緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇信息安全技術論文范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

2.防火墻技術

在計算機的日常維護中，防火墻技術是比較常見的，也是用戶經常使用的安全防護系統。在計算機網絡系統中，它有特定的軟件保護模塊，充分發揮著安全部件的作用，對于計算機系統表現出來的異常狀況，它會在第一時間啟動警報系統，將異常信息及時反饋給用戶，或者上傳給網路監護人員，及時采取相對應的措施對計算機網絡系統予以保護。防火墻技術，主要利用模糊數據庫，來對外來者進行控制和訪問，通過判斷其所執行的網絡行為，來分析其目的或意圖，不需要進行大量的網絡計算，及時攔截不正當的訪問行為，直接提高了計算機網絡系統的防控能力，在信息安全技術中，防火墻技術是最基礎也是最有效的。

3.信息安全掃描技術

在保護計算機網絡安全的措施中，信息安全掃描技術也是極其關鍵的。通過對全網系統給予有目的的安全掃描，對網絡運行的狀態，網路管理員可以及時準確地了解，一旦發現安全泄露問題，可以采取及時的補救措施。在計算機網絡信息安全中，安全掃描技術應用的比較廣泛，可以從防火墻系統、主機操作系統、Web服務站點、局域網等方面給予安全監控，對異常信息給予及時的檢測，提高了系統安全性。

4.防止病毒入侵技術

在網絡信息安全中，病毒入侵對計算機系統的破壞性是極強的，根據前面所講述的，病毒具有很強的隱藏性，它會長期潛伏在我們的計算機系統中，一旦不小心將病毒激活了，那么導致的破壞性是非常強的。所以加強防止病毒入侵技術是非常有必要的，用戶在使用計算機的過程中，在安裝殺毒軟件時，要選擇正版的、專業的殺毒軟件；對于陌生的郵件，用戶要及時給予病毒查殺，有效防止病毒進入計算機系統。

篇（2）

21世紀是知識經濟時代，網絡化、信息化是現代社會的一個重要特征。隨著網絡的不斷普及，電子商務這種商務活動新模式已經逐漸改變了人們的經濟、工作和生活方式，可是，電子商務的安全問題依然是制約人們進行電子商務交易的最大問題，因此，安全問題是電子商務的核心問題，是實現和保證電子商務順利進行的關鍵所在。

信息安全技術在電子商務應用中，最主要的是防止信息的完整性、保密性與可用性遭到破壞；主要使用到的有密碼技術、信息認證和訪問控制技術、防火墻技術等。

一、密碼技術

密碼是信息安全的基礎，現代密碼學不僅用于解決信息的保密性，而且也用于解決信息的保密性、完整性和不可抵賴性等，密碼技術是保護信息傳輸的最有效的手段。密碼技術分類有多種標準，若以密鑰為分類標準，可將密碼系統分為對稱密碼體制(私鑰密碼體制)和非對稱密碼體制(公鑰密碼體制)，他們的區別在于密鑰的類型不同。

在對稱密碼體制下，加密密鑰與解密密鑰是相同的密鑰在傳輸過程中需經過安全的密鑰通道，由發送方傳輸到接收方。比較著名的對稱密鑰系統有美國的DES，歐洲的IDEA，Et本的RC4，RC5等。在非對稱密碼體制下加密密鑰與解密密鑰不同，加密密鑰公開而解密密鑰保密，并且幾乎不可能由加密密鑰導出解密密鑰，也無須安全信道傳輸密鑰，只需利用本地密鑰的發生器產生解密密鑰。比較著名的公鑰密鑰系統有RSA密碼系統、橢圓曲線密碼系統ECC等。

數字簽名是一項專門的技術，也是實現電子交易安全的核心技術之一，在實現身份認證、數據完整性、不可抵賴性等方面有重要的作用。尤其在電子銀行、電子證券、電子商務等領域有重要的應用價值。數字簽名的實現基礎是加密技術，它使用的是公鑰加密算法與散列函數一個數字簽名的方案一般有兩部分組成：數字簽名算法和驗證算法。數字簽名主要的功能是保證信息傳輸的完整性、發送者身份的驗證、防止交易中抵賴的發生。

二、信息認證和訪問控制技術

信息認證技術是網絡信息安全技術的一個重要方面，用于保證通信雙方的不可抵賴性和信息的完整性。在網絡銀行、電子商務應用中，交易雙方應當能夠確認是對方發送或接收了這些信息，同時接收方還能確認接收的信息是完整的，即在通信過程中沒有被修改或替換。

①基于私鑰密碼體制的認證。假設通信雙方為A和B。A，B共享的密鑰為KAB，M為A發送給B的信息。為防止信息M在傳輸信道被竊聽，A將M加密后再傳送。

由于KAB為用戶A和B的共享密鑰，所以用戶B可以確定信息M是由用戶A所發出的，這種方法可以對信息來源進行認證，它在認證的同時對信息M也進行了加密，但是缺點是不能提供信息完整性的鑒別。通過引入單向HASH函數，可以解決信息完整性的鑒別問題，如圖2所示

用戶A首先對信息M求HASH值H(M)，之后將H(M)加密成為m，然后將m。和M一起發送給B，用戶B通過解密ml并對附于信息M之后的HASH值進行比較，比較兩者是否一致。圖2給出的信息認證方案可以實現信息來源和完整性的認證?；谒借€的信息認證的機制的優點是速度較快，缺點是通信雙方A和B需要事先約定共享密鑰KAB。

②基于公鑰體制的信息認證?；诠€體制的信息認證技術主要利用數字簽名和哈希函數來實現。假設用戶A對信息M的HASH值H(M)的簽名為SA(dA，H(m)，其中dA為用戶A的私鑰)，用戶A將M／／SA發送給用戶B，用戶B通過A的公鑰在確認信息是否由A發出，并通過計算HSAH值來對信息M進行完整性鑒別。如果傳輸的信息需要報名，則用戶A和B可通過密鑰分配中心獲得一個共享密鑰KAB，A將信息簽名和加密后再傳送給B，如圖3所示。由圖3可知，只有用戶A和B擁有共享密鑰KAB，B才能確信信息來源的可靠性和完整性。

訪問控制是通過一個參考監視器來進行的，當用戶對系統內目標進行訪問時，參考監視器邊查看授權數據庫，以確定準備進行操作的用戶是否確實得到了可進行此項操作的許可。而數據庫的授權則是一個安全管理器負責管理和維護的，管理器以阻止的安全策略為基準來設置這些授權。

③防火墻技術。防火墻是目前用得最廣泛的一種安全技術，是一種由計算機硬件和軟件的組合。它使互聯網與內部網之間建立起一個安全網關，可以過濾進出網絡的數據包、管理進出網絡的訪問行為、對某些禁止的訪問行為、記錄通過防火墻的信息內容和活動及對網絡攻擊進行檢測和告警等。防火墻的應用可以有效的減少黑客的入侵及攻擊，它限制外部對系統資源的非授權訪問，也限制內部對外部的非授權訪問，同時還限制內部系統之間，特別是安全級別低的系統對安全級別高的系統的非授權訪問，為電子商務的施展提供一個相對更安全的平臺，具體表現如下：

