第一篇：信息安全研究熱點綜述

信息安全研究熱點綜述

摘要：本文詳細介紹了信息安全的應用背景，說明了信息安全的至關重要性，并分析了信息安全需求，針對需求結合當前現(xiàn)實對信息安全研究熱點進行綜述，并查閱相關資料得到了最新的信息安全發(fā)展的預測內容。論文關鍵詞：信息安全,需求,研究熱點 信息安全的發(fā)展不能離開網絡的快速成長，其實信息安全的含義就包含網絡安全和信息安全。

隨著全球信息化水平的不斷提高，信息安全的重要性日趨增強。當前信息安全產業(yè)已成為對各國的國家安全、政治穩(wěn)定、經濟發(fā)展、社會生活、健康文化等方方面面的關鍵產業(yè)。信息安全可能會影響個人的工作、生活，甚至會影響國家經濟發(fā)展、社會穩(wěn)定、國防安全。因此，信息安全產業(yè)在整個產業(yè)布局乃至國家戰(zhàn)略格局中具有舉足輕重的地位和作用。盡管如此，當前信息安全的現(xiàn)狀卻不容樂觀。我國新華社曾報道，中國近60%的單位曾發(fā)生過信息安全事件，其中包括國防部等政府部門。中國公安部進行的一項調查顯示，在被調查的 7072家單位中，有 58%曾在 2004 年遭到過攻擊。這些單位包括金融機構和國防、商貿、能源和電信等政府部門。歸結到個人信息即使一張小小的手機卡，如果丟失同樣可能會帶來不可挽回的損失。2008 年曾經在高校流行的信息詐騙，就是有人竊取高校數(shù)據庫信息，造成學生信息外流而導致的短信詐騙、電話詐騙和郵件詐騙事件。

只有努力才會不斷成功，《2008 年第四季度反垃圾郵件狀況調查》結果，自 2008 年第二季度以來，中國網民平均每周收到垃圾郵件的數(shù)

量，保持著下降趨勢。從 18.35 封下降到第三季度的 17.86 封，再從17.86 封減少到第四季度的 17.55 封，這是一年中連續(xù)兩次減少，垃圾郵件治理工作成效顯著。

2008 年美國東海岸連鎖超市(East Coast)的母公司 Hannaford Bros.稱，該超市的用戶數(shù)據庫系統(tǒng)遭到黑客入侵，造成 400 多萬個銀行卡帳戶信息泄露，因此導致了 1800 起與銀行卡有關的欺詐事件。在持卡人認證過程中，有 420 萬個單個的信用卡和借記卡信息泄露，成為迄今為止涉及用戶規(guī)模最大的數(shù)據入侵事件之一。此次信息泄露事件波及美國東部地區(qū)的全部 165 個連鎖店，佛羅里達州的 106 個連鎖店，另外還有部分出售 Hannaford 產品的其它獨立超市連鎖店。

互聯(lián)網安全聯(lián)盟 HostExploit 曝光了目前最大的垃圾郵件組織團伙一—McColo，并且隨后由互聯(lián)網服務提供商對其進行了關閉處理。此舉使得全球互聯(lián)網上的廣告兜售郵件銳減 50%，使得垃圾郵件減少了75%。

因此，信息安全的研究是當前信息行業(yè)的研究重點。在國際上信息安全研究已成體系，20 世紀 70 年代就已經開始標準化。當前有多個國際組織致力于網絡與信息安全方面的研究。隨著信息社會對網絡依賴性的不斷增加以及 911 等突發(fā)事件的出現(xiàn)，以美國為首的各個國家在網絡與信息安全方面都在加速研究。中國也在近幾年取得了不少成績。

信息安全需求 按照國家、用戶、運營商以及其他實體描述信息安全需求。

（1）國家對網絡與信息安全的需求

國家對網絡與信息安全有網絡與應用系統(tǒng)可靠性和生存性的需求、網絡傳播信息可控性要求以及對網絡傳送的信息可知性要求。

網絡與應用系統(tǒng)可靠性和生存性要求：國家要求網絡與應用系統(tǒng)具有必要的可靠性，防范可能的入侵和攻擊并具有必要的信息對抗能力，在攻擊和災難中具有應急通信能力，保障人民群眾通信自由的需求以及重要信息系統(tǒng)持續(xù)可靠。

（2）用戶（企業(yè)用戶，個人用戶）對網絡與信息安全需求 用戶包括企業(yè)用戶和個人用戶對網絡與信息安全有通信內容機密性要求，用戶信息隱私性要求，為了與應用系統(tǒng)可信任要求以及網絡與信息系統(tǒng)可用性要求。通信內容機密性要求：用戶希望通信的內容應當通過加密或者隔離等手段，除國家授權機關以外只有通信對端能夠獲取并使用。用戶信息隱私性要求：用戶希望用戶留在網絡上的個人信息、網絡行為以及行為習慣等內容不能被非授權第三方獲取。網絡與應用系統(tǒng)可信任要求：用戶希望網絡能確認通信對端是希望與之通信的對端，應用系統(tǒng)應當有能力并有義務承擔相應的責任。網絡與應用系統(tǒng)可用性要求：用戶希望網絡與應用系統(tǒng)達到所承諾的可用性，網絡/應用系統(tǒng)不應具有傳播病毒、發(fā)送垃圾信息和傳播其他有害信息等行為。

（3）運營商（ISP、ICP 等）對網絡與信息安全需求 運營商對未來與信息安全的要求包括滿足國家安全需求、用戶安全需求以及自身對網絡與應用系統(tǒng)的可管理可運營需求。

滿足國家安全需求：運營商滿足國家安全需求包括應當提供合法監(jiān)聽

點、對內容作溯源、控制特定信息的傳送傳播，提供必要的可用性等。

滿足用戶安全需求：運營商滿足用戶安全需求包括必要的認證和加密，有效的業(yè)務架構和商務模式保證雙方有能力并有義務承擔相應的責任效的業(yè)務架構和商務模式保證雙方有能力并有義務承擔相應的責任，提供必要的可用性等。

網絡和應用系統(tǒng)可管理可運營要求：運營商要求物力與系統(tǒng)資源只能由授權用戶使用；資源由授權管理者調度；安全程度可評估可預警；風險可控；有效的商務模式保證用戶和其他合作方實現(xiàn)承諾。

信息安全研究熱點 為滿足上述信息安全需求，部分熱點技術應用和研究現(xiàn)狀如下所述。

（1）基礎類 機密性、完整性、不可否認性算法：算法研究是基礎研究，基本屬于數(shù)學范疇，近年來沒有革命性的新算法廣泛應用。隨著計算能力的不斷增強，機密性、完整性不可否認性算法等方面研究需要進一步加強。

特征識別模式匹配：為有效避免垃圾信息、病毒以及其他有害信息通過網絡擴展，必須進一步研究特征識別以及模式匹配等技術。當前對網址、關鍵字過濾有一定進展，在圖片、影片、聲音等方面有待進一步研究和應用。

安全芯片、操作系統(tǒng)、設備：安全相關的芯片、器件、軟件、操作系統(tǒng)、專用設備等都是網絡與信息安全的基礎。當前上述內容在國際上相對成熟，除非有重大突破，當前重點在于綜合應用。

安全體系理論研究：安全體系結構理論主要研究如何利用形式化的數(shù)學描述和分析方法建立信息系統(tǒng)的安全體系結構模型。當前國際上進展較快，已成體系。

（2）應用類 認證鑒權技術及實施：通過一定的協(xié)議流程和算法驗證持有特定密鑰的用戶是否是所聲稱的特定用戶，擁有什么樣的權限。近年來，鑒別密鑰有所發(fā)展，當前ITU等組織正在研究生物特征鑒別。

海量信息處理：當前網絡隨著通信需求的增加以及光通信等技術的飛速發(fā)展，在合法監(jiān)聽、內容檢測、防范入侵和攻擊中，需要實時或者短時間內處理大量信息。因此海量信息處理，包括深度協(xié)議感知、線速過濾、模式匹配、海量存儲等技術都在研究中，并且是近期內的重要研究方向。

數(shù)字水印等其他安全相關技術：隨需求的不斷出現(xiàn)，新的安全技術將被研究和應用。

（3）綜合類 可靠性技術：可靠性技術主要通過器件、設備、協(xié)議以及網絡組織使網絡/應用系統(tǒng)能夠持續(xù)不間斷提供服務。

第二篇：智能電網信息安全研究

智能電網信息安全研究

摘要：智能電網是一種高度自動化、數(shù)字化、信息化、互動化的電網。作為物聯(lián)網時代最重要的應用之一，智能電網將給人們的工作和生活方式帶來極大的變革，但是智能電網的開放性和包容性也決定了它不可避免地存在信息安全隱患。本文首先對傳統(tǒng)電網信息安全進行分析，給出了防范方案，接著又討論了智能電網可能面臨的信息安全問題，它包括物理安全、網絡安全、數(shù)據安全及備份恢復等方面，并提出了解決信息安全應注意的四個原則，最后從分級分域、邊界安全、網絡環(huán)境安全等幾方面提出了防護方案。

關鍵詞：智能電網 信息安全 防護方案 1 現(xiàn)有電網信息安全分析與防范

電力系統(tǒng)信息安全是電力系統(tǒng)安全運行和對社會可靠供電的保障，是一項涉及電網調度自動化、繼電保護及安全裝置、廠、站自動化、配電網自動化、電力負荷控制、電力市場交易、電力營銷、信息網絡系統(tǒng)等有關生產、經營和管理方面的多領域、復雜的大型系統(tǒng)工程。電力信息化的發(fā)展使電力生產、經營很多環(huán)節(jié)完全依賴電力信息網的正常運行與否，如電網調度自動化系統(tǒng)對無人值班變電所的運行影響，用電營銷信息系統(tǒng)對電費回收的影響等。1.1 電力信息網安全現(xiàn)狀分析

