a学习心得丽丽.docx
- 文档编号:7905959
- 上传时间:2023-05-12
- 格式:DOCX
- 页数:5
- 大小:21.34KB
a学习心得丽丽.docx
《a学习心得丽丽.docx》由会员分享,可在线阅读,更多相关《a学习心得丽丽.docx(5页珍藏版)》请在冰点文库上搜索。
a学习心得丽丽
2012信息安全学习心得
2012年信息安全产业将步入高速发展阶段,而整个互联网用户对安全产品的要求也转入“主动性安全防御”。
随着用户安全防范意识正在增强,主动性安全产品将更受关注,主动的安全防御将成为未来安全应用的主流。
在我们的科研工作中主动的安全防御也是我们的研究目标和应用趋势。
下面从四个方面阐述信息安全的学习心得:
一、数据安全保护系统
数据安全保护系统能够实现数据文档的透明加解密保护,可指定类型文件加密、指定程序创建文件加密,杜绝文档泄密。
实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份,包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。
对政府及企业的各种敏感数据文档,包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档,都能实现稳妥有效的保护。
目前,在市场上比较流行,而又能够代表未来发展方向的安全产品大致有以下几类:
◆用户身份认证:
是安全的第一道大门,是各种安全措施可以发挥作用的前提,身份认证技术包括:
静态密码、动态密码(短信密码、动态口令牌、手机令牌)、USBKEY、IC卡、数字证书、指纹虹膜等。
◆防火墙:
防火墙在某种意义上可以说是一种访问控制产品。
它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。
主要技术有:
包过滤技术,应用网关技术,代理服务技术。
防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
但它本身可能存在安全问题,也可能会是一个潜在的瓶颈。
◆网络安全隔离:
网络隔离有两种方式,一种是采用隔离卡来实现的,一种是采用网络安全隔离网闸实现的。
隔离卡主要用于对单台机器的隔离,网闸主要用于对于整个网络的隔离。
这两者的区别可参见参考资料。
网络安全隔离与防火墙的区别可参看参考资料。
◆安全路由器:
由于WAN连接需要专用的路由器设备,因而可通过路由器来控制网络传输。
通常采用访问控制列表技术来控制网络信息流。
◆虚拟专用网(VPN):
虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。
VPN的构筑通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的可信传递。
◆安全服务器:
安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
◆电子签证机构--CA和PKI产品:
电子签证机构(CA)作为通信的第三方,为各种服务提供可信任的认证服务。
CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。
PKI产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
◆安全管理中心:
由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。
它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
◆入侵检测系统(IDS):
入侵检测,作为传统保护机制(比如访问控制,身份识别等)的有效补充,形成了信息系统中不可或缺的反馈链。
◆入侵防御系统(IPS):
入侵防御,入侵防御系统作为IDS很好的补充,是信息安全发展过程中占据重要位置的计算机网络硬件。
◆安全操作系统:
给系统中的关键服务器提供安全运行平台,构成安全WWW服务,安全FTP服务,安全SMTP服务等,并作为各类网络安全产品的坚实底座,确保这些安全产品的自身安全。
◆安全数据库:
由于大量的信息存储在计算机数据库内,有些信息是有价值的,也是敏感的,需要保护。
安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。
◆DG图文档加密:
能够智能识别计算机所运行的涉密数据,并自动强制对所有涉密数据进行加密操作,而不需要人的参与。
体现了安全面前人人平等。
从根源解决信息泄密。
二、信息安全服务与存在的安全问题
信息安全服务是指为确保信息和信息系统的完整性、保密性和可用性所提供的信息技术专业服务,包括对信息系统安全的的咨询、集成、监理、测评、认证、运维、审计、培训和风险评估、容灾备份、应急响应等工作。
