下载文档原格式
转眼间, 为期四周的公选课就结束了。
在这四周的学习过程中,我不敢妄谈自己学到了多少知识,但却了解了一些以前从未接触到的东西。
21世纪是信息化高度发达的时代,作为一名新时代的大学生,我觉得自己应该了解和掌握一些这方面的知识,这样才能更加适应社会的发展和进步。
下面我将就自己在课堂上学到的知识结合自己的亲身体验,简要谈谈自己对信息安全的看法和感受,不足之处还请老师指正。
(一)信息安全术语简介1、保密性保密性是指保证信息不能被非授权访问,即使非授权用户得到信息也无法知晓信息内容,因而不能使用。
通常通过访问控制阻止非授权用户获得机密信息,通过加密变换阻止非授权用户获知信息内容。
2、完整性完整性是指维护信息的一致性,即信息在生成、传输、存储和使用过程中不应发生人为或非人为的非授权篡改。
一般通过访问控制阻止篡改行为,同时通过消息摘要算法来检验信息是否被篡改。
信息的完整性包括两个方面:(1)数据完整性:数据没有被未授权篡改或者损坏;(2)系统完整性:系统未被非法操纵,按既定的目标运行。
3、可用性可用性是指保障信息资源随时可提供服务的能力特性,即授权用户根据需要可以随时访问所需信息。
可用性是信息资源服务功能和性能可靠性的度量,涉及到物理、网络、系统、数据、应用和用户等多方面的因素,是对信息网络总体可靠性的要求。
4、废物搜寻废物搜寻就是在废物(如一些打印出来的材料或废弃的软盘)中搜寻所需要的信息。
在微机上,废物搜寻可能包括从未抹掉有用东西的软盘或硬盘上获得有用资料。
5、间谍行为间谍行为是一种为了省钱或获取有价值的机密、采用不道德的手段获取信息。
6、窃听窃听是使用专用的工具或设备,直接或间接截获网络上的特定数据包并进行分析,进而获取所需的信息的过程。
7、拨号进入拨号进入指利用调制解调器等设备,通过拨号方式远程登录并访问网络。
8、冒名顶替冒名顶替指通过使用别人的用户账户和密码获得对网络及其数据、程序的使用能力。
9、黑客黑客是指精通网络、系统、外设以及软硬件技术的人。
保密通信课程设计报告一、教学目标本课程旨在让学生了解和掌握保密通信的基本原理和技术,培养学生运用保密通信知识解决实际问题的能力。
具体目标如下:1.知识目标:•掌握保密通信的基本概念、原理和分类;•了解保密通信的关键技术和应用场景;•熟悉我国保密通信的政策法规和发展现状。
2.技能目标:•能够分析并解决保密通信过程中的技术问题;•具备搭建简单保密通信系统的能力;•学会运用保密通信技术保护信息安全。
3.情感态度价值观目标:•增强学生的信息安全意识,提高保密观念;•培养学生对国家信息安全事业的热爱和责任感;•引导学生正确使用保密通信技术,遵守法律法规。
二、教学内容本课程的教学内容主要包括以下几个方面:1.保密通信基本概念:密码学、保密通信系统、信息安全等;2.保密通信技术:对称加密、非对称加密、数字签名、哈希函数等;3.保密通信应用:虚拟专用网、安全套接层、无线保密通信等;4.我国保密通信政策法规和发展现状。
教学大纲安排如下:第一周:保密通信基本概念•教材第1-2章:密码学、保密通信系统;•教材第3章:信息安全概述。
第二周:保密通信技术•教材第4-6章:对称加密、非对称加密、数字签名、哈希函数;•教材第7章:加密算法应用。
第三周:保密通信应用•教材第8-9章:虚拟专用网、安全套接层;•教材第10章:无线保密通信技术。
第四周:我国保密通信政策法规和发展现状•教材第11-12章:我国保密通信政策法规、发展现状及趋势。
