最近更新中文字幕mv,中文字幕无码人妻aaa片,亚洲欧美中文字幕国产,又爽又黄又无遮挡网站 ,永久黄网站色视频免费观看

軟件檢測服務(wù)中心

檢測認(rèn)證人脈交流通訊錄

  • 電子商務(wù)安全:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全

  • 這真不是您需要的服務(wù)?

     直接提問 | 回首頁搜

  • 電子商務(wù)安全 電子商務(wù)安全從整體上可分為兩大部分:計(jì)算機(jī)網(wǎng)絡(luò)安全和商務(wù)交易安全 (一)計(jì)算機(jī)網(wǎng)絡(luò)安全的內(nèi)容包括: (1)未進(jìn)行操作系統(tǒng)相關(guān)安全配置 不論采用什么操作系統(tǒng),在缺省安裝的條件下都會(huì)存在一些安全問題,只有專門針對(duì)操作系統(tǒng)安全性進(jìn)行相關(guān)的和嚴(yán)格的安全配置,才能達(dá)到一定的安全程度。千萬不要以為操作系統(tǒng)缺省安裝后,再配上很強(qiáng)的密碼系統(tǒng)就算作安全了。網(wǎng)絡(luò)軟件的漏洞和"后門" 是進(jìn)行網(wǎng)絡(luò)攻擊的首選目標(biāo)。 (2)未進(jìn)行CGI程序代碼審計(jì) 如果是通用的CGI問題,防范起來還稍微容易一些,但是對(duì)于網(wǎng)站或軟件供應(yīng)商專門開發(fā)的一些CGI程序,很多存在嚴(yán)重的CGI問題,對(duì)于電子商務(wù)站點(diǎn)來說,會(huì)出現(xiàn)惡意攻擊者冒用他人賬號(hào)進(jìn)行網(wǎng)上購物等嚴(yán)重后果。 (3)拒絕服務(wù)(DoS,Denial of Service)攻擊 隨著電子商務(wù)的興起,對(duì)網(wǎng)站的實(shí)時(shí)性要求越來越高,DoS或DDoS對(duì)網(wǎng)站的威脅越來越大。以網(wǎng)絡(luò)癱瘓為目標(biāo)的襲擊效果比任何傳統(tǒng)的恐怖主義和戰(zhàn)爭方式都來得更強(qiáng)烈,破壞性更大,造成危害的速度更快,范圍也更廣,而襲擊者本身的風(fēng)險(xiǎn)卻非常小,甚至可以在襲擊開始前就已經(jīng)消失得無影無蹤,使對(duì)方?jīng)]有實(shí)行報(bào)復(fù)打擊的可能。 (4)安全產(chǎn)品使用不當(dāng) 雖然不少網(wǎng)站采用了一些網(wǎng)絡(luò)安全設(shè)備,但由于安全產(chǎn)品本身的問題或使用問題,這些產(chǎn)品并沒有起到應(yīng)有的作用。很多安全廠商的產(chǎn)品對(duì)配置人員的技術(shù)背景要求很高,超出對(duì)普通網(wǎng)管人員的技術(shù)要求,就算是廠家在最初給用戶做了正確的安裝、配置,但一旦系統(tǒng)改動(dòng),需要改動(dòng)相關(guān)安全產(chǎn)品的設(shè)置時(shí),很容易產(chǎn)生許多安全問題。 (5)缺少嚴(yán)格的網(wǎng)絡(luò)安全管理制度 網(wǎng)絡(luò)安全最重要的還是要思想上高度重視,網(wǎng)站或局域網(wǎng)內(nèi)部的安全需要用完備的安全制度來保障。建立和實(shí)施嚴(yán)密的計(jì)算機(jī)網(wǎng)絡(luò)安全制度與策略是真正實(shí)現(xiàn)網(wǎng)絡(luò)安全的基礎(chǔ)。 (二)計(jì)算機(jī)商務(wù)交易安全的內(nèi)容包括: (1)竊取信息 由于未采用加密措施,數(shù)據(jù)信息在網(wǎng)絡(luò)上以明文形式傳送,入侵者在數(shù)據(jù)包經(jīng)過的網(wǎng)關(guān)或路由器上可以截獲傳送的信息。通過多次竊取和分析,可以找到信息的規(guī)律和格式,進(jìn)而得到傳輸信息的內(nèi)容,造成網(wǎng)上傳輸信息泄密。 (2)篡改信息 當(dāng)入侵者掌握了信息的格式和規(guī)律后,通過各種技術(shù)手段和方法,將網(wǎng)絡(luò)上傳送的信息數(shù)據(jù)在中途修改,然后再發(fā)向目的地。這種方法并不新鮮,在路由器或網(wǎng)關(guān)上都可以做此類工作。 (3)假冒 由于掌握了數(shù)據(jù)的格式,并可以篡改通過的信息,攻擊者可以冒充合法用戶發(fā)送假冒的信息或者主動(dòng)獲取信息,而遠(yuǎn)端用戶通常很難分辨。 (4)惡意破壞 由于攻擊者可以接入網(wǎng)絡(luò),則可能對(duì)網(wǎng)絡(luò)中的信息進(jìn)行修改,掌握網(wǎng)上的機(jī)要信息,甚至可以潛入網(wǎng)絡(luò)內(nèi)部,其后果是非常嚴(yán)重的。 折疊安全對(duì)策 電子商務(wù)的一個(gè)重要技術(shù)特征是利用計(jì)算機(jī)技術(shù)來傳輸和處理商業(yè)信息。因此,電子商務(wù)安全問題的對(duì)策從整體上可分為計(jì)算機(jī)網(wǎng)絡(luò)安全措施和商務(wù)交易安全措施兩大部分。 1.計(jì)算機(jī)網(wǎng)絡(luò)安全措施 計(jì)算機(jī)網(wǎng)絡(luò)安全措施主要包括保護(hù)網(wǎng)絡(luò)安全、保護(hù)應(yīng)用服務(wù)安全和保護(hù)系統(tǒng)安全三個(gè)方面,各個(gè)方面都要結(jié)合考慮安全防護(hù)的物理安全、防火墻、信息安全、Web安全、媒體安全等等。 (一)保護(hù)網(wǎng)絡(luò)安全。 網(wǎng)絡(luò)安全是為保護(hù)商務(wù)各方網(wǎng)絡(luò)端系統(tǒng)之間通信過程的安全性。保證機(jī)密性、完整性、認(rèn)證性和訪問控制性是網(wǎng)絡(luò)安全的重要因素。保護(hù)網(wǎng)絡(luò)安全的主要措施如下: (1)全面規(guī)劃網(wǎng)絡(luò)平臺(tái)的安全策略。 (2)制定網(wǎng)絡(luò)安全的管理措施。 (3)使用防火墻。 (4)盡可能記錄網(wǎng)絡(luò)上的一切活動(dòng)。 (5)注意對(duì)網(wǎng)絡(luò)設(shè)備的物理保護(hù)。 (6)檢驗(yàn)網(wǎng)絡(luò)平臺(tái)系統(tǒng)的脆弱性。 (7)建立可靠的識(shí)別和鑒別機(jī)制。 (二)保護(hù)應(yīng)用安全。 保護(hù)應(yīng)用安全,主要是針對(duì)特定應(yīng)用(如Web服務(wù)器、網(wǎng)絡(luò)支付專用軟件系統(tǒng))所建立的安全防護(hù)措施,它獨(dú)立于網(wǎng)絡(luò)的任何其他安全防護(hù)措施。雖然有些防護(hù)措施可能是網(wǎng)絡(luò)安全業(yè)務(wù)的一種替代或重疊,如Web瀏覽器和Web服務(wù)器在應(yīng)用層上對(duì)網(wǎng)絡(luò)支付結(jié)算信息包的加密,都通過IP層加密,但是許多應(yīng)用還有自己的特定安全要求。 由于電子商務(wù)中的應(yīng)用層對(duì)安全的要求最嚴(yán)格、最復(fù)雜,因此更傾向于在應(yīng)用層而不是在網(wǎng)絡(luò)層采取各種安全措施。 雖然網(wǎng)絡(luò)層上的安全仍有其特定地位,但是人們不能完全依靠它來解決電子商務(wù)應(yīng)用的安全性。應(yīng)用層上的安全業(yè)務(wù)可以涉及認(rèn)證、訪問控制、機(jī)密性、數(shù)據(jù)完整性、不可否認(rèn)性、Web安全性、EDI和網(wǎng)絡(luò)支付等應(yīng)用的安全性。 (三)保護(hù)系統(tǒng)安全。 保護(hù)系統(tǒng)安全,是指從整體電子商務(wù)系統(tǒng)或網(wǎng)絡(luò)支付系統(tǒng)的角度進(jìn)行安全防護(hù),它與網(wǎng)絡(luò)系統(tǒng)硬件平臺(tái)、操作系統(tǒng)、各種應(yīng)用軟件等互相關(guān)聯(lián)。涉及網(wǎng)絡(luò)支付結(jié)算的系統(tǒng)安全包含下述一些措施: (1)在安裝的軟件中,如瀏覽器軟件、電子錢包軟件、支付網(wǎng)關(guān)軟件等,檢查和確認(rèn)未知的安全漏洞。 (2)技術(shù)與管理相結(jié)合,使系統(tǒng)具有最小穿透風(fēng)險(xiǎn)性。如通過諸多認(rèn)證才允許連通,對(duì)所有接入數(shù)據(jù)必須進(jìn)行審計(jì),對(duì)系統(tǒng)用戶進(jìn)行嚴(yán)格安全管理。 (3)建立詳細(xì)的安全審計(jì)日志,以便檢測并跟蹤入侵攻擊等。 