信息安全与保密论文

1、网络安全与保密在企业中的应用摘 要随着现代企业的迅速发展，计算机作为一种先进的辅助工具也迅速普及到关键词企业的各个部门， 同时与之相关的信息安全问题也日益凸显出来。本文首先陈诉网络网络信息安全与保密信息安全与保密的概述和当前所面临的威胁，陈诉网络信息安全与保密在企业中的应企业用，计算机信息安全与保密对企业的重要性，再介绍传统企业在信息安全等方面的一保护措施些策略，重点介绍网络信息安全与保密在企业运行中的重要作用及其相关措施。AbstractWith the rapid development of modern enterprises, the computer as anadvanced a

2、id quickly spread to all sectors as of business, and related information security issues are also increasingly prominent. In this paper, computer information security and confidentiality statement of concept and technology, and later in traditional enterprise information security aspects of some of

3、the strategies, and then make some additional suggestions and comments, and take an emphasis on the security and confidentiality of information should be as the progress of constantly updated, in order to protect business interests are not undermined.Key words computer informationsecurity and confid

4、entialityenterprisesprotection1. 网络安全与保密的概述1.1 网络安全与保密的概念网络安全从其本质上来讲就是网络上的信息安全。从广义来说，只要是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论。网络安全是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄漏，系统连续可靠正常地运行，网络服务不中断。网络安全与信息保密主要是指保护网络信息系统，使其没有危险、不受威胁、不出事故。网络安全的特征，网络安全应具有以下四个方面的特征：（ 1）保密性：信息不泄露给非授权用户、实体或过程，或供其利用的特性。（ 2

5、）完整性：数据未经授权不能进行改变的特性。即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。（ 3）可用性：可被授权实体访问并按需求使用的特性。即当需要时能否存取所需的信息。例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击；（ 4）可控性：对信息的传播及内容具有控制能力。 11.2：网络安全与保密的实现网络信息安全与保密是一个涉及面很广的问题。要实现网络信息安全与保密必须做到 :重视安全检测与评估 , 建立完善安全体系结构 , 制订严格的安全管理措施 , 强化安全标准。首先要重视安全检测和评估，入网前的检测和评估是保障网络信息安全与保密的重要措施 , 它能够

6、把不符合要求的设备或系统拒之门外。但是 , 更为重要的是实际网络运行中的检测与评估。其次要建立完善的安全体系，为了适应网络技术的发展 , 国际标准化组织 ( OSI) 的计算机专门委员会根据开放系统互连参考模型 ( OSI) 制订了一个网络安全体系结构 , 包括安全服务和安全机制。主要包括以下安全服务 :1) 对等实体鉴别服务。这种服务是在两个开放系统同等层中的实体建立连接和数据传送期间 , 为提供连接实体身份的鉴别而规定的一种服务。2) 访问控制服务。这种服务可以防止未经授权的用户非法使用系统资源。3) 数据保密服务。这种服务的目的是保护网络中各系统之间交换的数据 , 防止因数据被截获而造成

7、泄密。4) 数据整体性服务。这种服务用来防止非法实体 ( 用户 ) 的主动攻击 , 以保证数据接收方收到的信息与发送方发送的信息完全一致。5) 数据源鉴别服务。这是某一层向上一层提供的服务 , 它用来确保数据是由合法实体发出的 , 为上一层提供对数据源的对等实体进行鉴别 , 以防假冒。6) 禁止否认服务。这种服务用来防止发送数据方发送数据后否认自己发送过数据 , 或接收方接收数据后否认自己收到过数据。 21.3:网络信息安全的原则虽然任何人都不可能设计出绝对安全和保密网络信息系统 , 但是 , 如果在设计之初就遵从一些合理的原则 , 那么相应网络信息系统的安全与保密就更加有保障。从工程技术角度

