信息安全 信息安全-概述，信息安全-发展

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息网络安全_信息安全 -概述

信息网络安全_信息安全 -发展

中国信息安全行业起步较晚，自本世纪初以来经历了萌芽、爆发和普及阶段三个重要发展阶段，产业规模逐步扩张。尤其是近年来，各类网络威胁造成的损害不断增强，带动了市场对信息安全产品和服务需求的持续增长；另外，政府重视和政策扶持也不断推动我国信息安全产业的快速发展。
目前，我国信息安全产业针对各类网络威胁行为已经具备了一定的防护、监管、控制能力，市场开发潜力得到不断提升。2010年中国信息安全产品市场规模达到111.74亿元，同比增长20.23%。
《中国信息安全行业发展前景与投资战略规划分析报告前瞻》显示，政府、电信、银行、能源、军队等仍然是信息安全企业关注的重点行业，证券、交通、教育、制造等新兴市场需求强劲，为信息安全产品市场注入了新的活力；在产品结构方面，信息安全产品种类日益丰富，网络边界安全、内网信息安全及外网信息交换安全等领域全面发展。

政策

随着互联网、云计算和大数据技术的发展，以及基础设施对网络的依赖，网络信息战已经成为新的战场，发达国家如美国、俄罗斯、日本、欧洲等国家都将其提升到国家战略高度，信息安全成为新的安全壁垒。“9?11”事件的发生被美国认为其信息安全体制存在问题，信息安全协调员现已成为美国政府行政部门中最重要的高级官员之一，专注于对美国重要信息基础设施的保护和网维攻击能力建设，对美国的国家安全、外交和经济事务能够产生举足轻重的影响力。
信息安全作为保障国家安全的战略性核心产业，国家队信息行业安全给予了高度重视，不仅在财税和金融上给予大力支持，还在很多细分领域推出相关的扶持政策以加速安全产业的发展。在政策支持和市场需求的驱动下，中国信息安全产业近几年年平均增速均在20％以上，但中国信息安全投入占IT总投入的比重仍然大幅低于欧美国家。
我国信息安全产业带的相关政策

信息网络安全_信息安全 -实现目标

信息网络安全_信息安全 -安全威胁

信息网络安全_信息安全 -主要来源

计算机犯罪；

人为错误，比如使用不当，安全意识差等；

"黑客" 行为；

内部泄密；

外部泄密；

信息丢失；

电子谍报，比如信息流量分析、信息窃取等；

信息战；

网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。

信息网络安全_信息安全 -安全策略

先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，制定信心安全解决方案，然后集成先进的安全技术，形成一个全方位的安全系统；

严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，如建立UniNAC准入控制系统，用以加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识等；

制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

信息网络安全_信息安全 -涉及问题

安全漏洞与安全对策问题

信息安全保密问题

系统内部安全防范问题

防病毒问题

数据备份与恢复问题、灾难恢复问题

信息网络安全_信息安全 -技术简介

目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：

防火墙

防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

网络安全隔离

网络隔离有两种方式，一种是采用隔离卡来实现的，一种是采用网络安全隔离网闸实现的。隔离卡主要用于对单台机器的隔离，网闸主要用于对于整个网络的隔离。这两者的区别可参见参考资料。网络安全隔离与防火墙的区别可参看参考资料。

安全路由器

由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

虚拟专用网(VPN)

虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

安全服务器

电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。

用户认证产品

由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其它技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。

安全管理中心

由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

安全数据库

由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

安全操作系统

给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。[7]

