信息安全研究論文精選(九篇)

前言：一篇好文章的誕生，需要你不斷地搜集資料、整理思路，本站小編為你收集了豐富的信息安全研究論文主題范文，僅供參考，歡迎閱讀并收藏。

第1篇：信息安全研究論文范文

關(guān)鍵詞：新形勢、金融業(yè)信息安全、挑戰(zhàn)、對策

一、面臨的挑戰(zhàn)

目前，金融業(yè)的業(yè)務開展更加依賴于信息技術(shù)的應用，特別是以綜合業(yè)務系統(tǒng)整合、數(shù)據(jù)集中為主要特征的金融業(yè)信息化發(fā)展到一個新的階段。因而，信息技術(shù)風險也自然成為中國金融機構(gòu)操作風險的重要方面。金融業(yè)信息安全工作正面臨比以往更嚴峻的形勢，圍繞信息網(wǎng)絡空間的斗爭日趨尖銳，境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢，惡意代碼和網(wǎng)絡攻擊呈多樣化局面，金融業(yè)信息系統(tǒng)安全運行的難度加大，挑戰(zhàn)增多。

一是人民銀行的業(yè)務指導、監(jiān)督管理滯后于金融業(yè)信息化發(fā)展。

與金融業(yè)信息化的高速發(fā)展相比，金融業(yè)信息安全的指導、監(jiān)管工作還需要進一步加強。國內(nèi)曾有專家明確提出，在金融信息化、網(wǎng)絡化時代，“信息資產(chǎn)風險監(jiān)管是現(xiàn)代金融監(jiān)管體系的核心理念。”信息資產(chǎn)風險指在信息化中，信息資產(chǎn)的規(guī)劃、設計、開發(fā)、生成、存在、運用、服務、管理、維護、監(jiān)管以及其他相關(guān)過程中產(chǎn)生的信用、市場、操作與業(yè)務風險。人民銀行在金融信息規(guī)劃、信息標準、信息安全等諸多方面承擔著重要職責，在2008奧運年中發(fā)揮了重要、積極的作用。但總體來看，人民銀行及其分支行對金融機構(gòu)信息安全工作的指導和監(jiān)管，還處于初級階段，由于人民銀行分支機構(gòu)對各金融機構(gòu)信息安全缺乏指導、缺乏統(tǒng)一的監(jiān)管目標、缺乏完整的認識，以及缺乏監(jiān)督管理的依據(jù)和標準，從而導致監(jiān)管措施不到位，監(jiān)管手段缺失，致使基層行監(jiān)管缺乏主動性。

二是核心設備和技術(shù)依賴于國外，底層技術(shù)難以掌握，存在安全隱患。

目前，我國金融業(yè)信息系統(tǒng)和網(wǎng)絡中，大量使用國外廠商生產(chǎn)的設備，這些設備使用的操作系統(tǒng)、數(shù)據(jù)庫、芯片也大多數(shù)是由國外廠商生產(chǎn)。外方不可能提供設備的核心技術(shù)和專利，我方很難判斷設備是否存在“后門”、“軟件陷阱”、“系統(tǒng)漏洞”、“軟件炸彈”等安全漏洞。據(jù)調(diào)查，一些重要網(wǎng)絡系統(tǒng)中使用的信息技術(shù)產(chǎn)品，都不可避免地存在一定的安全漏洞。這些漏洞可能是開發(fā)過程中有意預留，也可能是無意疏忽造成的。特殊情況下，特定安全漏洞可能被利用實施人侵，修改或破壞設備程序，或從設備中竊取機密數(shù)據(jù)和信息。前一階段國外炒作的IC卡安全問題以及近年來出現(xiàn)的微軟“黑屏事件”，已經(jīng)為我們敲響了警鐘。

三是境內(nèi)外網(wǎng)絡違法犯罪活動呈快速遞增趨勢，新技術(shù)的應用使我們面臨更大的挑戰(zhàn)。

金融業(yè)信息網(wǎng)絡和重要信息系統(tǒng)正成為敵對勢力、不法分子進行攻擊、破壞和恐怖活動的重點目標。金融業(yè)信息系統(tǒng)已經(jīng)遭受到多次攻擊，整體信息安全形勢嚴峻。2009年國防科技大學的一項研究表明，我國與互聯(lián)網(wǎng)相連的網(wǎng)絡管理中心有95%都遭到過境內(nèi)外黑客的攻擊或侵人，其中銀行、金融和證券機構(gòu)是攻擊重點。

2005年6月18日，被稱為有史以來最嚴重的信息安全案件在美國爆發(fā)，萬事達、VISA和美國運通公司的主要服務商的數(shù)據(jù)處理中心網(wǎng)絡被黑客程序侵人，導致4000萬個賬戶信息被黑客截獲，使客戶資金處于十分危險的狀態(tài)。

由此可見，基于開放性網(wǎng)絡的金融服務對我國金融信息安全工作提出嚴峻的挑戰(zhàn)。

四是數(shù)據(jù)大集中的同時，也使技術(shù)風險相對集中。

伴隨著數(shù)據(jù)大集中的實現(xiàn)，風險也相對集中.一旦數(shù)據(jù)中心發(fā)生災難，將導致金融業(yè)的所有分支機構(gòu)、營業(yè)網(wǎng)點和全部的業(yè)務處理停頓，或造成客戶重要數(shù)據(jù)的丟失，其后果不堪設想。

近年來，國內(nèi)外金融機構(gòu)因為信息技術(shù)系統(tǒng)故障導致大面積、較長時問業(yè)務中斷的事件時有發(fā)生。2006年，日本花旗銀行出現(xiàn)交易系統(tǒng)故障，5天內(nèi)約27．5萬筆公用事業(yè)繳費遭重復扣劃或交易后未作月結(jié)記錄，造成該行的重大聲譽損失。

信息系統(tǒng)潛在的風險已引起金融業(yè)的高度重視，如何保障后數(shù)據(jù)大集中時代金融業(yè)信息系統(tǒng)安全穩(wěn)定運行，是需要整個金融業(yè)深入研究的課題。

五是我國金融業(yè)的災難處理能力有待加強。

據(jù)人民銀行在2009年對21家全國性商業(yè)銀行災備中心建設情況的調(diào)查顯示，僅有3家建立了同城和異地災備中心，9家建立了同城災備中心，6家建立了異地災備中心，尚有3家沒有建立災備中心。返觀國外同業(yè)．多數(shù)國外銀行已經(jīng)做到了分行一級的災難備份與恢復。這表明，我國金融業(yè)災備中心建設同國外相比存在較大差距。

此外，國內(nèi)金融機構(gòu)的現(xiàn)有災難備份中心布局不合理，過度集中在北京、上海兩地，一旦發(fā)生區(qū)域性重大災難，將對我國金融業(yè)整體運行狀況帶來極大危害，并造成過高的重建成本。

二、應對措施

按照《國務院辦公廳關(guān)于印發(fā)中國人民銀行主要職責內(nèi)設機構(gòu)和人員編制規(guī)定的通知》(新“三定”方案)規(guī)定，人民銀行的主要職責之一是組織制定金融業(yè)信息化發(fā)展規(guī)劃，負責金融標準化的組織管理協(xié)調(diào)工作，指導金融業(yè)信息安全工作。

在新形勢下如何指導和協(xié)調(diào)金融業(yè)信息化建設和信息安全，是人民銀行尤其是人民銀行分支機構(gòu)需要認真思考的問題。

金融業(yè)信息系統(tǒng)的安全是防范和化解金融風險的重要組成部分，要依靠法律、管理機制、技術(shù)保障等多方面相互配合，形成一個完整的安全保障體系。

一是加強金融服務指導和行業(yè)監(jiān)管。

應建立跨部門的金融業(yè)信息安全協(xié)調(diào)機制以及重點時期的安保工作機制，強化信息安全手段和隊伍建設，加強信息安全檢測和準人制度，實施信息安全等級保護，建立信息資產(chǎn)風險評估體系，提高信息安全水平，保證金融穩(wěn)定和經(jīng)濟發(fā)展。

人民銀行分支機構(gòu)應加強對中小金融機構(gòu)的服務指導，尤其是在核心業(yè)務系統(tǒng)建設、災備建設和信息安全方面給予具體指導，幫助中小金融機構(gòu)借鑒成功經(jīng)驗，規(guī)避風險，實現(xiàn)跨越式發(fā)展。

各級人民銀行，應牽頭成立金融業(yè)信息安全領導小組，并建立和完善信息安全通報制度、報告制度和聯(lián)席會議制度，建立健全一個運轉(zhuǎn)靈活、反應靈敏的信息安全應急處理協(xié)調(diào)機制，隨時處置和協(xié)調(diào)金融機構(gòu)安全事件，以迅速應對突發(fā)事件的發(fā)生，降低或消除金融機構(gòu)網(wǎng)絡和主要信息系統(tǒng)因出現(xiàn)重大事件造成的損失。

二是研究建立跨部門的現(xiàn)代化金融業(yè)信息安全管理網(wǎng)絡。真正實現(xiàn)對金融機構(gòu)信息安全風險的及時、動態(tài)、全面、連續(xù)的監(jiān)管。

