俄罗斯可靠吗
俄罗斯可靠吗?
阎学通
【专题名称】中国外交
【专题号】D6
【复印期号】2012年10期
【原文出处】《国际经济评论》(京)2012年3期第21~25页
【英文标题】Is Russia Reliable?
【作者简介】阎学通,清华大学国际关系学院教授
【内容提要】盟友的基础是共同的战略安全利益,因此盟友的可靠性主要取决于共同安全利益的大小:大则可靠性强,小则可靠性差。俄罗斯是否可靠主要取决于中
俄同盟对俄有多大的战略利益。无论俄罗斯对中国友好与否,俄都没有比与
中国结盟更好的战略选择。美国不接纳中、俄为盟友的国际环境,中国不断
增长的军事实力以及中国的战略合作诚意,三者能使其很容易看到俄罗斯履
行盟友责任利大于弊。
【关键词】盟友/中俄结盟/共同战略安全/同盟可靠性
2011年10月4日和2012年2月4日,中俄两国在联合国安理会两次联手否决了美、
法及阿盟关于叙利亚问题的决议案。2012年3月28日,胡锦涛主席在新德里出席金砖国家峰会期间与俄罗斯总统梅德韦杰夫举行双边会晤,提出,双方更加积极地“加强在国际事务中协调配合”,“共同努力将双方全面战略合作伙伴关系提升到一个新水平”。许多网友认为中国在叙利亚问题上的政策是被俄罗斯拽下水,中俄结盟是个危险的趋势,因为俄罗斯缺少战略诚信。近日媒体又讹传普京组织撰写的俄罗斯战略报告公开将中国视为长期战略威胁。本文就中俄结盟可靠性的问题谈谈看法,以供讨论。
同盟可靠性最主要取决于共同战略安全利益
“朋友”(friends)与“盟友”(allies)是两种不同的关系,前者是以情感为基础,后者是以利益为基础。朋友的支持不以回报为目的,盟友的支持以回报为前提。盟友是指两国在安全上进行战略合作的伙伴,但之间不必然有感情上的友谊。二战时期美英都是苏联的盟友,但他们对斯大林领导的苏联没有好感。冷战时期,美国严防德国和日本两个盟友的军事力量的发展,特别担心他们发展核武器。2003年,法国和德国与俄罗斯联手,反对美国发
动伊拉克战争,美国在国际战争这样的重大问题上也无法确保法、德的支持,不得不组织自愿者同盟。
由于盟友的基础是共同的战略安全利益,因此盟友的可靠性主要取决于共同安全利益的大小:大则可靠性强,小则可靠性差。共同战略安全利益的大小可依据其基础层次排序,如国家生存、政权生存、民族统一、领土完整、海外权益等。同盟的建立、延续和解体的利益基础是不同的。建立同盟需要成员国有巨大的共同战略安全利益,延续同盟则只需要成员国的安全战略利益不受损害即可,而成员国退出同盟则需要退出同盟所带来的安全战略收益大于保持同盟关系。
1964年中苏同盟彻底破裂,1966年法国退出北约。两者虽具体原因不同,但根本原因一样,即中、法都意识到只有退出同盟才可能提高全面的战略安全能力,并获得世界大国的地位。中国当时的情况是以苏联为首的社会主义阵营要求成员国把共产国际的利益置于本国
国家利益之上,这使得成员国无法独立自主地发展。按照社会主义国家的国际分工原则,中国就无法建立独立和全面的工业和国防体系。法国在北约内部面临美国的控制。美反对法研制核武器,只同意在欧洲部署核武器,且要由美国控制的北约来控制。法不退出北约就无法发展独立的国防力量,特别是独立的核力量。历史已经证明,中、法当初的判断是正确的。
盟友以共同安全战略利益为基础,承担的相互支持责任限于战略安全领域,在经济、政治制度、宗教信仰、意识形态、气候变化等领域的利益冲突不改变其盟友性质。盟友的诚信限于战略安全问题的相互支持而非所有国际事务上事事都支持。盟友都是独立的主权国家,之间不可避免存在利益分歧或冲突,因此盟友在非战略性安全领域互不关照的事是经常发生的。美日经济摩擦自20世纪80年代以来不断发生,1997-1998年东亚金融危机时,美国不为其盟友韩国和泰国提供金融援助,然而,日、韩、泰都不认为与美国的同盟不可靠。当时,中国给泰国提供了10亿美元金融援助,但中泰也未成为盟友。盟友关系可保证在绝大多数战略安全问题上双方相互支持,而非盟友国家的关系则没有这种保障作用。
中国能否相信俄的同盟可靠性,需要从战略利益的角度进行分析,即中俄目前有无巨大的共同战略安全利益,这种利益可持续多长时间,中俄退出战略同盟有无更大战略利益可图。20世纪50年代,中苏将盟友关系定位于朋友+兄弟,忽视了盟友是主权独立国家的本质,于是苏联要以老大哥身份管束小兄弟,这是造成中苏同盟破裂的原因。只要中俄明确盟友的责任是战略安全领域的相互支持,而不是在所有问题上都支持,其他领域的分歧就不会造成同盟不可靠的问题。
中俄结盟的共同战略安全利益日益增大
在目前国际环境下,中、俄没有选择加入西方阵营的条件,因为美国无法接受中、俄任何一方为盟友。美国如果同意俄加入北约,欧洲国家将不再相信美国安全保护的可靠性,北约难以生存。美国如果接受中国为盟友,东亚国家则不再相信美国安全保护是可靠的,其东亚双边同盟体系将无法维持。从戈尔巴乔夫开始,中、俄两国都有人不断地提出新思维。迄今为止,由新思维指导的政策都未能改变中、俄与美国之间的战略对立本质。
俄罗斯是否可靠主要取决于中俄同盟对俄有多大的战略利益。冷战结束后,俄罗斯误以为可以加入西方阵营,从此摆脱国际孤立。然而俄罗斯做出的所有让步,包括销毁核武器和大量常规武器,都未能使其实现这一目标。北约最终东扩到其边境,俄罗斯也意识到无论如何都不会被西方接受的。为了摆脱这种战略孤立,1999年叶利钦总统访华时就提出过与中国结盟的设想,但因中国的不结盟原则而未果。普京在2000年任俄总统后,西方对俄的态度更加不友好,因此他比叶利钦更加体会到与中国结盟的战略意义。2001年中俄在“上海五国”的基础上组建了上海合作组织。目前,俄罗斯面临的西方压力比2000年更大,西方舆论普遍认定普京当选总统后俄罗斯将是一个更坏的国家;北约在波兰部署反导系统决心已定,不再与俄进行谈判。无论俄罗斯对中国友好与否,俄都没有比与中国结盟更好的战略选择。
中国的世界第二地位也使其面临着没有比与俄结盟更好的战略选择。自2010年以来,中国面临的周边战略环境是北面和西面好于南面和东面。北面和西面的战略安全环境主要得益于上海合作组织这个半同盟机制,以及中国与巴基斯坦带有同盟性质的双边关系。这就解释了,为何美国在中国西侧邻国阿富汗进行战争,在中国东面和南面没进行任何战争,但中国西侧外部战略环境仍好于东面和南面。从2008年起,中国世界第二的地位日益突显,中立政策开始对中国弊大于利。与此同时,中国与美、英、法三国的客观战略利益分歧决定了中国无法在绝大多数国际事务上得到他们的支持。在此情况下,中俄结盟可保证在绝大多数情况下中国在安理会的立场处于最差为2:3的格局,否则将是经常处于1:3(一国弃权)的
格局。对比这两种格局,若是前者,中国通过外交努力在具体事务上争取对方某国调整立场,从而形成2:2(一国弃权)或3:2的概率比后者高。