①防火墻可以強化網絡安全策略。通過以防火墻為中心的安全方案配置，能將所有安全軟件配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。例如在網絡訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火墻身上。

②對網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

③防止內部信息的外泄。通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。再者，隱私是內部網絡非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴露了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣臺主機的域名和IP地址就不會被外界所了解。

④網絡安全協議。網絡協議是網絡上所有設備之間通信規則的集合。在網絡的各層中存在著許多協議，網絡安全協議就是在協議中采用了加密技術、認證技術等保證信息安全交換的安全網絡協議。

目前，Intemet上對七層網絡模型的每一層都已提出了相應的加密協議，在所有的這些協議中，會話層的SSL和應用層的SET與電子商務的應用關系最為密切：

篇（3）

從三個方面來考慮：首先是信息狀態安全，即稅務系統安全，要防止稅務系統中心的數據被攻擊者破壞。稅務系統要通過Internet對納稅人提供納稅便利，必須以一定的方式將它的數據中心開放，這對稅務系統本身帶來了很大的風險。其次是信息轉移安全，即服務安全，如納稅人識別號、口令、納稅金額等在傳輸中不被冒用、泄露和篡改。再次是安全管理制度，即使用安全，保證稅務人員正確、安全的使用。本文主要針對以上前兩個方面也就是信息安全技術進行研究。

一、信息狀態安全技術

信息狀態安全主要包括系統主機服務器安全、操作系統安全和數據庫安全三個方面。

（一）系統主機服務器安全（ServerSecurity）

服務器是存儲數據、處理請求的核心，因此服務器的安全性尤為重要。服務器的安全性主要涉及到服務器硬件設備自身的安全性防護，對非法接觸服務器配件具有一定的保護措施，比如加鎖或密碼開關設置等；同時，服務器需要支持大數據量及多線程存儲矩陣以滿足大數據量訪問的實時性和穩定性，不會因為大量的訪問導致服務器崩潰；服務器要能夠支持基于硬件的磁盤陣列功能，支持磁盤及磁帶的系統、數據備份功能，使得安裝在服務器上的操作系統和數據庫能夠在災難后得到備份恢復，保證服務器的不間斷運行；服務器設備配件的高質量及運行可靠性也是服務器安全的非常重要的一個方面，這直接關系到服務器不間斷運行的時間和網絡數據訪問的效率。

（二）操作系統安全（OperatingSystemSecurity）

設置操作系統就像為構筑安全防范體系打好“地基”。

1.自主訪問控制（DiscretionaryAccessControl，DAC）。自主訪問控制是基于對主體（Subject）或主體所屬的主體組的識別來限制對客體（Object）的訪問。為實現完備的自主訪問控制，由訪問控制矩陣提供的信息必須以某種形式保存在稅務操作系統中。訪問控制矩陣中的每行表示一個主體，每列表示一個受保護的客體，矩陣中的元素表示主體可對客體的訪問模式。以基于行的自主訪問控制方法為例。它是在每個主體上都附加一個該主體可訪問的客體的明細表，根據表中信息的不同可分為三種形式：（1）權力表（CapabilitiesList），它決定是否可對客體進行訪問以及可進行何種模式的訪問。（2）前綴表（PrefixList），它包括受保護客體名以及主體對客體的訪問權。（3）口令（Password），主體對客體進行訪問前，必須向稅務操作系統提供該客體的口令。對于口令的使用，建議實行相互制約式的雙人共管系統口令。

2.強制訪問控制（MandatoryAccessControl，MAC）。鑒于自主訪問控制不能有效的抵抗計算機病毒的攻擊，這就需要利用強制訪問控制來采取更強有力的訪問控制手段。在強制訪問控制中，稅務系統對主體和客體都分配一個特殊的一般不能更改的安全屬性，系統通過比較主體與客體的安全屬性來決定一個主體是否能夠訪問某個客體。稅務系統一般可采取兩種強制措施：（1）限制訪問控制的靈活性。用戶修改訪問控制信息的唯一途徑是請求一個特權系統的功能調用，該功能依據用戶終端輸入的信息而不是靠另一個程序提供的信息來修改訪問控制信息。在確信用戶自己不會泄露文件的前提下，用這種方法可以消除偷改訪問控制信息的計算機病毒的威脅。（2）限制編程。鑒于稅務系統僅需要進行事務處理，不需要任何編程的能力，可將用于應用開發的計算機系統分離出去，完全消除用戶的編程能力。

3.安全核技術（SecurityKernelTechnology）。安全核是構造高度安全的操作系統最常用的技術。該技術的理論基礎是：將與安全有關的軟件隔離在操作系統的一個可信核內，而操作系統的大部分軟件無須負責系統安全。稅務系統安全核技術要滿足三個原則：（1）完備性（Completeness），要求使主體必須通過引進監控器才能對客體進行訪問操作，并使硬件支持基于安全核的系統。（2）隔離性（Isolation），要求將安全核與外部系統很好的隔離起來，以防止進程對安全核的非法修改。（3）可驗證性（Verifiability），要求無論采用什么方法構造安全核，都必須保證對它的正確性可以進行某種驗證。

其他常見措施還有：信息加密、數字簽名、審計等，這些技術方法在數據庫安全等方面也可廣泛應用，我們將在下面介紹。

（三）數據庫安全（DatabaseSecurity）

數據庫是信息化及很多應用系統的核心，其安全在整個信息系統中是最為關鍵的一環，所有的安全措施都是為了最終的數據庫上的數據的安全性。另外，根據稅務網絡信息系統中各種不同應用系統對各種機密、非機密信息訪問權限的要求，數據庫需要提供安全性控制的層次結構和有效的安全性控制策略。

數據庫的安全性主要是依靠分層解決的，它的安全措施也是一級一級層層設置的，真正做到了層層設防。第一層應該是注冊和用戶許可，保護對服務器的基本存?。坏诙邮谴嫒】刂?，對不同用戶設定不同的權限，使數據庫得到最大限度的保護；第三層是增加限制數據存取的視圖和存儲過程，在數據庫與用戶之間建立一道屏障。基于上述數據庫層次結構的安全體系，稅務網絡信息系統需要設置對機密和非機密數據的訪問控制：（1）驗證（Authentication），保證只有授權的合法用戶才能注冊和訪問；（2）授權（Authorization），對不同的用戶訪問數據庫授予不同的權限；（3）審計（Auditing），對涉及數據庫安全的操作做一個完整的記錄，以備有違反數據庫安全規則的事件發生后能夠有效追查，再結合以報警（Alert）功能，將達到更好的效果。還可以使用數據庫本身提供的視圖和存儲過程對數據庫中的其他對象進行權限設定，這樣用戶只能取得對視圖和存儲過程的授權，而無法訪問底層表。視圖可以限制底層表的可見列，從而限制用戶能查詢的數據列的種類。二、信息轉移安全技術

