❶ 论述信息安全包括哪几方面的内容信息安全技术有哪些分别对其进行阐述。
信息安全概述信息安全主要涉及到信息传输的安全、信息存储的安全以及对网络传输信息内容的审计三方面。
鉴别
鉴别是对网络中的主体进行验证的过程,通常有三种方法验证主体身份。一是只有该主体了解的秘密,如口令、密钥;二是主体携带的物品,如智能卡和令牌卡;三是只有该主体具有的独一无二的特征或能力,如指纹、声音、视网膜或签字等。
口令机制:口令是相互约定的代码,假设只有用户和系统知道。口令有时由用户选择,有时由系统分配。通常情况下,用户先输入某种标志信息,比如用户名和ID号,然后系统询问用户口令,若口令与用户文件中的相匹配,用户即可进入访问。口令有多种,如一次性口令,系统生成一次性口令的清单,第一次时必须使用X,第二次时必须使用Y,第三次时用Z,这样一直下去;还有基于时间的口令,即访问使用的正确口令随时间变化,变化基于时间和一个秘密的用户钥匙。这样口令每分钟都在改变,使其更加难以猜测。
智能卡:访问不但需要口令,也需要使用物理智能卡。在允许其进入系统之前检查是否允许其接触系统。智能卡大小形如信用卡,一般由微处理器、存储器及输入、输出设施构成。微处理器可计算该卡的一个唯一数(ID)和其它数据的加密形式。ID保证卡的真实性,持卡人就可访问系统。为防止智能卡遗失或被窃,许多系统需要卡和身份识别码(PIN)同时使用。若仅有卡而不知PIN码,则不能进入系统。智能卡比传统的口令方法进行鉴别更好,但其携带不方便,且开户费用较高。
主体特征鉴别:利用个人特征进行鉴别的方式具有很高的安全性。目前已有的设备包括:视网膜扫描仪、声音验证设备、手型识别器。
数据传输安全系统
数据传输加密技术 目的是对传输中的数据流加密,以防止通信线路上的窃听、泄漏、篡改和破坏。如果以加密实现的通信层次来区分,加密可以在通信的三个不同层次来实现,即链路加密(位于OSI网络层以下的加密),节点加密,端到端加密(传输前对文件加密,位于OSI网络层以上的加密)。
一般常用的是链路加密和端到端加密这两种方式。链路加密侧重与在通信链路上而不考虑信源和信宿,是对保密信息通过各链路采用不同的加密密钥提供安全保护。链路加密是面向节点的,对于网络高层主体是透明的,它对高层的协议信息(地址、检错、帧头帧尾)都加密,因此数据在传输中是密文的,但在中央节点必须解密得到路由信息。端到端加密则指信息由发送端自动加密,并进入TCP/IP数据包回封,然后作为不可阅读和不可识别的数据穿过互联网,当这些信息一旦到达目的地,将自动重组、解密,成为可读数据。端到端加密是面向网络高层主体的,它不对下层协议进行信息加密,协议信息以明文形式传输,用户数据在中央节点不需解密。
数据完整性鉴别技术 目前,对于动态传输的信息,许多协议确保信息完整性的方法大多是收错重传、丢弃后续包的办法,但黑客的攻击可以改变信息包内部的内容,所以应采取有效的措施来进行完整性控制。
报文鉴别:与数据链路层的CRC控制类似,将报文名字段(或域)使用一定的操作组成一个约束值,称为该报文的完整性检测向量ICV(Integrated Check Vector)。然后将它与数据封装在一起进行加密,传输过程中由于侵入者不能对报文解密,所以也就不能同时修改数据并计算新的ICV,这样,接收方收到数据后解密并计算ICV,若与明文中的ICV不同,则认为此报文无效。
校验和:一个最简单易行的完整性控制方法是使用校验和,计算出该文件的校验和值并与上次计算出的值比较。若相等,说明文件没有改变;若不等,则说明文件可能被未察觉的行为改变了。校验和方式可以查错,但不能保护数据。
加密校验和:将文件分成小快,对每一块计算CRC校验值,然后再将这些CRC值加起来作为校验和。只要运用恰当的算法,这种完整性控制机制几乎无法攻破。但这种机制运算量大,并且昂贵,只适用于那些完整性要求保护极高的情况。
消息完整性编码MIC(Message Integrity Code):使用简单单向散列函数计算消息的摘要,连同信息发送给接收方,接收方重新计算摘要,并进行比较验证信息在传输过程中的完整性。这种散列函数的特点是任何两个不同的输入不可能产生两个相同的输出。因此,一个被修改的文件不可能有同样的散列值。单向散列函数能够在不同的系统中高效实现。
防抵赖技术 它包括对源和目的地双方的证明,常用方法是数字签名,数字签名采用一定的数据交换协议,使得通信双方能够满足两个条件:接收方能够鉴别发送方所宣称的身份,发送方以后不能否认他发送过数据这一事实。比如,通信的双方采用公钥体制,发方使用收方的公钥和自己的私钥加密的信息,只有收方凭借自己的私钥和发方的公钥解密之后才能读懂,而对于收方的回执也是同样道理。另外实现防抵赖的途径还有:采用可信第三方的权标、使用时戳、采用一个在线的第三方、数字签名与时戳相结合等。
