信息化建设中信息安全的定位和构筑策略

由PennyWei 分享时间：2023-08-27 03:39:28 收藏本文

【简介】感谢网友“PennyWei”参与投稿，下面是小编整理的信息化建设中信息安全的定位和构筑策略（共5篇），欢迎您阅读，希望对您有所帮助。

篇1：信息化建设中信息安全的定位和构筑策略

信息化建设中信息安全的定位和构筑策略

信息安全事件的.不断增多使得在信息化建设中信息安全受到越来越多的重视.如何在信息化建设中更好的规划和应用信息安全.确保信息化建设的成功是本文关注的重点.本文从技术和管理两个方面时信息安全涉及到的内容进行了阐述,并结合信息系统等级保护,探讨了在信息化建设中如何从宏观和微观两个角度进行信息安全建设.

作者：安迎建范艳芳谢俊奇 An Yingjian Fan Yanfang Xie Junqi 作者单位：安迎建,谢俊奇,An Yingjian,Xie Junqi(北京市国土资源局,北京,100013)

范艳芳,Fan Yanfang(北京交通大学,北京,100044)

刊名：国土资源信息化英文刊名：LAND AND RESOURCES INFORMATIZATION 年，卷(期)： “”(5) 分类号：P23 关键词：信息化建设信息安全信息系统等级保护

篇2：研究税收信息化建设中的信息安全技术

研究税收信息化建设中的信息安全技术

摘要：税收管理信息化是加强税收征管、实现依法治税的重要措施，也是降低税收成本和提高征管效率的技术保障。随着我国税收信息化的快速发展，税收信息化建设中的信息安全问题日益凸显，它已成为制约我国税收现代化的瓶颈。随着“科技兴税”和税收征管改革的全面实施，税收信息化有了长足的发展，税收信息化建设中的信息安全问题越来越重要。

关键词：税收信息化；信息状态安全；信息转移安全；信息安全技术

从三个方面来考虑：首先是信息状态安全，即税务系统安全，要防止税务系统中心的数据被攻击者破坏。税务系统要通过Internet对纳税人提供纳税便利，必须以一定的方式将它的数据中心开放，这对税务系统本身带来了很大的风险。其次是信息转移安全，即服务安全，如纳税人识别号、口令、纳税金额等在传输中不被冒用、泄露和篡改。再次是安全管理制度，即使用安全，保证税务人员正确、安全的使用。本文主要针对以上前两个方面也就是信息安全技术进行研究。

一、信息状态安全技术

信息状态安全主要包括系统主机服务器安全、操作系统安全和数据库安全三个方面。

（一）系统主机服务器安全（Server Security）

服务器是存储数据、处理请求的核心，因此服务器的安全性尤为重要。服务器的安全性主要涉及到服务器硬件设备自身的安全性防护，对非法接触服务器配件具有一定的保护措施，比如加锁或密码开关设置等；同时，服务器需要支持大数据量及多线程存储矩阵以满足大数据量访问的实时性和稳定性，不会因为大量的访问导致服务器崩溃；服务器要能够支持基于硬件的磁盘阵列功能，支持磁盘及磁带的系统、数据备份功能，使得安装在服务器上的操作系统和数据库能够在灾难后得到备份恢复，保证服务器的不间断运行；服务器设备配件的高质量及运行可靠性也是服务器安全的非常重要的一个方面，这直接关系到服务器不间断运行的时间和网络数据访问的效率。

（二）操作系统安全（Operating System Security）

设置操作系统就像为构筑安全防范体系打好“地基”。

1.自主访问控制（Discretionary Access Control，DAC）。自主访问控制是基于对主体（Subject）或主体所属的主体组的识别来限制对客体（Object）的访问。为实现完备的自主访问控制，由访问控制矩阵提供的信息必须以某种形式保存在税务操作系统中。访问控制矩阵中的每行表示一个主体，每列表示一个受保护的客体，矩阵中的元素表示主体可对客体的访问模式。以基于行的自主访问控制方法为例。它是在每个主体上都附加一个该主体可访问的客体的明细表，根据表中信息的不同可分为三种形式：（1）权力表（Capabilities List），它决定是否可对客体进行访问以及可进行何种模式的访问。（2）前缀表（Prefix List），它包括受保护客体名以及主体对客体的访问权。（3）口令（Password），主体对客体进行访问前，必须向税务操作系统提供该客体的口令。对于口令的使用，建议实行相互制约式的双人共管系统口令。

