信息安全技术应用指南

1）信息安全

信息安全（Information Security）是指为数据处理系统而采取的技术的和管理的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露。这里面既包含了层面的概念，其中计算机硬件可以看作物理层面，软件可以看作运行层面，再就是数据层面；又包含了属性的概念，其中破坏涉及的是可用性，更改涉及的是完整性，显露涉及的是机密性。

2）信息安全技术

信息安全技术是指保证己方正常获取、传递、处理和利用信息，而不被无权享用的他方获取和利用己方信息的一系列技术的统称。

3）信息安全技术的组成

（1）信息保密技术

信息保密技术是利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护以防止泄露的技术。保密通信、计算机密钥、防复制软盘等都属于信息保密技术。信息保密技术是保障信息安全最基本、最重要的技术，一般采用国际上公认的安全加密算法实现。如目前世界上被公认的最新国际密码算法标准AES，就是采用128、192、256 比特长的密钥将128 比特长的数据加密成128 比特的密文技术。在多数情况下，信息保密被认为是保证信息机密性的唯一方法，其特点是用最小的代价来获得最大的安全保护。

（2）信息确认技术

信息确认技术是通过严格限定信息的共享范围来防止信息被伪造、篡改和假冒的技术。通过信息确认，应使合法的接收者能够验证他所收到的信息是否真实；使发信者无法抵赖他发信的事实；使除了合法的发信者之外，别人无法伪造信息。一个安全的信息确认方案应该做到以下几点：①合法的接收者能够验证他收到的信息是否真实；②发信者无法抵赖自己发出的信息；③除合法发信者外，别人无法伪造消息；④当发生争执时可由第三人仲裁。按照其具体目的，信息确认系统可分为消息确认、身份确认和数字签名。如当前安全系统所采用的DSA签名算法，就可以防止别人伪造信息。

（3）网络控制作用

常用的网络控制技术包括防火墙技术、审计技术、访问控制技术和安全协议等。其中，防火墙技术是一种既能够允许获得授权的外部人员访问网络，又能够识别和抵制非授权者访问网络的安全技术，起到指挥网上信息安全、合理和有序流动的作用。审计技术能自动记录网络中机器的使用时间、敏感操作和违纪操作等，是对系统事故分析的主要依据之一。访问控制技术是能识别用户对其信息库有无访问的权利，并对不同的用户赋予不同的访问权利的一种技术。访问控制技术还可以使系统管理员跟踪用户在网络中的活动，及时发现并拒绝“黑客”的入侵。安全协议则是实现身份鉴别、密钥分配、数据加密等安全的机制。整个网络系统的安全强度实际上取决于所使用的安全协议的安全性。

4）信息安全技术在数字环保中的应用

（1）确保物理层安全

信息安全技术可确保物理安全。物理安全是保护计算机网络设备、设施以及其他媒体免遭水灾、火灾等环境事故以及人为操作失误或错误和各种计算机犯罪行为导致的破坏过程。网络的物理安全是整个网络系统安全的前提。网络物理层的信息安全风险包括设备被盗、被毁坏，链路老化，被有意或者无意地破坏，因电子辐射造成信息泄露，设备意外故障、停电以及火灾、水灾等自然灾害。针对各种信息安全风险，网络的物理层安全主要包括环境安全、设备安全和线路安全。

（2）确保网络层安全

信息安全技术可确保网络安全。网络安全风险包括数据传输风险、重要数据被破坏的风险、网络边界风险和网络设备的安全风险。信息安全技术可以在内网与外网之间实现物理隔离或逻辑隔离，在外网的入口处配置网络入侵检测设备，设置抗拒绝服务网关，用虚拟局部网络保障内网中敏感业务和数据安全，构建VPN 网络实现信息传输的保密性、完整性和不可否认性，设置网络安全漏洞扫描和安全性能评估设备，并能设置功能强大的网络版的反病毒系统。

（3）确保系统层安全(www.xing528.com)

信息安全技术可确保系统安全。系统安全风险是系统专用网络采用的操作系统、数据库及相关商用产品的安全漏洞和病毒进行威胁。系统专用网络通常采用的操作系统本身在安全方面考虑较少，服务器、数据库的安全级别较低，存在一些安全隐患。同时病毒也是系统安全的主要威胁，所有这些都造成了系统安全的脆弱性。为确保系统安全，信息安全技术可将应用服务器、网络服务器和数据库服务器等各类计算机的操作系统设置成安全级别高、可控的操作系统，对各类计算机进行认证配置，按系统的要求开发统一的身份认证系统、统一授权与访问控制系统和统一安全审计与日志管理系统，及时发现“黑客”对主机的入侵行为，并能设置功能强大的网络版的反病毒系统，实时检杀病毒。

（4）确保应用层安全

信息安全技术可确保应用层安全。应用层安全风险包括身份认证漏洞和万维网服务漏洞。信息安全技术可采用身份认证技术、防病毒技术以及对各种应用服务的安全性增强配置服务来保障网络系统在应用层的安全，可建立统一的身份认证和授权管理系统，可提供加密机制和数字签名机制，并能建立安全邮件系统及安全审计和日志管理系统。

5）信息安全相关法律

①《互联网信息服务管理办法》2000 年9 月25 日出台。

②《计算机信息网络国际联网安全保护管理办法》2011 年1 月8 日起执行。

③《信息网络传播权保护条例》2013 年3 月1 日起执行。

④《中华人民共和国网络安全法》由全国人民代表大会常务委员会于2016 年11 月7 日发布，自2017 年6 月1 日起施行。

⑤《信息安全技术个人信息安全规范》（GB／T 35273—2017）国家标准正式发布，该标准是推荐性国家标准，将于2018 年5 月1 日正式实施。

上述法律法规和部门规章制度，已形成较为完整的法律体系和行政法规，并在实践中不断加以完善和改进。

6）保护个人隐私

现代人日常生活都离不了各种手机APP 的使用，购物、快递、社交、娱乐和生活几乎都在手机上完成，除了提高个人思想觉悟外，请在日常生活中注意以下情况。

（1）使用网络尽量注意不外泄个人真实信息

如不要随便透露家庭住址、联系方式和身份证信息等，网络环境尽量不用实名信息，特殊情况除外，关闭对陌生人开放的隐私功能。社交产品不用实名，或不加陌生人。

（2）采取适当措施保护个人隐私

如计算机和隐私文件，要设置强度合适的密码进行加密处理，计算机上安装防火墙和杀毒软件，防止木马上传你的资料。网络上发布的内容也要进行加密处理。使用别人的电脑，使用完后，要消除历史记录和相关登录信息，防止被人利用。