信息轉移安全即網絡安全。為了達到保證網絡系統安全性的目的，安全系統應具有身份認證（IdentificationandAuthentication）；訪問控制（AccessControl）；可記賬性（Accountability）；對象重用（ObjectReuse）；精確性（Accuracy）；服務可用性（AvailabilityofServices）等功能。

1.防火墻技術（FirewallTechnology）

為保證信息安全，防止稅務系統數據受到破壞，常用防火墻來阻擋外界對稅務局數據中心的非法入侵。所謂防火墻，是一類防范措施的總稱，是指在受保護的企業內聯網與對公眾開放的網絡（如Internet）之間設立一道屏障，對所有要進入內聯網的信息進行分析或對訪問用戶進行認證，防止有害信息和來自外部的非法入侵進入受保護網，并且阻止內聯網本身某個節點上發生的非法操作以及有害數據向外部擴散，從而保護內部系統的安全。防火墻的實質是實施過濾技術的軟件防范措施。防火墻可以分為不同類型，最常見的有基于路由器的IP層防火墻和基于主機的應用層防火墻。兩種防火墻各有千秋，IP層防火墻對用戶透明性好，應用層防火墻具有更大的靈活性和安全性。實踐中只要有資金許可，常常將兩種防火墻結合使用，以互相補充，確保網絡的安全。另外，還有專門用于過濾病毒的病毒防火墻，隨時為用戶查殺病毒，保護系統。

2.信息加密技術（InformationEncryptionTechnology）

信息加密包括密碼設計、密碼分析、密鑰管理、驗證等內容。利用加密技術可以把某些重要信息或數據從明文形式轉換成密文形式，經過線路傳送，到達目的端用戶再把密文還原成明文。對數據進行加密是防止信息泄露的有效手段。適當的增加密鑰的長度和更先進的密鑰算法，可以使破譯的難度大大增加。具體有兩種加密方式：（1）私鑰加密體制（Secret-keyCryptography），即加密與解密時使用相同的密碼。私鑰加密體制包括分組密碼和序列密碼兩種。分組密碼把明文符號按固定大小進行分組，然后逐組加密。而序列密碼把明文符號立即轉換為密文符號，運算速度更快，安全性更高。（2）公鑰加密體制（Public-keyCryptography），其加密密鑰與解密密鑰分為兩個不同的密鑰，一個用于對信息的加密，另一個用于對已加密信息的解密。這兩個密鑰是一對互相依賴的密鑰。

在傳輸過程中，只有稅務系統和認證中心（AuthenticationCenter，AC）才有稅務系統的公開密鑰，只有納稅人和認證中心才有納稅人的公開密鑰，在這種情況下，即使其他人得到了經過加密后雙方的私有密鑰，也因為無法進行解密而保證了私有密鑰的重要性，從而保證了傳輸文件的安全性。

3.信息認證技術（InformationAuthenticationTechnology）

數字簽名技術（DigitalSignatureTechnology）。數字簽名可以證實信息發送者的身份以及信息的真實性，它具備不可偽造性、真實性、不可更改性和不可重復性四大特征。數字簽名是通過密碼算法對數據進行加密、解密交換實現的，其主要方式是：信息發送方首先通過運行散列函數，生成一個欲發送報文的信息摘要，然后用所持有的私鑰對這個信息的摘要進行加密以形成發送方的數字簽名，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。接收方在接收到信息后，首先運行和發送方相同的散列函數生成接收報文的信息摘要，然后再用發送方的公開密鑰對報文所附的數字簽名進行解密，產生原始報文的信息摘要，通過比較兩個信息摘要是否相同就可以確認發送方和報文的正確性。

完整性認證（IntegrityAuthentication）。完整性認證能夠使既定的接收者檢驗接收到的信息是否真實。常用的方法是：信息發送者在信息中加入一個認證碼，經加密后發送給接收者檢驗，接收者利用約定的算法對解密后的信息進行運算，將得到的認證碼與收到的認證碼進行比較，若兩者相等，則接收，否則拒絕接收。

4.防病毒技術（Anti-virusTechnology）

病毒防范是計算機安全中最常見也是最容易被忽視的一環。我們建議采用由單機防毒和網絡防毒同時使用的這種防病毒措施，來最大限度地加強網絡端到端的防病毒架構，再加上防病毒制度與措施，就構成了一套完整的防病毒體系。

參考文獻：

[1]楊懷則.稅收信息化建設存在的問題及建議[J].草原稅務,2002,(12):31-32.

[2]AndrewS.Tanenbaum,“ModernOperatingSystems”,PrenticeHall,1992.

[3]滕至陽.現代操作系統教程[M].北京:高等教育出版社,2000.

篇（4）

2VPN技術

虛擬專用網絡的代稱便是VPN技術，這種技術是通過特殊加密手段的使用，通過通訊協議進行專有通訊線路的建立。其不需要實體線路，僅僅需要信息技術的連接和溝通。在路由器技術中VPN技術也是重要組成部分。

3計算機信息系統安全技術的實際應用

計算機信息系統安全保護針對的時候計算機信息系統中的數據信息以及軟硬件進行保護，避免其受到病毒的破壞和攻擊，從而導致信息出現泄漏的情況，給系統運行的安全性和穩定性造成嚴重影響?，F在信息發展的速度非?？?，人們在平時工作生活學習中，越來越依靠計算機，若是其出現問題，那么會給使用者造成非常嚴重的損失，所以，必須根據需要保護好計算機信息系統，保證其安全性[3]。對于用戶而言，EPS加密系統應用是比較透明的，用戶自己進行文件的加密，那么其訪問的時候便不會受到任何的限制，若是沒有被授權的用戶或者其他人進行訪問便會遭到拒絕。并且用戶通過EFS加密驗證也是比較簡單的，在進行系統登錄的時候，只要能夠登錄成功，那么便可以隨意地進行文件的打開，其防攻擊性能比較好[4]。在進行網絡通信掃描的時候，防火墻的作用是比較大的，其過濾攻擊信息的效率比較高，能夠很好地對病毒的入侵進行防護。VPN技術在進行路由器接入之后，便會獲得路由器具有的功能，現在很多企業在進行內部資產安全保護的時候，便會將VPN技術應用進去，在安全功能發揮的過程中，很多時候都需要VPN技術參與進去，所以VPN技術本身也是有一定的開放標準的，這樣能夠方便第三方更好地和其協作。

