保护信息安全的措施

2024年3月15日发(作者：)

保护信息安全的措施

一、网站运行安全保障措施

1、网站服务器和其他计算机之间设置经公安部认证的防火墙， 并与专业网络安全公

司合作，做好安全策略，拒绝外来的恶意攻击，保障网站正常运行。

2、在网站的服务器及工作站上均安装了正版的防病毒软件，对计算机病毒、有害电

子邮件有整套的防范措施，防止有害信息对网站系统的干扰和破坏。

3、做好生产日志的留存。网站具有保存60天以上的系统运行日志和用户使用日志记

录功能，内容包括IP地址及使用情况，主页维护者、邮箱使用者和对应的IP地址情况等。

4、交互式栏目具备有IP地址、身份登记和识别确认功能，对没有合法手续和不具备

条件的电子公告服务立即关闭。

5、网站信息服务系统建立双机热备份机制，一旦主系统遇到故障或受到攻击导致不

能正常运行，保证备用系统能及时替换主系统提供服务。

6、关闭网站系统中暂不使用的服务功能，及相关端口，并及时用补丁修复系统漏洞，

定期查杀病毒。

7、服务器平时处于锁定状态，并保管好登录密码;后台管理界面设置超级用户名及密

码，并绑定IP，以防他人登入。

8、网站提供集中式权限管理，针对不同的应用系统、终端、操作人员，由网站系统

管理员设置共享数据库信息的访问权限，并设置相应的密码及口令。不同的操作人员设定

不同的用户名，且定期更换，严禁操作人员泄漏自己的口令。对操作人员的权限严格按照

岗位职责设定，并由网站系统管理员定期检查操作人员权限。

9、公司机房按照电信机房标准建设，内有必备的独立UPS不间断电源、高灵敏度的

烟雾探测系统和消防系统，定期进行电力、防火、防潮、防磁和防鼠检查。

二、信息安全保密管理制度

1、我公司建立了健全的信息安全保密管理制度，实现信息安全保密责任制，切实负

起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”

的原则，落实责任制，明确责任人和职责，细化工作措施和流程，建立完善管理制度和实

施办法，确保使用网络和提供信息服务的安全。

2、网站信息内容更新全部由网站工作人员完成，工作人员素质高、专业水平好，有

强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集

信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布

《互联网信息管理办法》等相关法律法规明令禁止的信息即“九不准”，一经发现，立即

删除。

3、遵守对网站服务信息监视，保存、清除和备份的制度。开展对网络有害信息的清

理整治工作，对违法犯罪案件，报告并协助公安机关查处。

4、所有信息都及时做备份。按照国家有关规定，网站将保存60天内系统运行日志和

用户使用日志记录，短信服务系统将保存5个月以内的系统及用户收发短信记录。

5、制定并遵守安全教育和培训制度。加大宣传教育力度，增强用户网络安全意识，

自觉遵守互联网管理有关法律、法规，不泄密、不制作和传播有害信息，不链接有害信息

或网页。

三、用户信息安全管理制度

1、我公司郑重承诺尊重并保护用户的个人隐私，除了在与用户签署的隐私政策和网

站服务条款以及其他公布的准则规定的情况下，未经用户授权我公司不会随意公布与用户

个人身份有关的资料，除非有法律或程序要求。

2、所有用户信息将得到本公司网站系统的安全保存，并在和用户签署的协议规定时

间内保证不会丢失;