三、教学方法本课程采用多种教学方法,以激发学生的学习兴趣和主动性:1.讲授法:教师讲解基本概念、原理和技术,引导学生掌握核心知识;2.案例分析法:分析实际案例,让学生了解保密通信在现实中的应用;3.实验法:学生动手搭建简单保密通信系统,提高实际操作能力;4.讨论法:分组讨论问题,培养学生的团队协作和沟通能力。
四、教学资源本课程的教学资源包括:1.教材:《保密通信原理与应用》;2.参考书:密码学、信息安全等相关书籍;3.多媒体资料:教学PPT、视频讲座、实验指导等;4.实验设备:计算机、网络设备、加密算法软件等。
哈尔滨工程大学信息系统、信息设备和存储设备安全保密策略执行表单编号:BMB/HEU-CLWD-01 版本:V1.051.物理设备安全策略1.1物理和环境安全策略(1)本涉密设备放置楼层在()层,(口已口未)安装防盗门,(口已口未)安装防盗窗。
(2)涉密计算机的摆放(口已口未)远离暖气管道、通风管道、上下水管、电话、有线报警系统等偶然导体,距离在1米以上。
(3)多台涉密计算机(口已口未)独立划分工作区域,并与非涉密区有效隔离。
(4)同一房间内存放()台涉密计算机,包括:秘密级计算机()台,机密级计算机()台,该房间(口已口未)按照要害部门、部位进行建设。
(5)涉密计算机的屏幕、投影摆放(口已口未)采取措施,且不易被无关人员直视。
(6)该涉密场所(口有□没有)非涉密计算机或互联网计算机,其(口已口未)禁止启用视频、音频设备。
(7)涉密计算机(口已口未)与非涉密计算机置于同一金属平台,(口已口未)与非涉密设备保持安全距离。
(8)该场所为(□涉密场所口要害部门、部位),采用了(口电子门禁系统口视频监控系统□防盗报警系统□____________ )对出入情况进行控制。
(9)视频监控存储设备(口已□未)划分独立区域放置。
□不涉及此项。
(10)视频监控存储设备,(口已□未)按照保密要求进行管理。
□不涉及此项。
上述1.1环境安全策略(口满足□基本满足□不满足)。
1.2通信和传输安全策略1.2.1密码保护措施策略各涉密单位,如须使国家普通密码产品,(口已口未)制定专门的密码产品保护方案,报保密处进行审核。
□不涉及此项。
1.2.2红黑电源隔离插座策略涉密信息设备的电源(口已口未)使用红黑电源隔离插座,多台涉密信息设备(口已□未)在红黑电源隔离插座后串接普通插座使用。
1.2.3视频干扰仪策略机密级涉密计算机,(口已口未)安装视频干扰器。
视频干扰器(口已口未)遵循先开后关原则,即电脑开启前先打开,电脑关闭后再关闭。
上述1.2通信和传输安全策略(口满足□基本满足口不满足)。
哈尔滨工程大学信息系统、信息设备和存储设备安全保密策略执行表单编号:BMB/HEU-CLWD-01 版本:V1.051.物理设备安全策略1.1物理和环境安全策略(1)本涉密设备放置楼层在()层,(□已□未)安装防盗门,(□已□未)安装防盗窗。
(2)涉密计算机的摆放(□已□未)远离暖气管道、通风管道、上下水管、电话、有线报警系统等偶然导体,距离在1米以上。
(3)多台涉密计算机(□已□未)独立划分工作区域,并与非涉密区有效隔离。
(4)同一房间内存放()台涉密计算机,包括:秘密级计算机()台,机密级计算机()台,该房间(□已□未)按照要害部门、部位进行建设。
(5)涉密计算机的屏幕、投影摆放(□已□未)采取措施,且不易被无关人员直视。
(6)该涉密场所(□有□没有)非涉密计算机或互联网计算机,其(□已□未)禁止启用视频、音频设备。
(7)涉密计算机(□已□未)与非涉密计算机置于同一金属平台,(□已□未)与非涉密设备保持安全距离。
(8)该场所为(□涉密场所□要害部门、部位),采用了(□电子门禁系统□视频监控系统□防盗报警系统□__________)对出入情况进行控制。
