產業發展
信息安全的概念在二十世紀經歷了一個漫長的歷史階段,90年代以來得到了深化。進入21世紀,隨著信息技術的不斷發展,信息安全問題也日顯突出。如何確保信息系統的安全已成為全社會關注的問題。國際上對於信息安全的研究起步較早,投入力度大,已取得了許多成果,並得以推廣套用。中國已有一批專門從事信息安全基礎研究、技術開發與技術服務工作的研究機構與高科技企業,形成了中國信息安全產業的雛形,但由於中國專門從事信息安全工作技術人才嚴重短缺,阻礙了中國信息安全事業的發展。信息安全專業是十分具有發展前途的專業。
學科要求
此專業具有全面的信息安全專業知識,使得學生有較寬的知識面和進一步發展的基本能力;加強學科所要求的基本修養,使學生具有本學科科學研究所需的基本素質,為學生今後的發展、創新打下良好的基礎;使學生具有較強的套用能力,具有套用已掌握的基本知識解決實際套用問題的能力,不斷增強系統的套用、開發以及不斷獲取新知識的能力。又有較強的套用能力;既可以承擔實際系統的開發,又可進行科學研究。
意義
其根本目的就是使內部信息不受內部、外部、自然等因素的威脅。為保障信息安全,要求有信息源認證、訪問控制,不能有非法軟體駐留,不能有未授權的操作等行為。
重要性
信息作為一種資源,它的普遍性、共享性、增值性、可處理性和多效用性,使其對於人類具有特別重要的意義。信息安全的實質就是要保護信息系統或信息網路中的信息資源免受各種類型的威脅、干擾和破壞,即保證信息的安全性。根據國際標準化組織的定義,信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何國家、政府、部門、行業都必須十分重視的問題,是一個不容忽視的國家安全戰略。但是,對於不同的部門和行業來說,其對信息安全的要求和重點卻是有區別的。
中國的改革開放帶來了各方面信息量的急劇增加,並要求大容量、高效率地傳輸這些信息。為了適應這一形勢,通信技術發生了前所未有的爆炸性發展。除有線通信外,短波、超短波、微波、衛星等無線電通信也正在越來越廣泛地套用。與此同時,國外敵對勢力為了竊取中國的政治、軍事、經濟、科學技術等方面的秘密信息,運用偵察台、偵察船、偵察機、衛星等手段,形成固定與移動、遠距離與近距離、空中與地面相結合的立體偵察網,截取中國通信傳輸中的信息。
從文獻中了解一個社會的內幕,早已是司空見慣的事情。在20世紀後50年中,從社會所屬計算機中了解一個社會的內幕,正變得越來越容易。不管是機構還是個人,正把日益繁多的事情託付給計算機來完成,敏感信息正經過脆弱的通信線路在計算機系統之間傳送,專用信息在計算機記憶體儲或在計算機之間傳送,電子銀行業務使財務賬目可通過通信線路查閱,執法部門從計算機中了解罪犯的前科,醫生們用計算機管理病歷,最重要的問題是不能在對非法(非授權)獲取(訪問)不加防範的條件下傳輸信息。
傳輸信息的方式很多,有局域計算機網、網際網路和分散式資料庫,有蜂窩式無線、分組交換式無線、衛星電視會議、電子郵件及其它各種傳輸技術。信息在存儲、處理和交換過程中,都存在泄密或被截收、竊聽、竄改和偽造的可能性。不難看出,單一的保密措施已很難保證通信和信息的安全,必須綜合套用各種保密措施,即通過技術的、管理的、行政的手段,實現信源、信號、信息三個環節的保護,藉以達到秘密信息安全的目的。
課程設定
在校期間,不僅強調學生對基礎知識的掌握,更強調對其專業素質和能力的培養。學生除學習理工專業公共基礎課外,學習的專業基礎和專業課主要有:高等數學、線性代數、計算方法、機率論與數理統計、計算機與算法初步、C++語言程式設計、數據結構與算法、計算機原理與彙編語言、資料庫原理、作業系統、大學物理、集合與圖論、代數與邏輯、密碼學原理、編碼理論、資訊理論基礎、信息安全體系結構、軟體工程、數字邏輯、計算機網路等。
除上述專業課外還開設了大量專業選修課,主要有:數據通信原理、信息安全概論、計算機網路安全管理、數字鑑別及認證系統、網路安全檢測與防範技術、防火牆技術、病毒機制與防護技術、網路安全協定與標準等。學生除要完成信息安全體系不同層次上的各種實驗和課程設計外,還將在畢業設計中接受嚴格訓練。
隨著網際網路的快速發展和信息化程度的不斷提高,網際網路深刻影響著政治、經濟、文化等各個方面,保障信息安全的重要性日益凸顯,加強對網際網路上各類信息的管理應引起高度重視。在系統安全方面,以提高防禦、應急處置能力為主的傳統安全管理已經不能適應新計算、新網路、新套用和新數據為新特徵的信息安全產業發展的需要。對此,需要針對形勢發展,通過採取多種措施發展和壯大中國信息安全產業。
中國信息安全產業與國際先進水平相比差距很大。美國、法國、英國、日本等國家信息安全產業發展水平較高,中國信息安全行業的核心技術、關鍵裝備和套用創新方面與其相比存在很大差距。信息產業鏈上下遊行業在綜合實力、產品成熟度、產品國際市場占有率等方面,與國際先進企業相比差距較大。面對嚴峻的網路與信息安全問題,保障信息安全和加強信息安全產業的發展迫切需要加強頂層設計,從政府引導和發揮企業積極性兩方面,推進信息安全產業發展 。
產品
2012年信息安全產業將步入高速發展階段,而整個網際網路用戶對安全產品的要求也轉入“主動性安全防禦”。隨著用戶安全防範意識正在增強,主動性安全產品將更受關注,主動的安全防禦將成為未來安全套用的主流。
終端方案
終端安全解決方案是以終端安全保護系統全方位綜合保障終端安全,並以數據安全保護系統重點保護終端敏感數據的安全。終端安全保護系統以“主動防禦”理念為基礎,採用自主智慧財產權的基於標識的認證技術,以智慧型控制和安全執行雙重體系結構為基礎,將全面安全策略與作業系統有機結合,通過對代碼、連線埠、網路連線、移動存儲設備接入、數據檔案加密、行為審計分級控制,實現作業系統加固及信息系統的自主、可控、可管理,保障終端系統及數據的安全。
安全軟體
