❶ 知乎網安全嗎
賬號方面安全措施還是蠻齊全的,光本身網站來說安全性也高,畢竟是大網站嘛,應該是有網路安全工程師在維護網站的,而且上面段子手也多O(∩_∩)O哈哈~
希望對你有幫助,望採納,謝謝。
❷ 網路安全的背景.
隨著計算機技術的飛速發展,信息網路已經成為社會發展的重要保證。有很多是敏感信息,甚至是國家機密。所以難免會吸引來自世界各地的各種人為攻擊(例如信息泄露、信息竊取、數據篡改、數據刪添、計算機病毒等)。同時,網路實體還要經受諸如水災、火災、地震、電磁輻射等方面的考驗。
1、Internet是一個開放的、無控制機構的網路,黑客(Hacker)經常會侵入網路中的計算機系統,或竊取機密數據和盜用特權,或破壞重要數據,或使系統功能得不到充分發揮直至癱瘓。
2、Internet的數據傳輸是基於TCP/IP通信協議進行的,這些協議缺乏使傳輸過程中的信息不被竊取的安全措施。
3、Internet上的通信業務多數使用Unix操作系統來支持,Unix操作系統中明顯存在的安全脆弱性問題會直接影響安全服務。
4、在計算機上存儲、傳輸和處理的電子信息,還沒有像傳統的郵件通信那樣進行信封保護和簽字蓋章。信息的來源和去向是否真實,內容是否被改動,以及是否泄露等,在應用層支持的服務協議中是憑著君子協定來維系的。
5、電子郵件存在著被拆看、誤投和偽造的可能性。使用電子郵件來傳輸重要機密信息會存在著很大的危險。
6、計算機病毒通過Internet的傳播給上網用戶帶來極大的危害,病毒可以使計算機和計算機網路系統癱瘓、數據和文件丟失。在網路上傳播病毒可以通過公共匿名FTP文件傳送、也可以通過郵件和郵件的附加文件傳播。
網路安全由於不同的環境和應用而產生了不同的類型。主要有以下幾種:
(1)系統安全
運行系統安全即保證信息處理和傳輸系統的安全。它側重於保證系統正常運行。避免因為系統的崩潰和損壞而對系統存儲、處理和傳輸的消息造成破壞和損失。避免由於電磁泄翻,產生信息泄露,干擾他人或受他人干擾。
(2)網路信息安全
網路上系統信息的安全。包括用戶口令鑒別,用戶存取許可權控制,數據存取許可權、方式控制,安全審計。安全問題跟踩。計算機病毒防治,數據加密等。
(3)信息傳播安全
網路上信息傳播安全,即信息傳播後果的安全,包括信息過濾等。它側重於防止和控制由非法、有害的信息進行傳播所產生的後果,避免公用網路上自由傳輸的信息失控。
(4)信息內容安全
網路上信息內容的安全。它側重於保護信息的保密性、真實性和完整性。避免攻擊者利用系統的安全漏洞進行竊聽、冒充、詐騙等有損於合法用戶的行為。其本質是保護用戶的利益和隱私。
以上內容參考 網路-網路安全;網路-網路信息安全
❸ 如何銷毀涉密信息存儲介質
本文以涉密硬碟和涉密優盤為例,對在涉密存儲介質維護和報廢過程中存在的不規范行為和安全隱患進行分析,希望引起有關單位和涉密人員的重視。 涉密儲存介質處置中的安全隱患 一、涉密數據清除在認識上存在誤區 一直以來,許多人認為,經過高級格式化或文件刪除後的硬碟,其存儲的數據就被徹底刪除了,這是一種誤解。其實,硬碟的格式化操作,只是重新規劃了磁碟上的儲存區域;而刪除文件操作,只是將文件的記錄表格刪除;即使是經過重新分區後的硬碟,也僅僅重新寫入了硬碟的分區信息而已。除此之外,當硬碟不能讀取數據,不能被系統識別,或者有異常響聲、不能進行格式化操作等問題時,也不能說明硬碟內的數據不存在了。對於我們平常常用的優盤,數據信息被存儲在內部的一個快閃記憶體晶元中,大量維修實踐證明,當優盤出現問題(系統不認、不能讀取、進水、破裂)時,絕大部分是電路的問題,而作為存儲數據的晶元並沒有發生故障。當出現上述幾中情形時,硬碟或優盤中的文件內容、存放位子並沒有發生任何變化,只需要簡單的方法就可以將內容完整地恢復出來。 二、涉密存儲介質在維修過程中存在重大安全隱患 很多涉密單位或涉密人員在硬碟出現問題時,忽視了硬碟中還存有大量的涉密數據,將沒經過任何處理的硬碟直接送到經銷商手中維修,特別是處於產品保質期內的新硬碟,這種現象更為普遍。目前,市場上流行的硬碟,基本上是國外生產的,均由國外生產或國內的外資(獨資)企業組裝,關鍵技術我們很少掌握。需調換或檢修的硬碟在到達經銷商手中之後,一般都會再被送往生產廠家進行維修,這就意味著將涉密信息移交給了涉外機構,失去了對涉密信息的有效控制,存在重大涉密隱患,一旦這些數據被恢復利用,後果不堪設想。同樣,將沒有經過消磁處理的涉密硬碟,直接送到硬碟的銷毀地點,工作中產生的大量數據、圖表資料等涉密信息,很可能會落入一些別有用心者的手中,極易造成泄密。 三、涉密存儲介質報廢過程中存在的安全隱患 隨著各單位對工作的要求不斷提高,涉密硬碟也在不斷更新,但替換下來的舊硬碟的存放較為隨意。有時對舊盤不經技術處理,就移做他用,這種情況比較普遍。這些被換下來的涉密硬碟或廢棄涉密硬碟經常被傳來傳去,倘若傳到不法分子手中,將會造成嚴重後果。換下去的舊硬碟或故障優盤,因沒有固定的消磁、檢測、鑒定、銷毀規定和單位、沒有相應的處理流程,被隨意處置,很容易造成泄密。 涉密存儲介質處理要安全第一 一、規范涉密存儲介質處理工作 涉密存儲介質一般都是發生了數據損壞需要維修。目前,對於涉密數據恢復,國家保密局《涉密信息系統集成資質管理辦法》規定有涉密涉密數據發生損毀,應該到具有涉密數據恢復資質的單位進行恢復。但是對於硬碟的銷毀(包括消磁)還沒有具體明確的管理規定,目前,國家有關主管部門正在考慮制定相應的規范,確保涉密硬碟等存儲介質在維修銷毀過程中的安全。在實際過程中,為了保證涉密數據的安全,應經過對硬碟等存儲介質的檢測、消磁、安全鑒定等專業的技術處理後,再送到指定的涉密存儲介質銷毀地點實施物理銷毀。特別是對尚在保修期內的存有涉密信息的新盤,不能為了省錢,省事而直接送到售後服務單位進行維修,以防造成泄密。 二、定期檢查涉密系統,從軟體上把好安全保密關 應當定期或不定期對操作系統進行安全檢查。現在,各種病毒、黑客層出不窮,越來越難以防範。通過定期的安全檢查可以發現安全隱患,堵塞安全漏洞,消除不安全的苗頭。檢查的內容應該包括:系統安全漏洞補丁,硬碟的工作狀態,系統進程中有無惡意插件運行,病毒是否駐留內存;檢查網路狀態,發包的程度、大小等。一旦發現安全隱患就要立即採取措施彌補,保持系統和硬碟的正常工作,這樣既可以減少硬碟故障的可能,保證數據安全,也會減少涉密資料的丟失或泄露的風險。 三、加強管理、堵塞管理制度上的安全漏洞 工作中,要對涉密人員加強管理和教育,建立健全各項管理制度、措施來保證涉密硬碟等存儲介質的安全。說到底,保密措施在得力,技術再先進,但如果我們不去按照執行,仍然將涉密存儲介質任意維修、隨意處置,那麼涉密數據的安全就不能達到有效的保障。因此,要求涉密人員不僅要有較高的專業素質,還要有較高的安全意識,要有保密工作的敏感性,有對國家秘密的高度責任感。有了這些保證,才能堵塞涉密數據泄露的危險,保障國家秘密的安全。