(9)视频监控存储设备(□已□未)划分独立区域放置。
□不涉及此项。
(10)视频监控存储设备,(□已□未)按照保密要求进行管理。
□不涉及此项。
上述1.1环境安全策略(□满足□基本满足□不满足)。
1.2通信和传输安全策略1.2.1密码保护措施策略各涉密单位,如须使国家普通密码产品,(□已□未)制定专门的密码产品保护方案,报保密处进行审核。
□不涉及此项。
1.2.2红黑电源隔离插座策略涉密信息设备的电源(□已□未)使用红黑电源隔离插座,多台涉密信息设备(□已□未)在红黑电源隔离插座后串接普通插座使用。
1.2.3视频干扰仪策略机密级涉密计算机,(□已□未)安装视频干扰器。
视频干扰器(□已□未)遵循先开后关原则,即电脑开启前先打开,电脑关闭后再关闭。
上述1.2通信和传输安全策略(□满足□基本满足□不满足)。
第1篇一、引言随着信息技术的飞速发展,信息安全问题日益突出,已成为全球范围内的热点问题。
信息安全工程作为保障信息安全的重要手段,其实践应用具有重要意义。
本报告通过对信息安全工程的实践过程进行总结和分析,旨在为信息安全领域的相关人员提供有益的参考。
二、实践背景近年来,我国信息安全事件频发,给国家、企业和个人带来了严重的经济损失。
为提高我国信息安全水平,我国政府高度重视信息安全工程建设,加大对信息安全领域的投入。
在此背景下,本实践报告选取某企业作为案例,对其信息安全工程实践过程进行总结和分析。
三、实践内容1. 需求分析(1)企业基本信息:某企业成立于2000年,主要从事软件开发、系统集成、运维服务等业务。
企业员工约500人,业务覆盖全国。
(2)信息安全现状:企业信息安全管理制度不完善,技术手段落后,存在较高的安全风险。
2. 确定目标(1)建立健全信息安全管理制度,提高员工信息安全意识。
(2)采用先进的安全技术,降低安全风险。
(3)实现信息安全管理的自动化和智能化。
3. 实施过程(1)制度建设根据企业实际情况,制定信息安全管理制度,包括信息安全组织架构、信息安全岗位职责、信息安全操作规程等。
同时,开展信息安全培训,提高员工信息安全意识。
(2)技术建设采用以下技术手段:1)防火墙:部署高性能防火墙,实现内外网隔离,防止恶意攻击。
2)入侵检测系统(IDS):实时监测网络流量,发现并阻止恶意攻击。
3)漏洞扫描:定期对系统进行漏洞扫描,修复安全漏洞。
4)数据加密:对敏感数据进行加密存储和传输,防止数据泄露。
5)安全审计:对关键操作进行审计,确保安全合规。
(3)安全管理1)安全事件应急响应:建立安全事件应急响应机制,确保在发生安全事件时能够快速响应。
2)安全漏洞管理:建立漏洞管理机制,及时修复安全漏洞。
3)安全意识培训:定期开展信息安全培训,提高员工安全意识。
4. 实施效果(1)安全风险降低:通过实施信息安全工程,企业安全风险得到有效控制。
第1篇一、实验目的本次实验旨在通过实际操作,加深对信息安全理论知识的理解,提高实际操作能力,培养信息安全意识。
实验内容包括:1. 熟悉常用的信息安全工具和软件;2. 学习基本的加密和解密方法;3. 掌握常见的信息安全攻击和防范措施;4. 了解网络安全的防护策略。
二、实验原理信息安全是指保护信息在存储、传输和处理过程中的保密性、完整性和可用性。
本实验涉及以下原理:1. 加密技术:通过对信息进行加密,使未授权者无法获取原始信息;2. 解密技术:使用密钥对加密信息进行解密,恢复原始信息;3. 安全协议:确保信息在传输过程中的安全;4. 入侵检测:实时监控网络和系统,发现并阻止恶意攻击。