篇（5）

2電力自動化通信技術中信息安全對策

2.1采用多層次加密的方式實現信息保護

隨著網絡信息技術的推廣應用，在進行數據信息的網絡化傳輸中，為了保障所傳輸數據的安全性，多采用加密方式進行保障，其中，通過網絡鏈路加密、信息傳輸端口加密、混合加密等三種加密方式是比較常見的網絡信息加密方式。

2.2采用合適的加密算法實現信息保護

在進行網絡信息安全保護中，通過使用合適的加密算法實現網絡信息的安全保護也是一種常見的網絡信息安全技術，它主要是通過在網絡信息傳輸的網絡層以及應用層之間，進行SSL層設置，并通過對數據流的完全加密，以實現網絡信息的安全保護。值得注意的是，在SSL層進行完全加密的數據流中，加密的內容只包括應用數據和傳輸協議內容。在進行網絡信息加密保護過程中，通過將數據流分割成數據段進行加密，并在加密后數據由明文變成密文，以此來實現網絡信息的安全保護。

2.3以摘要算法實現網絡信息安全保護

在進行網絡信息安全保護中，以摘要算法的方式實現網絡傳輸數據信息的安全保護，也就是通過對于網絡傳輸的數據流進行分段，并通過摘要計算后，將摘要附注在信息明文之后，以進行傳輸信息完整性的校驗，從而來保證網絡傳輸數據信息的完整性與安全性。

2.4加強應用管控，杜絕違規外聯

對所有用戶終端、網管終端加裝防違規外聯程序，發現違規外聯第一時間進行阻斷。嚴格維護用戶準入制度，加強用戶口令管理，強制口令定期更新，控制遠程維護授權管理。

2.5對通信系統網絡進行優化

實施分層、分級管理，核心業務必須通過嚴格的物理隔離措施經交換平臺連接用戶。

3電力自動化通信技術在電力通信中的應用

3.1電力通信網絡及其特征分析

在電力系統中，電力通信網絡，顧名思義是借助電力光纜線路或者載波等實現的一種數據通信與傳輸方式，現實中，比較常見的電力通信網絡有電纜線路、無線等多種通信手段與形式構成的通信方式。而比較常見的電力通信方式主要有電力線路載波通信、電力光纖通信和其他電力通信。首先，電力載波通信主要是借助電力線路進行工頻載波電流輸送的一種通信方式，它主要是將音頻或者是其他數據信息由載波機轉換成一種高頻弱電流形式，然后通過電力線路完成通信傳輸，實現電力線路的載波通信。與其他電力通信方式相比，電力線路載波通信具有通信傳輸可靠性、成本低、通信傳輸效率高等特征，并且電力線路載波通信與電網建設能夠保持一致，具有較為突出的特征優勢。此外，在電力通信系統中，電力線路載波通信還具有通過電力架設線路實現載波信號傳播等形式，這種電力載波通信線路與普通線路相比，具有較高的絕緣性，并且通信傳輸過程中造成的電能損耗比較小。最后，比較常見的電力通信形式還有明顯電話、音頻電纜以及擴頻通信等多種形式，對于電力通信的發展都有著舉足輕重的作用和影響。

篇（6）

電力行業在國民經濟中占主導地位，近幾年，憑借科技不斷發展，電力行業正日益向自動化方向邁進。通信技術在電力自動化中起到了舉足輕重的作用，但其涉及到的信息安全問題卻關系到供電穩定性與安全性。因此，強化對信息安全方面的探究，找出現階段存在的問題，采取有效防護措施予以處理和加強，是具有重要作用與現實意義的。

1信息安全防護范圍與重點

某城區通信網的主要任務為對市區內22座變電所提供縱向通信，所有通信網均采用光纖通信電路，根據方向的不同，可分成東部與西部兩部分。其中，東部采用ATM網絡，設備選擇為Passport6400；西部采用IP+SDH交換機網絡，設備選擇為Accelar1100與150ASDH。該市區通信網負責縣級調度與少數樞紐變電所通信，主要采用自帶兩類適配端口的設備。在通信網中，信息安全防護范圍為整個信息通信網，主要防御對象為黑客或病毒等經過調度數據網絡與實時監控系統等主動發起的攻擊與破壞，確保傳輸層上的調度數據網絡與實時監控系統可靠、穩定、安全運行。

2安全防護原則分析

電力調度數據網絡與實時監控系統在實際運行過程中各個變電所和調度通信中心之間存在若干條縱向通信，根據相關規定，在系統總體技術層面上主要提出以兩個隔離為核心的安全防護基本原則。其中，涉及通信隔離的基本原則可總結為以下幾點：（1）為確保調度數據網運行安全，網絡需要在通道上借助專用網絡的設備組網，并采取同步數字序列或準同步數字序列，完成公用信息網絡及物理層面上的有效安全隔離；（2）根據電力系統信息安全防護技術路線明確的有關安全防護區涉及的幾項基本原則，為所有安全防護區當中的局域網均提供一個經過ATM配置的虛擬通信電路或者是經過同步數字序列配置的通信電路，采取這樣的方式為各個安全等級提供有效的隔離保護[1]。

3通信網絡的安全分析

根據上述目標要求與基本原則，通信網必須向不同的應用層提供具有良好安全性的傳輸電路，即VirtualPrivateNet-work，虛擬專用網絡，其原理如圖1所示。該市區已經完成了各項初步設計工作，具備充足的條件嚴格按照目標要求與基本原則開展后續工作。在現有通信網的ATM系統中，根據實時要求或非實時要求，已完成對四個安全區的有效劃分，每一個安全區都可以配置虛電路，因虛電路的端口主要適配于ATM系統的適配層，借助ATM系統的信元完成信息傳輸，各個虛電路的內部連接屬于典型的端與端物理式連接，不同虛電路之間不涉及橫向上的通信，并且與外界也不存在通信聯系。因此，對于通信網絡的ATM系統而言，其在虛擬專用網絡方面的虛電路之間主要為物理隔離，不同區的虛擬專用網絡傳輸具備良好的安全性。對1100IP交換機系統而言，它需要承擔不少于四個區的實時業務通信，因為這些業務通信區在所有站上都采用交換機完成傳輸與匯接，不同區之間僅僅是根據IP地址方面的差異而進行劃分，形成各自的VLAN（VirtualLocalAreaNetwork，虛擬局域網），區之間并未完成原則上要求的物理隔離，作為虛擬專用網絡主要傳輸鏈路，無法滿足其在專用局域網方面的基本要求[2]。根據上述分析結果可以看出，該城區通信網絡將ATM視作虛擬專用網絡的信息傳輸鏈路基本滿足安全性要求，但交換機實際傳輸與匯接卻存在不同程度的安全隱患，違背了安全防護方面提出的各項基本要求，為了從本質上確保通信網絡安全，必須對此予以有效改造，可采取如下改造方案：充分利用西部系統現有電路，增設2M/10M適配設備，借助同步數字體系為所有安全區構建透傳電路，在中心站集中交換機，每個安全區都配置一個交換機，以此達到“一區一網”的根本目標，即一個安全區配置一個虛擬專用網絡。

