第一篇：信息安全研究熱點(diǎn)綜述

信息安全研究熱點(diǎn)綜述

摘要：本文詳細(xì)介紹了信息安全的應(yīng)用背景，說明了信息安全的至關(guān)重要性，并分析了信息安全需求，針對需求結(jié)合當(dāng)前現(xiàn)實(shí)對信息安全研究熱點(diǎn)進(jìn)行綜述，并查閱相關(guān)資料得到了最新的信息安全發(fā)展的預(yù)測內(nèi)容。論文關(guān)鍵詞：信息安全,需求,研究熱點(diǎn) 信息安全的發(fā)展不能離開網(wǎng)絡(luò)的快速成長，其實(shí)信息安全的含義就包含網(wǎng)絡(luò)安全和信息安全。

隨著全球信息化水平的不斷提高，信息安全的重要性日趨增強(qiáng)。當(dāng)前信息安全產(chǎn)業(yè)已成為對各國的國家安全、政治穩(wěn)定、經(jīng)濟(jì)發(fā)展、社會生活、健康文化等方方面面的關(guān)鍵產(chǎn)業(yè)。信息安全可能會影響個人的工作、生活，甚至?xí)绊憞医?jīng)濟(jì)發(fā)展、社會穩(wěn)定、國防安全。因此，信息安全產(chǎn)業(yè)在整個產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中具有舉足輕重的地位和作用。盡管如此，當(dāng)前信息安全的現(xiàn)狀卻不容樂觀。我國新華社曾報道，中國近60%的單位曾發(fā)生過信息安全事件，其中包括國防部等政府部門。中國公安部進(jìn)行的一項調(diào)查顯示，在被調(diào)查的 7072家單位中，有 58%曾在 2004 年遭到過攻擊。這些單位包括金融機(jī)構(gòu)和國防、商貿(mào)、能源和電信等政府部門。歸結(jié)到個人信息即使一張小小的手機(jī)卡，如果丟失同樣可能會帶來不可挽回的損失。2008 年曾經(jīng)在高校流行的信息詐騙，就是有人竊取高校數(shù)據(jù)庫信息，造成學(xué)生信息外流而導(dǎo)致的短信詐騙、電話詐騙和郵件詐騙事件。

只有努力才會不斷成功，《2008 年第四季度反垃圾郵件狀況調(diào)查》結(jié)果，自 2008 年第二季度以來，中國網(wǎng)民平均每周收到垃圾郵件的數(shù)

量，保持著下降趨勢。從 18.35 封下降到第三季度的 17.86 封，再從17.86 封減少到第四季度的 17.55 封，這是一年中連續(xù)兩次減少，垃圾郵件治理工作成效顯著。

2008 年美國東海岸連鎖超市(East Coast)的母公司 Hannaford Bros.稱，該超市的用戶數(shù)據(jù)庫系統(tǒng)遭到黑客入侵，造成 400 多萬個銀行卡帳戶信息泄露，因此導(dǎo)致了 1800 起與銀行卡有關(guān)的欺詐事件。在持卡人認(rèn)證過程中，有 420 萬個單個的信用卡和借記卡信息泄露，成為迄今為止涉及用戶規(guī)模最大的數(shù)據(jù)入侵事件之一。此次信息泄露事件波及美國東部地區(qū)的全部 165 個連鎖店，佛羅里達(dá)州的 106 個連鎖店，另外還有部分出售 Hannaford 產(chǎn)品的其它獨(dú)立超市連鎖店。

互聯(lián)網(wǎng)安全聯(lián)盟 HostExploit 曝光了目前最大的垃圾郵件組織團(tuán)伙一—McColo，并且隨后由互聯(lián)網(wǎng)服務(wù)提供商對其進(jìn)行了關(guān)閉處理。此舉使得全球互聯(lián)網(wǎng)上的廣告兜售郵件銳減 50%，使得垃圾郵件減少了75%。

因此，信息安全的研究是當(dāng)前信息行業(yè)的研究重點(diǎn)。在國際上信息安全研究已成體系，20 世紀(jì) 70 年代就已經(jīng)開始標(biāo)準(zhǔn)化。當(dāng)前有多個國際組織致力于網(wǎng)絡(luò)與信息安全方面的研究。隨著信息社會對網(wǎng)絡(luò)依賴性的不斷增加以及 911 等突發(fā)事件的出現(xiàn)，以美國為首的各個國家在網(wǎng)絡(luò)與信息安全方面都在加速研究。中國也在近幾年取得了不少成績。

信息安全需求 按照國家、用戶、運(yùn)營商以及其他實(shí)體描述信息安全需求。

（1）國家對網(wǎng)絡(luò)與信息安全的需求

國家對網(wǎng)絡(luò)與信息安全有網(wǎng)絡(luò)與應(yīng)用系統(tǒng)可靠性和生存性的需求、網(wǎng)絡(luò)傳播信息可控性要求以及對網(wǎng)絡(luò)傳送的信息可知性要求。

網(wǎng)絡(luò)與應(yīng)用系統(tǒng)可靠性和生存性要求：國家要求網(wǎng)絡(luò)與應(yīng)用系統(tǒng)具有必要的可靠性，防范可能的入侵和攻擊并具有必要的信息對抗能力，在攻擊和災(zāi)難中具有應(yīng)急通信能力，保障人民群眾通信自由的需求以及重要信息系統(tǒng)持續(xù)可靠。

（2）用戶（企業(yè)用戶，個人用戶）對網(wǎng)絡(luò)與信息安全需求 用戶包括企業(yè)用戶和個人用戶對網(wǎng)絡(luò)與信息安全有通信內(nèi)容機(jī)密性要求，用戶信息隱私性要求，為了與應(yīng)用系統(tǒng)可信任要求以及網(wǎng)絡(luò)與信息系統(tǒng)可用性要求。通信內(nèi)容機(jī)密性要求：用戶希望通信的內(nèi)容應(yīng)當(dāng)通過加密或者隔離等手段，除國家授權(quán)機(jī)關(guān)以外只有通信對端能夠獲取并使用。用戶信息隱私性要求：用戶希望用戶留在網(wǎng)絡(luò)上的個人信息、網(wǎng)絡(luò)行為以及行為習(xí)慣等內(nèi)容不能被非授權(quán)第三方獲取。網(wǎng)絡(luò)與應(yīng)用系統(tǒng)可信任要求：用戶希望網(wǎng)絡(luò)能確認(rèn)通信對端是希望與之通信的對端，應(yīng)用系統(tǒng)應(yīng)當(dāng)有能力并有義務(wù)承擔(dān)相應(yīng)的責(zé)任。網(wǎng)絡(luò)與應(yīng)用系統(tǒng)可用性要求：用戶希望網(wǎng)絡(luò)與應(yīng)用系統(tǒng)達(dá)到所承諾的可用性，網(wǎng)絡(luò)/應(yīng)用系統(tǒng)不應(yīng)具有傳播病毒、發(fā)送垃圾信息和傳播其他有害信息等行為。

（3）運(yùn)營商（ISP、ICP 等）對網(wǎng)絡(luò)與信息安全需求 運(yùn)營商對未來與信息安全的要求包括滿足國家安全需求、用戶安全需求以及自身對網(wǎng)絡(luò)與應(yīng)用系統(tǒng)的可管理可運(yùn)營需求。

滿足國家安全需求：運(yùn)營商滿足國家安全需求包括應(yīng)當(dāng)提供合法監(jiān)聽

點(diǎn)、對內(nèi)容作溯源、控制特定信息的傳送傳播，提供必要的可用性等。

滿足用戶安全需求：運(yùn)營商滿足用戶安全需求包括必要的認(rèn)證和加密，有效的業(yè)務(wù)架構(gòu)和商務(wù)模式保證雙方有能力并有義務(wù)承擔(dān)相應(yīng)的責(zé)任效的業(yè)務(wù)架構(gòu)和商務(wù)模式保證雙方有能力并有義務(wù)承擔(dān)相應(yīng)的責(zé)任，提供必要的可用性等。

網(wǎng)絡(luò)和應(yīng)用系統(tǒng)可管理可運(yùn)營要求：運(yùn)營商要求物力與系統(tǒng)資源只能由授權(quán)用戶使用；資源由授權(quán)管理者調(diào)度；安全程度可評估可預(yù)警；風(fēng)險可控；有效的商務(wù)模式保證用戶和其他合作方實(shí)現(xiàn)承諾。

信息安全研究熱點(diǎn) 為滿足上述信息安全需求，部分熱點(diǎn)技術(shù)應(yīng)用和研究現(xiàn)狀如下所述。

（1）基礎(chǔ)類 機(jī)密性、完整性、不可否認(rèn)性算法：算法研究是基礎(chǔ)研究，基本屬于數(shù)學(xué)范疇，近年來沒有革命性的新算法廣泛應(yīng)用。隨著計算能力的不斷增強(qiáng)，機(jī)密性、完整性不可否認(rèn)性算法等方面研究需要進(jìn)一步加強(qiáng)。

特征識別模式匹配：為有效避免垃圾信息、病毒以及其他有害信息通過網(wǎng)絡(luò)擴(kuò)展，必須進(jìn)一步研究特征識別以及模式匹配等技術(shù)。當(dāng)前對網(wǎng)址、關(guān)鍵字過濾有一定進(jìn)展，在圖片、影片、聲音等方面有待進(jìn)一步研究和應(yīng)用。

安全芯片、操作系統(tǒng)、設(shè)備：安全相關(guān)的芯片、器件、軟件、操作系統(tǒng)、專用設(shè)備等都是網(wǎng)絡(luò)與信息安全的基礎(chǔ)。當(dāng)前上述內(nèi)容在國際上相對成熟，除非有重大突破，當(dāng)前重點(diǎn)在于綜合應(yīng)用。

安全體系理論研究：安全體系結(jié)構(gòu)理論主要研究如何利用形式化的數(shù)學(xué)描述和分析方法建立信息系統(tǒng)的安全體系結(jié)構(gòu)模型。當(dāng)前國際上進(jìn)展較快，已成體系。

（2）應(yīng)用類 認(rèn)證鑒權(quán)技術(shù)及實(shí)施：通過一定的協(xié)議流程和算法驗(yàn)證持有特定密鑰的用戶是否是所聲稱的特定用戶，擁有什么樣的權(quán)限。近年來，鑒別密鑰有所發(fā)展，當(dāng)前ITU等組織正在研究生物特征鑒別。

海量信息處理：當(dāng)前網(wǎng)絡(luò)隨著通信需求的增加以及光通信等技術(shù)的飛速發(fā)展，在合法監(jiān)聽、內(nèi)容檢測、防范入侵和攻擊中，需要實(shí)時或者短時間內(nèi)處理大量信息。因此海量信息處理，包括深度協(xié)議感知、線速過濾、模式匹配、海量存儲等技術(shù)都在研究中，并且是近期內(nèi)的重要研究方向。

數(shù)字水印等其他安全相關(guān)技術(shù)：隨需求的不斷出現(xiàn)，新的安全技術(shù)將被研究和應(yīng)用。

（3）綜合類 可靠性技術(shù)：可靠性技術(shù)主要通過器件、設(shè)備、協(xié)議以及網(wǎng)絡(luò)組織使網(wǎng)絡(luò)/應(yīng)用系統(tǒng)能夠持續(xù)不間斷提供服務(wù)。

第二篇：智能電網(wǎng)信息安全研究

智能電網(wǎng)信息安全研究

摘要：智能電網(wǎng)是一種高度自動化、數(shù)字化、信息化、互動化的電網(wǎng)。作為物聯(lián)網(wǎng)時代最重要的應(yīng)用之一，智能電網(wǎng)將給人們的工作和生活方式帶來極大的變革，但是智能電網(wǎng)的開放性和包容性也決定了它不可避免地存在信息安全隱患。本文首先對傳統(tǒng)電網(wǎng)信息安全進(jìn)行分析，給出了防范方案，接著又討論了智能電網(wǎng)可能面臨的信息安全問題，它包括物理安全、網(wǎng)絡(luò)安全、數(shù)據(jù)安全及備份恢復(fù)等方面，并提出了解決信息安全應(yīng)注意的四個原則，最后從分級分域、邊界安全、網(wǎng)絡(luò)環(huán)境安全等幾方面提出了防護(hù)方案。

關(guān)鍵詞：智能電網(wǎng) 信息安全 防護(hù)方案 1 現(xiàn)有電網(wǎng)信息安全分析與防范

電力系統(tǒng)信息安全是電力系統(tǒng)安全運(yùn)行和對社會可靠供電的保障，是一項涉及電網(wǎng)調(diào)度自動化、繼電保護(hù)及安全裝置、廠、站自動化、配電網(wǎng)自動化、電力負(fù)荷控制、電力市場交易、電力營銷、信息網(wǎng)絡(luò)系統(tǒng)等有關(guān)生產(chǎn)、經(jīng)營和管理方面的多領(lǐng)域、復(fù)雜的大型系統(tǒng)工程。電力信息化的發(fā)展使電力生產(chǎn)、經(jīng)營很多環(huán)節(jié)完全依賴電力信息網(wǎng)的正常運(yùn)行與否，如電網(wǎng)調(diào)度自動化系統(tǒng)對無人值班變電所的運(yùn)行影響，用電營銷信息系統(tǒng)對電費(fèi)回收的影響等。1.1 電力信息網(wǎng)安全現(xiàn)狀分析

