《信息安全及其重要性》

信息安全及其重要性

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、消息认证、数据加密等），直至安全系统，如uninac、dlp等，只要存在安全漏洞便可以威胁全局安全。信息安全是指信息系统（包括硬件、软件、数据、人、物理环境及其基础设施）受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信网络技术与编程等方面的内容;广义的信息安全是一门综合性学科，从传统的计算机安全到信息安全，不但是名称的变更也是对安全发展的延伸，安全不在是单纯的技术问题，而是将管理、技术、法律等问题相结合的产物。

信息安全产品

2012年信息安全产业将步入高速发展阶段，而整个互联网用户对安全产品的要求也转入”主动性安全防御”。随着用户安全防范意识正在增强，主动性安全产品将更受关注，主动的安全防御将成为未来安全应用的主流。终端方案

终端安全解决方案是以终端安全保护系统全方位综合保障终端安全，并以数据安全保护系统重点保护终端敏感数据的安全。终端安全保护系统以”主动防御”理念为基础，采用自主知识产权的基于标识的认证技术，以智能控制和安全执行双重体系结构为基础，将全面安全策略与操作系统有机结合，通过对代码、端口、网络连接、移动存储设备接入、数据文件加密、行为审计分级控制，实现操作系统加固及信息系统的自主、可控、可管理，保障终端系统及数据的安全。安全软件

数据安全保护系统能够实现数据文档的透明加解密保护，可指定类型文件加密、指定程序创建文件加密，杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感文件及加密密钥的冗余存储备份，包括文件权限管理、用户管理、共享管理、外发管理、备份管理、审计管理等。对政府及企业的各种敏感数据文档，包括设计文档、设计图纸、源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档，都能实现稳妥有效的保护。

信息安全影响因素

信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;斯巴达人使用一种称为密码棒的工具传达军事计划，罗马时代的凯撒大帝是加密函的古代将领之一，”凯撒密码”据传是古罗马凯撒大帝用来保护重要军情的加密系统。它是一种替代密码，通过将字母按顺序推后3位起到加密作用，如将字母a换作字母d，将字母b换作字母e。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了德国海军的enigma密电码，改变了二次世界大战的进程。美国nist将信息安全控制分为3类。

（1）技术，包括产品和过程（例如防火墙、防病毒软件、侵入检测、加密技术）。

（2）操作，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物理进入控制、备份能力、免予环境威胁的保护。（3）管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。信息系统安全涉及政策法规、教育、管理标准、技术等方面，任何单一层次的安全措施都不能提供全方位的安全，安全问题应从系统工程的角度来考虑。图8-1给出了nstissc安全模型。

安全威胁

（1）信息泄露。信息被泄露或透露给某个非授权的实体。

（2）破坏信息的完整性：数据被非授权地进行增删、修改或破坏而受到损失。（3）拒绝服务：对信息或其他资源的合法访问被无条件地阻止。

（4）非法使用（非授权访问）：某一资源被某个非授权的人，或以非授权的方式使用。（5）窃听：用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。

（6）业务流分析。通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。

（7）假冒。通过欺骗通信系统（或用户）达到非法用户冒充成为合法用户，或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

（8）旁路控制。攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统”特性”，利用这些”特性”，攻击者可以绕过防线守卫者侵入系统的内部。

（9）授权侵犯。被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他非授权的目的，也称作”内部攻击”。

（10）特洛伊木马。软件中含有一个觉察不出的有害的程序段，当它被执行时，会破坏用户的安全。这种应用程序称为特洛伊木马（trojanhorse）。

（11）陷阱门。在某个系统或某个部件中设置的”机关”，使得在特定的数据输入时，允许违反安全策略。

（12）抵赖：这是一种来自用户的攻击，比如：否认自己曾经发布过的某条消息、伪造一份对方来信等。

（13）重放：出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。（14）计算机病毒：一种在计算机系统运行过程中能够实现传染和侵害功能的程序。（15）人员不慎：一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的人。（16）媒体废弃：信息被从废弃的磁碟或打印过的存储介质中获得。（17）物理侵入：侵入者绕过物理控制而获得对系统的访问。（18）窃取：重要的安全物品，如令牌或身份卡被盗。

（19）业务欺骗。某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。

2014年信息安全大事件

1月，中国互联网出现大面积dns解析故障2月，维护网络安全首次被列入政府工作报告3月，携程”安全门”敲响网络消费安全警钟4月，微软停止xp支持，影响两亿国内用户5月，山寨网银及山寨微信大量窃取网银信息6月，免费wi-fi存陷阱，窃取用户手机敏感信息7月，苹果承认iphone存在”安全漏洞”8月，”xx神器”安卓系统手机病毒在全国蔓延9月，2014年中国互联网安全大会（ics）召开10月，2014中国网络安全大会（nsc2014）召开11月，首届国家网络安全宣传周活动举办