結合電力生產特點，從電力信息系統(tǒng)和電力運行實時控制系統(tǒng)兩個方面，分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經初步建立其安全體系，將電力信息網絡和電力運行實時控制網絡進行隔離，網絡間設置了防火墻，購買了網絡防病毒軟件，有了數(shù)據備份設備。但電力信息網絡的安全是不平衡的，很多單位沒有網絡防火墻，沒有數(shù)據備份的觀念，更沒有對網絡安全做統(tǒng)一、長遠的規(guī)劃，網絡中有許多的安全隱患。1.2 電力信息網安全風險分析

(1)計算機及信息網絡安全意識有待提高 由于近十幾年計算機信息技術高速發(fā)展，計算機信息安全策略和技術也取得了非常大的進展。電力系統(tǒng)各種計算機應用對信息安全的認識距離實際需要差距較大，對新出現(xiàn)的信息安全問題認識不足。

(2)急需建立同電力行業(yè)特點相適應的計算機信息安全體系近幾年來，計算機在整個電力系統(tǒng)的生產、經營、管理等方面應用越來越多。但是，在計算機安全策略、安全技術、和安全措施投入較少。所以，為保證電力系統(tǒng)安全、穩(wěn)定、高效運行，應建立一套結合電力計算機應用特點的計算機信息安全體系。

(3)缺乏統(tǒng)一的信息安全管理規(guī)范

電力系統(tǒng)雖然對計算機安全一直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導整個電力系統(tǒng)計算機及信息網絡系統(tǒng)安全運行的管理規(guī)范。

(4)廣域網面臨巨大的外部安全攻擊

電力系統(tǒng)較早的計算機系統(tǒng)一般都是內部的局域網，并沒有同外界連接。所以，早期的計算機安全只是防止意外破壞或者內部人員的安全控制就可以了，但現(xiàn)在就必須要面對國際互聯(lián)網上各種安全攻擊，如網絡病毒和電腦“黑客”等。

(5)數(shù)據庫數(shù)據和文件的明文存儲

電力系統(tǒng)計算機網絡中的信息一般存儲在由數(shù)據庫管理系統(tǒng)維護的數(shù)據庫中或操作系統(tǒng)文件中。這些以明文形式存儲的信息存在泄漏的可能，因為拿到存儲介質的人可以讀出這些信息；黑客可以繞過操作系統(tǒng)、數(shù)據庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。

(6)信息的明文傳輸

現(xiàn)代應用系統(tǒng)一般采用C/S（客戶/服務器）或B/S（瀏覽器/服務器）結構，都在網絡上運行，所處理的信息也必須在網絡主機間頻繁傳輸。在電力行業(yè)的計算機網絡系統(tǒng)中，信息傳輸基本上是明文方式。偶有采用SSL（安全套接字層）等加密傳輸?shù)?，但由于外國安全系統(tǒng)出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護的信息在網絡上傳輸，不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。

(7)弱身份認證

電力行業(yè)應用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設計和開發(fā)，用戶身份認證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應用系統(tǒng)還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據庫或文件中，這種脆弱的安全控制措施在操作人員計算機應用水平不斷提高，信息敏感性不斷增強的今天不能再用了。

(8)沒有完善的數(shù)據備份措施

很多單位只是選擇一臺工作站備份一下數(shù)據就了事，沒有完善的數(shù)據備份設備，沒有數(shù)據備份策略，沒有數(shù)據備份的管理制度，沒有對數(shù)據備份的介質妥善保管。

1.3 電力信息網安全防護方案

(1)加強電力信息網安全教育

安全意識和相關技能的教育是企業(yè)安全管理中重要的內容，其實施力度將直接關系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應當對企業(yè)各級管理人員、用戶、技術人員進行安全培訓。所有的企業(yè)人員必須了解并嚴格執(zhí)行企業(yè)安全策略。在安全教育具體實施過程中應該有一定的層次性和普遍性。當然，對于特定的人員要進行特定的安全培訓。安全教育應當定期的、持續(xù)的進行。在企業(yè)中建立安全文化并容納到整個企業(yè)文化體系中才是最根本的解決辦法。

(2)構建電力信息網安全防護框架

根據電力企業(yè)的特點，信息安全按其業(yè)務性質一般可分為四種：一種為電網運行實時控制系統(tǒng)，第二種為電力營銷系統(tǒng)，電量計費系統(tǒng)，負荷管理系統(tǒng)，第三種為支持企業(yè)經營、管理、運營的管理信息系統(tǒng)，第四種為不直接參與電力企業(yè)過程控制、生產管理的各類經營、開發(fā)、采購、銷售等多種經營公司。針對電力信息網業(yè)務的這種的層次結構，從電力信息網安全需求上進行分析，提出不同層次與安全強度的網絡信息安全防護框架即分層、分區(qū)的安全防護方案。

第一是分層管理。根據電力信息網共分為四級網的方式，每一級為一層，層間使用網絡防火墻進行網絡隔離。

第二是分區(qū)管理。根據電力企業(yè)信息安全的特點，分析各相關業(yè)務系統(tǒng)的重要程度和數(shù)據流程、目前狀況和安全要求，將電力企業(yè)信息系統(tǒng)分為四個安全區(qū)：實時控制區(qū)、非控制生產區(qū)、生產管理區(qū)和管理信息區(qū)。區(qū)間使用網絡物理隔離設備進行網絡隔離，對實時控制區(qū)等關鍵業(yè)務實施重點防護，并采用不同強度的安全隔離設備使各安全區(qū)中的業(yè)務系統(tǒng)得到有效保護。1.4 加強電力信息網安全防護技術措施

(1)網絡防火墻

防火墻是企業(yè)局域網到外網的唯一出口，這里的外網包括到不同層次的電力網、其他信息網如政府網和銀行網絡、internet，所有的訪問都將通過防火墻進行，不允許任何繞過防火墻的連接。DMZ?；饏^(qū)放置了企業(yè)對外提供各項服務的服務器，即能夠保證提供正常的服務，又能夠有效地保護服務器不受攻擊。要正確設置防火墻的訪問策略，遵循“缺省全部關閉，按需求開通的原則”，拒絕除明確許可外的任何服務，也即是拒絕一切未予準許的服務。

(2)物理隔離裝置

主要用于電力信息網的不同區(qū)之間的隔離。物理隔離裝置實際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網絡安全產品。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術，具有高可靠性、高識別率、規(guī)則更新迅速等特點。系統(tǒng)具有強大的功能、方便友好的管理機制，可廣泛應用于電力行業(yè)各單位。所選擇的入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊，中心數(shù)據庫應放置在DMZ區(qū)，通過在網絡中不同的位置放置比如內網、DMZ區(qū)網絡引擎，可與中心數(shù)據庫進行通訊，獲得安全策略，存儲警報信息，并針對入侵啟動相應的動作。管理員可在網絡中的多個位置訪問網絡引擎，對入侵檢測系統(tǒng)進行監(jiān)控和管理。

(4)網絡隱患掃描系統(tǒng)

網絡隱患掃描系統(tǒng)能夠掃描網絡范圍內的所有支持TCP／IP協(xié)議的設備，可以從網絡中不同的位置對網絡設備進行掃描。掃描結束后生成詳細的安全評估報告,采用報表和圖形的形式對掃描結果進行分析，可以方便直觀地對用戶進行安全性能評估和檢查。

(5)網絡防病毒

為保護整個電力信息網絡免受病毒侵害，保證網絡系統(tǒng)中信息的可用性，應構建從主機到服務器的完善的防病毒體系。網絡防毒系統(tǒng)可以采用C/S模式，在網絡防毒服務器中安裝殺毒軟件服務器端程序，以服務器作為網絡的核心，通過派發(fā)的形式對整個網絡部署查、殺毒，服務器通過Internet利用LiveUpdate（在線升級）功能，從免疫中心實時獲取最新的病毒碼信息，及時更新病毒代碼庫。

(6)數(shù)據加密及傳輸安全

對與文件安全，通過文件加密、信息摘要和訪問控制等安全措施，來實現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸螅崿F(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進行保護，實現(xiàn)數(shù)據在通信中的保密、完整和不可抵賴性安全要求。對遠程接入安全，通過VPN技術，提高時的信息（如電子公文，MAIL等等）在傳輸過程中的保密性和安全性。

(7)數(shù)據備份

對于企業(yè)來說，最珍貴的不是計算機、服務器、交換機和路由器等硬件設備，而是存儲在存儲介質中的數(shù)據信息。因此對于一個信息管理系統(tǒng)來說，數(shù)據備份和容錯方案是必不可少的。因此必須建立集中和分散相結合的數(shù)據備份設施以及切合實際的數(shù)據備份策略。

(8)可靠安全審計

通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外，還可以使用象USB KEY等硬件的密碼認證，更可以采用二者相結合的方式。

(9)數(shù)據庫安全

通過數(shù)據存儲加密、完整性檢驗和訪問控制來保證數(shù)據庫數(shù)據的機密和完整性，并實現(xiàn)數(shù)據庫數(shù)據的訪問安全。2 智能電網發(fā)展帶來的信息安全風險

智能電網的安全問題越來越得到關注，雖然歐美已經提出了一些安全策略，但還沒有形成統(tǒng)一的智能電網安全標準規(guī)范體系。缺乏一套完整的安全標準規(guī)范體系，智能電網今后的安全性將無法得到保障這也是智能電網將會面臨的一個非常嚴峻的問題。智能電網的建設在為電力企業(yè)以及用戶帶來效益和實惠的同時,也帶來新的安全風險。,2.1物理安全

