複製鏈接
請複製以下鏈接發送給好友

信息安全

(專有名詞)

鎖定
信息安全,ISO(國際標準化組織)的定義為:為數據處理系統建立和採用的技術、管理上的安全保護,為的是保護計算機硬件、軟件、數據不因偶然和惡意的原因而遭到破壞、更改和泄露。 [1] 
中國企業在信息安全方面始終保持着良好記錄。 [13] 
中文名
信息安全
外文名
Information Security
相關領域
計算機安全
層    次
狹義安全與廣義安全
從    事
計算機通信電子商務
狹義的安全
建立在密碼論基礎計算機安全領域

信息安全安全問題

1、個人信息沒有得到規範採集
現階段,雖然生活方式呈現出簡單和快捷性,但其背後也伴有諸多信息安全隱患。例如詐騙電話、大學生“裸貸”問題、推銷信息以及人肉搜索信息等均對個人信息安全造成影響。不法分子通過各類軟件或者程序來盜取個人信息,並利用信息來獲利,嚴重影響了公民生命、財產安全。此類問題多是集中於日常生活,比如無權、過度或者是非法收集等情況。除了政府和得到批准的企業外,還有部分未經批准的商家或者個人對個人信息實施非法採集,甚至部分調查機構建立調查公司,並肆意兜售個人信息。上述問題使得個人信息安全遭到極大影響,嚴重侵犯公民的隱私權 [2] 
2、公民欠缺足夠的信息保護意識
網絡上個人信息的肆意傳播、電話推銷源源不絕等情況時有發生,從其根源來看,這與公民欠缺足夠的信息保護意識密切相關。公民在個人信息層面的保護意識相對薄弱給信息被盜取創造了條件。比如,隨便點進網站便需要填寫相關資料,有的網站甚至要求精確到身份證號碼等信息。很多公民並未意識到上述行為是對信息安全的侵犯。此外,部分網站基於公民意識薄弱的特點公然泄露或者是出售相關信息。再者,日常生活中隨便填寫傳單等資料也存在信息被為違規使用的風險。 [2] 
3、相關部門監管不力
政府針對個人信息採取監管和保護措施時,可能存在界限模糊的問題,這主要與管理理念模糊、機制缺失聯繫密切。部分地方政府並未基於個人信息設置專業化的監管部門,引起職責不清、管理效率較低等問題。此外,大數據需要以網絡為基礎,網絡用户較多並且信息較為繁雜,因此政府也很難實現精細化管理。再加上與網絡信息管理相關的規範條例等並不系統,使得政府很難針對個人信息做到有力監管。 [2] 

信息安全安全檢測

信息安全網站

網站安全檢測,也稱網站安全評估、網站漏洞測試Web安全檢測等。它是通過技術手段對網站進行漏洞掃描,檢測網頁是否存在漏洞、網頁是否掛馬、網頁有沒有被篡改、是否有欺詐網站等,提醒網站管理員及時修復和加固,保障Web網站的安全運行。 [3] 
1、注入攻擊:檢測Web網站是否存在諸如SQL注入SSI注入、Ldap注入、Xpath注入等漏洞,如果存在該漏洞,攻擊者對注入點進行注入攻擊,可輕易獲得網站的後台管理權限,甚至網站服務器的管理權限。 [3] 
2、XSS跨站腳本:檢測Web網站是否存在XSS跨站腳本漏洞,如果存在該漏洞,網站可能遭受Cookie欺騙網頁掛馬等攻擊。 [3] 
3、網頁掛馬檢測Web網站是否被黑客或惡意攻擊者非法植入了木馬程序 [3] 
4、緩衝區溢出:檢測Web網站服務器和服務器軟件,是否存在緩衝區溢出漏洞,如果存在,攻擊者可通過此漏洞,獲得網站或服務器的管理權限。 [3] 
5、上傳漏洞:檢測Web網站的上傳功能是否存在上傳漏洞,如果存在此漏洞,攻擊者可直接利用該漏洞上傳木馬獲得WebShell。 [3] 
6、源代碼泄露:檢測Web網絡是否存在源代碼泄露漏洞,如果存在此漏洞,攻擊者可直接下載網站的源代碼。 [3] 
7、隱藏目錄泄露:檢測Web網站的某些隱藏目錄是否存在泄露漏洞,如果存在此漏洞,攻擊者可瞭解網站的全部結構。 [3] 
8、數據庫泄露:檢測Web網站是否在數據庫泄露的漏洞,如果存在此漏洞,攻擊者通過暴庫等方式,可以非法下載網站數據庫 [3] 
9、弱口令檢測Web網站的後台管理用户,以及前台用户,是否存在使用弱口令的情況。 [3] 
10、管理地址泄露:檢測Web網站是否存在管理地址泄露功能,如果存在此漏洞,攻擊者可輕易獲得網站的後台管理地址。 [3] 

