(1)物理安全。物理安全主要包括環境安全、設備安全、媒體安全等方面。處理秘密信息的系統中心機房應采用有效的技術防範措施,重要的系統還應配備警衛人員進行區域保護。
(2)運行安全。運行安全主要包括備份與恢復、病毒的檢測與消除、電磁兼容等。涉密系統的主要設備、軟件、數據、電源等應有備份,並具有在較短時間內恢復系統運行的能力。應采用國家有關主管部門批準的查毒殺毒軟件適時查毒殺毒,包括服務器和客戶端的查毒殺毒。
(3)信息安全。確保信息的保密性、完整性、可用性和抗抵賴性是信息安全保密的中心任。
(4)安全保密管理。涉密計算機信息系統的安全保密管理包括各級管理組織機構、管理制度和管理技術三個方面。要通過組建完整的安全管理組織機構,設置安全保密管理人員,制定嚴格的安全保密管理制度,利用先進的安全保密管理技術對整個涉密計算機信息系統進行管理。
問題二:信息安全包括哪些方面的內容 其實我覺得大多數企業沒必要在信息安全這個定義上糾結太多,只需要做好哪些措施就行了,技術、資金實力好的可以自己來做信息安全,不然的話可以考慮購買現有的成熟方案。
推薦下IP-guard的內網安全解決方案
IP-guard是2001年推出的壹款內網安全管理軟件,擁有18個功能和7大解決方案,在各行各業都有著眾多知名企業成功案例,包含知名世界500強、知名日企、國內知名企業等。
IP-guard主要功能包括:透明加密、安全網關、只讀加密、即時通訊、文檔操作管控、文檔打印管理、郵件管控、應用程序管理、網絡流量、屏幕監控、資產管理等。
IP-guard適用於企業信息防泄露、行為管控、系統運維三大領域,迄今為止已經服務超過15,600家國內外企業,部署超過4,700,000臺計算機。
問題三:企業信息安全包括哪些方面? 信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網絡傳輸信息內容的審計三方面。
鑒別
鑒別是對網絡中的主體進行驗證的過程,通常有三種方法驗證主體身份。壹是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨壹無二的特征或能力,如指紋、聲音、視網膜或簽字等。
口令機制:口令是相互約定的代碼,假設只有用戶和系統知道。口令有時由用戶選擇,有時由系統分配。通常情況下,用戶先輸入某種標誌信息,比如用戶名和ID號,然後系統詢問用戶口令,若口令與用戶文件中的相匹配,用戶即可進入訪問。口令有多種,如壹次性口令,系統生成壹次性口令的清單,第壹次時必須使用X,第二次時必須使用Y,第三次時用Z,這樣壹直下去;還有基於時間的口令,即訪問使用的正確口令隨時間變化,變化基於時間和壹個秘密的用戶鑰匙。這樣口令每分鐘都在改變,使其更加難以猜測。
智能卡:訪問不但需要口令,也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡,壹般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的壹個唯壹數(ID)和其它數據的加密形式。ID保證卡的真實性,持卡人就可訪問系統。為防止智能卡遺失或被竊,許多系統需要卡和身份識別碼(PIN)同時使用。若僅有卡而不知PIN碼,則不能進入系統。智能卡比傳統的口令方法進行鑒別更好,但其攜帶不方便,且開戶費用較高。
主體特征鑒別:利用個人特征進行鑒別的方式具有很高的安全性。目前已有的設備包括:視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統
數據傳輸加密技術目的是對傳輸中的數據流加密,以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分,加密可以在通信的三個不同層次來實現,即鏈路加密(位於OSI網絡層以下的加密),節點加密,端到端加密(傳輸前對文件加密,位錠OSI網絡層以上的加密)。