2.强制访问控制（Mandatory Access Control，MAC）。鉴于自主访问控制不能有效的.抵抗计算机病毒的攻击，这就需要利用强制访问控制来采取更强有力的访问控制手段。在强制访问控制中，税务系统对主体和客体都分配一个特殊的一般不能更改的安全属性，系统通过比较主体与客体的安全属性来决定一个主体是否能够访问某个客体。税务系统一般可采取两种强制措施：（1）限制访问控制的灵活性。用户修改访问控制信息的唯一途径是请求一个特权系统的功能调用，该功能依据用户终端输入的信息而不是靠另一个程序提供的信息来修改访问控制信息。在确信用户自己不会泄露文件的前提下，用这种方法可以消除偷改访问控制信息的计算机病毒的威胁。（2）限制编程。鉴于税务系统仅需要进行事务处理，不需要任何编程的能力，可将用于应用开发的计算机系统分离出去，完全消除用户的编程能力。

3.安全核技术（Security Kernel Technology）。安全核是构造高度安全的操作系统最常用的技术。该技术的理论基础是：将与安全有关的软件隔离在操作系统的一个可信核内，而操作系统的大部分软件无须负责系统安全。税务系统安全核技术要满足三个原则：（1）完备性（Completeness），要求使主体必须通过引进监控器才能对客体进行访问操作，并使硬件支持基于安全核的系统。（2）隔离性（Isolation），要求将安全核与外部系统很好的隔离起来，以防止进程对安全核的非法修改。（3）可验证性（Verifiability），要求无论采用什么方法构造安全核，都必须保证对它的正确性可以进行某种验证。

其他常见措施还有：信息加密、数字签名、审计等，这些技术方法在数据库安全等方面也可广泛应用，我们将在下面介绍。

（三）数据库安全（Database Security）

数据库是信息化及很多应用系统的核心，其安全在整个信息系统中是最为关键的一环，所有的安全措施都是为了最终的数据库上的数据的安全性。另外，根据税务网络信息系统中各种不同应用系统对各种机密、非机密信息访问权限的要求，数据库需要提供安全性控制的层次结构和有效的安全性控制策略。

数据库的安全性主要是依靠分层解决的，它的安全措施也是一级一级层层设置的，真正做到了层层设防。第一层应该是注册和用户许可，保护对服务器的基本存取；第二层是存取控制，对不同用户设定不同的权限，使数据库得到最大限度的保护；第三层是增加限制数据存取的视图和存储过程，在数据库与用户之间建立一道屏障。基于上述数据库层次结构的安全体系，税务网络信息系统需要设置对机密和非机密数据的访问控制：（1）验证（Authentication），保证只有授权的合法用户才能注册和访问；（2）授权（Authorization），对不同的用户访问数据库授予不同的权限；（3）审计（Auditing），对涉及数据库安全的操作做一个完整的记录，以备有违反数据库安全规则的事件发生后能够有效追查，再结合以报警（Alert）功能，将达到更好的效果。还可以使用数据库本身提供的视图和存储过程对数据库中的其他对象进行权限设定，这样用户只能取得对视图和存储过程的授权，而无法访问底层表。视图可以限制底层表的可见列，从而限制用户能查询的数据列的种类。二、信息转移安全技术

信息转移安全即网络安全。为了达到保证网络系统安全性的目的，安全系统应具有身份认证（Identification and Authentication）；访问控制（Access Control）；可记账性（Accountability）；对象重用（Object Reuse）；精确性（Accuracy）；服务可用性（Availability of Services）等功能。

1.防火墙技术（Firewall Technology）

为保

本文由www.FwSir.com收集整理,版权归原作者所有.

证信息安全，防止税务系统数据受到破坏，常用防火墙来阻挡外界对税务局数据中心的非法入侵。所谓防火墙，是一类防范措施的总称，是指在受保护的企业内联网与对公众开放的网络（如Internet）之间设立一道屏障，对所有要进入内联网的信息进行分析或对访问用户进行认证，防止有害信息和来自外部的非法入侵进入受保护网，并且阻止内联网本身某个节点上发生的非法操作以及有害数据向外部扩散，从而保护内部系统的安全。防火墙的实质是实施过滤技术的软件防范措施。防火墙可以分为不同类型，最常见的有基于路由器的IP层防火墙和基于主机的应用层防火墙。两种防火墙各有千秋，IP层防火墙对用户透明性好，应用层防火墙具有更大的灵活性和安全性。实践中只要有资金许可，常常将两种防火墙结合使用，以互相补充，确保网络的安全。另外，还有专门用于过滤病毒的病毒防火墙，随时为用户查杀病毒，保护系统。