信息安全網絡

1、結構安全與網段劃分
網絡設備的業務處理能力具備冗餘空間,滿足業務高峯期需要;根據機構業務的特點,在滿足業務高峯期需要的基礎上,合理設計網絡帶寬 [3] 
2、網絡訪問控制
不允許數據帶通用協議通過。 [3] 
3、撥號訪問控制
不開放遠程撥號訪問功能(如遠程撥號用户或移動VPN用户)。 [3] 
4、網絡安全審計
記錄網絡設備的運行狀況、網絡流量、用户行為等事件的日期和時間、用户、事件類型、事件是否成功,及其他與審計相關的信息。 [3] 
5、邊界完整性檢查
能夠對非授權設備私自聯到內部網絡的行為進行檢查,準確定出位置,並對其進行有效阻斷;能夠對內部網絡用户私自聯到外部網絡的行為進行檢查,準確定出位置,並對其進行有效阻斷。 [3] 
6、網絡入侵防範
在網絡邊界處監視以下攻擊行為端口掃描、強力攻擊、木馬後門攻擊、拒絕服務攻擊緩衝區溢出攻擊IP碎片攻擊網絡蠕蟲攻擊等入侵事件的發生;當檢測到入侵事件時,記錄入侵源IP、攻擊類型、攻擊目的、攻擊時間等,並在發生嚴重入侵事件時提供報警(如可採取屏幕實時提示、E-mail告警、聲音告警等幾種方式)及自動採取相應動作。 [3] 
7、惡意代碼防範
在網絡邊界處對惡意代碼進行檢測和清除;維護惡意代碼庫的升級和檢測系統的更新。 [3] 
8、網絡設備防護
對登錄網絡設備的用户進行身份鑑別;對網絡設備的管理員登錄地址進行限制;主要網絡設備對同一用户選擇兩種或兩種以上組合的鑑別技術來進行身份鑑別。 [3] 

信息安全主機

1、身份鑑別
對登錄操作系統和數據庫系統的用户進行身份標識和鑑別。 [3] 
依據安全策略控制主體對客體的訪問。 [3] 
應對重要信息資源和訪問重要信息資源的所有主體設置敏感標記;強制訪問控制覆蓋範圍應包括與重要信息資源直接相關的所有主體、客體及它們之間的操作;強制訪問控制的粒度應達到主體為用户級,客體為文件、數據庫表/記錄、字段級。 [3] 
4、可信路徑
在系統對用户進行身份鑑別時,系統與用户之間能夠建立一條安全的信息傳輸路徑。 [3] 
審計範圍覆蓋到服務器和重要客户端上的每個操作系統用户和數據庫用户審計內容包括系統內重要的安全相關事件。 [3] 
保證操作系統和數據庫管理系統用户的鑑別信息所在的存儲空間,被釋放或再分配給其他用户前得到完全清除,無論這些信息是存放在硬盤上還是在內存中;確保系統內的文件、目錄和數據庫記錄等資源所在的存儲空間。 [3] 
能夠檢測到對重要服務器進行入侵的行為,能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間,並在發生嚴重入侵事件時提供報警;能夠對重要程序完整性進行檢測,並在檢測到完整性受到破壞後具有恢復的措施;操作系統遵循最小安裝的原則,僅安裝需要的組件和應用程序,並通過設置升級服務器等方式保持系統補丁及時得到更新。 [3] 
8、惡意代碼防範
安裝防惡意代碼軟件,並及時更新防惡意代碼軟件版本和惡意代碼庫;主機防惡意代碼產品具有與網絡防惡意代碼產品不同的惡意代碼庫;支持防惡意代碼的統一管理 [3] 
9、資源控制
通過設定終端接入方式、網絡地址範圍等條件限制終端登錄;根據安全策略設置登錄終端的操作超時鎖定;對重要服務器進行監視,包括監視服務器的CPU、硬盤、內存、網絡等資源的使用情況;限制單個用户對系統資源的最大或最小使用限度;當系統的服務水平降低到預先規定的最小值時,能檢測和報警。 [3] 