數據安全保護系統能夠實現數據文檔的透明加解密保護,可指定類型檔案加密、指定程式創建檔案加密,杜絕文檔泄密。實現數據文檔的強制訪問控制和統一管理控制、敏感檔案及加密密鑰的冗餘存儲備份,包括檔案許可權管理、用戶管理、共享管理、外發管理、備份管理、審計管理等。對政府及企業的各種敏感數據文檔,包括設計文檔、設計圖紙、原始碼、行銷方案、財務報表及其他各種涉及企業商業秘密的文檔,都能實現穩妥有效的保護。
發展
中國信息安全行業起步較晚,自本世紀初以來經歷了三個重要發展階段(萌芽、爆發和普及階段),產業規模逐步擴張,帶動了市場對信息安全產品和服務需求的持續增長。另外,政府重視和政策扶持也不斷推動中國信息安全產業的快速發展。
檢測
網站
網站安全檢測,也稱網站安全評估、網站漏洞測試、Web安全檢測等。它是通過技術手段對網站進行漏洞掃描,檢測網頁是否存在漏洞、網頁是否掛馬、網頁有沒有被篡改、是否有欺詐網站等,提醒網站管理員及時修復和加固,保障web網站的安全運行。
1)注入攻擊檢測Web網站是否存在諸如SQL注入、SSI注入、Ldap注入、Xpath注入等漏洞,如果存在該漏洞,攻擊者對注入點進行注入攻擊,可輕易獲得網站的後台管理許可權,甚至網站伺服器的管理許可權。
2) XSS跨站腳本檢測Web網站是否存在XSS跨站腳本漏洞,如果存在該漏洞,網站可能遭受Cookie欺騙、網頁掛馬等攻擊。
3)網頁掛馬檢測Web網站是否被黑客或惡意攻擊者非法植入了木馬程式。
4)緩衝區溢出檢測Web網站伺服器和伺服器軟體,是否存在緩衝區溢出漏洞,如果存在,攻擊者可通過此漏洞,獲得網站或伺服器的管理許可權。
5)上傳漏洞檢測Web網站的上傳功能是否存在上傳漏洞,如果存在此漏洞,攻擊者可直接利用該漏洞上傳木馬獲得WebShell。
6)原始碼泄露檢測Web網路是否存在原始碼泄露漏洞,如果存在此漏洞,攻擊者可直接下載網站的原始碼。
7)隱藏目錄泄露檢測Web網站的某些隱藏目錄是否存在泄露漏洞,如果存在此漏洞,攻擊者可了解網站的全部結構。
8)資料庫泄露檢測Web網站是否在資料庫泄露的漏洞,如果存在此漏洞,攻擊者通過暴庫等方式,可以非法下載網站資料庫。
9)弱口令檢測Web網站的後台管理用戶,以及前台用戶,是否存在使用弱口令的情況。
10)管理地址泄露檢測Web網站是否存在管理地址泄露功能,如果存在此漏洞,攻擊者可輕易獲得網站的後台管理地址。
網路
1、結構安全與網段劃分
網路設備的業務處理能力具備冗餘空間,滿足業務高峰期需要;根據機構業務的特點,在滿足業務高峰期需要的基礎上,合理設計網路頻寬;
2、網路訪問控制
不允許數據帶通用協定通過。
3、撥號訪問控制
不開放遠程撥號訪問功能(如遠程撥號用戶或移動VPN用戶)。
4、網路安全審計
記錄網路設備的運行狀況、網路流量、用戶行為等事件的日期和時間、用戶、事件類型、事件是否成功,及其他與審計相關的信息;
5、邊界完整性檢查
能夠對非授權設備私自聯到內部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷;能夠對內部網路用戶私自聯到外部網路的行為進行檢查,準確定出位置,並對其進行有效阻斷。
6、網路入侵防範
在網路邊界處監視以下攻擊行為:連線埠掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊、緩衝區溢出攻擊、IP碎片攻擊、網路蠕蟲攻擊等入侵事件的發生;當檢測到入侵事件時,記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間等,並在發生嚴重入侵事件時提供報警(如可採取螢幕實時提示、E-mail告警、聲音告警等幾種方式)及自動採取相應動作。
7、惡意代碼防範
在網路邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統的更新。
8、網路設備防護
對登錄網路設備的用戶進行身份鑑別;對網路設備的管理員登錄地址進行限制;主要網路設備對同一用戶選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別
主機
1、身份鑑別
對登錄作業系統和資料庫系統的用戶進行身份標識和鑑別;
2、自主訪問控制
依據安全策略控制主體對客體的訪問。
3、強制訪問控制
應對重要信息資源和訪問重要信息資源的所有主體設定敏感標記;強制訪問控制的覆蓋範圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作;強制訪問控制的粒度應達到主體為用戶級,客體為檔案、資料庫表/記錄、欄位級。
4、可信路徑
在系統對用戶進行身份鑑別時,系統與用戶之間能夠建立一條安全的信息傳輸路徑。
5、安全審計
審計範圍覆蓋到伺服器和重要客戶端上的每個作業系統用戶和資料庫用戶;審計內容包括系統內重要的安全相關事件。
6、剩餘信息保護
保證作業系統和資料庫管理系統用戶的鑑別信息所在的存儲空間,被釋放或再分配給其他用戶前得到完全清除,無論這些信息是存放在硬碟上還是在記憶體中;確保系統內的檔案、目錄和資料庫記錄等資源所在的存儲空間
能夠檢測到對重要伺服器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;能夠對重要程式完整性進行檢測,並在檢測到完整性受到破壞後具有恢復的措施;作業系統遵循最小安裝的原則,僅安裝需要的組件和應用程式,並通過設定升級伺服器等方式保持系統補丁及時得到更新。
8、惡意代碼防範
安裝防惡意代碼軟體,並及時更新防惡意代碼軟體版本和惡意代碼庫;主機防惡意代碼產品具有與網路防惡意代碼產品不同的惡意代碼庫;支持防惡意代碼的統一管理。
9、資源控制
