首页 > 文章中心 > 信息安全审计

信息安全审计

前言:想要写出一篇令人眼前一亮的文章吗?我们特意为您整理了5篇信息安全审计范文,相信会为您的写作带来帮助,发现更多的写作思路和灵感。

信息安全审计

信息安全审计范文第1篇

    信息安全综合审计工作涉及的对象和场景很多,其全过程是一个非常复杂的多维集合体,为形成体系化的综合审计框架,十分有必要建立一个多维的综合审计模型,并通过模型确定达到信息安全综合审计治理预期目标需要涉及的详细研究对象和研究内容,确定综合审计体系包含的具体审计模式,确定各研究内容间的具体依赖关系,为信息安全综合审计工作的开展提供科学合理的全局视图[2]。多维信息安全综合审计模型的建立,旨在对系统保密性、完整性、可用性、可控性、不可否认性和可核查性这6个方面的要求,最终的目标是对信息安全的整体性保障。在此目标下,根据信息安全审计全过程所涉及的各要素特征,划分为审计对象、审计模式和审计管理3个维度,同时为各维度确立了4个属性,体现各维度的信息构成完整性,以立方体形式对信息安全综合审计体系全过程进行描述。

    1.1审计对象维度

    审计对象是信息安全活动的核心标识载体,是描述信息安全事件不可或缺的要素,根据信息安全活动的特点,将审计对象划分为人员、时间、地点、资源4个属性。人员人员是信息安全活动产生的源头,除了广义上的人员姓名、性别、年龄等基本信息外,还需延伸到其在信息安全活动中使用的账号、令牌、证书等个人标识信息。时间时间是信息安全活动的窗口,任何信息安全活动都会产生时间戳,可用以标识信息安全活动的开始、结束及其中间过程。地点地点是信息安全活动发生的位置,不仅包括传统意义上的地理位置信息,还包括网络空间中源IP、目的IP等位置信息。资源资源是信息安全活动所依赖的先决条件,包括计算机硬件、操作系统、工具软件等一切必要的资产。

    1.2审计模式维度

    审计模式是综合审计的具体运用,是综合审计模型的关键集成点,根据信息安全活动的具体类型和场景,将审计模式划分为运维操作、数据库应用、网络应用、终端应用4个属性。运维操作运维工作是支撑网络和信息系统稳定运行的重要前提,但运维人员掌握着系统的高级权限,由此带来的运维风险压力也越来越大,因此必须引入运维操作审计管理机制。运维操作审计的核心是加强对运维人员账号和权限的管控,即在集中运维模式下实现运维人员与目标系统的逻辑分离,构建“运维人员主账号(集中运维账号)授权从账号(目标系统账号)目标系统”的管理架构,并对具有唯一身份标识的集中运维账号设置相应的权限,在此架构下实现精细化运维操作审计管理[3]。数据库应用在大数据时代,数据库是最具有战略性的资产,其黄金价值不言而喻,数据一旦被非法窃取,将造成难以估量的损失。运维层面的数据库安全可通过运维操作审计来实现,数据库审计的核心应是加强业务应用对数据库访问合规性的管控,建立“业务系统SQL语句数据实例返回结果”的识别监听架构,将采集到的业务系统信息、目标实例对象、SQL操作动作等信息进行基于正常操作规则的模式匹配,并对应用层访问和数据库操作请求进行多层业务关联审计,实现业务系统对数据库访问的全追溯[4]。网络应用无论数据中心内的信息系统还是办公区内的办公终端都会产生大量的网络流量,加强对网络流量的识别和分析,是发现违规行为的重要途径。网络应用审计的核心是通过网络监听技术,建立“用户(业务系统)交互对象网络流量分类识别”的管理架构,对各类网络数据包进行协议分析,其重点是要对网站访问、邮件收发、文件传输、即时通信、论坛博客、在线视频、网络游戏等典型应用进行区分和记录,达到对用户及业务系统间双向网络应用的跟踪审计[5]。终端应用终端是信息安全的最后一道防线,同时也是最薄弱的一个环节,无论是服务器还是办公机,要么是应用的发起者要么是接受者,是信息安全事件的落脚点。终端应用审计的核心是通过扫描和监控收单,建立“主机安全基线+介质数据交换”的管控架构,对终端补丁安装、防病毒软件、文件下载、文档内容的安全基线进行记录审查,并对移动存储介质与外界发生的数据交换进行跟踪记录,实现对终端各类行为审计的全覆盖。