12月，86万条简历数据因某招聘网站漏洞而被泄露

信息安全的重要性

信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。

中国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展。除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取中国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取中国通信传输中的信息。

从文献中了解一个社会的内幕，早已是司空见惯的事情。在20世纪后50年中，从社会所属计算机中了解一个社会的内幕，正变得越来越容易。不管是机构还是个人，正把日益繁多的事情托付给计算机来完成，敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。

传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。

1.风险评估包括哪几个方面。（1）生物因子致病力、毒力、毒素感染剂量、浓度

感染途径；自然界和实验室敏感宿主（人、动物、植物等）已知的实验室获得性感染，疾病的严重性危险等级分类治疗和预防

病原体稳定性，在环境中的存活能力和传播能力（2）人员1）宿主：疾病严重性

地方流行情况；易感性既往实验室感染情况2）操作人员

是否经过培训，持证上岗是否已免疫

健康状况（怀孕，免疫力低下体质等）开展潜伏期医学监测

对病原体和工作程序有充分了解涉及个体数量（3）实验活动是否有活动资质数量、浓度生长状态

气溶胶产生（振荡、超声、移液）加压过程锐器离心研究和诊断大量样本操作实验动物仪器状态

2.如何理解风险评估在实验室生物安全管理中的重要性。

近年来，国内外都有生物安全事故的报导，尤以今年的东北林业大学布鲁菌感染事件最为轰动，生物安全问题亦浮出水面。如果不认真进行风险评估，有毒有害微生物就有可能散播到人群，对公共卫生安全造成巨大威胁。科学研究的本质是造福于人类，但科学也是一把双刃剑，如果不重视基本安全规范，就有可能为人类造成灾难。小至一个人，大到全人类，甚至地球上所有生物。这些“灾难”本可以避免，但免不了会有不重视的人。因此，出台具法律意义的细则就十分重要。风险评估正是在此背景下诞生的新概念，并很快付诸施行，实在是利国利民的大事。

进行各种实验室检测，要做好实验室生物安全工作，首先要做好各种临床标本所涉及的微生物的危害度评估，在实验室生物安全管理中，微生物的危害度评估是生物安全的核心工作，对于保证生物安全具有非常重要的意义。在实际工作中，风险评估对确定生物安全防护水平、制定实验室操作规程、编写仪器设备操作程序和管理规定，都具有重要的指导作用。在实验室检验中，许多标本的感染性是未知的，危险因素的信息是不全的，在这种情况下，进行实验室标本处理时，做好危害度评估，其意义不言而喻。

我国正处于生物安全实验室快速建设和发展阶段，随着国家对传染病研究和预防控制工作的更加重视，全国各地大量的生物安全实验室陆续建成并将投入使用，大量的病原微生物研究工作和疾病控制工作将在生物安全实验室内进行，如果没有系统、全面的实验室生物安全风险评估理论和方法，生物安全实验室生物安全管理工作中将缺少客观、科学的评估方法和评判依据。同时，如果缺少实验室建设前、实验活动前、实验活动后等动态的全程、持续有效的评估，将难以从根本上确保实验室生物安全。因此，我们应该积极借鉴其他安全领域的做法和经验，研究并建立具有实验室生物安全自身特点的我国实验室生物安全风险评估方法和体系，制定评估原则、阶段、步骤、形式、风险计算方法等内容，为实验室生物安全管理工作提供相对统一的尺度和标准，为我国卫生事业，特别是重大严重危害人民身体健康的传染病疾病防治工作健康、可持续发展提供强大技术支撑和保障，为最大限度地保障实验室生物安全提供科学依据。（部分内容引自《实验室生物安全风险评估的现状与发展》）

第三篇。安全管理信息化建设的重点及其重要性1.安全管理信息化建设的重点及其重要性。（1）随着经济的迅猛发展，对于安全生产监督管理部门提出了新的挑战和要求，大量的安全生产信息如果再用传统的方法去管理，无疑是不能胜任的；而计算机的运算速度快、存贮量大、数据精度高，能够高速处理大量的数据，特别是通过internet/intranet网络及时向人们提供准确的管理信息。（2）安全管理信息化建设是保证安全管理现代化建设的重要环节，其中最基本的就是对安全信息资源实现现代化管理。（3）大力推行安全生产信息化技术的建设，政府和企业逐渐使用科学的安全管理信息系统开展各种安全管理和监督工作，已经成为必然趋势。

