❶ 論述信息安全包括哪幾方面的內容信息安全技術有哪些分別對其進行闡述。
信息安全概述信息安全主要涉及到信息傳輸的安全、信息存儲的安全以及對網路傳輸信息內容的審計三方面。
鑒別
鑒別是對網路中的主體進行驗證的過程,通常有三種方法驗證主體身份。一是只有該主體了解的秘密,如口令、密鑰;二是主體攜帶的物品,如智能卡和令牌卡;三是只有該主體具有的獨一無二的特徵或能力,如指紋、聲音、視網膜或簽字等。
口令機制:口令是相互約定的代碼,假設只有用戶和系統知道。口令有時由用戶選擇,有時由系統分配。通常情況下,用戶先輸入某種標志信息,比如用戶名和ID號,然後系統詢問用戶口令,若口令與用戶文件中的相匹配,用戶即可進入訪問。口令有多種,如一次性口令,系統生成一次性口令的清單,第一次時必須使用X,第二次時必須使用Y,第三次時用Z,這樣一直下去;還有基於時間的口令,即訪問使用的正確口令隨時間變化,變化基於時間和一個秘密的用戶鑰匙。這樣口令每分鍾都在改變,使其更加難以猜測。
智能卡:訪問不但需要口令,也需要使用物理智能卡。在允許其進入系統之前檢查是否允許其接觸系統。智能卡大小形如信用卡,一般由微處理器、存儲器及輸入、輸出設施構成。微處理器可計算該卡的一個唯一數(ID)和其它數據的加密形式。ID保證卡的真實性,持卡人就可訪問系統。為防止智能卡遺失或被竊,許多系統需要卡和身份識別碼(PIN)同時使用。若僅有卡而不知PIN碼,則不能進入系統。智能卡比傳統的口令方法進行鑒別更好,但其攜帶不方便,且開戶費用較高。
主體特徵鑒別:利用個人特徵進行鑒別的方式具有很高的安全性。目前已有的設備包括:視網膜掃描儀、聲音驗證設備、手型識別器。
數據傳輸安全系統
數據傳輸加密技術 目的是對傳輸中的數據流加密,以防止通信線路上的竊聽、泄漏、篡改和破壞。如果以加密實現的通信層次來區分,加密可以在通信的三個不同層次來實現,即鏈路加密(位於OSI網路層以下的加密),節點加密,端到端加密(傳輸前對文件加密,位於OSI網路層以上的加密)。
一般常用的是鏈路加密和端到端加密這兩種方式。鏈路加密側重與在通信鏈路上而不考慮信源和信宿,是對保密信息通過各鏈路採用不同的加密密鑰提供安全保護。鏈路加密是面向節點的,對於網路高層主體是透明的,它對高層的協議信息(地址、檢錯、幀頭幀尾)都加密,因此數據在傳輸中是密文的,但在中央節點必須解密得到路由信息。端到端加密則指信息由發送端自動加密,並進入TCP/IP數據包回封,然後作為不可閱讀和不可識別的數據穿過互聯網,當這些信息一旦到達目的地,將自動重組、解密,成為可讀數據。端到端加密是面向網路高層主體的,它不對下層協議進行信息加密,協議信息以明文形式傳輸,用戶數據在中央節點不需解密。
數據完整性鑒別技術 目前,對於動態傳輸的信息,許多協議確保信息完整性的方法大多是收錯重傳、丟棄後續包的辦法,但黑客的攻擊可以改變信息包內部的內容,所以應採取有效的措施來進行完整性控制。
報文鑒別:與數據鏈路層的CRC控制類似,將報文名欄位(或域)使用一定的操作組成一個約束值,稱為該報文的完整性檢測向量ICV(Integrated Check Vector)。然後將它與數據封裝在一起進行加密,傳輸過程中由於侵入者不能對報文解密,所以也就不能同時修改數據並計算新的ICV,這樣,接收方收到數據後解密並計算ICV,若與明文中的ICV不同,則認為此報文無效。
校驗和:一個最簡單易行的完整性控制方法是使用校驗和,計算出該文件的校驗和值並與上次計算出的值比較。若相等,說明文件沒有改變;若不等,則說明文件可能被未察覺的行為改變了。校驗和方式可以查錯,但不能保護數據。
加密校驗和:將文件分成小快,對每一塊計算CRC校驗值,然後再將這些CRC值加起來作為校驗和。只要運用恰當的演算法,這種完整性控制機制幾乎無法攻破。但這種機制運算量大,並且昂貴,只適用於那些完整性要求保護極高的情況。
