第一篇：俄羅斯2009內(nèi)部信息安全威脅調(diào)查報告(2010年第2期)

俄羅斯2009內(nèi)部信息安全威脅調(diào)查報告

一、前言

不久前，俄羅斯Perimetrix公司分析中心提交了俄羅斯2009內(nèi)部信息安全調(diào)查報告。與2008年的報告相比，俄羅斯信息安全的總體情況雖然發(fā)生了很大變化，但大多數(shù)俄羅斯的政府機(jī)關(guān)和公司組織依然十分關(guān)注內(nèi)部信息安全威脅的問題。

報告認(rèn)為，近年來俄羅斯內(nèi)部信息安全威脅問題凸顯（由于信息流失造成的損失達(dá)數(shù)十億美元）,對綜合安全系統(tǒng)的需求也日益增長，但安全市場的態(tài)勢并沒有發(fā)生根本改變。這種被動局面與市場上可選擇的安全產(chǎn)品有限、優(yōu)秀解決方案不足和訂購商信息不靈有關(guān)。報告認(rèn)為，未來一兩年將成為俄羅斯數(shù)據(jù)加密防護(hù)系統(tǒng)市場發(fā)展的轉(zhuǎn)折點。這個市場剛剛形成，就受到世界金融危機(jī)所帶來的劇烈震蕩和嚴(yán)重打擊，但它會度過這段非常時期，為進(jìn)一步發(fā)展積蓄力量，并將獲取明顯的競爭優(yōu)勢。這份調(diào)查報告能夠幫助俄羅斯的安全公司和各級組織更好地了解內(nèi)部安全的特點并采取所有必要的措施加以改進(jìn)。

二、簡要結(jié)論公司對內(nèi)部安全威脅的關(guān)注程度遠(yuǎn)遠(yuǎn)大于對外部的威脅。最大的擔(dān)憂是信息泄露威脅（73%），以及職員的玩忽職守（70%）。內(nèi)部的主要安全問題是持續(xù)不斷地發(fā)生信息泄露事件，僅有5%的公司聲稱，在最近一年里沒有發(fā)生類似事件。安全專家認(rèn)為，在信息泄露面前自身未設(shè)防，有42%的受訪者都說不清楚信息泄漏的準(zhǔn)確數(shù)字。近年來，人們對內(nèi)部威脅防護(hù)設(shè)備的熱情是在增長，但還不是特別強烈。只有41%的公司使用加密設(shè)備，而使用防止信息泄露設(shè)備的公司也只占29%。社會對內(nèi)部安全設(shè)備的需求很高，但是又受一系列客觀因素制約。主要問題是資金有限（46%），尤其在金融危機(jī)情況下這個問題更加突出。在絕大多數(shù)情況下，實施內(nèi)部安全攻擊的人沒有受到實際任何譴責(zé)和懲罰，有45%的玩忽職守者受到非正式地警告，而51%的惡意攻擊者則按照個人意愿一走了之。最近一年，內(nèi)部安全市場繼續(xù)保持增長，但感覺不是很快。隨著金融局勢的穩(wěn)定和新產(chǎn)品新技術(shù)的開發(fā)，內(nèi)部信息安全市場要有所突破應(yīng)該還要等待2—3年。

三、受訪者特點

像去年一樣，此次調(diào)查對象明顯側(cè)重于大中型企業(yè)。500人以下的單位僅占8%的受訪者，與此同時，幾乎三分之二的企業(yè)（65%）在自己的企業(yè)網(wǎng)里使用1000臺以上的計算機(jī)。通過匯總和分析這些大中型企業(yè)的調(diào)查問卷就很能說明問題，因為正是這些單位在內(nèi)部安全問題方面受盡傷害，嘗盡苦頭。與此同時，我們也不能忽視當(dāng)前安全解決方案方面存在的問題，針對大型企業(yè)的信息保護(hù)系統(tǒng)和解決方案市場上倒是有，而針對小型企業(yè)的最新解決方案幾乎沒有。后者甚至寧愿用其他傳統(tǒng)的方法解決問題——產(chǎn)品協(xié)作和組織措施。目前，最好是通過對大型企業(yè)的觀察研究，對內(nèi)部安全問題和機(jī)密數(shù)據(jù)保護(hù)問題作分析。

受訪者行業(yè)的劃分對于這種調(diào)研來說是很標(biāo)準(zhǔn)的。頭幾行是傳統(tǒng)上的電信（21%）和金融領(lǐng)域（19%）,他們永遠(yuǎn)都是使用安全保護(hù)系統(tǒng)的大戶和領(lǐng)軍者。緊隨其后的是燃料動力企業(yè)（18%）以及國營部門（17%）。

與去年相比，商業(yè)公司（首先是各種網(wǎng)絡(luò)公司）的份額實質(zhì)上增長了（從6%至10%），他們積極參加此次調(diào)研活動。而這次廠商和保險公司的參與者，相反有些下降。

絕大多數(shù)受訪者（幾乎接近92%）開始采用信息技術(shù)和信息安全系統(tǒng)解決方案。三分之二的受訪專家是領(lǐng)導(dǎo)——35%的受訪者是信息部門主管，還有33%的人是信息安全部門主管。這樣，可以確信，所選擇的對象都是行家里手，對所提問題的回答也都很專業(yè)，因此得到的數(shù)據(jù)分析結(jié)果較好地反映了當(dāng)前的信息安全市場狀況。因為受訪者決定著自己組織內(nèi)信

息安全系統(tǒng)的發(fā)展——按照回答可建立本部門下一步發(fā)展的路線圖。

四、信息安全威脅

最危險的內(nèi)部安全威脅是此次調(diào)研的主要問題之一。建議受訪者從現(xiàn)實存在的總風(fēng)險名單中選擇四種最危險的信息安全威脅。從所收到分布中顯露出一系列特征和趨勢。首先，最危險的威脅依舊是信息泄露和工作人員的玩忽職守——這種情況沒有明顯改變。而所有外部的威脅（病毒、黑客和垃圾郵件）實際上卻減少了。

實際上，最大的內(nèi)部威脅在去年的時候就已經(jīng)演變?yōu)樾畔⑿孤锻{和員工的玩忽職守，超過了外部惡意攻擊者的攻擊。造成這種情況長期存在的原因是由于信息泄露造成比較大的損失，各單位比較少地采用信息保護(hù)設(shè)備和部署新的安全解決方案。一年里，這種情況沒有發(fā)生根本的變化，但是專家關(guān)注的熱點繼續(xù)朝著內(nèi)部威脅的方向發(fā)展，因此，來自外部威脅的風(fēng)險繼續(xù)走低。

在其余的發(fā)展趨勢中，盜竊設(shè)備的威脅風(fēng)險顯著增長（從25%到38%），這當(dāng)然直接與信息泄露有關(guān)。實際上，任何載體（硬盤、筆記本電腦和個人計算機(jī)或服務(wù)器）被盜都會有信息泄露的風(fēng)險。設(shè)備盜竊風(fēng)險的增長可以解釋為是主觀因素造成的（例如在報刊上發(fā)表文章，刊出不該登的分析研究）等，還有類似的部門傾向（竊賊十分關(guān)注數(shù)字載體、立法調(diào)整）?？梢灶A(yù)計，這種威脅風(fēng)險今后將進(jìn)一步增長，因為客觀上講，當(dāng)前安全市場還不能滿足實際需要。

其余的威脅有設(shè)備和程序的間斷、消極怠工，以至效率連去年的水平都達(dá)不到，也沒有顯示出本質(zhì)上的降低趨勢。這意味著，仍有30%的現(xiàn)代企業(yè)認(rèn)為業(yè)務(wù)連續(xù)性的要求仍然是最重要的。但這并不意味著，剩下的70%的企業(yè)不這樣認(rèn)為，對于他們來說，最重要的是給組織帶來明顯物質(zhì)損失的威脅。

大型企業(yè)更加關(guān)注盜竊威脅和設(shè)備與程序中斷的威脅。他們的信息系統(tǒng)內(nèi)存有海量信息。甚至在類似系統(tǒng)中，一個不起眼的中斷都會給他們的業(yè)主造成巨大損害和嚴(yán)重的經(jīng)濟(jì)損失。

五、內(nèi)部威脅特點

2008年，有將近一半的受訪者（55%）都認(rèn)為最危險的內(nèi)部信息安全威脅是數(shù)據(jù)泄露。但是增長最快的是排在第二位的威脅，與小公司文件（主要是財務(wù)文件）丟失有關(guān)。2008年，它的危險性急速上升，達(dá)到17%，實際上是與信息泄露危險相比。根據(jù)Perimetrix公司分析中心分析的意見，這個趨勢是有意義的，在2008年里發(fā)生了一系列嚴(yán)重的內(nèi)部攻擊事件，都直接與文件篡改和金融欺詐有關(guān)。

第二點，很可能是受世界金融危機(jī)的影響，商業(yè)活動呈現(xiàn)普遍的震蕩和波動。在這種情況下，未經(jīng)核實的信息失真（尤其是未經(jīng)核實的金融業(yè)務(wù)信息）可導(dǎo)致業(yè)務(wù)發(fā)生不可預(yù)測的后果。第三，對這種威脅關(guān)注的增長說明目前與此斗爭的解決方案的無能。如果，機(jī)密信息的泄露完全脫離監(jiān)管，那要做到與未經(jīng)核實的失真作斗爭就很難——特別是如果這些失真的信息是那些核準(zhǔn)的使用者加入的。在這時，唯一與這種威脅作斗爭的辦法是將威脅列入監(jiān)管范圍并將機(jī)密使用者的所有行為歸檔。

其余內(nèi)部信息安全威脅的情況是完全可以預(yù)見的——設(shè)備盜竊的風(fēng)險在增長，消極怠工的情況幾乎沒有變化，而信息損失和中斷的威脅明顯降低。中斷風(fēng)險的降低，多半與DDoS攻擊的普及有關(guān)，這種攻擊針對的是來自外部的威脅，而非內(nèi)部的威脅。信息損失風(fēng)險的明顯降低解釋起來比較困難，可能是各種災(zāi)備系統(tǒng)的深入使用幫助了它。

那究竟什么樣的信息最容易從俄羅斯的公司里流失呢？與2007年相比沒有什么變化，在回答特別風(fēng)險一組問題時，68%的受訪者回答照舊是個人數(shù)據(jù)（比一年以前多了11%）?？墒歉鶕?jù)Perimetrix公司分析中心的意見，數(shù)據(jù)流失發(fā)展趨勢里并沒有說到個人數(shù)據(jù)流失數(shù)量的增長，而是現(xiàn)代企業(yè)對自身安全防護(hù)的關(guān)注程度在增長。

確實，2008年的一個顯著特點就是來自市場方面的規(guī)范壓力明顯加強。在這個時期，一下子出現(xiàn)了一些旨在保護(hù)個人信息的決定和規(guī)定，并將個人信息列入最關(guān)鍵的機(jī)密信息類別。盡管如此，一系列市場參與者對這些決定表示了一定的質(zhì)疑，明顯感到今天更加強化了規(guī)范。

其他范疇信息的流失風(fēng)險近年來沒有實質(zhì)性的變化。公司照舊關(guān)注具體合同細(xì)節(jié)情報（40%）、財務(wù)報告（41%）、知識產(chǎn)權(quán)和業(yè)務(wù)計劃（平均19%）等信息的流失。

在普遍的流失渠道方面也有類似的情況，其風(fēng)險停留在2007年的水平上。2008年最危險的渠道依舊是移動存儲器（70%）,其次是電子郵箱（52%）和互聯(lián)網(wǎng)（33%）。從打印設(shè)備流失的信息近年來略有增加（從18%到23%），而互聯(lián)網(wǎng)尋呼方面的信息流失相反，下降了（從17到13%）。

關(guān)于流失渠道，與2007年相比，2008年的分布情況幾乎是均等的，最危險的流失渠道指標(biāo)沒有明顯降低，而表現(xiàn)“平庸者”相反則增長了?？赡?，這個趨勢說明對信息流失問題更精確地理解，只要阻斷所有可能的泄露渠道——從存儲器到攝影器材，就能夠解決流失問題。只要有一種沒有封閉的渠道，就意味著存在安全威脅漏洞，對于心存惡意的內(nèi)部人來說都是一個絕好的機(jī)會。

在分析了下列問題（確定泄露）之后，我們得到了一個特別有意思的結(jié)果。如果2007年的受訪者還曾堅信自己的回答，那2008年幾乎一半（42%）的受訪者則很難說出事件的精確數(shù)字。

之所以安全專家可能說出精確的泄露數(shù)字，是因為在它的公司里部署有某些專業(yè)的信息保護(hù)系統(tǒng)，而在大多數(shù)的情況下，這種情況不會被發(fā)現(xiàn)。今年受訪者開始理解了在防止內(nèi)部威脅領(lǐng)域自身不設(shè)防所帶來的風(fēng)險。

如果不考慮最后的回答方案和按其它方案建立數(shù)據(jù)標(biāo)準(zhǔn)，那就能夠得出這樣的結(jié)論，平均信息泄露數(shù)沒有明顯增加。這個發(fā)展趨勢是合乎邏輯的，因為近年來，公司的防御狀況加強了，與此同時，發(fā)現(xiàn)的信息流失數(shù)量也增加了。

