信息安全和保密的核心是什么意思

摘 要：信息安全保密已经成为当前保密工作的重点。本文从策略和机制的角度出发，给出了信息安全保密的服务支持、标准规范、技术防范、管理保障和工作能力体系，体现了技术与管理相结合的信息安全保密原则。 关键词：信息 安全 保密 体系 一、引言 构建信息安全保密体系，不能仅仅从技术层面入手，而应该将管理和技术手段有机结合起来，用规范的制度约束人，同时建立、健全信息安全保密的组织体制，改变现有的管理模式，弥补技术、制度、体制等方面存在的不足，从标准、技术、管理、服务、策略等方面形成综合的信息安全保密能力，如图1所示。 图 1 信息安全保密的体系框架 该保密体系是以信息安全保密策略和机制为核心，以信息安全保密服务为支持，以标准规范、安全技术和组织管理体系为具体 内容 ，最终形成能够满足信息安全保密需求的工作能力。 二、信息安全保密的策略和机制 所谓信息安全保密策略，是指为了保护信息系统和信息 网络中的秘密，对使用者(及其代理)允许什么、禁止什么的规定。从信息资产安全管理的角度出发，为了保护涉密信息资产，消除或降低泄密风险，制订的各种纲领、制度、规范和操作流程等，都属于安全保密策略。例如：禁止(工作或技术人员)将涉密软盘或移动存储设备带出涉密场所;严禁(使用人员将)涉密 计算机(连)上互联网;不允许(参观人员)在涉密场所拍照、录像等。 信息安全保密机制，是指实施信息安全保密策略的一种 方法 、工具或者规程。例如，针对前面给出的保密策略，可分别采取以下机制：为涉密移动存储设备安装射频标识，为涉密场所安装门禁和报警……

信息确认技术 不可能，没有这项技术的； 信息加密技术网络控制技术 网络是同享的也是控制不了的； 反病毒技术，没有反病毒这个词的吧，病毒只可消杀，都没有很好的预防办法，反病毒就更做不到了。