智能電網的物理方面的安全是指智能電網系統(tǒng)運營所必需的各種硬件設備的安全。主要包括防止硬件設備被物理非法進入、防止未經過授權的物理訪問和機房建設嚴格遵循國家標準等方面。這些硬件設備主要包括智能流量計、測量儀器等各類型傳感器，通信系統(tǒng)中的各種網絡設備、計算機以及存儲數(shù)據的各種存儲介質。物理安全的防護目標是防止有人通過破壞業(yè)務系統(tǒng)的外部物理特性以達到使系統(tǒng)停止服務的目的，或防止有人通過物理接觸方式對系統(tǒng)進行入侵。要做到在信息安全事件發(fā)生前和發(fā)生后能夠執(zhí)行對設備物理接觸行為的審核和追查。2.2 網絡安全

網絡方面的安全主要指智能電網應具有較高的可靠性，該通信網絡必須具備比較完善的二次系統(tǒng)安全防護方案。隨著智能電網規(guī)模的擴大互聯(lián)大電網的形成，電力系統(tǒng)結構的復雜性將顯著增加電網的安全穩(wěn)定性與脆弱性問題將會越顯突出。同時復雜度的增加，將導致接口數(shù)量激增、電力子系統(tǒng)之間的稠合度更高，因此很難在系統(tǒng)內部進行安全域的劃分這使得安全防護變得尤為復雜。可能出現(xiàn)的風險隱患如下：

（1）網絡環(huán)境更加復雜，攻擊手段智能化

智能電網的建設，信息集成度更高，網絡環(huán)境更加復雜，病毒、黑客的攻擊規(guī)模與頻繁度會越來越高此外隨著很多新的信息通信技術的采用，比如WIFI、WCDMA、3G等，它們在為智能電網的生產、管理、運行帶來支撐的同時，也會將新的信息安全風險引人到智能電網的各個環(huán)節(jié)為了提高數(shù)據的傳輸效率，智能電網可能會使用公共互聯(lián)網來傳輸重要數(shù)據，這也將會對智能電網的安全穩(wěn)定運行造成潛在的威脅，甚至可能會造成電網運行的重大事故。不安全的智能網絡技術將會給黑客提供他們所附屬的不安全網絡的快速通道。這都將會給電力系統(tǒng)帶來嚴峻考驗。

（2）用戶的安全威脅

未來用戶和電網之間將會出現(xiàn)更加廣泛的聯(lián)系未來用戶和電網之間將會出現(xiàn)更加廣泛的聯(lián)系，實現(xiàn)信息和電能的雙向互動?；贏MI系統(tǒng)，用戶側的智能設備（比如智能電器、插拔式電動車等）都將直接連到電力系統(tǒng)。這不可避免地給用戶帶來安全隱患。一方面用戶與電力公司之間的信息交互涉及到公共互聯(lián)網用戶的隱私將會受到威脅；另一方面家用的智能設備充分暴露在電力系統(tǒng)中，易受到黑客的攻擊。因此智能電網中端到端的安全就顯得非常關鍵。

（3）智能終端的安全漏洞

隨著大量智能可編程設備的接入，已實現(xiàn)對電網運行狀態(tài)實時監(jiān)控進行故障定位以及故障修復等，從而提高電網系統(tǒng)的效率和可靠性。這些智能設備一般都可以支持遠程訪問, 比如遠程斷開連接、軟件更新升級等。這將會帶來額外的安全風險，利用某些軟件漏，黑客可以人侵這些智能終端，操縱和關閉某些功能，, 暴露用戶的使用記錄,甚至可以通過人侵單點來控制局部電力系統(tǒng)。因此這些智能終端可能會成為智能電網內新的攻擊點。面對更加復雜的接人環(huán)境、靈活多樣 的接入方式，數(shù)量龐大的智能接人終端對信息的安全防護提出新的要求。2.3 數(shù)據安全及備份恢復

在智能電網中，數(shù)據安全的含義有兩點：其一，數(shù)據本身的安全。即采用密碼技術對數(shù)據進行保護，如數(shù)據加密、數(shù)據完整性保護、雙向強身份認證等。其二，數(shù)據防護的安全，即采用信息存儲手段對數(shù)據進行主動防護，如通過磁盤陣列、數(shù)據備份、異地容災以及云存儲等手段保證數(shù)據的安全。在智能電網中，必須確保雙向傳送的數(shù)據安全，即把數(shù)據的正確性、保密性、防復制、防篡改、防抵賴作為信息安全的關鍵指標。對整個數(shù)據安全認證證書認證系統(tǒng)數(shù)據庫和密鑰管理中心數(shù)據庫進行完全備份。且對數(shù)據庫的備份和恢復規(guī)定只能由系統(tǒng)管理員完成。對于經常變化的動態(tài)數(shù)據應每天做備份，備份為每日覆蓋。對于不常變化的靜態(tài)或準靜態(tài)數(shù)據，可每星期進行一次備份。具體備份時間根據證書認證系統(tǒng)機構的政策來決定。同時對數(shù)據庫中存儲的密鑰信息、用戶的加密密鑰信息、關鍵配置信息、用戶證書的相關信息等關鍵、敏感信息采用高強度的加密方式進行存儲。解決智能電網信息安全應注意的四個原則 3.1系統(tǒng)分級原則

智能電網的信息系統(tǒng)，將以實現(xiàn)等級保護為基本出發(fā)點進行安全防護體系建設，依據系統(tǒng)定級情況進行安全域劃分，并參照國家信息安全管理部門、國家電網公司和電監(jiān)會的安全要求進行防護措施設計。信息系統(tǒng)包括電力二次系統(tǒng)和管理信息系統(tǒng)兩個大類。電力二次系統(tǒng)包括能量管理系統(tǒng)、變電站自動化系統(tǒng)等；管理信息系統(tǒng)包括企業(yè)門戶, 財務、營銷、物資管理和人力資源、安全生產等系統(tǒng)。根據系統(tǒng)的重要性可分為2級、3級、4級系統(tǒng)，重要性依次提升。所有2級系統(tǒng)可以歸為一個安全域，3級以上系統(tǒng)需要單獨成域。對智能電網信息系統(tǒng)分級，將提高電網抗擊風險的能力，有效地維護智能電網安全可靠的運行。3.2防護分域原則

劃分安全域是構建智能電網信息安全網絡的基礎，具體可劃分為網絡核心區(qū)域、核心服務器區(qū)域、桌面辦公區(qū)域、分支機構區(qū)域、互聯(lián)機構區(qū)域、測試服務器區(qū)域和安全設備區(qū)域。網絡核心區(qū)域是電網信息安全網絡的心臟，它負責全網的路由交換以及和不同區(qū)域的邊界隔離。這個區(qū)域一般包括核心路由設備、核心交換設備、核心防火墻以及主動防攻擊和流量控制設備等。3.3積極管控原則

信息安全網絡的建設并沒有隨著分區(qū)防御的建設而結束，智能電網的建設對整體信息網絡的監(jiān)控和控制以及對安全網絡提出了更高的要求，這就是智能電網信息系統(tǒng)要求的積極管控原則。智能電網安全設備區(qū)域包括網絡管控的必要工具，具體為部署在安全設備區(qū)域中的網管平臺、日志分析系統(tǒng)、攻擊分析報警系統(tǒng)、安全審計系統(tǒng)等一系列系統(tǒng)。3.4充分災備原則

在近期自然災害和黑客攻擊頻發(fā)的環(huán)境下，充分災備原則已經逐漸被電網各級管理人員所重視。隨著國家電網公司智能電網的建設和信息化工作的大力推進，信息系統(tǒng)的安全在公司生產、經營和管理工作中的作用日益凸顯，電網信息系統(tǒng)及其數(shù)據信息已成為公司的重要資源，公司各單位對建設容災中心的需求也日益強烈。智能電網的安全解決方案

根據威脅分析、安全策略中提出的基本要求和安全目標，在整體保障框架的指導下，我們就具體的安全技術措施和安全管理措施設計安全解決方案，以滿足相應等級的安全保護需求。4.1分級分域

安全域足指同一環(huán)境內有相同的安全保護需求、相互信任、并具有相同的控制策略的邏輯區(qū)域。我們對信息內外網以設置邏輯強隔離設備的物理方式進行安全隔離，并對信息內外網分別進行安全域劃分?！缎畔踩燃壉Ｗo管理辦法》及國家信息安全監(jiān)管部門對三級系統(tǒng)安全保障強度的要求足要高于二級系統(tǒng)。因此，在對信息系統(tǒng)的安全域進行劃分時，等級保護要求較高的各二級系統(tǒng)劃分為獨立的安全域，以實現(xiàn)各二級系統(tǒng)間，二級系統(tǒng)與其它系統(tǒng)間的獨立安全防護，同吋也為集集團公司及外部監(jiān)管機構對于二級系統(tǒng)的安全監(jiān)管提供便利。報據“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨立分域”分域方法劃分安全域后，信息內網安全域分為：

(1)營銷管理系統(tǒng)域。基于營銷管現(xiàn)系統(tǒng)的重要性及目前各單位的安全建設現(xiàn)狀,按等級保護二級要求進行安全防護建設。

(2)ERP系統(tǒng)域。由于“SG186”規(guī)劃中財務管押系統(tǒng)將最終以模塊的形式整合于ERP系統(tǒng)中,因此ERP系統(tǒng)按財務管理系統(tǒng)所屬的等級保護二級進行安全建設。

(3)一級系統(tǒng)域。所有一級系統(tǒng)統(tǒng)一部署于—級系統(tǒng)域中進行安全防護建設。(4)內網桌面終端域。4.2 邊界安全防護

邊界安全防護關注如何對進出該邊界的數(shù)據流進行有效的檢測和控制。有效的檢測機制包括基于網絡的入侵檢測(IDS)，在網絡邊界處對惡意代碼進行檢測和清除，以及對進出網絡的信息內容進行過濾。由此實現(xiàn)對應用層HTTP、FTP、TELNET、SMTP、P0P3等協(xié)辦議命令級的控制以及邊界的內訪問過濾，并限制網絡最大流量數(shù)及網絡連接數(shù)。有效的控制措施包括應能根據會話狀態(tài)信息為數(shù)據流提供明確的允許、據絕訪問的能力，控制力度為端口級，同時按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進行資源訪問，控制力度為單個用戶。網絡訪問控制、入侵防護以及內容過濾可以使用防火墻、IPS、邊界安全網關等來實現(xiàn)上述功能要求。進行邊界安全防護的首要任務是明確安全邊界，各個區(qū)域的訪問控制要通過防火墻來實現(xiàn)。4.3網絡環(huán)境安全防護