4安全防護技術手段

該城區設置的電力信息通信網本質上屬于專門為電力系統提供服務的通信網絡，其自身作用較為單一，僅為信息中心和調度通信中心與各個變電所間的通信，根據安全防護提出的各項基本原則，充分考慮現階段網絡基本狀況，可實施采取以下技術手段：（1）切斷與外界之間的直接通信，確保系統和外界不存在直接通信關系；（2）采用同步數字體系向所有安全防護區提供專用電路，同時采用速率適配裝置等實現和業務端之間的連接；而不同業務端之間則可以使用點與點的方式進行通信，以此滿足安全防護區以內通信業務方面的縱向通信要求。由同步數字體系設置的專用電路通常不會產生橫向通信[3]；（3）由ATM系統向所有安全防護區提供虛電路，以此構成一個完整的虛擬專用網絡，并確保不同虛擬專用網絡間沒有產生橫向通信的可能；（4）城區整體電力信息通信網與市縣級通信網在完全相同的安全防護網中構成相同的虛擬專用網絡。

5總結

（1）根據電力系統信息安全防護明確的防護范圍與各項圖1虛擬專用網絡基本原理低碳技術基本原則，對某城區所用通信網潛在的各類安全問題進行深入分析，并結合現階段實際發展要求，提出一系列技術手段，為制定合理、有效的處理方案提供依據。（2）該城區電力信息通信網本質上屬于一個具有封閉性特點的單一用途通信網絡，可實現與外部間的完全隔離以及系統內部電路之間的相互隔離，其具備的安全防護能力可以很好的滿足系統安全運行要求。然而，考慮到系統安全防護水平的提高必然會引起相關要求的改變，因此以上結論僅限當前水平。

作者:周建新 單位:國網湖南省電力公司沅江供電分公司

參考文獻

篇（7）

計算機網絡之間的聯系比較緊密，一旦出現較為嚴重的病毒，勢必會在計算機網絡之間大范圍的傳播，造成大范圍的計算機癱瘓。例如，以往的熊貓燒香病毒，就對計算機網絡造成了很大的傷害，其造成的直接經濟損失和間接經濟損失，是無法估量的。日后，應首先在計算機病毒的防護工作中努力。第一，必須對計算機操作系統采取合理的防病毒措施，有效的維護好計算機的信息安全。目前，我國很多的科技企業，在該方面都做到了理想的效果，突出的有360、金山、騰訊等，這些企業在病毒防護方面，能夠實現實時查殺，并且可以為用戶提供最新的病毒流行趨勢和各項信息，防止用戶在病毒感染后才了解到問題的嚴重性。第二，應在計算機的操作系統上進行努力，盡量的穩定系統，減少各方面的漏洞。該方面的工作需要系統者以及維護者進行共同努力?，F階段所使用的系統，多數都是Windos系統，微軟方面給予的維護，將是主要的計算機病毒防護，而金山、騰訊一類的科技企業，也要進行實時更新與防護。

1.2計算機信息安全技術

近年來，我國對各種影響安全的信息因素都開展大量的計算機信息安全技術進行防護。目前，我國的計算機信息安全技術體系相對完善，其包括的內容也比較廣泛，有實時的掃描技術、檢測技術、防火墻等等。在計算機信息安全技術實施過程中，比較重要的一個對象就是社會上的廣大企業。從客觀的角度來看，企業需要建立完善的信息安全管理和防護制度，提高系統管理工作人員人員技術水平和職業道德素質。對重要的機密信息進行嚴格的開機查毒，及時地備份重要數據，對網站訪問進行有效地控制，實現信息安全的防范和保護；對數據庫進行備份和恢復；實現防護和管理數據的完整性。利用數據流加密技術、公鑰密碼體制、單鑰密碼體制等密碼技術劉信息進行安全管理，保護信息的安全。切斷傳播途徑，對感染的計算機進行徹底性查毒，不使用來路不明的程序、軟盤等，不隨意打開可疑的郵件等。

2.提高信息安全管理人員的技術防護水平

由于目前國家與社會，對計算機信息安全技術以及防護措施比較重視，因此投入了大量的時間與精力。就目前的情況來看，計算機信息安全技術無法脫離人的操作，所以，未來還要在信息安全管理人員方面努力，通過一系列的手段和措施，提高他們的技術防護水平。首先，應對信息安全管理人員進行廣泛的培訓，幫助其樹立一個正確的工作態度，并且擁有熟練的技術防護水平，這樣才能獲得理想的工作成果。第二，所有的信息安全管理人員，必須通力協作，共同對付各種侵擾和襲擊，以此來實現主觀上的防護水平提升。

篇（8）

1.1制定計算機信息安全的方案

計算機信息安全技術是制定計算機信息安全方案的基礎，通過安全方案的執行形成計算機操作和維護的體系，真正確保信息能夠在技術和管理機制中得到安全方面的保障。

1.2檢測計算機信息安全的漏洞

計算機信息安全技術是一個綜合的技術體系，其中分析和管理子體系可以對計算機系統、網絡環境展開分析，進而找到計算機信息安全的漏洞，在修補和處理的基礎上，實現計算機信息安全。

1.3形成計算機信息安全的行為

計算機信息安全技術的應用可以指導計算機管理人員和技術人員形成操作和行為規范，這有助于計算機信息工作標準和安全行為體系的建立，進而實現計算機、網絡和信息達到整體上的安全。

2計算機網絡信息面臨的安全威脅

2.1環境引起的災害

無論計算機的信息系統多么智能和發達，但它始終是一臺機器，因此對周圍存在的自然環境影響因素的抵抗能力及其微弱，例如：濕度、溫度、振動、污染等都會對計算機的運行產生安全威脅。而且就目前來看我國大多數計算機用戶的個人電腦都沒有安裝防火、防水、避雷和防電磁干擾等可以抵抗自然災害的安全措施，就接地系統而言也存在一定的欠缺，因此多數計算機無法有效地抵抗自然災害和意外事故。

2.2人為的惡意攻擊

人為的惡意攻擊是計算機網絡信息安全面臨的最大威脅，這種惡意攻擊可以分為兩種：主動攻擊和被動攻擊。主動攻擊類型是指破壞者采用多種方式有針對性的對用戶的重要信息進行破壞，可能使信息無法使用、閱讀，或者是信息出現欠缺等；而被動攻擊是在不影響用戶計算機正常使用的前提下對用戶的重要機密信息進行竊取、攔截和破譯。這兩種類型的計算機攻擊不但對計算機網絡造成了很大的危害而且也使用戶的重要機密數據泄露?，F在大多數用戶的計算機中使用的網絡軟件都存在一些安全漏洞，這種情況就給網絡黑客提供了非法入侵的機會，他們對重要的、敏感的信息數據進行修改和破壞，造成計算機網絡系統出現無法使用的狀態，一旦丟失重要的數據或者系統出現癱瘓，就會給社會和國家帶來巨大的經濟損失和政治影響。