更为重要的是,随着美国全球战略的调整,中、俄都面临着战略合作关系弱化和国际压力国内化的威胁,这使双方的共同安全利益增强。美国虽仍是世界上最强大的国家,但正如前总统克林顿2011年所说,美已无1991年发动海湾战争时的那种能力了。由于美国主导全球事务的实力相对下降,奥巴马政府采取了收缩战略,将力量从距离美国较远的中东收缩,努力巩固美国在欧洲和东亚的主导地位。在经济实力短期无望大幅提升的情况下,美国利用其军事实力优势,巩固和扩大在欧洲和东亚的同盟,是正常的理性选择。然而,这一战略使中、俄面临战略合作关系的数量或质量下降的威胁,增大了外部压力转化为破坏国内发展的危险。这种战略压力的上升增加了中、俄以结盟应对美国新战略的需求。
中俄防御型同盟的可靠性大于扩张型同盟。行为心理学研究发现,人们防止损失的决心大于扩大收益的决心。在额度相等的条件下,扣工资比发奖金更能防止员工缺勤。在目前形势下,中俄结盟是为了应对国际战略压力上升、防止战略环境恶化的防御型同盟,这与20世纪50年代在全世界推行共产主义的拓展型同盟不同。扩大收益型的同盟不仅对成员可靠性的促进力弱,而且还会因利益分配不均而破裂。然而,损失规避型同盟则无利可分,没有这方面的危险。
中俄结盟对双方至少无害
我们无法预知,如果中俄结盟,这个同盟可以延续多少年,但原理是只要同盟无害即可延续,只有更大的战略利益才能诱惑他们退出同盟。在此分析一下今后十年国际环境变化趋势可能对中俄重大战略利益产生的影响。
上海合作组织已经存在了11年,目前中俄在其中的共同战略利益呈现为进一步扩大而非缩小的趋势。双方不仅享受着避免腹背受敌的战略安全好处,而且共同战略利益正从双边交界地带和中亚向两侧扩展。在防止西方对伊朗发动战争、维护朝鲜半岛和平、东海岛屿之争等方面,中俄的共同战略利益都有增强之势。随着东亚成为世界中心,俄罗斯必然要加强在东亚的存在,而中俄结盟则可为其增加在东亚的存在提供有效帮助。
普京于2012年3月再次当选俄总统。如果普京再执政12年,这意味着西方对俄的战略压力只会增强而不会减少。即使普京不能连任,6年后戈尔巴乔夫式人物上台再次把俄罗斯搞解体,俄仍难被北约接受。为了团结从俄罗斯再次分离出来的国家,北约仍需要俄罗斯扮演他们共同安全威胁的角色。
今后十年,中俄综合实力将进一步拉大,但在军事力量上双方难有质的差别。目前俄罗斯仍是世界第二军事大国,中国军事实力与俄尚有差距。即使今后十年中国军事实力赶超了俄罗斯,双方也是同一级别。这意味着中俄同盟是军事实力对等的同盟,而不会形成美日或美欧那种主从型的军事同盟。因此中、俄都不会面临当年中国在共产主义阵营中受压制的伤害。
今后十年,中国的世界第二的地位不断突显,在全球战略利益拓展将越来越广泛,面临的战略安全问题将会越来越多,对盟友的需要将不断增长。中俄同盟对中国的战略价值也将呈上升趋势而不会缩水。中俄联手对联合国叙利亚决议投否决票不过是双方共同战略利益上升的一个表现。
本文强调共同战略安全利益是同盟可靠性的根本,但并不否认盟国战略诚信对于同盟可靠性的影响。同盟中强者的诚信是核心,而非弱者。作为盟主,苏联的诚信不如美国,这也是华约可靠性弱于北约的原因之一。荀子言:“信立而霸。”这是说,作盟主的国家有诚信才能称霸。如果中俄结盟,双边实力对比将向中国倾斜,因此中俄同盟的可靠性受中国影响
将大于受俄影响。这如同美日同盟的可靠性主要靠美国的诚信而非日本的诚信。
除了诚信的理由外,认为与俄结盟不可靠的另外两个理由是与俄结盟的危害:一是将使中国与美形成冷战式对抗,二是容易被俄拽入战争。对这两害的担心主要来自对多极化的渴望及对两极化的恐惧。然而,冷战结束以来的历史是,中国一直坚持韬光养晦和不结盟政策,但“中国威胁论”经久不衰,与美国的结构性矛盾依旧。中、俄2001年建立了上海合作组织,其后七年中美结构性矛盾并无变化,而是在2008年金融危机之后才深化的。由于美国的全球战略需要渲染中、俄为其盟友的共同威胁,因此中俄结盟与否对中美结构性矛盾都无质的影响。核武器足以防止俄与核国家或有核保护的大国发生战争。冷战结束以来,俄与邻国发生的战争都在俄军事能力之内,无需他国军事支持。十年内看不到俄有卷入需要中国出兵支持的战争。
俄罗斯的战略家善于战略利益分析,无论有无诚信,他们都不会选择于己不利的战略。美国不接纳中、俄为盟友的国际环境,中国不断增长的军事实力以及中国的战略合作诚意,三者能使其很容易看到俄罗斯履行盟友责任利大于弊。^
信息安全保障评价指标体系的研究
1、前言 为了更好地保障我国的信息安全,中央办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)。27号文明确了加强信息安全保障工作的总体要求和主要原则,对加强信息安全保障工作做出了全面部署,提出了5年内建成国家信息安全保障体系IA(Information Assurance)的构想。目前,关系国家安全、经济命脉和社会稳定等方面的3大基础信息网络(电信网络、广电网络和互联蜘络)和8个重要信息系统行业(金融、电信、证券、保险、民航、铁路、税收和海关)的信息安全保障系统逐渐建成,并投入使用。 信息化是信息技术系统与社会系统相互作用、紧密耦合,且有大量人的行为参与其中的综合发展进程。然而安全因素和系统因素相互制约,使得信息安全具有很大的综合性、复杂性和不确定性。同时,信息安全保障会伴随信息化的发展而不断变化。为了保证国家基础网络设施和重要信息系统等关键部门所建设的信息安全保障体系的长效机制,迫切需要针对不同重要行业、业务系统研究建立科学的、可度量的,可操作的信息安令保障评价指标体系(Indicator),对其信息安全保障的整体状态进行科学的、客观的评价与描述,从而确定所建设的信息安全保障体系的保障水平、保障实效和保障周期等问题。闪此。信息安全保障评价指标体系就是用一组科学的、可度量的指标作对信息安全保障系统的保障功能、保障效果和保障周期进行综合的考核和评价。 2、相关工作 现有的安全评估方式可以大致归结为4类:安全审计、风险分析、安全测评和系统安全工程能力成熟度模型SSECMM(Systems Security Engineering Capability Maturity Model)等。大部分通用的信息安全标准,如ISO17799,ISO13335等,其核心思想都是基于风险的安全理念。信息技术先进的国家,例如美国、俄罗斯和日本等在信息安全保障评价指标体系方面已经率先开展了研究工作。特别是美国,利用卡内基梅隆大学系统安全工程能力成熟度模型SSECMM较早地建立了信息安全保障评价指标体系。Rayford B.Vaughn和Nabil Seddigh等人研究了信息安全保障评价的概念和范畴,给出了信息安全保障评价的框架。在国内,国家信息中心研究了网络
应该如何保护我们个人信息安全