在正確評估我國金融網(wǎng)絡現(xiàn)狀的基礎上，借鑒國外的組網(wǎng)模式，盡快建立適應我國金融業(yè)信息化建設和發(fā)展實際的高速、安全和先進的網(wǎng)絡框架，在建設時要充分考慮到網(wǎng)絡的兼容性和拓展性，為下一步與各金融業(yè)的網(wǎng)絡互聯(lián)做準備。同時促進各家金融機構(gòu)完善內(nèi)控機制，保障運行安全?，F(xiàn)代金融業(yè)高度依賴信息技術(shù)，必須充分認識到金融業(yè)信息安全對整體業(yè)務和金融體系，乃至經(jīng)濟體系的影響，牢固樹立風險防范意識，把信息科技作為風險管理的重要手段。

三是人民銀行要協(xié)調(diào)督促金融機構(gòu)，加強自主創(chuàng)新，加大對國產(chǎn)軟硬件采購力度，努力減少和降低一些關(guān)鍵領域的對外技術(shù)依賴。

對采購或使用的信息技術(shù)和產(chǎn)品，能自主的就要千方百計地推進自主，不能自主的，也須保證其可知可控，也就是說，要對信息技術(shù)產(chǎn)品的風險和隱患、漏洞和問題做到“心中有底、手中有招、控制有術(shù)”。

對須引進的，實行市場準人制度，并引進權(quán)威機構(gòu)對其產(chǎn)品進行風險、安全、實用等綜合性評估。

對各地區(qū)一些科技水平還比較低的中小金融機構(gòu)，要加大支持力度，加強行業(yè)內(nèi)部的交流合作。針對目前金融業(yè)，特別是中小金融機構(gòu)的信息系統(tǒng)的開發(fā)、建設和運維采用IT外包的形式，應出臺相應的政策、制度和措施，促進IT外包健康快速發(fā)展，約定監(jiān)管機制，規(guī)范服務商的服務標準和流程，使IT外包以服務行為的公司化、強大的配套支持能力、靈活的外包服務方式成為金融機構(gòu)快速發(fā)展的可行之道。

四是建立健全信息安全管理制度，定期進行信息安全檢查，加強網(wǎng)絡安全攻擊防范。

由于金融業(yè)的組織結(jié)構(gòu)和業(yè)務運營方式，使網(wǎng)絡必定要建成一個同Internet和外部線路有較密切關(guān)系的結(jié)構(gòu)，各種網(wǎng)絡訪問上的安全問題也隨之產(chǎn)生。金融網(wǎng)絡系統(tǒng)面臨的攻擊有來自內(nèi)部的，也有來自外部的。攻擊的后果將造成信息失密、信息遭篡改、身份遭假冒和偽造等，特別是在網(wǎng)絡上運行關(guān)鍵業(yè)務時，網(wǎng)絡安全問題更是要優(yōu)先解決的問題。因此，應通過建立健全信息安全制度、定期組織信息安全非現(xiàn)場和現(xiàn)場檢查等方式，促進銀行做好系統(tǒng)加固工作，充分利用各種安全產(chǎn)品強化網(wǎng)絡安全防范，加強移動存儲介質(zhì)管理，做好安全日志分析、預警和監(jiān)測工作，防止植入木馬導致信息泄漏和來自內(nèi)部的安全威脅。

五是增加業(yè)務持續(xù)動作能力，切實采取措施防范數(shù)據(jù)處理集中后的技術(shù)風險。

巴塞爾銀行業(yè)監(jiān)管委員會共同論壇2006年8月了《業(yè)務連續(xù)性高級原則》將業(yè)務連續(xù)性管理定義為，發(fā)生中斷事件時，確保某些業(yè)務保持運行或在短時間內(nèi)得到恢復的一整套辦法，包括政策、標準和程序。

業(yè)務連續(xù)性管理的實施在組織上的保證至關(guān)重要。人民銀行應指導金融業(yè)參照國外先進經(jīng)驗，專門成立業(yè)務連續(xù)性管理指導委員會，將業(yè)務部門、風險管理部門和IT部門有關(guān)業(yè)務連續(xù)性的管理職責融于一處統(tǒng)籌管理。

目前，國內(nèi)銀行災難備份和業(yè)務連續(xù)性管理主要集中在系統(tǒng)故障、人員操作、機房維護和短時間電力中斷等情況。在防范自然災害、重大疫情和恐怖襲擊等方面的應對管理還需加強。一是要強涮“突發(fā)”與“應急”。由于災害事件的不確定性，應急管理與保障工作必須建立在高強度的實戰(zhàn)性基礎上，使災難應急管理真正適應“應急”的要求。二是要擴大應急預案本身的覆蓋范圍。我國金融業(yè)災難備份及業(yè)務連續(xù)性管理主要集中在IT部門，遠遠不能適應業(yè)務連續(xù)性的需要，應當強調(diào)業(yè)務部門的參與，與IT部門共同構(gòu)建適應現(xiàn)代金融業(yè)發(fā)展需要的應急保障體系，確保運營安全。

三、結(jié)束語

第2篇：信息安全研究論文范文

學術(shù)界有專家認為,1987年頒布的《檔案法》對我國有關(guān)主體的檔案利用權(quán)利進行了法律確認,檔案利用權(quán)利已經(jīng)是一項法定權(quán)利。但是,從《檔案法》及其實施辦法中不僅看不到有關(guān)檔案利用權(quán)利的明確表述,而且從相關(guān)規(guī)定中也無法自然推導出檔案利用權(quán)利就是一種法律權(quán)利?！稒n案法》第十九條和第二十條在規(guī)定檔案利用行為時表示有關(guān)組織或公民“可以利用”已經(jīng)開放的檔案或未開放的檔案(對后者又做了特別限制性規(guī)定)。事實上,“可以利用”通常會出現(xiàn)在兩種情況之下:一是公民或組織具有法定的檔案利用權(quán)利;二是公民或組織可以從檔案館開放檔案的行為中獲益。雖然上述兩者在目標指向上均表現(xiàn)為公民或組織檔案利用過程或結(jié)果的實際發(fā)生,但它們顯然有著明顯區(qū)別。如果公民或組織是在履行檔案利用權(quán)利,則其檔案利用行為理應受到各種保障或救濟,一旦其檔案利用權(quán)利受到損害就應得到來自行政或司法渠道的救濟;如果公民或組織是從檔案開放過程中受益,那么自然不會對檔案開放主體(主要是指國家檔案館)的檔案開放行為提出任何非議。從《檔案法》及其實施辦法的文本解讀上看,它們在涉及公民或組織對開放檔案的利用行為時,似乎都有意或無意省略了“權(quán)利”一詞,而且通篇法律文本也未設計對公民檔案利用權(quán)利進行保障或救濟的任何措施。因此,筆者認為,迄今為止在我國有關(guān)法律法規(guī)中檔案利用權(quán)利并未被確認,它尚未成為一種法律權(quán)利,仍然只是一種應有或事實上的權(quán)利。

由于不同的權(quán)利主體基于同一檔案客體對象會因利益目標不同而產(chǎn)生不同的權(quán)利類型并伴有普遍的信息權(quán)利沖突現(xiàn)象,因此,從權(quán)利協(xié)調(diào)與平衡的原則和要求看,公民或組織基于某一檔案客體對象所產(chǎn)生的檔案利用權(quán)利始終都是有限度的,它必然會受到檔案開放或公布權(quán)、檔案秘密權(quán)、檔案作品著作權(quán)等相關(guān)權(quán)利的制約。因此,設計合理與合法的檔案利用權(quán)利控制機制就成為我國檔案立法的重要內(nèi)容。

二、現(xiàn)有法律法規(guī)對檔案利用權(quán)利的過度限制

任何權(quán)利的構(gòu)成都包括權(quán)利主體、權(quán)利客體、權(quán)利內(nèi)容等基本要素,對檔案利用權(quán)利限度的分析也可從這些角度分別進行。

1、檔案利用權(quán)利主體上的限制

檔案利用權(quán)利主體是指有權(quán)利用(而不是現(xiàn)在法律文本中表述的“可以利用”)已開放和未開放檔案的自然人、法人或者其他組織。我國在有關(guān)立法中習慣于將權(quán)利主體表述為“我國公民、法人或者其他組織”,而對外國人或者組織作特殊處理或者規(guī)定。例如《檔案法》第二十條就規(guī)定了對檔案(半現(xiàn)行與非現(xiàn)行文件)利用主體的具體范圍為“團體、企業(yè)事業(yè)單位和其他組織以及公民”,而沒有將“外國人或者外國組織”納入到利用主體的范圍之內(nèi)。為了處理這一局限,有關(guān)部門出臺了《外國組織和個人利用我國檔案試行辦法》。一般而言,外國人或外國組織經(jīng)有關(guān)主管部門同意后只能利用國家檔案館已經(jīng)開放的檔案。從信息公開立法的國際趨勢看,信息獲取與利用權(quán)利主體一般具有無限性特點,習慣于將本國公民、法人或者組織和外國公民與組織均作為等同的權(quán)利主體對待。筆者認為,上述趨勢雖然可以給我國檔案立法提供借鑒,但從理論上還是應區(qū)分清楚檔案利用權(quán)利主體和檔案利用主體的界限。檔案利用權(quán)利主體是指我國公民、法人或者組織,而檔案利用主體除包括我國公民、法人或組織之外,還應包括外國公民或組織。他們與我國公民、法人或者組織等檔案利用權(quán)利主體的本質(zhì)差異在于:首先,外國公民或組織不能要求我國開放某類檔案,而我國公民、企事業(yè)單位和組織可以根據(jù)法律規(guī)定要求開放某些檔案或申請利用某些未開放檔案;其次,我國公民或組織可以通過行政援助和司法援助要求有關(guān)部門開放某類檔案或收回已開放的檔案,而外國公民或組織則無權(quán)要求。由此可見,在檔案立法中理應區(qū)分檔案利用權(quán)利主體和檔案利用主體的不同?，F(xiàn)階段我國檔案立法文本中對我國公民、法人或者組織的檔案利用行為僅用“可以利用”來界定則遠遠不夠,法律文本理應明確賦予他們檔案利用權(quán)利主體的地位,而“可以利用”的表述僅適合于對外國公民或組織檔案利用行為的概括。

