关于计算机信息网络系统安全建设的思考

计算机安全防范是个系统工程。本从信息安全的内涵、技术保证、法律保证以及方法与实施原则等几个方面对计算机信息网络安全建设问题作出概略论述。     

关于计算机信息网络系统安全建设的思考

计算机安全防范是个系统工程。本文从信息安全的内涵、技术保证、法律保证以及方法论与实施原则等几个方面对计算机信息网络系统安全建设问题作出概略论述。     

单密钥算法中的密钥管理问题

单密钥算法特别是ＤＥＳＳ算法已被广泛用于银行计算机信息的安全保护。在采用ＤＥＳＳ算法或其他单密钥算法的计算机安全保护体系中，因为算法通常是公开的，密钥的分配管理就显得尤为重要。本文主要讨论单密钥算法中有关密钥的分配管理问题。１．有关密钥管理的一些规定在选定了加密算法之后，网络信息的安全取决于密钥的存储、分配和管理。为了保证密钥不被泄露，密钥按其加密的对象分级：大量的数据通过使用较少数量的数据加密密钥（初级密钥又称会话密钥）来加密；数据加密密钥又用更少数量的、相对不变的密钥加密密钥（二级密钥）或主…     

美国《信息系统保护国家计划》执行摘要(待续)

美国政府2000年制订的21世纪《信息系统保护国家计划》在信息安全发展史上是一篇具有里程碑意义的文档，我们在上一期杂志中刊登了对这篇计划的介绍分析后，很多读者和单位对此非常关心，纷纷来信来电表示希望能看到原文。为此，经与信息安全国家重点实验室协商，我们在本期开始对这篇计划的执行摘要进行连载，以飨读者。这项工作受到了国家973计划的资助，有关部门领导对这篇计划的翻译与研究工作极为关注，我们希望这篇执行摘要的刊登将进一步推动我国的信息安全保护工作，也希望会对我国金融电子化、信息化的过程产生积极的促进作用。“十五”期间，计算机安全与金融风险防范是摆在金融界面前极为重要的课题，人民银行正在组织制订有关计算机安全的“十五”规划以及信息安全的总体框架，我们相信，这篇摘要的刊出对金融系统的计算机安全及信息安全工作同样具有借鉴意义。     

武汉天喻信息产业股份有限公司

武汉天喻信息产业股份有限公司（以下简称：公司）的前身武汉天喻信息产业有限责任公司成立于1999年8月。公司是一家专业从事智能卡产品及相关应用系统的研发、生产、销售和服务的高新技术企业,产品主要应用于通信、金融与电子支付、移动多媒体广播电视、税务、社保、石化加油等领域。经营范围包括：计算机及其外部设备、计算机网络、通信、电子、自动控制系统、仪器仪表、光机电一体化、智能卡及其相关设备等相关产品的开发、     

金融行业信息安全等级保护的实践——访中国长城资产管理公司信息技术部总经理王代潮

信息安全等级保护是国家信息安全的根本制度之一，其目的是信息系统能够按照资产价值的大小，合理地、科学地进行保护。我国有关信息安全等级保护的问题从20世纪90年代即被提出，2003年《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）正式明确实施等级保护制度．此后经过有关专家的反复论证研究，信息安全等级保护的相关制度不断得到细化和完善，2006年年初公安部出台了《信息安全等级保护管理办法（试行）》（公通字[2006]7号），明确了信息安全等级保护制度的可操作性。 金融行业因其业务的特殊性．对信息安全提出了较高的要求。随着计算机网络系统、软硬件技术的更新发展．以及网络业务的推进、完善，金融业面临的各种安全威胁日益尖锐、复杂，安全问题所造成的影响和破坏逐渐扩大．甚至上升到国家安全高度。如何将政府政策与金融行业信息安全建设实践结合起来，切实、有效地保护金融资产不受侵害，保障金融行业业务、机构正常运行，是新时期金融行业信息安全建设面临的重大课题。 为了促进信息安全等级保护制度在金融行业的贯彻落实，政府相关部门选择了部分金融机构进行试点。中国长城资产管理公司作为试点单位之一，在基于等级保护的信息安全保障体系建设工作中，进行了有益的尝试．其等级保护工作的实践，为我国等级保护在金融行业的实施提供了重要的理论基础和实践经验．必将促进我国信息安全宏观政策在金融业的全面落实。[编者按]     