六、防護(hù)設(shè)備

在對現(xiàn)實的威脅進(jìn)行詳細(xì)的描述之后，我們轉(zhuǎn)到對所使用的防護(hù)設(shè)備的統(tǒng)計上。很容易看出，所有的受訪者在工作中全都使用防病毒設(shè)備，防火墻或這樣和那樣的登錄監(jiān)控設(shè)備。有的還部署有入侵檢測系統(tǒng)（70%），垃圾郵件過濾系統(tǒng)（75%）和建立虛擬局域網(wǎng)的方法(63%)。我們注意到，所有上述防護(hù)設(shè)備旨在防護(hù)來自外部的威脅，這種風(fēng)險持續(xù)走低。不過，用于內(nèi)部防護(hù)的受歡迎的解決方案目前并沒有顯著增加。密碼產(chǎn)品和專用防泄漏系統(tǒng)大約還停留在原先那個水平上。雖說內(nèi)部安全問題十分迫切，但各公司并不急于購買當(dāng)前市場上所提供的產(chǎn)品。

為什么我們預(yù)計的飛躍實際上并沒有出現(xiàn)呢？首先，市場上所提供的大多數(shù)產(chǎn)品都有一個較長的應(yīng)用周期，期望它有一個飛速的增長是不現(xiàn)實的。第二，市場上的信息防泄露系統(tǒng)種類供應(yīng)有限——大半年前還僅有一種傳統(tǒng)的產(chǎn)品（(InfoWatch）。Perimetrix公司正式提交自己的產(chǎn)品僅還是在2008年9月。

在內(nèi)部安全系統(tǒng)中，內(nèi)容過濾解決方案依然處于領(lǐng)先地位，有80%的運用泄露保護(hù)系統(tǒng)的公司在使用它。與2007年相比，內(nèi)容過濾設(shè)備的份額從89%降到80%，這間接地說明該技術(shù)的效力在降低。與內(nèi)容過濾一起，很多公司使用被動的檢測手段（77%），設(shè)置監(jiān)控工作站點的端口使用情況（75%）。最有效的保護(hù)方法之一就是逐漸地對筆記本進(jìn)行加密，但應(yīng)加快普及這項工作。

為了描述出近期市場的發(fā)展前景，我們看一下運用防護(hù)系統(tǒng)所面臨的急需解決的問題。這些問題在2008年凸顯出來——首先遇到了預(yù)算限制，它的份額實際增加了一倍，從26%到46%。造成這種情況的原因與金融危機(jī)有關(guān)，購貨人的購買能力和老生常談的自由兌換

貨幣不足。

與此同時，有購買意愿的訂貨人又對市場上所提供的解決方案及產(chǎn)品的有效性不太滿意。看來，份額顯著地降低（從49%降到35%）并不說明解決方案及產(chǎn)品有效性的增加，而解釋為由于“危機(jī)”，受訪者的呼聲重新分配，轉(zhuǎn)向了其他方面。因此，在開發(fā)商面前仍面臨著需研制更有效產(chǎn)品等大量亟待解決的課題。

在所收到的統(tǒng)計資料基礎(chǔ)上，可以看出關(guān)于俄羅斯下一步防信息泄露系統(tǒng)市場的發(fā)展趨勢。根據(jù)Perimetrix公司分析中心的意見，2009年這個市場將會得到穩(wěn)定發(fā)展，但增長不會太快。由于一些公司對信息未加防護(hù)或未使用任何防護(hù)設(shè)備，對類似解決方案的需求特別的大，而能提供的解決方案又是有限的。市場上的新的競爭者未必會在短期內(nèi)放開出售活動，而老廠商也不能繼續(xù)銷售大量技術(shù)落后產(chǎn)品。這些消極的因素還是必須歸結(jié)為危機(jī)的影響和訂貨者支付能力的降低。

然而在中期（2-3年）之內(nèi)，市場會發(fā)生急劇的積極的變化。對安全系統(tǒng)的需求在此之前將得不到滿足，市場上開始出現(xiàn)合乎要求的新的競爭者，危機(jī)的影響將逐漸消退直至解除，而購貨人那兒自由貨幣已不成問題。我們不應(yīng)忘記國家嚴(yán)厲的調(diào)整措施，這些措施的出臺將會促進(jìn)信息安全綜合防護(hù)系統(tǒng)的需求。

七、數(shù)據(jù)分類

本調(diào)研的很多問題都涉及內(nèi)網(wǎng)威脅的防護(hù)技術(shù)問題。像以往一樣，受訪者提出數(shù)據(jù)分類法和在保障組織的信息安全過程中使用這種操作方法。調(diào)研結(jié)果直觀地顯示：

?數(shù)據(jù)分類可幫助我們從整體上強化安全，從細(xì)節(jié)上防止泄露；

?進(jìn)行數(shù)據(jù)分類是很難的——它要求全體組織員工參與；

?然而更困難的是在經(jīng)過一段時間之后能繼續(xù)保持運用數(shù)據(jù)分類法。

所有列舉的論題包羅萬象，實際上也不受時間左右。因此，2009年的受訪者沒有提出分類法的好處問題，它的好處實際上對所有人來說都是顯而易見的。為此，Perimetrix公司分析中心重新詢問了專家，他們將分類法用于小公司的數(shù)據(jù)有多長時間？

所收到的回答令人鼓舞，特別是與2007年的結(jié)果相比，實施分類法的公司增加了一倍，達(dá)到了心理上的期望值25%。因此，說實話，不應(yīng)忘記，雖說三年前就有這么多的公司搞了數(shù)據(jù)分類，但仍有33%的組織基本上就一直沒有搞這項工作。

八、數(shù)據(jù)加密

在這次調(diào)查中，受訪者提出了一些關(guān)于內(nèi)部信息安全技術(shù)的問題。那些確認(rèn)使用加密保護(hù)系統(tǒng)的專家能夠說清這種保護(hù)具體使用的是哪種方式。

據(jù)查，大多數(shù)情況下（68%）數(shù)據(jù)加密保護(hù)用于保護(hù)各種數(shù)據(jù)庫和機(jī)密信息庫。這種處理方法是各部門文件和標(biāo)準(zhǔn)的法定要求（例如PCI DSS標(biāo)準(zhǔn)），但是它實際上無論怎樣也不能保護(hù)公司免受內(nèi)部安全威脅。

確實，數(shù)據(jù)庫的加密能夠保障在盜竊任何物理盜竊載體情況下的安全，但在大多數(shù)情況下，這些載體安置在服務(wù)器中，首先放在受保護(hù)的數(shù)據(jù)中心內(nèi)。要想潛入到那里就很難，要偷竊設(shè)備就更難。

從商業(yè)活動的角度看，不是對數(shù)據(jù)庫加密，而是對移動載體——筆記本電腦、硬盤和便攜式磁盤加密更加合乎邏輯，因為正是這些載體經(jīng)常丟失或成為竊賊的目標(biāo)。通過問卷統(tǒng)計，40%的情況下，都對含有特別秘密信息的總經(jīng)理的筆記本電腦進(jìn)行加密；36%的情況下對移動載體進(jìn)行加密。我們指出，無論那種方式都沒能給予百分之百的保障，因為設(shè)備使用者可能忘記對信息進(jìn)行加密，雖然不是故意這樣做。

綜合防護(hù)能夠保障的僅是對全部筆記本電腦和移動載體進(jìn)行強制性地、明顯地信息加密。但這種技術(shù)在今天是太復(fù)雜了——僅有1%的現(xiàn)代企業(yè)在使用。

九、內(nèi)部信息安全

安全破壞者的嚴(yán)重危害性成為本次調(diào)查的一個有意思的課題。被訪者建議描述一下對玩忽職守員工和心存歹意內(nèi)部人的懲罰措施。在員工偶爾泄露信息時，很少給予開除之類的嚴(yán)厲處罰（9%）或物質(zhì)處罰（13%）；大多數(shù)情況下（45%），公司更喜歡寬恕員工，給他非正式地警告。我們注意到，在15%的情況下，泄露信息的內(nèi)部人完全逍遙法外；11%的情況下，公司會根據(jù)所泄露信息的嚴(yán)重性而采取不同的措施。

陰險的內(nèi)部人的情況在很多方面相似，就像馬虎大意的員工一樣，公司很少給予最嚴(yán)厲的制裁（15%）。大多數(shù)情況下（51%），會直接辭退內(nèi)部知情者，更好的做法是提醒他寫一個主動離職的聲明。事情很少鬧到法庭去審理（9%），因為公司都不愿意家丑外揚。嚴(yán)重的內(nèi)幕知情者丑聞會吸引報刊的眼球，由此敗壞公司的名聲。

可見，不管玩忽職守者也好，居心叵測的內(nèi)部人也好，通常實際上并沒有受到相應(yīng)的處罰。對于第一類信息泄露者來說，多半只是受到驚嚇。而對于第二類信息泄露者，是開除，從內(nèi)部破壞單位業(yè)務(wù)上的名聲。這樣一系列的結(jié)果難道能夠嚇唬破壞者嗎？答案肯定不會，而且還會導(dǎo)致內(nèi)部風(fēng)險繼續(xù)增長。

十、市場發(fā)展方向

在前面的章節(jié)里，我們分析了內(nèi)部安全市場發(fā)展的主要趨勢。如果從整體上評價一下信息安全產(chǎn)業(yè)，正是內(nèi)部安全應(yīng)成為最近三年這個方向的主要驅(qū)動器。

目前，將近40%的俄羅斯公司聲稱，最近三年有運用防信息泄漏的計劃。35%的單位打算采用加密系統(tǒng)保存數(shù)據(jù)，還有33%的單位準(zhǔn)備采用信息安全管理系統(tǒng)。還有的計劃采用認(rèn)證和登錄監(jiān)控系統(tǒng)，以及物理安全信息技術(shù)系統(tǒng)。

因此，今天能夠劃出兩個主要的市場發(fā)展矢量：第一個是內(nèi)部安全方面，第二個是不配套系統(tǒng)的整體化問題和統(tǒng)一管理的信息基礎(chǔ)設(shè)施建設(shè)問題。后一個問題特別重要，因為在現(xiàn)代企業(yè)（特別是大型企業(yè)）中，正在使用五花八門、實際上互不相關(guān)的防護(hù)系統(tǒng)。自然，這些公司在管理這些系統(tǒng)方面也越來越吃力。

內(nèi)部安全問題是普遍的、突出的，公司傾向建設(shè)此前沒有的、適用的威脅防護(hù)系統(tǒng)。十一、結(jié) 語

整體來說，這次調(diào)研的數(shù)據(jù)證明，俄羅斯公司的內(nèi)部安全形勢特別令人失望。所有行業(yè)和部門的組織在繼續(xù)泄露信息和秘密，僅有5%的受訪者聲稱，在近兩年沒有發(fā)生任何問題。與此同時，也有一些積極的趨勢，越來越多的專家開始意識并關(guān)注自身的信息保護(hù)問題和自己公司內(nèi)部人不軌行為的漏洞問題。

積極采用內(nèi)部威脅防護(hù)系統(tǒng)的公司在2008年有所增長，盡管不是特別明顯。大多數(shù)公司至今與信息泄露作斗爭依靠的主要是行政措施，而不是運用技術(shù)防護(hù)系統(tǒng)。我們注意到，市場增長得不是很快，多多少少是由于解決方案和產(chǎn)品質(zhì)量不能滿足現(xiàn)實要求的原因。對破壞者和玩忽職守者處罰過輕是內(nèi)部安全威脅消極因素之一，對玩忽職守的人通常給予嚴(yán)重警告；而對居心不良的人，一般從公司里開除完事，而在勞動手冊中沒有不好的記錄。內(nèi)部安全的破壞者很少受到嚴(yán)厲地制裁，像提起訴訟至法院和在物質(zhì)上進(jìn)行追償。

根據(jù)Perimetrix公司分析中心的意見，最近的一年里，內(nèi)部安全市場將繼續(xù)增長，但不會很快。這種局面既與外部因素（金融危機(jī)）有關(guān)，也與內(nèi)部安全市場情況（解決方案和產(chǎn)品開發(fā)有限）有關(guān)。對綜合防護(hù)系統(tǒng)的迫切需求，今天已經(jīng)出現(xiàn)，隨著金融局勢的穩(wěn)定和新產(chǎn)品的開發(fā)，經(jīng)過2-3年，內(nèi)部信息安全市場將會有一個較大的發(fā)展。

第二篇：網(wǎng)絡(luò)與信息安全威脅調(diào)查報告

網(wǎng)絡(luò)與信息系統(tǒng)安全威脅調(diào)查報告

郭祖龍

摘要： 隨著互聯(lián)網(wǎng)逐漸走入人們的生活，網(wǎng)絡(luò)安全問題日益嚴(yán)峻。本文首先闡述了目前網(wǎng)絡(luò)與信息系統(tǒng)存在的各種安全威脅，并對其進(jìn)行了一定程度上的分析，然后說明了針對各類威脅的基本防范方式，最后介紹了網(wǎng)絡(luò)信息安全威脅的新形勢。

關(guān)鍵詞：網(wǎng)絡(luò)安全 安全威脅 木馬

隨著網(wǎng)絡(luò)的普及和發(fā)展，人們盡管感受到了網(wǎng)絡(luò)的便利，但是互聯(lián)網(wǎng)也帶來了各式各樣的問題。其中網(wǎng)絡(luò)安全問題是最為重要的問題之一。網(wǎng)絡(luò)時代的安全問題已經(jīng)遠(yuǎn)遠(yuǎn)超過早期的單機(jī)安全問題。網(wǎng)絡(luò)與信息系統(tǒng)安全威脅是指以計算機(jī)為核心的網(wǎng)絡(luò)系統(tǒng)，所面臨的或者來自已經(jīng)發(fā)生的安全事件或潛在安全事件的負(fù)面影響。

