前言：想要寫出一篇令人眼前一亮的文章嗎？我們特意為您整理了5篇信息安全范文，相信會為您的寫作帶來幫助，發(fā)現(xiàn)更多的寫作思路和靈感。

信息安全范文第1篇

關(guān)鍵詞：信息安全；信息安全等級

中圖分類號：TP393.08文獻(xiàn)標(biāo)識碼：A文章編號：16727800（2011）012014502

作者簡介：張新豪（1982-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育中心助教，研究方向為計算機應(yīng)用；郭喜建（1978-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育中心助教，研究方向為計算機應(yīng)用；宋朝（1983-），男，河南鄭州人，黃河科技學(xué)院現(xiàn)代教育技術(shù)中心職員，研究方向為信息服務(wù)質(zhì)量管理。1網(wǎng)絡(luò)信息安全

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中數(shù)據(jù)受到保護(hù)，不因偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)、可靠、正常地運行，信息服務(wù)不中斷。信息安全是一門設(shè)計計算機科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。從廣義上說，設(shè)計信息的保密性、完整性、可用性、真實性和可控性的相關(guān)技術(shù)和理論都是信息安全的研究領(lǐng)域。

信息安全要實現(xiàn)的目標(biāo)主要有：①真實性：對信息的來源進(jìn)行判斷，能對偽造來源的信息予以鑒別；②保密性：保證機密信息不被竊聽，或竊聽者不能了解信息的真實含義；③完整性：保證數(shù)據(jù)的一致性，防止數(shù)據(jù)被非法用戶篡改；④可用性：保證合法用戶對信息和資源的使用不會被不正當(dāng)?shù)木芙^；⑤不可抵賴性：建立有效的責(zé)任機制，防止用戶否認(rèn)其行為；⑥可控制性：對信息的傳播及內(nèi)容具有控制能力；⑦可審查性：對出現(xiàn)的網(wǎng)絡(luò)安全故障為您能夠提供調(diào)查的依據(jù)和手段。

2網(wǎng)絡(luò)信息安全性等級

2.1信息安全等級保護(hù)

信息安全等級保護(hù)是指對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統(tǒng)分等級實行安全保護(hù)，對信息系統(tǒng)中使用的信息安全產(chǎn)品實行按等級管理，對信息系統(tǒng)中發(fā)生的信息安全事件分等級響應(yīng)、處置。

信息安全等級保護(hù)制度是國家信息安全保障工作的基本制度、基本策略和基本方法，是促進(jìn)信息化健康發(fā)展，維護(hù)國家安全、社會秩序和公共利益的根本保障。國務(wù)院法規(guī)和中央文件明確規(guī)定，要實行信息安全等級保護(hù)，重點保護(hù)基礎(chǔ)信息網(wǎng)絡(luò)和關(guān)系國家安全、經(jīng)濟(jì)命脈、社會穩(wěn)定等方面的重要信息系統(tǒng)，抓緊建立信息安全等級保護(hù)制度。信息安全等級保護(hù)是當(dāng)今發(fā)達(dá)國家保護(hù)關(guān)鍵信息基礎(chǔ)設(shè)施、保障信息安全的通行做法，也是我國多年來信息安全工作經(jīng)驗的總結(jié)。開展信息安全等級保護(hù)工作不僅是保障重要信息系統(tǒng)安全的重大措施，也是一項事關(guān)國家安全、社會穩(wěn)定、國家利益的重要任務(wù)。

2.2DoD可信計算機系統(tǒng)評估準(zhǔn)則

1983年，美國國家計算機中心發(fā)表了著名的“可信任計算機標(biāo)準(zhǔn)評價準(zhǔn)則”（Trusted Computer Standards Evaluation Criteria，簡稱TCSEC，俗稱橘皮書）。TCSEC是在20世紀(jì)70年代的基礎(chǔ)理論研究成果Bell & La Padula模型基礎(chǔ)上提出的，其初衷是針對操作系統(tǒng)的安全性進(jìn)行評估。1985年，美國國防部計算機安全中心（簡稱DoDCSC）對TCSEC文本進(jìn)行了修訂，推出了“DoD可信計算機系統(tǒng)評估準(zhǔn)則，DoD5200.28-STD”。

美國國防部計算機安全中心（DoDCSC）提出的安全性評估要求有：①安全策略：必須有一個明確的、確定的由系統(tǒng)實施的安全策略；②識別：必須唯一而可靠地識別每個主體，以便檢查主體/客體的訪問請求；③標(biāo)記：必須給每個客體（目標(biāo)）作一個“標(biāo)號”，指明該客體的安全級別。這種結(jié)合必須做到對該目標(biāo)進(jìn)行訪問請求時都能得到該標(biāo)號以便進(jìn)行對比；④可檢查性：系統(tǒng)對影響安全的活動必須維持完全而安全的記錄。這些活動包括系統(tǒng)新用戶的引入、主體或客體的安全級別的分配和變化以及拒絕訪問的企圖；⑤保障措施：系統(tǒng)必須含實施安全性的機制并能評價其有效性；⑥連續(xù)的保護(hù)：實現(xiàn)安全性的機制必須受到保護(hù)以防止未經(jīng)批準(zhǔn)的改變。

根據(jù)以上6條要求，“可信計算機系統(tǒng)評估準(zhǔn)則”將計算機系統(tǒng)的安全性分為A、B、C、D 4個等級，A、B3、B2、B1、C2、C1、D 7個級別，如表1所示。

