?? 前言：在數字化時代，信息內容安全問題越來越引起人們的關注。信息內容安全主要包括對數據的機密性、完整性和可用性的保護，以及對用戶隱私的保護等方面。針對信息內容安全的威脅，采取科學有效的安全措施和技術手段至關重要。本文介紹信息內容安全的相關概念、防護技術、防護設備、隱私防護等方面的內容。

?? 1. 信息內容安全問題

這里我們將信息內容安全威脅分為兩個層面：國家和社會層面、組織和個人層面。

• 在國家和社會層面上的威脅主要為：反動信息、危害國家和社會安全的網絡動員信息、謠言信息、恐怖信息、低俗信息等；
• 在組織和個人層面上的威脅主要為：虛假信息、欺騙信息、垃圾信息、侵害隱私的信息、網絡欺凌信息、侵犯知識產權的信息等。

?? 2. 信息內容安全概念

?? 2.1 信息內容安全定義

北京郵電大學鐘義信教授認為：

• 內容安全與“基于密碼學的信息安全問題”的最大區(qū)別，后者只對信號的“形式”進行處理，不需要理解信息的“內容”。
• 傳統(tǒng)信息安全中，密碼學所解決的信息安全問題是要為信息制作安全的信封，使沒有得到授權的人不能打開這個信封
• 內容安全則是要“直接理解”信息的內容，需要讀懂信中的內容后再判斷

中國工程院方濱興院士對內容安全的定義是：

• 內容安全是指對信息在網絡內流動中的選擇性阻斷，以保證信息流動的可控能力。
• 被阻斷的對象是：通過內容可以判斷出來的可對系統(tǒng)造成威脅的腳本病毒；因無限制擴散而導致消耗用戶資源的垃圾類郵件；危害兒童成長的色情信息；導致社會不穩(wěn)定的有害信息等等。

?? 2.2 信息內容安全的目的

• 可控性。防止來自國內外反動勢力的政治攻擊，消除各類謠言，剔除色情和暴力等有害信息；防止個人隱私被盜取、倒賣、濫用和擴散。
• 可追溯性和保密性。防止知識產權被剽竊、盜用等；防止組織和個人敏感信息被竊取、泄露和流失。
• 可用性。防止垃圾郵件、惡意代碼、即時通訊以及P2P文件共享等惡意信息耗費網絡資源。

?? 2.3 信息內容安全的重要性

信息內容安全事關國家安全、公共安全、文化安全。

信息內容安全面臨的挑戰(zhàn)：

• 信息內容安全表現(xiàn)形式呈現(xiàn)出多元化
• 信息內容安全問題的隱蔽化
• 信息內容安全威脅對象擴大化
• 信息內容安全向扁平化
  • 分布式、跨域性、及時性

?? 3. 信息內容安全防護

?? 3.1 信息內容安全基本技術

?? 3.1.1 信息獲取技術

• 主動獲取信息
  • 方式：通過向網絡注入數據包后的反饋來獲取信息
  • 特點：方式簡單，能夠獲取廣泛的信息，會對網絡造成額外負荷
  • 例子：nmap、scapy（python庫，創(chuàng)建數據包發(fā)包、注入網絡流量）
• 被動獲取信息
  • 方式：在網絡出入口上通過旁路偵聽的方式獲取網絡信息
  • 特點：接入需要網絡管理者的協(xié)作，獲取的內容僅限于進出本地網絡的數據流，不會對網絡造成額外流量
  • 例子：wireshark

?? 3.1.2 信息內容分析與識別技術

內容安全設備能夠識別出非法內容，主要包括文字、聲音、圖像、圖形的識別。

• 識別的準確度和速度是其中的重要指標。
• 目前的反垃圾郵件、網頁內容過濾產品等基本上都采用基于文字的識別方法。

反垃圾郵件–自然語言處理：

?? 3.1.3 內容分級技術

對國家憲法和其他法律法規(guī)中明確的禁載內容，通過過濾、屏蔽等技術手段使其無方法在互聯(lián)網傳播

對于不違反法律但是可能對國家、社會、公司、家庭和個人容易造成某些不利影響或傷害的內容，或者只允許特定人群的查閱內容按明確詳細的規(guī)則予以分類處理

?? 3.1.4 信息過濾技術

對于識別出的非法信息內容，需要采取不同的方式進行后續(xù)處理，阻止或中斷用戶對其訪問

• 過濾是常用的阻斷方式
• 例如：基于URL的站點過濾技術、基于內容關鍵字的過濾技術等

?? 3.1.5 內容審計技術

內容審計主要指對與安全有關活動的相關信息進行識別、記錄、存儲和分析

• 通過記錄用戶訪問的所有資源和所有訪問過程，實現(xiàn)對網絡的動態(tài)實時監(jiān)控，為用戶事后取證提供手段，為信息安全的執(zhí)法提供依據