信息安全數據庫

數據庫信息安全檢測具有很強的系統性和綜合性,需要完善的安全機制才能確保相關能順利開展,才能及時發現數據庫信息中存在的問題。在計算機網絡系統應用時,需要高度重視數據庫信息安全檢測安全機制的構建。 [4] 

信息安全安全隱患

網絡環境中信息安全威脅有: [5] 
1、假冒:是指不合法的用户侵入到系統,通過輸入賬號等信息冒充合法用户從而竊取信息的行為; [5] 
2、身份竊取:是指合法用户在正常通信過程中被其他非法用户攔截; [5] 
3、數據竊取:指非法用户截獲通信網絡的數據; [5] 
4、否認:指通信方在參加某次活動後卻不承認自己參與了; [5] 
5、拒絕服務:指合法用户在提出正當的申請時,遭到了拒絕或者延遲服務; [5] 
6、錯誤路由; [5] 
7、非授權訪問 [5] 

信息安全安全指標

信息安全保密性

加密技術的應用下,網絡信息系統能夠對申請訪問的用户展開刪選,允許有權限的用户訪問網絡信息,而拒絕無權限用户的訪問申請。 [6] 

信息安全完整性

在加密、散列函數等多種信息技術的作用下,網絡信息系統能夠有效阻擋非法與垃圾信息,提升整個系統的安全性。 [6] 

信息安全可用性

網絡信息資源的可用性不僅僅是向終端用户提供有價值的信息資源,還能夠在系統遭受破壞時快速恢復信息資源,滿足用户的使用需求。 [6] 

信息安全授權性

在對網絡信息資源進行訪問之前,終端用户需要先獲取系統的授權。授權能夠明確用户的權限,這決定了用户能否對網絡信息系統進行訪問,是用户進一步操作各項信息數據的前提。 [6] 

信息安全認證性

在當前技術條件下,人們能夠接受的認證方式主要有:一種是實體性的認證,一種是數據源認證。之所以要在用户訪問網絡信息系統前展開認證,是為了令提供權限用户和擁有權限的用户為同一對象。 [6] 

信息安全抗抵賴性

網絡信息系統領域的抗抵賴性,簡單來説,任何用户在使用網絡信息資源的時候都會在系統中留下一定痕跡,操作用户無法否認自身在網絡上的各項操作,整個操作過程均能夠被有效記錄。這樣做能夠應對不法分子否認自身違法行為的情況,提升整個網絡信息系統的安全性,創造更好的網絡環境 [6] 