    1.3审计管理维度

    综合审计管理的目的是要实现对信息安全风险的全面治理,需包括事前规划预防,事中实时监控、违规行为阻断响应,事后追踪回溯、改进保护措施,根据综合审计管理事前、事中、事后三个阶段的特点,将控制、监控、响应、保护定义为该维度的4个属性。控制指按照权限最小化原则,采取措施对一切必要的信息资产访问权限进行严格控制,仅对合法用户按需求授权的管理规则。监测指对各类交互行为进行实时监控,以便及时发现信息安全事件的管理规则。响应指对监测过程中发现的违规行为进行及时阻断、及时处理的管理规则。保护指对监测到的各类交互行为进行记录回放、并积极采取改进保护措施的管理规则。

    2信息安全综合审计治理闭环管理机制

    在多维信息安全综合审计模型基础之上,按照全过程的管理思路,应以综合治理为目标导向,对存在的信息安全问题进行闭环管理,研究事前、事中、事后各环节的关联关系,形成相互补充、层层递进的闭环管理机制。

    2.1事前阶段

    制定统一的安全审计策略,以保证信息系统的可用性、完整性和保密性为核心,实现对用户身份和访问入口的集中管理,严格权限管理,坚持用户权限最小化原则,注重将用户身份信息与网络和信息系统中的各种应用与操作行为相结合,保证审计过程与审计结果的可靠性与有效性。

    2.2事中阶段

    实时监测运维操作、数据库应用、网络应用和终端应用产生的数据,通过规则及时发现违规信息安全事件,做到实时响应、实时处理,并通过多个维度将各种基础审计后的安全事件有机地整合起来,做到信息安全事件的全记录、全审计。

    2.3事后阶段

    对各类审计数据进行标准化处理及归档入库,为安全事件的准确追踪和回溯提供有力支持。同时,对信息安全事件进行深度分析,查找事件发生的深层次原因,执行有针对性的弥补措施,并更新信息安全审计策略,形成良性的管理机制。

    3信息安全综合审计系统架构设计

    3.1技术架构

    信息安全综合审计系统面临的一大问题就是各业务系统与网络设备运行独立,信息集成和交互程度较低,服务器、交换机、办公终端都是独立的审计对象,均会产生大量的审计数据,但又缺乏集中统一的审计数据管理视角,构建对审计数据的统一处理能力应是综合审计体系建设的核心思路,信息安全综合审计体系有效运行的关键就在于对可审计数据的采集,以及对数据分析处理的能力。因此必须在多维信息安全综合审计模型框架下,建设“原始数据收集数据标准化处理审计事件分析事件响应与展现”的全过程处理过程,实现从采集到展现的一体化综合审计系统,包括数据采集、数据处理、事件分析和事件响应4大功能模块。数据采集对网络中的数据包、主机中的重要数据的操作行为、操作系统日志、安全设备日志、网络设备日志等原始数据进行收集;数据处理将采集到的原始数据进行标准化处理,将处理后的数据变为日志,存储到数据库中,并交付“事件分析”模块;事件分析对标准化处理后的事件进行分析、汇总,同时结合人员信息做出综合判断,有选择地将分析结果发送到“事件响应”单元,并进行存储与展现;事件响应对分析后的结果做出反应的单元,可以结合其他的安全措施对事件做出中断会话、改变文件属性、限制流量等操作。