2、檔案利用權(quán)利客體范圍上的限制

從我國法律制度關(guān)于檔案開放利用客體對象范圍的界定看,它僅限于國家檔案館保存的檔案。《檔案法》第十九條規(guī)定:國家檔案館保管的檔案,一般是自其形成之日起滿30年向社會開放;《檔案法》第二十條規(guī)定:機關(guān)、團體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開放的檔案以及有關(guān)機關(guān)、團體、企業(yè)事業(yè)單位和其他組織保存的檔案;《檔案法實施辦法》第二十二條規(guī)定:機關(guān)、團體、企業(yè)事業(yè)單位和其他組織的檔案機構(gòu)保存的尚未向檔案館移交的檔案,其他機關(guān)、團體、企業(yè)事業(yè)單位和組織以及中國公民如需要利用的,須經(jīng)檔案保存單位同意。從上述一系列規(guī)定可以看出,《檔案法》及其實施辦法有兩個重要限制:一是始終將檔案開放客體對象限制在“國家檔案館的檔案”這一范圍內(nèi),雖原則性提出有關(guān)主體也可利用未進館的檔案,但將開放利用決定權(quán)交給了檔案保管單位;二是雖然規(guī)定有關(guān)主體可以利用檔案館未開放的檔案,但是,由于上述《檔案法》第二十條明確授權(quán)制訂“利用未開放檔案辦法”的國家檔案行政管理部門和有關(guān)主管部門至今沒有出臺“有關(guān)規(guī)定”,因此,從一定意義上來說,館藏未開放檔案的利用還是一個“無法可依”的領域。①這表明機關(guān)檔案室收藏的檔案和國家檔案館收藏的未開放檔案均不在現(xiàn)有檔案開放利用法律制度的調(diào)控范圍之內(nèi)。因此,檔案利用權(quán)利客體對象目前僅限于國家檔案館保存的已開放檔案。

3、檔案利用權(quán)利行使目的的限制

檔案工作基本原則指出檔案工作的根本目的是“便于社會各方面的利用”,其言下之意就是所有主體(團體用戶或個人用戶,甚至包括國外用戶)可以因各種需要(公務或私人目的)利用檔案。這一理念在《檔案法》中得到了一定程度的體現(xiàn)?！稒n案法》針對機關(guān)、團體、企事業(yè)單位和其他組織(上述利用主體均為團體用戶)利用開放檔案和未開放檔案均未明確限制其“利用目的”。但有關(guān)規(guī)定顯然未將公民個人因“個人休閑”、“個人利益”等不屬于“各項工作需要”范圍的檔案利用目的包涵在內(nèi)。這就意味著公民出于“個人休閑”、“個人利益”等利用目的利用未開放檔案的行為不能得到法律保護。

與此相類似,《政府信息公開條例》第十三條規(guī)定:除主動公開的政府信息以外,公民、法人或者其他組織還可以根據(jù)自身生產(chǎn)、生活、科研等特殊需要申請獲取政府信息。這意味著對政府機關(guān)主動公開的政府信息,公民、法人或者其他組織可以貫徹自由使用原則,但自由使用原則并不適用于被動申請公開的政府信息,“生產(chǎn)、生活、科研等活動特殊需要”的信息公開申請限制極大地蠶食了公民、法人或其他組織的信息利用范圍。

三、檔案利用權(quán)利適度擴展及其實現(xiàn)的基本途徑

隨著公民權(quán)利意識的覺醒和權(quán)利要求的提高,檔案利用權(quán)利也應進行適度擴展。這種權(quán)利擴展首先體現(xiàn)在對檔案法律政策設計上的要求。

1、設計覆蓋文件管理全流程的信息開放政策

《政府信息公開條例》中指向的客體對象是處于形成、處理或保存等所有階段的政府信息,某一政府信息只要屬于主動或被動公開的范圍,不管其運動到什么階段或收藏與保存在什么地點均應公開。這就意味著保存在機關(guān)業(yè)務部門或文書處理部門、機關(guān)內(nèi)部檔案部門和國家檔案館等不同地點的政府信息均應執(zhí)行統(tǒng)一的開放政策。但與此不相容的是,《檔案法》對處于國家檔案館保存階段的檔案開放政策則另有具體規(guī)定,而且這些規(guī)定又與《政府信息公開條例》的規(guī)定存在矛盾沖突。從法律位階和政策效應上來看,《檔案法》對《政府信息公開條例》中的相關(guān)內(nèi)容具有否定作用。這就導致了在文件全流程管理中,現(xiàn)行、半現(xiàn)行文件的開放政策適用《政府信息公開條例》,而非現(xiàn)行文件的開放政策適用《檔案法》。由于《政府信息公開條例》是以“公開為原則,不公開為例外”作為立法指導思想,而《檔案法》及其實施辦法和有關(guān)規(guī)定強調(diào)的是以“檔案保管和控制”作為立法指導思想,所以說《政府信息公開條例》的開放度明顯高于《檔案法》及其實施辦法和有關(guān)規(guī)定。這就導致了現(xiàn)階段我國文件與檔案開放利用政策中存在著明顯的前松后緊現(xiàn)象,即處于現(xiàn)行與半現(xiàn)行階段的文件開放利用政策相對寬松,而處于非現(xiàn)行期的文件(即國家檔案館的檔案)開放利用政策卻相對嚴格,顯然,這不符合伴隨著時間推移,信息機密性遞減而其作用范圍應該逐步擴大的一般規(guī)律。因此,提高《政府信息公開條例》的法律位階或制訂《文件與檔案法》(或稱為《文件法》)將有利于從文件管理全流程上統(tǒng)一文件與檔案的開放政策。

2、形成對檔案利用權(quán)利科學控制的基本機制

正如前文分析的一樣,檔案利用權(quán)利是有限度的,對檔案利用權(quán)利的限度必須進行科學的分析和控制。對檔案利用權(quán)利的科學控制可以分為兩個層面:一是對檔案合理利用行為進行合法化確認;二是從源頭上設計檔案開放與公布權(quán)行使機制。

對檔案合理利用行為進行合法化確認是在對檔案利用行為進行合理化程度分析的基礎上,通過法律法規(guī)對這些合理利用行為進行認可的過程,它影響和決定著檔案利用權(quán)利本身的內(nèi)容及其可能實現(xiàn)的廣度和深度。由于檔案利用過程中不同信息權(quán)利之間矛盾沖突的普遍存在(例如檔案控制權(quán)與獲取權(quán)的沖突、檔案開放權(quán)與保密權(quán)的沖突等),這就決定了檔案利用應是合理和合法的利用,并且合理的檔案利用行為也應得到有關(guān)法律法規(guī)的確認,例如檔案利用行為必須遵守著作權(quán)相關(guān)法律法規(guī)的規(guī)定。

如果僅就檔案利用權(quán)利本身設計檔案利用控制機制那么便是一種片面思維。這是由于檔案利用是對已開放檔案和未開放檔案的利用,檔案利用權(quán)利的實現(xiàn)在很大程度上受制于檔案開放程度。因此,要建立和完善檔案開放審查機制。筆者認為,在檔案開放審查機制中起決定作用的是檔案開放審查與決定主體的政策執(zhí)行意識、能力與水平。從開放檔案信息的義務與責任、對檔案信息的理解力等方面看,檔案開放審查和決定主體不僅包括國家檔案館,還應包括所有政府信息公開的義務主體。只要是政府信息公開義務主體依法開放與公布的檔案,任何享有政治權(quán)利的公民、法人或組織無論出于公務或私人目的均可對其進行利用。

3、制定未開放檔案申請利用的科學程序

檔案利用權(quán)利指向的客體對象既包括對已開放檔案的利用,也包括對未開放檔案的利用?！稒n案法》第二十條明確規(guī)定:“機關(guān)、團體、企業(yè)事業(yè)單位和其他組織以及公民根據(jù)經(jīng)濟建設、國防建設、教學科研和其他各項工作的需要,可以按照有關(guān)規(guī)定,利用檔案館未開放的檔案”。而且,該條款同時明確,“利用未開放檔案的辦法,由國家檔案行政管理部門和有關(guān)主管部門規(guī)定”。但從具體實踐看,現(xiàn)階段我國利用未開放檔案的辦法始終沒有出臺,檔案利用工作的著力點集中在已開放檔案利用上,而相對忽視了未開放檔案的利用工作,這無疑在一定程度上已經(jīng)影響了公民檔案利用權(quán)利的實現(xiàn)。針對公眾檔案信息個性化需要不斷增多、公民檔案利用權(quán)利實現(xiàn)的要求和進一步提高綜合檔案館管理績效的客觀形勢,綜合檔案館和有關(guān)檔案機構(gòu)均應適時啟動未開放檔案的申請利用。從保障未開放檔案申請利用的程序合法要求看,綜合檔案館和有關(guān)檔案機構(gòu)可以參照《政府信息公開條例》中關(guān)于信息申請公開的規(guī)定執(zhí)行。從政策銜接要求看,對處于不同運動階段的文件信息適用相同的依申請公開程序既是合理的也是合法的?？上驳氖?這種針對未開放檔案申請利用的有關(guān)規(guī)定或辦法已經(jīng)在我國一些地方性檔案立法中開始出現(xiàn)。2008年修訂的《上海市國家綜合檔案館檔案利用和公布辦法》在第八條就詳細規(guī)定了公民和組織利用檔案館未開放檔案的程序辦法,這極大地保障了公民和組織的檔案利用權(quán)利。

