信息化建设如何保障信息安全?
引言
二十一世纪的竞争是经济全球化和信息化的竞争。世界上大多数国家都已经将信息化提高到国家发展战略的高度。我国大量建设的各种信息化系统也已成为国家关键基础设施,它们在电子政务、电子商务、电子金融、电力、能源、通信、交通、科学研究、网络教育、网络医疗保健和社会保障等应用领域发挥着不可替代的作用。
信息技术的发展与广泛应用,深刻地改变人们的生活方式、生产方式与管理方式,加快了国家现代化和社会文明的发展。但是由于信息技术本身的特殊性,特别是信息和网络无国界性的特点,使得在整个信息化进程中,带来了巨大的信息安全风险。信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面。
如何以信息化提升综合国力,并在信息化快速发展的同时确保国家的信息安全,已成为各国政府关心的热点问题。信息安全就是要保障电子信息的有效性。它涉及到信息的保密性、完整性、可用性和可控性。保密性指对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性指对抗对手主动攻击,防止信息被未经授权的篡改。可用性指保证信息及信息系统确实为授权使用者所用。可控性指对信息及信息系统实施安全监控。
中国信息化建设在突飞猛进的同时,也面临着一系列的信息安全隐患。如,病毒的大肆传播与黑客的攻击事件时有发生。关键信息的安全管理漏洞,将会给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全。我国政府对信息安全空前重视,编制了《国家信息安全报告》,在政府相关部门的组织下,正在构筑中国国家信息安全体系。
本文论述了信息安全和网络安全的重要性、介绍中国的信息安全现状和国内外信息安全研究和信息安全产品,以期引起大家对中国信息安全的关注和思考。
一、惊心动魄的统计数字
1988年10月,美国从东海岸到西海岸的多家计算机中心的设备连续几个小时无法正常运行。经过美国官方的调查,原因是"计算机病毒侵入"。这名"黑客"是加利福尼亚大学23岁大学生罗伯特·莫里斯。出于好奇心,他用自己设计的病毒"蠕虫"轻而易举地获得联邦执法机构煞费苦心设计的加密标准和加密钥匙。通过互联网打入美国国防部的中央控制系统。这次非法闯入造成6000台计算机和70个计算机网络系统瘫痪,仅直接经济损失就达到1亿美元。"蠕虫"事件以后,现在世界上平均每20秒钟就有一起黑客事件发生,仅在美国每年造成的经济损失就超过100亿美元。
最近的统计,仅在2002年10月的上半月,全球仅黑客攻击事件就发生了7228次之多;2002年1至3月,观察到的全球病毒扩散次数超过5.8亿次; 中国大陆发出的扩散次数超过3.13亿次,全球有33.6万个IP被感染,中国大陆超过8.89万个。据国内一著名网络安全组织的调查,目前国内电子商务站点90%以上存在严重安全漏洞。
另据介绍,国外最新研制出的计算机"接收还原设备",可以在数百米,甚至数公里的距离内接收任何一台未采取保护措施的计算机屏幕信息。
据网络安全专家估算,目前国际上黑客运用的软件工具已超过1000种。
黑客是英文"Hacker"的译音,原意为热衷于电脑程序设计者。把电脑捣乱分子等同于黑客,是后来发生的事情。最早的黑客活动起源60年代的美国大学校园,本意是对计算机系统的最大潜力进行智力上的自由探索,尽可能地使计算机的使用和信息的获得成为免费的和公开的,对计算机的使用应该是不受限制的和完全的。由于60年代刚刚出现的不稳定的计算机系统为了维持运转,需要系统的用户们进入操作软件的核心寻找出现的问题。在这些原始的系统中,并没有考虑计算机安全。因为当时普通人很难接触到那些巨大而昂贵的机器,只有专家们才有特权进入机房。但在大学中,计算机的应用要更广泛一些。研究生、助教和本科生们在教授允许后,得以了解计算机的原理。以后退学的学生和其他杂七杂八的人也有了进入计算机系统的机会。用以侵入计算机系统的大部分方法,如破解口令、开天窗、走后门、安放特洛伊木马等都是在60年代的大学校园中发明的。那时计算机侵入的操练是许多黑客、乃至后来成为计算机巨头的人简历的一部分。
到了80年代~90年代,社会生活几乎离不开计算机和网络,特别是网络在经济运行和
商务活动中发挥了不开替代的作用。因而黑客活动的社会危害性极大,黑客受到了前所未有的质疑。今天,黑客活动意味着滥用计算机资源和使用计算机进行犯罪。人们心目中几乎把所有动用过计算机的犯罪分子都称为黑客。他们通过掌握的技术进行犯罪活动,如窥视政府和军队的核心机密、企业的商业秘密及个人隐私等。黑客中有的截取银行帐号、盗取巨额资金;有的盗用电话号码,使电话公司和客户蒙受巨大损失。有的黑客当搜索到被有"价值"的信息后,向大公司或银行发出威胁、敲诈,威胁公司的资料会遭到破坏或被植入病毒,或重要资料被销毁。
今天,黑客活动意味着滥用计算机资源和使用计算机进行犯罪。黑客利用其掌握的技术进行犯罪活动,如窥视政府和军队的核心机密、企业的商业秘密及个人隐私等。黑客中有的截取银行帐号、盗取巨额资金;有的黑客当搜索到被有"价值"的信息后,向大公司或银行发出威胁、敲诈,威胁公司的资料会遭到破坏或被植入病毒,或重要资料被销毁。
现在"黑客"侵扰已经成为各国政府的广泛关注的社会问题。
二、信息安全关系国家安全
"谁掌握信息,谁就掌握了世界",拿破仑的这个名言今天更加值得人们玩味。
人类在享受信息化带来的各种益处的同时,逐步认识到:毫无控制的信息社会隐含着巨大的风险,甚至将引发新的军事技术革命。通过攻击敌方的信息基础设施使网络瘫痪为目标的效果比任何传统战争方式的破坏性更大,造成危害的速度更快、范围也更广,而攻击者本身的风险却非常小,甚至可以在攻击开始前就已经消失得无影无踪。这种特点与第一次和第二次世界大战时期的海陆空结合的战略战术完全不同,与核武器的先发制人和后发制人的战略也有区别。因此,在二十一世纪初,世界各主要国家都将在信息高速公路上抢占制高点,把信息安全作为关注的焦点,并由此开创了军事科技领域中"信息武器"、"信息战争"的时代。
有报道说,一名年仅16岁的黑客,曾从网络上攻击了一个美国空军基地,突破了30个系统的安全体系,并渗透到南韩原子研究院、国家宇航局、戈达德宇航中心以及喷气推进实验室等100多个系统中,经过26天的国际电子追踪才将此黑客抓获。另据报道,美国空军一家研究机构为验证美国军事指挥系统的安全可靠性,专门成立了一个黑客小组。结果在无人察觉的情况下连续闯入空军200多个计算机系统。这些对美国军方的计算机系统的袭
击、侵扰和试验引起了包括专门从事计算机安全研究的科研人员的极大恐慌,他们担心一旦恐怖分子掌握这一技能,闯入美国核武器控制计算机系统中,那后果可能对于全人类来说都是毁灭性的。
1997年1月3日,美国防部所属的国防科学委员会提交的一份题为"信息战――防卫"的报告,呼吁军方加强"信息战"的防卫能力,以防止电子"珍珠港"事件的发生,保证美国军方现有210万台计算机和1万个地方性计算机网络不轻易遭到重创。
一般认为,信息战的内容包括:压制敌人地面防卫设施、信息和电话通讯系统;截获通过通讯系统传递的信息、以及对公开信息源的分析;切断敌人的情报资源;通过制造虚假新闻来争取社会舆论(心理战)等。