    3.2业务架构

    安全综合审计应保证审计范围的完整性,只有范围覆盖得合理且全面,才能保证信息安全审计的充分性和有效性,才能达到综合治理的目的。同时,过大的系统覆盖维度又会使审计点过多,导致审计体系无法贯彻落实。因此,应在多维信息安全综合审计模块框架下对运维操作、数据库应用、网络应用和终端应用开展审计工作。通过对运维操作、数据库应用、网络应用、终端应用等各类审计关键技术的整合,充分运用数据统计、数据分析、数据展现等手段,构建完备的综合审计知识库,再结合信息安全实际环境和治理策略,制定科学合理的审计规则,实现信息安全治理工作技术与管理的统一,从根本上提高信息安全综合治理能力[6]。

信息安全审计范文第2篇

国内外一些公司和研究单位分别从信息内容本身安全角度展开研究,提出了一些网络信息安全的整体解决方案,严格规范建立了一些网络信息的安全机制,但总体上仍处于分散和新兴的阶段,并未产生一个被广为接受的技术方案。

2002年华东师范大学计算机应用研究所与上海市国家保密局签订项目合同,致力该方面研究,力求通过研究和实验解决以下问题:如何确保信息内容整个生命周期的安全,对信息内容进行全程跟踪以改善信息产品在网络中分发无序的现状;如何满足用户对信息内容保护中的不同保护粒度的需求;以及如何支持不同DRM系统之间的协作。同时,基于解决上述问题的技术策略实现信息全程跟踪及应用安全审计保护系统。

研究内容:

本项目提出了安全容器技术,颗粒技术,DRM系统协作服务架构:

(1)安全容器技术-既可以保证信息的存储和传输安全,又可以保证信息内容本身的应用审计安全,还可以对信息的分发路径进行全程跟踪,从而能保证网络中信息在其整个生命周期内的全面安全性。

(2)颗粒技术-细化受保护信息内容的粒度,灵活支持用户更细粒度的保护要求以及和保护要求的变更。从信息内容本身的安全性出发,以任意大小信息内容(可以为整个信息内容)为受保护对象,在确保被保护内容表示形式安全性的同时定义其上操作的安全策略,两者结合形成的独立受保护单元。

(3)DRM系统协作研究-提出通用的安全服务架构,该架构提供基础(用户管理、服务发现、身份认证等服务)、事务服务(翻译、转换、协调服务等)和安全服务(定义安全策略、跟踪、审计等服务),实际中各种应用(如电子商务、电子政务)可以根据需求直接利用这些服务、对现有服务进行调制得到所需服务或直接创建自己所需的服务。现有不同厂商推出的信息内容保护解决方案和各种DRM系统可依托该服务架构实现彼此间的协作。

查新结果:

由华东师范大学信息学院计算机应用研究所委托查新的信息全程跟踪及应用安全审计保护课题具有如下的特点:

1)项目提出了安全容器技术,颗粒技术以及支持不同DRM系统协作的安全服务架构。

2)其安全容器技术既可以保证信息的存储和传输安全,又可以保证信息内容本身的应用审计安全,还可以对信息的分发路径进行全程跟踪,从而保证信息在其生命周期内的安全性。

3)颗粒技术细化了受保护信息内容的粒度,灵活支持用户更细粒度的保护要求和保护要求的变更,从信息内容安全性出发,以任意大小信息内容为受保护对象,在确保被保护内容表示形式安全性的同时,定义其上操作的安全策略,两者结合形成的独立受保护单元。

4)DRM系统协作研究提出了

信息安全审计范文第3篇

关键词 信息安全;纵深防护体系;计算机网络;关键技术

中图分类号:TP393 文献标识码:A 文章编号:1671-7597(2013)11-0000-00

现代社会中信息具有重要的价值,保障信息传输、存储以及应用的安全已经成为当前计算机领域的一个重点问题。在信息安全防御中存在多种防御技术和防御层次,随着所使用的技术和层次逐渐增多,网络应用及信息传输所需要经过的监控和检查次数也就会越来越多,这样就能够在某一层次失守的情况下仍然能够保护信息不被窃取或破坏,这种信息保护方式就被称为纵深防御思想。应用纵深安全防护思想可以对计算机网络系统的各个层面应用多种安全防护技术,这些防护技术组成一个异构网络结构,可以对网络信息进行联动联防,极大的提高计算机信息网络的安全性能。

