论信息安全管理

考。试。

论。文。

**题目：论信息安全管理。

专业：司法信息技术。

班级：司法信息技术九区队。

姓名：韩冠军。

指导老师：考。试。论。

文。**题目：论信息安全管理。

专业：司法信息技术。

班级：司法信息技术九区队。

姓名：韩冠军。

指导老师：宁夏****学院司法信息技术管理系。考。试。

论。文。

**题目：论信息安全管理。

专业：司法信息技术。

班级：司法信息技术九区队。

姓名：韩冠军。

指导老师：焦杨

宁夏****学院司法信息技术管理系。考。试。

论。文。

**题目：论信息安全管理。

专业：司法信息技术。

班级：司法信息技术九区队。

姓名：韩冠军。

指导老师：焦杨。

摘要：信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。广义说信息安全，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。

关键字：信息安全安全技术安全策略电子商务。

一、信息安全的实现目标：

真实性：对信息的**进行判断，能对伪造**的信息予以鉴别。

保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。

完整性：保证数据的一致性，防止数据被非法用户篡改。

可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。

不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。

可控制性：对信息的传播及内容具有控制能力。

可审查性：对出现的网络安全问题提供调查的依据和手段。

二、信息安全策略。

信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育：

dg**档加密：能够智能识别计算机所运行的涉密数据，并自动强制对所有涉密数据进行加密操作，而不需要人的参与。体现了安全面前人人平等。从根源解决信息泄密。

先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统；

严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识；

制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。

面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。

安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全www服务，安全ftp服务，安全smtp服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

三、信息安全技术。

目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类：

防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。

主要技术有：包过滤技术，应用网关技术，**服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。

但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。

安全路由器：由于wan连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。

虚拟专用网(vpn)：虚拟专用网（vpn）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。vpn的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。

安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。

电子签证机构--ca和pki产品：电子签证机构（ca）作为通信的第三方，为各种服务提供可信任的认证服务。ca可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。

pki产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。

用户认证产品：由于ic卡技术的日益成熟和完善，ic卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其它技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用ic卡上的个人私钥与数字签名技术结合，实现数字签名机制。

随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。

安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。

入侵检测系统（ids）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。

入侵防御系统（ips）：入侵防御，入侵防御系统作为ids很好的补充，是信息安全发展过程中占据重要位置的计算机网络硬件。

安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。

结束语。没有统一的技术规范，局部性的网络就不能互连、互通、互动，没有技术规范也难以形成网络安全产业规模。目前，国际上出现许多关于网络隐私安全的技术规范、技术标准，目的就是要在统一的网络环境中保证隐私信息的绝对安全。

我们应从这种趋势中得到启示，在同国际接轨的同时，拿出既符合国情又顺应国际潮流的技术规范。

[2]郭晓苗。internet上的信息安全保护技术[j].现代图书情报技术，2000，（3）：50-51.

[3]吉俊虎。网络和网络安全刍议[j].中国信息导报，1989，（9）：23-24.

[4]郭炎华。网络信息与信息安全探析[j].情报杂志，2001，（4）：44-45.

[5]林聪榕。世界主要国家信息安全的发展动向[j].中国信息导报，2001，（1）：58-59.

论信息安全管理

论金融信息系统的安全管理

论铁路信息系统安全风险管理

论信息安全在电力生产中的应用

其他用户还读了