1、信息安全技術(shù)張輝FEI LING信息“信息”一詞有著很悠久的歷史，早在兩千多年前的西漢，即有“信”字的出現(xiàn)?！靶拧背？勺飨?lái)理解。作為日常用語(yǔ)，“信息”經(jīng)常是指“音訊、消息”的意思，但至今信息還沒(méi)有一個(gè)公認(rèn)的定義。 信息特性 ：一是信息具有主觀和客觀的兩重性。二是信息的無(wú)限延續(xù)性。三是信息不守恒 。 信息的形態(tài) ：信息一般有4種形態(tài)：數(shù)據(jù)、文本、聲音、圖像。這4種形態(tài)可以相互轉(zhuǎn)化，例如，照片被傳送到計(jì)算機(jī)，就把圖像轉(zhuǎn)化成了數(shù)字。 信息構(gòu)成是由信息源 、內(nèi)容 、載體 、傳輸 、接受者 信息特征 ：(1)可識(shí)別性 ：信息是可以識(shí)別的 (2)可存儲(chǔ)性 ：信息是可以通過(guò)各種方法存儲(chǔ)的 (3)可擴(kuò)充性

2、 ：信息隨著時(shí)間的變化，將不斷擴(kuò)充 (4)可壓縮性 ：人們對(duì)信息進(jìn)行加工、整理、概括、歸納就可使之精練，從而濃縮 (5)可傳遞性 ：信息的可傳遞性是信息的本質(zhì)等征 (6)可轉(zhuǎn)換性 ：信息是可以由一種形態(tài)轉(zhuǎn)換成另一種形態(tài) (7)特定范圍有效性 ：信息在特定的范圍內(nèi)是有效的，否則是無(wú)效的 信息安全信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù)，不受偶然的或者惡意的原因而遭到破壞、更改、泄露，系統(tǒng)連續(xù)可靠正常地運(yùn)行，信息服務(wù)不中斷。信息安全是一門涉及計(jì)算機(jī)科學(xué)、網(wǎng)絡(luò)技術(shù)、通信技術(shù)、密碼技術(shù)、信息安全技術(shù)、應(yīng)用數(shù)學(xué)、數(shù)論、信息論等多種學(xué)科的綜合性學(xué)科。信息安全的實(shí)質(zhì)就是要保護(hù)信息系統(tǒng)或信息網(wǎng)

3、絡(luò)中的信息資源免受各種類型的威脅、干擾和破壞，即保證信息的安全性 根據(jù)國(guó)際標(biāo)準(zhǔn)化組織的定義，信息安全性的含義主要是指信息的完整性、可用性、保密性和可靠性。 信息安全的主要問(wèn)題 ： 網(wǎng)絡(luò)攻擊與攻擊檢測(cè)、防范問(wèn)題 安全漏洞與安全對(duì)策問(wèn)題 信息安全保密問(wèn)題 系統(tǒng)內(nèi)部安全防范問(wèn)題 防病毒問(wèn)題 數(shù)據(jù)備份與恢復(fù)問(wèn)題、災(zāi)難恢復(fù)問(wèn)題 信息安全技術(shù) 信息安全的內(nèi)涵在不斷地延伸，從最初的信息保密性發(fā)展到信息的完整性、可用性、可控性和不可否認(rèn)性，進(jìn)而又發(fā)展為“攻（攻擊）、防（防范）、測(cè)（檢測(cè)）、控（控制）、管（管理）、評(píng)（評(píng)估）”等多方面的基礎(chǔ)理論和實(shí)施技術(shù)。目前信息網(wǎng)絡(luò)常用的基礎(chǔ)性安全技術(shù)包括以下幾方面的內(nèi)容。