信息安全防護策略

信息安全 信息安全
在具體的計算機網絡數據庫安全管理中經常出現各類由於人為因素造成的計算機網絡數據庫安全隱患,對數據庫安全造成了較大的不利影響。例如,由於人為操作不當,可能會使計算機網絡數據庫中遺留有害程序,這些程序十分影響計算機系統的安全運行,甚至會給用户帶來巨大的經濟損失。基於此,現代計算機用户和管理者應能夠依據不同風險因素採取有效控制防範措施,從意識上真正重視安全管理保護,加強計算機網絡數據庫的安全管理工作力度。 [7] 
2、加強安全防護意識
每個人在日常生活中都經常會用到各種用户登錄信息,比如網銀賬號、微博微信支付寶等,這些信息的使用不可避免,但與此同時這些信息也成了不法分子的竊取目標,企圖竊取用户的信息,登錄用户的使用終端,將用户賬號內的數據信息或者資金盜取。更為嚴重的是,當前社會上很多用户的各個賬號之間都是有關聯的,一旦竊取成功一個賬號,其它賬號的竊取便易如反掌,給用户帶來更大的經濟損失。因此,用户必須時刻保持警惕,提高自身安全意識,拒絕下載不明軟件,禁止點擊不明網址、提高賬號密碼安全等級、禁止多個賬號使用同一密碼等,加強自身安全防護能力。 [7] 
3、科學採用數據加密技術
對於計算機網絡數據庫安全管理工作而言,數據加密技術是一種有效手段,它能夠最大限度的避免和控制計算機系統受到病毒侵害,從而保護計算機網絡數據庫信息安全,進而保障相關用户的切身利益。數據加密技術的特點是隱蔽性和安全性,具體是指利用一些語言程序完成計算數據庫或者數據的加密操作。當前市場上應用最廣的計算機數據加密技術主要有保密通信、防複製技術及計算機密鑰等,這些加密技術各有利弊,對於保護用户信息數據具有重要的現實意義。因此,在計算機網絡數據庫的日常安全管理中,採用科學先進的數據加密技術是必要的,他除了能夠大大降低病毒等程序入侵用户的重要數據信息外,還能夠在用户的數據信息被入侵後,依然有能力保護數據信息不出現泄露問題。需要注意的是,計算機系統存有龐大的數據信息,對每項數據進行加密保護顯然不現實,這就需要利用層次劃分法,依據不同信息的重要程度合理進行加密處理,確保重要數據信息不會被破壞和竊取。 [7] 
4、提高硬件質量
影響計算機網絡信息安全的因素不僅有軟件質量,還有硬件質量,並且兩者之間存在一定區別,硬件系統在考慮安全性的基礎上,還必須重視硬件的使用年限問題,硬件作為計算機的重要構成要件,其具有隨着使用時間增加其性能會逐漸降低的特點,用户應注意這一點,在日常中加強維護與修理。例如,若某硬盤的最佳使用年限為兩年,儘量不要使用其超過四年。 [7] 
5、改善自然環境
改善自然環境是指改善計算機的灰塵、濕度及温度等使用環境。具體來説就是在計算機的日常使用中定期清理其表面灰塵,保證在其乾淨的環境下工作,可有效避免計算機硬件老化;最好不要在温度過高和潮濕的環境中使用計算機,注重計算機的外部維護。 [7] 
6、安裝防火牆和殺毒軟件
防火牆能夠有效控制計算機網絡的訪問權限,通過安裝防火牆,可自動分析網絡的安全性,將非法網站的訪問攔截下來,過濾可能存在問題的消息,一定程度上增強了系統的抵禦能力,提高了網絡系統安全指數。同時,還需要安裝殺毒軟件,這類軟件可以攔截和中斷系統中存在的病毒,對於提高計算機網絡安全大有益處。 [7] 
7、加強計算機入侵檢測技術的應用
入侵檢測主要是針對數據傳輸安全檢測的操作系統,通過IDS(入侵檢測系統)入侵檢測系統的使用,可以及時發現計算機與網絡之間異常現象,通過報警的形式給予使用者提示。為更好的發揮入侵檢測技術的作用,通常在使用該技術時會輔以密碼破解技術、數據分析技術等一系列技術,確保計算機網絡安全。 [7] 
8、其他措施
為計算機網絡安全提供保障的措施還包括提高賬户的安全管理意識、加強網絡監控技術的應用、加強計算機網絡密碼設置、安裝系統漏洞補丁程序等。 [7] 