表1網(wǎng)絡(luò)安全性標(biāo)準(zhǔn)（DoD5200.28――STD）

等級名稱主要特征A可驗證的安全設(shè)計形式化的最高級描述和驗證，形式化的隱密通道分析，非形式化的代碼一致性證明B3安全域機制安全內(nèi)核，高抗?jié)B透能力B2結(jié)構(gòu)化安全保護(hù)設(shè)計系統(tǒng)時必須有一個合理的總體設(shè)計方案，面向安全的體系結(jié)構(gòu)，遵循最小授權(quán)原則，較好的抗?jié)B透能力，訪問控制應(yīng)對所有的主體和客體提供保護(hù)，對系統(tǒng)進(jìn)行隱蔽通道分析B1標(biāo)號安全保護(hù)除了C2級別的安全需求外，增加安全策略模型，數(shù)據(jù)標(biāo)號（安全和屬性），托管訪問控制C2受控的訪問環(huán)境存取控制以用戶為單位廣泛的審計C1選擇的安全保護(hù)有選擇的存取控制，用戶與數(shù)據(jù)分離，數(shù)據(jù)的保護(hù)以用戶組為單位D最小保護(hù)保護(hù)措施很少，沒有安全功能2.3計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則

在我國，以《計算機信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》為指導(dǎo)，根據(jù)信息和信息系統(tǒng)在國家安全、經(jīng)濟(jì)建設(shè)、社會生活中的重要程度，針對信息的保密性、完整性和可用性要求及信息系統(tǒng)必須達(dá)到的基本的安全保護(hù)水平等因素，將信息和信息系統(tǒng)的安全保護(hù)分為5個等級。

第一級：用戶自主保護(hù)級。本級的計算機信息系統(tǒng)可信計算基通過隔離用戶與數(shù)據(jù)，使用戶具備自主安全保護(hù)的能力。它為用戶提供可行的手段，保護(hù)用戶和用戶組信息，避免其他用戶對數(shù)據(jù)的非法讀寫與破壞。

第二級：系統(tǒng)審計保護(hù)級。與用戶自主保護(hù)級相比，本級的計算機信息系統(tǒng)可信計算基實施了粒度更細(xì)的自主訪問控制，它通過登錄規(guī)程、審計安全性相關(guān)事件和隔離資源，使用戶對自己的行為負(fù)責(zé)。

第三級：安全標(biāo)記保護(hù)級。本級的計算機信息系統(tǒng)可信計算基具有系統(tǒng)審計保護(hù)級所有功能。具有準(zhǔn)確地標(biāo)記輸出信息的能力，消除通過測試發(fā)現(xiàn)的任何錯誤。

第四級：結(jié)構(gòu)化保護(hù)級。本級的計算機信息系統(tǒng)可信計算基建立于一個明確定義的形式化安全策略模型之上，將第三級系統(tǒng)中的自主和強制訪問控制擴展到所有主體與客體，同時考慮隱蔽通道。關(guān)于可信計算基則結(jié)構(gòu)化為關(guān)鍵保護(hù)元素和非關(guān)鍵保護(hù)元素，必須明確定義可信計算基的接口。加強了鑒別機制，增強了配置管理控制，具有相當(dāng)?shù)目節(jié)B透能力。

第五級：訪問驗證保護(hù)級。本級的計算機信息系統(tǒng)可信計算基滿足訪問監(jiān)控器需求。訪問監(jiān)控器仲裁主體對客體的全部訪問。訪問監(jiān)控器本身是抗篡改的，信息系統(tǒng)支持安全管理員職能，具有擴充審計機制，提供系統(tǒng)恢復(fù)機制。系統(tǒng)具有很高的抗?jié)B透能力。

3結(jié)束語

信息安全等級保護(hù)是國家信息安全保障的基本制度、基本策略、基本方法，是維護(hù)國家信息安全的根本保障。通過開展信息安全等級保護(hù)工作，可以有效地解決我國信息安全面臨的主要問題，將有限的財力、人力、物力投入到重要信息系統(tǒng)的安全保護(hù)中去。參考文獻(xiàn)：

[1]趙鵬，李劍.國內(nèi)外信息安全發(fā)展新趨勢[J].信息網(wǎng)絡(luò)安全,2011(7).

[2]肖國煜.信息系統(tǒng)等級保護(hù)測評實踐[J].信息網(wǎng)絡(luò)安全,2011(7).

[3]馬力，畢馬寧.安全保護(hù)模型與等級保護(hù)安全要求關(guān)系的研究[J].信息網(wǎng)絡(luò)安全,2011(6).

Research on Network Information Security

and Information Security Level

信息安全范文第2篇

安全防范設(shè)施要投入到位為加強校園計算機信息安全管理工作,在硬件設(shè)施上要舍得投入,要做到事先花錢買安全,不要事后花錢買教訓(xùn)。①配好用好監(jiān)控設(shè)備。當(dāng)今社會,監(jiān)控設(shè)備可以說是無處不在,無論你走到哪里,你的身影就會留在那里的監(jiān)控設(shè)備中并保留一段時間。近年來監(jiān)控設(shè)備之所以如此普及,最主要的原因是監(jiān)控設(shè)備可以提供適時的圖像,以便發(fā)生事故問題時可以對現(xiàn)場發(fā)生的情況做到一目了然。所以,為了加強校園計算機信息安全,必須配好用好監(jiān)控設(shè)備,以防計算機信息硬件設(shè)備的丟失。

如果硬件不安全了,其中的信息自然也就沒有安全可言。當(dāng)然,配置的監(jiān)控設(shè)備不一定能夠全部完好,也不一定全天候在工作,還是有不法分子可利用和趁機行事的空隙和空間。但是,不能因為一個事物有不足,就認(rèn)為它不起作用,我們應(yīng)該看到,目前,監(jiān)控發(fā)揮的作用是其他方法手段所不能替代的,并且大部分監(jiān)控設(shè)備在大部分時間還是起作用的。