2.3計算機病毒

計算機病毒是一種最難防范的威脅計算機安全的因素，因為計算機病毒能夠儲存和隱藏在可執行的程序當中，因此人們很難直接發現它的存在，有時候會隱藏在一些數據文件當中，用戶一旦打開閱讀就會觸發病毒的執行程序，而且病毒還有具有高度的傳染性、潛伏性和破壞性等特點。據相關數據統計顯示，2013年上半年國內發作病毒種類如圖1所示。計算機病毒的傳播方式是通過對復制文件、傳送文件以及運行程序，在日常的使用過程中軟件、硬盤、光盤和網絡是病毒傳播的主要介質，而且計算機病毒開始運行之后一方面可能會降低計算機系統的工作效率，也可能造成重要文件的損壞，嚴重的可能導致數據丟失甚至是系統的硬件系統無法使用，最終給公司或者企業帶來無法估計的損失。根據有關調查報告顯示近幾年來我國出現的重大的病毒傳播事件都是基于網絡來傳播的。

2.4垃圾郵件和間諜軟件

隨著通訊方式的多樣化，很多人開始將自己的電子郵件非法強行地發送到別人的電子郵箱當中，使計算機用戶被迫接受很多的垃圾文件。間諜軟件與計算機病毒不相同，它的主要目的不是要針對用戶的計算機系統，而是為了竊取計算機用戶的安全信息，其造成的影響也是威脅用戶的隱私安全，并且會對計算機的性能產生一定的影響。

3計算機網絡信息安全的防護措施

3.1物理安全防護措施

物理安全防護措施的眾多目的中，有效保護和維護計算機的網絡鏈路是物理安全防護措施的主要目的，從而使計算機網絡能避免自然因素和人為因素的破壞。物理安全防護措施主要是為了驗證用戶身份和進入權限，通過物理安全防護措施強化網絡的安全管理，從而可以有效地確保網絡安全。

3.2加強安全意識

物質決定意識，意識是客觀事物在人腦中的反映，正確的意識促進客觀事物的發展，錯誤的思想意識阻礙客觀事物的發展。因此，在計算機網絡的維護中，要樹立正確的思想意識，克服錯誤的思想意識，從而，促進計算機網絡又好又快地發展。

3.3加密保護措施

加密技術主要針對的是極端及網絡的安全運行，它不僅有利于保障全球EC的高速發展，并且加密技術也有利于保護網絡數據的安全性。加密算法可以使信息在整個加密過程中實現其安全性和正確性。加密保護措施中常用的方法有兩種：對稱加密算法；非對稱加密算法。通過安全加密措施，能夠以極小的代價獲得強大的安全保障措施。

3.4防火墻措施

任何計算機都在接受防火墻的保護，有了防火墻的存在，才能使計算機最基本的運行。作為最基本的一道程序，防火墻是在計算機設備內置的保護程序，是在兩個用戶交換信息的過程中控制著互相訪問程度，并且將詢問是否允許進入數據。這種保護可以防止不明身份的人訪問用戶計算機中隱私，保護其中的信息不被盜用，銷毀或者破壞。

（1）數據包過濾。數據包過濾是指在網絡信息傳遞的過程中，完成對數據的選擇，根據計算機中設置好的過濾條件，在逐一對比數據的相關信息后，來確定是否讓此數據通過；

（2）應用網關。應用網關可以應用在特別的網絡服務協議中，同時激起數據包的分析程序。應用網關能夠通過網絡通信進行嚴格的管理和控制，它是經過一道嚴格的控制體系形成的，

（3）服務。服務是一種專門應用在計算機防火墻中的代碼。服務有多個功能，根據要求的不同所做出的動作也是不同的。

3.5身份認證技術

一旦用戶進行身份識別，就可以知道自己是否具有資格訪問數據源，這被叫做身份認證。在擁有身份認證的系統中，身份認證往往是最重要的一道防線，因為一旦通過了身份認證，就說明該用戶有資格接觸到這些信息。如果某些認證信息被盜用，那么這些被訪問的數據將會處于一個不利的狀態，盜用，破壞，甚至銷毀都是有可能發生的。通過計算機系統中的相關的軟件來確認身份的準確信息，通過信息的確定，來確保企業或者公司用戶的相關隱私信息是被正確安全地使用。使用這種方法最主要的是只限本人使用，因為只有真個身份的人才能夠有資格訪問這些數據，所以這是計算機信息安全中最重要的保護措施。主要有三種認證方法，分別是根據生理特征進行認證，通過外部條件進行認證，通過口令進行認證。生理特征的認證往往是最復雜的一種方法，而現在普遍適用的身份認證技術，有動態和靜態密碼認證技術，指紋識別，數字證書等等，都是面向不同的用戶開發出的不同的認證方法。為數字簽名驗證，也是身份驗證的一類。

篇（9）

論文關鍵詞：網絡；信息安全；密碼技術

計算機網絡信息安全的兩個基本需求是保密性和完整性。密碼技術是網絡安全通信的基礎，通過對通信內容進行加密變換，使未授權者不能理解其真實含義，以防止竊聽等被動性攻擊，保證信息的保密性；應用密碼體制的認證機制，可以防止篡改、意外破壞等對傳輸信息的主動性攻擊，以維護數據的完整性。保密和認證是信息系統安全的兩個重要方面，但是認證不能自動提供保密性，而保密也不能提供認證機制。密碼設計的基本思想是偽裝信息，使未授權者不能理解它的真正含義，未隱藏的信息稱為明文(Plaintext)，偽裝后的信息稱為密文(Ciphetrext)。構成一個密碼體制的兩個基本要素是密碼算法和密鑰(Key)。在設計密碼系統時，總是假定密碼算法是公開的，真正需要保密的是密鑰。

基于密碼技術的訪問控制是防止數據傳輸泄密的主要防護手段。訪問控制的類型可分為兩類：初始保護和持續保護。初始保護只在入口處檢查存取控制權限，一旦被獲準，則此后的一切操作都不在安全機制控制之下。防火墻提供的就是初如保護。連續保護指在網絡中的入口及數據傳輸過程中都受到存取權限的檢查，這是為了防止監聽、重發和篡改鏈路上的數據來竊取對主機的存取控制。由于網絡是一個開放式系統，使得加密變得不僅對于E—mail，而且對于網絡通信都很重要。

l電子郵件安全與PGP

PGP是由美國的PhilpZimmermann設計的一種電子郵件安全軟件，目前已在網絡上廣泛傳播，擁有眾多的用戶。PGP是一個免費軟件，并且其設計思想和程序源代碼都公開，經過不斷的改進，其安全性逐漸為人們所依賴。