信息安全防禦技術

1、入侵檢測技術
在使用計算機軟件學習或者工作的時候,多數用户會面臨程序設計不當或者配置不當的問題,若是用户沒有能及時解決這些問題,就使得他人更加輕易的入侵到自己的計算機系統中來。例如,黑客可以利用程序漏洞入侵他人計算機,竊取或者損壞信息資源,對他人造成一定程度上的經濟損失。因此,在出現程序漏洞時用户必須要及時處理,可以通過安裝漏洞補丁來解決問題。此外,入侵檢測技術也樂意更加有效地保障計算機網絡信息的安全性,該技術是通信技術密碼技術等技術的綜合體,合理利用入侵檢測技術用户能夠及時瞭解到計算機中存在的各種安全威脅,並採取一定的措施進行處理。 [8] 
2、防火牆以及病毒防護技術
防火牆是一種能夠有效保護計算機安全的重要技術,有軟硬件設備組合而成,通過建立檢測和監控系統來阻擋外部網絡的入侵。用户可以使用防火牆有效控制外界因素對計算機系統的訪問,確保計算機的保密性、穩定性以及安全性。病毒防護技術是指通過安裝殺毒軟件進行安全防禦,並且及時更新軟件,如金山毒霸、360安全防護中心、電腦安全管家等。病毒防護技術的主要作用是對計算機系統進行實時監控,同時防止病毒入侵計算機系統對其造成危害,將病毒進行截殺與消滅,實現對系統的安全防護。除此以外,用户還應當積極主動地學習計算機安全防護的知識,在網上下載資源時儘量不要選擇不熟悉的網站,若是必須下載則還要對下載好的資源進行殺毒處理,保證該資源不會對計算機安全運行造成負面影響 [8] 
數字簽名技術主要針對於電子商務,該技術有效的保證了信息傳播過程中的保密性以及安全性,同時也能夠避免計算機受到惡意攻擊或侵襲等問題發生。生物識別技術是指通過對人體的特徵識別來決定是否給予應用權利,主要包括了指紋、視網膜、聲音等方面。這種技術有着決定針對性,能夠最大程度地保證計算機互聯網信息的安全性,現如今應用最為廣泛的就是指紋識別技術,該技術在安全保密的基礎上也有着穩定簡便的特點,為人們帶來了極大的便利。 [8] 
4、信息加密處理與訪問控制技術
信息加密技術是指用户可以對需要進行保護的文件進行加密處理,設置有一定難度的複雜密碼,並牢記密碼保證其有效性。此外,用户還應當對計算機設備進行定期的檢修以及維護,加強網絡安全保護,並對計算機系統進行實時監測,防範網絡入侵與風險,進而保證計算機的安全穩定運行。訪問控制技術是指通過用户的自定義對某些信息進行訪問權限設置,或者利用控制功能實現訪問限制,該技術能夠使得用户信息被保護,也避免了非法訪問此類情況的發生。 [8] 
5、安全防護技術
包含網絡防護技術(防火牆、UTM、入侵檢測防禦等);應用防護技術(如應用程序接口安全技術等);系統防護技術(如防篡改、系統備份與恢復技術等),防止外部網絡用户以非法手段進入內部網絡,訪問內部資源,保護內部網絡操作環境相關技術 [9] 
6、安全審計技術
包含日誌審計和行為審計,通過日誌審計協助管理員在受到攻擊後察看網絡日誌,從而評估網絡配置合理性安全策略的有效性,追溯分析安全攻擊軌跡,並能為實時防禦提供手段。通過對員工或用户的網絡行為審計,確認行為的合規性,確保信息及網絡使用的合規性。 [9] 
7、安全檢測與監控技術
對信息系統中的流量以及應用內容進行二至七層的檢測並適度監管和控制,避免網絡流量的濫用、垃圾信息有害信息的傳播。 [9] 
8、解密、加密技術
在信息系統的傳輸過程存儲過程中進行信息數據的加密和解密。 [9] 
用來確定訪問或介入信息系統用户或者設備身份的合法性的技術,典型的手段有用户名口令、身份識別、PKI 證書和生物認證等。 [9] 