鉴于为保障数据传输的安全,需采用数据传输加密技术、数据完整性鉴别技术及防抵赖技术。因此为节省投资、简化系统配置、便于管理、使用方便,有必要选取集成的安全保密技术措施及设备。这种设备应能够为大型网络系统的主机或重点服务器提供加密服务,为应用系统提供安全性强的数字签名和自动密钥分发功能,支持多种单向散列函数和校验码算法,以实现对数据完整性的鉴别。
数据存储安全系统
在计算机信息系统中存储的信息主要包括纯粹的数据信息和各种功能文件信息两大类。对纯粹数据信息的安全保护,以数据库信息的保护最为典型。而对各种功能文件的保护,终端安全很重要。
数据库安全:对数据库系统所管理的数据和资源提供安全保护,一般包括以下几点。一,物理完整性,即数据能够免于物理方面破坏的问题,如掉电、火灾等;二,逻辑完整性,能够保持数据库的结构,如对一个字段的修改不至于影响其它字段;三,元素完整性,包括在每个元素中的数据是准确的;四,数据的加密;五,用户鉴别,确保每个用户被正确识别,避免非法用户入侵;六,可获得性,指用户一般可访问数据库和所有授权访问的数据;七,可审计性,能够追踪到谁访问过数据库。
要实现对数据库的安全保护,一种选择是安全数据库系统,即从系统的设计、实现、使用和管理等各个阶段都要遵循一套完整的系统安全策略;二是以现有数据库系统所提供的功能为基础构作安全模块,旨在增强现有数据库系统的安全性。
终端安全:主要解决微机信息的安全保护问题,一般的安全功能如下。基于口令或(和)密码算法的身份验证,防止非法使用机器;自主和强制存取控制,防止非法访问文件;多级权限管理,防止越权操作;存储设备安全管理,防止非法软盘拷贝和硬盘启动;数据和程序代码加密存储,防止信息被窃;预防病毒,防止病毒侵袭;严格的审计跟踪,便于追查责任事故。
信息内容审计系统
实时对进出内部网络的信息进行内容审计,以防止或追查可能的泄密行为。因此,为了满足国家保密法的要求,在某些重要或涉密网络,应
❷ 信息安全主要包括哪些内容
信息安全主要包括以下五方面的内容,即需保证信息的保密性、真实性、完整性、未授权拷贝和所寄生系统的安全性。
❸ 信息安全隐患有哪些
从大的方面讲,信息安全主要包括:运行安全(主要是由网络和计算机构成的平台)、交易安全(传输过程中的数据安全)、内容安全、个人或单位隐私保护。几年前,谈论信息安全还仅限于政府部门内部,而且所涉及的也大多是内容安全、防止泄密等。但近几年,在新经济的环境下,所有人的生活已与网络形成了非常紧密的联系,随着安全问题越来越引起政府和企业的关注,各种安全技术和产品也不断涌现出来。但值得思考的是,为什么在强大的防御技术的保护下,信息的安全问题反而越来越多,入侵与反入侵技术总是在上演“道高一尺,魔高一丈”的活剧?在中国,信息安全应用的最大隐患到底在哪里?其症结究竟是什么?
管理:信息安全应用的最大漏洞
据统计,在美国被中国黑客攻击的网站中,政府网站占3%,而在中国遭到美国黑客攻击的网站中,政府网站竟占37%还多。这个数字充分说明,中国的政府网站应该进行的管理没有到位。其实,美国人所采用的攻击手段并不高明,其中许多技术漏洞都是被中国人最早发现并公布的,但正是由于在管理上没有得到足够的重视,才让别人利用简单的技术钻了空子。
提高安全管理意识已刻不容缓。中国国家计算机网络与信息安全实验室主任白硕先生在接受记者采访时说:“目前,中国的信息安全在技术上的最大隐患是,操作系统、微电子芯片、路由器等核心技术都掌握在别人手里,这是一个极为严重的问题。像中国这样一个大国,没有自己的核心技术,就好像所有的信息系统都建筑在沙滩上一样,稍有风吹草动,我们就会失去平衡。尽管不久前中国国防科技大学推出了自主研制的核心路由器,中科院软件所也有了相应的安全操作系统软件推出,但这些刚刚起步的技术离可用还有一段距离,况且面对着如此具大的应用市场,这一点突破仍然是杯水车薪。”
那么,如何解决当前的问题?在只能采用国外产品的情况下如何保证信息的安全?怎样在现有条件下,对一些疑点进行修补呢?白硕先生认为,一个最直接、最有效的方法就是拉紧管理这根线,用严密的制度弥补技术上的不足。近几年,我国的政府机构为了加强对信息安全的保障,实行了内网与外网分离的策略,但这种隔离从严格意义上讲只能防外而不能防内。事实上,不管多么先进的安全技术,都抵挡不住从内部攻破,先进技术解决不了人的问题,“家贼难防”是尽人皆懂的道理。北京邮电大学信息安全中心杨义先生曾说过,信息安全在管理方面还存在几个问题:一是CA(数字证书认证中心)的建设,目前全国共建立了不下20个CA认证机构,其实有一个就足够了;二是目前的安全问题,包括病毒、网络安全、加密等,也分属很多部门管理,各有各的标准。建议设立一个统一的部门,把认证及所有安全问题统一管起来,以保证拥有一个标准的控制手段。