4、開發(fā)具有保障檔案利用權(quán)利實現(xiàn)的文件管理系統(tǒng)

檔案利用權(quán)利的實現(xiàn)依賴于數(shù)字檔案館或電子文件管理系統(tǒng)的功能完備。由于電子文件數(shù)量不斷增長和種類日趨復雜,因此,開發(fā)建設功能完備的數(shù)字檔案館與電子文件管理系統(tǒng)就成為文件與檔案利用權(quán)利實現(xiàn)的基本保證。從國際范圍看,一些國家的數(shù)字檔案館或電子文件管理系統(tǒng)項目均將保障利用作為其建設的重要目標之一。美國國家檔案文件管理局(NARA)建設電子文件檔案館(ERA)系統(tǒng)的重要目標之一就是要保障具有合法權(quán)利的政府部門及公眾不管在何時何地都能利用文件與檔案。突出“在線利用”的文件管理系統(tǒng)功能(而不僅是保管或備份功能)設計對推進有關(guān)主體檔案利用權(quán)利的實現(xiàn)將產(chǎn)生重要的保障作用。

第3篇：信息安全研究論文范文

在現(xiàn)代互聯(lián)網(wǎng)的時代，很多人為了便利和網(wǎng)絡文獻的豐富性就導致了惰性，不管是好是壞就胡編亂造的拿來充數(shù)，這樣的參考文獻是沒有任何價值意義的，下面是學術(shù)參考網(wǎng)的小編整理的關(guān)于網(wǎng)絡安全論文參考文獻，歡迎大家閱讀借鑒。

網(wǎng)絡安全論文參考文獻：

[1]張金輝，王衛(wèi)，侯磊.信息安全保障體系建設研究.計算機安全，2012，（8）.

[2]肖志宏，楊倩雯.美國聯(lián)邦政府采購的信息安全保障機制及其啟示.北京電子科技學院學報，2009，（3）.

[3]沈昌祥.構(gòu)建積極防御綜合防范的信息安全保障體系.金融電子化，2010，（12）.

[4]嚴國戈.中美軍事信息安全法律保障比較.信息安全與通信保密，2007，（7）.

[5]楊紹蘭.信息安全的保障體系.圖書館論壇，2005，（2）.

[6]侯安才，徐瑩.建設網(wǎng)絡信息安全保障體系的新思路.現(xiàn)代電子技術(shù)，2004，（3）.

網(wǎng)絡安全論文參考文獻：

[1]王爽.探討如何加強計算機網(wǎng)絡安全及防范[J].計算機光盤軟件與應用，2012（11）.

[2]田文英.淺談計算機操作系統(tǒng)安全問題[J].科技創(chuàng)新與應用，2012（23）.

[3]張曉光.試論計算機網(wǎng)絡的安全隱患與解決對策[J].計算機光盤軟件與應用，2012（18）.

[4]郭晶晶，牟勝梅，史蓓蕾.關(guān)于某金融企業(yè)網(wǎng)絡安全應用技術(shù)的探討[J].數(shù)字技術(shù)與應用，2013，12（09）：123-125.

[5]王擁軍，李建清.淺談企業(yè)網(wǎng)絡安全防護體系的建設[J].信息安全與通信保密，2013，11（07）：153-171.

[6]胡經(jīng)珍.深入探討企業(yè)網(wǎng)絡安全管理中的常見問題[J].計算機安全，2013，11（07）：152-160.

[7]周連兵，張萬.淺議企業(yè)網(wǎng)絡安全方案的設計[J].中國公共安全：學術(shù)版，2013，10（02）：163-175.

網(wǎng)絡安全論文參考文獻：

[1]古田月.一場在網(wǎng)絡戰(zhàn)場上的較量與爭奪[N].中國國防報，2013-05-20（6）.

[2]蘭亭.美國秘密監(jiān)視全球媒體[N].中國國防報，2010-10-24（1）.

[3]李志偉.法國網(wǎng)絡安全戰(zhàn)略正興起[N].人民日報，2013-01-01（3）.

[4]石純民，楊洋.網(wǎng)絡戰(zhàn)：信息時代的戰(zhàn)略戰(zhàn)[N].中國國防報，2013-09-23（6）.

第4篇：信息安全研究論文范文

一、選題

1、選題未通過者，可參照已過學生的課題進行修改(只能做參照，不得出現(xiàn)重復)。工科畢業(yè)設計要有具體的解決內(nèi)容及相關(guān)解決方案，不要求多高深，但求實在。

2、選題需要修改者，切記論文課題不要是文科或科普性(如計算機發(fā)展史、淺談××、淺析××等)，也不要太大或者太泛泛(如網(wǎng)絡信息安全與防范、網(wǎng)絡信息安全的技術(shù)探討等)。建議題目格式為“基于××技術(shù)的××系統(tǒng)設計與開發(fā)”?！队嬎銠C碩士論文2019全新選題集錦》

二、摘要

1、論文摘要一定要根據(jù)論文課題內(nèi)容圍繞展開，需要提出問題及解決成果，研究手段、方法、過程等可不闡述。

2、論文摘要要寫得高度概括、簡略，不要寫論文選題的緣由。

三、正文

1、選題及論文摘要通過者可直接撰寫論文正文；選題及論文摘要未通過者，先進行修改后方可再撰寫。切記不要像文科作文一樣泛泛而談，一定要有問題的提出，相關(guān)技術(shù)介紹，系統(tǒng)設計，詳細設計以及最后的成果。

2、論文嚴禁抄襲，避免“復制+粘貼”行為。我們會用專門的軟件進行，重復率高于20%的一律視為不合格。

3、論文正文不少于6000字，必須嚴格按照模板格式要求，注意字體、行間距、圖表、頁眉頁腳、排版等。

4、務必在3月5日前完成畢業(yè)論文正文初稿，論文指導老師會通過“畢業(yè)論文設計平臺”線上對畢業(yè)論文作出修改要求，同學們必須時刻關(guān)注，進行修改。

第5篇：信息安全研究論文范文

關(guān)鍵詞：社交網(wǎng)絡；隱私保護；個人信息安全；信息安全舉措

社交網(wǎng)絡平臺是互聯(lián)網(wǎng)應用中非常重要的組成部分，隨著當前科技的發(fā)展，移動互聯(lián)終端迅速普及，智能手機、移動電腦等設備充實人們的生活。社交平臺為社會上的個人創(chuàng)建了一個平臺，在這個平臺上，用戶可以逐漸發(fā)展自己的人脈關(guān)系，擴充自己的人脈網(wǎng)絡，尋找曾經(jīng)的朋友；用戶還可以通過這個平臺分享自己的照片等；還有就是近兩年逐漸流行的朋友圈之間互發(fā)紅包等等，通過該平臺逐漸拉近了朋友間的友誼。但是，分享的同時，個人信息也被上傳到網(wǎng)絡平臺，成為一些不法分子注意的對象，近年來，網(wǎng)絡犯罪的比例日益變大，社交網(wǎng)絡中個人信息安全的保護迫在眉睫。

一、社交網(wǎng)絡安全性分析

社交網(wǎng)絡是一種基于因特網(wǎng)的網(wǎng)絡使用方式，它為用戶提供了一個擴充人脈的平臺，在這個平臺上，用戶相當于整個社交網(wǎng)絡中的節(jié)點，用戶之間通過交流與溝通，將節(jié)點與節(jié)點之間的連線越來越復雜，互聯(lián)溝通面得到不斷擴展，社交網(wǎng)絡普及面越來越廣闊。當前，Android系統(tǒng)和IOS系統(tǒng)中的聊天通訊應用更新頻率不斷加快，應用軟件層出不窮，因此，為社交網(wǎng)絡的進一步發(fā)展和普及提供了良好的條件基礎。因此，未來社交網(wǎng)絡的覆蓋面將會更加廣泛，用戶活躍度將會更加高昂。但是，正是由于社交網(wǎng)絡的開放性，使得網(wǎng)絡上的虛擬人物良莠不齊，相關(guān)用戶很難從表面上去進行辨?zhèn)?，很容易上當受騙；此外，當前許多通訊聊天應用為了實現(xiàn)更加精準化的交友條件選擇，對用戶的個人信息完全透明化，雖然在一定程度上使得用戶能夠更加輕松的找到自己需要找的人，但是也為網(wǎng)絡犯罪創(chuàng)造了絕佳的搜索平臺；還有，當前許多人過分依賴網(wǎng)絡，為了讓別人相信自己的真實存在，對自己的信息毫無忌憚地展現(xiàn)在社交網(wǎng)絡上，希望通過這種方法來提高自己的空間瀏覽量和關(guān)注度，用戶在進行分享的同時，用戶個人的信息有可能會被不法分子所關(guān)注，進而進行違法犯罪行為。據(jù)調(diào)查，2014年我國因網(wǎng)絡犯罪造成的經(jīng)濟損失將近萬億元人民幣，高達90%的互聯(lián)網(wǎng)用戶都受到過網(wǎng)絡犯罪的攻擊。因此，增強社交網(wǎng)絡中用戶個人信息安全保護勢在必行。