用好防盜設(shè)施，計算機信息安全只配置監(jiān)控來防護(hù)還是不能百分之百安全,所以還要用好防盜設(shè)施,防盜設(shè)施包括多個方面。一是硬件防盜,如門禁系統(tǒng)、自動報警系統(tǒng)、電磁屏蔽和干擾系統(tǒng)等等;二是軟件防盜,如設(shè)置開機密碼、登錄密碼和屏保密碼,防使用和復(fù)制軟件以及其他數(shù)據(jù)認(rèn)證系統(tǒng)等等。這些防盜設(shè)施有必要配備和使用,多一道門檻就多一層安全,多一次驗證就多一份保險。當(dāng)然,在使用這些防盜設(shè)施時,要使用通過安全部門認(rèn)證的有效設(shè)施和軟件,并盡可能確保安全、確保使用方便。否則太過于繁瑣的防盜設(shè)施可能引起使用人員的諸多反感,漸漸從心里產(chǎn)生抵觸情緒,這樣的使用可能因防盜設(shè)施太多而影響工作,自然最終不能堅持下去。③監(jiān)督使用人員。如果校院計算機里有需要保守的信息,除加強其他設(shè)施措施外,還要加強對計算機使用和管理人員的監(jiān)督。計算機信息安全,說白了就是人們思想的安全,為此,要加強監(jiān)督使用和管理人員,對計算機人員,要進(jìn)行登記、注冊、簽訂安全責(zé)任書,確保使用和管理人員保護(hù)校院計算機信息安全,確保計算機信息,不為別有用心的人所利用。

信息安全范文第3篇

論文提要：當(dāng)今世界已進(jìn)入了信息化時代，信息化和信息產(chǎn)業(yè)發(fā)展水平已成為衡量一個國家綜合國力的重要標(biāo)準(zhǔn)。黨的十七大明確提出了一條“以信息化帶動工業(yè)化，以工業(yè)化促進(jìn)信息化”的具有中國特色的信息化道路。信息資源隨之成為社會資源的重要組成部分，但由于信息資源不同于其他資源的特殊性質(zhì)，如何保證信息的安全性和保密性成為我國信息化建設(shè)過程中需要解決的重要問題。

一、信息化的內(nèi)涵、信息資源的性質(zhì)及信息的安全問題

“信息化”一詞最早是由日本學(xué)者于20世紀(jì)六十年代末提出來的。經(jīng)過40多年的發(fā)展，信息化已成為各國社會發(fā)展的主題。

信息作為一種特殊資源與其他資源相比具有其特殊的性質(zhì)，主要表現(xiàn)在知識性、中介性、可轉(zhuǎn)化性、可再生性和無限應(yīng)用性。由于其特殊性質(zhì)造成信息資源存在可能被篡改、偽造、竊取以及截取等安全隱患，造成信息的丟失、泄密，甚至造成病毒的傳播，從而導(dǎo)致信息系統(tǒng)的不安全性，給國家的信息化建設(shè)帶來不利影響。因此，如何保證信息安全成為亟須解決的重要問題。

信息安全包括以下內(nèi)容：真實性，保證信息的來源真實可靠；機密性，信息即使被截獲也無法理解其內(nèi)容；完整性，信息的內(nèi)容不會被篡改或破壞；可用性，能夠按照用戶需要提供可用信息；可控性，對信息的傳播及內(nèi)容具有控制能力；不可抵賴性，用戶對其行為不能進(jìn)行否認(rèn)；可審查性，對出現(xiàn)的網(wǎng)絡(luò)安全問題提供調(diào)查的依據(jù)和手段。與傳統(tǒng)的安全問題相比，基于網(wǎng)絡(luò)的信息安全有一些新的特點：

一是由于信息基礎(chǔ)設(shè)施的固有特點導(dǎo)致的信息安全的脆弱性。由于因特網(wǎng)與生俱來的開放性特點，從網(wǎng)絡(luò)架到協(xié)議以及操作系統(tǒng)等都具有開放性的特點，通過網(wǎng)絡(luò)主體之間的聯(lián)系是匿名的、開放的，而不是封閉的、保密的。這種先天的技術(shù)弱點導(dǎo)致網(wǎng)絡(luò)易受攻擊。

二是信息安全問題的易擴散性。信息安全問題會隨著信息網(wǎng)絡(luò)基礎(chǔ)設(shè)施的建設(shè)與因特網(wǎng)的普及而迅速擴大。由于因特網(wǎng)的龐大系統(tǒng)，造成了病毒極易滋生和傳播，從而導(dǎo)致信息危害。

三是信息安全中的智能性、隱蔽性特點。傳統(tǒng)的安全問題更多的是使用物理手段造成的破壞行為，而網(wǎng)絡(luò)環(huán)境下的安全問題常常表現(xiàn)為一種技術(shù)對抗，對信息的破壞、竊取等都是通過技術(shù)手段實現(xiàn)的。而且這樣的破壞甚至攻擊也是“無形”的，不受時間和地點的約束，犯罪行為實施后對機器硬件的信息載體可以不受任何損失，甚至不留任何痕跡，給偵破和定罪帶來困難。

信息安全威脅主要來源于自然災(zāi)害、意外事故；計算機犯罪；人為錯誤，比如使用不當(dāng)，安全意識差等；“黑客”行為；內(nèi)部泄密；外部泄密；信息丟失；電子諜報，比如信息流量分析、信息竊取等；信息戰(zhàn)；網(wǎng)絡(luò)協(xié)議自身缺陷，等等。

二、我國信息化中的信息安全問題

近年來，隨著國家宏觀管理和支持力度的加強、信息安全技術(shù)產(chǎn)業(yè)化工作的繼續(xù)進(jìn)行、對國際信息安全事務(wù)的積極參與以及關(guān)于信息安全的法律建設(shè)環(huán)境日益完善等因素，我國在信息安全管理上的進(jìn)展是迅速的。但是，由于我國的信息化建設(shè)起步較晚，相關(guān)體系不完善，法律法規(guī)不健全等諸多因素，我國的信息化仍然存在不安全問題。

1、信息與網(wǎng)絡(luò)安全的防護(hù)能力較弱。我國的信息化建設(shè)發(fā)展迅速，各個企業(yè)紛紛設(shè)立自己的網(wǎng)站，特別是“政府上網(wǎng)工程”全面啟動后，各級政府已陸續(xù)設(shè)立了自己的網(wǎng)站，但是由于許多網(wǎng)站沒有防火墻設(shè)備、安全審計系統(tǒng)、入侵監(jiān)測系統(tǒng)等防護(hù)設(shè)備，整個系統(tǒng)存在著相當(dāng)大的信息安全隱患。美國互聯(lián)網(wǎng)安全公司賽門鐵克公司2007年發(fā)表的報告稱，在網(wǎng)絡(luò)黑客攻擊的國家中，中國是最大的受害國。