三、实验内容1. 加密与解密实验(1)使用RSA算法对文件进行加密和解密;(2)使用AES算法对文件进行加密和解密;(3)使用对称密钥和非对称密钥进行加密和解密。
2. 信息安全工具使用实验(1)使用Wireshark抓取网络数据包,分析网络通信过程;(2)使用Nmap进行网络扫描,发现目标主机的开放端口;(3)使用XSSTest进行跨站脚本攻击实验;(4)使用SQL注入攻击实验。
3. 信息安全防护实验(1)使用防火墙设置访问控制策略;(2)使用入侵检测系统(IDS)监控网络流量;(3)使用安全审计工具对系统进行安全审计。
四、实验步骤1. 安装实验所需软件,如Wireshark、Nmap、XSSTest等;2. 按照实验指导书的要求,进行加密和解密实验;3. 使用信息安全工具进行网络扫描、漏洞扫描和攻击实验;4. 设置防火墙和入侵检测系统,对网络进行安全防护;5. 使用安全审计工具对系统进行安全审计。
五、实验结果与分析1. 加密与解密实验:成功使用RSA和AES算法对文件进行加密和解密,验证了加密技术的有效性;2. 信息安全工具使用实验:成功使用Wireshark抓取网络数据包,分析网络通信过程;使用Nmap进行网络扫描,发现目标主机的开放端口;使用XSSTest和SQL 注入攻击实验,验证了信息安全工具的功能;3. 信息安全防护实验:成功设置防火墙和入侵检测系统,对网络进行安全防护;使用安全审计工具对系统进行安全审计,发现潜在的安全隐患。
实验名称:保密信息传输系统设计与实现实验目的:1. 理解保密信息传输的基本原理和关键技术。
2. 掌握加密算法在信息传输中的应用。
3. 设计并实现一个简单的保密信息传输系统。
4. 评估系统的安全性能。
实验时间:2023年X月X日实验地点:XX大学计算机实验室实验设备:1. 计算机(Windows操作系统)2. 秘密信息传输系统开发工具(如C++、Python等)3. 加密库(如OpenSSL等)实验人员:XXX(姓名)、XXX(姓名)一、实验原理保密信息传输系统旨在保护信息在传输过程中的安全性,防止信息被非法窃取或篡改。
本实验采用对称加密算法(如AES)和非对称加密算法(如RSA)来实现信息加密和解密。
1. 对称加密算法:加密和解密使用相同的密钥,加密速度快,但密钥的分配和管理较为复杂。
2. 非对称加密算法:加密和解密使用不同的密钥,安全性较高,但加密速度较慢。
二、实验步骤1. 系统设计(1)确定加密算法:本实验采用AES对称加密算法和RSA非对称加密算法。
(2)设计加密模块:实现数据的加密和解密功能。
(3)设计传输模块:实现数据的传输功能。
(4)设计用户界面:方便用户进行信息传输操作。
2. 系统实现(1)使用C++或Python等编程语言实现加密模块,调用OpenSSL库进行AES和RSA加密操作。
(2)实现传输模块,采用TCP/IP协议进行数据传输。
(3)设计用户界面,使用图形界面库(如Qt、Tkinter等)实现。
3. 系统测试(1)测试加密模块:验证加密和解密功能是否正确。
(2)测试传输模块:验证数据传输是否稳定、可靠。
(3)测试用户界面:验证用户操作是否顺畅、友好。
三、实验结果与分析1. 加密模块测试通过测试,加密模块能够正确对数据进行加密和解密,加密和解密速度符合预期。
2. 传输模块测试通过测试,传输模块在TCP/IP协议下能够稳定、可靠地传输数据,传输速率符合预期。
3. 用户界面测试通过测试,用户界面操作顺畅、友好,用户可以轻松进行信息传输操作。
单位安装保密系统报告模板一、引言保密工作是一项非常重要的工作。