8、出发 , 在设计网络信息系统时 , 至少应该遵守以下设计原则 :1) 网络信息系统安全与保密的 木桶原则 :对信息均衡、全面地进行安全保护。2) 网络信息安全系统的 整体性原则 : 安全保护 , 监测应急恢复。3) 信息安全系统的 有效性与实用性原则 :不能影响系统的正常运行和合法用户的操作活动。4) 信息安全系统的安全性评价原则:实用安全性与用户应用环境紧密相关。5) 信息安全系统的等级性原则 :安全层次和安全级别控制。6) 信息安全系统的动态化原则 :整个系统内仅可能引入更多的可变因素 , 并具有良好的扩展性。2：层出不穷的网络威胁2.1：恶意攻击人为的恶意攻击是有目的的破坏。恶意攻击可以

9、分为主动攻击和被动攻击。主动攻击是指以各种方式有选择地破坏信息（如修改、删除、伪造、添加、重放、乱序、冒充、病毒等） 。被动攻击是指在不干扰网络信息系统正常工作的情况下，进行窃取、截获、破译和业务流量分析及电磁泄露等。由于人为恶意攻击有明显企图，其危害性相当大，给国家和企业安全、知识产权和个人信息带来巨大威胁。2.2：安全缺陷网络信息系统是计算机技术和通信技术的结合。计算机系统的安全缺陷和通信链路的安全缺陷，构成了网络信息系统的潜在安全缺陷。计算机硬件资源易受自然灾害和人为破坏；软件资源和数据信息易受计算机病毒的侵扰，非授权用户的复制、篡改和毁坏。计算机硬件工作时的电磁辐射以及软硬件的自然失效

10、、外界电磁干扰等均会影响计算机的正常工作。采用主动攻击和被动攻击可以窃听通信链路的信息，并非法进入计算机网络获取有关敏感性重要信息。2.3：软件漏洞网络信息系统由硬件和软件组成。由于软件程序的复杂性和编程的多样性，在网络信息系统的软件中很容易有意或无意地留下一些不易被发现的安全漏洞，软件漏洞显然会影响网络匿名 FTP。匿名 FTP 是英特网服务商信息的安全与保密。下面介绍一些有的一项重要服务，它允许任何网络用代表性的软件安全漏洞。操作系统的户通过 FTP 访问系统上的软件，而不安全漏洞：操作系统是硬件和软件应正确的配置将严重威胁系统的安全。用程序之间接口的程序模块，它是整远程登录。在大型网络环

11、境下，个网络信息系统的核心控制软件，系远程登录可以给用户带来很大方便，统的安全体现在整个操作系统之中。但在方便的背后却潜藏着一个很大的操作系统的安全是深层次的安全，主安全危机。网络黑客只要在所攻击的要的安全功能包括：存储器保护（限目标主机的 IP 包所经过的一条路由上定存储区和地址重定位，保护存储的运行“嗅探器”的程序，就可以截取信息）、文件保护（保护用户和系统文目标口令。所以，远程登录将给网络件，防止非授权用户访问）、访问控制、黑客提供便利的入侵机会，给网络安用户认证（识别请求访问的用户权限全和信息保密带来很大威胁。和身份）。电子邮件。电子邮件是当今网络数据库的安全漏洞：数据库是从操上使用最

12、多的一项服务，因此，通过作系统的文件系统基础上派生出来的电子邮件来攻击一个系统是网络黑客用于大量数据的管理系统。数据库的们的拿手好戏。在计算机网络中最容全部数据都记录在存储媒体上，并由易被窃的就是电子邮件的信息。电子数据库管理系统（ DBMS ）统一管理。邮件的发送要经过许多中转主机节DBMS 为用户及应用程序提供一种访点。在每个节点邮件将被临时存贮，问数据的方法，对数据库进行组织和直到线路畅通，才会沿最佳路径向下管理，并对数据库进行维护和恢复。一个主机节点传送。电子邮件这种犹DBMS 是在操作系统的基础之上运行如明信片慢件一样一件件的接力传递的应用程序，是为多个用户共享的应方式，每经过一个节