商務(wù)交易安全則緊緊圍繞傳統(tǒng)商務(wù)在互聯(lián)網(wǎng)絡(luò)上應(yīng)用時(shí)產(chǎn)生的各種安全問題,在計(jì)算機(jī)網(wǎng)絡(luò)安全的基礎(chǔ)上,如何保障電子商務(wù)過程的順利進(jìn)行。 各種商務(wù)交易安全服務(wù)都是通過安全技術(shù)來實(shí)現(xiàn)的,主要包括加密技術(shù)、認(rèn)證技術(shù)和電子商務(wù)安全協(xié)議等。 (一)加密技術(shù)。 加密技術(shù)是電子商務(wù)采取的基本安全措施,交易雙方可根據(jù)需要在信息交換的階段使用。加密技術(shù)分為兩類,即對(duì)稱加密和非對(duì)稱加密。 (1)對(duì)稱加密。 對(duì)稱加密又稱私鑰加密,即信息的發(fā)送方和接收方用同一個(gè)密鑰去加密和解密數(shù)據(jù)。它的最大優(yōu)勢是加/解密速度快,適合于對(duì)大數(shù)據(jù)量進(jìn)行加密,但密鑰管理困難。如果進(jìn)行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那么機(jī)密性和報(bào)文完整性就可以通過這種加密方法加密機(jī)密信息、隨報(bào)文一起發(fā)送報(bào)文摘要或報(bào)文散列值來實(shí)現(xiàn)。 (2)非對(duì)稱加密。 非對(duì)稱加密又稱公鑰加密,使用一對(duì)密鑰來分別完成加密和解密操作,其中一個(gè)公開發(fā)布(即公鑰),另一個(gè)由用戶自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對(duì)密鑰并將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對(duì)信息進(jìn)行加密后再發(fā)送給甲方,甲方再用自己保存的私鑰對(duì)加密信息進(jìn)行解密。 (二)認(rèn)證技術(shù)。 認(rèn)證技術(shù)是用電子手段證明發(fā)送者和接收者身份及其文件完整性的技術(shù),即確認(rèn)雙方的身份信息在傳送或存儲(chǔ)過程中未被篡改過。 (1)數(shù)字簽名。 數(shù)字簽名也稱電子簽名,如同出示手寫簽名一樣,能起到電子文件認(rèn)證、核準(zhǔn)和生效的作用。其實(shí)現(xiàn)方式是把散列函數(shù)和公開密鑰算法結(jié)合起來,發(fā)送方從報(bào)文文本中生成一個(gè)散列值,并用自己的私鑰對(duì)這個(gè)散列值進(jìn)行加密,形成發(fā)送方的數(shù)字簽名;然后,將這個(gè)數(shù)字簽名作為報(bào)文的附件和報(bào)文一起發(fā)送給報(bào)文的接收方;報(bào)文的接收方首先從接收到的原始報(bào)文中計(jì)算出散列值,接著再用發(fā)送方的公開密鑰來對(duì)報(bào)文附加的數(shù)字簽名進(jìn)行解密; (2)數(shù)字證書。 數(shù)字證書是一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公鑰擁有者信息以及公鑰的文件數(shù)字證書的最主要構(gòu)成包括一個(gè)用戶公鑰,加上密鑰所有者的用戶身份標(biāo)識(shí)符,以及被信任的第三方簽名第三方一般是用戶信任的證書權(quán)威機(jī)構(gòu)(CA),如政府部門和金融機(jī)構(gòu)。用戶以安全的方式向公鑰證書權(quán)威機(jī)構(gòu)提交他的公鑰并得到證書,然后用戶就可以公開這個(gè)證書。任何需要用戶公鑰的人都可以得到此證書,并通過相關(guān)的信任簽名來驗(yàn)證公鑰的有效性。數(shù)字證書通過標(biāo)志交易各方身份信息的一系列數(shù)據(jù),提供了一種驗(yàn)證各自身份的方式,用戶可以用它來識(shí)別對(duì)方的身份。 (三)電子商務(wù)的安全協(xié)議。 除上文提到的各種安全技術(shù)之外,電子商務(wù)的運(yùn)行還有一套完整的安全協(xié)議。比較成熟的協(xié)議有SET、SSL等。 (1)安全套接層協(xié)議SSL。 SSL協(xié)議位于傳輸層和應(yīng)用層之間,由SSL記錄協(xié)議、SSL握手協(xié)議和SSL警報(bào)協(xié)議組成的。