📖 前言:在数字化时代,信息内容安全问题越来越引起人们的关注。信息内容安全主要包括对数据的机密性、完整性和可用性的保护,以及对用户隐私的保护等方面。针对信息内容安全的威胁,采取科学有效的安全措施和技术手段至关重要。本文介绍信息内容安全的相关概念、防护技术、防护设备、隐私防护等方面的内容。
目录
🕒 1. 信息内容安全问题
这里我们将信息内容安全威胁分为两个层面:国家和社会层面、组织和个人层面。
- 在国家和社会层面上的威胁主要为:反动信息、危害国家和社会安全的网络动员信息、谣言信息、恐怖信息、低俗信息等;
- 在组织和个人层面上的威胁主要为:虚假信息、欺骗信息、垃圾信息、侵害隐私的信息、网络欺凌信息、侵犯知识产权的信息等。
🕒 2. 信息内容安全概念
🕘 2.1 信息内容安全定义
北京邮电大学钟义信教授认为:
- 内容安全与“基于密码学的信息安全问题”的最大区别,后者只对信号的“形式”进行处理,不需要理解信息的“内容”。
- 传统信息安全中,密码学所解决的信息安全问题是要为信息制作安全的信封,使没有得到授权的人不能打开这个信封
- 内容安全则是要“直接理解”信息的内容,需要读懂信中的内容后再判断
中国工程院方滨兴院士对内容安全的定义是:
- 内容安全是指对信息在网络内流动中的选择性阻断,以保证信息流动的可控能力。
- 被阻断的对象是:通过内容可以判断出来的可对系统造成威胁的脚本病毒;因无限制扩散而导致消耗用户资源的垃圾类邮件;危害儿童成长的色情信息;导致社会不稳定的有害信息等等。
🕘 2.2 信息内容安全的目的
- 可控性。防止来自国内外反动势力的政治攻击,消除各类谣言,剔除色情和暴力等有害信息;防止个人隐私被盗取、倒卖、滥用和扩散。
- 可追溯性和保密性。防止知识产权被剽窃、盗用等;防止组织和个人敏感信息被窃取、泄露和流失。
- 可用性。防止垃圾邮件、恶意代码、即时通讯以及P2P文件共享等恶意信息耗费网络资源。
🕘 2.3 信息内容安全的重要性
信息内容安全事关国家安全、公共安全、文化安全。
信息内容安全面临的挑战:
- 信息内容安全表现形式呈现出多元化
- 信息内容安全问题的隐蔽化
- 信息内容安全威胁对象扩大化
- 信息内容安全向扁平化
- 分布式、跨域性、及时性
🕒 3. 信息内容安全防护
🕘 3.1 信息内容安全基本技术
🕤 3.1.1 信息获取技术
- 主动获取信息
- 方式:通过向网络注入数据包后的反馈来获取信息
- 特点:方式简单,能够获取广泛的信息,会对网络造成额外负荷
- 例子:nmap、scapy(python库,创建数据包发包、注入网络流量)
- 被动获取信息
- 方式:在网络出入口上通过旁路侦听的方式获取网络信息
- 特点:接入需要网络管理者的协作,获取的内容仅限于进出本地网络的数据流,不会对网络造成额外流量
- 例子:wireshark
🕤 3.1.2 信息内容分析与识别技术
内容安全设备能够识别出非法内容,主要包括文字、声音、图像、图形的识别。
- 识别的准确度和速度是其中的重要指标。
- 目前的反垃圾邮件、网页内容过滤产品等基本上都采用基于文字的识别方法。
反垃圾邮件–自然语言处理:
🕤 3.1.3 内容分级技术
对国家宪法和其他法律法规中明确的禁载内容,通过过滤、屏蔽等技术手段使其无方法在互联网传播
对于不违反法律但是可能对国家、社会、公司、家庭和个人容易造成某些不利影响或伤害的内容,或者只允许特定人群的查阅内容按明确详细的规则予以分类处理
🕤 3.1.4 信息过滤技术
对于识别出的非法信息内容,需要采取不同的方式进行后续处理,阻止或中断用户对其访问
- 过滤是常用的阻断方式
- 例如:基于URL的站点过滤技术、基于内容关键字的过滤技术等
🕤 3.1.5 内容审计技术