2、對引進(jìn)的國外設(shè)備和軟件缺乏有效的管理和技術(shù)改造。由于我國信息技術(shù)水平的限制，很多單位和部門直接引進(jìn)國外的信息設(shè)備，并不對其進(jìn)行必要的監(jiān)測和改造，從而給他人入侵系統(tǒng)或監(jiān)聽信息等非法操作提供了可乘之機。3、我國基礎(chǔ)信息產(chǎn)業(yè)薄弱，核心技術(shù)嚴(yán)重依賴國外，缺乏自主創(chuàng)新產(chǎn)品，尤其是信息安全產(chǎn)品。我國信息網(wǎng)絡(luò)所使用的網(wǎng)管設(shè)備和軟件基本上來自國外，這使我國的網(wǎng)絡(luò)安全性能大大減弱，被認(rèn)為是易窺視和易打擊的“玻璃網(wǎng)”。由于缺乏自主技術(shù)，我國的網(wǎng)絡(luò)處于被竊聽、干擾、監(jiān)視和欺詐等多種信息安全威脅中，網(wǎng)絡(luò)安全處于極脆弱的狀態(tài)。

4、信息犯罪在我國有快速發(fā)展趨勢。除了境外黑客對我國信息網(wǎng)絡(luò)進(jìn)行攻擊，國內(nèi)也有部分人利用系統(tǒng)漏洞進(jìn)行網(wǎng)絡(luò)犯罪，例如傳播病毒、竊取他人網(wǎng)絡(luò)銀行賬號密碼等。

5、在研究開發(fā)、產(chǎn)業(yè)發(fā)展、人才培養(yǎng)、隊伍建設(shè)等方面與迅速發(fā)展的形勢極不適應(yīng)。

造成以上問題的相關(guān)因素在于：首先，我國的經(jīng)濟(jì)基礎(chǔ)薄弱，在信息產(chǎn)業(yè)上的投入還是不足，尤其是在核心和關(guān)鍵技術(shù)及安全產(chǎn)品的開發(fā)生產(chǎn)上缺乏有力的資金支持和自主創(chuàng)新意識。其次，全民信息安全意識淡薄，警惕性不高。大多數(shù)計算機用戶都曾被病毒感染過，并且病毒的重復(fù)感染率相當(dāng)高。

除此之外，我國目前信息技術(shù)領(lǐng)域的不安全局面，也與西方發(fā)達(dá)國家對我國的技術(shù)輸出進(jìn)行控制有關(guān)。

三、相關(guān)解決措施

針對我國信息安全存在的問題，要實現(xiàn)信息安全不但要靠先進(jìn)的技術(shù)，還要有嚴(yán)格的法律法規(guī)和信息安全教育。

1、加強全民信息安全教育，提高警惕性。從小做起，從己做起，有效利用各種信息安全防護(hù)設(shè)備，保證個人的信息安全，提高整個系統(tǒng)的安全防護(hù)能力，從而促進(jìn)整個系統(tǒng)的信息安全。

2、發(fā)展有自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，加大信息產(chǎn)業(yè)投入。增強自主創(chuàng)新意識，加大核心技術(shù)的研發(fā)，尤其是信息安全產(chǎn)品，減小對國外產(chǎn)品的依賴程度。

3、創(chuàng)造良好的信息化安全支撐環(huán)境。完善我國信息安全的法規(guī)體系，制定相關(guān)的法律法規(guī)，例如信息安全法、數(shù)字簽名法、電子信息犯罪法、電子信息出版法、電子信息知識產(chǎn)權(quán)保護(hù)法、電子信息個人隱私法、電子信息進(jìn)出境法等，加大對網(wǎng)絡(luò)犯罪和信息犯罪的打擊力度，對其進(jìn)行嚴(yán)厲的懲處。

4、高度重視信息安全基礎(chǔ)研究和人才的培養(yǎng)。為了在高技術(shù)環(huán)境下發(fā)展自主知識產(chǎn)權(quán)的信息安全產(chǎn)業(yè)，應(yīng)大力培養(yǎng)信息安全專業(yè)人才，建立信息安全人才培養(yǎng)體系。

5、加強國際防范，創(chuàng)造良好的安全外部環(huán)境。由于網(wǎng)絡(luò)與生俱有的開放性、交互性和分散性等特征，產(chǎn)生了許多安全問題，要保證信息安全，必須積極參與國際合作，通過吸收和轉(zhuǎn)化有關(guān)信息網(wǎng)絡(luò)安全管理的國際法律規(guī)范，防范來自世界各地的黑客入侵，加強信息網(wǎng)絡(luò)安全。

信息安全范文第4篇

（一）檔案信息制度不健全帶來的信息安全隱患

在檔案信息化突飛猛進(jìn)的背景下，相關(guān)的檔案信息安全管理制度卻未及時地建立起來，給別有用心的人竊取和不當(dāng)利用檔案信息以可乘之機，嚴(yán)重危害著檔案信息的安全。比如，有的檔案管理單位解答了檔案利用者的問題，因為認(rèn)為該問題具有代表性，就將該問題放入常見問題資訊庫中。若該檔案管理單位缺乏檔案信息的保護(hù)制度和保密意識，沒有對咨詢?nèi)说膫€人信息進(jìn)行必要的屏蔽和處理，可能會造成用戶信息的泄露，侵犯檔案利用者的隱私權(quán)。再比如，有的地市住房公積金管理網(wǎng)絡(luò)系統(tǒng)由于缺乏相應(yīng)的安全制度和技術(shù)保障措施，只需要輸入公積金繳存人的姓名就可以查閱到其工資水平和住房公積金繳納情況，而個人的收入狀況屬于個人不愿向外界透漏的的隱私，這就造成了個人檔案信息的泄露。