結(jié)合電力生產(chǎn)特點(diǎn)，從電力信息系統(tǒng)和電力運(yùn)行實(shí)時控制系統(tǒng)兩個方面，分析電力系統(tǒng)信息安全存在的問題。電力信息系統(tǒng)已經(jīng)初步建立其安全體系，將電力信息網(wǎng)絡(luò)和電力運(yùn)行實(shí)時控制網(wǎng)絡(luò)進(jìn)行隔離，網(wǎng)絡(luò)間設(shè)置了防火墻，購買了網(wǎng)絡(luò)防病毒軟件，有了數(shù)據(jù)備份設(shè)備。但電力信息網(wǎng)絡(luò)的安全是不平衡的，很多單位沒有網(wǎng)絡(luò)防火墻，沒有數(shù)據(jù)備份的觀念，更沒有對網(wǎng)絡(luò)安全做統(tǒng)一、長遠(yuǎn)的規(guī)劃，網(wǎng)絡(luò)中有許多的安全隱患。1.2 電力信息網(wǎng)安全風(fēng)險分析

(1)計算機(jī)及信息網(wǎng)絡(luò)安全意識有待提高 由于近十幾年計算機(jī)信息技術(shù)高速發(fā)展，計算機(jī)信息安全策略和技術(shù)也取得了非常大的進(jìn)展。電力系統(tǒng)各種計算機(jī)應(yīng)用對信息安全的認(rèn)識距離實(shí)際需要差距較大，對新出現(xiàn)的信息安全問題認(rèn)識不足。

(2)急需建立同電力行業(yè)特點(diǎn)相適應(yīng)的計算機(jī)信息安全體系近幾年來，計算機(jī)在整個電力系統(tǒng)的生產(chǎn)、經(jīng)營、管理等方面應(yīng)用越來越多。但是，在計算機(jī)安全策略、安全技術(shù)、和安全措施投入較少。所以，為保證電力系統(tǒng)安全、穩(wěn)定、高效運(yùn)行，應(yīng)建立一套結(jié)合電力計算機(jī)應(yīng)用特點(diǎn)的計算機(jī)信息安全體系。

(3)缺乏統(tǒng)一的信息安全管理規(guī)范

電力系統(tǒng)雖然對計算機(jī)安全一直非常重視，但由于各種原因，目前還沒有一套統(tǒng)一、完善的能夠指導(dǎo)整個電力系統(tǒng)計算機(jī)及信息網(wǎng)絡(luò)系統(tǒng)安全運(yùn)行的管理規(guī)范。

(4)廣域網(wǎng)面臨巨大的外部安全攻擊

電力系統(tǒng)較早的計算機(jī)系統(tǒng)一般都是內(nèi)部的局域網(wǎng)，并沒有同外界連接。所以，早期的計算機(jī)安全只是防止意外破壞或者內(nèi)部人員的安全控制就可以了，但現(xiàn)在就必須要面對國際互聯(lián)網(wǎng)上各種安全攻擊，如網(wǎng)絡(luò)病毒和電腦“黑客”等。

(5)數(shù)據(jù)庫數(shù)據(jù)和文件的明文存儲

電力系統(tǒng)計算機(jī)網(wǎng)絡(luò)中的信息一般存儲在由數(shù)據(jù)庫管理系統(tǒng)維護(hù)的數(shù)據(jù)庫中或操作系統(tǒng)文件中。這些以明文形式存儲的信息存在泄漏的可能，因?yàn)槟玫酱鎯橘|(zhì)的人可以讀出這些信息；黑客可以繞過操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)的控制獲取這些信息；系統(tǒng)后門使軟硬件系統(tǒng)制造商很容易得到這些信息。

(6)信息的明文傳輸

現(xiàn)代應(yīng)用系統(tǒng)一般采用C/S（客戶/服務(wù)器）或B/S（瀏覽器/服務(wù)器）結(jié)構(gòu)，都在網(wǎng)絡(luò)上運(yùn)行，所處理的信息也必須在網(wǎng)絡(luò)主機(jī)間頻繁傳輸。在電力行業(yè)的計算機(jī)網(wǎng)絡(luò)系統(tǒng)中，信息傳輸基本上是明文方式。偶有采用SSL（安全套接字層）等加密傳輸?shù)模捎谕鈬踩到y(tǒng)出口的限制，所能夠用到的SSL是低安全級別的。這些明文或只受到低安全保護(hù)的信息在網(wǎng)絡(luò)上傳輸，不具有信息安全所要求的保密、完整和發(fā)送方的不可抵賴性要求。

(7)弱身份認(rèn)證

電力行業(yè)應(yīng)用系統(tǒng)基本上基于商用軟硬件系統(tǒng)設(shè)計和開發(fā)，用戶身份認(rèn)證基本上采用基于口令的鑒別模式，而這種模式很容易被攻破。有的應(yīng)用系統(tǒng)還使用自己的用戶鑒別方法，將用戶名、口令以及一些安全控制信息以明文的形式記錄在數(shù)據(jù)庫或文件中，這種脆弱的安全控制措施在操作人員計算機(jī)應(yīng)用水平不斷提高，信息敏感性不斷增強(qiáng)的今天不能再用了。

(8)沒有完善的數(shù)據(jù)備份措施

很多單位只是選擇一臺工作站備份一下數(shù)據(jù)就了事，沒有完善的數(shù)據(jù)備份設(shè)備，沒有數(shù)據(jù)備份策略，沒有數(shù)據(jù)備份的管理制度，沒有對數(shù)據(jù)備份的介質(zhì)妥善保管。

1.3 電力信息網(wǎng)安全防護(hù)方案

(1)加強(qiáng)電力信息網(wǎng)安全教育

安全意識和相關(guān)技能的教育是企業(yè)安全管理中重要的內(nèi)容，其實(shí)施力度將直接關(guān)系到企業(yè)安全策略被理解的程度和被執(zhí)行的效果。為了保證安全的成功和有效，高級管理部門應(yīng)當(dāng)對企業(yè)各級管理人員、用戶、技術(shù)人員進(jìn)行安全培訓(xùn)。所有的企業(yè)人員必須了解并嚴(yán)格執(zhí)行企業(yè)安全策略。在安全教育具體實(shí)施過程中應(yīng)該有一定的層次性和普遍性。當(dāng)然，對于特定的人員要進(jìn)行特定的安全培訓(xùn)。安全教育應(yīng)當(dāng)定期的、持續(xù)的進(jìn)行。在企業(yè)中建立安全文化并容納到整個企業(yè)文化體系中才是最根本的解決辦法。

(2)構(gòu)建電力信息網(wǎng)安全防護(hù)框架

根據(jù)電力企業(yè)的特點(diǎn)，信息安全按其業(yè)務(wù)性質(zhì)一般可分為四種：一種為電網(wǎng)運(yùn)行實(shí)時控制系統(tǒng)，第二種為電力營銷系統(tǒng)，電量計費(fèi)系統(tǒng)，負(fù)荷管理系統(tǒng)，第三種為支持企業(yè)經(jīng)營、管理、運(yùn)營的管理信息系統(tǒng)，第四種為不直接參與電力企業(yè)過程控制、生產(chǎn)管理的各類經(jīng)營、開發(fā)、采購、銷售等多種經(jīng)營公司。針對電力信息網(wǎng)業(yè)務(wù)的這種的層次結(jié)構(gòu)，從電力信息網(wǎng)安全需求上進(jìn)行分析，提出不同層次與安全強(qiáng)度的網(wǎng)絡(luò)信息安全防護(hù)框架即分層、分區(qū)的安全防護(hù)方案。

第一是分層管理。根據(jù)電力信息網(wǎng)共分為四級網(wǎng)的方式，每一級為一層，層間使用網(wǎng)絡(luò)防火墻進(jìn)行網(wǎng)絡(luò)隔離。

第二是分區(qū)管理。根據(jù)電力企業(yè)信息安全的特點(diǎn)，分析各相關(guān)業(yè)務(wù)系統(tǒng)的重要程度和數(shù)據(jù)流程、目前狀況和安全要求，將電力企業(yè)信息系統(tǒng)分為四個安全區(qū)：實(shí)時控制區(qū)、非控制生產(chǎn)區(qū)、生產(chǎn)管理區(qū)和管理信息區(qū)。區(qū)間使用網(wǎng)絡(luò)物理隔離設(shè)備進(jìn)行網(wǎng)絡(luò)隔離，對實(shí)時控制區(qū)等關(guān)鍵業(yè)務(wù)實(shí)施重點(diǎn)防護(hù)，并采用不同強(qiáng)度的安全隔離設(shè)備使各安全區(qū)中的業(yè)務(wù)系統(tǒng)得到有效保護(hù)。1.4 加強(qiáng)電力信息網(wǎng)安全防護(hù)技術(shù)措施

(1)網(wǎng)絡(luò)防火墻

防火墻是企業(yè)局域網(wǎng)到外網(wǎng)的唯一出口，這里的外網(wǎng)包括到不同層次的電力網(wǎng)、其他信息網(wǎng)如政府網(wǎng)和銀行網(wǎng)絡(luò)、internet，所有的訪問都將通過防火墻進(jìn)行，不允許任何繞過防火墻的連接。DMZ停火區(qū)放置了企業(yè)對外提供各項服務(wù)的服務(wù)器，即能夠保證提供正常的服務(wù)，又能夠有效地保護(hù)服務(wù)器不受攻擊。要正確設(shè)置防火墻的訪問策略，遵循“缺省全部關(guān)閉，按需求開通的原則”，拒絕除明確許可外的任何服務(wù)，也即是拒絕一切未予準(zhǔn)許的服務(wù)。

(2)物理隔離裝置

主要用于電力信息網(wǎng)的不同區(qū)之間的隔離。物理隔離裝置實(shí)際上是專用的防火墻，由于其不公開性，使得更難被黑客攻擊。

(3)入侵檢測系統(tǒng)

入侵檢測系統(tǒng)是專門針對黑客攻擊行為而研制的網(wǎng)絡(luò)安全產(chǎn)品。入侵檢測系統(tǒng)采用攻擊防衛(wèi)技術(shù)，具有高可靠性、高識別率、規(guī)則更新迅速等特點(diǎn)。系統(tǒng)具有強(qiáng)大的功能、方便友好的管理機(jī)制，可廣泛應(yīng)用于電力行業(yè)各單位。所選擇的入侵檢測系統(tǒng)能夠有效地防止各種類型的攻擊，中心數(shù)據(jù)庫應(yīng)放置在DMZ區(qū)，通過在網(wǎng)絡(luò)中不同的位置放置比如內(nèi)網(wǎng)、DMZ區(qū)網(wǎng)絡(luò)引擎，可與中心數(shù)據(jù)庫進(jìn)行通訊，獲得安全策略，存儲警報信息，并針對入侵啟動相應(yīng)的動作。管理員可在網(wǎng)絡(luò)中的多個位置訪問網(wǎng)絡(luò)引擎，對入侵檢測系統(tǒng)進(jìn)行監(jiān)控和管理。

(4)網(wǎng)絡(luò)隱患掃描系統(tǒng)

網(wǎng)絡(luò)隱患掃描系統(tǒng)能夠掃描網(wǎng)絡(luò)范圍內(nèi)的所有支持TCP／IP協(xié)議的設(shè)備，可以從網(wǎng)絡(luò)中不同的位置對網(wǎng)絡(luò)設(shè)備進(jìn)行掃描。掃描結(jié)束后生成詳細(xì)的安全評估報告,采用報表和圖形的形式對掃描結(jié)果進(jìn)行分析，可以方便直觀地對用戶進(jìn)行安全性能評估和檢查。

(5)網(wǎng)絡(luò)防病毒

為保護(hù)整個電力信息網(wǎng)絡(luò)免受病毒侵害，保證網(wǎng)絡(luò)系統(tǒng)中信息的可用性，應(yīng)構(gòu)建從主機(jī)到服務(wù)器的完善的防病毒體系。網(wǎng)絡(luò)防毒系統(tǒng)可以采用C/S模式，在網(wǎng)絡(luò)防毒服務(wù)器中安裝殺毒軟件服務(wù)器端程序，以服務(wù)器作為網(wǎng)絡(luò)的核心，通過派發(fā)的形式對整個網(wǎng)絡(luò)部署查、殺毒，服務(wù)器通過Internet利用LiveUpdate（在線升級）功能，從免疫中心實(shí)時獲取最新的病毒碼信息，及時更新病毒代碼庫。

(6)數(shù)據(jù)加密及傳輸安全

對與文件安全，通過文件加密、信息摘要和訪問控制等安全措施，來實(shí)現(xiàn)文件存儲和傳輸?shù)谋Ｃ芎屯暾砸螅?shí)現(xiàn)對文件訪問的控制。對通信安全，采用數(shù)據(jù)加密、信息摘要和數(shù)字簽名等安全措施對通信過程中的信息進(jìn)行保護(hù)，實(shí)現(xiàn)數(shù)據(jù)在通信中的保密、完整和不可抵賴性安全要求。對遠(yuǎn)程接入安全，通過VPN技術(shù)，提高時的信息（如電子公文，MAIL等等）在傳輸過程中的保密性和安全性。

