来源:期刊VIP网所属分类:计算机信息管理发布时间:2017-04-21浏览:次
随着信息化水平的不断提高,计算机技术的飞速发展,人们对于其运用率逐渐加大,信息系统安全保护越来越多人重视。《国际化工信息》是中国化工信息中心主办、国家工程技术图书馆协办的综合性化工科技期刊。《国际化工信息》自创刊以来,便以为企业,政府,学校,以及科研、管理、商务人员提供信息服务为方向,以战略性和信息性为特色,跟踪监测世界化学工业发展动向,报道主要国家/地区化学工业的方针政策,剖析跨国公司的经营管理、资产运作和科研理念,研究分析世界化学工业的热点和焦点。下面是小编精心推荐的信息系统安全保护技术论文,希望你能有所感触!
信息系统安全保护技术论文一:浅谈会计信息系统的安全保护
会计信息系统的特点之一就是连续、系统、全面、综合地对企业的经济业务进行反映,这使得集计算机及通讯技术为一体的会计信息系统的安全显得格外重要。因此,必须对系统的安全进行分析研究,建立起必要的内部、外部安全制度,以抵抗来自系统内外的对系统硬件、软件的各种干扰和破坏。只有严格的安全措施,才能保障会计信息系统实现连续而全面地进行业务处理。
根据会计信息系统的特点,对其安全保护分析可分为两个方面来讨论,即影响会计信息系统安全的主要因素,会计信息系统的安全保护措施。
一、影响会计信息系统安全的主要因素
影响会计信息系统正常运行的因素很多,主要归纳为以下三个方面:
(一)自然因素
火灾、水灾、地震等自然灾害对系统软硬件设备的破坏,对会计数据的安全造成威胁。如:高温会影响磁介质的性能,从而造成数据的丢失。
(二)设备因素
1、硬件因素。计算机硬件技术性能不可靠或故障对会计信息系统造成破坏性影响。如:硬盘损坏可能使存在其中的会计信息荡然无存,服务器一旦出现问题,可能会导致整个网络瘫痪等等。
2、软件因素。一般说系统软件运行稳定,故障不多,而且一般不会破坏系统信息,问题主要来自应用软件,因为在应用软件的研制过程中,由于研制人员所考虑的问题不是十分的全面、科学,致使实际工作中的一些情况与之不能吻合,容易出现差错。如:现有的大多数会计应用软件系统在设计、开发阶段,普遍存在着系统需求中安全需求少、软件设计重功能轻安全的现象,软件设计选用的语言和数据库考虑安全性能少,以至软件投入运行后暴露诸多安全隐患,如数据库呈开放状态、易于打开、应用系统软件存在安全问题等。
3、人为因素。一是计算机维护不当因素:二是实际业务操作不规范因素。主要表现在具体制订的措施不严,导致玩忽职守的现象,或会计人员素质不高:三是为达到某种非法目的而对系统进行的蓄意破坏;四是通过非法修改程序达到作弊的目的;五是通过破译口令非法进入计算机信息系统进行犯罪活动。
二、会计信息系统的安全保护措施
(一)针对自然因素的保护措施
将计算机系统安放在安全可靠的地方,防止天灾人祸的物理破坏。要注意提供一个良好的机房环境条件:如防潮、防水、防尘、防震、防静电,机房的环境温度宜在15-30℃之间。
(二)针对设备因素的保护措施
1、配备可靠的硬件资源。会计信息系统有以下几种特性:保密性、连续性、历史性。从保密性的角度看:在网络上应配置具有较强功能的防火墙设备。从连续性及历史性的角度来看,应有足够的保证系统数据安全存储的配置。
2、配备具有后继支持的软件。对于会计软件,其后继支持主要在于具有升级能力和处理突发事件能力。这些能力当然应由系统管理者负责实现。由于操作平台的更新,如DOS更新成Window平台,单机系统更新成网络系统,会计软件势必作相应的升级,才能保证整个系统畅通运行。另外系统中的数据遭病毒的破坏之类的问题,也需靠软件的后继支持来解决。
3、建立安全的运行环境。安全的环境设计分为两个部分。一部分为系统所处几何空间的设计。如:某人办公桌的位置安排,在哪设置防盗门,在机房设置缓冲间等。第二部分为计算机网络环境的设计。如:保密隧道、操作权限、系统监控。
4、加强数据的保密。数据保密的方法可以采用供销码核对、特征识别、存取权限等,另外还可以考虑硬件加密、软件狗或把系统作在芯片上加密等机器保密措施和专门的管理制度等。
5、建立防病毒措施。可以采用如下控制措施:对不需要本地硬盘和软盘的工作站,尽量采用无盘工作站;在网络服务上采用防病毒卡或芯片等硬件,能有效防治病毒:财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力;对外来软件和传输的数据必须经过病毒检查,在业务系统严禁使用游戏软件;使用正版的防毒杀毒软件,系统中,应不断地升级防病毒软件或采用新的防病毒软件来御防病毒的侵害。
(三)针对人为因素的保护措施
1、提高员工素质。员工都应该接受所用系统在安全方面的教育,保持警惕,掌握处理系统的突发紧急情况以及如何安全升级系统等技术。
