信息安全：注重原理还是更需实践？欢迎参与讨论！（获奖名单已公布-10-24）

send_linux

获奖名单已公布，详情请看：http://bbs.chinaunix.net/thread-4102937-1-1.html

继斯诺登事件愈演愈烈，信息安全越来越得到更多人的关注。信息安全是一个快速发展的领域。大到国家军事政治等机密安全，小到如防范商业企业机密泄露、防范青少年对不良信息的浏览、个人信息的泄露等。网络环境下的信息安全体系是保证信息安全的关键，包括计算机安全操作系统、各种安全协议、安全机制（数字签名、信息认证、数据加密等），直至安全系统，其中任何一个安全漏洞便可以威胁全局安全。信息安全服务至少应该包括支持信息网络安全服务的基本理论，以及基于新一代信息网络体系结构的网络安全服务体系结构。

对于我们普通的IT工程师来说，更多的企业信息安全问题是我们工作中的重点所在。现在移动互联网技术的飞速发展和BYOD的理念同样给我们的企业信息安全带来了不小的挑战。

欢迎大家加入本话题的讨论，这次的话题是：
1、参考目前IT行业大势，说说您对信息安全的看法
2、您遇到过的信息安全问题及处理方式
3、对于一线的信息安全人员来说，说说你对理论和实践之间的关系

本期嘉宾：
ChinaUnix论坛数据安全版版主：godbach

活动时间：
2013.9.2-9.20

活动要求：
1、 要言之有物，不能低于20个字
2、 本次话题主要关注信息安全原理和实践方面的心得体会和使用技巧，其他问题可能不做重点
         
讨论有奖：
活动结束后，我们会评选出5位积极参与话题讨论的网友奖励《信息安全原理与实践》图书1本，对其他积极参与讨论的网友（回帖有参考价值）我们将奖励积分20分。


奖品信息：


    原书名： Information Security: Principles and Practice, 2nd Edition
    原出版社： Wiley
    作者： (美)Mark Stamp   
    译者： 张戈
    丛书名： 安全技术经典译丛
    出版社：清华大学出版社
    ISBN：9787302317852
    上架时间：2013-5-30
    出版日期：2013 年5月
    开本：16开
    页码：478
    版次：2-1

更多ChinaUnix技术交流活动，请关注我们的微信！

cxhiou

1、参考目前IT行业大势，说说您对信息安全的看法
网络发展迅速，无线网络将会慢慢的覆盖我们社会的角角落落，这给攻击者提供了更多的攻击的机会。随着发展，物联网将会连接生活中的一切，这也给我们防御攻击带来了更大的挑战。
2、您遇到过的信息安全问题及处理方式
由于我个人比较注重安全，所以生活中并没有遇到过攻击，但是，密码的设计越来越长确实给生活带来了不便，多数人都是一个密码走天下，这让人担忧。
3、对于一线的信息安全人员来说，说说你对理论和实践之间的关系
我觉得一线的研究人员很多人都是处在理论的研究阶段（比如密码研究者），这些东西到实际的应用还很远，而且很多缺乏实际的应用价值，我觉得研究应该更加注重应用，有针对性。通过实践来证实理论，只有这样才能避免做无用功，信息安全是一项大工程，不仅仅是一个人的事情，应该全民参与。

forgaoqiang

你这样抄袭别人的内容回复不好吧~~

zhenjiazhenjial 发表于 2013-09-23 20:21
1、参考目前IT行业大势，说说您对信息安全的看法
      IP产品和系统在安防市场得到了广泛的应用，但同时数 ...

sleechengn

信息泄漏因素要三点：
1、物理关联。
2、条件适宜。
3、概率性。

zhenjiazhenjial

1、参考目前IT行业大势，说说您对信息安全的看法
      IP产品和系统在安防市场得到了广泛的应用，但同时数据安全问题成为大家关注的焦点。从视频监控应用的角度来看所谓信息安全或数据安全，有两方面的含义：一是数据本身的安全，主要是指采用密码算法对数据进行主动保护，如数据保密、数据完整性、双向身份认证等;二是数据保护的安全，主要是采用安全的数据信息存储手段对数据的保护，如通过磁盘阵列、数据备份、异地容灾等手段保证数据保存的安全，数据安全是一种主动的保护措施。
　　数据处理的安全是指如何有效的防止数据在录入、处理、统计、打印中，由于硬件故障、断电、死机、人为误操作、程序缺陷、病毒、黑客等造成的数据库损坏或数据丢失现象。某些敏感或保密的数据可能被不具备资格的人员阅读，而造成数据泄密等后果，这通常在视频监控系统的管理平台中已经考虑，但是对于从系统中导出的视频文件和其他文件缺乏系统级的安全措施。
　　数据存储的安全是指数据库在系统运行之外的可读性，一个标准的数据库，稍微懂得一些基本方法的计算机人员，都可以打开阅读或修改。一旦数据库被盗，即使没有原来的系统程序，照样可以另外编写程序对盗取的数据库进行查看或修改。从这个角度说，不加密的数据库是不安全的，容易造成商业泄密。这就涉及了计算机网络通信的保密、安全及软件保护等问题。通常在视频监控系统的管理平台中或多或少也会考虑。

2、您遇到过的信息安全问题及处理方式
    以监控机房的信息安全管理为例：
　在IT安全技术防范的规则中，正确的安全制度能够保证日常数据信息的使用合规。具体的安全制度主要有以下八点：
　　对应用系统使用、产生的介质或数据按其重要性进行分类，对存放有重要数据的介质，应备份必要份数，并分别存放在不同的安全地方(防火、防高温、防震、防磁、防静电及防盗)，建立严格的保密保管制度;
　　保留在机房内的重要数据(介质)，应为系统有效运行所必需的最少数量，除此之外不应保留在机房内;
　　根据数据的保密规定和用途，确定使用人员的存取权限、存取方式和审批手续;
　　重要数据(介质)库，应设专人负责登记保管，未经批准，不得随意挪用重要数据(介质);
　　在使用重要数据(介质)期间，应严格按保密规定控制转借或复制，需要使用或复制的须经批准;
　　对所有重要数据(介质)应定期检查，要考虑介质的安全保存期限，及时更新复制。损坏、废弃或过时的重要数据(介质)应由专人负责消磁处理，秘密级以上的重要数据(介质)在过保密期或废弃不用时，要及时销毁;
　　机密数据处理作业结束时，应及时清除存储器、联机磁带、磁盘及其它介质上有关作业的程序和数据;
　　机密级及以上秘密信息存储设备不得并入互联网;重要数据不得外泄，重要数据的输入及修改应由专人来完成;重要数据的打印输出及外存介质应存放在安全的地方，打印出的废纸应及时销毁。

3、对于一线的信息安全人员来说，说说你对理论和实践之间的关系
     技术不能解决一起问题，严格的保密制度能确保正确的行为规范，这一点类同于安防行业人防+技防的概念。随着安防与IT的日渐融合，两者优势互补，可以避免一些产品研发、系统设计及实施过程中的重叠浪费，两个行业的交流需要多多益善，才能更好的保障IP化后的监控管理系统的信息安全。

jimmy-_-lixw

仅发表对信息安全的个人看法。

jimmy-_-lixw

原理实践两者都很重要。

jimmy-_-lixw

信息安全很重要。

jimmy-_-lixw

实践是检验真理的唯一标准。

jimmy-_-lixw

信息安全是个值得探讨的话题。