信息安全:中國普通高等學校本科專業-中文百科頻道

專業概述

信息安全主要研究信息系統、信息安全與保密、網絡安全等方面的基本知識和技術，采取各種防護措施，對信息、網絡、服務器等進行安全保護等。例如：電腦防火牆的搭建、入侵檢測系統的設計、網絡病毒的檢測分析、殺毒軟件的研發、企業内網的監測排查、軟件漏洞的挖掘與修複等。

院校目标

目标1：具有良好的人文社會科學素養、社會責任感和工程職業道德，了解國家和社會現狀，具有正确的價值觀、人生觀；

目标2：掌握紮實的數學、自然科學知識及學科和專業基礎知識，具有豐富的信息安全項目經驗，能設計并成功實現信息安全相關解決方案，在網絡安全、系統安全、密碼學、内容安全或相關領域具備較高的專業素質，以及較強解決信息安全複雜工程問題的能力。具有團隊合作的意識和能力，能在團隊工作環境中組織、協調和開展信息安全專業相關工作；

目标3：具有跨領域溝通能力，能在社會、健康、安全、法律以及文化因素以及行業背景下，綜合運用知識體系分析和解決複雜信息安全問題；

目标4：具有依據工程需要自主學習的能力，追蹤學習該領域的前沿動态和主要進展，并優化自身知識體系，具備自我規劃的能力，具有一定的創新能力和國際視野，能适應技術發展和社會需求變化，在信息安全行業具有競争力。

安全威脅

竊取：非法用戶通過數據竊聽的手段獲得敏感信息。

截取：非法用戶首先獲得信息，再将此信息發送給真實接收者。

僞造：将僞造的信息發送給接收者。

篡改：非法用戶對合法用戶之間的通訊信息進行修改，再發送給接收者。

拒絕服務攻擊：攻擊服務系統，造成系統癱瘓，阻止合法用戶獲得服務。

行為否認：合法用戶否認已經發生的行為。

非授權訪問：未經系統授權而使用網絡或計算機資源。

傳播病毒：通過網絡傳播計算機病毒，其破壞性非常高，而且用戶很難防範。

主要來源

自然災害、意外事故；

計算機犯罪；

人為錯誤，比如使用不當，安全意識差等；

"黑客"行為；

内部洩密；

外部洩密；

信息丢失；

電子諜報，比如信息流量分析、信息竊取等；

信息戰；

網絡協議自身缺陷缺陷，例如TCP/IP協議的安全問題等等。

安全策略

信息安全策略是指為保證提供一定級别的安全保護所必須遵守的規則。實現信息安全，不但靠先進的技術，而且也得靠嚴格的安全管理，法律約束和安全教育：

先進的信息安全技術是網絡安全的根本保證。用戶對自身面臨的威脅進行風險評估，決定其所需要的安全服務種類，選擇相應的安全機制，制定信心安全解決方案，然後集成先進的安全技術，形成一個全方位的安全系統；

嚴格的安全管理。各計算機網絡使用機構，企業和單位應建立相應的網絡安全管理辦法，加強内部管理，建立合适的網絡安全管理系統，如建立UniNAC準入控制系統，用以加強用戶管理和授權管理，建立安全審計和跟蹤體系，提高整體網絡安全意識等；

制訂嚴格的法律、法規。計算機網絡是一種新生事物。它的許多行為無法可依，無章可循，導緻網絡上計算機犯罪處于無序狀态。面對日趨嚴重的網絡上犯罪，必須建立與網絡安全相關的法律、法規，使非法分子懾于法律，不敢輕舉妄動。

技術簡介

目前，在市場上比較流行，而又能夠代表未來發展方向的安全産品大緻有以下幾類：

防火牆

防火牆在某種意義上可以說是一種訪問控制産品。它在内部網絡與不安全的外部網絡之間設置障礙，阻止外界對内部資源的非法訪問，防止内部對外部的不安全訪問。主要技術有：包過濾技術，應用網關技術，代理服務技術。防火牆能夠較為有效地防止黑客利用不安全的服務對内部網絡的攻擊，并且能夠實現數據流的監控、過濾、記錄和報告功能，較好地隔斷内部網絡與外部網絡的連接。但它其本身可能存在安全問題，也可能會是一個潛在的瓶頸。

網絡安全隔離

網絡隔離有兩種方式，一種是采用隔離卡來實現的，一種是采用網絡安全隔離網閘實現的。隔離卡主要用于對單台機器的隔離，網閘主要用于對于整個網絡的隔離。這兩者的區别可參見參考資料。網絡安全隔離與防火牆的區别可參看參考資料。

安全路由器

由于WAN連接需要專用的路由器設備，因而可通過路由器來控制網絡傳輸。通常采用訪問控制列表技術來控制網絡信息流。

虛拟專用網(VPN)

虛拟專用網（VPN）是在公共數據網絡上，通過采用數據加密技術和訪問控制技術，實現兩個或多個可信内部網之間的互聯。VPN的構築通常都要求采用具有加密功能的路由器或防火牆，以實現數據在公共信道上的可信傳遞。