电子商务安全从整体上可分为两大部分:
计算机网络安全和商务交易安全
(一)计算机网络安全的内容包括:
(1)未进行操作系统相关安全配置,不论采用什么操作系统,在缺省安装的条件下都会存在一些安全问题,只有专门针对操作系统安全性进行相关的和严格的安全配置,才能达到一定的安全程度。
千万不要以为操作系统缺省安装后,再配上很强的密码系统就算作安全了。
网络软件的漏洞和“后门” 是进行网络攻击的首选目标。
(2)未进行CGI程序代码审计,如果是通用的CGI问题,防范起来还稍微容易一些,但是对于网站或软件供应商专门开发的一些CGI程序,很多存在严重的CGI问题,对于电子商务站点来说,会出现恶意攻击者冒用他人账号进行网上购物等严重后果。
(3)拒绝服务(DoS,Denial of Service)攻击,随着电子商务的兴起,对网站的实时性要求越来越高,DoS或DDoS对网站的威胁越来越大。
以网络瘫痪为目标的袭击效果比任何传统的恐怖主义和战争方式都来得更强烈,破坏性更大,造成危害的速度更快,范围也更广,而袭击者本身的风险却非常小,甚至可以在袭击开始前就已经消失得无影无踪,使对方没有实行报复打击的可能。
美国“雅虎”、“亚马逊”受攻击事件就证明了这一点。
(4)安全产品使用不当 虽然不少网站采用了一些网络安全设备,但由于安全产品本身的问题或使用问题,这些产品并没有起到应有的作用。
很多安全厂商的产品对配置人员的技术背景要求很高,超出对普通网管人员的技术要求,就算是厂家在最初给用户做了正确的安装、配置,但一旦系统改动,需要改动相关安全产品的设置时,很容易产生许多安全问题。
(5)缺少严格的网络安全管理制度,网络安全最重要的还是要思想上高度重视,网站或局域网内部的安全需要用完备的安全制度来保障。
建立和实施严密的计算机网络安全制度与策略是真正实现网络安全的基础。
(二)计算机商务交易安全的内容包括:
(1)窃取信息,由于未采用加密措施,数据信息在网络上以明文形式传送,入侵者在数据包经过的网关或路由器上可以截获传送的信息。
通过多次窃取和分析,可以找到信息的规律和格式,进而得到传输信息的内容,造成网上传输信息泄密。
(2)篡改信息,当入侵者掌握了信息的格式和规律后,通过各种技术手段和方法,将网络上传送的信息数据在中途修改,然后再发向目的地。
这种方法并不新鲜,在路由器或网关上都可以做此类工作。
(3)假冒,由于掌握了数据的格式,并可以篡改通过的信息,攻击者可以冒充合法用户发送假冒的信息或者主动获取信息,而远端用户通常很难分辨。
(4)恶意破坏,由于攻击者可以接入网络,则可能对网络中的信息进行修改,掌握网上的机要信息,甚至可以潜入网络内部,其后果是非常严重的。
三、解决安全问题对策
电子商务的一个重要技术特征是利用计算机技术来传输和处理商业信息。
因此,电子商务安全问题的对策从整体上可分为计算机网络安全措施和商务交易安全措施两大部分。
(一).计算机网络安全措施
计算机网络安全措施主要包括保护网络安全、保护应用服务安全和保护系统安全三个方面,各个方面都要结合考虑安全防护的物理安全、防火墙、信息安全、Web安全、媒体安全等等。
1、保护网络安全。
网络安全是为保护商务各方网络端系统之间通信过程的安全性。
保证机密性、完整性、认证性和访问控制性是网络安全的重要因素。
保护网络安全的主要措施如下:
(1)全面规划网络平台的安全策略。
(2)制定网络安全的管理措施。
(3)使用防火墙。
(4)尽可能记录网络上的一切活动。
(5)注意对网络设备的物理保护。
(6)检验网络平台系统的脆弱性。
(7)建立可靠的识别和鉴别机制。
2、保护应用安全。
保护应用安全,主要是针对特定应用(如Web服务器、网络支付专用软件系统)所建立的安全防护措施,它独立于网络的任何其他安全防护措施。
虽然有些防护措施可能是网络安全业务的一种替代或重叠,如Web浏览器和Web服务器在应用层上对网络支付结算信息包的加密,都通过IP层加密,但是许多应用还有自己的特定安全要求。
由于电子商务中的应用层对安全的要求最严格、最复杂,因此更倾向于在应用层而不是在网络层采取各种安全措施。
虽然网络层上的安全仍有其特定地位,但是人们不能完全依靠它来解决电子商务应用的安全性。
应用层上的安全业务可以涉及认证、访问控制、机密性、数据完整性、不可否认性、Web安全性、EDI和网络支付等应用的安全性。
3保护系统安全。
保护系统安全,是指从整体电子商务系统或网络支付系统的角度进行安全防护,它与网络系统硬件平台、操作系统、各种应用软件等互相关联。
涉及网络支付结算的系统安全包含下述一些措施:
(1)在安装的软件中,如浏览器软件、电子钱包软件、支付网关软件等,检查和确认未知的安全漏洞。
(2)技术与管理相结合,使系统具有最小穿透风险性。
如通过诸多认证才允许连通,对所有接入数据必须进行审计,对系统用户进行严格安全管理。
(3)建立详细的安全审计日志,以便检测并跟踪入侵攻击等。
(二)、商务交易安全措施