PGP在電子郵件發送之前對郵件文本進行加密，由于一般是離線工作，所以也可以對文件等其他信息進行加密。PGP中采用了公鑰和對稱密碼技術和單向Hash函數，它實現的安全機制有：數字簽名、密鑰管理、加密和完整性，它主要為電子郵件提供以下安全服務：保密性；信息來源證明；信息完整性；信息來源的無法否認。

PGP采用密文反饋(CFB)模式的IDEA對信息進行加密，每次加密都產生一個臨時128比特的隨機加密密鑰，用這個隨機密鑰和IDEA算法加密信息，然后PGP還要利用RSA算法和收信人的公開密鑰對該隨機加密密鑰進行加密保護。收信人在收到加密過的電子郵件后，首先用自己的RSA私有密鑰解密出IDEA隨機加密密鑰，再用這個IDEA密鑰對電子郵件的內容進行解密。密鑰長度為128位的IDEA算法在加密速度和保密強度方面都比56位密鑰的DES算法要好，而且PGP采用的CFB模式的IDEA，更增強了它的抗密碼分析能力。另外由于每次加密郵件內容的密鑰是臨時隨機產生的即使破譯了一個郵件，也不會對其他郵件造成威脅。PGP的基本操作模式是用IDEA作為信息加密算法，它可以提高加密、解密速度和增強保密性，同時對較短的隨機密鑰用較慢的RSA算法進行保護，以方便密鑰管理。

PGP數字簽名采用了MD5單向Hash函數和RSA公鑰密碼算法。要創建一個數字簽名，首先要用MD5算法生成信息的認證碼(MAC)，再用發信人的RSA私有密鑰對此MAC進行加密，最后將加密過的MAC附在信息后面。MAC值的產生和檢查就是PGP的完整性保護機制。

PGP采用分散的認證管理，每個用戶的ID、RSA公開密鑰和此公開密鑰生成的時戳構成了這個用戶的身份證書。如果一個用戶獲得了一份被他所信任的朋友或機構簽名過的證書，他就可以信任這個證書并使用其中的公開密鑰與此證書的主人進行加密通信。如果愿意，他也可以對這份證書簽名使信任他的朋友也能信任和使用這份證書。PGP就是采用這種分散模式的公證機構傳遞對證書的信任，以實現信息來源的不可否認服務。

PGP的密鑰管理也是分散的，每個人產生自己的RSA公開密鑰和私有密鑰對。目前PGP的RSA密鑰和長度有3種普通級(384位)、商用級(512位)、軍用級(1024位)。長度越長，保密性越強，但加懈密速度也就越慢。

2WWW安全中的密碼技術

采用超文本鏈接和超文本傳輸協議(HTrP)技術的www是因特網上發展最為迅速的網絡信息服務技術，各種實際的因特網應用，如電子商務等大多數是以WWW技術為平臺，但是www上的安全問題也是非常嚴重的。目前，解決www安全的技術主要有兩種：安全套接字層SSL和安全HTYP協議。

2．1SSL

SSL是Netscape公司提出的建立在TCP／IP協議之上的提供客戶機和服務器雙方網絡應用通信的開放協議，它由SSL記錄協議和SSL握手協議組成，建立在應用層和傳輸層之間且獨立于應用層協議。和確定性。

SSL握手協議在SSL記錄協議發送數據之前建立安全機制，包括認證、數據加密和數據完整性。SSL握手協議開始的起點是客戶機知道服務器的公鑰，它通過服務器的公鑰加密向服務器傳送一個主密鑰，公鑰加密算法可以是RSA、Difife—Hellman或Fortezza—KEA。客戶機和服務器分別根據這個主密鑰計算出它們之間進行數據加密通信的一次性會話密鑰這樣會話密鑰就永遠不需要在通信信道上傳輸?？蛻魴C和服務器使用這對會話密鑰在一個連接中按DES、RC2／RC4或IDEA算法進行數據加密，此連接用CONNECTION—ID和與此相關的會話密鑰作廢。所以每個連接都有不同的CONNECTION—ID和會話密鑰。由于主密鑰不直接參與加密數據，只在客戶機與服務器建立第一次連接時傳送(同時產生一個SESSION—ID)，它的生存期與SESSION—ID有關。推薦的SESSION—ID在通信雙方的Cache(高速緩沖區)中保存的時間不大于100秒，這樣主密鑰被泄漏的機會很小。

SSL握手協議規定每次連接必須進行服務器認證，方法是客戶機向服務器發送一個挑戰數據，而服務器用本次連接雙方所共享的會話密鑰加密這個挑戰數據后送回客戶機。服務器也可以請求客戶機的認證，方法與服務器認證一樣。SSL記錄協議定義了SSL握手協議和應用層協議數據傳送的格式，并用MD2／MD5算法產生被封裝數據的MAC，以保證數據的完整性。

總之，SSL協議針對網絡連接的安全性，利用數據加密、完整換認證、公證機構等機制，實現了對等實體認證、連接的保密性、數據完整性、數據源點認證等安全服務。

2．2SHTTP

SHTTP是有EIT公司提出的增強GTTP安全的一種新協議，SHTTP定義了一個新方法secure和幾個新報文頭如Con—tent—Privacy—Domain、Content—Transfer—Encoding、Prearranged-Key—Info、Content—Type、Mac—info等。HTTP報文貝0以PKCS一7或PEM報文格式成為SHTI’P的報文體，從而獲得了這兩種安全增強型報文標準在數據加密、數字簽名、完整性等方面的保護。SHTrP還定義了新的I-I,TI’P報文頭、可重試的服務器狀態錯誤報告、新的HTML元素和Anchor屬性，使客戶機和服務器能夠通過對等的協商，在報文格式、認證方式、密鑰管理、簽名算法、加密算法和模式等方面達成一致，從而保證一次安全事務通信。

SHTIP所保護的是一次HTrP請求／應答協議的報文，而H，ITI’P連接是一種無狀態的連接，所以SHTI’P采用PKCS一7或PEM作為增強報文安全的主要手段。在數據加密方面，

篇（10）

（1）虛擬性。云計算綜合而辯證地引入網絡虛擬技術，并結合網絡發展實際應用情況，著眼于日益增多的網絡用戶實際應用需求，以更加快速、更加高效地滿足用戶需求為服務目標，提供更為快速的信息資源部署與配置、更為寬松的數據信息存儲空間和更為高效便捷的數據處理傳輸等信息服務。

（2）動態性。云計算運用了網絡分布式技術，實現網絡信息資源的動態化可伸縮延展配置，促使云端信息資源可以隨著用戶的實際應用需求而動態調整，以滿足用戶所需要的服務。

（3）靈活性。云計算著眼于為用戶按需提供數據信息存儲、處理和傳輸資源，因而本著“依需提供資源，依服務交付費用”原則，對由各云端綜合構建的資源池進行靈活機動地部署、配置、利用和釋放。