安全服務器

安全服務器主要針對一個局域網内部信息存儲、傳輸的安全保密問題，其實現功能包括對局域網資源的管理和控制，對局域網内用戶的管理，以及局域網中所有安全相關事件的審計和跟蹤。

電子簽證機構（CA）作為通信的第三方，為各種服務提供可信任的認證服務。CA可向用戶發行電子簽證證書，為用戶提供成員身份驗證和密鑰管理等功能。PKI産品可以提供更多的功能和更好的服務，将成為所有應用的計算基礎結構的核心部件。

用戶認證産品

由于IC卡技術的日益成熟和完善，IC卡被更為廣泛地用于用戶認證産品中，用來存儲用戶的個人私鑰，并與其它技術如動态口令相結合，對用戶身份進行有效的識别。同時，還可利用IC卡上的個人私鑰與數字簽名技術結合，實現數字簽名機制。随着模式識别技術的發展，諸如指紋、視網膜、臉部特征等高級的身份識别技術也将投入應用，并與數字簽名等現有技術結合，必将使得對于用戶身份的認證和識别更趨完善。

安全管理中心

由于網上的安全産品較多，且分布在不同的位置，這就需要建立一套集中管理的機制和設備，即安全管理中心。它用來給各網絡安全設備分發密鑰，監控網絡安全設備的運行狀态，負責收集網絡安全設備的審計信息等。

入侵檢測，作為傳統保護機制（比如訪問控制，身份識别等）的有效補充，形成了信息系統中不可或缺的反饋鍊。

安全數據庫

由于大量的信息存儲在計算機數據庫内，有些信息是有價值的，也是敏感的，需要保護。安全數據庫可以确保數據庫的完整性、可靠性、有效性、機密性、可審計性及存取控制與用戶身份識别等。

安全操作系統

給系統中的關鍵服務器提供安全運行平台，構成安全WWW服務，安全FTP服務，安全SMTP服務等，并作為各類網絡安全産品的堅實底座，确保這些安全産品的自身安全。[7]

目标原則

目标

所有的信息安全技術都是為了達到一定的安全目标，其核心包括保密性、完整性、可用性、可控性和不可否認性五個安全目标。

1.保密性(Confidentiality)：是指阻止非授權的主體閱讀信息。它是信息安全一誕生就具有的特性，也是信息安全主要的研究内容之一。更通俗地講，就是說未授權的用戶不能夠獲取敏感信息。對紙質文檔信息，我們隻需要保護好文件，不被非授權者接觸即可。而對計算機及網絡環境中的信息，不僅要制止非授權者對信息的閱讀。也要阻止授權者将其訪問的信息傳遞給非授權者，以緻信息被洩漏。

2.完整性(Integrity)是指防止信息被未經授權的篡改。它是保護信息保持原始的狀态，使信息保持其真實性。如果這些信息被蓄意地修改、插入、删除等，形成虛假信息将帶來嚴重的後果。

3.可用性(Availability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求，也是在網絡化空間中必須滿足的一項信息安全要求。

4.可控性(Controlability)是指對信息和信息系統實施安全監控管理，防止非法利用信息和信息系統。

5.不可否認性(Non-repudiation)是指在網絡環境中，信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。

信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對授權主體的不正當行為如何控制呢?信息安全的可控性和不可否認性恰恰是通過對授權主體的控制，實現對保密性、完整性和可用性的有效補充，主要強調授權用戶隻能在授權範圍内進行合法的訪問，并對其行為進行監督和審查。除了上述的信息安全五性外，還有信息安全的可審計性(Audiability)、可鑒别性(Authenticity)等。

1.可審計性(Audiability)是指信息系統的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比，可審計性的含義更寬泛一些。

2.可見鑒别性(Authenticity)是指信息的接收者能對信息的發送者的身份進行判定。它也是一個與不可否認性相關的概念。原則為了達到信息安全的目标，各種信息安全技術的使用必須遵守一些基本的原則。

最小化原則

受保護的敏感信息隻能在一定範圍内被共享，履行工作職責和職能的安全主體，在法律和相關安全策略允許的前提下，為滿足工作需要。僅被授予其訪問信息的适當權限，稱為最小化原則。敏感信息的。知情權”一定要加以限制，是在“滿足工作需要”前提下的一種限制性開放。可以将最小化原則細分為知所必須(need to know)和用所必須(need協峨)的原則。

1.分權制衡原則：在信息系統中，對所有權限應該進行适當地劃分，使每個授權主體隻能擁有其中的一部分權限，使他們之間相互制約、相互監督，共同保證信息系統的安全。如果—個授權主體分配的權限過大，無人監督和制約，就隐含了“濫用權力”、“一言九鼎”的安全隐患。

2.安全隔離原則：隔離和控制是實現信息安全的基本方法，而隔離是進行控制的基礎。信息安全的一個基本策略就是将信息的主體與客體分離，按照一定的安全策略，在可控和安全的前提下實施主體對客體的訪問。