信息网络安全_信息安全 -目标和原则

目标

所有的信息安全技术都是为了达到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否认性五个安全目标。
1.保密性(Confidentiality)：是指阻止非授权的主体阅读信息。它是信息安全一诞生就具有的特性，也是信息安全主要的研究内容之一。更通俗地讲，就是说未授权的用户不能够获取敏感信息。对纸质文档信息，我们只需要保护好文件，不被非授权者接触即可。而对计算机及网络环境中的信息，不仅要制止非授权者对信息的阅读。也要阻止授权者将其访问的信息传递给非授权者，以致信息被泄漏。
2.完整性(Integrity)是指防止信息被未经授权的篡改。它是保护信息保持原始的状态，使信息保持其真实性。如果这些信息被蓄意地修改、插入、删除等，形成虚假信息将带来严重的后果。
3.可用性(Availability)是指授权主体在需要信息时能及时得到服务的能力。可用性是在信息安全保护阶段对信息安全提出的新要求，也是在网络化空间中必须满足的一项信息安全要求。
4.可控性(Controlability)是指对信息和信息系统实施安全监控管理，防止非法利用信息和信息系统。

5.不可否认性(Non-repudiation)是指在网络环境中，信息交换的双方不能否认其在交换过程中发送信息或接收信息的行为。

信息安全的保密性、完整性和可用性主要强调对非授权主体的控制。而对授权主体的不正当行为如何控制呢?信息安全的可控性和不可否认性恰恰是通过对授权主体的控制，实现对保密性、完整性和可用性的有效补充，主要强调授权用户只能在授权范围内进行合法的访问，并对其行为进行监督和审查。除了上述的信息安全五性外，还有信息安全的可审计性(Audiability)、可鉴别性(Authenticity)等。

1.可审计性(Audiability)是指信息系统的行为人不能否认自己的信息处理行为。与不可否认性的信息交换过程中行为可认定性相比，可审计性的含义更宽泛一些。

2.可见鉴别性(Authenticity)是指信息的接收者能对信息的发送者的身份进行判定。它也是一个与不可否认性相关的概念。原则为了达到信息安全的目标，各种信息安全技术的使用必须遵守一些基本的原则。

最小化原则

受保护的敏感信息只能在一定范围内被共享，履行工作职责和职能的安全主体，在法律和相关安全策略允许的前提下，为满足工作需要。仅被授予其访问信息的适当权限，称为最小化原则。敏感信息的。知情权”一定要加以限制，是在“满足工作需要”前提下的一种限制性开放。可以将最小化原则细分为知所必须(needtoknow)和用所必须(need协峨)的原则。
1.分权制衡原则：在信息系统中，对所有权限应该进行适当地划分，使每个授权主体只能拥有其中的一部分权限，使他们之间相互制约、相互监督，共同保证信息系统的安全。如果―个授权主体分配的权限过大，无人监督和制约，就隐含了“滥用权力”、“一言九鼎”的安全隐患。
2.安全隔离原则：隔离和控制是实现信息安全的基本方法，而隔离是进行控制的基础。信息安全的一个基本策略就是将信息的主体与客体分离，按照一定的安全策略，在可控和安全的前提下实施主体对客体的访问。
在这些基本原则的基础上，人们在生产实践过程中还总结出的一些实施原则，他们是基本原则的具体体现和扩展。包括：整体保护原则、谁主管谁负责原则、适度保护的等级化原则、分域保护原则、动态保护原则、多级保护原则、深度保护原则和信息流向原则等。

信息网络安全_信息安全 -资质认证

中国信息安全测评认证中心是国内信息安全最高认证，测评及认定项目分为信息安全产品测评、信息系统安全等级认定、信息安全服务资质认定、信息安全从业人员资质认定四大类。
信息安全产品测评：对国内外信息技术产品的安全性进行测评，其中包括各类信息安全产品如防火墙、入侵监测、安全审计、网络隔离、VPN、智能卡、卡终端、安全管理等，以及各类非安全专用IT产品如操作系统、数据库、交换机、路由器、应用软件等。
根据测评依据及测评内容，分为：信息安全产品分级评估、信息安全产品认定测评、信息技术产品自主原创测评、源代码安全风险评估、选型测试、定制测试。
信息系统认定：
对国内信息系统的安全性测试、评估和认定、根据依据标准及测评方法的不同，主要提供：信息安全风险评估、信息系统安全等级保护测评、信息系统安全保障能力评估、信息系统安全方案评审、电子政务项目信息安全风险评估。
信息安全服务资质认定：
对提供信息安全服务的组织和单位资质进行审核、评估和认定。信息安全服务资质是对信息系统安全服务的提供者的技术、资源、法律、管理等方面的资质和能力，以及其稳定性、可靠性进行评估，并依据公开的标准和程序，对其安全服务保障能力进行认定的过程。分为：信息安全工程类、信息安全灾难恢复类、安全运营维护类。
信息安全专业人员资质认定：
对信息安全专业人员的资质能力进行考核、评估和认定。信息安全人员测评与资质认定，主要包括注册信息安全专业人员（CISP）、注册信息安全员（CISM）及安全编成等专项培训、信息安全意识培训。