SSL握手協(xié)議被用來在客戶與服務(wù)器真正傳輸應(yīng)用層數(shù)據(jù)之前建立安全機(jī)制。當(dāng)客戶與服務(wù)器第一次通信時(shí),雙方通過握手協(xié)議在版本號(hào)、密鑰交換算法、數(shù)據(jù)加密算法和Hash算法上達(dá)成一致,然后互相驗(yàn)證對(duì)方身份,最后使用協(xié)商好的密鑰交換算法產(chǎn)生一個(gè)只有雙方知道的秘密信息,客戶和服務(wù)器各自根據(jù)此秘密信息產(chǎn)生數(shù)據(jù)加密算法和Hash算法參數(shù)。SSL記錄協(xié)議根據(jù)SSL握手協(xié)議協(xié)商的參數(shù),對(duì)應(yīng)用層送來的數(shù)據(jù)進(jìn)行加密、壓縮、計(jì)算消息鑒別碼MAC,然后經(jīng)網(wǎng)絡(luò)傳輸層發(fā)送給對(duì)方。SSL警報(bào)協(xié)議用來在客戶和服務(wù)器之間傳遞SSL出錯(cuò)信息。 (2)安全電子交易協(xié)議SET。 SET協(xié)議用于劃分與界定電子商務(wù)活動(dòng)中消費(fèi)者、網(wǎng)上商家、交易雙方銀行、信用卡組織之間的權(quán)利義務(wù)關(guān)系,給定交易信息傳送流程標(biāo)準(zhǔn)。SET主要由三個(gè)文件組成,分別是SET業(yè)務(wù)描述、SET程序員指南和SET協(xié)議描述。SET協(xié)議保證了電子商務(wù)系統(tǒng)的機(jī)密性、數(shù)據(jù)的完整性、身份的合法性。 SET協(xié)議是專為電子商務(wù)系統(tǒng)設(shè)計(jì)的。它位于應(yīng)用層,其認(rèn)證體系十分完善,能實(shí)現(xiàn)多方認(rèn)證。在SET的實(shí)現(xiàn)中,消費(fèi)者帳戶信息對(duì)商家來說是保密的。但是SET協(xié)議十分復(fù)雜,交易數(shù)據(jù)需進(jìn)行多次驗(yàn)證,用到多個(gè)密鑰以及多次加密解密。而且在SET協(xié)議中除消費(fèi)者與商家外,還有發(fā)卡行、收單行、認(rèn)證中心、支付網(wǎng)關(guān)等其它參與者。 折疊工程監(jiān)理 信息安全工程的監(jiān)理是在信息安全工程的開發(fā)采購階段和交付實(shí)施階段為業(yè)主單位提供的信息安全保障服務(wù)。主要是在項(xiàng)目準(zhǔn)備階段、項(xiàng)目實(shí)施階段和項(xiàng)目驗(yàn)收階段通過質(zhì)量控制、進(jìn)度控制、合同管理、信息管理和協(xié)調(diào),來促使信息安全工程以科學(xué)規(guī)范的流程,在一定的成本范圍內(nèi),按時(shí)保質(zhì)保量地完成,實(shí)現(xiàn)項(xiàng)目預(yù)期的信息安全目標(biāo)。 信息安全工程監(jiān)理的信息安全工程監(jiān)理模型由三部分組成,即咨詢監(jiān)理支撐要素(組織結(jié)構(gòu)、設(shè)施設(shè)備、安全保障知識(shí)、質(zhì)量管理)、監(jiān)理咨詢階段過程和控制管理措施("三控制、兩管理、一協(xié)調(diào)",即質(zhì)量控制、進(jìn)度控制、成本控制、合同管理、信息管理和組織協(xié)調(diào))。 折疊編輯本段安全技術(shù) 折疊加密 數(shù)據(jù)加密技術(shù)從技術(shù)上的實(shí)現(xiàn)分為在軟件和硬件兩方面。按作用不同,數(shù)據(jù)加密技術(shù)主要分為數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)完整性的鑒別以及密鑰管理技術(shù)這四種。 在網(wǎng)絡(luò)應(yīng)用中一般采取兩種加密形式:對(duì)稱密鑰和公開密鑰,采用何種加密算法則要結(jié)合具體應(yīng)用環(huán)境和系統(tǒng),而不能簡單地根據(jù)其加密強(qiáng)度來作出判斷。因?yàn)槌思用芩惴ū旧碇猓荑€合理分配、加密效率與現(xiàn)有系統(tǒng)的結(jié)合性,以及投入產(chǎn)出分析都應(yīng)在實(shí)際環(huán)境中具體考慮。 對(duì)于對(duì)稱密鑰加密。