1.应该如何保护我们个人信息安全? 对于个人的自我保护是网络隐私权保护第一重要环节。网民进行保护网络隐私权的方式有很多。 一是将个人信息与互联网隔离。当某计算机中有重要资料时,最安全的办法就是将该计算机与其他上网的计算机切断连接。这样,可以有效避免被入侵的个人数据隐私权侵害和数据库的删除、修改等带来的经济损失。换句话说,网民用来上网的计算机里最好不要存放重要个人信息。这也是目前很多单位通行的做法。 二是传输涉及个人信息的文件时,使用加密技术。在计算机通讯中,采用密码技术将信息隐蔽起来,再将隐蔽后的信息传输出去,使信息在传输过程中即使被窃取或截获,窃取者也不能了解信息的内容,发送方使用加密密钥,通过加密设备或算法,将信息加密后发送出去。接收方在收到密文后,使用解密密钥将密文解密,恢复为明文。如果传输中有人窃取,他也只能得到无法理解的密文,从而保证信息传输的安全。 三是不要轻易在网络上留下个人信息。网民应该非常小心保护自己的资料,不要随便在网络上泄露包括电子邮箱等个人资料。现在,一些网站要求网民通过登记来获得某些“会员”服务,还有一些网站通过赠品等方式鼓励网民留下个人资料。网民对此应该十分注意,要养成保密的习惯,仅仅因为表单或应用程序要求填写私人信息并不意味着你应该自动泄漏这些信息。如果喜欢的话,可以化被动为主动,用一些虚假信息来应付对个人信息的过分要求。当被要求中输入数据时,可以简单地改动姓名、邮政编号、社会保险号的几个字母,这就会使输入的信息跟虚假的身份相联系,从而抵制了数据挖掘和特征测验技术。对唯一标识身份类的个人信息应该更加小心翼翼,不要轻易泄漏。这些信息应该只限于在在线银行业务、护照重新申请或者跟可信的公司和机构打交道的事务中使用。即使一定要留下个人资料,在填写时也应先确定网站上是否具有保护网民隐私安全的政策和措施。 四是在计算机系统中安装防火墙。防火墙是一种确保网络安全的方法。防火墙可以被安装在一个单独的路由器中,用来过滤不想要的信息包,也可以被安装在路由器和主机中。在保护网络隐私权方面,防火墙主要起着保护个人数据安全和个人网络空间不受到非法侵入和攻击等作用。 五是利用软件,反制Cookie和彻底删除档案文件。如前所述,建立Cookie 信息的网站,可以凭借浏览器来读取网民的个人信息,跟踪并收集网民的上网习惯,对个人隐私权造成威胁和侵害。网民可以采取一些软件技术,来反制Cookie软件。另外,由于一些网站会传送一些不必要的信息给网络使用者的计算机中,因此,网民也可以通过每次上网后清除暂存在内存里的资料,从而保护自己的网络隐私权。 六是针对未成年人的网络隐私保护,除了对未成年人进行隐私知识和媒介素养教育外,应在家长或监护人的帮助下,借助相关的软件技术进行。
网络与信息安全保障措施
网络与信息安全保障措施 信息安全保密制度 1、我公司建立了健全的信息安全保密管理制度,实现信息安全保密责任制,切实负起确保网络与信息安全保密的责任。严格按照“谁主管、谁负责”、“谁主办、谁负责”的原则,落实责任制,明确责任人和职责,细化工作措施和流程,建立完善管理制度和实施办法,确保使用网络和提供信息服务的安全。 2、网站信息内容更新全部由网站工作人员完成,工作人员素质高、专业水平好,有强烈的责任心和责任感。网站所有信息发布之前都经分管领导审核批准。 工作人员采集信息将严格遵守国家的有关法律、法规和相关规定。严禁通过我公司网站及短信平台散布《互联网信息管理办法》等相关法律法规明令禁止的信息(即“九不准”),一经发现,立即删除。 3、遵守对网站服务信息监视,保存、清除和备份的制度。开展对网络有害信息的清理整治工作,对违法犯罪案件,报告并协助公安机关查处。 4、所有信息都及时做备份。按照国家有关规定,网站将保存 60天内系统运行日志和用户使用日志记录,短信服务系统将保存 5个月以内的系统及用户收发短信记录。制定并遵守安全教
育和培训制度。加大宣传教育力度,增强用户网络安全意识,自觉遵守互联网管理有关法律、法规,不泄密、不制作和传播有害信息,不链接有害信息或网页。 安全技术保障措施 防病毒、防黑客攻击技术措施是防止不法分子利用互联网络进行破坏活动,保护互联网络和电子公告服务的信息安全的需要。我公司特此制定以下防病毒、防黑客攻击的安全技术措施: 1、所有接入互联网的计算机应使用经公安机关检测合格的防病毒产品并定期下载病毒特征码对杀毒软 件升级,确保计算机不会受到已发现的病毒攻击。 2、确保物理网络安全,防范因为物理介质、信号辐射等造成的安全风险。 3、采用网络安全控制技术,联网单位已采用防火墙、IDS等设备对网络安全进行防护。 4、使用漏洞扫描软件扫描系统漏洞,关闭不必要的服务端口。 5、制订口令管理制度,防止系统口令泄露和被暴力破解。 6、制订系统补丁的管理制度,确定系统补丁的更新、安装、发布措施,及时堵住系统漏洞。
网络安全
计算机网络信息安全及对策 摘要:众所周知,作为全球使用范围最大的信息网,Internet自身协议的开放性极大地方便了各种联网的计算机,拓宽了共享资源。但是,由于在早期网络协议设计上对安全问题的忽视,以及在管理和使用上的无政府状态,逐渐使Internet自身安全受到严重威胁,与它有关的安全事故屡有发生。对网络信息安全的威胁主要表现在:非授权访问,冒充合法用户,破坏数据完整性,干扰系统正常运行,利用网络传播病毒,线路窃听等方面。 本文主要介绍了有关网络信息安全的基础知识:网络信息安全的脆弱性体现、网络信息安全的关键技术、常见攻击方法及对策、安全网络的建设。并提出和具体阐述自己针对这些问题的对策。随着网络技术的不断发展,网络信息安全问题终究会得到解决。 关键词:网络信息安全防火墙数据加密内部网 随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。其中有很多是敏感信息,甚至是国家机密,所以难免会吸引来自世界各地的各种人为攻击(例如信息泄漏、信息窃取、数据篡改、数据删添、计算机病毒等)。通常利用计算机犯罪很难留下犯罪证据,这也大大刺激了计算机高技术犯罪案件的发生。计算机犯罪率的迅速增加,使各国的计算机系统特别是网络系统面临着很大的威胁,并成为严重的社会问题之一。 网络信息安全是一个关系国家安全和主权、社会稳定、民族文化继承和发扬的重要问题。其重要性,正随着全球信息化步伐的加快越来越重要。网络信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。它主要是指网络系统的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 本文从网络信息安全的脆弱性、网络安全的主要技术、常见网络攻击方法及对策、网络安全建设等方面剖析了当前网络信息安全存在的主要问题,并对常见网络攻击从技术层面提出了解决方案,希望通过网络安全建设逐步消除网络信息安全的隐患。 一、网络信息安全的脆弱性 因特网已遍及世界180多个国家,为亿万用户提供了多样化的网络与信息服务。在因特网上,除了原来的电子邮件、新闻论坛等文本信息的交流与传播之外,网络电话、网络传真、静态及视频等通信技术都在不断地发展与完善。在信息化社会中,网络信息系统将在政治、军事、金融、商业、交通、电信、文教等方面发挥越来越大的作用。社会对网络信息系统的依赖也日益增强。各种各样完备的网络信息系统,使得秘密信息和财富高度集中于计算机中。另一方面,这些网络信息系统都依靠计算机网络接收和处理信息,实现相互间的联系和对目标的管理、控制。以网络方式获得信息和交流信息已成为现代信息社会的一个重要特征。网络正在逐步改变人们的工作方式和生活方式,成为当今社会发展的一个主题。