4、目前信息安全技術(shù)包含哪些技術(shù)？身 份 認(rèn) 證 技 術(shù) 1邊 界 防 護(hù) 技 術(shù) 3安 全 審 計(jì) 技 術(shù) 6加 解 密 技 術(shù) 2訪 問(wèn) 控 制 技 術(shù) 4檢 測(cè) 監(jiān) 控 技 術(shù) 7主 機(jī) 加 固 技 術(shù) 5身份認(rèn)證技術(shù) 在計(jì)算機(jī)網(wǎng)絡(luò)中確認(rèn)操作者身份的過(guò)程 who you are what you know what you have 根據(jù)你所知道的信息來(lái)證明你的身份 直接根據(jù)獨(dú)一無(wú)二的身體特征來(lái)證明你的身份 根據(jù)你所擁有的東西來(lái)證明你的身份 加解密技術(shù) 出于信息保密的目的，在信息傳輸或存儲(chǔ)中，采用密碼技術(shù)對(duì)需要保密的信息進(jìn)行處理，使得處理后的信息不能被非受權(quán)者(含非法者)讀懂或解讀，這一過(guò)程

5、稱為加密 在加密處理過(guò)程中，需要保密的信息稱為“明文”，經(jīng)加密處理后的信息稱為“密文”。加密即是將“明文”變?yōu)椤懊芪摹钡倪^(guò)程；與此類似，將“密文”變?yōu)椤懊魑摹钡倪^(guò)程被稱為解密。 加密技術(shù)包括兩個(gè)元素：算法和密鑰 【算法是將普通的文本（或者可以理解的信息）與一串?dāng)?shù)字（密鑰）的結(jié)合，產(chǎn)生不可理解的密文的步驟，密鑰是用來(lái)對(duì)數(shù)據(jù)進(jìn)行編碼和解碼的一種算法。 】對(duì)數(shù)據(jù)加密的技術(shù)分為兩類，即對(duì)稱加密（私人密鑰加密）和非對(duì)稱加密（公開(kāi)密鑰加密）。 邊界防護(hù)技術(shù) 防止外部網(wǎng)絡(luò)用戶以非法手段進(jìn)入內(nèi)部網(wǎng)絡(luò)，訪問(wèn)內(nèi)部資源，保護(hù)內(nèi)部網(wǎng)絡(luò)操作環(huán)境的特殊網(wǎng)絡(luò)互連設(shè)備 防火墻 指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外

6、部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.是一種獲取安全性方法的形象說(shuō)法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務(wù)訪問(wèn)規(guī)則、驗(yàn)證工具、包過(guò)濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成入侵檢測(cè)入侵檢測(cè)（Intrusion Detection）是對(duì)入侵行為的檢測(cè)。它通過(guò)收集和分析網(wǎng)絡(luò)行為、安全日志、審計(jì)數(shù)據(jù)、其它網(wǎng)絡(luò)上可以獲得的信息以及計(jì)算機(jī)系統(tǒng)中若干關(guān)鍵點(diǎn)的信息，檢查網(wǎng)絡(luò)或系統(tǒng)中是否存在違反安全策略的行為和被攻擊的跡象。訪問(wèn)控制技術(shù) 保證網(wǎng)絡(luò)資源不被非法使用和訪問(wèn) 自主

7、訪問(wèn)控制 （DAC） 自主訪問(wèn)控制，又稱為隨意訪問(wèn)控制，根據(jù)用戶的身份及允許訪問(wèn)權(quán)限決定其訪問(wèn)操作，只要用戶身份被確認(rèn)后，即可根據(jù)訪問(wèn)控制表上賦予該用戶的權(quán)限進(jìn)行限制性用戶訪問(wèn)。 在強(qiáng)制訪問(wèn)控制中，每個(gè)用戶及文件都被賦予一定的安全級(jí)別，用戶不能改變自身或任何客體的安全級(jí)別，即不允許單個(gè)用戶確定訪問(wèn)權(quán)限，只有系統(tǒng)管理員可以確定用戶和組的訪問(wèn)權(quán)限。.角色訪問(wèn)策略是根據(jù)用戶在系統(tǒng)里表現(xiàn)的活動(dòng)性質(zhì)而定的，活動(dòng)性質(zhì)表明用戶充當(dāng)一定的角色，用戶訪問(wèn)系統(tǒng)時(shí)，系統(tǒng)必須先檢查用戶的角色。一個(gè)用戶可以充當(dāng)多個(gè)角色、一個(gè)角色也可以由多個(gè)用戶擔(dān)任。 強(qiáng)制訪問(wèn)控制 （MAC） 角色訪問(wèn)控制 （RBAC） 主機(jī)加固技術(shù)