(7)數(shù)據(jù)備份

對于企業(yè)來說，最珍貴的不是計算機(jī)、服務(wù)器、交換機(jī)和路由器等硬件設(shè)備，而是存儲在存儲介質(zhì)中的數(shù)據(jù)信息。因此對于一個信息管理系統(tǒng)來說，數(shù)據(jù)備份和容錯方案是必不可少的。因此必須建立集中和分散相結(jié)合的數(shù)據(jù)備份設(shè)施以及切合實(shí)際的數(shù)據(jù)備份策略。

(8)可靠安全審計

通過記錄審計信息來為信息安全問題的分析和處理提供線索。除了使用軟的密碼外，還可以使用象USB KEY等硬件的密碼認(rèn)證，更可以采用二者相結(jié)合的方式。

(9)數(shù)據(jù)庫安全

通過數(shù)據(jù)存儲加密、完整性檢驗(yàn)和訪問控制來保證數(shù)據(jù)庫數(shù)據(jù)的機(jī)密和完整性，并實(shí)現(xiàn)數(shù)據(jù)庫數(shù)據(jù)的訪問安全。2 智能電網(wǎng)發(fā)展帶來的信息安全風(fēng)險

智能電網(wǎng)的安全問題越來越得到關(guān)注，雖然歐美已經(jīng)提出了一些安全策略，但還沒有形成統(tǒng)一的智能電網(wǎng)安全標(biāo)準(zhǔn)規(guī)范體系。缺乏一套完整的安全標(biāo)準(zhǔn)規(guī)范體系，智能電網(wǎng)今后的安全性將無法得到保障這也是智能電網(wǎng)將會面臨的一個非常嚴(yán)峻的問題。智能電網(wǎng)的建設(shè)在為電力企業(yè)以及用戶帶來效益和實(shí)惠的同時,也帶來新的安全風(fēng)險。,2.1物理安全

智能電網(wǎng)的物理方面的安全是指智能電網(wǎng)系統(tǒng)運(yùn)營所必需的各種硬件設(shè)備的安全。主要包括防止硬件設(shè)備被物理非法進(jìn)入、防止未經(jīng)過授權(quán)的物理訪問和機(jī)房建設(shè)嚴(yán)格遵循國家標(biāo)準(zhǔn)等方面。這些硬件設(shè)備主要包括智能流量計、測量儀器等各類型傳感器，通信系統(tǒng)中的各種網(wǎng)絡(luò)設(shè)備、計算機(jī)以及存儲數(shù)據(jù)的各種存儲介質(zhì)。物理安全的防護(hù)目標(biāo)是防止有人通過破壞業(yè)務(wù)系統(tǒng)的外部物理特性以達(dá)到使系統(tǒng)停止服務(wù)的目的，或防止有人通過物理接觸方式對系統(tǒng)進(jìn)行入侵。要做到在信息安全事件發(fā)生前和發(fā)生后能夠執(zhí)行對設(shè)備物理接觸行為的審核和追查。2.2 網(wǎng)絡(luò)安全

網(wǎng)絡(luò)方面的安全主要指智能電網(wǎng)應(yīng)具有較高的可靠性，該通信網(wǎng)絡(luò)必須具備比較完善的二次系統(tǒng)安全防護(hù)方案。隨著智能電網(wǎng)規(guī)模的擴(kuò)大互聯(lián)大電網(wǎng)的形成，電力系統(tǒng)結(jié)構(gòu)的復(fù)雜性將顯著增加電網(wǎng)的安全穩(wěn)定性與脆弱性問題將會越顯突出。同時復(fù)雜度的增加，將導(dǎo)致接口數(shù)量激增、電力子系統(tǒng)之間的稠合度更高，因此很難在系統(tǒng)內(nèi)部進(jìn)行安全域的劃分這使得安全防護(hù)變得尤為復(fù)雜。可能出現(xiàn)的風(fēng)險隱患如下：

（1）網(wǎng)絡(luò)環(huán)境更加復(fù)雜，攻擊手段智能化

智能電網(wǎng)的建設(shè)，信息集成度更高，網(wǎng)絡(luò)環(huán)境更加復(fù)雜，病毒、黑客的攻擊規(guī)模與頻繁度會越來越高此外隨著很多新的信息通信技術(shù)的采用，比如WIFI、WCDMA、3G等，它們在為智能電網(wǎng)的生產(chǎn)、管理、運(yùn)行帶來支撐的同時，也會將新的信息安全風(fēng)險引人到智能電網(wǎng)的各個環(huán)節(jié)為了提高數(shù)據(jù)的傳輸效率，智能電網(wǎng)可能會使用公共互聯(lián)網(wǎng)來傳輸重要數(shù)據(jù)，這也將會對智能電網(wǎng)的安全穩(wěn)定運(yùn)行造成潛在的威脅，甚至可能會造成電網(wǎng)運(yùn)行的重大事故。不安全的智能網(wǎng)絡(luò)技術(shù)將會給黑客提供他們所附屬的不安全網(wǎng)絡(luò)的快速通道。這都將會給電力系統(tǒng)帶來嚴(yán)峻考驗(yàn)。

（2）用戶的安全威脅

未來用戶和電網(wǎng)之間將會出現(xiàn)更加廣泛的聯(lián)系未來用戶和電網(wǎng)之間將會出現(xiàn)更加廣泛的聯(lián)系，實(shí)現(xiàn)信息和電能的雙向互動。基于AMI系統(tǒng)，用戶側(cè)的智能設(shè)備（比如智能電器、插拔式電動車等）都將直接連到電力系統(tǒng)。這不可避免地給用戶帶來安全隱患。一方面用戶與電力公司之間的信息交互涉及到公共互聯(lián)網(wǎng)用戶的隱私將會受到威脅；另一方面家用的智能設(shè)備充分暴露在電力系統(tǒng)中，易受到黑客的攻擊。因此智能電網(wǎng)中端到端的安全就顯得非常關(guān)鍵。

（3）智能終端的安全漏洞

隨著大量智能可編程設(shè)備的接入，已實(shí)現(xiàn)對電網(wǎng)運(yùn)行狀態(tài)實(shí)時監(jiān)控進(jìn)行故障定位以及故障修復(fù)等，從而提高電網(wǎng)系統(tǒng)的效率和可靠性。這些智能設(shè)備一般都可以支持遠(yuǎn)程訪問, 比如遠(yuǎn)程斷開連接、軟件更新升級等。這將會帶來額外的安全風(fēng)險，利用某些軟件漏，黑客可以人侵這些智能終端，操縱和關(guān)閉某些功能，, 暴露用戶的使用記錄,甚至可以通過人侵單點(diǎn)來控制局部電力系統(tǒng)。因此這些智能終端可能會成為智能電網(wǎng)內(nèi)新的攻擊點(diǎn)。面對更加復(fù)雜的接人環(huán)境、靈活多樣 的接入方式，數(shù)量龐大的智能接人終端對信息的安全防護(hù)提出新的要求。2.3 數(shù)據(jù)安全及備份恢復(fù)

在智能電網(wǎng)中，數(shù)據(jù)安全的含義有兩點(diǎn)：其一，數(shù)據(jù)本身的安全。即采用密碼技術(shù)對數(shù)據(jù)進(jìn)行保護(hù)，如數(shù)據(jù)加密、數(shù)據(jù)完整性保護(hù)、雙向強(qiáng)身份認(rèn)證等。其二，數(shù)據(jù)防護(hù)的安全，即采用信息存儲手段對數(shù)據(jù)進(jìn)行主動防護(hù)，如通過磁盤陣列、數(shù)據(jù)備份、異地容災(zāi)以及云存儲等手段保證數(shù)據(jù)的安全。在智能電網(wǎng)中，必須確保雙向傳送的數(shù)據(jù)安全，即把數(shù)據(jù)的正確性、保密性、防復(fù)制、防篡改、防抵賴作為信息安全的關(guān)鍵指標(biāo)。對整個數(shù)據(jù)安全認(rèn)證證書認(rèn)證系統(tǒng)數(shù)據(jù)庫和密鑰管理中心數(shù)據(jù)庫進(jìn)行完全備份。且對數(shù)據(jù)庫的備份和恢復(fù)規(guī)定只能由系統(tǒng)管理員完成。對于經(jīng)常變化的動態(tài)數(shù)據(jù)應(yīng)每天做備份，備份為每日覆蓋。對于不常變化的靜態(tài)或準(zhǔn)靜態(tài)數(shù)據(jù)，可每星期進(jìn)行一次備份。具體備份時間根據(jù)證書認(rèn)證系統(tǒng)機(jī)構(gòu)的政策來決定。同時對數(shù)據(jù)庫中存儲的密鑰信息、用戶的加密密鑰信息、關(guān)鍵配置信息、用戶證書的相關(guān)信息等關(guān)鍵、敏感信息采用高強(qiáng)度的加密方式進(jìn)行存儲。解決智能電網(wǎng)信息安全應(yīng)注意的四個原則 3.1系統(tǒng)分級原則

智能電網(wǎng)的信息系統(tǒng)，將以實(shí)現(xiàn)等級保護(hù)為基本出發(fā)點(diǎn)進(jìn)行安全防護(hù)體系建設(shè)，依據(jù)系統(tǒng)定級情況進(jìn)行安全域劃分，并參照國家信息安全管理部門、國家電網(wǎng)公司和電監(jiān)會的安全要求進(jìn)行防護(hù)措施設(shè)計。信息系統(tǒng)包括電力二次系統(tǒng)和管理信息系統(tǒng)兩個大類。電力二次系統(tǒng)包括能量管理系統(tǒng)、變電站自動化系統(tǒng)等；管理信息系統(tǒng)包括企業(yè)門戶, 財務(wù)、營銷、物資管理和人力資源、安全生產(chǎn)等系統(tǒng)。根據(jù)系統(tǒng)的重要性可分為2級、3級、4級系統(tǒng)，重要性依次提升。所有2級系統(tǒng)可以歸為一個安全域，3級以上系統(tǒng)需要單獨(dú)成域。對智能電網(wǎng)信息系統(tǒng)分級，將提高電網(wǎng)抗擊風(fēng)險的能力，有效地維護(hù)智能電網(wǎng)安全可靠的運(yùn)行。3.2防護(hù)分域原則

劃分安全域是構(gòu)建智能電網(wǎng)信息安全網(wǎng)絡(luò)的基礎(chǔ)，具體可劃分為網(wǎng)絡(luò)核心區(qū)域、核心服務(wù)器區(qū)域、桌面辦公區(qū)域、分支機(jī)構(gòu)區(qū)域、互聯(lián)機(jī)構(gòu)區(qū)域、測試服務(wù)器區(qū)域和安全設(shè)備區(qū)域。網(wǎng)絡(luò)核心區(qū)域是電網(wǎng)信息安全網(wǎng)絡(luò)的心臟，它負(fù)責(zé)全網(wǎng)的路由交換以及和不同區(qū)域的邊界隔離。這個區(qū)域一般包括核心路由設(shè)備、核心交換設(shè)備、核心防火墻以及主動防攻擊和流量控制設(shè)備等。3.3積極管控原則

信息安全網(wǎng)絡(luò)的建設(shè)并沒有隨著分區(qū)防御的建設(shè)而結(jié)束，智能電網(wǎng)的建設(shè)對整體信息網(wǎng)絡(luò)的監(jiān)控和控制以及對安全網(wǎng)絡(luò)提出了更高的要求，這就是智能電網(wǎng)信息系統(tǒng)要求的積極管控原則。智能電網(wǎng)安全設(shè)備區(qū)域包括網(wǎng)絡(luò)管控的必要工具，具體為部署在安全設(shè)備區(qū)域中的網(wǎng)管平臺、日志分析系統(tǒng)、攻擊分析報警系統(tǒng)、安全審計系統(tǒng)等一系列系統(tǒng)。3.4充分災(zāi)備原則

在近期自然災(zāi)害和黑客攻擊頻發(fā)的環(huán)境下，充分災(zāi)備原則已經(jīng)逐漸被電網(wǎng)各級管理人員所重視。隨著國家電網(wǎng)公司智能電網(wǎng)的建設(shè)和信息化工作的大力推進(jìn)，信息系統(tǒng)的安全在公司生產(chǎn)、經(jīng)營和管理工作中的作用日益凸顯，電網(wǎng)信息系統(tǒng)及其數(shù)據(jù)信息已成為公司的重要資源，公司各單位對建設(shè)容災(zāi)中心的需求也日益強(qiáng)烈。智能電網(wǎng)的安全解決方案

根據(jù)威脅分析、安全策略中提出的基本要求和安全目標(biāo)，在整體保障框架的指導(dǎo)下，我們就具體的安全技術(shù)措施和安全管理措施設(shè)計安全解決方案，以滿足相應(yīng)等級的安全保護(hù)需求。4.1分級分域