通過設定終端接入方式、網路地址範圍等條件限制終端登錄;根據安全策略設定登錄終端的操作逾時鎖定;對重要伺服器進行監視,包括監視伺服器的CPU、硬碟、記憶體、網路等資源的使用情況;限制單個用戶對系統資源的最大或最小使用限度;當系統的服務水平降低到預先規定的最小值時,能檢測和報警。
資料庫
主流資料庫的自身漏洞逐步暴露,數量龐大;僅CVE公布的Oracle漏洞數已達1100多個;資料庫漏掃可以檢測出資料庫的DBMS漏洞、預設配置、許可權提升漏洞、緩衝區溢出、補丁未升級等自身漏洞。
主要威脅
實現目標
◆ 真實性:對信息的來源進行判斷,能對偽造來源的信息予以鑑別。
◆ 保密性:保證機密信息不被竊聽,或竊聽者不能了解信息的真實含義。
◆ 完整性:保證數據的一致性,防止數據被非法用戶篡改。
◆ 可用性:保證合法用戶對信息和資源的使用不會被不正當地拒絕。
◆ 不可抵賴性:建立有效的責任機制,防止用戶否認其行為,這一點在電子商務中是極其重要的。
◆ 可控制性:對信息的傳播及內容具有控制能力。
安全威脅
(1) 信息泄露:信息被泄露或透露給某個非授權的實體。
(2) 破壞信息的完整性:數據被非授權地進行增刪、修改或破壞而受到損失。
(3) 拒絕服務:對信息或其他資源的合法訪問被無條件地阻止。
(4) 非法使用(非授權訪問):某一資源被某個非授權的人,或以非授權的方式使用。
(5) 竊聽:用各種可能的合法或非法的手段竊取系統中的信息資源和敏感信息。例如對通信線路中傳輸的信號搭線監聽,或者利用通信設備在工作過程中產生的電磁泄露截取有用信息等。
(6) 業務流分析:通過對系統進行長期監聽,利用統計分析方法對諸如通信頻度、通信的信息流向、通信總量的變化等參數進行研究,從中發現有價值的信息和規律。
(7) 假冒:通過欺騙通信系統(或用戶)達到非法用戶冒充成為合法用戶,或者特權小的用戶冒充成為特權大的用戶的目的。黑客大多是採用假冒攻擊。
(8) 旁路控制:攻擊者利用系統的安全缺陷或安全性上的脆弱之處獲得非授權的權利或特權。例如,攻擊者通過各種攻擊手段發現原本應保密,但是卻又暴露出來的一些系統“特性”,利用這些“特性”,攻擊者可以繞過防線守衛者侵入系統的內部。
(9) 授權侵犯:被授權以某一目的使用某一系統或資源的某個人,卻將此許可權用於其他非授權的目的,也稱作“內部攻擊”。
(10)特洛伊木馬:軟體中含有一個覺察不出的有害的程式段,當它被執行時,會破壞用戶的安全。這種應用程式稱為特洛伊木馬(Trojan Horse)。
(11)陷阱門:在某個系統或某個部件中設定的“機關”,使得在特定的數據輸入時,允許違反安全策略。
(12)抵賴:這是一種來自用戶的攻擊,比如:否認自己曾經發布過的某條訊息、偽造一份對方來信等。
(13)重放:出於非法目的,將所截獲的某次合法的通信數據進行拷貝,而重新傳送。
(14)計算機病毒:一種在計算機系統運行過程中能夠實現傳染和侵害功能的程式。
(15)人員不慎:一個授權的人為了某種利益,或由於粗心,將信息泄露給一個非授權的人。
(16)媒體廢棄:信息被從廢棄的磁碟或列印過的存儲介質中獲得。
(17)物理侵入:侵入者繞過物理控制而獲得對系統的訪問。
(18)竊取:重要的安全物品,如令牌或身份卡被盜。
(19)業務欺騙:某一偽系統或系統部件欺騙合法的用戶或系統自願地放棄敏感信息等等。
主要來源
◆ 自然災害、意外事故;
◆ 計算機犯罪;
◆ 人為錯誤,比如使用不當,安全意識差等;
◆ "黑客" 行為;
◆ 內部泄密;
◆ 外部泄密;
◆ 信息丟失;
◆ 電子諜報,比如信息流量分析、信息竊取等;
◆ 信息戰;
◆ 網路協定自身缺陷,例如TCP/IP協定的安全問題等等;
◆ 嗅探,sniff。嗅探器可以竊聽網路上流經的數據包。
影響因素
信息安全與技術的關係可以追溯到遠古。埃及人在石碑上鐫刻了令人費解的象形文字;斯巴達人使用一種稱為密碼棒的工具傳達軍事計畫,羅馬時代的凱撒大帝是加密函的古代將領之一,“凱撒密碼”據傳是古羅馬凱撒大帝用來保護重要軍情的加密系統。它 是一種替代密碼,通過將字母按順序推後 3 位起到加密作用,如將字母 A 換作字母 D, 將字母 B 換作字母 E。英國計算機科學之父阿蘭·圖靈在英國布萊切利莊園幫助破解了 德國海軍的 Enigma 密電碼,改變了二次世界大戰的進程。美國 NIST 將信息安全控制分 為 3 類。
(1)技術,包括產品和過程(例如防火牆、防病毒軟體、侵入檢測、加密技術)。
(2)操作,主要包括加強機制和方法、糾正運行缺陷、各種威脅造成的運行缺陷、物 理進入控制、備份能力、免予環境威脅的保護。
(3)管理,包括使用政策、員工培訓、業務規劃、基於信息安全的非技術領域。 信息系統安全涉及政策法規、教育、管理標準、技術等方面,任何單一層次的安全措 施都不能提供全方位的安全,安全問題應從系統工程的角度來考慮。圖 8-1 給出了 NSTISSC 安全模型。
2014年大事件
1月,中國網際網路出現大面積DNS解析故障
2月,維護網路安全首次被列入政府工作報告
3月,攜程“安全門”敲響網路消費安全警鐘
4月,微軟停止XP支持,影響兩億國內用戶
5月,山寨網銀及山寨微信大量竊取網銀信息
6月,免費Wi-Fi存陷阱,竊取用戶手機敏感信息
7月,蘋果承認iPhone存在“安全漏洞”
8月,“XX神器”安卓系統手機病毒在全國蔓延
9月,2014年中國網際網路安全大會(ICS)召開
10月,2014中國網路安全大會(NSC2014)召開
11月,首屆國家網路安全宣傳周活動舉辦
12月,86萬條簡歷數據因某招聘網站漏洞而被泄露
安全策略
策略
信息安全策略是指為保證提供一定級別的安全保護所必須遵守的規則。實現信息安全,不但靠先進的技術,而且也得靠嚴格的安全管理,法律約束和安全教育:
◆DG圖文檔加密:能夠智慧型識別計算機所運行的涉密數據,並自動強制對所有涉密數據進行加密操作,而不需要人的參與,體現了安全面前人人平等,從根源解決信息泄密。