1 计算机网络信息安全纵深防御模型分析

1.1 功能模型

计算机网络纵深安全防御模型是动态多层次的,其最早由NSA起草生成,经过多次修改后最新版本的信息防护模块由保护、检测、响应以及恢复四个部分组成。如图1所示

图1 PDRR模型

由图1可以看出,四个模块组成一个有机的整体对计算机网络中的信息进行保护。

其中,保护是指应用特定的安全防护技术对信息网络进行加固和控制,该部分的内容通常为静态的,包括防火墙技术、用户访问控制及身份验证技术、数据信息加密技术的等。

检测是指按照所制定的安全防护策略对用户行为、信息传输方式和内容等进行监控和检查。该部分内容由于涉及主动防御部分内容还需要向用户或防护体系提供响应依据,故其是动态的。该模块会主动对计算机网络信息系统相关内容进行扫描和监测,及时发现系统中存在的安全威胁和安全漏洞,将其反馈给安全防护体系,以便用户在没有发生信息损失的情况下及时作出响应。

响应是指对检测过程中发现的问题进行实时处理,消除潜在的安全隐患,保证信息网络和信息系统运行在稳定、安全状态。

恢复是指为防止信息网络或信息系统被攻破后为用户带来损失,按照一定的备份恢复机制对网络中的数据信息进行保存和备份,即便发生信息破坏等事件,也能够尽快从故障状态恢复,将损失降到最低。

1.2 多层纵深安全防护模型

由上节可知,完整的计算机网络纵深安全防护模型包含四部分内容,每部分内容又包含若干种计算机技术,这些技术相互搭配即可实现对计算机网络的纵深保护。一个完整的,配置适当的纵深安全防护模型如下图2所示。

图2 多层纵深安全防护模型

由图2可以看出,第一节中提出的安全防护模块已经按照其防护和作用位置进行了具体化处理,四个防护内容被有机融合成为一个整体。在计算机网络和外网进行通信时首先需要经由防火墙对通信规则进行过滤。之后在网络内部则需要综合使用多种防御技术如身份验证、入侵检测、安全协议控制等对网络用户和网络行为进行控制。在最底层的信息保护中,一方面需要对信息采取必要的加密处理,让其由明文信息变为不可识别的密文信息;另一方面则需要对计算机网络中的重要信息进行备份处理,以防信息发生破坏后还能够被恢复使用。此外,在信息应用的各个层面还应该使用必需的杀毒软件。

2 纵深安全防护模块中的关键技术分析

2.1 防火墙技术

防火墙将计算机内部网络和外部网络分成两个部分,内网和外网之间进行数据通信时只有符合通信规则和用户所制定的安全策略的信息内容才能够通过防火墙。

目前防火墙按照功能的不同可以分为包过滤和防火墙两种。前者会对信息的承载单位即数据包进行检查,包括收发地址、TCP端口号等,只有允许范围内的数据包才能够通过。后者则是将防火墙充当一个服务器,内外网之间的数据通信都需要通过服务器进行转发,这样就可以将被保护的网络结构很好的隐藏起来,提升安全性能。

2.2 用户身份认证及访问控制策略

当用户需要对网络进行访问时,若能够对用户的身份进行认证,根据认证结果向用户分配具体的网络访问权限,则可以很大程度的提升计算机网络的信息安全性。

用户身份认证技术可以判断用户是否具有网络使用权限并向用户分配可应用于网络的安全密钥或口令,用户只能在权限范围内访问或使用网络信息资源。这样就有效避免了非法用户的网络接入。

访问控制技术则是将网络内容划分为多个等级,只有符合等级要求的用户才能够对限制的资源进行访问和使用,即便用户经过了网络内的身份认证,若没有足够的权限也无法获取相应的内容。这样就可以极大的保证网络信息资源在安全可控范围内。