❹ 網線安全保密注意哪些
選擇網線時應該注意什麼?比如接頭和多少錢一米的合適?什麼樣的網線好?線硬軟有區別嗎?謝謝
最佳答案
為區域網選購線材時一般來說是選購5類或超5類網線,因為3、4類雙絞線一般是使用在10M/bps的網際網路中,而5類雙絞線能滿足現在日 趨流行的100M/bps的網際網路,超5類雙絞線主要用於將來的千兆網上,但現在也普通應用於區域網中,因為價格方面比5類線貴不了多少,現在已有6類線 了,一般用於ATM網路中,公司區域網中暫時還不推薦採用。
有些不良廠商經常會用3類、4類線的線材來冒充5類甚至超5類線,因此要注意選擇擇名牌產品,如AMP、LUCENT(原AT&T)、IBDN(加拿大北方電信)等。
這些線類如屬正規廠家生產則都在包裝的封皮上有標識,如3類線就用「3 cable」,5類線就用「5 cable」,而超5類線則一般表示為「5e(或5E)cable」,要注意看清楚。另外好的雙絞線較粗且較軟,所印字元很清晰;冒牌產品為了節約成本, 通常較細且一般較硬,在包裹塑料皮上所印字元也較粗糙。
❺ 物理隔離與邏輯隔離有什麼區別
您好
1、定義不同
邏輯隔離主要通過邏輯隔離器實現,邏輯隔離器是一種不同網路間的隔離部件,被隔離的兩端仍然存在物理上數據通道連線,但通過技術手段保證被隔離的兩端沒有數據通道,即邏輯上隔離。
物理隔離,是指採用物理方法將內網與外網隔離從而避免入侵或信息泄露的風險的技術手段。
2、作用不同
物理隔離:為防止涉及國家秘密的計算機及信息系統受到來自互聯網等公共信息網路的攻擊,確保國家秘密信息的安全,黨和國家多次強調要求涉密計算機及信息系統要與互聯網等公共信息網實行物理隔離,
國家保密局2000年1月1日起實施的《計算機信息系統國際聯網保密管理規定》第二章保密制度第六條明確規定,「涉及國家秘密的計算機信息系統,不得直接或間接地與國際互聯網或其它公共信息網路相連接,必須實行物理隔離」。
邏輯隔離:邏輯隔離最新實現手段是利用虛擬化技術實現邏輯隔離。利用虛擬化技術,可以讓用戶在一台計算機上打開一個或多個虛擬桌面,每個虛擬桌面以及該計算機的真實操作系統之間都可以互相隔離,數據不能相互傳輸。
因此可以將不同的虛擬桌面以及真實系統連接到不同安全級別的網路,比如利用虛擬桌面來訪問外部互聯網,而本地真實操作系統則連接到內部機密網路進行研發設計工作,這樣就實現了內外的隔離;
此時不同安全級別的網路之間,有著物理上的連接,但互相之間不能相互訪問,只有指定的協議才能通過,符合邏輯隔離的國家標準定義,因此屬於邏輯隔離的范疇。
3、特點不同
物理隔離:物理隔離技術為信息網路提供了更高層次的安全防護能力,不僅使信息網路的抗攻擊能力大大增強,而且有效地防範了信息外泄事件的發生,它至今已發展到了第二代;第一代網閘的技術原理是利用單刀雙擲開關,使得內外網的處理單元分時存取共享存儲設備來完成數據交換,
實現了在物理隔離下的數據交換;第二代網閘在吸取了第一代網閘優點的基礎上,創造性地利用全新理念的專用交換通道 peTprivate exchange tunnel)技術,在不降低安全性的前提下,完成內外網之間高速的數據交換它的安全數據交換過程由專用硬體通信卡、私有通信協議加密簽名機制來實現,
仍通過應用層數據提取與安全審査來杜絕基於協議層的攻擊,並增強應用層安全.它提供了更多的網路應用支持,能夠適應復雜網路對隔離應用的需求
邏輯隔離:虛擬化的邏輯隔離較之傳統的邏輯隔離手段,特點在於使用的便利性,在同一台計算機上進行窗口切換即可實現不同安全級別網路的訪問,同時也不降低安全性。目前市面上一些上網安全桌面類的產品就屬於虛擬化邏輯隔離范疇。
❻ 網閘的安全性到底如何哪些廠家的網閘比較好
請問你是哪裡?網閘都是政府部門或安全性要求很高的單位才會用到.不過我倒是知道.現在市面上的網閘設備有好多種,要看你是注重應用性還是安全性.真不好說,因為你都沒說你具體運用的環境.幫你看看吧。
1、京泰物理隔離網閘
京泰物理隔離網閘採用高速固態開關,在內外網路之間切換,開關的物理特性決定了任意一個時刻,系統在物理鏈路上只能處於內網或者外網的一側;當連入外網時,與內網斷開,從外網獲取需要交換的數據;斷開外網連接,連接內網,交換數據到內網。往復不斷,從而完成內外網路信息的交換;連接建立後,採用自定義信息交換報文和協議進行信息傳遞和交換,防止黑客利用標准網路協議的各種漏洞進行攻擊;由於採用自定義安全傳輸協議,系統在底層自行完成對文件的分片、傳遞工作,在另一端負責對其進行重組、檢測;系統提供應用介面,對應用系統的表單內容進行嚴格的信息檢測和過濾,防止利用各種非法的查詢來獲取信息或者破壞信息;由於通過高速固態開關交換信息,時間延遲極短,為毫秒級,為用戶應用系統提供實時的在線訪問提供了堅實的基礎。安全網閘不但提供標準的信息交流服務,如文件交流、資料庫交流和郵件交流等。還提供其他具體應用系統的二次開發介面,幫助用戶更快、更好的建立自己的安全信息交流平台。支持第三方安全軟體,如對傳遞和交換的數據進行殺毒等,採用Linux操作系統設計,通過公安部、保密局、國家信息安全測評認證中心等權威部門的安全認證,使得自身系統的安全性大為提高。
京泰王閘