一、網(wǎng)絡(luò)與信息系統(tǒng)面臨的威脅

網(wǎng)絡(luò)系統(tǒng)最終為人服務(wù), 人為的威脅行為諸如各種網(wǎng)絡(luò)人侵行為是網(wǎng)絡(luò)安全威脅出現(xiàn)的根本原因。人為攻擊又可以分為以下兩種：一種是主動攻擊，其目的在于篡改系統(tǒng)中所含信息,或者改變系統(tǒng)的狀態(tài)和操作, 它以各種方式有選擇地破壞信息的有效性、完整性和真實性；另一類是被動攻擊，它通常會進(jìn)行截獲、竊取、破譯以獲得重要機(jī)密信息。這兩種攻擊均可對計算機(jī)網(wǎng)絡(luò)造成極大的危害，并導(dǎo)致機(jī)密數(shù)據(jù)的泄漏。常見的人為因素影響網(wǎng)絡(luò)安全的情況包括：

1.木馬

木馬指的是一種后門程序，是黑客用來盜取其他用戶的個人信息，甚至是遠(yuǎn)程控制對方的計算機(jī)而加殼制作，然后通過各種手段傳播或騙取目標(biāo)用戶執(zhí)行該程序，以達(dá)到盜取密碼等各種數(shù)據(jù)資料的目的。與病毒相似，木馬程序有很強的隱秘性，隨操作系統(tǒng)啟動而啟動。但不會自我復(fù)制，這一點和病毒程序不一樣。計算機(jī)木馬一般由兩部分組成，服務(wù)端和控制端。服務(wù)端在遠(yuǎn)處計算機(jī)運行，一旦執(zhí)行成功就可以被控制或者制造成其他的破壞。而客戶端主要是配套服務(wù)端程序，通過網(wǎng)絡(luò)向服務(wù)端服務(wù)端發(fā)布控制指令。

木馬的傳播途徑主要有通過電子郵件的附件傳播，通過下載文件傳播，通過網(wǎng)頁傳播，通過聊天工具傳播。

木馬程序還具有以下特征：

(1).不需要服務(wù)端用戶的允許就能獲得系統(tǒng)的使用權(quán)

(2).程序體積十分小, 執(zhí)行時不會占用太多資源

(3).執(zhí)行時很難停止它的活動, 執(zhí)行時不會在系統(tǒng)中顯示出來

(4).一次啟動后就會自動登錄在系統(tǒng)的啟動區(qū), 在每次系統(tǒng)

(5).的啟動中都能自動運行

(6).一次執(zhí)行后就會自動更換文件名, 使之難以被發(fā)現(xiàn)

(7).一次執(zhí)行后會自動復(fù)制到其他的文件夾中

(8).實現(xiàn)服務(wù)端用戶無法顯示執(zhí)行的動作。

著名的木馬有Back Orifice，NetBUS Pro，SUB7，冰河等等。

通過以下方法可以有效防止木馬：

(1).安裝系統(tǒng)補丁

(2).安裝并更新殺毒軟件和防火墻，開啟實時監(jiān)控程序

(3).不要訪問不良網(wǎng)站

(4).盡量不要下載安裝“破解版”軟件

(5).盡量不要隨意解壓壓縮文件

(6).使用U盤，光盤等移動設(shè)備前用殺毒軟件查殺病毒

2.蠕蟲

電腦蠕蟲與電腦病毒相似，是一種能夠自我復(fù)制的電腦程序。與電腦病毒不同的是，電腦蠕蟲不需要附在別的程序內(nèi)，可能不用使用者介入操作也能自我復(fù)制或執(zhí)行。電腦蠕蟲未必會直接破壞被感染的系統(tǒng)，對網(wǎng)絡(luò)有較大的危害。電腦蠕蟲可能會執(zhí)行垃圾代碼以發(fā)動拒絕服務(wù)攻擊，令到計算機(jī)的執(zhí)行效率極大程度降低，從而影響計算機(jī)的正常使用。

計算機(jī)蠕蟲的主要危害表現(xiàn)為：信息泄露、占用網(wǎng)絡(luò)帶寬、破壞系統(tǒng)、開啟后門和傀儡機(jī)器。

如果主機(jī)遭受到蠕蟲的攻擊，可以采取以下方法處理：

(1).下載操作系統(tǒng)補丁

(2).刪除蠕蟲釋放的程序

(3).使用蠕蟲專殺工具

著名的計算機(jī)蠕蟲有沖擊波病毒，Sql蠕蟲王等等。

3.拒絕服務(wù)攻擊

利用網(wǎng)絡(luò)已被攻陷的計算機(jī)作為“喪失”，向某一特定的目標(biāo)計算機(jī)發(fā)動密集式的“拒絕服務(wù)”要求，用以把目標(biāo)計算機(jī)的網(wǎng)絡(luò)資源及系統(tǒng)資源耗盡，使之無法向真正正常的請求用戶提供服務(wù)。黑客通過將一個個“喪失”或者稱為“肉雞”組成僵尸網(wǎng)絡(luò)，就可以發(fā)動大規(guī)模DDOS網(wǎng)絡(luò)攻擊。

Dos攻擊的基本過程：首先攻擊者向服務(wù)器發(fā)送眾多的帶有虛假地址的請求，服務(wù)器發(fā)送回復(fù)信息后等待回傳信息，由于地址是偽造的，所以服務(wù)器一直等不到回傳的消息，分配給這次請求的資源就始終沒有被釋放。當(dāng)服務(wù)器等待一定的時間后，連接會因超時而被切斷，攻擊者會再度傳送新的一批請求，在這種反復(fù)發(fā)送偽地址請求的情況下，服務(wù)器資源最終會被耗盡。

SYN Flood是比較流行的拒絕服務(wù)攻擊的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。

4.SQL 注入式攻擊

所謂SQL 注入式攻擊，就是攻擊者把SQL 命令插入到Web表單的輸入域或頁面請求的查詢字符串中，欺騙服務(wù)器執(zhí)行惡意的SQL 命令。在某些表單中，用戶輸入的內(nèi)容直接用來構(gòu)造（或者影響）動態(tài)SQL 命令，或作為存儲過程的輸入?yún)?shù)，這類表單特別容易受到SQL 注入式攻擊。不僅如此，黑客們已經(jīng)開發(fā)出自動化工具，利用谷歌等搜索引擎來找出可能存在漏洞的網(wǎng)站，然后將代碼植入其服務(wù)器中。

SQL注入式攻擊的主要形式有兩種。一是直接將代碼插入到與SQL命令串聯(lián)在一起并使得其以執(zhí)行的用戶輸入變量。上面筆者舉的例子就是采用了這種方法。由于其直接與SQL語句捆綁，故也被稱為直接注入式攻擊法。二是一種間接的攻擊方法，它將惡意代碼注入要在表中存儲或者作為原書據(jù)存儲的字符串。在存儲的字符串中會連接到一個動態(tài)的SQL命令中，以執(zhí)行一些惡意的SQL代碼。

SQL注入式攻擊的防治：

(1).普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)格的區(qū)分。

(2).強迫使用參數(shù)化語句。

(3).加強對用戶輸入的驗證。

(4).必要的情況下使用專業(yè)的漏洞掃描工具來尋找可能被攻擊的點。

5.IPv6威脅

IPv6盡管相對于IPv4提高了安全性，但是仍然有很多安全威脅。例如：

(1).非法訪問

在ipv6依然是使用網(wǎng)絡(luò)三層和四層信息界定合法和非法。因為有ipv6私密性擴(kuò)展，禁止非常困難，為了 保證內(nèi)網(wǎng)的acl有效性，盡量禁止ipv6私密性擴(kuò)展。

(2).數(shù)據(jù)包頭的篡改和數(shù)據(jù)包的分片

攻擊者可以增加無限的ipv6擴(kuò)展包頭，來探測和攻擊分片技術(shù)。

(3).第三層和第四層的地址欺騙

6.釣魚式攻擊

釣魚式攻擊是一種企圖從電子通訊中，通過偽裝成信譽卓著的法人媒體以獲得如用戶名、密碼和信用卡明細(xì)等個人敏感信息的犯罪詐騙過程。這些通信都聲稱（自己）來自于風(fēng)行的社交網(wǎng)站（YouTube、Facebook、MySpace）、拍賣網(wǎng)站（eBay）、網(wǎng)絡(luò)銀行、電子支付網(wǎng)站（PayPal）、或網(wǎng)絡(luò)管理者（雅虎、互聯(lián)網(wǎng)服務(wù)供應(yīng)商、公司機(jī)關(guān)），以此來誘騙受害人的輕信。網(wǎng)釣通常是通過e-mail或者即時通訊進(jìn)行。網(wǎng)釣是一種利用社會工程技術(shù)來愚弄用戶的實例。它憑恃的是現(xiàn)行網(wǎng)絡(luò)安全技術(shù)的低親和度。種種對抗日漸增多網(wǎng)釣案例的嘗試涵蓋立法層面、用戶培訓(xùn)層面、宣傳層面、與技術(shù)保全措施層面。

釣魚式攻擊的防治：

(1).識別合法網(wǎng)站

(2).使用垃圾郵件過濾器過濾消除網(wǎng)釣郵件

7.零日漏洞

“零日漏洞”是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞, 這種攻擊利用廠商缺少防范意識或缺少補丁, 從而能夠造成巨大破壞。雖然還沒有出現(xiàn)大量的“零日漏洞” 攻擊, 但是其威脅日益增長。人們掌握的安全漏洞知識越來越多, 就有越來越多的漏洞被發(fā)現(xiàn)和利用。

防范措施如下：

(1).協(xié)議異常檢測

(2).模式匹配

(3).命令限制

(4).系統(tǒng)偽裝

(5).報頭過濾攔截。

8．基于Mac操作系統(tǒng)的病毒

相對于Windows 而言，針對Mac 的惡意程序要少得多。由于大多數(shù)Windows 家庭用戶都沒有能力對惡意軟件和間諜軟件進(jìn)行有效的防御，因此從Windows平臺轉(zhuǎn)向蘋果Mac平臺看起來是一個明智的做法。但是這只不過是因為針對這一平臺編寫的惡意軟件更少而已，Mac OSX 系統(tǒng)并不比Windows 先進(jìn)?！贝送猓€有其它一些惡意程序也在2008 年對Mac 電腦發(fā)起了攻擊。例如： OSX/Hovdy-A Trojan、Troj/RKOSX-A Trojan 和OSX/Jahlav-A Trojan。

9.手機(jī)病毒

隨著智能手機(jī)的不斷普及，手機(jī)病毒成為了病毒發(fā)展的下一個目標(biāo)。手機(jī)病毒是一種破壞性程序，和計算機(jī)病毒（程序）一樣具有傳染性、破壞性。手機(jī)病毒可利用發(fā)送短信、彩信，電子郵件，瀏覽網(wǎng)站，下載鈴聲,藍(lán)牙等方式進(jìn)行傳播。手機(jī)病毒可能會導(dǎo)致用戶手機(jī)死機(jī)、關(guān)機(jī)、資料被刪、向外發(fā)送垃圾郵件、撥打電話等，甚至還會損毀 SIM卡、芯片等硬件。

手機(jī)病毒工作原理：手機(jī)中的軟件，嵌入式操作系統(tǒng)（固化在芯片中的操作系統(tǒng)，一般由 JAVA、C++等語言編寫），相當(dāng)于一個小型的智能處理器，所以會遭受病毒攻擊。而且，短信也不只是簡單的文字，其中包括手機(jī)鈴聲、圖片等信息，都需要手機(jī)中的操作系統(tǒng)進(jìn)行解釋，然后顯示給手機(jī)用戶，手機(jī)病毒就是靠軟件系統(tǒng)的漏洞來入侵手機(jī)的。

手機(jī)病毒的預(yù)防：

(1).不要接受陌生請求

(2).保證下載的安全性

(3).不要瀏覽不良網(wǎng)站

(4).使用不帶操作系統(tǒng)的非智能手機(jī)

二、信息網(wǎng)絡(luò)安全威脅的新形勢

伴隨著信息化的快速發(fā)展，信息網(wǎng)絡(luò)安全形勢愈加嚴(yán)峻。信息安全攻擊手段向簡單化、綜合化演變，攻擊形式卻向多樣化、復(fù)雜化發(fā)展，病毒、蠕蟲、垃圾郵件、僵尸網(wǎng)絡(luò)等攻擊持續(xù)增長，各種軟硬件安全漏洞被利用進(jìn)行攻擊的綜合成本越來越低，內(nèi)部人員的蓄意攻擊也防不勝防，以經(jīng)濟(jì)利益為目標(biāo)的黑色產(chǎn)業(yè)鏈已向全球一體化演進(jìn)。

在新的信息網(wǎng)絡(luò)應(yīng)用環(huán)境下，針對新的安全風(fēng)險必須要有創(chuàng)新的信息安全技術(shù)，需要認(rèn)真對待這些新的安全威脅。

1.惡意軟件的演變

隨著黑色地下產(chǎn)業(yè)鏈的誕生，木馬、蠕蟲、僵尸網(wǎng)絡(luò)等惡意軟件對用戶的影響早已超過傳統(tǒng)病毒的影響，針對Web的攻擊成為這些惡意軟件新的熱點，新時期下這些惡意軟件攻擊方式也有了很多的演進(jìn)：

(1).木馬攻擊技術(shù)的演進(jìn)

網(wǎng)頁掛馬成為攻擊者快速植入木馬到用戶機(jī)器中的最常用手段，也成為目前對網(wǎng)絡(luò)安全影響最大的攻擊方式。同時，木馬制造者也在不斷發(fā)展新的技術(shù)，例如增加多線程保護(hù)功能，并通過木馬分片及多級切換擺脫殺毒工具的查殺。

(2).蠕蟲攻擊技術(shù)的演進(jìn)