其常見加密標(biāo)準(zhǔn)為DES等,當(dāng)使用DES時(shí),用戶和接受方采用64位密鑰對(duì)報(bào)文加密和解密,當(dāng)對(duì)安全性有特殊要求時(shí),則要采取IDEA和三重DES等。作為傳統(tǒng)企業(yè)網(wǎng)絡(luò)廣泛應(yīng)用的加密技術(shù),秘密密鑰效率高,它采用KDC來集中管理和分發(fā)密鑰并以此為基礎(chǔ)驗(yàn)證身份,但是并不適合Internet環(huán)境。 在Internet中使用更多的是公鑰系統(tǒng)。即公開密鑰加密,它的加密密鑰和解密密鑰是不同的。一般對(duì)于每個(gè)用戶生成一對(duì)密鑰后,將其中一個(gè)作為公鑰公開,另外一個(gè)則作為私鑰由屬主保存。常用的公鑰加密算法是RSA算法,加密強(qiáng)度很高。具體作法是將數(shù)字簽名和數(shù)據(jù)加密結(jié)合起來。發(fā)送方在發(fā)送數(shù)據(jù)時(shí)必須加上數(shù)據(jù)簽名,做法是用自己的私鑰加密一段與發(fā)送數(shù)據(jù)相關(guān)的數(shù)據(jù)作為數(shù)字簽名,然后與發(fā)送數(shù)據(jù)一起用接收方密鑰加密。當(dāng)這些密文被接收方收到后,接收方用自己的私鑰將密文解密得到發(fā)送的數(shù)據(jù)和發(fā)送方的數(shù)字簽名,然后,用發(fā)布方公布的公鑰對(duì)數(shù)字簽名進(jìn)行解密,如果成功,則確定是由發(fā)送方發(fā)出的。數(shù)字簽名每次還與被傳送的數(shù)據(jù)和時(shí)間等因素有關(guān)。由于加密強(qiáng)度高,而且并不要求通信雙方事先要建立某種信任關(guān)系或共享某種秘密,因此十分適合Internet網(wǎng)上使用。 折疊認(rèn)證 認(rèn)證就是指用戶必須提供他是誰的證明,他是某個(gè)雇員,某個(gè)組織的代理、某個(gè)軟件過程(如股票交易系統(tǒng)或Web訂貨系統(tǒng)的軟件過程)。認(rèn)證的標(biāo)準(zhǔn)方法就是弄清楚他是誰,他具有什么特征,他知道什么可用于識(shí)別他的東西。比如說,系統(tǒng)中存儲(chǔ)了他的指紋,他接入網(wǎng)絡(luò)時(shí),就必須在連接到網(wǎng)絡(luò)的電子指紋機(jī)上提供他的指紋(這就防止他以假的指紋或其它電子信息欺騙系統(tǒng)),只有指紋相符才允許他訪問系統(tǒng)。更普通的是通過視網(wǎng)膜血管分布圖來識(shí)別,原理與指紋識(shí)別相同,聲波紋識(shí)別也是商業(yè)系統(tǒng)采用的一種識(shí)別方式。網(wǎng)絡(luò)通過用戶擁有什么東西來識(shí)別的方法,一般是用智能卡或其它特殊形式的標(biāo)志,這類標(biāo)志可以從連接到計(jì)算機(jī)上的讀出器讀出來。至于說到"他知道什么",最普通的就是口令,口令具有共享秘密的屬性。例如,要使服務(wù)器操作系統(tǒng)識(shí)別要入網(wǎng)的用戶,那么用戶必須把他的用戶名和口令送服務(wù)器。服務(wù)器就將它仍與數(shù)據(jù)庫里的用戶名和口令進(jìn)行比較,如果相符,就通過了認(rèn)證,可以上網(wǎng)訪問。這個(gè)口令就由服務(wù)器和用戶共享。更保密的認(rèn)證可以是幾種方法組合而成。例如用ATM卡和PIN卡。在安全方面最薄弱的一環(huán)是規(guī)程分析儀的竊聽,如果口令以明碼(未加密)傳輸,接入到網(wǎng)上的規(guī)程分析儀就會(huì)在用戶輸入帳戶和口令時(shí)將它記錄下來,任何人只要獲得這些信息就可以上網(wǎng)工作。為了解決安全問題,一些公司和機(jī)構(gòu)正千方百計(jì)地解決用戶身份認(rèn)證問題,主要有以下幾種認(rèn)證辦法。 1. 雙重認(rèn)證。如波斯頓的Beth IsrealHospital公司和意大利一家居領(lǐng)導(dǎo)地位的電信公司正采用"雙重認(rèn)證"辦法來保證用戶的身份證明。也就是說他們不是采用一種方法,而是采用有兩種形式的證明方法,這些證明方法包括令牌、智能卡和仿生裝置,如視網(wǎng)膜或指紋掃描器。 2.數(shù)字證書。這是一種檢驗(yàn)用戶身份的電子文件,也是企業(yè)可以使用的一種工具。這種證書可以授權(quán)購買,提供更強(qiáng)的訪問控制,并具有很高的安全性和可靠性。