投资失衡:信息安全应用的隐患之一
信息安全在技术与管理上的比重失调还明显地体现在投入上。目前在中国,大多数企、事业单位在建立信息系统时,安全建设方面的投入均不足整个系统的5%,而国外在这方面的投入一般都在10%~15%。如果对这5%的投入进行具体分析,其中用于购买硬件设备的投资已基本接近发达国家的水平,而购买服务和管理的投资几乎为零,因而从信息系统建设一开始就已经给安全带来了极大的隐患。
那么,企、事业单位在IT投资时,安全管理方面的资金应该投到哪些方面呢?在一个信息化系统中,属于管理的问题有很多,在某些情况下,与信息化配套的管理机制不可能自发地产生,这时安全管理就必须进行购买,也就是花钱买管理。企业或事业单位应该与一些专业从事安全管理的公司进行合作,共同建立起一套管理体系,包括质量管理体系、文档管理体系、组织体系、监督检查机制等,要根据各单位具体的安全需求配置安全级别。单位中需要管理的事务很多,如果管理机制得不到很好的惯彻,安全是无从谈起的。
另一个资金投向应该是安全服务。信息技术在不断地发展,安全问题也将随着网络应用的不断深化而变化出更多的新内容,安全漏洞防不胜防。然而,目前对于中国的许多企、事业单位来说,最为困难的还是缺少能够全面承担起各种安全系统管理重任的人才,在这种情况下,唯一的变通方法就是花钱买服务。但是,目前在中国,各单位在安全服务方面的投入也基本为零。
技术分布失衡:信息安全应用的隐患之二
白硕先生认为,目前在国内市场上,保障网络安全的产品不是太少,而是太多了。但从分布上看,少数类型的产品又过于集中。例如防火墙,现在许多厂商都在做防火墙,已经造成一种水平不高的重复,从宏观上看这并不是一种理想的技术格局。网络安全保障具有非常多的环节,包括预防(漏洞扫描、风险评估等)、实时检测、审计、记录取证、灾难恢复以及对于攻击的响应手段等,但目前这些安全环节在产品开发上并没有得到合理的分布,如安全中的必要环节审计、取证、备份和灾难恢复等产品数量偏少,而且没有过硬的技术。
作为政府的信息安全管理部门,信息产业部计算机网络与信息安全中心目前非常关注安全产品和服务的标准及立法等问题(即对于安全产品及服务的合格认证)。不久他们将召开一次关于网络安全服务试点选择的会议,并将出台一系列具有长远规划的安全法规和政策,力图让人们看到国家信息安全发展的脉络。而对于标准,他们希望改变现有的工作模式。过去的方法是,由国家下达一个标准化研究任务,一些专门从事标准研究的机构就开始制定工作,现在看来这种方式已经不适应时代的发展,因为专职研究机构距离研制安全产品的第一线还有相当大的距离,因此对于一些策略的理解还存在很大差距。信息产业部希望,将这种研究方式转化成以企业为主的标准研究方式,把一些真正有实力的大型企业联合起来,共同承担标准的制定工作。
追求安全不应该制约发展
安全问题是现代经济发展的最大障碍,但是不是因为安全问题得不到很好的解决,国家和企业就必须放慢发展的步伐呢?在讨论安全与发展的关系之前,我们需要搞清楚的是,什么样的系统是安全的系统。一个商业系统,永远也做不到政府和军方那样的安全程度。招商银行总行电脑部周天虹说:“在商业系统内部,安全是一个相对的概念,因为我们无法追求绝对安全。什么叫相对安全?首先,安全问题所带来的损失是商业企业能够承受的。例如信用卡业务,它的风险很大,但是银行仍然在大规模地开展这项业务,这是由于信用卡风险大同时利润也很大,招商银行大约30%的利润都来自信用卡;第二,一定要确保不给客户造成损失,这是在任何银行系统中都必须遵循的一个硬指标。一旦出现问题,只要有证据显示责任不在客户,银行必须承担损失。有了这两条原则,银行就可以求发展。”
信息安全是一个综合性的问题,从政府部门的角度看,安全与发展也是一个辩证的关系。政府机构对于安全的需求也是分等级、分层次的,只要不突破安全底线,还是要边发展边完善。目前保障安全的技术已经很多了,其中用户的身份识别就是一个极为重要的方面,此外还有服务器端的管理,如安装监测软件、防火墙等等。但最关键的一点还是如何使用这些技术,使系统既安全又好用。总的来说,一个系统是不是安全,绝不是单纯的技术问题,对于业务的管理已影响到了信息安全应用的方方面面,如事后监督、实时监控等。如果从管理和技术两方面都能够做到万无一失,我们就可以得到一个相对安全的环境。