?? 3.1.6 知識產權保護技術

知識產權包括專利權、商標權、著作權、商業(yè)秘密等類型。

• 網絡版權是一種新型的著作權形式，包括發(fā)表權、修改權、表演權和信息網絡傳播權等
• 版權保護技術主要包括安全容器技術、水印技術等

數字水印技術：LSB算法

• 圖像的能量集中在高幾層位平面，圖像對高幾層的修改比較敏感
• 圖像的最低位平面甚至是最低的幾層位平面幾乎不含有信息量，對修改不敏感

數字圖象的三維矩陣表示：

?? 3.2 信息內容安全防護設備

信息內容安全管理主要解決的問題是面對網絡中發(fā)布和傳輸的大量信息，進行全面、準確的獲取、智能化的分析與知識提取以及必要的訪問控制。

設備：內容安全網關、 網絡輿情監(jiān)控與預警系統(tǒng)

?? 3.2.1 內容安全網關

內容安全網關是一種能提供端到端寬帶連接的網絡接入設備，通常位于骨干網的邊緣

能夠通過對于網絡傳輸內容的全面提取與協(xié)議恢復，在內容理解的基礎上進行必要的過濾、封堵等訪問控制

系統(tǒng)通常包含5個主要模塊：信息獲取、內容管理、行為審計、流量管理、系統(tǒng)管理

• 信息獲?。褐鲃颖O(jiān)聽并發(fā)現(xiàn)信息傳輸鏈路，解析協(xié)議，進而提取訪問信息
• 內容管理：由信息分類器將信息根據業(yè)務種類加以分，送入過濾器，按規(guī)則進行信息過濾操作
• 流量管理：過濾后的信息在通過標記器時被打上標記值，然后送入對應的類中
• 行為審計：根據設定的行為管理策略，對各種網絡應用行為進行監(jiān)控，對符合行為策略的事件實時告警、阻斷并記錄，實行全過程網絡行為監(jiān)管
  • 行為審計：網頁監(jiān)控、終端監(jiān)控、電子郵件監(jiān)控等
  • 網頁監(jiān)控：防止網頁被篡改、過濾網頁的不良信息、文本內容過濾
• 系統(tǒng)管理：對以上四部分進行管理控制，支持多種管理方式和部署方式，進行用戶行為記錄和日志收集

目前市場上內容安全網關產品分為：

• 專業(yè)內容安全網關產品：郵件內容安全網關、WEB內容安全網關、網絡行為監(jiān)視與審計設備等
• 混合內容安全網關產品：信息安全或網絡產品添加上部分內容安全功能，如URL過濾、病毒過濾等

?? 3.2.2 網絡行為監(jiān)視與審計設備

華為ASG5310是華為面向企業(yè)、數據中心、大型網絡邊界及行業(yè)中心和分支機構等的綜合型上網行為管理產品

融合了用戶管理、應用控制、行為審計、網絡業(yè)務優(yōu)化等功能

行為審計功能：主要針對應用和URL兩方面來進行行為收集，收集的結果主要通過用戶行為軌跡和日志進行展示

可以以網橋模式、旁路模式、網關模式、混合模式等方式部署在網絡的關鍵節(jié)點上

?? 3.2.3 網絡輿情監(jiān)測與預警系統(tǒng)

輿情：由個體以及各種社會群體構成的公眾，在一定的歷史階段和社會空間內，對自己關心或與自身利益緊密相關的各種公共事務或熱點問題所持有的多種情緒、意愿、態(tài)度和意見的總和。

網絡輿情：網絡環(huán)境中的輿情

輿情監(jiān)測與預警系統(tǒng)結構包括4個基本模塊：輿情信息采集、輿情信息預處理、輿情分析、輿情服務

• 輿情信息采集：采用自動收集和人工干預相結合進行信息收集。采集技術包括爬蟲和企業(yè)開放API。
• 輿情信息預處理：對信息進行編碼轉換、過濾無效信息、自動消重、分類聚類等。
• 輿情信息分析：自然語言處理后，識別負面報道、熱點和敏感話題，分析信息發(fā)展等。
• 輿情信息服務：根據預期分析結果生成報告并推送，提供輿情檢索，對關鍵信息進行短信通知等。