2.3 入侵检测技术

入侵检测技术是一种主动防御技术。部署该技术的系统会主动收集所在网络的多种数据和用户行为,同时程序执行过程和数据使用过程进行记录,然后再利用数据分析工具对所收集到的信息进行分析和检测,若发现异常行为或入侵行为,则出发报警系统并向控制中枢提供警报信息供用户或安全监控系统指定和采取适当的应对措施。

2.4 数据加密技术

数据加密技术是保护计算机网络信息安全的核心技术,可以利用多种加密算法和加密密钥等将明文信息转变为无法识别的密文信息,只有使用对应的解密算法和解密密钥才能够将信息回复出来。这样就可以保证信息传输和存储的安全性,即便发生了信息泄露也无法确切知道信息内容,实现对网络信息的保密。

3 总结

总之,计算机网络存在多个层次和多种结构,若只使用一种或少数几种安全防护技术很难做到为网络信息的全面防护。为切实保障网络信息的安全,必须综合应用多种信息安全技术形成完整的计算机网络纵深防护体系,对计算机网络中各个层面的信息进行保护,切实增强信息的安全性。

参考文献

[1]张雨.计算机网络信息安全纵深防护模型分析[J].电子制作,2013(6).

[2]李海燕,王艳萍.计算机网络安全问题与防范方法的探讨[J].煤炭技术,2011,30(9).

信息安全审计范文第4篇

【 关键词 】 身份认证;计算机;信息安全;动态验证码

1 引言

随着各单位对信息化技术要求的提高,网络业务系统逐渐成熟。各类业务系统都具备身份认证技术和机制,以确保计算机信息安全。操作者要牢记十多个业务系统的用户名和密码,反复登录多个业务系统才能开展工作。现在,各个高校都在建设数字化校园网,校园网信息安全成为当前的重要工作之一。高校建设数字校园网络时,既要统一标准建设新业务平台,还有整合、集成原有业务系统,打造统一完整、功能齐全、安全网点的统一的用户身份认证系统,这已成为校园网的基础。因此,要在多个网络业务系统中融入单点身份认证技术。用户登录一次,认证一遍,就可以访问该平台上的多个业务系统,在各系统中转移时,也不需要受到限制。

2 身份认证系统设计目标

用户身份认证依托Web Service封装为网络服务,将数据库中仓储的各个业务系统的信息和用户身份信息进行统一,按需调用,进而统一认证、管理和授权。其设计目标有几个方面。

(1)为用户带来方便,统一、集中、有效管理用户,借助已有的业务系统的用户设置和权限分配,缩减重新开放用户数据库的开发成本,并且减少对已有业务系统的修改影响。

(2)凸显身份认证单点登录,登录后,在各系统中切换时,不需要退出。

(3)信息平台上的各个业务系统均基于同一个数据库设计。

(4)认证系统的可整合性和扩展性良好,既能兼容已有的业务系统和用户数据库,也能支持新建设的业务系统,可以将其以身份认证的集成模块嵌入新系统。

(5)在应用上要灵活便捷,该身份认证系统要能以多种方式加以运用。在设计用户的统一管理和认证身份时,在设计思想上要注重角色的分级权限管理、业务系统的安全维护、证书的统一管理和资源的统一匹配,以强化集中数据、资源和应用。

3 基于PHP 的互联网身份认证系统的原理及设计

秉承计算机信息安全的理念,按照统一身份认证的原则,来分析基于PHP 的互联网身份认证系统的原理及实现。

Apache系统 作为网络服务底层主系统,借助PHP 程序通过网页表单与客户端进行直接通信,是软件的使用不受限制。该系统主在计算机信息安全方面的表现有两个方面:一是基于PHP的验证码对身份的验证模块;二是基于MD5的加密模块。