◆ 先進的信息安全技術是網路安全的根本保證。用戶對自身面臨的威脅進行風險評估,決定其所需要的安全服務種類,選擇相應的安全機制,然後集成先進的安全技術,形成一個全方位的安全系統;
◆ 嚴格的安全管理。各計算機網路使用機構,企業和單位應建立相應的網路安全管理辦法,加強內部管理,建立合適的網路安全管理系統,加強用戶管理和授權管理,建立安全審計和跟蹤體系,提高整體網路安全意識;
◆ 制訂嚴格的法律、法規。計算機網路是一種新生事物。它的許多行為無法可依,無章可循,導致網路上計算機犯罪處於無序狀態。面對日趨嚴重的網路上犯罪,必須建立與網路安全相關的法律、法規,使非法分子懾於法律,不敢輕舉妄動。
主要問題
◆ 網路攻擊與攻擊檢測、防範問題
◆ 安全漏洞與安全對策問題
◆ 信息安全保密問題
◆ 系統內部安全防範問題
◆ 防病毒問題
◆ 數據備份與恢復問題、災難恢復問題
相關技術
在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 用戶身份認證:是安全的第一道大門,是各種安全措施可以發揮作用的前提,身份認證技術包括:靜態密碼、動態密碼(簡訊密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。
◆防火牆:防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設定障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,套用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連線。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
◆網路安全隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。網路安全隔離與防火牆的區別可參看參考資料。
◆安全路由器:由於WAN連線需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
◆ 安全伺服器:安全伺服器主要針對一個區域網路內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網路資源的管理和控制,對區域網路內用戶的管理,以及區域網路中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有套用的計算基礎結構的核心部件。
◆ 安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
◆入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆入侵防禦系統(IPS):入侵防禦,入侵防禦系統作為IDS很好的補充,是信息安全發展過程中占據重要位置的計算機網路硬體。
◆安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全作業系統:給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。
◆DG圖文檔加密:能夠智慧型識別計算機所運行的涉密數據,並自動強制對所有涉密數據進行加密操作,而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密
信息安全行業中的主流技術如下:
1、病毒檢測與清除技術
2、安全防護技術
包含網路防護技術(防火牆、UTM、入侵檢測防禦等);套用防護技術(如應用程式接口安全技術等);系統防護技術(如防篡改、系統備份與恢復技術等),防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的相關技術。
3、安全審計技術
包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保信息及網路使用的合規性。
4、安全檢測與監控技術
對信息系統中的流量以及套用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。
5、解密、加密技術
在信息系統的傳輸過程或存儲過程中進行信息數據的加密和解密。
6、身份認證技術
用來確定訪問或介入信息系統用戶或者設備身份的合法性的技術,典型的手段有用戶名口令、身份識別、PKI 證書和生物認證等。
信息安全服務
信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性所提供的信息技術專業服務,包括對信息系統安全的的諮詢、集成、監理、測評、認證、運維、審計、培訓和風險評估、容災備份、應急回響等工作
基本功能
信息安全可以建立、採取有效的技術和管理手段,保護計算機信息系統和網路內的計算機硬體、軟體、數據及套用等不因偶然或惡意的原因而遭到破壞、更改和泄漏,保障信息系統能夠連續、正常運行。
一個安全有效的計算機信息系統可以同時支持機密性、真實性、可控性、可用性這四個核心安全屬性,而提供信息安全業務的基本目標就是幫助信息系統實現上述全部或大部分內容。
安全問題
電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全
(一)計算機網路安全的內容包括:
(1)未進行作業系統相關安全配置
不論採用什麼作業系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對作業系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為作業系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和“後門” 是進行網路攻擊的首選目標。