除了傳統(tǒng)的網(wǎng)絡(luò)蠕蟲，針對Mail、IM、SNS等應(yīng)用性業(yè)務(wù)的蠕蟲越來越多，技術(shù)上有了很多新演進(jìn)，例如通過采用多層加殼模式提升了其隱蔽性，此外采用類似P2P傳染模式的蠕蟲技術(shù)使得其傳播破壞范圍快速擴(kuò)大。

(3).僵尸網(wǎng)絡(luò)技術(shù)的演進(jìn)

在命令與控制機(jī)制上由IRC協(xié)議向HTTP協(xié)議和各種P2P協(xié)議轉(zhuǎn)移，不斷增強僵尸網(wǎng)絡(luò)的隱蔽性和魯棒性，并通過采取低頻和共享發(fā)作模式，使得僵尸傳播更加隱蔽；通過增強認(rèn)證和信道加密機(jī)制，對僵尸程序進(jìn)行多態(tài)化和變形混淆，使得對僵尸網(wǎng)絡(luò)的檢測、跟蹤和分析更加困難。

2.P2P應(yīng)用引發(fā)新的安全問題

P2P技術(shù)的發(fā)展給互聯(lián)網(wǎng)帶來了極大的促進(jìn)，BT、電驢等P2P軟件獲得了廣泛的應(yīng)用，但這種技術(shù)在給用戶帶來便利的同時也給網(wǎng)絡(luò)應(yīng)用帶來了一些隱患。版權(quán)合法問題已成為眾多P2P提供商和用戶面臨的首要問題，而P2P技術(shù)對帶寬的最大限度占用使得網(wǎng)絡(luò)帶寬將面臨嚴(yán)峻挑戰(zhàn)。目前在正常時段，在整個互聯(lián)網(wǎng)的骨干網(wǎng)中，P2P流量占整個網(wǎng)絡(luò)流量高達(dá)40%以上，這不僅造成了帶寬的緊張，也影響了其他互聯(lián)網(wǎng)業(yè)務(wù)應(yīng)用的正常使用，業(yè)務(wù)的安全可靠使用受到影響。對于基于時間或流量提供帶寬服務(wù)的運營商而言，如何正確的優(yōu)化帶寬并合理使用P2P技術(shù)將成為其面臨的主要挑戰(zhàn)。

除此之外，P2P軟件本身現(xiàn)在也成為眾多安全攻擊者的目標(biāo)，主流P2P軟件的去中心化和開放性使得P2P節(jié)點自身很容易成為脆弱點，利用P2P傳播蠕蟲或者隱藏木馬成為一種新的攻擊趨勢。

3.新興無線終端攻擊

無線終端用戶數(shù)目已超過固網(wǎng)用戶數(shù)目達(dá)到了幾十億，隨著3G、Wimax、LTE等多種無線寬帶技術(shù)的快速發(fā)展并推廣應(yīng)用，PDA、無線數(shù)據(jù)卡、智能手機(jī)等各種形式的移動終端成為黑客攻擊的主要目標(biāo)。針對無線終端的攻擊除了傳統(tǒng)針對PC機(jī)和互聯(lián)網(wǎng)的攻擊手段外，也有其自身的特殊性，包括：針對手機(jī)操作系統(tǒng)的病毒攻擊，針對無線業(yè)務(wù)的木馬攻擊、惡意廣播的垃圾電話、基于彩信應(yīng)用的蠕蟲、垃圾短信彩信、手機(jī)信息被竊取、SIM卡復(fù)制以及針對無線傳輸協(xié)議的黑客攻擊等。這些新興的無線終端攻擊方式也給今后無線終端的廣泛應(yīng)用帶來嚴(yán)峻挑戰(zhàn)。

4.數(shù)據(jù)泄露的新形勢

數(shù)據(jù)泄漏已逐步成為企業(yè)最為關(guān)注的安全問題，隨著新介質(zhì)、電子郵件、社區(qū)等各種新型信息傳播工具的應(yīng)用，數(shù)據(jù)泄露攻擊也顯現(xiàn)了很多新的形勢：通過U盤、USB口、移動硬盤、紅外、藍(lán)牙等傳輸模式攜帶或外傳重要敏感信息，導(dǎo)致重要數(shù)據(jù)泄露；通過針對電子設(shè)備（例如PC）重構(gòu)電磁波信息，實時獲取重要信息；通過植入木馬盜取主機(jī)介質(zhì)或者外設(shè)上的重要信息數(shù)據(jù)；通過截獲在公網(wǎng)傳播的EMAIL信息或無線傳播的數(shù)據(jù)信息，獲取敏感信息。針對信息獲取的數(shù)據(jù)泄漏攻擊方式已成為攻擊者的重點。

參考文獻(xiàn)：

[1] 鄭志彬.信息網(wǎng)絡(luò)安全威脅及技術(shù)發(fā)展趨勢[J].電信科學(xué) 2009（2）：28-32

[2] 陳琳羽.淺析信息網(wǎng)絡(luò)安全威脅[J].網(wǎng)絡(luò)安全, 2009(1)：30-32.[3] 宋德君.信息系統(tǒng)安全的威脅與脆弱性淺談[J].黑龍江電子技術(shù) 1998年

(4): 21-22

[4] 徐桂慶.計算機(jī)網(wǎng)絡(luò)安全的威脅及維護(hù)[J].信息技術(shù), 2009(3)：13-15.

第三篇：內(nèi)部信息

內(nèi)部信息

第28期（總第261期）

杭州市人大常委會研究室編 二○○九年九月一日

目 錄

情況交流

市人大常委會會議首次網(wǎng)絡(luò)直播

市人大城建環(huán)保委視察中山路綜合保護(hù)情況

區(qū)縣傳真

上城區(qū)：圍繞人大監(jiān)督重點向代表通報政府工作

江干區(qū)：全程改進(jìn)監(jiān)督方式

西湖區(qū)：著力“三?！蓖七M(jìn)西湖龍井茶保護(hù) 濱江區(qū)：三舉措推動職務(wù)犯罪預(yù)防體系建設(shè) 蕭山區(qū)：力促“四個強化”整治藥械市場

余杭區(qū)：舉辦地方人大設(shè)立常委會30周年系列紀(jì)念活動

信息摘登

3則

※ 情況交流 ※

市人大常委會會議首次網(wǎng)上直播

市人大常委會一直在積極探索如何利用信息化手段打造公開透明的人大，從網(wǎng)上信訪到代表的議案建議上網(wǎng)，以及網(wǎng)絡(luò)直播常委會會議，都是有益的嘗試和探索，并且取得良好的效果。

本次常委會會議，杭州人大網(wǎng)和杭州網(wǎng)合作實現(xiàn)了視頻、圖文同步直播，讓群眾能親身感受事關(guān)切身利益的法規(guī)、政策是如何制定的，同時還制作了常委會會議專題網(wǎng)頁，開辟互動欄目，實時與網(wǎng)民留言互動。據(jù)統(tǒng)計，截止會議結(jié)束，25850多網(wǎng)民通過互聯(lián)網(wǎng)觀看了本次會議的現(xiàn)場直播。已有157690多網(wǎng)民瀏覽了專題網(wǎng)頁，收到網(wǎng)民發(fā)帖1007條。

杭州市人大常委會首次網(wǎng)絡(luò)直播，營造了開放式的立法環(huán)境，進(jìn)一步密切了人大與人民群眾的聯(lián)系，讓廣大市民充分了解市人大常委會會議的程序和內(nèi)容，有利于增強市人大常委會工作的透明度和公開度，有利于保障人民群眾的知情權(quán)，同時，也使各位常委會委員了解民意，廣泛集中民智，推進(jìn)決策的科學(xué)化、民主化。

（本刊編輯）

市人大城建環(huán)保委視察中山路綜合保護(hù)情況

8月28日，市人大城建環(huán)保委組織專委委員和部分市人大代表對中山路綜合保護(hù)與有機(jī)更新工程進(jìn)行了視察。委員與代

表實地察看了天水堂、天主堂、種德堂、張同泰等歷史建筑以及水系、坊墻等施工現(xiàn)場，聽取了市建委和上城區(qū)政府、下城區(qū)工程指揮部的工作匯報。委員、代表對工程，特別是對中山路歷史街區(qū)風(fēng)貌保護(hù)和歷史建筑保護(hù)工作給予了充分肯定，同時對水系設(shè)計、業(yè)態(tài)調(diào)整、交通組織、街區(qū)管理等提出了意見和建議。

市人大常委會副主任顧樹森說，中山路的綜合保護(hù)與有機(jī)更新工程不僅僅是在保護(hù)歷史，而且也是在創(chuàng)造歷史，非常成功。尺度不變的街巷，“和而不同”的立面修繕以及街巷勾連、穿插的肌理，歷史街區(qū)風(fēng)貌猶存；文物及歷史建筑保護(hù)完好；公共藝術(shù)和城市家具古樸、典雅、精致、厚重；一批非物質(zhì)文化遺產(chǎn)得到了妥善的保護(hù)、發(fā)掘和展示，南宋御街·中山路已經(jīng)成為城市有機(jī)更新的新典范。離“開街”還有一個月時間，他要求有關(guān)部門和城區(qū)一鼓足氣發(fā)揚連續(xù)作戰(zhàn)的精神，再接再勵。一要確保工程質(zhì)量和進(jìn)度，高度關(guān)注細(xì)節(jié)，力求完美，不留遺憾；二要重視歷史街區(qū)管理的研究和實踐，根據(jù)有關(guān)法律法規(guī)切實做好有效保護(hù)、合理利用、分類管理的文章，要讓良好的管理為建設(shè)添光增彩；三要善始善終地做好沿線單位和住家的搬遷、安臵工作。為打造一個“宜居、宜商、宜文、宜游”的高品質(zhì)歷史文化街區(qū)，為爭取工程經(jīng)濟(jì)效益、社會效益和生態(tài)效益的最大化繼續(xù)努力。他要求城建環(huán)保委要認(rèn)真總結(jié)中山路綜合保護(hù)與有機(jī)更新的成功實踐和寶貴經(jīng)驗，為杭州市歷史文化街區(qū)、歷史建筑的地方立法進(jìn)一步做好調(diào)查研究。

（城建環(huán)保工委 蔡寅）

※ 區(qū)縣傳真 ※

上城區(qū)：圍繞人大監(jiān)督重點向代表通報政府工作

在近日召開的上城區(qū)政情通報會上，區(qū)政府主要負(fù)責(zé)人向本區(qū)域的市、區(qū)人大代表就區(qū)人大常委會圍繞建設(shè)具有國際水準(zhǔn)的高品質(zhì)中心城區(qū)戰(zhàn)略目標(biāo)、督促和推動政府工作的實例進(jìn)行通報。

專題審議方面。針對審議中提出的形成就業(yè)和再就業(yè)工作合力的建議，建立了聯(lián)席會議制度。針對經(jīng)濟(jì)扶持政策要關(guān)注中小企業(yè)發(fā)展的建議，加強創(chuàng)投資金支持引導(dǎo)，幫助中小企業(yè)破解資金瓶頸。

執(zhí)法檢查方面。針對《就業(yè)促進(jìn)法》落實，建立3000個崗位的區(qū)級崗位銀行和崗位信息獎勵制度，細(xì)化促進(jìn)就業(yè)專項資金管理使用辦法，開展促進(jìn)就業(yè)工作的定期督查并將其納入政府目標(biāo)考核。針對《環(huán)境保護(hù)法》、《浙江省水污染防治管理條例》、《杭州市污染物排放許可管理條例》以及《關(guān)于推進(jìn)杭州市上城區(qū)生態(tài)區(qū)建設(shè)的決議》落實，聯(lián)合浙江大學(xué)環(huán)境科學(xué)系開展《上城區(qū)環(huán)境保護(hù)與社會經(jīng)濟(jì)可持續(xù)發(fā)展研究》課題研究。

專題視察方面。針對規(guī)范和繁榮我區(qū)文化市場的建議，在全市率先建立文化市場三級監(jiān)管網(wǎng)絡(luò)。針對公安看守所強化監(jiān)管安全工作的建議，提高民警主動警務(wù)理念，及時消除監(jiān)管工作中的隱患。針對工業(yè)功能區(qū)要加快產(chǎn)業(yè)轉(zhuǎn)型升級的建議，擬出

臺“以房招商”新政策。

定向視察方面。針對在行政執(zhí)法領(lǐng)域減少執(zhí)法成本的建議，實施綜合效能測評，加快智能監(jiān)控報警系統(tǒng)建設(shè)，拓展了機(jī)動巡查時間。針對在“新中國第一居委會”建設(shè)中打響新名片的建議，結(jié)合建國60周年紀(jì)念、中國社區(qū)建設(shè)史料展示中心開館等內(nèi)容開展活動，以擴(kuò)大社會影響力。針對在庭院改善領(lǐng)域完善工作機(jī)制、強化民主促民生建議，將“民間庭改辦”工作成效納入街道、社區(qū)重要考核內(nèi)容。針對在建設(shè)領(lǐng)域強化權(quán)力陽光運行、提升服務(wù)水平的建議，初步完成中小型建設(shè)工程招投標(biāo)三項備案流程的搭設(shè)工作。針對在職業(yè)教育領(lǐng)域圍繞社會需求、豐富教育形式的建議，開辦計算機(jī)操作、服裝制作等各類培訓(xùn)課程，充分利用“e學(xué)網(wǎng)”平臺，使居民自主學(xué)習(xí)、課程資源共享得以實現(xiàn)。