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
各种商务交易安全服务都是通过安全技术来实现的,主要包括加密技术、认证技术和电子商务安全协议等。
1加密技术。
加密技术是电子商务采取的基本安全措施,交易双方可根据需要在信息交换的阶段使用。
加密技术分为两类,即对称加密和非对称加密。
(1)对称加密。
对称加密又称私钥加密,即信息的发送方和接收方用同一个密钥去加密和解密数据。
它的最大优势是加/解密速度快,适合于对大数据量进行加密,但密钥管理困难。
如果进行通信的双方能够确保专用密钥在密钥交换阶段未曾泄露,那么机密性和报文完整性就可以通过这种加密方法加密机密信息、随报文一起发送报文摘要或报文散列值来实现。
(2)非对称加密。
非对称加密又称公钥加密,使用一对密钥来分别完成加密和解密操作,其中一个公开发布(即公钥),另一个由用户自己秘密保存(即私钥)。
信息交换的过程是:
甲方生成一对密钥并将其中的一把作为公钥向其他交易方公开,得到该公钥的乙方使用该密钥对信息进行加密后再发送给甲方,甲方再用自己保存的私钥对加密信息进行解密。
2认证技术。
认证技术是用电子手段证明发送者和接收者身份及其文件完整性的技术,即确认双方的身份信息在传送或存储过程中未被篡改过。
(1)数字签名。
数字签名也称电子签名,如同出示手写签名一样,能起到电子文件认证、核准和生效的作用。
其实现方式是把散列函数和公开密钥算法结合起来,发送方从报文文本中生成一个散列值,并用自己的私钥对这个散列值进行加密,形成发送方的数字签名;然后,将这个数字签名作为报文的附件和报文一起发送给报文的接收方;报文的接收方首先从接收到的原始报文中计算出散列值,接着再用发送方的公开密钥来对报文附加的数字签名进行解密;如果这两个散列值相同,那么接收方就能确认该数字签名是发送方的。
数字签名机制提供了一种鉴别方法,以解决伪造、抵赖、冒充、篡改等问题。
(2)数字证书。
数字证书是一个经证书授权中心数字签名的包含公钥拥有者信息以及公钥的文件数字证书的最主要构成包括一个用户公钥,加上密钥所有者的用户身份标识符,以及被信任的第三方签名第三方一般是用户信任的证书权威机构(CA),如政府部门和金融机构。
用户以安全的方式向公钥证书权威机构提交他的公钥并得到证书,然后用户就可以公开这个证书。
任何需要用户公钥的人都可以得到此证书,并通过相关的信任签名来验证公钥的有效性。
数字证书通过标志交易各方身份信息的一系列数据,提供了一种验证各自身份的方式,用户可以用它来识别对方的身份。
四、信息安全工程的监理
信息安全工程的监理是在信息安全工程的开发采购阶段和交付实施阶段为业主单位提供的信息安全保障服务。
主要是在项目准备阶段、项目实施阶段和项目验收阶段通过质量控制、进度控制、合同管理、信息管理和协调,来促使信息安全工程以科学规范的流程,在一定的成本范围内,按时保质保量地完成,实现项目预期的信息安全目标。
信息安全工程监理的信息安全工程监理模型由三部分组成,即咨询监理支撑要素(组织结构、设施设备、安全保障知识、质量管理)、监理咨询阶段过程和控制管理措施(“三控制、两管理、一协调”,即质量控制、进度控制、成本控制、合同管理、信息管理和组织协调)。
综上,信息安全技术是信息高速公路的加速剂,只有保证信息安全的前提下,任何工作才有意义。
我们的科研创新工作才能有所保证。
信息安全本身包括的范围很大。
大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。
网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。
我们实验室其中一个研究方向就是研究信息安全的,我们未来的信息安全工作方向,即安全信息安全服务应该研究包括支持信息网络安全服务的基本理论,以及基于新一代信息网络体系结构的网络安全服务体系结构。
这样才能更好的为我省的信息安全做出我们的贡献。
在我们实验室的工作中,信息安全可以理解为科研信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。
科研信息不泄漏。
工作中,信息安全主要包括以下的内容,即需保证科研信息的保密性、真实性、完整性、未授权拷贝和所研究的系统的安全性。
其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。
为保障信息安全,要求有信息源认证、访问控制,不能有非法软件及人员驻留、非法访问,不能有非法操作。
总之,信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。
我们需要研究、学习、创新。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 学习心得
![提示](https://static.bingdoc.com/images/bang_tan.gif)