2.我国安全生产信息管理工作存在的主要问题。基础安全信息缺乏；信息的共享性差；安全信息收集不规范；安信息检索困难；基础信息普及性差，成果信息转化率低；事故信息渗透性差，同类事故的重复发生率极高。

3.我国安全管理信息系统的开发应用存在的问题。安全管理信息系统的开发应用没有引起足够重视；对安全管理信息系统的认识不够深刻；缺乏现代化管理意识，不注重采用现代化的方法和手段加强安全管理；对安全工作的不重视和缺乏对安全管理工作长远的、系统的观念。

4.安全管理信息系统的研究对象：安全，管理，信息，系统。研究内容和方法：研究如何使用现代计算机技术和信息技术对安全信息资源进行有效管理，实现安全管理事务的有序化、系统化和自动化，应用各种现代安全管理手段，以达到保障生产和非生产过程安全的目的。

5.事务处理系统的概念：面向组织基层的管理活动，即对组织每日例行的正常运作必需的常规事务所发生的信息进行处理。特点：处理结构化的问题；主要面向作业层管理。

6.决策支持系统的概念：是面向组织的管理控制层和战略决策层，它应用模型化的数量分析方法进行数据处理，以支持管理者就半结构化或非结构化的问题进行决策。特点：处理半结构化的问题或非结构化的问题；支持管理人员决策，而不是代替决策；帮助管理人员“做正确的事情”。

7.软件工程。是研究和应用如何以系统性的、规范化的、可定量的方法去开发、操纵和维护软件，即把工程应用到软件上。

8.管理信息系统的开发策略。（1）“接收式的”开发策略，是通过初步调查，确认用户对系统的信息需求正确、完全，同时现有的信息处理过程和方式科学、合理，则根据用户需求和系统现状直接进行系统开发的方式。（2）“直接式的”开发策略，是指经过调研分析后，可以立即确定用户需求和处理过程，系统的开发可用某种开发方法的工作流程正常进行，直到完成的方式。（3）“迭代式的”开发策略，是指当问题具有一定难度和复杂性而无法立即确定系统目标和需求时，通过反复分析、设计、研讨和修改，逐步完成系统开发的方式。（4）“实验式的”开发策略，是指系统需求很难确定，无法很快制定具体开发计划时，只能通过反复实验逐步完善进行系统开发的方式。

9.管理信息系统的开发方式及特点。（1）自主开发：企业本身具备从事系统开发所需的各方面的人才和技术。2）合作开发：由熟悉本企业管理业务的人员，与专业软件公司的各类计算机技术人员合作开发。（3）委托开发：系统规模不很大，企业自身缺乏从事系统开发的人员和技术（4）利用现成的软件包开发功能单一的小系统；缩短开发时间＼节省费用

10.结构化开发方法的定义：是自顶向下结构化方法、工程化的系统开发方法和生命周期方法结合的产物.是至今为止所有开发方法中应用最广泛、最成熟的系统开发技术。基本思想：采用结构化思想、系统工程的观点和工程化的方法，按照用户至上的原则，先将管理信息系统，自顶向下，进行模块分解，再自底向上按照系统的结构将各模块进行组合，最终实现系统的开发。

11.原型法的基本思想。原型法，也称渐进法或迭代法，是一种设计思想、过程和方法全新的系统开发方法。不注重对管理信息系统的全面、系统的调查和分析，而是根据对用户的信息需求的大致了解，借助强有力的软件环境支持，迅速构造一个新系统的原型，然后通过反复修改和完善，最终完成新系统的开发。运用原型法开发管理信息系统，首先要对用户提出的初步需求进行总结，然后构造一个合适的原型并运行，此后，通过系统开发人员与用户对原型的运行情况的不断分析、修改和研讨，不断扩充和完善系统的结构和功能，直至得到符合用户要求的系统为止。

信息安全是任何国家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。我国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展。目前，除有线通信外，短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，截取我通信传输中的信息。

从文献中了解一个社会的内幕，早已是司空见惯的事情。在２０世纪后５０年中，从社会所属计算机中了解一个社会的内幕，正变得越来越容易。不管是机构还是个人，正把日益繁多的事情托付给计算机来完成，敏感信息正经过脆弱的通信线路在计算机系统之间传送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，（（所有这一切，最重要的问题是不能在对非法（非授权）获取（访问）不加防范的条件下传输信息。

传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。