信息网络安全_信息安全 -技术对比

法政标

信息安全法规、政策与标准
1）法律体系初步构建，但体系化与有效性等方面仍有待进一步完善信息安全法律法规体系初步形成。
据相关统计，截至2008年与信息安全直接相关的法律有65部，涉及网络与信息系统安全、信息内容安全、信息安全系
统与产品、保密及密码管理、计算机病毒与危害性程序防治、金融等特定领域的信息安全、信息安全犯罪制裁等多个领域，从形式看，有法律、相关的决定、司法解
释及相关文件、行政法规、法规性文件、部门规章及相关文件、地方性法规与地方政府规章及相关文件多个层次。与此同时，与信息安全相关的司法和行政管理体系
迅速完善。但整体来看，与美国、欧盟等先进国家与地区比较，我们在相关法律方面还欠体系化、覆盖面与深度。缺乏相关的基本法，信息安全在法律层面的缺失对
于信息安全保障形成重大隐患。
2）相关系列政策推出，与国外也有异曲同工之处从政策来看，美国信息安全政策体系也值得国内学习与借鉴。美国在信息安全管理以及政策支持方面走在全球的前列：
一是制定了从军政部门、公共部门和私营领域的风险管理政策和指南；
二是形成了军、政、学、商分工协作的风险管理体系；
三是国防部、商务部、审计署、预算管理等部门各司其职，形成了较为完整的风险分析、评估、监督、检查问责的工作机制。
3）信息安全标准化工作得到重视，但标准体系尚待发展与完善信息安全标准体系主要由基础标准、技术标准和管理标准等分体系组成。
我国信息技术安全标准化技术委员会(CITS)主持制定了GB系列的信息安全标准对信息安全软件、硬件、施工、检
测、管理等方面的几十个主要标准。但总体而言，我国的信息安全标准体系仍处于发展和建立阶段，基本上是引用与借鉴了国际以及先进国家的相关标准。因此，我
国在信息安全标准组织体系方面还有待于进一步发展与完善。

意识实践

信息安全用户意识与实践
1）信息安全意识有待提高
与发达国家相比，我国的信息安全产业不单是规模或份额的问题，在深层次的安全意识等方面差距也不少。而从个人信息安全意识层面来看，与美欧等相比较，仅盗版软件使用率相对较高这种现象就可以部分说明我国个人用户的信息安全意识仍然较差。包括信用卡使用过程中暴露出来的签名不严格、加密程度低，以及在互联网使用过程中的密码使用以及更换等方面都更多地表明，我国个人用户的信息安全意识有待于提高。
2）信息安全实践过程有待加强管理
信息安全意识较低的必然结果就是导致信息安全实践水平较差。广大中小企业与大量的政府、行业与事业单位用户对于信息安全的淡漠意识直接表现为缺乏有效地信息安全保障措施，虽然，这是一个全球性的问题，但是我国用户在这一方面与发达国家还有一定差距。

信息网络安全_信息安全 -产业影响

中间组织对信息安全产业发展的影响同国外相比较，国内的中间组织机构多为政府职能部门所属机构或者是下属科研机构与企业等，而欧美国家这方面的中间组织则包括了国家的相关部门组织、教育与科研组织、企业组织与同业组织等，其覆盖层次更多，面积更广。