隨著電信行業(yè)堅(jiān)持放松管制,GTE已經(jīng)使用數(shù)字證書與其競爭對(duì)手(包括Sprint公司和AT&T公司)共享用戶信息。 3. 智能卡。這種解決辦法可以持續(xù)較長的時(shí)間,并且更加靈活,存儲(chǔ)信息更多,并具有可供選擇的管理方式。 4. 安全電子交易(SET)協(xié)議。這是迄今為止最為完整最為權(quán)威的電子商務(wù)安全保障協(xié)議。 折疊編輯本段目標(biāo)和原則 折疊目標(biāo) 所有的信息安全技術(shù)都是為了達(dá)到一定的安全目標(biāo),其核心包括保密性、完整性、可用性、可控性和不可否認(rèn)性五個(gè)安全目標(biāo)。 保密性(Confidentiality)是指阻止非授權(quán)的主體閱讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內(nèi)容之一。更通俗地講,就是說未授權(quán)的用戶不能夠獲取敏感信息。對(duì)紙質(zhì)文檔信息,我們只需要保護(hù)好文件,不被非授權(quán)者接觸即可。而對(duì)計(jì)算機(jī)及網(wǎng)絡(luò)環(huán)境中的信息,不僅要制止非授權(quán)者對(duì)信息的閱讀。也要阻止授權(quán)者將其訪問的信息傳遞給非授權(quán)者,以致信息被泄漏。 完整性(Integrity)是指防止信息被未經(jīng)授權(quán)的篡改。它是保護(hù)信息保持原始的狀態(tài),使信息保持其真實(shí)性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴(yán)重的后果。 可用性(Availability)是指授權(quán)主體在需要信息時(shí)能及時(shí)得到服務(wù)的能力。可用性是在信息安全保護(hù)階段對(duì)信息安全提出的新要求,也是在網(wǎng)絡(luò)化空間中必須滿足的一項(xiàng)信息安全要求。 可控性(Controlability)是指對(duì)信息和信息系統(tǒng)實(shí)施安全監(jiān)控管理,防止非法利用信息和信息系統(tǒng)。 不可否認(rèn)性(Non-repudiation)是指在網(wǎng)絡(luò)環(huán)境中,信息交換的雙方不能否認(rèn)其在交換過程中發(fā)送信息或接收信息的行為。 信息安全的保密性、完整性和可用性主要強(qiáng)調(diào)對(duì)非授權(quán)主體的控制。而對(duì)授權(quán)主體的不正當(dāng)行為如何控制呢?信息安全的可控性和不可否認(rèn)性恰恰是通過對(duì)授權(quán)主體的控制,實(shí)現(xiàn)對(duì)保密性、完整性和可用性的有效補(bǔ)充,主要強(qiáng)調(diào)授權(quán)用戶只能在授權(quán)范圍內(nèi)進(jìn)行合法的訪問,并對(duì)其行為進(jìn)行監(jiān)督和審查。 除了上述的信息安全五性外,還有信息安全的可審計(jì)性(Audiability)、可鑒別性(Authenticity)等。信息安全的可審計(jì)性是指信息系統(tǒng)的行為人不能否認(rèn)自己的信息處理行為。與不可否認(rèn)性的信息交換過程中行為可認(rèn)定性相比,可審計(jì)性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對(duì)信息的發(fā)送者的身份進(jìn)行判定。它也是一個(gè)與不可否認(rèn)性相關(guān)的概念。 折疊原則 為了達(dá)到信息安全的目標(biāo),各種信息安全技術(shù)的使用必須遵守一些基本的原則。 最小化原則。受保護(hù)的敏感信息只能在一定范圍內(nèi)被共享,履行工作職責(zé)和職能的安全主體,在法律和相關(guān)安全策略允許的前提下,為滿足工作需要。僅被授予其訪問信息的適當(dāng)權(quán)限,稱為最小化原則。敏感信息的。知情權(quán)"一定要加以限制,是在"滿足工作需要"前提下的一種限制性開放??梢詫⒆钚』瓌t細(xì)分為知所必須(need to know)和用所必須(need協(xié)峨)的原則。 分權(quán)制衡原則。