山东政法学院王海军《网络信息安全管理研究》山东省社科重点项目结项成果《加强网络信息安全管理研究》讲Word文档格式.docx
《山东政法学院王海军《网络信息安全管理研究》山东省社科重点项目结项成果《加强网络信息安全管理研究》讲Word文档格式.docx》由会员分享,可在线阅读,更多相关《山东政法学院王海军《网络信息安全管理研究》山东省社科重点项目结项成果《加强网络信息安全管理研究》讲Word文档格式.docx(17页珍藏版)》请在冰豆网上搜索。
很多信息系统没有设计得很安全。
利用技术手段获得的安全是受限制的,因而还应该得到相应管理和程序的支持。
选择使用那些安全控制需要事前小心周密计划和对细节的关注。
信息安全管理至少需要机构全体员工的参与,同时也应让供应商、客户或股东参与,如果有必要,可以向外界寻求专家的建议。
对信息安全的控制如果融合到需求分析和系统设计阶段,则效果会更好,成本也更便宜。
4、如何制定安全需求
识别出一个机构的安全需求是很重要的。
安全需求有三个主要来源。
第一个来源是对机构面临的风险的评估。
经过评估风险后,便可以找出对机构资产安全的威胁,对漏洞及其出现的可能性以及造成多大损失有个估计。
第二个来源是机构与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文的要求。
第三个来源是机构为业务正常运作所特别制定的原则、目标及信息处理的规定。
P8内容比对信息系统安全与杜会责任信息系统安全与杜会责任信息系..http:
//211.67.177.69/jpkc/userfiles/jsj/sn/hao/wangluoketang/10/101.pdf
保密性是指保证信息只让合法用户访问,信息不泄露给非授权的个人和实体.信息的
保密性可以具有不同的保密程度或层次,所有人员都可以访问的信息为公开信息,需要限制
访问的信息一般为敏感信息,敏感信息又可以根据信息的重要性及保密要求分为不同的密
级,例如国家根据秘密泄露对国家经济,安全利益产生的影响,将国家秘密分为"
秘密"
"
机密"
和"
绝密"
三个等级,可根据信息安全要求的实际,在符合《国家保密法》的前提
下将信息划分为不同的密级.对于具体信息的保密性还有时效性要求等(如保密期限到期了
即可进行解密等).
完整性是指保障信息及其处理方法的准确性,完全性.它一方面是指信息在利用,传
输,存贮等过程中不被篡改,丢失,缺损等,另—方面是指信息处理的方法的正确性.不正
当的操作,有可能造成重要信息的丢失.信息完整性是信息安全的基本要求,破坏信息的完
整性是影响信息安全的常用手段.例如,破坏商用信息的完整性可能就意味着整个交易的失
败.
可用性是指有权使用信息的人在需要的时候可以立即获取.例如,有线电视线路被中
断就是对信息可用性的破坏.
可控性是指对信息的传播及内容具有控制能力.
网络安全应具有以下五个方面的特征:
保密性:
信息不泄露给非授权用户、实体或过程,或供其利用的特性。
完整性:
数据XX不能进行改变的特性。
即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性。
可用性:
可被授权实体访问并按需求使用的特性。
即当需要时能否存取所需的信息。
例如网络环境下拒绝服务、破坏网络和有关系统的正常运行等都属于对可用性的攻击;
可控性:
对信息的传播及内容具有控制能力。
可审查性:
出现的安全问题时提供依据与手段
P9-12连续四页内容比对自:
信息安全技术历史
信息安全”依然是2005年全球IT界的热点话题,这一方面是因为商业计算所面临的“安全形势更严峻”,另一方面是由于客户对“高信度计算”的需求在不断升级。
(中间拼凑了一些数字后——)
信息安全业在中国信息化建设的进程中可算是一个新兴产业,大体上,产业的发展轨迹包括了三个阶段。
萌芽阶段(2005年之前):
这个阶段的特点是,国内各行业、各部门开始萌生信息安全的意识——从最初的“重视信息化建设”却“轻视安全体系的构建”,发展至“意识到安全的重要性”并且“希望在企业内部实现安全”,但又认为信息安全很神秘,不知从何入手。