什么是信息安全 信息安全本身包括的范围很大，大到国家军事政治等机密安全，小范围的当然还包括如防范商业企业机密泄露，防范青少年对不良信息的浏览，个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名，信息认证，数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。 信息安全是指信息网络的硬件、软件及其系统中的数据受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断。 信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 从广义来说，凡是涉及到网络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。 信息安全的实现目标 ◆ 真实性：对信息的来源进行判断，能对伪造来源的信息予以鉴别。 ◆ 保密性：保证机密信息不被窃听，或窃听者不能了解信息的真实含义。 ◆ 完整性：保证数据的一致性，防止数据被非法用户篡改。 ◆ 可用性：保证合法用户对信息和资源的使用不会被不正当地拒绝。 ◆ 不可抵赖性：建立有效的责任机制，防止用户否认其行为，这一点在电子商务中是极其重要的。 ◆ 可控制性：对信息的传播及内容具有控制能力。 ◆ 可审查性：对出现的网络安全问题提供调查的依据和手段 主要的信息安全威胁 ◆ 窃取：非法用户通过数据窃听的手段获得敏感信息。 ◆ 截取：非法用户首先获得信息，再将此信息发送给真实接收者。 ◆ 伪造：将伪造的信息发送给接收者。 ◆ 篡改：非法用户对合法用户之间的通讯信息进行修改，再发送给接收者。 ◆ 拒绝服务攻击：攻击服务系统，造成系统瘫痪，阻止合法用户获得服务。 ◆ 行为否认：合法用户否认已经发生的行为。 ◆ 非授权访问：未经系统授权而使用网络或计算机资源。 ◆ 传播病毒：通过网络传播计算机病毒，其破坏性非常高，而且用户很难防范。 信息安全威胁的主要来源 ◆ 自然灾害、意外事故； ◆ 计算机犯罪； ◆ 人为错误，比如使用不当，安全意识差等； ◆ "黑客" 行为； ◆ 内部泄密； ◆ 外部泄密； ◆ 信息丢失； ◆ 电子谍报，比如信息流量分析、信息窃取等； ◆ 信息战； ◆ 网络协议自身缺陷缺陷，例如TCP/IP协议的安全问题等等。 信息安全策略 信息安全策略是指为保证提供一定级别的安全保护所必须遵守的规则。实现信息安全，不但靠先进的技术，而且也得靠严格的安全管理，法律约束和安全教育： ◆ 先进的信息安全技术是网络安全的根本保证。用户对自身面临的威胁进行风险评估，决定其所需要的安全服务种类，选择相应的安全机制，然后集成先进的安全技术，形成一个全方位的安全系统； ◆ 严格的安全管理。各计算机网络使用机构，企业和单位应建立相应的网络安全管理办法，加强内部管理，建立合适的网络安全管理系统，加强用户管理和授权管理，建立安全审计和跟踪体系，提高整体网络安全意识； ◆ 制订严格的法律、法规。计算机网络是一种新生事物。它的许多行为无法可依，无章可循，导致网络上计算机犯罪处于无序状态。面对日趋严重的网络上犯罪，必须建立与网络安全相关的法律、法规，使非法分子慑于法律，不敢轻举妄动。 信息安全涉及的主要问题 ◆ 网络攻击与攻击检测、防范问题 ◆ 安全漏洞与安全对策问题 ◆ 信息安全保密问题 ◆ 系统内部安全防范问题 ◆ 防病毒问题 ◆ 数据备份与恢复问题、灾难恢复问题 信息安全技术简介 目前，在市场上比较流行，而又能够代表未来发展方向的安全产品大致有以下几类： ◆ 防火墙：防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，阻止外界对内部资源的非法访问，防止内部对外部的不安全访问。主要技术有：包过滤技术，应用网关技术，代理服务技术。防火墙能够较为有效地防止黑客利用不安全的服务对内部网络的攻击，并且能够实现数据流的监控、过滤、记录和报告功能，较好地隔断内部网络与外部网络的连接。但它其本身可能存在安全问题，也可能会是一个潜在的瓶颈。 ◆ 安全路由器：由于WAN连接需要专用的路由器设备，因而可通过路由器来控制网络传输。通常采用访问控制列表技术来控制网络信息流。 ◆ 虚拟专用网(VPN)：虚拟专用网（VPN）是在公共数据网络上，通过采用数据加密技术和访问控制技术，实现两个或多个可信内部网之间的互联。VPN的构筑通常都要求采用具有加密功能的路由器或防火墙，以实现数据在公共信道上的可信传递。 ◆ 安全服务器：安全服务器主要针对一个局域网内部信息存储、传输的安全保密问题，其实现功能包括对局域网资源的管理和控制，对局域网内用户的管理，以及局域网中所有安全相关事件的审计和跟踪。 ◆ 电子签证机构--CA和PKI产品：电子签证机构（CA）作为通信的第三方，为各种服务提供可信任的认证服务。CA可向用户发行电子签证证书，为用户提供成员身份验证和密钥管理等功能。PKI产品可以提供更多的功能和更好的服务，将成为所有应用的计算基础结构的核心部件。 ◆ 用户认证产品：由于IC卡技术的日益成熟和完善，IC卡被更为广泛地用于用户认证产品中，用来存储用户的个人私钥，并与其它技术如动态口令相结合，对用户身份进行有效的识别。同时，还可利用IC卡上的个人私钥与数字签名技术结合，实现数字签名机制。随着模式识别技术的发展，诸如指纹、视网膜、脸部特征等高级的身份识别技术也将投入应用，并与数字签名等现有技术结合，必将使得对于用户身份的认证和识别更趋完善。 ◆ 安全管理中心：由于网上的安全产品较多，且分布在不同的位置，这就需要建立一套集中管理的机制和设备，即安全管理中心。它用来给各网络安全设备分发密钥，监控网络安全设备的运行状态，负责收集网络安全设备的审计信息等。 ◆ 入侵检测系统（IDS）：入侵检测，作为传统保护机制（比如访问控制，身份识别等）的有效补充，形成了信息系统中不可或缺的反馈链。 ◆ 安全数据库：由于大量的信息存储在计算机数据库内，有些信息是有价值的，也是敏感的，需要保护。安全数据库可以确保数据库的完整性、可靠性、有效性、机密性、可审计性及存取控制与用户身份识别等。 ◆ 安全操作系统：给系统中的关键服务器提供安全运行平台，构成安全WWW服务，安全FTP服务，安全SMTP服务等，并作为各类网络安全产品的坚实底座，确保这些安全产品的自身安全。

保障信息安全最基本、最核心的技术是信息加密技术。　　所谓信息加密技术，是指利用数学或物理手段，对电子信息在传输过程中和存储体内进行保护，以防止泄漏的技术。一般来说，保密通信、计算机密钥、防复制软盘等都属于信息加密技术。通信过程中的加密主要是采用密码，在数字通信中可利用计算机采用加密法，改变负载信息的数码结构。　　计算机信息保护则以软件加密为主。目前世界上最流行的几种加密体制和加密算法有RSA算法和CCEP算法等。为防止破密，加密软件还常采用硬件加密和加密软盘。一些软件商品常带有一种小的硬卡，这就是硬件加密措施。在软盘上用激光穿孔，使软件的存储区有不为人所知的局部破坏，就可以防止非法复制。这样的加密软盘可以为不掌握加密技术的人员使用，以保护软件。由于计算机软件的非法复制、解密及盗版问题日益严重，甚至引发国际争端，因此信息加密技术和加密手段的研究，正在日新月异地发展。