2、建立完善的管理机制,加强会计信息系统的内部控制。具体可以采取如下措施:第一,建立严密科学的计算机风险控制系统,规范操作制度,即通过电子数据处理系统录入会计数据时,必须保证只有在识别特殊密码状态下才能进入该系统。修改会计记录必须履行必要的手续,得到适当的授权,并详细记录在案,严禁一人多岗操作。加强对账务处理的事前、事中、事后监督。第二,对软件开发全过程实行严格管理。严格划分软件设计、业务操作和技术维护诸方面的责任。应用软件必须经过业务、科技、监察、审计等部门的试验运行后。方可正式投入运行。第三,计算机操作人员和技术管理人员的职责要严格界定,严禁计算机专业管理人员直接接触实际业务操作。
3、加快计算机立法进程。我国目前还没有专门的Internet网络会计电算化安全法律,因此,我国Internet网络会计电算化安全立法应坚持在立足我国国情前提下参照国际有关示范法的原则,制定和完善专门的Internet网络会计电算化安全法,从而使我国Internet网络会计电算化真正走上健康发展的法制化轨道。
综上所述,在复杂多变的会计信息系统中,只有充分了解影响其安全的主要因素并配合有效的安全控制,才有可能构造出安全的系统。在安全系统的基础上,我国的会计电算化事业方能得到蓬勃发展。
信息系统安全保护技术论文二:信息系统安全威胁及等级保护
1 信息化发展背景
1.1 全球背景
信息化是充分利用信息技术,开发利用信息资源,促进信息交流和知识共享,提高经济增长质量,推动经济社会发展转型的历史进程。随着信息技术发展,信息化对经济社会发展的影响更加深刻。信息资源日益成为重要生产要素、无形资产和社会财富。与此同时,信息安全的重要性也与日俱增,成为各国面临的共同挑战。
1.2 我国目标
我国信息化发展战略概括为:以信息化促进工业化,以工业化带动信息化,走出中国特色的信息化道路。信息化是当今世界发展的大趋势,是推动经济社会变革的重要力量。到2020年,我国信息化发展的战略目标是:综合信息基础设施基本普及,信息技术自主创新能力显著增强,信息产业结构全面优化,国家信息安全保障水平大幅提高,国民经济和社会信息化取得明显成效,新型工业化发展模式初步确立,国家信息化发展的制度环境和政策体系基本完善,国民信息技术应用能力显著提高,为迈向信息社会奠定坚实基础。
2 等级保护标准及其具体范围
信息安全等级保护是指对国家安全、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按等级管理,对信息系统中发生的信息安全事件分等级响应、处置。
2.1 美国可信计算机安全评价标准
美国可信计算机安全评价标准(Trusted Computer System Evaluation Criteria,TCSEC),该标准是世界范围内计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC最初只是军用标准,后来延至民用领域。TCSEC将计算机系统的安全划分为4个等级、7个级别。
D类安全等级:D类安全等级只包括D1一个级别。D1的安全等级最低。
C类安全等级:该类安全等级能够提供审计的保护,并为用户的行动和责任提供审计能力。C类安全等级可划分为C1和C2两类。
B类安全等级:B类安全等级可分为B1、B2和B3三类。B类系统具有强制性保护功能。
A类安全等级:A系统的安全级别最高。目前,A类安全等级只包含A1一个安全类别。A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。
2.2 欧洲的安全评价标准
欧洲的安全评价标准ITSEC(Information Technology Security Evaluation Criteria)是英国、法国、德国和荷兰制定的IT安全评估准则,是欧洲多国安全评价方法的综合产物,应用领域为军队、政府和商业。该标准将安全概念分为功能与评估两部分。功能准则从F1~F10共分10级。1~5级对应于TCSEC的D到A。F6至F10级分别对应数据和程序的完整性、系统的可用性、数据通信的完整性、数据通信的保密性以及机密性和完整性的网络安全。
与TCSEC不同,它并不把保密措施直接与计算机功能相联系,而是只叙述技术安全的要求,把保密作为安全增强功能。另外,TCSEC把保密作为安全的重点,而ITSEC则把完整性、可用性与保密性作为同等重要的因素。ITSEC定义了从E0级(不满足品质)到E6级(形式化验证)的7个安全等级,对于每个系统,安全功能可分别定义。
2.3 我国计算机信息系统安全保护等级划分准则