在此阶段,各行业的客户都在有意识地学习和积淀信息安全知识,与这一领域的权威企业广泛交流,了解其技术、理念、产品、服务。
与此同时,一些企业、部门也出现了一些规模较小的、零星的信息安全建设,但并未实现规模化和系统化;
而且这个时期政府对于信息安全在宏观政策上的体现是呼吁较多,而具体的推进事务则比较少,虽然显得很热闹,但实际信息安全建设很少。
爆发阶段(2005-2009年):
这个阶段的特点是,国内各行业、部门对于信息安全建设的需求由“自发”走向“自觉”。
企业客户已基本了解了信息安全的建设内容与重要意义——很多行业部门开始对内部信息安全建设展开规划与部署,企业领导高度重视,投资力度不断加大。
由此,信息安全成为了这一阶段企业IT建设的重中之重。
某种意义上,信息安全市场的需求爆发可说是多年来企业在安全方面的“欠债”所造成的。
普惠阶段(2010年以后):
当信息安全建设与企业整体信息化建设融而为一,信息安全作为一个话题可能会丧失其“热点效应”,但作为企业IT建设的关键环节之一,它是普惠的——就像空气一样无比重要、无所不在,却又不易为人察觉。
2004年是信息安全发展由第一阶段到第二阶段的过渡期,而从2005年起则将进入到第二阶段,信息安全产业将在2005年迎来需求的“井喷”。
从现在起的3~5年内,信息安全市场将保持高速、超规模的发展势头,电信、政府、金融将会是2005年信息安全需求最大的行业。
因为电信业和金融业是投资大、发展快、信息化程度高而需求复杂、安全形势相对严峻的行业,而政府部门则因站位较高、安全需求迫切,对外(包括国内商界和全球政经界)又在时刻发挥着示范作用,所以也会对信息安全加大投入。
2005:
客户需求多样化、技术发展两极化
2005年客户对信息安全产品的需求将表现在四个层面。
首先,大的行业客户对安全的需求会“从单一信息安全产品发展到综合防御体系”,“从某一点的安全建设过渡到整个安全体系的建设”。
其次,信息安全部署的重点开始由“网络安全”向“应用安全”嬗变。
“咨询+建设+外包”的模式会逐渐普及。
再次,自2005年起,国内信息安全企业将在市场上逐渐占据主流:
一方面,在服务和建设方面,国内的安全企业一直拥有优势。
众所周知,对于信息安全建设来说,服务比产品更重要,国外安全企业由于人力成本太高,很难做到本地化、定制化地满足客户需求,而在这方面,国内企业有明显的优势;
另一方面,国内安全企业的产品也开始会在市场上占据主流——目前国内企业已在中低端市场巩固住了优势,而自2004年始,以联想的超5系列防火墙为代表的产品和方案,已在高端市场与国外产品展开了正面竞争。
最后,从客户业务的层面看,应用安全和安全管理会逐渐热起来。
安全外包目前还处于试探性阶段,但可能会成为将来安全建设的热点。
2005年,信息安全技术的发展将呈现出两极分化的趋势:
专一之路和融合之路都会有厂商去“趟”。
诸如防火墙、IDS、内容管理等产品方案会越做越专,这是因为一些安全需求较高的行业(如电信、金融行业)须应对复杂多变的安全威胁。
同时,融合也是一种趋势。
在安全要求不太高的行业,对一些综合性的产品需求会越来越多,例如学校的网络。
国内信息安全企业的机遇
2005年,三大因素将推动国内信息安全产业的发展。
其一是企业的信息化乃至整个社会的信息化。
客户端对于安全保障的要求会越来越高,对信息安全的需求会越来越大。
其二是政府的引领和推进作用。
去年27号文件的出台,必然会直接推动一些国家关键信息化点和行业的安全建设进程。
其三是安全技术和产品的日益成熟。
2003年以前,国外的安全产品技术相对先进,但由于人力成本高,难以做到贴身为客户服务,且往往需要固化在企业IT信息系统内,很难升级。
相比之下,国内产品与之存在一定的技术差距,但服务优势却很明显;
而在2004年以后,国内信息安全产品的技术改进明显,稳定性、可靠性有了极大的提升,再加上国内产品往往能提供贴身定制化的服务,这无疑会诱发客户的采购热情.