信息安全定义 信息保密
信息安全是指信息系统(包括硬件、软件、数据、人、物理环境及其基础设施)受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断,最终实现业务连续性。信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。 1.1 信息保密工作要求 1.1.1 国家秘密是指关系国家的安全和利益,依照法定程序确定,在一定时间内只限一定范围的人员知悉的事。 1.1.2 国家秘密事项有抽象事项和具体事项之分。保密范围的规定中所列举的事项,属于抽象的国家秘密事项,机关、单位在日常工作中形成的并按照定密程序确定的国家秘密事项,属于具体的国家秘密事项。 1.1.3 国家秘密的秘级是指国家秘密的级别等级,《保密法》将我国的国家秘密规定为三个等级,即“绝密级”、“机密级”、“秘密级”。“绝密级”是最重要的国家秘密,公开或泄漏后会使国家的安全和利益遭受特别严重的损害;“机密级”是重要的国家秘密,公开或泄露后会使国家的安全和利益遭受严重损害;“秘密级”是一般的国家秘密,公开或泄漏后会使国家的安全和利益遭受损害。 1.1.4 国家秘密事项的保密期限,由产生国家秘密事项的机关单位在对该事项确定密级的同时确定。除有特殊规定外,绝密级国家秘密事项的保密期限不超过30年,机密级事项不超过20年,秘密级事项不超过10年。 1.1.5 国家秘密是属于禁止公开的信息,审查的基本依据是保密法律法规。保密范围的规定是判断拟公开信息是否涉及国家秘密的直接依据。根据《保密法》的规定,国家秘密的范围有基本范围和具体范围之分。国家秘密的基本范围,《保密法》已作明确规定。国家秘密的具体范围,在信息公开工作中,对拟公开信息进行保密审查的直接依据。 1.1.6 商业秘密是指不为公众所知悉,能为权利人带来经济利益,具有实用性,并经权利人采取保密措施的技术信息和经营信息。商业秘密包括两大类:非专利技术信息和经营信息。 1.1.7 技术信息包括:产品材料的生产配方、工艺流程、技术诀窍、设计图纸等;经营信息包括:企业及其他权利人对生产经营的管理方法、产销策略、客户名单、货源情报等。 1.1.8 个人隐私一般是指与特定个人有关的,本人主观上不愿意或者不便告诉他人的,一旦公开披露,会给当事人的名誉、信誉、社会形象或者工作、生活、心理、精神等方面造成负面影响的信息。如疾病情况、个人收入、财产状况、债务情况、家庭矛盾、不愉快的经历等。按照《政府信息公开条例》的规定,个人隐私信息一般不得公开。 1.1.9 科学技术交流与合作保密,在公开的科学技术交流合作中,进行公开的科学技术讲学、进修、考察、合作研究,利用广播、电影、电视以及公开发行的报刊、书籍、图文资料
俄罗斯国家和军队信息安全建设概况
俄罗斯国家和军队信息安全建设概况 王峰陈君* 苏联解体、俄罗斯地缘政治潜力削弱和当代几场武装冲突的进程与结局,使俄罗斯当局清醒地认识到信息安全不仅具有重要的地缘政治意义,而且关系到国家的战略发展和生死存亡。针对自身所面对的国内外复杂、严峻的信息安全形势,俄罗斯近年来采取了一系列综合措施,不断加强国家和军队的信息安全建设,以应对不断变化的信息安全挑战。* 一、俄罗斯国家和军队信息安全形势 近年来,俄罗斯国家和军队信息化建设发展迅速,以计算机为中心的军队C4I系统已经得到普遍装备和应用,大大提高了作战指挥、教育训练和各种勤务保障水平。与此同时,随着全球信息化的迅猛发展,国家和军队建设对计算机网络及相关设备的依赖性日益增强,人们接触到的各种社会心理诱惑也急剧增加,俄罗斯国家和军队在信息技术安全和信息心理安全防护方面的问题日显突出。 (一)国际环境带来严重威胁。俄罗斯认为,在信息安全保密方面来自国外的威胁十分严重,主要包括:一是以美国为首的一些西方国家在全球信息监测和信息传输,以及高新信息技术的推广方面对俄采取不友好政策,阻碍了俄罗斯平等加入全球信息化体系的进程。二是发达国家的信息化建设起步较早,对信息化重要性认识深刻,高新技术侦察系统的研究和开发速度较快,信息处理自动化水平较高,技术侦察和电讯密码分析人才队伍健全,使技术侦察和情报信息分析能力较以前有了很大的提高,给俄罗斯信息安全造成了直接的威胁。三是俄罗斯仍是世界各国侦察机构侦察活动的众矢之的,虽然冷战后国际形势有一定程度的缓和,但一些西方国家跃。四是一些国际集团、政治和经济等组织,采取舆论攻击、心理瓦解、金钱诱惑等多种手段不断对俄罗斯进行信息窃取活动。 (二)信息安全体系遭到破坏。苏联解体带来的政治和经济结构的急剧变化,使俄原本完整、庞大的信息安全体系遭到破坏,国内研究信息化设备和信息保护设施的机构经过多次变动后,相关的科研机构和生产部门遭到不同程度的破坏,机构间整体协调性降低,企业生产能力持续下滑,大批专业技术人才流失。由于信息技术和工艺落后,信息安全方面的大部分软硬件设备不能完全自主生产,再加上俄在发展信息基础设施和研制信息产品方面不断扩大国际合作,造成不加保护地广泛使用国外生产的信息技术和安全防护设备。目前,俄国家和军队重要机构在信息通讯方面主要依赖于外国的计算机和电视网络技术设备,很大一部分机密信息完全靠西方国家的信息技术收集、存储和发布,以前研制和装备的保密设备不能适应新形势和新情况,尚不能生产具有足够信息防护能力的设备,就连总统出访时携带的通讯和保密设备也已十分陈旧。 (三)信息安全的机制法规不够健全。俄罗斯建国初期军政领导人没有像美国等西方领导人那样,对国家和军队信息化、信息对抗、信息安全保障等问题给予高度重视,只是到了20世纪90年代中后期,在作为高技术基础的国家电子工业遭到惨重损失后,才下达制定和执行国家和军队信息安全保障构想的任务。但由于起步晚、任务紧,缺乏足够的组织和资金支持,信息安全保障构想又被放到了次要位置,导致信息安全建设的内部机制不尽完善,信息安全防护的法规和标准尚不完备,信息安全防护
互联网个人信息安全保护指南