13、点就多了一次被用软件。有些数据库将原始数据以明黑客截取信息的机会。电子邮件给网文形式存储于数据库中，对存储数据络带来的另一个安全问题是 E-mail 计没有进行加密保护。入侵者采用某种算机病毒，比如莫里斯“蠕虫”病毒，方式打入系统，从系统的后备存储器正是利用 E-mail 来进行广泛传播的。上窃取数据或篡改数据。 3口令设置的漏洞：口令是网络信息系TCP/IP 协议的安全漏洞： TCP/IP 协统中最常用的安全与保密措施之一。议是上世纪 90 年代以来发展最为迅速如果用户采用了适当的口令，那么他的网络协议。目前， TCP/IP 协议在英的信息系统安全性将得到大力加强。特网上一统天下。正是由于它

14、的广泛然而实际上，谨慎设置口令的网络用使用性，使得 TCP/IP 的任何安全漏洞户很少，这对计算机内信息的安全保都会产生巨大影响。 TCP/IP 通信协议护带来了很大的隐患。网络信息系统在设计初期并没有考虑到安全性问的设计安全性再强，如果用户选择的4题，而且用户和网络管理员没有足够口令不当，仍然存在被破坏的危险。的精力专注于网络安全控制，加上操3：企业中网络信息与保作系统和应用程序越来越复杂，开发人员不可能测试出所有的安全漏洞，密方面的措施连接到网络上的计算机系统就可能受到外界的恶意攻击和窃取。网络软件随着信息和网络技术的发展，网与网络服务的漏洞：比较常见的网络络已经存在于人们生活的每个角落，

15、软件与网络服务的漏洞有以下几种。并且给人们带来了很大的便利。由于网络是一个开放式的系统，对网络的安全和信息的保密的措施还不完善，存在着安全隐患，网络安全形式日趋严峻。目前，所有的企业的资料都是通过网络来存储信息的，并且大部分的工作也离不开网络，网络安全一旦有问题，那么信息保密必然存在问题，这样将会给企业带来无法弥补的损失。3.1：信息安全保密的重要性对现代企业来说核心技术信息的安全与保密工作因其关系到企业的核心竞争力及利益而显得尤为重要。由于计算机在信息的存储安全方面有着比其他媒体更可靠等特点，现代企业一般都会将核心技术信息存放于较为安全可靠的计算机里，并设置重重保护，但即使如此，技术信息泄密

16、事情也屡见不鲜。重要的客户资料及商业信息由于客户资料及商业信息会经常使用并更新，所以与外界的接触也最多，这也导致其安全大为下降，而一旦被竞争对手所掌握，则可能导致本企业的利益则流失，最终使企业利益受损。3.2：企业中传统的网络安全与保密的措施3.2.1：身份认证身份认证是通信双方在实质性数据传输之前进行审查和证实对方身份的操作。身份认证可以在用户登录时进行，也可以贯穿于数据传输的过程中。在允许用户进入计算机网络系统之前，必须进行严格的身份认证。身份认证可以采用普通口令系统、一次性口令或生理特征等认证措施。 53.2.2 访问控制访问控制是指对合法用户进行文件和数据操作权限的限制。这种权限主要包

17、括对信息资源的读、写、执行等。在内部网与外部网之间，应该设置保密网关或者火墙。实现内外网的隔离与访问控制是保证内部网信息保密的最主要，同时也是最有效、最经济的措施之一。在内部网中，对涉密程度不高的系统，可以按用户类别进行访问控制，对涉密程度高的系统，访问必须控制到单个用户。 63.2.3 涉密信息的加密加密是提高计算机网络中信息的保密性、完整性，防止信息被外部破析所采用的主要技术手段，也是最可靠、最直接的方案。加密算法主要有两种：私钥（对称密钥）加密法和公钥（非对称密钥）加密法。在涉密计算机网络的出入口处设置用于检查信息加密情况的保密网关，对内部网内出网的电子文件，规定必须加保密印章标识，并对

18、其进行检查和处理：无密级的文件，允许出关。由国家保密局立项研制的内部网保密网关已经投入了使用，它能够为保证计算机网7络的信息保密起到重要的防范作用。 3.2.4 数据完整性验证技术数据完整性验证是指在数据处理过程中，验证接收方接收到的数据就是发送方发送的数据，没有被篡改。3.2.5 防通信业务流分析技术通过填充冗余业务流的方法可以防止攻击者进行通信业务流分析。 3.2.6 网上信息内容的保密检查技术为了了解网络用户执行保密法规制度的情况，及时发现泄密问题，必须加强对网上信息内容的保密检查。3.2.7 审计跟踪审计是记录用户使用计算机网络系统进行所有活动的过程，它是提高安全保密性的重要工具。 8