无论在什么单位、机构或者企业中,保密工作都是必不可少的。
为了更好地保障单位的信息安全,加强信息系统的保密工作,单位需要安装保密系统以保护单位的机密信息,为保密工作提供有力的保障。
本文将介绍单位安装保密系统的相关信息,并提出一份针对该安装过程的报告模板。
该模板旨在帮助单位有效地完成保密系统的安装和测试工作,从而更好地保障单位的信息安全。
二、安装保密系统的需求分析为了保障单位的信息安全,单位需要安装一个保密系统。
该系统需要满足以下几个方面的需求:1.高安全性:保密系统需要提供高安全性,能够有效地保护单位的机密信息,并且不能被黑客攻击。
2.稳定可靠:保密系统需要稳定可靠,应该能够长期使用而不会出现任何问题。
3.易于操作:保密系统需要适合普通员工使用,不需要太多技术支持。
4.保密性能:保密系统需能够满足单位具体的保密需求,能够保护所有机密信息。
三、保密系统的具体安装过程针对以上需求分析,本文提供以下保密系统的安装过程:1.确定保密软件版本:根据单位的具体需求,选择适合的保密软件版本,确保满足单位的保密性能需求。
2.安装系统:根据软件提供的安装说明,安装保密系统并按照说明设置相关参数。
3.配置系统:根据单位的需求对保密系统进行配置,包括但不限于用户、权限、加密方式、保存数据的位置、审计等。
4.测试系统:安装和配置完成后,需要对系统进行详细的测试,确保所有功能正常,同时保证系统稳定可靠。
四、保密系统的安装报告模版为了更好地记录保密系统的安装过程,本文提供以下报告模板:安装日期:安装标题:安装地点:安装人员:安装软件版本:安装说明:配置内容:测试描述:测试结果:结论:五、结论本文提供了针对单位安装保密系统的需求分析和具体安装过程,并提供了一份相应的报告模板。
相信这些信息可以帮助单位更好地安装和使用保密系统,从而保障单位的信息安全。
一、实训背景与目的随着信息技术的飞速发展,信息安全问题日益凸显。
为了提高我国信息安全人才的培养质量,增强学生的实际操作能力,我校组织了信息安全工程实训。
本次实训旨在使学生了解信息安全的基本理论,掌握信息安全技术的实际应用,培养学生的信息安全意识,提高其在网络安全、数据保护、系统安全等方面的实践能力。
二、实训内容与过程(一)实训内容1. 网络安全基础- 学习网络协议与体系结构- 网络安全防护技术- 网络攻击与防御手段2. 操作系统安全- Windows、Linux操作系统的安全配置- 操作系统漏洞分析与修复- 权限管理与访问控制3. 数据库安全- 常见数据库系统(如MySQL、Oracle)的安全配置- 数据库安全漏洞分析与防护- 数据备份与恢复4. 应用系统安全- 常见Web应用的安全漏洞分析- Web应用防火墙与入侵检测系统- 移动应用安全5. 信息安全实践- 网络攻防演练- 系统安全评估- 安全事件应急响应(二)实训过程1. 理论学习实训开始前,我们通过查阅教材、资料和参加讲座,对信息安全的基本理论进行了系统学习。
2. 实验操作在实训过程中,我们按照实训指导书的要求,进行了各项实验操作,包括网络安全配置、操作系统安全加固、数据库安全防护等。
3. 实践项目我们参与了多个实践项目,如网络安全攻防演练、系统安全评估等,通过实际操作,加深了对信息安全技术的理解。
4. 小组讨论在实训过程中,我们定期进行小组讨论,分享学习心得和实验经验,互相学习,共同进步。