互联网个人信息安全保护指南 前言 为有效防范侵犯公民个人信息违法行为,保障网络数据安全和公民合法权益,公安机关结合侦办侵犯公民个人信息网络犯罪案件和安全监督管理工作中掌握 的情况,组织北京市网络行业协会和公安部第三研究所等单位相关专家,研究起草了《互联网个人信息安全保护指南》,供互联网服务单位在个人信息保护工作中参考借鉴。 1范围 本文件制定了个人信息安全保护的管理机制、安全技术措施和业务流程。 适用于个人信息持有者在个人信息生命周期处理过程中开展安全保护工作 参考使用。本文件适用于通过互联网提供服务的企业,也适用于使用专网或非联网环境控制和处理个人信息的组织或个人。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术术语 GB/T 35273—2017 信息安全技术个人信息安全规范 GB/T 22239 信息安全技术网络安全等级保护基本要求(信息系统安全等 级保护基本要求) 3术语和定义 3.1 个人信息
以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。 [中华人民共和国网络安全法,第七十六条(五)] 注:个人信息还包括通信通讯联系方式、通信记录和内容、账号密码、财产信息、征信信息、行踪轨迹、住宿信息、健康生理信息、交易信息等。 3.2 个人信息主体 个人信息所标识的自然人。 [GB/T 35273-2017,定义3.3] 3.3 个人信息持有 对个人信息及相关资源、环境、管理体系等进行计划、组织、协调、控制的相关活动或行为。 3.4 个人信息持有者 对个人信息进行控制和处理的组织或个人。 3.5 个人信息收集 获得对个人信息的控制权的行为,包括由个人信息主体主动提供、通过与个人信息主体交互或记录个人信息主体行为等自动采集,以及通过共享、转让、搜集公开信息间接获取等方式。 [GB/T 35273-2017,定义3.5] 3.6 个人信息使用
第一期《信息安全基本概念介绍》1
第一期《信息安全基本概念介绍》 一.什么是信息安全? 信息安全本身包括的范围很大。大到国家军事政治等机密安全,小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键,包括计算机安全操作系统、各种安全协议、安全机制(数字签名、信息认证、数据加密等),直至安全系统,其中任何一个安全漏洞便可以威胁全局安全。 随着时代的发展带来了各方面信息量的急剧增加,并要求大容量、高效率地传输这些信息。为了适应这一形势,信息技术发生了前所未有的爆炸性发展。目前,除有线通信外,短波、超短波、微波、卫星等无线电通信也正在越来越广泛地应用。与此同时,国外敌对势力为了窃取我国的政治、军事、经济、科学技术等方面的秘密信息,信息安全变成了任何国家、政府、部门、行业都必须十分重视的问题,是一个不容忽视的国家安全战略。 总的来说,信息安全是指信息网络的硬件、软件及其系统中的数据受到保护,不受偶然的或者恶意的原因而遭到破坏、更改、泄露,系统连续可靠正常地运行,信息服务不中断。信息安全主要包括保证信息的保密性、完整性和可用性等。其根本目的就是使内部信息不受外部威胁,因此信息通常要加密。为保障信息安全,要求有信息源认证、访问控制,不能有非法操作。信息安全是一门涉及计算机科学、网络技术、通信技术、密码技术、信息安全技术、应用数学、数论、信息论等多种学科的综合性学科。 二.什么是信息安全事件? 根据国家标准《信息安全技术信息安全事件分类分级指南》GB/Z20986—2007的描述,信息安全事件是指由于自然或人为以及软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。此外,该指南还将信息安全事件分为有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾害性事件和其他信息安全事件等7个基本分类,每个基本分类分别包括若干个子类。 有害程序事件(MalwareIncidents,MI)是指插入到信息系统中的一段程序,有害程序危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影响信息系统的正常运行。有害程序事件是指蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。
2018年度大数据时代的互联网信息安全试题答案
2018年度大数据时代的互联网信息安全试题答案 97分 ? 1.我们在日常生活和工作中,为什么需要定期修改电脑、邮箱、网站的各类密码?()(单选题2分)得分:2分 o A.确保不会忘掉密码 o B.遵循国家的安全法律 o C.降低电脑受损的几率 o D.确保个人数据和隐私安全 ? 2.“短信轰炸机”软件会对我们的手机造成怎样的危害()(单选题2分)得分:2分 o A.会大量发送垃圾短信,永久损害手机的短信收发功能 o B.会使手机发送带有恶意链接的短信 o C.短时内大量收到垃圾短信,造成手机死机 o D.会损害手机中的SIM卡 ? 3.我们经常从网站上下载文件、软件,为了确保系统安全,以下哪个处理措施最正确。()(单选题2分)得分:2分 o A.下载之后先做操作系统备份,如有异常恢复系统 o B.直接打开或使用 o C.习惯于下载完成自动安装 o D.先查杀病毒,再使用 ? 4.好友的QQ突然发来一个网站链接要求投票,最合理的做法是()(单选题2分)得分:2分
o A.把好友加入黑名单 o B.不参与任何投票 o C.可能是好友QQ被盗,发来的是恶意链接,先通过手机跟朋友确认链接无异常后,再酌情考虑是否投票 o D.因为是其好友信息,直接打开链接投票 ? 5.王同学喜欢在不同的购物和社交网站进行登录和注册,但他习惯于在不同的网站使用相同的用户名和密码进行注册登录,某天,他突然发现,自己在微博和很多网站的账号同时都不能登录了,这些网站使用了同样的用户名和密码,请问,王同学可能遭遇了以下哪类行为攻击:()(单选题2分)得分:2分 o A.拖库 o B.洗库 o C.建库 o D.撞库 ? 6.当前网络中的鉴别技术正在快速发展,以前我们主要通过账号密码的方式验证用户身份,现在我们会用到U盾识别、指纹识别、面部识别、虹膜识别等多种鉴别方式。请问下列哪种说法是正确的。()(单选题2分) 得分:2分 o A.指纹识别相对传统的密码识别更加安全 o B.使用多种鉴别方式比单一的鉴别方式相对安全 o C.面部识别依靠每个人的脸型作为鉴别依据,面部识别无法伪造 o D.U盾由于具有实体唯一性,被银行广泛使用,使用U盾没有安全风险 ?7.好友的QQ突然发来一个网站链接要求投票,最合理的做法是()(单选题2分)得分:2分
信息安全概念