產品點評:京泰網路是業內最早從事物理隔離技術的安全公司,其產品以設計新穎、安全程度高,智能化程度高,可靠性好而在業內獲得一致好評。經過幾年的發展,京泰網路已經形成了完整的產品線,售後服務體系不斷完善,產品質量不斷提高,產品已經在國內形成自己的市場,贏得了廣大用戶的信賴。京泰網路物理隔離產品已經通過了公安部、國家保密局、軍隊保密委等所有國家權威部門的檢驗,京泰網路科技獲得了涉密網安全集成商資質認證。
2、蓋特佳物理隔離網閘
蓋特佳物理隔離網閘採用全透明工作模式,動態實時數據交換技術,防範針對操作系統的已知及未知漏洞攻擊,防範基於TCP/IP網路協議弱點的攻擊,使用應用層數據提取技術,徹底阻斷內外網之間的TCP/IP連接。它採用內外處理單元均採用優化的安全操作系統,系統中不存在TCP/IP網路協議棧,內外部網卡均沒有網路地址,無需驅動的Direct I/O技術訪問專用硬體通信設備, 網卡僅監聽數據,對外不提供任何服務,管理控制台完全獨立於內外部網路; 內置自動反入侵功能, 精細的安全訪問控制功能,支持路由和透明橋工作模式,支持主機,網路和網段等多種網路對象,支持HTTP,FTP,MAIL等標准網路協議,支持IP和MAC地址綁定,支持HTTP的URL和內容的關鍵字過濾, 支持日誌,審計和報警,強大的應用層攻擊防護功能,內置高性能安全過濾引擎,能夠防止Dos和DDos攻擊,緩沖區溢出攻擊,惡意編碼攻擊以及應用層洪水攻擊等等。
蓋特佳物理隔離網閘
產品點評:蓋特佳物理隔離網閘通過專用通信設備,專有安全協議和加密驗證機制及應用層數據提取和鑒別認證技術進行不同安全級別網路之間的數據交換,徹底阻斷了網路間的之間TCP/IP連接,同時對網間通信的雙方,內容,過程施以嚴格的身份認證,內容過濾,安全審計等多種安全防護機制,從而保證了網間數據交換的安全可控性,杜絕了由於操作系統和網路協議自身的漏洞帶來的安全風險。
它主要應用在隔離內部網和互聯網,隔離業務網和工作網,隔離內部網和關聯網,隔離保護主機伺服器,隔離保護資料庫伺服器等環境場合。
3、天行安全隔離網閘(Topwalk-GAP)
2000年我國北京天行網安公司率先從物理隔離技術發展出GAP概念,並與公安部通信局密切合作聯合研製完成國內首款GAP(安全隔離與信息交換)產品,即天行安全隔離網閘(Topwalk-GAP),成為重點領域網路安全防護的最佳方案。Topwalk-GAP作為國內基於GAP技術的新一代安全隔離與信息交換產品,能夠實現隔離網路間異構資料庫交換,該產品是經過國家保密局鑒定的安全隔離與信息交換產品,並入選國家火炬計劃,實現了基於消息的傳遞機制。該產品的基本模塊作為整個安全隔離網閘的核心部件,是其他應用模塊的安全平台,資料庫交換模塊支持多種主流資料庫平台在網路間的可控方向的安全數據交換,文件交換模塊提供網路間的基於文件形式的可控方向的安全文件傳輸,消息模塊為上層應用平台提供了基於API的開發介面,為彼此隔離的網路上層程序提供快速可靠的消息傳送。
「以我為主、積極防禦」的技術理念使GAP技術成功地開創了新的安全技術門類。GAP技術是一種通過專用硬體使兩個或者兩個以上的網路在不連通的情況下實現安全數據傳輸和資源共享的技術。GAP又叫安全隔離網閘(安全隔離與信息交換),是在保證兩個網路安全隔離的基礎上實現安全信息交換和資源共享的技術。它採用獨特的硬體設計並集成多種軟體防護策略,能夠抵禦各種已知和未知的攻擊,顯著提高內網的安全強度,為用戶創造無憂的網路應用環境。GAP技術是在物理隔離的基礎上,基於目前國內的信息安全技術現狀,提出的一種適合於電子政務網路安全的「積極防禦」技術。GAP技術隔斷了從物理層到應用層所有網路層次的協議通信,因此,我們可以把GAP理解成「the Gap of All Protocol」的縮寫。只要能夠有效保證對應用數據進行「白名單」方式傳輸和交換,實現的方法可以多種多樣。但是,GAP概念與防火牆、IDS/IPS等概念還是有明確區分的。
Topwalk-GAP
產品點評:天行安全隔離網閘(Topwalk-GAP)通常部署於信任網路與非信任網路之間,通過獨創軟硬體體系結構,採用了協議轉換、安全操作系統內核、基於加密和證書的身份驗證機制、病毒及惡意代碼過濾、安全審計管理等安全技術,根據用戶定義的應用數據「白名單」策略進行數據傳輸和交換,並徹底杜絕有害信息,構築起各種網路威脅(黑客、蠕蟲病毒等)不可逾越的安全網閘。作為國內GAP領域的倡導者和領先者,天行安全隔離網閘(Topwalk-GAP)一直以其創新實用性、安全可靠性得到了廣大用戶的青睞。
4、聯想網御SIS-3000安全隔離網閘
聯想網御SIS-3000安全隔離網閘是在兩個相互物理隔離的網路間安全、高速、可靠地進行數據交換的網路安全設備。系統採用專有隔離硬體和協議,並採用國際上最新的信息輪渡機制,集成了安全操作系統、內容過濾、數字簽名、病毒查殺、訪問控制和安全審計等多種安全技術,對傳輸數據的類型、內容等進行檢查和過濾,提供可信任的專用信息交換服務,有效克服了由於物理隔離引起的電子政務、電子商務的數據交換瓶頸,保持了多個網路間物理隔離的特性,提供了一種安全、有效的數據交換途徑。
該產品使用高速安全隔離電子開關,只支持單向網路連接,保證內外網在物理鏈路層上的完全斷開,並可以支持毫秒級的高速切換,以配合後台高速響應設備;同時,SIS-3000為指定應用提供數據交換,通過與具體應用的結合,極大地提高了系統的安全系數,避免了開放TCP/IP通用服務造成的安全隱患。聯想網御SIS-3000具有高速電子開關和專有協議,確保內外網在任意時刻物理隔離,通過領先的信息擺渡機制,提高數據傳輸的安全性;採用多種安全技術,支持可信的專用信息交換服務;具有自主的嵌入式安全操作系統,有效保證了系統自身安全性;支持包括文件交換、郵件交換和資料庫同步在內的多種應用。
聯想網御SIS-3000
產品點評:聯想網御SIS-3000系列安全隔離網閘作為網路鏈路層物理隔離設備,具有比防火牆更高的安全性能。可在涉密網路之間、涉密網路不同安全域之間、涉密網路與內部網之間、內部網與互聯網之間信任的進行信息交換。適用於政府、軍隊、金融等單位的網間非實時信息交換環境。
5、中網隔離網閘X-gap