（4）透明性?；谠朴嬎慵夹g服務的各用戶并不需要明確自身信息獲取、傳輸、處理等過程中所應用的的資源來源情況，他們在具有應用時只需將各云端資源視為本地資源來使用，這種透明性有效地降低了用戶對專業知識依賴性，提升了信息服務品質。

2云計算的信息安全隱患

云計算技術所具有的虛擬性、動態性、靈活性和透明性這些優良品質特性源于對網絡資源的豐富，然而網絡資源天生存在穩定性、可靠性和安全性等方面的脆弱問題。云計算依賴于脆弱的網絡環境，各云端位于開放的網絡節點，云計算技術的所有用戶使用的信息處理終端（可能是計算機、手機、平板電腦等）不再是孤立的，而是分布于開放透明的網絡環境中的各云端節點，各個用戶所使用的數據文件同樣也不再孤立地存儲于本地終端內，而是存在于用戶并不確定的分布式網絡節點（云端）上。由此可見，基于云計算技術的各類用戶在進行業務數據處理時，他們的數據操作行為不再像傳統數據信息處理時那樣封閉，他們在進行業務處理時的數據獲取、訪問、存儲、處理、利用等都處理一種開放環境之中，這種開放性，必須導致用戶的所有數據安全難以得到真正意義上的絕對的安全保障。因而，基于云計算技術的信息安全問題不能不讓人感到擔憂，由其所帶來的信息安全問題似乎顯得更加突出，用戶數據信息被截取、篡改、盜用與濫用的風險似乎也變得大大增加。綜合分析基于云計算技術而引發的信息安全問題，突出表現在6個方面：①存在用戶數據信息被云計算技術掌控的超級管理員訪問、獲取、訪問與篡改的隱患危險；②存在數據信息存儲不明確不可靠的隱患風險；③存在數據信息合規合法性檢驗隱患風險；④存在數據信息傳輸難以有效管控而被散落、丟失與泄露的隱患風險；⑤存在數據存儲可靠性脆弱與數據恢復脆弱的隱患風險；⑥存在數據取證困難和司法調查難度劇增的隱患風險。

3風險防護的思考與對策

云計算技術具有許多優良特性，但美中不足的是其在信息安全防護中也存在諸多問題，必須對所存在的信息安全隱患風險加以高度關注，并積極施以有效對策。對此，通過思考如何有效應對基于云計算的信息安全隱患風險，提出以下幾點對策建議，希望能夠為同仁們提供一些有益地參與，起到拋磚引玉的作用。

（1）積極加強網絡基礎環境安全管控。云計算技術應用的基礎是網絡環境，由于網絡基礎設施布置的分散性，構成了諸多安全隱患，因此，加強網絡基礎環境的安全管控是有效應對云計算技術所帶來的各類信息安全隱患的首要之策?？梢詮墓芸孛恳粋€網絡節點的安全入手，對云計算技術所依托的“云端”數據實施數據信息安全監控，比如，可以通過網絡流量或云計算技術處理負載量進行實時監控，出現流量異常變化或云計算技術處理負載量突然爆增的情形，提出報警機制。又比如，對于一些高度敏感數據信息實施硬件審核隔離策略，以有效防患各類網絡攻擊而出現的信息安全問題。

（2）發揮云計算技術自身優勢構建虛擬安全防護體系。云計算技術具有顯著的虛擬性特點，通過云計算的虛擬技術實現對云計算技術構建的存儲空間、計算資源、應用資源的綜合透明化集成，從而促使大量用戶可以獲得“按需服務”，達到有效解決網絡零散資源共享與用戶資源占用整體性之間的矛盾。對此，為強加云計算技術所帶來的信息安全隱患問題，可以借鑒其自身的虛擬性，構建出有助于有效保障用戶數據信息安全性與隱私性的虛擬安全防護體系。例如，對于云計算技術中的數據存儲安全性問題，可以通過加密云計算虛擬存儲空間統籌與派發構建算法，采用“陣相交叉”虛擬數據信息存儲策略，以提升數據信息存儲的安全性。

（3）積極構建具有較高安全級別的桌面應用終端。云計算技術的應用具有開放性與分散性，如果僅借助于類似于B\S體系架構的“瘦客戶端”的桌面應用終端，無疑增添了云計算技術的安全隱患風險。對此，可以通過借鑒傳統C\S體系架構的一些優點，構建出具有較高安全級別的、輕量級的桌面應用終端，讓用戶終端與云計算技術應用平臺之間的連接具有較好的安全保障。例如，通過加密桌面應用終端和云計算技術應用通道，促使云計算技術用戶的應用處于加密狀態，從而達到有效防患可能出現的信息安全風險。

篇（11）

二、虛擬化技術提高信息安全水平

（一）虛擬化技術提高災備效率

虛擬化技術的一個重要特點是能實現管理集中化和恢復自動化，可以改變傳統的災備方式，減少數據備份和恢復的代價，提高災備效率和數據完整性、可用性和高可用性。傳統的災備需要復雜的備份服務器、存儲設備及網絡設施，還需根據數據量增大擴容硬件設備。但采用虛擬化技術后，能快速把工作負載自動轉移到其他資源，能把操作系統和應用轉移到異地的虛擬機，使應用快速恢復。VMware是目前先進的虛擬化技術，VMwarevCenterSiteRecoveryManager軟件能為所有虛擬化應用提供簡單可靠的災難保護。vCenterSiteRecoveryManager利用經濟高效的vSphereReplication或基于存儲的復制功能來集中管理恢復計劃，實現無中斷測試，并自動實施站點恢復和遷移過程。vCenterSiteRecoveryManager可與vCenterServer緊密集成的界面輕松設置集中式自動恢復計劃，僅需花數分鐘可完成。啟動災難故障切換時，只需簡單干預即可自動恢復業務服務。VMwareConsolidatedBackup是另外一個工具，直接在底層的虛擬層上進行數據的備份，避免了在每臺虛擬機上進行備份，減輕ESXServer上的負載，使得虛擬機可以運行更多應用，提高資源利用率。

（二）虛擬化技術減少系統運維壓力，提高信息安全水平

隨著信息技術的發展和虛擬化應用的深入，在當今IT行業，虛擬化技術廣泛用于整合IT基礎設施和優化業務管理，它通過將傳統物理資源抽象成邏輯資源，讓1臺服務器同時作為多臺邏輯上隔離的虛擬服務器，將主機CPU、主機內存、磁盤空間等硬件通過1個資源池管理，重點監控應用真正使用到的邏輯資源，如CPU主頻Hz、內存使用情況、磁盤空間使用情況以及存儲狀態等，實現物理資源統一動態管理。通過服務器虛擬化整合現有硬件資源，構建虛擬資源池和集中部署，減輕了運維壓力，提高信息安全水平，同時降低數據分中心的運行和維護成本。