二、隱私保護控制方法

為了在社交網(wǎng)絡中保護用戶個人信息安全，許多專家學者提出了許多理論研究，常見的有以下幾種技術(shù)：①Sweeney專家提出的K-匿名技術(shù)，該技術(shù)將用戶信息數(shù)據(jù)庫的部分信息數(shù)據(jù)進行泛化處理，使得其中包含個人敏感信息的K個位置的信息數(shù)據(jù)形成匿名集，進而實現(xiàn)對用戶隱私的保護；②Chen等人提出的生成虛假信息的隱私保護方法，在用戶位置信息的服務器中形成多種不同位置信息，進而使得攻擊者難以正確識別用戶信息；③MatsuuraK和HuangL提出的基于區(qū)域劃分的軌跡隱私保護理論，將用戶的軌跡進行分析分類，對用戶經(jīng)過的敏感區(qū)域進行用戶個人信息的保護，防止用戶個人信息的泄漏；④Gabrial提出基于分布式協(xié)議的prive方法等等。

三、用戶個人信息安全保護措施

3.1建立健全相關(guān)法律條文

在當前法制社會里，通過建立健全對用戶個人信息保護的法律條文非常必要，通過法律保護社交網(wǎng)絡中用戶個人信息安全不受侵犯，是立法機構(gòu)當前非常緊要的事務。對于當前有些不法分子通過非法手段搜集個人信息，然后通過各種渠道用于違法犯罪的行為，相關(guān)法律應該給予嚴懲，對于一些通過設計開發(fā)包含有非法搜集個人信息漏洞的應用軟件，然后用于從事非法商業(yè)活動的商家個人，相關(guān)法律條文也應該嚴厲懲罰。

3.2社交網(wǎng)絡企業(yè)加強用戶信息保護管理

社交網(wǎng)絡企業(yè)應用實名制注冊，在一定程度上能夠減少不法分子通過注冊一些非法賬號用于網(wǎng)絡詐騙，防止個人信息的泄漏，但是，這種情況下，注冊的用戶需要填寫的信息更為透明化，如果賬號被盜泄漏的信息將會更嚴重。在這種矛盾下，這就需要社交網(wǎng)絡企業(yè)加強對用戶信息的保護和管理。通過不斷優(yōu)化相關(guān)軟件應用，對其中的漏洞進行不斷修復升級，提升系統(tǒng)穩(wěn)定性，運用先進手段對網(wǎng)絡攻擊者進行攔截。

3.3提高社交網(wǎng)絡用戶安全意識

除了需要國家和相關(guān)企業(yè)提高對用戶個人信息的保護以外，用戶個人也需要了解一些保護個人信息的方法。雖然社交網(wǎng)絡是一個開放性的社交平臺，但相關(guān)用戶也不能過于放開自己，將自己的全部信息全盤透露給好友，將自己的一舉一動都分享給好友，這樣就會存在許多安全隱患。所以，作為社交網(wǎng)絡用戶，需要時刻提防社交網(wǎng)絡的局限性，及時對自己的軟件進行升級，完善系統(tǒng)漏洞，對自己的一些敏感性信息有防范保護意識，對自己的信息安全負責。

四、結(jié)論

社交網(wǎng)絡有利有弊，它在拉近朋友間距離的同時，也拉近了用戶與網(wǎng)絡犯罪的距離，為了保護社交網(wǎng)絡中用戶個人信息安全，立法機構(gòu)、相關(guān)網(wǎng)絡管理企業(yè)、用戶本人都應該具備時刻保護用戶個人信息安全的意識，通過相應的措施不斷完善社交網(wǎng)絡，使得社交網(wǎng)絡平臺更加安全、便捷、實用。

作者:劉偉彥 單位:武漢市第六中學

參考文獻：

[1]郭祥.基于移動社交網(wǎng)絡的隱私保護關(guān)鍵技術(shù)研究與應用[D].電子科技大學碩士學位論文,2015.6.

[2]孟曉明.賀敏偉.社交網(wǎng)絡大數(shù)據(jù)商業(yè)化開發(fā)利用中的個人隱私保護[J].圖書館論壇,2015(6).

第6篇：信息安全研究論文范文

論文提要：當今世界已進入了信息化時代，信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標準。黨的十七大明確提出了一條“以信息化帶動工業(yè)化，以工業(yè)化促進信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分，但由于信息資源不同于其他資源的特殊性質(zhì)，如何保證信息的安全性和保密性成為我國信息化建設過程中需要解決的重要問題。

一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問題

“信息化”一詞最早是由日本學者于20世紀六十年代末提出來的。經(jīng)過40多年的發(fā)展，信息化已成為各國社會發(fā)展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導致信息系統(tǒng)的不安全性，給國家的信息化建設帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進行否認；可審查性，對出現(xiàn)的網(wǎng)絡安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡的信息安全有一些新的特點：

一是由于信息基礎設施的固有特點導致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點，從網(wǎng)絡架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點，通過網(wǎng)絡主體之間的聯(lián)系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術(shù)弱點導致網(wǎng)絡易受攻擊。

二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡基礎設施的建設與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)，造成了病毒極易滋生和傳播，從而導致信息危害。

三是信息安全中的智能性、隱蔽性特點。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為，而網(wǎng)絡環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗，對信息的破壞、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

信息安全威脅主要來源于自然災害、意外事故；計算機犯罪；人為錯誤，比如使用不當，安全意識差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡協(xié)議自身缺陷，等等。

二、我國信息化中的信息安全問題

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進行、對國際信息安全事務的積極參與以及關(guān)于信息安全的法律建設環(huán)境日益完善等因素，我國在信息安全管理上的進展是迅速的。但是，由于我國的信息化建設起步較晚，相關(guān)體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

1、信息與網(wǎng)絡安全的防護能力較弱。我國的信息化建設發(fā)展迅速，各個企業(yè)紛紛設立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動后，各級政府已陸續(xù)設立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護設備，整個系統(tǒng)存在著相當大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱，在網(wǎng)絡黑客攻擊的國家中，中國是最大的受害國。

2、對引進的國外設備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制，很多單位和部門直接引進國外的信息設備，并不對其進行必要的監(jiān)測和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。

3、我國基礎信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴重依賴國外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡所使用的網(wǎng)管設備和軟件基本上來自國外，這使我國的網(wǎng)絡安全性能大大減弱，被認為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù)，我國的網(wǎng)絡處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡安全處于極脆弱的狀態(tài)。

4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡進行攻擊，國內(nèi)也有部分人利用系統(tǒng)漏洞進行網(wǎng)絡犯罪，例如傳播病毒、竊取他人網(wǎng)絡銀行賬號密碼等。

5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設等方面與迅速發(fā)展的形勢極不適應。

造成以上問題的相關(guān)因素在于：首先，我國的經(jīng)濟基礎薄弱，在信息產(chǎn)業(yè)上的投入還是不足，尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過，并且病毒的重復感染率相當高。

除此之外，我國目前信息技術(shù)領域的不安全局面，也與西方發(fā)達國家對我國的技術(shù)輸出進行控制有關(guān)。

三、相關(guān)解決措施

針對我國信息安全存在的問題，要實現(xiàn)信息安全不但要靠先進的技術(shù)，還要有嚴格的法律法規(guī)和信息安全教育。

1、加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護設備，保證個人的信息安全，提高整個系統(tǒng)的安全防護能力，從而促進整個系統(tǒng)的信息安全。

2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識，加大核心技術(shù)的研發(fā)，尤其是信息安全產(chǎn)品，減小對國外產(chǎn)品的依賴程度。

3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關(guān)的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護法、電子信息個人隱私法、電子信息進出境法等，加大對網(wǎng)絡犯罪和信息犯罪的打擊力度，對其進行嚴厲的懲處。

4、高度重視信息安全基礎研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，應大力培養(yǎng)信息安全專業(yè)人才，建立信息安全人才培養(yǎng)體系。

5、加強國際防范，創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡與生俱有的開放性、交互性和分散性等特征，產(chǎn)生了許多安全問題，要保證信息安全，必須積極參與國際合作，通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡安全管理的國際法律規(guī)范，防范來自世界各地的黑客入侵，加強信息網(wǎng)絡安全。

第7篇：信息安全研究論文范文

“2009年，我上任后第一次訪問深圳工廠，當時工廠還只能生產(chǎn)小功率UPS?！币令D電氣集團亞太區(qū)高級副總裁、電能質(zhì)量業(yè)務總經(jīng)理羅世光回憶說，“但是現(xiàn)在，10kW~1000kW的UPS都已經(jīng)可以在中國本地進行生產(chǎn)?！?/p>

中國和亞太地區(qū)是伊頓在全球范圍內(nèi)具有戰(zhàn)略意義的市場。羅世光相信，中國數(shù)據(jù)中心市場的快速增長將給伊頓的電能質(zhì)量業(yè)務帶來更大的增長機會。因此，在2014年，伊頓將加強與商的合作，拓展分銷渠道，進一步推進與本土市場的全面融合，同時加大對本土產(chǎn)品研發(fā)和檢測的能力，提供更多符合中國客戶需求的高效節(jié)能的電能質(zhì)量解決方案。

深圳是伊頓面向全球的研發(fā)和生產(chǎn)基地。三家位于深圳的工廠擁有5000多名員工、29條先進的自動化生產(chǎn)線，年產(chǎn)UPS達到800萬臺。伊頓在深圳設立的研發(fā)中心也是其全球三大電氣研發(fā)基地之一，產(chǎn)品研發(fā)和測試工程師超過1000人。