具体的信息战手段和武器有如下四类:一是毁灭性的计算机病毒类。包括"计算机陷井"、"逻辑炸弹"、"软件嗅探"、"蠕虫"等病毒。二是产生电磁脉冲的信息武器。如位于新墨西哥州的洛斯阿拉莫斯国家实验室已研制出一种手提箱大小、能产生高能量电磁脉冲的设备。把它放在一栋大楼附近,其产生的脉冲可以烧毁大楼中所有电子器件。三是电子生物武器。这种电子生物能吞噬计算机的电子器件,并使电子线路绝缘。四是黑客的攻击。
未来的战争也许不会像海湾战争那样耳闻目睹了。未来的战争可能有"电脑骑兵"参战:年轻的男女军人坐在一排排计算机前,从地中海无人驾驶的海军舰只上接连发射巡航导弹,或是通过互联网散发病毒,造成敌对的某国首都高压电力网超载等。
1999年8月,台湾当局的"国防部"召开了一次关于信息战的专门会议。出席的人员除了台湾军方人员,还有各个计算机软硬件厂商的高级代表、计算机专家、甚至请来臭名昭著的CIH病毒编制者陈盈豪。会议的中心议题就是怎样利用台湾强大的计算机硬件和软件优势,对祖国大陆实施信息战。具体的步骤包括向中国大陆出口的计算机产品注入藏有病毒的芯片,必要时通过遥控激活等。报道还说,这种做法受到了厂家的一致抵制。另据台湾《自由时报》报道,台湾"国防部"通信电子资讯局声称,已经对中国大陆搞了上千种病毒对付中国大陆的信息基础设施。所以,我们从实践上对信息安全要提高警惕。
信息战的目标是要夺取信息优势,掌握信息控制权,也就是制信息权。信息优势就是要通过夺取相当于制空权那样的制信息权来实现。信息优势包括:充分利用信息,即信息系统对兵力进行适时控制;对敌方的系统进行攻击;防御敌方对己方的信息和信息系统进行攻击。
信息战理论和实践随着信息技术的迅猛发展,成为军事领域里发展最迅速的一个领域。我国的军事科研领域对此正在形成自己的基本完整的理论体系。
我们现在网络安全的建设滞后于网络的发展,这可能是导致以后出现危机的重要原因。信息战是一种战争形态,所以,我们要从国家安全的战略高度来加以重视。
三、我国信息安全和网络安全概况
我国政府相关部门对信息安全空前重视,专门成立"国家信息安全报告"课题组,就我国信息安全的现状、信息安全在国家的安全与经济的安全中的重要性和构筑面向21世纪的中国国家信息安全体系作了全面的阐述。
2001年5月,由信息产业部和中共中央政策研究室联合主编的《国家信息安全报告》公开出版发行。报告共23万余字,分绪论和六章23节。
《国家信息安全报告》认为,在信息时代,信息本身成为国家利益的重要组成部分,信息量成为衡量国与国之间利益均衡的一个重要参数。因此,对信息的开发、控制和利用,必然成为国家之间利益争夺的重要内容。
由于互联网发展在地域上的极不平衡,信息强国对于信息弱国已经形成了"信息势差"。居于信息低位势的国家,其传统的国家安全(政治安全、经济安全和军事安全)面临前所未有的冲击、挑战和威胁。
继南极洲和外层空间之后,互联网已成为引发又一轮国际竞争的战略新空间。从本质上讲,互联网属于全人类,不从属于任何国家、政府或国际组织,因而也不存在以上意义的行政主管。但现实世界是由不同国家组成的,因此,虽然信息空间跨越了传统的国界,国家利益仍驱使各国去维护各自的信息主权。
在信息化的进程中,国家安全与经济安全越来越不可分割,而经济安全越来越依赖于信息化基础建设设施的安全程度。
如果一个国家不能保证信息在采集、存储、传输和认证等方面的安全,就不可能获得信息化的效率和效益。在国际信息战的威胁和国内外高技术犯罪的干扰破坏下,其社会的经济生活就难以健康有序地进行,国家安全就更加无法得到保障。
《国家信息安全报告》认为,尽管有分析说,我国的信息安全介于相对安全和轻度不安全之间,但实际上我国信息安全的形势十分严峻,主要表现在:
一、信息与网络安全的防护能力很弱,许多应用系统处于不设防状态,具有极大的风险性和危险性。
二、对引进的信息技术和设备缺乏保护信息安全所必不可少的有效管理和技术改造。由于国外电脑硬件、软件中可能隐藏着"特洛伊木马",一旦发生重大情况,那些隐藏在电脑芯片和操作软件中的着"特洛伊木马"就有可能在某种秘密指令下激活,造成电脑网络、电信系统瘫痪。
如美国英特尔公司的PENTIUM和微软WINDOWS系列的产品,都安装了一个叫"NSAKEY"的"后门",可以将用户计算机的所有信息全部返回该公司和美国和各情报部门,但这些都是美国的普通用户发现的。
三、基础信息产业薄弱,严重依赖国外。
电脑硬件面临遏制和封锁的威胁。我国电脑制造业对许多核心部件的研发、生产能力很弱,关键部位完成处于受制于人的地位。电脑软件面临市场垄断和价格歧视的威胁。在我国信息化建设的工程中,外国公司成为最大的获利者。虽然目前没有具体的统计数据,但是,我国的计算机、通信、广播电视等与信息化相关的市场,已基本被国外公司垄断。
如,这些年我国的计算机制造业虽然取得了长足的发展,但其中所有的核心部件几乎都是美国生产的。如果美国对我国进行出口封锁,将计算机的核心部件或CPU芯片列为禁售商品,我国的计算机产业将面临全面停产的境地;美国的软件已经垄断了我国的软件市场,仅微软的操作系统和办公系统就在我国占了90%的份额。这意味着我国的政府、商业、企
业和个人用户现在已经离不开微软的软件,而且一旦失去了微软的操作系统,我国自己生产的所有软件,都会因为失去操作平台,而陷于全面瘫痪的境地。美国利用市场垄断所造成的价格垄断,在挤压国产软件(如WPS)的市场空间、赚取超常市场利润的同时,进一步挤压我国信息产业的发展空间。
互联网的基础设备一半以上设在美国。美国国内的互联网,通过在太平洋、大西洋的海底光缆和通信卫星与世界相连。美国互联网使用的高速线路,每秒钟的通信能力达到10G 字节,相当于每秒可传送2300卷的百科全书。全球共有顶级域名服务器13台,其中10台在美国,其中包括美国军方控制的两台。
四、国家信息安全管理机构缺乏权威,协调不够。
五、信息犯罪在我国有快速发展蔓延的趋势。
六、全社会的信息安全意识急需提高。
此外,在意识形态领域,电子媒介成为国际意识形态斗争的主导工具;在军事领域,网络泄密是军事信息安全问题的重要表现;黑客攻击对军事信息安全危害极大;信息战是影响军事信息安全的极端表现形式。
如全球网上信息资源中,80%是英文,中文信息资源不足0.4%。
我国信息安全研究经历了通信保密、计算机数据保护两个发展阶段,正在进入网络信息安全的研究阶段。在学习借鉴国外技术的基础上,国内一些部门也开发研制了一些防火墙、安全路由器、安全网关、黑客入侵检测、系统脆弱性扫描软件等。
《国家信息安全报告》关于信息安全战略发展建议
信息安全是一个国家的综合集成系统,它的规划、管理要求国家进行科学的、强有力的干预和导向。
一、确立信息安全的战略目标和任务。
要确立我国信息安全的国家战略目标:保证国民经济基础设施的信息安全,抵御有关国家、地区、集团可能对我实施"信息战"的威胁和打击以及国内外的高技术犯罪,保障国家安全、社会稳定和经济发展。
信息安全战略防御的重点是国民经济中的国家关键基础设施,包括金融、银行、税收、能源生产储备、粮油生产储备、水电汽供应、交通运输、邮电通信、广播电视、商业贸易等国家关键基础设施。重中之重是支持这些设施运作的电子信息系统。