網絡環(huán)境安全防護對象包括公司全網網絡和路由器、防火墻、交換機等基礎網絡和安全設備。對于國家電網公司各單位網絡互聯(lián)所涉及的網絡安全問題，將從網絡設備安全防護的角度進行考慮，涉及到二級與三系統(tǒng)間共用的網絡設備、安全設備按二級要求就高防護。網絡設備安全色括在公司內部支持基礎網絡和業(yè)務系統(tǒng)運行的網關設備、交換設備、安全設備等的安全防護，對于國家電網公司為各域均提供網絡支撐服務的設備，按滿足等級保護二級基本要求進行安全防護。

(1)結構安全

要保證主要網絡設備的業(yè)務處理能力具備冗余空間,滿足業(yè)務高峰期需要,保證接入網絡和核心網絡的帶寬滿足業(yè)務高峰期需要,提供關鍵網絡設備、通信線路和數(shù)據處理系統(tǒng)的硬件冗余,因此,公司的核心設備以及主要鏈路均要達到雙機熱備用和鏈路冗余,主要鏈路需設置雙鏈路。例如,內網的核心交換機采用雙核(CISCO 6509),內網的雙核交換機采用雙線路鏈接營銷系統(tǒng)域雙核交換,內網的雙核心采用雙鏈路與服務器區(qū)匯聚交換設備相連。同時,各個設備的性能也要滿足業(yè)務高峰期的要求。

(2)安全接入控制

基于網絡設備的準入控制目前主要依賴如802.1X等控制協(xié)議,因此,可依托聯(lián)軟認證系統(tǒng)在全網實現(xiàn)802.1X控制。能夠控制到非注冊主機無法正常使用網絡,同時利用北信源桌面管理系統(tǒng)實現(xiàn)移動存儲管理和非法外聯(lián)等管理。

(3)設備安全管理

《國家電網公司公SG186工程信息系統(tǒng)安全等級保護驗收標準(試行)》要求：網絡中所有網絡設備需要開啟SSH。對管理的數(shù)據流進行加密；其他安全設備如人融信網絡衛(wèi)士防火墻管理控制臺默認使用SSL加密方式傳輸數(shù)據;啟明星辰人清入侵防御系統(tǒng)管珅.默認采用加密方式傳輸。DPTECHIPS、綠盟漏洞掃描、漢景上網行為管理等均利用https方式進行登陸管理。

對登錄網絡設備的用戶進行身份鑒別,對網絡設備的管理員登錄地址行限制。

口令必須具有一定強度、長度和復雜度并定期更換。長度不得小于8位字符串,要求是字母和數(shù)字或特殊字符的混合,用戶名和口令禁止相同,所有的設備口令均符合要求設定較為復雜的Community控制字段,不使用Public、Private等默認字段。

口令要及時更新,要建立定期修改制度。其中系統(tǒng)管理員口令修改間隔不得超過3個月,并且不得重復使用前3次以內的口令。用戶登錄事件要有記錄和審計,同時限制同一用戶連續(xù)失敗登錄次數(shù),一般不超過3次。

(4)安全弱點掃描

網絡中部署綠盟極光漏洞掃描系統(tǒng),定期對系統(tǒng)、網絡設備、應用及數(shù)據庫進行掃描,及時發(fā)現(xiàn)系統(tǒng)可能存在的漏洞,防止攻擊者利用。

(5)安全事件審計

設定網絡設備日志輸出至專門的內網審計設備。(6)配置文件備份

重要網絡設備及安全設備的配置均分兩份存放于網絡管理人員A、B角色個人主機上,保證在問題發(fā)生時能夠快速恢復。

(7)網絡業(yè)務信息流安全防護

信息流防護主要通過IPSEC等鏈路加密方式實現(xiàn),防止網間通訊存在的數(shù)據竊取修改等問題,具體可使用防火墻中VPN功能實現(xiàn)。針對省市縱向網絡的業(yè)務信息流,采用基于MPLS VPN的方式進行業(yè)務數(shù)據流劃分。4.4主機與系統(tǒng)

應用服務器承載著公司的應用系統(tǒng)及業(yè)務數(shù)據,對應用服務器的安全應當從操作系統(tǒng)安全和數(shù)據庫安全兩個層面進行設計:(1)操作系統(tǒng)安全

操作系統(tǒng)足承載業(yè)務應用、數(shù)據庫應用的基礎載體,足業(yè)務應用安全的主要防線,一旦操作系統(tǒng)的安全性出現(xiàn)問題,將對業(yè)務系統(tǒng)及業(yè)務數(shù)據安全造成嚴重威脅,關于操作系統(tǒng)安全,主要通過如下安全措施完成：

操作系統(tǒng)基礎防護：服務器采用一定的安全措施,主要包括補丁管理、網絡防病毒系統(tǒng)部署、定期漏洞掃描和安全加固等。針對系統(tǒng)的安全加固,制定了相關要求,并針對Windows、Unix(AIX、Solaris、HP-UX、linux)等系統(tǒng)制定安全加固手冊；

身份鑒別：通過口令策略配置加強其強壯性,并且口令必須具有一定強度、長度和復雜度并定期更換,長度不得小于8位字符串,且要求是字母和數(shù)字或特殊字符的混合,禁止用戶名和口令相同。個人計算機必須設置開機口令和操作系統(tǒng)管理員口令,并開啟屏幕保護中的密碼保護功能；

訪問控制：啟用訪問控制功能,依據安全策略控制用戶對資源的訪問；安全審計：開啟服務器日志審計功能,將系統(tǒng)的日志統(tǒng)一發(fā)送到網康內網審計設備上。Windows服務器Event Log無法直接進行syslog輸出,需借助安全管理平臺的Windows桌面日志Agent實現(xiàn)；

入侵防范：在服務器上僅安裝需要的應用程序,關閉業(yè)務應用正常運行所不需要的服務和端口,在確保系統(tǒng)穩(wěn)定運行的基礎上,保持操作系統(tǒng)補丁及時得到更新；

惡意代碼防范：在內外網的所有系統(tǒng)中均安裝防病毒軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫,在信息內網通過手動方式導入并進行分發(fā)。資源控制通過安全管押平臺部署,可實現(xiàn)可主機的資源監(jiān)控,了解CPU、硬盤、內存、網絡等資源的使用狀況,服務水平降低到預定的最小值應可進行報警并采取措施。系統(tǒng)備份制定系統(tǒng)備份計劃,實現(xiàn)定期對操作系統(tǒng)及運行于操作系統(tǒng)之上的業(yè)務應用系統(tǒng)、數(shù)據庫系統(tǒng)程序進行備份;定期或在操作系統(tǒng)環(huán)境、數(shù)據庫、應用系統(tǒng)發(fā)生變更時進行備份恢復測試。

(2)數(shù)據庫安全包括：

身份鑒別：使用用戶名+靜態(tài)口令認證方式的數(shù)據庫系統(tǒng)。對不同操作用戶,設置不同權限,以數(shù)據庫不同用戶進行操作。

訪問控制：設置系統(tǒng)安全策略,分配權限嚴格控制用戶資源訪問權限。安全審計：安全審計依靠網康內網審計系統(tǒng)實現(xiàn)。網康上網行為管理是一款專業(yè)的硬件上網行為管理設備,可以提供專業(yè)的用戶管理、應用控制、網頁過濾、內容審計、流量管理和行為分析等功能。依靠這一設備的功能,可以有效增

強網絡行為的管理。入侵防范：數(shù)據庫系統(tǒng)要關閉不需要的服務,并保持數(shù)據庫系統(tǒng)補r及時得到更新。

（3）桌面管理

企業(yè)級用戶的員工每天在使用個人PC、筆記本電腦等終端設備進行辦公。由于終端設備流動性大、位置分散、數(shù)量眾多、難于管理,因此除了需要安裝防病毒軟件外,還需要進行終端級的防火墻控制、入侵檢測、補丁管理,以更好地保障桌面終端的安全。有效地保障個人辦公桌面終端的安全，也在很大程度上也降低了整個企業(yè)信息系統(tǒng)所面臨的安全風險。公司桌面終端分為內網桌面終端與外網桌面終端,內網桌面終端用于信息內網的業(yè)務操作及信息處理,外網桌面終端用于外網信息訪問。4.5應用系統(tǒng)防護

保障應用系統(tǒng)的安全性,需要對應用系統(tǒng)進行如下操作,這里重點防護—級系統(tǒng)域中的應用系統(tǒng)。（1）應用系統(tǒng)安全

應用系統(tǒng)進行安全加固：參照廠商提供的安全加固列表,對通用應用系統(tǒng)進行加固,如Oracle、Notes、Apache等。

應用系統(tǒng)鏈路應部署入侵防御設備進行定期漏洞掃描。己部署漏洞掃描產品定期對應用系統(tǒng)進行檢測。

（2）身份認證機制

應用系統(tǒng)應當提供用戶登陸身份認證功能，采用用戶名/口令進行認證時,應當對口令長度、復雜度、生存周期進行強制要求，系統(tǒng)應提供用戶身份標識唯一和鑒別信息復雜度檢查功能,禁止口令在系統(tǒng)中以明文形式存儲；系統(tǒng)應當提供制定用戶登錄錯誤鎖定、會話超時退出等安全策略的功能。