由中網公司研製開發的安全隔離和信息交換系統(X-Gap),能夠較好的解決隔離斷開和數據交換的難題,中網物理隔離網閘真正實現了兩個網路之間的物理隔離。X-Gap 中斷了兩個網路之間的鏈路連接、通信連接、網路連接和應用連接,在保證兩個網路完全斷開和協議中止的情況下,以非網路方式實現了數據交換。沒有任何包、命令和TCP/IP協議(包括UDP和ICMP)可以穿透X-Gap, 它具有高安全、高帶寬、高速度、高可用性的優點。此外,由於採用了SCSI技術, 背板速率高達5G,開關效率達到納秒級,徹底解決了速度慢、效率低的問題。除此之外,SCSI控制系統本身具有不可編程的特性和沖突機制,形成簡單的開關原理,從而徹底解決了網閘開關的安全性問題。
物理隔離是通過開關來實現的。目前常見的物理隔離開關技術有三種:實時開關(Real-Time Switch),單向連接 (One-Way Link),和網路開關(Network Switch)。 實時開關和單向連接的速度要快一些,網路開關的速度要慢一些。人們普遍存在對開關速度的擔憂,擔心開關速度直接影響網路的性能。如果開關的速度低,網路的性能肯定受到影響。即使開關的速度高,網閘的性能也受主機性能的限制。不管開關速度的高低,網閘的性能的上限都不會超過主機的上限。中網物理隔離網閘通過採用主機的CPU時鍾作為開關,將開關功能在系統的內核中實現,成功的達到網閘的最高性能,優於常見的三種開關技術。內核的效率要遠遠高於外設的效率。
中網物理隔離網閘
產品點評:在用戶要求進行物理隔離,同時又需要實時地交換數據,解決物理隔離和信息交流的問題時,採用中網X-GAP系列產品則可以實現兩網之間必要的「擺渡」,又保證不會有相互入侵的安全問題。X-GAP可以輕松的集成到政府、電力、工商、稅務、公安、交通、能源、金融和大型企業等的網路和業務環境中,完善地保護核心安全,滿足客戶對高安全、高性能、高可靠性的應用需要。
6、偉思物理隔離網閘copgap200
偉思網閘CopGap是兩個嵌入式單板計算機和安全電路板組成。其中兩個嵌入式單板計算機分別連接可信網路和不可信網路,通過安全電路板把兩個嵌入式單板計算機連接在一起。安全電路板是針對物理隔離技術而專門設計的純硬體設備,它包含獨有高速LVDS匯流排,系統內部數據流量達到1056M位/秒,超過了1G位/秒。 CopGap操作系統採用經保密局鑒定的安全Linux操作系統內核,具有極高的安全性。
通過專用高速安全晶元開關和先進的協議終止/協議分析技術,使得可信和不可信網路在CopGap上物理鏈路隔斷和協議隔離,杜絕黑客對可信網路的惡意攻擊。通過先進的GAP反射系統,不依賴任何通信協議和操作系統,利用獨立的硬體邏輯電路,獨立的匯流排技術,保證內外網路可控、高速、安全的數據交換。通過復雜的數學變換,可以打亂原裸數據的格式,改變數據結構,使惡意代碼在傳輸過程中無法執行,從根本上保證數據傳輸安全。安全決策體系位於內部可信安全伺服器端,與不可信網路之間物理斷開,可以保證安全決策體系的完整性和安全決策體系決策過程的完整性。從而保障整體安全架構的完整性。它採用協議終止技術,防止基於網路協議漏洞的已知和未知攻擊; 抵禦基於操作系統漏洞的攻擊;抵禦緩沖區溢出攻擊、過載攻擊、拒絕服務攻擊(DOS)、分布式拒絕服務攻擊(DDOS); 對數據進行內容審查、對網路協議進行分析和審查;具有審計功能,可對網路用戶的行為作詳盡的記錄;身份認證和訪問控制功能:支持用戶端的數字證書認證(CA);雙重代理功能,隱藏內網結構信息。
偉思copgap200
產品點評:偉思科博安全隔離與信息交換系統CopGap是在國家863計劃支持下,由北京偉思科博網路安全技術研究所經過數年物理隔離技術的研究,研製生產的具有自主知識產權的網路安全產品。CopGap安全隔離與信息交換系統能從物理鏈路上斷開內外網路,並且在安全可控的條件下進行適度數據交換。它通過基於硬體設計的反射GAP系統,保證可信網路和不可信網路不會有實際的網路協議連接,可防止各種基於網路層和操作系統層的攻擊,實現高速安全的數據交換。CopGap具有雙向及單向通訊控制能力,可根據用戶實際的安全需求嚴格限定信息流向,保護涉密信息的安全。
二、推薦小結
我國物理隔離網閘的產品研製是近幾年的事,參與研製的單位不多,產品種類也較少,產品的性能指標、質量指標、技術水平處於第一代。我們上面介紹的6種網閘產品,它們都通過了公安部計算機信息系統安全產品質量檢驗中心檢測,其中,北京天行網安信息技術有限責任公司研發的天行安全隔離網閘(Topwalk-GAP)於2002年9月通過了國家保密局的技術鑒定。由於物理隔離網閘處於涉密網與非涉密網的網關的特殊位置,而且,又是網路安全的最後一道防線,用戶對產品研發人員的背景和研發單位的背景也是選擇產品的重要條件。有些有外資背景公司的產品銷售不能不受影響。所以,在市場上能站住腳的產品是極為有限的幾種。因此我們在選購物理隔離網閘時,要特別注意它的兩個主要指標即數據交換速率----支持百兆網路和千兆網路的數據交換速率;切換時間----使用高速安全隔離電子開關,支持毫秒級的高速切換。
最後我們再強調一下物理隔離網閘應用在下面的5種場合環境中:
1)涉密網與非涉密網之間;
2)區域網與互聯網之間(內網與外網之間);
有些區域網絡,特別是政府辦公網路,涉及政府敏感信息,有時需要與互聯網在物理上斷開,用物理隔離網閘是一個常用的辦法。
3)辦公網與業務網之間;
由於辦公網路與業務網路的信息敏感程度不同,例如,銀行的辦公網路和銀行業務網路就是很典型的信息敏感程度不同的兩類網路。為了提高工作效率,辦公網路有時需要與業務網路交換信息。為解決業務網路的安全,比較好的辦法就是在辦公網與業務網之間使用物理隔離網閘,實現兩類網路的物理隔離。
4)電子政務的內網與專網之間;
在電子政務系統建設中要求政府內望與外網之間用邏輯隔離,在政府專網與內網之間用物理隔離。現常用的方法是用物理隔離網閘來實現。
5)業務網與互聯網之間;
電子商務網路一邊連接著業務網路伺服器,一邊通過互聯網連接著廣大民眾。為了保障業務網路伺服器的安全,在業務網路與互聯網之間應實現物理隔離。
報價就要你自己去和他們聯系了,個人觀點:天行網安的好一些.因為一般買網閘都是為了安全,他們的GAP3000安全性很高.