安全域足指同一環(huán)境內(nèi)有相同的安全保護(hù)需求、相互信任、并具有相同的控制策略的邏輯區(qū)域。我們對信息內(nèi)外網(wǎng)以設(shè)置邏輯強(qiáng)隔離設(shè)備的物理方式進(jìn)行安全隔離，并對信息內(nèi)外網(wǎng)分別進(jìn)行安全域劃分。《信息安全等級保護(hù)管理辦法》及國家信息安全監(jiān)管部門對三級系統(tǒng)安全保障強(qiáng)度的要求足要高于二級系統(tǒng)。因此，在對信息系統(tǒng)的安全域進(jìn)行劃分時，等級保護(hù)要求較高的各二級系統(tǒng)劃分為獨(dú)立的安全域，以實(shí)現(xiàn)各二級系統(tǒng)間，二級系統(tǒng)與其它系統(tǒng)間的獨(dú)立安全防護(hù)，同吋也為集集團(tuán)公司及外部監(jiān)管機(jī)構(gòu)對于二級系統(tǒng)的安全監(jiān)管提供便利。報據(jù)“二級系統(tǒng)統(tǒng)一成域，三級系統(tǒng)獨(dú)立分域”分域方法劃分安全域后，信息內(nèi)網(wǎng)安全域分為：

(1)營銷管理系統(tǒng)域。基于營銷管現(xiàn)系統(tǒng)的重要性及目前各單位的安全建設(shè)現(xiàn)狀,按等級保護(hù)二級要求進(jìn)行安全防護(hù)建設(shè)。

(2)ERP系統(tǒng)域。由于“SG186”規(guī)劃中財務(wù)管押系統(tǒng)將最終以模塊的形式整合于ERP系統(tǒng)中,因此ERP系統(tǒng)按財務(wù)管理系統(tǒng)所屬的等級保護(hù)二級進(jìn)行安全建設(shè)。

(3)一級系統(tǒng)域。所有一級系統(tǒng)統(tǒng)一部署于—級系統(tǒng)域中進(jìn)行安全防護(hù)建設(shè)。(4)內(nèi)網(wǎng)桌面終端域。4.2 邊界安全防護(hù)

邊界安全防護(hù)關(guān)注如何對進(jìn)出該邊界的數(shù)據(jù)流進(jìn)行有效的檢測和控制。有效的檢測機(jī)制包括基于網(wǎng)絡(luò)的入侵檢測(IDS)，在網(wǎng)絡(luò)邊界處對惡意代碼進(jìn)行檢測和清除，以及對進(jìn)出網(wǎng)絡(luò)的信息內(nèi)容進(jìn)行過濾。由此實(shí)現(xiàn)對應(yīng)用層HTTP、FTP、TELNET、SMTP、P0P3等協(xié)辦議命令級的控制以及邊界的內(nèi)訪問過濾，并限制網(wǎng)絡(luò)最大流量數(shù)及網(wǎng)絡(luò)連接數(shù)。有效的控制措施包括應(yīng)能根據(jù)會話狀態(tài)信息為數(shù)據(jù)流提供明確的允許、據(jù)絕訪問的能力，控制力度為端口級，同時按用戶和系統(tǒng)之間的允許訪問規(guī)則，決定允許或拒絕用戶對受控系統(tǒng)進(jìn)行資源訪問，控制力度為單個用戶。網(wǎng)絡(luò)訪問控制、入侵防護(hù)以及內(nèi)容過濾可以使用防火墻、IPS、邊界安全網(wǎng)關(guān)等來實(shí)現(xiàn)上述功能要求。進(jìn)行邊界安全防護(hù)的首要任務(wù)是明確安全邊界，各個區(qū)域的訪問控制要通過防火墻來實(shí)現(xiàn)。4.3網(wǎng)絡(luò)環(huán)境安全防護(hù)

網(wǎng)絡(luò)環(huán)境安全防護(hù)對象包括公司全網(wǎng)網(wǎng)絡(luò)和路由器、防火墻、交換機(jī)等基礎(chǔ)網(wǎng)絡(luò)和安全設(shè)備。對于國家電網(wǎng)公司各單位網(wǎng)絡(luò)互聯(lián)所涉及的網(wǎng)絡(luò)安全問題，將從網(wǎng)絡(luò)設(shè)備安全防護(hù)的角度進(jìn)行考慮，涉及到二級與三系統(tǒng)間共用的網(wǎng)絡(luò)設(shè)備、安全設(shè)備按二級要求就高防護(hù)。網(wǎng)絡(luò)設(shè)備安全色括在公司內(nèi)部支持基礎(chǔ)網(wǎng)絡(luò)和業(yè)務(wù)系統(tǒng)運(yùn)行的網(wǎng)關(guān)設(shè)備、交換設(shè)備、安全設(shè)備等的安全防護(hù)，對于國家電網(wǎng)公司為各域均提供網(wǎng)絡(luò)支撐服務(wù)的設(shè)備，按滿足等級保護(hù)二級基本要求進(jìn)行安全防護(hù)。

(1)結(jié)構(gòu)安全

要保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要,保證接入網(wǎng)絡(luò)和核心網(wǎng)絡(luò)的帶寬滿足業(yè)務(wù)高峰期需要,提供關(guān)鍵網(wǎng)絡(luò)設(shè)備、通信線路和數(shù)據(jù)處理系統(tǒng)的硬件冗余,因此,公司的核心設(shè)備以及主要鏈路均要達(dá)到雙機(jī)熱備用和鏈路冗余,主要鏈路需設(shè)置雙鏈路。例如,內(nèi)網(wǎng)的核心交換機(jī)采用雙核(CISCO 6509),內(nèi)網(wǎng)的雙核交換機(jī)采用雙線路鏈接營銷系統(tǒng)域雙核交換,內(nèi)網(wǎng)的雙核心采用雙鏈路與服務(wù)器區(qū)匯聚交換設(shè)備相連。同時,各個設(shè)備的性能也要滿足業(yè)務(wù)高峰期的要求。

(2)安全接入控制

基于網(wǎng)絡(luò)設(shè)備的準(zhǔn)入控制目前主要依賴如802.1X等控制協(xié)議,因此,可依托聯(lián)軟認(rèn)證系統(tǒng)在全網(wǎng)實(shí)現(xiàn)802.1X控制。能夠控制到非注冊主機(jī)無法正常使用網(wǎng)絡(luò),同時利用北信源桌面管理系統(tǒng)實(shí)現(xiàn)移動存儲管理和非法外聯(lián)等管理。

(3)設(shè)備安全管理

《國家電網(wǎng)公司公SG186工程信息系統(tǒng)安全等級保護(hù)驗(yàn)收標(biāo)準(zhǔn)(試行)》要求：網(wǎng)絡(luò)中所有網(wǎng)絡(luò)設(shè)備需要開啟SSH。對管理的數(shù)據(jù)流進(jìn)行加密；其他安全設(shè)備如人融信網(wǎng)絡(luò)衛(wèi)士防火墻管理控制臺默認(rèn)使用SSL加密方式傳輸數(shù)據(jù);啟明星辰人清入侵防御系統(tǒng)管珅.默認(rèn)采用加密方式傳輸。DPTECHIPS、綠盟漏洞掃描、漢景上網(wǎng)行為管理等均利用https方式進(jìn)行登陸管理。

對登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別,對網(wǎng)絡(luò)設(shè)備的管理員登錄地址行限制。

口令必須具有一定強(qiáng)度、長度和復(fù)雜度并定期更換。長度不得小于8位字符串,要求是字母和數(shù)字或特殊字符的混合,用戶名和口令禁止相同,所有的設(shè)備口令均符合要求設(shè)定較為復(fù)雜的Community控制字段,不使用Public、Private等默認(rèn)字段。

口令要及時更新,要建立定期修改制度。其中系統(tǒng)管理員口令修改間隔不得超過3個月,并且不得重復(fù)使用前3次以內(nèi)的口令。用戶登錄事件要有記錄和審計,同時限制同一用戶連續(xù)失敗登錄次數(shù),一般不超過3次。

(4)安全弱點(diǎn)掃描

網(wǎng)絡(luò)中部署綠盟極光漏洞掃描系統(tǒng),定期對系統(tǒng)、網(wǎng)絡(luò)設(shè)備、應(yīng)用及數(shù)據(jù)庫進(jìn)行掃描,及時發(fā)現(xiàn)系統(tǒng)可能存在的漏洞,防止攻擊者利用。

(5)安全事件審計

設(shè)定網(wǎng)絡(luò)設(shè)備日志輸出至專門的內(nèi)網(wǎng)審計設(shè)備。(6)配置文件備份

重要網(wǎng)絡(luò)設(shè)備及安全設(shè)備的配置均分兩份存放于網(wǎng)絡(luò)管理人員A、B角色個人主機(jī)上,保證在問題發(fā)生時能夠快速恢復(fù)。

(7)網(wǎng)絡(luò)業(yè)務(wù)信息流安全防護(hù)

信息流防護(hù)主要通過IPSEC等鏈路加密方式實(shí)現(xiàn),防止網(wǎng)間通訊存在的數(shù)據(jù)竊取修改等問題,具體可使用防火墻中VPN功能實(shí)現(xiàn)。針對省市縱向網(wǎng)絡(luò)的業(yè)務(wù)信息流,采用基于MPLS VPN的方式進(jìn)行業(yè)務(wù)數(shù)據(jù)流劃分。4.4主機(jī)與系統(tǒng)

應(yīng)用服務(wù)器承載著公司的應(yīng)用系統(tǒng)及業(yè)務(wù)數(shù)據(jù),對應(yīng)用服務(wù)器的安全應(yīng)當(dāng)從操作系統(tǒng)安全和數(shù)據(jù)庫安全兩個層面進(jìn)行設(shè)計:(1)操作系統(tǒng)安全

操作系統(tǒng)足承載業(yè)務(wù)應(yīng)用、數(shù)據(jù)庫應(yīng)用的基礎(chǔ)載體,足業(yè)務(wù)應(yīng)用安全的主要防線,一旦操作系統(tǒng)的安全性出現(xiàn)問題,將對業(yè)務(wù)系統(tǒng)及業(yè)務(wù)數(shù)據(jù)安全造成嚴(yán)重威脅,關(guān)于操作系統(tǒng)安全,主要通過如下安全措施完成：

操作系統(tǒng)基礎(chǔ)防護(hù)：服務(wù)器采用一定的安全措施,主要包括補(bǔ)丁管理、網(wǎng)絡(luò)防病毒系統(tǒng)部署、定期漏洞掃描和安全加固等。針對系統(tǒng)的安全加固,制定了相關(guān)要求,并針對Windows、Unix(AIX、Solaris、HP-UX、linux)等系統(tǒng)制定安全加固手冊；

身份鑒別：通過口令策略配置加強(qiáng)其強(qiáng)壯性,并且口令必須具有一定強(qiáng)度、長度和復(fù)雜度并定期更換,長度不得小于8位字符串,且要求是字母和數(shù)字或特殊字符的混合,禁止用戶名和口令相同。個人計算機(jī)必須設(shè)置開機(jī)口令和操作系統(tǒng)管理員口令,并開啟屏幕保護(hù)中的密碼保護(hù)功能；

訪問控制：啟用訪問控制功能,依據(jù)安全策略控制用戶對資源的訪問；安全審計：開啟服務(wù)器日志審計功能,將系統(tǒng)的日志統(tǒng)一發(fā)送到網(wǎng)康內(nèi)網(wǎng)審計設(shè)備上。Windows服務(wù)器Event Log無法直接進(jìn)行syslog輸出,需借助安全管理平臺的Windows桌面日志Agent實(shí)現(xiàn)；

入侵防范：在服務(wù)器上僅安裝需要的應(yīng)用程序,關(guān)閉業(yè)務(wù)應(yīng)用正常運(yùn)行所不需要的服務(wù)和端口,在確保系統(tǒng)穩(wěn)定運(yùn)行的基礎(chǔ)上,保持操作系統(tǒng)補(bǔ)丁及時得到更新；

惡意代碼防范：在內(nèi)外網(wǎng)的所有系統(tǒng)中均安裝防病毒軟件,并及時更新防惡意代碼軟件版本和惡意代碼庫,在信息內(nèi)網(wǎng)通過手動方式導(dǎo)入并進(jìn)行分發(fā)。資源控制通過安全管押平臺部署,可實(shí)現(xiàn)可主機(jī)的資源監(jiān)控,了解CPU、硬盤、內(nèi)存、網(wǎng)絡(luò)等資源的使用狀況,服務(wù)水平降低到預(yù)定的最小值應(yīng)可進(jìn)行報警并采取措施。系統(tǒng)備份制定系統(tǒng)備份計劃,實(shí)現(xiàn)定期對操作系統(tǒng)及運(yùn)行于操作系統(tǒng)之上的業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫系統(tǒng)程序進(jìn)行備份;定期或在操作系統(tǒng)環(huán)境、數(shù)據(jù)庫、應(yīng)用系統(tǒng)發(fā)生變更時進(jìn)行備份恢復(fù)測試。

(2)數(shù)據(jù)庫安全包括：

身份鑒別：使用用戶名+靜態(tài)口令認(rèn)證方式的數(shù)據(jù)庫系統(tǒng)。對不同操作用戶,設(shè)置不同權(quán)限,以數(shù)據(jù)庫不同用戶進(jìn)行操作。