内容审计主要指对与安全有关活动的相关信息进行识别、记录、存储和分析
- 通过记录用户访问的所有资源和所有访问过程,实现对网络的动态实时监控,为用户事后取证提供手段,为信息安全的执法提供依据
🕤 3.1.6 知识产权保护技术
知识产权包括专利权、商标权、著作权、商业秘密等类型。
- 网络版权是一种新型的著作权形式,包括发表权、修改权、表演权和信息网络传播权等
- 版权保护技术主要包括安全容器技术、水印技术等
数字水印技术:LSB算法
- 图像的能量集中在高几层位平面,图像对高几层的修改比较敏感
- 图像的最低位平面甚至是最低的几层位平面几乎不含有信息量,对修改不敏感
数字图象的三维矩阵表示:
🕘 3.2 信息内容安全防护设备
信息内容安全管理主要解决的问题是面对网络中发布和传输的大量信息,进行全面、准确的获取、智能化的分析与知识提取以及必要的访问控制。
设备:内容安全网关、 网络舆情监控与预警系统
🕤 3.2.1 内容安全网关
内容安全网关是一种能提供端到端宽带连接的网络接入设备,通常位于骨干网的边缘
能够通过对于网络传输内容的全面提取与协议恢复,在内容理解的基础上进行必要的过滤、封堵等访问控制
系统通常包含5个主要模块:信息获取、内容管理、行为审计、流量管理、系统管理
- 信息获取:主动监听并发现信息传输链路,解析协议,进而提取访问信息
- 内容管理:由信息分类器将信息根据业务种类加以分,送入过滤器,按规则进行信息过滤操作
- 流量管理:过滤后的信息在通过标记器时被打上标记值,然后送入对应的类中
- 行为审计:根据设定的行为管理策略,对各种网络应用行为进行监控,对符合行为策略的事件实时告警、阻断并记录,实行全过程网络行为监管
- 行为审计:网页监控、终端监控、电子邮件监控等
- 网页监控:防止网页被篡改、过滤网页的不良信息、文本内容过滤
- 系统管理:对以上四部分进行管理控制,支持多种管理方式和部署方式,进行用户行为记录和日志收集
目前市场上内容安全网关产品分为:
- 专业内容安全网关产品:邮件内容安全网关、WEB内容安全网关、网络行为监视与审计设备等
- 混合内容安全网关产品:信息安全或网络产品添加上部分内容安全功能,如URL过滤、病毒过滤等
🕤 3.2.2 网络行为监视与审计设备
华为ASG5310是华为面向企业、数据中心、大型网络边界及行业中心和分支机构等的综合型上网行为管理产品
融合了用户管理、应用控制、行为审计、网络业务优化等功能
行为审计功能:主要针对应用和URL两方面来进行行为收集,收集的结果主要通过用户行为轨迹和日志进行展示
可以以网桥模式、旁路模式、网关模式、混合模式等方式部署在网络的关键节点上
🕤 3.2.3 网络舆情监测与预警系统
舆情:由个体以及各种社会群体构成的公众,在一定的历史阶段和社会空间内,对自己关心或与自身利益紧密相关的各种公共事务或热点问题所持有的多种情绪、意愿、态度和意见的总和。
网络舆情:网络环境中的舆情
舆情监测与预警系统结构包括4个基本模块:舆情信息采集、舆情信息预处理、舆情分析、舆情服务
- 舆情信息采集:采用自动收集和人工干预相结合进行信息收集。采集技术包括爬虫和企业开放API。
- 舆情信息预处理:对信息进行编码转换、过滤无效信息、自动消重、分类聚类等。
- 舆情信息分析:自然语言处理后,识别负面报道、热点和敏感话题,分析信息发展等。
- 舆情信息服务:根据预期分析结果生成报告并推送,提供舆情检索,对关键信息进行短信通知等。
应用领域:行业舆情监测、地区舆情监测、面向大众消费类的企业舆情监测
网络信息内容安全管理的相关法律法规:
- 《中华人民共和国国家安全法》
- 《中华人民共和国网络安全法》
- 《互联网信息服务管理办法》
- 《网络信息内容生态治理规定》