用戶權限及訪問控制：要對權限的賦予和變更等制定嚴格的審核、批準、操作流程,要求權限變動經審核批準后方可執(zhí)行或生效，依據權限最小化原則對用戶賦予適當?shù)臋嘞?，?zhí)行角色分離,禁止多人共用賬號，并定期進行權限復核。應用系統(tǒng)采用訪問控制功能,制定安全策略以管理訪問相關主體、客體及訪問類型、訪問權限。

應用系統(tǒng)審計：應用系統(tǒng)本身幵發(fā)時需要實現(xiàn)系統(tǒng)審計能力,如用戶登錄時間、地點(IP)、操作等；系統(tǒng)日志應輸出至日志審計平臺。

（3）數(shù)據存儲保密

提供本地數(shù)據備份與恢復功能,數(shù)據備份至少每人進行一次,備份介質應當場外存放;當在環(huán)境發(fā)生變更時或定期進行備份恢復測試,以保證所備份數(shù)據的可恢復;提供異地數(shù)據備份功能,利用通信網絡將關鍵數(shù)據定時批量傳送至備用場地;備份介質嚴格管理,防止未授權訪問業(yè)務備份數(shù)據;采用硬件雙機等冗余技術保證關鍵應用的可用性。5 結語

隨著智能電網的發(fā)展，未來的信息安全可能要面臨新的問題。智能電網從整體上可以看作是由電力網和信息網構成的相互依存復合網絡，其中信息網絡的安全及其對電力系統(tǒng)運行安全帶來的風險不容忽視。未來智能電網將會融合更多的先進的信息安全技術，如可信計算、云安全等。本文提出的一些建議期望對智能電網信息安全防御起到一定的參考作用。

參考文獻：

[1]何光宇，孫英云.智能電網基礎[M].北京：中國電力出版社，2010.[2]Tony F，Justin M.智能電網安全——下一代電網安全[M].北京：國防工業(yè)出版社,2013.[3]劉振亞，陳月明，鄭寶森等.智能電網技術[M].北京：中國電力出版社,2007.[4]潘可佳.智能電網的信息安全探討[J].信息通信，2013（9）：134-135.[5]馬韜韜，李

可，朱少華等.智能電網信息和通信技術關鍵問題探討 [J].電氣自動化設備，2013，30（5）：87-91.[6]陳亞平.智能電網信息安全及其防護技術 [J].科技前沿，2012（661）：177-178.[7]李雪冬，李建奕.智能電網信息安全[J].信息技術，2012（2）：28-31.[8]潘可佳.智能電網的信息安全技術探討[J].科技信息，2013（13）：291-292.[9]潘可佳.智能電網信息安全技術研究與應用[J].山東大學學報，2013（10）：184-201.Smart Grid Information Security Research

LI Peng-ru（Shenyang Institute of Engineering，Graduate School，Liaoning Shenyang 110136）Summary：Smart grid is a highly automated, digital, information technology, interactive grid.As one of the most important things era applications, smart grid will bring great changes on people's work and life, but the smart grid openness and inclusiveness also decided it inevitably information security risks.Firstly, the article analyzes traditional grid information security , giving prevention programs, and then discusses the issue of information security

that smart grid may faces, including physical security, network security, data security and backup and recovery, etc., and proposes four principles of solving the information safety should be noted.finally, proposing protection programs from grade Fenwick, border security, network security and other aspects of the environment.Keyword：Smart grid；information security；Protection program

第三篇：數(shù)字化檔案信息的安全保障體系研究

數(shù)字化檔案信息的安全保障體系研究

摘要：數(shù)字化檔案信息管理提高了管理水平，促進了檔案管理工作向著服務型和科學化的方向轉變，就是在管理內容中也做出了真實與客觀性的保障。但是在有利的影響作用下，也具有不利因素的制約，主要表現(xiàn)在安全性問題中，在環(huán)境因素、社會因素和技術因素中，我國的檔案管理工作出現(xiàn)了較多安全隱患，威脅了個人、企業(yè)和社會的發(fā)展。文章中針對這些問題進行了優(yōu)化體系措施分析。

關鍵詞：檔案管理數(shù)字化安全體系信息安全措施分析

在傳統(tǒng)的檔案管理工作中，紙質類文件管理存在一定的安全問題，主要是由于紙質類文件在保管中容易發(fā)生丟失和擅自調用等現(xiàn)象，不符合現(xiàn)代化標準的建設原則，另外，就是在蟲蛀和腐蝕的環(huán)境中造成了是安全使用隱患。通過計算機信息化和數(shù)字化技術的應用，改變了以往檔案管理儲存、調用和管理的形式，通過軟件和用戶名的使用，保證了信息資料的安全使用性，但是這種技術應用中也存在一定的技術風險，下面進行具體的分析：

一、數(shù)字化檔案建設的安全影響因素分析

（一）環(huán)境因素

在現(xiàn)代化的檔案管理應用中，通過電子檔案和紙質類檔案的雙重管理，保證了檔案信息資料的客觀性與完整性，是現(xiàn)代化規(guī)范管理的重要體現(xiàn)。那么在環(huán)境的影響中，分別在這兩方面造成了不同程度的破壞。在紙質類文件的影響中，主要是由于長時間的擺放，空氣中的水分、細菌和蛀蟲等對文件的破壞。而在電子文件的破壞中，主要是通過計算機硬件的影響間接破壞的，如在潮濕、高溫和強光的照射中，硬件系統(tǒng)很容易發(fā)生性能上的改變，進而在計算機的操作中無法解讀光盤等，造成檔案信息的丟失。

（二）社會因素

檔案管理工作的安全性在社會中遭到破壞具有不可抗力和可抗力兩種。不可抗力主要表現(xiàn)在戰(zhàn)爭和地質災害中，影響了檔案管理設施和傳輸渠道。在可抗力因素中主要是工作人員的影響，特別是在計算機信息化建設使用中，一些不法分子為了暫時的利益，通過經濟和政治類檔案資料的偷取，對國家和企業(yè)造成了嚴重的損害，主要表現(xiàn)為計算機黑客在軟件系統(tǒng)中的攻擊，在檔案管理中心，一旦重要的信息泄露，將會嚴重的威脅我國的穩(wěn)定建設，可見社會因素的影響嚴重性。

（三）技術因素

當前的計算機電子信息技術發(fā)展的速度較快，雖然在檔案管理系統(tǒng)中進行了安全預防工作，但是相對應的預防措施技術的提高也就刺激了破壞性技術的不斷突破，那么在技術維護中，就要針對使用現(xiàn)狀與科技的發(fā)展趨勢，進行科技的不斷提高，通過計算機安全系統(tǒng)補丁的應用，完善安全系統(tǒng)，與時俱進，在電子產品的不斷更新中，較快安全保障體系的處理工作。

二、數(shù)字化檔案信息的安全保障體系的措施分析

（一）完善檔案數(shù)字化建設中的信息安全法律法規(guī)

1.加強檔案管理基層工作中的法律宣傳。在較多建設單位中，工作人員與管理人員只是一味的關注經濟效益的增長，人力資源建設和科學技術的提高等，而對檔案管理工作忽視較多，更沒有制定相關的管理制度，在法律知識的普及中存在一定的缺陷，就是檔案管理工作人員都沒有基本的法律使用與管理意識，更不用說子啊企業(yè)其他基層人員的使用問題上了。因此在法律知識的宣傳中，可以以部門和領導層為單位，逐級加強檔案管理合法性的使用規(guī)范。

2.完善檔案數(shù)字化與信息化的安全法律法規(guī)建設。在我國檔案信息化和數(shù)字化的起步時間較晚，那么在相關法律規(guī)章制度就不是十分的健全，需要根據設計的工作內容，對日常工作中出現(xiàn)的安全性問題進行總結，并建立具有引導性和前瞻性的制度與條例，通過一段時間的適用，并修改和起草后進行法律規(guī)定的形成，進而促進了信息化和數(shù)字化檔案管理工作中的安全性系統(tǒng)構建。

（二）健全檔案數(shù)字化建設中的信息安全管理體系

1.提高檔案管理共組人員的素質。在較多的檔案管理安全問題中，檔案管理人員是主要的始作俑者，因此，在今后的安全保障系統(tǒng)的建設中，要進行管理人員的綜合素質培養(yǎng)。在專業(yè)技術操作中，規(guī)范統(tǒng)一的操作流程，并在工作中落實責任制的劃分，并建立激勵機制，促進工作人員在積極、負責的環(huán)境中從事管理工作。在思想道德中，應逐漸加強企業(yè)的政工工作，對檔案管理工作人員進行定期的培訓，在集體的活動參與中提高集體的凝聚力，并規(guī)范化個人的從業(yè)價值。

2.在檔案管理工作中應該建立健全檔案信息安全管理體制，檔案信息安全管理工作屬于一項復雜的工程，需要在管理過程中制定明確的制度，做到雙管齊下，以此保障檔案信息的安全效益。數(shù)字檔案信息被建立后在管理過程中很容易損壞，在安全管理過程中應該明確各方面的建設主體，規(guī)定各級部門的具體權責，在數(shù)字化檔案使用過程中嚴格控制審批、查詢和通信等流程，做到不僅保障數(shù)字信息檔案的安全性，也能夠發(fā)揮數(shù)字檔案的優(yōu)越性。

3.在檔案數(shù)字化建設中提高檔案數(shù)字化建設中的信息安全保障技術。首先構筑信息安全防火墻，通過物理安全防范、軟硬件保護等方式避免檔案信息受到外來攻擊，制定完善的檔案信息管理規(guī)范，提高物理層面的安全性能。加強訪問、目錄級別等方面的控制，通過限制訪問等方式提高控制力度。通過監(jiān)控、審核和備份等保護措施，避免各種外力或者人為因素對信息系統(tǒng)的破壞。對檔案數(shù)據信息進行必要的特殊處理。