訪問控制：設(shè)置系統(tǒng)安全策略,分配權(quán)限嚴(yán)格控制用戶資源訪問權(quán)限。安全審計：安全審計依靠網(wǎng)康內(nèi)網(wǎng)審計系統(tǒng)實(shí)現(xiàn)。網(wǎng)康上網(wǎng)行為管理是一款專業(yè)的硬件上網(wǎng)行為管理設(shè)備,可以提供專業(yè)的用戶管理、應(yīng)用控制、網(wǎng)頁過濾、內(nèi)容審計、流量管理和行為分析等功能。依靠這一設(shè)備的功能,可以有效增

強(qiáng)網(wǎng)絡(luò)行為的管理。入侵防范：數(shù)據(jù)庫系統(tǒng)要關(guān)閉不需要的服務(wù),并保持?jǐn)?shù)據(jù)庫系統(tǒng)補(bǔ)r及時得到更新。

（3）桌面管理

企業(yè)級用戶的員工每天在使用個人PC、筆記本電腦等終端設(shè)備進(jìn)行辦公。由于終端設(shè)備流動性大、位置分散、數(shù)量眾多、難于管理,因此除了需要安裝防病毒軟件外,還需要進(jìn)行終端級的防火墻控制、入侵檢測、補(bǔ)丁管理,以更好地保障桌面終端的安全。有效地保障個人辦公桌面終端的安全，也在很大程度上也降低了整個企業(yè)信息系統(tǒng)所面臨的安全風(fēng)險。公司桌面終端分為內(nèi)網(wǎng)桌面終端與外網(wǎng)桌面終端,內(nèi)網(wǎng)桌面終端用于信息內(nèi)網(wǎng)的業(yè)務(wù)操作及信息處理,外網(wǎng)桌面終端用于外網(wǎng)信息訪問。4.5應(yīng)用系統(tǒng)防護(hù)

保障應(yīng)用系統(tǒng)的安全性,需要對應(yīng)用系統(tǒng)進(jìn)行如下操作,這里重點(diǎn)防護(hù)—級系統(tǒng)域中的應(yīng)用系統(tǒng)。（1）應(yīng)用系統(tǒng)安全

應(yīng)用系統(tǒng)進(jìn)行安全加固：參照廠商提供的安全加固列表,對通用應(yīng)用系統(tǒng)進(jìn)行加固,如Oracle、Notes、Apache等。

應(yīng)用系統(tǒng)鏈路應(yīng)部署入侵防御設(shè)備進(jìn)行定期漏洞掃描。己部署漏洞掃描產(chǎn)品定期對應(yīng)用系統(tǒng)進(jìn)行檢測。

（2）身份認(rèn)證機(jī)制

應(yīng)用系統(tǒng)應(yīng)當(dāng)提供用戶登陸身份認(rèn)證功能，采用用戶名/口令進(jìn)行認(rèn)證時,應(yīng)當(dāng)對口令長度、復(fù)雜度、生存周期進(jìn)行強(qiáng)制要求，系統(tǒng)應(yīng)提供用戶身份標(biāo)識唯一和鑒別信息復(fù)雜度檢查功能,禁止口令在系統(tǒng)中以明文形式存儲；系統(tǒng)應(yīng)當(dāng)提供制定用戶登錄錯誤鎖定、會話超時退出等安全策略的功能。

用戶權(quán)限及訪問控制：要對權(quán)限的賦予和變更等制定嚴(yán)格的審核、批準(zhǔn)、操作流程,要求權(quán)限變動經(jīng)審核批準(zhǔn)后方可執(zhí)行或生效，依據(jù)權(quán)限最小化原則對用戶賦予適當(dāng)?shù)臋?quán)限，執(zhí)行角色分離,禁止多人共用賬號，并定期進(jìn)行權(quán)限復(fù)核。應(yīng)用系統(tǒng)采用訪問控制功能,制定安全策略以管理訪問相關(guān)主體、客體及訪問類型、訪問權(quán)限。

應(yīng)用系統(tǒng)審計：應(yīng)用系統(tǒng)本身幵發(fā)時需要實(shí)現(xiàn)系統(tǒng)審計能力,如用戶登錄時間、地點(diǎn)(IP)、操作等；系統(tǒng)日志應(yīng)輸出至日志審計平臺。

（3）數(shù)據(jù)存儲保密

提供本地數(shù)據(jù)備份與恢復(fù)功能,數(shù)據(jù)備份至少每人進(jìn)行一次,備份介質(zhì)應(yīng)當(dāng)場外存放;當(dāng)在環(huán)境發(fā)生變更時或定期進(jìn)行備份恢復(fù)測試,以保證所備份數(shù)據(jù)的可恢復(fù);提供異地數(shù)據(jù)備份功能,利用通信網(wǎng)絡(luò)將關(guān)鍵數(shù)據(jù)定時批量傳送至備用場地;備份介質(zhì)嚴(yán)格管理,防止未授權(quán)訪問業(yè)務(wù)備份數(shù)據(jù);采用硬件雙機(jī)等冗余技術(shù)保證關(guān)鍵應(yīng)用的可用性。5 結(jié)語

隨著智能電網(wǎng)的發(fā)展，未來的信息安全可能要面臨新的問題。智能電網(wǎng)從整體上可以看作是由電力網(wǎng)和信息網(wǎng)構(gòu)成的相互依存復(fù)合網(wǎng)絡(luò)，其中信息網(wǎng)絡(luò)的安全及其對電力系統(tǒng)運(yùn)行安全帶來的風(fēng)險不容忽視。未來智能電網(wǎng)將會融合更多的先進(jìn)的信息安全技術(shù)，如可信計算、云安全等。本文提出的一些建議期望對智能電網(wǎng)信息安全防御起到一定的參考作用。

參考文獻(xiàn)：

[1]何光宇，孫英云.智能電網(wǎng)基礎(chǔ)[M].北京：中國電力出版社，2010.[2]Tony F，Justin M.智能電網(wǎng)安全——下一代電網(wǎng)安全[M].北京：國防工業(yè)出版社,2013.[3]劉振亞，陳月明，鄭寶森等.智能電網(wǎng)技術(shù)[M].北京：中國電力出版社,2007.[4]潘可佳.智能電網(wǎng)的信息安全探討[J].信息通信，2013（9）：134-135.[5]馬韜韜，李

可，朱少華等.智能電網(wǎng)信息和通信技術(shù)關(guān)鍵問題探討 [J].電氣自動化設(shè)備，2013，30（5）：87-91.[6]陳亞平.智能電網(wǎng)信息安全及其防護(hù)技術(shù) [J].科技前沿，2012（661）：177-178.[7]李雪冬，李建奕.智能電網(wǎng)信息安全[J].信息技術(shù)，2012（2）：28-31.[8]潘可佳.智能電網(wǎng)的信息安全技術(shù)探討[J].科技信息，2013（13）：291-292.[9]潘可佳.智能電網(wǎng)信息安全技術(shù)研究與應(yīng)用[J].山東大學(xué)學(xué)報，2013（10）：184-201.Smart Grid Information Security Research

LI Peng-ru（Shenyang Institute of Engineering，Graduate School，Liaoning Shenyang 110136）Summary：Smart grid is a highly automated, digital, information technology, interactive grid.As one of the most important things era applications, smart grid will bring great changes on people's work and life, but the smart grid openness and inclusiveness also decided it inevitably information security risks.Firstly, the article analyzes traditional grid information security , giving prevention programs, and then discusses the issue of information security

that smart grid may faces, including physical security, network security, data security and backup and recovery, etc., and proposes four principles of solving the information safety should be noted.finally, proposing protection programs from grade Fenwick, border security, network security and other aspects of the environment.Keyword：Smart grid；information security；Protection program

第三篇：數(shù)字化檔案信息的安全保障體系研究

數(shù)字化檔案信息的安全保障體系研究

摘要：數(shù)字化檔案信息管理提高了管理水平，促進(jìn)了檔案管理工作向著服務(wù)型和科學(xué)化的方向轉(zhuǎn)變，就是在管理內(nèi)容中也做出了真實(shí)與客觀性的保障。但是在有利的影響作用下，也具有不利因素的制約，主要表現(xiàn)在安全性問題中，在環(huán)境因素、社會因素和技術(shù)因素中，我國的檔案管理工作出現(xiàn)了較多安全隱患，威脅了個人、企業(yè)和社會的發(fā)展。文章中針對這些問題進(jìn)行了優(yōu)化體系措施分析。

關(guān)鍵詞：檔案管理數(shù)字化安全體系信息安全措施分析

在傳統(tǒng)的檔案管理工作中，紙質(zhì)類文件管理存在一定的安全問題，主要是由于紙質(zhì)類文件在保管中容易發(fā)生丟失和擅自調(diào)用等現(xiàn)象，不符合現(xiàn)代化標(biāo)準(zhǔn)的建設(shè)原則，另外，就是在蟲蛀和腐蝕的環(huán)境中造成了是安全使用隱患。通過計算機(jī)信息化和數(shù)字化技術(shù)的應(yīng)用，改變了以往檔案管理儲存、調(diào)用和管理的形式，通過軟件和用戶名的使用，保證了信息資料的安全使用性，但是這種技術(shù)應(yīng)用中也存在一定的技術(shù)風(fēng)險，下面進(jìn)行具體的分析：

一、數(shù)字化檔案建設(shè)的安全影響因素分析

（一）環(huán)境因素

在現(xiàn)代化的檔案管理應(yīng)用中，通過電子檔案和紙質(zhì)類檔案的雙重管理，保證了檔案信息資料的客觀性與完整性，是現(xiàn)代化規(guī)范管理的重要體現(xiàn)。那么在環(huán)境的影響中，分別在這兩方面造成了不同程度的破壞。在紙質(zhì)類文件的影響中，主要是由于長時間的擺放，空氣中的水分、細(xì)菌和蛀蟲等對文件的破壞。而在電子文件的破壞中，主要是通過計算機(jī)硬件的影響間接破壞的，如在潮濕、高溫和強(qiáng)光的照射中，硬件系統(tǒng)很容易發(fā)生性能上的改變，進(jìn)而在計算機(jī)的操作中無法解讀光盤等，造成檔案信息的丟失。

（二）社會因素

檔案管理工作的安全性在社會中遭到破壞具有不可抗力和可抗力兩種。不可抗力主要表現(xiàn)在戰(zhàn)爭和地質(zhì)災(zāi)害中，影響了檔案管理設(shè)施和傳輸渠道。在可抗力因素中主要是工作人員的影響，特別是在計算機(jī)信息化建設(shè)使用中，一些不法分子為了暫時的利益，通過經(jīng)濟(jì)和政治類檔案資料的偷取，對國家和企業(yè)造成了嚴(yán)重的損害，主要表現(xiàn)為計算機(jī)黑客在軟件系統(tǒng)中的攻擊，在檔案管理中心，一旦重要的信息泄露，將會嚴(yán)重的威脅我國的穩(wěn)定建設(shè)，可見社會因素的影響嚴(yán)重性。

（三）技術(shù)因素

當(dāng)前的計算機(jī)電子信息技術(shù)發(fā)展的速度較快，雖然在檔案管理系統(tǒng)中進(jìn)行了安全預(yù)防工作，但是相對應(yīng)的預(yù)防措施技術(shù)的提高也就刺激了破壞性技術(shù)的不斷突破，那么在技術(shù)維護(hù)中，就要針對使用現(xiàn)狀與科技的發(fā)展趨勢，進(jìn)行科技的不斷提高，通過計算機(jī)安全系統(tǒng)補(bǔ)丁的應(yīng)用，完善安全系統(tǒng)，與時俱進(jìn)，在電子產(chǎn)品的不斷更新中，較快安全保障體系的處理工作。

二、數(shù)字化檔案信息的安全保障體系的措施分析

（一）完善檔案數(shù)字化建設(shè)中的信息安全法律法規(guī)

1.加強(qiáng)檔案管理基層工作中的法律宣傳。在較多建設(shè)單位中，工作人員與管理人員只是一味的關(guān)注經(jīng)濟(jì)效益的增長，人力資源建設(shè)和科學(xué)技術(shù)的提高等，而對檔案管理工作忽視較多，更沒有制定相關(guān)的管理制度，在法律知識的普及中存在一定的缺陷，就是檔案管理工作人員都沒有基本的法律使用與管理意識，更不用說子啊企業(yè)其他基層人員的使用問題上了。因此在法律知識的宣傳中，可以以部門和領(lǐng)導(dǎo)層為單位，逐級加強(qiáng)檔案管理合法性的使用規(guī)范。

2.完善檔案數(shù)字化與信息化的安全法律法規(guī)建設(shè)。在我國檔案信息化和數(shù)字化的起步時間較晚，那么在相關(guān)法律規(guī)章制度就不是十分的健全，需要根據(jù)設(shè)計的工作內(nèi)容，對日常工作中出現(xiàn)的安全性問題進(jìn)行總結(jié)，并建立具有引導(dǎo)性和前瞻性的制度與條例，通過一段時間的適用，并修改和起草后進(jìn)行法律規(guī)定的形成，進(jìn)而促進(jìn)了信息化和數(shù)字化檔案管理工作中的安全性系統(tǒng)構(gòu)建。