（二）檔案網(wǎng)絡(luò)化管理帶來的信息安全隱患

網(wǎng)絡(luò)化管理給檔案管理工作帶來便利。但是，計算機感染木馬病毒和遭受黑客惡意攻擊的風(fēng)險給檔案信息的安全性帶來隱患。木馬程序一旦侵入檔案管理系統(tǒng)，很可能會破壞檔案信息數(shù)據(jù)，甚至?xí)扇〈鄹摹⒈I竊、銷毀檔案數(shù)據(jù)的破壞手段，造成檔案管理的混亂，給檔案數(shù)據(jù)的安全性帶來致命損害。另外，以光盤、硬盤等存儲介質(zhì)為載體的電子數(shù)據(jù)檔案有其自身不可克服的缺點，如信息數(shù)據(jù)不夠穩(wěn)定、易于損壞和難以固定保存等，加之檔案存儲設(shè)備更新速度很快，若不對檔案存儲設(shè)備以及相關(guān)的計算機硬件和軟件及時更新，解決數(shù)字檔案的格式轉(zhuǎn)換等問題，極易造成檔案數(shù)據(jù)丟失、毀損或無法順利讀取等情況發(fā)生。

（三）檔案管理造成的信息安全隱患

檔案信息化對檔案管理人員的素質(zhì)提出了更高的要求，要求檔案管理人員不但要精通檔案管理知識，還要精通互聯(lián)網(wǎng)知識、計算機和相應(yīng)檔案管理軟件的操作方法。但是，當(dāng)前檔案管理人員的年齡結(jié)構(gòu)存在普遍偏大的狀況。有些年齡較大的檔案管理人員知識更新不夠及時，仍然拘泥于傳統(tǒng)的檔案管理模式，對信息化的檔案管理可能會感覺力不從心。因為對檔案管理設(shè)備和檔案管理軟件研究不夠深入，操作熟練程度不夠等原因，在管理過程中容易造成檔案數(shù)據(jù)意外刪除等丟失毀損情況，構(gòu)成檔案信息的安全隱患。

二、加強檔案信息安全的舉措

（一）加強制度建設(shè)，提高檔案安全管理意識

首先，單位領(lǐng)導(dǎo)要充分認(rèn)識到檔案信息安全管理的重要性，制定相應(yīng)的檔案信息安全管理制度，與檔案管理人員簽訂檔案安全管理責(zé)任承諾書，安排專門檔案管理人員對所有檔案信息進(jìn)行保密管理，規(guī)范檔案信息的保密審查程序和公開程序，確保做到公開的檔案信息不，的檔案信息不公開。同時，要完善檔案信息安全防范機制，嚴(yán)格禁止其他計算機對檔案管理系統(tǒng)網(wǎng)絡(luò)的接入和訪問，的檔案信息不允許與互聯(lián)網(wǎng)聯(lián)接，的計算機要設(shè)置專用密碼，在轉(zhuǎn)為非計算機時要按照《保密法》的規(guī)定對存儲硬盤進(jìn)行拆除。

（二）不斷提高檔案安全管理技術(shù)，做好電子檔案的異質(zhì)備份工作

首先，提升檔案安全管理技術(shù)是保障檔案信息安全的有效途徑，要定期對管理檔案的計算機設(shè)備進(jìn)行殺毒軟件的升級，及時對病毒進(jìn)行掃描和查殺，避免木馬程序和黑客惡意侵入檔案管理系統(tǒng)。同時，定期對檔案管理設(shè)備如計算機設(shè)備、打印機、復(fù)印設(shè)備等進(jìn)行檢查，確保各種檔案管理設(shè)備的正常使用。其次，承載電子數(shù)據(jù)檔案的存儲設(shè)備有別于傳統(tǒng)的檔案載體文件，對它的讀取必須依靠必要的硬件設(shè)備和閱讀軟件才能夠?qū)崿F(xiàn)，對這些電子文件檔案同時轉(zhuǎn)化為其他類型的載體就成為必要。做好電子檔案的異質(zhì)備份工作，就可以防止隨著技術(shù)的發(fā)展出現(xiàn)現(xiàn)有的電子檔案因為缺乏相應(yīng)的閱讀設(shè)備和軟件而不能順利讀取的尷尬局面。異質(zhì)備份的常見方法主要有：將網(wǎng)絡(luò)下載文件轉(zhuǎn)變成紙質(zhì)文檔；將紙質(zhì)文檔通過掃描等手段轉(zhuǎn)換成電子文檔；將現(xiàn)有的電子照片通過拷貝等形式制作成多份備查等。

（三）優(yōu)化檔案管理人員結(jié)構(gòu)，提高檔案安全防范意識

檔案管理的信息化對檔案管理人員的素質(zhì)提出了更高要求，要優(yōu)化檔案管理人員結(jié)構(gòu)，建立形成梯隊的復(fù)合型檔案管理隊伍。檔案管理人員不但要熟悉檔案管理方面的業(yè)務(wù)知識以及相關(guān)的檔案管理法規(guī)，還要對計算機操作、互聯(lián)網(wǎng)知識等現(xiàn)代化的科技知識做到熟練掌握。這就要求我們必須要建立健全檔案管理人員的管理制度，對檔案管理人員的配備、流入流出等規(guī)定嚴(yán)格的程序，明確各類管理人員的工作職責(zé)和違反規(guī)定造成檔案安全信息不當(dāng)泄露應(yīng)承擔(dān)的責(zé)任。要定期對檔案管理人員進(jìn)行業(yè)務(wù)知識和檔案信息安全管理方面的培訓(xùn)，提高他們的安全防范意識和防范技能水平。

三、結(jié)語

信息安全范文第5篇

摘 要： 通過研究云計算的三類服務(wù)模式：軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS），結(jié)合當(dāng)前云計算在電子政務(wù)領(lǐng)域的應(yīng)用現(xiàn)狀，分析了當(dāng)前政務(wù)云面臨的監(jiān)管能力受限、數(shù)據(jù)管理困難、責(zé)任界定不清三類安全風(fēng)險，最后提出了針對安全風(fēng)險的應(yīng)對措施。