美亚柏科（300188）信息安全产品服务供应商

于2011年3月16日登陆创业板的厦门市美亚柏科信息股份有限公司（下称：美亚柏科），是国内电子数据取证行业的龙头企业。公司主营业务具体包括电子数据取证产品和网络信息安全产品两大产品系列，以及电子数据鉴定服务和互联网数字知识产权保护服务两大服务体系。2008年公司的电子数据取证产品市场占有率为41．78％，位列国内同行业第一。     

最新评级速递

公司是国内唯一一家电子数据取证行业的上市公司。2013年1月1日，新修改的《民事诉讼法》正式施行，至此，电子数据作为独立证据形式的法律地位正式确立。公司是国内唯一一家上市的主营电子数据取证行业的公司。公司自成立以来一直从事信息安全行业中电子数据取证和网络信息安全的技术研发、产品销售与整体服务。公司主营业务由“三大产品五大服务”组成，三大产品包括电子数据取证系列、刑事技术产品系列及网络信息安全系列。     

个人征信电子数据的保护方式研究

将个人征信电子数据用于金融机构间的信息共享时,其效率明显高于纸质文档.然而在大数据背景下,个人电子数据的泄露、滥用已逐渐成为公民信息安全之殇.通过数字签名、生物识别等显性特征,强化征信电子数据的个人权属.研究加密传输、区块链信息共享、安全储存等在电子文档中的应用,加强对个人征信电子数据的技术保护,并通过立法规制电子商务和互联网金融中对个人征信电子数据的收集、分析、泄露等行为.逐步加强对个人征信电子数据的权属、技术、法律的保护力度,才能增加公民对其信用信息安全的信任,进而提高信息化效率.在保障个人信息安全的基础上,逐步优化征信数据要素,有利于促进个人征信数据市场化发展.     

信息动态

竹溪开展金融系统计算机安全大检查近日,人行竹溪县支行会同竹溪县公安局信息安全科对全县金融系统计算机安全情况进行了一次大规模的突击检查,重点是对五家金融系统的中心机房以及下属的营业网点的计算机使用情况进行检查,检查内容包括金融系统的计算机安全管理制度的制定、计算机机房建设、防病毒措施、计算机信息安     

借会展契机推动广州信息网络安全事业发展——专访广州市计算机信息网络安全协会会长郭向阳先生及常务副会长兼秘书长黄丽玲女士

2006年11月14日,“2006中国（广州）国际信息安全技术高峰论坛暨产品展览会”在广州中国大酒店隆重开幕。开幕式结束后,记者（下简称“记”）在贵宾厅就有关本届会展及广州市信息网络安全等有关话题专访了广州市计算机信息网络安全协会会长郭向阳先生（下简称“郭”）和广州市计算机信息网络安全协会常务副会长兼秘书长黄丽玲女士（下简称“黄”）。     

信息网络的安全隐患及相关技术研究

一、信息网络的主要安全隐患信息网络安全的主要目标是保护以计算机为代表的各种信息资源免受损坏、替换、盗窃和丢失。这些计算资源包括计算机设备、存储介质、软件、计算机输出材料和数据。信息安全的主要威胁有信息窃取、拒绝服务攻击、入侵、网络欺骗和特洛伊木马程序等。1     

必须重视计算机安全与保护

世界各国政府都十分重视计算机的安全保护,许多国家都制订了有关的法律,人民群众也切身感到计算机安全与自己紧密相关,迫切需要国家立法对计算机安全予以法律保护。各国政府和人民之所以如此重视计算机安全,是由于几十年来出现了许多令人震惊的计算机安全事例,给人们以深刻的感受和教训。1980年6月6日,北美防空联合司令部突然发出了战略警报,发现苏联已经向美国发射了洲际导弹,于是命令美国     

人民银行信息安全管理策略探究

信息，在ISO17799中被看作一种资产，以各种形式存在，可以打印或写在纸上，可以在交谈中存在，可以在电影、电视等媒体中存在，可以是电子的，存储在各种存储介质中，有多种传播途径。所谓信息安全是指保护信息资源，防止未经授权者或偶然因素对信息资源的破坏、改动、非法利用或恶意泄露，以实现信息保密性、完整性与可用性的要求。在国际标准化组织的信息安全管理标准规范（ISO／IEC17799）和其他一些权威机构的文献中，都定义了信息安全的基本特性：如保密性（保证信息只允许授权用户访问）、完整性（保证用户得到的信息及信息的处理方法是准确的、完备的）、可用性（保证合法用户在需要时可以访问到所需信息和使用相关的资产）、可控性（对信息、信息处理过程及信息系统本身都可以实施合法的安全监控和检测）、不可否认性（保证出现信息安全问题后可以有据可查，可以追踪责任到人或到事，又称信息的不可抗抵赖性）。     