應用領域：行業(yè)輿情監(jiān)測、地區(qū)輿情監(jiān)測、面向大眾消費類的企業(yè)輿情監(jiān)測

網絡信息內容安全管理的相關法律法規(guī)：

• 《中華人民共和國國家安全法》
• 《中華人民共和國網絡安全法》
• 《互聯(lián)網信息服務管理辦法》
• 《網絡信息內容生態(tài)治理規(guī)定》

?? 4. 隱私安全問題

• 上網的需求
• 網站自身問題
  • 部分網站存在漏洞，或者員工自己泄露。
  • 這些網站通常都會采用“免責聲明”、“用戶注冊須知”等方式，對自己的法律責任進行規(guī)避。
• 黑客以惡意軟件等其他途徑獲取個人信息

?? 5. 隱私安全相關概念

?? 5.1 概念

隱私概念的定義：隱私是與個人相關的 具有不被他人搜集、保留和處分的權利的信息資料集合，并且它能夠按照所有者的意愿在特定時間、以特定方式、在特定程度上被公開。

隱私保護是對個人隱私采取一系列的安全手段防止其泄露和被濫用的行為。隱私保護的對象主體是個人隱私，其包含的內容是使用一系列的安全措施來保障個人隱私安全的這一行為，而其用途則是防止個人隱私遭到泄露以及被濫用。

信息隱私權保護的客體可分為以下2個方面。

• “直接”的個人屬性。如一個人的姓名、身份、住址、聯(lián)系方式等，為隱私權保護的首要對象
• “間接”的個人屬性。如人的消費習慣、病歷、瀏覽網頁記錄、宗教信仰、財務資料、工作、犯罪前科等記錄

?? 5.2 隱私泄露的主要途徑

1. 通過微信等社交網絡平臺。

微信的“附近的人”功能可定位位置，“允許陌生人查看十張照片”、“通過手機號（QQ號）搜索到我”往往是泄露的主要途徑。

2. 通過手機應用軟件。

多數應用程序安裝過程中都會彈出詢問“向您發(fā)送通知”“使用您的位置”等對話框，如果“允許”，這些應用程序會掃描手機并把手機信息上傳到互聯(lián)網云服務器上，手機使用者的位置、通話記錄、甚至家庭住址等信息都很容易被人獲取。

很多手機預裝軟件，機主的手機通訊錄、短信等都是自動默認被允許查看的。還有一些默認安裝軟件“用不上、關不了、卸不掉”，既浪費用戶通信流量，造成經濟損失，也往往成為隱私泄露的通道。

3. 連接山寨WiFi等

使用WiFi時，個人信息在網絡傳輸中容易被截獲，如果傳輸經過的路由等設備被人控制，信息就沒有秘密可言了。另外，手機的定位功能會將用戶自己的位置信息暴露，也使手機容易被遠程控制遭受攻擊。

4. 舊手機信息泄露

在處置不用的舊手機時，很多用戶沒有徹底刪除相關信息。這些手機無論是送給親朋好友還是被轉賣到二手市場，被刪除的信息完全可以通過數據恢復工具還原，使得舊手機上個人信息存在泄漏的隱患

可以選用數據粉碎軟件進行對手機上存儲的數據進行強力擦除，如Eraser Pro

對舊手機進行物理銷毀以徹底規(guī)避隱私泄露風險

5. 黑客入侵

掃描來源不明的二維碼、網頁鏈接，從不可靠的網站下載應用……都可能導致黑客入侵。病毒、木馬等惡意軟件可對手機進行非法操作。

新技術：大數據挖掘
數據挖掘就是從大量的、不完全的、有噪聲的、模糊的、隨機的實際應用數據中，提取隱含在其中的、人們事先不知道的、但又潛在有用的信息和知識的過程。
通過網絡數據挖掘，根據網絡服務器訪問記錄、代理服務器日志記錄、瀏覽器日志記錄或交易信息等能夠了解用戶的網絡行為數據所具有的意義。

?? 6. 公民個人信息的法律保護

公民個人信息的界定和保護的法律

個人信息：

• 以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的各種信息
• 包括姓名、身份證號碼、通訊聯(lián)系方式、住址、賬號密碼、財產狀況、行蹤軌跡等
  《中華人民共和國民法典》規(guī)定自然人的個人信息受法律保護

公民個人信息的管理規(guī)范：

• 《信息安全技術 個人信息安全規(guī)范》
• 《互聯(lián)網個人信息安全保護指南》
• 《APP違法違規(guī)收集使用個人信息行為認定辦法》

?? 7. 常用應用軟件隱私保護設置

設置瀏覽器中的隱私安全功能：

微信：

?? 8. 信息安全管理

?? 8.1 信息內容管理的概念

?? 8.1.1 信息安全管理的重要性

“三分技術、七分管理”