在信息系統(tǒng)中,對(duì)所有權(quán)限應(yīng)該進(jìn)行適當(dāng)?shù)貏澐?,使每個(gè)授權(quán)主體只能擁有其中的一部分權(quán)限,使他們之間相互制約、相互監(jiān)督,共同保證信息系統(tǒng)的安全。如果-個(gè)授權(quán)主體分配的權(quán)限過大,無人監(jiān)督和制約,就隱含了"濫用權(quán)力"、"一言九鼎"的安全隱患。 安全隔離原則。隔離和控制是實(shí)現(xiàn)信息安全的基本方法,而隔離是進(jìn)行控制的基礎(chǔ)。信息安全的一個(gè)基本策略就是將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實(shí)施主體對(duì)客體的訪問。 在這些基本原則的基礎(chǔ)上,人們在生產(chǎn)實(shí)踐過程中還總結(jié)出的一些實(shí)施原則,他們是基本原則的具體體現(xiàn)和擴(kuò)展。包括:整體保護(hù)原則、誰主管誰負(fù)責(zé)原則、適度保護(hù)的等級(jí)化原則、分域保護(hù)原則、動(dòng)態(tài)保護(hù)原則、多級(jí)保護(hù)原則、深度保護(hù)原則和信息流向原則等。 折疊資質(zhì)認(rèn)證 中國信息安全測評(píng)認(rèn)證中心是中國信息安全最高認(rèn)證,測評(píng)及認(rèn)定項(xiàng)目分為信息安全產(chǎn)品測評(píng)、信息系統(tǒng)安全等級(jí)認(rèn)定、信息安全服務(wù)資質(zhì)認(rèn)定、信息安全從業(yè)人員資質(zhì)認(rèn)定四大類。 信息安全產(chǎn)品測評(píng):對(duì)中國外信息技術(shù)產(chǎn)品的安全性進(jìn)行測評(píng),其中包括各類信息安全產(chǎn)品如防火墻、入侵監(jiān)測、安全審計(jì)、網(wǎng)絡(luò)隔離、VPN、智能卡、卡終端、安全管理等,以及各類非安全專用IT產(chǎn)品如操作系統(tǒng)、數(shù)據(jù)庫、交換機(jī)、路由器、應(yīng)用軟件等。 根據(jù)測評(píng)依據(jù)及測評(píng)內(nèi)容,分為:信息安全產(chǎn)品分級(jí)評(píng)估、信息安全產(chǎn)品認(rèn)定測評(píng)、信息技術(shù)產(chǎn)品自主原創(chuàng)測評(píng)、源代碼安全風(fēng)險(xiǎn)評(píng)估、選型測試、定制測試。 信息系統(tǒng)認(rèn)定: 對(duì)中國信息系統(tǒng)的安全性進(jìn)行測試、評(píng)估。 對(duì)中國信息系統(tǒng)的安全性測試、評(píng)估和認(rèn)定、根據(jù)依據(jù)標(biāo)準(zhǔn)及測評(píng)方法的不同,主要提供:信息安全風(fēng)險(xiǎn)評(píng)估、信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)、信息系統(tǒng)安全保障能力評(píng)估、信息系統(tǒng)安全方案評(píng)審、電子政務(wù)項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估。 信息安全服務(wù)資質(zhì)認(rèn)定: 對(duì)提供信息安全服務(wù)的組織和單位資質(zhì)進(jìn)行審核、評(píng)估和認(rèn)定。 信息安全服務(wù)資質(zhì)是對(duì)信息系統(tǒng)安全服務(wù)的提供者的技術(shù)、資源、法律、管理等方面的資質(zhì)和能力,以及其穩(wěn)定性、可靠性進(jìn)行評(píng)估,并依據(jù)公開的標(biāo)準(zhǔn)和程序,對(duì)其安全服務(wù)保障能力進(jìn)行認(rèn)定的過程。分為:信息安全工程類、信息安全災(zāi)難恢復(fù)類、安全運(yùn)營維護(hù)類。 信息安全專業(yè)人員資質(zhì)認(rèn)定: 對(duì)信息安全專業(yè)人員的資質(zhì)能力進(jìn)行考核、評(píng)估和認(rèn)定。 信息安全人員測評(píng)與資質(zhì)認(rèn)定,主要包括注冊信息安全專業(yè)人員(CISP)、注冊信息安全員(CISM)及安全編成等專項(xiàng)培訓(xùn)、信息安全意識(shí)培訓(xùn)。 