与欧美比较，国内资本市场相对薄弱，对于安全产业的发展而言，就缺乏有效的中间组织形式来推进和导向其发展，虽然国内有一些依托于政府部门的中间组织在产品测试等服务的基础之上开展了一些相关的服务，但是距离推进、引导国内安全产业中的各类企业尤其是中小企业的发展的需求还有很大的差距。

信息网络安全_信息安全 -培训教育

教育培训是培育信息安全公众或专业人才的重要手段，我国近些年来在信息安全正规教育方面也推出了一些相应的科目与专业，国家各级以及社会化的信息安全培训也得到了开展，但这些仍然是不够的，社会教育深入与细化程度与美国等发达国家比较仍有差距。

在美国，对于企业的信息安全有很多监管规范，因此一个良好的培训计划开端可以从适应政府或行业的监管规范需求开始。美国政府对于信息安全培训与教育采取了有效的战略推进计划。美国政府通过信息安全法案确立了信息安全教育计划，他们资助20多所著名大学开展与信息安全风险管理相关的研究和人才培养工作。

专业课程

信息安全是国家重点发展的新兴交叉学科，它和政府、国防、金融、制造、商业等部门和行业密切相关，具有广阔的发展前景。通过学习，使学生具备信息安全防护与保密等方面的理论知识和综合技术。能在科研单位、高等学校、政府机关（部队）、金融行业、信息产业及其使用管理部门从事系统设计和管理，特别是从事信息安全防护方面的高级工程技术人才。

主要课程

离散数学、信号与系统、通信原理、软件工程、编码理论、信息安全概论、信息论、数据结构、操作系统、信息系统工程、现代密码学、网络安全、信息伪装等。

培养要求

通过学习本专业的学生应获得以下几方面的基本知识和职业能力：
基本技能掌握
（1）掌握安全理论、现代企业管理和经济信息管理和信息系统的基本理论、基本知识。
（2）掌握计算机软、硬件加密、解密的基本理论、基本知识。
（3）掌握计算机维护和系统支持的基本知识、基本技能。
（4）掌握参与企业管理进行经济信息分析、处理的基本技能。
（5）较熟练掌握一门外语，并能实际应用于信息安全管理领域。

方向就业

就业方向和主要从事的工作：
信息是社会发展的重要战略资源。国际上围绕信息的获取、使用和控制的斗争愈演愈烈，信息安全成为维护国家安全和社会稳定的一个焦点，各国都给以极大的关注和投入。网络信息安全已成为亟待解决、影响国家大局和长远利益的重大关键问题，它不但是发挥信息革命带来的高效率、高效益的有力保证，而且是抵御信息侵略的重要屏障。

信息安全保障能力是21世纪综合国力、经济竞争实力和生存能力的重要组成部分，是世纪之交世界各国都在奋力攀登的制高点。信息安全问题全方位地影响我国的政治、军事、经济、文化、社会生活的各个方面，如果解决不好将使国家处于信息战和高度经济金融风险的威胁之中。
总之，在网络信息技术高速发展的今天，信息安全已变得至关重要，信息安全已成为信息科学的热点课题。我国在信息安全技术方面的起点还较低，国内只有极少数高等院校开设“信息安全”专业，信息安全技术人才奇缺。本专业毕业生可在政府机关、国家安全部门、银行、金融、证券、通信领域从事各类信息安全系统、计算机安全系统的研究、设计、开发和管理工作，也可在IT领域从事计算机应用工作。我们应充分认识信息安全在网络信息时代的重要性和其具有的极其广阔的市场前景，适应时代，抓住机遇！

信息网络安全_信息安全 -产品认证种类

防火墙
网络安全隔离卡与线路选择器
安全隔离与信息交换产品
安全路由器
智能卡COS
数据备份与恢复产品
安全操作系统
安全数据库系统
反垃圾邮件产品
入侵检测系统（IDS）
网络脆弱性扫描产品
安全审计产品
网站恢复产品

爱华网本文地址 » http://www.aihuau.com/a/8103210103/12502.html