❼ 想問下,我如果做企事業單位的項目,如何獲得廠家授權。
所謂系統集成,就是通過結構化的綜合布線系統和計算機網路技術,將各個分離的設備(如個人電腦)、功能和信息等集成到相互關聯的、統一和協調的系統之中,使資源達到充分共享,實現集中、高效、便利的管理。系統集成應採用功能集成、網路集成、軟體界面集成等多種集成技術。系統集成實現的關鍵在於解決系統之間的互連和互操作性問題,它是一個多廠商、多協議和面向各種應用的體系結構。這需要解決各類設備、子系統間的介面、協議、系統平台、應用軟體等與子系統、建築環境、施工配合、組織管理和人員配備相關的一切面向集成的問題。系統集成作為一種新興的服務方式,是近年來國際信息服務業中發展勢頭最猛的一個行業。系統集成的本質就是最優化的綜合統籌設計,一個大型的綜合計算機網路系統,系統集成包括計算機軟體、硬體、操作系統技術、資料庫技術、網路通訊技術等的集成,以及不同廠家產品選型,搭配的集成,系統集成所要達到的目標-整體性能最優,即所有部件和成分合在一起後不但能工作,而且全系統是低成本的、高效率的、性能勻稱的、可擴充性和可維護的系統,為了達到此目標,系統集成商的優劣是至關重要的。 一、簡介 為加強計算機信息系統集成市場的規范化管理,促進計算機信息系統集成企業能力和水平的不斷提高,確保各應用領域計算機系統工程質量,信息產業部從2000年開始建立計算機信息系統集成資質管理制度,制定並發布了《計算機信息系統集成資質管理辦法》。 計算機信息系統集成資質認證是計算機信息系統集成企業為了取得《計算機信息系統集成資質證書》,必須經過信息產業部授權的第三方認證機構進行的一種認證,以評定企業從事計算機信息系統集成的綜合能力,包括技術水平、管理水平、服務水平、質量保證能力、技術裝備、系統建設質量、人員構成與素質、經營業績、資產狀況等要素。 企業只有通過認證機構的認證,才能向信息產業主管部門申報審批。 二、益處 1. 有利於系統集成企業展示自身實力,有利於信息系統項目主建單位對項目承建單位的選擇,降低前期溝通成本。 計算機信息系統集成資質的管理比以往的資質更加規范和市場化,系統集成企業要獲得資質證書必須要經過第三方認證機構的認證,證實企業各方面的綜合能力達到規定的等級水平,也就是說系統集成資質證書的「含金量」更高,更具說服力,系統集成企業自身實力更易於在市場上展示。系統集成企業獲得《資質證書》,改進自身的市場形象,提高在社會的知名度,增加顧客的信任感,從而減少系統集成企業為了向社會和建設單位展示和證實自身能力而進行宣傳、廣告、現場參觀、示範等環節,降低一些不必要的溝通成本。 2.有利於提高系統集成企業參與市場競爭的能力。 隨著系統集成市場的逐漸規范,建設單位對系統集成企業的資質要求會越來越嚴格,國家政府部門對涉及政府投資或涉及安全的項目,也會規定必須取得《資質證書》,這些系統集成項目包括: -各類政務信息系統集成項目; -國有大中型企事業單位信息系統集成項目; -使用政府投資建設的信息系統集成項目; -涉及國家安全、生產安全、信息安全的信息系統集成項目; -國家法律、法規、規章規定要求實施單位具有《計算機信息系統集成企業資質證書》的信息系統集成項目。 目前很多系統集成項目的招標中都會要求投標者要具備一定等級的資質證書,所以,系統集成企業獲得《資質證書》,等於取得進入系統集成市場的鑰匙,反過來也是對沒有獲得《資質證書》的競爭者形成了一道進入的門檻。 3.有利於系統集成企業按照等級標准,加強自身建設,不斷提高企業的經營、技術和管理能力。 系統集成資質等級評定條件所要求的是全方位的綜合實力,包括技術水平、管理水平、服務水平、質量保證能力、技術裝備、系統建設質量、人員構成與素質、經營業績、資產狀況等要素。系統集成企業要取得《資質證書》,必須不斷改善自身的綜合實力,以達到評定條件的要求。 同時,系統集成資質認證要求企業的項目管理達到一定的水平,要求企業要有一定數量的信息系統集成項目經理,企業通過培養項目經理可以提高自身項目管理的能力。 4.有利於系統集成企業享受國務院18號文的優惠政策。 政府部門在制訂政策時,會考慮對系統集成資質的要求,如《軟體企業認定標准及管理辦法》(試行) 中第十二條 軟體企業的認定標準是: (三)或者提供通過資質等級認證的計算機信息系統集成等技術服務;第十三條 申請認定的企業應向軟體企業認定機構提交下列材料:(五)系統集成企業須提交由信息產業部頒發的資質等級證明材料。《涉及國家秘密的計算機信息系統集成資質管理辦法(試行)》第六條 ……涉密系統集成單位應當具備下列條件:(二)具有信息產業部頒發的《計算機信息系統集成資質證書》(一級或二級),並有網路安全集成的成功範例。 三、等級評定條件比較 一級摘要 二級 三級 四級
❽ 新形勢下,如何加強計算機,手機等保密管理
新購置涉密計算啟用前,應進行保密技術檢測。涉密計算機所使用的各種配套設施和設備,必須經過保密檢測,禁止使用未經檢測的設施和設備。涉密計算機中的數據加密設備和加密措施,必須經國家密碼管理局批准。
涉密計算機應當按照所存儲、處理信息的最高密級標注密級標志,並登記在冊。涉密計算機所在場所、部位、應採取相關的電磁泄露發射防護技術措施。涉密計算機應嚴格按照國家保密規定和標准設置口令。
(8)涉密系統網路安全廠家知乎擴展閱讀:
注意事項:
完善計算機信息安全的法律體系。國家及各級政府應加強計算機信息安全方面的法律建設,不斷完善各項法律法規,為企業及個人提供詳實的法律依據,防止由於法律約束力的限制,造成犯罪行為的發生,給國家或個人帶來損失。
另一方面應加強計算機安全保密意識的教育及宣傳工作,定期組織相關人員學習有關法規文件和安全教材,更新安全保密觀念,增強安全保密意識,增長網路安全保密知識,提高網路保密素質,改善網路安全保密環境。
❾ 計算機安全指的是什麼
國際標准化委員會的定義是「為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。」
美國國防部國家計算機安全中心的定義是「要討論計算機安全首先必須討論對安全需求的陳述,......。一般說來,安全的系統會利用一些專門的安全特性來控制對信息的訪問,只有經過適當授權的人,或者以這些人的名義進行的進程可以讀、寫、創建和刪除這些信息。」
我國公安部計算機管理監察司的定義是「計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。」
■ 網路安全分類(三類)及基本功能
根據國家計算機安全規范,可把計算機的安全大致分為三類。一是實體安全,包括機房、線路,主機等;二是網路與信息安全,包括網路的暢通、准確及其網上的信息安全;三是應用安全,包括程序開發運行、輸入輸出、資料庫等的安全。下面重點探討第二類網路與信息的安全問題。
網路信息安全需求可以歸結為以下幾類:
1.基本安全類
包括訪問控制、授權、認證、加密和內容安全等。
訪問控制是提供企業內部與外界及內部不同信息源之間隔離的基本機制,也是企業的基本要求。但是提供隔離不是最終目的,企業利用Internet技術的最終目的應當是在安全的前題下提供方便的信息訪問,這就是授權需求。同時,用戶也希望對授權的人的身份進行有效的識別,這就是認證的需求。為了保證信息在存儲和傳輸中不被纂改、竊聽等需要加密功能,同時,為了實施對進出企業網的流量進行有效的控制,就需要引入內容安全要求。
2.管理與記帳類
包括安全策略管理、企業范圍內的集中管理、記帳、實時監控,報警等功能。
3.網路互聯設備安全類
包括路由器安全管理、遠程訪問伺服器安全管理、通信伺服器安全管理、交換機安全管理等。
4.連接控制類
主要為發布企業消息的伺服器提供可靠的連接服務,包括負載均衡、高可靠性以及流量管理等。
什麼叫網路安全?