三、結語

檔案管理安全性建設是現(xiàn)階段的管理重點，這不僅僅關乎于個人的信息安全性，就是在企業(yè)的長遠規(guī)劃建設中，國家的軍事與國防的安全性規(guī)劃中，都具有十分重要的應用地位。特別是在近些年的信息化與數(shù)字化的管理應用中，工作人員在提高先進技術使用的同時，也要掌握全面的安全系統(tǒng)的基本操作，熟識相關的法律規(guī)定，利用法律力量和科技利用進行安全系統(tǒng)的維護。

參考文獻：

[1]許雯.檔案數(shù)字化建設信息安全保障策略研究[J].卷宗，2014，（04）.[2]劉振保.數(shù)字化檔案的信息安全問題及管理策略[J].今日湖北，2014，（10）.（作者單位：黑龍江省重競技運動管理中心）

第四篇：美國信息安全政策法規(guī)研究（寫寫幫推薦）

摘 要

本篇論文是從美國的信息安全初期的產生過程和幾任總統(tǒng)所做出的戰(zhàn)略策劃,從頭來研究這些戰(zhàn)略的成長過程，從法規(guī)和組織機構及人才培養(yǎng)的方面進行討論,還介紹了國家信息的保障體系,從對美國信息安全的認識和了解,并對他的戰(zhàn)略意圖進行更深的認識來促進和改善我們國家的體系和戰(zhàn)略。

關鍵字:信息安全 信息安全戰(zhàn)略

體系結構 組織機構

Abstract

This paper is the beginning of information security from the United States the production process and the president made several strategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of information security, and his deeper understanding of the strategic intent to promote and improve our country's systems and strategies.Keywords: Information Security，Information security legislation Architecture Organizations

目 錄

第一章 美國信息安全戰(zhàn)略計劃 ························ 1 1.1 信息安全的認識 ·························· 1 1.1.1信息安全的屬性 ····························· 1 1.1.2信息的作用 ······························· 1 1.2 美國信息安全開始階段 ······················· 2 1.3 歷任總統(tǒng)的信息安全戰(zhàn)略 ······················ 2 第二章 美國加強信息安全政策法規(guī)建設的主要做法 ··············· 4 2.1 建立組織機構 ··························· 4 2.1.1 審計局 ································ 4 2.1.2 行政管理和預算局 ··························· 4 2.1.3 國家標準局 ······························ 4 2.1.4 國防部 ································ 4 2.1.5 國土安全局 ······························ 5 2.2 加強保障體系建設 ························· 5 2.2.1 組織管理體系 ····························· 5 2.2.2 技術防范體系 ····························· 5 2.2.3 應急響應體系 ····························· 6 2.2.4 服務體系 ······························· 6 2.2.5 人才培養(yǎng)體系 ····························· 6 2.2.6 國際合作保障體系 ··························· 6 2.3 完善具體措施 ··························· 6 2.3.1 規(guī)范及權威性的重視 ·························· 6 2.3.2 戰(zhàn)略性的重視 ····························· 7 2.3.3 法律措施的重視 ···························· 7 2.3.4 執(zhí)法行為的重視 ···························· 7 2.3.5 遵守法律觀念的重視 ·························· 7 2.4 主要政策法規(guī)介紹 ························· 8 2.4.1 63號總統(tǒng)令 ······························ 8 2.4.2 信息保障技術框架 ··························· 8 2.4.3 網絡空間安全國家戰(zhàn)略計劃 ······················· 8 第三章 美國信息安全戰(zhàn)略對我們的啟示 ··················· 10

I

第四章 小結 ······························· 11 參考文獻 ································· 12 鳴 謝 ································· 13

II

第一章 美國信息安全戰(zhàn)略計劃

美國是一個信息大國,他們對信息安全的重視程度相當?shù)母?是全世界第一個制定并且開始實行信息安全戰(zhàn)略的國家,隨著時代和社會形勢的變化它也跟著逐步完善和提高,對于美國信息安全的部署屬性可以看作是“擴張型”。針對這一屬性,美國政府及研發(fā)人員專門制定了相對完善和穩(wěn)定的政策法規(guī)體系,建立了由國家到部委到機關三個層面的管理機制,對每個部門都要求積極配合,分工到位,各管其政的工作態(tài)度,并在國家防衛(wèi)部門進行完整全面的信息安全評判,對各方面的數(shù)據進行準備評判并在發(fā)現(xiàn)問題的同時積極的去修改完善。

1.1 信息安全的認識

所謂信息安全就是使在信息網絡中的硬、軟件和數(shù)據得到一定的保護,而防止其受到非正常或刻意原因的破壞使信息遭到利用,讓其可以得到一個舒適的運行環(huán)境。

1.1.1信息安全的屬性

首先它是一門涉及面非常廣的由多種學科組成的綜合性學科,作為一種特別的資源具有一定的普遍性和多效性等,給我們帶來了一種想象不到的驚喜。

信息安全顧名思義就是指保護信息資料的安全,讓它不會受到來自外界的干擾和破壞,在國際上統(tǒng)一給它下了個定義就是:讓信息擁有一定的完整、可用及保密性質。它必定將成為全世界所有國家去很在乎的一個關鍵性的國家安全戰(zhàn)略。

1.1.2信息的作用

通常人們對于一個陌生事物或者一種社會現(xiàn)象的了解都是通過書本或者文獻資料，當計算機在二十世紀中期被搬上舞臺的時候，人們所需要了解那些事情也變得容易多了，不論是在什么場合，人們正依托計算機來完成事情的處理，并通過計算機信息來傳輸一些大小事務例如：

1、通過計算機來核對銀行的信息。

2、將罪犯的紀錄輸入電腦以便了解等。但是所有的這些都是處在一種沒有防范的況下去處理問題的。

局域網、互聯(lián)網、衛(wèi)星、郵件等都是屬于傳輸?shù)姆绞?，由于他們都處在一種相對公開的環(huán)境下，沒有很好的保護措施，所以很容易的被竊取或破壞。在這樣的一種簡單的保護中是很難確保信息的安全性，這時便需要一種多層次的保護手段通過技術和管理及法律的手段達到信息安全的目的。

1.2 美國信息安全開始階段

1946年是美國信息安全最重要的一年,其“原子能法”和“國家安全法”這兩部具有重要意義的法案的出爐標志著美國國家信息安全開始的初期階段,表示美國政府把信息安全和國家安全之間存在的信息流動關系的重要性看得很重,這是對信息進行保護的意識開始加強。此外在1966年頒發(fā)的“信息自由法”,是被認為美國國內最重要的一部憲法,是其它有關信息安全法律的基礎,其同意個人或者相關機構能夠在任何條件下獲取被列入共享的文件資料,以此作為美國信息中受保護和不受保護的劃分,從而對信息安全進行了劃分。

1.3 歷任總統(tǒng)的信息安全戰(zhàn)略

老布什總統(tǒng)時期，美國信息安全戰(zhàn)略的重點是：保護信息的安全和隱密這兩個性質上。里根總統(tǒng)時期，聯(lián)邦政府組建了“國家保密通信及信息系統(tǒng)安全組委會”簡稱：NSTISCC。其組織成立的目的是為了在以往的安全戰(zhàn)略中，通過法律法規(guī)的制定和規(guī)章制度的制定，去對信息的安全進行有效合理的保護。

克林頓總統(tǒng)時期，其在任期間將信息安全正式列入國家安全戰(zhàn)略計劃中，并在維護信息的保密、完整及可用性等方面進行重點維護。1998年出臺了“關鍵基礎設施建設”的第63號總統(tǒng)令，這一號令是第一次很好很全面地說明了國家信息安全戰(zhàn)略的概念、意義及其目標，也闡明了之前提出的“信息保障”，在穩(wěn)定現(xiàn)有信息安全水平的基礎上對下一步的工作提出了重要指示。為了將網絡及一些基礎設施、區(qū)域、環(huán)境等的深層次維護和防御，國家安全局出臺了“信息保障技術框架”簡稱“IATF”。2000年頒布了國家安全戰(zhàn)略報告，在這份報告中將信息安全也列入了其中，這也標志著信息安全正式成為國家安全戰(zhàn)略和框架，擁有了自己獨立的位置。在總統(tǒng)在任期間還成立了幾個對信息安全做出貢獻的組織，例如：

1、信息保障委員會。

2、信息保障同盟。

3、聯(lián)邦計算機事件響應機動組等。

布什總統(tǒng)時期，在其上任的期間經歷了一次重大悲劇事件——9.11，這次事件的發(fā)生使得國家不能不將信息安全的戰(zhàn)略地位看得更重，在2011年發(fā)布的13231號行政令“信息時代的關鍵基礎設施保護”這一命令的頒布，將原來的“保護委員”會變?yōu)楦邔嵸|性的“保護辦公室”，成為了聯(lián)邦部門的最高設施保護機構。隨著2003年“網絡空間的國家戰(zhàn)略”進一步將基礎設施的保護作為重點。在此期間，布什政府還重整了之前的一些相關機構并設立了由總統(tǒng)直接管理的國家安全顧問這一重要職位，還設立了包括國土、保密局、系統(tǒng)安全中心等重要機構，這對信息安全保障的工作做出了進一步的保障。其目的是為了將由9.11導致的信息安全保障的不力因素進行有效的改善，并根據現(xiàn)實情況制定一套全新的國家信息安全戰(zhàn)略。其主要強調了網絡安全的重要性，更夸張地認為網絡的威脅和核

武器的威脅是一樣具有很強破壞力的。2009年公布了一項有總統(tǒng)親自參與的“美國網絡安全評估”報告，此報告評估了現(xiàn)有的網絡安全戰(zhàn)略、策略和標準，并提出了他們中存在的問題，制定了下一步的任務計劃，政府表示將網絡安全的保障作為國家安全的重要戰(zhàn)略，由于網絡安全已經逐漸成為了對美國國家安全的首要威脅，將任命一名由總統(tǒng)親點的網絡安全總管，其職責就是專門對網絡安全戰(zhàn)略在政府的要求下完成制定。并成立由戰(zhàn)略司令部領導的相關部門，對數(shù)字戰(zhàn)爭進行有效的反擊和防御。