課題調(diào)研方面。針對人大常委會專項課題調(diào)研組撰寫的《發(fā)展現(xiàn)代服務(wù)業(yè)是推動我區(qū)經(jīng)濟(jì)發(fā)展的必由之路》，著手進(jìn)行現(xiàn)代服務(wù)業(yè)發(fā)展規(guī)劃的編制，并同步研究提出有利于推進(jìn)現(xiàn)代服務(wù)業(yè)發(fā)展的產(chǎn)業(yè)政策。針對教科衛(wèi)文體工委撰寫的《關(guān)于上城區(qū)“全國科技進(jìn)步示范區(qū)”建設(shè)與發(fā)展規(guī)劃（2004-2008年）實施情況的調(diào)研報告》，吸收建議，并在新一輪科技發(fā)展規(guī)劃編制和科技優(yōu)先項目確定中予以積極采納。針對財經(jīng)工委撰寫的《推動就業(yè)穩(wěn)定工作，促進(jìn)社會和諧發(fā)展》，在提高公共就業(yè)服務(wù)能力以及關(guān)注大學(xué)畢業(yè)生、城鎮(zhèn)就業(yè)困難人員和農(nóng)民工三類群體等方面改進(jìn)工作。針對城建環(huán)保工委的《改善居住生活環(huán)境，提升生態(tài)區(qū)建設(shè)水平》，要求區(qū)生態(tài)辦在省級生態(tài)區(qū)創(chuàng)建、三年

行動計劃實施等工作中做好結(jié)合。

議案、建議辦理方面。今年，承辦人大議案、建議89件，截至目前，已全部辦理完畢，辦結(jié)率為100%，面商率為100%，滿意率為100%。

（上城區(qū)人大常委會辦公室 袁蕙婷）

江干區(qū)：全程改進(jìn)監(jiān)督方式

今年以來，江干區(qū)人大常委會堅持與時俱進(jìn)、開拓創(chuàng)新，不斷完善機(jī)制，全程改進(jìn)監(jiān)督方式，取得了較好的效果。

一是監(jiān)督前深入調(diào)研。審議、視察前，組織人員深入相關(guān)部門和基層單位，廣泛了解情況；在發(fā)現(xiàn)問題的同時，加強與部門的聯(lián)系溝通，著重研究、提出解決問題的辦法。

二是監(jiān)督中廣泛參與。在審議和視察中，常委會不僅要求相關(guān)工委作專題發(fā)言，而且還邀請有關(guān)代表和專家參與調(diào)研、發(fā)言，使意見更具針對性和實效性。到目前為止，共有130余名代表參加了常委會的審議、視察和執(zhí)法檢查等活動。

三是監(jiān)督后跟蹤督查。對常委會的審議事項，采取印發(fā)審議意見書、組織跟蹤檢查等舉措進(jìn)行監(jiān)督，并要求區(qū)政府在下一次常委會上通報整改落實情況，確保意見落到實處。

（江干區(qū)人大常委會辦公室 丁黎明）

西湖區(qū)：著力“三?！蓖七M(jìn)西湖龍井茶保護(hù)

為進(jìn)一步加強西湖龍井茶的保護(hù)與發(fā)展，近日，西湖區(qū)人大常委會組織市、區(qū)兩級代表對西湖龍井茶的主產(chǎn)區(qū)進(jìn)行了視察，提出了加強保護(hù)的三點建議：

一是著力“保品牌”。建議政府有關(guān)部門要加大打擊假冒偽劣的力度，充分發(fā)揮龍井茶商會、茶葉銷售龍頭企業(yè)、農(nóng)家茶樓協(xié)會的行業(yè)自律和中介主體作用，增強轄區(qū)內(nèi)茶農(nóng)和企業(yè)的品牌意識，進(jìn)一步加大品牌保護(hù)力度。

二是著力“保品質(zhì)”。建議政府相關(guān)部門要深入貫徹實施《杭州市西湖龍井茶基地保護(hù)條例》，在搞好茶園基礎(chǔ)設(shè)施建設(shè)及確保種植面積的基礎(chǔ)上，加強對茶農(nóng)培育龍井茶的技術(shù)指導(dǎo)和培訓(xùn)，加大對農(nóng)藥的管理與督查力度，從源頭上把好西湖龍井茶品質(zhì)關(guān)。

三是著力“保工藝”。針對目前機(jī)制茶的應(yīng)用及老一代高級炒茶技師人員逐年減少的現(xiàn)狀，建議政府將龍井茶手工炒制技術(shù)編寫成規(guī)范化教材，列為職業(yè)培訓(xùn)重點內(nèi)容，培養(yǎng)一批手工炒制技術(shù)傳承人。

（西湖區(qū)人大常委會辦公室 應(yīng)利燕 楊宏）

濱江區(qū)：三舉措推動職務(wù)犯罪預(yù)防體系建設(shè)

為繼續(xù)做好區(qū)人民檢察院的職務(wù)犯罪預(yù)防工作，進(jìn)一步拓展預(yù)防機(jī)制的寬度和深度，進(jìn)一步深化預(yù)防工作的針對性和有 7

效性，進(jìn)一步加強改進(jìn)預(yù)防的能力和條件，濱江區(qū)人大常委會提出三項舉措。

一要強化思想認(rèn)識。進(jìn)一步營造風(fēng)清氣正的創(chuàng)新創(chuàng)業(yè)環(huán)境，要樹立起強烈的政治責(zé)任感，履行好法定職能，深入抓好職務(wù)犯罪預(yù)防工作。

二要堅持標(biāo)本兼治。要致力于建立防范機(jī)制，發(fā)揮偵防優(yōu)勢，加大源頭防腐力度，要注重查辦懲處警示，以打擊促預(yù)防，加大查辦職務(wù)犯罪力度，要著力易發(fā)多發(fā)職務(wù)犯罪的重點領(lǐng)域和重點環(huán)節(jié)，協(xié)同配合有關(guān)部門，加大標(biāo)本兼治的力度。

三要提高懲防功效。要創(chuàng)新機(jī)制方法，主動把履行預(yù)防職務(wù)犯罪工作納入到反腐倡廉工作大機(jī)制之中，密切與有關(guān)部門、有關(guān)方面溝通互動，搭建平臺形成合力，充分發(fā)揮檢察院的優(yōu)勢作用；要提升專業(yè)水平，注重研究把握預(yù)防職務(wù)犯罪工作的特點規(guī)律，加強信息收集分析，提出對策措施，提高預(yù)警示范能力；要加強自身建設(shè)，提高干警素質(zhì)能力，提高預(yù)防工作水平。

（濱江區(qū)人大常委會辦公室 沈茂）

蕭山區(qū)：力促“四個強化”整治藥械市場

蕭山區(qū)人大常委會在換屆以來，高度關(guān)注藥品安全工作，通過專題調(diào)研、督辦代表意見建議等，督促和支持政府采取有力措施保障人民群眾用藥安全。為強化全區(qū)藥械市場的管理，區(qū)人大常委會組織人大代表分組對全區(qū)的藥品安全工作進(jìn)行視

察，代表們要求政府要進(jìn)一步健全對藥品安全實時監(jiān)控系統(tǒng)的管理維護(hù)制度，要強化對藥械市場的監(jiān)管力度。

區(qū)政府對此高度重視，采取措施整治藥械市場。一是強化應(yīng)急處臵。在突發(fā)事件發(fā)生后，第一時間借助短信平臺通知涉藥單位，確保在最短時間內(nèi)采取有效措施。二是強化專項整治。結(jié)合“小藥店”整治等活動，對藥械生產(chǎn)、經(jīng)營企業(yè)、醫(yī)療機(jī)構(gòu)開展日常巡查工作。三是強化技術(shù)監(jiān)督。監(jiān)督抽驗與日常監(jiān)管相結(jié)合，加大藥品抽樣力度，對違法廣告較多、購進(jìn)渠道不規(guī)范、外觀質(zhì)量疑點多的藥品作為抽樣重點，高頻率使用藥品檢測車進(jìn)行抽樣品種初篩。四是強化投訴處理。嚴(yán)格執(zhí)行96311舉報投訴電話值班制度，簡化流程，強化反饋，提高受理質(zhì)量，確保舉報投訴渠道暢通高效。

（蕭山區(qū)人大常委會辦公室 裘曉莉）

余杭區(qū)：舉辦地方人大設(shè)立常委會30周年系列紀(jì)念活動

為紀(jì)念中華人民共和國成立60周年和地方人大設(shè)立常委會30周年，8月31日下午，經(jīng)區(qū)第十三屆人大常委會第三十九次主任會議討論，決定開展系列紀(jì)念活動。為確保整個紀(jì)念活動有組織有步驟地開展，還成立了以區(qū)人大常委會主持日常工作副主任為組長的活動協(xié)調(diào)領(lǐng)導(dǎo)小組。這次系列紀(jì)念活動主要有以下內(nèi)容：

一是舉辦書畫攝影展。以謳歌建國60周年改革開放偉大歷程和巨大成就為主題，組織全區(qū)各級人大代表、人大工作者、社會各界書畫攝影專家或愛好者以美術(shù)、書法、篆刻、攝影等形式，重點反映人民代表大會制度的堅持和完善，展示余杭經(jīng)濟(jì)社會發(fā)展的新變化、新面貌、新成就，特別是民主法制建設(shè)方面的發(fā)展和變化。9中下旬，與區(qū)文聯(lián)聯(lián)合舉辦余杭區(qū)紀(jì)念地方人大設(shè)立常委會30周年書畫攝影展。

二是開展人民代表大會制度知識競賽活動。9月份，與余杭新聞傳媒中心合作，在城鄉(xiāng)導(dǎo)報刊登人民代表大會知識競賽試題，組織社會各界人士參加。

三是舉辦“我與人大”征文活動。9月上旬至11月底，組織區(qū)境內(nèi)各級人大代表、人大工作者、新聞記者以及社會各界人士撰寫紀(jì)念文章，展示人大工作光輝業(yè)績，展現(xiàn)我區(qū)民主法制建設(shè)進(jìn)程。

四是舉辦“紀(jì)念地方人大設(shè)立常委會30周年”專題報告會。10月份，邀請全國著名專家學(xué)者來我區(qū)作民主法制建設(shè)專題講座。

五是開展“走進(jìn)人大〃旁聽常委會會議”活動。為拓寬公民有序參與管理國家事務(wù)的渠道，密切地方國家權(quán)力機(jī)關(guān)與人民群眾的聯(lián)系，增強區(qū)人大常委會會議的透明度，認(rèn)真接受人民群眾監(jiān)督，11月份，組織1次公民旁聽區(qū)人大常委會會議活動。

六是開展專題宣傳。9月上旬，在余杭電視臺推出代表建議辦理系列專題節(jié)目；10月份，與余杭電視臺合作，制作“紀(jì)念地方人大設(shè)立常委會30周年”訪談節(jié)目1期，主要是邀請部分區(qū)人大常委會老領(lǐng)導(dǎo)、老人大代表、老人大工作者和群眾代

表走進(jìn)演播室，暢談地方人大走過的光輝歷程及體會；9月份，在城鄉(xiāng)導(dǎo)報開辟“紀(jì)念地方人大設(shè)立常委會30周年”紀(jì)念專欄；9月中旬，在余杭人大網(wǎng)開辟“紀(jì)念地方人大設(shè)立常委會30周年”專題網(wǎng)頁；《杭州市余杭區(qū)人民代表大會常務(wù)委員會公報》出版1期紀(jì)念?？?。

（余杭區(qū)人大常委會辦公室 劉英）

※ 信息摘登 ※

杭州市人大常委會出臺新規(guī)。8月26日，市十一屆人大常委會第十七次會議審議通過了《杭州市人大常委會執(zhí)法檢查規(guī)定》、《杭州市人大常委會聽取和審議市人民政府、市中級人民法院和市人民檢察院專項工作報告的試行辦法》、《杭州市人大常委會行使監(jiān)督職權(quán)情況向社會公開的試行辦法》。三項新規(guī)不僅將市人大常委會在工作實踐中探索的成功經(jīng)驗上升為制度，同時也標(biāo)志著市人大常委會在依法行使監(jiān)督職權(quán)方面又有了新舉措。

（綜合調(diào)研處 丁忠芳）

省人大代表視察富春江水資源保護(hù)工作情況。代表們指出要用科學(xué)發(fā)展觀來指導(dǎo)水資源的保護(hù)工作，做好三方面工作。一要思想重視。高度重視水資源的保護(hù)工作，運用各種渠道加強宣傳教育，統(tǒng)一思想，要用全局的、長遠(yuǎn)的觀念來開展我們的各項工作。二要綜合治理。抓好源頭保護(hù)，做好水土保持和水源保護(hù)工作；抓好污水控制，采取截污納管等方式做好工業(yè)、農(nóng)業(yè)污水治理。三要長效管理。建

立和完善各級責(zé)任、激勵導(dǎo)向和獎懲機(jī)制，形成水資源保護(hù)長效管理。

（江干區(qū)人大常委會辦公室 朱春鋒）

臨安市人大常委會連續(xù)四年跟蹤監(jiān)督農(nóng)民飲用水工程建設(shè)。針對工程進(jìn)度不快、資金缺口較大、協(xié)調(diào)力度不強等困難和問題，視察組提出了四個方面的建議。一要咬定目標(biāo)，強化落實，加快工程建設(shè)進(jìn)度。二要多元化籌措資金，著力緩解建設(shè)資金壓力。三要因地制宜，分類施策，統(tǒng)籌推進(jìn)工程建設(shè)。四要加強管理，建立健全長效管理機(jī)制，確保農(nóng)民群眾真正喝上安全、衛(wèi)生的飲用水。據(jù)悉，今年臨安市共有100個市本級農(nóng)民飲用水工程項目，涉及26個鄉(xiāng)鎮(zhèn)街道10.93萬人。