壹般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿,是對保密信息通過各鏈路采用不同的加密密鑰提供安全保護。鏈路加密是面向節點的,對於網絡高層主體是透明的,它對高層的協議信息(地址、檢錯、幀頭幀尾)都加密,因此數據在傳輸中是密文的,但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密,並進入TCP/IP數據包回封,然後作為不可閱讀和不可識別的數據穿過互聯網,當這些信息壹旦到達目的地,將自動重組、解密,成為可讀數據。端到端加密是面向網絡高層主體的,它不對下層協議進行信息加密,協議信息以明文形式傳輸,用戶數據在中央節點不需解密。
數據完整性鑒別技術 目前,對於動態傳輸的信息,許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應采取有效的措施來進行完整性控制。
報文鑒別:與數據鏈路層的CRC控制類似,將報文名字段(或域)使用壹定的操作組成壹個約束值,稱為該報文的完整性檢測向量 ICV(Integrated Check Vector)。然後將它與數據封裝在壹起進行加密,傳輸過程中由於侵入者不能對報文解密,所以也就不能同時修改數據並計算新的ICV,這樣,接收方收到數據後解密並計算ICV,若與明文中的ICV不同,則認為此報文無效。
校驗和:壹個最簡單易行的完整性控制方法是使用校驗和,計算出該文件的校驗和值並與上次計算出的值比較。若相等,說明文件沒有改變;若不等,則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯,但不能......>>
問題四:信息安全主要包括哪些內容 信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
問題五:請問信息安全壹般包括哪兩方面 壹個方面是信息本身的安全性,比如防丟失,防文件被誤刪除,防文件被破壞等等。
另壹個方面是指信息使用權的安全性,比如防止信息被盜用,防止信息泄露等等。
問題六:互聯網信息安全都包括那些? 信息安全本身包括的範圍很大。大到國家軍事政治等機密安全,小到如防範商業企業機密泄露、防範青少年對不良信息的瀏覽、個人信息的泄露等。網絡環境下的信息安全體系是保證信息安全的關鍵,包括計算機安全操作系統、各種安全協議、安全機制(數字簽名、信息認證、數據加密等),直至安全系統,其中任何壹個安全漏洞便可以威脅全局安全。信息安全服務至少應該包括支持信息網絡安全服務的基本理論,以及基於新壹代信息網絡體系結構的網絡安全服務體系結構。 到了今天的互聯網時代,信息安全要防範的主要方面有:計算機犯罪、黑客行為、信息丟失、電子諜報(比如信息流量分析、信息竊取等)、信息戰、網絡協議自身缺陷(例如TCP/IP協議的安全問題)、嗅探(嗅探器可以竊聽網絡上流經的數據包)等等。
問題七:網絡安全包括哪些內容 網絡安全知識互聯網產業穩定發展解決網絡安全問題是關鍵
網絡安全問題接踵而至,給飛速發展的互聯網經濟籠上了壹層陰影,造成巨額損失。可以說,互聯網要持續快速發展就不得不趟過安全這道彎。
如果說高高上揚的納斯達克股使人們看到泡沫背後的網絡魔力的話,那麽接連不斷的網絡安全事件則讓人們開始冷靜地思考魔力背後的現實――網絡遊戲玩家裝備被盜事件層出不窮;網站被黑也是頻繁發生;壹波又壹波的病毒“沖擊波”則讓互聯網用戶們戰戰兢兢。黑客、病毒已經成為時下充斥網絡世界的熱門詞語,它們輪番的攻勢使本不堅固的互聯網絡越發顯得脆弱。這就告訴我們:人們在享受著互聯網所帶來的便利信息的同時,必須認真對待和妥善解決網絡安全問題。
據最新統計數據顯示,目前我國95%的與因特網相聯的網絡管理中心都遭到過境內外黑客的攻擊或侵入,受害涉及的覆蓋面越來越大、程度越來越深。據國際互聯網保安公司symantec2002年的報告指出,中國甚至已經成為全球黑客的第三大來源地,竟然有6.9%的攻擊國際互聯網活動都是由中國發出的。另壹方面從國家計算機病毒應急處理中心日常監測結果來看,計算機病毒呈現出異常活躍的態勢。在2001年,我國有73%的計算機曾感染病毒,到了2002年上升到近84%,2003年上半年又增加到85%。而微軟的官方統計數據稱2002年因網絡安全問題給全球經濟直接造成了130膽美元的損失。