信息安全管理是信息安全不可分割的重要內容，信息安全技術是手段。

信息安全管理是保障，是信息安全技術成功應用的重要支撐。

?? 8.1.2 信息安全管理的內容和目標

信息安全管理是指：為了完成信息安全保障的核心任務，實現(xiàn)既定的信息與信息系統(tǒng)安全目標，針對特定的信息安全相關工作對象，遵循確定的原則，按照規(guī)定的程序，運用恰當的方法，所進行的與信息系統(tǒng)安全相關的組織、計劃、執(zhí)行、檢查和處理等活動。

信息安全管理的最終目標是將系統(tǒng)的安全風險降低到用戶可接受的程度，保證系統(tǒng)的安全運行和使用

?? 8.1.3 信息安全管理模型

安全管理模型遵循管理的一般循環(huán)模式，但是隨著新的風險不斷出現(xiàn)，系統(tǒng)的安全需求也在動態(tài)變化。

面對系統(tǒng)的動態(tài)安全需求，美國著名質量管理專家戴明博士提出PDCA管理模型，又稱為“戴明循環(huán)”或“戴明環(huán)”。

PDCA管理模型實際上是指有效地進行任何一項工作的合乎邏輯的工作程序。

包括：計劃（Plan）、執(zhí)行（Do）、檢查（Check）和行動（Action）的持續(xù)改進模式

每一次的安全管理活動循環(huán)都是在已有的安全管理策略指導下進行的
每次循環(huán)都會通過檢查環(huán)節(jié)發(fā)現(xiàn)新的問題，然后采取行動予以改進

• 計劃（Plan）：
  • 根據法律、法規(guī)的要求和組織內部的安全需求制定信息安全方針、策略
  • 進行風險評估，確定風險控制目標與控制方式，制定信息安全工作計劃等內容
  • 明確責任分工，安排工作進度，形成工作文件。
• 執(zhí)行（Do）：
  • 按照所選擇的控制目標與控制方式進行信息安全管理實施
  • 包括建立權威安全機構，落實各項安全措施，開展全員安全培訓等
• 檢查（Check）：
  • 在實踐中檢查、評估工作計劃執(zhí)行后的結果，包括：制定的安全目標是否合適，是否符合安全管理的原則，是否符合法律法規(guī)的要求，控制手段是否能夠保證安全目標的實現(xiàn)等，并報告結果。
  • 檢查階段就是明確效果，找出問題。
• 行動（Action）：
  • 依據上述檢查結果，對現(xiàn)有信息安全管理策略的適宜性進行評審與評估，評價現(xiàn)有信息安全管理體系的有效性。
  • 并予以規(guī)范化、標準化，指導今后的工作。
  • 對于失敗的教訓也進行總結，避免再出現(xiàn)。

?? 8.2 強化信息安全意識

?? 8.2.1 國家層面信息安全意識的體現(xiàn)

信息安全管理應該從宏觀的國家層面建立相應的組織機構，統(tǒng)籌安排、協(xié)調信息安全的健康發(fā)展；

制定相應的法律法規(guī)、標準，規(guī)范信息安全技術市場；

制定信息安全人才培養(yǎng)計劃，實施信息安全的可持續(xù)發(fā)展。

組織領導：

• 2013年11月12日，設立國家安全委員會。
• 2014年2月27日，中央網絡安全和信息化領導小組成立。

涵蓋信息安全職責的國家安全委員以及中央網絡安全和信息化領導小組，為構建國家信息安全管理體系提供組織保障。

立法：法律法規(guī)是最高形式的管理制度

信息安全問題均與信息資源這一客體以及資源的產生和使用這一主體有關。對信息系統(tǒng)安全的法律保護應涵蓋信息資源客體以及資源產生和使用主體。

• 信息系統(tǒng)安全政策相關的法律法規(guī)：《中華人民共和國網絡安全法》
• 信息系統(tǒng)安全刑事處罰相關的法律法規(guī)：《中華人民共和國刑法》
• 信息系統(tǒng)安全民事侵權相關的法律法規(guī)：《中華人民共和國民法典》
• 信息系統(tǒng)安全行政處罰相關的法律法規(guī)：《中華人民共和國治安管理處罰法》

標準：

• 標準是政策、法規(guī)的延伸，通過標準可以規(guī)范技術和管理活動。
• 建立健全信息安全標準體系，是引導和規(guī)范信息安全技術和管理健康發(fā)展的關鍵所在。