二、加强国家信息安全机构及职能。
有必要成立具有高度权威的国家信息安全委员会,研究确定国家信息安全的重大决策,发布国家信息安全政策,批准国家信息安全规划,对国家面临的重大国家信息安全紧急事件作出决断。在国家信息安全委员会领导下设立国家信息安全技术委员会,在国家执法部门建立高技术刑事侦察队伍,提高对高技术犯罪的预防和侦破能力。
三、高度重视信息安全基础研究和人才培养。
国家有关部门要对基本依靠国内力量建立起来的我国信息安全研究开发机构进行有机整合,在国家信息安全技术委员会统一协调指导下,按照一定的进度要求完成我国信息安全所急需的关键技术和设备的研制和试制,形成高质量的批量生产。切实保证我国拥有自己独特的、有效的信息安全技术和装备体系,使我们有足够的能力预防和抗击有关国家、地区、集团或其他敌对势力可能对我国发动的信息战争和高技术犯罪活动。
同时,要大力培养信息安全的专业人才,为各部门输送信息基础设施安全运行的骨干力量。我们还要注意采取切实措施吸引从事信息安全工作的出国人员和爱国华人为祖国服务或来中国服务,通过他们了解国际高新技术的新发展。
四、推动信息安全产业的发展。
要加强自主的信息和网络技术的开发,尽快推动开发和生产我国自己的电脑核心硬件和电脑软件操作平台,并予以减税或免税的优惠政策。急需从安全体系整体的高度开展强力度的研究工作,从而能够为解决我国的信息与网络安全提供一个整体的理论指导和基础构件的支撑,并为信息网络安全的工程实现奠定坚实基础,推动我国信息安全产业的发展。当前,
急需重点组织研究开发以下关键技术:唯一性身份识别技术、数字签名技术、信息的完整性校验检测技术、信息的加解密保护技术、密钥管理技术、安全审计跟踪技术、安全信息系统的构作集成技术、系统的安全评测技术、电子信息系统电磁信息泄露防护技术。
五、加快信息安全立法。
应该加快有关法规的研究,及早建立我国信息安全的法规体系。建议首先考虑制订以下法规:信息安全法、电子信息犯罪法、电子信息出版法、电子信息知识产权保护法、电子信息个人隐私法、电子信息教育法、电子信息进出境法。
六、加大信息安全投入。
信息安全设备设施的研制需要高强度的资金投入,建议通过国家投入、部门投入和社会融资的途径筹措。
国民经济信息化的信息安全不能完全依赖国家投入,它有可能成为投资的新热点,如何运用市场机制调动社会资金,走信息安全产业化的发展道路是值得探讨的问题。信息安全又是敏感领域,国家需要加强对这一未来产业的控股,从而控制技术、控制经营管理权。
四、国内外信息安全研究和信息安全产品类型
信息安全是目前世界上炙手可热的研究热点。信息安全理论与技术主要包括:黑客防范、信息伪装理论与技术、信息分析与监控、入侵检测原理与技术、反击方法、应急响应系统、计算机病毒、人工免疫系统在反病毒和抗入侵系统中的应用等。
网络安全是信息安全领域中的重点研究方向,研究内容包括:网络安全整体解决方案的设计与分析、网络安全产品的研发等。网络安全包括物理安全和逻辑安全。物理安全指网络系统中各通信、计算机设备及相关设施的物理保护,免于破坏、丢失等。逻辑安全指信息完整性、保密性、非否认性和可用性。
目前,关于信息安全和网络安全产品有以下几类:
防火墙:防火墙是一种访问控制产品,它在内部网络与不安全的外部网络之间设置障碍,阻止外界对内部资源的非法访问,防止内部对外部的不安全访问。主要技术有:包过滤技术,
应用网关技术,代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击,并且能够实现数据流的监控、过滤、记录和报告功能,较好地隔断内部网络与外部网络的连接。
安全路由器:由于广域网连接需要专用的路由器设备,因而可通过路由器来控制网络上的信息传输。通常采用访问控制列表技术来控制网络信息流
虚拟专用网(VPN):虚拟专用网(VPN)是在公共数据网络上,通过采用数据加密技术和访问控制技术,实现两个或多个可信内部网之间的互联。VPN的通常都要求采用具有加密功能的路由器或防火墙,以实现数据在公共信道上的安全传递。
安全服务器:安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题,其实现功能包括对局域网资源的管理和控制,对局域网内用户的管理,以及局域网中所有安全相关事件的审计和跟踪。
CA和PKI:认证中心CA(Certification Authority)作为通信的第三方,为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书,为用户提供成员身份验证和密钥管理等功能。公钥机制PKI (Public Key Infrastructure)产品可以提供更多的功能和更好的服务,将成为所有应用的计算基础结构的核心部件。
用户认证产品:由于IC卡技术的日益成熟和完善,IC卡被更为广泛地用于用户认证产品中,用来存储用户的个人私钥,并与其他技术如动态口令相结合,对用户身份进行有效的识别。同时,还可利用IC卡上的个人私钥与数字签名技术结合,实现数字签名机制。随着模式识别技术的发展,诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用,使得对于用户身份的认证和识别更加完善。
安全管理中心:由于网上的安全产品较多,且分布在不同的位置,这就需要建立一套集中管理的机制和设备,即安全管理中心。它用来给各网络安全设备分发密钥,监控网络安全设备的运行状态,负责收集网络安全设备的审计信息等。
数据恢复与容灾系统:容灾就是能够恢复数据灾难发生前的系统状态的方法。远程容灾系统是指在相隔较远的异地,建立两套或多套功能相同的系统,互相之间可以进行健康状态
信息安全管理体系ISO27000认证基本知识 一、什么是信息安全管理体系 信息安全管理体系是在组织内部建立信息安全管理目标,以及完成这些目标所用方法的体系。 ISO/LEC27001是建立、实施和维持信息安全管理体系的标准,通过确定信息安全管理体系范围、制定信息安全方针、明确管理职责、以风险评估为基础,选择控制目标与控制方式等活动建立信息安全管理体系。 二、信息安全的必要性和好处 我国信息安全管理专家沈昌祥介绍,对于我国软件行业,病毒木马、非法入侵、数据泄密、服务瘫痪、漏洞攻击等安全事件时有发生,80%信息泄露都是由内或内外勾结造成,所以建立信息安全管理体系很有必要。 1、识别信息安全风险,增强安全防范意识; 2、明确安全管理职责,强化风险控制责任; 3、明确安全管理要求,规范从业人员行为; 4、保护关键信息资产,保持业务稳定运营; 5、防止外来病毒侵袭,减小最低损失程度; 6、树立公司对外形象,增加客户合作信心; 7、可以得到省信息产业厅、地方信息产业局、行业主管部门、中小企业局 等政府机构的补贴,补贴额度不少于企业建立ISO27001体系的投入费用 (包含咨询认证过程)。 (信息安全管理体系标准2005年改版后的ISO/LEC27001共有133个控制点,39个控制措施,11个控制域。其中11个控制域包括:1)安全策略2)信息安全的组织3)资产管理4)人力资源安全5)物理和环境安全6)通信和操作管理7)访问控制8)系统采集、开发和维护9)信息安全事故管理10)业务连续性管理11)符合性) 三、建立信息安全体系的主要程序 建立信息安全管理体系一般要经过下列四个基本步骤 ①信息安全管理体系的策划与准备; ②信息安全管理体系文件的编制; ③信息安全管理体系运行; ④信息安全管理体系审核、评审和持续改进。