（臨安市人大常委會辦公室 胡映輝）

市委常委，市人大常委會組成人員，副市長，市委辦公廳，市人大機(jī)關(guān)各部門，市政府辦公廳，市政協(xié)辦公廳，市中級人民法院、市人民檢察院

各區(qū)（縣、市）人大常委會

送：省人大常委會辦公廳、研究室

（共印250 份）

本期責(zé)任編輯 ：王暨平王 珺 傳真：（0571）85250614

（信息及刊物資料投寄：310026 杭州市人大機(jī)關(guān)信息中心

電子郵箱：hzrenda@163.com 或 網(wǎng)址：004km.cn）

第四篇：稅務(wù)內(nèi)部信息安全

稅務(wù)內(nèi)部網(wǎng)絡(luò)信息安全建設(shè)

信息安全部分

一 信息安全的由來

隨著當(dāng)今社會的迅猛發(fā)展，信息本身的屬性發(fā)生了變化，成為了一項與實物屬性相同的，對組織具有價值的資產(chǎn)。正因為這種屬性的變化，使得以各種形式存在著的信息成為了需要適當(dāng)保護(hù)的對象。由此，信息安全的概念也于近年來被各機(jī)關(guān)單位廣泛認(rèn)知及重視，并提上議程。

二 信息安全的概念

信息安全，是指信息本身的機(jī)密性（Confidentiality）、完整性（Intergrity）和可用性（Availability）的保持。

機(jī)密性，是指確保信息沒有非授權(quán)的泄漏，不被非授權(quán)的個人、組織和計算機(jī)程序使用；完整性，是指確保信息沒有遭到篡改和破壞；可用性，是指確保擁有授權(quán)的用戶或程序可以及時、正常使用信息。

針對信息安全的上述三種特性，所能保障信息安全的措施分為兩類，即防范威脅：防范有可能破壞系統(tǒng)正常功能的潛在的人或事物；以及降低風(fēng)險：降低來自外界的對系統(tǒng)危害的可能性。

三 產(chǎn)生信息安全問題的原因

產(chǎn)生信息安全問題的原因主要由外因和內(nèi)因兩部分構(gòu)成

外因具體來講分為兩種，一是環(huán)境因素，即火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害；斷電、潮濕、溫度、鼠蟻蟲害；軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障。二是對手因素，即為達(dá)到政治及經(jīng)濟(jì)目的恐怖分子，商業(yè)間諜，犯罪團(tuán)伙，外國情報機(jī)構(gòu)，以及以破壞為樂趣的某些社會型及娛樂型黑客，通過身份假冒、密碼猜測、漏洞利用、拒絕服務(wù)、惡意代碼、數(shù)據(jù)竊聽、物理破壞、社會工程等手段達(dá)到目的。

內(nèi)因也分為兩種，一是技術(shù)因素，即物理環(huán)境問題、網(wǎng)絡(luò)結(jié)構(gòu)問題、系統(tǒng)軟件漏洞、應(yīng)用軟件漏洞、安全防護(hù)措施不到位。二是管理因素，即安全意識薄弱、安全制度不健全、組織機(jī)構(gòu)不健全、安全職責(zé)不落實。

產(chǎn)生內(nèi)因的因素很多，如各單位使用的系統(tǒng)越來越復(fù)雜，越來越開放的互聯(lián)網(wǎng)絡(luò)，以及復(fù)雜的社會人群等，但最重要的一點是操作及管理人員自身對信息安全的意識沒有足夠的重視。技術(shù)很重要，但技術(shù)不是一切；信息系統(tǒng)很重要，但只有服務(wù)于組織業(yè)務(wù)使命才有意義。一言以蔽之：外因是條件，內(nèi)因是關(guān)鍵。

四 保障信息安全的必要和措施

由于信息化程度的日益提高，業(yè)務(wù)目標(biāo)的實現(xiàn)越來越依賴于信息系統(tǒng)，信息系統(tǒng)也就由此成為了一個組織或機(jī)構(gòu)生存和發(fā)展的關(guān)鍵性因素，因此，信息系統(tǒng)的安全風(fēng)險也成為了組織風(fēng)險的一部分，所以，為了保障組織機(jī)構(gòu)完成其使命，必須加強信息安全保障，抵抗這些風(fēng)險。

信息是依賴與承載它的信息技術(shù)系統(tǒng)存在的，需要在技術(shù)層面部署完善的控制措施。首先，信息系統(tǒng)是由人來建設(shè)使用和維護(hù)的，需要通過有效的管理手段約束人。其次，今天系統(tǒng)安全了明天未必安全，需要貫穿系統(tǒng)生命周期的工程過程。再次，信息安全的對抗，歸根結(jié)底是人員知識、技能和素質(zhì)的對抗，需要建設(shè)高素質(zhì)的人才隊伍。

然而，信息安全由于本身載體的特殊性，并不可能100%安全，而且隨著安全性的逐步提高，所花費的成本也相應(yīng)的急速增長，一味的追求過度的信息安全，會使代價過高，從而得不償失。因此，風(fēng)險總是存在著的，系統(tǒng)永不停、網(wǎng)絡(luò)永不斷、數(shù)據(jù)永不丟是不可能的，所能做到的，就是通過風(fēng)險評估的適度安全。

稅務(wù)方面的信息安全 對于稅務(wù)系統(tǒng)的工作人員，信息安全分為兩種。一是保護(hù)涉及國家秘密或者稅收工作秘密的數(shù)據(jù)不被竊取、篡改或破壞。這些需要稅務(wù)人員重點保護(hù)的信息包括：涉及國家秘密的信息；內(nèi)部工作文件（包括起草中未發(fā)布的政策性文件）； 業(yè)務(wù)數(shù)據(jù)（如納稅人的涉稅信息、發(fā)票信息、統(tǒng)計分析數(shù)據(jù)等）；內(nèi)部行政信息（如人事、財務(wù)、紀(jì)檢、監(jiān)察等信息）；其它不宜公開或遭到破壞后嚴(yán)重影響工作的內(nèi)部信息等。二是保障個人工作用的計算機(jī)軟硬件可以持續(xù)穩(wěn)定運行。具體就是保障個人計算機(jī)中、打印機(jī)前、個人的存貯介質(zhì)（U盤）、紙質(zhì)文件、個人有權(quán)訪問的服務(wù)器，如公文系統(tǒng)等當(dāng)中存放的信息的安全。

隨著科技的發(fā)展，現(xiàn)階段，稅收業(yè)務(wù)高度依賴信息化。稅收信息系統(tǒng)作為國家重要信息系統(tǒng)經(jīng)過十多年建設(shè)，已進(jìn)入快速發(fā)展期，網(wǎng)絡(luò)上運行的關(guān)鍵信息系統(tǒng)逐年增多。稅收管理系統(tǒng)不斷升級、流程優(yōu)化；網(wǎng)上辦稅業(yè)務(wù)快速發(fā)展、為納稅人服務(wù)手段豐富；信息管稅對管理決策提供支撐；稅務(wù)部門與外部單位的聯(lián)網(wǎng)快速增長。

但是，現(xiàn)今稅務(wù)機(jī)關(guān)信息安全的形式并不是完全樂觀的。首先，隨著稅務(wù)部門信息化程度的不斷提高，信息資產(chǎn)價值迅速提高；其次，內(nèi)、外部威脅不斷加大，安全事件的發(fā)生從未間斷；再次，經(jīng)過稅務(wù)機(jī)關(guān)高層領(lǐng)導(dǎo)重視，信息安全管理力度不斷加強，風(fēng)險容忍空間也逐步縮小;最后，通過安全檢查、安全評估得出結(jié)論，稅務(wù)機(jī)關(guān)網(wǎng)絡(luò)與信息安全具備一定的防護(hù)能力，但是信息系統(tǒng)脆弱性在不同（地方）位置普遍存在。、國家稅務(wù)機(jī)關(guān)的網(wǎng)絡(luò)系統(tǒng)一般分為內(nèi)網(wǎng)和外網(wǎng)。內(nèi)網(wǎng)和外網(wǎng)之間實行嚴(yán)格的邏輯隔離，防止內(nèi)網(wǎng)秘密信息泄露到外網(wǎng)，防止來自外網(wǎng)的威脅攻擊內(nèi)網(wǎng)。應(yīng)嚴(yán)格防止內(nèi)網(wǎng)網(wǎng)間的非法網(wǎng)絡(luò)互通。

各級稅務(wù)機(jī)關(guān)內(nèi)網(wǎng)是全國稅務(wù)系統(tǒng)重要的組成部分之一，承載著稅收業(yè)務(wù)、行政辦公等類業(yè)務(wù)應(yīng)用系統(tǒng)。內(nèi)網(wǎng)連接著全國所有的省級國稅局和地稅局，我們把這種連接稱為縱向連接；內(nèi)網(wǎng)還連接著人民銀行、海關(guān)、公安、質(zhì)檢、市委市府等其它機(jī)構(gòu)，我們把這種連接稱為橫向連接。外網(wǎng)連接著互聯(lián)網(wǎng)，承載著網(wǎng)上辦稅系統(tǒng)和12366稅收服務(wù)系統(tǒng)，向廣大納稅人和社會提供納稅申報、稅款征收和稅收政策咨詢等服務(wù)，還承載著電子郵件等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)。一旦疏于防范互聯(lián)網(wǎng)風(fēng)險很可能引入內(nèi)網(wǎng)。納稅人服務(wù)、征收管理、監(jiān)督檢查、行政管理、稅收數(shù)據(jù)統(tǒng)計分析等業(yè)務(wù)工作直接依賴于諸多應(yīng)用系統(tǒng)的正常穩(wěn)定運行，應(yīng)用系統(tǒng)開發(fā)過程如果忽略安全因素，造成軟件存在安全漏洞或功能缺陷將直接影響有關(guān)工作的正常運行。

稅務(wù)部門可能面臨的信息安全威脅主要有：

1、外部人員通過互聯(lián)網(wǎng)利用木馬等攻擊手段竊取、篡改或破壞個人計算機(jī)中存放的敏感信息；

2、外部人員非法接入稅務(wù)系統(tǒng)內(nèi)網(wǎng)或直接操作內(nèi)網(wǎng)計算機(jī)竊取、篡改或破壞敏信息；

3、外部人員盜竊筆記本電腦、U盤等移動計算和存儲設(shè)備竊取敏感信息；

4、病毒通過網(wǎng)絡(luò)或移動介質(zhì)傳播造成個人計算機(jī)無法正常使用或數(shù)據(jù)破壞；

5、內(nèi)部工作人員由于誤操作等過失行為導(dǎo)致敏感信息丟失或被破壞；

6、內(nèi)部工作人員由于利益驅(qū)使，利用工作之便竊取他人個人計算機(jī)中工作敏感信息。

當(dāng)前稅務(wù)信息安全保密工作面臨的形勢，對稅務(wù)系統(tǒng)信息安全保密工作進(jìn)行再動員、再部署，總結(jié)了引發(fā)信息安全保密問題的主要主觀原因：思想上不重視，對信息安全的嚴(yán)峻形勢認(rèn)識不足，制度不健全，管理乏力，技術(shù)手段不強，技術(shù)防范措施跟不上。一些領(lǐng)導(dǎo)干部和工作人員信息安全與保密的意識還比較淡薄，存在“重應(yīng)用、輕安全”的傾向，對網(wǎng)絡(luò)環(huán)境下信息安全和保密的重要性認(rèn)識不足，安全保密這根弦繃得不緊。有的認(rèn)為自己不屬涉密崗位，保密工作無關(guān)緊要，殊不知即使不屬涉密崗位，工作中也會經(jīng)常接觸到一些涉密的內(nèi)容，如不注意也會泄密。有的不了解網(wǎng)絡(luò)竊密的方式和途徑，認(rèn)為只要保管好計算機(jī)就不會泄密，實際上現(xiàn)在網(wǎng)絡(luò)竊密技術(shù)高超，無孔不入，很容易就被竊密。有的缺乏基本的保密防范知識和技能，不知道如何做好保密工作。更有甚者，明知道保密的要求，卻有章不循，有禁不止。

機(jī)關(guān)內(nèi)個人引發(fā)安全事件的常見具體行為主要有： 1 非法外聯(lián)：使用內(nèi)網(wǎng)計算機(jī)接入外網(wǎng) 移動介質(zhì)混用：將外部U盤、外網(wǎng)移動硬盤等移動存儲介質(zhì)直接接入內(nèi)網(wǎng)機(jī)，將內(nèi)網(wǎng)專用的移動存儲介質(zhì)直接接入外網(wǎng)計算機(jī)屬于個人的U盤用于辦公環(huán)境或?qū)挝慌浒l(fā)的工作用U盤在個人、親友的計算機(jī)上使用 個人口令管理不當(dāng)：登錄密碼復(fù)雜度不夠

登錄密碼長時間不更換

將個人密碼告訴其他的人 不及時備份重要信息：將重要文件存放在一臺電腦或一個存儲介質(zhì)中，長時間不進(jìn)行備份 防病毒軟件使用不當(dāng)：沒有安裝防病毒軟件 6 沒有對操作系統(tǒng)進(jìn)行基本的安全設(shè)置 7 不良的上網(wǎng)習(xí)慣：使用工作機(jī)訪問與工作無關(guān)的網(wǎng)站

隨意下載或安裝來路不明的軟件 點擊來路不明的電子郵件附件或網(wǎng)絡(luò)鏈接 不注意通信場合：在即時通信系統(tǒng)（如QQ、MSN）、網(wǎng)絡(luò)論壇或個人博客中談?wù)撋婕肮ぷ髅孛艿脑掝}