剛啟用的伊頓在深圳的亞太區(qū)電能質(zhì)量產(chǎn)品和系統(tǒng)檢測中心，是除美國、芬蘭之外，伊頓在全球擁有的第三個產(chǎn)品和系統(tǒng)檢測中心?！霸摍z測中心同時也是客戶體驗中心，配備了全球領先的檢測設備和技術(shù)，不僅能夠檢測單體設備，還能對包括UPS、電源分配單元（PDU）、AMS監(jiān)測系統(tǒng)和第三方設備的整個電能系統(tǒng)解決方案進行測試，其最大測試能力是可對兩臺并聯(lián)的1100kW的UPS進行測試?！绷_世光介紹說，“客戶在選擇一款定制的電能解決方案后，即可在檢測中心看到其運行的全過程，通過親身體驗增進對產(chǎn)品的了解和信心?！?/p>

“過去3~4年中，我們在中國市場的總投入已經(jīng)超過1200萬美元。我們?nèi)栽诔掷m(xù)加強中國本地化，并從去年底開始進一步提升了針對中國用戶的售前和售后服務能力?！绷_世光告訴記者，“目前，我們90%的UPS都在深圳研發(fā)和生產(chǎn)。最近，深圳研發(fā)中心剛剛研制出一款新的UPS產(chǎn)品。與許多跨國企業(yè)采取的遠程遙控式的本地研發(fā)策略相比，我們是實實在在地將研發(fā)部門落戶在深圳，為亞太和中國市場提供本地化服務的同時也面向全球客戶。”

云計算與大數(shù)據(jù)的發(fā)展推動了大型數(shù)據(jù)中心的快速發(fā)展，用戶對數(shù)據(jù)中心整體解決方案和定制化解決方案的需求也與日俱增?！皬?010年開始，伊頓增加了為中國客戶定制數(shù)據(jù)中心解決方案的服務。在今年的商大會上，我看到了商和用戶的積極反饋?！绷_世光表示。

針對小型數(shù)據(jù)中心，伊頓可以提供模塊化、標準化的解決方案；針對中型數(shù)據(jù)中心，伊頓可以針對不同行業(yè)客戶的需求，提供有差異化的解決方案；針對大型數(shù)據(jù)中心，伊頓可以提供按需擴展的高能效、低整體擁有成本的解決方案。從產(chǎn)品到系統(tǒng)再到整體解決方案，這不僅對伊頓是一個新的挑戰(zhàn)，對其商來說也要經(jīng)歷一個大的轉(zhuǎn)變。

為了迅速提升商銷售解決方案的能力，伊頓一方面不斷更新其數(shù)據(jù)中心整體解決方案，另一方面加強對商的銷售培訓，實現(xiàn)信息共享。羅世光表示：“我們提供的定制化解決方案一方面要滿足用戶的個性化需求，另一方面還要保持開放性。我們將為用戶提供解決方案與服務打包的一體化解決方案?！?/p>

第三屆全國等級保護技術(shù)大會征文通知

為深入貫徹落實國家關(guān)于大力推進信息化發(fā)展和切實保障信息安全的文件精神，進一步推進信息安全等級保護技術(shù)交流，經(jīng)公安主管部門同意，公安部第一研究所擬于2014年7月舉辦第三屆全國信息安全等級保護技術(shù)大會（ICSP’2014）。

會議擬請公安、工業(yè)和信息化、國家保密、國家密碼管理主管部門、中國科學院、國家網(wǎng)絡與信息安全信息通報中心等部門擔任指導單位，同時將出版論文集，經(jīng)專家評選的部分優(yōu)秀論文，將推薦至國家核心期刊發(fā)表?，F(xiàn)就會議征文的有關(guān)情況通知如下：

一、征文范圍

1. 新技術(shù)應用環(huán)境下信息安全等級保護技術(shù)：物聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、工控系統(tǒng)、移動接入網(wǎng)、下一代互聯(lián)網(wǎng)（IPv6）等新技術(shù)、環(huán)境下的等級保護支撐技術(shù)，等級保護技術(shù)體系在新環(huán)境下的應用方法；

2. 關(guān)鍵基礎設施信息安全保護技術(shù)：政府部門及金融、交通、電力、能源、通信、制造等重要行業(yè)網(wǎng)站、核心業(yè)務信息系統(tǒng)等安全威脅、隱患分析及防范措施；

3. 國內(nèi)外信息安全管理政策與策略：信息安全管理政策和策略研究，信息安全管理體制和機制特點，信息安全管理標準發(fā)展對策，網(wǎng)絡恐怖的特點、趨勢、危害研究；

4. 信息安全預警與突發(fā)事件應急處置技術(shù)：攻擊監(jiān)測技術(shù)，態(tài)勢感知預警技術(shù)，安全監(jiān)測技術(shù)，安全事件響應技術(shù)，應急處置技術(shù)，災難備份技術(shù)，恢復和跟蹤技術(shù)，風險評估技術(shù)；

5. 信息安全等級保護建設技術(shù)：密碼技術(shù)，可信計算技術(shù)，網(wǎng)絡實名制等體系模型與構(gòu)建技術(shù)，漏洞檢測技術(shù)，網(wǎng)絡監(jiān)測與監(jiān)管技術(shù)，網(wǎng)絡身份認證技術(shù)，網(wǎng)絡攻防技術(shù)，軟件安全技術(shù)，信任體系研究；

6. 信息安全等級保護監(jiān)管技術(shù)：用于支撐安全監(jiān)測的數(shù)據(jù)采集、挖掘與分析技術(shù)，用于支撐安全監(jiān)管的敏感數(shù)據(jù)發(fā)現(xiàn)與保護技術(shù)，安全態(tài)勢評估技術(shù)，安全事件關(guān)聯(lián)分析技術(shù)、安全績效評估技術(shù)，電子數(shù)據(jù)取證和鑒定技術(shù)；

7. 信息安全等級保護測評技術(shù)：標準符合性檢驗技術(shù)，安全基準驗證技術(shù)，源代碼安全分析技術(shù)，逆向工程剖析技術(shù)，滲透測試技術(shù)，測評工具和測評方法；

8. 信息安全等級保護策略與機制：網(wǎng)絡安全綜合防控體系建設，重要信息系統(tǒng)的安全威脅與脆弱性分析，縱深防御策略，大數(shù)據(jù)安全保護策略，信息安全保障工作評價機制、應急響應機制、安全監(jiān)測預警機制。

二、投稿要求

1. 來稿內(nèi)容應屬于作者的科研成果，數(shù)據(jù)真實、可靠，未公開發(fā)表過，引用他人成果已注明出處，署名無爭議，論文摘要及全文不涉及保密內(nèi)容；

2. 會議只接受以Word排版的電子稿件，稿件一般不超過5000字；

3. 稿件以Email方式發(fā)送到征稿郵箱；

4. 凡投稿文章被錄用且未作特殊聲明者，視為已同意授權(quán)出版；

5. 提交截止日期： 2014年5月25日。

三、聯(lián)系方式

通信地址：北京市海淀區(qū)首都體育館南路1號

郵編：100048

Email：.cn

聯(lián)系人： 范博、王晨

聯(lián)系電話：010-68773930，

13717905088，13581879819

第8篇：信息安全研究論文范文

關(guān)鍵詞：電子政務，信息安全，網(wǎng)絡安全，安全模型，信息安全體系結(jié)構(gòu)

 

一、電子政務安全體系概述 網(wǎng)絡安全遵循“木桶原理”，即一個木桶的容積決定于它最短的一塊木板，一個系統(tǒng)的安全強度等于它最薄弱環(huán)節(jié)的安全強度。因此，電子政務必須建立在一個完整的多層次的安全體系之上，任何環(huán)節(jié)的薄弱都將導致整個安全體系的崩潰。 同時，由于電子政務的特殊性，也要求電子政務安全環(huán)境中重要的加密/密鑰交換算法等安全核心技術(shù)必須采用具有自主知識產(chǎn)權(quán)或原碼開放的產(chǎn)品。

一個完整的電子政務安全體系可由四部分構(gòu)成，即：基礎安全設施、安全技術(shù)平臺、容災與恢復系統(tǒng)和安全管理，如圖：

基礎安全設施是一個為整個安全體系提供安全服務的基礎性平臺，為應用系統(tǒng)和網(wǎng)絡系統(tǒng)提供包括數(shù)據(jù)完整性、真實性、可用性、不可抵賴性、機密性在內(nèi)的安全服務。有了這一基礎設施，整個電子政務的安全策略便有了實現(xiàn)的保證。這一平臺的實現(xiàn)主要包括CA/PKI。

網(wǎng)絡系統(tǒng)安全是一個組合現(xiàn)有安全產(chǎn)品和技術(shù)實現(xiàn)網(wǎng)絡安全策略的平臺。網(wǎng)絡系統(tǒng)安全的優(yōu)劣取決與安全策略的合理性，電子政務的網(wǎng)絡安全策略是：劃分網(wǎng)絡安全域建立多層次的動態(tài)防御體系。

電子政務系統(tǒng)用戶類型復雜，劃分網(wǎng)絡安全域?qū)⒕哂邢嗨茩?quán)限的用戶劃分成獨立的管理域，管理域之間通過物理隔離與認證/加密技術(shù)實現(xiàn)有限可控的互連互通，有利于降低整個系統(tǒng)訪問權(quán)限控制的復雜性，降低系統(tǒng)性風險。