關(guān)鍵詞： 云計算； 政務(wù)云； 安全風(fēng)險； 應(yīng)對措施

中圖分類號：TP393 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2016）07-24-03

Analysis of information security of E-government cloud

Shen Xiaohui， Bao Ke， Liu Xiaoli

（Zhejiang Provincial Testing Institute of Electronic information Products， Hangzhou， Zhejiang 310007， China）

Abstract： By studying the three service models of cloud computing： Software as a Service （SaaS）， Platform as a Service （PaaS）， and Infrastructure as a Service （IaaS）， combined with the current application status of cloud computing in the field of E-government， three types of security risks E-government cloud faced， i.e. the regulatory capacity is limited， the data is difficult to manage and the responsibility is not clearly defined， are analyzed. Finally， the countermeasures are put forward.

Key words： cloud computing； E-government cloud； security risk； countermeasures

0 引言

在電子政務(wù)“十二五”規(guī)劃及相關(guān)政策的影響下，云計算在我國各地電子政務(wù)領(lǐng)域的應(yīng)用越來越廣泛。電子政務(wù)云的產(chǎn)生，有助于實現(xiàn)政務(wù)信息的橫向拉通，推動信息資源整合，實現(xiàn)重要信息系統(tǒng)的跨部門協(xié)同與資源共享；同時云計算技術(shù)的應(yīng)用有助于加速業(yè)務(wù)信息系統(tǒng)的建設(shè)和提升應(yīng)用效果，進(jìn)一步提高設(shè)備資源的利用率和運行維護(hù)的專業(yè)水準(zhǔn)，避免重復(fù)建設(shè)、重復(fù)投資。云計算使電子政務(wù)更加高效化、集約化和節(jié)約化，同時也伴隨著諸多安全問題，信息安全問題是政府面臨的前所未有的挑戰(zhàn)。作為一種新的管理模式，電子政務(wù)云有很長的路要走，我們有必要發(fā)現(xiàn)和探尋政務(wù)云潛在的風(fēng)險，并做好風(fēng)險評估和脆弱性評估[1]。

本文首先介紹了政務(wù)云的體系架構(gòu)和云計算的三種服務(wù)模式，包括軟件即服務(wù)（SaaS）、平臺即服務(wù)（PaaS）和基礎(chǔ)設(shè)施即服務(wù)（IaaS）；其次分析了在政府單位采用政務(wù)云后面臨的監(jiān)管能力受限、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險；最后提出了應(yīng)對政務(wù)云信息安全風(fēng)險的相應(yīng)措施。

1 政務(wù)云體系架構(gòu)

云計算是指一種用于計算的信息技術(shù)模式，包括Internet或私有網(wǎng)絡(luò)上進(jìn)行開發(fā)及交付云服務(wù)所需的所有IT組件（硬件、軟件、網(wǎng)絡(luò)以及服務(wù)）[2]。根據(jù)云服務(wù)商提供的資源類型不同，云計算的服務(wù)模式主要可分為三類[3]：

⑴ 軟件即服務(wù)（SaaS）：在SaaS模式下，云服務(wù)商向客戶提供的是運行在云基礎(chǔ)設(shè)施之上的應(yīng)用軟件，如電子郵件系統(tǒng)、協(xié)同辦公系統(tǒng)等[3]。

⑵ 平臺即服務(wù)（PaaS）：在PaaS模式下，云服務(wù)商向客戶提供的是云基礎(chǔ)設(shè)施之上的軟件開發(fā)和運行平臺，如：標(biāo)準(zhǔn)語言與工具、通用接口等[3]。

⑶ 基礎(chǔ)設(shè)施即服務(wù)（IaaS）：在IaaS模式下，云服務(wù)商向客戶提供虛擬計算機、存儲、網(wǎng)絡(luò)等計算資源，提供訪問云基礎(chǔ)設(shè)施的服務(wù)接口[3]。

電子政務(wù)云以電子政務(wù)為基礎(chǔ)，通過云計算超大規(guī)模、虛擬化、高可擴展性等性能提升政府在服務(wù)社會、內(nèi)部管理、部門間協(xié)同等方面的能力，有利于資源整合和合理利用，提高政府工作效率，加強政府公共服務(wù)能力。其服務(wù)平臺框架由客戶端、SaaS、PaaS、IaaS四部分組成，并通過管理和業(yè)務(wù)支撐、開發(fā)工具進(jìn)行聯(lián)通。電子政務(wù)云體系架構(gòu)如圖1所示。

2 政務(wù)云面臨的安全風(fēng)險

政務(wù)云建設(shè)涉及多個部門和多個服務(wù)對象的協(xié)同、海量的信息收集和處理，以及多層次的信息安全保障等需求，其帶來便利的同時也產(chǎn)生了新的網(wǎng)絡(luò)安全和風(fēng)險：用戶對數(shù)據(jù)、系統(tǒng)的控制管理能力減弱；云平臺的復(fù)雜性增加，對其控制和監(jiān)管的手段不足；云平臺之間的互聯(lián)互通極其困難，用戶數(shù)據(jù)和業(yè)務(wù)遷移到云計算平臺后容易形成對服務(wù)商的過度依賴等。因此，在各地城市政務(wù)云建設(shè)中容易產(chǎn)生“機制瓶頸”、“條塊分割”、“信息孤島”等諸多問題。CSA云安全聯(lián)盟（2010）指出“云計算應(yīng)用面臨七大安全威脅：云計算非法利用、偽裝的云底層接口及API、管理人員違法操作、物理設(shè)施共享、數(shù)據(jù)來源不確定、云賬戶被盜取、以及非傳統(tǒng)的安全風(fēng)險”[4]。

本文主要從政府單位選擇政務(wù)云后面臨的監(jiān)管能力減弱、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險進(jìn)行分析。