我国根据世界范围内信息安全及计算机系统安全评估等技术的发展,并结合我国自身情况,制定并颁发了我国计算机信息系统安全保护等级划分准则(GB 17859-1999),在该准则中将信息系统分为下面五个等级:
第一级:用户自主保护级;
第二级:系统审计保护级;
第三级:安全标记保护级;
第四级:结构化保护级;
第五级:访问验证保护级。
3 风险分析和安全保护措施
3.1 漏洞、威胁、风险
在实际中,计算机信息系统在确定保护等级之前,首先要对该计算机信息系统进行风险分析。风险是构成安全基础的基本观念,风险是丢失需要保护的资产的可能性。如果没有风险就不需要安全。威胁是可能破坏信息系统环境安全的行动或事件。漏洞是各种攻击可能的途径。风险是威胁和漏洞的综合结果。没有漏洞的威胁没有风险,没有威胁的漏洞也没有风险。识别风险除了识别漏洞和威胁之外,还应考虑已有的策略和预防措施。识别漏洞应寻找系统和信息的所有入口及分析如何通过这些入口访问系统和信息。识别威胁是对目标、动机及事件的识别。一旦对漏洞、威胁以及预防措施进行了识别,就可确定该计算机信息系统的风险。综合这些信息,开发相应的风险管理项目。风险永远不可能完全去除,风险必须管理。
风险分析是对需要保护的资产及其受到的潜在的安全威胁的鉴别过程。风险是威胁和漏洞的组合。正确的风险分析是保证计算机信息系统的网络环境及其信息安全及其重要的一步。风险分析始于对需要保护的资产(物理资源、知识资源、时间资源、信誉资源等)的鉴别以及对资产威胁的潜在攻击源的分析。采用等级保护策略可以有效的降低各种资产受危害的潜在代价以及由于采取安全措施付出的操作代价。一个性能良好的安全系统结构和安全系统平台,可以以低的安全代价换取高的安全强度。 3.2 一种保护重要秘密安全的方法
在具体实施过程中,根据计算机信息系统不同的安全等级要求,制定不同的等级保护策略,用最小的代价来保证计算机信息系统安全。在一些重要情况下,为了确保安全与万无一失,都必须由两人或多人同时参与才能生效,这时就需要将秘密分给多人掌管,并且必须有一定数目的掌管秘密的相关人员同时到场才能恢复这一秘密。针对这种特别重大和及其敏感的信息可采用秘密分割门限方案来确保安全。
设秘密m被分成n个部分的信息,每一部分信息称为一个子密钥,由一个参与者持有,使得:
①由k(k ②由少于k个参与者所持有的部分信息无法重构消息m;
称这种方案为(k,n)秘密分割门限方案,k称为方案的门限值。
如果一个参与者或一组未经授权的参与者在猜测秘密m时,并不比局外人猜测该秘密m时有优势。
③由少于k个参与者所持有的部分信息得不到秘密m的任何信息。
则称这个方案是完整的,即(k,n)秘密分割门限方案是完整的。
其中最具代表性和广泛应用的门限方案是基于中国剩余定理的门限方案。
通过这种秘密分割的方法就能达到秘密多人共享,多人共同掌管的局面,确保该信息安全。这种方案也可以用于特别的(下转第73页)(上接第78页)重要部位和场所的出入控制等方面。
3.3 具体措施
针对企业信息系统,应当健全针对各单位或业务部门在日常工作中产生和接触的信息的敏感程度不同,区分等级,分门别类,坚持积极防御、综合防范,探索和把握信息化与信息安全的内在规律,主动应对信息安全挑战,力争做到办公方便与安全保密同时兼顾,实现信息化与信息安全协调发展,保证企业信息安全。
加强信息安全风险评估工作。建设和完善信息安全监控体系,提高对网络安全事件应对和防范能力,防止有害信息传播。高度重视信息安全应急处置工作,健全完善信息安全应急指挥和安全通报制度,不断完善信息安全应急处置预案。从实际出发,促进资源共享,重视灾难备份建设,增强信息基础设施和重要信息系统的抗毁能力和灾难恢复能力。
4 结束语
随着信息安全事件的频繁曝光,信息安全越来越受到人们的重视。为此,越来越多的工作人员投身到安全领域的研究之中。然而当今的现状却是各种各样的不安全事件层出不穷,各类攻击及其变种也在不断发展。所有的这些就要求我们必须更加努力地投入到工作中去。不仅要针对一些已经出现且危害较大的一些安全问题提出相应的解决方案,还应该站在安全领域的前沿,积极地投身去防御各种可能会引发安全问题的漏洞及脆弱点。只有这样我们才能更好地保障人们放心的使用信息技术的发展带来的便捷。
【参考文献】
[1]胡道元,闵京华.网络安全[M].清华大学出版社,2007.
[2]TCSEC全称与安全等级分类[OL].
[3] [4]杨波.现代秘密学[M].2版.清华大学出版社,2007.
[5]CC国际通用标准[OL].
[6]2006-2020年国家信息化发展战略[OL].
期刊VIP网,您身边的高端学术顾问
文章名称: 信息系统安全保护技术论文(2篇)
文章地址: http://www.qikanvip.com/jisuanjixinxiguanli/41655.html