信息安全:实质就是要保护信息系统或信息网络中的信息资源免受各种类型的威胁、干扰和破坏。 漏洞:是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。 PDRR:一种网络安全模型,把信息的安全保护作为基础,将保护视为活动过程,要用检测手段来发现安全漏洞,及时更正、同事采用相应的措施将系统恢复到正常状态,这样是信息的安全得到全方位的保障。 缓冲区溢出漏洞:溢出漏洞是一种计算机程序的可更正性缺陷,在程序执行的时候在缓冲区执行的错误代码。 注入攻击:相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据。 社会工程学:是一种通过对受害者心理弱点、本能反应、好奇心、信任和贪婪等心里特点进行诸如欺骗、伤害等危害手段,取得自身利益的手法。 ARP欺骗:将某个IP地址解析成MAC地址,通过伪造ARP与IP的信息或对应关系实现。 灾难备份:是指利用技术、管理手段、以及相关资源,确保已有的关键数据和关键业务在灾难发生后在确定的时间内可以恢复和继续运营的过程。 ISC2安全体系:国际信息系统安全认证组织 访问控制:在保障授权用户能获取所需资源的同时拒绝非授权用户的安全机制。 ACL:访问控制表,他在一个客体上附加一个主体明细表,表示各个主体对该客体的访问权限。 数字签名:信息发送者使用公开密钥算法技术,产生别人无法伪造的一段数字串。 信息摘要:消息摘要算法的主要特征是加密过程不需要密钥,并且经过加密的数据无法被解密,只有输入相同的明文数据经过相同的消息摘要算法才能得到相同的密文。 DMZ:隔离区,它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。 VPN隧道:是一种通过使用互联网络的基础设施在网络之间传递数据的方式。
俄罗斯国家信息安全保障机制
俄罗斯国家信息安全保障机制经验总结 国政1301 陈婷婷20134102 20世纪90年代初,是以美国为首的西方发达国家大力推进社会和政府信息化建设时期,而此时的俄罗斯尚未从东欧剧变、苏联解体的余波中恢复过来。伴随着政局动荡和经济萧条,俄罗斯百废待兴。在信息化建设方面,俄罗斯被其他西方发达国家远远抛在后面。而21世纪以来,随着俄罗斯强人执政带来的政局的逐渐稳定和经济的复苏发展,领导层对信息化建设重要性认识也逐步加深,将信息安全作为俄罗斯联邦国家安全的一个重要组成部分,认为它对俄罗斯联邦的国家利益有着重要影响。因此,维护国家信息安全是是俄罗斯有关政府和部门特别重视并采取相关措施的一项紧迫任务。而俄罗斯对于国家信息安全保障机制的建立和完善有许多经验值得我国借鉴,这里对其建立和完善过程做一个总结。 1.信息安全法规的不断完善 在俄罗斯的国家信息安全法律体系中,国家信息安全政策起到重要的政策指导作用,有关政策被提升到国家战略高度。自20世纪90年代以来,俄罗斯颁布了大量与信息化建设有关的法律和法规,已经形成了以联邦宪法规定为立法依据,以《信息、信息技术和信息保护法》为立法基础,以《俄罗斯国家安全构想》、《国家信息安全学说》及《2020年前俄罗斯国家安全战略》等若干纲领性文件为立法的政策指导和理论依托,以具体的法律规范为立法支撑,以专门机构的具体措施为立法保障的较为完善的信息安全立法体系。 从1991年至1995年6月,俄联邦议会、总统和政府共颁布498个规范法令,其中有75个法令完全针对信息立法问题,421个规范法令反映了与信息立法有关的问题。
1996年,俄政府修订了《俄联邦刑法典》,增加了“不合法访问计算机信息,制造、使用和传播对计算机有害的信息,破坏计算机、计算机系统和计算机网络的使用规则”等界定计算机犯罪的条目。同年,还通过了《国际信息交流法》,指出在信息交流中应保护国家、法人和自然人的利益。1997年,又通过了《国家安全构想》,明确提出:“信息领域是俄国家利益的一个独立组成部分。保障国家安全应该把保障经济安全放在第一位,信息网络安全又是经济安全的重中之重”。2000年,普京总统主持制定了新版《俄罗斯军事学说》,将保障信息安全列为国防部、内务部、安全总局等强力部门的重要使命。 2.增设信息安全机构 俄罗斯联邦政府通信与信息局简称“法普西”,类似于美国的国家安全局,是集收集情报和信息安全两项职责于一身的重要机构。虽然“法普西”于2004年被撤销建制,职能被分散到联邦安全局和联邦保卫局,但在此之前,“法普西”一直是负责信息安全的主要机构,在国家信息安全保障体系中有着举足轻重的地位,并发挥了重要作用。 “法普西”建成了高效安全的国家行政机关专用信息通讯系统,在最高国家机关安装了加密数据交换设备,解决了该系统与国内其他通信网间联通的技术问题,保证了联邦各主体行政中心之间文件通过网络传输的安全性。建立了联邦经济信息保护中心,负责政府网络及其他专门网络、网络信息配套保护、国家政权机关信息技术保障等。 3.全面发展信息安全技术 尽管与西方发达国家相比,俄罗斯信息产业基础十分薄弱,但俄罗斯也
作业《网络与信息安全》
芄单选 螂1. (D)采用软硬件相结合、USB Key 一次一密的强双因子认证模式,很好地解决了安全 性与易用性之间的矛盾。(单选)A动态口令B生物识别C双因素编辑 D USB KEY 袇2. ( A )在网络的传输层上实施访问控制策略,是在内、外网络主机之间建立一个虚拟电 路进行通信,相当于在防火墙上直接开了个口子进行传输,不像应用层防火墙那样能严密地控制应用层的信息。(单选)A电路层网关B自适应代理技术C代理服务器型D包过滤型 蚇3.(C)即在异地建立一个热备份中心,采取同步或者异步方式,通过网络将生产系统的数据备份到备份系统中。(单选)A本地容灾B异地数据冷备份C异地数据热备份D异地应 用级容灾 肄4. (B)是指用语言或行为的方式欺辱、羞辱他人,贬低他人人格,使他人人格或名誉受 损的行为。(单选)A诽谤B侮辱C虐待D诈骗 蕿1.在技术领域中,网络安全包括(B),用来保证计算机能在良好的环境里持续工作。 (单 选) 艿A实体安全B运行安全C信息安全D经济安全 肇2. (C)是通过软件对要备份的磁盘子系统数据快速扫描,建立一个要备份数据的快照逻 辑单元号LUN 和快照Cache。(单选) 螅ASAN或NAS技术B基于IP的SAN互联技术C快照技术D远程镜像技术 蚁3. (C)是将备份的文件恢复到另一个不同的位置或系统上去,而不是进行备份操作时它 们当时所在的位置。(单选) 莇A 个别文件恢复 B 全盘恢复 C 重定向恢复 D 容灾备份 薆4. (B)通常涉及维护与安全相关的、已发生的事件日志,即列出每一个事件和所有执行 过添加、删除或改变操作的用户。(单选) 薅A 审计日志归并 B 可确认性 C 可信路径 D 全面调节 螂 螀 芅
国外主要国家网络安全战略的特点及其动向