（二）健全檔案數(shù)字化建設(shè)中的信息安全管理體系

1.提高檔案管理共組人員的素質(zhì)。在較多的檔案管理安全問題中，檔案管理人員是主要的始作俑者，因此，在今后的安全保障系統(tǒng)的建設(shè)中，要進(jìn)行管理人員的綜合素質(zhì)培養(yǎng)。在專業(yè)技術(shù)操作中，規(guī)范統(tǒng)一的操作流程，并在工作中落實(shí)責(zé)任制的劃分，并建立激勵機(jī)制，促進(jìn)工作人員在積極、負(fù)責(zé)的環(huán)境中從事管理工作。在思想道德中，應(yīng)逐漸加強(qiáng)企業(yè)的政工工作，對檔案管理工作人員進(jìn)行定期的培訓(xùn)，在集體的活動參與中提高集體的凝聚力，并規(guī)范化個人的從業(yè)價值。

2.在檔案管理工作中應(yīng)該建立健全檔案信息安全管理體制，檔案信息安全管理工作屬于一項復(fù)雜的工程，需要在管理過程中制定明確的制度，做到雙管齊下，以此保障檔案信息的安全效益。數(shù)字檔案信息被建立后在管理過程中很容易損壞，在安全管理過程中應(yīng)該明確各方面的建設(shè)主體，規(guī)定各級部門的具體權(quán)責(zé)，在數(shù)字化檔案使用過程中嚴(yán)格控制審批、查詢和通信等流程，做到不僅保障數(shù)字信息檔案的安全性，也能夠發(fā)揮數(shù)字檔案的優(yōu)越性。

3.在檔案數(shù)字化建設(shè)中提高檔案數(shù)字化建設(shè)中的信息安全保障技術(shù)。首先構(gòu)筑信息安全防火墻，通過物理安全防范、軟硬件保護(hù)等方式避免檔案信息受到外來攻擊，制定完善的檔案信息管理規(guī)范，提高物理層面的安全性能。加強(qiáng)訪問、目錄級別等方面的控制，通過限制訪問等方式提高控制力度。通過監(jiān)控、審核和備份等保護(hù)措施，避免各種外力或者人為因素對信息系統(tǒng)的破壞。對檔案數(shù)據(jù)信息進(jìn)行必要的特殊處理。

三、結(jié)語

檔案管理安全性建設(shè)是現(xiàn)階段的管理重點(diǎn)，這不僅僅關(guān)乎于個人的信息安全性，就是在企業(yè)的長遠(yuǎn)規(guī)劃建設(shè)中，國家的軍事與國防的安全性規(guī)劃中，都具有十分重要的應(yīng)用地位。特別是在近些年的信息化與數(shù)字化的管理應(yīng)用中，工作人員在提高先進(jìn)技術(shù)使用的同時，也要掌握全面的安全系統(tǒng)的基本操作，熟識相關(guān)的法律規(guī)定，利用法律力量和科技利用進(jìn)行安全系統(tǒng)的維護(hù)。

參考文獻(xiàn)：

[1]許雯.檔案數(shù)字化建設(shè)信息安全保障策略研究[J].卷宗，2014，（04）.[2]劉振保.數(shù)字化檔案的信息安全問題及管理策略[J].今日湖北，2014，（10）.（作者單位：黑龍江省重競技運(yùn)動管理中心）

第四篇：美國信息安全政策法規(guī)研究（寫寫幫推薦）

摘 要

本篇論文是從美國的信息安全初期的產(chǎn)生過程和幾任總統(tǒng)所做出的戰(zhàn)略策劃,從頭來研究這些戰(zhàn)略的成長過程，從法規(guī)和組織機(jī)構(gòu)及人才培養(yǎng)的方面進(jìn)行討論,還介紹了國家信息的保障體系,從對美國信息安全的認(rèn)識和了解,并對他的戰(zhàn)略意圖進(jìn)行更深的認(rèn)識來促進(jìn)和改善我們國家的體系和戰(zhàn)略。

關(guān)鍵字:信息安全 信息安全戰(zhàn)略

體系結(jié)構(gòu) 組織機(jī)構(gòu)

Abstract

This paper is the beginning of information security from the United States the production process and the president made several strategic planning from the beginning to study the growth process of these strategies, from the regulatory agencies and personnel training and organizational aspects of the discussion, also introduced National information security system, from the United States, awareness and understanding of information security, and his deeper understanding of the strategic intent to promote and improve our country's systems and strategies.Keywords: Information Security，Information security legislation Architecture Organizations

目 錄

第一章 美國信息安全戰(zhàn)略計劃 ························ 1 1.1 信息安全的認(rèn)識 ·························· 1 1.1.1信息安全的屬性 ····························· 1 1.1.2信息的作用 ······························· 1 1.2 美國信息安全開始階段 ······················· 2 1.3 歷任總統(tǒng)的信息安全戰(zhàn)略 ······················ 2 第二章 美國加強(qiáng)信息安全政策法規(guī)建設(shè)的主要做法 ··············· 4 2.1 建立組織機(jī)構(gòu) ··························· 4 2.1.1 審計局 ································ 4 2.1.2 行政管理和預(yù)算局 ··························· 4 2.1.3 國家標(biāo)準(zhǔn)局 ······························ 4 2.1.4 國防部 ································ 4 2.1.5 國土安全局 ······························ 5 2.2 加強(qiáng)保障體系建設(shè) ························· 5 2.2.1 組織管理體系 ····························· 5 2.2.2 技術(shù)防范體系 ····························· 5 2.2.3 應(yīng)急響應(yīng)體系 ····························· 6 2.2.4 服務(wù)體系 ······························· 6 2.2.5 人才培養(yǎng)體系 ····························· 6 2.2.6 國際合作保障體系 ··························· 6 2.3 完善具體措施 ··························· 6 2.3.1 規(guī)范及權(quán)威性的重視 ·························· 6 2.3.2 戰(zhàn)略性的重視 ····························· 7 2.3.3 法律措施的重視 ···························· 7 2.3.4 執(zhí)法行為的重視 ···························· 7 2.3.5 遵守法律觀念的重視 ·························· 7 2.4 主要政策法規(guī)介紹 ························· 8 2.4.1 63號總統(tǒng)令 ······························ 8 2.4.2 信息保障技術(shù)框架 ··························· 8 2.4.3 網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃 ······················· 8 第三章 美國信息安全戰(zhàn)略對我們的啟示 ··················· 10

I

第四章 小結(jié) ······························· 11 參考文獻(xiàn) ································· 12 鳴 謝 ································· 13

II

第一章 美國信息安全戰(zhàn)略計劃

美國是一個信息大國,他們對信息安全的重視程度相當(dāng)?shù)母?是全世界第一個制定并且開始實(shí)行信息安全戰(zhàn)略的國家,隨著時代和社會形勢的變化它也跟著逐步完善和提高,對于美國信息安全的部署屬性可以看作是“擴(kuò)張型”。針對這一屬性,美國政府及研發(fā)人員專門制定了相對完善和穩(wěn)定的政策法規(guī)體系,建立了由國家到部委到機(jī)關(guān)三個層面的管理機(jī)制,對每個部門都要求積極配合,分工到位,各管其政的工作態(tài)度,并在國家防衛(wèi)部門進(jìn)行完整全面的信息安全評判,對各方面的數(shù)據(jù)進(jìn)行準(zhǔn)備評判并在發(fā)現(xiàn)問題的同時積極的去修改完善。

1.1 信息安全的認(rèn)識

所謂信息安全就是使在信息網(wǎng)絡(luò)中的硬、軟件和數(shù)據(jù)得到一定的保護(hù),而防止其受到非正常或刻意原因的破壞使信息遭到利用,讓其可以得到一個舒適的運(yùn)行環(huán)境。

1.1.1信息安全的屬性

首先它是一門涉及面非常廣的由多種學(xué)科組成的綜合性學(xué)科,作為一種特別的資源具有一定的普遍性和多效性等,給我們帶來了一種想象不到的驚喜。

信息安全顧名思義就是指保護(hù)信息資料的安全,讓它不會受到來自外界的干擾和破壞,在國際上統(tǒng)一給它下了個定義就是:讓信息擁有一定的完整、可用及保密性質(zhì)。它必定將成為全世界所有國家去很在乎的一個關(guān)鍵性的國家安全戰(zhàn)略。

1.1.2信息的作用

通常人們對于一個陌生事物或者一種社會現(xiàn)象的了解都是通過書本或者文獻(xiàn)資料，當(dāng)計算機(jī)在二十世紀(jì)中期被搬上舞臺的時候，人們所需要了解那些事情也變得容易多了，不論是在什么場合，人們正依托計算機(jī)來完成事情的處理，并通過計算機(jī)信息來傳輸一些大小事務(wù)例如：

1、通過計算機(jī)來核對銀行的信息。

2、將罪犯的紀(jì)錄輸入電腦以便了解等。但是所有的這些都是處在一種沒有防范的況下去處理問題的。

局域網(wǎng)、互聯(lián)網(wǎng)、衛(wèi)星、郵件等都是屬于傳輸?shù)姆绞剑捎谒麄兌继幵谝环N相對公開的環(huán)境下，沒有很好的保護(hù)措施，所以很容易的被竊取或破壞。在這樣的一種簡單的保護(hù)中是很難確保信息的安全性，這時便需要一種多層次的保護(hù)手段通過技術(shù)和管理及法律的手段達(dá)到信息安全的目的。

1.2 美國信息安全開始階段

1946年是美國信息安全最重要的一年,其“原子能法”和“國家安全法”這兩部具有重要意義的法案的出爐標(biāo)志著美國國家信息安全開始的初期階段,表示美國政府把信息安全和國家安全之間存在的信息流動關(guān)系的重要性看得很重,這是對信息進(jìn)行保護(hù)的意識開始加強(qiáng)。此外在1966年頒發(fā)的“信息自由法”,是被認(rèn)為美國國內(nèi)最重要的一部憲法,是其它有關(guān)信息安全法律的基礎(chǔ),其同意個人或者相關(guān)機(jī)構(gòu)能夠在任何條件下獲取被列入共享的文件資料,以此作為美國信息中受保護(hù)和不受保護(hù)的劃分,從而對信息安全進(jìn)行了劃分。

1.3 歷任總統(tǒng)的信息安全戰(zhàn)略

老布什總統(tǒng)時期，美國信息安全戰(zhàn)略的重點(diǎn)是：保護(hù)信息的安全和隱密這兩個性質(zhì)上。里根總統(tǒng)時期，聯(lián)邦政府組建了“國家保密通信及信息系統(tǒng)安全組委會”簡稱：NSTISCC。其組織成立的目的是為了在以往的安全戰(zhàn)略中，通過法律法規(guī)的制定和規(guī)章制度的制定，去對信息的安全進(jìn)行有效合理的保護(hù)。

克林頓總統(tǒng)時期，其在任期間將信息安全正式列入國家安全戰(zhàn)略計劃中，并在維護(hù)信息的保密、完整及可用性等方面進(jìn)行重點(diǎn)維護(hù)。1998年出臺了“關(guān)鍵基礎(chǔ)設(shè)施建設(shè)”的第63號總統(tǒng)令，這一號令是第一次很好很全面地說明了國家信息安全戰(zhàn)略的概念、意義及其目標(biāo)，也闡明了之前提出的“信息保障”，在穩(wěn)定現(xiàn)有信息安全水平的基礎(chǔ)上對下一步的工作提出了重要指示。為了將網(wǎng)絡(luò)及一些基礎(chǔ)設(shè)施、區(qū)域、環(huán)境等的深層次維護(hù)和防御，國家安全局出臺了“信息保障技術(shù)框架”簡稱“IATF”。2000年頒布了國家安全戰(zhàn)略報告，在這份報告中將信息安全也列入了其中，這也標(biāo)志著信息安全正式成為國家安全戰(zhàn)略和框架，擁有了自己獨(dú)立的位置。在總統(tǒng)在任期間還成立了幾個對信息安全做出貢獻(xiàn)的組織，例如：

1、信息保障委員會。

2、信息保障同盟。

3、聯(lián)邦計算機(jī)事件響應(yīng)機(jī)動組等。

布什總統(tǒng)時期，在其上任的期間經(jīng)歷了一次重大悲劇事件——9.11，這次事件的發(fā)生使得國家不能不將信息安全的戰(zhàn)略地位看得更重，在2011年發(fā)布的13231號行政令“信息時代的關(guān)鍵基礎(chǔ)設(shè)施保護(hù)”這一命令的頒布，將原來的“保護(hù)委員”會變?yōu)楦邔?shí)質(zhì)性的“保護(hù)辦公室”，成為了聯(lián)邦部門的最高設(shè)施保護(hù)機(jī)構(gòu)。隨著2003年“網(wǎng)絡(luò)空間的國家戰(zhàn)略”進(jìn)一步將基礎(chǔ)設(shè)施的保護(hù)作為重點(diǎn)。在此期間，布什政府還重整了之前的一些相關(guān)機(jī)構(gòu)并設(shè)立了由總統(tǒng)直接管理的國家安全顧問這一重要職位，還設(shè)立了包括國土、保密局、系統(tǒng)安全中心等重要機(jī)構(gòu)，這對信息安全保障的工作做出了進(jìn)一步的保障。其目的是為了將由9.11導(dǎo)致的信息安全保障的不力因素進(jìn)行有效的改善，并根據(jù)現(xiàn)實(shí)情況制定一套全新的國家信息安全戰(zhàn)略。其主要強(qiáng)調(diào)了網(wǎng)絡(luò)安全的重要性，更夸張地認(rèn)為網(wǎng)絡(luò)的威脅和核