管理员具备识别系统管理员的用户名、密码以及IP信息的功能。该模块主要用PHP 程序通过网络表单操作数据库,从而实现用户的添加、删除、修改等功能。

在密码验证模块中,用户的密码经过MD5 散列处理后,在数据库中记录的是加密的信息。用户登录时,程序是对加密信息的验证,不易被外界破解,增加了安全性。该模块作为系统的前台模块,可以连接系统与客户端,实现有效认证身份信息。用户身份认证的过程,是通过在系统中验证一次性用户口令,对用户的身份进行识别,依照用户的不同权限,参与相关种类的服务内容。

动态口令用户身份验证流程。这种验证方式的流程是认证双方对密钥共享,借助该种子密钥对密码的算法进行验证,借助对称算法等验证计算值的一致性。动态口令每一次都不一样,登录后,改密码就实效。密码通常是8-10位的字符串,应用便捷。这与常规的静态口令的认证方法相同,和系统的整合性好,所以,动态密码的应用越来越广泛,可以在网络应用、手机业务等多个领域应用。动态密码有事件模式、时间模式和应答模式等几种。

(1)登录网络系统的注册网址,键入用户名和密码,服务器程序按MD5散列模式把密码加密,存储在数据库中。

(2)网络服务器接收用户名后,在MD5模组与客户端校验。校验通过,服务器把登录时间、随机字符串和客户端网址通过网络传输协议传递到浏览器端。用户以此输入用户名和密码,以及随机配给的动态字符串,客户端把该信息传递到服务器端。

(3)服务器获取数据后,先验证传递的数据是否在约定的时间内,如果超期,则此次验证实效。接着,对客户端发回的时间与随机动态字符串与系统核对,如果校验错误则终止。然后,服务器对用户名和密码进行验证。如果通过,就将用户带至相关权限的页面中。

4 身份认证的技术应用

4.1 依托图片动态验证码实现身份认证

以PHP为例实现图片验证。

4.1.1生成验证文件yanzheng.php

(1)第一步,在session变量中存入数字或字符为组合的8位随机数。

session_start();

$yanzhengma="";

$chars = 'abcdefghijklmnopqrstuvwxyz0123456789';

$password = '';

for ( $i = 0; $i

{

$password = substr($chars, mt_rand(0, strlen($chars)-1), 1);

$_SESSION["yanzhengma"]=$ yanzhengma。

(2)产生图片

$img=imagecreate(100,50); //新建一个基于调色板的图像

$blackys=imagecolorallocate($im,0,0,0); //为一幅图像分配颜色

$whitebj=imagecolorallocate($im,255,255,255); //为一幅图像分配颜色

$grayys=imagecolorallocate($im,200,200,200); //为一幅图像分配颜色

imagefill($im,0,0,$grayys); //填充颜色。

(3)将字符串绘入图片中

for($i=0;$i

$chicun=mt_rand(5,8);

imagestring($im,$ chicun,(2 + $i*10), $str, $ yanzhengma [$i], imagecolorallocate($im, rand(0,130), rand(0,130),rand(0,130)));}//将字符串横向显示出来。

(4)将验证码的背景做模糊处理,增加干扰信息

for($i=0;$i

$suijiyanse=imagecolorallocate($im,rand(0,200),rand(0,200),rand(0,200));

imagesetpixel($im,rand()%70,rand()%30,$ suijiyanse);}。

(5)建立PNG格式的验证图像

header("Content-type:image/png");

imagepng($im);

imagedestroy($im); //将图像销毁。

4.1.2 登录页面denglu.php

在浏览器端页面denglu.php 文件上显示验证码图片,登录者开始登录时,就显示新的验证码,提交验证码后,程序进行核对。代码为:

……

输入验证码:

……

4.1.3 登录检查文件jianyan.php

验证变量session中的验证码信息和登陆页提交的验证码信息是否一致,如果输入字符与图片相同,则通过验证。

if(strcmp($_post["author "],$_SESSION["yanzhengma "])==0){

echo"通过验证.";