国外主要国家网络安全战略的特点及其动向 王洪涛 2012年05月08日12:55 来源:中直党建网 当前,网络已全面渗入全球发展进程之中,其影响逐渐从经济社会领域扩展至政治、外交、安全等领域,尤其是网络安全在国家安全中的地位不断上升。网络空间的重要性得到世界各国的高度重视,美国、英国、法国、德国、俄罗斯等大国纷纷制定国家网络安全战略,争取和维护网络空间中的优势地位;澳大利亚、加拿大、韩国、新西兰等部分中小国家也积极制定网络安全战略,维护自身网络权益。 一、各国网络安全战略的特点 各国的网络安全战略思考有诸多相似之处,体现出各国对网络的作用有一定共识。同时,由于发展阶段、价值理念、国际地位等各不相同,各国网络安全战略也存在冲突之处。 (一)“扬长避短”,发展因素是重要战略考虑。各国普遍意识到网络对国家发展至关重要,同时网络攻击、网络黑客与窃密、网络犯罪和网络恐怖主义等网络安全威胁是共同面临的巨大危害。各国制定网络安全战略根本目的是提升综合国力,促进国家安全和发展,而基本思路就是遏制网络的消极影响,充分发挥网络的积极作用。美国2011年《网络空间国际战略》和《网络空间行动战略》指出,网络空间对于刺激贸易和经济增长、提升政府执政和国防能力、促进科技进步和推动社会发展来说,至关重要、不可或缺。俄罗斯《联邦信息安全学说》强调,国家安全从根本上取决于信息安全的保障。英国、德国、澳大利亚等国的网络安全战略都认为,网络对国家经济、社会、政治健康发展具有重要作用。 (二)“党同伐异”,意识形态因素是重要战略目标。越来越多的国家把网络空间视为维护和拓展自身价值观的重要领域,使网络安全战略带有浓重的意识形态色彩。美国提出互联网自由政策,在网络空间内大力推进民主、自由、人权等
个人网络信息安全防泄露方法与技巧
信息泄露防不胜防?教你几招,个人信息安全指数提高三个等级! 信息网络的快速发展,要求我们不仅要掌握自我防范意识,更要增强网络安全意识。接下来跟小编一起了解一下必要的网络安全知识吧! 什么是网络安全? 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不因偶然的或者恶意的原因而遭受到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。简而言之就是,虚拟的数据也要得到保护。 一、防止钓鱼WIFI 安全解说: 钓鱼Wi-Fi的成本低,黑客一般只需几百元便可设置一个钓鱼Wi-Fi,并在公共场合部署,而且在名称上与免费Wi-Fi相似。 受害者访问钓鱼Wi- Fi时,他的所有数据信息都可能会被钓鱼Wi-FI记录下来,从而盗取微信账号、游戏密码等个人隐私信息,甚至导致严重的财产损失。 安全贴士: ●关闭手机自动连接Wi- Fi的功能; ●在公共场所,不连接未知的Wi-Fi;
●限制共享的信息; ●在未知Wi-Fi信号下不输入微信、银行卡、支付宝等密码。 二、正确使用移动支付 安全解说: 微信支付、支付宝支付等移动支付,以绑定银行卡的快捷支付为基础,用户购买商品时,不需开通网银,只需提供银行卡卡号、用户名、手机号码等信息。 银行验证手机号码正确性后,第三方支付发送手机动态口令到用户手机号上,用户输入正确的手机动态口令完成支付。不法分子从拿到受害人的手机和钱包到绑定成功再到转账完毕,整个过程只需耗时3分钟。 安全贴士: ●第三方平台的支付密码与银行卡的支付密码不要相同; ●手机和第三方支付平台设置不同的解锁密码; ●手机内不存储身份证及银行卡信息,若丢失,及时补办手机号。 三、规范社交网络 安全解说: 在当前的信息大爆炸时代,信息的快速传播使我们足不出户便可知天下事,静坐家中也可与远在天边的朋友相见。同时,我们的每一次聊天、每一次社交软件的登陆,都有让我们信息泄露的嫌疑,一定要时时刻刻保护好自己的个人信息。 安全贴士: ●不暴露平常外出的日程、行踪,不晒贵重物品; ●不轻信QQ群、微信群内的虚假信息;
网络与信息安全保障措施(完整版)
______________网络与信息安全保障措施网站名称 网站信息网站域名: I P 地址: 服务器物理地址:移动电话: 网站安全负责人姓名:职务:办公电话:移动电话: 人员管理岗位网站安全责任制度:□已建立□未建立 重点岗位人员安全保密协议:□全部签订□部分签订□均未签订人员离岗离职安全管理规定:□已制定□未制定 外部人员访问机房等重要区域审批制度:□已建立□未建立 信息安全数据库审计:□是□否 用户名密码设置:□简单□符合复杂性要求 网站安全规划规划制定情况(单选): □制定了网站安全规划 □在网站总体发展规划中涵盖了网站安全规划□无 网络边界安全防护网站安全防护设备部署(可多选): ■防火墙□入侵检测设备□安全审计设备□防病毒网关□抗拒绝服务攻击设备 □其它: 杀毒软件: □没有□有具体名称: 设备安全策略配置: □使用默认配置□根据需要配置□屏蔽高危端口网络访问日志: ■留存日志6个月□未留存日志 网站安全防护网页防篡改措施: □采取□未采取 漏洞扫描: □定期□不定期□未进行信息发布管理: □已建立审核制度,且记录完整 □已建立审核制度,但记录不完整 □未建立审核制度 运维方式: □自行运维□委托第三方运维 域名解析系统情况: □自行建设■委托第三方:
一、网络安全保障措施 为了全面确保官方网站的正常接入和网络安全,在 IDC机房网络平台解决方案设计中,主要将基于以下设计原则: A、安全性 在本方案的设计中,我们将从网络、系统、应用、运行管理、系统冗余等角度综合分析,采用先进的安全技术,如下一代防火墙、加密技术、VPN、IPS等,为机房内业务系统提供系统、完整的安全体系。确保系统安全运行。 B、高性能 考虑 IDC机房未来业务量的增长,在本方案的设计中,我们将从网络、服务器、软件、应用等角度综合分析,合理设计结构与配置,以确保大量用户并发访问峰值时段,系统仍然具有足够的处理能力,保障服务质量。 C、可靠性 IDC网络平台作为自用和提供企业托管等业务的平台,设计中将充分考虑业务系统运行的稳定、可靠性。从系统结构、网络结构、技术措施、设施选型等多方面进行综合考虑,以尽量减少系统中的单故障节点,实现7×24小时的不间断服务。 D、可扩展性 优良的体系结构(包括硬件、软件体系结构)设计对于系统是否能够适应未来业务的发展至关重要。在本系统的设计中,硬件系统(如服务器、存储设计等)将遵循可扩充的原则,以确保系统随着业务量的不断增长,在不停止服务的前提下无缝平滑扩展;同时软件体系结构的设计也将遵循可扩充的原则,适应新业务增长的需要。 E、开放性 考虑到本系统中将涉及不同厂商的设备技术,以及不断扩展的系统需求,在本项目的产品技术选型中,全部采用国际标准/工业标准,使本系统具有良好的开放性。 F、先进性 本系统中的软硬件平台建设、应用系统的设计开发以及系统的维护管理所采用的产品技术均综合考虑当今互联网发展趋势,采用相对先进同时市场相对成熟的产品技术,以满足未来热点网站的发展需求。 G、系统集成性 在IDC建设时期对硬件选型主要包括国内外一线厂商明星产品(如华为、思科、金盾、绿盟等)。我们将为客户提供完整的应用集成服务,使客户将更多的资源集中在业务的开拓 1、硬件设施保障措施: IDC机房内服务器及设备符合互联网通信网络的各项技术接口指标和终端通信的技术标准和通信方式等,不会影响公网的安全。 IDC机房提供放置信息服务器及基础设备,包括:空调、照明、湿度、不间断电源、发电机、防静电地板等。 IDC机房分别接入CHINANET、CHINAUnicom、CMNET