(2)未進行CGI程式代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程式,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絕服務(DoS,Denial of Service)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,範圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。
(4)安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設定時,很容易產生許多安全問題。
(5)缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網路內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
(二)計算機商務交易安全的內容包括:
(1)竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶傳送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。
安全對策
電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務安全問題的對策從整體上可分為計算機網路安全措施和商務交易安全措施兩大部分。
1.計算機網路安全措施
計算機網路安全措施主要包括保護網路安全、保護套用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)儘可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑑別機制。
(二)保護套用安全。
保護套用安全,主要是針對特定套用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在套用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多套用還有自己的特定安全要求。
由於電子商務中的套用層對安全的要求最嚴格、最複雜,因此更傾向於在套用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務套用的安全性。套用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等套用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、作業系統、各種套用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商務交易安全則緊緊圍繞傳統商務在網際網路上套用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協定等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的傳送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起傳送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再傳送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明傳送者和接收者身份及其檔案完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子檔案認證、核准和生效的作用。其實現方式是把散列函式和公開密鑰算法結合起來,傳送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成傳送方的數字簽名;然後,將這個數字簽名作為報文的附屬檔案和報文一起傳送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用傳送方的公開密鑰來對報文附加的數字簽名進行解密;
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的檔案數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標誌交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協定。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協定。比較成熟的協定有SET、SSL等。
(1)安全套接層協定SSL。
SSL協定位於傳輸層和套用層之間,由SSL記錄協定、SSL握手協定和SSL警報協定組成的。SSL握手協定被用來在客戶與伺服器真正傳輸套用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協定在版本號、密鑰交換算法、數據加密算法和Hash算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密算法和Hash算法參數。SSL記錄協定根據SSL握手協定協商的參數,對套用層送來的數據進行加密、壓縮、計算訊息鑑別碼MAC,然後經網路傳輸層傳送給對方。SSL警報協定用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協定SET。