將帶有工作敏感信息的筆記本電腦或U盤攜帶到不安全或人員復(fù)雜的場合（如車站、機(jī)場、超市等）。

有些局機(jī)關(guān)對于信息安全的管理制度還不健全，有的雖然制定了制度，但是形同虛設(shè)，在實踐中未認(rèn)真地貫徹落實。管理松懈的現(xiàn)象也比較突出。如聘用的外來公司人員能隨意應(yīng)用工作用計算機(jī)，來局辦事人員或無關(guān)人員也能輕易登錄局內(nèi)辦公網(wǎng)，督促檢查工作力度不夠，上級一檢查就動一動，不查就忽視了，缺乏經(jīng)常性的監(jiān)督檢查。系統(tǒng)規(guī)模擴(kuò)大，技術(shù)風(fēng)險也隨之加大；計算機(jī)病毒的種類和數(shù)量增加，破壞性增強，擴(kuò)散和變種速度加快；隨著網(wǎng)絡(luò)互聯(lián)互通的發(fā)展，跨地區(qū)、跨國界的網(wǎng)絡(luò)攻擊呈增多態(tài)勢。攻擊的技術(shù)工具和手段越來越多，操作越來越簡單，所需成本遠(yuǎn)低于防御成本，信息安全攻防之間呈易攻難守之勢。

我們通過稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全防護(hù)體系建設(shè)，雖然已經(jīng)在全系統(tǒng)范圍內(nèi)初步建立了一套信息安全防護(hù)和監(jiān)控技術(shù)體系，可以檢測和防止一些網(wǎng)絡(luò)攻擊，但是在一些技術(shù)細(xì)節(jié)上仍然存在許多亟待排除的安全隱患。比如，應(yīng)用系統(tǒng)開發(fā)重功能，輕安全；安全產(chǎn)品重安裝，輕使用。

因此，稅務(wù)機(jī)關(guān)考慮安全技術(shù)體系，應(yīng)該從機(jī)關(guān)行政部門，機(jī)關(guān)業(yè)務(wù)部門，納稅服務(wù)廳，技術(shù)部門等匯總之后添加安全措施。并建立起有效的信息安全機(jī)制。

建立有效的信息安全管理機(jī)制，需要（1）高層領(lǐng)導(dǎo)的參與與有關(guān)部門的協(xié)調(diào)配合，形成組織體系。（2）需要制定覆蓋范圍全面，切實可行的規(guī)章制度。（3）要提高人員意識和技能，建立獎懲措施，使得信息安全管理機(jī)制能夠有效的落實。

要保護(hù)好稅務(wù)機(jī)關(guān)信息安全，首要措施是要建立起礎(chǔ)防護(hù)體系及運行管理辦法，從最基礎(chǔ)的防火墻、入侵檢測、防病毒、漏洞掃描到稍高級別的桌面管理、網(wǎng)絡(luò)審計、病毒預(yù)警、內(nèi)部信息掌控、有害行為判斷分析再到最高級別的網(wǎng)絡(luò)準(zhǔn)入、數(shù)據(jù)庫審計、上網(wǎng)行為管理等。

其次是要建章立制，確立信息安全責(zé)任劃分原則，設(shè)立信息安全領(lǐng)導(dǎo)小組，作為各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全工作的最高領(lǐng)導(dǎo)決策機(jī)構(gòu)，它不隸屬于任何部門，直接對本單位最高領(lǐng)導(dǎo)負(fù)責(zé)，信息安全領(lǐng)導(dǎo)小組是一個常設(shè)機(jī)構(gòu)，負(fù)責(zé)本單位信息安全工作的宏觀管理。主要工作為：落實稅務(wù)系統(tǒng)安全建設(shè)的總體規(guī)劃；制定本單位安全規(guī)劃并監(jiān)督落實；負(fù)責(zé)組織細(xì)化上級規(guī)章制度，制定相應(yīng)程序指南，并監(jiān)督落實規(guī)章制度；負(fù)責(zé)本單位信息系統(tǒng)安全管理層以上的人員權(quán)限授予工作；審閱本單位信息安全報告；組織重大安全事故查處與匯報工作等。

在信息安全領(lǐng)導(dǎo)小組的基礎(chǔ)上，各級稅務(wù)系統(tǒng)網(wǎng)絡(luò)與信息安全管理應(yīng)該由本機(jī)構(gòu)信息安全相關(guān)的若干管理部門共同完成，例如有信息技術(shù)部門、業(yè)務(wù)應(yīng)用部門、安全保衛(wèi)部門、人事行政部門等等。

信息技術(shù)部門對信息系統(tǒng)及信息系統(tǒng)安全保障提供技術(shù)決策和技術(shù)支持，在技術(shù)上對信息系統(tǒng)和信息系統(tǒng)安全保障承擔(dān)管理責(zé)任。

業(yè)務(wù)應(yīng)用部門對信息系統(tǒng)的業(yè)務(wù)處理以及業(yè)務(wù)流程的安全承擔(dān)管理責(zé)任。安全保衛(wèi)部門對信息系統(tǒng)的場地以及系統(tǒng)資產(chǎn)的防災(zāi)、防盜、防破壞等承擔(dān)管理責(zé)任。

行政部門從行政上對信息安全保障執(zhí)行管理工作。各個部門應(yīng)與信息技術(shù)部門協(xié)作，共同對信息系統(tǒng)的建設(shè)和運行維護(hù)承擔(dān)管理責(zé)任。同時，稅務(wù)普通干部的信息安全責(zé)任也不容忽視。信息安全不僅是領(lǐng)導(dǎo)和管理部門的責(zé)任。普通干部要做到：遵守安全制度，擁有足夠的安全意識 基本的操作技能 良好的行為習(xí)慣 報告發(fā)現(xiàn)的安全漏洞和事件。做到做到四禁止，三不準(zhǔn)，三必須，即

禁止用非涉密機(jī)處理涉密文件；

禁止移動存儲介質(zhì)未經(jīng)處理在內(nèi)、外網(wǎng)之間交叉使用； 禁止在外網(wǎng)上處理和存放內(nèi)部文件資料； 禁止用插頭轉(zhuǎn)換方式切換內(nèi)外網(wǎng)； 非工作用筆記本電腦不準(zhǔn)與內(nèi)網(wǎng)連接； 交換工作文件不準(zhǔn)使用個人U盤；

非稅務(wù)工作人員未經(jīng)許可不準(zhǔn)使用內(nèi)部網(wǎng)絡(luò)；

所有工作用機(jī)必須設(shè)置開機(jī)口令，且口令長度不得少于8位； 所有保密設(shè)備必須粘貼保密標(biāo)識；

外網(wǎng)向內(nèi)網(wǎng)復(fù)制數(shù)據(jù)必須通過刻錄光盤單向?qū)搿?/p>

信息安全作為信息時代現(xiàn)代化辦公的保障，是各級單位信息工作的重中之重，如何有效的保障信息安全，將是各級稅務(wù)機(jī)關(guān)長期關(guān)注的問題。

第五篇：信息安全原理及應(yīng)用_調(diào)查報告

安徽工程大學(xué)

對稱密鑰密碼體制、公鑰密碼體制

——設(shè)計思想、應(yīng)用及異同點

（1）對稱密鑰密碼體制的設(shè)計思想（DES）

對稱密鑰密碼體制是一種傳統(tǒng)密碼體制，也稱為私鑰密碼體制。在對稱加密系統(tǒng)中，加密和解密采用相同的密鑰。因為加、解密密鑰相同，需要通信的雙方必須選擇和保存他們共同的密鑰，各方必須信任對方不會將密鑰泄密出去，這樣就可以實現(xiàn)數(shù)據(jù)的機(jī)密性和完整性。

對稱密鑰密碼體制是從傳統(tǒng)的簡單替換發(fā)展而來的。傳統(tǒng)密碼體制所用的加密密鑰和解密密鑰相同，或?qū)嵸|(zhì)上等同（即從一個可以推出另外一個），我們稱其為對稱密鑰、私鑰或單鑰密碼體制。對稱密鑰密碼體制不僅可用于數(shù)據(jù)加密，也可用于消息的認(rèn)證。

按加密模式來分，對稱算法又可分為序列密碼和分組密碼兩大類。序列密碼每次加密一位或一字節(jié)的明文，也稱為流密碼。序列密碼是手工和機(jī)械密碼時代的主流方式。分組密碼將明文分成固定長度的組，用同一密鑰和算法對每一塊加密，輸出也是固定長度的密文。

最有影響的對稱密鑰加密算法是1977年美國國家標(biāo)準(zhǔn)局頒布的DES算法。

其中系統(tǒng)的保密性主要取決于密鑰的安全性，因此必須通過安全可靠的途徑(如信使遞送)將密鑰送至接收端。這種如何將密鑰安全可靠地分配給通信對方，包括密鑰產(chǎn)生、分配、存儲、銷毀等多方面的問題統(tǒng)稱為密鑰管理(Key Management)，這是影響系統(tǒng)安全的關(guān)鍵因素。古典密碼作為密碼學(xué)的淵源，其多種方法充分體現(xiàn)了單鑰加密的思想，典型方法如代碼加密、代替加密、變位加密、一次性密碼薄加密等。

單鑰密碼體制的優(yōu)點是安全性高且加、解密速度快，其缺點是進(jìn)行保密通信之前，雙方必須通過安全信道傳送所用的密鑰，這對于相距較遠(yuǎn)的用戶可能要付出較大的代價，甚至難以實現(xiàn)。例如，在擁有眾多用戶的網(wǎng)絡(luò)環(huán)境中使n個用戶之間相互進(jìn)行保密通信，若使用同一個對稱密鑰，一旦密鑰被破解，整個系統(tǒng)就會崩潰；使用不同的對稱密鑰，則密鑰的個數(shù)幾乎與通信人數(shù)成正比[需要n*(n-1)個密鑰]。由此可見，若采用對稱密鑰，大系統(tǒng)的密鑰管理幾乎不可能實現(xiàn)。

DES算法全稱為Data Encryption Standard，即數(shù)據(jù)加密算法，它是IBM公司于1975年研究成功并公開發(fā)表的。DES算法的入口參數(shù)有三個：Key、Data、Mode。其中Key為8個字節(jié)共64位，是DES算法的工作密鑰；Data也為8個字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有兩種：加密或解密。

DES算法把64位的明文輸入塊變?yōu)?4位的密文輸出塊，它所使用的密鑰也是64位，其算法主要分為兩步：

1．初始置換

其功能是把輸入的64位數(shù)據(jù)塊按位重新組合，并把輸出分為L0、R0兩部分，每部分各長3 2位，其置換規(guī)則為將輸入的第58位換到第一位，第50位換到第2位??依此類推，最后一位是原來的第7位。L0、R0則是換位輸出后的兩部分，L0是輸出的左32位，R0是右32位，例：設(shè)置換前的輸入值為D1D2D3??D64，則經(jīng)過初始置換后的結(jié)果為：L0=D58D50??D8；R0=D57D49??D7。

2．逆置換

經(jīng)過16次迭代運算后，得到L16、R16，將此作為輸入，進(jìn)行逆置換，逆置換正好是初始置換的逆運算，由此即得到密文輸出。

（2）公鑰密碼體制的設(shè)計思想（RSA）

RSA密碼系統(tǒng)是較早提出的一種公開鑰密碼系統(tǒng)。1978年，美國麻省理工學(xué)院(MIT)的Rivest，Shamir和Adleman在題為《獲得數(shù)字簽名和公開鑰密碼系統(tǒng)的方法》的論文中提出了基于數(shù)論的非對稱(公開鑰)密碼體制，稱為RSA密碼體制。RSA是建立在“大整數(shù)的素因子分解是困難問題”基礎(chǔ)上的，是一種分組密碼體制。

非對稱密碼體制也叫公鑰加密技術(shù)，該技術(shù)就是針對私鑰密碼體制的缺陷被提出來的。在公鑰加密系

統(tǒng)中，加密和解密是相對獨立的，加密和解密會使用兩把不同的密鑰，加密密鑰(公開密鑰)向公眾公開，誰都可以使用，解密密鑰(秘密密鑰)只有解密人自己知道，非法使用者根據(jù)公開的加密密鑰無法推算出解密密鑰，顧其可稱為公鑰密碼體制。

采用分組密碼、序列密碼等對稱密碼體制時，加解密雙方所用的密鑰都是秘密的，而且需要定期更換，新的密鑰總是要通過某種秘密渠道分配給使用方，在傳遞的過程中，稍有不慎，就容易泄露。

公鑰密碼加密密鑰通常是公開的，而解密密鑰是秘密的，由用戶自己保存，不需要往返交換和傳遞，大大減少了密鑰泄露的危險性。同時，在網(wǎng)絡(luò)通信中使用對稱密碼體制時，網(wǎng)絡(luò)內(nèi)任何兩個用戶都需要使用互不相同的密鑰，只有這樣，才能保證不被第三方竊聽，因而N個用戶就要使用N(N–1)/2個密鑰。對稱密鑰技術(shù)由于其自身的局限性，無法提供網(wǎng)絡(luò)中的數(shù)字簽名。這是因為數(shù)字簽名是網(wǎng)絡(luò)中表征人或機(jī)構(gòu)的真實性的重要手段，數(shù)字簽名的數(shù)據(jù)需要有惟一性、私有性，而對稱密鑰技術(shù)中的密鑰至少需要在交互雙方之間共享，因此，不滿足惟一性、私有性，無法用做網(wǎng)絡(luò)中的數(shù)字簽名。相比之下，公鑰密碼技術(shù)由于存在一對公鑰和私鑰，私鑰可以表征惟一性和私有性，而且經(jīng)私鑰加密的數(shù)據(jù)只能用與之對應(yīng)的公鑰來驗證，其他人無法仿冒，所以，可以用做網(wǎng)絡(luò)中的數(shù)字簽名服務(wù)。