工作保障措施 为保障学校信息化工作顺利推进,学校制定以下各项工作措施予以保障。 一、组织保障 成立吴江经济技术开发区山湖花园小学教育信息化领导小组。领导小组由校长和教导处、总务处(教技室)相关成员组成,负责制定学校教育信息化发展规划和教育信息化工作方案、规章制度和标准,组织实施学校教育信息化工作,统筹学校教育信息化重大应用系统建设,确保学校教育信息化建设工作顺利推进和正常运行。 二、机制保障 1.建立学校教育信息化规划体系。制订学校教育信息化建设规划、教师教育技术能力建设计划、数字化资源建设规划、数字化校园建设规划,建立和完善学校教育信息化检查和教育资源共建共享机制,统筹经费投入和资源配置,确保教育信息化工作的可持续发展。 2.建立教育信息化工作考评机制。制定学校教育信息化三年发展规划并对相关人员的配备,以及创建情况进行专项考评。 3.建立教育信息化工作定期总结表彰制度。每年对学校教育信息化工作进行总结和表彰。定期举办信息技术与学科整合和网络环境下课堂教学改革的优秀课件、优秀课堂教学评比、展示等活动。
4.建立教育信息化工作的激励机制。把教师应用现代教育技术的能力和绩效作为教师考核、评优、晋升职务职称的内容之一。促进教师专业化发展,加强信息化队伍的建设。 5.建立信息技术与学科整合的应用机制。由教导处牵头根据各学科的实际情况,充分发挥教研人员的优势,分学科制定落实方案,结合示范课、优质课、公开课等形式,大力推进信息技术在学科教学中的应用。 三、安全保障 1.加强网络建设与管理,确保网络与信息安全。严格执行国家、省、市的网络、信息安全相关法规、政策,制定学校的网络运行、网络安全、数据安全等规章制度和技术保障措施。以总务处(教技室)为中心加强对学校的网络安全审计、网络访问及上网日志监控。加强数据安全建设与管理,逐步建设备份系统,保障网络安全、应用安全、数据安全和信息安全。 2.培育积极健康的网络文化,建成安全、绿色、文明的学校网络体系。加强对网络与信息安全的科学管理,进一步健全管理制度,完善网络安全应急预案,增强网络道德教育,加强技术防范,提升应急响应速度,每年参加市组织的网络信息安全培训,使网络安全教育有效地注入教育信息化的全过程。 四、经费保障 落实教育信息化建设所需的经费。学校每年安排专项资金,作为学校教育教学设备增添、更新和维护、保养经费并且每年有一定比例的的经费用于信息技术专项培训。同时学校在安排信息化教育经费时,要全面考虑资源建设、教师培训、
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人与职责,细化工作措施与流程,建立完善管理制度与实施办法,确保使用网络与提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心与责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规与相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除与备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志与用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育与培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作与传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施就是防止不法分子利用互联网络进行破坏活动,保护互联网络与电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露与被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。 防黑客攻击主要包括: ①、安全漏洞检测与修补
数字图像处理课程报告——图像处理在数字水印中的应用 姓名:蒋运文 学号:12212842 专业:通信与信息系统 指导老师:沈伟教授 2013.06
一、研究背景及意义 数字图像处理方法的研究源于两个主要应用领域:其一是为了便于人们分析而对图像信息进行改进,其二是为使机器自动理解而对图像数据进行存储、传输及显示。 数字图像处理技术已经在各个领域上都有了比较广泛的应用,图像是人类获取和交换信息的主要来源,因此,图像处理的应用领域必然涉及到人类生活和工作的方方面面。随着人类活动范围的不断扩大,图像处理的应用领域也将随之不断扩大,本文主要介绍数字图像处理技术在信息安全领域的数字水印中的应用。 在信息安全领域,数字图像还承担着作为法庭证据的责任,其真实性和完整性直接影响到执法结果,随着互联网的发展,人们越来越容易从互联网上获取数字多媒体信息,而与此同时,数字多媒体信息 的版权、保密等问题也变得日益突出起来。本文在介绍数字水印技术的相关概念、特点和分类的基础上,分析了实现数字水印的步骤,并对数字图像处理技术在数字水印中的应用进行了研究。 人们由于不同的应用需求造就了不同的水印技术,数字水印技术则是其中最新的一种,数字水印是把主要内容隐藏在图像,声音中,水印与内容结合在一起。这大大改善了传统水印的肉眼即可分辨性,数字水印在不同的环境同时也具有不同的特征性质,它还能够被特定的机器所识别,正是其具有的这些优点,越来越多的各个领域的人们开把把眼光看向它。数字图像水印可以用于鉴别信息真伪、认证身份、图像保护、版权保护、隐藏信息、以及做标记等等方面。数字图像不
仅包含信息量大,而且其传输和处理极其方便,成为人们获得信息的一种重要来源,所以数字图像水印也是应用得非常广泛的一项技术。 二、数字水印的衡量标准 安全性:数字水印的信息应是安全的,难以篡改或伪造,同时,应当有较低的误检测率,当原内容发生变化时,数字水印应当发生变化,从而可以检测原始数据的变更;当然数字水印同样对重复添加有很强的抵抗性 隐蔽性:数字水印应是不可知觉的,而且应不影响被保护数据的正常使用;不会降质; 鲁棒性:是指在经历多种无意或有意的信号处理过程后,数字水印仍能保持部分完整性并能被准确鉴别。可能的信号处理过程包括信道噪声、滤波、数/模与模/数转换、重采样、剪切、位移、尺度变化以及有损压缩编码等。主要用于版权保护的数字水印易损水印(Fragile Watermarking),主要用于完整性保护,这种水印同样是在内容数据中嵌入不可见的信息。当内容发生改变时,这些水印信息会发生相应的改变,从而可以鉴定原始数据是否被篡改。 三、数字水印的分类 数字水印的分类方法很多,下面按主要特征对其作一简单概述:从含水印图象中的水印是否可见分为可见水印和不可见水印两大类。当前学者们主要致力于研究不可见水印,即水印是不可被感知的,这也是本文的研究重点。为了保证水印嵌入引起的改变不被感知,需要