SET協定用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關係,給定交易信息傳送流程標準。SET主要由三個檔案組成,分別是SET業務描述、SET程式設計師指南和SET協定描述。SET協定保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協定是專為電子商務系統設計的。它位於套用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協定十分複雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協定中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。
工程監理
信息安全工程的監理是在信息安全工程的開發採購階段和交付實施階段為業主單位提供的信息安全保障服務。主要是在項目準備階段、項目實施階段和項目驗收階段通過質量控制、進度控制、契約管理、信息管理和協調,來促使信息安全工程以科學規範的流程,在一定的成本範圍內,按時保質保量地完成,實現項目預期的信息安全目標。
信息安全工程監理的信息安全工程監理模型由三部分組成,即諮詢監理支撐要素(組織結構、設施設備、安全保障知識、質量管理)、監理諮詢階段過程和控制管理措施(“三控制、兩管理、一協調”,即質量控制、進度控制、成本控制、契約管理、信息管理和組織協調)。
安全技術
加密
數據加密技術從技術上的實現分為在軟體和硬體兩方面。按作用不同,數據加密技術主要分為數據傳輸、數據存儲、數據完整性的鑑別以及密鑰管理技術這四種。
在網路套用中一般採取兩種加密形式:對稱密鑰和公開密鑰,採用何種加密算法則要結合具體套用環境和系統,而不能簡單地根據其加密強度來作出判斷。因為除了加密算法本身之外,密鑰合理分配、加密效率與現有系統的結合性,以及投入產出分析都應在實際環境中具體考慮。
對於對稱密鑰加密。其常見加密標準為DES等,當使用DES時,用戶和接受方採用64位密鑰對報文加密和解密,當對安全性有特殊要求時,則要採取IDEA和三重DES等。作為傳統企業網路廣泛套用的加密技術,秘密密鑰效率高,它採用KDC來集中管理和分發密鑰並以此為基礎驗證身份,但是並不適合Internet環境。
在Internet中使用更多的是公鑰系統。即公開密鑰加密,它的加密密鑰和解密密鑰是不同的。一般對於每個用戶生成一對密鑰後,將其中一個作為公鑰公開,另外一個則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法,加密強度很高。具體作法是將數字簽名和數據加密結合起來。傳送方在傳送數據時必須加上數據簽名,做法是用自己的私鑰加密一段與傳送數據相關的數據作為數字簽名,然後與傳送數據一起用接收方密鑰加密。當這些密文被接收方收到後,接收方用自己的私鑰將密文解密得到傳送的數據和傳送方的數字簽名,然後,用發布方公布的公鑰對數字簽名進行解密,如果成功,則確定是由傳送方發出的。數字簽名每次還與被傳送的數據和時間等因素有關。由於加密強度高,而且並不要求通信雙方事先要建立某種信任關係或共享某種秘密,因此十分適合Internet網上使用。
認證
認證就是指用戶必須提供他是誰的證明,他是某個雇員,某個組織的代理、某個軟體過程(如股票交易系統或Web訂貨系統的軟體過程)。認證的標準方法就是弄清楚他是誰,他具有什麼特徵,他知道什麼可用於識別他的東西。比如說,系統中存儲了他的指紋,他接入網路時,就必須在連線到網路的電子指紋機上提供他的指紋(這就防止他以假的指紋或其它電子信息欺騙系統),只有指紋相符才允許他訪問系統。更普通的是通過視網膜血管分布圖來識別,原理與指紋識別相同,聲波紋識別也是商業系統採用的一種識別方式。網路通過用戶擁有什麼東西來識別的方法,一般是用智慧卡或其它特殊形式的標誌,這類標誌可以從連線到計算機上的讀出器讀出來。至於說到“他知道什麼”,最普通的就是口令,口令具有共享秘密的屬性。例如,要使伺服器作業系統識別要入網的用戶,那么用戶必須把他的用戶名和口令送伺服器。伺服器就將它仍與資料庫里的用戶名和口令進行比較,如果相符,就通過了認證,可以上網訪問。這個口令就由伺服器和用戶共享。更保密的認證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環是規程分析儀的竊聽,如果口令以明碼(未加密)傳輸,接入到網上的規程分析儀就會在用戶輸入帳戶和口令時將它記錄下來,任何人只要獲得這些信息就可以上網工作。為了解決安全問題,一些公司和機構正千方百計地解決用戶身份認證問題,主要有以下幾種認證辦法。
1. 雙重認證。如波斯頓的Beth IsrealHospital公司和義大利一家居領導地位的電信公司正採用“雙重認證”辦法來保證用戶的身份證明。也就是說他們不是採用一種方法,而是採用有兩種形式的證明方法,這些證明方法包括令牌、智慧卡和仿生裝置,如視網膜或指紋掃描器。
2.數字證書。這是一種檢驗用戶身份的電子檔案,也是企業可以使用的一種工具。這種證書可以授權購買,提供更強的訪問控制,並具有很高的安全性和可靠性。隨著電信行業堅持放鬆管制,GTE已經使用數字證書與其競爭對手(包括Sprint公司和AT&T公司)共享用戶信息。
3. 智慧卡。這種解決辦法可以持續較長的時間,並且更加靈活,存儲信息更多,並具有可供選擇的管理方式。
4. 安全電子交易(SET)協定。這是迄今為止最為完整最為權威的電子商務安全保障協定。
目標和原則
目標
所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目標。