3、严格遵守网站用户帐号使用登记和操作权限管理制度，对用户信息专人管理，严

格保密，未经允许不得向他人泄露。

信息安全主要包括以下五方面的内容，即需保证信息的保密性、真实性、完整性、未

授权拷贝和所寄生系统的安全性。信息安全本身包括的范围很大，其中包括如何防范商业

企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安

全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制数字

签名、消息认证、数据加密等，直至安全系统，如UniNAC、DLP等，只要存在安全漏洞便

可以威胁全局安全。信息安全是指信息系统包括硬件、软件、数据、人、物理环境及其基

础设施受到保护，不受偶然的或者恶意的原因而遭到破坏、更改、泄露，系统连续可靠正

常地运行，信息服务不中断，最终实现业务连续性。

信息安全学科可分为狭义安全与广义安全两个层次，狭义的安全是建立在以密码论为

基础的计算机安全领域，早期中国信息安全专业通常以此为基准，辅以计算机技术、通信

网络技术与编程等方面的内容;广义的信息安全是一门综合性学科，从传统的计算机安全

到信息安全，不但是名称的变更也是对安全发展的延伸，安全不在是单纯的技术问题，而

是将管理、技术、法律等问题相结合的产物。

信息安全产品

2021年信息安全产业将步入高速发展阶段，而整个互联网用户对安全产品的要求也转

入"主动性安全防御"。随着用户安全防范意识正在增强，主动性安全产品将更受关注，主

动的安全防御将成为未来安全应用的主流。

终端方案

终端安全解决方案是以终端安全保护系统全方位综合保障终端安全，并以数据安全保

护系统重点保护终端敏感数据的安全。终端安全保护系统以"主动防御"理念为基础，采用

自主知识产权的基于标识的认证技术，以智能控制和安全执行双重体系结构为基础，将全

面安全策略与操作系统有机结合，通过对代码、端口、网络连接、移动存储设备接入、数

据文件加密、行为审计分级控制，实现操作系统加固及信息系统的自主、可控、可管理，

保障终端系统及数据的安全。

安全软件

数据安全保护系统能够实现数据文档的透明加解密保护，可指定类型文件加密、指定

程序创建文件加密，杜绝文档泄密。实现数据文档的强制访问控制和统一管理控制、敏感

文件及加密密钥的冗余存储备份，包括文件权限管理、用户管理、共享管理、外发管理、

备份管理、审计管理等。对政府及企业的各种敏感数据文档，包括设计文档、设计图纸、

源代码、营销方案、财务报表及其他各种涉及企业商业秘密的文档，都能实现稳妥有效的

保护。 信息安全影响因素

信息安全与技术的关系可以追溯到远古。埃及人在石碑上镌刻了令人费解的象形文字;

斯巴达人使用一种称为密码棒的工具传达军事计划，罗马时代的凯撒大帝是加密函的古代

将领之一，"凯撒密码"据传是古罗马凯撒大帝用来保护重要军情的加密系统。它 是一种

替代密码，通过将字母按顺序推后 3 位起到加密作用，如将字母 A 换作字母 D， 将字

母 B 换作字母 E。英国计算机科学之父阿兰·图灵在英国布莱切利庄园帮助破解了 德国

海军的 Enigma 密电码，改变了二次世界大战的进程。美国 NIST 将信息安全控制分 为

3 类。

1技术，包括产品和过程例如防火墙、防病毒软件、侵入检测、加密技术。

2操作，主要包括加强机制和方法、纠正运行缺陷、各种威胁造成的运行缺陷、物 理

进入控制、备份能力、免予环境威胁的保护。

3管理，包括使用政策、员工培训、业务规划、基于信息安全的非技术领域。 信息系

统安全涉及政策法规、教育、管理标准、技术等方面，任何单一层次的安全措 施都不能

提供全方位的安全，安全问题应从系统工程的角度来考虑。图 8-1 给出了 NSTISSC 安全

模型。

安全威胁

1 信息泄露:信息被泄露或透露给某个非授权的实体。

2 破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。

3 拒绝服务:对信息或其他资源的合法访问被无条件地阻止。

4 非法使用非授权访问:某一资源被某个非授权的人，或以非授权的方式使用。

5 窃听:用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对

通信线路中传输的信号搭线监听，或者利用通信设备在工作过程中产生的电磁泄露截取有

用信息等。

6 业务流分析:通过对系统进行长期监听，利用统计分析方法对诸如通信频度、通信

的信息流向、通信总量的变化等参数进行研究，从中发现有价值的信息和规律。

7 假冒:通过欺骗通信系统或用户达到非法用户冒充成为合法用户，或者特权小的用

户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。

8 旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或

特权。例如，攻击者通过各种攻击手段发现原本应保密，但是却又暴露出来的一些系统"

