的目的，使系統的安全ISPIP地址。操作系統安全內核技術系統的漏洞等。身份驗證技術身份的兩個重要環節。在撥號上網、主機登錄、遠程訪問等都涉及到USBKey、IC卡等介質上，還可以配備生物活體的身份驗證。對整個明文進展某種變換，得到一個值，作為核實簽名。承受者使用某種運算結果全都，則簽名有效，證明雙方的身份是真實的。固然，簽名也可以承受多種方式。網絡防病毒技術計算機病毒的防范也是網絡安全技術中重要的一環。網絡防病毒技術包括預防病毒、檢測病毒和消退病毒三種技術。算機系統和對系統進展破壞。技術手段包括：加密可執行程序、引導保護、系統監控與讀寫掌握〔如防病毒卡〕等。自身檢驗、關鍵字、文件長度變化等。病毒檢測始終是病毒防護的支柱，然而，隨著病毒的數目和可能的切入點的大量增加，識別奇異代碼串的進程變得越來越簡單，而且簡潔產生錯誤和疏忽。因此，因此功能集成起來，形成多層次防范體系，既有穩健的病毒檢測功能，又有客戶機/效勞器數據保護力量，也就是掩蓋全網的多層次方法。攻擊，這樣的病毒存在于信息共享的網絡中，因而要在網關上設防，在最小的范圍內。更病毒庫。網絡安全檢測技術絡系統進展安全性分析，準時覺察并修正存在的漏洞和弱點。漏洞，建議補救措施和安全策略，到達增加網絡安全性的目的。安全審計與監控技術并且加以分析，有選擇性的對其中的某些站點或用戶進展審計跟蹤，以便對覺察或可能產生的破壞性行為供給有力的證據。心或審計小組，對全部各層次的審計數據進展統一處理和治理。網絡備份技術地內高速度、大容量自動的數據存儲、備份與恢復；場地外的數據存破壞數據完整性時起到保護作用，同時也是系統災難恢復的前提之一。2、信息安全技術及規劃對網絡傳輸信息內容的審計三方面。鑒別技術體身份。一是只有該主體了解的隱秘，如口令、密鑰；而是主體攜帶或力量，如指紋、聲音、視網膜或簽字等。口令機制：口令是相互商定的代碼，假設只有用戶和系統知道。口令有時由用戶選擇，有時由系統安排。智能卡：訪問不但需要口令，也需要使用物理智能卡，在允許其進入系統之前檢查是否允許其接觸系統。主體特征識別：利用個人特征進展鑒別的方式具有很高的安全性。目前已有的設備包括：視網膜鑒別儀、聲音驗證設備、手型識別器和指紋識別器等。數據信息加密技術信線路上的竊聽、泄漏、篡改和破壞。信息加密過程是由加密算法來實現的，以很小的代價供給很牢靠的安全保護。在多數狀況下，信息加密是保證信息保密性的唯一方法。數據完整性鑒別技術所以應實行有效的措施來保證信息的完整性。防抵賴技術三方數字證書；使用時間戳；承受一個在線的第三方、數字簽名與時間戳相結合等方法。使用便利，有必要選取集成的安全保密技術措施及設備。數據存儲安全技術最為典型，而對各種功能文件的保護，終端安全很重要。數據庫安全技術幾點：于影響其他字段；元素完整性，包括在每個元素中的數據是準確的；數據的加密；用戶鑒別，確保每隔用戶被正確識別，避開非法用戶的入侵；可獲得性，指用戶一般可訪問數據庫和全部授權訪問的數據；可審計性，能夠追蹤到誰訪問過數據庫。策略；二是以現有的數據庫系統所供給的功能為根底構建安全模塊，旨在加強現有數據庫系統的安全性。信息內容審計技術泄密行為。五、信息系統安全治理面對信息化安全的脆弱性，除了在網絡設計上增加安全效勞功個計算機網絡應用部門的重視。在建立治理體系、制度的同時，建議1、信息系統安全治理原則對于信息系統的安全治理，需要確定其安全治理原則，一般的，信息系統的安全治理原則有以下三個：、多人負責原則每一項與安全有關的操作和治理活動，都必需有兩人或多人在場。所進展的活動應當是與安全治理相關的各項活動：訪問掌握使用證件的發放與回收；信息處理系統使用的媒介發放與回收；處理保密信息；硬件和軟件的維護；系統軟件的設計、實現和修改；重要程序和數據的刪除和銷毀等。、任期有限原則輪番培訓，以使任期有限制度切實可行。、職責分別原則作建議分開：計算機操作與計算機編程；機密資料的接收與發送；安全治理與系統治理；應用程序與系統程序