信息化建设实施方案 河东区 随着信息时代的到来,信息技术已成为当代最具潜力的生产力,信息资源已成为国民经济和社会发展的战略资源,信息化水平也已成为一个地区和城市现代化程度的重要标志。作为社会信息化的一个主要组成部分,政务信息化建设必须进一步加快工作步伐。为明确政务信息化建设任务,有计划、有步骤、有重点地开展政务信息化工作,根据我区实际,特制定本方案。 一、信息化建设的总体目标 政务信息化建设的总体目标是:坚持“统筹兼顾、分布实施;统一平台、资源共享;统一管理、安全保密”的原则,以整合利用现有网络信息资源和不断完善系统服务功能为重点,尽快建成具有先进水平、能够与国内外信息高速公路接轨的信息基础设施,建成集信息开发、应用、建设、管理与服务一体化,全区上下贯通、左右联接、运转协调、便捷高效的比较完整的信息化体系,把河东区政务信息网络建设成为高档次和高水平的优秀区域性信息中心。 二、信息化建设的基本框架和主要任务 全区信息化建设的基本框架和主要任务是:建设一个中心,即河东区网络管理服务中心;实施四大工程,即河东区
人民政府公众信息网络建设工程、电子政务网络建设工程、数据库建设工程和网络经济工程。 建设一个中心 就是建设河东区网络管理服务中心。负责全区信息化的技术体制和标准选择,信息网络的总体设计,局域网站点设置和信息安全体系出口设置,为全区各种信息网络提供业务指导和技术服务,并对全区网络系统进行集中统一的监控和管理等。 实施四大工程 公众信息网络建设工程 河东区政务公众信息网于XX年8月份试运行,它不仅是我区信息化建设的重要标志,也是区内各机关、企事业单位和公众的公用信息平台。主要用于对外发布信息,介绍和宣传河东;公布各级政府及其部门办事程序、工作要求、工作信息、服务承诺,增强政府工作透明度,提高政府工作服务水平;公布公益事业、公用设施建设规划和使用管理情况以及其它公用信息,方便群众生产生活;逐步建设各类网上交易专业市场,如土地使用权、矿业权、林权、公用设施使用权拍卖市场等,为经济发展创造良好的网上交易平台;接受社会公众监督,吸纳对政府工作的意见和建议。河东区人民政府公众信息网是我区信息资源的重要集散地,需要各级各部门的全力密切协作
1. 世界上第一台电子数字计算机是ENIAC。()正确 2.法国西蒙?诺拉(Simon Nora)和阿兰?孟克(Alain Minc)1978年出版的《信息化--历史的使命》一书对信息化概念的国际传播起了重要作用。错误 3.信息化评价得出的方法包括()。多选 A 专家评价法 B 层次分析法 C 多层次评价法 D 组合评价法 正确答案: A B C D 4.多元统计分析法主要包括()。多选 A 因子分析法 B 模糊综合分析法 C 主成分分析(PCA) D 聚类分析 正确答案: A C D 5.关于我国信息化发展进程的五个特点,说法正确的是()。多选 A 起点低但起步早,个别信息网络技术已处于世界领先地位。 B 信息技术从无到有,并从工业技术脱胎而出,衍生为一门新兴的技术。 C 信息产业由弱到强,成为国民经济发展的支柱产业。 D 信息经济发展的市场化程度不高,阻碍了信息化的推进步伐。 正确答案: A B C D 6.1ZB(泽字节)等于()字节。单选 A 2~60字节 B 2~70字节 C 2~80字节 D 2~50字节 正确答案:B 7.我国信息化建设的发展历程可以分为()个阶段。单选 A 6 B 7 C 8 D 9 正确答案:A 8.1995年10月,中共十四届五中全会通过的《关于制定国民经济和社会发展“九五”计划和2010年远景目标的建议》,首次提出了()的战略任务。单选 A 计算机信息网络国际联网安全保护管理办法 B 关于加强信息资源建设的若干意见 C 加快国民经济信息化进程 D 关于制定国民经济和社会发展“九五”计划和2010年远景目标的建议正确答案:C 9.信息化的实质就是采用信息技术,深度开发利用信息资源,优质高效地实现各种活动目标。正确答案:正确 10.1999年12月,根据国务院关于恢复国务院信息化工作领导小组的批示,为了加强国家信息化工作的领导,决定成立由国务院副总理吴邦国任组长的国家信息化工作领导小组,并将国家信息化办公室改名为国务院信息化推进工作办公室。() 正确答案:错误
浅析构建信息安全运维体系 周晓梅-201071037 2018年11月20日 摘要:交通运输行业经过大规模信息化建设,信息系统数量成倍增加,业务依赖性增强,系统复杂度提高,系统安全问题变得更加突出、严重。建设系统信息安全运维管理体系,对保证交通运输行业信息系统的有效运行具有重要意义。 关键词:信息系统安全运维体系构建 安全不仅仅是一个技术问题,更是一个管理问题。实际上,在整个IT产品的生命周期中,运营阶段占了整个时间和成本的70% - 80% 左右,剩下的时间和成本才是花费在产品开发(或采购)上面。以往我们听说"三分技术、七分管理"是突出管理的重要性,而这个"管理"则是大部分的精力花费在"运营"方面。随着信息安全管理体系和技术体系在政府或企业领域的信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,政府或企业运维人员需要管理越来越庞大的IT系统这样的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。 任何为了信息安全所采取的任何安全措施,不管是技术方面的还是管理方面的,都是为了保障整个信息资产的安全,安全运维体系就是以全面保障信息资产安全为目的,以信息资产的风险管理为核心,建立起全网统一的安全事件监视和响应体系,以及保障这一体系正确运作的管理体系。 一、面临的问题 “十一五”以来,我国交通运输行业和部级信息化建设工作发展迅猛,取得了长足的进步,而部级信息化建设和管理工作中存在的一些问题和矛盾也日益凸显。当前部级信息化项目来源较多、资金筹措渠道复杂、建设和运行维护单位众多,而信息化标准规范体系不完善,由于缺乏有效的技术管理规范,非基本建设项目的建设实施还存在管控盲区,现有标准规范贯彻执行不足,系统建设实施过程中存在安全和质量风险,并对系统运行维护形成障碍,整体运行安全存在隐
信息化建设中存在的突出问题及对策建议 ——诸暨市交警大队 信息化技术是当今世界最先进的生产要素,也是提高交通安全管 理效率、实现交通安全管理模式创新的有效手段。目前,随着交通安 全管理工作方式改革的不断深入,信息技术在交通监控、违法处理、 事故处理、车管业务、服务群众、自动化办公等环节和领域已逐步推 广运用,使公安交通管理工作日益规范化、流程化、制度化,节约了 警力,提高了执法效能,因此,进一步加快交通管理信息化建设已显 得尤为重要,特别是规范道路交通技术监控设备的设置、使用和管理,更是重中之重。道路交通技术监控设备建设是改革和加强公安交通安全 管理工作的一项重要的警务保障措施,更是交通警察依法、规范、有效、严格管理的前提。目前,通过道路交通科技非现场执法的数量已 远远多于现场执法。提高道路交通技术监控设备管理应用水平,适应 非现场执法快速发展的形势需要,是加强交警信息化建设的必由之路。 一、当前交通管理信息化建设中存在的问题 (一)认识上存在局限性。信息化是提升交通管理水平、提高工 作效率、改进工作水平的重要手段,将在交通管理工作中起到非常重 要的作用。而目前对信息化认识的存在一定的局限性,主要表现在: 一是重基础装备建设,轻信息化建设。认为信息化是远水不解近渴, 起不到立竿见影的效果,感觉过于虚幻,不如实实在在的更新部分警 用装备来得实际;二是认为信息化无非就是实现办公自动化,对警务 过程的科技应用投入重视不够。