19、计算机网络系统应有详细的系统日志，记录每个用户的每次活动（访问时间和访问的数据、程序、设备等），以及系统出错信息和配置修改信息。3.2.8 防电磁泄漏发射目前，为防止网络信息设备电磁进行管理，对其复制、打印、借阅、泄漏发射造成泄密，所采取的安全措存放、销毁等均应遵守有关规定。同施主要有：用屏蔽室把网络信息设备一片软盘中不要棍录秘密文件和公开与周围隔离，防止电磁波向屏蔽室外文件，如果同时录有不同密级的文件，泄漏。屏蔽室适用于同网络中心机房应按密级最高的管理。还应对操作过及设备集中使用、处理高密级信息的程中临时存放过秘密文件的磁盘以及系统。采用低辐射网络信息设备将电调试运行中打印的废纸作好妥善处磁

20、辐射减小到规定的强度，使窃收信理。息成为不可能。这种方法适用于设备3.3.2 从技术上保证计算机信息的分散使用、处理高密级信息的系统。安全以电磁波的形式对网络信息设备电磁使用低辐射计算机设备。这是防止泄漏发射进行干扰，使窃收方不能提计算机辐射泄密的根本措施，这些设取信息。这种方法经济、方便，适用备在设计和生产时，已对可能产生信于处理较低密级信息的系统。对传输息辐射的元器件、集成电路、连接线线路传导辐射的抑制，由于电缆传输和等采取了防辐射措施，把设备的信辐射信息的不可避免性，应该尽可能息辐射抑制到最低限度。屏蔽。根据采用光缆传输的方式。辐射量的大小和客观环境，对计算机3.3 对传统防护措施的补充

21、机房或主机内部件加以屏蔽，检测合格后，再开机上作。将计算机和辅助尽管传统的安全保密策略能够满设备用信息屏蔽笼封闭起来，并将全足一般的企业日常应用需要，但一些局屏蔽笼接地，能有效地防止计算机小问题还是经常出现，稍不注意就可和辅助设备的电磁波辐射。不具备上能导致出大问题，比如对秘密文件的述条件的，可将计算机辐射信号的区复制、打印、借阅、存放、销毁以及域控制起来，不许外部人员接近。干计算机的维修、更新换代等等问题，扰。根据电子对抗原理，采用一定的所以本文认为还应从以下几方面进一技术措施，利用干扰器产生噪声与计步加强信息的安全与保密工作：算机设备产生的信息辐射一起向外辐3.3.1 建立完善的网络保管制

22、度射。对计算机的辐射信号进行于扰，建立严格的机房管理制度，禁止无增加接收还原解读的难度，保护计算关人员随便进出机房，网络系统的中机辐射的秘密信息。不具备上述条件心控制室更应该有严格的出人制度。的，也可将处理重要信息的计算机放同时机房选址要可靠，重要部门的机在中间，四周置放处理一般信息的计房要有必要的保安措施。规定分级使算机。这种方法可降低辐射信息被接用权限。首先，对计算机中心和计算收还原的可能性。对联网泄密的技术机数据划分密级，采取不同的管理措防范措施 :一是身份鉴别。计算机对用施，秘密信息不能在公开的计算机中户的识别，主要是核查用户输人的口心处理，密级高的数据不能在密级低令，网内合法用户使用资源信息也有的机中心处理；其次，根据使用者的使用权限问题，因此，对口令的使用不同情况，规定不同使用级别，低级要严格管理。二是监视报警。对网络别的机房不能进行高级别的操作；在内合法用户工作情况作详细记录，对系统开发中，系统分析员、程序员和非法用户，计算机将其闯人网络的尝操作员应职责分离，使知悉全局的人试次数、时间。电话号码等记录下来，尽可能少。加强对媒体的管理。录有并发出报警，依此追寻非法用户的下秘密文件的媒体，应按照等密级文