保密性(Confidentiality)是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內容之一。更通俗地講,就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息,我們只需要保護好檔案,不被非授權者接觸即可。而對計算機及網路環境中的信息,不僅要制止非授權者對信息的閱讀。也要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄漏。
完整性(Integrity)是指防止信息被未經授權的篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴重的後果。
可用性(Availability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求,也是在網路化空間中必須滿足的一項信息安全要求。
可控性(Controlability)是指對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。
不可否認性(Non-repudiation)是指在網路環境中,信息交換的雙方不能否認其在交換過程中傳送信息或接收信息的行為。
信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對授權主體的不正當行為如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權主體的控制,實現對保密性、完整性和可用性的有效補充,主要強調授權用戶只能在授權範圍內進行合法的訪問,並對其行為進行監督和審查。
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑑別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比,可審計性的含義更寬泛一些。信息安全的可見鑑別性是指信息的接收者能對信息的傳送者的身份進行判定。它也是一個與不可否認性相關的概念。
原則
為了達到信息安全的目標,各種信息安全技術的使用必須遵守一些基本的原則。
最小化原則。受保護的敏感信息只能在一定範圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問信息的適當許可權,稱為最小化原則。敏感信息的。知情權”一定要加以限制,是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。
分權制衡原則。在信息系統中,對所有許可權應該進行適當地劃分,使每個授權主體只能擁有其中的一部分許可權,使他們之間相互制約、相互監督,共同保證信息系統的安全。如果—個授權主體分配的許可權過大,無人監督和制約,就隱含了“濫用權力”、“一言九鼎”的安全隱患。
安全隔離原則。隔離和控制是實現信息安全的基本方法,而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。
在這些基本原則的基礎上,人們在生產實踐過程中還總結出的一些實施原則,他們是基本原則的具體體現和擴展。包括:整體保護原則、誰主管誰負責原則、適度保護的等級化原則、分域保護原則、動態保護原則、多級保護原則、深度保護原則和信息流向原則等。
資質認證
中國信息安全測評認證中心是中國信息安全最高認證,測評及認定項目分為信息安全產品測評、信息系統安全等級認定、信息安全服務資質認定、信息安全從業人員資質認定四大類。
信息安全產品測評:對中國外信息技術產品的安全性進行測評,其中包括各類信息安全產品如防火牆、入侵監測、安全審計、網路隔離、VPN、智慧卡、卡終端、安全管理等,以及各類非安全專用IT產品如作業系統、資料庫、交換機、路由器、套用軟體等。
根據測評依據及測評內容,分為:信息安全產品分級評估、信息安全產品認定測評、信息技術產品自主原創測評、原始碼安全風險評估、選型測試、定製測試。
信息系統認定:
對中國信息系統的安全性進行測試、評估。
對中國信息系統的安全性測試、評估和認定、根據依據標準及測評方法的不同,主要提供:信息安全風險評估、信息系統安全等級保護測評、信息系統安全保障能力評估、信息系統安全方案評審、電子政務項目信息安全風險評估。
信息安全服務資質認定:
對提供信息安全服務的組織和單位資質進行審核、評估和認定。
信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力,以及其穩定性、可靠性進行評估,並依據公開的標準和程式,對其安全服務保障能力進行認定的過程。分為:信息安全工程類、信息安全災難恢復類、安全運營維護類。
信息安全專業人員資質認定:
對信息安全專業人員的資質能力進行考核、評估和認定。
信息安全人員測評與資質認定,主要包括註冊信息安全專業人員(CISP)、註冊信息安全員(CISM)及安全編成等專項培訓、信息安全意識培訓。
技術對比
法政標
信息安全法規、政策與標準
1)法律體系初步構建,但體系化與有效性等方面仍有待進一步完善信息安全法律法規體系初步形成。
據相關統計,截至2008年與信息安全直接相關的法律有65部,涉及網路與信息系統安全、信息內容安全、信息安全系統與產品、保密及密碼管理、計算機病毒與危害性程式防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域,從形式看,有法律、相關的決定、司法解釋及相關檔案、行政法規、法規性檔案、部門規章及相關檔案、地方性法規與地方政府規章及相關檔案多個層次。與此同時,與信息安全相關的司法和行政管理體系迅速完善。但整體來看,與美國、歐盟等先進國家與地區比較,我們在相關法律方面還欠體系化、覆蓋面與深度。缺乏相關的基本法,信息安全在法律層面的缺失對於信息安全保障形成重大隱患。