消息完整性編碼MIC(Message Integrity Code):使用簡單單向散列函數計算消息的摘要,連同信息發送給接收方,接收方重新計算摘要,並進行比較驗證信息在傳輸過程中的完整性。這種散列函數的特點是任何兩個不同的輸入不可能產生兩個相同的輸出。因此,一個被修改的文件不可能有同樣的散列值。單向散列函數能夠在不同的系統中高效實現。
防抵賴技術 它包括對源和目的地雙方的證明,常用方法是數字簽名,數字簽名採用一定的數據交換協議,使得通信雙方能夠滿足兩個條件:接收方能夠鑒別發送方所宣稱的身份,發送方以後不能否認他發送過數據這一事實。比如,通信的雙方採用公鑰體制,發方使用收方的公鑰和自己的私鑰加密的信息,只有收方憑借自己的私鑰和發方的公鑰解密之後才能讀懂,而對於收方的回執也是同樣道理。另外實現防抵賴的途徑還有:採用可信第三方的權標、使用時戳、採用一個在線的第三方、數字簽名與時戳相結合等。
鑒於為保障數據傳輸的安全,需採用數據傳輸加密技術、數據完整性鑒別技術及防抵賴技術。因此為節省投資、簡化系統配置、便於管理、使用方便,有必要選取集成的安全保密技術措施及設備。這種設備應能夠為大型網路系統的主機或重點伺服器提供加密服務,為應用系統提供安全性強的數字簽名和自動密鑰分發功能,支持多種單向散列函數和校驗碼演算法,以實現對數據完整性的鑒別。
數據存儲安全系統
在計算機信息系統中存儲的信息主要包括純粹的數據信息和各種功能文件信息兩大類。對純粹數據信息的安全保護,以資料庫信息的保護最為典型。而對各種功能文件的保護,終端安全很重要。
資料庫安全:對資料庫系統所管理的數據和資源提供安全保護,一般包括以下幾點。一,物理完整性,即數據能夠免於物理方面破壞的問題,如掉電、火災等;二,邏輯完整性,能夠保持資料庫的結構,如對一個欄位的修改不至於影響其它欄位;三,元素完整性,包括在每個元素中的數據是准確的;四,數據的加密;五,用戶鑒別,確保每個用戶被正確識別,避免非法用戶入侵;六,可獲得性,指用戶一般可訪問資料庫和所有授權訪問的數據;七,可審計性,能夠追蹤到誰訪問過資料庫。
要實現對資料庫的安全保護,一種選擇是安全資料庫系統,即從系統的設計、實現、使用和管理等各個階段都要遵循一套完整的系統安全策略;二是以現有資料庫系統所提供的功能為基礎構作安全模塊,旨在增強現有資料庫系統的安全性。
終端安全:主要解決微機信息的安全保護問題,一般的安全功能如下。基於口令或(和)密碼演算法的身份驗證,防止非法使用機器;自主和強制存取控制,防止非法訪問文件;多級許可權管理,防止越權操作;存儲設備安全管理,防止非法軟盤拷貝和硬碟啟動;數據和程序代碼加密存儲,防止信息被竊;預防病毒,防止病毒侵襲;嚴格的審計跟蹤,便於追查責任事故。
信息內容審計系統
實時對進出內部網路的信息進行內容審計,以防止或追查可能的泄密行為。因此,為了滿足國家保密法的要求,在某些重要或涉密網路,應
❷ 信息安全主要包括哪些內容
信息安全主要包括以下五方面的內容,即需保證信息的保密性、真實性、完整性、未授權拷貝和所寄生系統的安全性。
❸ 信息安全隱患有哪些
從大的方面講,信息安全主要包括:運行安全(主要是由網路和計算機構成的平台)、交易安全(傳輸過程中的數據安全)、內容安全、個人或單位隱私保護。幾年前,談論信息安全還僅限於政府部門內部,而且所涉及的也大多是內容安全、防止泄密等。但近幾年,在新經濟的環境下,所有人的生活已與網路形成了非常緊密的聯系,隨著安全問題越來越引起政府和企業的關注,各種安全技術和產品也不斷涌現出來。但值得思考的是,為什麼在強大的防禦技術的保護下,信息的安全問題反而越來越多,入侵與反入侵技術總是在上演「道高一尺,魔高一丈」的活劇?在中國,信息安全應用的最大隱患到底在哪裡?其症結究竟是什麼?