基于多層次的防御體系在各個層次上部署相關(guān)的網(wǎng)絡安全產(chǎn)品以增加攻擊都侵入時所需花費的時間、成本和資源，從而有效地降低被攻擊的危險，達到安全防護的目標。如訪問控制可部署在網(wǎng)絡層的接入路由器/VLAN交換機和應用層的身份認證系統(tǒng)兩層之上。

網(wǎng)絡信息安全具有動態(tài)性的特點：網(wǎng)絡和應用程序的未知漏洞具有動態(tài)產(chǎn)生的特點；電子政務的應用也會動態(tài)變化、網(wǎng)絡升級優(yōu)化將導致系統(tǒng)配置動態(tài)更新。這些都要求我們的防御系統(tǒng)必須具有動態(tài)適應能力，包括建立入侵監(jiān)測（IDS）系統(tǒng)，漏洞掃描系統(tǒng)和安全配置審計系統(tǒng)，并將它們與防火墻等設備結(jié)合成連動系統(tǒng)，以適應網(wǎng)絡環(huán)境的變化。

災難恢復系統(tǒng)在發(fā)生重大自然及人為災難時能迅速恢復數(shù)據(jù)資料，保證系統(tǒng)的正常運行并保護了政務歷史資料。電子政務的容災與恢復系統(tǒng)應該采用磁帶靜態(tài)備份與磁盤同步備份相結(jié)合的方式。磁帶靜態(tài)方式用于離線保存歷史記錄，保證了歷史信息的完整，而磁盤同步方式則用于災難數(shù)據(jù)恢復，保護了當前系統(tǒng)的所有數(shù)據(jù)。

安全管理也是電子政務安全體系的重要組成部分。網(wǎng)絡安全的核心實際上是管理，安全技術(shù)實際上只是實現(xiàn)管理的一種手段，再好的技術(shù)手段都必須配合合理的制度才能發(fā)揮作用。需要制定的制度包括：日常系統(tǒng)操作及維護制度、審計制度、文檔管理制度、應急響應制度等。

二、電子政務安全體系的設計電子政務系統(tǒng)是一個復雜的多層次應用系統(tǒng)，根據(jù)不同的應用環(huán)境和安全要求一般可分為三個不同的網(wǎng)段：內(nèi)網(wǎng)、專網(wǎng)、外網(wǎng)。免費論文。

內(nèi)網(wǎng)包括內(nèi)網(wǎng)的數(shù)據(jù)層、內(nèi)網(wǎng)的業(yè)務層；內(nèi)網(wǎng)數(shù)據(jù)層是政府信息的集中存儲與處理的域，該域必須具有極其嚴格的安全控制策略，信息必須通過中間處理才能獲得。內(nèi)網(wǎng)的業(yè)務層是政府內(nèi)部的電子辦公環(huán)境，該區(qū)域內(nèi)的信息只能在內(nèi)部流動。

專網(wǎng)連接政府不同的部門和不同部門的上下級部門。它把部分需要各部門交換的信息進行交換。該區(qū)域負責將信息從一個內(nèi)網(wǎng)傳送到另一個內(nèi)網(wǎng)區(qū)域，它不與外網(wǎng)域有任何信息交換。免費論文。

外網(wǎng)是政府部門的公共信息的場所，它實現(xiàn)政府與公眾的互操作。該 域應與內(nèi)網(wǎng)和專網(wǎng)隔離。

不同的網(wǎng)絡連接示意圖如下：

根據(jù)不同網(wǎng)絡的不同安全需求，設計了如下一個電子政務的安全模型：

三、電子政務安全體系的部署

電子政務安全體系的部署應遵循確定安全需求、安全狀態(tài)評估、安全策略制定（含管理制度）、安全方案設計、安全方案實施、安全制度培訓的順序進行。免費論文。前期的確定安全需求和安全狀態(tài)評估是整個安全體系部署中最重要的兩個步驟，它們是后續(xù)制定安全策略和方案設計的依據(jù)，決定了整個安全體系的可靠性。

全面的安全需求調(diào)查包括兩個方面：系統(tǒng)安全的功能需求和安全置信度需求。系統(tǒng)安全的功能需求包括安全審計需求、安全連接需求、身份認證、信息機密需求、數(shù)據(jù)保護需求以及安全管理需求。安全置信度需求包括安全保護輪廓評估（PP）、安全目標（ST）評估、系統(tǒng)配置維護管理、用戶手冊規(guī)范、產(chǎn)品生命周期支持以及測試等內(nèi)容。

安全狀態(tài)評估通常采用五種方式來了解安全漏洞：1) 對現(xiàn)有安全策略和制度進行分析；2) 參照一些通用的安全基線來考察系統(tǒng)安全狀態(tài)；3) 利用安全掃描工具來發(fā)現(xiàn)一些技術(shù)性的常見漏洞；4) 允許一些有經(jīng)驗的人在監(jiān)管之下對特定的機密信息和區(qū)域做模擬入侵系統(tǒng)，以確定特定區(qū)域和信息的安全等級；5) 對該系統(tǒng)的安全管理人員和使用者進行訪談，以確定安全管理制度的執(zhí)行情況和漏洞。

同時應注意的是，安全體系的部署并非一勞永逸的事情，隨著系統(tǒng)安全狀態(tài)的動態(tài)變化，應定期對系統(tǒng)進行安全評估和審計，搜尋潛在的安全漏洞并修正錯誤安全配置。

總之，電子政務的安全系統(tǒng)是個容復雜組織和先進IT技術(shù)于一體的復合體，必須從管理和技術(shù)兩方面來加強安全性，以動態(tài)的眼光來管理安全，在嚴謹?shù)陌踩枨蠓治龊桶踩u估的基礎上運用合理的安全技術(shù)來實現(xiàn)電子政務的整體安全。

·參考文獻：

1． 電子政務總體設計與技術(shù)實現(xiàn) 《北京:電子工業(yè)出版社》 國家信息安全工程技術(shù)研究中心 2003

2．《國家信息化領導小組關(guān)于推進國家電子政務網(wǎng)絡建設的意見》國信辦 2006

3．電子政務安全解決方案要解決的主要問題 《信息安全與通信保密》 譚興烈 2004

4．電子政務安全體系 《信息安全與通信保密》 鄔賀銓 2003

第9篇：信息安全研究論文范文

隨著信息產(chǎn)業(yè)的高速發(fā)展，眾多企業(yè)都利用互聯(lián)網(wǎng)建立了自己的信息系統(tǒng)，以充分利用各類信息資源。但是我們在享受信息產(chǎn)業(yè)發(fā)展帶給我們的便利的同時，也面臨著巨大的風險。我們的系統(tǒng)隨時可能遭受病毒的感染、黑客的入侵，這都可以給我們造成巨大的損失。本文主要介紹了信息系統(tǒng)所面臨的技術(shù)安全隱患，并提出了行之有效的解決方案。

關(guān)鍵字：信息系統(tǒng) 信息安全 身份認證 安全檢測

Abstract：

Along with the high-speed development of information industries， the multitudinous enterprise has established their own information system using the Internet to use each kind of information resource. But while we enjoy the information industries development to take to our convenient， we also faced the huge risk. Our system possibly suffers viral infection， hacker’s invasion; this all may create massive loss to us. This article mainly introduced the technical security hidden danger， which the information system faces， and proposed the effective solution.

Keywords：Information system

Information security

Status authentication

Safe examination

一、目前信息系統(tǒng)技術(shù)安全的研究

1. 企業(yè)信息安全現(xiàn)狀分析

隨著信息化進程的深入，企業(yè)信息安全己經(jīng)引起人們的重視，但依然存在不少問題。一是安全技術(shù)保障體系尚不完善，企業(yè)花了大量的金錢購買了信息安全設備，但是技術(shù)保障不成體系，達不到預想的目標:二是應急反應體系沒有經(jīng)?；?、制度化:三是企業(yè)信息安全的標準、制度建設滯后。

2003年5月至2004年5月，在7072家被調(diào)查單位中有4057家單位發(fā)生過信息網(wǎng)絡安全事件，占被調(diào)查總數(shù)的58%。調(diào)查結(jié)果表明，造成網(wǎng)絡安全事件發(fā)生的主要原因是安全管理制度不落實和安全防范意識薄弱。其中，由于未修補或防范軟件漏洞導致發(fā)生安全事件的占安全事件總數(shù)的“%，登錄密碼過于簡單或未修改密碼導致發(fā)生安全事件的占19%.

對于網(wǎng)絡安全管理情況的調(diào)查:調(diào)查表明，近年來，使用單位對信息網(wǎng)絡安全管理工作的重視程度普遍提高，80%的被調(diào)查單位有專職或兼職的安全管理人員，12%的單位建立了安全組織，有2%的單位請信息安全服務企業(yè)提供專業(yè)化的安全服務。調(diào)查表明，認為單位信息網(wǎng)絡安全防護能力“較高”和“一般”的比較多，分別占44%。但是，被調(diào)查單位也普遍反映用戶安全觀念薄弱、安全管理員缺乏培訓、安全經(jīng)費投入不足和安全產(chǎn)品不能滿足要求等問題，也說明目前安全管理水平和社會化服務的程度還比較低 。

2.