} else{ echo"请重新输入验证码!";}。

4.2 应用MD5 算法实现身份验证

在PHP 中有很多加密算法。例如使用异或( XOR)运算, 将明文与密钥进行异或运算得到密文, 再将密文与密钥进行异或运算还原成明文。

还可以利用PHP提供的crypt(1)函数完成简单的单向加密功能。单向加密可以加密一些明码, 但不能够将密码转换为最原始明码。单向加密的口令一旦落入第三方人的手里, 由于不能被还原为明文,因此对第三方来说也是没有什么用处的。

如果需要较高的安全性, 可以采用MD5(Message Digest Algorithm 5)散列加密算法。散列算法是指将任意长度的二进制值映射为固定长度的较二进制,,二进制值比值称为散列值法。散列一段明文后, 哪怕只更改一个字母, 生成的散列值都将变化很大。已经证明, 要找到散列为同一个值的两个不同的输入, 在计算上是不可行的。MD5的作用是让大容量信息在用数字签名软件签署私人密钥前被/压缩0成一种保密格式, 即使用一个散列函数,。

将一个可变长度的信息变换为具有固定长度被散列过的输出, 也被称作/信息文摘0。固定长度的字符串可以用来检查文件的完整性和验证数字签名与用户身份。PHP 内置的md5( ) 散列函数把一个可变长度的信息转换为128位( 32个字符)的信息文摘 。可以看出MD5算法是一种较复杂的单向加密算法,加密程度较高。

MD5加密算法在PHP中的应用模式为:

$miwen=”yonghuming1”;

Echo “原文:$miwen”.”

”;

$encrypt_jiami=md5($miwen);

Echo “加密后:$encrypt_jiami”;

?>

这里的PHP代码应用了嵌套的MD5加密模式,把明文编译散列为密文,长度为32字符。编译后输出为:

原文:yonghuming1

加密后:d53862742a272e95a8e7576b87deb121

修改原文中的yonghuming1为yonghuming2,输出为:

原文:yonghuming1

加密后:0835e7098a4e975b92ee30f072416fe7

以上可见,细微的差别,经过MD5加密后结果大不相同,也体现了MD5机制的加密可靠性。

现在许多系统都用MD5算法对密码进行保护:用户登录系统时,在入口处键入用户名和密码,程序把密码经过MD5加密后的值与储存在数据库中的密文相较验,如果相符,就通过验证。

//首先连接数据库

if($yonghu!=0)//数据库中存在该用户

{……

if ($mima==$cunmima)

//通过验证

Else ……//重新输入密码

}

?>

5 结束语

依据身份认证技术原理采用PHP脚本语言自动提供动态验证码,为用户校验账号和密码,是计算机信息安全理念的具体体现。模拟用户登录应用系统的身份认证模型,使用户只须完成最初的验证过程就可以直接访问应用系统,无须每次访问一个应用资源都登录一次,大大提高了工作效率。这个模型与应用系统无关,应用系统无须修改就可使用,具有高度扩展性和延生性。

参考文献

[1] 王萍利.基于J2EEWeb服务的统一身份认证系统的设计与实现.电子设计工程,2012年24期.

[2] 刘建良.浅谈网络安全身份认证技术的研究分析.数字技术与应用,2012年11期.

[3] 王一平.再论数字化校园中统一身份认证平台的建设和管理.中国电子商务,2012年15期.

[4] 陶玉龙,卢凯,王小平等.面向云服务的高性能计算柔平台[J].信息网络安全,2012,(06):57-60.

[5] 吴志军,王娟.基于IPSec的大型机场无线局域网接入认证方法研究[J].信息网络安全,2012,(06):14-17.