(二)专业人才配备不能适应发展需要。虽然在以往的信息化建设中培养、锻炼了一些人才,也积极引进了一些信息化方面的人才,但总体上讲,交通管理领域从事信息化工作的技术人才不仅数量严重不足,结构也不甚合理,素质更亟待提高。高层次的智力资源严重短缺,创新体系尚未真正建立,创新能力与实际需求差距较远。目前,尤其缺少既熟悉信息技术同时又了解、熟悉交通专业的复合型技术骨干。 (三)化缺乏长远规划。对于如何规划、做好信息化建设,还没有一整套的交通管理信息化建设发展蓝图,许多地方信息化建设的工作重心转移到短期效应上来,设备或软件没有考虑到发展和升级等方面的问题,从而导致各种软、硬件淘汰速度过快,造成不必要的资源浪费。同时,由于技术开发人员缺少交通管理工作实践经验,所开发出的产品缺乏实用性,有的操作不够方便,使看上去功能强大的软件在实际应用中却发挥不出应有的作用。 (四)道路交通技术监控设备管理上存在问题。 1、科技测速装备,没有通用的、简单的检查方法。省技监部门一般一年对测速装备进行一次技术执法标定,做完标定后的一年时间内,设备测速是否准确,无法确定。当事人有异议时,民警的解释无法令当事人满意。往往要出现明显的测速不准确后才能发现问题,很可能造成被动局面。 2、交通科技装备的维护,需要专业公司的支持。交通科技装备,不同网络设备等通用装备,一般的技术人员无法进行维护、维修,需要专业公司或设备生产厂家技术人员的支持。
信息安全保障措施 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我公司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 9、公司机房按照电信机房标准建设,内有必备的独立UPS不间断电源、高灵敏度的烟雾探测系统和消防系统,定期进行电力、防火、防潮、防磁和防鼠检查。 二、信息安全保密管理制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害
. . 1目的 明确公司信息化及信息资源管理要求,对内外部信息及信息系统进行有效管理,以确保各部门( 单位 ) 和岗位能及时、安全地识别、获取并有效运用、保存所需信息。 2适用范围 适用于公司信息化管理及信息收集、整理、转换、传输、利用与发布管理。 3术语和定义 3.1信息 有意义的数据、消息。公司的信息包括管理体系所涉及的质量、环境、职业健康安全、测量、标准 化、内部控制、三基等和生产经营管理中所有信息。 3.2企业信息化 建立先进的管理理念,应用先进的计算机网络技术,整合、提升企业现有的生产、经营、设计、制 造、管理方式,及时为企业各级人员的决策提供准确而有效的数据信息,以便对需求做出迅速的反应, 其本质是加强企业的“核心竞争力” 。 3.3信息披露 指公司以报告、报道、网络等形式,向总部、地方政府报告或向社会公众公开披露生产经营管理相 关信息的过程。 3.4 ERP 企业资源规划 3.5 MES 制造执行系统 3.6LIMS 实验室信息管理系统 3.7IT 信息技术 4职责 4.1信息化工作领导小组负责对公司信息化管理工作进行指导和监督、检查,对重大问题进行决策, 定期听取有关信息化管理的工作汇报,协调解决信息化过程中存在的有关问题。 4.2 ERP支持中心负责公司ERP系统运行、维护管理,每月召开ERP例会,分析总结系统运行情况, 协调处理有关问题,及时向总部支持中心上报月报、年报。 4.3信息中心是公司信息化工作的归口管理部门,主要职责: a) 负责制定并组织实施本程序及配套规章制度,对各部门( 单位 ) 信息化工作进行业务指导和督促; b)负责信息化建设管理,组织进行信息技术项目前期管理,编制信息建设专业发展规划并组织实施; c) 负责统一规划、组织、整合和管理公司信息资源系统,为各部门( 单位 ) 信息采集、整理、汇总和 发布等环节提供技术支持;对Internet用户、电子邮箱进行设置管理;统一管理分公司互联网出口; d) 负责计算机网络系统、信息门户和各类信息应用系统的安全运行和维护及计算机基础设施、计算
5步构建信息安全保障体系 随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱,更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完成信息安全的方针和目标而组成 的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。
信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论 太极多年信息安全建设积累的信息安全保障体系建设方法论,也称 “1-5-4-3-4”。即:运用1个基础理论,参照5个标准,围绕4个体系,形成3道防线,最终实现4个目标。
多媒体与信息安全 1.能把文字、数据、图表、图像、和动态视频信息集为一体处理的计算机称为()。 2.在计算机领域,媒体有两种含义:一是指(),二是指()。 3.计算机能处理的多媒体信息从时效上分为()和()两类。 4.可以利用印刷品或平面图片快速获取彩色电子图像的设备是()。 5.可以直接将现实世界中的图像或活动影像拍摄下来并存储为数字信息,供计算机使用的多媒体设备是()、()。 6.声卡的主要作用是()和()。 7.视频卡的作用是()。 8.目前PC机中多媒体的使用通常都是基于()平台的。 9.用来开发多媒体应用程序的工具和平台通常分为两大类:()、()。 10.计算机中的静态图像可以分为()、(),他们的生成方法各不相同。 11.计算机中的声音文件一般分为()和()两类。 12.在计算机中,通过声卡录制声音的时候,几乎都是使用()格式,它记录的是数字化的声波,所以也叫波形文件,扩展名为()。 13.DAT格式是()专用的视频文件格式,也是基于MPGE压缩标准和解压缩标准的。 14.在计算机中利用麦克风录音时,应将麦克风插在声卡的()插孔中。 15.在Windows中录音机程序中,利用“编辑”菜单中的()命令,可以在一个声音文件中插入另一个声音;利用“编辑”菜单中的()命令,可以将两个声音叠加在一起。 16.在Windows中,利用录音机程序录音前,应该先选择声音输入源,连接好声音输入设备,并设定(),然后开始录音。 17.单击()中的音量图标,可以弹出一个音量控制器来快速调整系统音量。 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17.