網路安全是指網路系統的硬體、軟體及其系統中的數據受到保護,不受偶然的或者惡意的原因而遭到破壞、更改、泄露,系統連續可靠正常地運行,網路服務不中斷。
前言
以Internet為代表的全球性信息化浪潮日益深刻,信息網路技術的應用正日益普及和廣泛,應用層次正在深入,應用領域從傳統的、小型業務系統逐漸向大型、關鍵業務系統擴展,典型的如政府部門業務系統、金融業務系統、證券業務系統等。與此同時,這股強勁的Internet旋風也以驚人的速度滲透到企業的各個方面。現在,大企業已經利用現有的網路技術打造自己的「網路航母」,包括銷售、宣傳、服務、ERP、ARP等。給企業的發展提供強有力的支持。
企業從事的網路信息直接關繫到公司的發展,所涉及的公司的商業機蜜、網路交易等,如有信息外泄,直接關繫到公司的形象和信譽,所以為了保障網路的安全,必須對網路進行安全設計
■ 影響網路安全的因素
現今的企業網路信息安全存在的威脅主要表現在以下幾個方面。
1.非授權訪問。指對網路設備及信息資源進行非正常使用或越權使用等。
2.冒充合法用戶。主要指利用各種假冒或欺騙的手段非法獲得合法用戶的使用許可權,以達到佔用
合法用戶資源的目的。
3.破壞數據的完整性。指使用非法手段,刪除、修改、重發某些重要信息,以干擾用戶的正常使
用。
4.干擾系統正常運行。指改變系統的正常運行方法,減慢系統的響應時間等手段。
5.病毒與惡意攻擊。指通過網路傳播病毒或惡意Java、XActive等。
6.線路竊聽。指利用通信介質的電磁泄漏或搭線竊聽等手段獲取非法信息。
■ 安全缺口
安全策略經常會與用戶方便性相矛盾,從而產生相反的壓力,使安全措施與安全策略相脫節。這種情況稱為安全缺口。為什麼會存在安全缺口呢?有下面四個因素:
1、網路設備種類繁多——當前使用的有各種各樣的網路設備,從Windows NT和UNIX 伺服器到防
火牆、路由器和Web伺服器,每種設備均有其獨特的安全狀況和保密功能;
2、訪問方式的多樣化——一般來說,您的網路環境存在多種進出方式,許多過程拔號登錄點以及
新的Internet訪問方式可能會使安全策略的設立復雜化;
3、網路的不斷變化——網路不是靜態的,一直都處於發展變化中。啟用新的硬體設備和操作系
統,實施新的應用程序和Web伺服器時,安全配置也有不盡相同;
4、用戶保安專業知識的缺乏——許多組織所擁有的對網路進行有效保護的保安專業知識十分有
限,這實際上是造成安全缺口最為主要的一點。
■ 網路安全評估
為堵死安全策略和安全措施之間的缺口,必須從以下三方面對網路安全狀況進行評估:
1、 從企業外部進行評估:考察企業計算機基礎設施中的防火牆;
2、 從企業內部進行評估:考察內部網路系統中的計算機;
3、 從應用系統進行評估:考察每台硬體設備上運行的操作系統。
網際協議安全(IPSecurity)?
IPSec作為安全網路的長期方向,是基於密碼學的保護服務和安全協議的套件。因為它不需要更改應用程序或協議,您可以很容易地給現有網路部署IPSec。IPSec對使用L2TP協議的VPN連接提供機器級身份驗證和數據加密。在保護密碼和數據的L2TP連接建立之前,IPSec在計算機及其遠程隧道伺服器之間進行協商。
什麼叫埠?
進出計算機的路徑。個人計算機的串口和並口是用於插接通訊線、modem和列印機的外部插槽。在編程過程中,埠可以是符號介面,也可來自於應用程序或實用工具。
什麼叫防火牆(Firewall)?
用於將網際網路的子網與網際網路的其餘部分相隔離,以達到網路和信息安全效果的軟體或硬體設施。防火牆可以被安裝在一個單獨的路由器中,用來過濾不想要的信息包,也可以被安裝在路由器和主機中,發揮更大的網路安全保護作用。防火牆被廣泛用來讓用戶在一個安全屏障後接入互聯網,還被用來把一家企業的公共網路伺服器和企業內部網路隔開。另外,防火牆還可以被用來保護企業內部網路某一個部分的安全。例如,一個研究或者會計子網可能很容易受到來自企業內部網路裡面的窺探。
防火牆可以確定哪些內部服務允許外部訪問,哪些外人被許可訪問所允許的內部服務,哪些外部服務可由內部人員訪問。為了使防火牆發揮效力,來自和發往網際網路的所有信息都必須經由防火牆出入。防火牆只允許授權信息通過,而防火牆本身不能被滲透。
什麼叫後門(Back Door)?
繞過安全性控制而獲取對程序或系統訪問權的方法。在軟體的開發階段,程序員常會在軟體內創建後門以便可以修改程序中的缺陷。如果後門被其他人知道,或是在發布軟體之前沒有刪除後門,那麼它就成了安全風險。
什麼叫網關(Gateway)?
網關即將兩個使用不同協議的網路段連接在一起的設備。它的作用就是對兩個網路段中的使用不同傳輸協議的數據進行互相的翻譯轉換。
什麼叫PAP密碼驗證協議(Password Authentication Protocol)?
密碼驗證協議是一種用於對試圖登錄到點對點協議伺服器上的用戶進行身份驗證的方法。
什麼叫PKI公開密鑰基礎設施(Public Key Infrastructure)?
PKI是近幾年涌現的一種新的安全技術,它是由公開密鑰密碼技術、數字證書、證書發行機構(Certificate Authority,CA)和關於公開密鑰的安全策略等基本成分共同組成的。
什麼叫計算機病毒(Computer Virus)?
計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者破壞數據,影響計算機使用並且能夠自我復制的一組計算機指令或者程序代碼。
什麼叫黑客?
計算機黑客是指未經許可擅自進入某個計算機網路系統的非法用戶。計算機黑客往往具有一定的計算機技術,採取截獲密碼等方法,非法闖入某個計算機系統,進行盜竊、修改信息,破壞系統運行等活動,對計算機網路造成很大的損失和破壞。
我國新修訂的《刑法》,增加了有關利用計算機犯罪的條款,非法製造、傳播計算機病毒和非法進入計算機網路系統進行破壞都是犯罪行為。
什麼叫郵件炸彈(E-mail Bomb)?
使得攻擊目標主機收到超量的電子郵件,使得主機無法承受導致郵件系統崩潰。
什麼叫拒絕服務(DoS)?
DoS是Denial of Service的簡稱,即拒絕服務,造成DoS的攻擊行為被稱為DoS攻擊,其目的是使計算機或網路無法提供正常的服務。最常見的DoS攻擊有計算機網路帶寬攻擊和連通性攻擊。帶寬攻擊指以極大的通信量沖擊網路,使得所有可用網路資源都被消耗殆盡,最後導致合法的用戶請求無法通過。連通性攻擊指用大量的連接請求沖擊計算機,使得所有可用的操作系統資源都被消耗殆盡,最終計算機無法再處理合法用戶的請求。 什麼叫尼姆達病毒(nimda)?