管理:信息安全應用的最大漏洞
據統計,在美國被中國黑客攻擊的網站中,政府網站佔3%,而在中國遭到美國黑客攻擊的網站中,政府網站竟佔37%還多。這個數字充分說明,中國的政府網站應該進行的管理沒有到位。其實,美國人所採用的攻擊手段並不高明,其中許多技術漏洞都是被中國人最早發現並公布的,但正是由於在管理上沒有得到足夠的重視,才讓別人利用簡單的技術鑽了空子。
提高安全管理意識已刻不容緩。中國國家計算機網路與信息安全實驗室主任白碩先生在接受記者采訪時說:「目前,中國的信息安全在技術上的最大隱患是,操作系統、微電子晶元、路由器等核心技術都掌握在別人手裡,這是一個極為嚴重的問題。像中國這樣一個大國,沒有自己的核心技術,就好像所有的信息系統都建築在沙灘上一樣,稍有風吹草動,我們就會失去平衡。盡管不久前中國國防科技大學推出了自主研製的核心路由器,中科院軟體所也有了相應的安全操作系統軟體推出,但這些剛剛起步的技術離可用還有一段距離,況且面對著如此具大的應用市場,這一點突破仍然是杯水車薪。」
那麼,如何解決當前的問題?在只能採用國外產品的情況下如何保證信息的安全?怎樣在現有條件下,對一些疑點進行修補呢?白碩先生認為,一個最直接、最有效的方法就是拉緊管理這根線,用嚴密的制度彌補技術上的不足。近幾年,我國的政府機構為了加強對信息安全的保障,實行了內網與外網分離的策略,但這種隔離從嚴格意義上講只能防外而不能防內。事實上,不管多麼先進的安全技術,都抵擋不住從內部攻破,先進技術解決不了人的問題,「家賊難防」是盡人皆懂的道理。北京郵電大學信息安全中心楊義先生曾說過,信息安全在管理方面還存在幾個問題:一是CA(數字證書認證中心)的建設,目前全國共建立了不下20個CA認證機構,其實有一個就足夠了;二是目前的安全問題,包括病毒、網路安全、加密等,也分屬很多部門管理,各有各的標准。建議設立一個統一的部門,把認證及所有安全問題統一管起來,以保證擁有一個標準的控制手段。
投資失衡:信息安全應用的隱患之一
信息安全在技術與管理上的比重失調還明顯地體現在投入上。目前在中國,大多數企、事業單位在建立信息系統時,安全建設方面的投入均不足整個系統的5%,而國外在這方面的投入一般都在10%~15%。如果對這5%的投入進行具體分析,其中用於購買硬體設備的投資已基本接近發達國家的水平,而購買服務和管理的投資幾乎為零,因而從信息系統建設一開始就已經給安全帶來了極大的隱患。
那麼,企、事業單位在IT投資時,安全管理方面的資金應該投到哪些方面呢?在一個信息化系統中,屬於管理的問題有很多,在某些情況下,與信息化配套的管理機制不可能自發地產生,這時安全管理就必須進行購買,也就是花錢買管理。企業或事業單位應該與一些專業從事安全管理的公司進行合作,共同建立起一套管理體系,包括質量管理體系、文檔管理體系、組織體系、監督檢查機制等,要根據各單位具體的安全需求配置安全級別。單位中需要管理的事務很多,如果管理機製得不到很好的慣徹,安全是無從談起的。