也抄自信息安全意识初探,
P14全页内容比对XX百科“网络安全”
1996年初,据美国旧金山的计算机安全协会与联邦调查局的一次联合调查统计,有53%的企业受到过计算机病毒的侵害,42%的企业的计算机系统在过去的12个月被非法使用过。
而五角大楼的一个研究小组称美国一年中遭受的攻击就达25万次之多。
1994年末,俄罗斯黑客弗拉基米尔·
利维与其伙伴从圣彼得堡的一家小软件公司的联网计算机上,向美国CITYBANK银行发动了一连串攻击,通过电子转帐方式,从CITYBANK银行在纽约的计算机主机里窃取1100万美元。
1996年8月17日,美国司法部的网络服务器遭到黑客入侵,并将“美国司法部”的主页改为“美国不公正部”,将司法部部长的照片换成了阿道夫·
希特勒,将司法部徽章换成了纳粹党徽,并加上一幅色情女郎的图片作为所谓司法部部长的助手。
此外还留下了很多攻击美国司法政策的文字。
1996年9月18日,黑客又光顾美国中央情报局的网络服务器,将其主页由“中央情报局”改为“中央愚蠢局”。
1996年12月29日,黑客侵入美国空军的全球网网址并将其主页肆意改动,其中有关空军介绍、新闻发布等内容被替换成一段简短的黄色录象,且声称美国政府所说的一切都是谎言。
迫使美国国防部一度关闭了其他80多个军方网址。
1996年2月,刚开通不久的Chinanet受到攻击,且攻击得逞。
1997年初,北京某ISP被黑客成功侵入,并在清华大学“水木清华”BBS站的“黑客与解密”讨论区张贴有关如何免费通过该ISP进入Internet的文章。
1997年4月23日,美国德克萨斯州内查德逊地区西南贝尔互联网络公司的某个PPP用户侵入中国互联网络信息中心的服务器,破译该系统的shutdown帐户,把中国互联网信息中心的主页换成了一个笑嘻嘻的骷髅头。
P15页最后两段全页内容比对化繁为简:
解析领导与管理的真谛
一个成功或卓越的领导者、管理者总是能够在这三个方面赢得员工和下属的信赖支持,从而创造一种强大的向心力和凝聚力,形成一种颇具群体意志和协同战斗力的斗志昂扬的工作团队。
这样士气高昂的一个团队不仅能够具有更强的做事上的执行力,而且具备一种克服困难、团队作战、群策群力、共同解决工作问题,甚至推翻巨大障碍,创造经营奇迹的神奇力量。
这样一个优秀、密切配合,形同一人的高质量团队,必然是思想开放和思维活跃的,也必然是知识共享、智能共生、情节共通、能力互补的学习型团队。
因此,这样的团队必然能够产生生产工作上的高效率和工作成果上的高效益,从而能够为企业或组织的长期高速健康发展提供源源不断的内在驱动力。
我想,人们现在所说的企业核心竞争能力其实就是我现在所深刻领会到的这一团队能力。
而这样一个团队的形成,必须依赖于一个不可动摇、不可或缺的核心与基础。
这个核心与基础,就是这个团队拥有一位心胸开阔、智慧超群、能力全面、关怀人性、乐于培养下属和员工、对企业和员工真正怀有一种使命感、一种发自内心深处的善良的爱的领导人。
P16-18内容比对自wangqiangdlcx的博客
管理的对象包括人,管理也可以解决一部分人的激励的问题,但不能全部解决。
管理...
……
厂家的业务人员不但要进行渠道的管理和维护工作,而且要将和消费者的沟通工作渗透...一是不知道经营一个企业到底是为什么,除了赚钱之外,不知道企业还有其他更有意...
P94-95内容比对自XX贴吧数据恢复的常用方法
什么是数据修复呢,数据修复就是把遭受破坏或误作导致丢失的数据找回来的方法。
包括硬盘、软盘、可移动磁盘的数据恢复等。
数据恢复可以针对不同作系统(DOS
、Windows9X/NT/
2000、UNIX、NOVELL等)的数据进行恢复,对于一些比较特殊的数据丢失原因,数据恢复可能会出现完全不能恢复或只能恢复部分数据,如:
数据被覆盖(OVER
WRITE)、低级格式化(LOW
LEVEL
FORMAT)、磁盘盘片严重损伤等。
1.
恢复数据的几项原则
如果希望在数据恢复时保持最大程度的恢复率,应遵循以下几项原则:
发现问题时:
如果可能,应立即停止所有的写作,并进行必要的数据备份,出现明显的硬件故障时,不要尝试修复,应送往专业的数据恢复公司。
恢复数据时:
如果可能,则应立即进行必要的数据备份,并优先抢救最关键的数据,在恢复分区时则应优先修复扩展分区,再修复C。
2.数据恢复可能性分析
硬盘数据丢失后,数据还能恢复吗?