信息安全概述
信息安全概述 基本概念 信息安全的要素 保密性:指网络中的信息不被非授权实体获取与使用。 保密的信息包括: 1.存储在计算机系统中的信息:使用访问控制机制,也可以进行加密增加安全性。 2.网络中传输的信息:应用加密机制。 完整性:指数据未经授权不能进行改变的特性,即信息在存储或传输过程中保持不被修改、不被破坏和丢失的特性,还要求数据的来源具有正确性和可信性,数据是真实可信的。 解决手段:数据完整性机制。 真实性:保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应。 解决手段:身份认证机制。 不可否认性:或不可抵赖性。发送信息方不能否认发送过信息,信息的接收方不能否认接收过信息。 解决手段:数字签名机制。 信息保密技术 明文(Message):指待加密的信息,用M或P表示。 密文(Ciphertext):指明文经过加密处理后的形式,用C表示。 密钥(Key):指用于加密或解密的参数,用K表示。 加密(Encryption):指用某种方法伪装消息以隐藏它的内容的过程。 加密算法(EncryptionAlgorithm):指将明文变换为密文的变换函数,用E表示。 解密(Decryption):指把密文转换成明文的过程。 解密算法(DecryptionAlgorithm):指将密文变换为明文的变换函数,用D表示。 密码分析(Cryptanalysis):指截获密文者试图通过分析截获的密文从而推断出原来的明文或密钥的过程。 密码分析员(Crytanalyst):指从事密码分析的人。 被动攻击(PassiveAttack):指对一个保密系统采取截获密文并对其进行分析和攻击,这种攻击对密文没有破坏作用。 主动攻击(ActiveAttack):指攻击者非法入侵一个密码系统,采用伪造、修改、删除等手段向系统注入假消息进行欺骗,这种攻击对密文具有破坏作用。 密码体制(密码方案):由明文空间、密文空间、密钥空间、加密算法、解密算法构成的五元组。 分类: 1.对称密码体制:单钥密码体制,加密密钥和解密密钥相同。 2.非对称密码体制:双钥密码体制、公开密码体制,加密密钥和解密密钥不同。 密码系统(Cryptosystem):指用于加密和解密的系统,通常应当是一个包含软、硬件的系统。 柯克霍夫原则:密码系统的安全性取决于密钥,而不是密码算法,即密码算法要公开。
俄罗斯加强国家信息安全的主要做法
俄罗斯加强国家信息安全的主要做法 20世纪90年代初,当以美国为首的西方发达国家大力推进社会和政府信息化建设之时,俄罗斯正处在一个政局动荡、经济萧条、百废待兴的时期,致使其在信息化建设方面被一些发达国家远远地抛在后面。随着俄罗斯政局的稳定和经济的复苏,以及领导层对信息化建设重要性认识的加深,俄罗斯信息产业得到了快速发展。进入21世纪以后,其信息产业规模每年以30%以上的速度递增,成为国家经济中最活跃的一个行业。2002年1月,俄政府正式出台了《2002~2010年俄罗斯信息化建设目标纲要》,标志着俄罗斯大规模地推进信息化建设被正式提上了日程。 不断完善信息安全法规 俄罗斯意识到信息立法是信息化发展的重要保障,自20世纪90年代以来,颁布了大量与信息化建设有关的法律和法规。从1991年至1995年6月,俄联邦议会、总统和政府共颁布498个规范法令,其中有75个法令完全针对信息立法问题,421个规范法令反映了与信息立法有关的问题。1993年,俄政府颁布了《联邦政府通讯与信息组织法》,明确了由联邦政府通信与信息局负责保障国家通讯的安全。 1995年,俄政府把信息安全纳入国家安全管理范围,颁布了《信息、信息化和信息网络保护法》。该法强调了国家在建立信息资源和信息网络化中的责任,即“旨在为完成俄联邦社会和经济发展的战略、战役任务,提供高效益、高质量的信息保障创造条件”。该法界定了信息资源开放和保密的范围,明确了保护信息网络的法律责任。 1996年,俄政府修订了《俄联邦刑法典》,增加了“不合法访问计算机信息,制造、使用和传播对计算机有害的信息,破坏计算机、计算机系统和计算机网络的使用规则”等界定计算机犯罪的条目。同年,还通过了《国际信息交流法》,指出在信息交流中应保护国家、法人和自然人的利益。1997年,又通过了《国家安全构想》,明确提出:“信息领域是俄国家利益的一个独立组成部分。保障国家安全应该把保障经济安全放在第一位,信息网络安全又是经济安全的重中之重”。2000年,普京总统主持制定了新版《俄罗斯军事学说》,将保障信息安全列为国防部、内务部、安全总局等强力部门的重要使命。 2000年9月,普京总统正式批准的《国家信息安全学说》,明确了国家信息安全建设的目的、任务、原则和主要内容,对国家信息网络安全面临的问题,以及信息网络战武器装备现状、发展前景和防御方法等进行了详尽的论述,阐明了俄罗斯在信息网络安全方面的立场、观点和基本方针,提出了在该领域实现国家利益的手段和相关措施。该学说是制定和起草俄联邦有关信息安全的国家政策、法律、提案和专门计划的基础,表明了俄罗斯在信息对抗领域中的国家政策,第一次明确指出俄罗斯在信息领域的利益是什么、受到的威胁是什么,并制定了多项确保国家安全和公民权力的具体措施,例如,规定政府和军方共同协调防范信息犯罪活动,并建立预防机制;提高整体防范和打击能力,加强国有信息基础建设和信息防卫工作;建立网络监控系统,加强网络安全防范等。 总的看来,经过多年的发展,俄罗斯以宪法有关规定为根本依据,以《信息、信息化和信息网络保护法》为立法基础,以《国家信息安全学说》等纲领性文件为信息安全立法的政策指导和理论依托,构建了一个比较完善的国家信息安全法规体系。 积极增设信息安全机构 为执行落实国家信息安全政策措施和法令法规,俄政府设立了一系列分工明确、职权清晰的专门机构和组织。例如,俄罗斯安全委员会总体负责国家信息安全保密,科技委员会负责信息安全标准、评估和检验,通信与信息部负责产业计划和规划,联邦政府通信与信息局负责密码和通信安全,对重大问题的政策和措施则由联邦总统直接发布命令颁布执行。此外,