🕒 4. 隐私安全问题
- 上网的需求
- 网站自身问题
- 部分网站存在漏洞,或者员工自己泄露。
- 这些网站通常都会采用“免责声明”、“用户注册须知”等方式,对自己的法律责任进行规避。
- 黑客以恶意软件等其他途径获取个人信息
🕒 5. 隐私安全相关概念
🕘 5.1 概念
隐私概念的定义:隐私是与个人相关的 具有不被他人搜集、保留和处分的权利的信息资料集合,并且它能够按照所有者的意愿在特定时间、以特定方式、在特定程度上被公开。
隐私保护是对个人隐私采取一系列的安全手段防止其泄露和被滥用的行为。隐私保护的对象主体是个人隐私,其包含的内容是使用一系列的安全措施来保障个人隐私安全的这一行为,而其用途则是防止个人隐私遭到泄露以及被滥用。
信息隐私权保护的客体可分为以下2个方面。
- “直接”的个人属性。如一个人的姓名、身份、住址、联系方式等,为隐私权保护的首要对象
- “间接”的个人属性。如人的消费习惯、病历、浏览网页记录、宗教信仰、财务资料、工作、犯罪前科等记录
🕘 5.2 隐私泄露的主要途径
- 通过微信等社交网络平台。
微信的“附近的人”功能可定位位置,“允许陌生人查看十张照片”、“通过手机号(QQ号)搜索到我”往往是泄露的主要途径。
- 通过手机应用软件。
多数应用程序安装过程中都会弹出询问“向您发送通知”“使用您的位置”等对话框,如果“允许”,这些应用程序会扫描手机并把手机信息上传到互联网云服务器上,手机使用者的位置、通话记录、甚至家庭住址等信息都很容易被人获取。
很多手机预装软件,机主的手机通讯录、短信等都是自动默认被允许查看的。还有一些默认安装软件“用不上、关不了、卸不掉”,既浪费用户通信流量,造成经济损失,也往往成为隐私泄露的通道。
- 连接山寨WiFi等
使用WiFi时,个人信息在网络传输中容易被截获,如果传输经过的路由等设备被人控制,信息就没有秘密可言了。另外,手机的定位功能会将用户自己的位置信息暴露,也使手机容易被远程控制遭受攻击。
- 旧手机信息泄露
在处置不用的旧手机时,很多用户没有彻底删除相关信息。这些手机无论是送给亲朋好友还是被转卖到二手市场,被删除的信息完全可以通过数据恢复工具还原,使得旧手机上个人信息存在泄漏的隐患
可以选用数据粉碎软件进行对手机上存储的数据进行强力擦除,如Eraser Pro
对旧手机进行物理销毁以彻底规避隐私泄露风险
- 黑客入侵
扫描来源不明的二维码、网页链接,从不可靠的网站下载应用……都可能导致黑客入侵。病毒、木马等恶意软件可对手机进行非法操作。
新技术:大数据挖掘
数据挖掘就是从大量的、不完全的、有噪声的、模糊的、随机的实际应用数据中,提取隐含在其中的、人们事先不知道的、但又潜在有用的信息和知识的过程。
通过网络数据挖掘,根据网络服务器访问记录、代理服务器日志记录、浏览器日志记录或交易信息等能够了解用户的网络行为数据所具有的意义。
🕒 6. 公民个人信息的法律保护
公民个人信息的界定和保护的法律
个人信息:
- 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息
- 包括姓名、身份证号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹等
《中华人民共和国民法典》规定自然人的个人信息受法律保护
公民个人信息的管理规范:
- 《信息安全技术 个人信息安全规范》
- 《互联网个人信息安全保护指南》
- 《APP违法违规收集使用个人信息行为认定办法》
🕒 7. 常用应用软件隐私保护设置
设置浏览器中的隐私安全功能:
微信:
🕒 8. 信息安全管理
🕘 8.1 信息内容管理的概念
🕤 8.1.1 信息安全管理的重要性
“三分技术、七分管理”