央行县级支行计算机安全管理探讨

正一、基层央行计算机信息安全系统现状(一)信息安全意识不足。一方面对计算机信息安全认识不到位,往往片面认为计算机信息安全是计算机管理员一个人的事,操作员不会给信息安全带来威胁,在使用计算机的过程中没有安全意识,没有形成全行上下齐抓共管的局面。另一方面,基层计算机操作员安全知识匮乏,使信息安全工作无从抓起。(二)组织机构建设流于形式。基层央行普遍建立了计算机安全领导小组,但是在实际工作中,没有充分     

人行西安分行成功组织计算机网络及相关应用系统应急演练

为了落实2005年全国银行业金融机构信息安全工作会议精神，并根据《中国人民银行突发事件应急预案管理办法》、《中国人民银行信息安全管理规定》要求，保证计算机网络和相关应用系统稳定运行，确保年终结算工作顺利完成。经西安分行计算机安全工作领导小组批准，2005年12月17日（星期六），对计算机网络与相关应用系统的进行了应急演练。经过参加演练单位全体同志辛勤工作，演练工作顺利完成。据了解，此次全省应急演练在全国人行系统尚属首家，为以后计算机系统应急演练工作的做了一次有益的尝试。     

以人为本构建立体防范体系——人行黄石中支强化县市支行计算机信息安全管理

为了提高县市支行计算机信息安全管理水平，有效防范金融计算机风险，近年以来，人行黄石中支按照“积极防御、综合防范”的基本方针，不断探索县市计算机信息安全工作的新路子。该行坚持以人为本，通过强化安全意识、理顺安全管理体系、提高人员安全素质、完善安全管理制度、加大安全考核力度等五项措施，多管齐下，逐步建立了一套特色鲜明的计算机信息安全立体防范体系，推进了县市支行计算机安全工作向前发展，确保了计算机信息安全。多年来，黄石中支辖内支行计算机信息系统安全、平稳运行，没有发生任何安全事故。2005年，黄石中支荣获分行科技处“计算机信息安全奖”。     

关于等级保护的几点思考

我国信息系统安全等级保护工作始于2007年7月，目前定级工作已基本完成。按照人民银行统计数据显示：银行业二级以上（含二级）信息系统880个，其中全国性银行二级系统261个，三级系统176个，四级系统23个；其余420个为城市商业银行二级以上（含二级）系统。通过定级工作，对国家信息安全的基本情况做了摸底，为全面贯彻信息安全等级保护制度，推动国家信息安全保障工作深入开展奠定了基础。金融业信息安全等级保护工作如何开展？监管机构如何细化具有可操作性、切合行业特点的行业标准和具体方法？行业专家纷纷献计献策。     

银行网络安全讲座(六) 银行网络安全的发展前景

一、回顾与总结1．回顾计算机安全工作是一个复杂的系统工程,要做好它,不易但也不是不可能。体会最深的有如下几点：（1）必须是长期从事计算机工作,并且是经验丰富的人才能基本胜任此工作。（2）离开对开发系统的真正参与和掌握,离开相关计算机知识的不断更新、深入理解和实际工程经验,根本谈不上做计算机安全工作。计算机安全工作人员首先必须是计算机科技精英,长期从事并且也将继续从事计算机科技的高级技术人员。（3）计算机安全和业务开发不能分离,计算机安全工作人员不但应参与业务开发,而且应该是业务开发的尖子人才。（4）…     

基层央行计算机保密工作中的隐患及其对策

1．保密工作中的隐患 （1）计算机操作人员保密意识淡薄。一是对计算机安全保密制度学习和领会不够，认为保密工作是保密部门的事，与自己关系不大；二是缺乏保密分级知识，分不清哪些属于保密的信息，哪些数据应该纳入保密范围；三是存在侥幸心理，对保密信息的重要性认识不足，认为在基层行工作，即便出现失密、泄密问题，也不会造成重大影响和损失。