第二章

美國加強信息安全政策法規(guī)建設的主要做法

這一系列的體系不光包含有信息安全的技術，還含有政策方針、法律法規(guī)及組織機構等有關內容。

2.1 建立組織機構

在為了很好的貫徹落實信息安全的政策，美國國內很多政府部門被新加上了許多職責，比如：監(jiān)督、管理等。這些機構包括：1.審計局、2.行政管理及預算局、3.國家標準局、國土安全部、商務及財政部等，行成了相當完整完善的機構體系。

2.1.1 審計局

直屬與國會，是一個相當獨立的部門，主要對國家財務和項目的核實工作，它與其他與信息安全有關的公共基金的情況：幫政府作出分析和選擇最終讓國會能有效的進行監(jiān)督。部分政府資金的使用情況。都歸它管。同時也向國會提交了許多報告。

2.1.2 行政管理和預算局

管理和預算辦公室為發(fā)展和有關信息安全政策，原則，標準和準則的政府部門負責監(jiān)管。在監(jiān)察政府的資訊保安政策，并為下列服務的實際負責執(zhí)行：進行信息安全政策及規(guī)則的制定等，并監(jiān)督其實行；對機構實施與信息安全保障措施進行相應的風險等級的劃分：跟有關部門進行有效的合作，以便于讓美國國家標準局（NIST）的設立標準，準則和國家信息安全規(guī)定相配合。政府機構的相關信息安全項目進行每年的考核，是為了對信息安全方案的認可或者有不同的意見;聯(lián)邦信息安全事件監(jiān)控中心的運作，信息安全相關的問題，每年向國會報告。

2.1.3 國家標準局

附屬于商務部門，它存在的作用是為了輔助政府和企業(yè)之間的有效配合，比如：安全、應急等計劃及一些安全技術的開發(fā)宣傳。它還負責了對安全技術和產品的標準的制定。

2.1.4 國防部

由美國國防部中的國家安全局和國家計算機安全中心來負責對國家信息安全事務進

行有效的保護。國家安全局的責任是做好保密信息系統(tǒng)和信息安全的工作。國家安全系統(tǒng)的保密信息包括：1.相關情報活動。2.與國家安全有關系的并且是隱蔽的活動。3.跟軍隊有關系的活動等。計算機安全中的責任是做好國家安全局應該負責的所有信息安全相關的工作，包括：1.解決政府中出現(xiàn)有關信息安全的問題。2.對各部門系統(tǒng)中存在的問題進行評估，對拿出解決的辦法加以行動。

2.1.5 國土安全局

這個部門的成立是由于9.11后美國對國內信息安全的不穩(wěn)定而設立的。這個機構包括：1.基礎設施保障中心。2.通信系統(tǒng)局。3.計算機安全分局等，有關信息安全的部門。他們的責任是對關鍵的基礎設施進行保障和保護、信息管理標準的制定等。以往對自己國內信息安全的自信在9.11爆發(fā)后，奧巴馬政府認為還是存在很多的問題的比如：1.管理的制度和權力過于分散。2.缺乏一個系統(tǒng)的部門進行有效管理。3.沒有部門對危險的等級和受損范圍進行評估等。正因為這個組織的成立才緩解了國內的信息安全壓力，加強了信息安全的保障。

2.2 加強保障體系建設

2.2.1 組織管理體系

在網絡安全所出現(xiàn)的種種問題中,由管理不當所造成的占主要因素,3成技術、7成管理,這一理念就很能說明管理的重要性,不論在什么樣的情況下,沒有一套很好的管理體系將會造成工作的混亂狀況,出現(xiàn)資源嚴重浪費的情況,這樣一來對管理體系的建立、完善及落實是做好信息安全工作的關鍵.在管理體系建設方面有幾個因素需要注意:

1、制定一套完整的管理策略。

2、制定一系列人員管理制度。

3、制定完全的設備管理制度。

4、制定對突發(fā)及應急時間響應制度。

2.2.2 技術防范體系

伴隨著信息系統(tǒng)和政務的各方面要素的提升,使得安全防范的難度提高,針對這一情況,應該做出一種提前考慮把零散的信息產品集中起來構成一種整體的防范體系,達到更理想的效果.2.2.3 應急響應體系

當有人為或自然原因等的危險和問題出現(xiàn)在信息系統(tǒng)的運行過程中,所造成的可能是讓系統(tǒng)的整體運行受到一定程度上的影響及停止,此外該系統(tǒng)還很容易的被一些黑客等不法分子進行利用及破壞,造成信息系統(tǒng)的中端和泄漏,嚴重影響了企業(yè)和政府.達不到徹底的清除,解決的辦法是馬上建立一套高效能的應急響應系統(tǒng),通過對系統(tǒng)的加強和完善來降低由破壞造成的嚴重后果.2.2.4 服務體系

隨著技術的發(fā)展和提高,安全也會隨之得到相應的提高,他們是一種共進退的關系,在外國的一些發(fā)達的信息產業(yè)上這一言論得到了很好的論證,對此不論在什么地方和情況下都要靠信息監(jiān)管技術,達到一種專業(yè)和規(guī)范的信息服務及技術,這樣才能將信息安全推向一個新的高度.2.2.5 人才培養(yǎng)體系

這個體系是對信息安全保障長遠發(fā)展的一個重要體系，他跟美國政府對人才的重視息息相關，并為了培養(yǎng)出優(yōu)秀的才人出臺了一系列項目：1.計算機服務項目，它是一項基礎項目，綜合性強，培訓的項目總的來說是圍繞著信息安全這一理念。2.服務獎學金項目，這個項目的特點是學生的一切學習環(huán)境和所需資金都是來自于政府但是學完后必須為政府辦事。3.中小學培訓項目，這是為了以后而坐準備的一個項目，長此以往信息安全方面的人才將不會缺少。體現(xiàn)了政府一種長遠的眼光。等一系列人才的培養(yǎng)項目。

2.2.6 國際合作保障體系

這項體系是為了跟世界接軌，效仿經濟上的相互依賴，達成對信息安全的世界性的共識。大家一起應對來自于信息安全方面的危險。美國主動參加了信息安全國際標準的制定。還減少了與信息安全相關的技術和產品的出口限制，目的是為了拉近距離促進發(fā)展，保持美國信息安全的領先地位。

2.3 完善具體措施

2.3.1 規(guī)范及權威性的重視

在立法的前提下,需先解決一些在法規(guī)的層次、部門的規(guī)章及民眾的參與等問題,法制的建設需要將深化信息安全作為國家的體系之一的理念深入,從而不斷的去完善制度和措施,對可用、保密、完整等信息的性質和安全的概念進行重點強化,讓它成為一種必不可少 的觀點.對信息網絡安全的保護及防范不光是要靠對立法的改善,防范體系的完整,而是要在對責任人進行責任的詳細告知,通過很好的溝通和配合來提高意識和技術水平.2.3.2 戰(zhàn)略性的重視

在對缺乏戰(zhàn)略的規(guī)劃及有法律保護的信息安全和立法的速度已經遠遠落后于發(fā)展的速度這些信息建設時所出現(xiàn)的問題的解決上，首先是要端正態(tài)度，把信息的安全看作是國家的安全，將信息安全放在國家安全的優(yōu)先位置上。接著是組織的成立上，應當馬上組成一個成熟的系統(tǒng)安全組織，從而去對保障安全的能力進行提升，堅持對不法行為和敵對分子進行嚴懲和打擊最重達到國家信息安全的穩(wěn)定。最后是審時度勢，隨著時代變化和社會的進步，根據需要的不同去改變和完善信息安全的保障體系。

2.3.3 法律措施的重視

現(xiàn)存的法律缺乏一定的效能和不具備很好的針對性概括性太大，這是需要重視的問題。由于上訴問題導致了各種法律之間缺乏配合，讓不法分子有很多空子鉆，從這些問題的出現(xiàn)反映了法律機制還需要進一步的去完善，才能構成一套完整的體系結構，從而去支持那些缺少法律保護的企業(yè)，不讓他們有法不依。讓那些復雜的網絡不法行為比如：

1、故意散播不良信息，虛假信息。

2、做出對國家安全有威脅的信息行為等。得到有效的控制。趨于對預警及響應系統(tǒng)的需求和依托、管理制度、特定機構的需求，必須馬上建立起一套完善體系。對信息的安全進行等級劃分，嚴格的按照劃分的等級進行防范，提高對問題的解決能力。

2.3.4 執(zhí)法行為的重視

信息安全的防范出現(xiàn)了由于行政上的過分干涉導致了防范能力降低的問題需要解決，存在這樣的問題主要是因為：

1、現(xiàn)存的法律對網絡的權利和公民權利保護事情上的不重視。

2、對政治和經濟的保護力度不夠。

3、對建立一個健康穩(wěn)定的網絡環(huán)境力度不夠。

3、執(zhí)法能力需要大大提高等。面對著這些問題，相關部門也著力從：

1、網絡是名制。

2、審查力度的加大。

3、對合法與不合法的信息進行過濾。

4、將被列入網絡“黑名單”的人和機構進行監(jiān)視和查辦等。方法去提高執(zhí)法能力。爭取做到責任到人，執(zhí)法到人。

2.3.5 遵守法律觀念的重視

因為對網絡行為長期缺少用法律來規(guī)范，導致了大家網絡法律意識低下，自律和公德意識低下，才使得很多網民存在僥幸心理，發(fā)生很多網絡的不良事件，更為嚴重的是直接

將網絡看成是自己的天地為所欲為，肆無忌憚。才給國家?guī)砹藰O大的危害。面對這些問題，必須從法律意識的普及和加強來對網民進行教育，對犯法的網民進行強制教育。改善共同的網絡環(huán)境。