2)相關係列政策推出,與國外也有異曲同工之處從政策來看,美國信息安全政策體系也值得中國學習與借鑑。美國在信息安全管理以及政策支持方面走在全球的前列:
一是制定了從軍政部門、公共部門和私營領域的風險管理政策和指南;
二是形成了軍、政、學、商分工協作的風險管理體系;
三是國防部、商務部、審計署、預算管理等部門各司其職,形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。
3)信息安全標準化工作得到重視,但標準體系尚待發展與完善信息安全標準體系主要由基礎標準、技術標準和管理標準等分體系組成。
中國信息技術安全標準化技術委員會(CITS)主持制定了GB系列的信息安全標準對信息安全軟體、硬體、施工、檢測、管理等方面的幾十個主要標準。但總體而言,中國的信息安全標準體系仍處於發展和建立階段,基本上是引用與借鑑了國際以及先進國家的相關標準。因此,中國在信息安全標準組織體系方面還有待於進一步發展與完善。
意識實踐
信息安全用戶意識與實踐
1) 信息安全意識有待提高
與已開發國家相比,中國的信息安全產業不單是規模或份額的問題,在深層次的安全意識等方面差距也不少。而從個人信息安全意識層面來看,與美歐等相比較,僅盜版軟體使用率相對較高這種現象就可以部分說明中國個人用戶的信息安全意識仍然較差。包括信用卡使用過程中暴露出來的簽名不嚴格、加密程度低,以及在網際網路使用過程中的密碼使用以及更換等方面都更多地表明,中國個人用戶的信息安全意識有待於提高。
2)信息安全實踐過程有待加強管理
信息安全意識較低的必然結果就是導致信息安全實踐水平較差。廣大中小企業與大量的政府、行業與事業單位用戶對於信息安全的淡漠意識直接表現為缺乏有效地信息安全保障措施,雖然,這是一個全球性的問題,但是中國用戶在這一方面與已開發國家還有一定差距。
產業影響
中間組織對信息安全產業發展的影響
同國外相比較,中國的中間組織機構多為政府職能部門所屬機構或者是下屬科研機構與企業等,而歐美國家這方面的中間組織則包括了國家的相關部門組織、教育與科研組織、企業組織與同業組織等,其覆蓋層次更多,面積更廣。與歐美比較,中國資本市場相對薄弱,對於安全產業的發展而言,就缺乏有效的中間組織形式來推進和導向其發展,雖然中國有一些依託於政府部門的中間組織在產品測試等服務的基礎之上開展了一些相關的服務,但是距離推進、引導中國安全產業中的各類企業尤其是中小企業的發展的需求還有很大的差距,詳見《中國信息安全行業發展前景與投資戰略規劃分析報告》。
培訓教育
教育培訓是培育信息安全公眾或專業人才的重要手段,中國近些年來在信息安全正規教育方面也推出了一些相應的科目與專業,國家各級以及社會化的信息安全培訓也得到了開展,但這些仍然是不夠的,社會教育深入與細化程度與美國等已開發國家比較仍有差距。在美國,對於企業的信息安全有很多監管規範,因此一個良好的培訓計畫開端可以從適應政府或行業的監管規範需求開始。美國政府對於信息安全培訓與教育採取了有效的戰略推進計畫。美國政府通過信息安全法案確立了信息安全教育計畫,他們資助20多所著名大學開展與信息安全風險管理相關的研究和人才培養工作。
專業課程
信息安全是國家重點發展的新興交叉學科,它和政府、國防、金融、製造、商業等部門和行業密切相關,具有廣闊的發展前景。通過學習,使學生具備信息安全防護與保密等方面的理論知識和綜合技術。能在科研單位、高等學校、政府機關(部隊)、金融行業、信息產業及其使用管理部門從事系統設計和管理,特別是從事信息安全防護方面的高級工程技術人才。
主要課程
離散數學、信號與系統、通信原理、軟體工程、編碼理論、信息安全概論、資訊理論、數據結構、作業系統、信息系統工程、現代密碼學、網路安全、信息偽裝等
培養要求
通過學習本專業的學生應獲得以下幾方面的基本知識和職業能力:
基本技能掌握
(1)掌握安全理論、現代企業管理和經濟信息管理和信息系統的基本理論、基本知識。
(2)掌握計算機軟、硬體加密、解密的基本理論、基本知識。
(3)掌握計算機維護和系統支持的基本知識、基本技能。
(4)掌握參與企業管理進行經濟信息分析、處理的基本技能。
(5)較熟練掌握一門外語,並能實際套用於信息安全管理領域。
方向就業
就業方向和主要從事的工作
信息是社會發展的重要戰略資源。國際上圍繞信息的獲取、使用和控制的鬥爭愈演愈烈,信息安全成為維護國家安全和社會穩定的一個焦點,各國都給以極大的關注和投入。網路信息安全已成為亟待解決、影響國家大局和長遠利益的重大關鍵問題,它不但是發揮信息革命帶來的高效率、高效益的有力保證,而且是抵禦信息侵略的重要屏障,信息安全保障能力是21世紀綜合國力、經濟競爭實力和生存能力的重要組成部分,是世紀之交世界各國都在奮力攀登的制高點。信息安全問題全方位地影響中國的政治、軍事、經濟、文化、社會生活的各個方面,如果解決不好將使國家處於信息戰和高度經濟金融風險的威脅之中。
總之,在網路信息技術高速發展的今天,信息安全已變得至關重要,信息安全已成為信息科學的熱點課題。中國在信息安全技術方面的起點還較低,中國只有極少數高等院校開設“信息安全”專業,信息安全技術人才奇缺。本專業畢業生可在政府機關、國家安全部門、銀行、金融、證券、通信領域從事各類信息安全系統、計算機安全系統的研究、設計、開發和管理工作,也可在IT領域從事計算機套用工作。
產品認證
防火牆
網路安全隔離卡與線路選擇器
安全隔離與信息交換產品
安全路由器
智慧卡COS
數據備份與恢復產品
安全作業系統
安全資料庫系統
反垃圾郵件產品
入侵檢測系統(IDS)
網路脆弱性掃描產品
安全審計產品
網站恢復產品
1.防火牆
2.網路安全隔離卡與線路選擇器
3.安全隔離與信息交換產品
4.安全路由器
5.智慧卡COS
6.數據備份與恢復產品
7.安全作業系統
8.安全資料庫系統
9.反垃圾郵件產品
10.入侵檢測系統(IDS)
11.網路脆弱性掃描產品
12.安全審計產品
13.網站恢復產品