⑴ 監(jiān)管能力減弱

在傳統(tǒng)模式下，政府單位的硬件設(shè)施（云平臺包括服務(wù)器、防火墻、存儲器等）和軟件（數(shù)據(jù)和業(yè)務(wù)系統(tǒng)等）都部署在單位的機房，可直接進(jìn)行管理和控制。但采用政務(wù)云后，政府單位將本單位的數(shù)據(jù)和業(yè)務(wù)系統(tǒng)遷移到云服務(wù)商的云計算平臺上，無法對硬件設(shè)施和軟件進(jìn)行直接控制，同時無法對設(shè)備所處的物理位置進(jìn)行控制管理。

一方面，硬件設(shè)施存放在云服務(wù)商的機房中，其歸屬權(quán)是云服務(wù)商的。通常，云服務(wù)商把云平臺的安全措施及狀況視為知識產(chǎn)權(quán)和商業(yè)秘密，政府單位無法掌握云平臺的實施情況和運行情況，難以對這些安全措施進(jìn)行有效的監(jiān)督和管理。另一方面，在業(yè)務(wù)系統(tǒng)運行過程中生成、獲取的數(shù)據(jù)受到云服務(wù)商的直接控制，云服務(wù)商具有訪問、利用或操作數(shù)據(jù)的能力，政府單位失去了對其數(shù)據(jù)的直接管控，增加了政府單位數(shù)據(jù)和業(yè)務(wù)的安全風(fēng)險。

⑵ 數(shù)據(jù)管理困難

胡水晶、李偉等人[5]指出政府云服務(wù)的優(yōu)勢備受關(guān)注，但數(shù)據(jù)安全性是政府采用云服務(wù)的前提。首先，政府單位將數(shù)據(jù)遷移至云計算平臺之前要考慮哪些數(shù)據(jù)可以遷移。政府單位的數(shù)據(jù)很多可能會涉及到民生問題、社會建設(shè)、行業(yè)發(fā)展等敏感信息，因此政府單位需梳理自身業(yè)務(wù)和數(shù)據(jù)，選擇遷移到云平臺上業(yè)務(wù)。其次，數(shù)據(jù)遷移至云計算平臺后，本身獨立的、不敏感的信息通過大數(shù)據(jù)運算和分析可能產(chǎn)生新的其他信息，而新產(chǎn)生的信息由云服務(wù)商掌握，但新信息的使用權(quán)和歸屬權(quán)無明確規(guī)定。最后，政府單位想要更換云服務(wù)商或退出云服務(wù)也很困難。云服務(wù)商之間的接口往往是不同的，基于商業(yè)機密等原因，云服務(wù)商之間的技術(shù)也不可能完全共享，更換云服務(wù)商技術(shù)上是否可實現(xiàn)，目前還未驗證。如果政府單位想終止服務(wù)，由于云平臺的虛擬化存儲，一家單位的數(shù)據(jù)可能分散存儲在多個云存儲中，在沒有云服務(wù)商的配合下很難獨自將數(shù)據(jù)遷出，數(shù)據(jù)的遷出和保護(hù)變得很困難，客戶的數(shù)據(jù)存在被“綁架”的風(fēng)險。

⑶ 責(zé)任界定不清的安全風(fēng)險

客戶與云服務(wù)商之間的責(zé)任難以界定。傳統(tǒng)模式下，按照誰主管誰負(fù)責(zé)、誰運行誰負(fù)責(zé)的原則，信息安全責(zé)任相對清晰。云服務(wù)模式下，云計算平臺的管理和運行主體與數(shù)據(jù)安全的責(zé)任主體不同，相互之間的責(zé)任如何界定，缺乏明確的規(guī)定[6]。一些單位采購云服務(wù)后，由于數(shù)據(jù)和業(yè)務(wù)的外包而放松安全管理，易形成數(shù)據(jù)和系統(tǒng)安全責(zé)任由云服務(wù)商全權(quán)承擔(dān)的誤解，事實上，采購方仍是數(shù)據(jù)和系統(tǒng)安全的最終責(zé)任人。此外，政府單位在采購云服務(wù)時由于選擇的服務(wù)模式不同，可能涉及到多家云服務(wù)商。例如，2013年麗水市智慧政務(wù)云試點項目中，涉及到的云服務(wù)商有三家，分別為北京中軟國際信息技術(shù)有限公司、浙江華通云數(shù)據(jù)科技有限公司和阿里云計算有限公司，由這三家公司合作提供基于SaaS、PaaS和IaaS三位一體的全方位云服務(wù)。不同的服務(wù)模式和部署模式、云計算環(huán)境的復(fù)雜性使各單位承擔(dān)的責(zé)任難以清晰界定。一旦出現(xiàn)安全事件，存在無法明確追究責(zé)任主體的安全風(fēng)險。

3 政務(wù)云安全風(fēng)險應(yīng)對措施

針對本文提出的政務(wù)云面臨的三方面安全風(fēng)險，提出以下幾點應(yīng)對措施。

⑴ 完善相應(yīng)法律法規(guī)建設(shè)

目前保障云平臺安全的應(yīng)對措施主要是技術(shù)手段，但監(jiān)管政策和法律法規(guī)作為上層建筑，從宏觀層面影響著云平臺上所承載的具體業(yè)務(wù)。尤其是近期云平臺數(shù)據(jù)集中存儲所帶來的個人隱私泄露、數(shù)據(jù)泄露等事件層出不窮，更需要從國家層面對于云服務(wù)進(jìn)行統(tǒng)一監(jiān)管，將其納入法律條文，并制定一系列規(guī)范云平臺的數(shù)據(jù)收集、數(shù)據(jù)存儲與保護(hù)、數(shù)據(jù)使用與維護(hù)、數(shù)據(jù)的傳輸與披露、數(shù)據(jù)銷毀等方面的法律法規(guī)，明確對云服務(wù)商關(guān)于云平臺中數(shù)據(jù)使用不當(dāng)或泄漏等行為的處罰措施，從宏觀層面給予云平臺服務(wù)的安全性更加全面、有力的法律保障。對政府及重要行業(yè)采購云服務(wù)做出明確規(guī)定，有利于提高云計算服務(wù)的安全水平和服務(wù)質(zhì)量，保障政務(wù)應(yīng)用的安全性和可靠性。