三、实训成果与收获(一)实训成果1. 掌握了信息安全的基本理论和技术2. 熟悉了各种安全工具和软件的使用3. 提高了网络安全防护和应急响应能力4. 培养了团队合作精神和沟通能力(二)实训收获1. 增强了信息安全意识,认识到信息安全的重要性2. 提高了实践能力,为今后的工作奠定了基础3. 了解了信息安全行业的现状和发展趋势4. 结识了一群志同道合的朋友,共同进步四、总结与展望通过本次信息安全工程实训,我们不仅学到了丰富的信息安全知识,还提高了实践能力。
哈尔滨工程大学国家保密学院涉密信息系统工程课程报告2014年6月涉密信息系统工程实施方案前言(一)背景21世纪是信息化的世纪,计算机网络是信息世纪的基础,已经进入了社会的各个角落。
在计算机网络大力推广的今天,信息安全已经获得了极大的重视,尤其是对于涉密信息,如果不能妥善处理,对国家和人民的损失是巨大的,后果是严重的。
越来越严峻的信息安全形势挑战着信息安全研究和从业人员,为了更好地处理涉密信息,涉密信息系统建设的需求愈发强烈。
随着我国近年来信息安全技术的发展和相关规章制度的完善,已经可以达到建立一个较为完善的涉密信息系统的条件。
在处理涉密信息的单位中,高校是离我们最近的一个,且高校实验室的研究项目当中有许多是涉密的项目,所以在高校当中建立涉密信息系统是很有必要的。
针对这一需求,本文结合我校保密学院实验室的涉密信息系统建设给出了一个涉密信息系统建设的实例。
(二)需求分析高校涉密信息系统的需求来自几个方面。
首先是国家信息安全政策的要求,必须要符合国家相关规定,同时要接受国家职能部门的保密审查。
第二,科研生产的需要,在实验室研究当中会产生大量的数据和文档资料,怎样确保资料的有效存储、传输,同时确保安全性、保密性,建立一个安全、稳定、高效的系统更是在科研过程当中十分需要的。
根据我校涉密信息系统现状,结合国家相关规定,具体安全需求体现在如下几个方面:1.物理安全(1)门禁系统:建立中心机房门禁系统(2)防雷电装置:采取防雷保护措施(3)良好的供电:部署UPS(4)防静电、防盗措施:设立中心机房,加强防盗措施(5)防止电磁泄露装置:有良好的接地屏蔽布线系统(6)介质安全:加强介质管理,计算机接口管理,部署安全审计系统(7)严禁打开计算机机箱,未经许可不可更改涉密计算机软、硬件设置。
(8)涉密计算机信息系统是与互联网实行物理隔离2.运行安全(1)存储备份:使用刻录光盘或移动硬盘备份方式实现定期数据备份(2)应急响应:制定应急响应计划并培训和演练,并确定组织机构(3)运行管理:设立信息中心机构承担,并辅助合适的管理模式(4)病毒与恶意代码防护:需要安装网络版杀毒软件并定期更新3.信息保密安全(1)访问控制:加强访问控制措施(2)安全审计:部署专业安全审计系统(3)信息加密与电磁泄露:在新的信息系统建设中,有必要时可以采用ftp线缆,在系统的关键部位部署电磁防泄漏设备(4)端口接入管理:采用端口接入认证技术实现对接入设备的有效管理(5)系统及网络安全检测:采用专业安全检测工具对网络和主机的安全进行检测。
(6)禁止涉密计算机上网一.系统建设(一)建设目标建设实验室的涉密信息系统安全,保证涉密信息系统的安全、稳定、可用。
实现物理隔离、介质安全、身份鉴别、访问控制等多方面的安全。
(二)建设原则(1)规范定密,准确定级建立科学的信息定密机制和操作程序,规范信息定密,明确涉密信息系统处理信息的最高密级,按照取高原则确定保护等级。
由于信息泄露滥用非法访问或非法修改而造成的危险和损害相适应的安全。
没有绝对安全的信息系统网络任何安全措施都是有限度的。
关键在于“实事求是”、“因地制宜”地去确定安全措施的度,即根据信息系统因缺乏安全性造成损害后果的严重程度来决定采取什么样的安全措施。
涉密信息系统处理多种密级的信息时,应当按照最高密级采取防护措施。