武器的威脅是一樣具有很強(qiáng)破壞力的。2009年公布了一項有總統(tǒng)親自參與的“美國網(wǎng)絡(luò)安全評估”報告，此報告評估了現(xiàn)有的網(wǎng)絡(luò)安全戰(zhàn)略、策略和標(biāo)準(zhǔn)，并提出了他們中存在的問題，制定了下一步的任務(wù)計劃，政府表示將網(wǎng)絡(luò)安全的保障作為國家安全的重要戰(zhàn)略，由于網(wǎng)絡(luò)安全已經(jīng)逐漸成為了對美國國家安全的首要威脅，將任命一名由總統(tǒng)親點(diǎn)的網(wǎng)絡(luò)安全總管，其職責(zé)就是專門對網(wǎng)絡(luò)安全戰(zhàn)略在政府的要求下完成制定。并成立由戰(zhàn)略司令部領(lǐng)導(dǎo)的相關(guān)部門，對數(shù)字戰(zhàn)爭進(jìn)行有效的反擊和防御。

第二章

美國加強(qiáng)信息安全政策法規(guī)建設(shè)的主要做法

這一系列的體系不光包含有信息安全的技術(shù)，還含有政策方針、法律法規(guī)及組織機(jī)構(gòu)等有關(guān)內(nèi)容。

2.1 建立組織機(jī)構(gòu)

在為了很好的貫徹落實(shí)信息安全的政策，美國國內(nèi)很多政府部門被新加上了許多職責(zé)，比如：監(jiān)督、管理等。這些機(jī)構(gòu)包括：1.審計局、2.行政管理及預(yù)算局、3.國家標(biāo)準(zhǔn)局、國土安全部、商務(wù)及財政部等，行成了相當(dāng)完整完善的機(jī)構(gòu)體系。

2.1.1 審計局

直屬與國會，是一個相當(dāng)獨(dú)立的部門，主要對國家財務(wù)和項目的核實(shí)工作，它與其他與信息安全有關(guān)的公共基金的情況：幫政府作出分析和選擇最終讓國會能有效的進(jìn)行監(jiān)督。部分政府資金的使用情況。都?xì)w它管。同時也向國會提交了許多報告。

2.1.2 行政管理和預(yù)算局

管理和預(yù)算辦公室為發(fā)展和有關(guān)信息安全政策，原則，標(biāo)準(zhǔn)和準(zhǔn)則的政府部門負(fù)責(zé)監(jiān)管。在監(jiān)察政府的資訊保安政策，并為下列服務(wù)的實(shí)際負(fù)責(zé)執(zhí)行：進(jìn)行信息安全政策及規(guī)則的制定等，并監(jiān)督其實(shí)行；對機(jī)構(gòu)實(shí)施與信息安全保障措施進(jìn)行相應(yīng)的風(fēng)險等級的劃分：跟有關(guān)部門進(jìn)行有效的合作，以便于讓美國國家標(biāo)準(zhǔn)局（NIST）的設(shè)立標(biāo)準(zhǔn)，準(zhǔn)則和國家信息安全規(guī)定相配合。政府機(jī)構(gòu)的相關(guān)信息安全項目進(jìn)行每年的考核，是為了對信息安全方案的認(rèn)可或者有不同的意見;聯(lián)邦信息安全事件監(jiān)控中心的運(yùn)作，信息安全相關(guān)的問題，每年向國會報告。

2.1.3 國家標(biāo)準(zhǔn)局

附屬于商務(wù)部門，它存在的作用是為了輔助政府和企業(yè)之間的有效配合，比如：安全、應(yīng)急等計劃及一些安全技術(shù)的開發(fā)宣傳。它還負(fù)責(zé)了對安全技術(shù)和產(chǎn)品的標(biāo)準(zhǔn)的制定。

2.1.4 國防部

由美國國防部中的國家安全局和國家計算機(jī)安全中心來負(fù)責(zé)對國家信息安全事務(wù)進(jìn)

行有效的保護(hù)。國家安全局的責(zé)任是做好保密信息系統(tǒng)和信息安全的工作。國家安全系統(tǒng)的保密信息包括：1.相關(guān)情報活動。2.與國家安全有關(guān)系的并且是隱蔽的活動。3.跟軍隊有關(guān)系的活動等。計算機(jī)安全中的責(zé)任是做好國家安全局應(yīng)該負(fù)責(zé)的所有信息安全相關(guān)的工作，包括：1.解決政府中出現(xiàn)有關(guān)信息安全的問題。2.對各部門系統(tǒng)中存在的問題進(jìn)行評估，對拿出解決的辦法加以行動。

2.1.5 國土安全局

這個部門的成立是由于9.11后美國對國內(nèi)信息安全的不穩(wěn)定而設(shè)立的。這個機(jī)構(gòu)包括：1.基礎(chǔ)設(shè)施保障中心。2.通信系統(tǒng)局。3.計算機(jī)安全分局等，有關(guān)信息安全的部門。他們的責(zé)任是對關(guān)鍵的基礎(chǔ)設(shè)施進(jìn)行保障和保護(hù)、信息管理標(biāo)準(zhǔn)的制定等。以往對自己國內(nèi)信息安全的自信在9.11爆發(fā)后，奧巴馬政府認(rèn)為還是存在很多的問題的比如：1.管理的制度和權(quán)力過于分散。2.缺乏一個系統(tǒng)的部門進(jìn)行有效管理。3.沒有部門對危險的等級和受損范圍進(jìn)行評估等。正因?yàn)檫@個組織的成立才緩解了國內(nèi)的信息安全壓力，加強(qiáng)了信息安全的保障。

2.2 加強(qiáng)保障體系建設(shè)

2.2.1 組織管理體系

在網(wǎng)絡(luò)安全所出現(xiàn)的種種問題中,由管理不當(dāng)所造成的占主要因素,3成技術(shù)、7成管理,這一理念就很能說明管理的重要性,不論在什么樣的情況下,沒有一套很好的管理體系將會造成工作的混亂狀況,出現(xiàn)資源嚴(yán)重浪費(fèi)的情況,這樣一來對管理體系的建立、完善及落實(shí)是做好信息安全工作的關(guān)鍵.在管理體系建設(shè)方面有幾個因素需要注意:

1、制定一套完整的管理策略。

2、制定一系列人員管理制度。

3、制定完全的設(shè)備管理制度。

4、制定對突發(fā)及應(yīng)急時間響應(yīng)制度。

2.2.2 技術(shù)防范體系

伴隨著信息系統(tǒng)和政務(wù)的各方面要素的提升,使得安全防范的難度提高,針對這一情況,應(yīng)該做出一種提前考慮把零散的信息產(chǎn)品集中起來構(gòu)成一種整體的防范體系,達(dá)到更理想的效果.2.2.3 應(yīng)急響應(yīng)體系

當(dāng)有人為或自然原因等的危險和問題出現(xiàn)在信息系統(tǒng)的運(yùn)行過程中,所造成的可能是讓系統(tǒng)的整體運(yùn)行受到一定程度上的影響及停止,此外該系統(tǒng)還很容易的被一些黑客等不法分子進(jìn)行利用及破壞,造成信息系統(tǒng)的中端和泄漏,嚴(yán)重影響了企業(yè)和政府.達(dá)不到徹底的清除,解決的辦法是馬上建立一套高效能的應(yīng)急響應(yīng)系統(tǒng),通過對系統(tǒng)的加強(qiáng)和完善來降低由破壞造成的嚴(yán)重后果.2.2.4 服務(wù)體系

隨著技術(shù)的發(fā)展和提高,安全也會隨之得到相應(yīng)的提高,他們是一種共進(jìn)退的關(guān)系,在外國的一些發(fā)達(dá)的信息產(chǎn)業(yè)上這一言論得到了很好的論證,對此不論在什么地方和情況下都要靠信息監(jiān)管技術(shù),達(dá)到一種專業(yè)和規(guī)范的信息服務(wù)及技術(shù),這樣才能將信息安全推向一個新的高度.2.2.5 人才培養(yǎng)體系

這個體系是對信息安全保障長遠(yuǎn)發(fā)展的一個重要體系，他跟美國政府對人才的重視息息相關(guān)，并為了培養(yǎng)出優(yōu)秀的才人出臺了一系列項目：1.計算機(jī)服務(wù)項目，它是一項基礎(chǔ)項目，綜合性強(qiáng)，培訓(xùn)的項目總的來說是圍繞著信息安全這一理念。2.服務(wù)獎學(xué)金項目，這個項目的特點(diǎn)是學(xué)生的一切學(xué)習(xí)環(huán)境和所需資金都是來自于政府但是學(xué)完后必須為政府辦事。3.中小學(xué)培訓(xùn)項目，這是為了以后而坐準(zhǔn)備的一個項目，長此以往信息安全方面的人才將不會缺少。體現(xiàn)了政府一種長遠(yuǎn)的眼光。等一系列人才的培養(yǎng)項目。

2.2.6 國際合作保障體系

這項體系是為了跟世界接軌，效仿經(jīng)濟(jì)上的相互依賴，達(dá)成對信息安全的世界性的共識。大家一起應(yīng)對來自于信息安全方面的危險。美國主動參加了信息安全國際標(biāo)準(zhǔn)的制定。還減少了與信息安全相關(guān)的技術(shù)和產(chǎn)品的出口限制，目的是為了拉近距離促進(jìn)發(fā)展，保持美國信息安全的領(lǐng)先地位。

2.3 完善具體措施

2.3.1 規(guī)范及權(quán)威性的重視

在立法的前提下,需先解決一些在法規(guī)的層次、部門的規(guī)章及民眾的參與等問題,法制的建設(shè)需要將深化信息安全作為國家的體系之一的理念深入,從而不斷的去完善制度和措施,對可用、保密、完整等信息的性質(zhì)和安全的概念進(jìn)行重點(diǎn)強(qiáng)化,讓它成為一種必不可少 的觀點(diǎn).對信息網(wǎng)絡(luò)安全的保護(hù)及防范不光是要靠對立法的改善,防范體系的完整,而是要在對責(zé)任人進(jìn)行責(zé)任的詳細(xì)告知,通過很好的溝通和配合來提高意識和技術(shù)水平.2.3.2 戰(zhàn)略性的重視

在對缺乏戰(zhàn)略的規(guī)劃及有法律保護(hù)的信息安全和立法的速度已經(jīng)遠(yuǎn)遠(yuǎn)落后于發(fā)展的速度這些信息建設(shè)時所出現(xiàn)的問題的解決上，首先是要端正態(tài)度，把信息的安全看作是國家的安全，將信息安全放在國家安全的優(yōu)先位置上。接著是組織的成立上，應(yīng)當(dāng)馬上組成一個成熟的系統(tǒng)安全組織，從而去對保障安全的能力進(jìn)行提升，堅持對不法行為和敵對分子進(jìn)行嚴(yán)懲和打擊最重達(dá)到國家信息安全的穩(wěn)定。最后是審時度勢，隨著時代變化和社會的進(jìn)步，根據(jù)需要的不同去改變和完善信息安全的保障體系。

2.3.3 法律措施的重視

現(xiàn)存的法律缺乏一定的效能和不具備很好的針對性概括性太大，這是需要重視的問題。由于上訴問題導(dǎo)致了各種法律之間缺乏配合，讓不法分子有很多空子鉆，從這些問題的出現(xiàn)反映了法律機(jī)制還需要進(jìn)一步的去完善，才能構(gòu)成一套完整的體系結(jié)構(gòu)，從而去支持那些缺少法律保護(hù)的企業(yè)，不讓他們有法不依。讓那些復(fù)雜的網(wǎng)絡(luò)不法行為比如：

1、故意散播不良信息，虛假信息。

2、做出對國家安全有威脅的信息行為等。得到有效的控制。趨于對預(yù)警及響應(yīng)系統(tǒng)的需求和依托、管理制度、特定機(jī)構(gòu)的需求，必須馬上建立起一套完善體系。對信息的安全進(jìn)行等級劃分，嚴(yán)格的按照劃分的等級進(jìn)行防范，提高對問題的解決能力。

2.3.4 執(zhí)法行為的重視

信息安全的防范出現(xiàn)了由于行政上的過分干涉導(dǎo)致了防范能力降低的問題需要解決，存在這樣的問題主要是因?yàn)椋?/p>

1、現(xiàn)存的法律對網(wǎng)絡(luò)的權(quán)利和公民權(quán)利保護(hù)事情上的不重視。

2、對政治和經(jīng)濟(jì)的保護(hù)力度不夠。

3、對建立一個健康穩(wěn)定的網(wǎng)絡(luò)環(huán)境力度不夠。

3、執(zhí)法能力需要大大提高等。面對著這些問題，相關(guān)部門也著力從：

1、網(wǎng)絡(luò)是名制。

2、審查力度的加大。

3、對合法與不合法的信息進(jìn)行過濾。

4、將被列入網(wǎng)絡(luò)“黑名單”的人和機(jī)構(gòu)進(jìn)行監(jiān)視和查辦等。方法去提高執(zhí)法能力。爭取做到責(zé)任到人，執(zhí)法到人。