2.4 主要政策法規(guī)介紹

美國政府相繼出臺了許多政策政令全是為了組建國家信息安全平臺，其中包含了總統(tǒng)的行政命令、指令及信息安全計劃和戰(zhàn)略等。美國在80年代初出臺了許多關于信息安全的法律法規(guī)，其中幾部重要的有：1.“信息自由法”。2.“計算機安全法”。3.“反黑客法”等，在各項法律中，于98年出臺的：1.美國第63號總統(tǒng)令關于“保護關鍵基礎設施”。2.“信息保障技術框架”（簡稱IATF)。3.03年發(fā)布的“網絡空間安全國家戰(zhàn)略計劃”等都是重要的法律法規(guī)。

2.4.1 63號總統(tǒng)令

這個總統(tǒng)令指明：1.最遲在2000年美國國內需要具備初步的信息保護能力。2.美國將在號令發(fā)布后的5年建立并且維護完善的基礎設施保障實力，為了防止以下幾種行為：1.聯(lián)邦政府確保公眾健康及安全。2.州及地方在提交基本的公務前提下，讓其能有規(guī)律的運行。3.私企在保證其能源、經濟及運輸能維持服務，如果遇到破壞要在短時間內不論從頻率或地址上進行隔絕，盡量減少國家的損壞。

2.4.2 信息保障技術框架

這項保障框架是20世紀美國國內信息保障技術中最為系統(tǒng)和最具有意義的研究，IATFI.0版在98年出版，2.0在99年出版，3.0在2000年出版。這項技術的出現(xiàn)對于美國國內的基礎設施保障來說是很有意義的，他對政府和工業(yè)領域都提供了非常有用的技術指導，對系統(tǒng)提出了更高的要求，并提出了以基礎設施防御和區(qū)域防御及環(huán)境防御的深層次的防御目標。畫出了新的防御戰(zhàn)略。它所能處理的問題有：1.將信息需要的保護和出現(xiàn)問題的解決方案進行了很好的定義。2.在技術方面尋求信息保護的優(yōu)良技術。3.在資源方面起到搜尋機構中所擁有的各種資源。4.將方法和技術的使用放在了最合適的地方。

2.4.3 網絡空間安全國家戰(zhàn)略計劃

這一戰(zhàn)略計劃的出臺是有一定意義的，它是第一份為了信息安全為專門出的安全戰(zhàn)略方案，它確立了信息安全的獨立，有標志性價值。還確立了安全政策的3個要素，都是最基本的：1.利益。2.保障。3.方法。他們之前被列入不同的文檔中，在這個方案計劃中得到了有機的在一起完整的結合起來。它很

好的說出了美國網絡世界所出現(xiàn)的危機和易攻擊的危險，詳細的指明了下一步對信息安全保護計劃方案的制定，規(guī)定并強化了有關部門的職責，為政府、公民、私企打出了通道

第三章 美國信息安全戰(zhàn)略對我們的啟示

通過對美國信息安全及戰(zhàn)略的了解，我能從中認識到美國作為一個世界強國的厲害之處，他們對信息安全的保障和法律法規(guī)的建設方面都相當?shù)耐晟?，對于一個發(fā)展中國家的我們從中學到了4點啟示需要像美國多學習：

1、信息安全體系建設需要集中統(tǒng)一領導。信息系統(tǒng)安全關系國家的最高利益，只有統(tǒng)一的強有力的國家級信息安全領導機構，才能統(tǒng)一領導政府、軍隊和民間的信息安全工作。

2、信息安全體系建設需要理順管理體制。信息安全體系建設涉及黨、政、軍、民各界，只有從國家、國防安全的高度，理順信息安全管理體制，才有可能建成“確保絕對安全，確保絕對暢通”的信息安全體系。

3、信息安全體系建設需要統(tǒng)籌規(guī)劃部署。國防信息安全體系建設是規(guī)模宏大、技術復雜的系統(tǒng)工程，需要按照大系統(tǒng)、大工程、大科學、大國防的思路，來統(tǒng)籌規(guī)劃、部署、建設、使用和管理。

4、信息安全體系建設需要加強技術基礎。信息安全體系建設，高新技術密集，難度很大，投人很多，需要發(fā)揮國家的整體優(yōu)勢，加強理論、技術和工業(yè)基礎。

5、信息安全體系建設需要加強政策研究。美國政府在信息安全體系建設方面的成功，得益于它的信息安全政策。實踐證明，一個正確的決策政策的形成，決不會一蹴而就，而是根據變化的情況不斷進行調整。

第四章

小結

本文通過論述美國信息安全政策的萌芽，以及疆根、老布什政府，克林頓、小布什和奧巴馬政府的信息安全戰(zhàn)略，回顧了美國信息安全戰(zhàn)略的演變過程，通過探討美國信息安全的政策法規(guī)、組織機構、人才培養(yǎng)和圍際合作，介紹了美國信息安全保障體系。希望通過對美國信息安全戰(zhàn)略的初步探討，加深對美國信息安全戰(zhàn)略的理解，促進我國信息安全戰(zhàn)略和保障體系的建立和完善。

參考文獻

[1]盧新德構建信息安全保障新體系——全球信息戰(zhàn)的新形勢與我國的信息安全戰(zhàn)略．北京：中國經濟

出版社，2007。

[2]沈逸．開放、控制與合作：美國國家信息安全政策分析l．復旦大學博士學位論文。2005． [3]杜友文，王建冬．美國國家信息安全政策綜述叭．晉圖學刊，2008。[4]杜友文，王建冬．美國國家信息安全政策綜述．晉圖學刊，2008 [5]美國保障政府信息安全法律及立法機構通過的其他法律

[6]杜友文，王建冬．美國國家信息安全政策綜述Ⅱ1晉圖學刊，2008． [7]雷猛．美國信息安全戰(zhàn)略簡析.信息網絡安全，2005(2)． [8]奧巴馬要求全面評估美國網絡安全2009—7

鳴

謝

大學三年學習時光已經接近尾聲，在此我想對我的母校，我的父母、親人們，我的老師和同學們表達我由衷的謝意。

感謝我的家人對我大學四年學習默默的支持；感謝我的母校信大電院給了我大學深造的機會，讓我能繼續(xù)學習和提高；感謝學校教員、隊長、政委和同學們四年來的關心和鼓勵。教員們課堂上的激情洋溢，課堂下的諄諄教誨；同學們在學習中的認真熱情，生活上的熱心主動，所有這些都讓我的四年充滿感動。這次畢業(yè)論文設計我得到了很多教員和同學的幫助，其中我的論文指導老師李智誠教員對我的關心和支持尤為重要。每次遇到難題，我最先找的就是李教員尋求幫助，而李教員每次不管忙閑，都會抽空來幫我解答。

我做畢業(yè)設計的每個階段，從選題上的查閱資料、論文的提綱確定，中期論文的修改，后期格式的調整等各個環(huán)節(jié)中，李教員偶讀給予了我悉心的指導，在此謹向李教員致以誠摯的謝意和崇高的敬意！

同時，這篇畢業(yè)論文的寫作業(yè)得到了郭禎、溫得巍、衛(wèi)巖等同學的熱情幫助。感謝在整個畢業(yè)設計期間和我密切合作的同學，和曾經在各個方面給予我?guī)椭幕锇閭?。在此，我再一次真誠的向幫助過我的教員和同學們表示感謝！

第五篇：PHP網站設計中信息安全的研究

PHP網站設計中信息安全防御的研究

來源：中國論文下載中心[ 11-09-16 08:44:00 ]作者：羅有明編輯：studa11071

1摘要：網絡具有開放性和共享性的特點，在給人們的生活帶來便利的同時，也對網絡用戶的信息安全帶來了威脅。本文研究了在PHP網站開發(fā)過程中信息安全防御技術，列舉在PHP網站開發(fā)時容易出現(xiàn)的安全漏洞以及這些漏洞帶來的危害，同時還介紹了黑客常用的攻擊手段并給出相應的解決方案。

關鍵詞：安全防御；PHP；網站

0引言

當前網絡與信息安全產業(yè)已成為對各國的國家安全、政治穩(wěn)定、經濟發(fā)展、社會生活、健康文化等方方面面具有生存性和保障性支撐作用的關鍵產業(yè)。網絡與信息安全可能會影響個人的工作、生活，甚至會影響國家經濟發(fā)展、社會穩(wěn)定、國防安全。因此，網絡與信息安全產業(yè)在整個產業(yè)布局乃至國家戰(zhàn)略格局中具有舉足輕重的地位和作用。本文對PHP網站設計中信息安全防御的研究具有重要的意義。

1PHP編碼過程中的安全問題及其防范

服務器和PHP的運行環(huán)境配置好后，并不意味著網絡應用就安全了，程序員的安全意識也起著決定性的作用。如果程序員的安全意識不高，對用戶的所有輸入都沒有進行安全驗證，那么，所有有害的指令都將作為合法指令被執(zhí)行。

1.1SQL注入的防范

程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據的合法性進行判斷，使得用戶可以提交一段數(shù)據庫查詢代碼，根據程序返回的結果，獲得某些他想得知的數(shù)據，這就是所謂的SQL Injection，即SQL注入。

1）經典的'or 1=1' 注入

‘or 1=1’注入是非常經典的注入語句，一般用在登錄系統(tǒng)時繞過密碼驗證，以任意用戶名登入。其原理是利用程序員在編寫驗證程序的時候沒有驗證用戶的輸入是否含有非預期的字符串，直接傳遞給mysql_query()函數(shù)執(zhí)行，or 1=1使得無論密碼是否匹配保證驗證語句為真，達到繞過密碼驗證的目的2）利用union語句的注入

Union 語句是利用其特性，使程序默認的語句出錯，讓程序執(zhí)行union之后自己構造的SQL語句，達到注入的目的。

3）防SQL注入的通用解決方案

注入的手段是多種多樣，十分靈活的，但有一個共同點，都是利用沒有對輸入進行過濾。防止注入的方法也就是對傳遞給查詢語句的參數(shù)進行過濾。