(2)依据标准,同步建设符合国家保密管理规范,符合保密技术要求,从技术和管理两个方面对涉密信息系统进行整体防护。
(3)突出重点,确保核心根据系统中秘密信息的密级种类与含量,系统所面临的风险与威胁等因素,优化资源配置。
(4)明确责任,加强监督建立安全保密责任制度,明确岗位职责,职责到人,对涉密信息系统运行和用户操作行为进行监督检查。
涉密信息系统的安全保密三分靠技术,七分靠管理。
加强管理可以弥补技术上的不足而放弃管理则再好的技术也不安全。
(5)同步建设,动态调整涉密信息系统的建设必须要与安全保密设施的建设同步规划、同步实施、同步发展。
要对涉密信息系统建设的全过程各个环节进行保密审查、审批、把关。
要防止并纠正先建设,后防护,重使用,轻安全倾向,建立健全涉密信息系统使用审批制度。
不经过保密部门的审批和论证,信息系统不得处理国家秘密信息。
二.系统总体设计(一)系统设计原则坚持分级保护制度,实现对不同等级的涉密信息系统进行分级保护。
信息安全等级保护是指对信息系统的信息安全实行等级化保护和等级化管理,也称信息系统安全等级保护。
根据信息系统应用业务重要程度以及实际安全需求,实行分级、分类、分阶段实施保护,保障信息安全和系统安全正常运行,维护国家利益、公共利益和社会稳定。
对涉及国计民生的基础信息网络和重要信息系统按其重要程度及实际安全需求,合理投入,分类指导,分级,分阶段实施,保障信息系统安全正常运行和信息安全,提高信息安全综合防护能力,保障国家安全,维护社会秩序和稳定,保障并促进信息化建设健康发展,推动信息安全和基础科学技术与产业化发展,进而促进经济发展,提高综合国力。
(二)设计的依据根据国家政策:《中华人民共和国保守国家秘密法》1988.9.5《国家信息化领导小组关于加强信息安全保障工作的意见》中办发2003年27号《关于加强信息安全保障工作中保密管理的若干意见》中保委发2004年7号《涉及国家秘密的信息系统分级保护管理办法》国保发2005年16号《信息安全等级保护管理办法》公通字2006年16号根据国家标准BMZ1-2000涉及国家秘密的计算机信息系统保密技术要求BMB17-2006涉及国家秘密的信息系统分级保护技术要求BMB20-2009涉及国家秘密的西你想系统分级保护管理规范(三)系统工作流程介绍建立如下的安全体系,由上到下分别分为决策层、分析层和管理层、基础操作层,做到贯彻保密规章制度,服从保密法规法条,人员分工明确、制度井然,信息安全保护分级保护,等级明确。
安全体系结构如图1。
涉密信息系统位于建筑物的一层,用于处理与公司业务相关的涉密信息。
其中涉密网络是整个涉密信息系统的核心部分,与其它公共网络(如:互联网)物理隔离,设计客户端约100台,通过服务器实现信息和服务的共享。
服务器和核心网络设备设施(如:交换机、配线架等)存放于中心机房,整个涉密网络的拓扑结构如图2所示。
图1 图2三.技术路线的分析与确定(一)主机系统建设在涉密信息系统系统的建设中,作为该系统的中心处理主机的选择,我们首先应从其系统性能人手,通过客观的分析比较,确定一款或一系列具有令人满意的主频处理速度、I/O 吞吐速率的小型机完成系统的处理任务。
从大学实验室的核心工作的情况来看,为达到能同时满足对各类信息的管理、统计和实时处理,则唯有选择一类具有高处理速度和I/O吞吐速率的主机才能最终适应于系统负载量。
对于大数据存储量,要求我们所确定的主机系统,其海量存储技术的实现应能保证多级存储、可靠读取、方便查询等要求,使系统运行起来无满载之忧。
在主机系统设计中,我们强调本系统不能仅仅着眼于本阶段业务处理的需求,而且要考虑到今后实验室的发展,另外一定要保证符合相关保密规定。