这是许多电脑用户最关心的问题。
根据现有的数据恢复实践和经验表明:
大多数情况下,用户找不到的数据往往并没有真正的丢失和被破坏,80%的情况下,
数据都是可以复原的。
下面是常见的几种数据恢复可能性与成功率分析:
·
病毒破坏
破坏硬盘数据信息是电脑病毒主要的设计目的与破坏手段。
有些病毒可以篡改、删除用户文件数据,导致文件无法打开,或文件丢失;
有些更具破坏力的病毒则修改系统数据,导致计算机无法正常启动和运行。
针对病毒导致的硬盘数据丢失,国内各大杀毒软件厂商都掌握了相当成熟的恢复经验,例如江民科技的KV系列杀毒软件就曾将恢复这类数据的过程与方面在软件中设计成了一个模块,即使是初级的用户也只需经过简单的几个步骤就可恢复85~100%的数据。
软件破坏
软件破坏通常包括:
误删除、误格式化、误分区、误克隆等。
目前的硬盘数据恢复技术对于软件破坏而导致的数据丢失恢复成功率相当的高--平均90%以上。
此类数据恢复技术已经可以对FAT12、FAT16、FAT32、NTFS4.0、NTFS5.0等分区格式,DOS、Windows9X/ME、Windows
NT/2000、Windows
XP、UNIX、Linux等作系统完全兼容。
硬件破坏
硬件原因导致数据丢失,如果是介质设备硬件损坏,电路板有明显的烧毁痕迹或设备(如硬盘)有异响或BIOS不认硬盘参数,这种情况下的数据恢复对于个人用户显得非常困难,所以遇到这种情况,应立即送往具有硬件修理能力的数据恢复公司进行专业恢复。
这类故障通常要首先排除硬件故障,使介质在特殊的工作平台上能正确的工作,其次是要确认所发生的硬件故障没有破坏存储数据的介质本身,这种情况下数据恢复的概率就颇为戏剧性了。
警告:
用户在第一时间发现数据已损失,如果本身并无数据恢复把握,应立即停止任何作,特别是数据写入和磁盘整理作应绝对禁止。
这样才能最大限度地保证数据的恢复。
否则往往有可能会破坏数据的完整性,丧失最后的数据恢复机会
三、恢复数据常用工具软件介绍
1.Ontrack
EasyRecovery
V6.00.09
EasyRecovery是一款威力非常强大硬盘数据恢复工具,能够恢复因分区表破坏、病毒攻击、误格式化等原因而丢失的数据,EasyRecovery
不会向原始驱动器写入任何数据,它主要是在内存中重建文件分区表使数据能够安全地传输到其他驱动器中。
该软件可以恢复大于
8.4GB
的硬盘,支持长文件名。
V6.00.09版本还使用了全新的数据恢复引擎,能够对
ZIP
文件以及微软的
Office
系列文档进行修复!
见图1
2.
FinalData
当文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、物理故障造成FAT表或者磁盘根区不可读,以及磁盘格式化造成的全部文件信息丢失之后,FinalData都能够通过直接扫描目标磁盘抽取并恢复出文件信息(包括文件名、文件类型、原始位置、创建日期、删除日期、文件长度等),用户可以根据这些信息方便地查找和恢复自己需要的文件。
甚至在数据文件已经被部分覆盖以后,专业版FinalData也可以将剩余部分文件恢复出来。
见图2
3.
File
Scavenger
2.1
Scavenger是一款能够恢复在NTFS格式下数据被意外删除的工具,全面支持Windows
2000/XP/NT系统,但前提条件是所删除的硬盘尚未被改写新的文件上去才可以救回,提供了找寻文件类型功能,如*.doc及*.txt,能够救回的文件不只单一文件,还包括整个目录及压缩文件,也支持救回来的文件选择在原来所在位置恢复或储存到其它的硬盘。
在使用File
Scavenger时,需要在Windows
2000/NT系统中以系统管理员身份登录。
见图3
4.BadCopy
Pro
3.50
当我们复制软盘、光盘中的文件时,往往会遇到因数据某些位元不能读取或损坏的情况,正常情况下我们就必需放弃整个文件了,这显然是很可惜的。
但是这个时候,如果你尝试使用一下BadCopy
Pro,那么极有可能它会使你的数据读取变得流畅自如,其专业的磁盘文件读取及修复功能将可以最大程度地解决光盘或磁盘上的坏文件数据复制困难的问题。
警告:
BadCopy
的使用方法相当简单,所有的复原过程也都是自动的。
只需要点选是软盘或是光盘,以及标明要修复的文件在哪个目录底下以及文件名等等,就交给它了。
见图4
四、数据恢复常见方法
作为个人用户,知晓和掌握一些行之有效的数据恢复方法是非常有必要的,这些方法可以在用户对恢复数据时大显身手。
1.数据恢复的作过程
(1)对硬件和基本配置进行检查。
对于电脑无法检测硬盘的情况,首先要检查以下几点:
硬盘驱动器与硬盘控制器的连接是否正常,硬盘驱动器电源线连接是否正常;
如果存在多个设备需检查硬盘之间或硬盘与光驱等设备之间是否存在冲突;
检查CMOS中的硬盘信息是否正确无误。
(2)主引导区检查及修复
MBR(Main
Boot
Record)主引导区,它位于整个硬盘的0磁道0柱面1扇区。
包括硬盘引导程序和分区表。
主引导区如果被病毒、误作等破坏,可能导致硬盘或数据无法访问。
此时应用软盘启动系统,尝试是否可以访问硬盘,如果能够访问,则说明可能仅是作系统被破坏,如果不能访问,则有可能将面临硬件故障,
升级会员 