另一個資金投向應該是安全服務。信息技術在不斷地發展,安全問題也將隨著網路應用的不斷深化而變化出更多的新內容,安全漏洞防不勝防。然而,目前對於中國的許多企、事業單位來說,最為困難的還是缺少能夠全面承擔起各種安全系統管理重任的人才,在這種情況下,唯一的變通方法就是花錢買服務。但是,目前在中國,各單位在安全服務方面的投入也基本為零。
技術分布失衡:信息安全應用的隱患之二
白碩先生認為,目前在國內市場上,保障網路安全的產品不是太少,而是太多了。但從分布上看,少數類型的產品又過於集中。例如防火牆,現在許多廠商都在做防火牆,已經造成一種水平不高的重復,從宏觀上看這並不是一種理想的技術格局。網路安全保障具有非常多的環節,包括預防(漏洞掃描、風險評估等)、實時檢測、審計、記錄取證、災難恢復以及對於攻擊的響應手段等,但目前這些安全環節在產品開發上並沒有得到合理的分布,如安全中的必要環節審計、取證、備份和災難恢復等產品數量偏少,而且沒有過硬的技術。
作為政府的信息安全管理部門,信息產業部計算機網路與信息安全中心目前非常關注安全產品和服務的標准及立法等問題(即對於安全產品及服務的合格認證)。不久他們將召開一次關於網路安全服務試點選擇的會議,並將出台一系列具有長遠規劃的安全法規和政策,力圖讓人們看到國家信息安全發展的脈絡。而對於標准,他們希望改變現有的工作模式。過去的方法是,由國家下達一個標准化研究任務,一些專門從事標准研究的機構就開始制定工作,現在看來這種方式已經不適應時代的發展,因為專職研究機構距離研製安全產品的第一線還有相當大的距離,因此對於一些策略的理解還存在很大差距。信息產業部希望,將這種研究方式轉化成以企業為主的標准研究方式,把一些真正有實力的大型企業聯合起來,共同承擔標準的制定工作。
追求安全不應該制約發展
安全問題是現代經濟發展的最大障礙,但是不是因為安全問題得不到很好的解決,國家和企業就必須放慢發展的步伐呢?在討論安全與發展的關系之前,我們需要搞清楚的是,什麼樣的系統是安全的系統。一個商業系統,永遠也做不到政府和軍方那樣的安全程度。招商銀行總行電腦部周天虹說:「在商業系統內部,安全是一個相對的概念,因為我們無法追求絕對安全。什麼叫相對安全?首先,安全問題所帶來的損失是商業企業能夠承受的。例如信用卡業務,它的風險很大,但是銀行仍然在大規模地開展這項業務,這是由於信用卡風險大同時利潤也很大,招商銀行大約30%的利潤都來自信用卡;第二,一定要確保不給客戶造成損失,這是在任何銀行系統中都必須遵循的一個硬指標。一旦出現問題,只要有證據顯示責任不在客戶,銀行必須承擔損失。有了這兩條原則,銀行就可以求發展。」
信息安全是一個綜合性的問題,從政府部門的角度看,安全與發展也是一個辯證的關系。政府機構對於安全的需求也是分等級、分層次的,只要不突破安全底線,還是要邊發展邊完善。目前保障安全的技術已經很多了,其中用戶的身份識別就是一個極為重要的方面,此外還有伺服器端的管理,如安裝監測軟體、防火牆等等。但最關鍵的一點還是如何使用這些技術,使系統既安全又好用。總的來說,一個系統是不是安全,絕不是單純的技術問題,對於業務的管理已影響到了信息安全應用的方方面面,如事後監督、實時監控等。如果從管理和技術兩方面都能夠做到萬無一失,我們就可以得到一個相對安全的環境。