作为集中放置的数据载体的主机系统,一旦出现数据丢失或差错,不仅对系统的个体利益造成难以挽回的经济损失,也将造成极坏的社会影响,从而有可能对整个学校的工作产生负面效果,这是无法估量的损失。
此外,作为整个业务的数据中心和处理中心,因为主机系统故障停机而导致整个系统的瘫痪,同样是无法忍受的情况。
因此我们在主机系统选型和系统配置时,应该充分考虑到系统可靠性在今后系统运行时的重要地位。
作为一名系统规划工作人员,在考虑主机系统建设时:一方面应选择系统运行可靠性高、技术成熟的机型;另一方面,在系统设计和配置中应发挥系统的容错特性,诸如磁带备份,磁盘镜像,以及不可缺少的双机热备份系统。
随着实验室的各方面工作不断发展,信息化所担负的工作将越来越多。
在未来这样的发展情况下,要求我们在确定主机产品时,也要充分保证基于系统本身的扩展性和今后多种行之有效的开发途径。
之所以有这样的要求,首先是系统本身发展的需要。
其次,学校在进行如此大规模的系统投资时,最关心的是系统建成后的投入产出比。
因此在系统建设之初,应首先立足当前应用进行系统配置,以系统扩展性能保证未来发展。
只有采用具有高可扩展性主机系统,才能保证大学的系统投资不至于因日益增长的业务需求而在几年内便不得不面临更新和淘汰的局面。
因此我们要求系统的几个关键组成能够满足机密性、先进性、可靠性、扩充灵活性、开放性及性能价格比和投资保护等方面。
(二)数据库涉密信息系统安全中十分重要的一点就是要保真数据库的安全,保证机密性、完整性、可用性。
为了保证数据库的安全,以下几个数据库安全机制是涉密信息系统所必要的。
(1)标识与认证标识是指用户告诉系统自己的身份证明,向系统输入己的ID和密码是其中最常用的方法。
而认证则是指用户让系统验证自己的身份。
将用户ID与进程或程序相联系是标识的过程,而将用户ID与真正的合法用户相关联是认证过程的任务。
用户在访问DBMS的第一步就是标识与认证。
最近几年来以生物认证,智能卡验证以及口令验证为代表的认证技术发展速度非常快。
(2)访问控制访问控制的过程就是指当主体发出对客体的访问请求时,系统通过判断主休的组和用户的标识符、特权和安全级与客体的安全级、访问权限和存取访问规则。
访问控制有三种类型:强制访问控制(MAC)、自主访问控制(DAC)、基于角色的访问控制(RBAC)。
(3)数据加密数据加密的原理是按照一定的加密算法把原始可读的数据(明文)变换成不能直接识别的数据(密文),这样用户要得到数据信息必须拥有该算法的密码体制和密钥,否则将无法得到该数据信息。
用户在访问数据时,很多数据库产品都具有加密功能,其过程是:首先要知道系统密码,再由系统对其进行译码。
用户可以根据自己的信息的密度来决定是否对数据进行加密存储。
(4)审计功能在审计日志中记录了与数据库安全性有关的一切操作记录。
系统安全员通过检测审计记录就可以掌握数据库的访问和操作状况。
通过审计数据就能够发现检测内部和外部攻击者非法访问活动,重新找出造成系统出现状况的事件,来分析发现系统存在的安全漏洞,找出相关的非法入侵者。
(5)数据备份数据备份是有效避免数据丢失的一种手段,一旦系统受到不可恢复的攻击或瘫痪时,采用了数据备份技术后就可以利用已备份的数据来恢复被破坏的信息,可以从最大程度上减少系统的风险。
考虑到敏感数据分布于涉密信息系统的各个服务器,作者指定了专门用于管理数据备份和恢复的服务器,通过备份和恢复系统软件的使用,实现数据的在线二级备份:完全备份结合增量备份;定期将敏感数据的完全备份拷贝到离线存储介质,如:磁带或移动硬盘。
这些离线存储介质保存到安全的远程仓库。