信息安全加密技術

信息安全概述

密碼學藉助加密技術對所要傳送的信息進行處理,防止其它非法人員對數據的竊取篡改,加密的強度和選擇的加密技術、密鑰長度有很大的關係。 [10] 

信息安全發展歷程

第一階段數據的安全主要依賴於算法的保密;第二階段主要依賴於密鑰的保密程度;第三階段數據加密取得了巨大的成就,通信雙方之間支持無密鑰的傳輸。 [10] 
又稱私鑰加密,即信息的發送方和接收方用同一個密鑰去加密和解密數據。它的最大優勢是加/解密速度快,適合於對大數據量進行加密,但密鑰管理困難。如果進行通信的雙方能夠確保專用密鑰在密鑰交換階段未曾泄露,那麼機密性和報文完整性就可以通過這種加密方法加密機密信息、隨報文一起發送報文摘要或報文散列值來實現。對稱加密特點如下: [10] 
(1)對稱加密的密碼算法思想是替代和代換,運算速快; [10] 
(2)對稱加密的加、解密的密鑰一般相同或者通信雙方彼此很容易推出來; [10] 
(3)密鑰是私密的,通訊雙方通訊之前要傳遞密鑰; [10] 
(4)在通信雙方人數很多時,密鑰的管理很困難; [10] 
(5)Feistel結構是對稱加密的通用結構,融合了擴散和混亂的基本思想。混亂是用於掩蓋明文和密文之間的關係,使得密鑰和密文之間的統計關係儘可能繁雜,從而導致攻擊者無法從密文推理得到密鑰,擴散是指把明文的統計特徵散佈到密文中去,令明文每一位影響密文的多位的值。 [10] 

信息安全非對稱加密

又稱公鑰加密,使用一對密鑰來分別完成加密和解密操作,其中一個公開發布(即公鑰),另一個由用户自己秘密保存(即私鑰)。信息交換的過程是:甲方生成一對密鑰並將其中的一把作為公鑰向其他交易方公開,得到該公鑰的乙方使用該密鑰對信息進行加密後再發送給甲方,甲方再用自己保存的私鑰對加密信息進行解密。非對稱加密特點如下: [10] 
(1)非對稱加密加密又被稱為“公開密鑰算法”,密鑰有公鑰和私鑰之分; [10] 
(2)非對稱加密利用了單向陷門函數,易單向求值,若逆向變換則就需要依賴“陷門”,否則很難實現; [10] 
(3)非對稱加密通信雙方之間不需要進行密鑰通信; [10] 
(4)密鑰管理相對容易; [10] 
(5)兩者都擁有一對密鑰。發送方利用接收方的公鑰加密信息後傳遞,接收方需要利用自己的私鑰才能解密得到信息。 [10] 

信息安全目標原則

信息安全目標

所有的信息安全技術都是為了達到一定的安全目標,其核心包括保密性、完整性、可用性、可控性不可否認性五個安全目標。 [11] 
保密性(Confidentiality)是指阻止非授權的主體閲讀信息。它是信息安全一誕生就具有的特性,也是信息安全主要的研究內容之一。更通俗地講,就是説未授權的用户不能夠獲取敏感信息。對紙質文檔信息,只需要保護好文件,不被非授權者接觸即可。而對計算機及網絡環境中的信息,不僅要制止非授權者對信息的閲讀。也要阻止授權者將其訪問的信息傳遞給非授權者,以致信息被泄露。 [11] 
完整性(Integrity)是指防止信息被未經授權的篡改。它是保護信息保持原始的狀態,使信息保持其真實性。如果這些信息被蓄意地修改、插入、刪除等,形成虛假信息將帶來嚴重的後果。 [11] 
可用性Availability)是指授權主體在需要信息時能及時得到服務的能力。可用性是在信息安全保護階段對信息安全提出的新要求,也是在網絡化空間中必須滿足的一項信息安全要求。 [11] 
可控性(Controlability)是指對信息和信息系統實施安全監控管理,防止非法利用信息和信息系統。
不可否認性(Non-repudiation)是指在網絡環境中,信息交換的雙方不能否認其在交換過程中發送信息或接收信息的行為。 [11] 
信息安全的保密性、完整性和可用性主要強調對非授權主體的控制。而對於控制授權主體的不正當行為而言,信息安全的可控性和不可否認性恰恰是通過對授權主體的控制,實現對保密性、完整性和可用性的有效補充,主要強調授權用户只能在授權範圍內進行合法的訪問,並對其行為進行監督和審查。 [11] 
除了上述的信息安全五性外,還有信息安全的可審計性(Audiability)、可鑑別性(Authenticity)等。信息安全的可審計性是指信息系統的行為人不能否認自己的信息處理行為。與不可否認性的信息交換過程中行為可認定性相比,可審計性的含義更寬泛一些。信息安全的可見鑒別性是指信息的接收者能對信息的發送者的身份進行判定。它也是一個與不可否認性相關的概念。 [11] 