尼姆達是以readme.exe為附件通過電子郵件傳播的蠕蟲病毒。此病毒會自動創建染毒文件.eml和.nws。當用戶計算機感染尼姆達後,其蠕蟲病毒會把用戶C盤設為共享,通過感染文件、亂發郵件、網路蠕蟲、區域網蠕蟲四種方式傳播。其病毒特徵與猖狂一時的紅色代碼、藍色代碼如出一轍。
回答者:沒有感覺真要命 - 秀才 三級 12-30 00:21
國際標准化委員會的定義是「為數據處理系統和採取的技術的和管理的安全保護,保護計算機硬體、軟體、數據不因偶然的或惡意的原因而遭到破壞、更改、顯露。」
美國國防部國家計算機安全中心的定義是「要討論計算機安全首先必須討論對安全需求的陳述,......。一般說來,安全的系統會利用一些專門的安全特性來控制對信息的訪問,只有經過適當授權的人,或者以這些人的名義進行的進程可以讀、寫、創建和刪除這些信息。」
我國公安部計算機管理監察司的定義是「計算機安全是指計算機資產安全,即計算機信息系統資源和信息資源不受自然和人為有害因素的威脅和危害。」
計算機安全可分成三類,即保密、完整和即需。
保密是指防止未授權的數據暴露並確保數據源的可靠性;完整是防止未經授權的數據修改;即需是防止延遲或拒絕服務。
安全措施是指識別、降低或消除安全威脅的物理或邏輯步驟的總稱。根據資產的重要性不同,相應的安全措施也有多種。如果保護資產免受安全威脅的成本超過所保護資產的價值,我們就認為對這種資產的安全風險很低或不可能發生。
參考資料:http://hi..com/12231223/blog/item/9f5cc5ef1a901d37adafd5e8.html
❿ 信息安全的相關技術
在市場上比較流行,而又能夠代表未來發展方向的安全產品大致有以下幾類:
◆ 用戶身份認證:是安全的第一道大門,是各種安全措施可以發揮作用的前提,身份認證技術包括:靜態密碼、動態密碼(簡訊密碼、動態口令牌、手機令牌)、USB KEY、IC卡、數字證書、指紋虹膜等。
◆防火牆:防火牆在某種意義上可以說是一種訪問控制產品。它在內部網路與不安全的外部網路之間設置障礙,阻止外界對內部資源的非法訪問,防止內部對外部的不安全訪問。主要技術有:包過濾技術,應用網關技術,代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對內部網路的攻擊,並且能夠實現數據流的監控、過濾、記錄和報告功能,較好地隔斷內部網路與外部網路的連接。但它其本身可能存在安全問題,也可能會是一個潛在的瓶頸。
◆網路安全隔離:網路隔離有兩種方式,一種是採用隔離卡來實現的,一種是採用網路安全隔離網閘實現的。隔離卡主要用於對單台機器的隔離,網閘主要用於對於整個網路的隔離。這兩者的區別可參見參考資料。網路安全隔離與防火牆的區別可參看參考資料。
◆安全路由器:由於WAN連接需要專用的路由器設備,因而可通過路由器來控制網路傳輸。通常採用訪問控制列表技術來控制網路信息流。
◆虛擬專用網(VPN):虛擬專用網(VPN)是在公共數據網路上,通過採用數據加密技術和訪問控制技術,實現兩個或多個可信內部網之間的互聯。VPN的構築通常都要求採用具有加密功能的路由器或防火牆,以實現數據在公共信道上的可信傳遞。
◆ 安全伺服器:安全伺服器主要針對一個區域網內部信息存儲、傳輸的安全保密問題,其實現功能包括對區域網資源的管理和控制,對區域網內用戶的管理,以及區域網中所有安全相關事件的審計和跟蹤。
◆ 電子簽證機構--CA和PKI產品:電子簽證機構(CA)作為通信的第三方,為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書,為用戶提供成員身份驗證和密鑰管理等功能。PKI產品可以提供更多的功能和更好的服務,將成為所有應用的計算基礎結構的核心部件。
◆ 安全管理中心:由於網上的安全產品較多,且分布在不同的位置,這就需要建立一套集中管理的機制和設備,即安全管理中心。它用來給各網路安全設備分發密鑰,監控網路安全設備的運行狀態,負責收集網路安全設備的審計信息等。
◆入侵檢測系統(IDS):入侵檢測,作為傳統保護機制(比如訪問控制,身份識別等)的有效補充,形成了信息系統中不可或缺的反饋鏈。
◆入侵防禦系統(IPS):入侵防禦,入侵防禦系統作為IDS很好的補充,是信息安全發展過程中占據重要位置的計算機網路硬體。
◆安全資料庫:由於大量的信息存儲在計算機資料庫內,有些信息是有價值的,也是敏感的,需要保護。安全資料庫可以確保資料庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識別等。
◆ 安全操作系統:給系統中的關鍵伺服器提供安全運行平台,構成安全WWW服務,安全FTP服務,安全SMTP服務等,並作為各類網路安全產品的堅實底座,確保這些安全產品的自身安全。
◆DG圖文檔加密:能夠智能識別計算機所運行的涉密數據,並自動強制對所有涉密數據進行加密操作,而不需要人的參與。體現了安全面前人人平等。從根源解決信息泄密
信息安全行業中的主流技術如下: 1、病毒檢測與清除技術 2、安全防護技術 包含網路防護技術(防火牆、UTM、入侵檢測防禦等);應用防護技術(如應用程序介面安全技術等);系統防護技術(如防篡改、系統備份與恢復技術等),防止外部網路用戶以非法手段進入內部網路,訪問內部資源,保護內部網路操作環境的相關技術。 3、安全審計技術 包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網路日誌,從而評估網路配置的合理性、安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用戶的網路行為審計,確認行為的合規性,確保信息及網路使用的合規性。 4、安全檢測與監控技術 對信息系統中的流量以及應用內容進行二至七層的檢測並適度監管和控制,避免網路流量的濫用、垃圾信息和有害信息的傳播。 5、解密、加密技術 在信息系統的傳輸過程或存儲過程中進行信息數據的加密和解密。 6、身份認證技術 用來確定訪問或介入信息系統用戶或者設備身份的合法性的技術,典型的手段有用戶名口令、身份識別、PKI 證書和生物認證等。
信息安全服務
信息安全服務是指為確保信息和信息系統的完整性、保密性和可用性所提供的信息技術專業服務,包括對信息系統安全的的咨詢、集成、監理、測評、認證、運維、審計、培訓和風險評估、容災備份、應急響應等工作 信息安全可以建立、採取有效的技術和管理手段,保護計算機信息系統和網路內的計算機硬體、軟體、數據及應用等不因偶然或惡意的原因而遭到破壞、更改和泄漏,保障信息系統能夠連續、正常運行。
一個安全有效的計算機信息系統可以同時支持機密性、真實性、可控性、可用性這四個核心安全屬性,而提供信息安全業務的基本目標就是幫助信息系統實現上述全部或大部分內容。 電子商務安全從整體上可分為兩大部分:計算機網路安全和商務交易安全
(一)計算機網路安全的內容包括:
(1)未進行操作系統相關安全配置
不論採用什麼操作系統,在預設安裝的條件下都會存在一些安全問題,只有專門針對操作系統安全性進行相關的和嚴格的安全配置,才能達到一定的安全程度。千萬不要以為操作系統預設安裝後,再配上很強的密碼系統就算作安全了。網路軟體的漏洞和「後門」是進行網路攻擊的首選目標。
(2)未進行CGI程序代碼審計
如果是通用的CGI問題,防範起來還稍微容易一些,但是對於網站或軟體供應商專門開發的一些CGI程序,很多存在嚴重的CGI問題,對於電子商務站點來說,會出現惡意攻擊者冒用他人賬號進行網上購物等嚴重後果。
(3)拒絕服務(DoS,DenialofService)攻擊
隨著電子商務的興起,對網站的實時性要求越來越高,DoS或DDoS對網站的威脅越來越大。以網路癱瘓為目標的襲擊效果比任何傳統的恐怖主義和戰爭方式都來得更強烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風險卻非常小,甚至可以在襲擊開始前就已經消失得無影無蹤,使對方沒有實行報復打擊的可能。
(4)安全產品使用不當