信息安全审计范文第5篇

关键词:审计视角 信息安全意识

1 发现的问题主要表现形式及成因分析

1.1 发现的问题主要表现形式

笔者曾参加对某一级分行的办公设备审计检查,现场随机抽取多个部门的办公电脑进行设备安全管理、用户安全管理及通讯安全管理等三个方面的检查,结果发现没有一台电脑在对上述安全管理的执行方面完全到位,不合规现象较普遍存在。

如电脑上未装防病毒软件或病毒库更新不及时,下载并安装了不安全软件或与工作无关的非授权软件,未设置用户登录密码、开机密码、屏保密码或密码为“111111”、“888888”等简单数字、密码长时间未更改过,来宾账户未设置禁用,擅自通过拨号(有线/无线)、ADSL等方式直接接入和访问互联网以及登陆不安全网站等,同时还关注到部分电脑非工作时间不关机、员工间互相借办公电脑使用、存有重要数据的移动、设备随意乱放等现象。

1.2 成因分析

上述普遍存在的不合规现象,究其原因,固然有员工对信息安全风险不识别、制度执行不到位及检查监督不力、责任追究不深入等方面的因素,但是更深层次的原因还是员工信息安全意识淡薄,对信息安全风险认识不足所造成。如设置用户开机密码,本是一个简单的合规操作问题,无任何复杂度可言,但是就是不执行、做不好,为什么?这恐怕就是员工的信息安全意识上的问题。

2 员工的信息安全意识薄弱的原因分析

造成员工的信息安全意识薄弱的原因是多方面的。一是信息安全价值未具体显现。因为信息安全价值不能有效量化并分解到每一位员工,并且与员工自己的具体工作相比,信息安全不能对他们的工作成果产生直接影响,因此,在具体工作过程中,很多员工经常把信息安全管理放在次要位置,一切均为方便完成具体工作让路。二是员工对负面影响的感受效果不明显。尽管存在客户资料泄密、机构主机瘫痪,黑客入侵等负面报道,但是真实事件发生在某一员工身上的很少,或者就算由于病毒入侵使该员工电脑瘫痪,但只要主要资料有备份,剩下的完全交给信息技术部门处理,因此,员工感同不深。三是信息安全传导不到位,思想上认识不足。由于缺乏持续深入的信息安全传导或者传导方式、形式不够灵活,不容易感受和接受,使员工对信息安全的认识处于较模糊的状态,甚至认为这是领导和信息技术部门的事情,主动信息安全的风险意识不高。四是责任追究不深入,违规成本低。除了出现大的责任事故,否则对员工信息安全方面存在的问题一般处罚较轻或者不处罚。如,用户密码为“111111”太简单,不合规,审计指出后,立即改正,过后又改回来。理由很充分,复杂的密码不容易记住,又不能记在笔记本上,所以还是简单的可靠,同时这个问题又不影响日常工作,其领导往往也不会深究,违规成本为零,也间接造成员工思想上的忽视。

3 员工具备信息安全意识的重要性

目前信息技术已经渗透到商业银行业务的各个层面,信息也逐渐成为各商业银行的重要资产,其安全管理也引起了金融业高管层的高度重视。为此,各商业银行纷纷出台政策、制度等建立健全信息安全管理体系,强化信息资产保护。而银行员工作为政策、制度及流程的具体执行者,其执行力的高低直接决定了信息资产安全管理的强弱,而其思想上对信息资产安全的重视程度更是成为执行制度规定是否到位的关键因素,因此,员工信息安全意识的强弱在信息资产安全管理方面起着至关重要的作用,值得管理层关注。

4 提高员工信息安全意识的建议

4.1 加强信息安全文化建设,提高员工的认同感

一个企业需要一个文化,以提高企业员工的凝聚力,同样,要提高员工信息安全意识也离不开其文化建设,通过强化信息安全文化建设,将信息安全文化根植于每一个员工的脑海中,以提高其认同感和责任感。

4.2 强化信息安全知识的教育和培训,提高员工安全防范技能

灵活教育和培训的角度、方式和形式,强化教育和培训的全面性、针对性。如利用各种媒体在公司内部宣传安全问题(定期刊物、公司主页、录像录音、在线培训)等,同时,为达到较高的教育和培训效果,可以在培训过程中插入案例,提高员工的感受度,以便更好地理解和接受。

4.3 强化书面安全策略的推行,提高员工的重视程度

如与员工签订遵守银行安全政策与程序的协议、签订保密协议等,让员工感受到信息安全就在身边,“从我做起,从现在做起”,以促使员工在思想上引起重视。