云服務(wù)采購與傳統(tǒng)政府采購模式不同，傳統(tǒng)政府采購已較成熟，采購流程也較規(guī)范，而云服務(wù)采購是購買一種服務(wù)，它是區(qū)別與傳統(tǒng)政府采購的一種新穎的、不規(guī)范的采購形式。建議制定標(biāo)準(zhǔn)定義具體的服務(wù)內(nèi)容與基本質(zhì)量（可用性）、安全條款、服務(wù)交付模式和采購指南等，并將評估認(rèn)證納入采購監(jiān)管環(huán)節(jié)中，有利于指導(dǎo)各部門進(jìn)行云服務(wù)采購，同時不斷完善政府采購云服務(wù)標(biāo)準(zhǔn)體系，推動政府采購云服務(wù)的持續(xù)開展。

⑵ 加快安全監(jiān)管機構(gòu)建立

由于云計算服務(wù)市場還未成熟，采購云服務(wù)的單位缺少相應(yīng)的人力資源和技術(shù)水平去管理遷移至云平臺上的業(yè)務(wù)和數(shù)據(jù)。首先，通過引入安全專業(yè)團(tuán)隊作為第三方的安全監(jiān)管，協(xié)助云服務(wù)采購方進(jìn)行數(shù)據(jù)安全的日常監(jiān)管，是履行數(shù)據(jù)安全責(zé)任主體不變的一種強有力的手段。其次，各省市成立云計算服務(wù)網(wǎng)絡(luò)安全審查的領(lǐng)導(dǎo)小組和工作組，具體負(fù)責(zé)開展云計算服務(wù)網(wǎng)絡(luò)安全審查工作，對各云服務(wù)提供商的安全級別進(jìn)行評價，包括云應(yīng)用的遷移驗證有效性、政務(wù)云基礎(chǔ)設(shè)施運行性能、云平臺安全監(jiān)測機制的有效性以及計費監(jiān)控方式的合理性等，為政府部門采購云服務(wù)提供有效的合格供應(yīng)商白名單。將云平臺的安全評估認(rèn)證納入強制推行的安全審查工作中，對保障云服務(wù)采購方的利益，消除不同云服務(wù)提供商之間的技術(shù)壁壘具有重要意義。

⑶ 提高政府單位相關(guān)人員技術(shù)實力

政府部門在將信息部署或遷移到云計算平臺之前，需要內(nèi)部人員對采用云服務(wù)的效益和風(fēng)險進(jìn)行綜合分析，對本部門的信息和業(yè)務(wù)根據(jù)重要性、敏感性進(jìn)行分類，確定信息的類型和業(yè)務(wù)部署的優(yōu)先級。通過與云服務(wù)商的溝通，了解公開信息和敏感信息的存儲方式、邏輯隔離情況和對信息的保護(hù)措施。在此基礎(chǔ)上，政府部門應(yīng)歸納梳理形成信息和業(yè)務(wù)分類的指導(dǎo)文檔和相關(guān)的程序文件。此外，政府部門需對云計算服務(wù)的需求進(jìn)行分析，提出各項功能、性能及安全指標(biāo)，并研究《云計算服務(wù)合同》的簽訂。這要求技術(shù)人員對本部門的數(shù)據(jù)、業(yè)務(wù)信息有深刻的認(rèn)識，并對云計算服務(wù)有一定的了解。

政府部門在將信息部署或遷移到云計算平臺之后，需要有專門的人員負(fù)責(zé)云平臺上業(yè)務(wù)的運行情況。遷到云平臺上后，雖然政府部門失去了對業(yè)務(wù)和數(shù)據(jù)直接控制能力，但應(yīng)要求云服務(wù)商提供監(jiān)管接口，對運行狀態(tài)、重大變更、策略更新、流量使用等情況進(jìn)監(jiān)管。如遇到安全事件，需協(xié)同云服務(wù)商共同處理，對本單位的業(yè)務(wù)和數(shù)據(jù)安全負(fù)責(zé)。因此，提高相關(guān)人員的技術(shù)水平對政務(wù)云的安全運行至關(guān)重要。

4 結(jié)束語

隨著云計算技術(shù)的不斷發(fā)展，政務(wù)云作為一種新型的電子政務(wù)模式，它必將為電子政務(wù)帶來新的變革。如何確保政務(wù)云平臺安全可信，本文針對目前政務(wù)云面臨的監(jiān)管能力減弱、數(shù)據(jù)管理困難、責(zé)任界定不清等安全風(fēng)險，提出了三點應(yīng)對措施：完善相應(yīng)法律法規(guī)建設(shè)、加快安全監(jiān)管機構(gòu)建立和提高政府單位相關(guān)人員技術(shù)實力。這些措施對保障政府單位切身利益、降低采購云服務(wù)的安全風(fēng)險、推動政府采購云服務(wù)的持續(xù)開展有著積極作用。在今后的學(xué)習(xí)、探索中，將不斷加強政務(wù)信息安全風(fēng)險的研究，并提出切實有效的應(yīng)對措施。

參考文獻(xiàn)（References）：

[1] LIANG J. Government cloud：enhancing efficiency of

e-government and providing better public services； proceedings of the Service sciences（IJCSS）， 2012 international joint conference on， F， 2012[C]. IEEE.

[2] 劉戈舟，楊澤明，許俊峰譯.云計算安全[M].機械工業(yè)出版社，

2013.

[3] GB/T 31167-2014信息安全技術(shù)云計算服務(wù)安全指南.

[4] 云安全聯(lián)盟著.云計算關(guān)鍵領(lǐng)域安全指南.

[5] 胡水晶，李偉.政府公共云服務(wù)中的數(shù)據(jù)及其保障策略

探討[J].情報雜志，2013.9：157-162