8、操作系統(tǒng)或者數(shù)據(jù)庫(kù)的實(shí)現(xiàn)會(huì)不可避免地出現(xiàn)某些漏洞，從而使信息網(wǎng)絡(luò)系統(tǒng)遭受嚴(yán)重的威脅 安全審計(jì)技術(shù) 包含日志審計(jì)和行為審計(jì)，通過(guò)日志審計(jì)協(xié)助管理員在受到攻擊后察看網(wǎng)絡(luò)日志，從而評(píng)估網(wǎng)絡(luò)配置的合理性、安全策略的有效性，追溯分析安全攻擊軌跡，并能為實(shí)時(shí)防御提供手段。通過(guò)對(duì)員工或用戶的網(wǎng)絡(luò)行為審計(jì)，確認(rèn)行為的合規(guī)性，確保管理的安全。 網(wǎng)絡(luò)層審計(jì)系統(tǒng)層審計(jì)應(yīng)用層審計(jì)TCP/IP、ATMUNIX、Windows 9x/NT、ODBCCA發(fā)證操作主頁(yè)更新監(jiān)視安全審計(jì)技術(shù)在安全審計(jì)報(bào)告中應(yīng)該包括：總體評(píng)價(jià)現(xiàn)在的安全級(jí)別：你應(yīng)該給出低、中、高的結(jié)論，包括你監(jiān)視的網(wǎng)絡(luò)設(shè)備的簡(jiǎn)要評(píng)價(jià)（例如：大型機(jī)、路由器、NT系統(tǒng)

9、、UNIX系統(tǒng)等等）；對(duì)偶然的、有經(jīng)驗(yàn)的和專家級(jí)的黑客入侵系統(tǒng)作出時(shí)間上的估計(jì)；簡(jiǎn)要總結(jié)出你的最重要的建議；詳細(xì)列舉你在審計(jì)過(guò)程中的步驟：此時(shí)可以提及一些在偵查、滲透和控制階段你發(fā)現(xiàn)的有趣問(wèn)題；對(duì)各種網(wǎng)絡(luò)元素提出建議，包括路由器、端口、服務(wù)、登陸賬戶、物理安全等等；討論物理安全：許多網(wǎng)絡(luò)對(duì)重要設(shè)備的擺放都不注意。例如，有的公司把文件服務(wù)器置于接待臺(tái)的桌子后，一旦接待人員離開(kāi)，則服務(wù)器便暴露在網(wǎng)絡(luò)攻擊下。有一次，安全設(shè)計(jì)人員抱著機(jī)器離開(kāi)，安全守衛(wèi)還幫了忙；安全審計(jì)領(lǐng)域內(nèi)使用的術(shù)語(yǔ)。最后，記著遞交你的審計(jì)報(bào)告。因?yàn)榘踩珜徲?jì)涉及了商業(yè)和技術(shù)行為，所以應(yīng)該把你的報(bào)告遞交給兩方面的負(fù)責(zé)人。如果你采用電子郵件的方式遞交報(bào)告，最好對(duì)報(bào)告進(jìn)行數(shù)字簽名和加密。檢測(cè)監(jiān)控技術(shù) 對(duì)信息網(wǎng)絡(luò)中的流量或應(yīng)用內(nèi)容進(jìn)行二至七層的檢測(cè)并適度監(jiān)管和控制，避免網(wǎng)絡(luò)流量的濫用、垃圾信息和有害信息的傳播。流量控制用于防止在端口阻塞的情況下丟幀，這種方法是當(dāng)發(fā)送或接收緩沖區(qū)開(kāi)始溢出時(shí)通過(guò)將阻塞信號(hào)發(fā)送回源地址實(shí)現(xiàn)的。流量控制可以有效的防止由于網(wǎng)絡(luò)中瞬間的大量數(shù)據(jù)對(duì)網(wǎng)絡(luò)帶來(lái)的沖擊，保證用戶網(wǎng)絡(luò)高效而穩(wěn)定的運(yùn)行。 在半雙工方式下，流量控制是通過(guò)反向壓力（backpressure）即我們通常說(shuō)的背壓計(jì)數(shù)實(shí)現(xiàn)的，這種計(jì)數(shù)是通過(guò)向發(fā)送源發(fā)送jamming信號(hào)使得信息源降低發(fā)送速度。 在全雙工方式下，流