信息安全標準從適用地域范圍可以分為：

• 國際標準、國家標準、地方標準
• 區(qū)域標準、行業(yè)標準、企業(yè)標準

信息安全標準從涉及的內容可以分為：

• 信息安全體系標準
• 信息安全機制標準
• 信息安全管理標準
• 信息安全工程標準
• 信息安全測評標準
• 信息系統(tǒng)等級保護標準。
• 信息安全產品標準

?? 8.2.2 組織層面信息安全意識的體現(xiàn)

等級保護是國家法律和政策要求

等級保護的內容：

• 《中華人民共和國網絡安全法》規(guī)定國家實行網絡安全等級保護制度，標志者等保進入2.0階段。
• 等保2.0將信息和信息系統(tǒng)的安全保護等級劃分為5級：
  • 自主保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益；
  • 指導保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害，或者對社會秩序和公共利益造成損害，但不損害國家安全；
  • 監(jiān)督保護級：等級保護對象受到破壞后，會對公民、法人和其他組織的合法權益產生特別嚴重損害，或者對社會秩序和公共利益造成嚴重損害，或者對國家安全造成損害；
  • 強制保護級：等級保護對象受到破壞后，會對社會秩序和公共利益造成特別嚴重損害，或者對國家安全造成嚴重損害；
  • ?？乇Ｗo級：等級保護對象受到破壞后，會對國家安全造成特別嚴重損害。

企業(yè)層面信息安全意識的體現(xiàn)：風險評估

信息安全風險評估，就是從風險管理的角度，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生可能造成的危害程度

提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風險，將風險控制在可接受的水平，最大程度地保障計算機網絡信息系統(tǒng)安全提供科學依據。

風險評估的內容：
信息安全風險評估（Risk Assessment）是指，在風險事件發(fā)生之前或之后，運用科學的方法和手段，系統(tǒng)地分析網絡與信息系統(tǒng)所面臨的威脅及其存在的脆弱性，評估安全事件一旦發(fā)生，給組織和個人各個方面造成的影響和損失程度，提出有針對性的抵御威脅的防護對策和整改措施，并為防范和化解信息安全風險，將風險控制在可接受的水平，最大程度地保障計算機網絡信息系統(tǒng)安全提供科學依據。

風險評估與安全測評：

• 通常人們也將風險事件發(fā)生后再進行的評估稱為安全測評。
• 風險評估可以看做是安全建設的起點，系統(tǒng)測評是安全建設的終點，或者可以理解為，系統(tǒng)安全測評是對實施風險管理措施后的風險再評估。

?? 8.2.3 個人層面信息安全意識的體現(xiàn)

個人信息安全意識的重要性：

• 雖然基于技術的防御手段是安全防護體系重要組成部分，但當前基于技術的解決方案不能為用戶和企業(yè)面臨的網絡威脅提供全面的安全需求。
  • 盡管已從技術層面使安全防護體系盡可能牢固，但安全防護體系的信息安全抵抗能力由其最薄弱環(huán)節(jié)決定。因此，即使防范方做了99%，攻擊者總能找出你做錯的1%發(fā)起攻擊。
  • 人的信息安全意識薄弱具有普遍性且容易被滲透，攻擊者更喜歡選擇這條路徑發(fā)起攻擊。
• 因此，需要提高用戶的信息安全意識防范網絡攻擊。而且，許多研究實驗已表明，增強個人信息安全意識能有效減少由人為因素造成安全威脅發(fā)生的概率。

提高個人信息安全意識的方法：

• 傳統(tǒng)方法（以紙質材料和電子資料為媒介）
• 導師（專家、教師）為主的安全教育方法
• 基于Web頁面的安全教育方法
• 基于視頻的安全教育方法
• 基于游戲的安全教育方法
• 基于模擬的安全教育方法
• 手機App（烏云安全中心）

OK，以上就是本期知識點“信息內容安全”的知識啦~~ ，感謝友友們的閱讀。后續(xù)還會繼續(xù)更新，歡迎持續(xù)關注喲??~
??如果有錯誤?，歡迎批評指正呀??~讓我們一起相互進步??
??如果覺得收獲滿滿，可以點點贊??支持一下喲~

? 轉載請注明出處
作者：HinsCoder
博客鏈接：?? 作者博客主頁文章來源地址http://www.zghlxwxcb.cn/news/detail-465760.html

到了這里，關于【信息安全案例】——信息內容安全（學習筆記）的文章就介紹完了。如果您還想了解更多內容，請在右上角搜索TOY模板網以前的文章或繼續(xù)瀏覽下面的相關文章，希望大家以后多多支持TOY模板網！