信息化建设与信息安全一 单选题多选题判断题 第1部分:信息化建设与信息安全一多选题() 第 1 题:下一代()已成为加快经济发展方式转变、促进经济结构战略性调整的关键要素和重要驱动力。 A.信息基础设施 B.程序软件开发 C.发展宽带网络 D.信息资源及使用 正确答案:A 用户答案:A 人工评卷:正确;得分:10.0分 试题解析: 第 2 题:电子政务对安全的特殊需求实际上就是要合理地解决网络开放性与()之间的矛盾。 A.发展性 B.可靠性 C.实用性 D.安全性 正确答案:D 用户答案:D 人工评卷:正确;得分:10.0分 试题解析: 第 3 题: NII由全国范围内互联的通信网、网上计算机、共享信息资源及使用与()所组成 A.信息本身 B.管理人员 C.传输编码 D.程序和软件
正确答案:B 用户答案:A 人工评卷:错误;得分:0分 试题解析: 第 4 题: 1997年召开的首届全国信息化工作会议,对信息化和国家信息化定义为:“信息化是指培育、发展以()工具为代表的新的生产力并使之造福于社会的历史过 程。” A.智能化 B.知识化 C.现代化 D.人才化 正确答案:A 用户答案:A 人工评卷:正确;得分:10.0分 试题解析: 第 5 题:()是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。 A.网络全球化 B.电子化 C.信息化 D.服务全面化 正确答案:C 用户答案:C 人工评卷:正确;得分:10.0分 试题解析: 第2部分:信息化建设与信息安全一多选题() 第 6 题:信息化可从不同角度进行分类,下面哪几类是正确的。 A 企业信息化 B 产业信息化 C 国民经济信息化
如何有效构建信息安全保障体系随着信息化的发展,政府或企业对信息资源的依赖程度越来越大,没有各种信息系统的支持,很多政府或企业其核心的业务和职能几乎无法正常运行。这无疑说明信息系统比传统的实物资产更加脆弱更容易受到损害,更应该加以妥善保护。而目前,随着互联网和网络技术的发展,对于政府或企业的信息系统来讲,更是面临着更大的风险和挑战。这就使得更多的用户、厂商和标准化组织都在寻求一种完善的体系,来有效的保障信息系统的全面安全。于是,信息安全保障体系应运而生,其主要目的是通过信息安全管理体系、信息安全技术体系以及信息安全运维体系的综合有效的建设,让政府或企业的信息系统面临的风险能够达到一个可以控制的标准,进一步保障信息系统的运行效率。 通常所指的信息安全保障体系包含了信息安全的管理体系、技术体系以及运维体系。本文将重点介绍信息安全管理体系的建设方法。 构建第一步确定信息安全管理体系建设具体目标 信息安全管理体系建设是组织在整体或特定范围内建立信息安全方针和目标,以及完成这些目标所用方法的体系。它包括信息安全组织和策略体系两大部分,通过信息安全治理来达到具体的建设目标。 信息安全的组织体系:是指为了在某个组织内部为了完
成信息安全的方针和目标而组成的特定的组织结构,其中包括:决策、管理、执行和监管机构四部分组成。 信息安全的策略体系:是指信息安全总体方针框架、规范和信息安全管理规范、流程、制度的总和。策略体系从上而下分为三个层次: 第一层策略总纲 策略总纲是该团体组织内信息安全方面的基本制度,是组织内任何部门和人不能违反的,说明了信息安全工作的总体要求。 第二层技术指南和管理规定 遵循策略总纲的原则,结合具体部门、应用和实际情况而制定的较专业要求和方法以及技术手段。包括以下两个部分: 技术指南:从技术角度提出要求和方法; 管理规定:侧重组织和管理,明确职责和要求,并提供考核依据。 第三层操作手册、工作细则、实施流程 遵循策略总纲的原则和技术指南和管理规定,结合实际工作,针对具体系统,对第二层的技术指南和管理规定进行细化,形成可指导和规范具体工作的操作手册及工作流程,保证安全工作的制度化、日常化。 构建第二步确定适合的信息安全建设方法论
信息安全管理责任制 网络与信息的安全不仅关系到公司正常业务的开展,还将影响到国家的安全、社会的稳定。我司将认真开展网络与信息安全工作,通过检查进一步明确安全责任,建立健全的管理制度,落实技术防范措施,保证必要的经费和条件,对有毒有害的信息进行过滤、对用户信息进行保密,确保网络与信息安全。 一、网站运行安全保障措施 1、网站服务器和其他计算机之间设置经公安部认证的防火墙, 并与专业网络安全公司合作,做好安全策略,拒绝外来的恶意攻击,保障网站正常运行。 2、在网站的服务器及工作站上均安装了正版的防病毒软件,对计算机病毒、有害电子邮件有整套的防范措施,防止有害信息对网站系统的干扰和破坏。 3、做好生产日志的留存网站具有保存60天以上的系统运行日志和用户使用日志记录功能,内容包括IP地址及使用情况,主页维护者、邮箱使用者和对应的 IP地址情况等。 4、交互式栏目具备有IP地址、身份登记和识别确认功能,对没有合法手续和不具备条件的电子公告服务立即关闭。 5、网站信息服务系统建立双机热备份机制,一旦主系统遇到故障或受到攻击导致不能正常运行,保证备用系统能及时替换主系统提供服务。 6、关闭网站系统中暂不使用的服务功能,及相关端口,并及时用补丁修复系统漏洞,定期查杀病毒。 7、服务器平时处于锁定状态,并保管好登录密码;后台管理界面设置超级用户名及密码,并绑定IP,以防他人登入。 8、网站提供集中式权限管理,针对不同的应用系统、终端、操作人员,由网站系统管理员设置共享数据库信息的访问权限,并设置相应的密码及口令。不同的操作人员设定不同的用户名,且定期更换,严禁操作人员泄漏自己的口令。对操作人员的权限严格按照岗位职责设定,并由网站系统管理员定期检查操作人员权限。 二、信息安全保密管理制度 1、我司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存60天内系统运行日志和用户使
《多媒体信息安全》课程总结本学期通过对《多媒体网络信息技术与信息安全》这门课程的学习,让我对计算机技术及信息安全方面的知识有了更多的了解。尤其是作为计算机专业的学生,这门课使我对计算机软硬件方面知识更加丰富,对我今后的学习生活有很大的帮助。现我将本学期的学习情况以及其他方面做如下总结: 一、对本学期该课所学知识的总结: 通过本学期的对于这门课的学习,让我对计算机涉及到的基本软硬件,网络技术与安全方面的只是有很大的提升,具体有以下各方面:1、网络资源: 在信息技术相当发达的今天,网络资源成为我们生活学习中不可缺少的一部分,以前自己要查询需要的资料时,能搜索的网站很少,通过这门课程的学习让我在查询自己所需要的资料时有了更多资源可以选择。其中有我们我们以前很少知道的我们的校内资源,还有很多我们不是很了解的公网资源。例如,我们再校内可以去我们学校的网上图书馆、ftp、资源共享平台等等。在网吧以及自己的电脑上网查阅资源时,我们可以去公共网络资源,例如,电驴、迅雷、教程网、得益网、豆丁网、优酷、酷六、土豆、中国IT实验室等等。通过这些网站,我们可以随时随地找到我们所需要的电子书、各类软件、视听教学教程、各种学习资料,对我们的学习生活有很大的帮助。 其次,这门课让我了解到常见的门户站点、导航站点、IT站点、作为计算机专业的学生,这些网站的资源对于我们的了解更多的专业