特性"，利用这些"特性"，攻击者可以绕过防线守卫者侵入系统的内部。

9 授权侵犯:被授权以某一目的使用某一系统或资源的某个人，却将此权限用于其他

非授权的目的，也称作"内部攻击"。

10特洛伊木马:软件中含有一个觉察不出的有害的程序段，当它被执行时，会破坏用

户的安全。这种应用程序称为特洛伊木马Trojan Horse。

11陷阱门:在某个系统或某个部件中设置的"机关"，使得在特定的数据输入时，允许

违反安全策略。

12抵赖:这是一种来自用户的攻击，比如:否认自己曾经发布过的某条消息、伪造一份

对方来信等。

13重放:出于非法目的，将所截获的某次合法的通信数据进行拷贝，而重新发送。

14计算机病毒:一种在计算机系统运行过程中能够实现传染和侵害功能的程序。

15人员不慎:一个授权的人为了某种利益，或由于粗心，将信息泄露给一个非授权的

人。

16媒体废弃:信息被从废弃的磁碟或打印过的存储介质中获得。

17物理侵入:侵入者绕过物理控制而获得对系统的访问。

18窃取:重要的安全物品，如令牌或身份卡被盗。

19业务欺骗:某一伪系统或系统部件欺骗合法的用户或系统自愿地放弃敏感信息等等。

信息作为一种资源，它的普遍性、共享性、增值性、可处理性和多效用性，使其对于

人类具有特别重要的意义。信息安全的实质就是要保护信息系统或信息网络中的信息资源

免受各种类型的威胁、干扰和破坏，即保证信息的安全性。根据国际标准化组织的定义，

信息安全性的含义主要是指信息的完整性、可用性、保密性和可靠性。信息安全是任何国

家、政府、部门、行业都必须十分重视的问题，是一个不容忽视的国家安全战略。但是，

对于不同的部门和行业来说，其对信息安全的要求和重点却是有区别的。

中国的改革开放带来了各方面信息量的急剧增加，并要求大容量、高效率地传输这些

信息。为了适应这一形势，通信技术发生了前所未有的爆炸性发展。除有线通信外，短波、

超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时，国外敌对势力为

了窃取中国的政治、军事、经济、科学技术等方面的秘密信息，运用侦察台、侦察船、侦

察机、卫星等手段，形成固定与移动、远距离与近距离、空中与地面相结合的立体侦察网，

截取中国通信传输中的信息。

从文献中了解一个社会的内幕，早已是司空见惯的事情。在20世纪后50年中，从社

会所属计算机中了解一个社会的内幕，正变得越来越容易。不管是机构还是个人，正把日

益繁多的事情托付给计算机来完成，敏感信息正经过脆弱的通信线路在计算机系统之间传

送，专用信息在计算机内存储或在计算机之间传送，电子银行业务使财务账目可通过通信

线路查阅，执法部门从计算机中了解罪犯的前科，医生们用计算机管理病历，最重要的问

题是不能在对非法非授权获取访问不加防范的条件下传输信息。

传输信息的方式很多，有局域计算机网、互联网和分布式数据库，有蜂窝式无线、分

组交换式无线、卫星电视会议、电子邮件及其它各种传输技术。信息在存储、处理和交换

过程中，都存在泄密或被截收、窃听、窜改和伪造的可能性。不难看出，单一的保密措施

已很难保证通信和信息的安全，必须综合应用各种保密措施，即通过技术的、管理的、行

政的手段，实现信源、信号、信息三个环节的保护，藉以达到秘密信息安全的目的。

感谢您的阅读，祝您生活愉快。