在這些基本原則的基礎上，人們在生産實踐過程中還總結出的一些實施原則，他們是基本原則的具體體現和擴展。包括：整體保護原則、誰主管誰負責原則、适度保護的等級化原則、分域保護原則、動态保護原則、多級保護原則、深度保護原則和信息流向原則等。

資質認證

中國信息安全測評認證中心是國内信息安全最高認證，測評及認定項目分為信息安全産品測評、信息系統安全等級認定、信息安全服務資質認定、信息安全從業人員資質認定四大類。

信息安全産品測評：對國内外信息技術産品的安全性進行測評，其中包括各類信息安全産品如防火牆、入侵監測、安全審計、網絡隔離、VPN、智能卡、卡終端、安全管理等，以及各類非安全專用IT産品如操作系統、數據庫、交換機、路由器、應用軟件等。

根據測評依據及測評内容，分為：信息安全産品分級評估、信息安全産品認定測評、信息技術産品自主原創測評、源代碼安全風險評估、選型測試、定制測試。

信息系統認定：

對國内信息系統的安全性測試、評估和認定、根據依據标準及測評方法的不同，主要提供：信息安全風險評估、信息系統安全等級保護測評、信息系統安全保障能力評估、信息系統安全方案評審、電子政務項目信息安全風險評估。

信息安全服務資質認定：

對提供信息安全服務的組織和單位資質進行審核、評估和認定。信息安全服務資質是對信息系統安全服務的提供者的技術、資源、法律、管理等方面的資質和能力，以及其穩定性、可靠性進行評估，并依據公開的标準和程序，對其安全服務保障能力進行認定的過程。分為：信息安全工程類、信息安全災難恢複類、安全運營維護類。

信息安全專業人員資質認定：

對信息安全專業人員的資質能力進行考核、評估和認定。信息安全人員測評與資質認定，主要包括注冊信息安全專業人員（CISP）、注冊信息安全員（CISM）及安全編成等專項培訓、信息安全意識培訓。

技術對比

法政标

信息安全法規、政策與标準

1）法律體系初步構建，但體系化與有效性等方面仍有待進一步完善信息安全法律法規體系初步形成。

據相關統計，截至2008年與信息安全直接相關的法律有65部，涉及網絡與信息系統安全、信息内容安全、信息安全系

統與産品、保密及密碼管理、計算機病毒與危害性程序防治、金融等特定領域的信息安全、信息安全犯罪制裁等多個領域，從形式看，有法律、相關的決定、司法解

釋及相關文件、行政法規、法規性文件、部門規章及相關文件、地方性法規與地方政府規章及相關文件多個層次。與此同時，與信息安全相關的司法和行政管理體系

迅速完善。但整體來看，與美國、歐盟等先進國家與地區比較，我們在相關法律方面還欠體系化、覆蓋面與深度。缺乏相關的基本法，信息安全在法律層面的缺失對

于信息安全保障形成重大隐患。

2）相關系列政策推出，與國外也有異曲同工之處從政策來看，美國信息安全政策體系也值得國内學習與借鑒。美國在信息安全管理以及政策支持方面走在全球的前列：

一是制定了從軍政部門、公共部門和私營領域的風險管理政策和指南；

二是形成了軍、政、學、商分工協作的風險管理體系；

三是國防部、商務部、審計署、預算管理等部門各司其職，形成了較為完整的風險分析、評估、監督、檢查問責的工作機制。

3）信息安全标準化工作得到重視，但标準體系尚待發展與完善信息安全标準體系主要由基礎标準、技術标準和管理标準等分體系組成。

我國信息技術安全标準化技術委員會(CITS)主持制定了GB系列的信息安全标準對信息安全軟件、硬件、施工、檢

測、管理等方面的幾十個主要标準。但總體而言，我國的信息安全标準體系仍處于發展和建立階段，基本上是引用與借鑒了國際以及先進國家的相關标準。因此，我

國在信息安全标準組織體系方面還有待于進一步發展與完善。

意識實踐

信息安全用戶意識與實踐

1）信息安全意識有待提高

與發達國家相比，我國的信息安全産業不單是規模或份額的問題，在深層次的安全意識等方面差距也不少。而從個人信息安全意識層面來看，與美歐等相比較，僅盜版軟件使用率相對較高這種現象就可以部分說明我國個人用戶的信息安全意識仍然較差。包括信用卡使用過程中暴露出來的簽名不嚴格、加密程度低，以及在互聯網使用過程中的密碼使用以及更換等方面都更多地表明，我國個人用戶的信息安全意識有待于提高。

2）信息安全實踐過程有待加強管理

信息安全意識較低的必然結果就是導緻信息安全實踐水平較差。廣大中小企業與大量的政府、行業與事業單位用戶對于信息安全的淡漠意識直接表現為缺乏有效地信息安全保障措施，雖然，這是一個全球性的問題，但是我國用戶在這一方面與發達國家還有一定差距。