雖然不少網站採用了一些網路安全設備,但由於安全產品本身的問題或使用問題,這些產品並沒有起到應有的作用。很多安全廠商的產品對配置人員的技術背景要求很高,超出對普通網管人員的技術要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統改動,需要改動相關安全產品的設置時,很容易產生許多安全問題。
(5)缺少嚴格的網路安全管理制度
網路安全最重要的還是要思想上高度重視,網站或區域網內部的安全需要用完備的安全制度來保障。建立和實施嚴密的計算機網路安全制度與策略是真正實現網路安全的基礎。
(二)計算機商務交易安全的內容包括:
(1)竊取信息
由於未採用加密措施,數據信息在網路上以明文形式傳送,入侵者在數據包經過的網關或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規律和格式,進而得到傳輸信息的內容,造成網上傳輸信息泄密。
(2)篡改信息
當入侵者掌握了信息的格式和規律後,通過各種技術手段和方法,將網路上傳送的信息數據在中途修改,然後再發向目的地。這種方法並不新鮮,在路由器或網關上都可以做此類工作。
(3)假冒
由於掌握了數據的格式,並可以篡改通過的信息,攻擊者可以冒充合法用戶發送假冒的信息或者主動獲取信息,而遠端用戶通常很難分辨。
(4)惡意破壞
由於攻擊者可以接入網路,則可能對網路中的信息進行修改,掌握網上的機要信息,甚至可以潛入網路內部,其後果是非常嚴重的。 電子商務的一個重要技術特徵是利用計算機技術來傳輸和處理商業信息。因此,電子商務安全問題的對策從整體上可分為計算機網路安全措施和商務交易安全措施兩大部分。
1.計算機網路安全措施
計算機網路安全措施主要包括保護網路安全、保護應用服務安全和保護系統安全三個方面,各個方面都要結合考慮安全防護的物理安全、防火牆、信息安全、Web安全、媒體安全等等。
(一)保護網路安全。
網路安全是為保護商務各方網路端系統之間通信過程的安全性。保證機密性、完整性、認證性和訪問控制性是網路安全的重要因素。保護網路安全的主要措施如下:
(1)全面規劃網路平台的安全策略。
(2)制定網路安全的管理措施。
(3)使用防火牆。
(4)盡可能記錄網路上的一切活動。
(5)注意對網路設備的物理保護。
(6)檢驗網路平台系統的脆弱性。
(7)建立可靠的識別和鑒別機制。
(二)保護應用安全。
保護應用安全,主要是針對特定應用(如Web伺服器、網路支付專用軟體系統)所建立的安全防護措施,它獨立於網路的任何其他安全防護措施。雖然有些防護措施可能是網路安全業務的一種替代或重疊,如Web瀏覽器和Web伺服器在應用層上對網路支付結算信息包的加密,都通過IP層加密,但是許多應用還有自己的特定安全要求。
由於電子商務中的應用層對安全的要求最嚴格、最復雜,因此更傾向於在應用層而不是在網路層採取各種安全措施。
雖然網路層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務應用的安全性。應用層上的安全業務可以涉及認證、訪問控制、機密性、數據完整性、不可否認性、Web安全性、EDI和網路支付等應用的安全性。
(三)保護系統安全。
保護系統安全,是指從整體電子商務系統或網路支付系統的角度進行安全防護,它與網路系統硬體平台、操作系統、各種應用軟體等互相關聯。涉及網路支付結算的系統安全包含下述一些措施:
(1)在安裝的軟體中,如瀏覽器軟體、電子錢包軟體、支付網關軟體等,檢查和確認未知的安全漏洞。
(2)技術與管理相結合,使系統具有最小穿透風險性。如通過諸多認證才允許連通,對所有接入數據必須進行審計,對系統用戶進行嚴格安全管理。
(3)建立詳細的安全審計日誌,以便檢測並跟蹤入侵攻擊等。
商務交易安全則緊緊圍繞傳統商務在互聯網路上應用時產生的各種安全問題,在計算機網路安全的基礎上,如何保障電子商務過程的順利進行。
各種商務交易安全服務都是通過安全技術來實現的,主要包括加密技術、認證技術和電子商務安全協議等。
(一)加密技術。
加密技術是電子商務採取的基本安全措施,交易雙方可根據需要在信息交換的階段使用。加密技術分為兩類,即對稱加密和非對稱加密。
(1)對稱加密。
對稱加密又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。
(2)非對稱加密。
非對稱加密又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。
(二)認證技術。
認證技術是用電子手段證明發送者和接收者身份及其文件完整性的技術,即確認雙方的身份信息在傳送或存儲過程中未被篡改過。
(1)數字簽名。
數字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認證、核准和生效的作用。其實現方式是把散列函數和公開密鑰演算法結合起來,發送方從報文文本中生成一個散列值,並用自己的私鑰對這個散列值進行加密,形成發送方的數字簽名;然後,將這個數字簽名作為報文的附件和報文一起發送給報文的接收方;報文的接收方首先從接收到的原始報文中計算出散列值,接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密;
(2)數字證書。
數字證書是一個經證書授權中心數字簽名的包含公鑰擁有者信息以及公鑰的文件數字證書的最主要構成包括一個用戶公鑰,加上密鑰所有者的用戶身份標識符,以及被信任的第三方簽名第三方一般是用戶信任的證書權威機構(CA),如政府部門和金融機構。用戶以安全的方式向公鑰證書權威機構提交他的公鑰並得到證書,然後用戶就可以公開這個證書。任何需要用戶公鑰的人都可以得到此證書,並通過相關的信任簽名來驗證公鑰的有效性。數字證書通過標志交易各方身份信息的一系列數據,提供了一種驗證各自身份的方式,用戶可以用它來識別對方的身份。
(三)電子商務的安全協議。
除上文提到的各種安全技術之外,電子商務的運行還有一套完整的安全協議。比較成熟的協議有SET、SSL等。
(1)安全套接層協議SSL。
SSL協議位於傳輸層和應用層之間,由SSL記錄協議、SSL握手協議和SSL警報協議組成的。SSL握手協議被用來在客戶與伺服器真正傳輸應用層數據之前建立安全機制。當客戶與伺服器第一次通信時,雙方通過握手協議在版本號、密鑰交換演算法、數據加密演算法和Hash演算法上達成一致,然後互相驗證對方身份,最後使用協商好的密鑰交換演算法產生一個只有雙方知道的秘密信息,客戶和伺服器各自根據此秘密信息產生數據加密演算法和Hash演算法參數。SSL記錄協議根據SSL握手協議協商的參數,對應用層送來的數據進行加密、壓縮、計算消息鑒別碼MAC,然後經網路傳輸層發送給對方。SSL警報協議用來在客戶和伺服器之間傳遞SSL出錯信息。
(2)安全電子交易協議SET。
SET協議用於劃分與界定電子商務活動中消費者、網上商家、交易雙方銀行、信用卡組織之間的權利義務關系,給定交易信息傳送流程標准。SET主要由三個文件組成,分別是SET業務描述、SET程序員指南和SET協議描述。SET協議保證了電子商務系統的機密性、數據的完整性、身份的合法性。
SET協議是專為電子商務系統設計的。它位於應用層,其認證體系十分完善,能實現多方認證。在SET的實現中,消費者帳戶信息對商家來說是保密的。但是SET協議十分復雜,交易數據需進行多次驗證,用到多個密鑰以及多次加密解密。而且在SET協議中除消費者與商家外,還有發卡行、收單行、認證中心、支付網關等其它參與者。 信息安全工程的監理是在信息安全工程的開發采購階段和交付實施階段為業主單位提供的信息安全保障服務。主要是在項目准備階段、項目實施階段和項目驗收階段通過質量控制、進度控制、合同管理、信息管理和協調,來促使信息安全工程以科學規范的流程,在一定的成本范圍內,按時保質保量地完成,實現項目預期的信息安全目標。
信息安全工程監理的信息安全工程監理模型由三部分組成,即咨詢監理支撐要素(組織結構、設施設備、安全保障知識、質量管理)、監理咨詢階段過程和控制管理措施(「三控制、兩管理、一協調」,即質量控制、進度控制、成本控制、合同管理、信息管理和組織協調)。