信息安全管理是信息安全不可分割的重要内容,信息安全技术是手段。
信息安全管理是保障,是信息安全技术成功应用的重要支撑。
🕤 8.1.2 信息安全管理的内容和目标
信息安全管理是指:为了完成信息安全保障的核心任务,实现既定的信息与信息系统安全目标,针对特定的信息安全相关工作对象,遵循确定的原则,按照规定的程序,运用恰当的方法,所进行的与信息系统安全相关的组织、计划、执行、检查和处理等活动。
信息安全管理的最终目标是将系统的安全风险降低到用户可接受的程度,保证系统的安全运行和使用
🕤 8.1.3 信息安全管理模型
安全管理模型遵循管理的一般循环模式,但是随着新的风险不断出现,系统的安全需求也在动态变化。
面对系统的动态安全需求,美国著名质量管理专家戴明博士提出PDCA管理模型,又称为“戴明循环”或“戴明环”。
PDCA管理模型实际上是指有效地进行任何一项工作的合乎逻辑的工作程序。
包括:计划(Plan)、执行(Do)、检查(Check)和行动(Action)的持续改进模式
每一次的安全管理活动循环都是在已有的安全管理策略指导下进行的
每次循环都会通过检查环节发现新的问题,然后采取行动予以改进
- 计划(Plan):
- 根据法律、法规的要求和组织内部的安全需求制定信息安全方针、策略
- 进行风险评估,确定风险控制目标与控制方式,制定信息安全工作计划等内容
- 明确责任分工,安排工作进度,形成工作文件。
- 执行(Do):
- 按照所选择的控制目标与控制方式进行信息安全管理实施
- 包括建立权威安全机构,落实各项安全措施,开展全员安全培训等
- 检查(Check):
- 在实践中检查、评估工作计划执行后的结果,包括:制定的安全目标是否合适,是否符合安全管理的原则,是否符合法律法规的要求,控制手段是否能够保证安全目标的实现等,并报告结果。
- 检查阶段就是明确效果,找出问题。
- 行动(Action):
- 依据上述检查结果,对现有信息安全管理策略的适宜性进行评审与评估,评价现有信息安全管理体系的有效性。
- 并予以规范化、标准化,指导今后的工作。
- 对于失败的教训也进行总结,避免再出现。
🕘 8.2 强化信息安全意识
🕤 8.2.1 国家层面信息安全意识的体现
信息安全管理应该从宏观的国家层面建立相应的组织机构,统筹安排、协调信息安全的健康发展;
制定相应的法律法规、标准,规范信息安全技术市场;
制定信息安全人才培养计划,实施信息安全的可持续发展。
组织领导:
- 2013年11月12日,设立国家安全委员会。
- 2014年2月27日,中央网络安全和信息化领导小组成立。
涵盖信息安全职责的国家安全委员以及中央网络安全和信息化领导小组,为构建国家信息安全管理体系提供组织保障。
立法:法律法规是最高形式的管理制度
信息安全问题均与信息资源这一客体以及资源的产生和使用这一主体有关。对信息系统安全的法律保护应涵盖信息资源客体以及资源产生和使用主体。
- 信息系统安全政策相关的法律法规:《中华人民共和国网络安全法》
- 信息系统安全刑事处罚相关的法律法规:《中华人民共和国刑法》
- 信息系统安全民事侵权相关的法律法规:《中华人民共和国民法典》
- 信息系统安全行政处罚相关的法律法规:《中华人民共和国治安管理处罚法》
标准:
- 标准是政策、法规的延伸,通过标准可以规范技术和管理活动。
- 建立健全信息安全标准体系,是引导和规范信息安全技术和管理健康发展的关键所在。
信息安全标准从适用地域范围可以分为:
- 国际标准、国家标准、地方标准
- 区域标准、行业标准、企业标准
信息安全标准从涉及的内容可以分为:
- 信息安全体系标准
- 信息安全机制标准
- 信息安全管理标准
- 信息安全工程标准
- 信息安全测评标准