2.信息加密技术（Information Encryption Technology）

信息加密包括密码设计、密码分析、密钥管理、验证等内容。利用加密技术可以把某些重要信息或数据从明文形式转换成密文形式，经过线路传送，到达目的端用户再把密文还原成明文。对数据进行加密是防止信息泄露的有效手段。适当的增加密钥的长度和更先进的密钥算法，可以使破译的难度大大增加。具体有两种加密方式：（1）私钥加密体制（Secret-key Cryptography），即加密与解密时使用相同的密码。私钥加密体制包括分组密码和序列密码两种。分组密码把明文符号按固定大小进行分组，然后逐组加密。而序列密码把明文符号立即转换为密文符号，运算速度更快，安全性更高。（2）公钥加密体制（Public-key Cryptography），其加密密钥与解密密钥分为两个不同的密钥，一个用于对信息的加密，另一个用于对已加密信息的解密。这两个密钥是一对互相依赖的密钥。

在传输过程中，只有税务系统和认证中心（Authentication Center，AC）才有税务系统的公开密钥，只有纳税人和认证中心才有纳税人的公开密钥，在这种情况下，即使其他人得到了经过加密后双方的私有密钥，也因为无法进行解密而保证了私有密钥的重要性，从而保证了传输文件的安全性。

3.信息认证技术（Information Authentication Technology）

数字签名技术（Digital Signature Technology）。数字签名可以证实信息发送者的身份以及信息的真实性，它具备不可伪造性、真实性、不可更改性和不可重复性四大特征。数字签名是通过密码算法对数据进行加密、解密交换实现的，其主要方式是：信息发送方首先通过运行散列函数，生成一个欲发送报文的信息摘要，然后用所持有的私钥对这个信息的摘要进行加密以形成发送方的数字签名，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。接收方在接收到信息后，首先运行和发送方相同的散列函数生成接收报文的信息摘要，然后再用发送方的公开密钥对报文所附的数字签名进行解密，产生原始报文的信息摘要，通过比较两个信息摘要是否相同就可以确认发送方和报文的正确性。

完整性认证（Integrity Authentication）。完整性认证能够使既定的接收者检验接收到的信息是否真实。常用的方法是：信息发送者在信息中加入一个认证码，经加密后发送给接收者检验，接收者利用约定的算法对解密后的信息进行运算，将得到的认证码与收到的认证码进行比较，若两者相等，则接收，否则拒绝接收。

4.防病毒技术（Anti-virus Technology）

病毒防范是计算机安全中最常见也是最容易被忽视的一环。我们建议采用由单机防毒和网络防毒同时使用的这种防病毒措施，来最大限度地加强网络端到端的防病毒架构，再加上防病毒制度与措施，就构成了一套完整的防病毒体系。

参考文献：

[1] 杨怀则.税收信息化建设存在的问题及建议[J].草原税务,,(12):31-32.

[2] Andrew S. Tanenbaum,“Modern Operating Systems”,Prentice Hall,1992.

[3] 滕至阳.现代操作系统教程[M].北京:高等教育出版社,.

[4] 陆楠.现代网络技术[M].西安:西安电子科技大学出版社,.

[5] 谭伟贤,杨力平.计算机网络教程[M].北京:国防工业出版社,.

[6] 陈伟强,黄求新.企业信息安全指南[M].广州:暨南大学出版社,2003.

篇3：构筑电力行业的信息安全体系

构筑电力行业的信息安全体系

通过具体事例,介绍了电力行业现有的信息系统中存在的安全漏洞和威胁,提出了电力系统的安全策略、安全服务机制及使用的`安全技术,最后,论述了电力系统实施安全所要达到的目标.