知识有很大的帮助。 2、pc机的基本概念与攒机 课程当中让我对于pc机的概念有了进一步的了解。通过自己模拟攒机的作业,使我对计算机的硬件系统及常用的操作系统,有更深刻的了解,让我知道了主板、cpu、电源等等。 3、系统维护优化 在我们使用计算机时,计算机的系统维护与优化也是我们必须注意的方面之一。本课程老师介绍的qq管家、360安全卫士、瑞星卡卡、金山卫士等等对于我们平时使用电脑时有很大的帮助。 4、安全软件使用 安全是我们使用网络时最重要的一项,这门课也针对信息安全给我们介绍了各种安全软件,有国家计算机病毒应急中心、微软自带的安全软件、卡巴斯基,江民、瑞星、小红伞、诺顿等。 同时为我们介绍了关于电脑 5、多媒体信息处理 在生活中,我们经常会遇到很多多媒体文件我们自己处理,针对这方面,老师讲解了简单的图片、声音、视频等的制作软软,又通过作业的形式让我们有了更深刻的印象,通过作业展示让我们学习到别人更多优点,了解自己的不足。 6、其他 在最近的几周中,我们又学习了远程协助与远程控制、注册表等等一些在日常生活中很有用的计算机技术。
1. 【单选题】到2012年我国互联网网民数达到我国人口总数的? A: 30%-40% B: 40%-50% C: 50%-60% D: 60%-70% 2. 【多选题】在人类的整个历史发展中,经历了五次巨大的信息变革,下列哪些属于这五次信息变革? A: 计算机技术 B: 文字的诞生C: 互联网技术 D: 电视技术E: 语言的诞生 3. 【单选题】我国在哪一年正式接入国际互联网? A: 1994 B: 1983 C: 1993 D: 1982 4. 【单选题】下列哪个不是大数据的度量单位 A: PB B: ZB C: KB D: EB 5. 【单选题】下面有关云计算的特性,哪些是错误的 A: 大规模 B: 可扩展 C: 通用性D: 使用成本高 E: 虚拟化 F: 资源利用率高 6. 【判断题】利用云存储将文件存到云网盘,该网盘是一个具体的物理网盘吗?对错 7. 【判断题】为使互联网所连接的不同物理协议的网络可以相互连接,需要通过协议分层的方式解决,其中第3层使用IP协议、第4层使用TCP协议对错 8. 【单选题】物联网的架构中,最下面一层叫做 A: 物理层B: 感知层 C: 传感器层 D: 网络层 十二五”期间,要以建设好“三通两平台”为抓手,也就是“宽带网络校校通、优质资源班班通、网络学习空间人人通”,建设教育资源公共服务平台和教育管理公共服务平台 章节测试(要求的通过率:70.0%) 测试结果:通过率[100.0%] 恭喜你!已经通过该章节测试第1次测试 1. 【单选题】下列IP地址哪个与 A: B: C: D: 2. 【多选题】2012年9月5日,刘延东在全国教育信息化工作电视电话会议上提出的教 育信息化“三通二平台”的目标,下列哪个说法属于该目标 A: 优质资源校校通 B: 网络学习空间人人通 C: 建设教育资源公共服务平 台 D: 建设教育应用公共服务平台 3. 【单选题】信息化的建设是否一定要利用计算机技术? A: 是 B: 不是 4. 【判断题】由于IPv6地址比IPv4多出4倍,因此IPv6 地址配置更加复杂,一般需要 专业人事指导配置对错 5. 【多选题】下列哪些行业属于第四产业是指? A: 教育业B: 软件业 C: 房地产业 D: 电子产品制作 E: 汽车制造 业 6. 【多选题】下列哪些技术属于信息技术
五步构建信息安全运维体系 随着信息安全管理体系和技术体系在信息安全建设中不断推进,占信息系统生命周期70% - 80%的信息安全运维体系的建设已经越来越被广大用户重视。尤其是随着信息系统建设工作从大规模建设阶段逐步转型到“建设和运维”并举的发展阶段,信息安全负责人员需要管理越来越庞大的IT系统的情况下,信息安全运维体系建设已经被提到了一个空前的高度上。 目前,大多数的信息安全运维体系的服务水平处在一个被动的阶段。这主要表现在信息技术和设备的应用越来越多,但运维人员在信息系统出现安全事件的时候却茫然不知所措。究其原因,是该组织未建设成完整的信息安全运维体系。 正是因为目前运维服务中存在的弊端,山东省软件评测中心依靠长期从事信息系统运维服务的经验,同时结合信息安全保障体系建设中运维体系建设的要求,遵循ITIL、ISO/IEC 27000系列服务标准、等级保护和分级保护制度,建立了一整套信息安全运维服务管理的建设方案。 信息安全运维体系的构建第一步:建立安全运维监控中心 基于关键业务点面向业务系统可用性和业务连续性进行合理布控和监测,以关键绩效指标指导和考核信息系统运行质量和运维管理工作的实施和执行,帮助用户建立全面覆盖信息系统的监测中心,并对各类事件做出快速、准确的定位和展现。实现对信息系统运行动态的快速掌握,以及运行维护管理过程中的事前预警、事发时快速定位。其主要包括: ● 集中监控:采用开放的、遵循国际标准的、可扩展的架构,整合各类监控管理工具的监控信息,实现对信息资产的集中监视、查看和管理的智能化、可视化监控系统。监控的主要内容包括:基础环境、网络、通信、安全、主机、中间件、数据库和核心应用系统等。 ● 综合展现:合理规划与布控,整合来自各种不同的监控管理工具和信息源,进行标准化、归一化的处理,并进行过滤和归并,实现集中、综合的展现。
信息化建设如何保障信息安全? 引言 二十一世纪的竞争是经济全球化和信息化的竞争。世界上大多数国家都已经将信息化提高到国家发展战略的高度。我国大量建设的各种信息化系统也已成为国家关键基础设施,它们在电子政务、电子商务、电子金融、电力、能源、通信、交通、科学研究、网络教育、网络医疗保健和社会保障等应用领域发挥着不可替代的作用。 信息技术的发展与广泛应用,深刻地改变人们的生活方式、生产方式与管理方式,加快了国家现代化和社会文明的发展。但是由于信息技术本身的特殊性,特别是信息和网络无国界性的特点,使得在整个信息化进程中,带来了巨大的信息安全风险。信息安全问题涉及到国家安全、社会公共安全和公民个人安全的方方面面。 如何以信息化提升综合国力,并在信息化快速发展的同时确保国家的信息安全,已成为各国政府关心的热点问题。信息安全就是要保障电子信息的有效性。它涉及到信息的保密性、完整性、可用性和可控性。保密性指对抗对手的被动攻击,保证信息不泄漏给未经授权的人。完整性指对抗对手主动攻击,防止信息被未经授权的篡改。可用性指保证信息及信息系统确实为授权使用者所用。可控性指对信息及信息系统实施安全监控。 中国信息化建设在突飞猛进的同时,也面临着一系列的信息安全隐患。如,病毒的大肆传播与黑客的攻击事件时有发生。关键信息的安全管理漏洞,将会给国家带来不可估量的严重后果和巨大的经济损失,甚至威胁到国家的安全。我国政府对信息安全空前重视,编制了《国家信息安全报告》,在政府相关部门的组织下,正在构筑中国国家信息安全体系。 本文论述了信息安全和网络安全的重要性、介绍中国的信息安全现状和国内外信息安全研究和信息安全产品,以期引起大家对中国信息安全的关注和思考。