眾所周知,安全才是網絡的生存之本。沒有安全保障的信息資產,就無法實現自身的價值。作為信息的載體,網絡亦然。網絡安全的危害性顯而易見,而造成網絡安全問題的原因各不相同。
首先是用戶觀念上的麻痹,缺乏相應的警惕性,而這種觀念的結果就是管理跟不上技術發展的步伐,更談不上具體的網絡安全防範措施和防範意識。由於用戶對網絡安全存在被動和壹勞永逸的意識,在出現網絡安全問題時,並不知道該采取什麽措施有效地保護自己的信息安全。大多數人認為,用幾種殺毒軟件和防火墻就能保障網絡信息的安全,雖然這種做法的確有壹定的效果,但這並不能保障網絡的絕對安全。可見,要想有效地解決網絡安全問題,首要的就是用戶要重視安全問題和提高安全意識,在思想意思上為網絡築起壹道“防護墻”。
其次,我國的網絡安全設備大部分都是進口的,還沒有我們自己的核心產品。這在很大程度上造成了對國外企業網絡安全產品的依賴性,對我國的網絡信息安全造成了壹定的影響。因此,我們應該加強自身網絡安全技術的研發能力,提高我國網絡安全實際操作能力。
問題八:金融機構信息安全包括哪些方面 (1) 信息泄露:保護的信息被泄露或透露給某個非授權的實體。
(2) 破壞信息的完整性:數據被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:信息使用者對信息或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某壹資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。
(7) 假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。我們平常所說的黑客大多采用的就是假冒攻擊。
(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的壹些系統“特性”,利用這些“特性”,攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某壹目的使用某壹系統或資源的某個人,卻將此權限用於其他非授權的目的,也稱作“內部攻擊”。
(10)抵賴:這是壹種來自用戶的攻擊,涵蓋範圍比較廣泛,比如:否認自己曾經發布過的某條消息、偽造壹份對方來信等。
(11)計算機病毒:這是壹種在計算機系統運行過程中能夠實現傳染和侵害功能的程序,行為類似病毒,故稱作計算機病毒。
(12)信息安全法律法規不完善:由於當前約束操作信息行為的法律法規還很不完善,存在很多漏洞,很多人打法律的擦邊球,這就給信息竊取、信息破壞者以可趁之機。
問題九:什麽是信息安全包含哪些基本內容 信息安全的六個方面: - 保密性(C, confidentiality ):信息不泄漏給非授權的用戶、實體或者過程的特性 - 完整性(I,integrity ):數據未經授權不能進行改變的特性,即信息在存儲或傳輸過程中保持不被修改、不被破壞和丟失的特性。 - 可用性(A, availability ):可被授權實體訪問並按需求使用的特性,即當需要時應能存取所需的信息。 - 真實性:內容的真實性 - 可核查性:對信息的傳播及內容具有控制能力,訪問控制即屬於可控性。 - 可靠性:系統可靠性 信息安全特性: -攻防特性:攻防技術交替改進 -相對性:信息安全總是相對的,夠用就行 -配角特性:信息安全總是陪襯角色,不能為了安全而安全,安全的應用是先導 -動態性:信息安全是持續過程 信息安全範圍(存在IT應用的任何場景): - 管理與技術 - 密碼、網絡攻防、信息隱藏 - 單機、服務器、數據庫、應用系統 - 災難恢復、應急響應、日常管理 -…… 信息安全技術與管理: - 建立安全的主機系統、網絡系統是信息安全技術的主要方法;架構信息安全體系是信息安全管理的基本方法。 - 二者配合關系-三分技術七分管理,但目前二者脫節很嚴重: 信息安全策略與管理戰略的脫節 將“業務的持續性”與“災難恢復”劃等號 信息安全意識的培訓不夠