企業(yè)信息安全防范的任務

信息安全的任務是多方面的，根據(jù)當前信息安全的現(xiàn)狀，制定信息安全防范的任務主要是:

從安全技術(shù)上，進行全面的安全漏洞檢測和分析，針對檢測和分析的結(jié)果制定防范措施和完整的解決方案;正確配置防火墻、網(wǎng)絡防病毒軟件、入侵檢測系統(tǒng)、建立安全認證系統(tǒng)等安全系統(tǒng)。

從安全管理上，建立和完善安全管理規(guī)范和機制，切實加強和落實安全管理制度，增強安全防范意識。

信息安全防范要確保以下幾方面的安全。網(wǎng)絡安全:保障各種網(wǎng)絡資源(資源、實體、載體)穩(wěn)定可靠地運行、受控合法地使用。信息安全:保障存儲、傳輸、應用的機密性(Confidentiality )、完整性(Integrity)、抗否認性(non-Repudiation) ，可用性(Availability)。其他安全:病毒防治、預防內(nèi)部犯罪。

二、計算機網(wǎng)絡中信息系統(tǒng)的安全防范措施

（一）網(wǎng)絡層安全措施

①防火墻技術(shù)

防火墻技術(shù)是建立在現(xiàn)代通信網(wǎng)絡技術(shù)和信息安全技術(shù)基礎上的應用性安全技術(shù)，越來越多地應用于專用網(wǎng)絡與公用網(wǎng)絡的互聯(lián)環(huán)境之中，尤其以接入Internet網(wǎng)絡為甚。

防火墻是指設置在不同網(wǎng)絡(如可信任的企業(yè)內(nèi)部網(wǎng)和不可信的公共網(wǎng))或網(wǎng)絡安全域之間的一系列部件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間信息的唯一出入口，能根據(jù)企業(yè)的安全政策控制(允許、拒絕、監(jiān)測)出入網(wǎng)絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現(xiàn)網(wǎng)絡和信息安全的基礎設施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡的安全 。

防火墻是網(wǎng)絡安全的屏障：一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。防火墻可以強化網(wǎng)絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。對網(wǎng)絡存取和訪問進行監(jiān)控審計：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并做出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。防止內(nèi)部信息的外泄：通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。除了安全作用，有的防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術(shù)體系VPN 。通過VPN，將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機地聯(lián)成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術(shù)保障。

②入侵檢測技術(shù)

IETF 將一個入侵檢測系統(tǒng)分為四個組件：事件產(chǎn)生器(Event Generators )；事件分析器(Event Analyzers )；響應單元(Response Units)和事件數(shù)據(jù)庫(Event Data Bases )。事件產(chǎn)生器的目的是從整個計算環(huán)境中獲得事件，并向系統(tǒng)的其他部分提供此事件。事件分析器分析得到的數(shù)據(jù)，并產(chǎn)生分析結(jié)果。響應單元則是對分析結(jié)果做出反應的功能單元，它可以做出切斷連接、改變文件屬性等強烈反應，也可以只是簡單的報警。事件數(shù)據(jù)庫是存放各種中間和最終數(shù)據(jù)的地方的統(tǒng)稱，它可以是復雜的數(shù)據(jù)庫，也可以是簡單的文本文件。

根據(jù)檢測對象的不同，入侵檢測系統(tǒng)可分為主機型和網(wǎng)絡型?；谥鳈C的監(jiān)測。主機型入侵檢測系統(tǒng)就是以系統(tǒng)日志、應用程序日志等作為數(shù)據(jù)源，當然也可以通過其他手段(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機收集信息進行分析。主機型入侵檢測系統(tǒng)保護的一般是所在的系統(tǒng)。這種系統(tǒng)經(jīng)常運行在被監(jiān)測的系統(tǒng)之上，用以監(jiān)測系統(tǒng)上正在運行的進程是否合法。最近出現(xiàn)的一種ID ( Intrusion Detection )：位于操作系統(tǒng)的內(nèi)核之中并監(jiān)測系統(tǒng)的最底層行為。所有這些系統(tǒng)最近已經(jīng)可以被用于多種平臺。網(wǎng)絡型入侵檢測。它的數(shù)據(jù)源是網(wǎng)絡上的數(shù)據(jù)包。往往將一臺機子的網(wǎng)卡設于混雜模式(Promise Mode )，對所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進行信息收集，并進行判斷。一般網(wǎng)絡型入侵檢測系統(tǒng)擔負著保護整個網(wǎng)段的任務。

轉(zhuǎn)貼于 對各種事件進行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。從技術(shù)上，入侵檢測分為兩類：一種基于標志(C Signature-Based )，另一種基于異常情況(Abnormally-Based )。

（二）服務器端安全措施 只有正確的安裝和設置操作系統(tǒng)，才能使其在安全方面發(fā)揮應有的作用。下面以WIN2000 SERVER 為例。

①正確地分區(qū)和分配邏輯盤。

微軟的IIS經(jīng)常有泄漏源碼/溢出的漏洞，如果把系統(tǒng)和IIS放在同一個驅(qū)動器會導致系統(tǒng)文件的泄漏甚至入侵者遠程獲取ADMIN。本系統(tǒng)的配置是建立三個邏輯驅(qū)動器，C盤20G，用來裝系統(tǒng)和重要的日志文件，D盤20G放IIS， E盤20G放FTP，這樣無論IIS或FTP出了安全漏洞都不會直接影響到系統(tǒng)目錄和系統(tǒng)文件。因為，IIS和FTP是對外服務的，比較容易出問題。而把IIS和FTP分開主要是為了防止入侵者上傳程序并從IIS中運行。

②正確地選擇安裝順序。

一般的人可能對安裝順序不太重視，認為只要安裝好了，怎么裝都可以的。很多時候正是因為管理員思想上的松懈才給不法分子以可乘之機。Win2000在安裝中有幾個順序是一定要注意的：

首先，何時接入網(wǎng)絡：Win2000在安裝時有一個漏洞，在你輸入Administrator密碼后，系統(tǒng)就建立了ADMIN$的共享，但是并沒有用你剛剛輸入的密碼來保護它這種情況一直持續(xù)到你再次啟動后，在此期間，任何人都可以通過ADMIN$進入你的機器；同時，只要安裝一完成，各種服務就會自動運行，而這時的服務器是滿身漏洞，非常容易進入的，因此，在完全安裝并配置好Win2000 SERVER之前，一定不要把主機接入網(wǎng)絡。

其次，補丁的安裝：補丁的安裝應該在所有應用程序安裝完之后，因為補丁程序往往要替換/修改某些系統(tǒng)文件，如果先安裝補丁再安裝應用程序有可能導致補丁不能起到應有的效果，例如： IIS的HotFix就要求每次更改IIS的配置都需要安裝，盡管很麻煩，卻很必要。

（三）安全配置

①端口：：端口是計算機和外部網(wǎng)絡相連的邏輯接口，從安全的角度來看，僅打開你需要使用的端口會比較安全，配置的方法是在網(wǎng)卡屬性——TCP/IP——高級——選項——TCP/IP篩選中啟用TCP/IP篩選，不過對于Win2000的端口過濾來說，有一個不好的特性：只能規(guī)定開哪些端口，不能規(guī)定關(guān)閉哪些端口;這樣對于需要開大量端口的用戶就比較麻煩。

②IIS： IIS是微軟的組件中漏洞最多的一個，平均兩三個月就要出一個漏洞，而微軟的IIS默認安裝又實在不敢恭維，所以IIS的配置是我們的重點，所以在本系統(tǒng)的WWW服務器采取下面的設置：

首先，把操作系統(tǒng)在C盤默認安裝的Inetpub目錄徹底刪掉，在D盤建一個Inetpub在IIS管理器中將主目錄指向D： \Inetpub。

其次，在IIS安裝時默認的scripts等虛擬目錄一概刪除，這些都容易成為攻擊的目標。我們雖然已經(jīng)把Inetpub從系統(tǒng)盤挪出來了，但這樣作也是完全必要的。如果需要什么權(quán)限的目錄可以在需要的時候再建，需要什么權(quán)限開什么。特別注意寫權(quán)限和執(zhí)行程序的權(quán)限，沒有絕對的必要千萬不要給。

③應用程序配置：在IIS管理器中刪除必須之外的任何無用映射，必須指出的是ASP， ASP和其它確實需要用到的文件類型。我們不需要IIS提供的應用程序的映射，刪除所有的映射，具體操作：在IIS管理器中右擊主機一屬性一WWW服務編輯一主目錄配置一應用程序映射，然后就一個個刪除這些映射。點擊“確定”退出時要讓虛擬站點繼承剛才所設定的屬性。

經(jīng)過了Win2000 Server的正確安裝與正確配置，操作系統(tǒng)的漏洞得到了很好的預防，同時增加了補丁，這樣子就大大增強了操作系統(tǒng)的安全性能。

雖然信息管理系統(tǒng)安全性措施目前已經(jīng)比較成熟，但我們切不可馬虎大意，只有不斷學習新的網(wǎng)絡安全知識、采取日新月異的網(wǎng)絡安全措施，才能保證我們的網(wǎng)絡安全防御真正金湯。

參考文獻

[1]劉海平，朱仲英.一個基于ASP的在線會員管理信息系統(tǒng).微型電腦應用.2002 （10）

[2]東軟集團有限公司，NetEye防火墻使用指南3.0，1-3

[3]賈晶，陳元，王麗娜編著，信息系統(tǒng)的安全與保密，第一版，1999.01，清華大學出版社

[4] Eric Maiwald，Wi1liEducation， Security Planning & Disaster Recovery，2003，Posts & Telecommunications Press， PP. 86-94

[5]楊兵.網(wǎng)絡系統(tǒng)安全技術(shù)研究及其在寶鋼設備采購管理系統(tǒng)中的應用：（學位論文）.遼寧：東北大學，2002

[6]劉廣良.建設銀行計算機網(wǎng)絡信息系統(tǒng)安全管理策略研究：（學位論文）.湖南：湖南大學.2001