作者：吴俊作者单位：国电华中公司技术中心,湖北,武汉,430077 刊名：华中电力英文刊名：CENTRAL CHINA ELECTRIC POWER 年，卷(期)：2002 15(6) 分类号：F407.61 X913.2 关键词：网络信息系统安全

篇4：对当前体育信息化构筑策略的探索论文

对当前体育信息化构筑策略的探索论文

一、推进我国体育信息化建设重要途径

1.我国体育信息化建设贯穿于体育事业的业务主线中我国的体育信息化建设关键在于根据我国体育事业的业务主线展开工作，中心工作内容是不断建设体育应用系统，提升我国体育事业关键领域科学化水平，创造更大的社会效益和经济效益。国家体育事业的技术路线是将国家体育中重要的业务流需要转变职能，不断实现精简机构，以顺应国家体育行政机构的真正发展要求。所以，作为相关的工作人员必须明确体育信息化的真正目的是在于提升我国体育现代化的进程。目前，我国的体育信息化建设进展缓慢的原因，可以在于无法真正理解体育信息化的实质，忽略体育管理体制改革、体育行政业务流程等。其实，体育信息化建设的实质在于，利用现代信息技术不断优化体育行政管理和服务职能，对体育行政进行全方位的监控，提高体育行政机构工作的透明性、公平性，为全民打造最优质的体育服务。

2.体育信息化建设坚持“有所为，有所不为”原则体育信息化建设是一个系统庞大的系统工程，在实际工作中需要坚持“有所为，有所不为”的原则，充分利用各种优势加强体育应用系统的建设。体育信息化建设中的基础性应用系统，具有明显的科学性、高效性。在我国体育信息化建设中，办公设备中各方面的优化系统，已经成为我国体育信息化应用系统的支持技术系统。通过相关的部委信息化建设长期检验，各系统具有良好的稳定性、可行性，所以我们可以在原有的系统基础上进行科学的体育化设计处理。作为体育部门应该了解实际的情况，加强对体育应用系统的开发和建设工作的重视程度。

3.提升我国体育电子政务建设进程目前，我国体育信息化建设的核心在于建设体育电子政务，不断优化体育行政机构内部管理系统、决策系统、办公自动化系统等，为我国体育各大机构的信息管理与服务水平提供强大的技术扶持。体育电子政务的重要目标在于实现体育管理部门办公现代化，应用信息技术建立电子化虚拟机关，使政府体育部门之间更加协调合作，加强政府与社会各界之间的信息联系。

4.充分利用信息资源，不断完善中国体育数据中心现阶段，我国体育系统在数据管理方面出现的问题比较明显，比如：体育统计难以一致、损耗大量的人力物力财力；没有全面整合利用基层单位中的重要数据信息资源；数据库格式与标准不统一，不利于网络化管理的统一开展等。所以相关的工作部门，首先应该打破各部门对信息资源的垄断状况，不断更新信息机制，使信息更具有统一性与正确性，全面整合体育数据信息管理，不断拓展中国体育数据中心规模。其实，不断创新信息服务机制，使公益服务与市场咨询服务更加紧密结合，不断实施全国体育数据资源的'共享。

5.不断完善体育信息化政策法规，建立中国体育信息产业联盟现阶段，国家体育技术标准和业务规范还缺欠统一性、规范性，各个单位重复建设信息资源，损耗大量的资源。所以，相关的工作人员应该严格按照国家信息化建设的统一要求，参考国家信息化建设标准，使国家体育总局与体育系统各单位信息化建设保持相协调的工作进程，实现数据采集、存储与使用的同步进行，使电子政务的建设技术更具有统一性。建立中国体育信息产业联盟，加强各体育信息机构的交流与合作，共同打造体育信息产业联合体，顺应市场的变幻莫测，增强市场竞争优势。

二、结束语

在新时期背景下，全球的体育事业发展迅速，社会各界对体育信息的需求量日趋增大，质量不断提高。在科学技术作为第一生产力的新时代，体育信息人才、资金、技术等生产要素配置不断全球化，实现社会效益与经济效益的最大化。体育信息产业面临的竞争环境越来越严峻，需要体育事业各大单位共同努力，才能满足全社会对体育信息的需求。综上所述，可见体育信息化在新时期体育发展中具有重要作用，体育信息化建设是促进我国体育事业发展、顺利举办奥运会的重要前提条件，在我国体育信息化过程中通过不断加强体育事业的业务主线、坚持“有所为，有所不为”原则、提升我国体育电子政务建设进程、充分利用信息资源从而不断完善中国体育数据中心、不断完善体育信息化政策法规与建立中国体育信息产业联盟等重要途径，不断增强我国竞技体育竞争力，促进我国体育管理体制的改革发展，将我国打造为一个强大的体育强国，创造更大的社会效益与经济效益，不断开创中国特色社会主义事业新局面。

作者：王琳单位：西安工业大学体育学院