- 信息系统等级保护标准。
- 信息安全产品标准
🕤 8.2.2 组织层面信息安全意识的体现
等级保护是国家法律和政策要求
等级保护的内容:
- 《中华人民共和国网络安全法》规定国家实行网络安全等级保护制度,标志者等保进入2.0阶段。
- 等保2.0将信息和信息系统的安全保护等级划分为5级:
- 自主保护级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益;
- 指导保护级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全;
- 监督保护级:等级保护对象受到破坏后,会对公民、法人和其他组织的合法权益产生特别严重损害,或者对社会秩序和公共利益造成严重损害,或者对国家安全造成损害;
- 强制保护级:等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害;
- 专控保护级:等级保护对象受到破坏后,会对国家安全造成特别严重损害。
企业层面信息安全意识的体现:风险评估
信息安全风险评估,就是从风险管理的角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度
提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,将风险控制在可接受的水平,最大程度地保障计算机网络信息系统安全提供科学依据。
风险评估的内容:
信息安全风险评估(Risk Assessment)是指,在风险事件发生之前或之后,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生,给组织和个人各个方面造成的影响和损失程度,提出有针对性的抵御威胁的防护对策和整改措施,并为防范和化解信息安全风险,将风险控制在可接受的水平,最大程度地保障计算机网络信息系统安全提供科学依据。
风险评估与安全测评:
- 通常人们也将风险事件发生后再进行的评估称为安全测评。
- 风险评估可以看做是安全建设的起点,系统测评是安全建设的终点,或者可以理解为,系统安全测评是对实施风险管理措施后的风险再评估。
🕤 8.2.3 个人层面信息安全意识的体现
个人信息安全意识的重要性:
- 虽然基于技术的防御手段是安全防护体系重要组成部分,但当前基于技术的解决方案不能为用户和企业面临的网络威胁提供全面的安全需求。
- 尽管已从技术层面使安全防护体系尽可能牢固,但安全防护体系的信息安全抵抗能力由其最薄弱环节决定。因此,即使防范方做了99%,攻击者总能找出你做错的1%发起攻击。
- 人的信息安全意识薄弱具有普遍性且容易被渗透,攻击者更喜欢选择这条路径发起攻击。
- 因此,需要提高用户的信息安全意识防范网络攻击。而且,许多研究实验已表明,增强个人信息安全意识能有效减少由人为因素造成安全威胁发生的概率。
提高个人信息安全意识的方法:
- 传统方法(以纸质材料和电子资料为媒介)
- 导师(专家、教师)为主的安全教育方法
- 基于Web页面的安全教育方法
- 基于视频的安全教育方法
- 基于游戏的安全教育方法
- 基于模拟的安全教育方法
- 手机App(乌云安全中心)
OK,以上就是本期知识点“信息内容安全”的知识啦~~ ,感谢友友们的阅读。后续还会继续更新,欢迎持续关注哟📌~
💫如果有错误❌,欢迎批评指正呀👀~让我们一起相互进步🚀
🎉如果觉得收获满满,可以点点赞👍支持一下哟~
❗ 转载请注明出处
作者:HinsCoder
博客链接:🔎 作者博客主页
884
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