信息安全原則

為了達到信息安全的目標,各種信息安全技術的使用必須遵守一些基本的原則。
最小化原則。受保護的敏感信息只能在一定範圍內被共享,履行工作職責和職能的安全主體,在法律和相關安全策略允許的前提下,為滿足工作需要。僅被授予其訪問信息的適當權限,稱為最小化原則。敏感信息的“知情權”一定要加以限制,是在“滿足工作需要”前提下的一種限制性開放。可以將最小化原則細分為知所必須(need to know)和用所必須(need to use)的原則。 [11] 
分權制衡原則在信息系統中,對所有權限應該進行適當地劃分,使每個授權主體只能擁有其中的一部分權限,使他們之間相互制約、相互監督,共同保證信息系統的安全。如果一個授權主體分配的權限過大,無人監督和制約,就隱含了“濫用權力”、“一言九鼎”的安全隱患。 [11] 
安全隔離原則。隔離和控制是實現信息安全的基本方法,而隔離是進行控制的基礎。信息安全的一個基本策略就是將信息的主體與客體分離,按照一定的安全策略,在可控和安全的前提下實施主體對客體的訪問。 [11] 
在這些基本原則的基礎上,人們在生產實踐過程中還總結出的一些實施原則,他們是基本原則的具體體現和擴展。包括:整體保護原則、誰主管誰負責原則、適度保護的等級化原則、分域保護原則、動態保護原則、多級保護原則、深度保護原則和信息流向原則等。 [11] 

信息安全發展趨勢

1、新數據、新應用、新網絡和新計算成為今後一段時期信息安全的方向和熱點給未來帶來新挑戰
物聯網移動互聯網等新網絡的快速發展給信息安全帶來更大的挑戰。物聯網將會在智能電網智能交通智能物流、金融與服務業、國防軍事等眾多領域得到應用。物聯網中的業務認證機制和加密機制是安全上最重要的兩個環節,也是信息安全產業中保障信息安全的薄弱環節。移動互聯網快速發展帶來的是移動終端存儲的隱私信息的安全風險越來越大。 [12] 
2、傳統的網絡安全技術已經不能滿足新一代信息安全產業的發展企業對信息安全的需求不斷髮生變化
傳統的信息安全更關注防禦、應急處置能力,但是,隨着雲安全服務的出現,基於軟硬件提供安全服務模式的傳統安全產業開始發生變化。在移動互聯網、雲計算興起的新形勢下,簡化客户端配置和維護成本,成為企業對新的網絡安全需求,也成為信息安全產業發展面臨的新挑戰。 [12] 
3、未來,信息安全產業發展的大趨勢是從傳統安全走向融合開放的大安全
隨着互聯網的發展,傳統的網絡邊界不復存在,給未來的互聯網應用和業務帶來巨大改變,給信息安全也帶來了新挑戰。融合開放是互聯網發展的特點之一,網絡安全也因此變得正在向分佈化、規模化、複雜化和間接化等方向發展,信息安全產業也將在融合開放的大安全環境中探尋發展。 [12] 
參考資料
展開全部 收起