具體而言，一段消息以發(fā)送方的私鑰加密之后，任何擁有與該私鑰相對應(yīng)的公鑰的人均可將它解密。由于該私鑰只有發(fā)送方擁有，且該私鑰是密藏不公開的，所以，以該私鑰加密的信息可看做發(fā)送方對該信息的簽名，其作用和現(xiàn)實中的手工簽名一樣有效而且具有不可抵賴性。

一種具體的做法是：認(rèn)證服務(wù)器和用戶各持有自己的證書，用戶端將一個隨機(jī)數(shù)用自己的私鑰簽名后和證書一起用服務(wù)器的公鑰加密后傳輸?shù)椒?wù)器；使用服務(wù)器的公鑰加密保證了只有認(rèn)證服務(wù)器才能進(jìn)行解密，使用用戶的密鑰簽名保證了數(shù)據(jù)是由該用戶發(fā)出；服務(wù)器收到用戶端數(shù)據(jù)后，首先用自己的私鑰解密，取出用戶的證書后，使用用戶的公鑰進(jìn)行解密，若成功，則到用戶數(shù)據(jù)庫中檢索該用戶及其權(quán)限信息，將認(rèn)證成功的信息和用戶端傳來的隨機(jī)數(shù)用服務(wù)器的私鑰簽名后，使用用戶的公鑰進(jìn)行加密，然后，傳回給用戶端，用戶端解密后即可得到認(rèn)證成功的信息。

長期以來的日常生活中，對于重要的文件，為了防止對文件的否認(rèn)、偽造、篡改等等的破壞，傳統(tǒng)的方法是在文件上手寫簽名。但是在計算機(jī)系統(tǒng)中無法使用手寫簽名，而代之對應(yīng)的數(shù)字簽名機(jī)制。數(shù)字簽名應(yīng)該能實現(xiàn)手寫簽名的作用，其本質(zhì)特征就是僅能利用簽名者的私有信息產(chǎn)生簽名。因此，當(dāng)它被驗證時，它也能被信任的第三方(如法官)在任一時刻證明只有私有信息的唯一掌握者才能產(chǎn)生此簽名。

由于非對稱密碼體制的特點，對于數(shù)字簽名的實現(xiàn)比在對稱密碼體制下要有效和簡單的多。

現(xiàn)實生活中很多都有應(yīng)用，舉個例子：我們用銀行卡在ATM機(jī)上取款，首先，我們要有一張銀行卡(硬件部分)，其次我們要有密碼(軟件部分)。ATM機(jī)上的操作就是一個應(yīng)用系統(tǒng)，如果缺一部分就無法取到錢，這就是雙因子認(rèn)證的事例。因為系統(tǒng)要求兩部分(軟的、硬的)同時正確的時候才能得到授權(quán)進(jìn)入系統(tǒng)，而這兩部分因為一軟一硬，他人即使得到密碼，因沒有硬件不能使用；或者得到硬件，因為沒有密碼還是無法使用硬件。這樣彌補了“密碼+用戶名”認(rèn)證中，都是純軟的，容易擴(kuò)散，容易被得到的缺點。

密碼理論與技術(shù)主要包括兩部分，即基于數(shù)學(xué)的密碼理論與技術(shù)(包括公鑰密碼、分組密碼、序列密碼、認(rèn)證碼、數(shù)字簽名、Hash函數(shù)、身份識別、密鑰管理、PKI技術(shù)等)和非數(shù)學(xué)的密碼理論與技術(shù)(包括信息隱形，量子密碼，基于生物特征的識別理論與技術(shù))。

RSA算法1978年就出現(xiàn)了，它是第一個既能用于數(shù)據(jù)加密也能用于數(shù)字簽名的算法。它易于理解和操作，也很流行。算法的名字以發(fā)明者的名字命名：Ron Rivest, AdiShamir 和Leonard Adleman。但RSA的安全性一直未能得到理論上的證明。

RSA的安全性依賴于大數(shù)分解。公鑰和私鑰都是兩個大素數(shù)（大于 100個十進(jìn)制位）的函數(shù)。據(jù)猜測，從一個密鑰和密文推斷出明文的難度等同于分解兩個大素數(shù)的積。

密鑰對的產(chǎn)生。選擇兩個大素數(shù)，p 和q。計算： n = p * q

然后隨機(jī)選擇加密密鑰e，要求 e 和(p1)互質(zhì)。最后，利用Euclid 算法計算解密密鑰d, 滿足 e * d = 1(mod(p1))

其中n和d也要互質(zhì)。數(shù)e和n是公鑰，d是私鑰。兩個素數(shù)p和q不再需要，應(yīng)該丟棄，不要讓任

何人知道。

加密信息 m（二進(jìn)制表示）時，首先把m分成等長數(shù)據(jù)塊 m1 ,m2,..., mi，塊長s，其中 2^s <= n, s 盡可能的大。對應(yīng)的密文是： ci = mi^e(mod n)(a)

解密時作如下計算： mi = ci^d(mod n)(b)

RSA 可用于數(shù)字簽名，方案是用(a)式簽名，(b)式驗證。具體操作時考慮到安全性和 m信息量較大等因素，一般是先作 HASH 運算。

RSA算法是第一個能同時用于加密和數(shù)字簽名的算法，也易于理解和操作。RSA是被研究得最廣泛的公鑰算法，從提出到現(xiàn)在已近二十年，經(jīng)歷了各種攻擊的考驗，逐漸為人們接受，普遍認(rèn)為是目前最優(yōu)秀的公鑰方案之一。RSA的安全性依賴于大數(shù)的因子分解，但并沒有從理論上證明破譯RSA的難度與大數(shù)分解難度等價。即RSA的重大缺陷是無法從理論上把握它的保密性能如何，而且密碼學(xué)界多數(shù)人士傾向于因子分解不是NPC問題。

RSA的缺點主要有：A)產(chǎn)生密鑰很麻煩，受到素數(shù)產(chǎn)生技術(shù)的限制，因而難以做到一次一密。B)分組長度太大，為保證安全性，n 至少也要 600 bits以上，使運算代價很高，尤其是速度較慢，較對稱密碼算法慢幾個數(shù)量級；且隨著大數(shù)分解技術(shù)的發(fā)展，這個長度還在增加，不利于數(shù)據(jù)格式的標(biāo)準(zhǔn)化。目前，SET(Secure Electronic Transaction)協(xié)議中要求CA采用2048比特長的密鑰，其他實體使用1024比特的密鑰。

（3）兩種密碼體制的應(yīng)用 加密技術(shù)是一種主動的信息安全防范措施，其原理是利用一定的加密算法，將明文轉(zhuǎn)換成為無意義的密文，阻止非法用戶理解原始數(shù)據(jù)，從而確保數(shù)據(jù)的保密性。明文變?yōu)槊芪牡倪^程稱為加密，由密文還原為明文的過程稱為解密，加密和解密的規(guī)則稱為密碼算法。在加密和解密的過程中，由加密者和解密者使用的加解密可變參數(shù)叫做密鑰。目前，獲得廣泛應(yīng)用的兩種加密技術(shù)是對稱密鑰加密體制和非對稱密鑰加密體制。它們的主要區(qū)別在于所使用的加密和解密的密碼是否相同。

1.對稱密鑰加密體制 對稱密鑰加密，又稱私鑰加密，即信息的發(fā)送方和接收方用一個密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快，適合于對大數(shù)據(jù)量進(jìn)行加密，但密鑰管理困難。使用對稱加密技術(shù)將簡化加密的處理，每個參與方都不必彼此研究和交換專用設(shè)備的加密算法，而是采用相同的加密算法并只交換共享的專用密鑰。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露，那么機(jī)密性和報文完整性就可以通過使用對稱加密方法對機(jī)密信息進(jìn)行加密以及通過隨報文一起發(fā)送報文摘要或報文散列值來實現(xiàn)。

2.非對稱密鑰加密體制 非對稱密鑰加密系統(tǒng)，又稱公鑰密鑰加密。它需要使用一對密鑰來分別完成加密和解密操作，一個公開發(fā)布，即公開密鑰，另一個由用戶自己秘密保存，即私用密鑰。信息發(fā)送者用公開密鑰去加密，而信息接收者則用私用密鑰去解密。公鑰機(jī)制靈活，但加密和解密速度卻比對稱密鑰加密慢得多。在非對稱加密體系中，密鑰被分解為一對。這對密鑰中的任何一把都可作為公開密鑰（加密密鑰）通過非保密方式向他人公開，而另一把則作為私用密鑰（解密密鑰）加以保存。私用密鑰只能由生成密鑰對的貿(mào)易方掌握，公開密鑰可廣泛發(fā)布。該方案實現(xiàn)信息交換的過程是：貿(mào)易方甲生成一對密鑰并將其中的一把作為公開密鑰向其他貿(mào)易方公開；得到該公開密鑰的貿(mào)易方乙使用該密鑰對信息進(jìn)行加密后再發(fā)送給貿(mào)易方甲；貿(mào)易方甲再用自己保存的另一把專用密鑰對加密信息進(jìn)行解密。

公鑰密碼主要用于數(shù)字簽名和密鑰分配。當(dāng)然，數(shù)字簽名和密鑰分配都有自己的研究體系，形成了各自的理論框架。目前數(shù)字簽名的研究內(nèi)容非常豐富，包括普通簽名和特殊簽名。特殊簽名有盲簽名、代理簽名、群簽名、不可否認(rèn)簽名、公平盲簽名、門限簽名、具有消息恢復(fù)功能的簽名等，它與具體應(yīng)用環(huán)境

密切相關(guān)。顯然，數(shù)字簽名的應(yīng)用涉及到法律問題，美國聯(lián)邦政府基于有限域上的離散對數(shù)問題制定了自己的數(shù)字簽名標(biāo)準(zhǔn)(DSS)，部分州已制定了數(shù)字簽名法。密鑰管理中還有一種很重要的技術(shù)就是秘密共享技術(shù)，它是一種分割秘密的技術(shù)，目的是阻止秘密過于集中，自從1979年Shamir提出這種思想以來，秘密共享理論和技術(shù)達(dá)到了空前的發(fā)展和應(yīng)用，特別是其應(yīng)用至今人們?nèi)允株P(guān)注。我國學(xué)者在這些方面也做了一些跟蹤研究，發(fā)表了很多論文，按照X.509標(biāo)準(zhǔn)實現(xiàn)了一些CA。但沒有聽說過哪個部門有制定數(shù)字簽名法的意向。目前人們關(guān)注的是數(shù)字簽名和密鑰分配的具體應(yīng)用以及潛信道的深入研究。

（4）兩種密碼體制的異同點 對稱算法的安全性依賴于密鑰，泄漏密鑰就意味著任何人都能對消息進(jìn)行加密解密。只要通信需要保密，密鑰就必須保密。對稱算法的加密和解密表示為： Ek(M)=C Dk(C)=M

對稱密碼術(shù)的優(yōu)點在于效率高（加／解密速度能達(dá)到數(shù)十兆／秒或更多），算法簡單，系統(tǒng)開銷小，適合加密大量數(shù)據(jù)。

盡管對稱密碼術(shù)有一些很好的特性，但它也存在著明顯的缺陷，包括：

1)進(jìn)行安全通信前需要以安全方式進(jìn)行密鑰交換。這一步驟，在某種情況下是可行的，但在某些情況下會非常困難，甚至無法實現(xiàn)。

2)規(guī)模復(fù)雜。舉例來說，A與B兩人之間的密鑰必須不同于A和C兩人之間的密鑰，否則給B的消息的安全性就會受到威脅。在有1000個用戶的團(tuán)體中，A需要保持至少999個密鑰（更確切的說是1000個，如果她需要留一個密鑰給他自己加密數(shù)據(jù)）。對于該團(tuán)體中的其它用戶，此種倩況同樣存在。這樣，這個團(tuán)體一共需要將近50萬個不同的密鑰！推而廣之，n個用戶的團(tuán)體需要N2/2個不同的密鑰。通過應(yīng)用基于對稱密碼的中心服務(wù)結(jié)構(gòu)，上述問題有所緩解。在這個體系中，團(tuán)體中的任何一個用戶與中心服務(wù)器（通常稱作密鑰分配中心）共享一個密鑰。因而，需要存儲的密鑰數(shù)量基本上和團(tuán)體的人數(shù)差不多，而且中心服務(wù)器也可以為以前互相不認(rèn)識的用戶充當(dāng)“介紹人”。但是，這個與安全密切相關(guān)的中心服務(wù)器必須隨時都是在線的，因為只要服務(wù)器一掉線，用戶間的通信將不可能進(jìn)行。這就意味著中心服務(wù)器是整個通信成敗的關(guān)鍵和受攻擊的焦點，也意味著它還是一個龐大組織通信服務(wù)的“瓶頸”。非對稱密鑰算法是指一個加密算法的加密密鑰和解密密鑰是不一樣的，或者說不能由其中一個密鑰推導(dǎo)出另一個密鑰。加解密時采用的密鑰的差異：從上述對對稱密鑰算法和非對稱密鑰算法的描述中可看出，①對稱密鑰加解密使用的同一個密鑰，或者能從加密密鑰很容易推出解密密鑰；②對稱密鑰算法具有加密處理簡單，加解密速度快，密鑰較短，發(fā)展歷史悠久等特點，非對稱密鑰算法具有加解密速度慢的特點，密鑰尺寸大，發(fā)展歷史較短等特點。