2.3.5 遵守法律觀念的重視

因?yàn)閷W(wǎng)絡(luò)行為長期缺少用法律來規(guī)范，導(dǎo)致了大家網(wǎng)絡(luò)法律意識低下，自律和公德意識低下，才使得很多網(wǎng)民存在僥幸心理，發(fā)生很多網(wǎng)絡(luò)的不良事件，更為嚴(yán)重的是直接

將網(wǎng)絡(luò)看成是自己的天地為所欲為，肆無忌憚。才給國家?guī)砹藰O大的危害。面對這些問題，必須從法律意識的普及和加強(qiáng)來對網(wǎng)民進(jìn)行教育，對犯法的網(wǎng)民進(jìn)行強(qiáng)制教育。改善共同的網(wǎng)絡(luò)環(huán)境。

2.4 主要政策法規(guī)介紹

美國政府相繼出臺了許多政策政令全是為了組建國家信息安全平臺，其中包含了總統(tǒng)的行政命令、指令及信息安全計劃和戰(zhàn)略等。美國在80年代初出臺了許多關(guān)于信息安全的法律法規(guī)，其中幾部重要的有：1.“信息自由法”。2.“計算機(jī)安全法”。3.“反黑客法”等，在各項法律中，于98年出臺的：1.美國第63號總統(tǒng)令關(guān)于“保護(hù)關(guān)鍵基礎(chǔ)設(shè)施”。2.“信息保障技術(shù)框架”（簡稱IATF)。3.03年發(fā)布的“網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃”等都是重要的法律法規(guī)。

2.4.1 63號總統(tǒng)令

這個總統(tǒng)令指明：1.最遲在2000年美國國內(nèi)需要具備初步的信息保護(hù)能力。2.美國將在號令發(fā)布后的5年建立并且維護(hù)完善的基礎(chǔ)設(shè)施保障實(shí)力，為了防止以下幾種行為：1.聯(lián)邦政府確保公眾健康及安全。2.州及地方在提交基本的公務(wù)前提下，讓其能有規(guī)律的運(yùn)行。3.私企在保證其能源、經(jīng)濟(jì)及運(yùn)輸能維持服務(wù)，如果遇到破壞要在短時間內(nèi)不論從頻率或地址上進(jìn)行隔絕，盡量減少國家的損壞。

2.4.2 信息保障技術(shù)框架

這項保障框架是20世紀(jì)美國國內(nèi)信息保障技術(shù)中最為系統(tǒng)和最具有意義的研究，IATFI.0版在98年出版，2.0在99年出版，3.0在2000年出版。這項技術(shù)的出現(xiàn)對于美國國內(nèi)的基礎(chǔ)設(shè)施保障來說是很有意義的，他對政府和工業(yè)領(lǐng)域都提供了非常有用的技術(shù)指導(dǎo)，對系統(tǒng)提出了更高的要求，并提出了以基礎(chǔ)設(shè)施防御和區(qū)域防御及環(huán)境防御的深層次的防御目標(biāo)。畫出了新的防御戰(zhàn)略。它所能處理的問題有：1.將信息需要的保護(hù)和出現(xiàn)問題的解決方案進(jìn)行了很好的定義。2.在技術(shù)方面尋求信息保護(hù)的優(yōu)良技術(shù)。3.在資源方面起到搜尋機(jī)構(gòu)中所擁有的各種資源。4.將方法和技術(shù)的使用放在了最合適的地方。

2.4.3 網(wǎng)絡(luò)空間安全國家戰(zhàn)略計劃

這一戰(zhàn)略計劃的出臺是有一定意義的，它是第一份為了信息安全為專門出的安全戰(zhàn)略方案，它確立了信息安全的獨(dú)立，有標(biāo)志性價值。還確立了安全政策的3個要素，都是最基本的：1.利益。2.保障。3.方法。他們之前被列入不同的文檔中，在這個方案計劃中得到了有機(jī)的在一起完整的結(jié)合起來。它很

好的說出了美國網(wǎng)絡(luò)世界所出現(xiàn)的危機(jī)和易攻擊的危險，詳細(xì)的指明了下一步對信息安全保護(hù)計劃方案的制定，規(guī)定并強(qiáng)化了有關(guān)部門的職責(zé)，為政府、公民、私企打出了通道

第三章 美國信息安全戰(zhàn)略對我們的啟示

通過對美國信息安全及戰(zhàn)略的了解，我能從中認(rèn)識到美國作為一個世界強(qiáng)國的厲害之處，他們對信息安全的保障和法律法規(guī)的建設(shè)方面都相當(dāng)?shù)耐晟疲瑢τ谝粋€發(fā)展中國家的我們從中學(xué)到了4點(diǎn)啟示需要像美國多學(xué)習(xí)：

1、信息安全體系建設(shè)需要集中統(tǒng)一領(lǐng)導(dǎo)。信息系統(tǒng)安全關(guān)系國家的最高利益，只有統(tǒng)一的強(qiáng)有力的國家級信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，才能統(tǒng)一領(lǐng)導(dǎo)政府、軍隊和民間的信息安全工作。

2、信息安全體系建設(shè)需要理順管理體制。信息安全體系建設(shè)涉及黨、政、軍、民各界，只有從國家、國防安全的高度，理順信息安全管理體制，才有可能建成“確保絕對安全，確保絕對暢通”的信息安全體系。

3、信息安全體系建設(shè)需要統(tǒng)籌規(guī)劃部署。國防信息安全體系建設(shè)是規(guī)模宏大、技術(shù)復(fù)雜的系統(tǒng)工程，需要按照大系統(tǒng)、大工程、大科學(xué)、大國防的思路，來統(tǒng)籌規(guī)劃、部署、建設(shè)、使用和管理。

4、信息安全體系建設(shè)需要加強(qiáng)技術(shù)基礎(chǔ)。信息安全體系建設(shè)，高新技術(shù)密集，難度很大，投人很多，需要發(fā)揮國家的整體優(yōu)勢，加強(qiáng)理論、技術(shù)和工業(yè)基礎(chǔ)。

5、信息安全體系建設(shè)需要加強(qiáng)政策研究。美國政府在信息安全體系建設(shè)方面的成功，得益于它的信息安全政策。實(shí)踐證明，一個正確的決策政策的形成，決不會一蹴而就，而是根據(jù)變化的情況不斷進(jìn)行調(diào)整。

第四章

小結(jié)

本文通過論述美國信息安全政策的萌芽，以及疆根、老布什政府，克林頓、小布什和奧巴馬政府的信息安全戰(zhàn)略，回顧了美國信息安全戰(zhàn)略的演變過程，通過探討美國信息安全的政策法規(guī)、組織機(jī)構(gòu)、人才培養(yǎng)和圍際合作，介紹了美國信息安全保障體系。希望通過對美國信息安全戰(zhàn)略的初步探討，加深對美國信息安全戰(zhàn)略的理解，促進(jìn)我國信息安全戰(zhàn)略和保障體系的建立和完善。

參考文獻(xiàn)

[1]盧新德構(gòu)建信息安全保障新體系——全球信息戰(zhàn)的新形勢與我國的信息安全戰(zhàn)略．北京：中國經(jīng)濟(jì)

出版社，2007。

[2]沈逸．開放、控制與合作：美國國家信息安全政策分析l．復(fù)旦大學(xué)博士學(xué)位論文。2005． [3]杜友文，王建冬．美國國家信息安全政策綜述叭．晉圖學(xué)刊，2008。[4]杜友文，王建冬．美國國家信息安全政策綜述．晉圖學(xué)刊，2008 [5]美國保障政府信息安全法律及立法機(jī)構(gòu)通過的其他法律

[6]杜友文，王建冬．美國國家信息安全政策綜述Ⅱ1晉圖學(xué)刊，2008． [7]雷猛．美國信息安全戰(zhàn)略簡析.信息網(wǎng)絡(luò)安全，2005(2)． [8]奧巴馬要求全面評估美國網(wǎng)絡(luò)安全2009—7

鳴

謝

大學(xué)三年學(xué)習(xí)時光已經(jīng)接近尾聲，在此我想對我的母校，我的父母、親人們，我的老師和同學(xué)們表達(dá)我由衷的謝意。

感謝我的家人對我大學(xué)四年學(xué)習(xí)默默的支持；感謝我的母校信大電院給了我大學(xué)深造的機(jī)會，讓我能繼續(xù)學(xué)習(xí)和提高；感謝學(xué)校教員、隊長、政委和同學(xué)們四年來的關(guān)心和鼓勵。教員們課堂上的激情洋溢，課堂下的諄諄教誨；同學(xué)們在學(xué)習(xí)中的認(rèn)真熱情，生活上的熱心主動，所有這些都讓我的四年充滿感動。這次畢業(yè)論文設(shè)計我得到了很多教員和同學(xué)的幫助，其中我的論文指導(dǎo)老師李智誠教員對我的關(guān)心和支持尤為重要。每次遇到難題，我最先找的就是李教員尋求幫助，而李教員每次不管忙閑，都會抽空來幫我解答。

我做畢業(yè)設(shè)計的每個階段，從選題上的查閱資料、論文的提綱確定，中期論文的修改，后期格式的調(diào)整等各個環(huán)節(jié)中，李教員偶讀給予了我悉心的指導(dǎo)，在此謹(jǐn)向李教員致以誠摯的謝意和崇高的敬意！

同時，這篇畢業(yè)論文的寫作業(yè)得到了郭禎、溫得巍、衛(wèi)巖等同學(xué)的熱情幫助。感謝在整個畢業(yè)設(shè)計期間和我密切合作的同學(xué)，和曾經(jīng)在各個方面給予我?guī)椭幕锇閭儭Ｔ诖耍以僖淮握嬲\的向幫助過我的教員和同學(xué)們表示感謝！

第五篇：PHP網(wǎng)站設(shè)計中信息安全的研究

PHP網(wǎng)站設(shè)計中信息安全防御的研究

來源：中國論文下載中心[ 11-09-16 08:44:00 ]作者：羅有明編輯：studa11071

1摘要：網(wǎng)絡(luò)具有開放性和共享性的特點(diǎn)，在給人們的生活帶來便利的同時，也對網(wǎng)絡(luò)用戶的信息安全帶來了威脅。本文研究了在PHP網(wǎng)站開發(fā)過程中信息安全防御技術(shù)，列舉在PHP網(wǎng)站開發(fā)時容易出現(xiàn)的安全漏洞以及這些漏洞帶來的危害，同時還介紹了黑客常用的攻擊手段并給出相應(yīng)的解決方案。

關(guān)鍵詞：安全防御；PHP；網(wǎng)站

0引言

當(dāng)前網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)已成為對各國的國家安全、政治穩(wěn)定、經(jīng)濟(jì)發(fā)展、社會生活、健康文化等方方面面具有生存性和保障性支撐作用的關(guān)鍵產(chǎn)業(yè)。網(wǎng)絡(luò)與信息安全可能會影響個人的工作、生活，甚至?xí)绊憞医?jīng)濟(jì)發(fā)展、社會穩(wěn)定、國防安全。因此，網(wǎng)絡(luò)與信息安全產(chǎn)業(yè)在整個產(chǎn)業(yè)布局乃至國家戰(zhàn)略格局中具有舉足輕重的地位和作用。本文對PHP網(wǎng)站設(shè)計中信息安全防御的研究具有重要的意義。

1PHP編碼過程中的安全問題及其防范

服務(wù)器和PHP的運(yùn)行環(huán)境配置好后，并不意味著網(wǎng)絡(luò)應(yīng)用就安全了，程序員的安全意識也起著決定性的作用。如果程序員的安全意識不高，對用戶的所有輸入都沒有進(jìn)行安全驗(yàn)證，那么，所有有害的指令都將作為合法指令被執(zhí)行。

1.1SQL注入的防范

程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使得用戶可以提交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

1）經(jīng)典的'or 1=1' 注入

‘or 1=1’注入是非常經(jīng)典的注入語句，一般用在登錄系統(tǒng)時繞過密碼驗(yàn)證，以任意用戶名登入。其原理是利用程序員在編寫驗(yàn)證程序的時候沒有驗(yàn)證用戶的輸入是否含有非預(yù)期的字符串，直接傳遞給mysql_query()函數(shù)執(zhí)行，or 1=1使得無論密碼是否匹配保證驗(yàn)證語句為真，達(dá)到繞過密碼驗(yàn)證的目的2）利用union語句的注入

Union 語句是利用其特性，使程序默認(rèn)的語句出錯，讓程序執(zhí)行union之后自己構(gòu)造的SQL語句，達(dá)到注入的目的。

3）防SQL注入的通用解決方案

注入的手段是多種多樣，十分靈活的，但有一個共同點(diǎn)，都是利用沒有對輸入進(jìn)行過濾。防止注入的方法也就是對傳遞給查詢語句的參數(shù)進(jìn)行過濾。