折疊編輯本段技術(shù)對(duì)比 折疊法政標(biāo) 信息安全法規(guī)、政策與標(biāo)準(zhǔn) 1)法律體系初步構(gòu)建,但體系化與有效性等方面仍有待進(jìn)一步完善信息安全法律法規(guī)體系初步形成。 據(jù)相關(guān)統(tǒng)計(jì),截至2008年與信息安全直接相關(guān)的法律有65部,涉及網(wǎng)絡(luò)與信息系統(tǒng)安全、信息內(nèi)容安全、信息安全系統(tǒng)與產(chǎn)品、保密及密碼管理、計(jì)算機(jī)病毒與危害性程序防治、金融等特定領(lǐng)域的信息安全、信息安全犯罪制裁等多個(gè)領(lǐng)域,從形式看,有法律、相關(guān)的決定、司法解釋及相關(guān)文件、行政法規(guī)、法規(guī)性文件、部門規(guī)章及相關(guān)文件、地方性法規(guī)與地方政府規(guī)章及相關(guān)文件多個(gè)層次。與此同時(shí),與信息安全相關(guān)的司法和行政管理體系迅速完善。但整體來看,與美國、歐盟等先進(jìn)國家與地區(qū)比較,我們在相關(guān)法律方面還欠體系化、覆蓋面與深度。缺乏相關(guān)的基本法,信息安全在法律層面的缺失對(duì)于信息安全保障形成重大隱患。 2)相關(guān)系列政策推出,與國外也有異曲同工之處從政策來看,美國信息安全政策體系也值得中國學(xué)習(xí)與借鑒。美國在信息安全管理以及政策支持方面走在全球的前列: 一是制定了從軍政部門、公共部門和私營領(lǐng)域的風(fēng)險(xiǎn)管理政策和指南; 二是形成了軍、政、學(xué)、商分工協(xié)作的風(fēng)險(xiǎn)管理體系; 三是國防部、商務(wù)部、審計(jì)署、預(yù)算管理等部門各司其職,形成了較為完整的風(fēng)險(xiǎn)分析、評(píng)估、監(jiān)督、檢查問責(zé)的工作機(jī)制。 3)信息安全標(biāo)準(zhǔn)化工作得到重視,但標(biāo)準(zhǔn)體系尚待發(fā)展與完善信息安全標(biāo)準(zhǔn)體系主要由基礎(chǔ)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)等分體系組成。 中國信息技術(shù)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(CITS)主持制定了GB系列的信息安全標(biāo)準(zhǔn)對(duì)信息安全軟件、硬件、施工、檢測、管理等方面的幾十個(gè)主要標(biāo)準(zhǔn)。但總體而言,中國的信息安全標(biāo)準(zhǔn)體系仍處于發(fā)展和建立階段,基本上是引用與借鑒了國際以及先進(jìn)國家的相關(guān)標(biāo)準(zhǔn)。因此,中國在信息安全標(biāo)準(zhǔn)組織體系方面還有待于進(jìn)一步發(fā)展與完善。 折疊意識(shí)實(shí)踐 信息安全用戶意識(shí)與實(shí)踐 1) 信息安全意識(shí)有待提高 與發(fā)達(dá)國家相比,中國的信息安全產(chǎn)業(yè)不單是規(guī)?;蚍蓊~的問題,在深層次的安全意識(shí)等方面差距也不少。而從個(gè)人信息安全意識(shí)層面來看,與美歐等相比較,僅盜版軟件使用率相對(duì)較高這種現(xiàn)象就可以部分說明中國個(gè)人用戶的信息安全意識(shí)仍然較差。包括信用卡使用過程中暴露出來的簽名不嚴(yán)格、加密程度低,以及在互聯(lián)網(wǎng)使用過程中的密碼使用以及更換等方面都更多地表明,中國個(gè)人用戶的信息安全意識(shí)有待于提高。 2)信息安全實(shí)踐過程有待加強(qiáng)管理 信息安全意識(shí)較低的必然結(jié)果就是導(dǎo)致信息安全實(shí)踐水平較差。廣大中小企業(yè)與大量的政府、行業(yè)與事業(yè)單位用戶對(duì)于信息安全的淡漠意識(shí)直接表現(xiàn)為缺乏有效地信息安全保障措施,雖然,這是一個(gè)全球性的問題,但是中國用戶在這一方面與發(fā)達(dá)國家還有一定差距。 服務(wù)熱線:400-669-0203 020-29178595 QQ2557064750 2649046091 http://www.simou.net.cn/ http://www.innor.org/

  • 檢測通手機(jī)版

  • 檢測通官方微信

  •  檢測通QQ群